Astaro Utm9 Manual Eng

Sophos UTMAdministratorhandbuch

Produktversion: 9.000Erstellungsdatum: Montag, 17. September 2012

Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigunggeändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind frei erfunden,soweit nichts anderesangegeben ist. Kein Teil dieser Unterlagen darf.für irgendwelche Zweckevervielfältigt oder übertragen werden, unabhängig davon, auf welche Art undWeise oder mit welchenMitteln, wenn keine ausdrückliche schriftliche Erlaubnis der Astaro GmbH &Co. KG. ÜbersetzungendiesesOriginalsmüssen folgendermaßenmarkiert werden: „Translation of the originalmanual“.

© 2000–2012 Astaro GmbH &Co. KG.Alle Rechte vorbehalten.Amalienbadstraße 41/Bau 52,76227 Karlsruhe,Deutschlandhttp://www.astaro.com, http://www.sophos.com

SophosUTM, Astaro CommandCenter, Astaro GatewayManager undWebAdmin sindMarkenzeichen der Astaro GmbH &Co. KG. Cisco ist ein registriertesMarkenzeichen von CiscoSystems Inc. iOS ist ein Markenzeichen von Apple Inc. Linux ist ein Markenzeichen von LinusTorvalds.Alle weiterenMarkenzeichen stehen ausschließlich den jeweiligen Inhabern zu.

Einschränkung derGewährleistungFür die Richtigkeit des Inhalts diesesHandbuchswird keine Garantie übernommen. Hinweise aufFehler und Verbesserungen nehmenwir gerne unter der E-Mail-Adresse [email protected].

http://www.astaro.com/

http://www.sophos.com/

Inhaltsverzeichnis1 Installation 15

1.1 Empfohlene Lektüre 151.2 Systemanforderungen 16

1.2.1 USV-Unterstützung 171.2.2 RAID-Unterstützung 18

1.3 Installationsanleitung 181.3.1 Tastenfunktionen während der Installation 191.3.2 Besondere Optionen während der Installation 191.3.3 Installation vonSophosUTM 20

1.4 Grundkonfiguration 231.5 Backup-Wiederherstellung 30

2 WebAdmin 312.1WebAdmin-Menü 322.2 Symbolleiste 342.3 Listen 352.4 Suche in Listen 362.5 Dialogfenster 372.6 Schaltflächen und Symbole 382.7 Objektleisten 40

3 Dashboard 433.1 Dashboard-Einstellungen 453.2 Flow-Monitor 46

4 Verwaltung 514.1 Systemeinstellungen 51

4.1.1 Organisatorisches 524.1.2 Hostname 524.1.3 Zeit und Datum 524.1.4 Shell-Zugriff 554.1.5 Scan-Einstellungen 564.1.6 Zurücksetzung 56

4.2WebAdmin-Einstellungen 584.2.1 Allgemein 584.2.2 Zugriffskontrolle 594.2.3 Sicherheit 604.2.4 HTTPS-Zertifikat 604.2.5 Benutzereinstellungen 62

Inhaltsverzeichnis

4.2.6 Erweitert 634.3 Lizenzierung 65

4.3.1 Erwerb einer Lizenz 654.3.2 Lizenzmodell 664.3.3 Übersicht 714.3.4 Installation 714.3.5 Aktive IP-Adressen 72

4.4 Up2Date 724.4.1 Übersicht 734.4.2 Konfiguration 754.4.3 Erweitert 75

4.5 Backups 774.5.1 Backup/Wiederherstellen 774.5.2 Automatische Backups 80

4.6 Benutzerportal 824.6.1 Allgemein 844.6.2 Erweitert 85

4.7 Benachrichtigungen 864.7.1 Allgemein 874.7.2 Benachrichtigungen 874.7.3 Erweitert 88

4.8 Anpassungen 884.8.1 Allgemein 894.8.2Webfilter 904.8.3 Download-Verwaltung 914.8.4 SMTP-/POP3-Proxy 93

4.9 SNMP 944.9.1 Anfrage 944.9.2 Traps 96

4.10 Zentrale Verwaltung 974.10.1 Astaro CommandCenter 97

4.11 Hochverfügbarkeit 1004.11.1 Hardware- und Software-Voraussetzungen 1024.11.2 Status 1024.11.3 Systemstatus 1044.11.4 Konfiguration 104

4.12 Ausschalten/Neustart 108

5 Definitionen & Benutzer 1115.1 Netzwerkdefinitionen 1115.2 Dienstdefinitionen 115

iv UTM 9Administratorhandbuch

5.3 Zeitraumdefinitionen 1175.4 Benutzer &Gruppen 118

5.4.1 Benutzer 1185.4.2 Gruppen 121

5.5 Client-Authentifizierung 1245.6 Authentifizierungsserver 125

5.6.1 Allgemeine Einstellungen 1265.6.2 Server 127

5.6.2.1 eDirectory 1285.6.2.2 Active Directory 1295.6.2.3 LDAP 1325.6.2.4 RADIUS 1345.6.2.5 TACACS+ 136

5.6.3 Single Sign-On 1385.6.4 Erweitert 139

6 Schnittstellen & Routing 1416.1 Schnittstellen 141

6.1.1 Schnittstellen 1426.1.1.1 Automatische Netzwerkschnittstellen-Definitionen 1436.1.1.2 Arten von Schnittstellen 1436.1.1.3 Gruppe 1456.1.1.4 3G/UMTS 1456.1.1.5 Ethernet-Standard 1486.1.1.6 Ethernet-VLAN 1506.1.1.7 Kabelmodem (DHCP) 1526.1.1.8 DSL (PPPoE) 1546.1.1.9 DSL (PPPoA/PPTP) 1576.1.1.10Modem (PPP) 159

6.1.2 Zusätzliche Adressen 1626.1.3 Linkbündelung 1636.1.4 Uplink-Ausgleich 1646.1.5Multipathregeln 1686.1.6 Hardware 169

6.2 Bridging 1716.2.1 Status 1726.2.2 Erweitert 173

6.3 Dienstqualität (QoS) 1746.3.1 Status 1746.3.2 Verkehrskennzeichner 1766.3.3 Bandbreiten-Pools 180

UTM 9Administratorhandbuch v

Inhaltsverzeichnis

Inhaltsverzeichnis

6.3.4 Erweitert 1816.4 Uplink-Überwachung 182

6.4.1 Allgemein 1836.4.2 Aktionen 1836.4.3 Erweitert 184

6.5 IPv6 1856.5.1 Allgemein 1856.5.2 Präfix-Bekanntmachungen 1866.5.3 6to4 1876.5.4 Tunnel-Broker 188

6.6 StatischesRouting 1896.6.1 Statische Routen 1906.6.2 Richtlinienrouten 191

6.7 DynamischesRouting (OSPF) 1936.7.1 Allgemein 1936.7.2 Bereich 1946.7.3 Schnittstellen 1966.7.4 Prüfsummen 1986.7.5 Fehlersuche 1996.7.6 Erweitert 199

6.8 Border GatewayProtocol 2006.8.1 Allgemein 2016.8.2 Systeme 2016.8.3 Neighbor 2026.8.4 Routemap 2046.8.5 Filterliste 2066.8.6 Erweitert 207

6.9Multicast Routing (PIM-SM) 2086.9.1 Allgemein 2096.9.2 Schnittstellen 2106.9.3 RP-Router 2116.9.4 Routen 2126.9.5 Erweitert 213

7 Netzwerkdienste 2157.1 DNS 215

7.1.1 Allgemein 2157.1.2Weiterleitung 2167.1.3 Anfragerouten 2167.1.4 Statische Einträge 2177.1.5 DynDNS 218

vi UTM 9Administratorhandbuch

7.2 DHCP 2217.2.1 Server 2217.2.2 Relay 2247.2.3 Statische Zuordnungen 2257.2.4 Optionen 2267.2.5 IPv4-Lease-Tabelle 2297.2.6 IPv6-Lease-Tabelle 230

7.3 NTP 231

8 Network Protection 2338.1 Firewall 233

8.1.1 Regeln 2338.1.2 Country-Blocking 2378.1.3 ICMP 2388.1.4 Erweitert 239

8.2 NAT 2428.2.1Maskierung 2428.2.2 NAT 244

8.3 Angriffschutz 2478.3.1 Allgemein 2478.3.2 Angriffsmuster 2488.3.3 Anti-DoS/Flooding 2508.3.4 Anti-Portscan 2528.3.5 Ausnahmen 2548.3.6 Erweitert 255

8.4 Server-Lastverteilung 2578.4.1 Verteilungsregeln 257

8.5 VoIP 2608.5.1 SIP 2608.5.2 H.323 261

8.6 Erweitert 2628.6.1 Generischer Proxy 2638.6.2 SOCKS-Proxy 2648.6.3 IDENT-Reverse-Proxy 265

9 Web Protection 2679.1Webfilter 268

9.1.1 Allgemein 2689.1.2 Antivirus/Schadsoftware 2729.1.3 URL-Filterung 2739.1.4 URL-Filterkategorien 2779.1.5 Ausnahmen 278

UTM 9Administratorhandbuch vii

Inhaltsverzeichnis

Inhaltsverzeichnis

9.1.6 Erweitert 2819.1.7 HTTPS-CAs 286

9.2Webfilter-Profile 2909.2.1 Übersicht 2919.2.2 Proxy-Profile 2929.2.3 Filterzuweisungen 2969.2.4 Filteraktionen 2979.2.5 Übergeordnete Proxies 300

9.3 Application Control 3019.3.1 Netzwerksichtbarkeit 3029.3.2 Application-Control-Regeln 3029.3.3 Erweitert 305

9.4 FTP 3069.4.1 Allgemein 3069.4.2 Antivirus 3079.4.3 Ausnahmen 3089.4.4 Erweitert 309

10 Email Protection 31110.1 SMTP 311

10.1.1 Allgemein 31210.1.2 Routing 31210.1.3 Antivirus 31410.1.4 Antispam 31810.1.5 Ausnahmen 32310.1.6 Relaying 32510.1.7 Erweitert 326

10.2 SMTP-Profile 33010.3 POP3 335

10.3.1 Allgemein 33510.3.2 Antivirus 33610.3.3 Antispam 33710.3.4 Ausnahmen 33910.3.5 Erweitert 340

10.4 Verschlüsselung 34310.4.1 Allgemein 34710.4.2 Optionen 34810.4.3 Interne Benutzer 34910.4.4 S/MIME-CAs 35210.4.5 S/MIME-Zertifikate 35310.4.6 OpenPGP-Schlüssel 354

viii UTM 9Administratorhandbuch

10.5 Quarantänebericht 35510.5.1 Allgemein 35710.5.2 Ausnahmen 35710.5.3 Erweitert 359

10.6Mail-Manager 36010.6.1Mail-Manager-Fenster 361

10.6.1.1 SMTP-/POP3-Quarantäne 36210.6.1.2 SMTP-Spool 36310.6.1.3 SMTP-Protokoll 364

10.6.2 Allgemein 36610.6.3 Konfiguration 367

11 Endpoint Protection 36911.1 Computerverwaltung 371

11.1.1 Allgemein 37111.1.2 Agent installieren 37211.1.3 Computer verwalten 37311.1.4 Gruppenverwaltung 37411.1.5 Erweitert 376

11.2 Antivirus 37611.2.1 Richtlinien 37611.2.2 Ausnahmen 378

11.3 Device Control 38011.3.1 Richtlinien 38011.3.2 Ausnahmen 381

12 Wireless Protection 38312.1 Allgemeine Einstellungen 383

12.1.1 Allgemein 38412.1.2 Erweitert 385

12.2WLAN-Netzwerke 38512.3 AccessPoints 389

12.3.1 Übersicht 39012.3.2 Gruppierung 393

12.4WLAN-Clients 39512.5 Hotspots 395

12.5.1 Allgemein 39712.5.2 Hotspots 39812.5.3 Voucher-Definitionen 40012.5.4 Erweitert 401

13 Webserver Protection 403

UTM 9Administratorhandbuch ix

Inhaltsverzeichnis

Inhaltsverzeichnis

13.1Web Application Firewall 40313.1.1 Allgemein 40313.1.2 VirtuelleWebserver 40413.1.3 EchteWebserver 40613.1.4 Firewall-Profile 40713.1.5 Ausnahmen 41113.1.6 Site-Pfad-Routing 41313.1.7 Erweitert 414

13.2 Zertifikatverwaltung 41513.2.1 Zertifikate 41513.2.2 CA 41513.2.3 Sperrlisten (CRLs) 41513.2.4 Erweitert 415

14 RED-Verwaltung 41714.1 Übersicht 41814.2 Allgemeine Einstellungen 41814.3 Clientverwaltung 41914.4 Einrichtungshilfe 42314.5 Tunnelverwaltung 425

15 Site-to-Site-VPN 42715.1 Amazon VPC 428

15.1.1 Status 42815.1.2 Einrichtung 429

15.2 IPsec 43015.2.1 Verbindungen 43315.2.2 Entfernte Gateways 43515.2.3 Richtlinien 43815.2.4 Lokaler RSA-Schlüssel 44215.2.5 Erweitert 44315.2.6 Fehlersuche 445

15.3 SSL 44615.3.1 Verbindungen 44615.3.2 Einstellungen 44815.3.3 Erweitert 449

15.4 Zertifikatverwaltung 45115.4.1 Zertifikate 45115.4.2 CA 45315.4.3 Sperrlisten (CRLs) 45515.4.4 Erweitert 456

16 Fernzugriff 457

x UTM 9Administratorhandbuch

16.1 SSL 45816.1.1 Allgemein 45816.1.2 Einstellungen 45916.1.3 Erweitert 460

16.2 PPTP 46216.2.1 Allgemein 46216.2.2 iOS-Geräte 46416.2.3 Erweitert 464

16.3 L2TP über IPsec 46516.3.1 Allgemein 46516.3.2 iOS-Geräte 46816.3.3 Fehlersuche 469

16.4 IPsec 47016.4.1 Verbindungen 47316.4.2 Richtlinien 47516.4.3 Erweitert 47916.4.4 Fehlersuche 481

16.5 HTML5-VPN-Portal 48116.5.1 Allgemein 483

16.6 Cisco VPN Client 48616.6.1 Allgemein 48616.6.2 iOS-Geräte 48716.6.3 Fehlersuche 488

16.7 Erweitert 48816.8 Zertifikatverwaltung 489

16.8.1 Zertifikate 48916.8.2 CA 48916.8.3 Sperrlisten (CRLs) 48916.8.4 Erweitert 490

17 Protokolle & Berichte 49117.1 Protokollansicht 493

17.1.1 Heutige Protokolldateien 49317.1.2 Archivierte Protokolldateien 49417.1.3 Protokolldateien durchsuchen 494

17.2 Hardware 49517.2.1 Täglich 49517.2.2Wöchentlich 49517.2.3Monatlich 49517.2.4 Jährlich 495

17.3 Netzwerknutzung 495

UTM 9Administratorhandbuch xi

Inhaltsverzeichnis

Inhaltsverzeichnis

17.3.1 Täglich 49617.3.2Wöchentlich 49617.3.3Monatlich 49617.3.4 Jährlich 49617.3.5 Bandbreitennutzung 497

17.4 NetworkProtection 49817.4.1 Täglich 49817.4.2Wöchentlich 49817.4.3Monatlich 49917.4.4 Jährlich 49917.4.5 Firewall 49917.4.6 IPS 500

17.5Web Protection 50017.5.1 Internetnutzung 50017.5.2 Suchmaschinen 50417.5.3 Abteilungen 50717.5.4 Geplante Berichte 50817.5.5 Application Control 50917.5.6 Entanonymisierung 510

17.6 Email Protection 51017.6.1 Nutzungsdiagramme 51017.6.2Mail-Nutzung 51117.6.3 Blockierte Mails 51117.6.4 Entanonymisierung 511

17.7 Fernzugriff 51217.7.1 Aktivität 51217.7.2 Sitzung 512

17.8Webserver Protection 51317.8.1 Nutzungsdiagramme 51317.8.2 Details 514

17.9 Gesamtbericht 51417.9.1 Bericht anzeigen 51417.9.2 Archivierte Gesamtberichte 51517.9.3 Konfiguration 515

17.10 Protokolleinstellungen 51517.10.1 Lokale Protokollierung 51517.10.2 Remote-Syslog-Server 51617.10.3 Ausgelagerte Protokollarchive 518

17.11 Berichteinstellungen 52017.11.1 Einstellungen 52017.11.2 Ausnahmen 523

xii UTM 9Administratorhandbuch

17.11.3 Anonymisierung 524

18 Support 52718.1 Handbuch 52718.2 Druckbare Konfiguration 52818.3 Support kontaktieren 52818.4 Tools 529

18.4.1 Ping-Prüfung 52918.4.2 Traceroute 53018.4.3 DNS-Lookup 530

18.5 Erweitert 53118.5.1 Prozessliste 53118.5.2 LAN-Verbindungen 53118.5.3 Routen-Tabelle 53118.5.4 Schnittstellen-Tabelle 53118.5.5 Konfigurations-Abbild 53218.5.6 REF_ auflösen 532

19 Log Off 533

20 Benutzerportal 53420.1 User Portal: Mail-Quarantäne 53420.2 User Portal: Mail-Protokoll 53620.3 User Portal: POP3-Konten 53820.4 User Portal: Absender-Whitelist 53820.5 User Portal: Absender-Blacklist 53820.6 Benutzerportal: Hotspots 53920.7 User Portal: Client-Authentifizierung 54220.8 Benutzerportal: Fernzugriff 54220.9 User Portal: HTML5-VPN-Portal 54320.10 User Portal: Kennwort ändern 54420.11 User Portal: HTTPS-Proxy 544

UTM 9Administratorhandbuch xiii

Inhaltsverzeichnis

1 InstallationDiesesKapitel enthält Informationen über die Installation und Einrichtung von SophosUTM inIhremNetzwerk.Die Installation von SophosUTM erfolgt in zweiSchritten: Erstens, dieInstallation der Software; zweitens, die Konfiguration von grundlegendenSystemeinstellungen.Die Software-Installation wirdmithilfe einesKonsolen-gestütztenInstallationsmenüsdurchgeführt.Die interne Konfiguration kann von IhremArbeitsplatzrechnerausüber dieWeb-basierte Benutzeroberfläche von SophosUTM namensWebAdminerfolgen.Bevor Siemit der Installation beginnen, überprüfen Sie bitte, ob Ihre Hardware denMindestanforderungen entspricht.

Hinweis –Wenn Sie eine SophosUTMAppliance betreiben, können Sie die folgendenAbschnitte überspringen und direkt mit demAbschnittGrundkonfiguration fortfahren, da beiallen SophosUTM-Hardware-Appliancesmit UTMdie Software vorinstalliert ist.

DiesesKapitel enthält Informationen zu den folgenden Themen:

l Systemanforderungen

l Installationsanleitung

l Backup-Wiederherstellung

1.1 Empfohlene LektüreBevor Siemit der Installation beginnen, sollten Sie die folgenden Dokumente lesen, die Ihnenbei der Einrichtung von SophosUTM helfen. Beide Dokumente sind der SophosUTMHardware Appliance beigelegt und können alternativ von der SophosKnowledgebaseheruntergeladen werden:

l QuickStart Guide Hardware

l Operating Instructions

http://www.astaro.com/kb

1.2 Systemanforderungen 1 Installation

1.2 SystemanforderungenFür die Installation und den Betrieb der UTM gelten die folgenden Hardware-Mindestanforderungen:

l Prozessor: Pentium 4mit 1,5 GHz (oder vergleichbar)

l Speicher: 1GBRAM

l Festplatte: 20-GB-IDE- oder -SCSI-Festplatte

l CD-ROM-Laufwerk: Bootfähiges IDE- oder SCSI-CD-ROM-Laufwerk

l Netzwerkkarten (NICs): Zwei oder mehr PCI-Ethernet-Netzwerkkarten

l Netzwerkkarte (optional): Eine Heartbeat-fähige PCI-Ethernet-Netzwerkkarte.Ineinem hochverfügbaren System (HA) kommunizieren dasPrimärsystem und dasStandby-Systemmittels eines sogenannten Heartbeatsmiteinander – einesSignals, dasüber eine Netzwerkverbindung zwischen beiden Systemen zyklisch ausgetauscht wird.FallsSie ein hochverfügbaresSystem einsetzenmöchten, stellen Sie sicher, dassbeideGerätemit Heartbeat-fähigen Netzwerkkarten ausgestattet sind.

l USB (optional): Ein USB-Anschluss zur Kommunikationmit einemUSV-Gerät

l Switch (optional): Ein Gerät, dasdie Kommunikation in Computernetzwerken steuert.Stellen Sie sicher, dassder Switch sogenannte Jumbo Framesunterstützt.

Sophosführt eine Liste aller Hardware-Produkte, die im Zusammenhangmit der UTM-Software auf ihre Funktionalität hin getestet wurden.DieHardwarekompatibilitätsliste(Hardware Compatibility List; HCL) steht in der SophosKnowledgebase zur Verfügung.UmInstallations- und Betriebsfehler mit der UTM-Software zu vermeiden, sollten Sie nurHardware verwenden, die in der HCL aufgeführt ist. Die Hardware- und Software-Anforderungen an den Arbeitsplatzrechner für den Zugriff auf die webbasierteBenutzeroberflächeWebAdmin sind wie folgt:

l Prozessor: Taktfrequenz1GHzoder höher

l Browser: Firefox2 (empfohlen) oder Microsoft Internet Explorer 6 oder 7. JavaScriptmussaktiviert sein.Darüber hinausdarf im Browser kein Proxy für die IP-Adresse derinternen Netzwerkkarte (eth0) von UTM konfiguriert sein.

16 UTM 9Administratorhandbuch


Hinweis -UmProblemen beimHerunterladen von Dateienmit dem Internet Explorer 6vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100) denvertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese EinstellungenimMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beim Internet Explorer 7zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatischeEingabeaufforderung für Dateidownloads.

Bild 1 IE7 Sicherheitseinstellungen – Zone vertrauenswürdiger Sites

1.2.1 USV-UnterstützungGeräte zur unterbrechungsfreien Stromversorgung (USV) gewährleisten eine kontinuierlicheStromversorgung beiStörungen oder Schwankungen der Stromzufuhr, indem sie Strom auseiner unabhängigen Stromquelle liefern, wenn der Hausstrom ausfällt.SophosUTMunterstütztGeräte der Hersteller MGEUPSSystemsund APC.Die Kommunikation zwischen demUSV-Gerät und SophosUTM erfolgt über die USB-Schnittstelle.

UTM 9Administratorhandbuch 17

1 Installation 1.2 Systemanforderungen

1.3 Installationsanleitung 1 Installation

Sobald dasUSV-Gerät im Batteriebetrieb läuft, wird eine Nachricht an den Administratorgeschickt.Falls die Stromunterbrechung für einen längeren Zeitraum andauert und derBatteriestatusdesUSV-Geräts einen kritischenWert erreicht, wird eine weitere Nachrichtverschickt. SophosUTM fährt anschließend kontrolliert herunter und schaltet sich automatischab.

Hinweis – Informationen darüber, wie Sie SophosUTM an IhremUSV-Gerät anschließenkönnen, finden Sie in der Bedienungsanleitung desUSV-Geräts.Die UTM erkennt dasan derUSB-Schnittstelle angeschlossene USV-Gerät während desSystemstarts.Starten SieSophosUTM daher erst nach der Verbindungmit demUSV-Gerät.

1.2.2 RAID-UnterstützungEin RAID-System (Redundant Arrayof Independent Disks) ist ein Datenspeicherungsschemazwischenmehreren physikalischen Festplatten, die als ein einziges logischesLaufwerkorganisiert sind.Um sicherzustellen, dassdasRAID-System erkannt und korrekt auf demDashboard desWebAdmin angezeigt wird, benötigen Sie einen RAID-Controller, der vonSophosUTM unterstützt wird.Auf der HCL (Hardware Compatibility List) können Sienachsehen, welche RAID-Controller unterstützt werden.Die HCL befindet sich in derSophosKnowledgebase. Verwenden Sie „HCL“ alsSuchbegriff, um die entsprechende Seitezu finden.

1.3 InstallationsanleitungIm Folgenden wird die Installation der SophosUTM-Software beschrieben.

Bevor Siemit der Installation beginnen, halten Sie die folgenden Komponenten bereit:

l die SophosUTMCD-ROM

l die Lizenz fürSophosUTM

Das Installationsprogrammüberprüft zunächst die Hardware und installiert dann die Softwareauf IhremSystem.



1.3.1 Tastenfunktionen während der InstallationDie Navigation im Installationsmenü erfolgt über die folgenden Tasten (beachten Sie währendder Installation auch die zusätzlichen Tastenfunktionen, die unten im Bild angezeigt werden):

l F1: Zeigt den kontextsensitiven Hilfebildschirm an.

l Pfeiltasten: Navigation in den Textfeldern, z. B. in der Lizenzbestimmung und derAuswahl desTastatur-Layouts.

l Tabulatortaste:Wechseln zwischen den Textfeldern, Listen und Schaltflächen.

l Eingabetaste: Die Eingabe wird bestätigt und die Installation wirdmit dem nächstenSchritt fortgesetzt.

l Leertaste:Wählen Sie Optionen, die mit einemAsteriskmarkiert sind, ausoder ab.

l Alt-F2:Wechsel zur Installationskonsole.

l Alt-F4:Wechsel zumProtokoll.

l Alt-F1:Wechsel zur interaktiven Bash-Konsole.

l Alt-F1: Rückkehr zumHaupt-Installationsbildschirm.

1.3.2 Besondere Optionen während der InstallationEinige Installationsschritte bieten zusätzlicheOptionen an:

View Log: Anzeige des Installationsprotokolls.

Support: Anzeige desDialogfensters für Unterstützung.

To USB Stick: Speichern des Installationsprotokolls als zip-Datei auf einen USB-Stick.Denken Sie daran, einen USB-Stick einzustecken, bevor Sie dieseOption bestätigen.Die zip-Datei kann dazu verwendet werden, Installationsprobleme zu lösen, z. B. durch dasSupport-Team von SophosUTM.

Back: Rückkehr zum letzten Installationsschritt.

Cancel: Anzeige einesBestätigungsdialogfensters, um die Installation abzubrechen.

Help: Anzeige des kontextsensitiven Hilfebildschirms.


1 Installation 1.3 Installationsanleitung


1.3.3 Installation vonSophos UTM1. Booten Sie den PC von der CD-ROM.

Der Startbildschirm der Installation wird angezeigt.

Hinweis –Sie können jederzeit F1 drücken, um zumHilfebildschirm zu gelangen.Durch Drücken von F3 im Startbildschirmwird ein Bildschirm zur Fehlerbehebungangezeigt.

2. Drücken Sie die Eingabetaste.Der Schritt Introduction (Einleitung) wird angezeigt.

3. Wählen Sie Start Installation (Installation starten).Der SchrittHardware Detection (Hardware-Erkennung) wird angezeigt.

Die Software prüft die folgenden Hardware-Komponenten:

l Prozessor

l Größe und Fabrikat der Festplatte

l CD-ROM-Laufwerk

l Netzwerkkarten

l IDE- bzw. SCSI-Controller

Falls Ihr System dieMinimal-Voraussetzungen nicht erfüllt, wird die Installationmit einerentsprechenden Fehlermeldung abgebrochen.

Sobald die Hardware-Erkennung abgeschlossen ist, wird der SchrittDetectedHardware (Erkannte Hardware) zu Informationszwecken angezeigt.

4. Drücken Sie die Eingabetaste.Der SchrittSelect Keyboard (Tastatur-Layout wählen) wird angezeigt.

5. Wählen Sie Ihr Tastatur-Layout.Wählen Siemit den Pfeiltasten dasTastatur-Layout aus, z. B.German (DE), undbestätigen Sie diesmit der Eingabetaste.

Der SchrittSelect Timezone (Zeitzone wählen) wird angezeigt.


6. Wählen Sie Ihre Region.Wählen Siemit den Pfeiltasten Ihre Region aus, z. B.Europe (Europa), und bestätigenSie diesmit der Eingabetaste.

7. Wählen Sie Ihre Zeitzone.Wählen Siemit den Pfeiltasten Ihre Zeitzone aus, z. B.Berlin, und bestätigen Sie diesmitder Eingabetaste.

Der SchrittDate and Time (Datum und Zeit) wird angezeigt.

8. Stellen Sie Datum und Uhrzeit ein.FallsDatum und Zeit nicht korrekt sind, können Sie diese hier ändern. Sie könnenmit derTabulator-Taste und den Pfeiltasten zwischen den Textfeldern wechseln.Mit derLeertaste können Sie die OptionHost Clock isUTC (Systemuhr ist UTC) abwählen.Ungültige Eingaben werden nicht übernommen. Bestätigen Sie die Eingabenmit derEingabetaste.

Der SchrittSelect Admin Interface (Administrationsschnittstelle wählen) wird angezeigt.

9. Wählen Sie eine interne Netzwerkkarte.Damit Sie nach der Installation SophosUTM über die BenutzeroberflächeWebAdminweiter konfigurieren können, müssen Sie eine Netzwerkkarte als interneNetzwerkschnittstelle (eth0) definieren.Wählen Sie ausder verfügbaren Hardware eineNetzwerkkarte ausund bestätigen Sie die Auswahlmit der Eingabetaste.

Hinweis –Schnittstellen, die eine funktionierende Verbindung haben, sindmit demWort [Link] hervorgehoben.

Der SchrittNetworkConfiguration (Netzwerkkonfiguration) wird angezeigt.

10. Konfigurieren Sie die Netzwerkschnittstelle für die Administration.Definieren Sie für die interne Schnittstelle, über die dasSystem administriert werden soll,eine IP-Adresse, eine Netzmaske und ein Standardgateway. Die Standardwerte sind:

Adresse: 192.168.2.100

Netzmaske: 255.255.255.0

Gateway: k. A.

DenWert für dasStandardgatewaymüssen Sie nur ändern, wenn Sie dieWebAdmin-Schnittstelle von einemPC auserreichenmöchten, der außerhalb des


1 Installation 1.3 Installationsanleitung


Netzwerkbereichs liegt.Beachten Sie, dass sich dasGateway innerhalb desSubnetzesbefindenmuss.1

Bestätigen Sie die Eingabenmit der Eingabetaste.

Wenn Ihr Prozessor 64 Bit unterstützt, wird der Schritt 64 Bit KernelSupport (64-Bit-Kernel-Unterstützung) angezeigt.Andernfallswird die Installationmit demSchrittEnterprise Toolkit fortgesetzt.

11. Installieren Sie den 64-Bit-Kernel.Wählen SieYes, um den 64-Bit-Kernel zu installieren, oder No, um den 32-Bit-Kernel zuinstallieren.

Der SchrittEnterprise Toolkitwird angezeigt.

12. Akzeptieren Sie die Installation des Enterprise Toolkit.DasEnterprise Toolkit umfasst die SophosUTM-Software.Sie können beschließen, nurOpen-Source-Software zu installieren.Wir empfehlen jedoch auch die Installation vonEnterprise Toolkit, sodassSie die volle Funktionalität von SophosUTM.

Drücken Sie die Eingabetaste, um beide Softwarepakete zu installieren, oder wählen SieNo, um nur die Open-Source-Software zu installieren.

Der Schritt Installation: Partitioning (Installation: Partitionierung) wird angezeigt.

13. Bestätigen Sie den Warnhinweis, um die Installation zu starten.Bitte lesen Sie denWarnhinweis sorgfältig.Nach der Bestätigung werden allebestehenden Daten auf demPC gelöscht.

Wenn Sie die Installation abbrechen und dasSystem stattdessen neu startenmöchten,wählen SieNo.

Warnung –Alle Daten auf der Festplatte werden gelöscht.

Die Installation der Software kann nun einigeMinuten dauern.

1Bei der Netzmaske 255.255.255.0wird dasSubnetz durch die ersten dreiWerte definiert. InunseremBeispiel lautet der relevante Bereich 192.168.2.Wenn nun Ihr Administrations-PC z.B. die IP-Adresse 192.168.10.5hat, liegt er nicht im selben Subnetz. In diesem Fall benötigenSie ein Gateway.DasGatewaymussdann eine Schnittstelle im 192.168.2-Subnetz und eineVerbindung zumAdministrations-PC haben.Für unser Beispiel nehmenwir die Adresse192.168.2.1.


Der Schritt Installation Finished (Installation abgeschlossen) wird angezeigt.

14. Entnehmen Sie die CD-ROM, verbinden Sie das Systemmit dem internenNetzwerk und starten Sie das System neu.Sobald Sie dazu aufgefordert werden, entnehmen Sie die CD-ROMausdem Laufwerkund verbinden die Netzwerkkarte eth0mit Ihrem lokalen Netzwerk.Mit Ausnahme derinternen Netzwerkkarte (eth0) wird die Reihenfolge der Netzwerkkarten in erster Liniedurch die PCI-ID und die Kernel-Treiber bestimmt. Die Reihenfolge derNetzwerkkartenbenennung kann sich auch später durch Änderung derHardwarekonfiguration, z. B. durch dasHinzufügen oder Entfernen von Netzwerkkartenändern.

Drücken Sie im Installationsmenü dann die Eingabetaste, um die UTM neu zu starten.Während desNeustartswerden die IP-Adressen der internen Netzwerkkarten neugesetzt, daher kann auf der Installationsroutine-Konsole (Alt+F1) für kurze Zeit dieMeldung „No IP on eth0” stehen.

NachdemSophosUTM neu gestartet ist (je nach Hardware-Leistung kann dieseinigeMinutendauern), sollten Siemit demProgrammPing die IP-Adresse der internen Netzwerkkarte eth0erreichen. Falls keine Verbindung zustande kommt, prüfen Sie Ihr System auf dienachfolgendenmöglichen Fehlerquellen:

l Die IP-Adresse von SophosUTM ist nicht korrekt gesetzt.

l Die IP-Adresse desAdministrations-PCs ist nicht korrekt gesetzt.

l DasStandardgateway ist nicht korrekt gesetzt.

l DasNetzwerkkabel ist mit der falschen Netzwerkkarte verbunden.

l Alle Netzwerkkarten sind an einemHub angeschlossen.

1.4 GrundkonfigurationDer zweite Teil der Installation erfolgt imWebAdmin, der webbasierten Administrator-Benutzeroberfläche von SophosUTM. Bevor Sie die Grundkonfiguration durchführen , solltenSie eine Vorstellung davon haben, wie Sie SophosUTM in Ihr Netzwerk integrieren wollen.Siemüssen entscheiden, welche Funktionen esbereitstellen soll, z. B. ob es im Bridge-Modusoderim Standard-Modus (Routing) laufen soll, oder ob esden Datenpaketfluss zwischen seinenSchnittstellen überwachen soll.Sie können SophosUTM jedoch immer zu einem späteren


1 Installation 1.4 Grundkonfiguration

1.4 Grundkonfiguration 1 Installation

Zeitpunkt neu konfigurieren.Wenn Sie also noch nicht geplant haben, wie Sie SophosUTM inIhr Netzwerk integrieren wollen, können Sie direkt mit der Grundkonfiguration beginnen.

1. Starten Sie Ihren Browser und öffnen Sie den WebAdmin.Rufen Sie die URL von SophosUTM auf (d. h. die IP-Adresse von eth0).Um bei unsererBeispielkonfiguration zu bleiben, ist dies die URL https://192.168.2.100:4444(beachten Sie, dasHTTPS-Protokoll und die Portnummer 4444).

Beachten Sie, dassabweichend von der betrachteten Beispielkonfiguration alle SophosUTMmit den folgenden Standardeinstellungen ausgeliefert werden:

l Schnittstellen: Interne Netzwerkschnittstelle (eth0)

l IP-Adresse: 192.168.0.1

l Netzmaske: 255.255.255.0

l Standardgateway: k. A.

Um auf denWebAdmin einer beliebigen SophosUTM zuzugreifen, geben Siestattdessen folgende URL an:

https://192.168.0.1:4444

UmAuthentifizierung und verschlüsselte Kommunikation zu gewährleisten, wird SophosUTMmit einem selbstsignierten Sicherheitszertifikat ausgeliefert.DiesesZertifikat wirddemWebbrowser beim Aufbau der HTTPS-basierten Verbindung zumWebAdminangeboten.Da er die Gültigkeit desZertifikats nicht überprüfen kann, zeigt der Browsereine Sicherheitswarnung an.NachdemSie dasZertifikat akzeptiert haben, wird dieinitiale Anmeldeseite angezeigt.


Bild 2 WebAdmin: Initiale Anmeldeseite

2. Füllen Sie das Anmeldeformular aus.Geben Sie die genauen Informationen zu Ihrer Firma in die Textfelder ein.Legen Sie einKennwort fest und geben Sie eine gültige E-Mail-Adresse für dasAdministratorkontoein.Wenn Siemit den Lizenzbestimmungen einverstanden sind, klicken Sie auf dieSchaltflächeGrundlegende Systemkonfiguration durchführen, ummit demAnmeldevorgang fortzufahren.Während diesesVorgangeswerden einige digitaleZertifikate und CAs (Certificate Authorities, dt. Zertifizierungsinstanzen) erzeugt:

l WebAdmin-CA: Die CA,mit der dasWebAdmin-Zertifikat signiert wurde (sieheVerwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat).

l VPN-Signierungs-CA: Die CA,mit der digitale Zertifikate für VPN-Verbindungen signiert werden (sieheSite-to-Site-VPN >Zertifikatverwaltung >CA).

l WebAdmin-Zertifikat: Dasdigitale Zertifikat desWebAdmin (sieheSite-to-Site-VPN >Zertifikatverwaltung >Zertifikate).




l Lokales X.509-Zertifikat: Dasdigitale Zertifikat von SophosUTMwird für VPN-Verbindungen verwendet (sieheSite-to-Site VPN >Zertifikatverwaltung >Zertifikate).

Die Anmeldeseite wird angezeigt.(Bei einigen Browsern kann espassieren, dass Ihnenein weiterer Sicherheitshinweis angezeigt wird, weil sich dasZertifikat entsprechendIhren Eingaben geändert hat.)

Bild 3 WebAdmin: Reguläre Anmeldeseite

3. Melden Sie sich amWebAdmin an.Geben Sie in dasFeldBenutzername dasWort adminein und geben Sie dasKennwortein, dasSie in der vorherigen Ansicht festgelegt haben.

Ihnen wird nun ein Konfigurationsassistent angezeigt, der Sie durch den erstenKonfigurationsprozess leitet.Führen Sie die Schritte aus, um die Grundeinstellungen vonSophosUTM zu konfigurieren.

FallsSie über eine Backupdatei verfügen, können Sie stattdessen auch dasBackupwiederherstellen (lesen Sie dazu den AbschnittBackup-Wiederherstellung).

Alternativ können Sie auch bedenkenlosaufAbbrechen klicken (in jedem der SchrittedesAssistenten) und dadurch den Assistenten beenden, wenn Sie z. B. dieKonfiguration von SophosUTM imWebAdmin vornehmenmöchten.Sie können auchjederzeit auf Fertigstellen klicken. Dann werden alle bis dahin vorgenommenenEinstellungen gespeichert und der Assistent beendet.

4. Installieren Sie Ihre Lizenz.Klicken Sie auf dasOrdnersymbol, um Ihre erworbene Lizenz (eine Textdatei)hochzuladen.Klicken Sie aufWeiter, um die Lizenz zu installieren.FallsSie keine Lizenzerworben haben, klicken Sie aufWeiter, um die 30-Tage-Evaluationslizenz zuverwenden, bei der alle Produktmerkmale aktiviert sind und diemit SophosUTMausgeliefert werden.


5. Konfigurieren Sie die interne Netzwerkkarte.Überprüfen Sie die angezeigten Einstellungen für die interne Netzwerkschnittstelle(eth0). Die vorliegenden Einstellungen resultieren ausden Informationen, die Siewährend der Installation der Software eingegeben haben.Zusätzlich können Sie SophosUTM alsDHCP-Server konfigurieren, indemSie dasentsprechende Auswahlkästchenmarkieren.

Hinweis -Wenn Sie die IP-Adresse der internen Netzwerkschnittstelle ändern,müssen Sie sichmit der neuen IP-Adresse erneut amWebAdmin anmelden, wenn Sieden Assistenten beendet haben.

6. Wählen Sie den Uplink-Typ für die externe Netzwerkkarte.Wählen Sie die Art der Verbindung Ihrer Uplink-/Internetverbindung, die die externeNetzwerkkarte verwenden wird. Die Art der Schnittstelle und ihre Konfiguration hängendavon ab, welche Art der Internetverbindung Sie verwenden werden.Klicken Sie aufWeiter.

FallsSophosUTM über keinen Uplink verfügt oder Sie diesen jetzt noch nichtkonfigurierenmöchten, lassen Sie dasFeld Internet-Uplink-Typ leer.Wenn Sie einenInternet-Uplink konfigurieren, wird IP-Maskierung automatisch für alle Verbindungenausdem internen Netzwerk ins Internet konfiguriert.

Wenn SieStandard-Ethernetschnittstelle mit statischer IP-Adresse auswählen, ist einStandardgatewaynur optional anzugeben.Wenn Sie dasTextfeld leer lassen, bleibt Ihre-Standardgateway-Einstellung ausder Installationsroutine erhalten.Sie können jedender folgenden Schritte überspringen, indemSie aufWeiter klicken. Diese übergangenenEinstellungen können Sie dann später imWebAdmin vornehmen oder ändern.

7. Legen Sie die grundlegenden Firewall-Einstellungen fest.Hier können Sie auswählen, welche Arten von Diensten Sie für das Internet zulassenwollen.Klicken Sie aufWeiter, um Ihre Einstellungen zu bestätigen.

8. Legen Sie die grundlegenden Angriffschutzeinstellungen fest.Hier können Sie Einstellungen festlegen, die den Angriffschutz verschiedenerBetriebssysteme und Datenbanken betreffen.Klicken Sie aufWeiter, um IhreEinstellungen zu bestätigen.

9. Nehmen Sie Ihre Einstellungen für Application Control und dieNetzwerksichtbarkeit vor.




Sie können nun die Netzwerksichtbarkeit aktivieren.Klicken Sie aufWeiter, um IhreEinstellungen zu bestätigen.

10. Legen Sie die Web-Protection-Einstellungen fest.Hier können Sie festlegen, ob Internetverkehr nach Viren und Spionagesoftware(Spyware) gescannt werden soll.Darüber hinaus können SieWebsites bestimmterKategorien blockieren lassen.Klicken Sie aufWeiter, um Ihre Einstellungen zubestätigen.

11. Legen Sie die Email-Protection-Einstellungen fest.Hier können Sie daserste Auswahlkästchenmarkieren, um den POP3-Proxy zuaktivieren.Wenn Sie das zweite Auswahlkästchenmarkieren, fungiert die UTM alsSMTP-Relay für eingehendeMails: Geben Sie die IP-Adresse Ihres internenMailserversan und fügen Sie SMTP-Domänen hinzu, die geroutet werden sollen.Klicken Sie aufWeiter, um Ihre Einstellungen zu bestätigen.

12. Bestätigen Sie Ihre Einstellungen.Eswird Ihnen eine Aufstellung der vorgenommenen Einstellungen angezeigt.Klicken Sieauf Fertigstellen, um sie zu bestätigen oder auf Zurück, um sie zu ändern. Sie können dieEinstellungen jedoch auch später imWebAdmin ändern.

NachdemSie auf Fertigstellen geklickt haben, wird dasDashboard desWebAdminangezeigt, dasSie auf einen Blick über den aktuellen Systemstatus von SophosUTMinformiert.


Bild 4 WebAdmin: Dashboard

FallsSie bei einzelnen Schritten desAssistenten auf Probleme stoßen, wenden Sie sichbitte an die Support-Abteilung IhresSophosUTM-Anbieters.WeitergehendeInformationen finden Sie auf den folgendenWebsites:

l SophosNSGSupport-Forum

l SophosKnowledgebase



http://www.astaro.org/




1.5 Backup-Wiederherstellung 1 Installation

1.5 Backup-WiederherstellungDer Konfigurationsassistent desWebAdmin (siehe AbschnittGrundkonfiguration) ermöglichtes Ihnen, eine vorhandene Backupdateiwiederherzustellen, anstatt die Grundkonfigurationdurchzuführen. Gehen Sie folgendermaßen vor:

1. Wählen Sie im Konfigurationsassistenten Vorhandene Backup-Dateiwiederherstellen.Wählen Sie im KonfigurationsassistentenVorhandene Backup-Dateiwiederherstellenund klicken Sie aufWeiter.

Sie werden zu der Seite weitergeleitet, wo Sie die Datei hochladen können.

2. Laden Sie das Backup hoch.Klicken Sie auf dasOrdnersymbol, wählen Sie die Backupdatei aus, die Siewiederherstellenmöchten, und klicken Sie aufHochladen starten.

3. Stellen Sie das Backup wieder her.Klicken Sie auf Fertigstellen, um dasBackup wiederherzustellen.

Wichtiger Hinweis –Danach ist es nicht mehr möglich, den Konfigurationsassistentenerneut aufzurufen.

Sobald dasBackup erfolgreich wiederhergestellt wurde, werden Sie auf die Anmeldeseiteweitergeleitet.


2 WebAdminWebAdmin ist dieWeb-basierte grafische Benutzeroberfläche zur vollständigen Administrationvon SophosUTM.WebAdmin besteht auseinemMenü undmehreren Seiten, von denenmanche wiederummehrere Registerkarten (engl. tabs) besitzen.DasMenü auf der linkenSeite orientiert sich in logischer Reihenfolge an den Produktmerkmalen von SophosUTM.Sobald Sie auf einenMenüpunkt wie z. B.Netzwerk klicken, öffnet sich ein Untermenüund die entsprechende Seite wird angezeigt. Beachten Sie, dass für einigeMenüpunkte keineeigene Seite vorhanden ist. In diesem Fallwird weiterhin die zuvor ausgewählte Seiteangezeigt. Erst wenn Sie ein Untermenü anklicken, öffnet sich die dazugehörige Seite, undzwar mit der ersten Registerkarte.

Die Anleitungen in diesemAdministrationshandbuch leiten Sie zu einer Seite durch die AngabedesMenüs, Untermenüsund der Registerkarte, z. B.: „Auf der RegisterkarteSchnittstellen &Routing >Schnittstellen >Hardwarewerden ...“

2.1WebAdmin-Menü 2 WebAdmin

Bild 5 WebAdmin: Übersicht

2.1 WebAdmin-MenüDasWebAdmin-Menü gibt Ihnen Zugriff auf alle Konfigurationsoptionen von SophosUTM. DieVerwendung einer Kommandozeile zur Konfiguration ist daher nicht erforderlich.

l Dashboard:DasDashboard zeigt eine grafischeMomentaufnahme desBetriebsstatusvon SophosUTM.

l Verwaltung: In diesemMenüwerden grundlegende Einstellungen für dasGesamtsystem und denWebAdmin vorgenommen, sowie Konfigurationseinstellungenfür die SophosUTM.

l Definitionen & Benutzer: NebenNetzwerk-, Dienst- und Zeitereignisdefinitionensowie Konten für Benutzer und Benutzergruppen werden in diesemMenü externeAuthentifizierungsserver für SophosUTM konfiguriert.


l Schnittstellen & Routing: DiesesMenü enthält u. a. die Konfiguration vonNetzwerkschnittstellen und Routing-Optionen.

l Netzwerkdienste: DiesesMenü enthält u. a. die Konfiguration von Netzwerkdienstenwie DNSundDHCP.

l Network Protection: Konfiguration von grundlegenden Network-Protection-Funktionen wie Firewall-Regeln, Voice over IP oder Einstellungen für dasAngriffschutzsystem.

l Web Protection: Konfiguration desWebfilters und von Application Control von SophosUTM sowie desFTP-Proxys.

l Email Protection: Konfiguration der SMTP- und POP3-Proxies von SophosUTMsowie der E-Mail-Verschlüsselung.

l Wireless Protection: Konfiguration Ihrer Drahtlosnetzwerke für dasGateway.

l Webserver Protection: ZumSchutz Ihrer Webserver vor Angriffen wie Cross-Site-Scripting und SQL-Injection.

l RED-Verwaltung: Konfiguration Ihrer Remote-Ethernet-Device-(RED-)Appliances.

l Site-to-Site-VPN: Konfiguration von Site-to-Site-Virtual-Private-Networks.

l Fernzugriff: Konfiguration von VPN-Fernzugriffsverbindungenmit SophosUTM.

l Protokollierung & Berichte: Anzeige von Protokollen und Statistiken zur Nutzung vonSophosUTM und Konfiguration von Protokoll- und Berichteinstellungen.

l Support: Hier finden Sie verschiedeneWerkzeuge von SophosUTM.

l Log Off: Abmelden vomWebAdmin.

Suche im MenüÜber demMenü befindet sich ein Suchfeld. Damit können Sie dasMenü nach Stichwörterndurchsuchen, um so leichter Menüeinträge zu finden, die ein bestimmtesThema betreffen. DieSuchfunktion berücksichtigt neben den Namen vonMenüeinträgen auch hinterlegte, indizierteAliasse und Schlüsselwörter.

Sobald Sie anfangen im Suchfeld zu tippen, wird dasMenü automatisch auf relevanteMenüeinträge reduziert. Sie können dasSuchfeld jederzeit verlassen und auf denMenüeintragklicken, der demGesuchten entspricht. Das reduzierte Menü bleibt erhalten und zeigt dieSuchergebnisse solange an, bisSie esüber die Schaltfläche direkt daneben zurücksetzen.


2 WebAdmin 2.1WebAdmin-Menü

2.2 Symbolleiste 2 WebAdmin

Tipp –Sie können den Fokusauf dasSuchfeld setzen, indemSie auf der Tastatur STRG+Ydrücken.

2.2 SymbolleisteDie Symbole in der oberen rechten Ecke desWebAdmin bieten Zugriff auf die folgendenFunktionen:

l Benutzername/IP: Zeigt den aktuell angemeldeten Benutzer und die IP-Adresse an,von der ausauf denWebAdmin zugegriffen wird.Wenn derzeit noch weitere Benutzerangemeldet sind, werden ihre Daten ebenfalls angezeigt.

l Live-Protokoll öffnen:Wenn Sie diese Schaltfläche anklicken, wird dasLive-Protokoll,dasdem aktivenWebAdmin-Menü oder der aktiven Registerkarte zugeordnet ist,geöffnet. Um ein anderesLive-Protokoll aufzurufen, ohne in ein anderesMenü oder aufeine andere Registerkarte zu wechseln, fahren Siemit demMauszeiger über dieSchaltfläche Live-Protokoll. Nach ein paar Sekunden wird eine Liste der verfügbarenLive-Protokolle geöffnet, ausder Sie dasLive-Protokoll, dasangezeigt werden soll,auswählen können.Ihre Auswahlwird so lange beibehalten, wie Sie sich im gleichenMenü bzw. auf der gleichen Registerkarte desWebAdmin befinden.

Tipp –Sie können Live-Protokolle auch über die Schaltflächen Live-Protokoll öffnenöffnen, die Sie auf vielenWebAdmin-Seiten finden.

l Onlinehilfe: JedesMenü, Untermenü und jede Registerkarte verfügt über einekontextsensitive Onlinehilfe, die Informationen und Anleitungen zu der jeweils geöffnetenSeite vonWebAdmin enthält.

Hinweis –DieOnlinehilfe ist versionsbasiert und wirdmithilfe von Patternsaktualisiert.Wenn Sie eine Aktualisierung auf eine neue Firmware-Version durchführen, wird auchIhre Onlinehilfe gegebenenfalls aktualisiert.

l Aktualisieren: Klicken Sie auf die SchaltflächeAktualisieren, um eineWebAdmin-Seitezu aktualisieren.

Hinweis –Verwenden Sie nie die Aktualisierungsfunktion desBrowsers, da Sie indiesem Fall vomWebAdmin abgemeldet werden.


2.3 ListenViele Seiten imWebAdmin bestehen ausListen.Mit den Schaltflächen links von jedemListeneintrag können Sie einen Listeneintrag bearbeiten, löschen oder klonen (weitereInformationen finden Sie im AbschnittSchaltflächen und Symbole).ZumErstellen einesneuenListeneintrags klicken Sie auf die SchaltflächeNeue… (wobei „…“ alsPlatzhalter für das zuerstellende Listenobjekt steht, z. B. Schnittstelle). Diesöffnet ein Dialogfenster, in welchemSiedie Eigenschaften desObjektes festlegen können.

Bild 6 WebAdmin: Beispiel einer Liste

In jeder Liste können Sie die einzelnen Einträge nach ihrem Typ sortieren. Mit der Filterfunktionkönnen Sie darüber hinausgezielt nach Einträgen suchen.Geben Sie dazu einen Suchbegriffein und klicken Sie auf Finden.

Listenmit mehr als zehn Einträgen sind auf mehrere Seiten aufgeteilt. Mit den SchaltflächenNächste (>) und Vorherige (<) können Sie zwischen den Seiten hin- und herschalten.Siekönnen diese Einstellung jedoch auf der RegisterkarteBenutzereinstellungen ändern.

Mit Listenüberschriften können einige Funktionen ausgeführt werden.Wenn Sie eineListenüberschrift anklicken, wird die Liste normalerweise nach dem entsprechendenObjektfeldsortiert. Wenn Sie beispielsweise auf dasFeldName klicken, wird die Liste nach den Namender Objekte sortiert.DasFeldAktionen in der Überschrift bietet mehrere Batch-Optionen, dieSie für zuvor ausgewählte Listenobjekte durchführen können. UmObjekte auszuwählen,markieren Sie die zugehörigen Auswahlkästchen. Beachten Sie, dassdie Auswahlseitenübergreifend gültig bleibt, d. h., wenn Sie durch die Seiten einer Liste blättern, bleibenbereits ausgewählte Objekte ausgewählt.

Tipp –Durch einen Klick auf das Infosymbol einesListeneintrags können Sie sehen, inwelchen Konfigurationen dasObjekt noch verwendet wird.


2 WebAdmin 2.3 Listen

2.4 Suche in Listen 2 WebAdmin

2.4 Suche in ListenÜber dasFilterfeld lässt sich die Anzahl der in einer Liste angezeigten Einträge schnellreduzieren. Dadurch wird eswesentlich einfacher, die Objekte zu finden, die Sie suchen.

Wissenswertesl Während einer Suche werden normalerweisemehrere Felder nach demSuchausdruck

durchsucht.Eine Suche in Benutzer & Gruppenberücksichtigt beispielsweiseBenutzernamen, Realnamen, Kommentare und die erste E-Mail-Adresse. Allgemeingesagt berücksichtigt die Suche alle Texte, die Sie in der Liste sehen können,ausgenommen jene Details, die nach einemKlick auf das Infosymbol angezeigt werden.

l Die Listensuche ignoriert Groß-/Kleinschreibung. Dasbedeutet, dasses keinenUnterschiedmacht, ob Sie Groß- oder Kleinbuchstaben eingeben. DasSuchergebniswird Übereinstimmungen sowohlmit Groß- als auchmit Kleinbuchstaben anzeigen. Siekönnen nicht explizit nachGroß- oder Kleinbuchstaben suchen.

l Die Listensuche basiert auf Perl-kompatiblen regulären Ausdrücken (abgesehen vonder Groß-/Kleinschreibung). Typische, ausTexteditoren bekannte Suchausdrücke wie *und ? (als einfache Platzhalter) sowie die Operanden AND undOR funktionieren nicht inder Listensuche.

BeispieleDie folgende Liste stellt eine kleine Auswahl nützlicher Suchausdrücke dar:

Einfacher Ausdruck: Liefert alleWörter zurück, die den angegebenen Ausdruckenthalten.Beispielsweise liefert „inter“ die Ergebnisse „Internet“, „interface“ und „printer“ zurück.

Wortanfang: Stellen Sie demSuchausdruckdie Zeichenfolge \bvoran.Beispielsweise liefert\binterdie Ergebnisse „Internet“ und „Interface“, nicht jedoch „Printer“ zurück.

Wortende: Hängen Sie hinten an den Suchausdruckdie Zeichenfolge \ban.Beispielsweiseliefert http\bdasErgebnis „http“, nicht jedoch „https“ zurück.

Beginn eines Eintrags: Stellen Sie demSuchausdruckdasZeichen ^voran.Beispielsweiseliefert ^interdasErgebnis „Internet Uplink“, nicht jedoch „Uplink Interfaces“ zurück.


IP-Adressen:Wenn Sie nach IP-Adressen suchen, müssen Sie die Trennpunktemit einemBackslash (umgekehrter Schrägstrich) maskieren.Um nach „192.168“ zu suchen, müssen Siebeispielsweise 192\.168eingeben.Für eine allgemeinere Suche nach IP-Adressen verwenden Sie \dalsPlatzhalter für eineunbestimmte Ziffer.\d+ liefert mehrere Zahlen zurück, die in einer Reihe stehen.So lässt sichzumBeispiel\d+\.\d+\.\d+\.\d+ für jede beliebige IPv4-Adresse verwenden.

Hinweis –Es ist sinnvoller, einen einfacheren, sicheren Suchausdruck zu verwenden, der zumehr Ergebnissen führt, als sich den Kopf über den perfekten Suchausdruck zu zerbrechen,welcher dann eher zu unerwarteten Ergebnissen oder falschen Schlussfolgerungen führt.

Eine ausführlichere Beschreibung regulärer Ausrücke und deren Verwendung in SophosUTMfinden Sie in der SophosKnowledgebase.

2.5 DialogfensterDialogfenster sind spezielle Eingabemasken inWebAdmin, bei denen Sie aufgefordert sind,bestimmte Informationen einzugeben. DasBeispiel zeigt ein Dialogfenster für dasAnlegeneiner statischen Route imMenüSchnittstellen &Routing >StatischesRouting.

Bild 7 WebAdmin: Beispiel eines Dialogfensters

JedesDialogfenster kann aus verschiedenen Kontrollelementen (engl. widgets) wie zumBeispiel Textfeldern oder Auswahlkästchen (engl. checkboxes) bestehen. Viele Dialogfensterbieten darüber hinauseine Drag&Drop-Funktionalität, wasdurch einen speziellen Hintergrundmit demSchriftzugDND gekennzeichnet ist. Immer dann, wenn Sie ein solchesFeld vorfinden,können Sie ein Objekt durch Ziehen und Fallenlassenmit der Maus (drag and drop) in diesesFeld ziehen. Um die Objektleiste zu öffnen, von der ausSie dasObjekt in dasFeld ziehenkönnen, klicken Sie auf dasgelbeOrdnersymbol oben rechts amEingabefeld. Abhängig von


2 WebAdmin 2.5 Dialogfenster


2.6 Schaltflächen und Symbole 2 WebAdmin

der jeweiligen Konfigurationsoption öffnet sich die Leistemit den verfügbaren Netzwerk-,Dienst- oder Zeitereignisdefinitionen. Ein Klick auf dasgrüne Plussymbol öffnet ein zweitesDialogfenster, in welchemSie eine neue Definition anlegen können. Einige Kontrollelemente,die für eine bestimmte Konfiguration nicht benötigt werden, sind ausgegraut. In manchenFällen können diese durchauseditiert werden, haben dann allerdings keinen Effekt.

Hinweis – ImWebAdmin gibt es u.a. die SchaltflächenSpeichern undÜbernehmen. DieSchaltflächeSpeichernwird immer dann angezeigt, wenn Sie ein Objekt imWebAdmin neuanlegen, zumBeispiel, wenn Sie eine neue statische Route anlegen oder eine Netzwerk-Definition bearbeiten. Sie wird immer zusammenmit einer SchaltflächeAbbrechenangezeigt. Die SchaltflächeÜbernehmen hingegen dient dazu, Ihre Einstellungen in dasBackend zu übertragen und dadurch sofort wirksamwerden zu lassen.

2.6 Schaltflächen und SymboleDer WebAdmin verfügt über einige Schaltflächen und Symbolemit hinterlegter Funktion, derenNutzung hier beschrieben wird.

Schaltflächen Bedeutung

Zeigt ein Dialogfenster mit detaillierten Informationen zumObjektan.

Öffnet ein Dialogfenster, in dem die Eigenschaften desObjektsbearbeitet werden können.

Löscht dasObjekt. Eswird eineWarnung ausgegeben, wenn einObjekt noch irgendwo anders benutzt wird. Nicht alle Objektekönnen gelöscht werden, wenn sie in Benutzung sind.

Öffnet ein Dialogfenster, um ein Objekt mit identischenEinstellungen/Eigenschaften anzulegen. Klonen dient dazu,ähnlicheObjekte anzulegen ohne alle identischen Einstellungenerneut eingeben zumüssen.

SymbolemitFunktion

Bedeutung

Info: Zeigt alle Konfigurationen an, in denen dasObjekt verwendet wird.


SymbolemitFunktion

Bedeutung

Details: Verlinkt auf eine andereWebAdmin-Seite mit weiteren Informationenzu diesem Thema.

Status: Aktiviert oder deaktiviert eine Funktion. Sie zeigt Grün, wenn dieFunktion aktiv ist, Rot, wenn die Funktion deaktiviert ist, undGelb, wenn eineKonfigurierung nötig ist, bevor die Funktion aktiviert werden kann.

Ordner: DiesesSymbol hat zwei Funktionen: (1) Öffnet eine Objektleiste(siehe Abschnitt unten) auf der linken Seite, ausder Sie passendeObjekteauswählen können. (2) Öffnet ein Dialogfenster, um eine Datei hochzuladen.

Plus:Öffnet ein Dialogfenster, um ein neuesObjekt deserforderlichen Typshinzuzufügen.

Aktionen:Öffnet eine Auswahlliste mit Aktionen.Die Aktionen hängen davonab, wo sich dasSymbol befindet: (1) Symbol in Listenüberschrift: Die Aktionen,z. B.Aktivieren,Deaktivieren oder Löschen gelten für die ausgewähltenListenobjekte.(2) Symbol in Textfeld: Mit den Aktionen Import undExportkönnen Sie Text importieren oder exportieren undmit Leeren den gesamtenInhalt löschen. Außerdem existiert ein Filterfeld, mit demSie eine Liste auf dierelevanten Elemente reduzieren können. Beachten Sie, dassder FilterzwischenGroß- und Kleinschreibung unterscheidet.

Leeren: Entfernt ein Objekt ausder aktuellen Konfiguration, wenn es sich vordemObjekt befindet.Entfernt alle Objekte auseinem Feld, wenn es sich imMenüAktionen befindet.Objekte werden jedoch niemals gelöscht.

Import:Öffnet ein Dialogfenster, um Text mit mehr als einemEintrag bzw.mehr als einer Zeile zu importieren. Diese Funktion erleichtert dasHinzufügenvonmehreren Einträgen auf einmal ohne diese einzeln eingeben zumüssen, z.B. einer langen Negativliste (Blacklist) zur URL-Negativliste.Kopieren Sie denText dazu auseiner beliebigen Ausgangsdatei und fügen Sie ihnmittelsStrg+Vein.


2 WebAdmin 2.6 Schaltflächen und Symbole

2.7 Objektleisten 2 WebAdmin

SymbolemitFunktion

Bedeutung

Export:Öffnet ein Dialogfenster, um alle vorhandenen Einträge zuexportieren. Sie können alsTrennzeichen entweder Zeilenumbruch,Doppelpunkt oder Kommawählen, umEinträge voneinander zu trennen.UmEinträge alsText zu exportieren, markieren Sie den ganzen Text im FeldExportierter Text und drücken Sie Strg+C, um ihn zu kopieren.Sie können ihndannmittelsStrg+V in allen üblichen Anwendungen, z. B. einem Texteditor,einfügen.

Sortieren:Mithilfe dieser beiden Pfeile können Sie Listenelemente sortieren,indemSie ein Element in der Liste nach oben oder unten verschieben.

Vorwärts/Rückwärts: Mithilfe dieser beiden Pfeile können Sie je nach IhrerPosition durch die Seiten einer langen Liste navigieren oder entlang einesÄnderungs- und Einstellungsverlaufs vor- und zurücknavigieren.

PDF: Speichert die aktuelle Ansicht der Daten in einer PDF-Datei und öffnetanschließend ein Dialogfenster, um die erzeugte Datei herunterzuladen.

CSV: Speichert die aktuelle Ansicht der Daten in einer CSV-Datei (durchKomma getrennteWerte) und öffnet anschließend ein Dialogfenster, um dieerzeugte Datei herunterzuladen.

2.7 ObjektleistenEineObjektleiste ist eine Liste vonObjekten die gelegentlich auf der linken Seite desWebAdmineingeblendet wird und dabei vorübergehend dasHauptmenü verdeckt.


Bild 8 WebAdmin: Ziehen eines Objekts aus der Objektleiste Networks

EineObjektleiste wird automatisch geöffnet, wenn Sie auf dasOrdnersymbol klicken (sieheAbschnitt oben). Sie kann auchmanuell über ein Tastaturkürzel geöffnet werden (sieheVerwaltung >WebAdmin-Einstellungen >Benutzereinstellungen).Die Objektleiste ermöglicht einen schnellen Zugriff aufWebAdmin-Objekte wieBenutzer/Gruppen, Schnittstellen, Netzwerke und Dienste, um sie für Konfigurationszweckeauswählen zu können. Objekte werden ausgewählt, indem sie einfach zur aktuellenKonfiguration gezogen und dort über dem entsprechenden Feld fallen gelassen werden (Dragand Drop).Esgibt fünf verschiedene Arten vonObjektleisten, entsprechend denObjekttypen, die esgibt.Bei einemKlick auf dasOrdnersymbolwird immer die Objektleiste geöffnet, deren Typ von deraktuellen Konfiguration benötigt wird.


2 WebAdmin 2.7 Objektleisten

3 DashboardDasDashboard zeigt eine grafischeMomentaufnahme desBetriebsstatus von SophosUTM.

DasDashboard erscheint standardmäßig nach der Anmeldung amWebAdmin und stellt diefolgenden Informationen zur Verfügung:

Tipp –Wenn Sie auf dasSymbolDashboard-Einstellungen oben rechts klicken, wird einDialogfenster geöffnet, in demSie unter anderem auswählen können, welcheThemenabschnitte angezeigt werden sollen.

l Allgemeine Informationen: Hostname,Modell, Lizenz-ID und die Zeitspanne, für diedasGerät in Betrieb ist.

l Versionsinformationen: Informationen zu den aktuell installierten Firmware- undPatternversionen sowie verfügbaren Updates.

l Ressourcennutzung: Aktuelle Systemauslastung, insbesondere der folgendenKomponenten:l Die CPU-Auslastung in Prozent

l Die RAM-Auslastung in Prozent

l Der von der Swap-Partition benutzte Festplattenplatz in Prozent

l Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz inProzent

l Der von der Daten-Partition belegte Festplattenplatz in Prozent

l Der StatusdesUSV-Gerätes (unterbrechungsfreie Stromversorgung) (fallsvorhanden)

l Heutiger Bedrohungsstatus: Ein Zähler für die wichtigsten registriertenBedrohungen seit Mitternacht:l Die Summe der Datenpakete, die vomPaketfilter verworfen (engl. drop) oder

abgelehnt (engl. reject) wurden und für die Protokollierung aktiviert ist

l Die Summe der blockierten Angriffe und Eindringungsversuche (engl. intrusion) indasNetzwerk

l Die Summe der blockierten Viren (alle Proxies)

l Die Summe der blockierten Spam-Nachrichten (SMTP/POP3)

3 Dashboard

l Die Summe der blockierten Spyware-Kommunikation (alle Proxies)

l Die Summe der blockierten URLs (HTTP/S)

l Die Summe der blockiertenWebserver-Angriffe (WAF)

l Schnittstellen: Name und Status von konfigurierten Netzwerkkarten.Darüber hinauswird für jede Schnittstelle die durchschnittliche Datenübertragungsrate der letzten 75Sekunden für ein- und ausgehenden Datenverkehr angezeigt. DieWerte resultieren ausDurchschnittswerten, die in Intervallen von 15 Sekunden gewonnen werden.Ein Klick aufdie Verbindungssymbole einer Schnittstelle öffnet den Flow-Monitor in einem neuenFenster. Der Flow-Monitor zeigt den Datenverkehr der letzten zehnMinuten an undaktualisiert sich selbst in kurzen Abständen.Weitere Informationen zum Flow-Monitorfinden Sie im KapitelFlow-Monitor.

l Aktuelle Systemkonfiguration: Anzeige der wichtigsten Sicherheitsfunktionen undderen Aktivitätsstatus:l Firewall: Informationen zu allen aktiven Firewallregeln.

l Angriffschutz:DasAngriffschutzsystem (IPS, engl. Intrusion Prevention)erkennt Angriffsversuche anhand eines signaturbasierten IPS-Regelwerks.

l Webfilter: Ein Gatewayauf Anwendungsebene für dasHTTP/S-Protokoll, daseine große Auswahl an Filtermechanismen für die Netzwerke bietet, die seineDienste verwenden dürfen.

l Netzwerksichtbarkeit: Die Layer-7-Application-Control von Sopho ermöglichtdie Kategorisierung und Kontrolle von Netzwerkverkehr.

l FTP-Proxy: Ein Gatewayauf Anwendungsebene für Dateitransfers über dasFileTransfer Protocol (FTP).

l SMTP-Proxy: Ein Gatewayauf Anwendungsebene für Nachrichten, die über dasSimpleMail Transfer Protocol (SMTP) gesendet werden.

l POP3-Proxy: Ein Gatewayauf Anwendungsebene für Nachrichten, die über dasPost Office Protocol 3 (POP3) gesendet werden.

l Web Application Firewall: Ein Gatewayauf Anwendungsebene zumSchutzIhrer Webserver vor Angriffen wie Cross-Site-Scripting und SQL-Injections.

l Antivirus: Schutz IhresNetzwerks vor Internetverkehr, der schädlichen Inhaltwie Viren,Würmer und andereMalware verbreitet.

l Antispam: Erkennung von unerwünschten E-Mails und Spam-Übermittlung vonbekannten oder verdächtigen Spam-Versendern.


l Antispyware: Schutz vor Spyware-Infektionen durch zwei voneinanderunabhängig operierende Virenscanner, deren Virensignaturen- und Spyware-Filtermechanismen regelmäßig aktualisiert werden und eingehenden sowieausgehenden Datenverkehr schützen.

l E-Mail-Verschlüsselung: Verschlüsselung, Entschlüsselung und digitaleSignaturen von E-Mailsmit Hilfe desS/MIME- undOpenPGP-Standards.

l Site2Site-VPN: Konfiguration von Site-to-Site-VPN-Verbindungen.

l Fernzugriff: Konfiguration von VPN-Szenarien für RoadWarriors.

l HA/Cluster: Ausfallsicherheit und Cluster-Technologie, d. h. die gleichmäßigeVerteilung von rechenintensiven Aufgaben wie z. B. dem Filtern von Inhalten,Virenscans, Angriffschutz oder Entschlüsselung auf mehrere Computer.

l Wireless Protection: Konfiguration vonWLAN-Netzwerken und AccessPoints.

3.1 Dashboard-EinstellungenSie können diverse Dashboard-Einstellungen vornehmen.Klicken Sie oben rechts imDashboard auf dasSymbolDashboard-Einstellungen, um dasDialogfenster Dashboard-Einstellungen bearbeiten zu öffnen.

Dashboard aktualisieren: Standardmäßig wird dasDashboard alle fünf Sekundenaktualisiert.DasZeitintervall für die Aktualisierung kann vonNie bis zu JedeMinute eingestelltwerden.

Linke Spalte – Rechte Spalte: DasDashboard ist in verschiedene Themenabschnitteuntergliedert, in denen Sie Informationen zum jeweiligen Thema finden.Mit den beiden FeldernLinke Spalte undRechte Spalte können Sie die Themenabschnitte neu anordnen,Themenabschnitte hinzufügen oder ausdemAnzeigebereich entfernen. Diese Einstellungenwerden auf dasDashboard angewendet. Verwenden Sie die grünen Symbole, um dieThemenabschnitte einer Spalte zu sortieren. Um einen bestimmten Themenabschnitt zumAnzeigebereich hinzuzufügen oder daraus zu entfernen, aktivieren bzw. deaktivieren Sie daszugehörige Auswahlkästchen.

Die standardmäßig angezeigten Themenabschnitte werden im KapitelDashboardbeschrieben. Esgibt einige weitere Themenabschnitte, die angezeigt werden können. Sie sindim Folgenden beschrieben:


3 Dashboard 3.1 Dashboard-Einstellungen

3.2 Flow-Monitor 3 Dashboard

l Web Protection: Top-Apps: Überblick über die am häufigsten verwendetenAnwendungen.

l Web Protection: Top-Sites nach Tageszeit: Überblick über die am häufigstenbesuchten Domänen im Zeitverlauf.

l Web Protection: Top-Sites nach Datenverkehr: Überblick über die am häufigstenbesuchten Domänen nach Datenverkehr.

l Protokollierung: Statusder Protokollpartition von SophosUTM, einschließlichInformationen zum freien Festplattenspeicherplatz und zur Zuwachsrate.

l Newsfeed: Neuigkeiten zu Sophosund seinen Produkten.

l Diagramm: Gleichzeitige Verbindungen: Tägliche Statistiken und Histogramm derGesamtzahl an gleichzeitigen Verbindungen.

l Diagramm: Protokoll-Partition-Status: Statistik und Histogramm derProtokollpartitionsauslastung für vier Wochen.

l Diagramm: CPU-Auslastung: Tägliche Statistiken und Histogramm der aktuellenProzessorauslastung in Prozent.

l Diagramm: Speicher-/Swap-Belegung: Tägliche Statistiken und Histogramm derSpeicher- und Swap-Auslastung in Prozent.

l Diagramm: Partitionsbelegung: Tägliche Statistiken und Histogramm der Auslastungausgewählter Speicherpartitionen in Prozent.

Automatische Gruppierung auf Dashboard aktivieren:Wählen Sie dieseOption, umInformationen imDashboard kompakt anzuzeigen.DieseOption betrifft nur die ausgewähltenWeb-Protection-Elemente in der linken Spalte und die ausgewähltenDiagramm-Elemente inder rechten Spalte.Wenn dieseOption ausgewählt ist, werden die jeweiligenInformationselemente als überlappende Registerkarten imDashboard angezeigt. Ist sie nichtausgewählt, werden die Informationselemente nebeneinander angezeigt.

Klicken Sie aufSpeichern, um Ihre Einstellungen zu speichern.

3.2 Flow-MonitorDer Flow-Monitor von SophosUTM ist eine Anwendung, die schnellen Zugriff aufInformationen zum aktuellen Datenverkehr bietet, der die Schnittstellen der UTM passiert. DerZugriff erfolgt ganzeinfach über dasDashboard durch einen Klick auf eine der Schnittstellenoben rechts.Wenn Sie aufAll Interfaces klicken, zeigt der Flow-Monitor den gesamten


Datenverkehr auf allen aktiven Schnittstellen an.Wenn Sie auf eine einzelne Schnittstelleklicken, zeigt der Flow-Monitor nur den Datenverkehr dieser Schnittstelle an.

Hinweis –Der Flow-Monitor wird in einem neuen Browser-Fenster geöffnet. Da dasFenster möglicherweise von Popup-Blockern blockiert wird, ist es ratsam, Popup-Blocker fürdenWebAdmin zu deaktivieren.

Der Flow-Monitor bietet mit einemDiagramm und einer Tabelle zweiAnsichten, die in dennächsten Abschnitten beschrieben werden. Die Anwendung wird alle fünf Sekundenaktualisiert.Sie können auf die SchaltflächePause klicken, um die Aktualisierung zuunterbrechen.Wenn Sie aufContinue klicken, um die Aktualisierung wieder aufzunehmen,aktualisiert der Flow-Monitor die Daten, sodassder aktuelle Datenverkehr angezeigt wird.

DiagrammansichtDasFlow-Monitor-Diagramm zeigt den Netzwerkverkehr der letzten zehnMinuten an. Diehorizontale Achse zeigt die Zeit und die vertikale Achse den Umfang desDatenverkehrs an,wobei die Skala dynamisch an den Durchsatz angepasst wird.

In der Diagrammansicht unten wird eine Legende angezeigt, die Informationen zur Art desDatenverkehrs auf einer Schnittstelle bietet. Jeder Art von Datenverkehr ist eine andere Farbezugewiesen, sodasseine Unterscheidung des imDiagramm angezeigten Datenverkehrsproblemlosmöglich ist.

Hinweis –Der Flow-Monitor zeigt wesentlich genauere Informationen zumDatenverkehran, wenn Netzwerksichtbarkeit aktiviert ist (siehe KapitelWebProtection >Application Control>Netzwerksichtbarkeit).

Wenn Siemit demMauszeiger über dasDiagramm fahren, erscheint ein Punkt, der Ihnendetaillierte Informationen zu diesem Teil desDiagramms liefert. Der Punkt haftet an der LiniedesDiagramms. Er folgt den Bewegungen desMauszeigers.Wenn ein DiagrammmehrereLinien hat, wechselt der Punkt zwischen ihnen, je nachdem, wohin Sie denMauszeigerbewegen. Darüber hinausändert der Punkt seine Farbe in Abhängigkeit davon, auf welcheLinie sich seine Informationen beziehen. Das ist besonders nützlich, wenn Linien engnebeneinander liegen. Der Punkt bietet Informationen zu Art undGröße desDatenverkehrszum jeweiligen Zeitpunkt.


3 Dashboard 3.2 Flow-Monitor

3.2 Flow-Monitor 3 Dashboard

Tabellarische AnsichtDie Flow-Monitor-Tabelle bietet Informationen zumNetzwerkverkehr der letzten fünfSekunden:

#: Der Datenverkehr wird nach der aktuellen Bandbreitennutzung angeordnet.

Anwendung: Protokoll oder Name desNetzwerkverkehrs, falls verfügbar. Nicht klassifizierterDatenverkehr (unclassified) ist eine demSystem unbekannte Art desDatenverkehrs. NacheinemKlick auf eine Anwendung wird ein Fenster geöffnet, das Informationen über denServer, den verwendeten Port, die benötigte Bandbreite pro Serververbindung und dengesamten Datenverkehr anzeigt.

Clients: Anzahl der Clientsverbindungen, die die Anwendung nutzen. Nach einen Klick aufeinen Client wird ein Fenster geöffnet, das Informationen über die IP-Adresse desClients, diebenötigte Bandbreite pro Clientverbindung, und dasGesamtverkehrsaufkommen anzeigt.Beachten Sie, dassbei nicht klassifiziertem Verkehr die Anzahl der Clients in der Tabelle höhersein kann als im zusätzlichen Informationsfenster. Das liegt daran, dassdie Bezeichnung„unclassified“ mehr als eine Anwendung einschließt. Daher ist esmöglich, dass imInformationsfenster nur ein Client, in der Tabelle jedoch dreiClients aufgeführt werden. Beiletzteren handelt es sich eigentlich um die Verbindungen deseinen Clientsmit dreiverschiedenen, nicht klassifizierten Anwendungen.

Aktuelle Bandbreitennutzung: Die Bandbreitennutzung der letzten fünf Sekunden. NacheinemKlick auf eine Bandbreite wird ein Fenster geöffnet, das Informationen zur Download-und Upload-Rate der Anwendungsverbindung anzeigt.

Gesamter Datenverkehr: Der gesamte Datenverkehr einer Verbindung, solange diesebesteht. Beispiel 1: Ein Download wurde vor einiger Zeit gestartet und ist noch nicht beendet:Der gesamte Datenverkehr seit demBeginn desDownloadswird angezeigt. Beispiel 2:Mehrere Clients nutzen Facebook: Solange ein Client die Verbindung offen hält, wird dergesamte bisher von allen Clients verursachte Datenverkehr angezeigt.Nach einemKlick auf den gesamten Datenverkehr wird ein Fenster geöffnet, dasInformationen zur Download- und Upload-Rate der Anwendungsverbindung anzeigt.

Aktionen: Je nach Typ der Anwendung können verschiedene Aktionen durchgeführt werden(außer für nicht klassifizierten Verkehr).

l Blockierung: Klicken Sie auf das rote Blockierungssymbol, um die entsprechendeAnwendung ab diesem Zeitpunkt zu blockieren.Auf der SeiteApplication-Control-


Regelnwird dann eine Regel erstellt.DieseOption ist nicht für Anwendungen verfügbar,die für einen reibungslosen Betrieb von SophosUTM relevant sind. So kannbeispielsweiseWebAdmin-Datenverkehr nicht blockiert werden, da diesdazu führenkönnte, dassSie nicht mehr auf denWebAdmin zugreifen können. Auch nichtklassifizierter Datenverkehr kann nicht blockiert werden.

l Traffic-Shaping: Klicken Sie auf dasorange-graue Symbol für dasTraffic-Shaping derjeweiligen Anwendung. Ein Dialogfenster wird geöffnet, in demSie dieRegeleinstellungen vornehmen können.Klicken Sie aufSave, wenn Sie fertig sind.Aufder SeiteVerkehrskennzeichner wird dann eine Regel erstellt.Traffic-Shaping ist nicht verfügbar, wenn Sie eine Flow-Monitor-Ansicht mit allenSchnittstellen ausgewählt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.


3 Dashboard 3.2 Flow-Monitor

4 VerwaltungIn diesemKapitelwird beschrieben, wie grundlegende Systemeinstellungen sowieEinstellungen für dieWeb-basierte, administrative Benutzeroberfläche von SophosUTM,WebAdmin, vorgenommenwerden.Die SeiteVerwaltungsübersicht zeigt eine Statistik derletzten Anmeldeversuche anWebAdmin sowiemögliche Änderungen.Klicken Sie auf dieSchaltflächeAnzeigen in der SpalteÄnderungsprotokoll, um die Änderungen imDetail zusehen.


l Systemeinstellungen

l WebAdmin-Einstellungen

l Lizenzierung

l Up2Date

l Backups

l Benutzerportal

l Benachrichtigungen

l Anpassungen

l SNMP

l Zentrale Verwaltung

l Hochverfügbarkeit

l Ausschalten/Neustart

4.1 SystemeinstellungenÜber die Registerkarten imMenüSystemeinstellungen können grundlegende EinstellungenIhresGateways, u. a. Hostname, Datum undUhrzeit, vorgenommenwerden.

4.1 Systemeinstellungen 4 Verwaltung

4.1.1 OrganisatorischesGeben Sie den Namen, denOrt Ihrer Organisation und eine E-Mail-Adresse ein, über die einePerson oder Gruppe erreicht werden kann, die die technische Verantwortung für Ihre SophosUTM trägt.Diese Informationen werden auch in Zertifikaten für IPsec, E-Mail-Verschlüsselungund denWebAdmin verwendet.

4.1.2 HostnameGeben Sie den Hostnamen IhresGatewaysalsFullyQualified Domain Name (FQDN) in diesesFeld ein, z. B. utm.beispiel.de. Ein Hostname darf ausalphanumerischen Zeichen, Punktenund Bindestrichen bestehen.AmEnde desHostnamensmussein spezieller Bezeichner wie z.B. com, orgoder destehen.Der Hostnamewird u. a. in Benachrichtigungs-E-Mails verwendet,um dasGatewayzu identifizieren.Der Hostname erscheint auch in Statusmeldungen desWebfilters.Beachten Sie, dassder Hostname nicht in der DNS-Zone für Ihre Domäneregistriert werdenmuss.

4.1.3 Zeit und DatumAuf IhremGatewaysollten Datum undUhrzeit immer richtig eingestellt sein.Dies ist eineVoraussetzung dafür, dassdie Informationen in den Protokoll- und Berichtssystemen korrektsind und dassdie Zusammenarbeit mit anderen Computern im Internet problemlosabläuft.

Üblicherweise brauchen Sie Zeit und Datum nicht manuell einzustellen.Denn standardmäßigist die automatische Synchronisierungmit öffentlichen Internetzeitservern aktiviert (sieheAbschnitt Zeitsynchronisierungmit Internetserver unten).

In dem unwahrscheinlichen Fall, dassSie die Synchronisierungmit Zeitservern deaktivierenmüssen, können Sie Zeit und Datummanuell ändern.Wenn Sie das tun, beachten Sie aber diefolgenden wichtigen Hinweise:

l Ändern Sie niemals die Zeit vonWinterzeit auf Sommerzeit oder andersherum.DieseÄnderung wird immer automatisch durch die eingestellte Zeitzone durchgeführt, auchwenn die automatische Synchronisierungmit Zeitservern deaktiviert ist.

l Ändern Sie nie Datum oder Zeit, während die Synchronisierungmit Zeitservern nochaktiviert ist, da die automatische Synchronisierung Ihre Änderungen immer sofort wiederrückgängigmachen wird.FallsSie Datum oder Zeit manuell einstellenmüssen, denken


Sie daran, zuerst alle Server ausdem FeldNTP-Server im AbschnittZeitsynchronisierungmit Internetserver zu entfernen und dann aufÜbernehmen zuklicken.

l NachdemSie die Zeit manuell geändert haben, warten Sie, bisSie eine grüneBestätigungsmeldung sehen, die besagt, dassdie Änderung erfolgreich war.Starten Siedanach dasSystem neu (Verwaltung >Ausschalten/Neustart). Das ist sehrempfehlenswert, da viele Dienste darauf vertrauen, dass sich die Zeit fortlaufend ändert,nicht plötzlich. Zeitsprünge können daher zu Fehlfunktionen bei einigen Diensten führen.Dieser Hinweis gilt für alle Arten von Computersystemen.

l In seltenen Fällen kann eine Änderung der Systemzeit sogar IhreWebAdmin-Sitzungbeenden. Falls daspassiert, melden Sie sich erneut an, überprüfen Sie, ob die Zeit nunrichtig eingestellt ist und starten Sie dasSystem danach neu.

FallsSiemehreremiteinander verbundeneGatewaysbetreiben, die über verschiedeneZeitzonen reichen, wählen Sie eine gemeinsame Zeitzone, z. B. UTC (koordinierteWeltzeit).Damit lassen sich Protokolleinträge sehr viel einfacher vergleichen.

Wenn Sie die Systemzeit manuell ändern, beachten Sie, dass Ihnen einige Nebeneffektebegegnen werden, auch wenn Sie dasSystem ordentlich neu gestartet haben.

l Uhrzeit vorstellenl In zeitbasierten Berichten fehlen Daten für die entsprechende Zeitspanne. Die

meisten Diagramme stellen diesen Zeitraum als gerade Linie in Höhe desaltenWertesdar.

l Für den Netzwerkverkehr (engl. Accounting) betragen alleWerte in dieserZeitspanne 0.

l Uhrzeit zurückstellenl In den zeitbasierten Berichten gibt es für den entsprechenden Zeitraum bereits

Protokolldaten (die ausSicht desSystemsaber ausder Zukunft stammen).

l Diemeisten Diagramme stellen dieWerte dieser Zeitspanne komprimiert dar.

l Die imDashboard angezeigte verstrichene Zeit seit der letzten Pattern-Prüfungzeigt denWert „nie“, obwohl die letzte Prüfung erst wenigeMinuten zurückliegt.

l Automatisch erzeugte Zertifikate auf der UTM können ungültig werden, da derBeginn ihrer Gültigkeit ausSicht desSystems in der Zukunft liegt.

l Berichtsdaten über den Netzwerkverkehr behalten die bereits erfassten Daten,obwohl sie in der Zukunft liegen. Sobald der Zeitpunkt der Zurücksetzung erreichtist, werden die Netzwerkverkehr-Dateien weitergeschrieben.


4 Verwaltung 4.1 Systemeinstellungen


Aufgrund dieser Nachteile sollten Sie die Systemzeit bei der Erstkonfiguration einmalig setzenund später nur geringfügig anpassen.Diesgilt insbesondere dann, wenn die gesammeltenNetzwerkverkehrs- und Berichtsdaten weiterverarbeitet werden und die Genauigkeit derDaten wichtig ist.

Ze it und Datum e inste llenZur manuellen Konfiguration der Systemzeit wählen Sie Datum und Zeit ausdenentsprechenden Auswahllisten aus.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zuspeichern.

Ze itzone e inste llenUmdie Zeitzone desSystemszu ändern, wählen Sie ein Gebiet oder eine Zeitzone ausderAuswahlliste aus.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Synchronisation der Systemze it mit NTPDasÄndern der Zeitzone ändert nicht die Systemzeit, sondern nur wie die Zeit ausgegebenwird, beispielsweise in Protokoll- und Berichtsdaten. Dadurch bringt esDienste nichtdurcheinander und erfordert keinen anschließenden Systemneustart. Dennoch hat esAuswirkungen auf Protokoll- und Berichtsdaten in ähnlicher Weise wie eine Änderung der Zeit.

Zur Synchronisierung der Systemzeit mit Hilfe einesZeitserverswählen Sie einen odermehrere NTP-Server aus.Klicken Sie aufÜbernehmen, nachdemSie die Konfigurationabgeschlossen haben.

NTP-Server: Der NTPServer Pool ist voreingestellt.Diese Netzwerkdefinition bezieht sich aufden großen virtuellen Zusammenschluss von öffentlichen Zeitservern despool.ntp.org-Projekts.Falls Ihr Internetanbieter selbst NTP-Server für Kunden betreibt und Sie Zugang zudiesen Servern haben, ist es empfehlenswert, denNTPServer Pool zu entfernen undstattdessen die Server IhresAnbieters zu verwenden.Wenn Sie Ihre eigenen oder die ServerIhresAnbieters verwenden, erhöht die Verwendung vonmehr als einemServer die Präzisionund Zuverlässigkeit. Die Verwendung von drei unabhängigen Servern ist eigentlich immerausreichend. Die Verwendung vonmehr als dreiServern bringt meistens keine weitereVerbesserung, erhöht hingegen die Serverlast.Es ist nicht empfehlenswert, sowohl denNTPServer Poolals auch Ihre eigenen Server oder die Server IhresAnbieters zu verwenden, dadies im Normalfall weder die Präzision noch die Zuverlässigkeit erhöht.

Konfigurierte Server testen: Klicken Sie auf diese Schaltfläche, um zu testen, obmit dengewählten NTP-Servern eine Verbindung von IhremGerät ausaufgebaut werden kann und obverwendbare Zeitdaten vomServer empfangen werden. Dabeiwird die Zeitverschiebung


zwischen IhremSystem und den Servern ermittelt. Verschiebungen sollten normalerweise weitunter einer Sekunde liegen, wenn Ihr System korrekt konfiguriert ist und seit geraumer Zeitstabil funktioniert.

Direkt nachdemSie NTPaktiviert oder andere Server hinzugefügt haben, ist es normal, wenngrößere Verschiebungen auftreten. Um große Zeitsprünge zu vermeiden, verändert NTP dieSystemzeit langsamStück für Stück, sodassdie Zeit ohne Sprünge korrigiert wird. Haben Sie indiesem Fall bitte Geduld.Starten Sie insbesondere in diesem Fall dasSystem nicht neu.Schauen Sie lieber in einer Stunde noch einmal nach.Wenn sich die Verschiebung verringert,läuft alles so ab, wie es soll.

4.1.4 Shell-ZugriffSecure Shell (SSH) ist ein Netzwerkprotokoll, mit dessen Hilfe man sich über eineverschlüsselte Netzwerkverbindung auf demGatewayanmelden kann. Eswird typischerweisefür Wartungsarbeiten und zur Fehlersuche verwendet.Für den Zugriff benötigen Sie einenSSH-Client, der in denmeisten Linux-Distributionen enthalten ist.

Zuge lassene NetzwerkeVerwenden Sie dasFeld Zugelassene Netzwerke, um den SSH-Zugang auf bestimmteNetzwerke zu beschränken.Hier aufgeführte Netzwerke können sich amSSH-Dienstanmelden.

Authentif iz ie rungIn diesemAbschnitt können Sie eine Authentifizierungsmethode für den SSH-Zugriff und dieentsprechende Sicherheitsstufe festlegen. Die folgenden Authentifizierungsmethoden sindverfügbar:

l Kennwort (Standard)

l Öffentlicher Schlüssel

l Kennwort und öffentlicher Schlüssel

Um die Funktion Zugangmit öffentlichemSchlüssel zulassen zu verwenden, müssen Sie fürjeden Benutzer, der sich über seinen öffentlichen Schlüssel authentifizieren darf, denentsprechenden öffentlichen Schlüssel in dasFeldAutorisierte Schlüssel für loginuserhochladen.

Root-Login zulassen.Sie können SSH-Zugriff für den Root-Benutzer zulassen. DieseOption ist standardmäßig ausgeschaltet, da sie zu einem erhöhten Sicherheitsrisiko führt.




Wenn dieseOption aktiviert ist, kann sich der Root-Benutzer über seinen öffentlichen Schlüsselanmelden.Laden Sie den/die öffentlichen Schlüssel für den Root-Benutzer in dasFeldAutorisierte Schlüssel für Root hoch.

Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

She ll-Benutzerkennwör te rGeben Sie Kennwörter für die Standard-Zugangsberechtigten rootund loginuserein.UmdasKennwort für nur einesdieser beiden Konten zu ändern, lassen Sie die beidenEingabefelder für dasandere Konto einfach frei.

Hinweis –UmSSH-Shell-Zugriff zu ermöglichen, müssen zuerst die Kennwörter gesetztsein.Darüber hinaus können Sie nur Kennwörter vergeben, die den Sicherheitseinstellungenentsprechen, die Sie auf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Erweitert konfiguriert haben. Mit anderenWorten, wenn Sie dieVerwendung von komplexen Kennwörtern ausgewählt haben, können Sie hier nurKennwörter eingeben, die diesen Sicherheitsanforderungen entsprechen.

Lausch-Por t für SSH-DaemonMit dieser Option können Sie den TCP-Port für dasSSH-Protokoll ändern.Der Standard-SSH-Port 22 ist voreingestellt.Um den Port zu ändern, geben Sie einen geeignetenWert zwischen1024und 65535 in dasFeldPortnummer ein und klicken Sie aufÜbernehmen.

4.1.5 Scan-Einstellungen

Antivirus-Engine -E inste llungenWählen Sie die Antivirus-Engine, die in allen Einzelscan-Konfigurationen für den gesamtenWebAdmin verwendet werden soll. In Zweifachscan-Konfigurationen werden beide Antivirus-Engines verwendet.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

4.1.6 ZurücksetzungMit denOptionen auf der Registerkarte Zurücksetzung können Sie die Kennwörter der Shell-Benutzer löschen.Darüber hinaus können Sie dasSystem durch Ausführen einerWerkszurücksetzung in den Auslieferungszustand zurückversetzen.


Systemkennwörter zurücksetzen: DasAusführen dieser Funktion setzt die Kennwörter derfolgenden Benutzer zurück:

l root (Shell-Benutzer)

l loginuser (Shell-Benutzer)

l admin (vordefiniertesBenutzerkonto desAdministrators)

Um dasGerät nach dem Zurücksetzen der Kennwörter herunterzufahren, wählen Sie dieOptionSystem anschließend herunterfahren.

Sicherheitshinweis –Der nächsten Person, die sichmit demWebAdmin verbindet, wirddasDialogfenster Admin-Kennworteinrichtung angezeigt. Deshalb sollten Sie sich nach einerKennwortzurücksetzung sofort abmelden, dieWebseite neu laden und ein neuesAdministratorkennwort setzen.

Außerdem ist der Shell-Zugriff erst wieder möglich, wenn Sie neue Shell-Kennwörter auf derRegisterkarteVerwaltung >Systemeinstellungen >Shell-Zugriff angeben.

Werkszurücksetzung: Diese Funktion setzt dasSystem in den Auslieferungszustand zurück.Die folgenden Daten werden dabei gelöscht:

l Systemkonfiguration

l Webfilter-Cache

l Protokoll- und Berichtsdaten

l Datenbanken

l Up2Date-Pakete

l Lizenzen

l Kennwörter

l Hochverfügbarkeitsstatus

Die Versionsnummer der SophosUTM-Software bleibt hingegen unverändert – alleinstallierten Firmware- und Pattern-Aktualisierungen werden beibehalten.

Hinweis -SophosUTMwird ausgeschaltet, nachdemSie eineWerkszurücksetzungveranlasst haben.



4.2WebAdmin-Einstellungen 4 Verwaltung

4.2 WebAdmin-EinstellungenImMenüVerwaltung >WebAdmin-Einstellungenwerden die grundlegenden Einstellungen fürWebAdmin vorgenommen, wie zumBeispiel die Zugriffskontrolle, der TCP-Port,Benutzereinstellungen und dieWebAdmin-Sprache.

4.2.1 AllgemeinAuf der RegisterkarteWebAdmin-Einstellungen >Allgemeinwird die Konfiguration derWebAdmin-Sprache und der grundlegenden Zugriffseinstellungen vorgenommen.

WebAdmin-SpracheWählen Sie die Sprache vonWebAdmin. Beachten Sie, dassdiese Einstellung global ist und alleBenutzer betrifft.

WebAdmin-Zugr if fskonf igurationHier können Sie konfigurieren, welche Benutzer und/oder Netzwerke Zugriff aufWebAdminhaben sollen.

Zugelassene Administratoren:SophosUTM kann vonmehreren Administratorengleichzeitig verwaltet werden.Im Feld Zugelassene Administratoren können Sie angeben,welche Benutzer oder Benutzergruppen unbeschränkten Lese- und Schreibzugriff aufWebAdmin haben dürfen.Standardmäßig ist dies die Gruppe der SuperAdmins.

Zugelassene Netzwerke: Im Feld Zugelassene Netzwerke können Sie festlegen, auswelchen Netzwerken Zugriff aufWebAdminmöglich sein soll.Für eine reibungslose InstallationdesGateways, ist standardmäßig Anyeingestellt. Dasbedeutet, dass von überall her aufWebAdmin zugegriffen werden darf. Ändern Sie diese Einstellung so schnellwiemöglich aufIhre internen Netze.Die sicherste Lösung ist jedoch, den Zugriff auf dasGatewayüber HTTPSauf nur einen Administrator-PC zu beschränken.

Zugriffsverkehr protokollieren:Wenn Sie alle Aktivitäten desWebAdmin-Zugriffs in derFirewall-Protokolldatei aufgeführt habenmöchten, wählen Sie die Option Zugriffsverkehrprotokollieren.


4.2.2 ZugriffskontrolleAuf der RegisterkarteWebAdmin-Einstellungen >Zugriffskontrolle können SieWebAdmin-Rollen für bestimmte Benutzer anlegen. Dasermöglicht eine sehr detaillierte Definition derBerechtigungen, die ein Benutzer inWebAdmin haben kann.

Es sind zweiBenutzerrollen vordefiniert:

Auditor: Benutzer mit dieser Rolle können Protokoll- und Berichtsdaten einsehen.

Readonly: Benutzer mit dieser Rolle können alles inWebAdmin anzeigen, aber nichtsbearbeiten, anlegen oder löschen.

UmBenutzern oder Gruppen eine dieser Rollen zuzuweisen, klicken Sie auf die SchaltflächeBearbeiten und fügen Sie die entsprechenden Benutzer oder Gruppen zum FeldMitgliederhinzu.

Wenn Ihre Sicherheitsrichtlinien eserfordern, können Sie weitere Rollen anlegen. Gehen Siefolgendermaßen vor:

1. Klicken Sie auf der Registerkarte Zugriffskontrolle auf Neue Rolle.DasDialogfenster Rolle anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Definition ein.

Mitglieder: Fügen Sie Benutzer undGruppen, die diese Rolle besitzen sollen, zudiesem Feld hinzu.

Nur Leserechte gewähren (optional): Wählen Sie dieseOption, um denMitgliedern füralle Bereiche vonWebAdmin Leserechte zu geben.

Rechte: DiesesFeld enthält die verschiedenen Berechtigungsstufen für dieverschiedenen Funktionen vonWebAdmin: Auditor undManager.EinManager verfügtüber die vollständigen Verwaltungsrechte für die jeweiligen Funktionen. Ein Auditorverfügt jedoch nur über Leserechte. Sie können eine oder mehrere Berechtigungenauswählen, indemSie dasentsprechende Auswahlkästchen vor einer Berechtigungmarkieren.Beispiel: Sie können demBenutzer HansMustermannManager-Rechte für EmailProtection gewähren und zusätzlich dasAuswahlfeldNur Leserechte gewährenmarkieren. Er wäre dann in der Lage, Änderungen im Bereich Email Protection


4 Verwaltung 4.2WebAdmin-Einstellungen


durchzuführen, und könnte alle anderen Bereiche vonWebAdmin einsehen, ohne dortetwasändern zu können.

Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationenhinzu.

3. Klicken Sie auf Speichern.Ihre Einstellungen werden gespeichert.

Um eine Rolle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.Beachten Sie, dassdieAuditor- und dieReadonly-Rollen nicht gelöscht werdenkönnen.

4.2.3 SicherheitErraten von Kennwörtern verhindern: Diese Funktion verhindert, dass sich jemand durchdasErraten von Kennwörtern Zugang zuWebAdmin verschaffen kann.Nach einerkonfigurierbaren Anzahl an fehlgeschlagenen Anmeldeversuchen (Standard: drei) wird derZugang von dieser IP-Adresse aus für eine bestimmte Zeit (standardmäßig 600 Sekunden)verweigert.Netzwerke, die im FeldNetzwerke nie blockieren aufgelistet sind, sind von dieserPrüfung ausgenommen.

4.2.4 HTTPS-ZertifikatAuf der RegisterkarteVerwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat können SiedasWebAdmin-CA-Zertifikat in IhremBrowser installieren oder neu generieren, oder Siekönnen ein signiertesZertifikat für WebAdmin und dasBenutzerportal auswählen.

Während der Erstkonfiguration desWebAdmin-Zugriffswurde automatisch ein lokalesCA-Zertifikat auf demGatewayerzeugt.Der öffentliche Schlüssel diesesCA-Zertifikats kann inIhremBrowser installiert werden, um den Sicherheitshinweiswährend der Anmeldung beiWebAdmin zu vermeiden.

Hinweis -UmProblemen beimHerunterladen von Dateienmit dem Internet Explorer 6vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100) denvertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese EinstellungenimMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beim Internet Explorer 7


zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatischeEingabeaufforderung für Dateidownloads.

Um dasCA-Zertifikat zu importieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte HTTPS-Zertifikat auf CA-Zertifikatimportieren.Der öffentliche Schlüssel desCA-Zertifikatswird exportiert.

Sie können dasZertifikat entweder auf der Festplatte abspeichern oder es in IhremBrowser installieren.

2. Installieren Sie das Zertifikat (optional).Der Browser öffnet ein Dialogfenster, über dasSie dasZertifikat sofort installierenkönnen.

Hinweis –Beachten Sie, dass infolge von unterschiedlichen Systemzeiten und den weltweitversetzten Zeitzonen dasZertifikat nicht sofort nach der Erzeugung gültig sein könnte. VieleBrowser geben in diesem Fall die Meldung aus, dassdasZertifikat abgelaufen sei. DieseMeldung ist nicht richtig. Aber dasZertifikat wird nach spätestens24 Stunden gültig und bleibtdies für einen Zeitraum von 27 Jahren.

WebAdmin-Zer tif ika t neu erste llenDasWebAdmin-Zertifikat bezieht sich auf den Hostnamen, den Sie während der erstenAnmeldung angegeben haben.Wenn der Hostname in der Zwischenzeit geändert wurde, zeigtder Browser einen Sicherheitshinweis an. Um dies zu vermeiden, können Sie ein neuesServer-Zertifikat erzeugen, dasden neuen Hostnamen berücksichtigt.Geben Sie zu diesemZweckden gewünschten Hostnamen an und klicken Sie aufÜbernehmen. Um imWebAdminweiterarbeiten zu können, müssen Sie wahrscheinlich – aufgrund der Änderung desZertifikats– die Seite über Ihren Browser neu laden, dasneue Zertifikat akzeptieren und sich anWebAdmin neu anmelden.

WebAdmin-/Benutzerpor ta l-Zer tif ika t auswählenWenn Sie dasCA-Zertifikat nicht importieren wollen, sondern stattdessen Ihr eigenessigniertesZertifikat für WebAdmin und dasBenutzerportal verwenden wollen, können Sie eshier auswählen.Wenn dasZertifikat jedoch in die Auswahlliste aufgenommenwerden soll,müssen Sie eserst über die Registerkarte Fernzugriff > Zertifikatverwaltung >Zertifikate imFormat PKCS#12 hochladen, welchesdasZertifikat, seine CAund seinen privaten Schlüssel




enthält.Um dashochgeladene Zertifikat zu verwenden, wählen Sie esausder AuswahllisteZertifikate ausund klicken Sie aufÜbernehmen.

4.2.5 BenutzereinstellungenAuf der RegisterkarteVerwaltung >WebAdmin-Einstellungen >Benutzereinstellungen könnenSie einige Benutzereinstellungen für den jeweils angemeldeten Benutzer vornehmen, wie zumBeispiel globale Tastaturkürzel und die Anzahl von Elementen pro Seite bei längeren Tabellenoder Listen.

Konf iguration der WebAdmin-Tastaturkürze lHier können Sie Tastaturkürzel festlegen, umObjektlisten, die für viele Konfigurationenverwendet werden, zu öffnen und zu schließen (weitere Informationen zuObjektlisten findenSie unterWebAdmin >Objektlisten) oder um denMauszeiger in dasSuchfeld zu setzen (sieheauchWebAdmin >WebAdmin-Menü). Verwenden Sie die Auswahlliste, um eine andereUmschalttaste auszuwählen, und dasTextfeld, um ein anderesZeichen einzugeben.Siekönnen Tastaturkürzel auch ausschalten, indemSieAusausder Auswahlliste wählen.

Wenn Sie die ursprünglichen Tastaturkürzelwiederherstellen wollen, klicken Sie auf dieSchaltflächeAuf Standard zurücksetzen.Klicken Sie aufÜbernehmen, um Ihre Einstellungenzu speichern.

Optionen für Tabe llen-Se itenumbruchHier können Sie global den Tabellenseiten-Umbruch festlegen, d. h. wie viele Elemente proSeite angezeigt werden. Klicken Sie auf die Auswahlliste und wählen Sie einenWert.Klicken SieaufÜbernehmen, um Ihre Einstellungen zu speichern.

Flash-basie r te Ber ichteStandardmäßig werdenGrafiken in den Berichten von SophosUTM alsAdobe® Flash®-Animationen angezeigt. Siemüssen ein Flashplayer-Plugin in IhremBrowser installiert haben,um diese Berichtsdiagramme anzeigen zu können.Wenn Sie kein Flashplayer-Plugin installierthaben, oder wenn Sie Flash nicht verwenden wollen, deaktivieren Sie die Flash-basiertenBerichte, indemSie die Option Flash-basierte Berichte aktivieren abwählen. Die Diagrammewerden danach als statische Bilder angezeigt. Beachten Sie jedoch, dassSie einigeAnzeigefunktionalitäten für Berichte verlieren, wenn Flash-basierte Berichte deaktiviertsind.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.


WebAdmin-Browser tite l anpassenHier können Sie den Titel desWebAdmin-Registers/-Fensters in IhremBrowser ändern. Siekönnen Klartext eingeben oder die folgenden Variablen verwenden:

l %h: Hostname

l %u: Benutzername

l %i: Remote-IP-Adresse

Die Standardeinstellung lautet WebAdmin - User %u - Device %h, wasbeispielsweise demkonkreten TitelWebAdmin - User admin - Device asg.beispiel.de entspricht.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

4.2.6 Erweitert

WebAdmin-Leer lauf-Ze itabscha ltungAbmelden nach: In diesem Textfeld können Sie die Zeitspanne (in Sekunden) angeben, wielange eineWebAdmin-Sitzung inaktiv sein darf, bevor sich der Administrator neu anmeldenmuss. Standardmäßig sind 300 Sekunden voreingestellt. Sie könnenWerte von 60 bis 86.400Sekunden eingeben.

Abmeldung im Dashboard: Beachten Sie, dassdie automatische Abmeldung deaktiviert ist,wenn dieDashboard-Seite inWebAdmin geöffnet ist. IndemSie dieseOption auswählen,können Sie die automatische Abmeldung für dasDashboard jedoch wieder aktivieren.

WebAdmin-TCP-Por tStandardmäßig erreicht man denWebAdmin über TCP-Port 4444.Im Textfeld TCP-Portkönnen Sie entweder 443oder einenWert zwischen 1024und 65535eintragen. Allerdings sindeinige Ports bereits von anderen Diensten belegt.Insbesondere können Sie nie den Port10443, den Port desBenutzerportals oder den Port für den SSL-Fernzugriffverwenden.Beachten Sie, dassSie die Portnummer in der IP-Adresse angebenmüssen(durch einemDoppelpunkt abgetrennt), wenn Sie aufWebAdmin zugreifenmöchten, z. B.https://192.168.

NutzungsbedingungenIhre Unternehmensrichtlinien sehen esggf. vor, dassBenutzer die Nutzungsbedingungenakzeptierenmüssen, bevor sie aufWebAdmin zugreifen können.Verwenden Sie das




AuswahlkästchenNutzungsbedingungen nach der Anmeldung anzeigen, um zu erzwingen,dassdie Benutzer die Nutzungsbedingungen bei jedem Zugriff aufWebAdmin akzeptieren. DieNutzungsbedingungenwerden den Benutzern unmittelbar nach der Anmeldung angezeigt.Wenn sie sie nicht akzeptieren, werden sie wieder abgemeldet.

Sie können den Text der Nutzungsbedingungen nach Ihren Bedürfnissen anpassen.KlickenSie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Sophos UTM-VerbesserungsprogrammSie können zur Verbesserung von SophosUTM beitragen, indemSie der Übertragung Ihreraktuellen Konfigurationsdaten in anonymer Form an Sophos zustimmen. Informationen dieserArt können nicht zu Ihnen zurückverfolgt werden. Keine benutzerspezifischen Informationenwerden erfasst, also keine Benutzer- oder Objektnamen, keine Kommentare oder anderepersönliche Informationen.

Die Informationen werden verschlüsselt undmittelsSSL an Sophosübertragen.Dieempfangenen Daten werden zusammengefasst gespeichert und den Softwareentwicklern vonSophos zur Verfügung gestellt, sodass sie bei der Entwicklung fundierte Entscheidungentreffen und zukünftige Versionen von SophosUTM verbessern können.

Wenn Sie die OptionAnonymeNutzungsstatistik senden aktivieren, erfasst die UTM folgendeDaten:

l Hardware- und Lizenzdaten (nicht den Eigentümer), z. B.:

processor Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz

memory 512MiB System Memory

eth0 network 82545EM Gigabit Ethernet Controller

id: UTM

version: 9.000

type: virtual

license: standard

mode: standalone

active_ips: 2

system_id: 58174596-276f-39b8-854b-ffa1886e3c6c

Die System-ID identifiziert Ihre UTM nur insofern, dassSystemdaten nicht versehentlichdoppelt erfasst werden, z. B. nach einer Neuinstallation.


l Verwendete Funktionen (nur ob aktiviert oder deaktiviert), z. B.:

main->ipv6->status: 1

main->ha->status: off

l Anzahl der konfigurierten Objekte, z. B.:

objects->interface->ethernet: 2

objects->http->profile: 5

Wenn dieseOption aktiviert ist, sendet dasSystem diese Daten einmal proWoche an dieServer von Sophos.

4.3 LizenzierungDie Verfügbarkeit von bestimmten Funktionen auf SophosUTMwird über Lizenzen undAbonnements geregelt, d. h. die Lizenzen und Abonnements, die Siemit der UTM erworbenhaben, ermöglichen Ihnen die Nutzung bestimmter Funktionen, anderer jedoch nicht.

4.3.1 Erwerb einer LizenzSophosUTMwird standardmäßigmit einer 30-Tage-Testlizenzausgeliefert, mit der Sie alleLeistungsmerkmale und Funktionen uneingeschränkt nutzen können.Nach Ablauf der 30 Tagemüssen Sie eine gültige Lizenz installieren, umSophosUTMweiter nutzen zu können.AlleLizenzen (einschließlich kostenloser Home-Use-Lizenzen) werden imMyAstaro-Portalangelegt.

Nach demKauf einer UTM-Lizenzerhalten Sie per E-Mail Ihre Aktivierungsschlüssel. DieseSchlüssel benötigen Sie, um die eigentliche Lizenz zu generieren bzw. eine bereits bestehendeLizenz zu aktualisieren.Um eine Lizenz zu aktivieren, melden Sie sich imMyAstaro Portal anund gehen Sie zur Lizenzverwaltungsseite. Oben auf der Seite befindet sich ein Formular, woSie den Aktivierungsschlüssel ausder E-Mail kopieren und einfügen können.


4 Verwaltung 4.3 Lizenzierung

http://my.astaro.com/


4.3 Lizenzierung 4 Verwaltung

Bild 9 MyAstaro-Portal

Eserscheint ein neuesFormular, in dasSie sowohl Informationen zu IhremVertriebspartnerals auch Ihre eigenen Kontaktdaten eintragen können. DasPortal versucht so viele Felder wiemöglich vorauszufüllen.Außerdem erfasst Sophosggf. die Hardware-Seriennummer derUTM. NachdemSie dasFormular abgeschickt haben, wird Ihre Lizenzerzeugt und Sie werdenauf die Lizenz-Detailseite weitergeleitet, von der ausSie die Lizenzherunterladen können.

Um die Lizenz verwenden zu können, müssen Sie die erzeugte Lizenz-Datei herunterladenund sich dann an Ihrer WebAdmin-Installation anmelden.Öffnen Sie imWebAdmin dieRegisterkarteVerwaltung >Lizenzen > Installation und verwenden Sie die Upload-Funktion,um die Lizenzdatei auf Ihrer Festplatte zu finden. Laden Sie die Lizenzdatei hoch. Danach wirdder WebAdmin sie einlesen, um alle Abonnements und anderen Einstellungen zu aktivieren, diein der Lizenzdatei vorgesehen sind.

Hinweis –Der Aktivierungsschlüssel, den Sie per E-Mail erhalten haben, kann nicht in denWebAdmin importiert werden. Dieser Schlüssel dient lediglich dazu, Ihre Lizenz inMyAstarozu aktivieren.Nur die Lizenz-Datei kann in die UTM importiert werden.

4.3.2 LizenzmodellDasLizenzmodell von Sophos ist äußerst flexibel. Zunächst gibt es eine Basislizenz, diegrundlegende Funktionen kostenlosbereitstellt (siehe Tabelle unten). DesWeiteren gibt essechsweitere Abonnements:


l NetworkProtection

l WebProtection

l Email Protection

l Endpoint Protection

l WirelessProtection

l Webserver Protection

Diese Abonnements können Ihren Anforderungen entsprechend einzeln oder in Kombinationerworben werden. Jedesder Abonnements aktiviert bestimmte Funktionen desProdukts. Dieuntenstehende Tabelle zeigt eine Übersicht darüber, welche Funktionen durch welchesAbonnement freigeschaltet werden.

Funktion Basislize-nz

Netzwe-rk

Web E-Mail Endpoi-nt

Wirele-ss

Webserv-er

Verwaltung(Backups,Benachrichtigung-en, SNMP, ACC,...)

LokaleAuthentifizierung(Benutzer,Gruppen)

GrundlegendeNetzwerkfunktion-en (StatischesRouting, DHCP,DNS, Auto QoS,NTP, ...)

Firewall/NAT(DNAT, SNAT,...)

PPTP&L2TP-Fernzugriff





Netzwe-rk


Wirele-ss

Webserv-er

LokaleProtokollierung,Standardberichte

Angriffschutz(IPS) (Patterns,DoS, Flood,Portscan ...)

IPsec- &SSL-Site-to-Site-VPN,IPsec- &SSL-Fernzugriff

ErweiterteNetzwerkfunktion-en(Linkbündelung,Uplink-Ausgleich,Richtlinien-Routing, OSPF,Multicast,angepasstesQoS,Serverlastausglei-ch, GenerischerProxy ...)

( ) ( )

Benutzerportal

Hochverfügbarke-it

EntfernteAuthentifizierung(AD, eDir,RADIUS, ...)



Netzwe-rk


Wirele-ss

Webserv-er

AusgelagerteProtokollierung,erweiterteBerichte(Archivierung,Konfiguration)

Basis-Webfilter &FTP-Proxy

Web- & FTP-Schadsoftware-Filterung

ApplicationControl

Basis-SMTP-Proxy,Quarantäneberic-ht, Mail-Manager

SMTP- &POP3-Schadsoftware-Filterung

EndpointProtection,Antivirus

EndpointProtection,Device Control

WirelessSecurity

Web ApplicationSecurity

Für genauere Informationen zu Abonnements und ihrem Funktionsumfang wenden Sie sichbitte an Ihren zertifizierten UTM-Partner oder die SophosHomepage.



http://www.sophos.com/


Wenn bestimmte Abonnements nicht erworben wurden, sind die entsprechendenRegisterkarten imWebAdmin inaktiv. Über den Registerkarten wird eineWarnmeldung zurLizenzierung angezeigt.

Up2DatesJedesAbonnement aktiviert die vollständige Unterstützung automatischer Updates, dasbedeutet, dassSie automatisch über neue Firmware-Updates informiert werden. Darüberhinaus können Firmware- und Pattern-Updatesautomatisch heruntergeladen (und installiert)werden.

Eine Basislizenzohne Abonnement unterstützt automatische Updatesnur eingeschränkt:Lediglich Pattern-Updates, wie z. B. Aktualisierungen der Onlinehilfe, werden weiterhinautomatisch heruntergeladen und installiert. Sie werden jedoch nicht über verfügbareFirmware-Updates informiert, und die Firmware-Updatesmüssenmanuell heruntergeladenwerden.Die Verfügbarkeit neuer Firmware-Updateswird im SophosUTMUp2Date-Blogbekanntgegeben.

Support und WartungMit der Basislizenz können Sie denWeb-Support nutzen.Sie können dasSophosNSGSupport-Forum und die SophosKnowledgebase nutzen.

Sobald Sie einesder Abonnements erwerben, werden Sie automatisch aufStandard-Supportumgestellt. Bei dieser Supportstufe können Sie zusätzlich einen Supportfall imMyAstaro-Portalanlegen oder Ihren zertifizierten UTM-Partner kontaktieren.


http://up2date.astaro.com/









Darüber hinausgibt es dieMöglichkeit, einenPremium-Support-Vertrag abzuschließen.Dieser bietet Ihnen rund um die Uhr Support durch einen UTM-Engineer alsAnsprechpartner.

4.3.3 ÜbersichtDie RegisterkarteÜbersicht zeigt detaillierte Informationen zu Ihrer Lizenzund besteht ausmehreren Abschnitten:

l Basislizenz:Grundlegende Lizenzparameter wie Besitzer, ID oder Ablaufdatum.

l Network Protection, Email Protection, Web Protection, Webserver Protection,Wireless Protection, Endpoint Protection: Diese Abschnitte zeigen Informationenzu den Abonnements an, beispielsweise ob diese erworben wurden und daher aktiviertsind, ihr Ablaufdatum und eine Kurzbeschreibung der Funktionen, die sie bieten.

l Support-Dienste: Supportstufe sowie Gültigkeitszeitraum.

4.3.4 InstallationAuf der RegisterkarteVerwaltung >Lizenzen > Installation können Sie neue Lizenzenhochladen und installieren.

Um eine Lizenz zu installieren, gehen Sie folgendermaßen vor:

1. Öffnen Sie das Dialogfenster Datei hochladen.Klicken Sie dazu auf dasOrdnersymbol neben demEingabefeld Lizenzdatei.

DasDialogfenster Datei hochladenwird geöffnet.

2. Wählen Sie die Lizenzdatei aus.Wechseln Sie in dasVerzeichnis, in dem sich Ihre Lizenzdatei befindet.

Wählen Sie die Lizenzdatei aus, die Sie installieren wollen.

3. Klicken Sie auf Hochladen starten.Ihre Lizenzdateiwird hochgeladen.

4. Klicken Sie auf Übernehmen.Ihre Lizenzwird nun installiert. Beachten Sie, dassdie neue Lizenzautomatisch einebereits installierte Lizenzersetzt.

Die Installation der Lizenzdauert ca. 60 Sekunden.



4.4 Up2Date 4 Verwaltung

4.3.5 Aktive IP-AdressenFallsSie eine Lizenzerworben haben, die nicht uneingeschränkt viele Benutzer (IP-Adressen)erlaubt, zeigt Ihnen diese Registerkarte Informationen über die zulässige Anzahl an IP-Adressen, die von Ihrer Lizenzabgedeckt werden. IP-Adressen, die den Umfang Ihrer Lizenzüberschreiten, werden gesondert aufgelistet.FallsSie die zulässige Grenze überschrittenhaben, erhalten Sie regelmäßig eine Benachrichtigung per E-Mail.

Hinweis – IP-Adressen, die über einen Zeitraum von sieben Tagen inaktivwaren, werdennicht mehr eingerechnet.

4.4 Up2DateDasMenüVerwaltung >Up2Date ermöglicht die Konfiguration desAktualisierungsdienstesvon SophosUTM.Regelmäßige Aktualisierungen sorgen dafür, dassdasGatewaystets überdie neuesten Fehlerkorrekturen, Produktverbesserungen und aktuellen Virensignaturenverfügt.Jede Aktualisierung wird von Sophosdigital signiert – unsignierte oder gefälschteAktualisierungen können so erkannt und Installationen von gefälschten Aktualisierungenverhindert werden.

Esgibt zweiArten von Software-Aktualisierungen:

l Firmware-Aktualisierungen: Firmware-Aktualisierungen enthaltenFehlerkorrekturen und Produktverbesserungen für SophosUTM-Software.

l Pattern-Aktualisierungen: Pattern-Aktualisierungen halten Virus-, Spam- undAngriffschutz-Signaturen sowie die Onlinehilfe auf dem neuesten Stand.

UmUp2Date-Pakete herunterzuladen, öffnet dasGatewayeine TCP-Verbindung zu denAktualisierungsservern auf Port 443. Hierfür müssen vomAdministrator keinerlei Anpassungenvorgenommenwerden.FallsSie jedoch eine übergeordnete Firewall verwenden, somüssenSie auf dieser die Kommunikation über TCP-Port 443zu den Aktualisierungsservern expliziterlauben.


4.4.1 ÜbersichtDie RegisterkarteVerwaltung >Up2Date >Übersicht gibt Ihnen einen schnellen Überblickdarüber, ob Ihr System auf dem neuesten Stand ist.Von hier aus können Sie neue Firmware-und Pattern-Aktualisierungen installieren.

Up2Date -For tschr ittDieser Bereich ist nur sichtbar, wenn Sie einen Installationsvorgang angestoßen haben.KlickenSie auf die SchaltflächeUp2Date-Fortschritt in neuem Fenster anzeigen, um denAktualisierungsfortschritt zu verfolgen.Wenn Ihr Browser Pop-up-Fenster nicht unterdrückt,wird ein neuesFenster geöffnet, dasden Aktualisierungsfortschritt anzeigt. Andernfallsmüssen Sie Pop-up-Fenster zunächst explizit erlauben.

Hinweis –Bevor ein Installationsvorgang gestartet wird, wird ein Backup an den/dieStandardempfänger für Backups versendet.

Bild 10 Up2Date: Fortschrittsfenster


4 Verwaltung 4.4 Up2Date


FirmwareIm Abschnitt Firmware sehen Sie die aktuell installierte Firmware-Version.Wenn einAktualisierungspaket verfügbar ist, erscheint eine Schaltfläche Jetzt auf neueste Versionaktualisieren.Zusätzlich wird eine Nachricht im AbschnittVerfügbare Firmware-Up2Datesangezeigt.Sie können von hier ausdie neueste Aktualisierung direkt herunterladen undinstallieren.Sobald Sie Jetzt auf neueste Version aktualisieren angeklickt haben, können Sieden Aktualisierungsfortschritt in einem neuen Fenster verfolgen.Klicken Sie dazu auf dasAktualisieren-Symbol vonWebAdmin.

Ver fügbare Firmware-Up2DatesWenn SieManuellauf der RegisterkarteKonfiguration gewählt haben, sehen Sie hier eineSchaltfläche Jetzt nach Up2Date-Paketen suchen, mit der Sie Firmware-Up2Date-Paketemanuell herunterladen können.Wennmehr als ein Up2Date-Paket verfügbar ist, können Siewählen, welchesSie installieren wollen.Sie können die Schaltfläche Jetzt auf neueste Versionaktualisieren im Abschnitt Firmware verwenden, um die neueste Version zu installieren.Esgibt außerdem eine SchaltflächeSchedule (dt. planen) für jedesUp2Date, mit demSie eingenauesDatum und eine genaue Uhrzeit für eine automatische Installation bestimmenkönnen.Um eine geplante Installation zu löschen, klicken Sie aufAbbrechen.

Ein Hinweis zu „zwingenden“ Installationen: Es kann Konstellationen geben, in denen Sie dieInstallation einesUp2Date-Pakets planen, dasdie vorherige Installation einesälterenUp2Date-Pakets erfordert. DiesesUp2Date-Paket wird automatisch zur Installationeingeplant, und zwar vor dem eigentlichen Up2Date-Paket. Sie können jedoch auch für diesesPaket eine genaue Zeit einplanen, aber Sie können seine Installation nicht verhindern.

Patte rnsIm AbschnittPatterns steht die Versionsnummer der aktuell installierten Patterns.Wenn SieManuellauf der RegisterkarteKonfiguration gewählt haben, sehen Sie hier eine SchaltflächePatterns jetzt aktualisieren.Mit dieser Schaltfläche können Sie neue verfügbare Patternsherunterladen und installieren.

Hinweis –Die aktuell installierte Patternversionmussnicht mit der neuesten verfügbarenPatternversion übereinstimmen, damit UTM korrekt funktioniert. Eine Abweichung zwischender aktuell installierten und der aktuell erhältlichen Patternversion kann vorkommen, wennneue Patterns vorliegen, die jedoch nicht zu demGerät passen, dasSie verwenden.WelchePatternsheruntergeladen werden, hängt von Ihren Einstellungen und Ihrer


Hardwarekonfiguration ab.Wenn Sie zumBeispiel die Angriffschutzfunktion (IPS) vonSophosUTM nicht verwenden, werden neu verfügbare IPS-Patternsnicht installiert, wasdenAbstand zwischen installierten und erhältlichen Patternversionen vergrößert.

4.4.2 KonfigurationNeue Aktualisierungspakete werden standardmäßig automatisch vomGatewayheruntergeladen.

Firmware-Download-Inte rva llDieseOption steht standardmäßig auf 15Minuten, dasheißt, dassSophosUTM alle 15Minuten nach verfügbaren Firmware-Aktualisierungen sucht.SophosUTMlädt verfügbareFirmware-Aktualisierungspakete automatisch herunter, ohne sie jedoch zu installieren. Dergenaue Zeitpunkt hierfür bewegt sich dabei beliebig in dem angegebenen Zeitraum.Siekönnen das Intervall auf bis zuMonatlich erhöhen oder automatische Firmware-Downloadsgänzlich deaktivieren, indemSieManuell in der Auswahlliste wählen.Wenn SieManuellwählen,erscheint eine Schaltfläche Jetzt nach Up2Date-Paketen suchen auf der RegisterkarteÜbersicht.

I nte rva ll für Patte rn-Download und - Insta lla tionDieseOption steht standardmäßig auf 15Minuten, dasheißt, dassSophosUTM alle 15Minuten nach verfügbaren Pattern-Aktualisierungen sucht.SophosUTMlädt verfügbarePattern-Aktualisierungspakete automatisch herunter und installiert diese. Der genaueZeitpunkt hierfür bewegt sich dabei beliebig in dem angegebenen Zeitraum.Sie können dasIntervall auf bis zuMonatlich erhöhen oder automatische Pattern-Downloadsund -Installationen gänzlich deaktivieren, indemSieManuell in der Auswahlliste wählen.Wenn SieManuellwählen, erscheint eine SchaltflächePatterns jetzt aktualisieren auf der RegisterkarteÜbersicht.

4.4.3 ErweitertAuf der RegisterkarteVerwaltung >Up2Date >Erweitert gibt esweitereKonfigurationsmöglichkeiten für die Aktualisierungsfunktionalität IhresGateways, wie dieAngabe einesübergeordneten Proxy (engl. parent proxy) oder einesUp2Date-Zwischenspeichers.


4 Verwaltung 4.4 Up2Date


Hinweis –Aktualisierungspakete können vomSophosUTMFTP-Server heruntergeladenwerden.

Manuelles Hochladen von Up2Date-Paketen:ManuellesHochladen von Up2Date-Paketen:Wenn dasGatewaykeinen direkten Zugang zum Internet oder einemUp2Date-Zwischenspeicher (engl. Cache) hat, um Aktualisierungspakete herunterzuladen, können Siediese auchmanuell hochladen. Gehen Sie dazu folgendermaßen vor:

1. Öffnen Sie das Dialogfenster Datei hochladen.Klicken Sie auf dasOrdnersymbol neben dem FeldUp2Date-Datei.


2. Wählen Sie das Aktualisierungspaket.Klicken Sie im Dialogfenster Datei hochladen auf die SchaltflächeDurchsuchen undwählen Sie dasAktualisierungspaket aus, dasSie hochladenmöchten.

3. Klicken Sie auf Hochladen starten.DasAktualisierungspaket wird auf dasGatewaykopiert.

4. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.

Übergeordneter ProxyEin übergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Ländern benötigt, indenen der Zugang zum Internet nur über einen staatlich kontrollierten Proxyerlaubt ist. FallsIhre Sicherheitsbestimmungen die Nutzung einesübergeordneten Proxyerforderlichmachen,so können Sie diesen hier durch Angabe einer Hostdefinition und einesPorts konfigurieren.

Übergeordneten Proxy verwenden:Wählen Sie dieseOption, um einen übergeordnetenProxy zu verwenden. Geben Sie einen Hostnamen und den Port desProxyein.

Dieser Proxy erfordert Authentifizierung: Falls der übergeordnete ProxyAuthentifizierung erfordert, geben Sie den Benutzernamen und dasKennwort hier ein.

FallsSie einen übergeordneten Proxyeingerichtet haben, holt sich SophosUTM dieAktualisierungspakete von diesemProxy.


ftp://ftp.astaro.com/



4.5 BackupsMit der Backup-Wiederherstellungsfunktion können Sie die Einstellungen desGatewayaufeiner lokalen Festplatte sichern. Mit Hilfe der Backup-Datei sind Sie in der Lage, eine erprobteKonfiguration auf neu installierte oder fehlkonfigurierte Systeme zu übertragen.

Legen Sie nach jeder Änderung der Systemeinstellungen eine neue Backup-Datei an. AufdieseWeise haben Sie immer die aktuellen Einstellungen IhresSystemsgespeichert.Bewahren Sie Ihre Backupsaußerdem an einem sicherenOrt auf, dasicherheitsrelevante Daten wie z. B. Zertifikate und kryptografische Schlüssel darin enthaltensind.Prüfen Sie die Backup-Datei nach der Generierung immer auf Lesbarkeit. Es istaußerdem ratsam, durch ein externesMD5-Programm eine Prüfsumme zu generieren, die esIhnen auch später ermöglicht, die Integrität der Backup-Datei zu prüfen.

4.5.1 Backup/WiederherstellenAuf der RegisterkarteVerwaltung >Backups>Backups/Wiederherstellen können Sie Backupserstellen, importieren, wiederherstellen, herunterladen und senden sowie bestehendeBackups löschen.

Ver fügbare BackupsDieser Abschnitt ist nur sichtbar, wenn bereitsmindestensein Backup erstellt wurde, entwederautomatisch oder manuell (siehe AbschnittBackup erstellen).

Alle Backups sindmit ihremErstellungsdatum und -zeitpunkt, ihrer UTM-Versionsnummer,ihremErsteller und Kommentar aufgelistet.

Sie können einen früheren Systemzustand wiederherstellen, eine Backup-Dateiherunterladen, versenden oder löschen.

l Wiederherstellen: Ersetzt die aktuellen Systemeinstellungen durch die in einemBackup gespeicherten Einstellungen. Hinterher müssen Sie sich neu anmelden. Im Fall,dassdasBackup alle Daten enthält, können Sie sich direkt anmelden.Wenn dasausgewählte Backup nicht alle Daten enthält (siehe AbschnittBackup erstellen), müssenSie die erforderlichen Daten während desAnmeldevorgangseingeben.Wenn lediglichdie Hostdaten ausdem gewählten Backup entfernt wurden, können Sie beiBedarf eineweitere Administrator-E-Mail-Adresse hinzufügen. Diese wird an Stellen eingesetzt, an


4 Verwaltung 4.5 Backups

4.5 Backups 4 Verwaltung

denen bisher kein Empfänger eingetragen ist, und als zusätzliche Adresse dort, womehrere Empfänger möglich sind.

o Backups von USB-Flashspeicher wiederherstellen: Sie können unverschlüsselteBackup-Dateien (Dateierweiterung abf) von einemmit FAT formatierten USB-Flashspeicher wie z. B. einemUSB-Stickwiederherstellen.Um ein Backup voneinemUSB-Flashspeicher wiederherzustellen, kopieren Sie die Backup-Datei aufden USB-Flashspeicher und schließen Sie dasGerät an SophosUTM an, bevorSie dasSystem starten. Befinden sichmehrere Backup-Dateien auf demSpeichergerät, wird die lexikografisch erste Datei verwendet (Zahlen vorBuchstaben).Angenommen, die Backup-Dateien gateway_backup_2007-04-17.abfund 2006-03-20_gateway_backup.abfbefinden sich beide auf demUSB-Flashspeicher. Beim Starten wird die zweite Datei verwendet, weil sie miteiner Zahl beginnt, obwohl sie viel älter ist als die andere Datei.

Nach der erfolgreichenWiederherstellung einesBackupswird eine Sperrdatei(engl. lock file) angelegt. Diese verhindert, dassein- und dasselbe Backup immerwieder installiert wird, während der USB-Flashspeicher noch eingesteckt ist.Sollten Sie ein vorangegangenesBackup dennoch erneut installieren wollen, somüssen Sie den betreffenden Rechner zunächst ohne angeschlossenen USB-Flashspeicher neu starten. Dabeiwerden alle Sperrdateien gelöscht.Wenn Sieden Rechner nun erneut mit angeschlossenemUSB-Flashspeicher hochfahren,kann dasselbe Backup installiert werden.

l Herunterladen:Öffnet ein Dialogfenster, in demSie wählen können, ob Sie die Dateiverschlüsselt (Kennwort eingeben) oder unverschlüsselt herunterladen wollen.KlickenSie aufBackup herunterladen. Sie werden gebeten, einenOrt im Dateisystemauszuwählen, wohin die heruntergeladene Datei gespeichert werden soll.

Hinweis -UmProblemen beimHerunterladen von Dateienmit dem Internet Explorer6 vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100)den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich dieseEinstellungen imMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beimInternet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatische Eingabeaufforderung für Dateidownloads.

o Vor dem Herunterladen verschlüsseln: Bevor Sie ein Backup herunterladenoder versenden, haben Sie dieMöglichkeit, es zu verschlüsseln.DieVerschlüsselung erfolgt durch Blowfish-Verschlüsselung imCBC-Modus. Geben


Sie ein Kennwort ein (ein zweitesMal zur Bestätigung). Nach diesemKennwortwerden Sie gefragt, wenn Sie dasBackup importieren wollen.Für verschlüsselteBackups lautet die Dateierweiterung ebf, für unverschlüsselte Backupsabf).

Hinweis –Ein Backup enthält Administrationskennwörter, dasHochverfügbarkeitskennwort (falls konfiguriert) sowie alle RSA-Schlüssel undX.509-Zertifikate. Da es sich dabei um vertrauliche Informationen handelt, ist esratsam, Backups zu verschlüsseln.

l Senden:Öffnet ein Dialogfenster, in demSie wählen können, ob Sie die Dateiverschlüsselt (Kennwort eingeben) oder unverschlüsselt senden wollen.Klicken Sie aufJetzt senden, um dasBackup zu senden.Die Empfänger sind die Standardempfänger,dasheißt, dasBackup wird an die Adresse(n) gesendet, die auf der RegisterkarteAutomatische Backupseingetragen sind.

o Vor dem Herunterladen senden: Siehe oben:Vor demHerunterladenverschlüsseln.

l Löschen: Löscht ein Backup ausder Liste.

Backup erste llenBackups sind nicht nur nützlich, wenn Sie Ihr System nach einer (nicht beabsichtigten)Änderung oder einemAusfall wiederherstellenmöchten. Sie können auch alsVorlagen genutztwerden, umSystememit einer identischen Konfiguration anzulegen. Diese Systeme sind dannquasi vorkonfiguriert, waseine enorme Zeitersparnis darstellen kann. Zu diesem Zweckkönnen Sie vor der Erstellung bestimmte Daten von einemBackup entfernen, z. B. Hostname,Zertifikate usw.

Um ein Backupmit den aktuellen Systemeinstellungen zu erzeugen, gehen Siefolgendermaßen vor:

1. Geben Sie im Abschnitt Backup erstellen einen Kommentar ein (optional).Der Kommentar wird neben demBackup in der Backup-Liste angezeigt.

2. Nehmen Sie die folgenden Einstellungen vor (optional):Host-spezifische Daten entfernen:Wählen Sie dieseOption, um dasBackup ohneHost-spezifische Daten zu erstellen. Diesumfasst den Hostnamen, SNMP-Daten, HA-Daten, Lizenz, Shell-Benutzerkennwörter, Anonymisierungskennwörter, alle Zertifikate,öffentliche und private Schlüssel, Fingerabdrücke und Schlüssel von Email Protection,



4.5 Backups 4 Verwaltung

WebProtection, Client-Authentifizierung, IPsec, SSL-VPN, RED,WebAdmin,WebApplication Firewall und Proxys.Solche Backupsermöglichen es Ihnen, mehrere identische Systeme bequemanzulegen. Sie sollten allerdingseinige Punkte beachten: 1) Nach der Wiederherstellungwird die Seite Grundlegende Systemkonfiguration angezeigt. 2) Nur die ersteSchnittstelle ist konfiguriert, wobei die primäre IP-Adresse während der Installationkonfiguriert wurde. Alle anderen Schnittstellen werden deaktiviert und erhalten die IP-Adresse 0.0.0.0.

Achtung –Obwohl die meisten Host-spezifischen Daten entfernt werden, enthält einesolche Backup-Vorlage dennoch vertrauliche Daten wie Benutzerkennwörter. Deshalbist es ratsam, Backup-Vorlagen zu verschlüsseln.

Administrative E-Mail-Adressen entfernen:Wählen Sie dieseOption, um dieAdministrator-E-Mail-Adressen, die in verschiedenen Bereichen der UTM verwendetwerden, z. B. Postmaster-Adressen in Email Protection, Benachrichtigungen usw., zuentfernen.DieseOption ist besonders für IT-Partner sinnvoll, die SophosUTM-Gerätean Kundenstandorten einrichten.

3. Klicken Sie auf Backup jetzt erzeugen.DasBackup erscheint in der Liste der verfügbaren Backups.

Falls ein Backupmit einer oder beiden der gewählten Optionen erzeugt wurde, enthältder Backup-Eintrag einen entsprechenden zusätzlichen Hinweis.

Backup impor tie renUmein Backup zu importieren, klicken Sie auf dasOrdnersymbol und wählen Sie eine Backup-Datei, die hochgeladen werden soll. Klicken Sie danach aufHochladen starten. Wenn Sie einverschlüsseltesBackup importierenmöchten, müssen Sie zunächst dasKennwort eingeben.Beachten Sie, dassbeim Import desBackupsnoch keineWiederherstellung durchgeführtwird.DasBackup wird lediglich zur ListeVerfügbare Backupshinzugefügt.

4.5.2 Automatische BackupsAuf der RegisterkarteVerwaltung >Backups>Automatische Backupshaben Sie dieMöglichkeit, Backupsautomatisch erzeugen zu lassen. UmBackupsautomatisch erzeugen zulassen, gehen Sie folgendermaßen vor:


1. Aktivieren Sie auf der Registerkarte Automatische Backups automatischeBackups.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und die AbschnitteOptionen sowieBackupsper E-Mailversenden können nun bearbeitet werden.

2. Legen Sie das Zeitintervall fest.Automatisch erzeugte Backups können in verschiedenen Zeitintervallen erzeugtwerden.

Sie haben die Auswahl zwischen täglich, wöchentlich undmonatlich.

3. Legen Sie die maximale Anzahl der zu speichernden Backups fest.Backups können bis zu der hier angegebenen Anzahl gespeichert werden. Nachdem diemaximale Anzahl erreicht worden ist, werden die ältesten Backup-Dateien gelöscht.

Beachten Sie, dassdiesnur auf automatisch erzeugte Backup-Dateien zutrifft.Manuellerzeugte Backup-Dateien und vor einer Systemaktualisierung erzeugte Backup-Dateienwerden nicht gelöscht.


UmBackup-Dateien IhresGatewaynicht mühevollmanuell speichern zumüssen, können SieBackup-Dateien an eine Liste von E-Mail-Adressen schicken lassen.

Empfänger: Automatisch erzeugte Backup-Dateien werden an diejenigen Empfängergeschickt, die im FeldEmpfänger eingetragen sind. Es könnenmehrere Adressen angegebenwerden. Standardmäßig ist die E-Mail-Adresse desAdministrators voreingestellt.

E-Mail-Backups verschlüsseln: Darüber hinaushaben Sie dieMöglichkeit, dasBackup zuverschlüsseln (3DES-Verschlüsselung).

Kennwort:Wenn Sie die OptionVerschlüsselung gewählt haben, geben Sie ein Kennwort ein(ein zweitesMal zur Bestätigung).Nach diesemKennwort werden Sie gefragt, wenn Sie dasBackup importieren wollen.

Automatisch erzeugte Backupserscheinen in der ListeVerfügbare Backupsauf derRegisterkarteBackups/Wiederherstellen und sindmit demHinweisSystem in der SpalteErsteller versehen.Von dort aus können sie genau wiemanuell erzeugte Backup-Dateienwiederhergestellt, heruntergeladen oder gelöscht werden.



4.6 Benutzerportal 4 Verwaltung

4.6 BenutzerportalDasBenutzerportal von SophosUTM ist eine besondere Browser-basierte Anwendung, dieautorisierten Benutzern personalisierte E-Mail-Dienste und Dienste für den Fernzugriff zurVerfügung stellt. Der Zugriff ist über die URL der SophosUTMmöglich, zumBeispielhttps://192.168.2.100 (Beachten Sie dasHTTPS-Protokoll und die fehlende Portnummer4444, die Sie normalerweise eingeben würden, um auf dieWebAdmin-Schnittstelle zugreifenzu können).

DasBenutzerportal umfasst unter anderem die E-Mail-Quarantäne, die jene Nachrichtenenthält, die entweder mit schädlicher Software infiziert sind, verdächtige Anhänge besitzen, alsSpam identifiziert wurden oder Ausdrücke enthalten, die explizit untersagt sind.

Benutzer können auf der Anmeldeseite eine Sprache ausder Auswahlliste auswählen, die sichrechts in der Kopfleiste befindet.

Bild 11 Benutzerportal: Begrüßungsseite

Über dasBenutzerportal haben Benutzer Zugriff auf die folgenden Dienste:

l SMTP-Quarantäne: Benutzer können sich Nachrichten in Quarantäne anschauen undgegebenenfalls freigeben.Welche Arten von Nachrichten sie freigeben dürfen, kann aufder RegisterkarteEmail Protection >Quarantänebericht >Erweitert festgelegt werden.(Die Registerkarte heißtMail-Quarantäne, wenn POP3 deaktiviert ist.)

l SMTP-Protokoll: Benutzer haben hier Einblick in dasSMTP-Protokoll ihresMailverkehrs.(Die Registerkarte heißtMail-Protokoll, wenn POP3 deaktiviert ist.)


l POP3-Quarantäne: Benutzer können sich Nachrichten in Quarantäne anschauen undgegebenenfalls freigeben.Welche Arten von Nachrichten sie freigeben dürfen, kann aufder RegisterkarteEmail Protection >Quarantänebericht >Erweitert festgelegt werden.(Die Registerkarte heißtMail-Quarantäne, wenn SMTPdeaktiviert ist.)

l POP3-Konten: Benutzer können hier ihre Zugangsdaten für POP3-Konten eingeben,die sie verwenden. Eswerden nur Spam-E-Mails, für die POP3-Kontozugangsdatenhinterlegt sind, im Benutzerportal angezeigt. Benutzer, für die POP3-Kontozugangsdaten gespeichert sind, erhalten einen eigenständigenQuarantänebericht für jede E-Mail-Adresse.Beachten Sie, dass zugelassene POP3-Server auf der RegisterkarteEmail Protection >POP3 >Erweitert eingetragen seinmüssen.

l Absender-Whitelist: Benutzer können eine Positivliste (Whitelist) für bestimmteAbsender anlegen. Dadurch werden Nachrichten von diesen Absendern nicht alsSpamangesehen. E-Mailsmit Viren oder unscannbare E-Mailswerden jedoch stets unterQuarantäne gestellt. In die Positivliste können sowohl einzelne gültige E-Mail-Adressen(z. B. [email protected]) als auch Adressen einer spezifischen Domäneeingetragen werden, wobei ein Asterisk alsPlatzhalter dient (z. B. *@beispiel.de).

l Absender-Blacklist: Hier können Benutzer E-Mail-Absender auf die Negativliste(Blacklist) setzen, z.B. [email protected], oder auch ganze Domänen, z.B.*@hotmail.com. Die Negativliste wird sowohl auf SMTP- als auch auf POP3-E-Mailsangewendet, wenn diese auf demSystem aktiviert sind. Absender können auf dieNegativliste gesetzt werden, indemman auf dasPlus-Symbol klickt, die Adresse eingibtund zumSpeichern auf dasHäckchen-Symbol klickt.

l Hotspots: Hier finden Benutzer die Zugriffsdaten von Hotspots und können dieseverwalten. Diese Registerkarte ist nur dann vorhanden, wenn für einen bestimmtenBenutzer mindestensein Hotspot aktiviert wurde. Für Hotspotsmit täglicherKennwortänderung wird dasaktuelle Kennwort angezeigt und lässt sich ändern. FürHotspots, die über Voucher genutzt werden können, können Voucher erstellt,ausgedruckt, exportiert und gelöscht werden. Auf einer Liste der erstellten Voucherwerden Nutzungsinformationen angezeigt. Weitere Informationen finden Sie unterWirelessProtection >Hotspots.

l Client-Authentifizierung: Hier können die Benutzer eine Einrichtungsdatei vonSophosAuthentication Agent (SAA) herunterladen. Der SAA kann alsAuthentifizierungsmethode für denWebfilter genutzt werden. Die RegisterkarteClient-Authentifizierung ist nur dann verfügbar, wenn die entsprechende Funktion aktiviertwurde.Weitere Informationen finden Sie unter Definitionen &Benutzer >Client-Authentifizierung.


4 Verwaltung 4.6 Benutzerportal

4.6 Benutzerportal 4 Verwaltung

l Fernzugriff: Benutzer können hier Client-Software für den Fernzugriff sowie für siebereitgestellte Konfigurationsdateien herunterladen. Der Menüpunkt Fernzugriff istallerdingsnur zu sehen, wenn für den jeweiligen Benutzer der Fernzugriff aktiviertwurde.

Hinweis –UmProblemen beimHerunterladen von Dateienmit dem Internet Explorer6 vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100)den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich dieseEinstellungen imMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beimInternet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatische Eingabeaufforderung für Dateidownloads.

l HTML5-VPN-Portal: Hier können Benutzer über vordefinierte Dienste VPN-Verbindungen zu vordefinierten Hosts öffnen. Diese Registerkarte ist nur dannvorhanden, wenn für einen bestimmten Benutzer mindestenseine VPN-Verbindungaktiviert wurde.Weitere Informationen finden Sie unter Fernzugriff >HTML5-VPN-Portal.

l Kennwort ändern: Benutzer können hier ihr Kennwort für den Zugang zumBenutzerportal ändern.

l HTTPS-Proxy: Benutzer können von hier dasHTTPS-ProxyCA-Zertifikat importieren,um die Fehlermeldungen loszuwerden, die erscheinen, wenn sie sichereWebsitesbesuchen. Nach Anklicken der SchaltflächeProxy-CA-Zertifikat importieren, wird derBenutzer von seinemBrowser gefragt, ob er der CA für verschiedene Zweckevertraut.Weitere Informationen erhalten Sie unterWebProtection >Webfilter >HTTPS-CAs.

l Abmelden: Klicken Sie hier, um sich vomBenutzerportal abzumelden. Das ist allerdingsnur nötig, wenn SieAnmeine Anmeldung erinnern beim Anmeldenmarkiert hatten –dabeiwird ein Cookie angelegt – und Sie sich nun explizit abmeldenmöchten. Dabeiwirdder Cookie gelöscht. Ansonsten gibt es keinenGrund, die Abmelden-Schaltfläche zuverwenden; es reicht aus, die Registerkarte desBrowsers oder dasBrowserfenster zuschließen.

4.6.1 AllgemeinAuf der RegisterkarteVerwaltung >Benutzerportal >Allgemein können Sie dasBenutzerportalaktivieren. Zudem können Sie festlegen, welchen Netzwerken und welchen Benutzern Zugriffauf dasBenutzerportal gewährt werden soll.

Um den Zugang zumBenutzerportal zu aktivieren, gehen Sie folgendermaßen vor:


1. Aktivieren Sie das Benutzerportal.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittBenutzerportal-Optionen kann nunbearbeitet werden.

2. Wählen Sie die zugelassenen Netzwerke aus.Wählen Sie die Netzwerke aus, die Zugriff auf dasBenutzerportal haben dürfen.

3. Wählen Sie die zugelassenen Benutzer aus.Wählen Sie die Benutzer oder Benutzergruppen aus, die Zugriff auf dasBenutzerportalhaben sollen.

Wenn Sie nicht allen Benutzern Zugriff gestattenmöchten, wählen Sie die OptionNurbestimmte Benutzer zulassen und wählen Sie die Benutzer oder Benutzergruppeneinzeln aus.


4.6.2 ErweitertAuf der RegisterkarteErweitert können Sie einen alternativen Hostnamen und einePortnummer für dasBenutzerportal definieren sowie Sprach- und Sicherheitseinstellungenvornehmen.

SpracheWährend der Anmeldung wertet dasBenutzerportal die Spracheinstellungen desWebbrowsers ausund lädt dasentsprechendeGebietsschema, um dasBenutzerportal inderselben Sprache wie die Standardsprache desBrowsers anzuzeigen. Sollte der Browsereine Sprache alsStandardeinstellung haben, die im Benutzerportal nicht verfügbar ist, könnenSie hier angeben, welche Sprache ersatzweise verwendet werden soll. Benutzer habendarüber hinausdieMöglichkeit, eine Sprache auf der Anmeldeseite desBenutzerportals zuwählen.

Sicherhe itDasBenutzerportal verwendet Cookies zur Sitzungsverwaltung. Dauerhafte Cookiesermöglichen demBenutzer, nach demSchließen einer Sitzung später zurückzukehren, ohnesich neu anmelden zumüssen.Cookies können jederzeit vomBenutzer durch Anklicken derSchaltflächeAbmelden imMenü gelöscht werden.


4 Verwaltung 4.6 Benutzerportal

4.7 Benachrichtigungen 4 Verwaltung

Por ta l-E inträge deaktiv ie renFür die hier angegebenen Funktionen befindet sich einMenüeintrag im Benutzerportal,insofern die entsprechende Funktion inWebAdmin aktiviert wurde.Sie können aberMenüeinträge bestimmen, die nicht im Benutzerportal angezeigt werden sollen.Wählen Siehierzu die entsprechende(n) Option(en) ausund klicken Sie aufÜbernehmen.

Netzwerke inste llungenHostname: Standardmäßig ist der Hostname desGateways voreingestellt, wie er auf derRegisterkarteVerwaltung >Systemeinstellungen >Hostname angegeben ist. Wenn SieallerdingsZugriff auf dasBenutzerportal über das Internet gestattenmöchten, dann ist essinnvoll, hier einen alternativen Hostnamen einzutragen, der öffentlich aufgelöst werden kann.

Lausch-Adresse: Der Standardwert lautetAlle. Wenn Sie dieWeb Application Firewallverwenden, müssen Sie eine feste Schnittstellenadresse angeben, auf der der Dienst aufVerbindungen zumBenutzerportal lauscht. Diese Einstellung ist notwendig, damit dieVerbindungsverwaltung für dasBenutzerportal und dieWeb Application Firewall dieeingehenden SSL-Verbindungen unterscheiden können.

Port: Standardmäßig ist der Port 443 für HTTPS voreingestellt.Sie können den Port jedoch auf80oder auf einen beliebigenWert zwischen 1024und 65535ändern.Beachten Sie, dassSieweder den Port 10443noch denWebAdmin TCP-Port auswählen können, der auf derRegisterkarteVerwaltung >WebAdmin-Einstellungen >General konfiguriert ist. Unabhängigvom gewählten Port kann dasBenutzerportal stets nur über HTTPSaufgerufen werden.

BegrüßungstextSie können den Begrüßungstext desBenutzerportals anpassen. Einfache HTML-Befehle undHyperlinks sind gestattet.

Hinweis –Der Begrüßungstext kann nicht geändert werden, wenn Sie eine Home-Use-Lizenz verwenden.

4.7 BenachrichtigungenSophosUTMverfügt über eine Benachrichtigungsfunktion, die Sie sofort per E-Mail oderSNMPüber alle sicherheitsrelevanten Vorgänge auf demGateway informiert – entweder perE-Mail oder SNMP-Trap.Alle Ereignisse, die für einen Administrator von Interesse sein


könnten, haben ihre eigenen Fehler-, Warn- und Informations-Codes.WelcheBenachrichtigungen verschickt werden, hängt von den Einstellungen ab, die Sie auf derRegisterkarteBenachrichtigungen vorgenommen haben.

4.7.1 AllgemeinAuf der RegisterkarteVerwaltung >Benachrichtigungen >Allgemein können Sie dieAbsenderadresse (d. h. die From-Adresse) konfigurieren, die für dasVersenden vonBenachrichtigungen vomGatewayverwendet werden soll.Standardmäßig ist [email protected]. FallsSie diese Einstellung ändernmöchten, ist es ratsam, eine E-Mail-Adresse aus Ihrer Domäne zu wählen, damancheMail-Server überprüfen, ob dieAbsender-Adresse einer empfangenen Nachricht tatsächlich existiert.

Darüber hinaus können Sie einen oder mehrere Empfänger für die Benachrichtigungen desGateway festlegen. Standardmäßig ist dies die E-Mail-Adresse desAdministrators, die Siewährend der ersten Einrichtung angegeben haben.

Benachrichtigungen begrenzen: Einige sicherheitsrelevante Ereignisse, z. B. erkannteAngriffsversuche, erzeugen eine Vielzahl von Benachrichtigungen, was schnell dazu führenkann, dassdie Postfächer der Empfänger förmlich überlaufen.Zu diesem Zweck verfügtSophosUTM über angemessene Voreinstellungen, die die Anzahl der Benachrichtigungen, diepro Stunde verschickt werden, begrenzen.FallsSie dieseOption deaktivieren, erzeugt jedessicherheitsrelevante Ereignis eine Benachrichtigung; vorausgesetzt natürlich, diesesEreignisist auf der RegisterkarteVerwaltung >Benachrichtigungen >Benachrichtigungenentsprechend konfiguriert.

Gerätespez if ischer TextHier können Sie eine Beschreibung von SophosUTM, eingeben, z. B. den Standort. Diese wirddann in den Benachrichtigungen angezeigt, die verschickt werden.

4.7.2 BenachrichtigungenBenachrichtigungen sind in dreiKategorien unterteilt:

l CRIT: Benachrichtigungen über kritische Ereignisse, die den fehlerfreien Betrieb desGatewaygefährden.

l WARN:Warnhinweise über potenzielle Probleme, die Ihre Aufmerksamkeit erfordern,z. B. dasÜberschreiten von Schwellenwerten.


4 Verwaltung 4.7 Benachrichtigungen

4.8 Anpassungen 4 Verwaltung

l INFO: Rein informative Benachrichtigungen, z. B. bezüglich desNeustarts einerSystemkomponente.

Für jedeseinzelne Ereignis können Sie bestimmen, ob eine Benachrichtigung alsE-Mail oderSNMP-Trap verschickt werden soll.

4.7.3 ErweitertFür den Fall, dass Ihre UTME-Mails nicht direkt senden kann, können Sie einen Smarthost fürden E-Mail-Versand einrichten. Gehen Sie folgendermaßen vor:

1. Aktivieren Sie den Externen SMTP-Server auf der Registerkarte Verwaltung >Benachrichtigungen > Erweitert.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

2. Geben Sie Ihren Smarthost ein.Sie können dafür Drag&Drop verwenden.Der Port ist auf den SMTP-Port 25voreingestellt.

l TLS verwenden:Wählen Sie dieseOption, wenn Sie TLS für den Versand vonBenachrichtigungen erzwingen wollen. Beachten Sie, dassBenachrichtigungennicht versendet werden, wenn der Smarthost TLS nicht unterstützt.


Falls der Smarthost Authentifizierung erfordert, geben Sie den entsprechendenBenutzernamen und Kennwort für den Smarthost im AbschnittSMTP-Authentifizierungein.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

4.8 AnpassungenAuf den Registerkarten desMenüsVerwaltung >Anpassungen können Sie die Vorlagen fürStatusmeldungen und E-Mail-Benachrichtigungen, die von SophosUTM erstellt werden,anpassen und lokalisieren. Damit ist esmöglich, dieseMeldungen an die Richtlinien und dieCorporate Identity IhresUnternehmensanzupassen.

Hinweis –Anpassungen sind nicht möglich, wenn Sie eine Home-Use-Lizenz verwenden.


4.8.1 AllgemeinAuf der RegisterkarteVerwaltung >Anpassungen >Allgemein können Sie allgemeineEinstellungen für Statusmeldungen vornehmen, die Benutzern angezeigt werden. BeachtenSie, dassUTF-8/Unicode unterstützt wird.

Bild 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe deranpassbaren Elemente

FirmenlogoHier können Sie Ihr eigenesFirmenlogo/-banner (nur im jpg-Format) hochladen, das in denfolgenden Fällen verwendet wird:

l Webfilter-Meldungen

l Blockierte POP3-E-Mails

l Statusmeldungen zur Aufhebung der Quarantäne (werden angezeigt, wenn eine alsSpam eingestufte E-Mail über denQuarantänebericht ausder Quarantäne freigegebenoder auf die Positivliste (Whitelist) gesetzt wurde)

l Quarantänebericht

Begrenzen Sie die Auflösung desLogosauf einen angemessenenWert (z. B. 100 x200 Pixel).

Um ein Firmenlogo zu hochzuladen, gehen Sie folgendermaßen vor:


4 Verwaltung 4.8 Anpassungen


1. Öffnen Sie das Dialogfenster Datei hochladen.Klicken Sie dazu auf dasOrdnersymbol neben dem FeldNeuesLogo hochladen.


2. Wählen Sie das Firmenlogo.Wechseln Sie in dasVerzeichnis, wo sich dasFirmenlogo befindet.

Wählen Sie dasBanner ausund klicken Sie anschließend auf die SchaltflächeSpeichern.

3. Klicken Sie auf Übernehmen.DasFirmenlogo wird hochgeladen und ersetzt die bereits vorhandene Datei.

Firmenspez if ischer TextHierbei handelt es sich um den Text unterhalb desFirmenlogosauf der Standard-Fehlermeldungsseite, die vomBrowser angezeigt wird, wenn ein Benutzer eineWebsite öffnet,die vomVirenscanner oder dem Inhaltsfilter von SophosUTM blockiert wird.Sie können hier z.B. die Kontaktdaten desAdministrators eintragen. Beachten Sie, dasseineWebsite aufgrundmehrerer Gründe blockiert werden kann, z. B. weil sie zu einer URL-Kategorie gehört, dieexplizit verboten ist, oder alsSpyware (Spionagesoftware) eingestuft wurde, oder falls derBenutzer eine Datei herunterladenmöchte, deren Erweiterung als kritisch eingestuft wird (z. B.ausführbare Dateien).Die Vorlagen für diese Vorkommnisse können auf der RegisterkarteVerwaltung >Anpassungen >Webfilter geändert werden.

4.8.2 WebfilterPassen Sie hier die Vorlagen für Meldungen an, die vomWebfilter von SophosUTM angezeigtwerden, wenn versucht wird, auf blockierteWebsites zuzugreifen. DieMeldungen beziehensich dabei auf die jeweilige Ursache der Blockierung. Sie können die Vorlagen in andereSprachen übersetzen oder sie zusätzlich umKontaktinformationen erweitern, um nur einigeBeispiele zu nennen. Klicken Sie auf dasSymbol rechts vomNamen einer Meldungsvorlage,um die Vorlage anzuzeigen. Die folgenden Vorlagen können angepasst werden:

l Webfilter-Administratorangaben: Hier können Sie Informationen über denWebfilter-Administrator eingeben. Zusätzlich können Sie die E-Mail-Adresse desAdministrators angeben.

l Inhalt durch Surf Protection blockiert: DieseMeldung wird angezeigt, wenn einBenutzer versucht hat, auf eineWebseite zuzugreifen, deren URLmit einer Kategorieübereinstimmt, die blockiert werden soll.


l Inhalt durch Blacklist blockiert: DieseMeldung erscheint beimÖffnen einerWebseite, die auf der URL-Negativliste (Blacklist) steht.UmURLszur Negativlistehinzuzufügen, gehen Sie auf die SeiteWebProtection >Webfilter >URL-Filterung.

l Inhalt von Application Control blockiert: DieseMeldung wird angezeigt, wenn einBenutzer versucht hat, Netzwerkverkehr zu nutzen, der von Application Control blockiertwird.Weitere Informationen zu Application Control finden Sie im KapitelWebProtection >Application Control.

l Virus gefunden: DieseMeldung wird angezeigt, wenn eine Datei blockiert wurde, dieeinen Virusenthält.

l Datei wird heruntergeladen: DieseMeldung wird angezeigt, wenn eine Datei geradeheruntergeladen wird.

l Virenscan: DieseMeldung erscheint, wenn eine Datei gerade auf Viren überprüft wird.

l Herunterladen der Datei abgeschlossen: DieseMeldung wird angezeigt, wenn eineDatei komplett heruntergeladen und gescannt wurde.

l Transparenzmodus mit Authentifizierung: Dieser Abschnitt ist nur relevant, wennSie denWebfilter im Transparenzmodusmit Authentifizierung betreiben. Dieser Textwird auf der Authentifizierungsseite angezeigt, auf der jeder Benutzer sich anmeldenmuss, bevor er denWebfilter verwenden kann.DasFeldNutzungsbedingungen iststandardmäßig leer. Dasheißt, dassauf der Authentifizierungsseite keineNutzungsbedingungen angezeigt werden.Wenn Sie Nutzungsbedingungen anzeigenwollen, die Benutzer akzeptierenmüssen, geben Sie diese in diesem Feld an.Sie könnendie Nutzungsbedingungenwieder deaktivieren, indemSie den Inhalt desFeldsNutzungsbedingungen löschen.

l URL-Filter-Umgehung: DieseMeldung wird angezeigt, wenn eine Seite blockiert wirdund die Umgehungsoption für den entsprechenden Benutzer aktiviert ist (sieheWebProtection >Webfilter >URL-Filterung).

4.8.3 Download-VerwaltungWenn der Webfilter aktiviert ist, zeigt der Webbrowser die folgenden Statusmeldungen an,sobald ein Benutzer versucht, Inhalte vonmehr als 1MBGröße herunterzuladen, die keinenText bzw. keine Bilder umfassen. Beachten Sie, dass keine Statusmeldungen angezeigtwerden, wenn Video- oder Audio-Streamsangefordert werden oder wennmehr als 50%einerDatei innerhalb von fünf Sekunden heruntergeladen wurden.




Bild 13 Anpassungen: HTTP-Statusmeldung Schritt 1 von 3




4.8.4 SMTP-/POP3-ProxyPassen Sie hier diejenigen Vorlagen für Benutzermeldungen an, die vomSMTP- und POP3-Proxy von SophosUTM generiert werden.Sie können die Vorlagen in andere Sprachenübersetzen oder sie zusätzlich umSupport-Kontaktinformationen erweitern, um nur einigeBeispiele zu nennen. Die folgenden Vorlagen können angepasst werden:

l Nachricht aus Quarantäne freigegeben: DieseMeldung wird angezeigt, wenn eineE-Mail erfolgreich ausder Quarantäne freigegeben wurde.

l Bei der Quarantäne-Freigabe der Nachricht ist ein Fehler aufgetreten: DieseMeldung wird angezeigt, wenn ein Fehler während der Freigabe einer E-Mail ausderQuarantäne aufgetreten ist.

l POP3-Nachricht blockiert: DieseMeldung wird an den Empfänger gesendet, wenneine POP3-Nachricht blockiert wurde.

Bild 16 Anpassungen: Blockierte POP3-Proxy-Nachricht



4.9 SNMP 4 Verwaltung

4.9 SNMPDasSimple NetworkManagement Protocol (SNMP) wird dazu benutzt, umNetzwerkelementewie z. B. Router, Server oder Switches von einer zentralen Station ausüberwachen undsteuern zu können. SNMPermöglicht eseinemAdministrator, sich schnell einen Überblick überden Zustand der überwachten Netzwerkgeräte zu verschaffen.SophosUTM kann sokonfiguriert werden, dass sie auf SNMP-Anfragen antwortet oder SNMP-Trapsan SNMP-Verwaltungstools sendet.Erstereswirdmithilfe von sogenanntenManagement InformationBases (MIBs) erreicht. EineMIB definiert, welche Informationen zu welchenNetzwerkelementen abgerufen werden können.SophosUTMunterstützt SNMPVersion 2 und3 sowie die folgendenMIBs:

l DISMAN-EVENT-MIB:Management Information Base für Ereignisse

l HOST-RESOURCES-MIB:Management Information Base für Host-Ressourcen

l IF-MIB:Management Information Base für Schnittstellengruppen

l IP-FORWARD-MIB:Management Information Base für IP-Übergabetabelle

l IF-MIB:Management Information Base für das Internet Protocol (IP)

l NOTIFICATION-LOG-MIB:Management Information Base fürBenachrichtigungsprotokolle

l RFC1213-MIB:Management Information Base für die Netzwerkverwaltung vonTCP/IP-basiertem Internet: MIB II

l SNMPv2-MIB:Management Information Base für dasSimple NetworkManagementProtocol (SNMP)

l TCP-MIB:Management Information Base für dasTransmission Control Protocol (TCP)

l UDP-MIB:Management Information Base für dasUser DatagramProtocol (UDP)

UmSysteminformationen zu SophosUTM zu erhalten, müssen Sie einen SNMP-Managerverwenden, der zumindest gegen die RFC1213-MIB (MIB II) kompiliert ist.

4.9.1 AnfrageAuf der SeiteVerwaltung >SNMP>Abfrage können Sie die Nutzung von SNMP-Abfragenaktivieren.

UmSNMP-Anfragen zu konfigurieren, gehen Sie folgendermaßen vor:


1. Aktivieren Sie SNMP-Anfragen.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die AbschnitteSNMP-Version undSNMP-Zugriffskontrolle können nun bearbeitetwerden.

2. Wählen Sie die SNMP-Version aus.Wählen Sie im AbschnittSNMP-Version ausder Auswahlliste eine Version aus. FürSNMPVersion 3 ist Authentifizierung erforderlich.

3. Wählen Sie zugelassene Netzwerke aus.Netzwerke im Feld Zugelassene Netzwerke dürfen Anfragen an den SNMP-Agentenvon SophosUTM stellen. Beachten Sie, dassder Zugriff immer auf dasLeserecht (engl.read-only) beschränkt ist.

l Community-String:Geben Sie beiNutzung von Version 2 einen Community-String ein. Ein SNMP-Community-String dient als eine Art Kennwort für denZugriff auf den SNMP-Agenten.Standardmäßig ist „public“ alsSNMP-Community-String voreingestellt. Sie können diesenWert nach IhrenBedürfnissen ändern.

Hinweis –Der Community-String darf aus folgenden Zeichen bestehen: (a–z),(A–Z), (0–9), (+), (_), (@), (.), (-), (Leerzeichen).

l Benutzername/Kennwort: BeiNutzung von Version 3 ist Authentifizierungerforderlich. Geben Sie einen Benutzernamen und ein Kennwort ein (zweitesMalzur Bestätigung), damit der Remote-Administrator Anfragen versenden kann.DasKennwort mussmindestensacht Zeichen lang sein. SNMPv3 setzt für dieAuthentifizierung SHAund für die Verschlüsselung AESein. Beachten Sie, dassBenutzername/Kennwort für beides verwendet werden.


Darüber hinaus können Sie zusätzliche Informationen zumGatewayangeben.

Geräte informationenMit den Eingabefeldern im AbschnittGeräteinformationen können Sie dasGatewaynähererläutern, z. B. durch Angabe einesGerätenamens, desStandorts oder des zuständigenAdministrators.Diese Informationen können von SNMP-Verwaltungsprogrammen gelesenwerden und helfen bei der Identifikation desGateways.


4 Verwaltung 4.9 SNMP

4.9 SNMP 4 Verwaltung

Hinweis –Beachten Sie, dassder gesamte SNMP-Datenverkehr (Protokollversion 2)zwischen demGatewayund den Zugelassenen Netzwerken unverschlüsselt erfolgt und beieinem Transfer über öffentliche Netzemitgelesen werden kann.

Sophos UTMNotif ie r Management Information Base(MIB)In diesemAbschnitt können Sie den SophosUTMNotifier MIB herunterladen, der dieDefinitionen der SophosUTMSNMP-Benachrichtigungen enthält, die auf Ihren aktuellenEinstellungen für Benachrichtigungs-Trapsbasieren.

4.9.2 TrapsAuf der Registerkarte Traps können Sie einen SNMP-Trap-Server auswählen, an denBenachrichtigungen über relevante Ereignisse auf demGatewayper SNMP-Trap verschicktwerden können. Beachten Sie, dass spezielle SNMP-Überwachungssoftware benötigt wird,um die Trapsanzeigen zu können.

Die alsSNMP-Traps verschickten Nachrichten enthalten einen sogenanntenObject Identifier(Objektidentifizierungsnummer) (OID), z. B. .1.3.6.1.4.1.9789, der zu den privatenUnternehmensnummern gehört, die von der IANA vergeben werden.DieseOID setzt sichfolgendermaßen zusammen: ausdemPräfix.1.3.6.1.4.1, das füriso.org.dod.internet.private.enterprisesteht, sowie 9789, der privatenUnternehmensnummer der Astaro GmbH &Co. KG.Die OID für Benachrichtigungen 1500, andie wiederum die OID desTypsder Benachrichtigung und die desdazugehörigen Fehlercodes(000-999) angehängt wird. Die folgenden Benachrichtigungstypen sind verfügbar:

l DEBUG = 0

l INFO = 1

l WARN = 2

l CRIT = 3

Beispiel: Die Benachrichtigung "INFO-302: New firmware Up2Date installed" verwendet dieOID .1.3.6.1.4.1.9789.1500.1.302und bekommt die folgende Bezeichnung zugewiesen:

[<HOST>][INFO][302]

Beachten Sie, dass<HOST>ein Platzhalter für den Hostnamen darstellt und dassnur Typ undFehlercode ausder Betreffzeile der Benachrichtigung übermittelt werden.


http://www.iana.org/

Umeinen SNMP-Trap-Server auszuwählen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Neuer SNMP-Trap-Server.DasDialogfenster Neuen SNMP-Trap-Server erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Host: Die Host-Definition für den SNMP-Trap-Server.

Community-String: Ein SNMP-Community-String dient als eine Art Kennwort für denZugriff auf die Abfrage von SNMP-Nachrichten. Standardmäßig ist „public“ alsSNMP-Community-String voreingestellt. Geben Sie hier den Community-String ein, der aufdemSNMP-Trap-Server konfiguriert ist.

Hinweis –Der Community-String darf aus folgenden Zeichen bestehen: (a–z), (A–Z),(0–9), (+), (_), (@), (.), (-), (Leerzeichen).


3. Klicken Sie auf Speichern.Der neue SNMP-Trap-Server wird auf der Registerkarte Trapsangezeigt.

4.10 Zentrale VerwaltungÜber dasMenü Zentrale Verwaltungwerden Schnittstellen zu Verwaltungstools konfiguriert,die verwendet werden können, um dasGatewayzu überwachen oder ausder Ferne zuverwalten.

4.10.1 Astaro Command CenterAstaro CommandCenter (ACC) ist Sophos' Produkt zur zentralen Verwaltung.Sie könnenmehrere UTM-Appliancesmit einemACC verbinden, über daseine zentrale Überwachung,Konfiguration undWartungmöglich ist.

Auf dieser Registerkarte können Sie die Verbindung Ihrer UTMmit einem oder zweiACCskonfigurieren.

Damit SophosUTM von einemACC-Server überwacht werden kann, gehen Siefolgendermaßen vor:


4 Verwaltung 4.10 Zentrale Verwaltung

4.10 Zentrale Verwaltung 4 Verwaltung

1. Aktivieren Sie die ACC-Funktionalität auf der Registerkarte Astaro CommandCenter.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittACC-Einstellungen kann nun bearbeitetwerden.

2. Geben Sie den ACC-Host an.Wählen oder legen Sie den ACC-Server an, zu dem sich SophosUTM verbinden soll.

l Authentifizierung (optional): Wenn der ACC Authentifizierung erfordert,wählen Sie dieseOption und geben Sie dasKennwort (Verteilter Schlüssel) an,dasauf demACC-Server konfiguriert ist.

l Wählen Sie den ACC-Server als Up2Date-Zwischenspeicher (optional):Up2Date-Pakete können von einem Zwischenspeicher (engl. cache) geholtwerden, der sich auf demACC-Server befindet.Wenn Sie diese Funktionalität fürIhr Gatewayverwenden wollen, wählen Sie die OptionACC-Server alsUp2Date-Zwischenspeicher verwenden. Bitte stellen Sie sicher, dassder Administrator desACC, der Ihr Gerät verwaltet, die Up2Date-Zwischenspeicher-Funktionalität aufdemServer aktiviert hat.Beachten Sie, dassdie Verwendung der Up2Date-Zwischenspeicher-Funktionalität und einesübergeordneten Proxy für Up2Date-Pakete sich gegenseitig ausschließen.

Esgibt vier Optionen, über die Sie entscheiden können, welche Funktionsbereiche IhrerUTM von demAdministrator desgewählten ACC verwaltet werden dürfen. DieseOptionen spiegeln die Verwaltungsmöglichkeiten desACC wider.Weitere Informationenfinden Sie im ACC-Handbuch. Beachten Sie, dassdie Konfigurationsoption für einenzweiten ACC fehlt, da die Geräte nur von einemACC konfiguriert werden können.

3. Legen Sie die Berechtigungen des ACC-Administrators fest.Im ACC kann derfür UTM zuständige Administrator nur die Bereiche von UTM verwalten, für die hier eineausdrückliche Berechtigung erteilt wurde.Die hierin aufgelisteten Berechtigungenentsprechen demHauptmenü und den Verwaltungsoptionen desACC.Administration: BeiAuswahl kann der Administrator die Funktionen in denMenüsWartung undVerwaltung verwenden. Dadurch lässt sich beispielsweise der Bestandanzeigen. Außerdem können Backupserstellt und wiederhergestellt sowie geplanteVorgänge wie Firmware-Aktualisierungen durchgeführt werden.

Berichte: BeiAuswahl kann der Administrator die Funktionen imBerichtsmenüverwenden.Dadurch lassen sich z. B. UTM-Berichte anfordern.


Überwachung: BeiAuswahlwird UTM auf den Seiten für dieÜberwachung angezeigtund der Administrator kann die entsprechenden Funktionen verwenden.

Konfiguration: BeiAuswahl kann der Administrator die Funktionen imKonfigurationsmenü verwenden.Somit lassen sich der UTM beispielsweise Objekte(Netzwerke, Hosts, VPNs) zuweisen.

Hinweis –Weitere Informationen finden Sie im ACC-Handbuch.

4. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.Kurz darauf kann SophosUTM durch den hierausgewählten ACC-Server überwacht und verwaltet werden.

Einste llungen für e in zwe ites ACCIn diesemAbschnitt können Sie optional ein weiteresACC hinzufügen.Das ist sinnvoll, wenn Siebeispielsweise die Konfiguration selbst vornehmen (erster ACC-Server), aber IhreMaschinendennoch von einemDritten überwachen lassen wollen, z. B. IhremMSSP (zweiten ACC-Server).Die Einstellungen sind fast identischmit denen desersten ACC-Servers, lediglich dieKonfigurationsoption fehlt, da diese nur dem ersten ACC-Server zur Verfügung steht.

Hinweis –Beachten Sie, dassdasGatewayund der ACC-Server über Port 4433miteinander kommunizieren, wohingegen der Zugriff auf dasAstaro CommandCenter miteinemBrowser über dasHTTPS-Protokoll auf Port 4444 für dieWebAdmin- und auf Port4422 für die Gateway-Manager-Schnittstelle erfolgt.

ACC-ZustandSie können den aktuellen Verbindungsstatusund Zustand im AbschnittACC-Zustand sehen.Ein Neuladen der Seite aktualisiert diese Daten.

ACC-ObjekteDieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, esgibt Objekte, die von einemACCausangelegt wurden und dieser ACC ist nun getrennt von SophosUTM. ACC-erzeugteObjekte können Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel undÄhnliches sein.

Die SchaltflächeObjekte aufräumen kann angeklickt werden, um alle Objekte freizugeben, dievomACC angelegt wurden, mit dem dasSystem ehemals verwaltet wurde. DieseObjekte sind


4 Verwaltung 4.10 Zentrale Verwaltung

4.11 Hochverfügbarkeit 4 Verwaltung

normalerweise gesperrt und können nur auf dem lokalenGerät eingesehen werden. NachBetätigung der Schaltfläche werden die Objekte voll zugänglich und können vom lokalenAdministrator wiederverwendet oder gelöscht werden.

Hinweis –Wenn ehemalige ACC-erzeugte Objekte aufgeräumt wurden, können sie nichtzurückgewandelt werden, wenn dasGerät wieder mit demselben ACC verbunden wird.Dasbedeutet, wenn ein entfernter ACC nochObjektdefinitionen für ein Gerät bereithält, das sichspäter mit ihmwiederverbindet, so werden dieseObjekte erneut auf dasGerät übertragen –obwohl dann bereits lokale Kopien existieren.

Live -Protoko llSie können dasLive-Protokoll verwenden, um die Verbindung zwischen SophosUTM und demACC zu beobachten.Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um dasLive-Protokoll in einem neuen Fenster zu öffnen.

4.11 HochverfügbarkeitIn den allermeisten Fällen ist ein Hardware-Fehler für den Ausfall einesInternetsicherheitssystemsverantwortlich.Die Fähigkeit einesSystems, beiAusfall einer seinerKomponenten uneingeschränkten Betrieb zu gewährleisten, wird auch Failover bzw.Hochverfügbarkeit genannt (abgekürzt HA, abgeleitet von engl. High-Availability).SophosUTMbietet Hochverfügbarkeit, indem esermöglicht, ein redundantesHot-Standby-System zukonfigurieren, das im Falle eines technischen VersagensdesPrimärsystemsdessen Aufgabenübernimmt (aktiv-passiv).Alternativ dazu können Sie SophosUTM alsCluster konfigurieren,welches speziellen Datenverkehr auf mehrereMaschinen verteilt (aktiv-aktiv), wieman es vonkonventionellen Lösungen zur Lastverteilung kennt. Das führt zu optimalerRessourcenauslastung und verringert Rechenzeit.

Die KonzepteHochverfügbarkeit undCluster ähneln sich hinsichtlich ihrer Implementierung inSophosUTM sehr. So kann z. B. ein hochverfügbaresSystem als ein Zwei-Knoten-Clusterangesehen werden, wasdieMindestanforderung an ein redundantesSystem darstellt.

Jeder Knoten innerhalb einesClusters kann eine der folgenden Rollen annehmen:

l Master: DasPrimärsystem in einemHot-Standby-/Cluster-Aufbau. Innerhalb einesClusters sorgt der Master für die Synchronisierung und Verteilung der Daten.


l Slave: DasSekundärsystem in einemHot-Standby-/Cluster-Aufbau, dasden Betriebsicherstellt, falls dasPrimärsystem ausfällt.

l Worker: Ein einfacher Cluster-Knoten, der nur für die Datenverarbeitung zuständig ist.

Alle Knoten überwachen sich gegenseitig mit Hilfe eines sogenannten Heartbeat-Signals, ein inperiodischen Abständen verschicktesMulticast-UDP-Datenpaket, um festzustellen, ob dieanderen Knoten noch „am Leben“ sind (daher der Begriff Heartbeat, dt. Herzschlag).Fallsaufgrund eines technischen Fehlers einer der Knoten kein Heartbeat-Signalmehr aussendenkann, wird er als tot betrachtet.Je nach der Rolle, die der ausgefallene Knoten innehatte,ändert sich die Konfiguration desAufbauswie folgt:

l Falls der Master-Knoten ausfällt, übernimmt der Slave-Knoten seinen Platz und derWorker-Knotenmit der höchsten ID wird Slave.

l Falls der Slave-Knoten ausfällt, wird der Worker-Knotenmit der höchsten ID zumSlave.

l Falls einWorker-Knoten ausfällt, bemerken Sie im Höchstfall Leistungseinbußenaufgrund der verringerten Rechenleistung. Die Ausfallsicherheit ist dadurch nichtbeeinträchtigt.

BerichteAlle Berichtsdaten werden auf demMaster-Knoten konsolidiert und in Abständen von fünfMinuten auf die anderen Knoten übertragen.Im Fall einer Übernahme durch dasSekundärsystem verlieren Sie daher höchstens fünf Minuten an Daten. Esgibt allerdingseinenUnterschied in Bezug auf die Ansammlung von Daten.Die Diagramme auf den RegisterkartenProtokolle &Berichte >Hardware repräsentieren lediglich die Daten desKnotens, der geradeMaster ist.Netzwerkverkehrsdaten wiederum, wie sie beispielsweise auf der SeiteProtokolle &Berichte >Netzwerknutzung erscheinen, repräsentieren Daten von allen beteiligten Knoten.So zeigt z. B. dasHistogramm der heutigen CPU-Auslastung die aktuelle ProzessorauslastungdesMaster-Knotens. Im Fall einer Übernahme durch den Slave wären diesdann die Daten desSlave. ImGegensatz dazu sind z. B. die Informationen Häufigste Netzwerkdienste imMenüNetzwerkeine Ansammlung der Daten aller Knoten, die bei der verteilten Verarbeitung desDatenverkehrs involviert waren.

Hinweisel DasAddressResolution Protocol (ARP) wird nur vom aktuellenMaster benutzt, d. h.

Slave- undWorker-Knoten senden und beantworten keine ARP-Anfragen.


4 Verwaltung 4.11 Hochverfügbarkeit


l Im Fall einer Übernahme führt die Einheit, die die Aufgaben übernimmt, eine ARP-Bekanntgabe (auch bekannt alsgratuitousARP) durch. Das ist gewöhnlich eine ARP-Anfrage, die dazu dient, die ARP-Zwischenspeicher (Cache) der anderen Hosts zuaktualisieren, die diese Anfrage erhalten. Die ARP-Bekanntgabe wird dazu benutzt,bekannt zu geben, dassdie IP-Adresse desMaster auf den Slave übertragen wurde.

l Alle Schnittstellen, die auf demMaster konfiguriert sind, müssen eine physikalischeVerbindung haben, dasheißt, der Port muss korrekt mit einemNetzwerkgerätverbunden sein.

4.11.1 Hardware- und Software-VoraussetzungenDie folgenden Hardware- und Software-Voraussetzungenmüssen für die HA- und Cluster-Funktionalität erfüllt sein:

l Gültige Lizenzmit aktivierter HA-Option (für dasStandby-Gerät benötigen Sie lediglicheine zusätzliche Basislizenz).

l ZweiUTM-Gerätemit identischer Software-Version und identischer Hardware oderzweiUTM-AppliancesdesgleichenModells.

l Heartbeat-fähige Ethernet-Netzwerkkarten.Auf der HCL (Hardware Compatibility List)können Sie nachsehen, welche Netzwerkkarten unterstützt werden.Die HCL befindetsich in der SophosKnowledgebase (verwenden Sie „HCL“ alsSuchbegriff).

l Ethernet-Crosskabel (für die Verbindung zwischenMaster und Slave in einemHot-Standby-System).UTMAppliancesder Modelle 320, 425 und 525, deren dedizierte HA-Schnittstelle eine Gigabit-auto-MDX-Schnittstelle ist, können auch durch ein Standard-Ethernetkabel der IEEE-Norm 802.3miteinander verbunden werden.

l Netzwerk-Switch (umCluster-Knotenmiteinander zu verbinden).

4.11.2 StatusDie RegisterkarteVerwaltung >Hochverfügbarkeit >Status führt alle Geräte auf, die zu einemHot-Standby-System bzw. Cluster gehören, und zeigt die folgenden Informationen an:

l ID: Die Knoten-ID desGeräts.In einemHot-Standby-System ist die ID entweder 1(Master) oder 2 (Slave).Die ID in einemCluster reicht von 1 bis 10, da ein Cluster ausmaximal zehn Knotenbestehen kann.



l Rolle: Jeder Knoten innerhalb einesClusters kann eine der folgenden Rollenannehmen:l MASTER: DasPrimärsystem in einemHot-Standby-/Cluster-Aufbau. Innerhalb

einesClusters sorgt der Master für die Synchronisierung und Verteilung derDaten.

l SLAVE: DasSekundärsystem in einemHot-Standby-/Cluster-Aufbau, dasdenBetrieb sicherstellt, falls dasPrimärsystem ausfällt.

l WORKER: Ein einfacher Cluster-Knoten, der nur für die Datenverarbeitungzuständig ist.

l Gerätename: Der Name desGeräts.

l Status: HA-StatusdesKnotens. Die folgendenWerte sindmöglich:l AKTIV: Der Knoten ist voll funktionsfähig.

l NICHT VERBUNDEN: Eine oder mehrere Schnittstellen sind nicht verbunden.

l UP2DATE: Auf demKnoten wird gerade ein Up2Date ausgeführt.

l UP2DATEFEHLGESCHLAGEN: DasUp2Date auf demKnoten istfehlgeschlagen.

l TOT: Der Knoten ist nicht erreichbar.

l SYNCING: Die Datensynchronisierung läuft. Dieser Statuswird angezeigt, wennein Übernahmevorgang stattfindet. Die anfängliche Synchronisierungszeit beträgtmindestens fünf Minuten. Sie kann jedoch durch alle an der Synchronisierungbeteiligten Programme verlängert werden.Während ein SLAVE synchronisiertund sich im ZustandSYNCINGbefindet, findet keine Übernahme, z. B. wegeneinesLinkausfalls auf demMaster-Knoten, statt.

l Version: Versionsnummer der SophosUTMSoftware, die auf demSystem installiert ist.

l Letzte Statusänderung: Zeitpunkt der letzten Statusänderung.

Neustart/Herunterfahren:Mit diesen Schaltflächen kann ein Gerät manuell neu gestartetoder heruntergefahren werden.

Knoten entfernen: Verwenden Sie diese Schaltfläche, um einen toten Cluster-Knoten überWebAdmin zu entfernen. Alle knotenspezifischen Daten wie E-Mail-Quarantäne und Spoolwerden dann vomMaster übernommen.

Klicken Sie auf die SchaltflächeHA-Live-Protokoll öffnen in der rechten oberen Ecke, um dasHochverfügbarkeits-Live-Protokoll in einem separaten Fenster zu öffnen.




4.11.3 SystemstatusDie RegisterkarteVerwaltung >Hochverfügbarkeit >Systemstatus führt alle Geräte auf, die zueinemHot-Standby-System bzw. Cluster gehören und zeigt Informationen über dieRessourcennutzung jedeseinzelnenGerätesan:

l Die CPU-Auslastung in Prozent

l Die RAM-Auslastung in Prozent

l Der von der Swap-Partition benutzte Festplattenplatz in Prozent

l Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz in Prozent

l Der von der Daten-Partition belegte Festplattenplatz in Prozent

4.11.4 KonfigurationDie HA-Funktionalität von SophosUTM umfasst dreiGrundeinstellungen:

l Automatische Konfiguration

l Hot-Standby (aktiv-passiv)

l Cluster (aktiv-aktiv)

Automatische Konfiguration:SophosUTM verfügt über eine Plug-and-Play-Konfigurationsoption speziell für UTMAppliances, die esermöglicht, ein Hot-Standby-Systembzw. ein Cluster aufzubauen, ohne jedesGerät einzeln konfigurieren oder manuell installierenzumüssen, das zumCluster hinzugefügt werden soll.Dazu verbindet man einfach die HA-Schnittstellen (eth3) der UTMAppliancesmiteinander und wählt auf allen Geräten jeweils dieOptionAutomatische Konfiguration.

Hinweis –DamitAutomatische Konfiguration funktioniert, müssen alle UTMAppliances vomgleichenModell sein.Sie können z. B. nur zweiUTM 320 Appliances zumAufbau einesHA-Systemsverwenden; eine UTM 220 kann hingegen nicht mit einer UTM 320 kombiniertwerden.

Wenn Sie zweiUTMAppliancesüber die entsprechende Schnittstelle miteinander verbinden,erkennen sich alle Geräte gegenseitig und konfigurieren sich selbstständig alsHA-System. DasGerät mit der längeren Betriebszeit wird Master. Im unwahrscheinlichen Fall, dassdie


Betriebszeit identisch ist, wird die Entscheidung, welchesGerät Master werden soll, anhand derMAC-Adresse getroffen.

Wenn Sie UTMSoftware verwenden, wird die OptionAutomatische Konfiguration aufdedizierten Slave-Systemen dazu benutzt, automatisch einemMaster- oder bereitskonfigurierten Hot-Standby-System bzw. Cluster beizutreten.AusdiesemGrund istAutomatische Konfiguration eher alsÜbergangsmoduszu verstehen denn als eigenständigerHA-Betriebsmodus.Denn der HA-Betriebsmodusändert sich inHot-Standbyoder Cluster,sobald dasGerät mit der EinstellungAutomatische Konfiguration einemHot-Standby-Systembzw. Cluster beitritt.Voraussetzung dafür allerdings ist, dassdie OptionAutomatischeKonfiguration neuer Geräte aktivieren auf demMaster aktiviert ist.Diese Funktion sorgt dafür,dassgenau die Geräte automatisch einemHot-Standby-System bzw. Cluster hinzugefügtwerden, deren HA-BetriebsmodusaufAutomatische Konfiguration steht.

Hot-Standby (aktiv-passiv):SophosUTM kann alsHot-Standby-System, bestehend auszweiKnoten, konfiguriert werden, wasdieMindestvoraussetzung für ein redundantesSystemist.Eine der größten technischen Verbesserungen von SophosUTMSoftware 9 ist, dassdieLatenzzeit für eine Übernahme durch dasStandby-Gerät auf weniger als zweiSekundenverringert werden konnte. Zusätzlich zur Firewall-Synchronisierung bietet dasGatewayaucheine IPsec-Tunnel-Synchronisierung.Diesbedeutet, dassweder Road-Warrior- nochentfernte VPN-Gateway-Verbindungen nach einer Übernahme neu aufgebaut werdenmüssen. Objekte, die sich in Quarantäne befinden, werden ebenfalls synchronisiert und sind soauch nach einemAusfall desPrimärsystemsnoch verfügbar.

Cluster (aktiv-aktiv): Umder steigenden Nachfrage nach der Verarbeitung von großenMengen an Internetverkehr in Echtzeit gerecht zu werden, kann SophosUTM alsClusterkonfiguriert werden. Ein Cluster besteht ausmehreren Knoten, auf die rechenintensiveAufgaben wie z. B. Inhaltsfilterung, Virenscans, Angriffschutz und Entschlüsselung gleichmäßigverteilt werden können. Ohne die Notwendigkeit eines speziellen Lastenausgleichsprogrammswird so die Gesamtleistung desGatewaysdeutlich erhöht.

Hinweis –Wenn Sie ein Cluster konfigurieren, stellen Sie sicher, dassSie denMaster zuerstkonfigurieren, bevor Sie die anderenGerätemit demSwitch verbinden.

Die Einrichtung vonMaster, SlavesundWorkers unterscheidet sich nur in wenigen Punkten:Gehen Sie folgendermaßen vor:

1. Wählen Sie einen HA-Betriebsmodus.Standardmäßig ist die HA-Funktion deaktiviert. Die folgendenModi sindmöglich:




l Automatische Konfiguration

l Hot-Standby (aktiv-passiv)

l Cluster (aktiv-aktiv)

Hinweis – FallsSie den Betriebsmodusspäter ändernmöchten, müssen Sie vorherdenModusaufAus stellen. Erst danach können Sie einen der BetriebsmodiAutomatische Konfiguration,Hot-Standbyoder Cluster wählen.

Abhängig von Ihrer Auswahlwerden eine oder mehrere Optionen angezeigt.

2. Nehmen Sie die folgenden Einstellungen vor:Sync-NIC:Wählen Sie die Netzwerkkarte aus, über dieMaster- und Slave-Systememiteinander kommunizieren.Wenn Linkbündelung aktiviert ist, können Sie hier auch eineLinkbündelungsschnittstelle sehen.

Hinweis –Beachten Sie, dassnur jene Netzwerkkarten angezeigt werden, die nochnicht konfiguriert wurden. Es ist möglich, die Synchronisierungsschnittstelle in einerlaufenden Konfiguration zu ändern. Beachten Sie, dassdanach alle Knoten einenNeustart durchführen werden.

Die folgendenOptionen können erst konfiguriert werden, nachdem entweder Hot-Standbyoder Cluster alsBetriebsmodusausgewählt wurde:

Gerätename:Geben Sie einen aussagekräftigen Namen für dasGerät ein.

Geräteknoten-ID:Weisen Sie demGerät eine Knoten-ID zu. Im Fall einesAusfalls desPrimärsystemswird der Knotenmit der höchsten ID Master.

Verschlüsselungsschlüssel: DasKennwort, mit dem die Kommunikation zwischenMaster und Slave verschlüsselt wird (zur Sicherheit müssen Sie dasKennwort zweimaleingeben). Der Schlüssel darf maximal 16 Zeichen lang sein.

3. Klicken Sie auf Übernehmen.Die Konfiguration der HA-Ausfallsicherheit auf demGerät ist damit abgeschlossen.

DasGateway imHot-Standby-Moduswird in regelmäßigen Abständen über die Sync-NIC(Synchronisierungsschnittstelle) aktualisiert. Sollte dasPrimärsystem ausfallen, wird dasSekundärsystem unmittelbar in den normalenModuswechseln und die Aufgaben desPrimärsystemsübernehmen.


Hinweis –Wenn Sie ein Hot-Standby-System bzw. Cluster deaktivieren, führen die Slave-undWorker-Knoten eineWerksrücksetzung (engl. FactoryReset) durch und fahrenherunter.

Weitere Informationen zu diesem Thema (insbesondere Anwendungsfälle) finden Sie imHA/Cluster Guide unter SophosKnowledgebase.

Erwe ite r tIn diesemAbschnitt können Sie einige erweiterte Einstellungen vornehmen.

Automatische Konfiguration neuer Geräte aktivieren:Wenn Sie ein Hot-Standby-System bzw. Cluster manuell konfiguriert haben, sorgt dieseOption dafür, dassgenau dieGeräte automatisch zu einemHot-Standby-System bzw. Cluster hinzugefügt werden, derenHA-BetriebsmodusaufAutomatische Konfiguration steht. Da dieseOption jedoch keinen Effektauf Slave-Systemen hat, können Sie die Option aktiviert lassen, wasder Standardeinstellungentspricht.

Knoten während Up2Date reservieren: Aktivieren Sie dieseOption, damit während einesUpdatesauf eine neue Systemversion die Hälfte der HA/Cluster-Knoten die aktuelleSystemversion beibehält.Sobald die neue Version stabil ist, können Sie die verbleibendenKnoten auf der SeiteVerwaltung > Hochverfügbarkeit >Statusaktualisieren. Falls die neueVersion einen Ausfall der aktualisierten Knoten zur Folge hat, bilden die verbleibenden Knoteneinen neuen HA/Cluster mit der alten Version. Anschließend können Sie auf den nicht mehrfunktionierenden Knoten wieder die alte Version installieren oder auf dasnächste Updatewarten.

Preferred Master: (bevorzugter Master) Hier können Sie einen designiertenMaster-Knotenbestimmen, indemSie einen Knoten von der Auswahlliste wählen. Im Fall einer Übernahmewird der gewählte Knoten nicht im Slave-Modusbleiben, nachdem die Verbindungwiederhergestellt ist, sondern in denMaster-Modus zurückkehren.

Backup-Schnittstelle: Um zu verhindern, dass sowohlMaster als auch Slave gleichzeitigMaster werden (Master-Master-Situationen), beispielsweise durch ein Versagen der HA-Synchronisierungsschnittstelle oder dasAbziehen einesNetzwerkkabels, kann eine Heartbeat-fähige Backup-Schnittstelle ausgewählt werden. Diese zusätzliche Heartbeat-fähigeSchnittstelle kann eine beliebige konfigurierte und aktive Ethernet-Schnittstelle sein.Wenn eineBackup-Schnittstelle gewählt wurde, wird ein zusätzlichesHeartbeat-Signal über dieseSchnittstelle in eine Richtung vomMaster zumSlave gesendet, um sicherzustellen, dassdie




4.12 Ausschalten/Neustart 4 Verwaltung

Master-Slave-Konfiguration intakt bleibt. Wenn dieMaster-Slave-Verbindung deaktiviert istund die Backup-Schnittstelle aktivwird, erhält der Administrator eine Benachrichtigung, die ihndarüber informiert, dasseiner der Cluster-Knoten tot ist. Da dieseOption jedoch keinen Effektauf Slave-Systeme hat, können Sie sie unkonfiguriert lassen.

Hinweis –Wenn die HA-Synchronisierungsschnittstelle ausfällt, wird keine Konfigurationmehr synchronisiert. Die Backup-Schnittstelle verhindert lediglichMaster-Master-Situationen.

4.12 Ausschalten/NeustartAuf dieser Registerkarte können Sie SophosUTMmanuell herunterfahren oder neu starten.

Herunterfahren:Mit dieser Aktion können Sie dasSystem herunterfahren und alle Diensteordnungsgemäß stoppen. FallsSie keinenMonitor oder LCD-Displayangeschlossen haben,wird daserfolgreiche Herunterfahren durch eine endlose Reihe von Pieptönen im Abstand voneiner Sekunde signalisiert.

UmSophosUTM herunterzufahren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche System jetzt herunterfahren.

2. Bestätigen Sie den Warnhinweis.Bestätigen Sie die Sicherheitsabfrage „Systemwirklich herunterfahren?“ mitOK.

DasSystem fährt anschließend herunter.

Abhängig von der verwendeten Hardware und Konfiguration kann dieser ProzessmehrereMinuten dauern. Sie sollten dasGerät erst dann ausschalten, nachdem esvollständigheruntergefahren ist. Wenn Sie dasGerät vorher ausschalten, wird dasSystem beim nächstenStart den Zustand desDateisystemsüberprüfen, wasden Startvorgang erheblich verzögert.Im schlimmsten Fall können Daten verloren gehen.

Einen erfolgreichen Systemstart signalisiert dasGerät mit fünf aufeinanderfolgendenPieptönen.

Neustart:Mit dieser Aktion können Sie dasSystem neu starten. Abhängig von derverwendeten Hardware und Konfiguration kann dieser ProzessmehrereMinuten dauern.

UmSophosUTM neu zu starten, gehen Sie folgendermaßen vor:


1. Klicken Sie auf die Schaltfläche System jetzt neu starten.

2. Bestätigen Sie den Warnhinweis.Bestätigen Sie die Sicherheitsabfrage „Systemwirklich neu starten?“ mitOK.

DasSystem fährt herunter und startet anschließend neu.


4 Verwaltung 4.12 Ausschalten/Neustart

5 Definitionen & BenutzerIn diesemKapitelwird die Konfiguration von Netzwerk-, Dienst- und Zeitraumdefinitionenbeschrieben, die von SophosUTM verwendet werden.DieDefinitionenübersicht imWebAdminzeigt die Anzahl aller Netzwerkdefinitionen in Abhängigkeit von ihrem Typ und die Anzahl allerDienstdefinitionen in Abhängigkeit von ihremProtokolltyp.

Die Seiten desMenüsDefinitionen &Benutzer ermöglichen die zentrale Definition vonNetzwerken und Diensten, die dann überall in den Konfigurationsmenüsverwendet werdenkönnen. Dieserlaubt es Ihnen, überallmit einheitlichen Namen zu arbeiten, anstatt mituneingängigen IP-Adressen, Portnummern und Netzmasken. Ein weiterer Vorteil vonDefinitionen liegt darin, dassSie individuelle Netzwerke und Dienste gruppieren und dadurchauf einmal konfigurieren können.Wenn Sie dann beispielsweise später Änderungen an denEinstellungen dieser Gruppe vornehmen, gelten diese für alle darin enthaltenen Netzwerkeund Dienste.

Zudem beschreibt diesesKapitel die Konfiguration von Benutzerkonten, Benutzergruppen undexternen Authentifizierungsservern von SophosUTM sowie die Authentifizierung für Client-PCs.


l Netzwerkdefinitionen

l Dienstdefinitionen

l Zeitraumdefinitionen

l Benutzer &Gruppen

l Client-Authentifizierung

l Authentifizierungsserver

5.1 NetzwerkdefinitionenAuf der SeiteDefinitionen &Benutzer >Netzwerkdefinitionenwerden die Hosts, Netzwerkeund Netzwerkgruppen der UTM festgelegt. Die hier angelegten Definitionen können an vielenanderen Stellen der WebAdmin-Konfigurationsmenüsverwendet werden.

5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer

Tipp –Durch einen Klick auf das Infosymbol einer Netzwerkdefinition in der Liste derNetzwerkdefinitionen können Sie alle Konfigurationsoptionen sehen, in denen dieseNetzwerkdefinition verwendet wird.

Die Netzwerktabelle enthält auch statische Netzwerke, die automatisch vomSystem angelegtwurden und die weder bearbeitet noch gelöscht werden können:

l Schnittstellen-Adresse: Eine Definition dieser Art wird für jede Netzwerkkartehinzugefügt.Sie enthält die aktuelle IP-Adresse der Schnittstelle. Ihr Name besteht ausdemNamen der Schnittstelle, gefolgt von dem Zusatz „(Address)“.

l Schnittstellen-Broadcast-Adresse: Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt. Sie enthält die aktuelle IPv4-Broadcast-Adresse der Schnittstelle. Ihr Name besteht ausdemNamen der Schnittstelle, gefolgtvon dem Zusatz „(Broadcast)“.

l Schnittstellen-Netzwerkadresse: Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt. Sie enthält dasaktuelle IPv4-NetzwerkderSchnittstelle. Ihr Name besteht ausdemNamen der Schnittstelle, gefolgt von demZusatz „(Network)“.

l Internet (IPv4/IPv6): Eine Netzwerkdefinition (jeweils für IPv4 und IPv6, falls IPv6aktiviert ist), die an diejenige Schnittstelle gebunden ist, die alsStandardgatewayfungiert. Die Benutzung dieser Definition sollte Ihren Konfigurationsprozesserleichtern.Wenn die Uplink-Ausgleich-Funktion aktiviert ist, ist die Definition Internet andieUplink-Schnittstellen gebunden.

Um eine Netzwerkdefinition anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Netzwerkdefinitionen auf Neue Netzwerkdefinition.DasDialogfenster NeueNetzwerkdefinition erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:(Abhängig von dem gewählten Definitionstyp werden weitere Parameter derNetzwerkdefinition angezeigt.)

Name:Geben Sie einen aussagekräftigen Namen für diese Definition ein.

Typ:Wählen Sie den Typ der Netzwerkdefinition. Die folgenden Typen sind verfügbar:


l Host: Einzelne IP-Adresse.Geben Sie die folgenden Informationen an:l IPv4/IPv6-Adresse: Die IP-Adresse desHosts (Sie können keine IP-

Adresse einer bereits konfigurierten Schnittstelle eingeben).

l DNS-Host: Ein DNS-Hostname, der dynamisch vomSystem aufgelöst wird, umeine IP-Adresse zu erhalten. DNS-Hosts sind nützlich, wenn esdarum geht, mitdynamischen IP-Endpunkten zu arbeiten.DasSystem löst diese Definitionenperiodisch immer wieder neu auf, wobei es sich an den TTL-Werten (Time ToLive) orientiert, und aktualisiert die Definitionen beiBedarf mit den neuen IP-Adressen.Geben Sie die folgenden Informationen an:l Hostname: Der Name desHosts, der aufgelöst werden soll.

l DNS-Gruppe: Eine DNS-Gruppe ähnelt einemDNS-Host, aber sie kannmehrere RRs (Resource Records, dt. Ressourcen-Einträge) für einen einzelnenHost im DNS verarbeiten.Eine DNS-Gruppe ist nützlich zur Definition vonFirewallregeln und Ausnahmen in transparenten Proxies.

l Netzwerk: Ein Standard-IP-Netzwerk, dasauseiner Netzwerkadresse und einerNetzmaske besteht.Geben Sie die folgenden Informationen an:l IPv4/IPv6-Adresse: Die Netzwerkadresse desNetzwerks (Sie können

keine IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).

l Netzmaske: Die Bitmaske, die angibt, wie viele Bits einesOktetts dasSubnetzwerk spezifizieren und wie viele BitsPlatz für Hostadressen bieten.

l Multicast-Gruppe: Ein Netzwerk, daseinen festgelegtenMulticast-Netzwerkbereich umfasst.l IPv4-Adresse: Die Netzwerkadresse desMulticast-Netzwerks, die im

Bereich 224.0.0.0bis239.255.255.255 liegenmuss.

l Netzmaske: Die Bitmaske, die angibt, wie viele Bits einesOktetts dasSubnetzwerk spezifizieren und wie viele BitsPlatz für Hostadressen bieten.

l Netzwerkgruppe: Eine Art Behälter, der eine Liste anderer Netzwerkdefinitionenenthält. Sie können ihn verwenden, umNetzwerke und Hostszusammenzufassen, damit Ihre Konfiguration übersichtlicher wird.Sobald Sie dieNetzwerkgruppe ausgewählt haben, erscheint dasFeldMitglieder, über dasSiedie Gruppenmitglieder hinzufügen können.

l Verfügbarkeitsgruppe: EineGruppe ausHosts und/oder DNS-Hosts, die nachPriorität angeordnet sind. Die Verfügbarkeit aller Hostswird standardmäßigmitICMP-Pings, die im Abstand von 60 Sekunden erfolgen, überprüft. Der(verfügbare) Host mit der höchsten Priorität wird für die Konfiguration


5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen

5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer

verwendet.Sobald Sie dieVerfügbarkeitsgruppe ausgewählt haben, erscheintdasFeldMitglieder, über dasSie die Gruppenmitglieder hinzufügen können.


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Die angezeigtenOptionen hängen vom oben ausgewählten Typ ab.

Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstellegebunden werden, sodassVerbindungen zu dieser Definition nur über dieseSchnittstelle zustande kommen.

Überwachungstyp (nur beim TypVerfügbarkeitsgruppe): Wählen Sie dasDienstprotokoll für die Verfügbarkeitsprüfung.

Port (nur beimÜberwachungstyp TCP oder UDP): Nummer desPorts, an dendie Anfrage gesendet wird.

URL (optional, nur beimÜberwachungstypHTTP oder HTTPS): AngefragteURL.Wenn keine angegeben ist, wird dasWurzelverzeichnis verwendet.

Intervall (nur beim TypVerfügbarkeitsgruppe): Geben Sie eine Zeitspanne inSekunden an, in der die Hosts überprüft werden.

Zeitüberschreitung:Geben Sie diemaximale Zeitspanne, in der die Hosts eineAntwort senden können, in Sekunden ein.Wenn ein Host während dieser Zeitnicht antwortet, wird er als tot betrachtet.

Immer aufgelöst: DieseOption ist vorausgewählt, sodass für den Fall, dass keinHost erreichbar ist, die Gruppe zu jenemHost aufgelöst wird, der zuletzt verfügbarwar.Andernfalls, wenn alle Hosts tot sind, wird die Gruppe auf nicht aufgelöstgesetzt.

4. Klicken Sie auf Speichern.Die neue Definition wird in der Liste Netzwerke angezeigt.

Um eine Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.


5.2 DienstdefinitionenAuf der SeiteDefinitionen &Benutzer >Dienstdefinitionenwerden die Dienste und dieDienstgruppen zentral definiert und verwaltet.Dienste sind Definitionen bestimmter Arten vonNetzwerkverkehr und bestehen auseinemProtokoll, z. B. TCPoder UDP, undprotokollbezogenenOptionen wie Portnummern.Mittels der Dienste können Sie bestimmen,welche Arten von Netzwerkverkehr vomGatewayangenommen oder abgelehnt werden.

Tipp –Durch einen Klick auf das Infosymbol einer Dienstdefinition in der Liste derDienstdefinitionen können Sie alle Konfigurationsoptionen sehen, in denen dieseDienstdefinition verwendet wird.

Um eine Dienstdefinition anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Dienstdefinitionen auf Neue Dienstdefinition.DasDialogfenster NeueDienstdefinition erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:(Abhängig von dem gewählten Definitionstyp werden weitere Parameter derNetzwerkdefinition angezeigt.)

Name:Geben Sie einen aussagekräftigen Namen für diese Definition ein.

Definitionstyp:Wählen Sie den Diensttyp aus. Die folgenden Typen sind verfügbar:

l TCP: TCP-Verbindungen (Transmission Control Protocol) verwendenPortnummern von 0bis65535. Verlorene Pakete werden von TCPerkannt underneut angefragt. Bei einer TCP-Verbindung informiert der Empfänger denAbsender darüber, wenn er ein Paket erfolgreich erhalten hat(verbindungsbezogenesProtokoll). TCP-Sitzungen beginnenmit einem 3-Wege-Handshake, und Verbindungen werden amEnde der Sitzung geschlossen.GebenSie die folgenden Informationen an:l Zielport:Geben Sie den Zielport ein, entweder als einzelne Portnummer

(z. B. 80) oder alsBereich (z. B. 1024:64000) mit einemDoppelpunkt alsTrennzeichen.

l Quellport:Geben Sie denQuellport ein, entweder als einzelnePortnummer (z. B. 80) oder alsBereich (z. B. 1024:64000) mit einemDoppelpunkt als Trennzeichen.


5 Definitionen & Benutzer 5.2 Dienstdefinitionen

5.2 Dienstdefinitionen 5 Definitionen & Benutzer

l UDP: DasUDP-Protokoll (User DatagramProtocol) verwendet Portnummernzwischen 0und 65535und ist ein zustandsloses (engl. stateless) Protokoll. DaUDP sich keine Zuständemerkt, ist es schneller als TCP, vor allemwenn es sichum dasVersenden kleiner Datenmengen handelt. Diese Zustandslosigkeitbedeutet aber auch, dassUDPnicht erkennen kann, wenn Pakete verloren gehenoder verworfen (engl. drop) werden. Der Empfänger-Computer teilt demAbsender nicht mit, wenn er ein Datenpaket erhält.Wenn SieUDP gewählt haben,können Sie die gleichen Konfigurationsoptionen angeben wie bei TCP.

l TCP/UDP: Hierbei handelt es sich um eine Kombination von TCPundUDP, diesich besonders für Anwendungsprotokolle eignet, die beide Unterprotokolleverwenden, z. B. DNS.Wenn Sie TCP/UDP gewählt haben, können Sie diegleichen Konfigurationsoptionen angeben wie bei TCPoder UDP.

l ICMP/ICMPv6: Das ICMP-Protokoll (Internet ControlMessage Protocol) wird,kurz gesagt, dazu verwendet, Fehlermeldungen zu versenden, die angeben, dassz. B. ein angeforderter Dienst nicht verfügbar ist oder dassein Host oder Routernicht erreicht werden kann.NachdemSie ICMP oder ICMPv6 gewählt haben,geben Sie den ICMP-Typ/-Code an. Beachten Sie, dassdie IPv4-Firewallregelnnicht für ICMPv6- und IPv6-Firewallregeln nicht für ICMP-Verkehr gelten.

l IP: Das Internet-Protokoll (Internet Protocol, IP) ist ein Netzwerk- undTransportprotokoll für den Datenaustausch über das Internet.NachdemSie IP,gewählt haben, geben Sie die Nummer desjenigen Protokolls an, das in IPeingebettet werden soll, z. B. 121 (steht für dasSMP-Protokoll).

l ESP: DasESP-Protokoll (Encapsulating SecurityPayload) ist Teil des IPSec-Tunnelprotokoll-Pakets, welchesVerschlüsselungsdienste für Daten bietet, dieüber VPN-Tunnel gesendet werden.Nach der Auswahl von ESPoder AH gebenSie denSicherheitsparameterindex (SPI) an, der in Verbindungmit der IP-Adresse die Sicherheitsparameter identifiziert. Sie können entweder einenWertzwischen 256 und 4.294.967.296 angeben, oder die Voreinstellung desBereichs256 bis 4.294.967.296 (Doppelpunkt als Trennzeichen) beibehalten,insbesondere wenn Sie automatischen Schlüsselaustausch für IPsecverwenden.Beachten Sie, dassdie Zahlen 1–255 von der IANA (InternetAssigned NumbersAuthority) reserviert sind.

l AH: DieAuthentifizierungskopfzeile (Authentication Header, AH) ist Teil derIPsec-Tunnelprotokoll-Lösung und befindet sich zwischen der IP-Kopfzeile (engl.header) und den Datagramm-Nutzdaten (engl. payload), um die Integrität derDaten zu verwalten – jedoch nicht derenGeheimhaltung.


l Group (Gruppe): Hierbei handelt es sich um eine Art Behälter, der eine Listeanderer Dienstdefinitionen enthält. Sie können ihn verwenden, umDienstdefinitionen zusammenzufassen, damit Ihre Konfiguration übersichtlicherwird.NachdemSie dieGruppe gewählt haben, erscheint dasFeldMitglieder, woSie Gruppenmitglieder hinzufügen können (d. h. andere Dienstdefinitionen).


3. Klicken Sie auf Speichern.Die neue Definition wird in der Liste Dienstereignisse angezeigt.

Um eine Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Note –Der Typ der Definition kann imNachhinein nicht mehr geändert werden.Wenn Sieden Typ der Definition ändern wollen, müssen Sie die Dienstdefinition löschen und eine neuemit den gewünschten Einstellungen anlegen.

5.3 ZeitraumdefinitionenAuf der SeiteDefinitionen &Benutzer >Zeitraumdefinitionenwerden einzelne oderwiederkehrende Zeitfenster definiert, die dazu verwendet werden können, Firewallregeln oderInhaltsfilterprofile auf bestimmte Zeiträume zu beschränken.

Tipp –Durch einen Klick auf das Infosymbol einer Zeitraumdefinition in der ListeZeitraumdefinitionenwerden Ihnen alle Konfigurationsoptionen angezeigt, in denen dieseZeitraumdefinition verwendet wird.

Um eine Zeitraumdefinition anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Zeitraumdefinitionen auf NeueZeitraumdefinition.DasDialogfenster Neue Zeitraumdefinition erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Zeitraumdefinition ein.

Typ:Wählen Sie den Typ desZeitraumsaus. Die folgenden Typen sind verfügbar:


5 Definitionen & Benutzer 5.3 Zeitraumdefinitionen

5.4 Benutzer &Gruppen 5 Definitionen & Benutzer

l Wiederkehrendes Ereignis: Diese Ereignisse kehren periodisch wieder. Siekönnen Startzeit, Endzeit und dieWochentage angeben, für die dieseZeitraumdefinition gelten soll. Ein Start- oder Enddatum kann für diesen Typ nichtausgewählt werden.

l Einzelereignis: Diese Ereignisse finden nur einmal statt. Sie können sowohlStartdatum und -zeit als auch Enddatum und -zeit auswählen.Da dieseDefinitionen keine wiederkehrenden Ereignisse sind, können Sie die OptionWochentage für diesen Typ nicht auswählen.

l Kommentar (optional): Fügen Sie eine Beschreibung oder sonstigeInformationen hinzu.

3. Klicken Sie auf Speichern.Die neue Zeitraumdefinition wird in der Liste Zeitraumdefinitionen angezeigt.

Um eine Zeitraumdefinition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Hinweis –Sie können nur Zeitraumdefinitionen löschen, die nicht in einer Firewallregel oderin einer Filterzuweisung verwendet werden.

5.4 Benutzer & GruppenÜber dasMenüDefinitionen &Benutzer >Benutzer &Gruppen können Sie Benutzer undGruppen für den Zugriff auf denWebAdmin sowie den Fernzugriff, Zugriff auf dasBenutzerportal und die E-Mail-Nutzung erstellen.

5.4.1 BenutzerAuf der RegisterkarteDefinitionen &Benutzer >Benutzer &Gruppen >Benutzer können SieBenutzerkonten zumGatewayhinzufügen.In der Werkseinstellung ist in SophosUTM einAdministrator namensadmin eingestellt.

Tipp –Durch einen Klick auf das Infosymbol einer Benutzerdefinition in der ListeBenutzerwerden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Benutzerdefinitionverwendet wird.


Wenn Sie eine E-Mail-Adresse imDialogfenster Neuer Benutzer angeben, wird parallel zumAnlegen der Benutzerdefinition ein X.509-Zertifikat generiert. Dabei dient die E-Mail-AdressealsVPN-ID.Wenn jedoch keine E-Mail-Adresse festgelegt wird, dient für die Zertifikaterstellungder Distinguished Name (DN) desBenutzers alsVPN-ID.Wenn sich ein Benutzer über eineBackend-Gruppe wie z. B. eDirectory authentifiziert, wird dadurch ein Zertifikat angelegt, selbstwenn keine E-Mail-Adresse in der entsprechenden Backend-Benutzerdefinition angegeben ist.

Da die VPN-ID jedesZertifikats einzigartig seinmuss, muss jede Benutzerdefinition eineunterschiedliche und einzigartige E-Mail-Adresse besitzen.DasAnlegen einerBenutzerdefinitionmit einer bereits vorhandenen E-Mail-Adresse ist nicht möglich.DieseZertifikate können für verschiedene Fernzugriff-Methoden verwendet werden, die von SophosUTM unterstützt werden, mit Ausnahme von PPTP, L2TP über IPsecunter Verwendung vonPSKund über natives IPsecunter Verwendung von RSAoder PSK.

Um ein Benutzerkonto hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Benutzer auf Neuer Benutzer.DasDialogfenster Neuen Benutzer erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Benutzername: Tragen Sie einen aussagekräftigen Namen für diesen Benutzer ein (z.B. MaxMustermann).

Realname: Tragen Sie den Realnamen desBenutzers ein (z. B. MaxMustermann).

E-Mail-Adresse: Tragen Sie die primäre E-Mail-Adresse desBenutzers ein.

Zusätzliche E-Mail-Adressen (optional): Geben Sie zusätzliche E-Mail-AdressendiesesBenutzers ein.Alle alsSpam eingestuften E-Mails an diese Adressen werden ineinem individuellen Quarantänebericht gesondert aufgeführt. Dieser Quarantäneberichtwird an die primäre E-Mail-Adresse geschickt.

Authentifizierung:Wählen Sie die Authentifizierungsmethode. Die folgendenMethoden sind verfügbar:

l Lokal:Wählen Sie dieseMethode, um den Benutzer lokal imGatewayzuauthentifizieren.

l Entfernt: Der Benutzer authentifiziert sich über eine externeAuthentifizierungsmethode, die von SophosUTM unterstützt wird.WeitereInformationen finden Sie unter Definitionen &Benutzer >Authentifizierungsserver.


5 Definitionen & Benutzer 5.4 Benutzer &Gruppen


l Keine:Wählen Sie dieseMethode, um zu verhindern, dassder Benutzer sichauthentifizieren kann.Dies ist beispielsweise nützlich, um einen Benutzervorübergehend zu deaktivieren, ohne die Benutzerdefinition vollständig löschenzumüssen.

Kennwort: Tragen Sie dasKennwort für den Benutzer ein (ein zweitesMal zurBestätigung).+Nur verfügbar, wenn Sie alsAuthentifizierungsmethode Lokalgewählthaben. Beachten Sie, dassdie einfache Benutzerauthentifizierung keine Umlauteunterstützt.

Backend-Sync: Einige Grundeinstellungen, wie der echte Name und die E-Mail-Adresse desBenutzerswerden automatisch durch Synchronisationmit dem externenBackend-Authentifizierungsserver aktualisiert (dieseOption ist nur verfügbar, wenn SiealsAuthentifizierungsmethodeEntfernt gewählt haben).

Hinweis –Momentan können Daten nur mit Active-Directory- und eDirectory-Servernsynchronisiert werden.

X.509-Zertifikat: Sobald die Benutzerdefinition angelegt wurde, können Sie diesemBenutzer ein X.509-Zertifikat zuweisen, wenn Sie die Benutzerdefinition bearbeiten.Standardmäßig handelt es sich dabei um jenesZertifikat, dasbeim Anlegen derBenutzerdefinition erzeugt wurde.Sie können jedoch auch ein Zertifikat einesDrittanbieters zuweisen, dasSie auf der Registerkarte Fernzugriff > Zertifikatverwaltung>Zertifikate hochladen können.

Statische Fernzugriffs-IP verwenden (optional): Wählen Sie dieseOption aus, wennSie einemBenutzer, der Fernzugriff verwendet, eine statische IP-Adresse anstelle einerdynamischen IP-Adresse auseinem IP-Adressenpool zuweisenmöchten. Für IPsec-Benutzer hinter einemNAT-Router ist es beispielsweise zwingend erforderlich, einestatische IP-Adresse zu verwenden.

Hinweis –Die statische IP-Adresszuweisung kann nur für den Fernzugriff via PPTP,L2TP und IPsecgenutzt werden.Sie kann jedoch nicht für den Fernzugriff via SSLgenutzt werden.



3. Nehmen Sie optional zusätzliche Einstellungen vor.Benutzer können ihre eigene Positiv- und Negativliste mit E-Mail-Adressen erstellen undverwalten (siehe Kapitel Benutzerportal). Sie können diese Listen hier anzeigen und beiBedarf ändern.

4. Klicken Sie auf Speichern.Dasneue Benutzerkonto wird anschließend in der ListeBenutzer angezeigt.

Wenn Sie diesemBenutzer reguläre Administrationsrechtemit Zugriff auf die webbasierteAdministrationsschnittstelleWebAdmin geben wollen, fügen Sie den Benutzer zur GruppeSuperAdminshinzu, die auf der RegisterkarteDefinitionen &Benutzer >Benutzer &Gruppen >Gruppen konfiguriert wird.

Hinweis –Wenn Sie ein Benutzerobjekt gelöscht haben und ein Benutzerkontomitdemselben Namen anlegen wollen, stellen Sie sicher, dassSie auch das zugehörige Zertifikatauf der Registerkarte Fernzugriff > Zertifikatverwaltung >Zertifikate gelöscht haben.Andernfalls erhalten Sie eine Fehlermeldung, dassein Benutzerkontomit diesemNamenbereits existiert.

Sie können Zertifikate für den Fernzugriff und/oder Konfigurationen von Benutzernherunterladen, für die eine Art desFernzugriffs aktiviert wurde.Aktivieren Sie dazu dasAuswahlfeld vor den jeweiligen Benutzern und wählen Sie die gewünschte Option imTabellenkopf ausder AuswahllisteAktionen aus. Benutzer mit Fernzugriff können dieseDateien auch selbst herunterladen, sofern Sie Zugriff auf dasBenutzerportal haben.

5.4.2 GruppenAuf der SeiteDefinitionen &Benutzer >Benutzer &Gruppen >Gruppen können SieBenutzergruppen zumGatewayhinzufügen.In der Werkseinstellung ist in SophosUTM dieBenutzergruppeSuperAdmins vorhanden.Wenn Sie einemBenutzer administrative Rechtegeben wollen, d. h. Zugriffsrechte auf denWebAdmin, fügen Sie ihn der GruppeSuperAdminshinzu; dieseGruppe sollte nicht gelöscht werden.

Tipp –Durch einen Klick auf eine Gruppendefinition in der ListeGruppenwerden Ihnen alleKonfigurationsoptionen angezeigt, in denen dieseGruppendefinition verwendet wird.

Um eine Benutzergruppe hinzufügen, gehen Sie folgendermaßen vor:




1. Klicken Sie auf der Registerkarte Gruppen auf Neue Gruppen.DasDialogfenster NeueGruppe erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Gruppenname:Geben Sie einen aussagekräftigen Namen für dieseGruppe ein. DerGruppennamemussnicht mit demGruppennamen Ihrer Backend-Gruppenübereinstimmen.

Gruppentyp:Wählen Sie denGruppentyp aus. Sie können zwischen einer GruppemitstatischenMitgliedern und zweiGruppenmit dynamischer Mitgliedschaft wählen.

l Statische Mitglieder:Wählen Sie die lokalen Benutzer aus, die Mitglied in dieserGruppe werden sollen.

l IPsec-X509-DN-Maske: Benutzer werden dynamisch zu einer IPsec-X509-DN-Gruppendefinition hinzugefügt, sobald sie sich erfolgreich über eine IPsec-Verbindung amGatewayangemeldet haben und spezifische Parameter ihresDistinguished Namemit demWert im FeldDN-Maske übereinstimmen.

l Backend-Mitgliedschaft: Benutzer werden dynamisch zur einerGruppendefinition hinzugefügt, wenn sie sich erfolgreich an einem derunterstützten Authentifizierungsdienste angemeldet haben.Um fortzufahren,wählen Sie die entsprechende Backend-Authentifizierungsmethode aus:l Active Directory: Eine Active-Directory-Benutzergruppe desGateway

stellt die Gruppenmitgliedschaft für Mitglieder von Active-Directory-Server-Benutzergruppen bereit, die in einemWindows-Netzwerk konfiguriert sind.Geben Sie den Namen der Active-Directory-Server-Gruppen ein, denendieser Benutzer angehört.Weitere Informationen finden Sie unterDefinitionen &Benutzer >Authentifizierungsserver >Server.

l eDirectory: Eine eDirectory-Benutzergruppe desGatewaystellt dieGruppenmitgliedschaft für Mitglieder von eDirectory-Benutzergruppenbereit, die in einem eDirectory-Netzwerk konfiguriert sind. Geben Sie denNamen der eDirectory-Gruppen ein, denen dieser Benutzerangehört.Weitere Informationen finden Sie unter Definitionen &Benutzer >Authentifizierungsserver >Server.

l RADIUS: Benutzer werden automatisch zu einer RADIUS-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die RADIUS-Authentifizierungsmethode authentifiziert haben.


l TACACS+: Benutzer werden automatisch zu einer TACACS+-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die TACACS+-Authentifizierungsmethode authentifiziert haben.

l LDAP: Benutzer werden automatisch zu einer LDAP-Backend-Gruppehinzugefügt, wenn sie sich erfolgreich über die LDAP-Authentifizierungsmethode authentifiziert haben.

Auf Backend-Gruppenmitglieder beschränken (optional): In Netzwerkenmit einemX.500-Verzeichnisdienst kann dieMitgliedschaft auf bestimmteGruppen auf IhremBackend-Server beschränkt werden, wenn Sie nicht alle Benutzer desgewähltenBackend-Servers in dieseGruppendefinition aufnehmenwollen.Wenn Sie dieseOptionwählen, müssen die hier angegebenenGruppenmit einemAllgemeinen Namen(CommonName) übereinstimmen, der auf IhremBackend-Server konfiguriertist.Beachten Sie, dassSie dasCN=-Präfixweglassen können, wenn Sie dieseOption fürActive Directory aktivieren.Wenn Sie dieseOption für ein eDirectory-Backend aktivieren,können Sie den eDirectory-Browser verwenden, um bequem die eDirectory-Gruppenauszuwählen, die in dieseGruppendefinition aufgenommenwerden sollen.FallsSie deneDirectory-Browser nicht verwenden, stellen Sie jedoch sicher, dassdasCN=-Präfixvorhanden ist, wenn Sie eDirectory-Container eingeben.

Ein LDAP-Attribut überprüfen (optional): In Netzwerkenmit einem LDAP-Verzeichnisdienst kann dieMitgliedschaft auf bestimmteGruppen in der Datenbankbegrenzt werden, die ein bestimmtesLDAP-Attribut IhresBackend-Servers aufweisen,wenn Sie nicht alle Benutzer einesgewählten LDAP-Backend-Servers in dieseGruppendefinition aufnehmenwollen. DiesesAttribut wird dann als LDAP-Filterkriteriumverwendet.Beispiel: Sie könnten groupMembershipalsAttribut mit demWertCN=Sales,O=Beispielangeben. Dadurch würden alle Benutzer ausderVertriebsabteilung Ihrer Firma zur Gruppendefinition hinzugefügt werden.


3. Klicken Sie auf Speichern.Die neue Benutzergruppe wird anschließend in der ListeGruppen angezeigt.

Um eineGruppe zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.



5.5 Client-Authentifizierung 5 Definitionen & Benutzer

Bild 17 Gruppen: eDirectory-Browser vonSophos UTM

5.5 Client-AuthentifizierungSophosstellt einen Authentifizierungsclient für Windowszur Verfügung, sodass sich dieBenutzer direkt beiUTM authentifizieren können. Diesermöglicht eine benutzerbasierteKontrolle über dasSurfen im Internet sowie den Netzwerkverkehr, da z. B. aufBenutzernetzwerken oder Gruppennetzwerken basierende Firewallregeln erstellt werdenkönnen. Zudemwerden, fallsmöglich, IP-Adressen, Hostnamen und ähnliche Elemente durchBenutzernamen ersetzt, sodassBerichtsdaten undObjekte besser verständlich sind.

Benutzer, die Client-Authentifizierung nutzenmöchten oder sollen, müssen den SophosAuthentication Agent (SAA) auf ihremClient-PC installieren. Der SAA kann von dieserWebAdmin-Seite oder im Benutzerportal heruntergeladen werden. Beachten Sie, dassderDownload-Link im Benutzerportal nur für Benutzer verfügbar ist, die Teil der Benutzergruppefür die Client-Authentifizierungskonfiguration sind.

UmClient-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie auf der Registerkarte Client-Authentifizierung die Client-Authentifizierung.


Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittClient-Authentifizierungsoptionen kannnun bearbeitet werden.

2. Wählen Sie die zugelassenen Netzwerke aus.Wählen Sie die Netzwerke aus, die Client-Authentifizierung verwenden sollen.BeachtenSie, dassdiese Netzwerke direkt mit UTM verbunden seinmüssen, da die Client-Authentifizierung andernfalls nicht funktioniert.

3. Wählen Sie die zugelassenen Benutzer und Gruppen aus.Wählen Sie im Feld Zugelassene Benutzer undGruppen einzelne Benutzer undGruppen ausoder fügen Sie diese hinzu. Sie können auch eine bereits bestehendeAuthentifizierungsgruppe, z. B. eine Active-Directory-Benutzergruppe, auswählen.


Client-Authentifizierung ist nun für die ausgewählten Netzwerke verfügbar.

Client-AuthentifizierungsprogrammWennClient-Authentifizierung aktiviert ist, können Sie den SophosAuthentication Agent (SAA)hier herunterladen. Sie können den SAAmanuell bereitstellen oder die Benutzer laden denClient direkt vomBenutzerportal herunter.

Der SAA kann alsAuthentifizierungsmethode für denWebfilter genutzt werden.WeitereInformationen hierzu finden Sie im KapitelWebProtection >Webfilter >Allgemein.

5.6 AuthentifizierungsserverAuf der SeiteDefinitionen &Benutzer >Authentifizierungsserver können Datenbanken undBackend-Server externer Dienste zur Benutzerauthentifizierung verwaltet werden.ExterneBenutzerauthentifizierung ermöglicht es Ihnen, Benutzerkonten gegen vorhandeneBenutzerdatenbanken oder Verzeichnisdienste zu validieren, die sich auf anderen Servern inIhremNetzwerkbefinden. Momentan werden folgende Authentifizierungsdienste unterstützt:

l Novell eDirectory

l Microsoft Active Directory

l RADIUS


5 Definitionen & Benutzer 5.6 Authentifizierungsserver

5.6 Authentifizierungsserver 5 Definitionen & Benutzer

l TACACS+

l LDAP

5.6.1 Allgemeine EinstellungenAuf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >AllgemeineEinstellungen können Sie die grundlegenden Einstellungen für die Authentifizierungvornehmen. Die folgendenOptionen sindmöglich:

Benutzer automatisch erstellen:Wenn dieseOption ausgewählt ist, legt SophosUTMautomatisch ein Benutzerobjekt an, sobald sich ein unbekannter Benutzer einer konfiguriertenBackend-Gruppe erfolgreich über einen der angebundenen Authentifizierungsdiensteanmeldet, der von SophosUTM unterstützt wird.Beispiel: Wenn Sie eine RADIUS-Backend-Gruppe konfigurieren und dieseGruppe im Feld Zugelassene Auditoren auf der RegisterkarteVerwaltung >WebAdmin-Einstellungen >Zugriffskontrolle ausgewählt haben, erstellt SophosUTM automatisch eine Benutzerdefinition für RADIUS-Benutzer, die sich erfolgreich amWebAdmin angemeldet haben.

l Automatische Benutzererstellung für Funktionen: Für bestimmte Funktionenkann eine automatische Benutzererstellung aktiviert oder deaktiviert werden. DieBenutzer werden dabei nur für die ausgewählten Funktionen angelegt.DieseOption istnicht verfügbar – und automatische Benutzererstellung ist für alle Funktionen deaktiviert– wenn die OptionBenutzer automatisch erstellen nicht ausgewählt ist.

Hinweis –Diese Funktion ist nicht möglichmit Active DirectorySingle Sign-On (SSO).

Diese Benutzerobjekte werden auch benötigt, um Zugang zumBenutzerportal von SophosUTM zu gewähren.Darüber hinauswird für alle Benutzerobjekte automatisch ein SSL-Zertifikat erzeugt.Beachten Sie jedoch, dassdie automatische Benutzererstellung fehlschlägt,wenn es zu einemE-Mail-Adressenkonflikt kommt, da die zu erstellende Benutzerdefinitionkeine E-Mail-Adresse besitzen darf, die auf demSystem bereits vorhanden ist.Alle E-Mail-Adressenmüssen innerhalb desSystemseinzigartig sein, da sie zur Identifizierung für die SSL-Zertifikate dienen.

Wichtiger Hinweis –Authentifizierung (dasHerausfinden, wer ein Benutzer ist) undAutorisierung (dasHerausfinden, wasein Benutzer darf) für einen Benutzer, dessenBenutzerobjekt automatisch erstellt wurde, geschieht immer auf dem entfernten Backend-


Server bzw. Verzeichnisdienst.AusdiesemGrund sind automatisch erzeugteBenutzerobjekte in SophosUTM nutzlos, wenn der entsprechende Backend-Server nichterreichbar ist oder dasBenutzerobjekt auf der entferntenMaschine gelöscht wurde.

Beachten Sie auch, dassSophosUTMBenutzerauthentifizierungsdaten, die es von einementfernten Authentifizierungsserver geholt hat, für 300 Sekunden zwischenspeichert.Ausgenommen hiervon ist Active DirectorySingle Sign-On (SSO). Deshalb werden sichÄnderungen an den entfernten Benutzereinstellungen erst auswirken, wenn derSpeicherzeitraum abgelaufen ist.

Authentif iz ie rungs-Zwischenspe icherJedesMal, wenn SophosUTM eine Benutzeranfrage von einem noch unbekannten Benutzererreicht, z. B. http, und Authentifizierung erforderlich ist, schreibt die SophosUserAuthentication (SUA) einen Eintrag in den Authentifizierungs-Zwischenspeicher.Mit der Zeitkann es in Umgebungenmit häufig wechselnden Benutzern sinnvoll sein, denZwischenspeicher gelegentlich zu leeren. Eine Leerung kann auch angebracht sein, wenn Siefür alle Benutzer eine sofortige neue Authentifizierung erzwingen wollen.Verwenden Sie dieSchaltflächeAuth.-Zwischenspeicher leeren, um den Authentifizierungs-Zwischenspeicher zuleeren.Eine Authentifizierung ist 300 Sekunden lang gültig. In dieser Zeit werden neuerlicheAuthentifizierungsanfragen desselben Benutzers direkt im Zwischenspeicher abgefragt. DieseMethode entlastet Backend-Authentifizierungsdienste wie eDirectory.

Hinweis –DasLeeren desZwischenspeichers hat keine Auswirkung auf augenblicklichentfernt angemeldete Benutzer.

Live -Protoko llLive-Protokoll öffnen: Durch einen Klick auf die Schaltfläche wird dasProtokoll der SophosUser Authentication (SUA) in einem neuen Fenster angezeigt.

5.6.2 ServerAuf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Server können Sieeinen oder mehrere Authentifizierungsserver erstellen, u. a. eDirectory, Active Directory,LDAP, RADIUSund TACACS+.




5.6.2.1 eDirectoryNovell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur zentralen Verwaltung vonZugriffsrechten auf Ressourcen auf mehreren Servern und Hosts innerhalb einesbestimmtenNetzwerks. eDirectory ist eine hierarchische, objektorientierte Datenbank, die alle Bestandteileeiner Organisation in einer logischen Baumstruktur darstellt. Diese Bestandteile könnenMenschen, Server,Workstations, Anwendungen, Drucker, Dienste, Gruppen usw. sein.

Um eDirectory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.DasDialogfeldNeuen Authentifizierungsserver anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Backend:Wählen Sie eDirectoryalsBackend-Verzeichnisdienst.

Position:Wählen Sie eine Position für den Backend-Server. Backend-Server mitniedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistungsicher, dassder Backend-Server, der wahrscheinlich diemeisten Anfragen erhält, ganzoben in der Liste steht.

Server:Wählen Sie einen eDirectory-Server (oder fügen Sie einen hinzu).

SSL:Wählen Sie dieseOption, umSSL-gesicherten Datentransfer zu aktivieren.DerPort ändert sich dann von 389 (LDAP) auf 636 (ldaps= LDAPover SSL).

Port:Wählen Sie den Port deseDirectory-Servers.Standardmäßig ist dasPort 389.

Bind-DN: Der Distinguished Name (DN) desBenutzers, mit dem dieser amServerangemeldet werden soll. Dieser Benutzer wird benötigt, wenn anonyme Anfragen anden eDirectory-Server nicht erlaubt sind. Beachten Sie, dassder Benutzer genügendPrivilegien besitzenmuss, um alle relevanten Informationen zur Benutzerdefinition vomeDirectory-Server erhalten zu können, damit er Benutzer authentifizierenkann.eDirectory-Benutzer, -Gruppen und -Container könnenmit dem vollständigenDistinguished Name in LDAP-Notation und KommasalsTrennzeichen angegebenwerden (z. B. CN=administrator,DC=intranet,DC=beispiel,DC=de).

Kennwort:Geben Sie dasKennwort für den Bind-Benutzer ein (ein zweitesMal zurBestätigung).

Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Testwird ein Bind-Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dassdie


Einstellungen auf dieser Registerkarte richtig sind, dassder Server eingeschaltet ist undVerbindungen annimmt.

BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) desLDAP-Baums, indem die Benutzer eingefügt sind, die authentifiziert werden sollen. Beachten Sie, dassder BaseDN über den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziertwerdenmuss, wobeiKommata alsTrennzeichen verwendet werdenmüssen (z. B.O=Beispiel,OU=RnD). Der BaseDN kann leer sein. In diesem Fallwird der BaseDNautomatisch ausdemVerzeichnis abgerufen.

Benutzername:Geben Sie den Benutzernamen einesTestbenutzers ein, um einereguläre Authentifizierung durchzuführen.

Kennwort:Geben Sie dasKennwort desTestbenutzers ein.

Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um denAuthentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dassalleServereinstellungen korrekt sind, dassder Server eingeschaltet ist und Verbindungenakzeptiert, und dassBenutzer erfolgreich authentifiziert werden können.

3. Klicken Sie auf Speichern.Der Server wird in der ListeServer angezeigt.

5.6.2.2 Active DirectoryMicrosoft Active Directory (AD) ist ein Verzeichnisdienst und eine zentrale Komponente derWindows2000/2003 Server. Es speichert Informationen auseinem breiten Spektrum vonNetzwerkressourcen, einschließlich Benutzer, Gruppen, Computer, Drucker, Anwendungen,Dienste und jede Art von benutzerdefiniertenObjekten. Als solches ist es einMittel, um dieseRessourcen zentral zu organisieren, zu verwalten und den Zugriff darauf zu kontrollieren.

Die Active-Directory-Authentifizierungsmethode ermöglicht es, SophosUTM an einerWindows-Domäne zu registrieren, wodurch ein Objekt für SophosUTM auf dem primärenDomänencontroller (DC) angelegt wird.Die UTM ist dann in der Lage, Benutzer- undGruppeninformationen von der Domäne abzufragen.

UmActive-Directory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:


2. Nehmen Sie die folgenden Einstellungen vor:Backend:Wählen SieActive DirectoryalsBackend-Verzeichnisdienst.





Server:Wählen Sie einen Active-Directory-Server (oder fügen Sie einen hinzu).


Port:Geben Sie den Port desActive-Directory-Servers ein.Standardmäßig ist dasPort389.

Bind-DN: Der vollständigeDistinguished Name (DN) desBenutzers, mit dem dieser amServer angemeldet werden soll in LDAP-Notation. Dieser Benutzer wird benötigt, wennanonyme Anfragen an den Active-Directory-Server nicht erlaubt sind. Beachten Sie,dassder Benutzer genügend Privilegien besitzenmuss, um alle relevantenInformationen zur Benutzerdefinition vom eDirectory-Server erhalten zu können, damiter Benutzer authentifizieren kann – das ist eine Voraussetzung, die meistens vomAdministrator der Domäne erfüllt wird.

Jeder DN besteht auseinem oder mehrerenRelative Distinguished Names (RDN). EinRDN setzt sich ausAttributen desActive-Directory-Benutzerobjekts zusammen undumfasst seinen Benutzernamen, den Knoten desObjekts und den höchsten DN desServers. Die Definition erfolgt in der LDAP-Notation. AlsTrennzeichen wird dasKommaverwendet.

l Der Benutzernamemussder Name desBenutzers sein, der in der Lage ist, aufdasVerzeichnis zuzugreifen und folgendermaßen spezifiziert ist: CN-Bezeichner(z. B. CN=user). Obwohl die Benutzung einesbeliebten KontosmitDomänenberechtigungen, wie z. B. „admin“, möglich ist, wird als bessereMethode dringend empfohlen, einen Benutzer zu wählen, der keineAdministrationsrechte besitzt, da es völlig ausreichend für diesen Benutzer ist,Leserechte auf alle Objekte desangegebenen BaseDN zu besitzen.

l Die Information über den Knoten, an dem sich dasBenutzerobjekt befindet, mussalle Unterknoten zwischen demWurzelknoten und demBenutzerobjekt umfassenund besteht gewöhnlich ausKomponenten wie sogenanntenOrganisationseinheiten (engl. organizational units) und dem allgemeinen Namen(CN, engl. common name).Organisationseinheiten (dargestellt durch einVerzeichnis-/Buchsymbol in der Microsoft Management-Konsole) werden durch


den OU-Bezeichner spezifiziert.Beachten Sie, dassdie Reihenfolge der Knotenvom untersten zum obersten verläuft, d. h. dass spezifischere Elemente zuerstangegeben werden (z. B. OU=Management_US,OU=Management).Andererseitswerden Standardcontainer von Active Directory (dargestellt durch ein einfachesVerzeichnis-Symbol) wie z. B. der vordefinierteBenutzer-Knoten durch den CN-Bezeichner spezifiziert (z. B. CN=Users).

l Der oberste DN desServers kann ausmehreren Domänenkomponenten (engl.domain component) bestehen, wobei jede durch den DC-Bezeichner spezifiziertwird.Beachten Sie, dassdie Domänenkomponenten in der gleichen Reihenfolgeangegeben werden wie der Domänenname. Beispiel: Wenn der Domänennamebeispiel.de ist, dann ist der DN-TeilDC=beispiel,DC=de.

Ein Beispiel für einen Bind-Benutzer-DN, wenn der Benutzername administrator istund dasBenutzerobjekt sich im Container Users in einer Domäne namensbeispiel.debefindet: CN=administrator,CN=Users,DC=beispiel,DC=de

Bild 18 Authentifizierung: Microsoft Management-Konsole

Angenommen, Sie haben eineOrganisationseinheit namensManagementmit demUnterknotenManagement_US angelegt und verschieben dasBenutzerobjekt„Administrator“ dorthin, dann ändert sich der DN wie folgt: CN=administrator,OU=Management_US,OU=Management,DC=beispiel,DC=de


Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Testwird ein Bind-Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dassdie




Einstellungen auf dieser Registerkarte richtig sind, dassder Server eingeschaltet ist undVerbindungen annimmt.






5.6.2.3 LDAPLDAP steht für Lightweight DirectoryAccessProtocolund ist ein Netzwerkprotokoll, umVerzeichnisdienste, die auf demX.500-Standard basieren, zumodifizieren und Anfragen zusenden.SophosUTMbenutzt dasLDAP-Protokoll, um Benutzer für einige seiner Dienste zuauthentifizieren, indemmithilfe von Attributen oder Gruppenzugehörigkeiten auf dem LDAP-Server festgestellt wird, ob Zugriff auf einen bestimmten Dienst gewährt wird oder nicht.

Um LDAP-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:


2. Nehmen Sie die folgenden Einstellungen vor:Backend:Wählen Sie LDAP alsBackend-Verzeichnisdienst.

Position:Wählen Sie eine Position für den Backend-Server. Backend-Server mitniedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung


sicher, dassder Backend-Server, der wahrscheinlich diemeisten Anfragen erhält, ganzoben in der Liste steht.

Server:Wählen Sie einen LDAP-Server (oder fügen Sie einen hinzu).


Port:Wählen Sie den Port desLDAP-Servers.Standardmäßig ist dasPort 389.

Bind-DN: Der Distinguished Name (DN) desBenutzers, mit dem dieser amServerangemeldet werden soll. Dieser Benutzer ist zwingend. AusSicherheitsgründen werdenanonyme Anfragen an den LDAP-Server nicht unterstützt. Beachten Sie, dassderBenutzer genügend Privilegien besitzenmuss, um alle relevanten Informationen zurBenutzerdefinition vom LDAP-Server erhalten zu können, damit er Benutzerauthentifizieren kann.LDAP-Benutzer, -Gruppen und -Container könnenmit demvollständigen Distinguished Name in LDAP-Notation und KommasalsTrennzeichenangegeben werden (z. B. CN=administrator,DC=intranet,DC=beispiel,DC=de).


Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Testwird ein Bind-Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dassdieEinstellungen auf dieser Registerkarte richtig sind, dassder Server eingeschaltet ist undVerbindungen annimmt.

Benutzerattribut:Wählen Sie dasBenutzerattribut, dasalsFilter für die Suche imLDAP-Verzeichnis benutzt werden soll. DasBenutzerattribut enthält den eigentlichenAnmeldenamen, nach dem jeder Benutzer von z. B. Fernzugriffsdiensten gefragt wird.Folgende Benutzerattribute sindmöglich:

l CN (allgemeiner Name, engl. common name)

l SN (Nachname)

l UID (Benutzer-ID)

FallsBenutzernamen in Ihrem LDAP-Verzeichnis nicht in Form dieser Attributegespeichert werden, wählen Sie <<Angepasst>>ausder Liste ausund geben Sie IhrbenutzerdefiniertesAttribut im FeldAngepasst an. Beachten Sie, dassdiesesAttribut inIhrem LDAP-Verzeichnis konfiguriert sein muss.









5.6.2.4 RADIUSRADIUS steht für Remote Authentication Dial In User Service und ist ein weit verbreitetesProtokoll, mit demNetzwerkgeräte, wie z. B. Router, Informationen für dieBenutzerauthentifizierung von einem zentralen Server abfragen können. Neben den reinenBenutzerinformationen für die Authentifizierung kann RADIUSauch technische Informationenverwalten, die von Netzwerkgeräten benutzt werden. Dazu gehören z. B. verwendeteProtokolle, IP-Adressen, Routeninformationen etc. Zusammen bilden sie ein Benutzerprofil,das in einer Datei oder Datenbankauf demRADIUS-Server gespeichert wird.

DasRADIUS-Protokoll ist sehr flexibel und esgibt Server für die meisten Betriebssysteme.DieRADIUS-Implementierung auf demUTM ermöglicht es Ihnen, Zugriffsrechte basierend aufProxiesund Benutzern zu konfigurieren. Um die RADIUS-Authentifizierung verwenden zukönnen, benötigen Sie einen laufenden RADIUS-Server im Netzwerk.Da Kennwörter alsKlartext (unverschlüsselt) übermittelt werden, platzieren Sie den RADIUS-Server im selbenNetzwerkwie UTM und stellen Sie sicher, dassdie UTM und der Server am selben Switchhängen.

UmRADIUS-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:



2. Nehmen Sie die folgenden Einstellungen vor:Backend:Wählen SieRADIUS alsBackend-Verzeichnisdienst.


Server:Wählen Sie einen RADIUS-Server (oder fügen Sie einen hinzu).

Port:Wählen Sie den Port desRADIUS-Servers.Standardmäßig ist dasPort 1812.

Vereinbarter Schlüssel: Dieser vereinbarte Schlüssel (engl. Shared Secret) ist eineZeichenfolge, die alsKennwort zwischen demRADIUS-Client und demRADIUS-Serverdient. Geben Sie den vereinbarten Schlüssel ein (ein zweitesMal zur Bestätigung).




NAS-Kennung:Wählen Sie die entsprechende NAS-Kennung ausder Liste.WeitereInformationen entnehmen Sie bitte dem untenstehenden Hinweis und der Tabelle.



Hinweis -Jeder Benutzerauthentifizierungsdienst von SophosUTM (z. B. PPTPoder L2TP),der Anfragen an den RADIUS-Server stellt, sendet eine andere Kennung (NAS-Kennung,engl. NAS identifier) an den RADIUS-Server.Beispiel: Der PPTP-Dienst sendet die NAS-




Kennung pptpan den RADIUS-Server, wenn er versucht, einen Benutzer zuauthentifizieren.Dadurch können die verschiedenen Dienste auf demRADIUS-Serverauseinandergehalten werden. Das kommt den Autorisierungszwecken zugute, d. h. derZugriffsgenehmigung für den Benutzer auf verschiedene Dienste. Unten finden Sie eine Listeder Benutzerauthentifizierungsdienste und ihrer NAS-Kennung.

Benutzerauthentifizierungsdienst NAS-Kennung

SSL-VPN ssl

PPTP pptp

IPsec ipsec

L2TPüber IPsec l2tp

SMTP-Proxy smtp

Benutzerportal portal

WebAdmin webadmin

SOCKS-Proxy socks

Webfilter http

Authentifizierungsclient agent

WirelessAccessPointsDie NAS-Kennung ist der Name desWLAN-Netzwerks.

Tabelle 1: RADIUS NAS-Kennungen

5.6.2.5 TACACS+TACACS+steht für TerminalAccessController AccessControl System und ist ein proprietäresProtokoll von Cisco Systems Inc., dasdetaillierte Netzwerkverkehrsinformationen liefert undadministrative Kontrolle über Authentifizierungs- und Autorisierungsprozesseermöglicht.Während RADIUSAuthentifizierung und Autorisierung in einemBenutzerprofil


kombiniert, trennt TACACS+diese Vorgänge.Ein weiterer Unterschied ist, dassTACACS+dasTCP-Protokoll verwendet (Port 49), wohingegen RADIUSdasUDP-Protokoll verwendet.

Um TACACS+-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:


2. Nehmen Sie die folgenden Einstellungen vor:Backend:Wählen Sie TACACS+alsBackend-Verzeichnisdienst.


Server:Wählen Sie einen TACACS+-Server (oder fügen Sie einen hinzu).

Port:Geben Sie den Port desTACACS+-Servers ein.Standardmäßig ist dasPort 49.

Schlüssel:Geben Sie den Schlüssel für die Authentifizierung und die Verschlüsselungder gesamten TACACS+-Kommunikation zwischen SophosUTM und dem TACACS+-Server ein. Der hier eingegebeneWert desSchlüsselsmussmit dem auf demTACACS+-Server übereinstimmen. Geben Sie den Schlüssel ein (ein zweitesMal zurBestätigung).









5.6.3 Single Sign-OnAuf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Single Sign-Onkönnen Sie die Single-Sign-On-Funktionalität für Active Directory und/oder eDirectorykonfigurieren.

Active Directory Single Sign-On (SSO)Beachten Sie, dassdie Active-Directory-SSO-Einrichtung augenblicklich nur mit demWebfilterverwendet wird, um Single Sign-On für Browser bereitzustellen, die NTLMv2 oder Kerberos-Authentifizierung unterstützen.

Um die Single-Sign-On-Funktionalität zu aktivieren, mussUTM der Active-Directory-Domänebeitreten.Damit dieser Domänenbeitritt funktioniert, müssen die folgenden Voraussetzungenerfüllt sein:

l Die Zeitzone auf demGatewayund auf demDomänencontroller (DC) müssen gleichsein.

l Der Zeitunterschied der Uhren darf NICHT mehr als fünf Minuten zwischen demGatewayund demDC betragen.

l Der UTM-Hostnamemuss im ADDNS-System existieren.

l DasUTMmussdasAD-DNS zur Weiterleitung (engl. forwarder) verwenden oder esmusseine DNS-Anfrageroute zur AD-Domäne besitzen, die auf den AD-DNS-Serverzeigt.

UmActive DirectorySSOzu konfigurieren, gehen Sie folgendermaßen vor:

1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.

2. Nehmen Sie die folgenden Einstellungen vor:Domäne: Tragen Sie hier den Namen der Domäne ein (z. B.intranet.meinefirma.de).DasUTM sucht alle DCs, die über DNSerreichbar sind.

Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte fürdie Anbindung von Computern an diese Domäne besitzt (in der Regel ist dies der„Administrator‟).

Kennwort:Geben Sie dasKennwort für den Admin-Benutzer ein (ein zweitesMal zurBestätigung).



Hinweis zur Unterstützung der Kerberos-Authentifizierung: Damit dieopportunistische SSO-Kerberos-Unterstützung funktioniert, müssen die Clients den FQDN-Hostnamen von UTM in ihren Proxyeinstellungen verwenden; dasBenutzen der IP-Adressewird nicht funktionieren. Der NTLMv2-Modus ist von dieser Voraussetzung nicht betroffen,und wird automatisch benutzt, wenn diese Voraussetzung nicht erfüllt ist oder wenn derBrowser eine Kerberos-Authentifizierung nicht unterstützt.

eDirectory Single Sign-On (SSO)Hier können Sie SSO für eDirectory konfigurieren.Wenn Sie eDirectorySSOalsAuthentifizierungsmethode unterWebProtection >Webfilter eingerichtet haben, wird der hiergewählte eDirectory-Server benutzt.

Um eDirectorySSOzu konfigurieren, gehen Sie folgendermaßen vor:

1. Legen Sie einen eDirectory-Server auf der Registerkarte Server an.

2. Nehmen Sie die folgenden Einstellungen vor:Server:Wählen Sie einen eDirectory-Server aus, für den Sie SSOaktivierenmöchten.

Sync-Intervall: Die Zeit (in Sekunden) zwischen zweiSynchronisierungsereignissenzwischen UTM und eDirectory-Server.


5.6.4 Erweitert

Loka le Authentif iz ie rungskennwör te rMit dieser Option können Sie festlegen, dassAdministratoren oder lokal registrierte Benutzermit administrativen Rechten sichere Kennwörter verwendenmüssen. DieKennwortkomplexität kann so konfiguriert werden, dass sie den folgendenSicherheitsanforderungen entspricht:

l Mindestlänge desKennworts (acht Zeichen ist voreingestellt)

l mindestensein kleingeschriebener Buchstabe

l mindestensein großgeschriebener Buchstabe




l mindestenseine Zahl

l mindestensein nicht-alphanumerischesZeichen

Um die ausgewählten Kennworteigenschaften zu aktivieren, wählen Sie die OptionKomplexeKennwörter verlangen und klicken Sie aufÜbernehmen.

Verze ichnisbenutzer vorab holenBenutzer von eDirectory oder Active Directory könnenmit UTM synchronisiert werden.Dasbedeutet, dassBenutzerdefinitionen vorab auf UTM angelegt werden, sodassdieseBenutzerdefinitionen bereits existieren, wenn sich ein Benutzer anmeldet. DerSynchronisierungsprozess kann wöchentlich oder täglich stattfinden.

Um dasVorabholen (engl. prefetching) zu aktivieren, nehmen Sie die folgenden Einstellungenvor:

Server: Die Auswahlliste enthält Server, die auf der RegisterkarteServer angelegt wurden.Wählen Sie einen Server aus, für den Sie dasVorabholen aktivierenmöchten.

Vorabholenintervall:Wählen Sie ein Intervall, um Benutzer vorabzuholen. Um dieSynchronisierung wöchentlich stattfinden zu lassen, wählen Sie einenWochentag, zu der dieSynchronisierung beginnen soll.Um die Synchronisierung täglich stattfinden zu lassen, wählenSie Täglich.

Vorabholenzeit:Wählen Sie eine Uhrzeit, zu der die Synchronisierung stattfinden soll.

Gruppen:Geben Sie hier die Gruppen ein, die im Vorausangelegt werden sollen.Sie könnenden integrierten LDAP-Browser verwenden, um die Gruppen auszuwählen.

Aktiviere Backend-Synchronisierung bei Anmeldung (optional): Wählen Sie dieseOption aus, wenn Sie wollen, dassBenutzerinformationen ausdemVerzeichnis geholt werden,sobald sich ein bislang unbekannter Benutzer anmeldet.


Jetzt vorab holen: Klicken Sie auf diese Schaltfläche, um dasVorabholen sofort zu starten.

Vorabholen-Live-Protokoll öffnen: Klicken Sie auf diese Schaltfläche, um dasVorabholen-Live-Protokoll zu öffnen.


6 Schnittstellen & RoutingIn diesemKapitelwird die Konfiguration von Schnittstellen und netzwerkspezifischenEinstellungen in SophosUTM beschrieben.Die SeiteNetzwerkstatistik imWebAdmin gibt einenÜberblick über die zehn aktivsten Dienste, Quellhosts und gleichzeitigen Verbindungen vonheute.In jedemAbschnitt befindet sich ein Link auf dieDetails.Ein Klick auf den Link leitet Sie zurentsprechenden Seite desBerichte-BereichsdesWebAdmin weiter, wo Sie weitere statistischeInformationen finden können.


l Schnittstellen

l Bridging

l Dienstqualität (QoS)

l Uplink-Überwachung

l IPv6

l StatischesRouting

l DynamischesRouting (OSPF)

l Border GatewayProtocol

l Multicast Routing (PIM-SM)

6.1 SchnittstellenEin Gatewaybenötigt mindestens zweiNetzwerkkarten, um ein internesLANmit einemexternen Netzwerk (z. B. dem Internet) zu verbinden.In den folgenden Beispielen ist dieNetzwerkkarte eth0 immer die interne Netzwerkschnittstelle.Die Netzwerkkarte eth1 ist alsexterne Netzwerkschnittstelle vorgesehen (z. B. zum Internet). Diese beiden Seiten werdenauch Trusted bzw. Untrusted genannt.

Während der Installation werden die Netzwerkkarten automatisch erkannt.Wenn bei derSoftware-Appliance weitere Netzwerkkarten hinzugefügt werden, ist eine Neuinstallation desSicherheitssystemsnotwendig. Nutzen Sie hierfür die Backup-Funktion, um nach derNeuinstallation Ihre aktuelle Systemkonfiguration einfach wieder einzuspielen.

6.1 Schnittstellen 6 Schnittstellen & Routing

DasGatewaymussdie einzige Schnittstelle zwischen dem internen und dem externenNetzwerk sein.Alle Datenpaketemüssen die UTM passieren.Eswird dringend davonabgeraten, die internen und externen Schnittstellen über einen Hub oder Switch physikalischzusammen auf ein Netzwerksegment zu legen, es sei denn dieser ist alsVLAN-Switchkonfiguriert.Es kann zu falschen ARP-Auflösungen (AddressResolution Protocol) kommen(ARP-Clash) die nicht alle Betriebssysteme (z. B. die vonMicrosoft) verwalten können. ProGateway-Netzwerkschnittstelle mussdaher auch ein physikalischesNetzwerk-Segmentverwendet werden.

ImMenüSchnittstellen können Sie alle auf der UTM installierten Netzwerkkarten konfigurierenund verwalten sowie die Schnittstellen zum externen Netzwerk (Internet) und zu den internenNetzwerken (LAN, DMZ).

Hinweis –Beachten Sie bei der Planung Ihrer Netzwerktopologie und der Konfiguration vonUTM, welche Netzwerkkarten Sie jeweils auf der Appliance auswählen.In denmeistenKonfigurationen ist alsVerbindung zum externen Netzwerkdie Netzwerkschnittstelle mitSysID eth1vorgesehen. Für die spätere Installation einesHochverfügbarkeitsystems (HA)benötigen Sie auf beiden Systemen eine Netzwerkkartemit gleicher SysID.WeitereInformationen zur Installation desHochverfügbarkeitssystems (HA-Failover) finden Sie aufder SeiteHochverfügbarkeit.

In den folgenden Abschnitten wird erklärt, wie die verschiedenen Arten von Schnittstellen überdie RegisterkartenSchnittstellen, Zusätzliche Adressen, Linkbündelung,Uplink-Ausgleich,Multipathregeln undHardware verwaltet und konfiguriert werden.

6.1.1 SchnittstellenAuf der RegisterkarteSchnittstellen können Sie die Netzwerkkarten und virtuellenSchnittstellen konfigurieren. In der Liste sind die bereits konfigurierten Netzwerkschnittstellenmit ihrem symbolischen Namen, Netzwerkkarte und aktueller Adresse aufgeführt. Der Statusjeder Schnittstelle wird ebenso angezeigt. Durch Anklicken desStatussymbols können SieSchnittstellen aktivieren und deaktivieren. Beachten Sie, dassSchnittstellengruppen keinenSymbolstatushaben.

Tipp –Durch einen Klick auf das Infosymbol einer Netzwerkschnittstelle in der ListeSchnittstellenwerden Ihnen alle Konfigurationen angezeigt, in denen diese Schnittstelleverwendet wird.


Neu hinzugefügte Schnittstellen können amAnfang alsDown (aus) angezeigt werden, solangesich die Verbindung noch im Aufbau befindet. Sie können Schnittstellen bearbeiten oderlöschen, indemSie auf die entsprechenden Schaltflächen klicken.

6.1.1.1 Automatische Netzwerkschnittstellen-DefinitionenJede Schnittstelle auf demGatewaybesitzt einen symbolischen Namen und eineNetzwerkkarte, der sie zugewiesen ist. Der symbolische Namewird verwendet, wenn Sie inanderen Konfigurationen auf diese Schnittstelle referenzieren.Für jede Schnittstelle wirdautomatisch eine passendeGruppe von Netzwerkdefinitionen vomGatewayerstellt:

l Eine Definition, die die aktuelle IP-Adresse der Schnittstelle enthält, und deren Namesich ausdemSchnittstellennamen und dem Zusatz (Address) zusammensetzt.

l Eine Definition, die dasNetzwerkenthält, mit dem die Schnittstelle verbunden ist, undderen Name sich ausdemSchnittstellennamen und dem Zusatz (Network)zusammensetzt.Diese Definition wird nicht für Point-to-Point-Schnittstellen (PPP)angelegt.

l Eine Definition, die die Broadcast-Adresse der Schnittstelle enthält, und deren Namesich ausdemSchnittstellennamen und dem Zusatz (Broadcast) zusammensetzt.DieseDefinition wird nicht für Point-to-Point-Schnittstellen (PPP) angelegt.

Wenn die Schnittstelle eine dynamischeMethode zur Adresszuweisung verwendet (wie z. B.DHCPoder Fernzuweisung), so werden diese Definitionen automatisch aktuell gehalten.AlleEinstellungen, die sich auf diese Definitionen beziehen, z. B. Firewall- und NAT-Regeln,werden ebenfalls automatischmit den geänderten Adressen aktualisiert.

Eine Schnittstelle mit dem symbolischen Namen Internal ist bereits vordefiniert.Hierbei handeltes sich um die Administrationsschnittstelle, die typischerweise als die interne Schnittstelle mitdemGatewayverwendet wird. FallsSie sie umbenennenmöchten, sollten Sie dasdirekt nachder Installation tun.

6.1.1.2 Arten von SchnittstellenDie nachfolgende Liste gibt eine Übersicht darüber, welche Schnittstellentypen zumGatewayhinzugefügt werden können und welche Hardware dafür benötigt wird:

Gruppe: Sie können Ihre Schnittstellen in Gruppen organisieren. Bei entsprechenderKonfiguration können Sie eine Schnittstellengruppe anstelle mehrerer einzelner Schnittstellenwählen.


6 Schnittstellen & Routing 6.1 Schnittstellen


3G/UMTS: Diese Schnittstelle basiert auf einemUSB-Modem-Stick.Vor Erstellung derSchnittstelle mussder Stick eingesteckt werden und die UTM neu gestartet werden.

Kabelmodem (DHCP): Hierbei handelt es sich um eine Standard-Ethernet-Schnittstelle mitDHCP.

DSL (PPPoA/PPTP): PPP-over-ATM.Ein DSL-PPPoA-Gerät ermöglicht Ihnen, Ihr GatewayanPPP-over-ATM-kompatible DSL-Leitungen anzuschließen. DieseGeräte benutzen dasPPT-Protokoll, um IP-Pakete zu tunneln. Sie erfordern eine dedizierte Ethernet-Verbindung(sie können nicht mit anderen Schnittstellen auf derselben Hardware koexistieren). Siemüssenein DSL-Modem an dasSchnittstellennetzwerksegment anschließen. Die Netzwerkparameterfür dieseGerätetypen können über eine entfernte Stelle zugewiesen werden (üblicherweise IhrInternetanbieter). Außerdemmüssen Sie einen Benutzernamen und Kennwort für dasKontobei Ihrem ISP angeben. Auchmüssen Sie die IP-Adresse IhresModemsangeben. DieseAdresse ist demModem normalerweise fest zugewiesen und kann nicht geändert werden. Ummit demModem kommunizieren zu können, müssen Sie eine NIC-IP-Adresse und eineNetzmaske eingeben. Die IP-Adresse desModemsmuss sich dabei innerhalb desdurch dieseParameter definierten Netzwerksbefinden.DiePing-Adressemussein Host am anderen Endeder PPTP-Verbindung sein, der die ICMP-Pinganfragen beantwortet. Sie können versuchen,den DNS-Server Ihres ISP dafür zu verwenden. Falls diese Adresse nicht über Ping erreichtwerden kann, wird angenommen, dassdie Verbindung tot ist, und die Verbindung wird neuaufgebaut.

DSL (PPPoE): PPP-over-Ethernet.Ein DSL-PPPoE-Gerät ermöglicht Ihnen, Ihr GatewayanPPP-over-Ethernet-kompatible DSL-Leitungen anzuschließen. DieseGeräte erfordern einededizierte Ethernet-Verbindung (sie können nicht mit anderen Schnittstellen auf derselbenHardware koexistieren). Siemüssen ein DSL-Modem an dasSchnittstellennetzwerksegmentanschließen. Die Netzwerkparameter für dieseGerätetypen können über eine entfernte Stellezugewiesen werden (üblicherweise Ihr Internetanbieter). Außerdemmüssen Sie einenBenutzernamen und Kennwort für dasKonto bei Ihrem ISP angeben.

Ethernet-Standard: Dabei handelt es sich um eine normale Ethernet-Schnittstelle mit einerBandbreite von 10, 100 oder 1000Mbit/s.

Ethernet-VLAN: VLAN (Virtual LAN) ist eineMethode, ummehrere getrennteNetzwerksegmente der 2. Schicht auf einer einzigen Hardwareschnittstelle zu ermöglichen.JedesSegment wird durch eine VLAN-ID (auch engl. tag genannt) identifiziert, wobei es sichum eine einfacheGanzzahl (engl. integer) handelt.Wenn Sie eine VLAN-Schnittstellehinzufügen, erzeugen Sie damit ein Hardware-Gerät, dasdazu verwendet werden kann, auch


zusätzliche Schnittstellen (Aliasse) hinzuzufügen.PPPoE- und PPPoA-Geräte können nichtüber VLAN-virtuelle Hardware betrieben werden.

Modem (PPP):Mit diesemSchnittstellentyp können Sie die UTM über ein PPP-Modemmitdem Internet verbinden.Für die Konfiguration benötigen Sie eine serielle Schnittstelle und einexternesModem auf der UTM. Darüber hinausbenötigen Sie DSL-Zugangsdaten wieBenutzername und Kennwort. Diese Daten erhalten Sie von Ihrem Internetanbieter.

6.1.1.3 GruppeZwei oder mehr Schnittstellen lassen sich zu einer Gruppe zusammenfassen. Gruppenerleichtern die Konfiguration. Beim Erstellen vonMultipathregelnmüssen Sie eine Gruppekonfigurieren, wenn Sie den Datenverkehr auf eine definierte Gruppe von Uplink-Schnittstellenverteilenmöchten, anstatt alle Uplink-Schnittstellen zu verwenden.

Um eineGruppen-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.DasDialogfenster Neue Schnittstelle erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.

Typ:Wählen SieGruppe ausder Auswahlliste aus.

Schnittstellen: Fügen Sie die gewünschten Schnittstellen zur Gruppe hinzu.


3. Klicken Sie auf Speichern.DieGruppe wird zur Schnittstellenliste hinzugefügt. Gruppen haben keinen Status.

Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenüauf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie aufdie entsprechenden Schaltflächen.

6.1.1.4 3G/UMTSSophosUTMunterstützt Netzwerkverbindungen über 3G/UMTS-USB-Sticks.

Um eine 3G/UMTS-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:






Typ:Wählen Sie 3G/UMTS ausder Auswahlliste aus.

Hardware:Wählen Sie einen USB-Modem-Stick ausder Auswahlliste aus. BeachtenSie, dassnach demAnschlussdesUSB-Sticks ein Neustart erforderlich ist.

Netzwerk:Wählen Sie den Typ desMobilfunknetzesaus (entwederGSM/W-CDMA,CDMA oder LTE).

IPv4 Standard-GW/IPv6 Standard-GW (optional): Wählen Sie dieseOption, wenn SiedasStandardgateway IhresAnbieters nutzenmöchten.

PIN (optional): Geben Sie die PIN der SIM-Karte ein, falls eine PIN konfiguriert ist.

APN automatisch wählen: (optional): Standardmäßig wird der APN (AccessPointName) vomUSB-Modem-Stick abgerufen.Wenn Sie die Auswahl diesesKontrollkästchensdeaktivieren, müssen Sie die APN-Informationen in dasFeldAPNeingeben.

Benutzername/Kennwort (optional): Geben Sie, sofern erforderlich, einenBenutzernamen und ein Kennwort für dasMobilfunknetz ein.

Einwahlkennung (optional): Sollte Ihr Dienstanbieter eine spezifische Einwahlkennungverwenden, müssen Sie diese hier eingeben.Der Standardwert ist *99#.


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Init-Kennung:Geben Sie die Kennung zur Initialisierung desUSB-Modem-Sticks ein.Beachten Sie, dassdie Init-Kennung eventuell demUSB-Modem-Stick angepasstwerdenmuss. In diesem Fall entnehmen Sie die Init-Kennung dem zugehörigenHandbuch desUSB-Modem-Sticks.FallsSie keine entsprechende Dokumentation zurVerfügung haben, tragen Sie in dasEingabefeldATZ ein.

Rückstellung:Geben Sie die Kennung zur Rückstellung desUSB-Modem-Sticks ein.Beachten Sie auch hier, dassdie Rückstellungskennung eventuell demUSB-Modem-Stick angepasst werdenmuss. In diesem Fall entnehmen Sie diese dem zugehörigenHandbuch desUSB-Modem-Sticks.FallsSie keine entsprechende Dokumentation zurVerfügung haben, tragen Sie in dasEingabefeldATZ ein.


MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für dieSchnittstellenart 3G/UMTS auf 1500 Byte voreingestellt.

Asymmetrisch (optional): Wählen Sie dieseOption, falls die Bandbreite von Uplink undDownlink Ihrer Verbindung nicht identisch ist und Sie wollen, dassdasDashboard dieswiderspiegelt. Eswerden zwei Textfelder angezeigt, in die Sie diemaximale BandbreitedesUplinks in entweder MB/soder KB/s angeben können.Wählen Sie dieentsprechende Einheit ausder Auswahlliste aus.

Angezeigtes Max. (optional): Hier können Sie diemaximale Downlink-Bandbreite IhrerVerbindung angeben, wenn Sie wollen, dassdasDashboard sie widerspiegelt. DieBandbreite kann entweder in MB/soder KB/s angegeben werden.Wählen Sie dieentsprechende Einheit ausder Auswahlliste aus.

4. Klicken Sie auf Speichern.DasSystem prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichenPrüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle istnoch ausgeschaltet (Statusampel zeigt Rot).

5. Aktivieren Sie die Schnittstelle.

Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.

Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wirdzunächst möglicherweise noch alsDown (nicht verbunden) angezeigt. DasSystembenötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zuladen. Die neue Schnittstelle ist betriebsbereit, wenn die StatusmeldungUp angezeigtwird.





6.1.1.5 Ethernet-StandardUmeine Netzwerkkarte für eine Ethernet-Standard-Verbindung zu einem internen oderexternen Netzwerk zu konfigurieren, mussdie Netzwerkkartemit einer IP-Adresse und einerNetzmaske konfiguriert werden.

Um eine Ethernet-Standard-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:



Typ:Wählen SieEthernet-Standard ausder Auswahlliste aus.

Hardware:Wählen Sie eine Schnittstelle ausder Auswahlliste aus.

Tipp –Wählen Sie alsSchnittstelle zum externen Netzwerk (z. B. zum Internet) dieNetzwerkkartemit der SysID eth1 aus.Beachten Sie, dasseine Netzwerkkarte nichtgleichzeitig alsEthernet-Standard-Schnittstelle und alsPPP-over-Ethernet (PPPoE-DSL) oder PPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.

IPv4/IPv6 Adresse:Geben Sie die zusätzliche IP-Adresse für die Schnittstelle ein.

Netzmaske:Wählen Sie eine Netzmaske (IPv4) oder geben Sie eine IPv6-Netzmaskeein.

IPv4/IPv6 Standard-GW (optional): Wählen Sie dieseOption, wenn Sie ein statischesStandardgatewayverwenden wollen.

Standard-GW-IP (optional): Tragen Sie hier die IP-Adresse desStandardgatewayein.

Hinweis –Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adressebesitzen.



3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für denSchnittstellentypEthernet-Standard auf 1500 Byte voreingestellt.

Proxy-ARP:Wählen Sie dieseOption aus, um die Proxy-ARP-Funktion zuaktivieren.Standardmäßig ist die FunktionProxy-ARP deaktiviert.Diese Funktion ist für Schnittstellen vom Typ Broadcast verfügbar.Wenn diese Funktionaktiviert ist, wird dasGatewayüber diese Schnittstelle Datenverkehr stellvertretend fürandere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabeübernimmt die Firewall für alle Hosts, zu denen sie eine direkte Schnittstellenroutebesitzt. Dasermöglicht Ihnen, ein „transparentes“ Netzwerk-Bridging einzurichten ohneauf die Firewall-Eigenschaften zu verzichten.Ein anderer Anwendungsfall für dieseFunktion ist, wenn der Router IhresAnbieters (ISP) Ihr „offizielles“ Netzwerk einfach aufseine Ethernetschnittstelle setzt (anstelle eine Host-Route zu verwenden).











6.1.1.6 Ethernet-VLANUmeine Verbindung zwischen der UTM und den virtuellen LANsherzustellen, benötigt dasSystem eine Netzwerkkartemit einem Tag-fähigen Treiber.Ein Tag ist ein kleiner 4-Byte-Header, der an den Ethernet-Header von Paketen angefügt wird.DasTag enthält die NummerdesVLANs, für dasdiesesPaket bestimmt ist: Die VLAN-Nummer besteht aus12 Bit, dadurchsind 4095 verschiedene virtuelle LANsmöglich. Diese VLAN-Nummer wird imWebAdmin alsVLAN-Tag oder VLAN-ID bezeichnet.

Hinweis -Sophos verwaltet eine Liste der unterstützten, Tag-fähigen Netzwerkkarten.DieHardwarekompatibilitätsliste (Hardware Compatibility List; HCL) steht in derSophosKnowledgebase zur Verfügung. Verwenden Sie „HCL“ alsSuchbegriff, um dieentsprechende Seite zu finden.

Um eine Ethernet-VLAN-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:



Typ:Wählen SieEthernet-VLAN ausder Auswahlliste aus.


VLAN-Tag: Tragen Sie dasVLAN-Tag für diese Schnittstelle ein.




Netzmaske:Wählen Sie eine Netzmaske (IPv4) oder geben Sie eine IPv6-Netzmaskeein.

IPv4/IPv6 Standard-GW (optional): Wählen Sie dieseOption, wenn Sie ein statischesStandardgatewayverwenden wollen.

Standard-GW-IP (optional): Tragen Sie hier die IP-Adresse desStandardgatewayein.



3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für denSchnittstellentypEthernet-VLAN auf 1500 Byte voreingestellt.


Asymmetrisch (optional): Wählen Sie dieseOption, falls die Bandbreite von Uplink undDownlink Ihrer Verbindung nicht identisch ist und Sie wollen, dassdasDashboard dieswiderspiegelt. Eswerden zwei Textfelder angezeigt, in die Sie diemaximale Bandbreite




desUplinks in entweder MB/soder KB/s angeben können.Wählen Sie dieentsprechende Einheit ausder Auswahlliste aus.







6.1.1.7 Kabelmodem (DHCP)UmeineKabelmodem-Schnittstelle (DHCP) zu konfigurieren, gehen Sie folgendermaßen vor:



Typ:Wählen SieKabelmodem (DHCP) ausder Auswahlliste aus.



Tipp –Wählen Sie alsSchnittstelle zum externen Netzwerk (z. B. zum Internet) dieNetzwerkkartemit der SysID eth1aus.Beachten Sie, dasseine Netzwerkkarte nichtgleichzeitig alsKabelmodem (DHCP) und alsPPP-over-Ethernet (PPPoE-DSL) oderPPPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.

IPv4 Standard-GW (optional): Wählen Sie dieseOption, wenn Sie dasStandardgateway IhresAnbieters nutzenmöchten.


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Hostname:Wenn Ihr ISP den Hostnamen IhresSystemsbenötigt, geben Sie ihn hierein.

MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für dieSchnittstellenartKabelmodem auf 1500 Byte voreingestellt.













6.1.1.8 DSL (PPPoE)Für diese Konfiguration benötigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.Die Zugangsdaten erhalten Sie von Ihrem ISP.VDSLwird ebenfalls von dieser Schnittstellenartunterstützt.

Hinweis –Die UTM ist nach Aktivierung der DSL-Verbindung täglich 24 Stundenmit IhremInternetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die VerbindungalsFlatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.

Um eine DSL-(PPPoE-)Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:




Typ:Wählen SieDSL (PPPoE) ausder Auswahlliste aus.


VDSL:Wählen Sie dieseOption (nur) aus, wenn es sich bei der Verbindung um eineVDSL-Verbindung handelt.DerMTU-Wert ändert sich auf 1476.

Statische PPPoE-IP (optional): Markieren Sie diesesAuswahlfeld, wenn Sie von IhremInternetanbieter eine statische IP-Adresse zugewiesen bekommen haben, und gebenSie die IP-Adresse und die dazugehörige Netzmaske in die erscheinenden Textfelderein.

l IPv4/IPv6 Adresse:Geben Sie die zusätzliche IP-Adresse für die Schnittstelleein.

l Netzmaske:Wählen Sie ausder Auswahlliste eine Netzmaske ausund/odertragen Sie eine IPv6-Netzmaske ein.


IPv4/IPv6 Standard-GW (optional): Wählen Sie dieseOption, wenn Sie dasStandardgateway IhresAnbieters nutzenmöchten.

Benutzername: Tragen Sie den Benutzernamen ein, den Sie von IhremAnbietererhalten haben.

Kennwort: Tragen sie dasKennwort ein, dasSie von Ihrem Internetanbieter erhaltenhaben.


3. Nehmen Sie optional die folgenden erweiterten Einstellungen vor:Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindungbeendet und wieder neu aufgebaut werden soll.Sie können zwischenNie und einerbeliebigen Uhrzeit wählen.

Verzögerte Wiedereinwahl: Definieren Sie hier die Zeitverzögerung für dieWiedereinwahl.Standardmäßig beträgt sie 5 Sekunden.Sollte Ihr Anbieter eine längere




Verzögerung erfordern, können Sie denWert aufEineMinute oder FünfzehnMinutensetzen.

MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für dieSchnittstellenartDSL (PPPoE) auf 1492 Byte voreingestellt.









6.1.1.9 DSL (PPPoA/PPTP)Für die Konfiguration einer PPP-over-ATM-Verbindung (PPPoA) benötigen Sie auf der UTMeine freie Ethernet-Netzwerkkarte und ein externesADSL-Modemmit Ethernet-Anschluss.Die Verbindung zum Internet erfolgt über zwei Teilstrecken.Zwischen der UTM und demADSL-Modem erfolgt die Verbindungmit demProtokollPPTPover Ethernet.Die VerbindungvomADSL-Modem zum Internetanbieter (ISP) erfolgt mit demADSL-EinwahlprotokollPPPover ATM.

Für diese Konfiguration benötigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.Die Zugangsdaten erhalten Sie von Ihrem ISP.

Hinweis –Die UTM ist nach Aktivierung der DSL-Verbindung täglich 24 Stundenmit IhremInternetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die VerbindungalsFlatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.

Um eine DSL-(PPPoA/PPTP-)Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:



Typ:Wählen SieDSL (PPPoA/PPTP) ausder Auswahlliste aus.









3. Nehmen Sie optional die folgenden erweiterten Einstellungen vor:Modem-IP: Tragen Sie die IP-Adresse desADSL-Modemsein. Diese Adresse wird inder Regel vomAnbieter oder von der Hardwaremitgeliefert und kann nicht geändertwerden.Beispiel: 10.0.0.138 (beiAonSpeed).

NIC-Adresse: Tragen Sie die IP-Adresse für die Netzwerkkarte auf der UTM ein, die andasModem angeschlossen ist. Diese Adressemuss im selben Subnetz liegen wie die IP-Adresse desModems.Beispiel: 10.0.0.140 (beiAonSpeed).

NIC-Netzmaske: Tragen Sie die Netzmaske ein.Beispiel: 255.255.255.0 (beiAonSpeed).

Ping-Adresse (optional): Tragen Sie die IP-Adresse einesHosts im Internet ein, der aufICMP-Ping-Anfragen antwortet.Um die Verbindung zwischen der UTM und demexternen Netzwerk zu testen, geben Sie eine IP-Adresse einesHosts am anderen Endeder PPTP-Verbindung an. Sie können versuchen, den DNS-Server Ihres ISP dafür zuverwenden.Die UTM sendet Ping-Anfragen zu diesemHost: Falls dasSystem vondiesemHost keine Antwort erhält, ist die Verbindung nicht intakt.

MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für dieSchnittstellenartDSL (PPPoA) auf 1492 Byte voreingestellt.

Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindungbeendet und wieder neu aufgebaut werden soll.Sie können zwischenNie und einerbeliebigen Uhrzeit wählen.

Verzögerte Wiedereinwahl: Definieren Sie hier die Zeitverzögerung für dieWiedereinwahl.Standardmäßig beträgt sie 5 Sekunden.Sollte Ihr Anbieter eine längereVerzögerung erfordern, können Sie denWert aufEineMinute oder FünfzehnMinutensetzen.










6.1.1.10 Modem (PPP)Für die Konfiguration benötigen Sie eine serielle Schnittstelle und ein externesPPP-Modem aufder UTM.Darüber hinausbenötigen Sie DSL-Zugangsdaten wie Benutzername undKennwort. Diese Daten erhalten Sie von Ihrem Internetanbieter.

Um eineModem-(PPP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:



Typ:Wählen SieModem (PPP) ausder Auswahlliste aus.








Einwahlkennung:Geben Sie die Telefonnummer ein.Beispiel: 5551230


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Geschwindigkeit: Stellen Sie hier die Geschwindigkeit in Bit pro Sekunde für dieVerbindung zwischen der UTM und demModem ein. ÜblicheWerte sind 57.600 Bit/sund 115.200 Bit/s.

Datenflusskontrolle: Stellen Sie dieMethode zur Kontrolle desDatenflussesein.Wenn die Daten über die serielle Verbindung laufen, kann es vorkommen, dassdasSystem die ankommendenDaten nicht schnell genug verarbeiten kann. Umsicherzustellen, dass keine Daten verloren gehen, ist eineMethode zur Kontrolle desDatenflussesnotwendig. Bei der seriellen Verbindung sind zweiMethoden verfügbar:

l Hardware-Signale

l Software-Signale

Da bei einer PPP-Verbindung alle acht Bit der Leitung verwendet werden und sich in denübertragenen Daten die Byte der SteuerzeichenControl S undControlQbefinden,empfehlen wir, die VoreinstellungHardware beizubehalten und ein entsprechendesseriellesVerbindungskabel zu verwenden.

Init-Kennung: Tragen Sie die Kennung zur Initialisierung desModemsein. BeachtenSie, dassdie Init-Kennung (init string) eventuell demModem angepasst werdenmuss. Indiesem Fall entnehmen Sie die Init-Kennung dem zugehörigenModem-Handbuch.FallsSie keine entsprechende Dokumentation zur Verfügung haben, tragen Sie in dasEingabefeldATZ ein.

Rückstellung: Tragen Sie die Rückstellungskennung (reset string) für dasModem ein.Beachten Sie auch hier, dassdie Rückstellungskennung eventuell demModemangepasst werdenmuss. In diesem Fall entnehmen Sie diese dem zugehörigen


Modem-Handbuch.FallsSie keine entsprechende Dokumentation zur Verfügunghaben, tragen Sie in dasEingabefeldATZ ein.

MTU:Geben Sie diemaximale Größe der Datenpakete (engl. MaximumTransmissionUnit) für die Schnittstelle in Byte an. Siemüssen einenWert eingeben, der zur Art derSchnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellteWert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändertwerden, da ein falscher Wert die Schnittstelle funktionsunfähigmachen kann. EinMTU-Wert, der größer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für dieSchnittstellenartModem (PPP) auf 1492 Byte voreingestellt.











6.1.2 Zusätzliche AdressenEine Netzwerkkarte kannmit zusätzlichen IP-Adressen konfiguriert werden (auchAliassegenannt). Diese Funktion wird benötigt, um auf einer physikalischen Netzwerkkartemehrerelogische Netzwerke zu verwalten.Sie kann auch im Zusammenhangmit NAT (NetworkAddressTranslation) verwendet werden, um der UTM zusätzliche Adressen zuzuweisen.

Um zusätzliche Adressen auf einer Netzwerkkarte zu konfigurieren, gehen Siefolgendermaßen vor:

1. Klicken Sie auf der Registerkarte Zusätzliche Adressen auf Neue zusätzlicheAdresse.DasDialogfenster Neue zusätzliche Adresse erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die neue zusätzliche Adresse ein.

Auf Schnittstelle:Wählen Sie im Auswahlmenü die Netzwerkkarte aus, der dieAdresse zugewiesen werden soll.


Netzmaske:Wählen Sie ausder Auswahlliste eine Netzmaske ausund/oder tragen Sieeine IPv6-Netzmaske ein.




4. Aktivieren Sie die zusätzliche Adresse.Aktivieren Sie die zusätzliche Adresse durch einen Klick auf die Statusampel.

Die zusätzliche Adresse ist nun eingeschaltet (Statusampel zeigt Grün).Die zusätzlicheAdresse wirdmöglicherweise dennoch alsDown (Aus) angezeigt. DasSystem benötigtkurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden.Die


zusätzliche Adresse ist vollständig einsatzbereit, sobald dieMeldungUp (Ein) angezeigtwird.

Um eine zusätzliche Adresse zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

6.1.3 LinkbündelungLinkbündelung (engl. LinkAggregation) (auch Kanalbündelung, port trunking oder NICbonding) fasst mehrere parallele Ethernet-Verbindungen zu einer logischen Verbindungmiteiner IP-Adresse zusammen. Die gebündelten Portswerden von IhremSystem als eine einzigeIP-Adresse wahrgenommen.Mit Linkbündelung lässt sich einerseits die Bandbreite über dieKapazität einer einzelnen NIC hinaus vervielfachen, andererseits bietet es durch dieredundanten Verbindungen eine einfache Ausfallsicherung (Failover) und Fehlertoleranz fürden Fall, dassein Port oder Switch ausfällt. Der gesamte Datenverkehr, der über denausgefallenen Port oder Switch lief, wird automatisch auf die übrigen Ports oder Switchesumgeleitet. Eine solche Ausfallsicherung ist für dasSystem, dasdiese Verbindung benutzt,völlig transparent.

Hinweis – In einer Hochverfügbarkeitsumgebung können die einzelnen Ethernet-Verbindungen sogar auf verschiedenen HA-Einheiten sein.

Sie können bis zu vier verschiedene Linkbündelungsgruppen definieren. Pro Gruppe sindmaximal vier Ethernet-Schnittstellen zulässig. Eine Gruppe kann ausnur einer Schnittstellebestehen.

Um eine Linkbündelungsgruppe (LAG) zu konfigurieren, gehen Sie folgendermaßen vor:

1. Wählen Sie für jede LAG, welche Schnittstellen Sie hinzufügen wollen.EineGruppe kann auseiner konfigurierten Schnittstelle und/oder einer oder mehrerenunkonfigurierten Schnittstellen bestehen.

Um eine konfigurierte Schnittstelle zu verwenden, wählen Sie diese ausder AuswahllisteKonvertierungsschnittstelle aus. Um unkonfigurierte Schnittstellen zu verwenden,markieren Sie die entsprechenden Auswahlfelder.

2. Aktivieren Sie die LAG.Aktivieren Sie die LAGdurch einen Klick auf die SchaltflächeDieseGruppe aktivieren.




Sobald die Linkbündelungsgruppe konfiguriert ist, steht eine neue LAG-Schnittstelle (z.B. lag0) zur Verfügung, die ausgewählt werden kann, wenn Sie eine neueSchnittstellendefinition auf der RegisterkarteSchnittstellen anlegen. Für eine LAGkönnen die folgenden Schnittstellenarten konfiguriert werden:

l Ethernet-Standard

l Ethernet-VLAN

l Kabelmodem (DHCP)

l Alias-Schnittstellen

Um eine LAGzu deaktivieren, entfernen Sie die Häkchen ausden Auswahlfeldern, die Teildieser LAGsind, klicken Sie aufDieseGruppe aktualisieren und bestätigen Sie denWarnhinweis.Der Statusder LAGwird auf der RegisterkarteSupport >Erweitert >Schnittstellen angezeigt.

6.1.4 Uplink-AusgleichMit der Uplink-Ausgleich-Funktion können Siemehrere Internetverbindungenzusammenfassen, entweder um Zusatzverbindungen bei einemAusfall zu haben oder um dieLast auf mehrere Verbindungen zu verteilen. Die Kombination von bis zu 32 unterschiedlichenInternetverbindungenwird unterstützt.

Der Uplink-Ausgleich ist automatisch aktiviert, wenn Sie einer Schnittstelle zusätzlich zu einerbereits vorhandenen Schnittstelle mit Standardgatewayein Standardgatewayzuweisen.AlleSchnittstellenmit Standardgatewaywerden zum FeldAktive Schnittstellen hinzugefügt und derUplink-Ausgleich wird ab diesem Zeitpunkt automatisch durchgeführt. Weitere Schnittstellenmit Standardgatewaywerden ebenfalls automatisch hinzugefügt.

Auf der RegisterkarteMultipathregeln können Sie konkrete Regeln für den auszugleichendenDatenverkehr definieren.

Um denUplink-Ausgleichmanuell einzurichten, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den Uplink-Ausgleich.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittUplink-Ausgleich kann nun bearbeitetwerden.


2. Wählen Sie aktive Schnittstellen aus.Fügen Sie eine oder mehrere Schnittstellen hinzu, indemSie auf dasOrdnersymbolklicken und danach Schnittstellen ausder Objektleiste herüberziehen.WennmehrereSchnittstellen verwendet werden, wird der Verkehr automatisch zwischen diesenlastverteilt. Wenn eine der Schnittstellen nicht erreichbar ist, wird der Verkehr vonder/den verbleibenden Schnittstelle(n) übernommen.

Hinweis –WennUplink-Ausgleich automatisch aktiviert wurde, enthält die ListeAktiveSchnittstellen zunächst bereits alle Schnittstellenmit Standardgateway.Wenn Sie eineSchnittstelle ausder Liste entfernen, wird dasAuswahlkästchenStandardgatewayderSchnittstelle automatisch deaktiviert.Daher muss jede Schnittstelle mitStandardgatewayentweder auf dieser Liste oder im FeldStandby-Schnittstellen untenaufgeführt sein. Sie können jedoch Schnittstellen ohne Standardgatewayhinzufügenund die Standardgatewayadresse später eingeben.

Hinweis –Die Reihenfolge der Schnittstellen ist wichtig, sowohl bei den aktiven alsauch bei den Standby-Schnittstellen:Wenn ein Server nicht antwortet, wird die erstedarauffolgende Schnittstelle ausgewählt. Sie können die Reihenfolge der Schnittstellenändern, indemSie die blauen Pfeile im entsprechenden Feld anklicken.

Über die Planer-Schaltfläche in der Kopfzeile desFeldes können Sie dasVerteilungsverhalten und die Schnittstellenbindung der aktiven Schnittstellen festlegen:

Gewichtung: DieGewichtung kann auf einenWert zwischen 0 und 100 festgelegtwerden und gibt an, wie vielDatenverkehr eine Schnittstelle im Vergleich zu allenanderen Schnittstellen verarbeitet. Hierfür wird ein gewichteter Round-Robin-Algorithmusverwendet. Ein höherer Wert bedeutet, dassmehr Datenverkehr über diejeweilige Schnittstelle geroutet wird. DieWerte werden im Verhältnis zueinanderbewertet, daher muss ihre Summe nicht 100 ergeben. So ist z. B. eine Konfigurationmöglich, bei der Schnittstelle 1 denWert 100, Schnittstelle 2 denWert 50 undSchnittstelle 3 denWert 0 hat. Dabei bearbeitet Schnittstelle 2 nur halb so vielDatenverkehr wie Schnittstelle 1, während Schnittstelle 3 nur aktivwird, wenn keine deranderen Schnittstellen verfügbar ist. Der Wert Null bedeutet, dassgrundsätzlich eineandere Schnittstelle mit höheremWert gewählt wird, wenn diese verfügbar ist.




Bindung: Die Schnittstellen-Bindung ist ein Verfahren, dasgewährleistet, dassDatenverkehr mit bestimmten Attributen immer über dieselbe Uplink-Schnittstellegeroutet wird. Die Bindung hat eine Zeitbeschränkung von einer Stunde.

3. Wählen Sie Standby-Schnittstellen (optional).Hier können Sie optionalErsatz-Schnittstellen hinzufügen, die nur in Aktion treten, wennalle aktiven Schnittstellen unerreichbar sind.

4. Überwachung aktivieren (optional):Automatische Überwachung ist standardmäßig aktiviert, um einmöglichesVersageneiner Schnittstelle zu entdecken. Diesbedeutet, dassder Zustand aller Uplink-Ausgleich-Schnittstellen überwacht wird, indem ein bestimmter Host im Internet in einemAbstandvon 15 Sekunden angesprochen wird. Sobald ein Host keine Antwort mehr versendet,wird die entsprechende Schnittstelle als tot betrachtet und nicht mehr für die Verteilungverwendet.Auf demDashboard wird dann in der Spalte Linkder Schnittstelle Fehlerangezeigt.Standardmäßig ist der überwachende Host der dritte Pings zulassende Hop auf demWeg zu einem der Root-DNS-Server. Sie können die Hosts zumÜberwachen derServer selbst bestimmen. Für diese Hosts können Sie einen anderen Dienst alsPingauswählen und Überwachungsintervall und -zeitüberschreitung anpassen:

1. Deaktivieren Sie das Auswahlkästchen Automatische Überwachung.DasFeldÜberwachte Hosts kann nun bearbeitet werden.

2. Fügen Sie die überwachenden Hosts hinzu.Fügen Siemindestenseinen Host hinzu, der statt zufällig gewählten Hosts dieÜberwachung übernehmen soll. Wenn eine Schnittstelle vonmehr als einemHostüberwacht wird, wird sie nur als tot betrachtet, wenn keiner der überwachendenHosts in der festgelegten Zeitspanne antwortet.

Hinweis –Wenn ein ausgewählter Host an eine Schnittstelle gebunden ist, wirder nur zur Überwachung dieser Schnittstelle verwendet. Ist ein Host nicht aneine Schnittstelle gebunden, wird er zur Überwachung aller Schnittstellenverwendet. Schnittstellen, die nicht von den ausgewählten Hosts überwachtwerden, werden automatisch überwacht.

Über die Planer-Schaltfläche in der Kopfzeile desFeldes können Sie dieÜberwachungseinstellungen festlegen:


Überwachungstyp: Wählen Sie dasDienstprotokoll für dieÜberwachungsprüfungen aus.Wählen Sie für die Dienstüberwachung entwederTCP (TCP-Verbindungsaufbau),UDP (UDP-Verbindungsaufbau),Ping (ICMP-Ping),HTTPHost (HTTP-Anfragen) oder HTTPSHosts (HTTPS-Anfragen).Wenn SieUDP verwenden, wird zunächst eine Ping-Anfrageversendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Pingerfolglos oder der ICMP-Port nicht erreichbar, gilt die Schnittstelle als ausgefallen.

Port (nur beiÜberwachungstypen TCPundUDP): Nummer desPorts, an dendie Anfrage gesendet wird.

URL (optional, nur beiÜberwachungstypen HTTP/S-Hosts): AnzufragenderURL.Wenn keine angegeben ist, wird dasWurzelverzeichnis verwendet.

Intervall: Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts überprüftwerden.

Zeitüberschreitung: Geben Sie einenmaximalen Zeitraum in Sekunden an, indem die überwachenden Hosts eine Antwort senden können.Wenn keiner derüberwachenden Hosts einer Schnittstelle in diesem Zeitraum antworten, wird dieSchnittstelle als tot betrachtet.


Eine neue virtuelle Schnittstelle namensUplink Interfaceswird automatisch angelegt und stehtanderen Funktionen von SophosUTM zur Verfügung, z. B. IPsec-Regeln.Die virtuelleSchnittstelleUplink Interfacesumfasst alle Uplink-Schnittstellen, die der Schnittstellen-Listehinzugefügt wurden.Eine neue virtuelle Schnittstelle namensUplinkPrimaryAddresses (Uplink-Hauptadressen)wird automatisch angelegt und steht anderen Funktionen von SophosUTM zur Verfügung, z.B. Firewallregeln.Sie bezieht sich auf die Hauptadressen sämtlicher Uplink-Schnittstellen.

Im Fall desVersagenseiner Schnittstelle können offene VPN-Tunnel automatisch über dienächste verfügbare Schnittstelle wiederhergestellt werden, vorausgesetzt, dassDynDNSverwendet wird oder der entfernte Server die IP-Adressen aller Uplink-Schnittstellenakzeptiert.Voraussetzung ist, dassdie IPsec-Regel dieUplink-Schnittstellen alsLokaleSchnittstelle verwendet.




6.1.5 MultipathregelnAuf der RegisterkarteSchnittstellen &Routing &Schnittstellen >Multipathregeln können SieRegeln für den Uplink-Ausgleich erstellen.Die Regeln werden auf die aktiven Schnittstellen derRegisterkarteUplink-Ausgleich angewendet. Im Fall, dassalle aktiven Schnittstellen ausfallenund die passiven Schnittstellen übernehmen, werden dieMultipathregeln auf die passivenSchnittstellen angewendet. Die Regeln werden natürlich nur angewendet, wenn esmehr alseine Schnittstelle gibt (aktiv oder passiv), zwischen denen der Verkehr verteilt werden kann.Generellwerden alle Dienste lastverteilt – auch ohne dasAnlegen vonMultipathregeln.Multipathregeln erlauben es Ihnen aber, den Ausgleich für bestimmten Verkehr festzulegen.

Um eineMultipathregel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Multipathregeln auf Neue Multipathregel.DasDialogfenster NeueMultipathregel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die Multipathregel ein.

Quelle:Wählen Sie eine Quell-IP-Adresse oder ein Quellnetzwerkaus, auf die oder dasdie Regel sich beziehen soll.

Dienst:Wählen Sie einen Netzwerkdienst aus, auf den die Regel sich beziehen soll.

Ziel:Wählen Sie eine Ziel-IP-Adresse oder ein Quellnetzwerkaus, auf die oder dasdieRegel sich beziehen soll.

Schnittst. Bindung:DieSchnittstellen-Bindung ist ein Verfahren, dasgewährleistet,dassDatenverkehr mit bestimmten Attributen immer über dieselbe Uplink-Schnittstellegeroutet wird.Die Bindung hat eine Zeitbeschränkung von einer Stunde. Sie könnendiese Einstellung jedoch auf der RegisterkarteUplink-Ausgleich ändern. Sie könnenbestimmen, wasdie Basis für die Bindung sein soll:

l Nach Verbindung: Der (Standard-)Ausgleich erfolgt abhängig von derVerbindung, d. h. sämtlicher Datenverkehr, der zu einer bestimmten Verbindunggehört, verwendet dieselbe Schnittstelle, während Datenverkehr einer anderenVerbindung an eine andere Schnittstelle gesendet werden kann.

l Nach Quelle:: Ausgleich erfolgt abhängig von der Quell-IP-Adresse, d. h.sämtlicher Datenverkehr, der auseiner Quelle stammt, verwendet dieselbe


Schnittstelle, während Datenverkehr ausanderenQuellen an eine andereSchnittstelle gesendet werden kann.

l Nach Ziel: Ausgleich erfolgt abhängig von der Ziel-IP-Adresse, d. h. sämtlicherDatenverkehr für ein Ziel verwendet dieselbe Schnittstelle, währendDatenverkehr mit andren Zielen an eine andere Schnittstelle gesendet werdenkann.

l Nach Quelle/Ziel: Ausgleich erfolgt abhängig vonQuell- und Ziel-IP-Adresse, d.h. sämtlicher Datenverkehr auseiner bestimmtenQuelle undmit einembestimmten Ziel verwendet dieselbe Schnittstelle. Datenverkehr mit eineranderen Kombination ausQuelle und Ziel kann an eine andere Schnittstellegesendet werden.

l Nach Schnittstelle:Wählen Sie eine Schnittstelle ausder AuswahllisteBind-Schnittstelle. Der Verkehr, für den diese Regel zutrifft, wird über dieseSchnittstelle geroutet.Wenn eine Schnittstelle versagt und keine folgendenRegeln zutreffen, wird für die Verbindung die Standardaktion angewendet.

Ausgleich an (nicht mit Bindung nach Schnittstelle): Fügen Sie eineSchnittstellengruppe zum Feld hinzu. Der Verkehr, für den diese Regel zutrifft, wird überdie Schnittstellen dieser Gruppe ausgeglichen.Standardeinstellung istUplink-Schnittstellen, d. h. Verbindungen werden über alle Uplink-Schnittstellen ausgeglichen.


3. Klicken Sie auf Speichern.Die neueMultipathregelwird in der ListeMultipathregeln angezeigt. Um eine Regel zubearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

4. Aktivieren Sie die Regel.Die neueMultipathregel ist standardmäßig ausgeschaltet. Aktivieren Sie die Regel durcheinen Klick auf die Statusampel.

Die Regel ist nun aktiviert (Statusampel zeigt Grün).

6.1.6 HardwareAuf der RegisterkarteSchnittstellen &Routing >Schnittstellen >Hardware sind allekonfigurierten Schnittstellenmit den entsprechenden Hardware-Informationen aufgelistet wiez. B. der Ethernet-Betriebsmodusund dieMAC-Adresse.Für jede Schnittstelle kann dieautomatische Aushandlung (engl. auto negotiation) eingeschaltet oder ausgeschaltet werden.




Auto Negotiation (Automatische Aushandlung):Gewöhnlich wird der Ethernet-Betriebsmodus (1000BASE-T Full-Duplex, 100BASE-T Full-Duplex, 100BASE-T Half-Duplex,10BASE-T Half-Duplex, usw.) zwischen zweiNetzwerkgeräten automatisch ausgehandelt,indem der beste Betriebsmodusgewählt wird, der von beidenGeräten unterstützt wird. Dabeiwird eine höhere Geschwindigkeit (z. B. 1000 Mbit/s) einer niedrigerenGeschwindigkeit (z. B.100 Mbit/s) vorgezogen, und bei gleicher Geschwindigkeit wird Full-DuplexHalf-Duplexvorgezogen.

Warnung – Für eine einwandfreie Funktion von 1000 Mbit/s ist die automatischeAushandlung stets erforderlich und wird auch vom IEEE-Standard 802.3ab gefordert.AchtenSie deshalb darauf,Auto Negotiation für Schnittstellenmit Linkmode 1000BASE-T niemalsauszuschalten. Die zeitliche Abstimmung Ihrer Netzwerkverbindung könnte scheitern, was zueingeschränkter Funktionalität oder vollständigemVersagen führen kann. Bei derVerwendung von 100Mbit/s und 10Mbit/s ist die automatische Aushandlung optional, ihrEinsatzwird aber – sofernmöglich – empfohlen.

Die automatische Aushandlung ist standardmäßig aktiviert.Klicken Sie in den seltenen Fällen, indenen sie abgeschaltet werdenmuss, auf die SchaltflächeBearbeiten der entsprechendenNetzwerkkarte und ändern Sie die Einstellung in dem erscheinenden Dialogfenster NIC-Parameter bearbeiten über die Auswahlliste LinkMode.Klicken Sie aufSpeichern, um IhreÄnderungen zu speichern.

Warnung –Seien Sie vorsichtig, wenn Sie die automatische Aushandlung abschalten, da dieLeistung dieser Verbindung eingeschränkt oder sogar unterbrochen werden kann. Falls essich bei der Netzwerkkarte um Ihre Schnittstelle zumWebAdmin handelt, wäre in diesem Fallkein Zugriff auf denWebAdminmehr möglich!

Im Fall, dasseine der Schnittstellen ihre Netzwerkverbindung aufgrund einer Änderung an derautomatischen Aushandlung oder denGeschwindigkeitseinstellungen verloren hat, wird eineÄnderung der Einstellung auf ihren ursprünglichenWert normalerweise die Funktionalität nichtwiederherstellen: DasÄndern der automatischen Aushandlung oder denGeschwindigkeitseinstellungen von nicht verbundenen Schnittstellen funktioniert nichtzuverlässig.Aktivieren Sie daher erst die automatische Aushandlung und starten Sie dann dieUTM neu, um die normale Funktionalität wiederherzustellen.

HA-Link-Überwachung:WennHochverfügbarkeit aktiviert ist, werden alle konfiguriertenSchnittstellen auf ihren Link-Statushin überwacht.Falls ein Link ausfällt, wird eine Übernahme


(Takeover) eingeleitet. Falls eine konfigurierte Schnittstelle nicht durchgehend verbunden ist(z. B. die Administrationsschnittstelle), deaktivieren Sie bitte die HA-Link-Überwachung fürdiese Schnittstelle. Andernfallswerden alle HA-Knoten im StatusNICHT VERBUNDENverbleiben.Um die HA-Link-Überwachung zu deaktivieren, klicken Sie auf die SchaltflächeBearbeiten der entsprechenden Netzwerkkarte und ändern Sie die Einstellung in demerscheinenden DialogfeldNIC-Parameter bearbeiten.Klicken Sie aufSpeichern, um IhreÄnderungen zu speichern.

Set Virtual MAC: Unter Umständen ist es sinnvoll, die MAC-Adresse einesGeräts zu ändern.Beispielsweisemüssen dieModemseiniger ISPszurückgesetzt werden, wenn sich dasangeschlosseneGerät und die damit verbundeneMAC-Adresse ändert. Ein Zurücksetzen desModems lässt sich vermeiden, indem dieMAC-Adresse auf denWert desVorgängergerätsgesetzt wird.

Die UTM überschreibt jedoch nicht die ursprünglicheMAC-Adresse desGeräts, sondern legtstattdessen eine virtuelle MAC-Adresse fest.Klicken Sie dazu auf die SchaltflächeBearbeitender entsprechenden Netzwerkkarte.Wählen Sie in dem erscheinenden DialogfeldNIC-Parameter bearbeiten die OptionSet VirtualMAC und geben Sie eine gültigeMAC-Adresseein.Klicken Sie aufSpeichern, um Ihre Änderungen zu speichern.

Klicken Sie auf die SchaltflächeBearbeiten der entsprechenden Netzwerkkarte, um dieursprünglicheMAC-Adresse wiederherzustellen.Wählen Sie in dem erscheinenden DialogfeldNIC-Parameter bearbeiten die OptionVirtuelle MAC setzen ab.Klicken Sie aufSpeichern, umIhre Änderungen zu speichern.

6.2 BridgingDasBridging (engl. von „Brücke“) ist eineMethode zur Weiterleitung von Datenpaketen undwird hauptsächlich in Ethernet-Netzwerken eingesetzt. ImGegensatz zumRouting trifftBridging keine Annahmen darüber, wo sich in einemNetzwerkeine bestimmte Adressebefindet. Stattdessen benutzt esBroadcast um unbekannte Geräte zu lokalisieren.

Durch Bridging können zwei oder auchmehrere gleichartige Netzwerke oderNetzwerksegmentemiteinander verbunden werden. Dabeiwerden die DatenpaketemittelsBridging-Tabellen weitergeleitet, welcheMAC-Adressen einemBridge-Port zuordnen. Dieentstehende Bridge übermittelt den Verkehr dann transparent durch die Bridging-Schnittstellen.


6 Schnittstellen & Routing 6.2 Bridging

6.2 Bridging 6 Schnittstellen & Routing

Hinweis –Diese Art von Verkehr mussexplizit durch entsprechende Firewallregeln erlaubtwerden.

Hinweis –Diemeisten virtuellen Hosts lassen standardmäßig keine Änderungen vonMAC-Adressen oder den PromiscuousMode auf ihren virtuellen Schnittstellen zu. Damit Bridgingauf virtuellen Hosts ausgeführt werden kann, stellen Sie sicher, dassdie Validierung auf denMAC-Adressen des virtuellen Hosts deaktiviert und der PromiscuousMode zugelassen ist.

6.2.1 StatusUmeine Bridge zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Bridging auf der Registerkarte Status.Klicken Sie auf der RegisterkarteSchnittstellen &Routing >Bridging >Statusentwederauf die Statusampel oder auf die SchaltflächeAktivieren.

Die Statusampelwird gelb und der AbschnittBridge-Konfiguration kann nun bearbeitetwerden.

2. Wählen Sie den Bridging-Modus aus.Sie können zwischen zweiBridging-Modiwählen:

l Bridge über alle NICs: Bei dieser Methode werden alle verfügbaren Ethernet-Netzwerkkarten zu einer einzigen Bridge-Schnittstelle zusammengefasst.DieFestlegung einer Konvertierungsschnittstelle ist in diesemModusPflicht. AlleSchnittstellen außer der konvertierten Schnittstelle werden bei dieser Methodegelöscht.

l Bridge über ausgewählte NICs: In diesemModuskönnen die NICs für dieBridge individuell zusammengestellt werden. Hierfür werdenmindestens zweiunkonfigurierte Netzwerkkarten benötigt. Wählen Sie eine oder mehrereNetzwerkkarten aus, die Teil der Bridge werden sollen.Außerdem besteht dieMöglichkeit, eineKonvertierungsschnittstelle zu bestimmen, die auf die neueBridge übertragen wird.

3. Wählen Sie die Netzwerkkarte für die Bridge aus.Für dasBridging kann nur eine bereits konfigurierte Netzwerkkarte ausgewähltwerden.Die Bridge übernimmt die Adresseinstellungen dieser Schnittstelle sowie dieAlias-Adressen und die VLAN-Einstellungen.


4. Klicken Sie auf Bridge einrichten.Die Netzwerkkarten werden nun zusammengefasst und die Bridge wird aktiviert(Statusampel zeigt Grün).

Um die Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf die gelbeStatusampel.

Sobald die Bridge konfiguriert ist, erscheint die umgewandelte Schnittstelle alsBridge-Gerät mitder SysID br0auf der RegisterkarteSchnittstellen &Routing >Schnittstellen.Alle Schnittstellen,die zur Bridge gehören, werden in der Bridge-Konfiguration angezeigt.Um eine Schnittstelleausder Bridge zu entfernen, wählen Sie die entsprechendeOption ab und klicken Sie aufBridge aktualisieren.

Um die Bridge zu entfernen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Status auf Aktivierung abbrechen.Die Statusampelwird gelb.

2. Klicken Sie auf Entfernen der Bridge bestätigen.Die Statusampelwird rot. Die Bridge wurde erfolgreich entfernt.

6.2.2 ErweitertAuf der RegisterkarteSchnittstellen &Routing >Bridging >Erweitert können die folgendenOptionen konfiguriert werden:

ARP-Broadcasts zulassen:Mit dieser Funktion können Sie bestimmen, ob eingehendeARP-Broadcasts von der Bridge weitergeleitet werden sollen.Im eingeschalteten Zustanderlaubt die Bridge Anfragen an dieMAC-Zieladresse FF:FF:FF:FF:FF:FF. Dies kanneventuell vonmutmaßlichen Angreifern genutzt werden, um Informationen über dieNetzwerkkarten im entsprechenden Netzwerksegment oder sogar auf demGerät selbst zusammeln. Daher ist die Standardeinstellung, solche Broadcasts nicht durch die Bridge zulassen.

Spanning Tree Protocol:Wenn dieseOption aktiviert ist, wird dasSpanning Tree Protocol(STP) aktiviert. DiesesNetzwerkprotokoll erkennt und verhindert Bridge-Loops.

Achtung –Beachten Sie, dassdasSpanning Tree Protocol keinen Schutz bietet. Daherkönnen Angreifer möglicherweise die Bridge-Topologie ändern.


6 Schnittstellen & Routing 6.2 Bridging

6.3 Dienstqualität (QoS) 6 Schnittstellen & Routing

Ablaufzeit: In diesemEingabefeld stellen Sie ein, nach welcher Zeitspanne eine inaktiveMAC-Adresse gelöscht wird. Standardmäßig ist als Zeitraum 300 Sekunden voreingestellt.

IPv6-Durchleitung zulassen: Aktivieren Sie dieseOption, um die Durchleitung von IPv6-Verkehr über die Bridge ohne Kontrolle zuzulassen.

Virtuelle MAC-Adresse: Hier können Sie eine statischeMAC-Adresse für die Bridgeeingeben. Standardmäßig (und solange der Eintrag 00:00:00:00:00:00 lautet) verwendet dieBridge die niedrigsteMAC-Adresse aller zugehörigen Schnittstellen.

Weitergeleitete EtherTypes: Standardmäßig leitet eine Bridge, die auf SophosUTMkonfiguriert ist, nur IP-Pakete weiter.Wenn Siemöchten, dassweitere Protokolle weitergeleitetwerden, müssen Sie deren EtherType in diesesFeld eingeben. Die Typenmüssen als 4-stellige hexadezimale Zahlen angegeben werden. Beliebte Beispiele sind AppleTalk (Typ809B), Novell (Typ 8138) oder PPPoE (Typen 8863 und 8864).Ein typischer Fallwäre eineBridge zwischen Ihren RED-Schnittstellen, die zusätzliche Protokolle zwischen denverbundenen Netzwerken weiterleiten sollen.

6.3 Dienstqualität (QoS)Im Allgemeinen bezeichnetDienstqualität (QoS, engl. Quality of Service)Kontrollmechanismen, die dafür sorgen, dassausgewählter Netzwerkverkehr bevorzugtbehandelt und insbesondere dassdiesem eineMindestbandbreite zugesichert wird.In SophosUTMwird zu priorisierender Verkehr auf der RegisterkarteDienstqualität konfiguriert. Hierkönnen Sie für bestimmte Arten von ausgehendemVerkehr, der zweiPunkte im Netzwerkpassiert, eine garantierte Bandbreite reservieren. Dahingegen wird die Optimierung vonKapazitäten (engl. traffic shaping) für eingehenden Verkehr intern durch verschiedeneTechniken umgesetzt, z. B. durchStochastic FairnessQueuing (SFQ) oder RandomEarlyDetection (RED).

6.3.1 StatusAuf der RegisterkarteDienstqualität (QoS) >Status sind die Netzwerkkarten aufgelistet, für dieQoS konfiguriert werden kann. Standardmäßig ist QoS für alle Schnittstellen ausgeschaltet.

Um die Bandbreiten, die Ihr ISP bereitstellt, für Down- und Uplink zu konfigurieren (in Kbit/s),klicken Sie auf die SchaltflächeEdit der jeweiligen Schnittstelle.Um z. B. eineInternetverbindungmit 5Mbit/s für Up- und Downlink zu konfigurieren, geben Sie 5120ein.


Sollte Ihre Bandbreite variieren, geben Sie den niedrigsten garantiertenWert an, der vonIhrem ISP zugesichert wird.Wenn Sie beispielsweise eine Internetverbindungmit 5Mbit/s fürUp- und Downlinkmit einer Variation von 0,8Mbit/s haben, geben Sie 4300 Kbit/s an. BeachtenSie, dassdasGatewayeine veränderte Bandbreite berücksichtigt, wenn die verfügbareBandbreite temporär höher ausfällt als der konfigurierte tiefste zugesicherteWert. Dabeiwirdder prozentuale Anteil an der Bandbreite für zu priorisierenden Verkehr entsprechend erhöht;umgekehrt funktioniert das jedoch leider nicht.

Uplink begrenzen:Wenn Sie dieseOption wählen, nutzt die Funktion QoSdie obeneingetragenen Bandbreitenwerte alsBasis für die Kalkulation des zu priorisierendenDatenverkehrs, der diese Schnittstelle passiert.Die OptionUplink begrenzen ist standardmäßigausgewählt und sollte für die folgenden Arten von Schnittstellen verwendet werden:

l Ethernet-Standard-Schnittstelle: ZwischenGatewayund Internet ist ein Router installiertund die vomRouter bereitgestellte Bandbreite ist bekannt.

l Ethernet-VLAN-Schnittstelle: ZwischenGatewayund Internet ist ein Router installiertund die vomRouter bereitgestellte Bandbreite ist bekannt.

l DSL (PPPoE)

l DSL (PPPoA)

l Modem (PPP)

Die OptionUplink begrenzen sollte grundsätzlich für jene Schnittstellen ausgeschaltet werden,bei denen die Basis für die Bandbreiten-Kalkulation schon durch dieMaximalgeschwindigkeitder jeweiligen Schnittstelle ermittelt werden kann. Diesbetrifft jedoch nur die folgendenSchnittstellen-Typen:

l Ethernet-Standard-Schnittstelle: Direkt mit dem Internet verbunden.

l Ethernet-VLAN-Schnittstelle: Direkt mit dem Internet verbunden.

l Kabelmodem (DHCP)

BeiSchnittstellen ohne eine Uplink-Grenze verteilt die QoS-Funktion den gesamtenDatenverkehr proportional.Wenn Sie beispielsweise auf einer Kabelmodem-Schnittstelle 512Kbit/s für VoIP-Verkehr reserviert haben und sich die verfügbare Bandbreite halbiert, dannwürden 256 Kbit/s für diesen Datenverkehr verwendet werden (imGegensatz zu Schnittstellenmit einer festenObergrenze funktioniert proportionale Verteilung in beiden Richtungen).

Download-Ausgleich:Wenn dieseOption aktiviert ist, verhindern die beidenWarteschlangen-AlgorithmenStochastic FairnessQueuing (SFQ) undRandomEarlyDetection (RED), dasses zu Netzwerkstaus kommt. Im Fall dassdie konfigurierte Download-


6 Schnittstellen & Routing 6.3 Dienstqualität (QoS)


Geschwindigkeit erreicht ist, werden Pakete jener Verbindung verworfen, die denmeistenDownlink in Anspruch nimmt.

Upload-Optimierung:Wenn dieseOption aktiviert ist, werden ausgehende TCP-Pakete, dieeine Verbindung aufbauen, priorisiert (TCP-PaketemitSYN-Flag) ebenso wie TCP-Bestätigungspakete (TCP-PaketemitACK-Flag und einer Paketlänge zwischen 40 und 60Bytes) und DNS-Lookups (UDP-Pakete auf Port 53).

6.3.2 VerkehrskennzeichnerEin Verkehrskennzeichner (engl. traffic selector) kann als eine QoS-Definition angesehenwerden, die bestimmte Arten von Netzwerkverkehr beschreibt, die vonQoSbearbeitetwerden. Diese Definitionen werden später innerhalb der Bandbreiten-Pool-Definitionverwendet. Dort können Sie festlegen, wie dieser Verkehr vonQoSbehandelt wird, indemSiez. B. die komplette Bandbreite begrenzen oder demVerkehr einen gewissenMindestanteil derBandbreite zusichern.

Um einen Verkehrskennzeichner anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verkehrskennzeichner auf NeuerVerkehrskennzeichner.DasDialogfenster Neuen Verkehrskennzeichner erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesen Verkehrskennzeichner ein.

Kennzeichnertyp: Sie können folgende Arten von Kennzeichnern festlegen:

l Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird derVerkehr auf Grundlage eineseinzelnen Dienstesoder einer Dienstgruppereguliert.

l Anwendungskennzeichner: Verwenden Sie einen Anwendungskennzeichner,wird der Verkehr auf Grundlage von Anwendungen reguliert, d. h. je nachdem, zuwelcher Anwendung er gehört, unabhängig vom verwendeten Port oder Dienst.

l Gruppe: Sie können verschiedene Dienst- und Anwendungskennzeichner ineiner Verkehrskennzeichnerregel zusammenfassen. Um eineGruppe definierenzu können, müssen bereits einzelne Kennzeichner definiert sein.

Quelle:Wählen Sie dasQuellnetzwerkaus, für dasQoSaktiviert werden soll.


Dienst: Nur für Verkehrskennzeichner. Wählen Sie den Netzwerkdienst aus, für denQoSaktiviert werden soll. Sie können zwischen verschiedenen vordefinierten Dienstenund Dienstgruppen auswählen.Wenn Sie z. B. für VoIP-Verbindungen eine bestimmteBandbreite reservierenmöchten, wählen Sie VoIP-Protokolle (SIP und H.323) aus.

Ziel:Wählen Sie dasZielnetzwerkaus, für dasQoSaktiviert werden soll.

Kontrollieren durch: Nur für Anwendungskennzeichner. Wählen Sie aus, ob dieRegulierung desVerkehrs auf Grundlage des jeweiligen Anwendungstypsoderkategoriebasiert durch einen dynamischen Filter erfolgen soll.

l Anwendungen: Der Verkehr wird anwendungsbasiert reguliert.Wählen Sie imFeldDiese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.

l Dynamischer Filter: Der Verkehr wird kategoriebasiert reguliert.Wählen Sie imFeldDiese Kategorien kontrollieren eine oder mehrere Kategorien aus.

Diese Anwendungen/Kategorien kontrollieren: Nur fürAnwendungskennzeichner. Klicken Sie auf dasOrdnersymbol, umAnwendungen/Kategorien auszuwählen. Ein Dialogfenster wird geöffnet, das imnächsten Abschnitt detailliert beschrieben wird.

Produktivität: Nur mitDynamischer Filter. Gibt den von Ihnen gewähltenProduktivitätswert wieder.

Risiko: Nur mitDynamischer Filter. Gibt den von Ihnen gewählten Risikowertwieder.

Hinweis –Einige Anwendungen sind von der Regulierung ausgeschlossen.Dies ist füreinen reibungslosen Betrieb von SophosUTM erforderlich.Bei diesen Anwendungenwird in der Anwendungstabelle desDialogfenstersAnwendung auswählen keinAuswahlkästchen angezeigt. Dies trifft u. a. fürWebAdmin, Teredo,SixXs (für IPv6-Verkehr) undPortal (für Benutzerportal-Verkehr) zu.Wenn Sie dynamische Filterverwenden, wird die Regulierung dieser Anwendungen ebenfalls automatischverhindert.


3. Nehmen Sie optional die folgenden erweiterten Einstellungen vor:




TOS/DSCP (nur beim KennzeichnertypVerkehrskennzeichner): In bestimmten Fällenkann es sinnvoll sein, Datenverkehr, der vonQoSbearbeitet werden soll, nicht nur überQuelle, Ziel und Dienst zu unterscheiden, sondern auch über die TOS- oder DSCP-Flags im IP-Header.

l Aus: Mit dieser Standardoption wird sämtlicher Datenverkehr, der mit Quelle,Dienst und Ziel übereinstimmt, der oben eingestellt wurde, mit QoS bearbeitet.

l TOS-Bits: TOS-Bits:Wählen Sie dieseOption aus, wenn der mit QoSbearbeiteten Datenverkehr auf IP-Paketemit bestimmten TOS-Bits (Type ofService) beschränkt werden soll. Sie können zwischen den folgendenEinstellungen wählen:TOS-Bits:l Normaler Dienst

l Kostenminimieren

l Zuverlässigkeit maximieren

l Durchsatzmaximieren

l Verzögerungminimieren

l DSCP-Bits: DSCP-Bits:Wählen Sie dieseOption aus, wenn der mit QoSbearbeiteten Datenverkehr auf IP-Paketemit bestimmten DSCP-Bits(Differentiated ServicesCode Point) beschränkt werden soll.Sie könnenentweder einen einzigenDSCP-Wert festlegen (eine Ganzzahl im Bereich 0 bis63) oder einen vordefiniertenWert ausder ListeDSCP-Klassen (z. B.BEdefaultdscp (000000)) auswählen.

Datenmenge gesendet/empfangen: Aktivieren Sie diesesAuswahlkästchen, wennder Verkehrskennzeichner die Übereinstimmung aufgrund der Anzahl der von derVerbindung bisher übertragenen Bytes vornehmen soll. Mit dieser Funktion können Siez. B. die Bandbreite von großen HTTP-Uploadseinschränken, ohne den normalenHTTP-Verkehr zu beeinträchtigen.

l Gesendet/empfangen: Wählen Sie ausder AuswahllisteMehr alsaus, um denVerkehrskennzeichner nur für Verbindungen zu definieren, die eine bestimmteVerkehrsmenge überschreiten.Wählen SieWeniger alsaus, um ihn fürVerbindungenmit bisher weniger Verkehr zu definieren.

l kByte:Geben Sie den Schwellenwert für die Verkehrsmenge ein.

4. Klicken Sie auf Speichern.Der neue Kennzeichner wird in der ListeVerkehrskennzeichner angezeigt.


Wenn Sie viele Verkehrskennzeichner definiert haben, können Siemehrere Kennzeichner zueiner Verkehrskennzeichnergruppe zusammenfügen, um die Konfiguration bequemer zugestalten.

Dieser Verkehrskennzeichner oder diese Verkehrskennzeichnergruppe kann nun für jedenBandbreiten-Pool verwendet werden.Diese Pools können auf der RegisterkarteBandbreiten-Poolsdefiniert werden.

Das Dia logfenste r zur Auswahl von Anwendungen oderKategor ienBeim Erstellen von Application-Control-Regelnmüssen Sie Anwendungen oderAnwendungskategorien ausdemDialogfensterWählen Sie eine oder mehrereAnwendungen/Kategorien, die kontrolliert werden sollen festlegen.

In der Tabelle im unteren Bereich desDialogfensterswerden die Anwendungen angezeigt, dieauswählbar sind oder zu einer definierten Kategorie gehören. Standardmäßig werden alleAnwendungen angezeigt.

Im oberen Bereich desDialogfensters stehen dreiKonfigurationsoptionen zur Wahl, mit derenHilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann:

l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasstalle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt; d. h. alleverfügbaren Anwendungen werden unten in der Tabelle gelistet. Möchten Sie dieangezeigten Anwendungen auf bestimmte Kategorien beschränken, klicken Sie in dieListe mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus.

l Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf dieProduktivität klassifiziert, d. h., wie stark sie die Produktivität beeinflussen. Beispiel:Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzungder Anwendung trägt somit zur Produktivität bei. ImGegensatz dazu ist dasOnlinespielFarmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitztdie Bewertung 3 – er wirkt sich neutral auf die Produktivität aus.

l Risiko: Anwendungen werden auch hinsichtlich ihresRisikosbezüglich Schadsoftware,Virusinfektionen oder Angriffen klassifiziert. Je höher die Bewertung, desto höher dasRisiko.

Tipp – Jede Anwendung verfügt über ein Infosymbol.Wenn Sie darauf klicken, wird eineBeschreibung der jeweiligen Anwendung angezeigt. Sie können die Tabelle mithilfe desFilterfelds in der Kopfzeile durchsuchen.




Abhängig von Ihrer Auswahl im Dialogfenster Neuen Verkehrskennzeichner erstellen gehenSie folgendermaßen vor:

l Kontrolle durch dynamischen Filter: Klicken Sie aufApply, um die ausgewähltenAnwendungen für die Regel zu übernehmen.

l Anwendungsbasierte Kontrolle:Wählen Sie die zu kontrollierenden Anwendungen in derTabelle aus, indemSie auf die Auswahlkästchen klicken, die vor den Anwendungenangezeigt werden.Klicken Sie aufApply, um die ausgewählten Anwendungen für dieRegel zu übernehmen.

NachdemSie aufApplygeklickt haben, wird dasDialogfenster geschlossen und Sie können dieEinstellungen der Verkehrskennzeichnerregelweiter bearbeiten.

6.3.3 Bandbreiten-PoolsAuf der RegisterkarteDienstqualität >Bandbreiten-Poolswerden die Pools für dasBandbreiten-Management definiert und verwaltet.

Um einen Bandbreiten-Pool anzulegen, gehen Sie folgendermaßen vor:

1. Wählen Sie auf der Registerkarte Bandbreiten-Pools eine Schnittstelle aus.Wählen Sie ausder Auswahlliste diejenige Schnittstelle aus, für die Sie einenBandbreiten-Pool definierenmöchten.

2. Klicken Sie auf die Schaltfläche Neuer Bandbreiten-Pool.DasDialogfenster Neuen Bandbreiten-Pool erstellenwird geöffnet.

3. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für den Bandbreiten-Pool ein.

Position: Die Positionsnummer legt die Priorität desBandbreiten-Pools fest. NiedrigereNummern haben eine höhere Priorität. Bandbreiten-Poolswerden in aufsteigenderReihenfolge abgeglichen. Sobald ein Bandbreiten-Pool zutrifft, werden Bandbreiten-Poolsmit einer höheren Nummer nicht mehr abgeglichen. Platzieren Sie spezifischerePools oben in der Liste, um sicherzustellen, dassungenauere Pools zuletzt abgeglichenwerden.Beispiel: Sie haben einen Bandbreiten-Pool für Internet-Datenverkehr (HTTP)im Allgemeinen und einen weiteren Pool für den Internet-Datenverkehr zu einembestimmtenWebserver definiert. Dann sollte der Bandbreiten-Poolmit dem spezifischenWebserver vorrangig positioniert, d. h. auf Position 1 gesetzt werden.Beachten Sieallerdings, dassdie Prioritäten keineWirkung haben, wenn die darin enthaltenen


Verkehrskennzeichner verschiedenen Schnittstellen zugeordnet sind, auf denenQoSaktiv ist.

4. Bandbreite: Tragen Sie die Uplink-Bandbreite (in Kbit) ein, die für diesen Bandbreiten-Pool reserviert werden soll.Wenn Sie z. B. 1Mbit/s für eine bestimmte Art vonDatenverkehr reservierenmöchten, geben Sie 1024ein.

Hinweis –Eskönnen für einen Bandbreiten-Pool lediglich bis zu 90%der zurVerfügung stehendenGesamtbandbreite reserviert werden. DasGateway reserviertgrundsätzlich 10%für den vomBandbreiten-Management unberücksichtigtenDatenverkehr. Um bei demBeispiel von oben zu bleiben:Wenn der Uplink 5Mbit/sbeträgt, und Siemöchten VoIP soviel Bandbreite wiemöglich zuweisen, können Sie fürden VoIP-Datenverkehr eine Bandbreite vonmaximal 4608 Kbit/s reservieren.

Obere Bandbreitengrenze angeben: Der Wert, den Sie oben im FeldBandbreiteangegeben haben, stellt die zugesicherte Bandbreite dar, die für einen speziellenVerkehrstyp reserviert ist. Ein Bandbreiten-Pool beansprucht jedoch immer mehrBandbreite für seinen Verkehr als verfügbar ist. Wenn Sie für einen bestimmtenVerkehrstyp verhindern wollen, dasser mehr als eine bestimmteMenge IhrerBandbreite verbraucht, wählen Sie dieseOption aus, um die Bandbreitennutzung diesesPools auf eine Obergrenze zu beschränken.

Verkehrskennzeichner:Wählen Sie den Verkehrskennzeichner für diesenBandbreiten-Pool aus.


5. Klicken Sie auf Speichern.Der neue Bandbreiten-Poolwird in der ListeBandbreiten-Poolsangezeigt.

6.3.4 Erweitert

Klassif iz ie rung nach Verkapse lung be ibeha ltenMarkieren Sie diesesAuswahlkästchen, wenn Sie gewährleistenmöchten, dassein Paket nachder Verkapselung weiterhin demVerkehrskennzeichner desursprünglichen Diensteszugewiesen wird, wenn es keinen anderen übereinstimmenden Verkehrskennzeichner gibt.

Die Zuweisung einesgekapselten IP-Pakets zu einemVerkehrskennzeichner erfolgt wie folgt:



6.4 Uplink-Überwachung 6 Schnittstellen & Routing

1. Dasursprüngliche IP-Paket wird in der vorgegebenen Reihenfolgemit denvorhandenen Verkehrskennzeichnern abgeglichen. DasPaket wird dem erstenübereinstimmenden Verkehrskennzeichner zugewiesen (z. B. Internal ->HTTP ->Any).

2. Das IP-Paket wird gekapselt und der Dienst geändert (z. B. in IPsec).

3. Dasgekapselte IP-Paket wird in der vorgegebenen Reihenfolgemit den vorhandenenVerkehrskennzeichnern abgeglichen. DasPaket wird dem ersten übereinstimmendenVerkehrskennzeichner zugewiesen (z. B. Internal -> IPsec ->Any).

4. Wenn kein Verkehrskennzeichner übereinstimmt, ist die Zuweisung von der OptionKlassifizierung nach Verkapselung beibehalten abhängig:l Ist die Option ausgewählt, wird dasgekapselte Paket demVerkehrskennzeichner

ausSchritt 1 zugewiesen.

l Ist die Option nicht ausgewählt, wird dasgekapselte Paket keinemVerkehrskennzeichner zugewiesen und kann daher nicht Bestandteil einesBandbreiten-Pools sein.

Explicit-Congestion-Notif ica tion-UnterstützungECN (Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls undermöglicht End-to-End-Benachrichtigungen über Netzwerküberlastungen, ohne dassPaketeverworfen werden. ECN funktioniert nur, wenn beide Endpunkte einer Verbindung erfolgreichüber die Verwendung verhandeln.DurchMarkieren diesesAuswahlkästchen sendet die UTMInformation, dass sie bereit ist, ECN zu verwenden. Stimmt der andere Endpunkt zu, werdenECN-Informationen ausgetauscht. Beachten Sie, dassauch das zugrunde liegende Netzwerkund die beteiligten Router ECN unterstützenmüssen.

6.4 Uplink-ÜberwachungDasMenüSchnittstellen &Routing >Uplink-Überwachung gibt Ihnen dieMöglichkeit, IhreUplink-Verbindung (Internet-Verbindung) zu überwachen und bestimmte Aktionenvorzugeben, die im Fall, dass sich der Verbindungsstatusändert, automatisch ausgeführtwerden.

Beispielsweise kann automatisch ein Ersatz-VPN-Tunnel aktiviert werden, der eine andereVerbindung benutzt. Oder eswird eine Alias-IP-Adresse deaktiviert, so dasseinÜberwachungsdienst aktiviert wird.


6.4.1 AllgemeinAuf der RegisterkarteUplink-Überwachung >Allgemein können Sie die Uplink-Überwachungein- oder ausschalten.

Um die Uplink-Überwachung einzuschalten, klicken Sie entweder auf die SchaltflächeEnableoder die Statusampel.Die Statusampelwird grün.Der Uplink-Statuswird entwederONLINE angezeigt, wenn dieUplink-Verbindung hergestellt ist, oderOFFLINE, wenn die Uplink-Verbindung unterbrochenist.Um die Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf die gelbeStatusampel.

6.4.2 AktionenAuf der RegisterkarteSchnittstellen &Routing >Uplink-Überwachung >Aktionen können SieAktionen definieren, die im Fall, dass sich der Uplink-Statusändert, automatisch durchgeführtwerden. Beispielsweisemöchten Sie vielleicht zusätzliche Adressen deaktivieren, wenn dieUplink-Verbindung unterbrochen ist.

Um eine neue Aktion anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Aktionen auf Neue Aktion.DasDialogfeldNeue Aktion anlegen für unterbrochenen Uplinkwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Aktion ein.

Typ:Wählen Sie den Verbindungstyp, für den Sie eine Aktion definieren wollen.

l IPsec-Tunnel:Wählen Sie dieseOption ausder Auswahlliste, wenn Sie eineAktion für einen IPsec-Tunnel definieren wollen.

l Zusätzliche Adressen:Wählen Sie dieseOption ausder Auswahlliste, wenn Sieeine Aktion für eine zusätzliche Adresse definieren wollen.

IPsec-Tunnel: (Nur verfügbar wenn IPsec-TunnelalsTyp festgelegt wurde.) Wennmindestensein IPsec-Tunnel definiert ist, können Sie hier einen von ihnenauswählen.Weitere Informationen über IPsec-Tunnel finden Sie in KapitelFernzugriff >IPsec.


6 Schnittstellen & Routing 6.4 Uplink-Überwachung

6.4 Uplink-Überwachung 6 Schnittstellen & Routing

Zus. Adresse: (Nur verfügbar wenn Zusätzliche Adresse alsTyp festgelegt wurde.)Wennmindestenseine zusätzliche Adresse definiert ist, können Sie hier eine von ihnenauswählen.Weitere Informationen über zusätzliche Adressen finden Sie in KapitelSchnittstellen &Routing >Schnittstellen >Zusätzliche Adressen.

Aktion: Sie können hier entweder Enable oder Disablewählen, wasbedeutet, dass imFall einer Uplink-Unterbrechung der oben gewählte IPsec-Tunnel oder die zusätzlicheAdresse aktiviert oder deaktiviert wird.


3. Klicken Sie auf Speichern.Die Aktion wird gespeichert und im Fall, dassdie Uplink-Verbindung unterbrochen wird,ausgeführt.

Um eine Aktion zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

6.4.3 ErweitertAuf der RegisterkarteUplink-Überwachung >Erweitert können Sie die automatischeÜberwachung der Uplink-Verbindung deaktivieren und stattdessen einen oder mehrere Hostsangeben, die für die Überwachung verwendet werden sollen. Diese Hostswerden dann ingewissen Abständen über Ping angesprochen, und wenn keiner von ihnen erreichbar ist, giltdie Uplink-Verbindung als unterbrochen.Anschließendwerden die Aktionen ausgeführt, die inder RegisterkarteAktionen definiert sind.

Um Ihre eigenen Hosts für die Überwachung zu verwenden, gehen Sie folgendermaßen vor:

1. Wählen Sie das Auswahlkästchen Automatische Überwachung ab.DasObjektfeldÜberwachte Hosts kann nun bearbeitet werden.

2. Fügen Sie einen oder mehrere Hosts zum Feld Überwachte Hosts hinzu.Sie können den/die Hosts entweder ausder Objektleiste auswählen oder neue Hostsanlegen.

3. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

Ihre Einstellungen werden gespeichert.Die definierten Hostswerden nun für dieÜberwachung verwendet.


6.5 IPv6Ab Version 8 unterstützt SophosUTM IPv6, den Nachfolger von IPv4.

Die folgenden Funktionen von Administratorhandbuch unterstützen IPv6 ganzoder teilweise.

l Zugang zumWebAdmin und zumBenutzerportal

l SSH

l NTP

l SNMP

l SLAAC- (StatelessAddressAutoconfiguration) und DHCPv6-Client-Unterstützung füralle dynamischen Schnittstellen

l DNS

l DHCP-Server

l BGP

l OSPF

l IPS

l Firewall

l NAT

l ICMP

l Webfilter

l WebApplication Firewall

l SMTP

l IPsec (nur Site-to-Site)

l Syslog-Server

6.5.1 AllgemeinAuf der Registerkarte IPv6 >Allgemein können Sie die IPv6-Unterstützung für SophosUTMaktivieren.Außerdemwerden hier IPv6-Statusinformationen angezeigt, wenn IPv6 aktiviert ist.


6 Schnittstellen & Routing 6.5 IPv6

6.5 IPv6 6 Schnittstellen & Routing

Die IPv6-Unterstützung ist standardmäßig ausgeschaltet. Um IPv6 zu aktivieren, gehen Siefolgendermaßen vor:

1. Aktivieren Sie IPv6 auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün.Wenn IPv6 bisher noch nicht aktiviert oder konfiguriertwurde, wird im AbschnittKonnektivität der AusdruckNone angegeben.

Sobald IPv6 aktiviert ist, werden Sie imWebAdmin viele Netzwerkdefinitionen und Definitionenvon anderenObjekten vorfinden, die sich explizit auf IPv6 beziehen. Im Allgemeinen können Siediese genauso verwenden, wie Sie es von den IPv4-Objekten gewöhnt sind.

Hinweis –Wenn IPv6 aktiviert ist, tragen die Symbole von Netzwerkobjekten eine zusätzlicheMarkierung, die Ihnen anzeigt, ob es sich bei dem jeweiligenObjekt um ein IPv6- oder einIPv4-Objekt handelt oder um beides.

6.5.2 Präfix-BekanntmachungenAuf der Registerkarte IPv6 >Präfix-Bekanntmachungen können Sie Ihre SophosUTM sokonfigurieren, dass sie Clients ein IPv6-Adresspräfix zuweist, welchesdiesen dann ermöglicht,sich selbst eine IPv6-Adresse auszuwählen.Die Präfix-Bekanntmachung (prefixadvertisement) oder Router-Bekanntmachung (router advertisement) ist eine IPv6-Funktion,bei der sich Router (in diesem Fall die Administratorhandbuch) in gewisser Weise wie einDHCP-Server unter IPv4 verhalten. Die Router weisen den Clients IPs jedoch nicht direktzu.Stattdessen weisen sich die Clients in einem IPv6-Netzwerkeine sogenannte link-lokaleAdresse für die erste Kommunikationmit demRouter zu. Der Router teilt demClient dann dasPräfix für dessen Netzwerksegmentmit. Daraufhin generiert sich der Client eine IP-Adresse,die ausdemPräfix und seiner MAC-Adresse besteht.

Um ein neuesPräfix anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Präfix-Bekanntmachungen auf Neues Präfix.DasDialogfenster NeuesPräfix anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Schnittstelle:Wählen Sie eine Schnittstelle aus, die mit einer IPv6-Adresse und einer64-Bit-Netzmaske konfiguriert ist.

DNS-Server 1/2 (optional): Die IPv6-Adressen der DNS-Server.


Domäne (optional): Tragen Sie den Domänennamen ein, der an die Clients übermitteltwerden soll (z. B. intranet.beispiel.de).

Gültige Lebensdauer: Der Zeitraum, für den dasPräfix gültig sein soll. DerStandardwert ist 30 Tage.

Bevorzugte Lebensdauer: Der Zeitraum, nach dem ein anderesPräfix, dessenbevorzugte Lebensdauer noch nicht vorüber ist, vomClient gewählt werden soll. DerStandardwert ist 7 Tage.

Andere Konfig (optional): DieseOption ist standardmäßig ausgewählt. Sie stellt sicher,dassein angegebener DNS-Server und ein Domänenname zusammenmit demangegebenen Präfix über DHCPv6 bekannt gegeben werden.Dies ist nützlich, da eszurzeit zu wenig Clients gibt, die DNS-Informationen von den Präfix-Bekanntmachungen(RFC 5006/ RFC 6106) abrufen können. Beachten Sie, dassdiese DHCPv6-Konfiguration versteckt verläuft und daher über dasDHCP-Konfigurationsmenüwedersichtbar noch editierbar ist. DieseOption ist die Voraussetzung dafür, dass IPv6 unterWindowsVista/7 funktioniert.


3. Klicken Sie auf Speichern.Die neue Präfix-Konfiguration wird in der ListePräfix-Bekanntmachungen angezeigt.

6.5.3 6to4Auf der Registerkarte IPv6 > 6to4 können Sie SophosUTM so konfigurieren, dass IPv6-Adressen automatisch über ein vorhandenes IPv4-Netzwerkgetunnelt werden.Bei 6to4 hatjede IPv4-Adresse ein /48-Präfix ausdem IPv6-Netzwerk, auf das sie abgebildet wird.Diedaraus resultierende IPv6-Adresse besteht ausdemPräfix2002und der IPv4-Adresse inhexadezimaler Schreibweise.

Hinweis –Sie können entweder 6to4 oder Tunnel-Broker aktiviert haben.

Um dasTunneln von IP-Adressen für eine bestimmte Schnittstelle zu aktivieren, gehen Siefolgendermaßen vor:

1. Aktivieren Sie 6to4 auf der Registerkarte 6to4.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.


6 Schnittstellen & Routing 6.5 IPv6

http://tools.ietf.org/html/rfc5006




6.5 IPv6 6 Schnittstellen & Routing

Die Statusampelwird gelb und die Abschnitte 6to4 sowieErweitert können nunbearbeitet werden.

2. Wählen Sie eine Schnittstelle aus.Wählen Sie eine Schnittstelle ausder AuswahllisteSchnittstelle, die eine öffentliche IPv6-Adresse besitzt.

3. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.Der Schnittstellenstatuswird auf derRegisterkarteAllgemein angezeigt.

Erwe ite r tSie können dieServer-Adresse ändern, um einen anderen 6to4-Relay-Server zu verwenden.


6.5.4 Tunnel-BrokerAuf der Registerkarte IPv6 >Tunnel-Broker können Sie die Verwendung einesTunnel-Brokeraktivieren. Die Tunnelvermittlung (tunnel brokerage) ist ein Dienst, der von einigen ISPsangeboten wird, und esermöglicht, über IPv6-Adressen auf das Internet zuzugreifen.

Hinweis –Sie können entweder 6to4 oder Tunnel-Broker aktiviert haben.

SophosUTMunterstützt die folgenden Tunnel-Broker (Vermittlungsdienste):

l Teredo (nur Anonymous)

l Freenet6 (nachGoGo6) (Anonymousoder mit Benutzerkonto)

l SixXS (Benutzerkonto erforderlich)

Um einen Tunnel-Broker zu verwenden, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die Tunnelvermittlung auf der Registerkarte Tunnel-Broker.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und die Abschnitte Tunnel-Broker sowieErweitert könnennun bearbeitet werden. Der Tunnel-Broker ist sofort aktiv und verwendet Teredomitanonymer Authentifizierung.Der Verbindungsstatuswird auf der RegisterkarteAllgemein angezeigt.


http://www.gogo6.com/

http://www.sixxs.net/

Tunne l-BrokerSie können die Standardeinstellungen für den Tunnel-Broker ändern.

Authentifizierung:Wählen Sie eine Authentifizierungsmethode ausder Auswahlliste.

l Anonymous: Bei dieser Methode benötigen Sie kein Benutzerkonto bei dementsprechenden Broker. Die zugewiesene IP-Adresse ist jedoch nur temporär.

l User: Siemüssen sich bei dem entsprechenden Broker anmelden, um einBenutzerkonto zu bekommen.

Broker:Wählen Sie einen anderen Broker ausder Auswahlliste aus.

Benutzername (nur beiUser verfügbar): Geben Sie Ihren Benutzernamen für denentsprechenden Broker an.

Kennwort (nur beiUser verfügbar): Geben Sie Ihr Kennwort für den Benutzernamen an.


Erwe ite r tHier können Sie eine andere Server-Adresse für den gewählten Tunnel-Broker angeben.


6.6 Statisches RoutingJeder an ein Netzwerkangeschlossener Computer verwendet eine Routing-Tabelle, mit derenHilfe er feststellt, welchenWeg ein ausgehendesDatenpaket nehmenmuss, um sein Ziel zuerreichen. Die Routing-Tabelle enthält z. B. Informationen darüber, ob sich eine Zieladresse imlokalen Netzwerkbefindet oder ob dasDatenpaket über einen Router weitergeleitet werdenmuss. Falls ein Router beteiligt ist, enthält die Tabelle die Information, welcher Router fürwelchesNetzwerkbenutzt werdenmuss.

ZweiRoutenarten können zur Routing-Tabelle von SophosUTM hinzugefügt werden:statische Routen und Richtlinienrouten. Bei statischen Routen werden die Routingziele lediglichvon der Zieladresse der Datenpakete bestimmt. BeiRichtlinienrouten ist esmöglich, dasRouting anhand der Quellschnittstelle, der Absenderadresse, demDienst oder der Zieladressezu bestimmen.


6 Schnittstellen & Routing 6.6 StatischesRouting

6.6 StatischesRouting 6 Schnittstellen & Routing

Hinweis –Sie brauchen für Netzwerke, die direkt an die Schnittstellen desGatewaysangeschlossen sind, sowie für Standardrouten keine Routing-Einträge anzulegen.DieseRouting-Einträge werden vomSystem automatisch erstellt.

6.6.1 Statische RoutenFür die direkt angeschlossenen Netzwerke trägt dasSystem die entsprechenden Routing-Einträge selbst ein.Weitere Einträgemüssenmanuell vorgenommenwerden, z. B. wenn imlokalen Netzwerkein weiterer Router existiert, über den ein bestimmtesNetzwerkerreichtwerden soll. Routen für Netzwerke, die nicht direkt angeschlossen sind, aber über einen Befehloder eine Konfigurationsdatei in die Routing-Tabelle eingetragen werden, bezeichnet man alsstatische Routen.

Um eine statische Route hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Statische Routen auf Neue statische Route.DasDialogfenster Neue statische Route erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Routentyp: Die folgenden Routentypen sind verfügbar:

l Schnittstellen-Route: Datenpakete werden an eine bestimmte Schnittstellegeschickt. Dieser Typ kann in zwei Fällen nützlich sein:Für Routing-Einträge zudynamischen Schnittstellen (z. B. PPP), da in diesem Fall die IP-Adresse desGatewaysnicht bekannt ist, oder für eine Standard-Routemit einemGatewayaußerhalb der direkt angeschlossenen Netzwerke.

l Gateway-Route: Die Datenpakete werden an einen bestimmten Host (Gateway)geschickt.

l Blackhole-Route: Die Datenpakete werden ohne Rückmeldung an denAbsender verworfen.In Verbindungmit OSPF oder anderen dynamischenadaptiven Routing-Protokollen können dadurch unter anderem „Routing Loops“ (Schleifen) oder „Route Flapping“ (schnellesWechseln von Routen) verhindertwerden.

Netzwerk:Wählen Sie die Zielnetzwerke der Datenpakete, die dasGatewayabfangenmuss.

Schnittstelle:Wählen Sie die Schnittstelle, durch die die Datenpakete dasGatewayverlassen (nur verfügbar, wenn SieSchnittstellen-Route alsRoutentyp gewählt haben).


Gateway:Wählen Sie dasGateway/den Router aus, an den dasGatewaydieDatenpakete weiterleiten soll (nur verfügbar, wenn SieGateway-Route alsRoutentypgewählt haben).


3. Optional können Sie die folgende erweiterte Einstellung vornehmen:Metrik:Geben Sie einenMetrikwert ein. Dieser kann eineGanzzahl zwischen 0 und4294967295 sein. Der Standardwert beträgt 5. Dieser Metrikwert wird verwendet, umRouten, die zum selben Ziel führen, zu unterscheiden und zu priorisieren. Ein niedrigerMetrikwert wird einem hohenMetrikwert vorgezogen. IPsec-Routen besitzenautomatisch denMetrikwert 0.

4. Klicken Sie auf Speichern.Die neue Route erscheint in der ListeStatische Routen.

5. Aktivieren Sie die Route.Aktivieren Sie die Route durch einen Klick auf die Statusampel.

Um eine Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

6.6.2 RichtlinienroutenNormalerweise entscheidet ein Router darüber, wohin ein bestimmtesPaket geschickt werdenmuss, indem er die Zieladresse im Paket selbst ausliest und den entsprechenden Eintrag ineiner Routing-Tabelle nachschaut. Manchmal jedoch ist es notwendig ein Paket basierend aufanderen Kriterien weiterzuleiten. Das richtlinienbasierte Routing ermöglicht dieWeiterleitungbzw. dasRouten von Datenpaketen nach eigenen Sicherheitsrichtlinien.

Um eine Richtlinienroute hinzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Richtlinienrouten auf Neue Richtlinienroute.DasDialogfenster NeueRichtlinienroute erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Position: Die Positionsnummer legt die Priorität der Richtlinienroute fest. NiedrigereNummern haben eine höhere Priorität. Routen werden in aufsteigender Reihenfolgeabgeglichen. Sobald eine Route zutrifft, werden Routenmit einer höheren Nummernicht mehr abgeglichen.

Routentyp: Die folgenden Routentypen sind verfügbar:


6 Schnittstellen & Routing 6.6 StatischesRouting

6.6 StatischesRouting 6 Schnittstellen & Routing



Quellschnittstelle: Die Schnittstelle, auf der das zu routende Datenpaket ankommt.BeiAuswahl vonAnywerden alle Schnittstellen geprüft.

Quellnetzwerk: DasQuellnetzwerkdes zu routenden Datenpakets.BeiAuswahl vonAnywerden alle Netzwerke geprüft.

Dienst: Datenpakete diesesDienstswerden auf passende Routing-Regeln geprüft. DieAuswahlliste enthält sowohl die vordefinierten als auch Ihre selbst definierten Dienste.Mit Hilfe dieser Dienste lässt sich präzise definieren, welche Art von Datenverkehrverarbeitet werden soll.Die EinstellungAnyentspricht in diesem Fall allen KombinationenausProtokollen undQuell- bzw. Zielports.

Zielnetzwerk: DasZielnetzwerkdes zu routenden Datenpakets.BeiAuswahl vonAnywerden alle Netzwerke geprüft.

Zielschnittstelle: Die Schnittstelle, an die die Datenpakete gesendet werden (nurverfügbar, wenn Sie alsRoutentypSchnittstellen-Route gewählt haben).

Gateway:Wählen Sie dasGateway/den Router aus, an dasoder den dasGatewaydieDatenpakete weiterleiten soll (nur verfügbar, wenn SieGateway-Route alsRoutentypgewählt haben).


3. Klicken Sie auf Speichern.Die neue Route erscheint in der ListeRichtlinienrouten.

4. Aktivieren Sie die Route.Aktivieren Sie die Route durch einen Klick auf die Statusampel.

Um eine Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.


6.7 Dynamisches Routing (OSPF)DasProtokollOpen Shortest Path First (OSPF) ist ein dynamischesLink-State-Routing-Protokoll, dashauptsächlich innerhalb von großen autonomen Systemnetzwerken genutztwird.SophosUTMunterstützt OSPF Version 2. ImGegensatz zu anderen Protokollen nutztOSPF die Kosten für die Pfade alsRouting-Metrik. Die Kosten für die Übermittlung vonDatenpaketen über eine Schnittstelle mit eingeschaltetemOSPF wird ausder verfügbarenBandbreite berechnet. Dabei sind die Kosten umgekehrt proportional zu der verfügbarenBandbreite der Schnittstelle – eine größere Bandbreite hat somit geringere Kosten zur Folge.Die Kosten und die entstehende Zeitverzögerung sind z. B. bei einer seriellen Schnittstelle mit56 Kbit/s höher als bei einer Ethernet-Schnittstelle mit 10Mbit/s.

Die OSPF-Spezifikation enthält keine Angaben darüber, wie die Kosten für einangeschlossenesNetzwerkberechnet werden – dieswird demAnbieter überlassen. Daherkönnen Sie eine eigene Berechnungsformel für die Kosten definieren.Wenn dasOSPF-Netzwerk jedoch an ein anderesNetzwerkangrenzt, bei dem bereits eine Formel definiertwurde, mussdiese hier ebenfalls alsBasis für die Kostenberechnung verwendet werden.

Die Kosten werden standardmäßig bandbreitenbasiert berechnet.Cisco beispielsweiseberechnet die Kosten folgendermaßen: 108 dividiert durch die Schnittstellen-Bandbreite in Bitspro Sekunde.Laut dieser Formel betragen die Kosten, um eine 10-Mbit/s-Ethernet-Schnittstelle zu benutzen, 108/1.0000.000 =10 und 108/1.544.000 =64, um eine 1,544-Mbit/s-Schnittstelle (T1) zu benutzen (ungerade Ergebnisse werden auf eine Ganzzahl abgerundet).

6.7.1 AllgemeinAuf der RegisterkarteSchnittstellen &Routing >DynamischesRouting (OSPF) >Allgemeinwerden die Grundeinstellungen für OSPF vorgenommen.Bevor Sie die OSPF-Funktionaktivieren können, müssen SiemindestenseinenOSPF-Bereich konfigurieren (auf derRegisterkarteBereich).

Achtung –Die Einstellungen für die OSPF-Funktion von SophosUTM sollten nur von einemtechnisch erfahrenen Administrator durchgeführt werden, der mit demProtokollOSPFvertraut ist. Die Konfigurationsbeschreibungen in diesemKapitel umfassen nicht genügendAspekte vonOSPF, um ein vollständigesVerständnis desOSPF-Protokolls zu erreichen.


6 Schnittstellen & Routing 6.7 DynamischesRouting (OSPF)

6.7 DynamischesRouting (OSPF) 6 Schnittstellen & Routing

Verwenden Sie diese Funktion deshalbmit Vorsicht, da eine fehlerhafte Konfiguration dasNetzwerkbetriebsunfähigmachen kann.

UmOSPF zu konfigurieren, gehen Sie folgendermaßen vor:

1. Konfigurieren Sie auf der Registerkarte Bereich mindestens einen OSPF-Bereich.

2. Aktivieren Sie OSPF auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittRouter kann nun bearbeitet werden.

3. Geben Sie die Router-ID ein.Geben Sie eine eindeutige ID ein, über die sich SophosUTM gegenüber den anderenOSPF-Routern identifiziert.


UmOSPF zu deaktivieren, klicken Sie auf die Statusampel oder aufDeaktivieren.

6.7.2 BereichEin OSPF-Netzwerk ist in mehrere Bereiche unterteilt. Dies sind logischeGruppierungen vonRoutern, deren Informationen für das restliche Netzwerk zusammengefasst werden können.Die einzelnen Bereiche werden durch eine 32-Bit-ID in der Punkt-Dezimalschreibweisefestgelegt – ähnlich der Schreibweise bei IP-Adressen.

Esgibt insgesamt sechsOSPF-Bereichstypen:

l Backbone: Der Bereichmit der ID 0 (oder 0.0.0.0) ist für dasBackbone-NetzwerkdesOSPF-Netzwerks reserviert, welchesdasKernnetz einesOSPF-Netzwerksbildet –alle anderen Bereiche sind damit verbunden.

l Normal: Ein normaler oder regulärer Bereich erhält eine eindeutige ID im Bereich 1(oder 0.0.0.1) bis 4.294.967.295 (oder 255.255.255.255).In normalen Bereichenwerden externe Routen bidirektional über denArea Border Router (ABR) (dt.Grenzrouter) geflutet. Beachten Sie, dassexterne Routen alsRouten definiert werden,die imOSPF von einem anderen Routing-Protokoll verteilt werden.


l Stub: Ein Stub-Bereich hat üblicherweise keine direkte Verbindung zu einem externenNetzwerk.DasZuführen externer Routen in einen Stub-Bereich ist nicht erforderlich, dasämtlicher Datenverkehr in externe Netzwerke durch einenArea Border Router (ABR)geleitet werdenmuss. Daher ersetzt der Stub-Bereich eine vorgegebene Route durchexterne Routen, umDaten an externe Netzwerke zu senden.

l Stub No-Summary: Der BereichStub No-Summary (auch TotallyStubbyArea) ist miteinemStub-Bereich vergleichbar, allerdingswerden keine sogenannten SummaryRouteserlaubt. Dasbedeutet, dassdie Flutung von Summary-Link-State-Advertisments(LSAs) desTyps3 in demBereich damit eingeschränkt wird.

l NSSA: Dieser Bereich (Not-So-Stubby-Area/NSSA) ist eine Art Stub-Bereich, in demallerdingsauch externe Verbindungen unterstützt werden. Beachten Sie dabei, dasskeine virtuellen Linksunterstützt werden.

l NSSA No-Summary: Dieser Bereich (NSSANo-Summary) ist mit NSSA vergleichbar,allerdingswerden keine sogenannten SummaryRouteserlaubt. Dasbedeutet, dassdieFlutung von Summary-Link-State-Advertisments (LSAs) desTyps3 in demBereichdamit eingeschränkt wird.

Um einenOSPF-Bereich anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Bereich auf Neuer OSPF-Bereich.DasDialogfenster NeuenOSPF-Bereich erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für den Bereich ein.

Bereich-ID: Tragen Sie die ID für den Bereich in der Punkt-Dezimalschreibweise ein (z.B. 0.0.0.1 für einen normalen Bereich oder 0.0.0.0 für den Backbone-Bereich).

Bereichstyp:Wählen Sie einen Bereichstyp (siehe obige Beschreibung) aus, um dieCharakteristika desNetzwerks festzulegen, dem dieser Bereich zugewiesen wird.

Auth.-Methode:Wählen Sie für alle Pakete, die über die Schnittstelle denOSPF-Bereich erreichen, die Authentifizierungsmethode aus. Die folgendenAuthentifizierungsmethoden sind verfügbar:

l MD5: DieseOption aktiviert die MD5-Authentifizierung. MD5 (Message-DigestAlgorithm 5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen128-Bit-Hashwert benutzt.

l Klartext: DieseOption aktiviert die Klartext-Authentifizierung. DasKennwort wirdalsKlartext durch dasNetzwerkgeschickt.

l Aus: DieseOption deaktiviert die Authentifizierung.




Verbinden über Schnittstelle:Wählen Sie eine OSPF-Schnittstelle aus.BeachtenSie, dassOSPF-Schnittstellen, die Sie hier spezifizieren, zuvor auf der RegisterkarteSchnittstellen erstellt wurden.

Virtuelle Links verbinden: Alle Bereiche in einem autonomenOSPF-System (AS)müssen physikalischmit demBackbone-Bereich (Bereich 0) verbunden sein. Inmanchen Fällen, wenn eine physikalische Verbindung nicht möglich ist, können Sie einenvirtuellen Link verwenden, um den Backbone-Bereichmit einemNicht-Backbone-Bereich zu verbinden.Geben Sie im FeldVirtuelle Links verbinden die Router-ID, diedem virtuellen Link-Nachbarn zugeordnet ist, in der Punkt-Dezimalschreibweise ein (z.B. 10.0.0.8).

Kosten: Die Kosten für dasSenden und Empfangen von Datenpaketen in diesemBereich. GültigeWerte für Kosten liegen im Bereich 1 bis 65535.


3. Klicken Sie auf Speichern.Die neue Bereichsdefinition wird auf der RegisterkarteBereich angezeigt.

Um einenOSPF-Bereich zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Live-Protokoll öffnen: ImOSPF-Live-Protokollwerden die Aktivitäten auf der OSPF-Schnittstelle protokolliert. Klicken Sie auf die Schaltfläche, um dasLive-Protokoll in einem neuenFenster zu öffnen.

6.7.3 SchnittstellenAuf der RegisterkarteSchnittstellen &Routing >DynamischesRouting (OSPF) >Schnittstellenkönnen Sie Schnittstellendefinitionen erstellen, die innerhalb einesOSPF-Bereichsgenutztwerden sollen. Jede Definition enthält verschiedene Parameter, die spezifisch für OSPF-Schnittstellen sind.

Um eineOSPF-Schnittstellendefinition anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue OSPF-Schnittstelle.DasDialogfenster NeueOSPF-Schnittstelle erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Schnittstelle ein.


Schnittstelle:Wählen Sie die Schnittstelle aus, die der OSPF-Schnittstellendefinitionzugeordnet werden soll.

Auth.-Methode:Wählen Sie die Authentifizierungsmethode aus, die für alle OSPF-Pakete verwendet werden soll, die über die Schnittstelle gesendet und empfangenwerden. Die folgenden Authentifizierungsmethoden sind verfügbar:

l MD5: DieseOption aktiviert die MD5-Authentifizierung. MD5 (Message-DigestAlgorithm 5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen128-Bit-Hashwert benutzt.

l Klartext: DieseOption aktiviert die Klartext-Authentifizierung. DasKennwort wirdalsKlartext durch dasNetzwerkgeschickt.

l Aus: DieseOption deaktiviert die Authentifizierung.

Prüfsumme:Wählen Sie die Prüfsumme (MD, von engl. message digest), um dieMD5-Authentifizierung für dieseOSPF-Schnittstelle festzulegen.Beachten Sie, dassSie einePrüfsumme zunächst auf der RegisterkartePrüfsummen anlegenmüssen, bevor Sie siehier auswählen können.

Kosten: Die Kosten für die Übermittlung von Datenpaketen über diese Schnittstelle.GültigeWerte für Kosten liegen im Bereich 1 bis 65535.

Erweiterte Optionen (optional): Durch die Auswahl der OptionErweiterte Optionenwerden weitere Konfigurationsoptionen angezeigt:

l Grußpaketintervall: Legen Sie dasZeitintervall fest (in Sekunden), dasSophosUTMwartet, bevor esGrußpakete über diese Schnittstelle sendet. AlsStandardwert sind zehn Sekunden voreingestellt.

l Wiederübertragungsintervall: Legen Sie dasZeitintervall (in Sekunden) fest,nach dem ein LSA (engl. link state advertisement) für die Schnittstelle nochmalsübertragen wird, wenn keine Bestätigung eingegangen ist. Es ist ein Zeitintervallvon fünf Sekunden voreingestellt.

l Totes Intervall: Legen Sie dasZeitintervall fest (in Sekunden), dasSophosUTMaufGrußpaketewartet, die über die Schnittstelle eintreffen. AlsStandardwert sind40 Sekunden voreingestellt.Per Konventionmussder Wert des toten Intervallsgrundsätzlich vier mal größer sein soll als der Wert desGrußpaketintervalls.

l Priorität: Legen Sie die Router-Priorität fest, bei der es sich um eine 8-Bit-Nummer zwischen 1 und 255 handelt, die hauptsächlich dafür genutzt wird, um in




einemNetzwerkden designierten Router (DR, engl. Designated Router) zubestimmen. AlsStandardwert ist 1 voreingestellt.

l Übertragungsverzögerung: Legen Sie dasgeschätzte Zeitintervall (inSekunden) fest, dasbenötigt wird, um ein Link-State-Update-Paket (Linkstatus-Aktualisierung) über die Schnittstelle zu senden. GültigeWerte liegen im Bereich 1bis 65535; alsStandardwert ist 1 voreingestellt.


3. Klicken Sie auf Speichern.DieOSPF-Schnittstellendefinition wird auf der RegisterkarteSchnittstellen angezeigt.

Um eineOSPF-Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Live-Protokoll öffnen: ImOSPF-Live-Protokollwerden die Aktivitäten auf der OSPF-Schnittstelle protokolliert. Klicken Sie auf die Schaltfläche, um dasLive-Protokoll in einem neuenFenster zu öffnen.

6.7.4 PrüfsummenAuf der RegisterkarteSchnittstellen &Routing >DynamischesRouting (OSPF) >Prüfsummenwerden sogenannte Prüfsummenschlüssel generiert.Prüfsummenschlüssel sind erforderlich,um dieMD5-Authentifizierung für OSPF zu aktivieren. DieMD5-Authentifizierung generierteine 128-Bit-Prüfsumme ausDatenpaket und Kennwort. Die Prüfsummewirdmit demDatenpaket und einer Schlüssel-ID verschickt, welche demKennwort zugeordnet ist.

Hinweis –Auf allen empfangenden Routernmussderselbe Prüfsummenschlüsselkonfiguriert sein.

Um einen Prüfsummenschlüssel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Prüfsummen auf NeuerPrüfsummenschlüssel.DasDialogfenster Neuen Prüfsummenschlüssel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:ID: Tragen Sie die Schlüssel-Identifikationsnummer für diesen Prüfsummenschlüsselein. Ein gültiger Wert liegt im Bereich zwischen 1 und 255.


MD5-Schlüssel: Tragen Sie dasKennwort ein. Es kann bis zu 16 alphanumerischeZeichen enthalten.

3. Klicken Sie auf Speichern.Der neue Schlüsselwird in der ListePrüfsummen angezeigt.

Um einen Prüfsummenschlüssel zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

6.7.5 FehlersucheAuf der RegisterkarteSchnittstellen &Routing >DynamischesRouting (OSPF) >Fehlersuchewerden detaillierte Informationen zu relevantenOSPF-Parametern in separaten Browser-Fenstern dargestellt. Die folgenden Informationen sind verfügbar:

l IP des OSPF-Nachbarn anzeigen: Eswerden schnittstellenbezogene Informationenzu denOSPF-Nachbarn angezeigt.

l IP der OSPF-Routen anzeigen: Eswird der aktuelle Stand der Routing-Tabelleangezeigt.

l IP der OSPF-Schnittstelle anzeigen: EswerdenOSPF-bezogeneSchnittstelleninformationen angezeigt.

l IP der OSPF-Datenbank anzeigen: Eswerden zu einem bestimmten Router OSPF-datenbankbezogene Informationen anzeigt.

l IP der OSPF-Grenzrouter anzeigen: Eswerden die internen Einträge ausder OSPF-Routing-Tabelle zumArea Border Router (ABR) und zumAutonomousSystemBoundaryRouter (ASBR) angezeigt.

6.7.6 ErweitertAuf der RegisterkarteSchnittstellen &Routing >DynamischesRouting (OSPF) >Erweitertbefinden sich die erweiterten Einstellungen für OSPF. Die Funktionen beziehen sich dabei aufdie Einspeisung (Neuverteilung) von Routing-Informationen auseiner Nicht-OSPF-Domäne indie OSPF-Domäne.

Hinweis –Richtlinienrouten können nicht neu verteilt werden.



6.8 Border GatewayProtocol 6 Schnittstellen & Routing

Verbundene neu verteilen: Umdie Routen von direkt verbundenen Netzwerken neu zuverteilen, wählen Sie dieseOption aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.

Statische neu verteilen: Um statische Routen und IPsec-Routen neu zu verteilen, wählenSie dieseOption aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.

Hinweis – Für IPsec-Tunnelmuss striktesRouting deaktiviert sein, um eine Neuverteilung zuermöglichen (siehe Kapitel Verbindungen).

Standardroute bekanntgeben: Umeine vorgegebene Route zur OSPF-Domäne neu zuverteilen, wählen Sie dieseOption aus.

Hinweis –Eine vorgegebene Route wird in der OSPF-Domäne angezeigt, ungeachtetdessen, ob sie eine Route zu 0.0.0.0/0enthält.

Linkerkennung:Wählen Sie dieseOption aus, wenn Routen auf Schnittstellen nur dannbekannt gegeben werden sollen, wenn ein Linkmit der Schnittstelle erkannt wird.

6.8 Border Gateway ProtocolDasBorder GatewayProtocol (BGP) ist ein Routing-Protokoll, dashauptsächlich vonInternetanbietern (ISPs) verwendet wird, um die Kommunikation zwischenmehrerenautonomen Systemen (AutonomousSystem, AS) zu ermöglichen, dasheißt zwischenmehreren ISPs. Dadurch bildet BGPdasRückgrat des Internets.Ein autonomesSystembesteht ausmehrerenmiteinander verbundenen IP-Netzwerken, die von einem odermehreren ISPskontrolliert werden und über ein internesRouting-Protokoll (z. B. IGP)miteinander verbunden sind. BGPwird alsPfad-Vektor-Protokoll bezeichnet und fällt seineRouting-Entscheidungen, imGegensatz zu IGP, anhand von Pfad, Netzwerkrichtlinienund/oder Regelwerken. AusdiesemGrund könnteman eseher alsErreichbarkeitsprotokollbezeichnen denn alsRouting-Protokoll.

Jeder ISP (oder andere Netzwerkanbieter) muss im Besitz einer offiziell registrierten AS-Nummer (AutonomousSystemNumber, ASN) sein, um sich selbst im Netzwerkausweisen zukönnen. Obwohl ein ISP internmehrere autonomeSysteme unterstützenmag, ist für dasInternet nur dasRouting-Protokoll relevant. AS-Nummern ausdemBereich 64512–65534 sindprivat und können nur intern verwendet werden.

BGP verwendet TCPalsTransportprotokoll, auf Port 179.


Wenn BGPzwischen Routern eineseinzigen AS verwendet wird, spricht man von internemBGP (interior BGP, iBGP); wenn eshingegen zwischen Routern von verschiedenen ASverwendet wird, spricht man von externemBGP (exterior BGP, eBGP).

Eine Stärke von eBGP ist seine Fähigkeit, Routing-Schleifen zu verhindern, dasheißt, dasseinIP-Paket ein AS niemals zweimal passiert. Dieswird folgendermaßen erreicht: Ein eBGP-Router pflegt eine komplette Liste aller AS, die ein IP-Paket passierenmuss, um ein bestimmtesNetzwerksegment zu erreichen.Wenn der Router sendet, teilt er diese Informationmit seineneBGP-Nachbarroutern (neighbors), welche daraufhin ihre Routingliste aktualisieren, fallsnötig.Wenn ein eBGP-Router feststellt, dasser bereits auf einer solchen UPDATE-Listeeingetragen ist, fügt er sich nicht noch einmal hinzu.

6.8.1 AllgemeinAuf der SeiteBorder GatewayProtocol >Allgemein können Sie BGP für die UTM aktivieren unddeaktivieren.

1. Um BGP aktivieren zu können, legen Sie auf der Seite Neighbormindestenseinen Neighbor an.

2. Klicken Sie auf der Seite Allgemein auf die Schaltfläche Enable.Die Statusampelwird gelb und der AbschnittBGP-System kann nun bearbeitet werden.

3. Nehmen Sie die folgenden Einstellungen vor:AS-Nummer:Geben Sie die AS-Nummer (AutonomousSystemNumber, ASN) IhresSystemsein.

Router-ID:Geben Sie eine IPv4-Adresse alsRouter-ID ein, die den Neighborswährend der Sitzungsinitialisierung übermittelt wird.

Netzwerke: Fügen Sie die Netzwerke hinzu, die den Neighbors vomSystem bekanntgegeben werden sollen.

4. Klicken Sie auf Übernehmen.

Die Statusampelwird grün und BGPwird aktiviert.Schon bald werden im BereichVerbindungStatusinformationen angezeigt.

6.8.2 SystemeAuf der SeiteBorder GatewayProtocol >Erweitert können Sie eine Umgebungmit mehrerenautonomen Systemen einrichten.


6 Schnittstellen & Routing 6.8 Border GatewayProtocol


Hinweis –Diese Seite ist nur zugänglich, wenn Sie die Verwendung vonmehreren ASaufder SeiteErweitert aktivieren.

Um ein neuesBGP-System anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Systeme auf Neues BGP-System.DasDialogfenster NeuesBGP-System anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für dasSystem ein.

ASN:Geben Sie die AS-Nummer (AutonomousSystemNumber, ASN) IhresSystemsein.

Router-ID:Geben Sie eine IPv4-Adresse alsRouter-ID ein, die den Nachbarn(neighbors) während der Sitzungsinitialisierung übermittelt wird.

Neighbor:Markieren Sie die Auswahlkästchen derjenigen Nachbarn, die zumASdiesesSystemsgehören. Beachten Sie, dassSie die Nachbarn zuvor auf der SeiteNeighbor anlegenmüssen.

Netzwerke: Fügen Sie die Netzwerke hinzu, die vomSystem bekannt gegeben werdensollen.

Routen installieren: DieseOption ist standardmäßig aktiviert und sollte nur deaktiviertwerden, wenn Sie wollen, dassein BGP-Router die Routen kennt, aber nicht aktiv amBGP-Routing-Prozess teilnimmt.Wenn esmehrere AS-Systeme gibt, auf denen dieseOption aktiviert ist, müssen Filterlisten angelegt werden, um sicherzustellen, dasseskeine doppelten Netzwerke gibt. Andernfalls ist dasRouting-Verhalten für identischeNetzwerke unbestimmt.

3. Klicken Sie auf Speichern.DasSystemwird in der ListeSysteme angezeigt.

6.8.3 NeighborAuf der SeiteBorder GatewayProtocol >Neighbor können Sie einen oder mehrere BGP-Nachbarrouter anlegen. Ein Nachbarrouter (neighbor oder peer router) stellt die Verbindungzwischenmehreren autonomen Systemen (AS) oder innerhalb eineseinzigen ASher.Während der ersten Kommunikation tauschen zweiNachbarn ihre BGP-Routing-Tabellenmiteinander aus. Danach senden sie sich gegenseitig Aktualisierungen beiÄnderungen in der


Routing-Tabelle zu. Pakete zur Aufrechterhaltung der Verbindung (keepalive packets) werdenversendet, um sicherzustellen, dassdie Verbindung nach wie vor besteht. Sollten Fehlerauftreten, werden Benachrichtigungen (notifications) versendet.

Richtlinien-Routing in BGPunterscheidet zwischen Richtlinien für eingehenden undausgehenden Verkehr. Dies ist der Grund dafür, dassRoutemapsund Filterlisten getrennt aufeingehenden und ausgehenden Verkehr angewendet werden können.

Siemüssenmindestenseinen Nachbarrouter anlegen, bevor Sie BGPauf der SeiteAllgemeinaktivieren können.

Um einen neuen BGP-Nachbarn anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Neighbor auf Neuer BGP-Neighbor.DasDialogfenster Neue BGP-Neighbor anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie den Namen desBGP-Nachbarrouters ein.

Host: Fügen Sie die Hostdefinition desNachbarn hinzu.Die festgelegte IP-Adressemuss von der UTM erreichbar sein.

Entfernte ASN:Geben Sie die AS-Nummer (ASN) desNachbarn ein.

Authentifizierung: Falls der Nachbar Authentifizierung erfordert, wählen Sie TCP-MD5-Signatur ausder Auswahlliste ausund geben Sie dasKennwort ein. Diesesmussmit demKennwort übereinstimmen, dasauf demNachbarn festgelegt wurde.

3. Nehmen Sie die folgenden erweiterten Einstellungen, falls erforderlich.Eingehende/Ausgehende Route: FallsSie eine Routemap angelegt haben, könnenSie diese hier auswählen.MitEin oder Aus legen Sie fest, ob Sie die Routemap auf ein-oder ausgehendeMeldungen anwendenmöchten.

Eingehender/Ausgehender Filter: FallsSie eine Filterliste angelegt haben, könnenSie diese hier auswählen.MitEin oder Aus legen Sie fest, ob Sie den Filter auf ein- oderausgehendeMeldungen anwendenmöchten.

Next-Hop-Self:Wenn ein Router in einem iBGP-Netzwerkein externeseBGP-Netzwerkbekannt gibt, wissen iBGP-Router, die über keine eigene direkte externeVerbindung verfügen, nicht, wie sie Pakete zu diesemNetzwerk routen sollen. DurchAuswählen dieser Option jedochmacht der eBGP-Router sich selbst alsGatewayzumexternen Netzwerkbekannt.




Soft-Reconfiguration: Standardmäßig aktiviert. DieseOption ermöglicht dasSpeichern von Updates, die vomNachbar gesendet wurden.

Default-Originate: Sendet die Standardroute 0.0.0.0 an den Nachbarn. Der Nachbarverwendet diese Route nur, falls er ein Netzwerkerreichenmuss, dasnicht Teil seinerRouting-Tabelle ist.

Gewichtung: Cisco-spezifischeOption. Legt ein generischesGewicht für alle Routenfest, die durch diesen Nachbarn gelernt wurden. Sie können einenWert zwischen 0 und65535 eingeben. Die Routemit dem höchstenGewicht wird genommen, um einbestimmtesNetzwerk zu erreichen. Dashier angegebeneGewicht überlagert einRoutemap-Gewicht.

4. Klicken Sie auf Speichern.Der Nachbar wird in der ListeNeighbor angezeigt.

6.8.4 RoutemapIn BGP ist Routemap ein Befehl, um Bedingungen für die Verteilung von Routen festzulegenund Richtlinien-Routing zu ermöglichen.Auf der SeiteBorder GatewayProtocol >Routemapkönnen Sie Routemaps für bestimmte Netzwerke erstellen undMetriken, Gewichtungen bzw.Präferenzwerte einstellen.

Der Best-Path-Algorithmus, der festlegt, welche Route genommenwird, funktioniertfolgendermaßen:

1. Gewicht (weight) wird überprüft.*

2. Lokale Präferenz (local preference) wird überprüft.*

3. Lokale Route wird überprüft.

4. AS-Pfadlänge wird überprüft.

5. Ursprung (origin) wird überprüft.

6. Metrikwird überprüft.*

Dies ist nur eine Kurzbeschreibung. Da die Berechnung desBest Path sehr komplex ist, ziehenSie für detaillierte Informationen bitte die einschlägige Dokumentation zu Rate, welche imInternet zur Verfügung steht.

Die Elemente, die mit einemAsterisk (*) markiert sind, können direkt konfiguriert werden.

Um eine BGP-Routemap anzulegen, gehen Sie folgendermaßen vor:


1. Klicken Sie auf der Seite Routemap auf Neue BGP-Routemap.DasDialogfenster Neue BGP-Routemap anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die Routemap ein.

Abgleich über:Wählen Sie aus, ob die Routemap die IP-Adresse einesbestimmtenRouters oder ein ganzesAS vergleichen soll.

l IP-Adresse: Im FeldNetzwerke können Sie Hosts oder Netzwerke hinzufügenoder auswählen, auf die der Filter angewendet werden soll.

l AS-Nummer: Setzen Sie im FeldAS-RegexBGP-reguläre Ausdrücke ein, umAS-Nummer zu definieren, auf die der Filter angewendet werden soll.Beispiel: _100_stimmtmit jeder Route durch AS100 überein.

Netzwerke: Fügen Sie Netzwerke und/oder Hosts hinzu, auf welche die Routemapangewendet werden soll.

Metrik: Standardmäßig lernt ein Router Routing-Metriken dynamisch. Sie könnenjedoch Ihren eigenenMetrikwert festlegen, der eine Ganzzahl zwischen 0 und4294967295 sein kann. Ein niedriger Metrikwert wird einem hohenMetrikwertvorgezogen.

Gewichtung: DieGewichtung wird verwendet, um den besten Pfad auszuwählen. Eswird für einen bestimmten Router festgelegt und nicht verbreitet. Wenn esmehrereRouten zu demselben Ziel gibt, werden Routenmit einem höherenGewicht bevorzugt.DasGewicht basiert auf dem zuerst zutreffenden AS-Pfad und kann eineGanzzahlzwischen 0 und 4294967295 sein.

Hinweis – Falls einemNachbarn eine Gewichtung zugewiesen wurde, überlagertdieseGewichtung die Routemap-Gewichtung, wenn die Routemit dem angegebenenNetzwerkübereinstimmt.

Präferenz: Sie können einen Präferenzwert für den AS-Pfad festlegen, welcher nur analle Router im lokalen ASgesendet wird. Die Präferenz (oder lokale Präferenz) teilt denRoutern in einemASmit, welcher Pfad bevorzugt gewählt werden soll, um einbestimmtesNetzwerkaußerhalb desAS zu erreichen. Sie kann eineGanzzahl zwischen0 und 4294967295 sein und der Standardwert ist 100.

AS-Präfix: DasAS-Präfixwird eingesetzt, wenn aus irgendwelchenGründen diePräferenz-Einstellungen nicht ausreichen, um eine bestimmte Route zu vermeiden, zum




Beispiel eine Ersatzroute, die nur in dem Fall verwendet werden soll, wenn dieHauptroute nicht verfügbar ist.Damit können Sie dasAS-Pfadattribut erweitern, indemSie Ihre eigene AS-Nummer wiederholen, z. B. 65002 65002 65002. Dies beeinflusstdie Auswahl der BGP-Route, da der kürzeste AS-Pfad bevorzugt wird.Beachten Sie,dassRoutemapsmit eingestelltem AS-Präfix im FeldAusgehende Route einesNachbarn ausgewählt werdenmüssen, damit sie wie vorgesehen funktionieren.

3. Klicken Sie auf Speichern.Die Routemapwird in der ListeRoutemap angezeigt.

Sie können die Routemap jetzt in einer Neighbor-Definition verwenden.

6.8.5 FilterlisteAuf der SeiteBorder GatewayProtocol > Filterliste können Sie Filterlisten anlegen, die dazuverwendet werden, den Verkehr zwischen Netzwerken anhand der IP-Adresse oder AS-Nummer zu regulieren.

Um eine Filterliste anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Filterliste auf Neue BGP-Filterliste.DasDialogfenster Neue BGP-Filterliste anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die Filterliste ein.

Filtern nach:Wählen Sie aus, ob der Filter die IP-Adresse einesbestimmten Routersoder ein ganzesAS vergleichen soll.

l IP-Adresse: Im FeldNetzwerke können Sie Hosts oder Netzwerke hinzufügenoder auswählen, auf die der Filter angewendet werden soll.

l AS-Nummer: Setzen Sie im FeldAS-RegexBGP-reguläre Ausdrücke ein, umAS-Nummer zu definieren, auf die der Filter angewendet werden soll.Beispiel: _100_stimmtmit jeder Route durch AS100 überein.

Netzwerke: Fügen Sie Netzwerke und/oder Hosts hinzu, denen Informationen überbestimmte Netzwerke verweigert oder genehmigt werden sollen.

Aktion:Wählen Sie ausder Auswahlliste eine Aktion, die ausgeführt werden soll, wennder Filter zutrifft. Sie können Datenverkehr entweder verweigern oder erlauben.

l Verwerfen:Wenn Sie über dasFeldEingehender Filter auf der SeiteNeighboreinem bestimmten Nachbarn ein Netzwerk verweigern, ignoriert die UTM


Meldungen für diesesNetzwerk.Wenn Sie dasgleiche über dasFeldAusgehender Filter durchführen, sendet die UTM für diesesNetzwerk keineMeldungen an den Nachbarn.

l Zulassen:Wenn Sie über dasFeldEingehender Filter auf der SeiteNeighbor füreinen bestimmten Nachbarn ein Netzwerk zulassen, empfängt die UTM nurMeldungen für diesesNetzwerk.Wenn Sie dasgleiche über dasFeldAusgehender Filter durchführen, sendet die UTM nur für diesesNetzwerkMeldungen an den Nachbarn, jedoch für kein anderesNetzwerk, dasSie auf denSeitenAllgemein oder Systeme definiert haben.

3. Klicken Sie auf Speichern.Die Filterliste wird in der Liste Filterliste angezeigt.

Sie können die Filterliste jetzt in einer Neighbor-Definition verwenden.

6.8.6 ErweitertAuf der SeiteBorder GatewayProtocol >Erweitert können Sie einige zusätzliche Einstellungenfür BGP vornehmen und haben Zugriff auf Fenster mit BGP-Informationen zur Fehlersuche.

Mehrere autonome System zulassenMehrere AS zulassen:Markieren Sie diesesAuswahlkästchen, fallsSiemehrere ASkonfigurieren wollen.Dadurch wird die SeiteSysteme aktiviert, auf der Sie anschließendmehrere AS hinzufügen können, und nicht der BereichBGP-System auf der SeiteAllgemein.Auf der SeiteAllgemeinwerden Informationen für alle AS angezeigt.

Str ikte IP-Adressen-Übere instimmungStrikte IP-Adressen-Übereinstimmung:Markieren Sie für eine strikte IP-Adressen-Übereinstimmung diesesAuswahlkästchen. Beispiel: 10.0.0.0/8 stimmt nur mit 10.0.0.0/8überein, aber nicht mit 10.0.1.0/24.

Multi-Pfad-RoutingNormalerweise wird nur eine Route verwendet, selbst wenn esmehrere Routenmit denselbenKosten gibt. BeiAuswahl dieser Option können bis zu acht gleichwertige Routen gleichzeitigverwendet werden. Diesermöglicht eine Lastverteilung auf mehrere Schnittstellen.



6.9Multicast Routing (PIM-SM) 6 Schnittstellen & Routing

BGP-Fehle rsucheDieser Abschnitt bietet Zugriff auf drei Fenster mit Informationen für die Fehlersuche. KlickenSie auf eine Schaltfläche, um ein Fenster zu öffnen. Der Name einer Schaltfläche entsprichtdemBGP-Befehl, den Sie normalerweise auf der Kommandozeile eingeben würden. DasFenster wird dann dasErgebnis diesesBefehls in Form einer Kommandozeilenausgabeanzeigen.

Show IP BGP Neighbor: Zeigt Informationen zu den Neighbors der UTM an.VergewissernSie sich, dassder Linkstatus jedesNeighborsHergestellt lautet.

Show IP BGP Unicast: Zeigt die aktuelle BGP-Routing-Tabelle mit den bevorzugten Pfadenan. Dies ist besonders nützlich, um einen Überblick über IhreMetrik (metric), Gewicht (weight)und Präferenz (preference) und deren Auswirkungen zu erhalten.

Show IP BGP Summary: Zeigt den Statusaller BGP-Verbindungen an.Diese Informationenwerden auch im BereichBGP-Zusammenfassung auf der SeiteAllgemein angezeigt.

6.9Multicast Routing (PIM-SM)DasMenüSchnittstellen &Routing >Multicast Routing (PIM-SM) ermöglicht die KonfigurationvonProtocol Independent Multicast SparseMode (PIM-SM) zur Benutzung in IhremNetzwerk.PIM ist ein Protokoll, umMulticast-Pakete in Netzwerken dynamisch zu routen.Multicast ist eineMethode, Pakete, die vonmehr als einemClient empfangen werden sollen, effizientauszuliefern, indem sowenig Verkehr wiemöglich verursacht wird. Normalerweise werdenPakete für mehr als einen Client einfach kopiert und jedemClient individuell zugestellt. Dabeisteigt die benötigte Bandbreite mit der Anzahl der Benutzer. Dadurch benötigen Server, dieviele Clients haben, die die gleichen Pakete zur gleichen Zeit erfragen, sehr viel Bandbreite, soz. B. Server für Streaming-Inhalte.

Multicast hingegen spart Bandbreite, indem esPakete nur einmal über jeden Netzwerkknotensendet. Um daszu erreichen, beteiligt Multicast entsprechend konfigurierte Router an derEntscheidung, wann Kopien erstellt werdenmüssen auf demWeg vomServer (Absender) zumClient (Empfänger). Die Router benutzen PIM-SM, um die aktivenMulticast-Empfänger imAuge zu behalten, und benutzen diese Information, um dasRouten zu konfigurieren.

Ein grobesSchema der PIM-SM-Kommunikation sieht wie folgt aus: Ein Sender beginnt damit,seineMulticast-Daten zu übermitteln. Der Multicast-Router für den Sender registriert sich überPIM-SM amRP-Router, welcher wiederum eine Teilnahmemeldung (join message) an den


Router desSenders schickt. Multicast-Pakete fließen nun vomSender zumRP-Router. EinEmpfänger registriert sich über einen IGMP-Broadcast für dieseMulticast-Gruppe bei seinemlokalen PIM-SM-Router. Dieser Router sendet daraufhin eine Teilnahmemeldung für denEmpfänger in Richtung RP-Router, welcher imGegenzug denMulticast-Verkehr an denEmpfänger weiterleitet.

Multicast besitzt seinen eigenen IP-Adressbereich: 224.0.0.0/4.

6.9.1 AllgemeinAuf der RegisterkarteMulticast Routing (PIM-SM) >Allgemein können Sie PIM aktivieren unddeaktivieren.Der AbschnittRouting-Daemon-Einstellungen zeigt den Statusder Schnittstellenund beteiligten Router an.

Bevor Sie PIM aktivieren können, müssen Sie zunächst auf der RegisterkarteSchnittstellenmindestens zweiSchnittstellen definieren, die alsPIM-Schnittstellen dienen sollen, und auf derRegisterkarteRP-Router einen Router.

UmPIM-SM zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie PIM-SM auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittRouting-Daemon-Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:Aktive PIM-SM-Schnittstellen:Wählen Siemindestens zweiSchnittstellen für dieBenutzung von PIM-SM aus.Schnittstellen können auf der RegisterkarteSchnittstellenkonfiguriert werden.

Aktive PIM-SM-RP-Router:Wählen Siemindestenseinen RP-Router für dieBenutzung von PIM-SM aus.RP-Router können auf der RegisterkarteRP-Routerdefiniert werden.

3. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.PIM-SM-Kommunikation in IhremNetzwerk istnun aktiviert.

Um die Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf die gelbeStatusampel.UmPIM-SM zu deaktivieren, klicken Sie auf die Statusampel oder auf dieSchaltflächeDisable.


6 Schnittstellen & Routing 6.9Multicast Routing (PIM-SM)


Live -Protoko llKlicken Sie auf Live-Protokoll öffnen, um dasPIM-Live-Protokoll in einem neuen Fenster zuöffnen.

6.9.2 SchnittstellenAuf der RegisterkarteMulticast Routing (PIM-SM) >Schnittstellen können Sie festlegen, überwelche Schnittstellen von SophosUTMMulticast-Kommunikation stattfinden soll.

Um eine neue PIM-SM-Schnittstelle anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue PIM-SM-Schnittstelle.DasDialogfeldNeue PIM-SM-Schnittstelle anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für die PIM-SM-Schnittstelle ein.

Schnittstelle:Wählen Sie eine Schnittstelle aus, die PIM- und IGMP-Netzwerkverkehrannehmen soll.

DR-Priorität (optional): Geben Sie eine Zahl ein, die die designierte Router-Priorität(DR) für diese Schnittstelle festlegt. Der Router mit der höchsten Zahl nimmt IGMP-Anfragen an, wennmehr als ein PIM-SM-Router im selben Netzwerksegment präsentist.Zahlen von 0bis232 sind erlaubt.Wenn Sie keine Priorität angeben, wird der Wert 0gesetzt.

IGMP:Wählen Sie die Version des Internet-Group-Management-Protokolls (InternetGroupManagement Protocol), die unterstützt werden soll. IGMPwird von Empfängernbenutzt, um einer Multicast-Gruppe beizutreten.


3. Klicken Sie auf Speichern.Die neue PIM-SM-Schnittstelle wird zur Schnittstellenliste hinzugefügt.

Um eine PIM-SM-Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.


6.9.3 RP-RouterUmMulticast in IhremNetzwerk verwenden zu können, müssen Sie einen oder mehrereRendezvous-Point-Router (RP-Router) konfigurieren. Ein RP-Router nimmt Registrierungensowohl vonMulticast-Empfängern als auch -Sendern an.Ein RP-Router ist ein regulärer PIM-SM-Router, der dazu auserkoren wurde, außerdem alsRP-Router für bestimmteMulticast-Gruppen zu agieren. Alle PIM-SM-Router müssen darin übereinstimmen, welcher Router derRP-Router ist.

Um einen RP-Router anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte RP-Router auf Neuer Rendezvous-Point-Router.DasDialogfeldNeuenRP-Router anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für den RP-Router ein.

Host: Legen Sie einen Host an (oder wählen Sie einen aus), der alsRendezvous-Point-Router agieren soll.

Priorität:Geben Sie eine Zahl an, die die Priorität desRP-Routers festlegt.Teilnahmemeldungenwerden zu demRP-Router mit der niedrigsten Prioritätgesendet.Zahlen von 0bis255sind erlaubt.Wenn Sie keine Priorität angeben, wird derWert 0gesetzt.

Multicast-Gruppenpräfixe:Geben Sie dieMulticast-Gruppe ein, für die der RP-Router verantwortlich ist.Sie könnenGruppenpräfixe wie 224.1.1.0/24 festlegen, fallsder RP für mehr als eineMulticast-Gruppe verantwortlich ist.DieMulticast-Gruppe oderdasGruppenpräfixmuss sich innerhalb desMulticast-Adressbereichsbefinden, der224.0.0.0/4 ist.


3. Klicken Sie auf Speichern.Der neue RP-Router wird in der Routerliste angezeigt.

Um einen RP-Router zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.




6.9.4 RoutenSiemüssen zwischen Sender(n) und Empfängern eine durchgängige Kommunikationsrouteeinrichten.Wenn Empfänger, Sender und/oder RP-Router sich nicht im selbenNetzwerksegment befinden, werden Sie eine Route anlegenmüssen, um die Kommunikationzwischen ihnen zu gewährleisten.

Um eine PIM-SM-Route anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Routen auf Neue PIM-SM-Route.DasDialogfeldNeue PIM-SM-Route anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Routentyp: Die folgenden Routentypen sind verfügbar:



Netzwerk:Wählen Sie den Zieladressbereich aus, wohin der PIM-Verkehr geroutetwerden soll.

Gateway:Wählen Sie dasGateway/den Router aus, an dasoder den dasGatewaydieDatenpakete weiterleiten soll (nur verfügbar, wenn SieGateway-Route alsRoutentypgewählt haben).

Schnittstelle:Wählen Sie die Schnittstelle aus, zu der dasGatewaydie Datenpaketeweiterleiten soll (nur verfügbar, wenn SieSchnittstellenroute alsRoutentyp ausgewählthaben).


3. Klicken Sie auf Speichern.Die neue PIM-SM-Route wird zur Routenliste hinzugefügt.

Um eine PIM-SM-Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.


6.9.5 ErweitertAuf der RegisterkarteSchnittstellen &Routing >Multicast Routing (PIM-SM) >Erweitertkönnen Sie erweiterte Einstellungen für PIM konfigurieren.

Shor test-Path-Tree-E inste llungenIn einigen Netzwerken ist die PIM-Kommunikationsroute zwischen Sender, RP und Empfängernicht der kürzestmögliche Netzwerkpfad.Die OptionWechsel zu Shortest-Path-Treeermöglichen erlaubt es, eine bestehende Kommunikation zwischen Sender und Empfänger aufden kürzestmöglichen verfügbaren Pfad zu verlegen, wenn ein gewisser Schwellenwerterreicht ist, wobei der RP dann alsVermittler ausgelassen wird.

Automatische Firewall-E inste llungenWenn Sie dieseOption auswählen, wird dasSystem automatisch alle notwendigenFirewallregeln anlegen, die benötigt werden, umMulticast-Verkehr für die angegebenenMulticast-Gruppen weiterzuleiten.

Fehle rsuche-Einste llungenWählen Sie die Option Fehlersuche-Modusaktivieren, um zusätzliche Informationen für dieFehlersuche im PIM-SMRouting-Daemon-Protokoll anzuzeigen.



7 NetzwerkdiensteIn diesemKapitelwird die Konfiguration verschiedener Netzwerkdienste von SophosUTM fürIhr Netzwerkbeschrieben.


l DNS

l DHCP

l NTP

7.1 DNSDie Registerkarten desMenüsNetzwerkdienste >DNS enthalten eine Reihe vonKonfigurationsmöglichkeiten, die sich auf den DienstDomain NameSystem (DNS) beziehen.Die Hauptaufgabe von DNS ist die Übersetzung von Domänennamen (Hostnamen) in diezugehörigen IP-Adressen.

7.1.1 AllgemeinAuf der RegisterkarteNetzwerkdienste >DNS>Allgemein kann den angeschlossenenNetzwerken erlaubt werden, dasGateway für die rekursive DNS-Auflösung zu nutzen.Üblicherweise wird dies nur den internen Netzwerken (LAN) gestattet.

Hinweis –Wenn Sie bereits einen internen DNS-Server nutzen, z. B. in VerbindungmitActive Directory, sollten Sie diesesFeld leer lassen.

DNS-Spe icher leerenDer DNS-Proxybenutzt einen Zwischenspeicher (Cache) für seine Einträge. Jeder Eintrag hatein Ablaufdatum (TTL, time-to-live), an dem er gelöscht wird. Die TTL beträgt normalerweiseeinen Tag. Sie können den Zwischenspeicher jedochmanuell leeren, wenn Sie z. B. wollen,dass jüngste Änderungen in DNS-Einträgen sofort berücksichtigt werden, ohne darauf wartenzumüssen, dassdie TTL abläuft.Um den Zwischenspeicher zu leeren, klicken Sie aufDNS-Speicher jetzt leeren.

7.1 DNS 7 Netzwerkdienste

7.1.2 WeiterleitungAuf der RegisterkarteNetzwerkdienste >DNS>Weiterleitung können Sie sogenannte DNS-Weiterleitung spezifizieren.Ein DNS-Forwarder ist einDomain-Name-System-Server (DNS),der DNS-Anfragen für externe DNS-Namen an DNS-Server außerhalb desNetzwerksweiterleitet.Fügen Sie Ihrer Konfiguration wennmöglich eine DNS-Weiterleitung hinzu. Diessollte ein lokaler Host oder idealerweise ein Server sein, der von Ihrem Internetanbieter (ISP)betrieben wird. Dieser wird dann als übergeordneter Zwischenspeicher (engl. parent cache)verwendet und Ihre DNS-Anfragen deutlich beschleunigen.Wenn Sie keinen Namensserverfür dieWeiterleitung angeben, werden stattdessen die Root-DNS-Server gefragt, die zunächsteinmalZoneninformationen einholen und deshalb eine längere Beantwortungszeit benötigen.

Um einen DNS-Forwarder anzulegen, gehen Sie folgendermaßen vor:

1. Wählen Sie einen DNS-Forwarder aus.Wählen Sie einen DNS-Forwarder ausoder fügen Sie einen hinzu.

Vom ISP zugewiesene Forwarders verwenden (optional): Wählen Sie dieOptionVom ISP zugewiesene Forwarders verwenden, umDNS-Anfragen anDNS-Server Ihres ISPweiterzuleiten.Wenn dieseOption ausgewählt ist, werdenalle Forwarders, die automatisch von Ihrem ISP zugewiesen werden, in der Zeileunter dem Feld aufgelistet.


7.1.3 AnfrageroutenAngenommen, Sie betreiben Ihren eigenen internen DNS-Server, dann kann dieser Serverdazu verwendet werden, als alternativer Server DNS-Anfragen für Domänen aufzulösen, dieSie nicht von DNS-Forwarders auflösen lassen wollen.Auf der RegisterkarteNetzwerkdienste>DNS>Anfragerouten können Sie Routen zu eigenen DNS-Servern definieren.

Um eine DNS-Anfrageroute anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Anfragerouten auf Neue DNS-Anfrageroute.DasDialogfenster NeueDNS-Anfrageroute erstellenwird geöffnet.


2. Nehmen Sie die folgenden Einstellungen vor:Domäne: Tragen Sie die Domäne ein, für die ein alternativer DNS-Server genutztwerden soll.

Zielserver:Wählen Sie einen oder mehrere DNS-Server für die Auflösung der obenangegebenen Domäne.


3. Klicken Sie auf Speichern.Die neue Route wird in der ListeDNS-Anfragerouten angezeigt und ist sofort aktiv.

Um eine DNS-Anfrageroute zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

7.1.4 Statische EinträgeWenn Sie keinen eigenen DNS-Server einrichten wollen, aber eine statische DNS-Zuordnungfür einige Hosts benötigen, können Sie diese Zuordnung hier angeben. Beachten Sie, dassdiese Lösung sich nur für eine begrenzte Anzahl von Einträgen eignet und in keiner Weise alsErsatz für einen richtigen DNS-Server dienen kann.

Um einen statischen Eintrag anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Statische Einträge auf Neue statische DNS-Zuordnung.DasDialogfenster Neue statische DNS-Zuordnungwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Hostname: Tragen Sie den vollständigen Domänennamen (FQDN, fully qualifieddomain name) desHosts ein, für den die statische DNS-Zuordnung gelten soll.

IPv4-Adresse: Tragen Sie die IPv4-Adresse desHosts ein.

IPv6-Adresse: Tragen Sie die IPv6-Adresse desHosts ein.

Reverse-DNS:Markieren Sie diesesAuswahlfeld, um die Zuordnung der IP-AdresseeinesHosts zu seinemNamen zu ermöglichen. Beachten Sie, obwohlmehrere Namenauf die gleiche IP-Adresse verweisen können, dasseine IP-Adresse immer nur auf einenNamen verweisen kann.


7 Netzwerkdienste 7.1 DNS



3. Klicken Sie auf Speichern.Die neue Zuordnung wird in der ListeStatische Einträge angezeigt.

Um einen statischen DNS-Eintrag zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

7.1.5 DynDNSDynamicDNS, oder kurzDynDNS, ist ein Domänennamensdienst, der esermöglicht, statischeInternetdomänennamen einemComputersmit variabler IP-Adresse zuzuordnen.Sie könnensich für DynDNSauf der Website des jeweiligen DynDNS-Anbieters anmelden, um eine DNS-Alias anzufordern, die automatisch aktualisiert wird, wenn sich Ihre Uplink-IP-Adresse ändert.Wenn Sie sich bei diesemDienst registriert haben, erhalten Sie einen Hostnamen, einenBenutzernamen und ein Kennwort, welche für die Konfiguration benötigt werden.

UmDynDNS zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte DynDNS auf Neue DynDNS.DasDialogfenster NeueDynDNSerstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Typ: Die folgenden DynDNS-Dienste sind verfügbar:

l DNS Park:OffizielleWebsite: www.dnspark.com

l DtDNS:OffizielleWebsite: www.dtdns.com

l DynDNS: Standardmäßiger DNS-Dienst desDienstanbieter DynamicNetworkServices Inc. (Dyn).OffizielleWebsite: www.dyndns.com

l DynDNS-custom: Benutzerdefinierter DNS-Dienst desDienstanbieter DynamicNetworkServices Inc.(Dyn) (www.dyndns.com). Dieser Dienst ist hauptsächlichfür Benutzer, die ihre Domäne selbst besitzen oder selbst registriert haben.

l easyDNS:OffizielleWebsite: www.easydns.com

l FreeDNS:OffizielleWebsite: freedns.afraid.org

l Namecheap:OffizielleWebsite: www.namecheap.com

l zoneedit:OffizielleWebsite: www.zoneedit.com


http://www.dnspark.com/

http://www.dtdns.com/

http://www.dyndns.com/

http://www.dyndns.com/

http://members.easydns.com/

http://freedns.afraid.org/

http://www.namecheap.com/

http://www.zoneedit.com/

Hinweis – Im FeldServer wird die URL angezeigt, an welche die UTM die IP-Änderungen sendet.

Zuweisen (nicht beim Typ FreeDNS): Legen Sie die IP-Adresse fest, der der DynDNS-Name zugeordnet wird.Wählen Sie IP der lokalen Schnittstelle, wenn die betreffendeSchnittstelle eine öffentliche IP-Adresse hat. Üblicherweise werden Sie dieseOption fürIhre DSL-Internetverbindung verwenden.Bei der OptionErste öffentliche IP auf derStandardroutemüssen keine Schnittstellen spezifiziert werden.Die UTM sendetstattdessen eineWWW-Anfrage zu einem öffentlichen DynDNS-Server, der imGegenzugmit der öffentlichen IP-Adresse antwortet, die Sie gerade verwenden.Dies isthilfreich, wenn die UTM über keine öffentliche IP-Adresse verfügt, sondern sich in einemprivaten Netzwerkbefindet und sich über einenmaskierenden Router mit dem Internetverbindet.

Hinweis – FreeDNS verwendet immer die erste öffentliche IP-Adresse auf derStandardroute.

Schnittstelle (nicht bei Typ FreeDNS, nur bei IP der lokalen Schnittstelle): Wählen Siedie Schnittstelle, für die Sie den DynDNS-Dienst verwendenmöchten.Wahrscheinlichwird es sich dabei um Ihre externe Schnittstelle handeln, die mit dem Internet verbundenist.

Hostname: Tragen Sie die Domäne ein, die Sie von IhremDynDNS-Anbieter erhaltenhaben (z. B. beispiel.dyndns.org). Sie müssen sich für den Hostnamen an keinespezielle Syntaxeinhalten. Das, wasSie hier eingebenmüssen, hängt ausschließlichdavon ab, was Ihr DynDNS-Dienstanbieter erfordert. Überdies können Sie optionalIhren DynDNS-Hostnamen auch als den Haupthostnamen für Ihr Gatewayverwenden.

Aliasse (optional): In diesesDialogfenster können zusätzliche Hostnamen eingetragenwerden, die auf dieselbe IP-Adresse verweisen wie der Haupthostname oben (z. B.mail.beispiel.de, beispiel.de).

MX (optional, nur beim TypDNSPark,DynDNS oder easyDNS): Mail-Exchange-Serverwerden dazu benutzt, E-Mails an bestimmte Server umzuleiten, auf welche derHostname nicht verweist. MX-Einträge ermöglichen, dassE-Mails an eine bestimmteDomäne zu einem bestimmten Host (Server) geleitet werden.Beispiel: Wenn imEingabefeld alsMail-Exchange-Server mail.beispiel.deeingetragen ist, dann wird


7 Netzwerkdienste 7.1 DNS


eine E-Mailmit der Adresse [email protected] den Host mail.beispiel.degesendet.

MX-Priorität (optional, nur beim TypDNSPark): Geben Sie eine positive Ganzzahl ein,die angibt, ob der angegebeneMail-Server bei der Zustellung der E-Mail gegenüber derDomäne bevorzugt werden sollte. Server mit niedrigeren Zahlen erhalten den Vorzuggegenüber Servernmit höheren Zahlen. Normalerweise können Sie diesesFeld leerlassen, da DNSParkden Standardwert 5 verwendet, der für fast jeden Fall geeignetist.Technische Details zu denMail-Exchanger-Prioritäten finden Sie unter RFC 5321.

Backup-MX (optional, nur beim TypDynDNS oder easyDNS: Wählen Sie dieseOptionnur aus, wenn der Hostname im FeldHostname alsHauptmailserver dienen soll.Dannwird der Hostname im FeldMX nur alsBackup-Mailserver eingesetzt.

Platzhalter (optional, nur beim TypDynDNS oder easyDNS: Wählen Sie dieseOption,wenn die Subdomänen auf die gleiche IP-Adresse wie Ihre registrierte Domäneverweisen sollen.BeiVerwendung dieser Option wird Ihrer Domäne ein Stern (*)angefügt, der alsPlatzhalter dient (z. B. *.beispiel.dyndns.org). Das stellt sicher,dass z. B. www.beispiel.dyndns.orgauf dieselbe Adresse verweist wiebeispiel.dyndns.org.

Benutzername: Tragen Sie den Benutzernamen ein, den Sie vomDynDNS-Anbietererhalten haben.

Kennwort: Tragen Sie dasKennwort ein, dasSie vomDynDNS-Anbieter erhaltenhaben.


3. Klicken Sie auf Speichern.Dasneue DynDNSwird in der ListeDynDNS angezeigt. Der Dienst ist nochausgeschaltet (Statusampel zeigt Rot).

4. Aktivieren Sie DynDNS.Aktivieren Sie den DynDNS-Dienst durch einen Klick auf die Statusampel.

Der Dienst ist nun eingeschaltet (Statusampel zeigt Grün).

Um ein DynDNS zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.


http://tools.ietf.org/html/rfc5321#section-5.1

http://tools.ietf.org/html/rfc5321#section-5.1

Sie könnenmehrere DynDNS-Einträge gleichzeitig haben.Wenn alle Einstellungen für zweiHostnamen identisch sind, empfiehlt es sich, die OptionAliasse zu verwenden, anstatt zweiEinzeleinträge anzulegen.

7.2 DHCPDasDynamicHost Configuration Protocol (DHCP) (dynamischesHostkonfigurationsprotokoll)verteilt automatisch Adressen auseinem festgelegten IP-Adressbereich an angeschlosseneClients. Dies spart bei größeren Netzwerken viel Konfigurationsaufwand und beugtAdressenkonflikten vor.DasDHCPverteilt IP-Adressen, Standard-Gateway-Informationenund DNS-Konfigurationsdaten an seine Clients.

Zusätzlich zur vereinfachten Konfiguration von Clientrechnern und der einfachen Bewegungvonmobilen Computern zwischen verschiedenen Netzwerken, lassen sich in einemDHCP-NetzwerkFehler einfacher lokalisieren und beheben, da die Konfiguration der IP-Adressenprimär von den Einstellungen desDHCP-Servers abhängen. Außerdem lassen sichAdressbereiche effektiver nutzen, vor allemwenn nicht alle Rechner gleichzeitig im Netzwerkaktiv sind. Die IP-Adressen können so je nach Bedarf vergeben und wiederverwendet werden.

7.2.1 ServerAuf der RegisterkarteNetzwerkdienste >DHCP>Server können Sie einen DHCP-Serverkonfigurieren.SophosUTMstellt den DHCP-Dienst für dasangeschlossene Netzwerk sowie fürweitere Netzwerke bereit. Der DHCP-Server kann dazu verwendet werden, Ihren Clientsgrundlegende Netzwerkparameter zuzuweisen. Sie können den DHCP-Dienst aufverschiedenen Schnittstellen laufen lassen, wobei jede Schnittstelle und jedesbereitzustellendeNetzwerk individuell konfiguriert werden kann.

Hinweis –Auf der RegisterkarteOptionen können Sie zusätzliche oder andere DHCP-Optionen an die Clients senden.Eine DHCP-Option, die auf der RegisterkarteOptionendefiniert ist, überschreibt eine Einstellung auf der RegisterkarteServer, wenn sie nichtallgemein gilt. Wenn Sie DHCP-Optionen nur für ausgewählte Hosts definieren, können Sieihnen einen DNS-Server oder eine Lease-Zeit zuweisen, die von der Definition für denDHCP-Server abweichen kann.

Um einen DHCP-Server zu konfigurieren, gehen Sie folgendermaßen vor:


7 Netzwerkdienste 7.2 DHCP

7.2 DHCP 7 Netzwerkdienste

1. Klicken Sie auf der Registerkarte Server auf Neuer DHCP-Server.DasDialogfenster NeuenDHCP-Server erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Schnittstelle:Wählen Sie die Schnittstelle aus, von der ausden Clients die IP-Adressenzugewiesen werden. Es kann nur eine bereits konfigurierte Schnittstelle ausgewähltwerden.

Adresstyp: DieseOption ist nur verfügbar, wenn IPv6 global aktiviert ist. Wählen Sie dieIP-Version desDHCP-Servers.

Bereichsbeginn/-ende: Der IP-Adressbereich, der alsKontingent für dieseSchnittstelle verwendet wird. Einmöglicher Adressbereich für diese Schnittstelle istbereits voreingestellt. Wenn sich die Clients im gleichen Netzwerkbefinden, muss sichder Bereich im Netzwerkbefinden, der mit der Schnittstelle verbunden ist. Wenn sich dieClients in einem anderen Netzwerkbefinden, muss sich der Bereich innerhalb desNetzwerksbefinden, ausdem die Relay-DHCP-Anfragen weitergeleitet werden.

DNS-Server 1/2: Die IP-Adressen der DNS-Server.

Standardgateway (nur bei IPv4): Die IP-Adresse desStandardgateways.

Hinweis –Sowohl für WLAN-Access-Points als auch für RED-Appliancesmuss sichdasStandardgateway im selben Subnetz befinden wie die Schnittstelle, an die dieseGeräte angeschlossen sind.

Domäne (optional): Tragen Sie den Domänennamen ein, der an die Clients übermitteltwerden soll (z. B. intranet.beispiel.de).

Lease-Zeit (nur bei IPv4): Der DHCP-Client versucht, den Lease automatisch zuerneuern.Wenn der Lease während der Lease-Zeit nicht erneuert wird, läuft der Leaseder IP-Adresse ab. Hier können Sie diesen Zeitraum in Sekunden festlegen. DerStandard ist 86.400 Sekunden (ein Tag). DasMinimum beträgt 600 Sekunden (10Minuten) und dasMaximum beträgt 2.592.000 Sekunden (einMonat).

Gültige Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Leaseautomatisch zu erneuern.Wenn der Lease während seiner gültigen Lebensdauer nichterneuert wird, wird der Lease-Statusder IP-Adresse ungültig, die Adresse wird von derSchnittstelle entfernt und kann anderweitig zugewiesen werden. Sie können ein Intervall


zwischen fünf Minuten und unendlich auswählen. Die gültige Lebensdauer muss jedochmindestensder bevorzugten Lebensdauer entsprechen.

Bevorzugte Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Leaseautomatisch zu erneuern.Wenn der Lease während seiner gültigen Lebensdauer nichterneuert wird, wird der Lease-Statusder IP-Adresse überholt, d. h. er ist zwar nochgültig, wird jedoch nicht für neue Verbindungen verwendet. Sie können ein Intervallzwischen fünf Minuten und unendlich auswählen.

3. Nehmen Sie optional die folgenden erweiterten Einstellungen vor:

WINS-Knotentyp (nur bei IPv4):Windows Internet Naming Service (WINS, dt.Windows Internet Namensdienst) ist Microsofts Implementierung desNetBIOSNameServer (NBNS) für WindowsBetriebssysteme. Dabei handelt es sich um einenNamensserver und -dienst für NetBIOS-Computernamen. EinWINS-Server verhält sichwie eine Datenbank, die Hostnamenmit IP-Adressen vergleicht. Dadurch ermöglicht erComputern, die NetBIOS verwenden, dasTCP/IP-Protokoll zu nutzen. Die folgendenWINS-Knotentypen sind verfügbar:

l Nicht festlegen: Der WINS-Knotentyp ist nicht festgelegt und wird vomClientselbst bestimmt.

l B-Knoten (kein WINS): B-Knotensysteme verwenden ausschließlichBroadcast.

l P-Knoten (nur WINS): P-Knotensysteme verwenden nur Punkt-zu-Punkt-Namensanfragen für einenWindows-Namensserver (WINS).

l M-Knoten (Broadcast, dann WINS): BeiM-Knotensystemen erfolgt zuerst einBroadcast, dann wird der Namensserver angefragt.

l H-Knoten (WINS, dann Broadcast): BeiH-Knotensystemenwird zuerst derNamensserver angefragt, dann erfolgt ein Broadcast.

WINS-Server: Je nach gewähltemWINS-Knotentyp erscheint diesesTextfeld. GebenSie hier die IP-Adresse desWINS-Servers ein.

Nur Clients mit statischer Zuordnung (optional): Wählen Sie dieseOption aus,damit der DHCP-Server IP-Adressen nur an Clients vergibt, die einen Eintrag auf derRegisterkarteStatische Zuordnungen haben.

HTTP-Proxy-Autokonfiguration aktivieren:Wählen Sie dieseOption, wenn Sie einePAC-Datei für die automatische Proxy-Konfiguration von Browsern bereitstellen




wollen.Weitere Informationen finden Sie im KapitelWebProtection >Webfilter >Erweitert, AbschnittAutomatische Proxy-Konfiguration.

Hinweis –Die automatische HTTP-Proxy-Konfiguration wird derzeit bei IPv6 nicht vonMicrosoftWindowsunterstützt.

Clients über DHCP-Relay-Agent: BeiAuswahl dieser Option weist der DHCP-ServerClients, die sich nicht im Netzwerkder verbundenen Schnittstelle befinden, IP-Adressenzu. In diesem Fallmuss sich der oben definierte Adressbereich im Netzwerkbefinden,ausdemRelay-DHCP-Anfragen weitergeleitet werden, und nicht im Netzwerkderverbundenen Schnittstelle.

Netzmaske:Wählen Sie die Netzmaske desNetzwerks, ausdem die Relay-DHCP-Anfragen weitergeleitet werden.


4. Klicken Sie auf Speichern.Die neue DHCP-Serverdefinition wird in der DHCP-Server-Liste angezeigt und ist sofortaktiv.

Um eine DHCP-Serverdefinition zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

7.2.2 RelayAuf der RegisterkarteNetzwerkdienste >DHCP>Relay können Sie ein DHCP-Relaykonfigurieren.Der DHCP-Dienst wird von einem separaten DHCP-Server bereitgestellt unddie UTM fungiert alsRelay.DasDHCP-Relay kann zur Weiterleitung von DHCP-Anfragen und-Antworten über verschiedene Netzwerksegmente hinweg verwendet werden. Bevor dieEinstellungen für dasDHCP-Relaydurchgeführt werden können, mussder separate DHCP-Server konfiguriert sein.

Um ein DHCP-Relay zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie auf der Registerkarte Relay die Option DHCP-Relay.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittDHCP-Relaykonfiguration kann nunbearbeitet werden.


2. Wählen Sie den DHCP-Server aus.

3. Wählen Sie eine Schnittstelle aus.DHCP-Anfragen, die über diese Schnittstelle ankommen, werden an den gewähltenDHCP-Server weitergeleitet.



7.2.3 Statische ZuordnungenAuf der RegisterkarteNetzwerkdienste >DHCP>Statische Zuordnungen können Siestatische Zuordnungen zwischen Clients und IP-Adressen für einige oder alle Clients erstellen.Dazu benötigen Sie einen konfigurierten DHCP-Server und, je nach der IP-Version desDHCP-Servers, die MAC-Adresse der Netzwerkkarte desClients (bei IPv4) oder denDHCP Unique Identifier (DUID) desClients (bei IPv6).

Hinweis –Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen ausdemDHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dassdiestatisch zugeordnete Adresse nicht ausdemDHCP-Pool stammt.ZumBeispiel könnte diestatische Zuordnung von 192.168.0.200darin resultieren, dass zweiSysteme dieselbe IP-Adresse erhalten, wenn der DHCP-Pool192.168.0.100– 192.168.0.210umfasst.

Um eine statische Client/IP-Zuordnung zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Statische Zuordnungen auf Neue DHCP-Zuordnung.DasDialogfenster Neue Zuordnung erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:DHCP-Server:Geben Sie den DHCP-Server ein, der für die statische Zuordnungverwendet werden soll.

MAC-Adresse (nur bei IPv4 DHCP-Server): Geben Sie dieMAC-Adresse der Client-Netzwerkkarte ein.DieMAC-Adressen werden gewöhnlich in sechsGruppen von je zweidurch Doppelpunkt getrennte Hexadezimalziffern besteht (z. B. 00:04:76:16:EA:62).




DUID-Adresse (nur bei IPv6 DHCP-Server): Geben Sie die DUID desClients ein.BeiWindows-Betriebssystemen finden Sie sie beispielsweise imWindowsRegistry:HKEY_LOCAL_

MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

Bitte beachten Sie, dassSie zweiHexadezimalzahlen jeweils durch einen Doppelpunkttrennenmüssen, z. B. 00:01:00:01:13:30:65:56:00:50:56:b2:07:51).

IPv4/IPv6-Adresse: Tragen Sie die IP-Adresse für den Client ein. Die IP-AdressemussimNetzwerkbereich der internen Netzwerkkarte liegen.


3. Klicken Sie auf Speichern.Die neue Zuordnung wird in der ListeStatische Zuordnungen angezeigt.

Um eine statische Zuordnung zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

7.2.4 OptionenAuf der RegisterkarteNetzwerkdienste >DHCP>Optionen können Sie DHCP-Optionenkonfigurieren. DHCP-Optionen sind zusätzliche Konfigurationsparameter, die DHCP-Clientsvon einemDHCP-Server zur Verfügung gestellt werden.

Beispiel: Um einigen VoIP-Telefonen die erforderlichen Informationen von Ihren DHCP-Servern bereitzustellen, müssen Sie auf dieser Seite drei zusätzliche DHCP-Optionen erstellenund aktivieren:

l filename: Name der Boot-Datei.

l next-server: Name desTFTP-Servers, der die Boot-Datei bereitstellt.

l 4 (time-servers): IP-Adresse desZeitservers.

DHCP-Optionen können unterschiedlicheGeltungsbereiche aufweisen: Sie könnenbeispielsweise nur ausgewählten Hosts, nur von ausgewählten Servern oder sogar globalbereitgestellt werden. Daher ist esmöglich, für denselben Host unterschiedliche Parameter zudefinieren.Einige DHCP-Optionen sind bereits auf der RegisterkarteDHCP>Serverfestgelegt, z. B. DNS-Server (Option 6). Im Falle von widersprüchlichen Parameterwertenwerden die Parameter demClient gemäß folgender Prioritäten bereitgestellt:


1. DHCP-Optionmit GeltungsbereichHost

2. DHCP-Optionmit GeltungsbereichMAC-Präfix

3. DHCP-Optionmit GeltungsbereichAnbieter-ID

4. DHCP-Optionmit GeltungsbereichServer

5. DHCP-Serverparameter (RegisterkarteDHCP>Server)

6. DHCP-Optionmit GeltungsbereichAllgemein

Hinweis –Mit der DHCP-Anfrage übermittelt ein DHCP-Client die Informationen darüber,welche DHCP-Optionen er verarbeiten kann. Daher stellt der DHCP-Server nur die DHCP-Optionen bereit, die der Client versteht, unabhängig davon, welcheOptionen hier definiertsind.

Um eine DHCP-Option anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Neue DHCP-Option.DasDialogfenster NeueDHCP-Option erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Adresstyp (nur, wenn IPv6 aktiviert ist): Wählen Sie die IP-Version, für die Sie dieDHCP-Option erstellen.

Code:Wählen Sie den Code für die DHCP-Option, die Sie erstellenmöchten.

Hinweis –Mit demEintrag filename können Sie eine Datei angeben, die in den DHCP-Client geladen und dort ausgeführt werden soll.Mit next-server definieren Sie denBoot-Server.Die nummerierten DHCP-Optionscodeswerden unter anderem inRFC 2132 definiert.

Name:Geben Sie einen aussagekräftigen Namen für dieseOption ein.Nur verfügbar,wenn Sie einen Codemit demKommentar (unknown) ausgewählt haben.

Typ: Nur verfügbar, wenn Sie einen Codemit demKommentar (unknown) ausgewählthaben.Wählen Sie den Datentyp der Option aus.Sie können zwischen den DatentypenIP-Adresse, Text undHexwählen. Geben Sie je nach ausgewähltemDatentyp diepassenden Daten in dasentsprechende Feld unten ein:



http://www.ietf.org/rfc/rfc2132.txt


Adresse:Wählen Sie den Host oder die Netzwerkgruppemit der/den IP-Adresse(n), die mit dieser DHCP-Option an den DHCP-Client übermittelt werden soll(en).

Text:Geben Sie den Text ein, der mit dieser DHCP-Option an den DHCP-Clientübermittelt werden soll.Mit demCodeDateiname können Sie den Dateinamenhier eingeben.

Hex:Geben Sie den Hexadezimalwert ein, der mit dieser DHCP-Option an denDHCP-Client übermittelt werden soll.Bitte beachten Sie, dassSie zweiHexadezimalzahlen jeweils durch einen Doppelpunkt trennenmüssen, z. B.00:04:76:16:EA:62).

Bereich: Legen Sie fest, unter welchen Bedingungen die DHCP-Option gesendetwerden soll.

l Allgemein: Die DHCP-Option wird von allen definierten DHCP-Servern an alleDHCP-Clients gesendet.

l Server:Wählen Sie im FeldServer die DHCP-Server, die die DHCP-Optionsenden sollen.In diesem Feld werden alle DHCP-Server angezeigt, die auf derRegisterkarteDHCP-Server definiert sind.

l Host:Wählen Sie im FeldHost die Hosts aus, denen die DHCP-Optionbereitgestellt werden soll. Im Feld werden alle Hosts angezeigt, die auf derRegisterkarteStatische Zuordnungen konfiguriert sind.

l MAC-Präfix:Geben Sie einMAC-Präfix ein. Die DHCP-Option wird allen DHCP-Clientsmit passender MAC-Adresse bereitgestellt.

l Anbieter-ID:Geben Sie eine Anbieter-ID oder dasPräfix einer Anbieter-ID ein.Die DHCP-Option wird allen DHCP-Clients, auf die diese Zeichenfolge zutrifft,bereitgestellt.


3. Klicken Sie auf Speichern.Die neue DHCP-Option wird in der ListeDHCP-Optionen angezeigt und ist sofort aktiv.

Um eine DHCP-Option zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.


7.2.5 IPv4-Lease-TabelleWenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adressemehr,sondern borgt (engl. lease) sich diese vomDHCP-Server. Dieser erteilt demClient dieBerechtigung, die IP-Adresse für einen gewissen Zeitraum zu verwenden.

Die Lease-Tabelle auf der RegisterkarteNetzwerkdienste >DHCP> IPv4-Lease-Tabelle zeigtdie aktuellen IP-Adresszuweisungen desDHCP-Servers, einschließlich Informationen überden Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.

Statische Zuordnung hinzufügenSie können einen vorhandenen Lease alsVorlage für eine neue statischeMAC/IP-Zuordnungverwenden, indemSie auf die SchaltflächeNeue Zuordnung in der SpalteStatischeZuordnung hinzufügen klicken. Gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Zuordnung.DasDialogfenster Neue Zuordnungwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:MAC-Adresse (optional): Ändern Sie dieMAC-Adresse nur, wenn Sie die statischeZuordnung einem anderen Host als dem gewählten zuweisen wollen.

IPv4-Adresse: Ändern Sie die IP-Adresse auf eine Adresse außerhalb desDHCP-Pool-Bereichs.


DNS-Zuordnung erstellen (optional): Wählen Sie die Option, um automatisch einestatische DNS-Zuordnung für den Host zu erstellen (sieheNetzwerkdienste >DNS>Statische Einträge).Wenn Sie einenHostnamen eingeben, wird die Zuordnung ihnverwenden.

Netzwerkhostobjekt anlegen (optional): Wählen Sie dieseOption, um automatischein Hostobjekt anzulegen (sieheDefinitionen &Benutzer >Netzwerkdefinitionen).WennSie einenHostnamen angeben, wird er der Name desObjekts.

Hostname (optional): Der Übersichtlichkeit halber sollten Sie einen Namen für den Hostangeben. Andernfallswird dasObjekt als [unknown] aufgeführt.





Hinweis –Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie die IP-Adresse ändern, sodass sie nicht mehr im DHCP-Pool-Bereich liegt. Wenn Sie die IP-Adresse ändern, wird sich die IP-Adresse desClients jedoch nicht sofort ändern, sondernerst, wenn er dasnächsteMal versucht, seinen Lease zu erneuern.

7.2.6 IPv6-Lease-TabelleWenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adressemehr,sondern borgt (engl. lease) sich diese vomDHCP-Server. Dieser erteilt demClient dieBerechtigung, die IP-Adresse für einen gewissen Zeitraum zu verwenden.

Die Lease-Tabelle auf der RegisterkarteNetzwerkdienste >DHCP> IPv6-Lease-Tabelle zeigtdie aktuellen IP-Adresszuweisungen desDHCP-Servers, einschließlich Informationen überden Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.

Hinweis – Leases, die über Präfix-Bekanntmachungen vergeben wurden, werden in derTabelle nicht aufgeführt.

Statische Zuordnung hinzufügenSie können einen vorhandenen Lease alsVorlage für eine neue statischeMAC/IP-Zuordnungverwenden, indemSie auf die SchaltflächeNeue Zuordnung in der SpalteStatischeZuordnung hinzufügen klicken. Gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Zuordnung.DasDialogfenster Neue Zuordnungwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:DUID-Adresse (optional): Ändern Sie die DUID-Adresse nur, wenn Sie die statischeZuordnung einem anderen Host als dem gewählten zuweisen wollen.

IPv6-Adresse: Ändern Sie die IP-Adresse auf eine Adresse außerhalb desDHCP-Pool-Bereichs.


DNS-Zuordnung erstellen (optional): Wählen Sie die Option, um automatisch einestatische DNS-Zuordnung für den Host zu erstellen (sieheNetzwerkdienste >DNS>


Statische Einträge).Wenn Sie einenHostnamen eingeben, wird die Zuordnung ihnverwenden.

Netzwerkhostdefinition anlegen (optional): Markieren Sie dasAuswahlkästchen, umautomatisch eine Netzwerkdefinition für dasHostobjekt anzulegen (sieheDefinitionen &Benutzer >Netzwerkdefinitionen).Wenn Sie einenHostnamen angeben, wird er derName desObjekts.

Hostname (optional): Der Übersichtlichkeit halber sollten Sie einen Namen für den Hostangeben. Andernfallswird dasObjekt als [unknown] aufgeführt.


Hinweis –Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie die IP-Adresse ändern, sodass sie nicht mehr im DHCP-Pool-Bereich liegt. Wenn Sie die IP-Adresse ändern, wird sich die IP-Adresse desClients jedoch nicht sofort ändern, sondernerst, wenn er dasnächsteMal versucht, seinen Lease zu erneuern.

7.3 NTPImMenüNetzwerkdienste >NTPwird der NTP-Server für die angeschlossenen Netzwerkekonfiguriert.DasNetworkTime Protocol (NTP) ist ein Protokoll, dasUhren von Computer-Systemen über IP-Netzwerke synchronisiert.Anstatt nur die Zeit von SophosUTM zusynchronisieren – diese Funktion wird auf der RegisterkarteVerwaltung >Systemeinstellungen>Zeit und Datum eingestellt – können Sie bestimmten Netzwerken explizit erlauben, diesenSynchronisierungsdienst ebenfalls zu verwenden.

Um die Benutzung von NTP-Zeitsynchronisierung zu ermöglichen, gehen Sie folgendermaßenvor:

1. Aktivieren Sie den NTP-Server.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

2. Wählen Sie Zugelassene Netzwerke aus.Wählen Sie die Netzwerke aus, die Zugriff auf den NTP-Server haben sollen.



7 Netzwerkdienste 7.3 NTP

8 Network ProtectionIn diesemKapitelwird beschrieben, wie Sie die grundlegenden Network-Protection-Funktionen von SophosUTM konfigurieren.Die SeiteNetwork-Protection-Statistik imWebAdmin zeigt einen Überblick über Ereignisse im Angriffschutzsystem sowie überverworfene Datenpakete für Quell- und Zielhosts.Jeder der Abschnitte enthält einenDetails-Link.Ein Klick auf den Link leitet Sie zur entsprechenden Seite desBerichte-BereichsdesWebAdmin weiter, wo Sie weitere statistische Informationen finden können.


l Firewall

l NAT (Netzwerkadressumsetzung)

l Angriffschutz

l Server-Lastverteilung

l VoIP (Voice over IP)

l Erweiterte Einstellungen

8.1 FirewallImMenüNetworkProtection >Firewall können Sie Firewallregeln für dasGatewaydefinieren.Allgemein gesagt ist die Firewall der zentrale Teil desGatewaysund dient in einemNetzwerkdazu, Verbindungen zu verhindern, die von der Sicherheitsrichtlinie verboten sind.DieStandardrichtlinie von SophosUTM besagt, dassder gesamte Netzwerkverkehr blockiert undprotokolliert wird. Ausnahmen stellen automatisch generierte Regelwerke dar, die von anderenSoftwarekomponenten desGatewaysbenötigt werden, um funktionieren zu können.Dieseautomatisch generierten Regeln werden jedoch auf der Registerkarte Firewall >Regeln nichtangezeigt.Diese Sicherheitsrichtlinie erfordert, dassSie explizite Regeln für Netzwerkverkehranlegen, der dasGatewaypassieren darf.

8.1.1 RegelnAuf der RegisterkarteNetworkProtection >Firewall >Regelnwird dasFirewallregelwerkverwaltet. Alle neu definierten Firewallregeln sind direkt nach der Erstellung standardmäßig

8.1 Firewall 8 Network Protection

deaktiviert.Aktivierte Firewallregeln werden der Reihe nach angewandt, bis die erste Regelzutrifft. Die Reihenfolge der Abarbeitung richtet sich dabei nach der Positionsnummer, d. h.wenn Sie die Reihenfolge der Regeln ändern, ändern Sie gleichzeitig die Reihenfolge derAbarbeitung.

Warnung –Sobald eine Firewallregel zutrifft, werden die nachfolgenden Regeln nicht mehrbeachtet. Die Reihenfolge ist daher sehr wichtig.Setzen Sie nie eine Regelmit den EinträgenAny (Quelle) –Any (Dienst) –Any (Ziel) – Zulassen (Aktion) an den Beginn IhresRegelwerks,da diese Regel alle Pakete in beide Richtungen durch dasGateway lassen würde, ohnenachfolgende Regeln zu beachten.

Um eine Firewallregel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Regeln auf Neue Regel.DasDialogfenster NeueRegel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Gruppe: DieOptionGruppe ist nützlich, da Firewallregeln zur besseren ÜbersichtlichkeitdesFirewallregelwerks zu logischenGruppen zusammengefasst werden können. DieZugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinenEinflussauf die Abarbeitung der Regel im Regelwerk.

Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummernhaben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen.Sobald eine Regel zutrifft, werden Regelnmit einer höheren Nummer nicht mehrabgeglichen.

Quellen: Fügen Sie Netzwerkdefinitionen der Quelle hinzu, die angeben, von welchemHost/welchen Hosts oder Netzwerken die Pakete stammen.

Dienste:Fügen Sie Dienstdefinitionen zur Beschreibung der Protokolle hinzu und beiTCPoder UDPdie Quell- und Zielports der Pakete.

Ziele: Fügen Sie die Netzwerkdefinition desZiels hinzu, die Zielhost(s) oderZielnetzwerk(e) der Pakete angibt.

Hinweis –Wenn Siemehr als eine Quelle, einen Dienst oder ein Ziel auswählen, giltdie Regel für alle möglichenQuelle-Dienst-Ziel-Kombinationen. Eine Regelmit zwei


Quellen, zweiDiensten und zweiZielen entspricht beispielsweise acht individuellenRegeln: von jeder Quelle an jedesZiel über beide Dienste.

Aktion: Die Aktion, die angibt, wiemit Datenverkehr verfahren wird, auf den die Regelzutrifft. Die folgenden Aktionen können ausgewählt werden:

l Zulassen: Die Verbindung wird zugelassen und Datenverkehr wirdweitergeleitet.

l Verwerfen: Alle Pakete, die diese Bedingung erfüllen, werden ohneRückmeldung an den Absender verworfen (engl. drop silently).

l Ablehnen: Verbindungsanfragen, die diese Bedingung erfüllen, werdenabgewiesen.Der Absender erhält eine entsprechende ICMP-Nachricht.

Zeitraum: Standardmäßig ist keine Zeitraumdefinition ausgewählt. Dasbedeutet, dassdie Regel immer gültig ist. Wenn Sie eine Zeitraumdefinition auswählen, wird die Regelnur innerhalb der Zeitspanne gültig, die durch diese Zeitraumdefinition festgelegtist.Weitere Informationen finden Sie unter Zeitraumdefinitionen.

Verkehr protokollieren:Wenn Sie dieseOption wählen, wird die Protokollierungaktiviert und Pakete, die auf Regeln zutreffen, werden im Firewallprotokollmitgeschrieben.


3. Klicken Sie auf Speichern.Die neue Regelwird in der ListeRegeln angezeigt.

4. Aktivieren Sie die Regel.Aktivieren Sie die Regel durch einen Klick auf die Statusampel.

Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Live-Protokoll öffnen: Über diese Schaltfläche wird ein Pop-up-Fenster mit einemEchtzeit-Protokoll der gefilterten Pakete geöffnet. Das sich regelmäßig aktualisierende Fenster zeigt dieaktuelle Netzwerkaktivität. Die Hintergrundfarbe gibt an, welche Aktion angewendet wurde.

l Rot: DasPaket wurde verworfen (drop).

l Gelb: DasPaket wurde abgelehnt (reject).


8 Network Protection 8.1 Firewall


l Grün: DasPaket wurde zugelassen (allow).

l Grau: Die Aktion konnte nicht bestimmt werden.

DasLive-Protokoll enthält auch Informationen darüber, welche Firewallregel dafür gesorgt hat,dassein Paket abgelehnt wurde.Solche Informationen sind wichtig für die Fehlersuche imRegelwerk.Mit der Suchfunktion können Sie dasFirewallprotokoll nach spezifischen Einträgendurchsuchen.Die Suchfunktion erlaubt es sogar, Ausdrücke auszuschließen, indemSie einMinus vor den Ausdruck schreiben, z. B. -WebAdmin, wodurch alle Zeilen ausgeblendetwerden, die diesen Ausdruckenthalten.

Durch die FunktionAutoscroll rücken die Zeilen auf, wenn neue hinzukommen, wodurch imFenster immer die jüngste Regelverletzung sichtbar wird, wodurchmanuellesBlättern entfällt.

Untenstehend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall:

l Verworfene Broadcasts: Alle Broadcastswerden standardmäßig verworfen. DieseAktion wird auch nicht protokolliert (weitere Informationen hierzu unter Erweitert). Diesist für NetBIOS-Netzwerke (z. B. Microsoft-Windows-Betriebssysteme) mit vielenComputern hilfreich, da die Broadcasts dasFirewallprotokoll schnell volllaufenlassen.Um eine Regel für dasVerwerfen von Broadcastsmanuell zu definieren,gruppieren Sie die Definitionen der Broadcast-Adressen aller angeschlossenenNetzwerke zusammen und fügen Sie eine Definition „globaler_broadcast“ von255.255.255.255/255.255.255.255hinzu. Fügen Sie dann eine Regel hinzu, dieallen Verkehr dieser Adressen verwirft, und platzieren Sie die Regel ganzoben in IhrerFirewall-Konfiguration. In Netzwerkenmit viel Broadcast hat dasauch positiveAuswirkungen auf die Systemleistung.

l IDENT-Verkehr ablehnen:Wenn Sie den IDENT-Reverse-Proxynicht nutzenmöchten, können Sie Datenpakete an den Port 113 (IDENT) des internen Netzwerksablehnen. Dies kann beiDiensten, die IDENT verwenden (z. B. FTP, SMTPund IRC),längere Zeitüberschreitungen verhindern.

Hinweis –Bei der Nutzung vonMaskierung (engl. masquerading) werden die IDENT-Anfragen für die maskierten Netzwerke auf denMaskierungsschnittstellen ankommen.

l NAT verändert die Adressen der Datenpakete und hat somit Auswirkungen auf dieFirewall-Funktionalität.l DNAT wird vor der Firewall ausgeführt. Die Firewall bearbeitet daher die bereits

umgeschriebenen Datenpakete. Dasmüssen Sie bedenken, wenn Sie Regeln fürDNAT-bezogene Dienste anlegen.


l SNAT undMaskierung werden nach der Firewall ausgeführt. Die Firewallbearbeitet daher noch die Datenpaketemit der originalenQuelladresse.

Mit den Funktionen im Kopfbereich der Tabelle können Firewallregeln nach bestimmtenKriterien gefiltert und so übersichtlich dargestellt werden.Wenn Sie Gruppen angelegt haben,können Sie eine Gruppe über die Auswahlliste wählen und sehen so alle Regeln, die zu dieserGruppe gehören. Mit demSuchfeld können Sie nach Stichworten oder auch nur Wortteilensuchen, zu denen die Regeln angezeigt werden sollen.Die Suche umfasst Quelle, Ziel, Dienst,Gruppenname und Kommentar einer Regel.

8.1.2 Country-BlockingAuf der RegisterkarteNetworkProtection > Firewall >Country-Blocking können SieDatenverkehr ausbestimmten Ländern bzw. Datenverkehr, der für bestimmte Länderbestimmt ist, blockieren. Sie können entweder einzelne Länder oder ganze Kontinenteblockieren.DasBlockieren erfolgt auf Basis der GeoIP-Informationen in der IP-Adresse desHosts.

Hinweis –Country-Blocking wird augenblicklich nicht für IP-Version 6 unterstützt.

UmCountry-Blocking zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Country-Blocking.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der Abschnitt Länder kann nun bearbeitet werden.

2. Wählen Sie eine Gegend, die blockiert werden soll.Wählen Sie eine oder mehrere Gegenden, deren ein- und ausgehender Datenverkehrvollständig blockiert werden soll. Länder wählen Sie aus, indemSie dasAuswahlkästchen davor markieren; ganze Kontinente wählen Sie aus, indemSie dasAuswahlkästchen in der Kopfzeile einesKontinent-Abschnittsmarkieren.

3. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.Datenverkehr ausoder zu einer gewähltenGegend wird nun blockiert.

Tipp –Sie können einen Kontinent-Abschnitt zuklappen, indemSie dasFenster-Symbol inder rechten oberen Ecke der Kopfzeile anklicken.Klicken Sie dasFenster-Symbol erneut an,um den Kontinent-Abschnitt wieder aufzuklappen.




8.1.3 ICMPAuf der RegisterkarteNetworkProtection >Firewall > ICMP können Sie die Einstellungen fürdas Internet ControlMessage Protocol (ICMP) konfigurieren. ICMPdient dazuverbindungsrelevante Statusinformationen zwischen Hosts auszutauschen. Darüber hinaus isteswichtig, um die Erreichbarkeit desNetzwerks zu testen und zur Fehlerbehebung beiNetzwerkproblemen.

DasErlauben von allem ICMP-Verkehr auf dieser Registerkarte hebt eventuelle ICMP-Einstellungen in der Firewall auf.Wenn Sie ICMP-Verkehr nur für bestimmte Hosts oderNetzwerke erlauben wollen, sollten Sie besser die Registerkarte Firewall >Regeln verwenden.

Allgeme ine ICMP-Einste llungenDie folgenden allgemeinen ICMP-Optionen sindmöglich:

l ICMP auf Gateway zulassen: DasGatewayantwortet auf alle ICMP-Pakete.

l ICMP über Gateway zulassen: BeiAuswahl dieser Option werden ICMP-Pakete überdasGatewayweitergeleitet, wenn die Pakete auseinem internen Netzwerk stammen,also einemNetzwerkohne Standard-Gateway.

l ICMP-Umleitungen protokollieren: Die ICMP-Umleitungen (engl. redirects) werdenvon Routern gegenseitig verschickt, um eine bessere Route zu einemPaketziel zufinden. Router ändern daraufhin ihre Routing-Tabellen und leiten dasPaket auf dervermeintlich besseren Route zum gleichen Zielweiter.Wenn Sie dieseOption wählen,werden alle ICMP-Umleitungen im Firewallprotokoll protokolliert.

Ping-Einste llungenDasProgrammPing ist ein Computer-Netzwerkwerkzeugmit demman testen kann, ob einbestimmter Host über ein IP-Netzwerkerreichbar ist.Ping funktioniert so, dasses ICMP-Echo-Anfrage-Pakete an den Zielhost schickt und auf Antworten in Form von ICMP-Echo-Antwort-Paketen lauscht. AusZeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer desPaketumlaufs und die Paketverlustrate zwischen den Hosts.

Die folgenden Ping-Optionen sindmöglich:

l Gateway ist ping-sichtbar: DasGatewayantwortet auf ICMP-Echo-Antwort-Pakete.Diese Funktion ist standardmäßig eingeschaltet.


l Vom Gateway pingen: Der Ping-Befehl kann auf demGatewayverwendet werden.Diese Funktion ist standardmäßig eingeschaltet.

l Gateway leitet Pings weiter: DasGateway leitet ICMP-Echo-Anfrage- undEcho-Antwort-Pakete weiter, die auseinem internen Netzwerk stammen, also einemNetzwerkohne Standard-Gateway.

Traceroute -E inste llungenDasProgramm Traceroute ist ein Computer-Netzwerkwerkzeug zur Bestimmung der Route,die von Paketen in einem IP-Netzwerkgenommenwerden. Es listet die IP-Adressen derRouter auf, über die das versendete Paket transportiert wurde. Sollte der Pfad derDatenpakete kurzfristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresseangezeigt. Nach einer bestimmten Zahl an Fehlversuchen wird die Überprüfung abgebrochen.Der Abbruch einer Überprüfung kann viele Gründe haben, der wahrscheinlichste ist jedoch,dasseine Firewall im Netzwerkpfad Traceroute-Pakete blockiert.

Die folgenden Traceroute-Optionen sindmöglich:

l Gateway ist traceroute-sichtbar: DasGatewayantwortet auf Traceroute-Pakete.

l Gateway leitet Traceroute weiter: DasGateway leitet Traceroute-Pakete weiter, dieauseinem internen Netzwerk stammen, also einemNetzwerkohne Standard-Gateway.

Hinweis –Darüber hinauswerden auch die UDP-Ports für UNIX-Traceroute-Anwendungen geöffnet.

8.1.4 ErweitertAuf der RegisterkarteNetworkProtection >Firewall >Erweitert können Sie erweiterteEinstellungen für die Firewall und die NAT-Regeln vornehmen.

Helfe r für Verbindungsver fo lgungSogenannte „Helfer für die Verbindungsverfolgung“ aktivieren Protokolle, die mehrereNetzwerkverbindungen nutzen, um auf Firewall- oder NAT-Regeln zugreifen zu können.AlleVerbindungen, die per Firewall abgewickelt werden, werden durch dasKernelmodulConntrackmitverfolgt: ein Prozess, der besser alsConnection Tracking (dt.Verbindungsverfolgung) bekannt ist.Einige Protokolle, wie FTP und IRC, benötigenmehrereoffene Ports und erfordern deshalb spezielle Verbindungsverfolgungshelfer, damit sie korrektfunktionieren. Diese Helfer sind spezielle Kernelmodule, die dabei helfen, zusätzliche




Verbindungen zu identifizieren, indem sie diese als zur Eingangsverbindung zugehörigmarkieren. Das tun sie, indem sie die zugehörigen Adressen ausdemDatenstrom auslesen.

Damit z. B. eine FTP-Verbindung korrekt funktioniert, mussein FTP-Conntrack-Helferausgewählt werden. Der Grund hierfür liegt in den Eigenheiten desFTP-Protokolls, welcheszunächst eine einzelne Verbindung, die FTP-Kontrollverbindung, aufbaut. Sobald Befehle überdiese Verbindung laufen, werden andere Ports geöffnet, um den Rest der Daten zutransportieren, die zu dem jeweiligen Befehl gehören (z. B. Downloadsoder Uploads). DasProblem hierbei ist, dassdasGatewaynichts von den Extraportsweiß, weil sie dynamischausgehandelt wurden. AusdiesemGrund kann dasGatewayauch nicht wissen, dassesdemServer erlauben soll, sichmit demClient über diese spezifischen Ports (aktive FTP-Verbindungen) zu verbinden, oder dassesClients ausdem Internet erlauben soll, sichmit demFTP-Server zu verbinden (passive FTP-Verbindungen).

Hier wird der FTP-Conntrack-Helfer aktiv. Dieser spezielle Helfer wird zurVerbindungsverfolgung hinzugefügt und durchsucht dann die Kontrollverbindung(normalerweise auf Port 21) nach spezifischen Informationen.Wenn er auf korrekteInformationen stößt, fügt er diese spezifischen Informationen zu einer Liste erwarteterVerbindungen hinzu, sodass sie als zugehörig zur Kontrollverbindung gelten.Daswiederumermöglicht esdemGateway, sowohl die FTP-Eingangsverbindung als auch die zugehörigenVerbindungen richtig zu verfolgen.

Verbindungsverfolgungshelfer stehen für die folgenden Protokolle zur Verfügung:

l FTP

l IRC (für DCC)

l pptp

l TFTP

Hinweis –DasHelfer-ModulPPTPwird benötigt, wenn Sie PPTP-VPN-Dienste auf demGatewayanbieten wollen. PPTP-Verbindungen können sonst nicht aufgebaut werden.DerGrund hierfür ist, dassdasProtokoll PPTP zuerst eine Verbindung auf TCP-Port 1723aufbaut, bevor es zur Verbindungmit demProtokollGenericRouting Encapsulation (GRE)wechselt, dasein eigenständiges IP-Protokoll ist. Wenn dasHelfer-ModulPPTPnichtgeladen ist, werden alle GRE-Pakete vomGatewayblockiert. FallsSie aber dasHelfer-ModulPPTPnicht ladenmöchten, können Sie Firewallregelnmanuell hinzufügen, sodassGRE-Pakete für ein- und ausgehenden Datenverkehr zulässig sind.


Protoko llhandhabungTCP-Fensterskalierung ermöglichen: DasTCPReceiveWindow (RWin) gibt vor (inBytes), welche Datenmenge ein Systemwährend einer Verbindung puffern kann. DerAbsender kann nur diese Datenmenge versenden, danachmusser auf eine Bestätigung undeine Fensteraktualisierung desEmpfängerswarten. Für eine effizientere Nutzung vonNetzwerkenmit hoher Bandbreite kann allerdingseine größere Fenstergröße verwendetwerden. Allerdings kontrolliert dasTCP-Fenstergrößenfeld den Datenflussund ist auf zweiByte beschränkt bzw. eine Fenstergröße von 65535 Byte. Da dasGrößenfeld nicht erweitertwerden kann, wird ein Skalierungsfaktor verwendet. TCPwindow scaling (TCP-Fensterskalierung) ist eine Kerneloption desTCP/IP-Stacksund kann dazu verwendetwerden, die maximale Fenstergröße von 65535 Byte auf ein Gigabyte zu erweitern. DieFensterskalierung ist standardmäßig aktiviert. Da einige Netzwerkgeräte wie Router,Lastverteiler, Gatewaysusw. die Fensterskalierung immer noch nicht durchgehendunterstützen, kann esnotwendig sein, sie auszuschalten.

Strikte TCP-Sitzungsverwaltung verwenden: Standardmäßig kann dasSystemvorhandene TCP-Verbindungen aufsammeln, die in der Verbindungsverfolgungstabelleaufgrund einesNeustarts nicht verwaltet werden.Interaktive Sitzungen, wie z. B. SSH undTelnet werden daher nicht unterbrochen, wenn eine Schnittstelle vorübergehend nichterreichbar ist. Sobald dieseOption aktiviert ist, wird immer ein neuer 3-Wege-Handshakenotwendig sein, um solche Sitzungen zu reaktivieren. Eswird empfohlen, dieseOptionausgeschaltet zu lassen.

Paketlänge validieren:Wenn dieseOption aktiviert ist, prüft die Firewall die Datenpakete aufdie minimale Länge, wenn dasProtokoll ICMP, TCPoder UDP verwendet wird.Wenn dieDatenpakete kürzer als die Minimalwerte sind, werden sie blockiert und eswird ein Eintrag imFirewallprotokoll angelegt.

Täuschungsschutz: DieOption Täuschungsschutz (engl. spoof protection) iststandardmäßig ausgeschaltet. Sie können zwischen den folgenden Einstellungen wählen:

l Normal: DasGatewayverwirft und protokolliert alle Datenpakete, die alsAbsenderadresse (source IP) entweder die gleiche IP-Adresse enthalten wie dieSchnittstelle, oder Datenpakete, die auf einer Schnittstelle ankommen, welche eineQuell-IP-Adresse einesNetzwerksbesitzt, die einemNetzwerkauf einer anderenSchnittstelle zugeordnet ist.

l Strikt:Mit dieser Einstellung werden darüber hinausalle Datenpakete verworfen undprotokolliert, die zwar die richtige Zieladresse (destination IP) für eine bestimmte



8.2 NAT 8 Network Protection

Schnittstelle im Netzwerkenthalten, allerdingsüber eine Schnittstelle, der sie nichtzugeordnet sind, im Netzwerkeintreffen. Beispielsweise werden Pakete verworfen, dievon einem externen Netzwerkan eine IP-Adresse der internen Schnittstelle geschicktwurden, die aber nur dafür vorgesehen ist, Pakete ausdem internen Netzwerkentgegenzunehmen.

Protoko llie rungsoptionenFTP-Datenverbindungen protokollieren: Die UTM protokolliert alle Datenübertragungen(FTP-Datei- und Verzeichnisauflistungen). Die Protokolleinträge werdenmit demAusdruck„FTP data“ versehen.

Eindeutige DNS-Anfragen protokollieren: Die UTM protokolliert alle ausgehendenAnfragen an DNS-Server sowie deren Ergebnis. Die Protokolleinträge werdenmit demAusdruck „DNS request“ versehen.

Verworfene Broadcasts protokollieren: Standardmäßig verwirft die Firewall alleBroadcasts, die darüber hinausauch nicht protokolliert werden.Wenn Sie die Broadcastsjedoch im Firewall-Protokoll benötigen, z. B. für Prüfungszwecke, wählen Sie die Option aus.

8.2 NATImMenüNetworkProtection >NAT werden die NAT-Regeln desGatewaysdefiniert undverwaltet.NetworkAddressTranslation (NAT) ist ein Verfahren, mit dem die Quell- und/oderZieladressen von IP-Paketen umgeschrieben werden, wenn sie einen Router oder einGatewaypassieren. Diemeisten Systeme benutzen NAT, damit mehrere Hosts in einemprivaten Netzwerkden Internetzugang über eine einzige öffentliche IP-Adresse nutzenkönnen.Wenn ein Client ein IP-Paket an den Router schickt, wandelt NAT dieAbsenderadresse in eine andere, öffentliche IP-Adresse um, bevor esdasPaket ins Internetweiterleitet. Kommt eine Antwort auf diesesPaket zurück, wandelt NAT die öffentliche Adressewieder in die ursprüngliche IP-Adresse um und leitet dasPaket an den Client weiter.Abhängigvon den vorhandenen Systemressourcen ist NAT in der Lage, beliebig große interneNetzwerke zu verwalten.

8.2.1 MaskierungMaskierung (engl. masquerading) ist eine Sonderform derQuellnetzwerkadressumsetzung(engl. Source NetworkAddressTranslation, SNAT), bei der viele private IP-Adressen(typischerweise Ihr LANmit privatemAdressraum) auf eine einzige öffentliche IP-Adresse


(typischerweise Ihre externe Schnittstelle zum Internet) umgeschrieben werden, d. h. Sieverbergen interne IP-Adressen und Netzwerkinformationen nach außen. SNAT istallgemeiner, da esermöglicht, mehrere Quelladressenmehreren Zieladressen zuzuordnen.

Hinweis –DieQuelladresse wird nur umgesetzt, wenn dasPaket dasGatewayüber dieangegebene Schnittstelle verlässt. DesWeiteren ist die Quelladresse immer die aktuelle IP-Adresse dieser Schnittstelle, d. h. diese Adresse kann dynamisch sein.

Um eineMaskierungsregel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Maskierung auf Neue Maskierungsregel.DasDialogfenster NeueMaskierungsregel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Netzwerk:Wählen Sie das zumaskierende (interne) Netzwerkaus.

Schnittstelle:Wählen Sie die (externe) Netzwerkkarte aus, die mit dem Internetverbunden ist.

Benutze Adresse:Wenn der Schnittstelle, die Sie gewählt haben, mehr als eine IP-Adresse zugewiesen ist (sieheSchnittstellen &Routing >Schnittstellen >ZusätzlicheAdressen), können Sie hier bestimmen, welche IP-Adresse für die Maskierungverwendet werden soll.


3. Klicken Sie auf Speichern.Die neueMaskierungsregelwird in der ListeMaskierung angezeigt.

4. Aktivieren Sie die Maskierungsregel.Aktivieren Sie dieMaskierungsregel durch einen Klick auf die Statusampel.


Hinweis –Damit von den Clients ausdem internen Netzwerkeine Verbindung zum Internetaufgebaut werden kann, müssen Sie für die Firewall entsprechende Regeln anlegen.

IPsec-Pakete sind vonMaskierungsregeln niemals betroffen. Um die Quelladresse von IPsec-Paketen umzusetzen, legen Sie eine Regel für SNAT oder VollesNAT an.


8 Network Protection 8.2 NAT


8.2.2 NATDNAT (Destination NetworkAddressTranslation, Zielnetzwerkadressumsetzung) undSNAT(Source NetworkAddressTranslation, Quellnetzwerkadressumsetzung) sind zwei spezielleFälle von NAT.Mit SNAT wird die IP-Adresse desHosts umgeschrieben, der die Verbindunginitiiert hat. DasGegenstückhierzu ist DNAT, dasdie Zieladresse der Datenpakete umschreibt.DNAT ist besonders nützlich, wenn ein internesNetzwerkprivate IP-Adressen verwendet undder Administrator einige Dienste von außen zugänglichmachen will.

Das lässt sich am besten anhand einesBeispiels verdeutlichen:EinWebserver mit der IP-Adresse 192.168.0.20, Port 80, der in einem privaten Netzwerkmit demAdressraum192.168.0.0/255.255.255.0steht, soll für Clients ausdem Internet erreichbar sein.Da derAdressraum 192.168. privat ist, können Internet-basierte ClientsPakete nicht direkt an denWebserver schicken.Sie können aber mit der externen (öffentlichen) Adresse der UTMkommunizieren.DNAT kann in diesem Fall Pakete an Port 80der Firewall annehmen und diesezum internenWebserver weiterleiten.

Hinweis - PPTP-VPN-Zugang ist nicht kompatibelmit DNAT.

ImGegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primärenNetzwerkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-Regel angegeben ist.

1:1-NAT ist ein Spezialfall von DNAT oder SNAT. In diesem Fallwerden sämtliche AdresseneinesNetzwerks1:1 in die Adressen einesanderen Netzwerksmit der gleichen Netzmaskeübersetzt. Die erste Adresse desursprünglichen Netzwerkswird also in die erste Adresse desanderen Netzwerksübersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kannentweder auf die Quell- oder die Zieladresse angewendet werden.

Hinweis –Der Port 443 (HTTPS) wird standardmäßig für dasBenutzerportal genutzt.WennSie den Port 443auf einen internen Server umleitenmöchten, müssen Sie den TCP-Port fürdasBenutzerportal auf einen anderenWert setzen (z. B. 1443). Das können Sie unterVerwaltung >Benutzerportal >Erweitert tun.

Da DNAT vor dem Firewalling angewendet wird, müssen Sie sicherstellen, dassentsprechende Firewallregeln gesetzt sind.Weitergehende Informationen finden Sie unterNetworkProtection >Firewall >Regeln.


Umeine NAT-Regel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.DasDialogfenster NeueNAT-Regel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Gruppe: Sie können verschiedene NAT-Regeln zuGruppen zusammenfassen.Dadurch erhöhen Sie die Übersichtlichkeit der NAT-Regeln. Eine Gruppe kann auseinerbeliebigen Zeichenfolge bestehen.


Regeltyp:Wählen Sie den NAT-Modusaus. Abhängig vom gewähltenModuswerdenverschiedeneOptionen angezeigt: Die folgendenModi sindmöglich:

l SNAT (Quelle):Ordnet die Quelladresse definierter IP-Pakete einer neuenQuelladresse zu. Dieser Dienst kann ebenfalls geändert werden.

l DNAT (Ziel):Ordnet die Zieladresse definierter IP-Pakete einer neuenZieladresse zu. Dieser Dienst kann ebenfalls geändert werden.

l 1:1-NAT (gesamte Netzwerke):Ordnet IP-Adressen einesNetzwerks1:1einem anderen Netzwerk zu. Die Regel gilt entweder für die Quell- oder dieZieladresse der definierten IP-Pakete.

l Volles NAT (Quelle und Ziel):Ordnet sowohl die Quell- als auch dieZieladresse definierter IP-Pakete einer neuenQuell- und einer neuen Zieladressezu. Der Quelldienst und der Zieldienst können ebenfalls geändert werden.

l Kein NAT: Bei dieser Option handelt es sich um eine Ausnahmeregel.Beispiel:Wenn für ein bestimmtesNetzwerkeine NAT-Regel existiert, können Sie eineKein NAT-Regel für bestimmte Hosts innerhalb diesesNetzwerks festlegen.Diese Hostswerden dann vomNAT ausgenommen.

Bedingung für Übereinstimmung:Wählen Sie Quell- und Zielnetzwerk, Quell- undZielhost sowie den Dienst, für die Sie Adressen übersetzenmöchten.

l Datenverkehrsquelle: Die ursprünglicheQuelladresse der Pakete. Dabei kannes sich entweder um einen einzelnen Host oder ein gesamtesNetzwerkhandeln.

l Datenverkehrsdienst: Der ursprüngliche Diensttyp desPakets, der ausQuell-und Zielports der Pakete sowie einemProtokoll besteht.


8 Network Protection 8.2 NAT


Hinweis –Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auchdie entsprechenden Adressen umgesetzt werden. DesWeiteren kann einDienst nur in einen Dienst mit dem gleichen Protokoll umgesetzt werden.

l Datenverkehrsziel: Die ursprüngliche Zieladresse der Pakete.Dabei kann essich entweder um einen einzelnen Host oder ein gesamtesNetzwerkhandeln.

Aktion: Wählen Sie denQuell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprünglichenIP-Paketdaten übersetzenmöchten.Die angezeigten Parameter hängen vomausgewähltenRegeltyp ab.

l Quelle ändern in (nur in denModiSNAT oder VollesNAT): Wählen Sie denQuellhost, also die neueQuelladresse der Pakete.

l Ziel ändern in (nur in denModiDNAT oder VollesNAT): Wählen Sie denZielhost, also die neue Zieladresse der Pakete.

l Dienst ändern in (nur in denModiDNAT,SNAT oder VollesNAT): Wählen Sieden neuen Dienst für die Pakete.Je nach ausgewähltemRegeltyp kann es sichhierbei um denQuell- bzw. Zieldienst handeln.

l 1:1-NAT-Modus (nur imModus1:1-NAT): Wählen Sie einen der folgendenModi:l Ziel zuordnen: Ändert die Zieladresse.

l Quelle zuordnen: Ändert die Quelladresse.

Hinweis –Siemüssen im FeldDatenverkehrsquelle ein ganzesNetzwerkeingeben, wenn Sie die Quelle zuordnenmöchten, oder im FeldDatenverkehrsziel, wenn Sie dasZiel zuordnenmöchten.

l Ziel (nur imModus1:1-NAT): Wählen Sie dasNetzwerk, in dasSie dieursprüngliche IP-Adresse übersetzenmöchten. Bitte beachten Sie, dassdieNetzmaske desursprünglichen Netzwerksmit der Netzmaske desübersetztenNetzwerksübereinstimmenmuss.

Automatische Firewallregel (optional): Wählen Sie dieseOption, um Firewallregelnautomatisch zu generieren, sodassder entsprechende Datenverkehr die Firewallpassieren kann.



3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Regel gilt für IPsec-Pakete (nur in denModiSNAT oder VollesNAT): Wählen SiedieseOption, wenn die Regel für Datenverkehr gelten soll, der von IPsec verarbeitetwird. DieseOption ist standardmäßig nicht ausgewählt, wodurch verhindert wird, dassIPsec-Verkehr von SNAT ausgeschlossen wird.

Initpakete protokollieren (optional): Wählen Sie dieseOption, umInitialisierungspakete einer Kommunikation insFirewall-Protokoll zu schreiben.Wannimmer eine NAT-Regel verwendet wird, werden Sie eineMeldung im Firewallprotokollmit folgendem Inhalt finden: „Connection using NAT“ (dt. Verbindung benutzt NAT).DieseOption funktioniert sowohl für zustandbehaftete (stateful) als auch zustandlose(stateless) Protokolle.

4. Klicken Sie auf Speichern.Die neue Regelwird in der ListeNAT angezeigt.

5. Aktivieren Sie die NAT-Regel.Aktivieren Sie die Regel durch einen Klick auf die Statusampel.


8.3 AngriffschutzImMenüNetworkProtection >Angriffschutzwerden die IPS-Regeln desGatewaydefiniert undverwaltet.DasAngriffschutzsystem (IPS, engl. Intrusion Prevention) erkennt Angriffsversucheanhand eines signaturbasierten IPS-Regelwerks. DasSystem analysiert den gesamtenDatenverkehr und blockiert Attacken automatisch, bevor diese das lokale Netzwerkerreichen.Dasbereits vorhandene Regelwerk und die Angriffsignaturen werden durch diePattern-Updates-Funktion aktualisiert.Neue IPS-Angriffsignaturen werden automatisch alsIPS-Regeln in das IPS-Regelwerk importiert.

8.3.1 AllgemeinAuf der RegisterkarteNetworkProtection >Angriffschutz>Allgemein können Sie dasAngriffschutzsystem (Intrusion Prevention System, (IPS) von SophosUTM aktivieren.

Um IPS zu aktivieren, gehen Sie folgendermaßen vor:


8 Network Protection 8.3 Angriffschutz

8.3 Angriffschutz 8 Network Protection

1. Aktivieren Sie das Angriffschutzsystem.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittAllgemeine IPS-Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:Lokale Netzwerke:Wählen Sie die Netzwerke aus, die vomAngriffschutzsystemüberwacht werden sollen. Falls kein Netzwerkausgewählt ist, wird IPS automatischwieder ausgeschaltet und kein Netzwerkverkehr überwacht.

Richtlinie:Wählen Sie die Sicherheitsrichtlinie aus, die von IPS verwendet werden soll,wenn eine IPS-Regel eine Angriffsignatur erkennt.

l Unbemerkt verwerfen: Die Datenpakete werden ohne weitereMaßnahmenverworfen.

l Verbindung beenden: An beide Verbindungspartner wird ein Paket geschickt,dasdie Verbindung beendet (RST bei TCP-Verbindungen und ICMPPortUnreachable für UDP-Verbindungen).

Hinweis –Standardmäßig istUnbemerkt verwerfen ausgewählt. Diese Einstellungsollte in der Regel nicht verändert werden, vor allem da ausPaketen zurVerbindungsbeendigungmutmaßliche Angreifer auch Informationen über dasGatewayziehen können.


Live -Protoko llDasAngriffschutz-Live-Protokoll dient zur Überwachung der gewählten IPS-Regeln.KlickenSie auf die Schaltfläche, um dasLive-Protokoll in einem neuen Fenster zu öffnen.

8.3.2 AngriffsmusterDie RegisterkarteNetworkProtection >Angriffschutz>Angriffsmuster enthält das IPS-Regelwerk, gruppiert nach üblichen Angriffsmustern. Die IPS-Angriffsmuster sind in folgendeGruppen unterteilt:


l Operating System Specific Attacks: Angriffe auf Betriebssystem-spezifischeSchwächen.

l Attacks Against Servers: Angriffe auf alle Arten von Servern (z. B.Webserver,Mailserver).

l Attacks Against Client Software: Angriffe auf Client-Software (z. B.Webbrowser,Multimedia-Player).

l Protocol Anomaly: Die Angriffsmuster sind auf Netzwerkanomalien ausgerichtet.

l Malware: Software, die darauf ausgelegt ist, in ein Computersystem einzudringen undihm zu schaden, ohne dassder Besitzer davon Kenntnis hat, z. B. Trojaner, DoS-Kommunikationswerkzeuge usw.

Um die Leistungsfähigkeit zu erhöhen, sollten Sie IPS-Angriffsmuster deaktivieren, die sich aufDienste oder Software beziehen, welche nicht in Ihrem lokalen Netzwerk vorkommen.Wennsich in Ihrem lokalen Netzwerk z. B. keinWebserver im Einsatz befindet, können Sie dieAuswahlHTTPServersaufheben.

Für jedeGruppe sind die folgenden Einstellungen verfügbar:

Aktion: Jede Regel einer Gruppe besitzt eine ihr zugewiesene Aktion. Sie können zwischenden folgenden Aktionen wählen:

l Verwerfen: Standardeinstellung.Wenn ein vermeintlicher Angriff festgestellt wird,werden die betroffenen Datenpakete verworfen.

l Warnung: ImGegensatz zuVerwerfenwird das kritische Datenpaket durch dasGatewaygelassen, aber eswird eineWarnmeldung in das IPS-Protokoll geschrieben.

Hinweis –Umdie Einstellungen für individuell erstellte IPS-Regeln zu ändern, verwendenSie auf der RegisterkarteAngriffschutz>Erweitert dasFeldGeänderte Regeln.Einedetaillierte Liste mit allen IPS-Regeln, die in SophosUTM9 verwendet werden, finden Sie aufder UTM-Website.

Extra-Warnungen:Wenn Sie dieseOption wählen, werden jeder IPS-Regel zusätzlicheRegeln hinzugefügt, die die IPS-Erkennungsrate erhöhen. Beachten Sie dabei, dassdiesezusätzlichen Regeln allgemeiner gefasst und vager sind als die expliziten IPS-Angriffsignaturenund dadurch sicherlich häufiger Alarme auslösen.AusdiesemGrund ist die voreingestellteAktionWarnung, welche nicht konfiguriert werden kann.

Benachrichtigen:Wenn Sie dieseOption wählen, wird für jedes IPS-Ereignis, das zu dieserGruppe gehört, eineMeldung an den Administrator geschickt.Beachten Sie, dassdie Nachricht



http://www.astaro.com/lists/ASGV7-IPS-rules.html



nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion imMenüManagement >Benachrichtigungen >Benachrichtigungen eingeschaltet und entsprechend konfigurierthaben. Darüber hinaushängt esebenfalls von den Einstellungen dort ab, ob es sich bei derBenachrichtigung um eine E-Mail oder SNMP-Trap handelt.Dabei kann esbis zu fünf Minutendauern, bevor die Änderungen an den Benachrichtigungseinstellungenwirksamwerden.

8.3.3 Anti-DoS/FloodingAuf der RegisterkarteAnti-DoS/Flooding können Sie die Konfiguration für den Schutz vorDenial-of-Service-Angriffen (DoS, dt. etwa Dienstverweigerung) undDistributed-Denial-of-Service-Angriffen (DDoS, dt. etwa Verteilte Dienstverweigerung) vornehmen.

Allgemein gesagt, zielen DoS- und DDos-Angriffe darauf ab, ein Computersystem für legitimeZugriffe unerreichbar zumachen. Im einfachsten Fall überflutet der Angreifer den Server mitsinnlosen Paketen, um diesen zu überlasten.Da für diese Angriffe eine große Bandbreiteerforderlich ist, verlegen sich immer mehr Angreifer auf sogenannteSYN-Flood-Attacken, dienicht darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen desServerszu blockieren.Zu diesem Zweckwerden sogenannte SYN-Paketemit einer oftmals gefälschtenQuelladresse an den TCP-Port desDienstesgeschickt. Auf dieseWeise wird der Serververanlasst, die Verbindung zur Hälfte zu öffnen, indem er TCP/SYN-ACK-Pakete an diegefälschte Adresse zurücksendet und auf ein Antwort-TCP/ACK-Paket desAbsenderswartet.Da die Absenderadresse gefälscht ist, wird diesesaber niemals kommen. Diese halboffenenVerbindungen sättigen die Anzahl der verfügbaren Verbindungen, die der Server eingehenkann, und hindern ihn daran, auf legitime Anfragen zu reagieren.

Solche Angriffe können abgewehrt werden, indem dieMenge der SYN- (TCP), UDP- undICMP-Pakete, die in dasNetzwerkgeschickt werden, über eine bestimmte Zeit begrenztwerden.

TCP-SYN-Flood-SchutzUmden TCP-SYN-Flood-Schutz zu aktivieren, gehen Sie folgendermaßen vor:

1. Wählen Sie auf der Registerkarte Anti-DoS/Flooding die Option VerwendeTCP-SYN-Flood-Schutz.

2. Nehmen Sie die folgenden Einstellungen vor:Modus: Die folgendenModi sindmöglich:


l Quell- und Zieladressen: In diesemModuswerden TCP-SYN-Paketezurückgewiesen, die sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adressebetreffen. Zuerst werden die SYN-Pakete nach der Quelladresse gefiltert. Wenndann noch zu viele Anfragen vorhanden sind, werden zusätzlich die SYN-Paketenach der Zieladresse gefiltert. Dieser Modus ist voreingestellt.

l Nur Zieladresse: In diesemModuswerden die TCP-SYN-Pakete nur abhängigvon der Ziel-IP-Adresse zurückgewiesen.

l Nur Quelladresse: In diesemModuswerden die TCP-SYN-Pakete nurabhängig von der Quell-IP-Adresse zurückgewiesen.

Protokollierung:Mit dieser Option können Sie den Protokollumfang einstellen. Diefolgenden Protokollierungsstufen sind verfügbar:

l Aus:Wählen Sie dieseOption, wenn keine Protokolle erstellt werden sollen.

l Begrenzt:Wählen Sie dieseOption, um pro Sekundemaximal fünf Pakete zuprotokollieren. Dieser Modus ist voreingestellt.

l Alles:Wählen Sie dieseOption, um alle SYN-Verbindungsversuche (TCP) zuprotokollieren. Beachten Sie, dassTCP-SYN-Flood-Angriffe schnell zu einer sehrumfangreichen Protokollierung führen können.

Quellpaketrate (Pakete/Sekunde):Geben Sie in dasEingabefeld diemaximaleAnzahl der Datenpakete pro Sekunde ein, die für Quell-IP-Adressen erlaubt sind.

Zielpaketrate (Pakete/Sekunde):Geben Sie in dasEingabefeld diemaximale Anzahlder Datenpakete pro Sekunde ein, die für Ziel-IP-Adressen erlaubt sind.

Hinweis –Es ist wichtig, dassSie in die Eingabefelder angemesseneWerte eintragen.Wenn Sie dieWerte zu hoch definieren, kann espassieren, dassder Webserver denDienst versagt, weil er eine derart großeMenge an TCP-SYN-Paketen nichtbewältigen kann.Wenn Sie andererseits die Rate zu gering definieren, kann espassieren, dassdasGatewayunvorhersehbar reagiert und reguläre Anfragenblockiert. Eshängt hauptsächlich von Ihrer Hardware ab, welche Einstellungen für Siesinnvoll sind. Ersetzen Sie daher die Standardeinstellungen durch für Ihr SystemgeeigneteWerte.





UDP-Flood-SchutzDer UDP-Flood-Schutzerkennt und blockiert UDP-Paketfluten.Die Konfiguration desUDP-Flood-Schutzes ist identisch zu der desTCP-SYN-Flood-Schutzes.

ICMP-Flood-SchutzDer ICMP-Flood-Schutzerkennt und blockiert ICMP-Paketfluten.Die Konfiguration des ICMP-Flood-Schutzes ist identisch zu der desTCP-SYN-Flood-Schutzes.

8.3.4 Anti-PortscanAuf der RegisterkarteNetworkProtection >Angriffschutz>Anti-Portscanwerden die Optionenfür die Portscan-Erkennung konfiguriert.

Portscanswerdenmeist von Hackern durchgeführt, um in gesicherten Netzwerken nacherreichbaren Diensten zu suchen: Um in ein System einzudringen bzw. eine Denial-of-Service-Attacke (DoS) zu starten, benötigen Angreifer Informationen zu den Netzwerkdiensten.Wennsolche Informationen vorliegen, sind Angreifer möglicherweise in der Lage, gezielt dieSicherheitslücken dieser Dienste auszunutzen.Netzwerkdienste, die die Internet-ProtokolleTCPund UDP verwenden, sind über bestimmte Ports erreichbar und diese Port-Zuordnung istim Allgemeinen bekannt, z. B. ist der Dienst SMTP in der Regel dem TCP-Port 25zugeordnet.Die von Diensten verwendeten Portswerden als „offen“ bezeichnet, da esmöglich ist, eineVerbindung zu ihnen aufzubauen, wohingegen unbenutzte Ports als „geschlossen“ bezeichnetwerden, da Versuche, eine Verbindung zu ihnen aufzubauen, scheitern. Damit Angreiferherausfinden können, welche Ports offen sind, verwenden sie ein speziellesSoftware-Werkzeug, den Portscanner. DiesesProgramm versucht mit mehreren Ports auf dem Zielhosteine Verbindung aufzubauen. Falls dies gelingt, zeigt es die entsprechenden Ports als offen anund die Angreifer haben die nötigen Informationen, welche Netzwerkdienste auf dem Zielhostverfügbar sind.

Da den Internetprotokollen TCPundUDP je 65535 Ports zur Verfügung stehen, werden diePorts in sehr kurzen Zeitabständen gescannt.Wenn nun von derselbenQuell-IP-Adressemehrere Versuche registriert werden, mit immer anderen Ports IhresSystemsVerbindungaufzunehmen bzw. Informationen an diese zu senden, dann handelt es sichmit ziemlicherSicherheit um einen Portscan.Wenn ein vermeintlicher Angreifer Hosts oder Dienste in IhremNetzwerk scannt, wird dies von der Portscan-Erkennung entdeckt. EineMöglichkeit dagegen


vorzugehen ist, weitere Portscans von derselbenQuell-IP-Adresse automatisch zu blockieren.Beachten Sie, dassdie Portscan-Erkennung auf Internetschnittstellen beschränk ist, d. h. aufSchnittstellenmit Standardgateway.

Technisch gesehen liegt ein Portscan vor, wenn für eine einzelneQuell-IP-Adresse innerhalbvon 300mseine Erkennungsrate (engl. Detection Score) von 21 Punkten erreicht wird. DieseErkennungsrate setzt sich folgendermaßen zusammen:

l Scan einesTCP-Zielports unter 1024=3 Punkte

l Scan einesTCP-Zielports gleich oder höher 1024=1 Punkt

Um die Portscan-Erkennung zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie auf der Registerkarte Anti-Portscan die Portscan-Erkennung.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittAllgemeine Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:Aktion: Die folgenden Aktionen sindmöglich:

l Ereignis nur protokollieren: Eswird keineMaßnahme gegen den Portscannerergriffen. DasEreigniswird nur protokolliert.

l Verkehr verwerfen:Weitere Pakete desPortscanswerden verworfen. DerPortscanner wird diese Ports als „gefiltert“ melden.

l Verkehr ablehnen: Die Verbindungsanfragen desAngreiferswerdenzurückgewiesen und eine ICMP-Antwort „destination unreachable/portunreachable“ (Ziel/Port unerreichbar) wird an den Initiator geschickt. DerPortscanner wird diesen Port als „geschlossen“ melden.

Protokollierung begrenzen: Aktivieren Sie dieseOption, um dieMenge derProtokollnachrichten zu begrenzen. Die Portscan-Erkennung kann während einesPortscans viele Einträge erzeugen. So wird z. B. jedesSYN-Paket, dasalsTeil einesPortscansangesehen wird, im Firewallprotokoll festgehalten. Durch Aktivierung dieserFunktion wird der Protokollumfang auf fünf Zeilen pro Sekunde reduziert.





8.3.5 AusnahmenAuf der RegisterkarteNetworkProtection >Angriffschutz>Ausnahmen können Sie Quell- undZielnetzwerke definieren, die vomAngriffschutzsystem (IPS) ausgenommenwerden.

Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.DasDialogfenster Ausnahmenliste erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.

Diese Prüfungen auslassen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen:

l Angriffschutz:Wenn Sie dieseOption aktivieren, wird das IPS von SophosUTMausgeschaltet.

l Portscan-Schutz:Wenn Sie dieseOption aktivieren, verlieren Sie den Schutzvor Portscans, die Ihr System nach offenen Ports absuchen.

l TCP-SYN-Flood-Schutz:Wenn Sie dieseOption aktivieren, wird der TCP-SYN-Flood-Schutz ausgeschaltet.

l UDP-Flood-Schutz:Wenn Sie dieseOption aktivieren, wird der UDP-Flood-Schutz ausgeschaltet.

l ICMP-Flood-Schutz:Wenn Sie dieseOption aktivieren, wird der ICMP-Flood-Schutz ausgeschaltet.

Für alle Anfragen:Wählen Siemindestenseine Bedingung, für die dieSicherheitsprüfungen ausgesetzt werden sollen.Sie könnenmehrere Bedingungenlogischmiteinander verknüpfen, indemSie entweder Und oderOder ausderAuswahlliste vor einer Bedingung auswählen. Die folgenden Bedingungen könnengesetzt werden:

l Aus diesen Quellnetzwerken:Wählen Sie dieseOption, umQuellhosts/-netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregelausgenommenwerden sollen.Geben Sie die entsprechenden Hosts oderNetzwerke in dasFeldNetzwerke ein, dasnach Auswahl der Bedingung geöffnetwird.


l Diese Dienste verwendend:Wählen Sie dieseOption, umDienstehinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregelausgenommenwerden sollen.Fügen Sie die entsprechenden Dienste zum FeldDienste hinzu, dasnach Auswahl der Bedingung geöffnet wird.

l Zu diesen Zielen gehend:Wählen Sie dieseOption, umHosts/Netzwerkehinzuzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregelausgenommenwerden sollen.Geben Sie die entsprechenden Hosts oderNetzwerke in dasFeld Ziele ein, dasnach Auswahl der Bedingung geöffnet wird.


3. Klicken Sie auf Speichern.Die neue Ausnahmewird in der ListeAusnahmen angezeigt.

Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Hinweis –Wenn Sie den Angriffschutz für Paketemit der Zieladresse desGatewaysausschalten wollen, wird dieWahlAny im Feld Ziele nicht den gewünschten Effekthaben.Wählen Sie stattdessen eine Schnittstellendefinition desGateways, die die IP-AdressedesGatewaysenthält, z. B. Internal (Address), wenn Sie den Angriffschutz für die interneAdresse desGatewaysausschaltenmöchten.

8.3.6 ErweitertAuf der RegisterkarteNetworkProtection >Angriffschutz>Erweitert können Sie IPS-Regelnmanuellmodifizieren. Dabeiwird die Standardrichtlinie, die ausdenGruppen unterAngriffsmuster stammt, für die jeweilige Regel überschrieben. Solche Änderungen sollten nurerfahrene Benutzer vornehmen.

Um einemodifizierte IPS-Regel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie im Feld Geänderte Regeln auf das Plussymbol.DasDialogfensterModifyRule (Regel ändern) wird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Regel-ID:Geben Sie die ID der IPS-Regel ein, die Sie ändern wollen.Die Regel-IDs sindin der IPS-Regelliste auf der Sophos-Website aufgeführt (in den Formaten HTML und





XML verfügbar). Darüber hinaus können Sie auch über das IPS-Protokoll oder den IPS-Bericht bestimmt werden.

Diese Regel deaktivieren:Wenn Sie dieseOption wählen, wird die IPS-Regelmit derentsprechenden ID ausgeschaltet.

Wenn Sie dieseOption nichtwählen, stehen die folgenden zweiOptionen zur Verfügung:

l Benachrichtigungen ausschalten:Wenn Sie dieseOption wählen, werdenkeine Benachrichtigungen versendet, wenn diese Regel angewendet wird.

l Aktion: Hierbei handelt es sich um die Aktionen, die ausgeführt werden, wenneine Regel zutrifft.Sie können zwischen den folgenden Aktionen wählen:l Verwerfen:Wenn ein vermeintlicher Angriff festgestellt wird, werden die

betroffenen Datenpakete verworfen.

l Warnung: ImGegensatz zuVerwerfenwird das kritische Datenpaketdurch dasGatewaygelassen, aber eswird eineWarnmeldung in das IPS-Protokoll geschrieben.

3. Klicken Sie auf Speichern.Die Regelwird im FeldGeänderte Regeln angezeigt.Bitte beachten Sie, dassSieaußerdem unten auf der SeiteÜbernehmen klickenmüssen, damit die Änderungenwirksamwerden.

Hinweis –Wenn Sie eine Regel-ID zum FeldGeänderte Regeln hinzufügen und die AktionzumBeispiel aufWarnung setzen, wird diese Änderung nur eine Auswirkung haben, wenndie Gruppe, zu der diese Regel gehört, auf der RegisterkarteAngriffsmuster auch aktiviert ist.Sollte diese Angriffsmustergruppe jedoch deaktiviert sein, haben Änderungen an einzelnenRegeln keine Auswirkung.

Le istungsste igerungUmdie Leistung desAngriffschutzsystemszu verbessern und die Anzahl falscher Alarme zuminimieren, können Sie hier den Bereich der IPS-Regeln auf einzelne Ihrer internen Serverbegrenzen.Beispiel: Auf der RegisterkarteAngriffsmuster ist die GruppeHTTP-Servereingeschaltet und hier ist der interne HTTP-Server eingestellt.Wenn nun dasAngriffschutzsystem einen Angriff auf einen HTTP-Server feststellt, dann wird die eingestellteAktion (Verwerfen oderWarnung) nur ausgeführt, wenn die IP-Adresse desbetroffenenServersmit der IP-Adresse deshier eingestellten HTTP-Servers übereinstimmt.

Der Einsatzbereich der IPS-Regeln kann für die folgenden Servertypen begrenzt werden:


http://www.astaro.com/lists/ASGV7-IPS-rules.xml

l HTTP: Alle Untergruppen in der AngriffsmustergruppeHTTPServers

l DNS: Die AngriffsmustergruppeDNS

l SMTP: Die AngriffsmustergruppenExchange undSendmail

l SQL: Alle Untergruppen in der AngriffsmustergruppeDatabase Servers

8.4 Server-LastverteilungMit der Server-Lastverteilung-Funktion (engl. server load balancing) können Sie eingehendeVerbindungen (z. B. SMTP- oder HTTP-Verkehr) auf verschiedene Server hinter der Firewallverteilen. Die Verteilung basiert auf der Quell-IP-Adressemit einer Bindungsdauer von einerStunde.Falls das Intervall zwischen zweiAnfragen derselbenQuell-IP-Adresse diesenZeitraum überschreitet, wird die Verteilung neu ausgehandelt. Die Verteilung desDatenverkehrs basiert auf einem einfachen Round-Robin-Algorithmus.

Alle Server desServerpoolswerden entweder durch ICMP-Ping, TCP-Verbindungsaufbauoder HTTP/S-Anfragen überwacht. Bei einemAusfall wird der betroffene Server nicht weiterverwendet, wobei jede eventuelle Quell-IP-Bindungsdauer aufgehoben wird.

Hinweis –Der Rückgabewert einer HTTP/S-Anfragemussentweder 1xxInformational, 2xx Success, 3xx Redirectionoder 4xx Client Errorsein.Alleanderen Rückgabewerte werden alsFehler gewertet.

8.4.1 VerteilungsregelnAuf der RegisterkarteNetworkProtection >Server-Lastverteilung >Verteilungsregeln könnenSie Lastverteilungsregeln für die SophosUTM-Software festlegen. NachdemSie eine Regelerstellt haben, können Sie zusätzlich die Gewichtung der Lastverteilung zwischen den Servernund die Schnittstellenbindung festlegen.

Um eine Lastverteilungsregel anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verteilungsregeln auf NeueLastverteilungsregel.DasDialogfenster Neue Lastverteilungsregel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Dienst:Wählen Sie den Netzwerkdienst aus, dessen Last Sie verteilen wollen.


8 Network Protection 8.4 Server-Lastverteilung

8.4 Server-Lastverteilung 8 Network Protection

Virtueller Server: Der ursprüngliche Zielhost deseingehenden Datenverkehrs.Üblicherweise entspricht die Adresse der externen Adresse desGateways.

Echte Server: Die Hosts, die abwechselnd den Datenverkehr für diesen Dienstakzeptieren.

Typ prüfen:Wählen Sie für die Dienstüberwachung entweder TCP (TCP-Verbindungsaufbau),UDP (UDP-Verbindungsaufbau),Ping (ICMP-Ping),HTTPHost(HTTP-Anfragen) oder HTTPSHost (HTTPS-Anfragen).Wenn SieUDP verwenden,wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mitder Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt der Serverals ausgefallen.Für HTTP- undHTTPS-Anfragen können Sie eineURL angeben,welchemit oder ohne Domänenname sein kann, z. B. index.htmloderhttp://www.beispiel.de/index.html.

Intervall:Geben Sie einen Prüfintervall in Sekunden ein. DasStandardintervall beträgt15 Sekunden, d. h. alle 15 Sekunden werden alle echten Server auf ihreFunktionsfähigkeit überprüft.

Zeitüberschreitung: Geben Sie eine Zeitspanne in Sekunden ein, in der echte Serverantwortenmüssen.Wenn ein Server in diesem Zeitraum nicht antwortet, gilt er als „tot“.

Automatische Firewallregeln (optional): Wählen Sie dieseOption, um automatischFirewallregeln anlegen zu lassen. Diese Regeln erlauben dieWeiterleitung vonDatenverkehr von beliebigen Hosts zu den echten Servern.

Virtuelle Serverddresse abschalten (optional): Sie können dieseOption nuraktivieren, wenn Sie eine zusätzliche Adresse als virtuellen Server für Lastverteilungverwenden (siehe Kapitel Zusätzliche Adressen). Sollten alle echten Serverunerreichbar werden, schaltet sich diese zusätzliche Adressenschnittstelle automatischab.


3. Klicken Sie auf Speichern.Die neue Regelwird in der ListeVerteilungsregeln angezeigt. Sie ist standardmäßigausgeschaltet (Statusampel zeigt Rot).

4. Aktivieren Sie die Lastverteilungsregel.Aktivieren Sie die Regel durch einen Klick auf die Statusampel.

Die Statusampelwird grün.


Umeine Verteilungsregel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Beispiel: Angenommen, Sie besitzen in Ihrer DMZ zweiHTTP-Server mit den IP-Adressen192.168.66.10und 192.168.66.20. Nun wollen Sie den HTTP-Verkehr, der auf derexternen Schnittstelle desGatewaysankommt, gleichmäßig auf beide Server verteilen. Umeine Lastverteilungsregel zu erstellen, wählen Sie eine Hostdefinition oder legen Sie eineHostdefinition für jeden Server an.Sie könnten sie http_server_1 und http_server_2nennen.Wählen Sie dann imDialogfenster Neue Lastverteilungsregel erstellenHTTP alsDienst aus.Wählen Sie außerdem die externe Adresse desGatewaysalsVirtuellen Serverausund fügen Sie zuletzt die Hostdefinitionen zum FeldEchte Server hinzu.

Gewichtung der Lastverteilung und SchnittstellenbindungZur Gewichtung der Lastverteilungs-Server und/oder zur Einstellung ihrerSchnittstellenbindung gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Bearbeiten-Schaltfläche einer Lastverteilungsregel.DasDialogfenster Lastverteilungsregel bearbeitenwird geöffnet.

2. Klicken Sie auf die Planer-Schaltfläche in der Kopfzeile des Feldes EchteServer.DasDialogfenster Planer bearbeitenwird geöffnet.

3. Nehmen Sie die folgenden Einstellungen vor:Gewichtung: Für die Gewichtung kann einWert zwischen 0 und 100 gewählt werden.Sie legen damit fest, wie vielDatenverkehr ein Server im Verhältnis zu allen anderenServern verarbeitet. Hierfür wird ein gewichteter Round-Robin-Algorithmusverwendet,d. h. ein höherer Wert bedeutet, dassmehr Datenverkehr an den jeweiligen Servergeroutet wird. DieWerte werden im Verhältnis zueinander bewertet, daher muss ihreSumme nicht 100 ergeben. Stattdessen können Sie zumBeispiel eine Konfigurationvornehmen, in der Server 1 denWert 100, Server 2 denWert 50 und Server 3 denWert0 hat. In diesem Fall verarbeitet Server 2 halb so vielDatenverkehr wie Server 1,während Server 3 nur beansprucht wird, wenn die anderen Server beide nicht verfügbarsind. Der Wert 0 bedeutet in diesem Fall, dass, falls verfügbar, immer ein Server miteinem höherenWert ausgewählt wird.

Bindung: Schnittstellenbindung (Interface Persistence) ist eineMethode, diesicherstellt, dassnachfolgende Verbindungen von einemClient immer über dieselbeUplink-Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschränkung von einer


8 Network Protection 8.4 Server-Lastverteilung

8.5 VoIP 8 Network Protection

Stunde. Sie können die Schnittstellenbindung für diese Lastverteilungsregel auchdeaktivieren.

4. Klicken Sie auf Speichern.DasDialogfenster Planer bearbeitenwird geschlossen und Ihre Einstellungen werdengespeichert.

5. Klicken Sie auf Speichern.DasDialogfenster Lastverteilungsregel bearbeitenwird geschlossen.

8.5 VoIPVoice over Internet Protocol (VoIP) ist der Sammelbegriff für dasRouting von gesprochenenKonversationen über das Internet oder jedesandere IP-basierte Netzwerk.SophosUTMunterstützt die am häufigsten eingesetzten Protokolle, um Sprachsignale über das IP-Netzwerk zu transportieren:

l SIP

l H.323

8.5.1 SIPDasSession Initiation Protocol (SIP, dt. Sitzungsinitialisierungsprotokoll) ist einSignalisierungsprotokoll zumAufbau, zur Modifikation und zumBeenden von Sitzungenzwischen zwei oder mehreren Kommunikationspartnern. DasProtokollwird hauptsächlich zumAufbau und zumBeenden von Audio- oder Videotelefonieverbindungen eingesetzt.SIP nutztstandardmäßig TCPauf Port 5060, umwährend desTelefonverbindungsaufbausdendynamischen Port-Bereich zwischen den beidenGegenstellen auszuhandeln. Da durch dasÖffnen desgesamten Port-Bereichseine Sicherheitslücke entstehen würde, ist dasGateway inder Lage, den SIP-Datenverkehr „intelligent“ zu steuern.Dieswird durch einen speziellenHelfer für die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher denSteuerkanal überwacht, um festzustellen, welche dynamischen Ports für die Verbindunggenutzt werden, und daraufhin nur diese Ports für den Datenverkehr zuzulassen, wenn derSteuerkanal beschäftigt ist. Zu diesem Zweckmüssen Sie sowohl einen SIP-Server als auchein SIP-Client-Netzwerk angeben, um die entsprechenden Firewallregeln anzulegen, die dieKommunikation über dasSIP-Protokoll ermöglichen.

Um die Unterstützung für dasSIP-Protokoll zu aktivieren, gehen Sie folgendermaßen vor:


1. Aktivieren Sie die SIP-Protokoll-Unterstützung auf der Registerkarte SIP.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittAllgemeine SIP-Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:SIP-Servernetzwerke: Hier können Sie den SIP-Server (der von Ihrem ISPbereitgestellt wird) auswählen, mit dem sich die SIP-Clients verbinden dürfen sollen.Wählen Sie ausSicherheitsgründen nichtAnyaus.

SIP-Client-Netzwerke:Wählen Sie die Hosts oder Netzwerke der SIP-Clients aus,denen gestattet ist, eine SIP-Kommunikation zu beginnen oder anzunehmen. Ein SIP-Client ist ein Endpunkt im LAN, der an einer Zweiwege-Kommunikation in Echtzeit miteinem anderen SIP-Client teilnimmt.

Strikten Modus aktivieren (optional): Wählen Sie diesenModus, um die Sicherheit zuverbessern. FallsSie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivierenSie dieseOption.



8.5.2 H.323DasProtokollH.323 ist ein internationaler Multimedia-Kommunikationsstandard, der von derInternationalen Fernmeldeunion (engl. International Telecommunication Union, ITU-T)veröffentlicht wurde. Es legt die Protokolle fest, mit denen audio-visuelleKommunikationssitzungen auf jedemNetzwerk, dasPakete übermittelt, ermöglichtwerden.H.323 wird üblicherweise für Voice over IP (VoIP) und IP-basierte Videokonferenzengenutzt.

H.323 nutzt standardmäßig TCPauf Port 1720, umwährend desTelefonverbindungsaufbausden dynamischen Port-Bereich zwischen den beiden Endpunkten auszuhandeln. Da durch dasÖffnen desgesamten Port-Bereichseine Sicherheitslücke entstehen würde, ist dasGateway inder Lage, den H.323-Datenverkehr „intelligent“ zu steuern.Dieswird durch einen speziellenHelfer für die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher denSteuerkanal überwacht, um festzustellen, welche dynamischen Ports für die Verbindung


8 Network Protection 8.5 VoIP

8.6 Erweitert 8 Network Protection

genutzt werden und daraufhin nur diese Ports für den Datenverkehr zuzulassen, wenn derSteuerkanal beschäftigt ist. Zu diesem Zweckmüssen Sie sowohl einen H.323-Gatekeeper alsauch eine Client-Netzwerkdefinition angeben, um die entsprechenden Firewallregelnanzulegen, die die Kommunikation über dasH.323-Protokoll ermöglichen.

Um die Unterstützung für dasH.323-Protokoll zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die H.323-Protokoll-Unterstützung auf der Registerkarte H.323.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittAllgemeine H.323-Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:H.323-Gatekeeper:Wählen Sie einen H.323-Gatekeeper aus. Ein H.323-Gatekeeperkontrolliert alle H.323-Clients (Endpunkte wie z. B. Microsoft NetMeeting) in seiner Zone.Genauer gesagt agiert er alsÜberwachungsinstanzaller H.323-Anrufe innerhalb seinerZone im LAN. Seine wichtigste Aufgabe besteht darin, zwischen den symbolischen Alias-Adressen und IP-Adressen zu übersetzen.

H.323-Client: Hier können Sie den Host oder dasNetzwerkauswählen, zu dem undvon dem ausH.323-Verbindungen aufgebaut werden. Ein H.323-Client ist ein Endpunktim LAN, der an einer Zweiwege-Kommunikation in Echtzeit mit einem anderen H.323-Client teilnimmt.

Strikten Modus aktivieren (optional): Wählen Sie diesenModus, um die Sicherheit zuverbessern. FallsSie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivierenSie dieseOption.



8.6 ErweitertImMenüNetworkProtection >Erweitert können Sie zusätzliche Funktionen für dieNetzwerksicherheit konfigurieren: einen generischen Proxy, einen SOCKS-Proxyund einenIDENT-Reverse -Proxy.


8.6.1 Generischer ProxyDer generische Proxy, auch bekannt alsPort Forwarder, ist eine Kombination von DNAT undMaskierung (engl. masquerading) und leitet allen eingehenden Datenverkehr für einenbestimmten Dienst weiter zu einem beliebigen Server. Der Unterschied zum normalen DNATist jedoch, dassder generische Proxyauch die Quelladresse einesAnfragepaketsmit der IP-Adresse der Schnittstelle für ausgehenden Datenverkehr ersetzt. Zusätzlich kann noch derZiel-Port umgeschrieben werden.

Um eine Regel für den generischen Proxyanzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Generischer Proxy auf Neue Generischer-Proxy-Regel.DasDialogfenster NeueGenerischer-Proxy-Regel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Schnittstelle:Wählen Sie die Schnittstelle für den eingehenden Datenverkehr aus.

Dienst:Wählen Sie die Dienstdefinition für den Verkehr aus, der weitergeleitet werdensoll.

Host:Wählen Sie den Zielhost aus, zu dem der Datenverkehr weitergeleitet werdensoll.

Dienst:Wählen Sie den Zieldienst für den Verkehr aus, der weitergeleitet werden soll.

Zugelassene Netzwerke:Wählen Sie die Netzwerke aus, zu denen dieWeiterleitungerfolgen soll.


3. Klicken Sie auf Speichern.Die neue Regelwird in der ListeGenerischer Proxyangezeigt.

4. Aktivieren Sie die Generischer-Proxy-Regel.Aktivieren Sie die Regel durch einen Klick auf die Statusampel.

Die Regel ist nun aktiviert (Statusampel zeigt Grün).



8 Network Protection 8.6 Erweitert


8.6.2 SOCKS-ProxySOCKS ist ein universelles Internet-Protokoll, durch dasClient-Server-Anwendungentransparent die Dienste der Netzwerk-Firewall nutzen können. Der Proxywird von vielenClient-Anwendungen hinter einer Firewall genutzt, ummit Hosts im Internet zukommunizieren.Einige Beispiele dafür sind IRC-/Sofortnachrichten-Clients, FTP-Clients undWindowsSSH-/Telnet-Clients. Clients hinter einer Firewall, die auf einen externen Serverzugreifen wollen, verbinden sich stattdessenmit einemSOCKS-Proxy-Server. Dieser Proxy-Server überprüft dann die Berechtigung desClients, eine Verbindung zu dem externen Serveraufzubauen, und leitet die Anfrage zu demServer weiter.Ihre Client-Anwendungmussexplizitdie Protokollversion SOCKS4 oder SOCKS5 unterstützen.

Der Standardport von SOCKS ist 1080. Fast alle Clients verfügen über die ImplementierungdiesesStandardports, deshalbmusser normalerweise nicht konfiguriert werden.DieUnterschiede zwischen SOCKSundNAT sind, dassSOCKSauch „bind“-Anfragen erlaubt (imAuftrag desClients auf einemPort lauschen – eine Funktion, die nur sehr wenige Clientsunterstützen) und dassSOCKS5 Benutzerauthentifizierung zulässt.

Wenn der SOCKS-Proxyeingeschaltet wird, mussmindestensein Netzwerkausgewähltwerden, dasZugang zumProxyhat. Für eine Benutzerauthentifizierung können auch dieentsprechenden Benutzer oder Gruppen ausgewählt werden.

Hinweis –Ohne Benutzerauthentifizierung kann der SOCKS-Proxy sowohlmit demSOCKS-4- als auchmit demSOCKS-5-Protokoll genutzt werden. FürBenutzerauthentifizierung wird dasProtokoll SOCKS5 benötigt.Damit im SOCKS-5-ModusHostnamen aufgelöst werden, müssen Sie auch den DNS-Proxyeinschalten. Andernfallsschlägt die DNS-Auflösung fehl.

Um den SOCKS-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den SOCKS-Proxy auf der Registerkarte SOCKS-Proxy.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittSOCKS-Proxy-Optionen kann nunbearbeitet werden.


2. Nehmen Sie die folgenden Einstellungen vor:Zugelassene Netzwerke:Wählen Sie die Netzwerke aus, die den SOCKS-Proxyverwenden dürfen.

Benutzerauthentifizierung aktivieren:Wenn Sie dieseOption wählen, müssenBenutzer einen Benutzernamen und ein Kennwort angeben, um sich amSOCKS-Proxyanmelden zu können. Da Benutzerauthentifizierung nur vomProtokoll SOCKS5unterstützt wird, wird SOCKS4 automatisch ausgeschaltet.

Zugelassene Benutzer:Wählen Sie die Benutzer oder Gruppen aus, die den SOCKS-Proxybenutzen können sollen.


8.6.3 IDENT-Reverse-ProxyDas IDENT-Protokollwird von einigen Servern zur einfachen Identitätsprüfung der auf siezugreifenden Clients verwendet. Obwohl dieses IDENT-Protokoll unverschlüsselt ist und leichtmanipuliert werden kann, verwenden esnoch viele Dienste und setzen esmanchmal sogarvoraus.

Um den IDENT-Reverse-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die IDENT-Weiterleitung auf der Registerkarte IDENT-Reverse-Proxy.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittAllgemeine Einstellungen kann nunbearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:An interne Hosts weiterleiten (optional): Da IDENT-Anfragen von derVerbindungsverfolgung desGatewaysnicht verarbeitet werden, bleiben sie „stecken“,wennMaskierung (engl. masquerading) verwendet wird.Wählen Sie die OptionAninterne Hostsweiterleiten aus, um IDENT-Anfragen anmaskierte Hosts hinter demGatewayweiterzuleiten. Beachten Sie dabei, dassdie aktuelle IP-Verbindung nichtübergeben wird. Stattdessen wird dasGatewaybeim internen Client nach einer IDENT-Antwort fragen und diese Zeichenfolge an den anfragenden Server weiterleiten. DiesesVorgehen wird von denmeisten „Mini-IDENT“-Servern unterstützt, die meist Bestandteilder heute gängigen IRC- und FTP-Clients sind.


8 Network Protection 8.6 Erweitert


Standardantwort: DasGatewaybietet Unterstützung für die Beantwortung vonIDENT-Anfragen, wenn Sie die IDENT-Weiterleitung aktivieren.DasSystemwird dannimmer mit der Zeichenfolge antworten, die Sie im FeldStandardantwort eingegebenhaben, ungeachtet des lokalen Dienstes, der die Verbindung initiiert hat.



9 Web ProtectionIn diesemKapitelwird beschrieben, wie Sie die grundlegendenWeb-Protection-Funktionenvon SophosUTM konfigurieren.


l Webfilter

l Webfilter-Profile

l Application Control

l FTP-Proxy

Die SeiteWeb-Protection-Statistik imWebAdmin enthält eine Übersicht mit denmeistaufgerufenen Internetadressen (URLs). Eswird angezeigt, wie lange eine Seite besuchtwurde, welchesDatenvolumen erzeugt wurde und welcher Benutzer dieWebsite besuchthat.DesWeiteren werden diemeistblockierten Kategorien für dieWebsites angezeigt.Jederder Abschnitte enthält einenDetails-Link.Ein Klick auf den Link leitet Sie zur entsprechendenSeite desBerichte-BereichsdesWebAdmin weiter, wo Sie weitere statistische Informationenfinden können.

Hinweis –Die Erfassung der Internet-Surf-Daten erfolgt sitzungsbasiert. Umaussagekräftige Näherungswerte zu bekommen, werden die Internetadressen und Benutzerfolgendermaßen erfasst: Jede URL-Anfrage wird anhand desDatenvolumensund derZeitspanne zwischen zweiAnfragen protokolliert. Wenn für eine Dauer von fünf Minutenkeine Anfrage für einen Benutzer oder eine URL erfasst wurde, gilt die Sitzung alsbeendet.Damit im Näherungswert berücksichtigt wird, dassder Benutzer die Internetseiteeventuell angeschaut hat, auch wenn die Verbindung inaktivwar, wird jeweils eineMinutebeimWert der Verweildauer (time spent) hinzugefügt. Die Berichtsdaten werden alle 15Minuten aktualisiert.Wenn Clients versuchen, ungültige URLsanzufragen, werden diese vomWebfilterprotokolliert, auch wenn er die Internetseite nicht liefern kann.Diese Linkswerden auf derSeiteWeb-Protection-Statistikals fehlerhaft erfasst.Dies ist allerdings kein Fehler derBerichtsfunktion oder desWebfilters; in denmeisten Fällen treten diese Fehler auf, wenn aufeiner Internetseite ungültige oder unvollständige Linksenthalten sind.

9.1Webfilter 9 Web Protection

9.1 WebfilterMit den Registerkarten desMenüsWebProtection >Webfilter können Sie SophosUTM-Software alsHTTP/S-Caching-Proxy konfigurieren.Der HTTP/S-Proxy von SophosUTMbietet neben dem reinen Zwischenspeichern (engl. Caching) zahlreicheWebfilterfunktionen fürNetzwerke, die diesen Dienst verwenden dürfen. Dasbeinhaltet dasVerhindern von Virus- undSpyware-Infektionenmit Hilfe von zwei unterschiedlichen Virenerkennungsmechanismen,deren Signaturdatenbanken laufend aktualisiert werden, und Spyware-Filtermechanismen,die sowohl eingehenden als auch ausgehenden Datenverkehr schützen.Außerdem kannSophosUTM den Zugriff auf verschiedeneWebsites kontrollieren, indem sie auf eineausgeklügelteWebsite-Kategorisierung zurückgreift und dabei die weltweit größte Echtzeit-URL-Datenbanknutzt.

9.1.1 AllgemeinAuf der RegisterkarteWebProtection >Webfilter >Allgemein können Sie dieGrundeinstellungen für denWebfilter vornehmen.

Um denWebfilter zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den Webfilter auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittAllgemeineWebfilter-Einstellungen kannnun bearbeitet werden.

2. Wählen Sie die zugelassenen Netzwerke aus.Wählen Sie die Netzwerke aus, die denWebfilter verwenden dürfen.Der Webfilterwartet standardmäßig auf Anfragen an TCP-Port 8080und lässt jeden Client zu, dersich in einemNetzwerkbefindet, das im Feld Zugelassene Netzwerke aufgeführt ist.

3. HTTPS-Verkehr (SSL) scannen.Wählen Sie dieseOption, um nicht nur HTTP-Verkehr sondern auch HTTPS-Verkehr zuscannen.

4. Wählen Sie einen Betriebsmodus aus.


FallsSie einen Betriebsmodusmit Benutzerauthentifizierung wählen, sollten Sie auch dieBenutzer undGruppen angeben, die auf denWebfilter zugreifen dürfen.Die folgendenBetriebsmodi sindmöglich:

l Standard: Im Standardmoduswartet der Webfilter standardmäßig auf Client-Anfragen an Port 8080 und lässt jeden Client zu, der sich in einemNetzwerkbefindet, das im Feld Zugelassene Netzwerke aufgeführt ist.In diesemModusmussder Webfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.Wählen Sie eine Authentifizierungsmethode aus:

l Keine:Wählen Sie dieseOption, wenn keine Authentifizierung verwendetwerden soll.

l Active Directory SSO:Wählen Sie dieseOption, wenn SieActiveDirectorySingle Sign-On (SSO) auf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Server konfiguriert haben.Dashatden Effekt, dassNTLM-Benutzerauthentifizierung verwendet wird, umClients zu authentifizieren. Beachten Sie, dassdie Funktion nur mit InternetExplorer garantiert wird.In diesemModusmussder Webfilter in derBrowser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.Siekönnen im FeldBenutzer/GruppenBenutzer und/oder Gruppen auswählenoder anlegen, die denWebfilter verwenden dürfen.

l Agent:Wählen Sie dieseOption, um den SophosAuthentication Agent(SAA) zu verwenden. Um denWebfilter verwenden zu können, müssenBenutzer zunächst den Agent ausführen und sich authentifizieren.Siekönnen im FeldBenutzer/GruppenBenutzer und/oder Gruppen auswählenoder anlegen, die denWebfilter verwenden dürfen.

l Apple OpenDirectory SSO:Wählen Sie dieseOption, wenn Sie LDAPauf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Server konfiguriert haben und Sie Apple OpenDirectory verwenden.Damitder Webfilter richtig funktioniert, müssen Sie zusätzlich eineMACOSXSingle Sign-On Kerberos-Schlüsseldatei auf der RegisterkarteWebProtection >Webfilter >Erweitert hochladen. In diesemModusmussderWebfilter in der Browser-Konfiguration von jedemClient angegebensein.Sie können im FeldBenutzer/GruppenBenutzer und/oder Gruppenauswählen oder anlegen, die denWebfilter verwenden dürfen.BeachtenSie, dassder Safari-Browser SSOnicht unterstützt.


9 Web Protection 9.1Webfilter


l Einfache Benutzerauthentifizierung: In diesemModusmuss sich jederClient gegenüber demWebfilter authentifizieren, bevor er ihnverwendet.Weitere Informationen zu den unterstütztenAuthentifizierungsmethoden finden Sie unter Definitionen &Benutzer >Authentifizierungsserver.In diesemModusmussder Webfilter in derBrowser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.Siekönnen im FeldBenutzer/GruppenBenutzer und/oder Gruppen auswählenoder anlegen, die denWebfilter verwenden dürfen.

l eDirectory SSO:Wählen Sie dieseOption, wenn Sie eDirectoryauf derRegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Serverkonfiguriert haben.In diesemModusmussder Webfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.Sie können imFeldBenutzer/GruppenBenutzer und/oder Gruppen auswählen oderanlegen, die denWebfilter verwenden dürfen.

Hinweis – Für dieModi eDirectory und Active DirectorySingle Sign-On(SSO) speichert der Webfilter die IP-Adressen und Berechtigungen deranfragenden Clients bis zu fünfzehnMinuten; für Apple OpenDirectorySSOspeichert er nur die Gruppeninformationen. DasZwischenspeichernreduziert die Last auf den Authentifizierungsservern, aber esbedeutetauch, dassesbis zu fünfzehnMinuten dauern kann, bisÄnderungen anBenutzern, Gruppen oder demAnmeldestatusder zugreifendenBenutzer vomWebfilter berücksichtigt werden.

l Transparent: Im Transparenzmoduswerden alle Verbindungen von Client-Browseranwendungen auf Port 80 (bzw. Port 443, wenn SSL aktiviert ist)abgefangen und an den Proxyweitergeleitet, ohne clientseitige Konfiguration. DerClient merkt dabei vomWebfilter nichts. Der Vorteil diesesModus ist, dass keinezusätzliche Verwaltung oder clientseitige Konfiguration nötig ist; der Nachteil ist,dassnur HTTP-Anfragen (Port 80) verarbeitet werden können.Deshalb werdendie Proxy-Einstellungen imClient-Browser unwirksam, wenn Sie Transparent alsModuswählen.

Volltransparenzmodus (optional): Wählen Sie die OptionVolltransparenzmodus, um die Quell-IP der Clients zu erhalten, anstatt siedurch die IP desGateways zu ersetzen. Das ist nützlich, wenn Ihre Clientsöffentliche IP-Adressen verwenden, die nicht durch denWebfilter


verschleiert werden sollen. DieseOption ist nur im Bridge-Modusverfügbar, da sie nur dort sinnvoll ist.

Hinweis – Im Transparenzmodusentfernt der Webfilter NTLM-Authentifizierungsheader von HTTP-Anfragen.Darüber hinaus kann derWebfilter keine FTP-Anfragen in diesemModusverarbeiten.Wenn Ihre Clientsauf solche Dienste zugreifen wollen, müssen Sie den Port (21) in der Firewallöffnen. Beachten Sie auch, dassmancheWebserver einige Daten über einenanderen Port alsPort 80 übermitteln, insbesondere Streaming-Video- und -Audiodaten. Diese Anfragen werden nicht beachtet, wenn der Webfilter imTransparenzmodusarbeitet.Um solchen Verkehr zu unterstützen, müssen Sieentweder einen anderenModuswählen oder eine explizite Firewallregelanlegen, die diesen Verkehr erlaubt.

Wählen Sie eine Authentifizierungsmethode aus:

l Keine:Wählen Sie dieseOption, wenn keine Authentifizierung verwendetwerden soll.

l Agent:Wählen Sie dieseOption, um den SophosAuthentication Agent(SAA) zu verwenden. Um denWebfilter verwenden zu können, müssenBenutzer zunächst den Agent ausführen und sich authentifizieren.Siekönnen im FeldBenutzer/GruppenBenutzer und/oder Gruppen auswählenoder anlegen, die denWebfilter verwenden dürfen.

l Browser:Wenn Sie diese Funktion wählen, wird den Benutzern in ihremBrowser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich beimWebfilter authentifizieren können.


Wichtiger Hinweis –Wenn SSL-Scanning zusammenmit dem Transparenzmodusaktiviertist, werden einige SSL-Verbindungen nicht zustande kommen, z. B. SSL-VPN-Tunnel.UmSSL-VPN-Verbindungen zu ermöglichen, fügen Sie den entsprechenden Zielhost zur ListeTransparenzmodus-Ausnahmen hinzu (sieheWebProtection >Webfilter >Erweitert).Um darüber hinausZugang zu Hostsmit einem selbstsignierten Zertifikat zu haben, müssenSie eine Ausnahme für diese Hosts anlegen und die Option Zertifikat-Vertrauensprüfungauswählen. Der Proxywird deren Zertifikate dann nicht überprüfen.




Live -Protoko llDasWebfilter-Live-Protokoll stellt Informationen zuWebanfragen bereit.Klicken Sie auf dieSchaltfläche Live-Protokoll öffnen, um dasWebfilter-Live-Protokoll in einem neuen Fenster zuöffnen.

9.1.2 Antivirus/SchadsoftwareAuf der RegisterkarteWebProtection >Webfilter >Antivirus/Schadsoftware können SieOptionen konfigurieren, die darauf abzielen, Ihr Netzwerk vor Internetverkehr zu schützen, dergefährlichen Inhalt wie Viren,Würmer oder andere Schadsoftware hat.

Antiviren-ScanWählen Sie die OptionAntiviren-Scan verwenden, um eingehenden und ausgehendenDatenverkehr zu scannen.SophosUTMbietet mehrere Antiviren-Mechanismen für höchsteSicherheit.

l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der RegisterkarteScan-Einstellungen festgelegte Engine wird verwendet.

l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr vonzwei verschiedenen Virenscannern gescannt wird.

Max. Scangröße: Legen Sie dieMaximalgröße von Dateien fest, die von den Antiviren-Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.


Date ie rwe ite rungenf ilte rDiese Funktion filtert bestimmte Dateitypen basierend auf ihren Erweiterungen (z. B.ausführbare Binärdateien) ausdem Internetverkehr heraus, wenn diese eineDateierweiterung besitzen, die in der ListeBlockierte Erweiterungen aufgeführt ist. Sie könnenweitere Dateierweiterungen hinzufügen oder solche Erweiterungen ausder Liste löschen, dienicht blockiert werden sollen.Um eine Dateierweiterung hinzuzufügen, klicken Sie auf dasPlussymbol im FeldBlockierte Erweiterungen und geben Sie die Dateierweiterung ein, dieblockiert werden soll, zumBeispielexe (ohne den Punkt als Trennzeichen).



Hinweis –Verschlüsselte zip-Archive können nicht nach schädlichem Inhalt durchsuchtwerden und passieren den Virenscanner ungehindert. Um Ihr Netzwerk vor Schadsoftwareaus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateiengänzlich zu blockieren.

MIME-Typ-Filte rUmeinenMIME-Typ hinzuzufügen, der blockiert werden soll, klicken Sie auf dasPlussymbol imFeldBlockierte MIME-Typen und geben Sie denMIME-Typ an (z. B. image/gif).Es istmöglich, Platzhalter (*) zu verwenden, z. B. audio/*.

Entfe rnen von aktivem Inha ltIm AbschnittEntfernen von aktivem Inhalt können Sie einstellen, dass spezifischerInternetinhalt, wie eingebettete Objekte aufWebsites, automatisch entfernt wird (z. B.Multimedia-Dateien). Sie können die folgenden Einstellungen vornehmen:

l Eingebettete Objekte entfernen:Wenn Sie diese Funktion wählen, werden alle<OBJECT>-TagsausHTML-Seiten entfernt, wodurch dynamische Inhalte wie ActiveX,Flash oder Java ausdem eingehenden HTTP-Verkehr gelöscht werden.

l Javascript deaktivieren:Wenn Sie diese Funktion wählen, werden alle <SCRIPT>-TagsausHTML-Seiten entfernt, wodurch Funktionen deaktiviert werden, die in HTML-Seiten eingebettet oder eingebunden sind.

9.1.3 URL-FilterungAuf der RegisterkarteWebProtection >Webfilter >URL-Filterung können Sie diegrundlegenden Einstellungen für die Zugriffskontrolle für bestimmte Arten vonWebsitesvornehmen.

Hinweis –Die Positivliste (Whitelist) wird immer zuerst abgeglichen, d.h., jedeWebsite-Anfrage wird zunächst mit der Positivliste verglichen.Wird keine Übereinstimmung gefunden,wird die Anfragemit der Negativliste (Blacklist) verglichen.Wenn eine Übereinstimmungmitder Negativliste gefunden wird, wird dieWebsite blockiert.

Sie können die folgenden Einstellungen vornehmen:




l Zulassen/Blockieren-Auswahl: Legen Sie fest, ob Ihre Auswahl anWebsite-Kategorien zugelassen oder blockiert werden soll.Die folgendenOptionen sindmöglich:l Inhalt zulassen, der die unten stehenden Kriterien nicht erfüllt:Wenn Sie

dieseOption wählen, werden Ihre ausgewähltenWebsite-Kategorien blockiert,während alle anderen Kategorien (die nicht ausgewählten) zugelassen werden.

l Inhalt blockieren, der die unten stehenden Kriterien nicht erfüllt:WennSie dieseOption wählen, werden alleWebsite-Kategorien blockiert, außer jenen,die Sie ausgewählt haben.

Die Standardoption ist Zulassen. Wenn Sie zuBlockierenwechseln, beachten Sie, dassdadurch die unten stehendenOptionen in ihrer Bedeutung „umgedreht“ werden, wassich daran zeigt, dassdie Begriffe vonBlockieren auf Zulassenwechseln und umgekehrt.

Hinweis –Umauf die Kategorisierungsdatenbankzugreifen zu können, müssen dieTCP-Ports6000oder 80 in Upstream-Firewalls offen sein.Wenn ein übergeordneterProxy (Parent-Proxy) konfiguriert ist, werden alle Anfragen an die Datenbanküber denübergeordneten Proxygeleitet.

l Spyware-Infizierung und -Kommunikation blockieren: BeiSpyware handelt essich umSoftware, die Systeme ausspionieren und Informationen überBenutzerverhalten an Unbefugte übermitteln kann, ohne dassder Benutzer davonerfährt. Diese Funktion entdeckt und blockiert Spyware, die vomServer auf den Clientgeladen wird. Das verhindert, dassComputer in IhremNetzwerkmit neuer Spywareinfiziert werden. Darüber hinausentdeckt und blockiert diese Funktion Verkehr, der vonbereits installierten Spyware-Programmen ausgeht. Dadurch können bereitsgewonnene Informationen über den Benutzer nicht länger an das Internet übermitteltwerden.Beachten Sie, dassdieseOption nur verfügbar ist, wenn die erste Option aufdieser Seite auf Zulassen gestellt ist.

Hinweis –Die Kategorie Spyware kann keiner der 18 verfügbarenGruppenzugeordnet werden, deshalb kann sie nur durch die OptionSpyware-Infizierung und -Kommunikation blockieren aktiviert werden.

l URLs blockieren mit einem Ruf schlechter als der Schwellenwert:Websiteskönnen in folgende Klassen unterteilt werden:Vertrauenswürdig (engl. trusted),Neutral,Verdächtig (engl. suspicious) oder schädlich, wobei die letzte nicht aufgeführt ist(da dadurch alle Seiten zugelassen würden, wasder Nichtverwendung derSchwellenwert-Option entspricht).UnklassifizierteWebsiteswerden alsUnüberprüft


(engl. unverified) eingestuft. Sie können bestimmen, welchen Ruf eineWebsite habenmuss, um für Ihr Netzwerkerreichbar zu sein.Websites unterhalb desgewähltenSchwellenwertswerden blockiert.Beachten Sie, dassdieseOption nur verfügbar ist,wenn die erste Option auf dieser Seite auf Zulassen eingestellt ist.Weitere InformationenzumRuf vonWebsites finden Sie unter http://www.trustedsource.org.

l Diese Website-Kategorien blockieren:Wählen Sie dieWebsite-Kategorien, dieblockiert werden sollen.Beachten Sie, dass sich dieseOption zuDieseWebsite-Kategorien zulassen ändert, wenn die erste Option auf dieser Seite aufBlockierengestellt ist.Die Zuordnung zwischen den hier wählbarenWebsite-Kategorien und derenzugrunde liegenden Unterkategorien können Sie auf der RegisterkarteWebProtection>Webfilter >URL-Filterkategorien bearbeiten.

Hinweis –Wenn Sie der Meinung sind, dasseineWebsite falsch kategorisiert ist,können Sie diesesURL-Meldeformular verwenden, um neue Kategorienvorzuschlagen.

l Zugriff auf unkategorisierte Websites blockieren: Diese Funktion verhindert, dassder Browser Internetseitenmit unbekanntem Inhalt öffnet. Diese Funktion kann alszusätzliche Sicherung angesehen werden, falls eine potenziell unerwünschteInternetseite noch nicht als solche kategorisiert wurde.Diese Funktion bewahrt den Benutzer vor sogenanntenPhishing-Angriffen. Phishing-Mails enthalten in der Regel verdächtige Links zu gefälschtenWebsites, auf denen derBenutzer dazu gebracht wird, persönliche und vertrauliche Informationenpreiszugeben.Falls diese Linksnoch nicht als schädlich klassifiziert wurden, werden sieentweder alsunkategorisiert oder verdächtig eingestuft. Durch Aktivieren dieser Optionwerden diese Kategorien blockiert.Selbst wenn eine Phishing-Nachricht zugestelltwurde, können Benutzer dadurch eine betrügerische URL nicht öffnen.Beachten Sie, dass sich dieseOption zu Zugriff auf unkategorisierteWebsites zulassenändert, wenn die erste Option auf dieser Seite aufBlockieren gestellt ist.

l Weitere zu blockierende URLs/Sites:Wenn Sie ein spezifische URL oder Websiteunabhängig von ihrer Kategorie blockieren wollen, geben Sie sie hier ein. Dasbewirkt,dasshier aufgeführteWebsites blockiert werden können, selbst wenn sie zu einerKategorie gehören, die Sie zulassen.Reguläre Ausdrücke sind hier erlaubt (z. B.^https?://.*wikipedia\.org).Um genau eine URL zu blockieren, geben Sie diekomplette URL ein (z. B. http://www\.wikipedia\.org).Beachten Sie, dassAusdrücke wie wikipedia\.orgnicht nur auf die URL zutreffen, sondern auch aufSuchergebnisse und Teile von ähnlichen URLs, was zu versehentlich blockierten Seitenführen kann.



http://www.trustedsource.org/

http://www.trustedsource.org/en/feedback/url



Beachten Sie, dass sich dieseOption inWeitere zugelassene URLs/Sitesändert, wenndie erste Option auf dieser Seite aufBlockieren eingestellt ist.

l Diese URLs/Sites immer zulassen:Wenn Sie eine spezifische URL oder Websiteexplizit zulassen wollen, unabhängig von ihrer Kategorie oder einemEintrag in derBlockierungsliste, geben Sie sie hier ein.Reguläre Ausdrücke sind hier erlaubt (z. B.^https?://.*wikipedia\.org).Um genau eine URL zuzulassen, geben Sie diekomplette URL ein (z. B. http://www\.wikipedia\.org).Beachten Sie, dassAusdrücke wie wikipedia\.orgnicht nur auf die URL zutreffen, sondern auch aufSuchergebnisse und Teile von ähnlichen URLs, was zu versehentlich blockierten Seitenführen kann.Beachten Sie, dass sich dieseOption zuDiese URLs/Sites immer blockieren ändert,wenn die erste Option auf dieser Seite aufBlockieren gestellt ist.

l Benutzer/Gruppen, die Blockierungen umgehen dürfen:Wenn Sie bestimmtenBenutzern oder Gruppen erlauben wollen, auf standardmäßig blockierte Seitenzuzugreifen, ziehen Sie diese in dasDrag-and-Drop-Feld.Daraufhin wird auf blockiertenSeiten die SchaltflächeUnblockURL (URL freigeben) angezeigt. Ein Klick auf dieSchaltfläche öffnet eine Seite, auf der Benutzer ihre Anmeldedaten und einenGrundangeben können, warum sie auf diese blockierte Seite zugreifenmöchten.Wenn dieBenutzer im Umgehungsfeld aufgeführt sind, entweder direkt oder über eine Gruppe,können sie auf die blockierte Seite zugreifen.DasUmgehen der Blockierung wirdprotokolliert und ist Teil der Berichte (sieheProtokolle &Berichte >Web Protection >Blockierungen).Beachten Sie, dassdie Authentifizierungs-Zeitüberschreitung, die aufder RegisterkarteErweitert, AbschnittSonstige Einstellungen festgelegt wird, auch fürUmgehungen gilt.

l SafeSearch: Sie können die Nutzung von SafeSearch für Suchmaschinen wie Google,Bing und Yahoo erzwingen. Der SafeSearch-Filter entfernt Inhalte ausdenSuchergebnissen, die für Kinder ungeeignet sind, z. B. anstößige oder illegaleSuchtreffer. BeiAktivierung können Benutzer, die über denWebfilter surfen, den Filternicht deaktivieren.

l YouTube für Schulen:Wenn dieseOption aktiviert ist, können Benutzer nur aufYouTube-VideosausdemBereich YouTube EDU oder solche, die über Ihr Schulkontohochgeladen wurden, zugreifen.Dazumüssen Sie sich beim Programm „YouTube fürSchulen“ anmelden. Sie erhalten dann eine Schul-ID, die Sie unten eingebenmüssen.

Hinweis –Auf SophosUTMmüssen Sie sicherstellen, dassdie Top-Level-Domänenyoutube.comund ytimg.comsowie Videos im Allgemeinen nicht blockiert werden.


l YouTube für Schulen ID:Wenn SieYouTube für Schulen aktiviert haben,müssen Sie die Schul-ID oder den Code eingeben, den Sie von YouTube erhaltenhaben.

9.1.4 URL-FilterkategorienAuf der RegisterkarteWebProtection >Webfilter >URL-Filterkategorien können Sie dieZuordnung zwischenWebsite-Kategorien und Kategoriengruppen anpassen, die auf derRegisterkarteURL-Filterung ausgewählt werden können.SophosUTMkann 60unterschiedliche Kategorien vonWebsites identifizieren und den Zugriff auf sie blockieren.Ausgeklügelte URL-Klassifizierungsmethoden stellen die Genauigkeit und Vollständigkeit beider Einschätzung fragwürdiger Websites sicher.Wenn ein Benutzer eineWebsite aufruft, dienicht in der Datenbank vorliegt, wird die URL anWebcrawler gesendet und automatischklassifiziert.

Hinweis –Wenn Sie der Meinung sind, dasseineWebsite falsch kategorisiert ist, können Siedas folgende URL-Meldeformular verwenden, um neue Kategorien vorzuschlagen.

UmWebsite-Kategorien einer Kategoriengruppe zuzuordnen, gehen Sie folgendermaßen vor:

1. Klicken Sie in der Kategoriengruppe, die Sie ändern wollen, auf Bearbeiten.DasDialogfenster Filterkategorie bearbeitenwird geöffnet.

2. Wählen Sie die Unterkategorien aus.Markieren Sie dasAuswahlkästchen von Unterkategorien, die Sie hinzufügen wollen,oder entfernen Sie dieMarkierung von Unterkategorien, die Sie ausder Gruppeentfernen wollen.

3. Klicken Sie auf Speichern.DieGruppe wirdmit Ihren Einstellungen aktualisiert.

Alternativ können Sie auch eine neue Filterkategorie anlegen. Gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Filterkategorie oben auf der Seite.DasDialogfenster Filterkategorie erstellenwird geöffnet.

2. Geben Sie einen Namen ein.Geben Sie einen aussagekräftigen Namen für die neue Filterkategorie ein.

3. Wählen Sie die Unterkategorien aus.Markieren Sie dasAuswahlkästchen von Unterkategorien, die Sie zur Gruppehinzufügen wollen.






4. Klicken Sie auf Speichern.DieGruppe wirdmit Ihren Einstellungen aktualisiert.

Um eine Kategorie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

9.1.5 AusnahmenAuf der RegisterkarteWebProtection >Webfilter >Ausnahmen können Sie Netzwerke,Benutzer/Gruppen und Domänen definieren, die nicht gefiltert/blockiert werden sollen, d. h. dieauf der Whitelist (Positivliste) stehen. Alle Einträge in den Listen auf dieser Seite sind vonbestimmtenWeb-Protection-Diensten ausgenommen.





Diese Prüfungen ausnehmen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen:

l Authentifizierung:Wenn der Webfilter imAuthentifizierungsmodus läuft,können Sie die Authentifizierung für Quellhosts/-netzwerke oder Zieldomänenaussetzen.

l Zwischenspeichern:Wählen Sie dieseOption, um die Zwischenspeicherung fürspezifische Domänen oder Quellhosts/-netzwerke zu deaktivieren.

l Antivirus:Wählen Sie dieseOption, um die Virenscanfunktion zu deaktivieren,die Nachrichten nach unerwünschten Inhalten wie Viren, Trojanischen Pferdenund Ähnlichem durchsucht.

l Blockierung von Dateierweiterungen:Wählen Sie dieseOption, um denDateierweiterungsfilter zu deaktivieren, der Inhalte blockiert, wenn sie bestimmteDateierweiterungen enthalten.


l MIME-Typ-Blockierung:Wählen Sie dieseOption, um denMIME-Typ-Filter zudeaktivieren. Dieser blockiert Inhalte, die einen bestimmtenMIME-Typ haben.

l URL-Filter:Wählen Sie dieseOption, um denURL-Filter zu deaktivieren, der denZugriff auf bestimmteWebsites kontrolliert.

l Inhaltsentfernung:Wählen Sie dieseOption, um die Entfernung vonbestimmten Inhalten, wie eingebettete Objekte (z. B. Multimedia-Dateien) oderJavaScript, aufWebseiten auszulassen.

l SSL-Scan:Wählen Sie dieseOption, um dasSSL-Scannen der angefordertenWebseite auszulassen. Das ist beiOnline-Banking-Websites oder beiWebsitessinnvoll, die nicht mit SSL-Überwachung umgehen können.Aus technischenGründen funktioniert dieseOption nicht in Verbindungmit transparentenWebfilter-Modi.Nutzen Sie im transparentenModusstattdessen dieTransparenzmodus-Ausnahmen (siehe AbschnittErweitert).Im Standard-Moduskönnen Ausnahmen nur basierend auf dem Zielhost oder der IP-Adressegemacht werden, abhängig davon, wasder Client übermittelt. BeiAusnahmen,die auf Kategorien basieren, wird anstelle der ganzen URL nur der Hostnameklassifiziert.

l Zertifikat-Vertrauensprüfung (Trust Check):Wählen Sie dieseOption, umdie Vertrauensprüfung für dasHTTPS-Server-Zertifikat auszulassen.BeachtenSie, dassdasAuslassen der Vertrauensprüfung für dasZertifikat basierend aufeiner Übereinstimmung beiBenutzern/Gruppen (Für alle von diesenBenutzern/Gruppen kommenden Anfragen) technisch unmöglich ist, wenn derWebfilter im Transparenzmodusmit Authentifizierung arbeitet.

l Zertifikatsdatumsprüfung:Wählen Sie dieseOption, um die Überprüfung desZertifikatsdatumsauf Gültigkeit auszulassen.

Die beiden folgendenOptionen sind nützlich, wenn esPersonen oder Mitglieder z. B. desBetriebsratesgibt, deren Aktivitäten keinesfalls protokolliert werden dürfen:

l Besuchte Seiten:Wählen Sie dieseOption, um besuchte Seiten nicht zuprotokollieren. Diese Seitenanfragen werden auch von der Berichterstellungausgenommen.

l Blockierte Seiten:Wählen Sie dieseOption, umSeiten, die blockiert wurden,nicht zu protokollieren. Diese Seitenanfragen werden auch von derBerichterstellung ausgenommen.




Für alle Anfragen:Wählen Siemindestenseine Bedingung, für die dieSicherheitsprüfungen ausgesetzt werden sollen.Sie könnenmehrere Bedingungenlogischmiteinander verknüpfen, indemSie entweder Und oderOder ausderAuswahlliste vor einer Bedingung auswählen. Die folgenden Bedingungen könnengesetzt werden:

l Aus diesen Quellnetzwerken:Wählen Sie dieseOption, umQuellhosts/-netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregelausgenommenwerden sollen.Geben Sie die entsprechenden Hosts oderNetzwerke in dasFeldHosts/Netzwerke ein, dasnach Auswahl der Bedingunggeöffnet wird.

l Diese URLs betreffend:Wählen Sie dieseOption, um Zieldomänenhinzuzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregelausgenommenwerden sollen.Fügen Sie die entsprechenden Domänen zum FeldZieldomänen hinzu, dasnach Auswahl der Bedingung geöffnet wird.Beispiel:^https?://[^.]*\.domain.comdeckt HTTP(S)-Verbindungen zu allenSubdomänen dieser Domäne ab.

Hinweis –Wenn Sie den Transparenzmodus verwenden und SSL-Scanaktiviert ist, müssen Sie die Zieldomäne(n) als IP-Adresse(n) angeben.Andernfallswird die Ausnahme aus technischenGründen fehlschlagen.

l Von diesen Benutzern/Gruppen kommend:Wählen Sie dieseOption, umBenutzer oder Benutzergruppen hinzufügen, die von den Sicherheitsprüfungendieser Ausnahmeregel ausgenommenwerden sollen.Geben Sie dieentsprechenden Benutzer oder Gruppen im FeldBenutzer/Gruppen ein, dasnach Auswahl der Bedingung geöffnet wird. Im Standardmodus funktioniert imÜbrigen der Abgleich basierend auf bestimmten Benutzern/Gruppen nicht, weildie Authentifizierung entfällt.

l Zu diesen Website-Kategorien gehend:Wählen Sie dieseOption, umSicherheitsprüfungen für bestimmte Kategorien auszunehmen.Wählen Sie danndie Kategorien ausder Liste aus, die sich nach Auswahl der Bedingung öffnet.




9.1.6 ErweitertDie RegisterkarteWebProtection >Webfilter >Erweitert bietet zusätzlicheKonfigurationsoptionen für denWebfilter wie z. B. Zwischenspeicherung (engl. Caching) oderPorteinstellungen.

Streaming-Einste llungenStreaming-Inhalte nicht scannen:Wenn dieseOption aktiviert ist, werden typische Audio-und Video-Streaminginhalte nicht auf ihren Inhalt hin gescannt. DasAbschalten dieser Optionwird diemeistenMediastreamspraktisch deaktivieren, da sie nicht in vertretbarer Zeit gescanntwerden können. Daher wird empfohlen, dieseOption eingeschaltet zu lassen.

Transparenzmodus-AusnahmenDieseOption ist nur von Bedeutung, wenn der Webfilter im Transparenzmodusarbeitet.Hostsund Netzwerke, die in den FeldernAuszunehmendeHosts/Netze aufgeführt sind, sind nichtTeil der transparenten Überwachung von HTTP-Verkehr. Esgibt ein Feld für Quell- und einsfür Zielhosts/-netzwerke.Um dennoch HTTP-Datenverkehr (ohne Proxy) für alle diese Hostsund Netzwerke zu erlauben, wählen Sie die OptionHTTP-Verkehr für aufgeführte Hosts/Netzezulassen. Wenn Sie dieseOption nicht wählen, müssen Sie spezielle Firewallregeln für die hieraufgeführten Hosts und Netzwerke anlegen.

Proxy Auto Conf iguration (Automatische Proxy-Konf iguration)Die automatische Proxy-Konfiguration ist eine Funktion, die es Ihnen ermöglicht, eineautomatische Proxy-Konfigurationsdatei (PAC-Datei, ProxyAuto Configuration) zentralbereitzustellen, welche dann von Browsern selbsttätig abgeholt werden kann. Die Browserwiederum konfigurieren ihre Proxy-Einstellungen nach den Angaben, die in der PAC-Dateiaufgeführt sind.

Die PAC-Datei heißtwpad.dat, hat denMIME-Typ application/x-ns-proxy-autoconfigund wird von der UTM bereitgestellt.Sie enthält die Informationen, die Sie im Textfeldeingeben, z. B.:

function FindProxyForURL(url, host)

{ return "PROXY proxy.beispiel.de:8080; DIRECT"; }




Die obige Funktion weist den Browser an, alle Seitenanfragen an den Proxy-Serverproxy.beispiel.deauf Port 8080umzuleiten.Wenn der Proxynicht erreichbar ist, wird einedirekte Verbindungmit dem Internet hergestellt.

Der Hostname kann auch als die Variable ${asg_hostname}angegeben werden. Das istbesonders dann nützlich, wennmithilfe von Astaro CommandCenter die gleiche PAC-Datei fürmehrere SophosUTMs implementiert werden soll. Die Variable wirdmit demHostnamen derentsprechenden SophosUTM instanziiert. Die Variable ausobigemBeispiel ließe sichfolgendermaßen einsetzen:

function FindProxyForURL(url, host)

{ return "PROXY ${asg_hostname}:8080; DIRECT"; }

Umeine PAC-Datei für Ihr Netzwerkbereitzustellen, haben Sie die folgendenMöglichkeiten:

l Bereitstellung über Browserkonfiguration:Wenn Sie die OptionAutomatische Proxy-Konfiguration aktivierenwählen, wird die PAC-Datei über den UTMWebfilter unter derURL in der folgenden Form verfügbar sein: http://IP-of-UTM:8080/wpad.dat. Umdiese Datei zu verwenden, geben Sie ihre URL in der automatischen Proxy-Konfigurationseinstellung jener Browser an, die den Proxy verwenden sollen.

l Bereitstellung über DHCP: Sie können dafür sorgen, dass Ihr DHCP-Server die URLder PAC-Datei zusammenmit der Client-IP-Adresse vergibt. Wählen Sie dazu dieOptionAutomatische Proxy-Konfiguration aktivieren in Ihrer DHCP-Serverkonfigurationaus (siehe KapitelNetzwerkdienste >DHCP).Ein Browser wird sich dann automatischdie PAC-Datei abholen und seine Einstellungen entsprechend konfigurieren.

Hinweis –Die Bereitstellung über DHCP funktioniert ausschließlichmit demMicrosoftInternet Explorer.Bei allen anderen Browsernmüssen Sie die PAC-Dateimanuellbereitstellen.

Sonstige Einste llungenWebfilter-Port: In diesemEingabefeld wird die Portnummer für Client-Anfragen an denWebfilter festgelegt.Standardmäßig ist der Port 8080eingetragen.

Hinweis –DieOption ist nur gültig, wenn der Proxynicht im Transparenzmodusarbeitet.

Besuchte Seiten protokollieren:Wählen Sie dieseOption, umURLsvon besuchten Seitenzusammenmit Benutzernamen und Client-IP-Adresse der Anfrage zu protokollieren.


Blockierte Seiten protokollieren:Wählen Sie dieseOption, umURLsvon blockierten Seitenzusammenmit Benutzernamen und Client-IP-Adresse der Anfrage zu protokollieren.

Hinweis –Die Protokollierungsoptionen können auch individuell festgelegt werdenmit Hilfeeiner Ausnahme (siehe KapitelWebfilter >Ausnahmen) oder einer Filteraktion für Profile(siehe KapitelWebfilter-Profile > Filteraktionen).

Unscannbare und verschlüsselte Dateien blockieren:Wählen Sie dieseOption, umDateien zu blockieren, die nicht gescannt werden konnten. Der Grund hierfür kann unteranderem sein, dassDateien verschlüsselt oder beschädigt sind.

MIME-Blockierung untersucht HTTP-Body: Nicht nur der HTTP-Header wird nachblockiertenMIME-Typen durchsucht, sondern auch der HTTP-Body. Beachten Sie, dassdasEinschalten dieser Funktion sich negativ auf die Leistung desSystemsauswirken kann.

Zugelassene Zieldienste:Wählen Sie ausdem Feld Zugelassene Zieldienste die Diensteaus, auf die der Webfilter zugreifen darf. Standardmäßig sind bereits die Dienstemit Portsenthalten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutztwerden:HTTP (Port 80),HTTPS (Port 443), FTP (Port 21), LDAP (Port 389), LDAP-SSL(Port 636),Webfilter (Port 8080),UTMSpamRelease (Ports3840–4840) undUTMWebAdmin (Port 4444).

Standardzeichensatz: DieseOption wirkt sich darauf aus, wie der ProxyDateinamen imFenster Download-Verwaltung anzeigt. URLs (und Dateinamen, auf die sie vielleichtverweisen), die in ausländischen Zeichensätzen kodiert sind, werden von UTF-8 in den hierdefinierten Zeichensatz umgewandelt, es sei denn, der Server übermittelt einen anderenZeichensatz.Wenn Sie sich in einem Land oder einer Region befinden, die einen Zwei-Byte-Zeichensatz verwendet, sollten Sie dieseOption auf den „nativen“ Zeichensatz für diesesLand/diese Region setzen.

Suchdomäne: Sie können hier eine zusätzliche Domäne angeben, die durchsucht wird, wennder erste DNS-Lookup kein Ergebnis liefert („NXDOMAIN“). Dann wird eine zweite DNS-Anfrage gestartet, die die hier angegebene Domäne an den ursprünglichen Hostnamenanhängt.Beispiel: Ein Benutzer gibt http://wikiein undmeint damitwiki.intranet.beispiel.de.Die URL kann jedoch nur aufgelöst werden, wenn Sieintranet.beispiel.de in dasFeldSuchdomäne eintragen.

Authentifizierungs-Zeitüberschreitung: DieseOption ermöglicht es Ihnen, die Zeit inMinuten anzugeben, die zwischen zweiBenutzer-Authentifizierungsaufforderungen liegt,wenn die transparente Benutzerauthentifizierung eingeschaltet ist.




Authentifizierungsbereich: Der Authentifizierungsbereich (engl. authentication realm) istder Name der Quelle, die ein Browser zusammenmit der Authentifzierungsanfrage anzeigt,wenn der Proxy imModusEinfache Benutzerauthentifizierung arbeitet.Er legt den geschütztenBereich entsprechend der Spezifikation RFC 2617 fest. Sie können hier einen beliebigenAusdruckeingeben.

Routing von übergeordneten HTTP/S-ProxiesEin übergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Ländern benötigt, indenen der Zugang zum Internet nur über einen staatlich kontrollierten Proxyerlaubt ist. FallsIhre Sicherheitsbestimmungen die Nutzung von einem oder mehreren übergeordnetenProxieserforderlichmachen, können Sie diese hier hinzufügen oder auswählen.

Wenn dasFeld leer ist, müssen Sie zunächst eine übergeordnete Proxy-Definition anlegen.Gehen Sie folgendermaßen vor:

1. Klicken Sie auf das Plussymbol in der Kopfzeile des Feldes.DasDialogfenster Übergeordneten Proxyhinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesen übergeordneten Proxyein.


Proxy für diese Hosts verwenden: Fügen Sie Hosts zu diesem Feld hinzu, für die einübergeordneter Proxy verwendet werden soll, z. B. *.wikipedia.org. Sie können hiermusterbasierte Suchausdrücke (PatternMatching) verwenden. Reguläre Ausdrückesind hingegen nicht zugelassen.Wenn Sie dasFeld leer lassen, wird, sobald SieSpeichern klicken, automatisch ein Asterisk (*) hinzugefügt, der alle Hosts umfasst. Einesolche Proxy-Definition kann daher alsErsatzproxyangesehen werden, der greift, wennkeiner der anderen eventuell vorhandenen Proxiesdie Bedingungen erfüllt.

Übergeordneter Proxy:Wählen Sie die Netzwerkdefinition desübergeordneten Proxyausoder fügen Sie sie hinzu.

Port: Der Standardport für die Verbindung zum übergeordneten Proxy ist 8080.WennIhr übergeordneter Proxyeinen anderen Port erfordert, können Sie diesen hier ändern.

Proxy erfordert Authentifizierung: Falls der übergeordnete ProxyAuthentifizierungerfordert, geben Sie den Benutzernamen und dasKennwort hier ein.

3. Klicken Sie auf Speichern.Der neue übergeordnete Proxywird in dem FeldÜbergeordnete Proxiesangezeigt.


http://www.faqs.org/rfcs/rfc2617.html

http://www.faqs.org/rfcs/rfc2617.html

Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.Um eine übergeordneteProxy-Definition zu bearbeiten oder zu löschen, rufen Sie die RegisterkarteWebfilter-Profile >Übergeordnete Proxiesauf.

Aktivieren Sie die Verwendung von übergeordneten ProxiesdurchMarkieren desAuswahlfelds vor dem jeweiligen Proxy.Wenn Siemehr als einen Proxyausgewählt haben,können Sie die Proxiesmit Hilfe der blauen Pfeile sortieren. Gewählte übergeordnete Proxieswerden der Reihe nach angewandt, bis der erste Proxy zutrifft. Die Reihenfolge derAbarbeitung richtet sich dabei nach der Positionsnummer, d. h. wenn Sie die Reihenfolge derProxiesändern, ändern Sie gleichzeitig die Reihenfolge der Abarbeitung.

Sie können die Verwendung von übergeordneten Proxiesauch profilbasiert organisieren(weitere Informationen finden Sie im KapitelWebfilter-Profile > Filteraktionen).

Übergeordnete Proxies und Website-Kategorisierung

Wenn Sie über den übergeordneten ProxyDatenbankaktualisierungen und Kategorisierungs-Lookupsdurchführenmöchten, müssen Sie zunächst die folgenden Hosts für diesenübergeordneten Proxy festlegen:

l list.smartfilter.com (mit lokaler Kategorisierungsdatenbank)

l cffs*.astaro.com (mit TCP-Kategorisierung)

Wenn Sie einen übergeordneten Proxy konfiguriert haben, der alle Hosts umfasst (*), müssenSie diese Hosts nicht angeben. Beachten Sie, dassSie auch unterschiedliche übergeordneteProxies für bestimmte Hosts festlegen können und dassder letzte übergeordnete Proxy für alleHosts zuständig sein soll (*). Dann wird nur jener Datenverkehr über den letzten Proxygeroutet, der nicht zu den anderen übergeordneten Proxiespasst.

HTTP-Zwischenspe icherungZwischenspeichern aktivieren:Wenn dieseOption aktiviert ist, hält der Webfilter einenZwischenspeicher auf Festplatte vor, um Anfragen zu häufig besuchtenWebsites schnellerbeantworten zu können.

SSL-Inhalte zwischenspeichern:Wählen Sie dieseOption, umSSL-verschlüsselte Datenebenfalls – unverschlüsselt – auf der Festplatte zu speichern.

Inhalte mit Cookies zwischenspeichern: Cookieswerden oft für Authentifizierungszweckeverwendet.Wenn dieseOption aktiviert ist, werden HTTP-Antworten, die Cookiesenthalten,ebenfalls zwischengespeichert. DiesesVorgehen kann aber zu Datenschutz-Problemenführen, da Benutzer, die auf die gleiche Seite zugreifen wollen, sehr wahrscheinlich die Seite




ausdem Zwischenspeicher erhalten, welche dann den Cookie einesanderen Benutzersenthält.

Wichtiger Hinweis –DasZwischenspeichern von SSL- und/oder Cookie-Inhalten stellt einwichtigesSicherheitsproblem dar, da die Inhalte von jedemBenutzer mit SuperAdmin-Rechten eingesehen werden können.

Zwischenspeicher leeren: Sie können alle zwischengespeicherten Seiten löschen, indemSie auf Zwischenspeicher leeren klicken.

MAC OS X Single Sign-OnWenn SieApple OpenDirectorySSOalsAuthentifizierungsmethode nutzen, müssen Sie eineMACOSXSingle Sign-On KerberosSchlüsseldatei hochladen, damit die Authentifizierungfunktioniert.Generieren Sie die Schlüsseldatei und laden Sie sie durch einen Klick aufSchlüsseldatei hochladen hoch.Für weitere Informationen dazu, wie Sie die Schlüsseldateigenerieren können, lesen Sie bitte die Kerberos-Dokumentation.

9.1.7 HTTPS-CAsAuf der RegisterkarteWebProtection >Webfilter >HTTPS-CAs können Sie die Signierungs-und Verifizierungs-Zertifizierungsinstanzen (CAs, Certificate Authorities) für HTTPS-Verbindungen verwalten.

Signie rungs-CAIn diesemAbschnitt können Sie Ihr Signierungs-CA-Zertifikat hochladen, dasSignierungs-CA-Zertifikat neu erstellen oder das vorhandene Signierungs-CA-Zertifikat herunterladen.Standardmäßig wird dasSignierungs-CA-Zertifikat ausden Informationen erzeugt, diewährend der Grundkonfiguration eingegeben wurden, d. h. es stimmtmit den Informationenauf der RegisterkarteVerwaltung >Systemeinstellungen >Organisatorischesüberein, es seidenn, eswurden inzwischen Änderungen vorgenommen.

Um ein neuesSignierungs-CA-Zertifikat hochzuladen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Hochladen.DasDialogfenster PKCS#12-Zertifikatsdatei hochladenwird geöffnet.


2. Navigieren Sie zu der Datei, die Sie hochladen wollen.Klicken Sie auf dasOrdnersymbol neben dem FeldDatei, klicken Sie aufDurchsuchen imDialogfenster Datei hochladen, wählen Sie dashochzuladende Zertifikat ausund klickenSie aufHochladen starten.

Sie können nur Zertifikate im PKCS#12-Format hochladen, die kennwortgeschützt sind.

3. Geben Sie das Kennwort ein.Geben Sie dasKennwort zweimal in die entsprechenden Felder ein und klicken Sie aufSpeichern.

Dasneue Signierungs-CA-Zertifikat wird installiert.

Um Ihr Signierungs-CA-Zertifikat neu zu erstellen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neu erstellen.DasDialogfenster Neue Signierungs-CA erstellenwird geöffnet.

2. Ändern Sie die Informationen.Ändern Sie die angegebenen Informationen gemäß Ihren Bedürfnissen und klicken SieaufSpeichern.

Dasneue Signierungs-CA-Zertifikat wird erstellt.Die Informationen zur Signierungs-CAim AbschnittSignierungs-CA ändern sich entsprechend.

Um dasSignierungs-CA-Zertifikat herunterzuladen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Herunterladen.DasDialogfenster Zertifikatdatei herunterladenwird geöffnet.

2. Wählen Sie das Dateiformat aus, das Sie herunterladen wollen.Sie können zwischen zwei verschiedenen Formaten wählen:

l PKCS#12: DiesesFormat ist verschlüsselt, geben Sie deshalb bitte ein Kennwortein.

l PEM: DiesesFormat ist unverschlüsselt.

3. Klicken Sie auf Herunterladen.Die Dateiwird heruntergeladen.

Wenn Sie für Ihre internenWebserver Zertifikate verwenden, die von einer eigenen CA signiertsind, ist es ratsam, diesesCA-Zertifikat in denWebAdmin alsVertrauenswürdigeZertifizierungsinstanz (Trusted Certificate Authority) hochzuladen. Andernfallswird Benutzerneine Fehlermeldung vomWebfilter angezeigt, die ihnenmitteilt, dassdasServerzertifikat nichtvertrauenswürdig ist.Um die Ausstattung der Clientsmit demProxy-CA-Zertifikat zu vereinfachen, können Benutzer




dasZertifikat selbst über http://passthrough.fw-notify.net/cacert.pem herunterladen und es inihremBrowser installieren. DieWebsite-Anfrage wird direkt vomProxyakzeptiert undverarbeitet.Deshalb ist es notwendig, zunächst denWebfilter auf der RegisterkarteWebfilter >Allgemein zu aktivieren.

Hinweis – Falls der Proxynicht im Transparenzmodusarbeitet, mussder Proxy im BrowserdesBenutzers aktiviert werden. Sonst kann der Download-Link nicht erreicht werden.

Wenn dasBenutzerportal aktiviert ist, können Benutzer alternativ dasProxy-CA-Zertifikat auchausdemBenutzerportal, RegisterkarteHTTPS-Proxy, herunterladen.

HTTPS-Problemen vorbeugenWenn Sie HTTPS verwenden, sindWindows-SystemprogrammewieWindowsUpdate undWindowsDefender nicht in der Lage, Verbindungen aufzubauen, weil sie mitSystembenutzer-Rechten laufen. Dieser Benutzer vertraut aber standardmäßig der Proxy-CA nicht. Deshalb ist es notwendig, dasHTTPS-Proxy-CA-Zertifikat für den Systembenutzerzu importieren.Gehen Sie folgendermaßen vor:

1. Öffnen Sie unter Windows die Microsoft Management Console (mmc).

2. Klicken Sie im Menü auf Datei und dann auf Snap-In hinzufügen/entfernen.DasDialogfenster Snap-In hinzufügen/entfernenwird geöffnet.

3. Klicken Sie unten im Fenster auf Hinzufügen.DasDialogfenster EigenständigesSnap-In hinzufügenwird geöffnet.

4. Wählen Sie aus der Liste Zertifikate und klicken Sie auf Hinzufügen.Ein Assistent wird geöffnet.

5. Wählen Sie Computerkonto und klicken Sie auf Weiter.

6. Stellen Sie sicher, dass Lokaler Computer ausgewählt ist und klicken Sie aufFertigstellen und dann auf Schließen.Daserste Dialogfenster enthält nun dasObjekt Zertifikate (Lokaler Computer).

7. Klicken Sie auf OK.DasDialogfenster wird geschlossen, und der Konsolenstamm enthält nun dasObjektZertifikate (Lokaler Computer).

8. Öffnen Sie im Konsolenstamm links Zertifikate > VertrauenswürdigeStammzertifizierungsinstanzen, klicken Sie mit der rechten Maustaste aufZertifikate und wählen Sie Alle Aufgaben > Importieren aus dem


http://passthrough.fw-notify.net/cacert.pem

http://passthrough.fw-notify.net/cacert.pem

Kontextmenü.Der Import-Assistent wird geöffnet.

9. Klicken Sie auf Weiter.Der nächste Schritt wird angezeigt.

10. Wechseln Sie zu dem zuvor heruntergeladenen HTTPS-Proxy-CA-Zertifikat,klicken Sie auf Öffnen und dann auf Weiter.Der nächste Schritt wird angezeigt.

11. Stellen Sie sicher, dass Alle Zertifikate in folgendem Speicher speichernausgewählt ist und klicken Sie auf Weiter und auf Fertig stellen.Der Import-Assistent meldet, dassder Import erfolgreich war.

12. Bestätigen Sie die Meldung des Import-Assistenten.DasProxy-CA-Zertifikat wird nun unter den vertrauenswürdigen Zertifikaten aufgeführt.

13. Speichern Sie die Änderungen.Klicken Sie imMenü aufDateiund dann aufSpeichern, um die Änderung amKonsolenstamm zu speichern.

Nach diesem Importvorgang wird der CA systemweit vertraut, und es sollten keineVerbindungsprobleme aufgrund desHTTPS-Proxysmehr auftreten.

Ver if iz ie rungs-CAsIn diesemBereich können Sie Ihre Verifizierungs-CAsverwalten. Das sindZertifizierungsinstanzen, denen Sie generell vertrauen, d. h. Websites, die gültige Zertifikatevorweisen, welche von diesen CAssigniert sind, werden vomHTTPS-Proxyalsvertrauenswürdig eingestuft.

Lokale Verifizierungs-CAs: Sie können weitere Verifizierungs-CAszur untenstehenden CA-Liste hinzufügen. Gehen Sie folgendermaßen vor:

1. Klicken Sie auf das Ordnersymbol neben dem Feld Lokale CA hochladen.DasDialogfenster Datei hochladenwird geöffnet.

2. Wählen Sie das Zertifikat aus, das Sie hochladen wollen.Klicken Sie aufDurchsuchen und wählen Sie dasCA-Zertifikat, dasSie hochladenwollen. Folgende Dateierweiterungen werden für Zertifikate unterstützt:

l cer, crtund der: Diese binären Zertifikattypen gleichen sich weitgehend.

l pem: Base64-codierte DER-Zertifikate.



9.2Webfilter-Profile 9 Web Protection

3. Laden Sie das Zertifikat hoch.Klicken Sie aufHochladen starten, um dasgewählte Zertifikat hochzuladen.

DasZertifikat wird installiert und im Abschnitt Lokale Verifizierungs-CAsangezeigt.

Globale Verifizierungs-CAs: Die Liste der hier aufgeführten Verifizierungs-CAs ist identischzu den Verifizierungs-CAs, die in Mozilla Firefox vorinstalliert sind. Sie können jedoch einenoder alle Verifizierungs-CAsauf der Liste deaktivieren, wenn Sie sie nicht für vertrauenswürdighalten. Um dasZertifikat einer CA zurückzuziehen (engl. revoke), klicken Sie auf seineStatusampel. Die Statusampelwird daraufhin rot und der HTTPS-Proxywird keineWebsitesmehr zulassen, die von dieser CA signiert sind.

Tipp –Klicken Sie auf dasblaue Infosymbol, um den Fingerabdruckder CA zu sehen.

Der HTTPS-Proxy zeigt Clients eine Fehlerseite mit demHinweis „Blocked Content“, wenn dieCAunbekannt oder deaktiviert ist.Sie können jedoch eine Ausnahme für solche Seitenerstellen: entweder über den LinkAusnahme anlegen auf der Fehlerseite desWebfilters oderüber die RegisterkarteWebProtection >Webfilter >Ausnahmen.

Hinweis –Wenn Sie auf den LinkAusnahme anlegen auf der Fehlerseite desWebfiltersklicken, wird ein Anmeldedialog angezeigt.Nur Benutzer mit Admin-Rechten könnenAusnahmen anlegen.

9.2 Webfilter-ProfileSophosUTMverfügt über einenWebfilter, der dafür ausgelegt und optimiert ist zu kontrollieren,welche Internetinhalte für welchen Teil desNetzwerks zugänglich sind. Dadurch hindert erBenutzer daran, Inhalte zu sehen, die Sie vielleicht ablehnen. Sie können denWebfilter sokonfigurieren, dasser ausgewählte Netzwerke global überwacht. Alternativ dazu können SieindividuelleWebfilter-Profile anlegen, die verwendet werden können, um verschiedeneSicherheitsrichtlinien auf verschiedene Netzwerksegmente anzuwenden. Auf dieseWeisekönnen Sie unterschiedliche Richtlinien für die verschiedenen Abteilungen innerhalb IhresUnternehmensdefinieren, sogar mit unterschiedlichen Benutzerauthentifizierungsmethoden.

In diesemKapitelwird beschrieben, wie Sie Filteraktionen hinzufügen und diesemitWebfilter-Profilen von SophosUTM verwenden.Es ist hierbei sinnvoll, die Registerkarten derWebfilter-Profile von hinten nach vorne zu konfigurieren.Dasbedeutet, dassSie damit beginnen sollten,


Filteraktionen zu definieren, welche dann in den sogenannten Filterzuweisungen bestimmtenBenutzern und Benutzergruppen zugeordnet werden. Diese Zuweisungen wiederumverwenden Sie dann zur Konfiguration der Webfilter-Profile.

9.2.1 Übersicht

Hinweis –UmWebfilter-Profile konfigurieren zu können, mussder Webfilter eingeschaltetsein.

DasFlussdiagramm stellt schematisch dar, wie Filteraktionen, Filterzuweisungen undWebfilter-Profile miteinander zusammenhängen.Wenn eine HTTP-Anfrage hereinkommt,bestimmt der Webfilter zunächst, welchesWebfilter-Profil angewendet werdenmuss. Dashängt gänzlich von der Quelladresse der Anfrage ab. Daserste Profil, dasauf die Quelladresseder Anfrage zutrifft, wird verwendet. Alle anderenWebfilter-Profile, die vielleicht nochvorhanden sind, werden ignoriert.

Intern werden alle Profile in einer einzigen Datei gespeichert, wobei sich dasStandardprofil amEnde der Liste befindet. Solange noch kein anderesHTTP-Profil konfiguriert wurde, gibt es nurdasStandardprofil.Wenn Sie beginnen, eigeneWebfilter-Profile hinzuzufügen und siemithilfeder AuswahllistePosition sortieren, bleibt dasStandardprofil am Ende der Liste. Dadurch istsichergestellt, dases immer zuletzt angewendet wird.

DasStandardprofil ist jedoch keinProfil, dasexplizit über die Registerkarten unterWebProtection >Webfilter-Profile konfiguriert werden kann.Stattdessen wird es vomSystemautomatisch generiert, wenn Sie denWebfilter auf den RegisterkartenWebProtection >Webfilter konfigurieren.Die Zugelassenen Netzwerke, die auf der RegisterkarteWebProtection >Webfilter >Allgemein konfiguriert werden, entsprechen denQuellnetzwerkeneinesWebfilter-Profils.Die Einstellungen im FeldBenutzer/Gruppen (RegisterkarteWebProtection >Webfilter >Allgemein, wenn der BetriebsmodusEinfacheBenutzerauthentifizierung ausgewählt ist) werden zumStandardprofil. Dahingegenentsprechen die Einstellungen auf der RegisterkarteWebProtection >Webfilter >URL-Filterung einer Filteraktion. Zuletzt, wenn nicht einmal dasStandardprofil zutrifft, wird dieHTTP-Anfrage blockiert.

Anschließend wird geprüft, welche Filterzuweisungmit diesemWebfilter-Profil verknüpft ist.Falls keine Filterzuweisung zutrifft, wird die Ersatzaktion (FallbackAction) für die Anfrageausgeführt. Bei der Ersatzaktion handelt es sich um eine spezielle Filteraktion, die dieSicherheitspolitik IhresUnternehmenswiderspiegeln sollte. Im Falle einer sehr strengen


9 Web Protection 9.2Webfilter-Profile


Sicherheitspolitik können Sie einen speziellen Filter alsErsatzaktion anlegen, der dengesamten Internetdatenverkehr ohne Ausnahme blockiert.

Um den Benutzern innerhalb einesNetzwerksegments unterschiedliche Sicherheitsstufen zubieten, brauchen Sie nur einWebfilter-Profil zu konfigurieren, dasmit unterschiedlichenFilterzuweisungen verknüpft ist. Die Zugriffsrechte für einen bestimmten Benutzer hängendann von den Einstellungen in der ausgewählten Filterzuweisung ab.AusdiesemGrund ist esnicht sinnvoll, zweiProfile mit genau den gleichenQuellnetzwerken zu konfigurieren, da daszweite Profil in diesem Fall niemals aktiviert wird.

9.2.2 Proxy-ProfileDie Profile werden dazu genutzt, unterschiedliche Richtlinien für den Inhaltsfilter zu definieren,um anschließend verschiedene Richtlinien auf verschiedene Adressen IhresNetzwerksanwenden zu können. Auf dieseWeise können Sie unterschiedliche Richtlinien für dieverschiedenen Abteilungen innerhalb IhresUnternehmensdefinieren. Zusätzlich kann jedemProfil seine eigeneMethode zur Benutzerauthentifizierung zugewiesen werden.

Um ein Proxy-Profil anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neues Proxy-Profil.DasDialogfenster Proxy-Profil erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesesProfil ein.

Position: Die Positionsnummer legt die Priorität desProxy-Profils fest. NiedrigereNummern haben eine höhere Priorität. Proxy-Profile werden in aufsteigenderReihenfolge abgeglichen. Sobald ein Proxy-Profil zutrifft, werden Proxy-Profile mit einerhöheren Nummer nicht mehr abgeglichen. Platzieren Sie die spezifischeren Profile obenin der Liste, um sicherzustellen, dassweniger restriktive Profile zuletzt abgeglichenwerden.

Quellnetzwerke:Wählen Sie die Netzwerke aus, die diesesProfil verwenden sollen(Pflichtfeld).

Warnung –Stellen Sie sicher, dassSie keine Quellnetzwerke auswählen, die schon inanderen Profilen verwendet werden. Andernfalls kann es zu Unstimmigkeiten in derZuordnung von Filteraktionen und Benutzer/Gruppen kommen, woraufhin vielleicht


Benutzer einesbestimmten NetzwerksegmentsWebsites öffnen können, auf die sienicht zugreifen können sollen.

Filterzuweisungen:Wählen Sie eine Filterzuweisung aus.Eine Filterzuweisung ist eineMenge vonWeb-Protection-Konfigurationseinstellungen, die verwendet werdenkönnen, um verschiedene Schutzstufen verschiedenen Benutzern/Gruppen zubeliebigen Zeitpunkten zuweisen zu können (weitere Informationen finden Sie unterWebProtection >Webfilter-Profile > Filterzuweisungen). Sie können auchmehrereFilterzuweisungen auswählen. Darüber hinaus können Sie festlegen, welcheFilterzuweisung zuerst angewendet werden soll. Das ist zumBeispiel nützlich, wenn Sieverschiedene Filterzuweisungen demselben Benutzer oder derselben Benutzergruppezu unterschiedlichen Zeiten zuweisen wollen. Einfach ausgedrückt, sollten Sie diespezifischeren Zuweisungen oben in der Liste platzieren, um sicherzustellen, dassdieamwenigsten restriktiven Zuweisungen zuletzt abgeglichen werden. Benutzen Sie dafürdie blauen Pfeile, die erscheinen, wenn Siemindestens zwei Filter ausgewählt haben.

Hinweis –Sie können auch eineStandard-Filterzuweisung auswählen, die dieStandard-Filteraktion den Benutzern/Gruppen zugewiesen hat, die auf derRegisterkarteWebfilter >Allgemein konfiguriert wurden, vorausgesetzt, der Webfilterläuft in einem der dreiBetriebsmodiEinfache Benutzerauthentifizierung,ActiveDirectorySSOoder eDirectorySSO.Beachten Sie außerdem, dassSie eineFilterzuweisung verwenden können, die Benutzer undGruppen beinhaltet, selbstwenn Sie den BetriebsmodusaufStandard oder Transparent setzen. Allerdingswerden in diesem Fall die Benutzer undGruppen ignoriert und nur Zeitereignisse, diein der Filterzuweisung definiert sind, werden im Proxy-Profil berücksichtigt.

Ersatzaktion: Bei der Ersatzaktion handelt es sich um eine spezielle Filteraktion, die dieSicherheitspolitik IhresUnternehmenswiderspiegeln sollte. Diese Filteraktion wird alsletztes abgeglichen, nachdem keine der anderen Filteraktionen zugetroffen hat. Im Falleeiner sehr strengen Sicherheitspolitik können Sie einen speziellen Filter alsErsatzaktionanlegen, der den gesamten Internetdatenverkehr ohne Ausnahme blockiert.Übrigensentspricht dieStandard-Filteraktion hier den Einstellungen unterWebProtection >Webfilter >URL-Filterung.

Betriebsmodus: Für jedesProxy-Profil können Sie zwischenmehrerenMethoden zurBenutzerauthentifizierung wählen. Verschiedene Proxy-Profile können unterschiedliche




Authentifizierungsmethoden haben, aber pro Proxy-Profil kann nur eineBenutzerauthentifizierungsmethode verwendet werden.Sie können sogar einenanderen Betriebsmodusauswählen als den auf der RegisterkarteWebfilter >Allgemeinkonfigurierten Betriebsmodus. Beachten Sie jedoch, dassdie Authentifizierung nur wievorgesehen funktioniert, wenn die hier gewählte Authentifizierungsmethode derAuthentifizierungsmethode von allen Benutzer- undGruppenobjekten entspricht, die inallen Filterzuweisungen verwendet werden.Die folgenden Betriebsmodi sindmöglich:

l Standard: Im Standardmodus lauscht der Webfilter standardmäßig nach Client-Anfragen auf Port 8080 und lässt jeden Client zu, der sich in einemNetzwerkbefindet, das im Feld Zugelassene Netzwerke aufgeführt ist.In diesemModusmussder Webfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.

l Active Directory SSO:Wählen Sie dieseOption, wenn SieActive DirectorySingle Sign-On (SSO) auf der RegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Server konfiguriert haben.Dashat den Effekt, dassNTLM-Benutzerauthentifizierung verwendet wird, umClients zu authentifizieren.Beachten Sie, dassdie Funktion nur mit Internet Explorer garantiert wird.IndiesemModusmussder Webfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.

l Apple OpenDirectory SSO:Wählen Sie dieseOption, wenn Sie LDAP auf derRegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Serverkonfiguriert haben und Sie Apple OpenDirectory verwenden.Damit der Proxyrichtig funktioniert, müssen Sie zusätzlich eineMACOSXSingle Sign-OnKerberos-Schlüsseldatei auf der RegisterkarteWebProtection >Webfilter >Erweitert hochladen. In diesemModusmussder Webfilter in der Browser-Konfiguration von jedemClient angegeben sein. Beachten Sie, dassder Safari-Browser SSOnicht unterstützt.

l Einfache Benutzerauthentifizierung: In diesemModusmuss sich jeder Clientgegenüber demProxyauthentifizieren, bevor er ihn verwendet.WeitereInformationen zu den unterstützten Authentifizierungsmethoden finden Sie unterDefinitionen &Benutzer >Authentifizierungsserver.In diesemModusmussderWebfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegebensein.

l eDirectory SSO:Wählen Sie dieseOption, wenn Sie eDirectoryauf derRegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Server


konfiguriert haben.In diesemModusmussder Webfilter in der Browser-Konfiguration jedesClients alsHTTP-Proxyangegeben sein.

l Transparent: Im Transparenzmoduswerden alle Verbindungen von Client-Browseranwendungen auf Port 80 (bzw. Port 443, wenn SSL aktiviert ist)abgefangen und an den Proxyweitergeleitet, ohne clientseitige Konfiguration. DerClient merkt dabei vomProxy-Server nichts. Der Vorteil diesesModus ist, dasskeine zusätzliche Verwaltung oder clientseitige Konfiguration nötig ist; der Nachteilist, dassnur HTTP-Anfragen (Port 80) verarbeitet werden können.Deshalbwerden die Proxy-Einstellungen imClient-Browser unwirksam, wenn SieTransparent alsModuswählen.

Volltransparenzmodus (optional): Wählen Sie die OptionVolltransparenzmodus, um die Quell-IP der Clients zu erhalten, anstatt siedurch die IP desGateways zu ersetzen.Das ist nützlich, wenn Ihre Clientsöffentliche IP-Adressen verwenden, die nicht durch den Proxy verschleiertwerden sollen.

Hinweis – Im Transparenzmodusentfernt der ProxyNTLM-Authentifizierungsheader von HTTP-Anfragen. Darüber hinaus kann der Proxykeine FTP-Anfragen in diesemModusverarbeiten.Wenn Ihre Clients auf solcheDienste zugreifen wollen, müssen Sie den Port (21) in der Firewall öffnen.Beachten Sie auch, dassmancheWebserver einige Daten über einen anderenPort alsPort 80 übermitteln, insbesondere Streaming-Video- und -Audiodaten.Diese Anfragen werden nicht beachtet, wenn der Proxy im Transparenzmodusarbeitet. Um solchen Verkehr zu unterstützen, müssen Sie entweder einenanderenModuswählen oder eine explizite Firewallregel anlegen, die diesenVerkehr erlaubt.

l Transparent mit Authentifizierung: Benutzen Sie diesenModus, damitBenutzer sich authentifizierenmüssen, während der Proxy transparent arbeitet.Wenn Benutzer eineWebsite zum erstenMal öffnen, wird ihnen eineWebseiteähnlich demBenutzerportal präsentiert, auf der sie Benutzername und Kennworteingebenmüssen. Dieser Modusermöglicht die Benutzernamen-basierteVerfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitigeBrowserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungeneinrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und vonden Benutzern akzeptiert werdenmüssen, bevor sie fortfahren können.Weitere




Informationen zu Nutzungsbedingungen finden Sie im KapitelVerwaltung >Anpassungen >Webfilter.

HTTPS-Verkehr (SSL) scannen:Wählen Sie dieseOption, um nicht nur HTTP-Verkehr sondern auch HTTPS-Verkehr zu scannen.


3. Klicken Sie auf Speichern.Dasneue Profil wird in der ListeProxy-Profile angezeigt.

Um ein Proxy-Profil zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

9.2.3 FilterzuweisungenAuf der RegisterkarteWebfilter-Profile > Filterzuweisungen können Sie Filteraktionenbestimmten Benutzern und Benutzergruppen zuweisen.Während eine Filteraktion sich auf das„Was“ bezieht, d. h. sie definiert, welcheWebsites oder Kategorien vonWebsites blockiertwerden sollen, bezieht sich eine Filterzuweisung auf das „Wer“ und „Wann“, indem esdieseAktionen Benutzern und Benutzergruppen zu festgelegten Zeiten zuweist.

Hinweis –Verschiedene Einstellungen, die Sie auf den RegisterkartenWebProtection >Webfilter >Antivirus/Schadsoftware (Antiviren-Scan, Dateierweiterungenfilter, MIME-Typ-Filter, Entfernung von Inhalt) undURL-Filterung (Kategorien, blockierte URLs) konfigurierthaben, werden alsStandard-Filteraktion gespeichert, welche ausder AuswahllisteFilteraktion ausgewählt werden kann.

Um eine Filterzuweisung anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Filterzuweisung.DasDialogfenster Neue Filterzuweisung erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Zuweisung ein.

Benutzer/Gruppen:Wählen Sie die Benutzer undGruppen aus, die eine bestimmteFilteraktion benutzen sollen. Achten Sie darauf, dass Ihre neue Filterzuweisung nur in


Webfilter-Profilen verwendet werden sollte, die die gleiche Authentifizierungsmethodeverwenden wie die hier gewählten Benutzer undGruppen.

Zeitereignis: Zeitereignisse sind einzelne oder wiederkehrende Zeitfenster, die Sieverwenden können, um Firewallregeln oder Filterprofile auf bestimmte Zeiträume zubegrenzen.Weitere Informationen finden Sie unter Definitionen &Benutzer >Zeitraumdefinitionen.

Filteraktion:Wählen Sie die Filteraktion, die Sie den oben gewählten Benutzern undBenutzergruppen zuweisen wollen.


3. Klicken Sie auf Speichern.Die neue Filterzuweisung wird in der Liste Filterzuweisungen angezeigt.

Um eine Filterzuweisung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Wenn Sie einWebfilter-Profil anlegen, können Sie jede Filterzuweisung auswählen.

9.2.4 FilteraktionenAuf der RegisterkarteWebfilter-Profile > Filteraktionen können Sie eine Auswahl vonKonfigurationseinstellungen zuWeb Protection anlegen und bearbeiten, mit der verschiedeneSchutzarten und Schutzstufen angepasst werden können. Filteraktionen könnenverschiedenen Benutzern und Benutzergruppen zugewiesen werden und bieten einenflexiblenWeg, den Internetzugriff zu kontrollieren.

Um eine Filteraktion anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Filteraktion.DasDialogfenster Neue Filteraktion erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Aktion ein.

Modus: Legen Sie fest, ob Ihre Auswahl anWebsites blockiert oder zugelassen werdensoll. Die folgendenOptionen sindmöglich:l Standardmäßig zulassen:Wenn Sie dieseOption wählen, werden alle

Websites außer denen zugelassen, die Sie unten auswählen.




l Standardmäßig blockieren:Wenn Sie dieseOption wählen, werden alleWebsites außer denen blockiert, die Sie unten auswählen.

Schwellenwert:Websites können in folgende Klassen unterteilt werden:Vertrauenswürdig (engl. trusted),Neutral, oder Verdächtig (engl. suspicious).UnklassifizierteWebsiteswerden alsUnüberprüft (engl. unverified) eingestuft. Siekönnen bestimmen, welchen Ruf eineWebsite habenmuss, um für Ihr Netzwerkerreichbar zu sein.Websites unterhalb desgewählten Schwellenwertswerden blockiert.

Spyware-Kommunikation blockieren:Wählen Sie dieseOption, umSpyware(Spionagesoftware) auf demWeg vomServer zumClient zu entdecken und zublockieren. Das verhindert, dassComputer in IhremNetzwerkmit neuer Spywareinfiziert werden. Darüber hinausentdeckt und blockiert diese Funktion Verkehr, der vonbereits installierten Spyware-Programmen ausgeht. Dadurch können bereitsgewonnene Informationen über den Benutzer nicht länger an das Internet übermitteltwerden.Beachten Sie, dassdieseOption nicht verfügbar ist, wenn Sie denModusStandardmäßig blockierenwählen.

Diese Website-Kategorien blockieren:Wählen Sie dieWebsite-Kategorien, dieblockiert werden sollen. Beachten Sie, dass sich dieseOption zuDieseWebsite-Kategorien zulassen ändert, wenn Sie denModusStandardmäßig blockierenwählen.

Unkategorisierte Seiten blockieren: Diese Funktion verhindert, dassder BrowserInternetseitenmit unbekanntem Inhalt öffnet. Diese Funktion kann als zusätzlicheSicherung angesehen werden, falls eine potenziell unerwünschte Internetseite nochnicht als solche kategorisiert wurde.Beachten Sie, dass sich dieseOption zuUnkategorisierte Seiten zulassen ändert, wenn Sie denModusStandardmäßigblockierenwählen.

Diese URLs/Sites blockieren:Geben Sie die URLsvon Seiten an, die blockiertwerden sollen.

Diese URLs/Sites immer zulassen:Geben Sie die URLsvon Seiten an, die immerzugelassen werden sollen.SafeSearch: Sie können die Nutzung von SafeSearch für Suchmaschinen wie Google,Bing und Yahoo erzwingen. Der SafeSearch-Filter entfernt Inhalte ausdenSuchergebnissen, die für Kinder ungeeignet sind, z. B. anstößige oder illegaleSuchtreffer. BeiAktivierung können Benutzer, die über denWebfilter surfen, den Filternicht deaktivieren.


Blockierte Erweiterungen: IndemSie in diesesFeld Dateierweiterungen eintragen,sorgen Sie dafür, dassDateienmit diesemDateityp blockiert werden (z. B. ausführbareBinärdateien). Um eine Dateierweiterung hinzuzufügen, klicken Sie auf dasPlussymbolim FeldBlockierte Erweiterungen und geben Sie die Erweiterung ein, die blockiertwerden soll, zumBeispielexe (ohne den Punkt als Trennzeichen).

Blockierte MIME-Typen: UmeinenMIME-Typ hinzuzufügen, der blockiert werdensoll, klicken Sie auf dasPlussymbol im FeldBlockierte MIME-Typen und geben Sie denMIME-Typ an (z. B. image/gif).

Inhaltsentfernung:Wenn Sie diesesAuswahlkästchenmarkieren, erscheinen diebeidenOptionen JavaScript entfernen undEingebettetesentfernen. Mit diesenOptionenkönnen Sie bestimmen, ob <SCRIPT>- und <OBJECT>-TagsausHTML-Seiten entferntwerden sollen. Dabeiwerden einerseits JavaScript-Funktionen deaktiviert, die in HTML-Seiten eingebettet oder eingebunden sind. Andererseitswerden dynamische Inhalte ausdem eingehenden HTTP/S-Verkehr entfernt, wie etwa ActiveX, Flash oder Java-Applets.

Antiviren-Scan verwenden:Wenn Sie dieseOption wählen, wird eingehenderDatenverkehr nach schädlichem Inhalt gescannt. SophosUTM bietet mehrere Antiviren-Mechanismen für höchste Sicherheit.

Max. Scangröße: Legen Sie dieMaximalgröße von Dateien fest, die von den Antiviren-Enginesgescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.

Die beiden folgendenOptionen sind nützlich, wenn esPersonen oder Mitglieder z. B. desBetriebsratesgibt, deren Aktivitäten keinesfalls protokolliert werden dürfen:l Besuchte Seiten protokollieren: Deaktivieren Sie dieseOption, um besuchte

Seiten von der Protokollierung und Berichterstellung auszuschließen.

l Blockierte Seiten protokollieren: Deaktivieren Sie dieseOption, um blockierteSeiten von der Protokollierung und Berichterstellung auszuschließen.

Übergeordnete Proxies: Sie können beschließen, einen oder mehrereübergeordnete Proxies zu verwenden.Wenn dasFeld leer ist, müssen Sie zunächsteinen übergeordneten Proxyauf der RegisterkarteÜbergeordnete Proxiesanlegen.Markieren Sie dasAuswahlfeld vor einer Proxy-Definition, um dessen Verwendung zuaktivieren.Wenn Siemehrere Proxiesausgewählt haben, können Sie diesemit denblauen Pfeilen sortieren. Gewählte übergeordnete Proxieswerden der Reihe nachangewandt, bis der erste Proxy zutrifft. Die Reihenfolge der Abarbeitung richtet sich




dabei nach der Positionsnummer, d. h. wenn Sie die Reihenfolge der Proxiesändern,ändern Sie gleichzeitig die Reihenfolge der Abarbeitung.

3. Klicken Sie auf Speichern.Die neue Filteraktion wird in der Liste Filteraktionen angezeigt.

Um eine Filteraktion zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Jede Filteraktion kann ausgewählt werden, wenn Sie eine Filterzuweisung oder einWebfilter-Profil anlegen.

Hinweis –Sie sehen hier auch dieStandard-Filteraktion, die standardmäßig alle HTTP/S-Anfragen blockiert, auf die keine andere Filteraktion oder die Einstellungen imMenüWebfilterzutreffen.

9.2.5 Übergeordnete ProxiesEin übergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Ländern benötigt, indenen der Zugang zum Internet nur über einen staatlich kontrollierten Proxyerlaubt ist.Auf derRegisterkarteWebProtection >Webfilter-Profile >Übergeordnete Proxies können Sie dieVerwendung von übergeordneten Proxies konfigurieren, global sowieprofilbasiert.Übergeordnete Proxiesmüssen stets zunächst auf dieser Seite (oder der SeiteWebfilter >Erweitert) konfiguriert werden, bevor sie in Profilen verwendet werden können.

Hinweis –HTTPS-Anfragen im Transparenzmodussindmit übergeordneten ProxiesaustechnischenGründen nichtmöglich, wenn SSL-Scanning aktiviert ist.

Um einen übergeordneten Proxy zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neuer übergeordneter Proxy.DasDialogfenster Neuen übergeordneten Proxyanlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesen übergeordneten Proxyein.



Proxy für diese Hosts verwenden: Fügen Sie Hosts zu diesem Feld hinzu, für die einübergeordneter Proxy verwendet werden soll, z. B. *.wikipedia.org. Sie können hiermusterbasierte Suchausdrücke (PatternMatching) verwenden. Reguläre Ausdrückesind hingegen nicht zugelassen.Wenn Sie dasFeld leer lassen, wird, sobald SieSpeichern klicken, automatisch ein Asterisk (*) hinzugefügt, der alle Hosts umfasst. Einesolche Proxy-Definition kann daher alsErsatzproxyangesehen werden, der greift, wennkeiner der anderen eventuell vorhandenen Proxiesdie Bedingungen erfüllt.

Übergeordneter Proxy:Wählen Sie die Netzwerkdefinition desübergeordneten Proxyausoder fügen Sie sie hinzu.

Port: Der Standardport für die Verbindung zum übergeordneten Proxy ist 8080.WennIhr übergeordneter Proxyeinen anderen Port erfordert, können Sie diesen hier ändern.

Proxy erfordert Authentifizierung: Falls der übergeordnete ProxyAuthentifizierungerfordert, geben Sie den Benutzernamen und dasKennwort hier ein.

3. Klicken Sie auf Speichern.Der neue übergeordnete Proxywird in der ListeÜbergeordnete Proxiesangezeigt.

Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.

Um einen übergeordneten Proxy zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

9.3 Application ControlDie Application-Control-Funktion von UTM ermöglicht Ihnen TrafficShaping und Blockierenvon Netzwerkverkehr basierend auf der Art desVerkehrs.ImGegensatz zur Webfilter-Funktionvon UTM (siehe KapitelWebfilter) unterscheidet der KlassifizierungsmechanismusvonApplication ControlNetzwerkverkehr nicht nur nach Protokoll oder URL, sondern nimmtdetailliertere Unterscheidungen vor.Besonders bei Internetverkehr ist dies nützlich: Verkehr zuWebsites erfolgt normalerweise über dasHTTP-Protokoll auf Port 80 oder dasHTTPS-Protokoll auf Port 443.Wenn Sie Verkehr zu einer bestimmtenWebsite, z. B. facebook.com,blockierenmöchten, können Sie dasauf Grundlage der URL der Website (Webfilter). Siekönnen Verkehr zu Facebookauch unabhängig von einer URL über eine Klassifizierung desNetzwerkverkehrs blockieren.

Die Klassifizierungsengine von UTM nutzt Layer-7-Packet-Inspection für die Klassifizierung vonNetzwerkverkehr.


9 Web Protection 9.3 Application Control

9.3 Application Control 9 Web Protection

Application Control kann auf zweifacheWeise genutzt werden.In einem ersten Schritt müssenSie Application Control auf der SeiteNetzwerksichtbarkeit generell aktivieren, sodassAnwendungen in gewisser Hinsicht „sichtbar“ werden. Jetzt können Sie die Einstellung sobestehen lassen (oder nur für einen bestimmten Zeitraum), um zu sehen, welcheAnwendungen von den Benutzern genutzt werden (z. B. im Flow-Monitor, Protokollierung,Berichterstellung). In einem zweiten Schritt können Sie bestimmte Anwendungen blockierenund andere zulassen.Dieserreichen Siemithilfe von Regeln, die auf der SeiteApplication-Control-Regeln erstellt werden können.Zudem können Sie festlegen, dassDatenverkehrbestimmter Anwendungen bevorzugt behandelt wird. Die Konfiguration erfolgt über AstarosSophosDienstqualität-Funktion (QoS).

9.3.1 NetzwerksichtbarkeitAuf der SeiteWebProtection >Application Control >Netzwerksichtbarkeit können SieApplication Control aktivieren und deaktivieren.

Wenn Application Control aktiviert ist, wird der gesamte Netzwerkverkehr klassifiziert undentsprechend seiner Klassifizierung protokolliert.Aktueller Netzwerkverkehr kann über denFlow-Monitor mit detaillierten Angaben zur Art desDatenverkehrs angezeigt werden (sieheKapitelFlow-Monitor). So werden beispielsweise Daten zumHTTP-Verkehr detailliertaufgeschlüsselt, sodassdie zugrunde liegenden Anwendungen (z. B., Twitter, Facebookusw.)ersichtlich sind. Für Protokollierung und Berichterstellung sind umfangreiche Daten zuNetzwerkverkehr und Klassifizierung sowie Daten zu Clients und Servern verfügbar, die dieAnwendungen nutzen.Weitere Informationen zu Protokollierung und Berichterstellung findenSie im KapitelProtokolle &Berichte. Lesen Sie den AbschnittProtokollansicht für dieProtokollierung und den AbschnittNetzwerknutzung >Bandbreitennutzung undWebProtection >Application Control für die Berichterstellung.

9.3.2 Application-Control-RegelnAuf der SeiteWebProtection >Application Control >Application-Control-Regeln können SieRegeln erstellen, die auf einer Klassifizierung desNetzwerkverkehrs basieren undAnwendungen definieren, deren Datenverkehr für Ihr Netzwerkblockiert oder ausdrücklichzugelassen werden soll.

Standardmäßig wird aller Netzwerkverkehr zugelassen, wenn Application Control aktiviert ist.


Application-Control-Regeln können entweder auf dieser Seite oder über den Flow-Monitorerstellt werden. Letzteres ist eventuell bequemer, doch können Sie nur Regeln für den aktuellim Netzwerkauftretenden Datenverkehr erstellen.

Um eine Application-Control-Regel zu erstellen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Application-Control-Regeln auf Neue Regel.DasDialogfenster NeueRegel erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name (optional): Sie können einen Namen für die Regel eingeben.Wenn Sie dasFeldleer lassen, generiert dasSystem einen Namen für die Regel.

Gruppe: DieOptionGruppe ist nützlich, da Application-Control-Regeln zur besserenÜbersichtlichkeit desRegelwerks zu logischenGruppen zusammengefasst werdenkönnen. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung,aber keinen Einflussauf die Abarbeitung der Regel im Regelwerk.


Aktion:Wählen Sie aus, ob der Datenverkehr blockiert oder zugelassen werden soll.

Kontrollieren durch:Wählen Sie aus, ob der Datenverkehr nach Anwendungsartoder durch einen dynamischen Filter kontrolliert werden soll, der unterschiedlicheKategorien berücksichtigt.

l Anwendungen: Der Datenverkehr wird anwendungsbasiert kontrolliert.WählenSie im FeldDiese Anwendungen kontrollieren eine oder mehrere Anwendungenaus.

l Dynamischer Filter: Der Datenverkehr wird basierend auf Kategorienkontrolliert.Wählen Sie im FeldDiese Kategorien kontrollieren eine oder mehrereKategorien aus.

Diese Anwendungen/Kategorien kontrollieren: Klicken Sie auf dasOrdnersymbol,um Anwendungen/Kategorien auszuwählen. Ein Dialogfenster wird geöffnet, das imnächsten Abschnitt detailliert beschrieben wird.

Produktivität: Nur mitDynamischer Filter. Gibt den von Ihnen gewähltenProduktivitätswert wieder.



9.3 Application Control 9 Web Protection

Risiko: Nur mitDynamischer Filter. Gibt den von Ihnen gewählten Risikowertwieder.

Hinweis –Einige Anwendungen können nicht blockiert werden.Dies ist für einenreibungslosen Betrieb von SophosUTM erforderlich.Bei diesen Anwendungen wird inder Anwendungstabelle desDialogfenstersAnwendung auswählen keinAuswahlkästchen angezeigt. Dies trifft u. a. fürWebAdmin, Teredo,SixXs (für IPv6-Verkehr) undPortal (für Benutzerportal-Verkehr) zu. Auch bei der Verwendungdynamischer Filter wird dasBlockieren dieser Anwendungen automatisch verhindert.

Für:Wählen Sie in diesem Feld Netzwerke oder Hosts aus, deren Netzwerkverkehr vonder Regel kontrolliert werden soll. Sie können auch Netzwerke oder Hosts hinzufügen.Diesgilt sowohl für Quell- als auch für Zielhosts/-netzwerke.

Protokollieren: DieseOption ist standardmäßig ausgewählt und ermöglicht dasProtokollieren von Datenverkehr, auf den die Regel zutrifft.


3. Klicken Sie auf Speichern.

Die neue Regelwird in der ListeApplication-Control-Regeln angezeigt.

4. Aktivieren Sie die Regel.Aktivieren Sie die Regel durch einen Klick auf die Statusampel.

Das Dia logfenste r zur Auswahl von Anwendungen oderKategor ienBeim Erstellen von Application-Control-Regelnmüssen Sie Anwendungen oderAnwendungskategorien ausdemDialogfensterWählen Sie eine oder mehrereAnwendungen/Kategorien, die kontrolliert werden sollen festlegen.

In der Tabelle im unteren Bereich desDialogfensterswerden die Anwendungen angezeigt, dieauswählbar sind oder zu einer definierten Kategorie gehören. Standardmäßig werden alleAnwendungen angezeigt.

Im oberen Bereich desDialogfensters stehen dreiKonfigurationsoptionen zur Wahl, mit derenHilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann:


l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasstalle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt; d. h. alleverfügbaren Anwendungen werden unten in der Tabelle gelistet. Möchten Sie dieangezeigten Anwendungen auf bestimmte Kategorien beschränken, klicken Sie in dieListe mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus.

l Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf dieProduktivität klassifiziert, d. h., wie stark sie die Produktivität beeinflussen. Beispiel:Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzungder Anwendung trägt somit zur Produktivität bei. ImGegensatz dazu ist dasOnlinespielFarmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitztdie Bewertung 3 – er wirkt sich neutral auf die Produktivität aus.

l Risiko: Anwendungen werden auch hinsichtlich ihresRisikosbezüglich Schadsoftware,Virusinfektionen oder Angriffen klassifiziert. Je höher die Bewertung, desto höher dasRisiko.

Tipp – Jede Anwendung verfügt über ein Infosymbol.Wenn Sie darauf klicken, wird eineBeschreibung der jeweiligen Anwendung angezeigt. Sie können die Tabelle mithilfe desFilterfelds in der Kopfzeile durchsuchen.

Abhängig von Ihrer Auswahl im Dialogfenster NeueRegel erstellen gehen Siefolgendermaßen vor:

l Kontrolle durch dynamischen Filter: Klicken Sie einfach aufApply, um die ausgewähltenAnwendungen für die Regel zu übernehmen.

l Anwendungsbasierte Kontrolle:Wählen Sie die zu kontrollierenden Anwendungen in derTabelle aus, indemSie auf die Auswahlkästchen klicken, die vor den Anwendungenangezeigt werden.Klicken Sie aufApply, um die ausgewählten Anwendungen für dieRegel zu übernehmen.

NachdemSie aufApplygeklickt haben, wird dasDialogfenster geschlossen und Sie können dieEinstellungen der Anwendungsregelweiter bearbeiten.

9.3.3 ErweitertAuf der SeiteWebProtection >Application Control >Erweitert können Sie erweiterte Optionenfür Application Control konfigurieren.



9.4 FTP 9 Web Protection

SophosUTM AppAccuracy-ProgrammSie können unsdabei helfen, die Erkennungs- und Klassifizierungsfunktionen im BereichNetzwerksichtbarkeit und Application Control zu verbessern, indemSie amSophosUTMAppAccuracy-Programm teilnehmen. teilnehmen. DasSystem erfasst Daten in Formanonymer Anwendungsprofile und sendet diese an dasForschungsteam von Sophos. Dortwerden die Profile genutzt, um nicht klassifizierte Anwendungen zu identifizieren und dieNetzwerksichtbarkeits- und Application-Control-Bibliothek zu verbessern und zu erweitern.

Applica tion-Contro l-AusnahmenIn diesem Feld aufgeführte Hosts und Netzwerke werden nicht von Application Controlüberwacht und können deshalb weder von Application Control noch von der Quality-of-Service-Auswahl kontrolliert werden. Dasgilt sowohl für Quell- als auch für Zielhosts/-netzwerke.

9.4 FTPAuf der RegisterkarteWebProtection >FTP können Sie den FTP-Proxy konfigurieren.DasFileTransfer Protocol (FTP) ist ein weit verbreitetesNetzwerkprotokoll, umDateien über dasInternet auszutauschen.SophosUTMbietet einen Proxydienst, der als Zwischenstation fürallen FTP-Verkehr in IhremNetzwerkagiert. Dabei bietet der FTP-Proxynützliche Funktionenwie dasScannen von FTP-Verkehr auf Viren oder dasBlockieren von bestimmten Dateitypen,die über dasFTP-Protokoll übertragen werden.

Der FTP-Proxy kann transparent arbeiten, dasheißt, alle FTP-Clients in IhremNetzwerkbauen eine Verbindungmit demProxyauf anstatt mit demwirklichen Zielhost. Der Proxy initiiertdann anhand der Anfrage eine neue Netzwerkverbindung, die für den Client unsichtbarbleibt.Der Vorteil diesesModus ist, dass keine zusätzliche Verwaltung oder clientseitigeKonfiguration nötig ist.

9.4.1 AllgemeinAuf der RegisterkarteWebProtection >FTP>Allgemein können Sie die Grundeinstellungenfür den FTP-Proxy vornehmen.

Um den FTP-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:


1. Aktivieren Sie den FTP-Proxy auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der Abschnitt FTP-Einstellungen kann nun bearbeitetwerden.

2. Wählen Sie die zugelassenen Netzwerke aus.Wählen Sie die Netzwerke aus, die den FTP-Proxy verwenden dürfen.

3. Wählen Sie einen Betriebsmodus aus.Wählen Sie einen Betriebsmodus für den FTP-Proxyaus. Die folgendenModi sindmöglich:

l Transparent: Der Proxy leitet die Client-Anfragen an den Zielserver weiter undscannt den Inhalt. Es ist keine Konfiguration auf Clientseite notwendig.

l Nicht transparent: Für diesenModusmüssen Sie die FTP-Clientskonfigurieren.Verwenden Sie die IP-Adresse desGatewaysund Port 2121.

l Beide: Dieser Modusermöglicht Ihnen, für einige Clients den transparentenModuszu verwenden und für andere den nicht transparentenModus.Konfigurieren Sie für die FTP-Clients, die im nicht transparentenModusbetrieben werden sollen, die Verwendung einesProxymit der IP-Adresse desGatewaysund Port 2121.


Hinweis –Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active DirectoryalsAuthentifizierungsmethode verwenden.UmFTP-Clients zu ermöglichen, sichmit einemsolchen FTP-Server zu verbinden, fügen Sie den FTP-Server auf der RegisterkarteWebProtection >FTP>Erweitert zu den FTP-Proxy-Ausnahmen hinzu.

9.4.2 AntivirusDie RegisterkarteWebProtection >FTP>Antivirusenthält alle Maßnahmen gegenschädlichen oder gefährlichen Inhalt wie Viren,Würmer oder andere Schadsoftware, die fürFTP-Verkehr eingesetzt werden können.

Antiviren-Scan verwenden:Wenn Sie dieseOption wählen, wird der gesamte FTP-Datenverkehr auf schädlichen Inhalt gescannt.SophosUTMbietet mehrere Antiviren-Mechanismen für höchste Sicherheit.


9 Web Protection 9.4 FTP




Max. Scangröße: Legen Sie dieMaximalgröße von Dateien fest, die von den Antiviren-Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nichtgescannt.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.


Date ie rwe ite rungenf ilte rDiese Funktion filtert bestimmte FTP-Transfers basierend auf den übermitteltenDateiendungen (z. B. ausführbare Binärdateien) ausdem Internetverkehr heraus, wenn dieseeine Dateierweiterung besitzen, die in der ListeBlockierte Erweiterungen aufgeführt ist. Siekönnen weitere Dateierweiterungen hinzufügen oder solche Erweiterungen ausder Listelöschen, die nicht blockiert werden sollen.Um eine Dateierweiterung hinzuzufügen, klicken Sieauf dasPlussymbol im FeldBlockierte Erweiterungen und geben Sie die Dateierweiterung ein,die blockiert werden soll, zumBeispielexe (ohne den Punkt als Trennzeichen).Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

9.4.3 AusnahmenAuf der Registerkarte FTP>Ausnahmen können Sie Hosts/Netzwerke definieren, die vonbestimmten Sicherheitsoptionen, die der FTP-Proxybietet, ausgenommenwerden sollen.




Diese Prüfungen auslassen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen:


l Antivirenprüfung:Wählen Sie dieseOption, um die Virenscanfunktion zudeaktivieren, die Datenverkehr nach unerwünschten Inhalten wie Viren,Trojanischen Pferden und Ähnlichem durchsucht.

l Blockierung von Dateierweiterungen:Wählen Sie dieseOption, um denDateierweiterungenfilter zu deaktivieren, der verwendet werden kann, umDateiübertragungen basierend auf Dateierweiterungen zu blockieren.

l Zugelassene Server:Wählen Sie dieseOption, umPrüfungen für zugelasseneServer zu deaktivieren, die auf der RegisterkarteErweitert angegeben werdenkönnen.

Für diese Clienthosts/-netzwerke:Wenn Sie dieseOption wählen, wird dasFeldClienthosts/-netzwerke geöffnet.Wählen Sie die Clienthosts/-netzwerke aus, die vonden Sicherheitsprüfungen dieser Ausnahmenregel ausgenommenwerden sollen.

Für diese Serverhosts/-netzwerke:Wenn Sie dieseOption wählen, wird dasFeldServerhosts/-netzwerke geöffnet.Wählen Sie die Server, die von denSicherheitsprüfungen dieser Ausnahmenregel ausgenommenwerden sollen.




9.4.4 ErweitertAuf der Registerkarte FTP>Erweitert können Sie Hosts und Netzwerke angeben, die nicht mitdem TransparenzmodusdesFTP-Proxyüberwacht werden sollen.

Hinweis –Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active DirectoryalsAuthentifizierungsmethode verwenden. Um FTP-Clients zu ermöglichen, sichmit einemsolchen FTP-Server zu verbinden, fügen Sie den Server zur FTP-Proxy-Ausnahmen hinzu.

FTP-Proxy-AusnahmenHier aufgeführte Hosts und Netzwerke sind von der transparenten Überwachung desFTP-Verkehrs ausgenommen.Um jedoch FTP-Verkehr für diese Hosts und Netzwerke zuzulassen,


9 Web Protection 9.4 FTP


wählen Sie die Option FTP-Verkehr für aufgeführte Hosts/Netze zulassen. Wenn Sie dieseOption nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts undNetzwerke anlegen.

FTP-ServerWählen Sie FTP-Server ausoder fügen Sie FTP-Server hinzu, auf die von IhremNetzwerkauszugegriffen werden darf.Sie können Ausnahmen für einige Clients auf der RegisterkarteAusnahmen anlegen, um diese Liste zu umgehen.


10 Email ProtectionIn diesemKapitelwird beschrieben, wie Sie die grundlegenden Email-Protection-Funktionenvon SophosUTM konfigurieren.Die SeiteEmail-Protection-Statistik imWebAdmin gibt einenÜberblick über die zehn aktivsten E-Mail-Versender, E-Mail-Empfänger, Spam-Versender(nach Land), erkannte Schadsoftware und gleichzeitige Verbindungen desaktuellenDatums.In jedemAbschnitt befindet sich ein Link auf dieDetails.Ein Klick auf den Link leitet Siezur entsprechenden Seite desBerichte-BereichsdesWebAdmin weiter, wo Sie weiterestatistische Informationen finden können.


l SMTP

l SMTP-Profile

l POP3

l Verschlüsselung

l Quarantänebericht

l Mail-Manager

10.1 SMTPImMenüEmail Protection >SMTP können Sie den SMTP-Proxy konfigurieren.SMTP ist dieAbkürzung für SimpleMail Transfer Protocol, ein Protokoll, das zumAusliefern von E-Mails aneinenMailserver verwendet wird.SophosUTMbesitzt ein Gatewayauf Anwendungsebene fürSMTP, dasdazu genutzt werden kann, Ihren internenMailserver vor Angriffen ausdemInternet zu schützen. Außerdem bietet es effektive Antivirenscan- und E-Mail-Filterungs-Dienste.

Hinweis –Damit der SMTP-Proxy korrekt funktioniert, mussein gültiger Namensserver(DNS) konfiguriert sein.

10.1 SMTP 10 Email Protection

10.1.1 AllgemeinAuf der RegisterkarteEmail Protection >SMTP>Allgemein können Sie festlegen, ob Sie denEinfachenModus für die Konfiguration von SMTP verwenden wollen oder denProfilmodus.

1. Aktivieren Sie SMTP.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittKonfigurationsmodus kann nun bearbeitetwerden.

2. Wählen Sie einen Konfigurationsmodus.Einfacher Modus: Verwenden Sie diesenModus, falls alle Domänen dieselbenEinstellungen teilen. Dennoch können Sie Ausnahmen definieren, die auf demDomänennamen, E-Mail-Adressen und Hosts basieren.Esbesteht keine Einschränkungin der Funktionalität im Vergleich zumProfilmodus.

Profilmodus: In diesemModuskönnen Sie globale Einstellungen überschreiben odererweitern, z. B. für Antispam oder Antivirus, für individuelle Domänen oderDomänengruppen, indemSie für diese Profile imMenüSMTP-Profileanlegen.Einstellungen, die imMenüSMTP vorgenommenwurden, gelten trotzdemnoch für die ihnen zugeteilten Domänen und dienen außerdem alsStandardeinstellungen für Profile.ImProfilmodus finden Sie zusätzliche Hinweise zueinigen Einstellungenmit Hinblick auf Empfehlungen für den Profilmodusund dasVerhalten der UTM.

3. Klicken Sie auf Übernehmen.Der gewählte Moduswird aktiviert.

10.1.2 RoutingAuf der RegisterkarteRouting können Sie Domänen- und Routingziele für den SMTP-Proxykonfigurieren. Außerdem können Sie festlegen, wie Empfänger verifiziert werden sollen.

Um dasSMTP-Proxy-Routing zu konfigurieren, gehen Sie folgendermaßen vor:

1. Geben Sie Ihre interne(n) Domäne(n) ein.UmE-Mail-Domänen einzugeben, klicken Sie auf dasPlussymbol im FeldDomänen.


Geben Sie im erscheinenden Textfeld die Domäne in der Form beispiel.deein undklicken Sie aufÜbernehmen. Wiederholen Sie diesen Schritt bis alle Domänenaufgeführt sind.

ImProfilmodus: Geben Sie nur Domänen ein, die globale Einstellungen verwenden. Alleanderen Domänen sollten in ihren jeweiligen Profilen aufgeführt sein.

2. Geben Sie den internen Server an.Wählen Sie ausder AuswahllisteRouten nach den Host aus, zu demE-Mails für die obenaufgeführten Domänenweitergeleitet werden sollen. Ein üblicher Zielhost wäre derMicrosoft Exchange Server in Ihrem lokalen Netzwerk. Sie können zwischenverschiedenen Servertypen wählen.

l Statische Hostliste:Wählen Sie eine Hostdefinition der Zielroute ausdem FeldHostliste. Beachten Sie, dassSiemehrere Hostdefinitionen wählen können, umein einfachesFailover gewährleisten zu können.Wenn die Zustellung an denersten Host fehlschlägt, werden dieMails zum nächsten Host geroutet.Die(statische) Reihenfolge der Hosts kann in der aktuellen Version von SophosUTMjedoch nicht festgelegt werden und ist etwas zufällig.Um die Zustellung zufällig aufeine Gruppe von Hosts zu verteilen, um dadurch zusätzlich einen einfachenLastausgleich zu erlangen, verwenden Sie den RoutentypDNS-Hostname undgeben Sie einen Hostnamen an, der mehrere A-Einträge (engl. ARecord) besitzt(einA-Eintrag oder AddressResource Record bildet im DNSeinen Hostnamenauf eine IP-Adresse ab).

l DNS-Hostname:Geben Sie den vollständigen Domänennamen (FQDN, fullyqualified domain name) Ihrer Zielroute an (z. B. exchange.beispiel.de).Beachten Sie, wenn Sie einen DNS-Namenmit mehreren A-Einträgen (engl. ARecord) auswählen, werden dieMails an jeden Server beliebig verteilt. Wenn einServer ausfällt, werden darüber hinausalle Mails automatisch zu denverbleibenden Servern geroutet.

l MX-Einträge: Sie könnenMails auch über MX-Einträge (engl. MXRecords) zuIhre(r/n) Domäne(n) routen.Wenn Sie diesen Routentyp wählen, wird der Mail-Transfer-Agent von SophosUTM eine DNS-Anfrage starten, um denMX-EintragvomDomänennamen desEmpfängers zu erfragen. Das ist der Teil der E-Mail-Adresse, die nach dem „@“-Zeichen steht. Stellen Sie sicher, dassdasGatewaynicht der primäreMX-Server für die oben angegebene Domäne ist, da er Mailsnicht sich selbst zustellen wird.



10 Email Protection 10.1 SMTP


Empfängerver if iz ie rungEmpfänger verifizieren: Hier können Sie festlegen, ob und wie E-Mail-Empfänger verifiziertwerden.

l Mit Serveranfrage: Eswird eine Anfrage an den Server geschickt, um den Empfängerzu verifizieren.

l Im Active Directory: Eswird eine Anfrage (engl. server callout) an den ActiveDirectory-Server geschickt, um den Empfänger zu verifizieren.UmActive Directorybenutzen zu können, müssen Sie einen Active-Directory-Server unter Definitionen &Benutzer >Authentifizierungsserver >Server angegeben haben.Geben Sie einenBaseDN im FeldAlternativer BaseDN ein.

Hinweis –Die Benutzung der Active-Directory-Empfängerverifizierung kann dazuführen, dassNachrichten abgelehnt werden, wenn der Server nicht antwortet.

l Aus: Sie können die Empfängerverifizierung vollständig ausschalten, aber das ist nichtempfehlenswert, da es zu einem höheren Spam-Aufkommen undWörterbuchangriffenführt. Dadurch erhöhen Sie dieWahrscheinlichkeit, dass Ihre Quarantänemitunerwünschten Nachrichten „überflutet“ wird.


10.1.3 AntivirusDie RegisterkarteAntivirusbietet verschiedeneMaßnahmen gegen E-Mails, die schädlichenoder gefährlichen Inhalt haben wie Viren,Würmer oder andere Schadsoftware.

Hinweis –Ausgehende E-Mailswerden gescannt, wenn dasAuswahlfeldRelay-Nachrichten (ausgehend) scannen auf der RegisterkarteRelayingmarkiert ist.

Während SMTP-Übermittlung scannenWählen Sie die OptionSchadsoftware während SMTP-Übermittlung ablehnen, wennNachrichten bereitswährend der SMTP-Übermittlung gescannt werden und abgelehntwerden sollen, wenn sie Schadsoftware enthalten.

ImProfilmodus: Diese Einstellung kann nicht für einzelne Profile geändert werden.BeiNachrichtenmit mehr als einemEmpfänger wird diese Funktion ausgesetzt, wenn bei einem


der EmpfängerprofileAntiviren-Scan ausgeschaltet ist.Dasbedeutet, dasses sinnvoll ist, diereguläre Antiviren-Einstellung unten auf entweder Verwerfen oderQuarantäne gestellt zulassen.


Antiviren-ScanWenn Sie dieseOption wählen, werden E-Mails nach unerwünschtem Inhalt gescannt wie z. B.Viren, Trojanische Pferde oder verdächtige Dateitypen.Nachrichtenmit schädlichem Inhaltwerden blockiert oder in der E-Mail-Quarantäne gespeichert.Benutzer können ihre unterQuarantäne stehenden E-Mails ansehen und freigeben, entweder über dasSophosBenutzerportal oder den täglichenQuarantänebericht.Nachrichten, die schädlichenInhalt enthalten, können jedoch nur vomAdministrator über denMail-Manager ausderQuarantäne freigegeben werden.

Antivirus: Hier können Sie festlegen, wiemit Nachrichten verfahren wird, die schädlichenInhalt besitzen. Die folgenden Aktionen sindmöglich:

l Aus: Eswerden keine Antiviren-Scansdurchgeführt.

l Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelöscht.Ausgehende Nachrichten werden nie verworfen, um unbeabsichtigten E-Mailverlust zuverhindern. Stattdessen werden sie in Quarantäne verschoben.

l Quarantäne: Die Nachricht wird blockiert und in die E-Mail-Quarantäne verschoben.Nachrichten in Quarantäne können entweder über dasBenutzerportal oder dentäglichenQuarantänebericht eingesehen werden. Beachten Sie, dassNachrichtenmitschädlichem Inhalt nur vomAdministrator ausder Quarantäne freigegeben werdenkönnen.

SophosUTMbietet mehrere Antiviren-Mechanismen für höchste Sicherheit:



Unscannbaren und verschlüsselten Inhalt in Quarantäne:Wählen Sie dieseOption, umE-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte.Unscannbarer Inhalt können verschlüsselte Archive oder sehr große Inhalte sein, oder es kannein technischer Grund vorliegen wie z. B. der Ausfall einesScanners.





MIME-Typ-Filte rDer MIME-Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie können festlegen, wiemit denverschiedenenMIME-Typen umgegangen werden soll.

l Audioinhalte in Quarantäne:Wenn Sie dieseOption wählen, werden Audioinhaltewiemp3- oder wav-Dateien unter Quarantäne gestellt.

l Videoinhalte in Quarantäne:Wenn Sie dieseOption wählen, werden Videoinhaltewiempg- oder mov-Dateien unter Quarantäne gestellt.

l Ausführbare Inhalte in Quarantäne:Wenn Sie dieseOption wählen, werdenausführbare Inhalte wie exe-Dateien unter Quarantäne gestellt.

Weitere Typen in Quarantäne: Umeinen anderenMIME-Typ als die obigen hinzuzufügen,der unter Quarantäne gestellt werden soll, klicken Sie auf dasPlussymbol im FeldWeitereTypen in Quarantäne und geben Sie denMIME-Typ an (z. B. image/gif).Sie könnenPlatzhalter (*) auf der rechten Seite desSchrägstriches verwenden, z. B. application/*.

Inhaltstypen auf Whitelist: Sie können in diesesFeldMIME-Typen eintragen, die generellzugelassen sein sollen.Um einenMIME-Typ hinzuzufügen, klicken Sie auf dasPlussymbol imFeld Inhaltstypen aufWhitelist und geben Sie denMIME-Typ ein.Klicken Sie aufÜbernehmen,um Ihre Einstellungen zu speichern.

MIME-Typ MIME-Typ-Klasse

audio/* Audiodateien

video/* Videodateien

application/x-dosexec

Anwendungen

application/x-msdownload

application/exe

application/x-exe

application/dos-exe

vms/exe

application/x-winexe

application/msdos-windows

application/x-msdos-program


Tabelle 2: MIME-Typen, die dem MIME-Typ-Filter bekannt sind

Date ie rwe ite rungenf ilte rMit dieser Funktion können Sie E-Mails unter Quarantäne stellen (mitWarnung), die bestimmteDateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare Dateien).UmDateierweiterungen hinzuzufügen, klicken Sie auf dasPlussymbol im FeldBlockierteErweiterungen und geben Sie eine kritische Dateierweiterung ein, die gescannt werden soll, z.B. exeoder jar (ohne den Punkt als Trennzeichen).Klicken Sie aufÜbernehmen, um IhreEinstellungen zu speichern.


Fußze ile über Antiv irenprüfungJeder ausgehenden Nachricht können Sie eine spezielle Fußzeile hinzufügenbeziehungsweise anpassen, die Benutzer darüber informiert, dassdie E-Mail auf schädlicheInhalte gescannt wurde.Die Fußzeile wird jedoch nur hinzugefügt, wenn dasAuswahlfeldRelay-Nachrichten (ausgehend) scannen auf der RegisterkarteRelayingmarkiert ist. Darüberhinauswird die Antivirenprüfungsfußzeile nicht an die E-Mail angehängt, wenn es sich bei derE-Mail um eine Antwort handelt (d. h. sie besitzt den Header In-Reply-To) oder wenn dieInhaltsart der E-Mail nicht bestimmt werden konnte.Klicken Sie aufÜbernehmen, um IhreEinstellungen zu speichern.

Hinweis –DasHinzufügen einer Fußzeile durch ein E-Mail-Programm (z. B. MicrosoftOutlookoder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind,zerstört die Signatur der E-Mails undmacht sie damit ungültig.Wenn Sie digitale Zertifikateclientseitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung.Wenn Siejedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichtenmöchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen,sollten Sie die integrierte E-Mail-Verschlüsselungsfunktion von SophosUTM einsetzen.E-Mail-Verschlüsselung, die auf demGatewaydurchgeführt wird, bedeutet, dassdie Fußzeilezur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signaturintakt bleibt.




10.1.4 AntispamSophosUTMkann so konfiguriert werden, dassesunerwünschte Spam-E-Mails entdeckt undSpam-Übermittlungen von bekannten oder verdächtigten Spam-Versendern identifiziert.DieKonfigurationsoptionen auf der RegisterkarteAntispam ermöglichen die Konfiguration vonSMTP-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor demEmpfang vonunerwünschten kommerziellen E-Mails zu schützen.

Hinweis –Ausgehende E-Mailswerden gescannt, wenn dasAuswahlfeldRelay-Nachrichten (ausgehend) scannen auf der RegisterkarteRelayingmarkiert ist.

Spam-Erkennung während SMTP-ÜbermittlungSie haben dieMöglichkeit, Spam bereits zum Zeitpunkt der SMTP-Übermittlungabzulehnen.Wählen Sie eine der folgenden Einstellungen für die OptionWährend Übermittlungablehnen:

l Aus: Spam-Erkennung ist ausgeschaltet und eswerden keine E-Mails aufgrund vonSpamverdacht abgelehnt.

l Bestätigten Spam: Nur bestätigter Spamwird abgelehnt.

l Spam: Alle E-Mails, die dasSystem für Spam hält, werden abgelehnt. Beachten Sie,dasshierbei die Rate der Fehlfunde (engl. false positives) steigen kann, da E-Mails, diealsmöglicher Spam betrachtet werden (wie z. B. Newsletter), abgelehnt werden.

ImProfilmodus: Diese Einstellung kann nicht für einzelne Profile geändert werden. Nachrichtenmit mehr als einemEmpfänger lassen diese Funktion aus, wenn bei einem derEmpfängerprofile der Spam-Scan ausgeschaltet ist.Dasbedeutet, dasses sinnvoll ist, diereguläre Einstellung zur Spam-Erkennung auf entweder Spam oder Bestätigten Spam gestelltzu lassen.

RBLs (Echtze it-Blackhole -Listen)Echtzeit-Blackhole-Listen (Realtime Blackhole Lists, RBL) sind eineMethode, mit der Websiteseine Liste von IP-Adressen bekannt geben, die mit Spam-Versand in Verbindung gebrachtwerden.

Empfohlene RBLs verwenden: DieWahl dieser Option sorgt dafür, dassexterneDatenbanken nach bekannten Spam-Versendern (sogenanntenEchtzeit-Blackhole-Listen)gefragt werden. Nachrichten, die von einer Domäne gesendet werden, die in einer oder


mehrerer dieser Listen aufgeführt ist, können einfach abgelehnt werden. Es sind einige Dienstedieser Art im Internet verfügbar. Diese Funktion ist eine enormeHilfe bei der Reduzierung desSpam-Aufkommens.Standardmäßig werden die folgenden RBLsabgefragt:

l Commtouch IPReputation (ctipd.org)

l cbl.abuseat.org

Hinweis –Die RBLs, die von SophosUTM genutzt werden, können sich ohne Ankündigungändern.Sophosübernimmt keine Gewähr für den Inhalt dieser Datenbanken.

Sie können weitere RBL-Sites hinzufügen, um die Antispam-Fähigkeiten von SophosUTM zuverbessern.Klicken Sie dazu auf dasPlussymbol im FeldExtra-RBL-Zonen. Geben Sie dieRBL-Zone in daserscheinende Textfeld ein.


Spamf ilte rSophosUTMbietet eine heuristische Prüfung von E-Mails auf Spam-Eigenschaften. Esbenutztdafür SMTP-Envelope-Informationen (envelope =Umschlag) und eine interne Datenbankmitheuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nachrichten basierendauf ihrem Inhalt und SMTP-Envelope-Informationen. HöhereWerte deuten auf eine höhereSpam-Wahrscheinlichkeit hin.

Mit den folgenden beidenOptionen können Sie festlegen, wasmit Nachrichten geschehen soll,denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dasspotenzielleSpam-E-Mails vomGatewayanders behandelt werden.

l Spam-Aktion: Hier können Sie festlegen, wasmit Nachrichten geschieht, die alsmöglicher Spam eingestuft wurden. Beachten Sie, dassesFehlfunde geben kann, z. B.Newsletter, dadurch können durch Verwerfen E-Mails verloren gehen.

l Aktion bei bestätigtem Spam: Hier können Sie festlegen, wasmit Nachrichtengeschieht, die sicher Spam sind.

Sie können zwischen verschiedenen Aktionen für diese beiden Arten von Spamwählen:

l Aus: Eswerden keine Nachrichten alsSpammarkiert oder ausgefiltert.

l Warnen: Eswerden keine Nachrichten herausgefiltert. Stattdessen wird beieingehenden Nachrichten eine Spam-Markierung („Flag“) zumHeader der Nachricht




hinzugefügt und der Betreff der Nachricht erhält eine Spam-Kennzeichnung. Aufausgehende Nachrichten wird keine Aktion angewendet.

l Quarantäne: Nachrichten werden blockiert und in die E-Mail-Quarantäne verschoben.Nachrichten in Quarantäne können entweder über dasBenutzerportal oder dentäglichenQuarantänebericht eingesehen werden.

l Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelöscht.Ausgehende Nachrichten werden nie verworfen, um unbeabsichtigten E-Mailverlust zuverhindern. Stattdessen werden sie in Quarantäne verschoben.

Spam-Kennzeichnung:Mit dieser Option können Sie eine Kennzeichnung für Spam-Nachrichten festlegen, d. h. dasseine Zeichenkette zur Betreffzeile der Nachricht hinzugefügtwird, die eseinfachmacht, Spam-Nachrichten schnell als solche zu erkennen.Standardmäßigwird die Zeichenkette *SPAM*benutzt, umNachrichten alsSpam zu kennzeichnen.

Absender -BlacklistDer Envelope-Absender eingehender SMTP-Sitzungen wirdmit den Adressen auf dieserNegativliste (Blacklist) verglichen.Wenn der Envelope-Absender auf der Negativliste gefundenwird, wird die Nachricht verworfen.Um ein neuesAdressmuster zur Negativliste hinzuzufügen, klicken Sie auf dasPlussymbol imFeldAdressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klickenSieÜbernehmen.Sie können einen Asterisk (*) alsPlatzhalter verwenden, z. B.*@abbeybnknational.com.

Ausdruckf ilte rDer Ausdruckfilter prüft den Inhalt von Nachrichten, die den SMTP-Proxypassieren, aufbestimmte Ausdrücke. Verdächtige E-Mailswerden blockiert.Ausdrücke können in Form vonPerlCompatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) eingegebenwerden. Einfache Zeichenfolgen wie „Online Dating“ werden ohne Berücksichtigung der Groß-/Kleinschreibung interpretiert.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zuspeichern.

Erwe ite r te Antispam-FunktionenDieser Abschnitt enthält weitere Optionen, die die Antispam-Fähigkeiten von SophosUTMverbessern.

Ungültige HELO/fehlende RDNS ablehnen:Wählen Sie dieseOption, wenn Sie Hostsablehnen wollen, die ungültige HELO-Einträge senden oder bei denen RDNS-Einträge


fehlen.Wenn Sie Hosts von dieser Prüfung ausnehmenwollen, benutzen Sie dieentsprechendeOption auf der RegisterkarteAusnahmen.

Strikte RDNS-Prüfung durchführen: Wählen Sie dieseOption, wenn Sie zusätzlichE-Mails von Hostsmit ungültigen RDNS-Einträgen ablehnen wollen. Ein RDNS-Eintragist ungültig, wenn der gefundene Hostname sich nicht zurück zur ursprünglichen IP-Adresse auflösen lässt.

Greylisting verwenden:Greylisting (dt. Verwendung grauer Listen) bedeutet, dassE-Mailsfür einen gewissen Zeitraum abgelehnt werden. EinMailserver, der Greylisting verwendet,speichert üblicherweise die folgenden Informationen von allen eingehenden Nachrichten:

l Die Absenderadresse

l Die IP-Adresse desHosts, der die Nachricht verschickt hat

l Die Empfängeradresse

l Der Betreff der Nachricht

Diese Daten werden nunmit der internen DatenbankdesSMTP-Proxy verglichen.Wenn dieseDaten noch nicht vorhanden sind, wird ein Eintrag in die Datenbankgeschrieben zusammenmit einem speziellen Zeitstempel, der die Daten beschreibt. Dieser Datensatz bewirkt, dassdieE-Mail für einen Zeitraum von fünf Minuten abgelehnt wird. Nach diesem Zeitraum ist derDatensatz demProxybekannt und die Nachricht wird beim nächsten Zustellversuch akzeptiert.Beachten Sie, dassder Datensatz nach einer Woche verfällt, wenn er innerhalb diesesZeitraumsnicht aktualisiert wird.Greylisting nutzt die Tatsache, dassdiemeisten Versender von Spam-MailsSoftwareverwenden, die nach der „Fire-and-Forget“-Methode arbeiten: Versuche die E-Mailzuzustellen und wenn esnicht klappt, vergiss es!Dasheißt, dassdie Versender solcher Spam-Mails nicht wie RFC-konformeMailserver versuchen, die Mail bei einem vorübergehendenFehlschlag nochmals zu versenden. Da in der RFC-Spezifikation vorgesehen ist, dassdie E-Mail-Zustellung vorübergehend fehlschlagen kann, geht Greylisting davon aus, dasseinlegitimer Server esnoch einmal versuchen wird und der Zielhost zu diesem späteren Zeitpunktdie E-Mails annehmenwird.

BATV verwenden: BATV (Bounce AddressTag Validation) ist ein Entwurf desStandardisierungsgremiums Internet Engineering TaskForce (IETF), bei dem der Versuchunternommenwird, die legitime Benutzung von E-Mail-Adressen von unautorisierterBenutzung zu unterscheiden. BATVbietet eineMethode, den Envelope-Sender vonausgehendenMails zu signieren, indem ein einfacher geteilter Schlüssel hinzugefügt wird, dereinen Hash der Adresse und zeitvariante Informationen kodiert, sowie einige zufällige Daten.




Alles zusammen soll beweisen, dassdieMailwirklich von Ihnen stammt. Prinzipiell wird esdazubenutzt, Ablehnungsnachrichten (engl. bouncemessages) abzuweisen, die nicht von Ihnenversendet wurden. Durch BATV können Sie nun herausfinden, ob Ablehnungsnachrichten, dieSie erhalten, wirklich durch eine von Ihnen versendeteMail ausgelöst wurden und nicht voneinemSpam-Versender stammen, der eine E-Mailmit Ihrer Adresse gefälscht hat.Wenn eineAblehnungsnachricht eintrifft und die E-Mail ist nicht nach BATV signiert, dann wird der SMTP-Proxydie Nachricht nicht annehmen. Beachten Sie, dassdie BATV-Signatur nach siebenTagen abläuft.Um den Schlüssel (auchBATV-Secret genannt) zu ändern, der für dieVerschlüsselung desHashesder Envelope-Adresse MAIL FROMverwendet wird, gehen Siezur RegisterkarteEmail Protection >SMTP>Erweitert.

Hinweis –EinigeMail-Transfer-Programme (Mail Transfer Agents, MTA) könnten E-Mailszurückweisen, deren Envelope-AbsenderadressemittelsBATV verändert wurde. In diesemFallmüssen Sie für die betroffenen Absenderadressen, Empfängeradressen oder Domäneneine entsprechende Ausnahmeregel definieren.

SPF-Prüfung durchführen: SPF (Sender PolicyFramework) ist ein System bei demDomäneninhaber Informationen über ihreMailserver für ausgehendeMails veröffentlichenkönnen. Domänen benutzen öffentliche Einträge, umAnfragen nach verschiedenen Diensten(Web, E-Mail, usw.) an jene Hostsweiterzuleiten, die diese Dienste anbieten. Alle DomänenveröffentlichenMX-Einträge für E-Mail-bezogene Dienste, damit andere wissen, welche HostsE-Mails für die Domäne entgegennehmen. SPF funktioniert durch Domänen, die zusätzlicheine Art „Rückwärts-MX“ veröffentlichen, um der Welt mitzuteilen, welche HostsE-Mails vonwelcher Domäne versenden.Wenn der Empfänger eine Nachricht von einer bestimmtenDomäne erhält, dann kann er diese Einträge überprüfen, um sicherzustellen, dassdie E-Mailwirklich daher kommt, woher sie kommen soll.

Querverweis –Weitere Informationen erhalten Sie auf der Internetseite zu Sender PolicyFramework.

Als zusätzliche Antispam-Funktion vergleicht der SMTP-Proxy stillschweigend jedeEmpfängeradresse, die er erhält, mit IhremBackend-Mailserver, bevor er die Mail für dieseAdresse annimmt.E-Mails für ungültige Empfängeradressen werden nicht angenommen.Damit die Funktion greift, muss/müssen Ihr(e) Backend-Mailserver E-Mails von unbekanntenEmpfängern zur SMTP-Zeit ablehnen. Die Grundregel lautet: Wenn Ihr Backend-Server eineNachricht ablehnt, lehnt sie der SMTP-Proxyebenfalls ab.


http://www.openspf.org/



Beachten Sie jedoch, dassdie Empfängerüberprüfung nicht für vertrauenswürdige(authentifizierte) Hosts oder Relay-Hosts durchgeführt wird, damanche Benutzerprogramme(User Agents) ein Problem damit haben, wenn Empfänger während der SMTP-Übertragungabgelehnt werden.Gewöhnlich (der Backend-Mailserver lehnt unbekannte Empfängerwährend der SMTP-Übertragung ab) wird SophosUTME-Mails nur in den folgenden Fällenablehnen (bounce):

l Wenn eine vertrauenswürdigeQuelle oder ein Relay-Host eine Nachricht zu einem nichtverfügbaren Empfänger sendet.

l Wenn der Backend-Mailserver nicht erreichbar war, sodassSophosUTM denEmpfänger nicht verifizieren konnte.

Jedoch hindert SophosUTM Ihre(n) Backend-Mailserver nicht daran, NDRs (non-deliveryreports, Berichte über Nicht-Auslieferung) oder Ablehnungsnachrichten (bounces) zuversenden.Zudem speichert SophosUTMCallout-Antworten desMailservers zwischen:positive Antworten 24 Stunden lang und negative zweiStunden.

10.1.5 AusnahmenAuf der RegisterkarteSMTP>Ausnahmen können Sie vertrauenswürdige Hosts, Netzwerke,Absender und Empfänger definieren, die dann von Antivirus-, Antispam- und anderenSicherheitsprüfungen ausgenommenwerden.

Hinweis –DaE-Mailsmehrere Empfänger haben können und SophosUTM den Scan fürdasSMTP-Protokoll inline ausführt, wird die Überprüfung einer E-Mail gänzlich ausgesetzt,sobald einer der Empfänger der E-Mail im FeldEmpfänger aufgeführt ist.




Diese Prüfungen auslassen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen.Weitere Informationen finden Sie unter Email Protection >SMTP>AntivirusundAntispam.




Für diese Quellhosts/-netzwerke:Wählen Sie die Quellhosts/-netzwerke (d. h. dieHosts oder Netzwerke, die Nachrichten senden), die gemäß dieser Ausnahmeregel vonden Sicherheitsprüfungen ausgenommenwerden sollen.

Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokaleNachrichten standardmäßig nicht gescannt werden.

Wenn Sie dieseOption wählen, wird dasFeldHost/Netzwerke geöffnet. Hier können Sieeinen Host oder ein Netzwerkeingeben, indemSie auf dasPlussymbol oder dasOrdnersymbol klicken.

Diese Absenderadressen:Wählen Sie die Absenderadressen, die von den gewähltenSicherheitsprüfungen ausgenommenwerden sollen.Wenn Sie dieseOption wählen, wird dasFeldAbsender geöffnet.Sie können entwedereine vollständige, gültige E-Mail-Adresse eingeben (z. B. [email protected])oder alle E-Mail-Adressen einer bestimmten Domäne, wobeiSie einen Asterisk (*) alsPlatzhalter verwenden (z. B. *@beispiel.de).

Hinweis –Verwenden Sie dieAbsender-Optionmit Vorsicht, da Absenderadressenleicht gefälscht werden können.

Diese Empfängeradressen:Wählen Sie die Empfängeradressen, die von dengewählten Sicherheitsprüfungen ausgenommenwerden sollen.

Wenn Sie dieseOption wählen, wird dasFeldEmpfänger geöffnet.Sie können entwedereine vollständige, gültige E-Mail-Adresse eingeben (z. [email protected]) oder alle E-Mail-Adressen einer bestimmtenDomäne, wobeiSie einen Asterisk (*) alsPlatzhalter verwenden (z. B. *@beispiel.de).





10.1.6 RelayingDer SMTP-Proxy kann alsMail-Relay konfiguriert werden.EinMail-Relay ist ein SMTP-Server,der so konfiguriert ist, dasser bestimmten Benutzern, Benutzergruppen oder Hosts erlaubt, E-Mails durch ihn an Domänen hindurchzuleiten, die lokal nicht erreichbar sind.

Upstream-Host-ListeEin Upstream-Host ist ein Host, der E-Mails an Sie weiterleitet, z. B. Ihr ISP oder externer MX.Wenn Sie eingehende E-Mails von statischen Upstream-Hosts erhalten, ist es nötig, dassSiediese Hosts hier eintragen. Andernfallswird der Spamschutz nicht richtig funktionieren.

Um einen Upstream-Host hinzuzufügen, klicken Sie entweder auf dasPlussymbol oder auf dasOrdnersymbol, umHosts direkt ausder Netzwerke-Objektleiste zu ziehen.Wenn Sieausschließlich Upstream-Hosts zulassenmöchten, wählen Sie die OptionNurUpstream/Relay-Hosts zulassen. Der SMTP-Zugriff wird dann auf die definierten Upstream-Hosts begrenzt. Upstream-Hosts können sich authentifizieren, umRelaying-Rechte zuerhalten.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Authentif iz ie r tes Re laySMTP-Clients können sich authentifizieren, umRelaying-Rechte zu erlangen.Wählen Sie dieOptionAuthentifiziertesRelaying zulassen und geben Sie die Benutzer oder Benutzergruppenan, die diese Funktion verwenden dürfen.Klicken Sie aufÜbernehmen, um Ihre Einstellungenzu speichern.

Hinweis –Wenn dasAuswahlfeldNur Upstream/Relay-Hosts zulassenmarkiert ist,funktioniertAuthentifiziertesRelaynur, wenn der sendende Host alsUpstream- oder Relay-Host konfiguriert ist.

Hostbasie r tes Re layMail-Relaying kann auch hostbasiert ablaufen.Wenn Ihr lokaler Mailserver oder IhreMail-Clients in der Lage sein sollen, den SMTP-ProxyalsMail-Relay zu verwenden, müssen Sie dieNetzwerke und Hosts, die E-Mails über dasRelay versenden dürfen, zum Feld ZugelasseneHosts/Netzwerke hinzufügen. Die aufgeführten Netzwerke und Hosts dürfen Nachrichten anbeliebige Adressen versenden.




Warnung –Wählen Sie im Feld Zugelassene Hosts/Netzwerke niemalsAnyaus, denn daswürde zu einem offenenMail-Relay führen, welcheses jedem ausdem Internet gestattet,Nachrichten über den SMTP-Proxy zu senden. Spam-Versender werden das schnellherausfinden und daswird zu einem erheblichen E-Mail-Aufkommen führen. Im schlimmstenFallwerden Sie auf Spam-Versender-Negativlisten (Blacklists) Dritter geführt. In denmeistenKonfigurationen sind die einzigen Hosts, die alsMail-Relayagieren dürfen, die Mailserver inIhremNetzwerk.


Host-/Netzwerk-BlacklistHier können Sie Hosts und Netzwerke bestimmen, die vomSMTP-Proxyblockiert werdensollen.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

I nha ltsscan für (ausgehende ) Re lay-Nachr ichtenWenn dieseOption gewählt ist, werden auch Nachrichten auf schädlichen Inhalt gescannt, dieentweder von authentifizierten oder hostbasierten Relaysgesendet werden. Beim Versandvieler ausgehender Nachrichten kann dasAusschalten dieser Option ggf. die Leistungverbessern.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Beachten Sie, dassdie globalen Antivirus- und Antispam-Einstellungen auch für ausgehendeNachrichten gelten.Unabhängig von diesen Einstellungen werden infizierte oder Spam-Nachrichten niemals verworfen, sondern unter Quarantäne gestellt, um den unbeabsichtigtenVerlust von E-Mails zu vermeiden.

10.1.7 ErweitertAuf der RegisterkarteSMTP>Erweitert können Sie zusätzliche Sicherheitsoptionen für denSMTP-Proxy konfigurieren, z. B. unter anderemSmarthost-Einstellungen oderTransparenzmodus-Ausnahmen.

Übergeordneter ProxyEin übergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Ländern benötigt, indenen der Zugang zum Internet nur über einen staatlich kontrollierten Proxyerlaubt ist. FallsIhre Sicherheitsbestimmungen die Nutzung einesübergeordneten Proxyerforderlichmachen,so können Sie diesen hier durch Angabe einer Hostdefinition und einesPorts konfigurieren.


Übergeordneten Proxy verwenden:Wählen Sie dieseOption, um einen übergeordnetenProxy zu verwenden. Geben Sie einen Hostnamen und den Port desProxyein.

Dieser Proxy erfordert Authentifizierung: Falls der übergeordnete ProxyAuthentifizierung erfordert, geben Sie den Benutzernamen und dasKennwort hier ein.

TransparenzmodusUmden Transparenzmodus für SMTP zu aktivieren, markieren Sie dasAuswahlkästchen undklicken Sie aufÜbernehmen.Hosts und Netzwerke, die im FeldAuszunehmendeHosts/Netze aufgeführt sind, werden vomSMTP-Proxynicht transparent überwacht.Um jedoch SMTP-Verkehr für diese Hosts undNetzwerke zuzulassen, wählen Sie die OptionSMTP-Verkehr für aufgeführte Hosts/Netzezulassen. Wenn Sie dieseOption nicht wählen, müssen Sie spezielle Firewallregeln für die hieraufgeführten Hosts und Netzwerke anlegen.

TLS-Einste llungenTLS-Zertifikat:Wählen Sie ausder Auswahlliste ein Zertifikat zumAushandeln der TLS-Verschlüsselungmit allen Gegenstellen aus, die TLS unterstützen.

Hosts/Netze die TLS-Aushandlung erfordern: Fügen Sie hier Hosts oder Netze hinzu, diefür die E-Mail-Kommunikation immer TLS-Verschlüsselung erfordern.Die UTM hält dann E-Mails zurück, wenn für diese Hosts/Netze keine TLS-Verschlüsselung zur Verfügung steht.Diese Nachrichten bleiben in der Mail-Warteschlange, bis TLSwieder verfügbar ist. Bleibt TLSüber einen bestimmten Zeitraum nicht verfügbar, werden keine weiteren Versuchemehrunternommen, die E-Mail zu versenden, und der Benutzer erhält eine Benachrichtigungdarüber, dass seine Nachricht nicht zugestellt werden konnte.

Absenderdomänen die TLS-Verschlüsselung erfordern:Geben Sie hier die Domänenan, für die Sie eine TLS-Verschlüsselung für eingehende E-Mails erzwingenmöchten. Vondiesen Domänen versendete E-Mails ohne TLSwerden umgehend zurückgewiesen.

Kein TLS für diese Hosts/Netze: Falls ein bestimmter Host oder ein NetzwerkProblememitTLS-Verschlüsselung haben, können Sie diese im Feld angeben und dasentsprechende TLS-Zertifikat ausder Auswahlliste auswählen.Dadurch nimmt die UTM den entsprechenden Hostoder dasentsprechende Netzwerk von der TLS-Verschlüsselung aus.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.




DomainKeys Identif ied Ma il (DKIM)DKIM ist eineMethode, um ausgehende Nachrichten kryptografisch zu signieren.UmDKIM-Signierung zu verwenden, geben Sie Ihren privaten RSA-Schlüssel und den dazugehörigenSchlüsselselektor (engl. key selector), den Schlüsselnamen, in die entsprechenden Felder ein.Fügen Sie dann die Domänen, für die Sie E-Mails signieren wollen, zum FeldDKIM-Domänehinzu.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Ver traulichke itsfußze ileSie können für jede ausgehende E-Mail eine Vertraulichkeitsfußzeile hinzufügen oderanpassen, die Benutzer zumBeispiel darüber informiert, dassdie E-Mail vertrauliche oderschutzwürdige Informationen enthalten kann. Die Vertraulichkeitsfußzeile wird jedoch nicht andie E-Mail angehängt, wenn es sich bei der E-Mail um eine Antwort handelt (d. h. sie besitzt denHeader In-Reply-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden konnte.


Erwe ite r te Einste llungenHier können Sie unter anderem den SMTP-Hostnamen und die Postmaster-Adresseeinstellen.

SMTP-Hostname:Wenn ein SMTP-Hostname definiert ist, wird der SMTP-ProxydiesenNamen in HELO- und in SMTP-Banner-Nachrichten verwenden. Standardmäßig ist derHostname desSystemsangegeben.

Postmaster-Adresse:Geben Sie die E-Mail-Adresse desPostmasters, desE-Mail-Verantwortlichen, für die UTM ein, an den die Nachrichten weitergeleitet werden, die in derForm postmaster@[192.168.16.8], gesendet werden, wobei die IP-Adresse eine der IP-Adressen der UTM ist.Die Annahme solcher Nachrichten ist ein Erfordernis desRFC.


BATV-Schlüssel: Hier können Sie den automatisch generierten BATV-Schlüssel (engl. BATVsecret) ändern, der vomSMTP-Proxybenutzt wird.Der BATV-Schlüssel ist ein verteilterSchlüssel, der benutzt wird, um die Envelope-Adresse (dt. Umschlagadresse) MailFromeinerE-Mail zu signieren, wodurch die Erkennung ungültiger Absenderadressen vonAblehnungsnachrichtenmöglich wird.Wenn SiemehrereMXs für Ihre Domänen verwenden,können Sie den BATV-Schlüssel ändern, damit er auf allen Systemen gleich ist.

Max. Nachrichtengröße: Diemaximale Größe der E-Mails, die vomProxyakzeptiert wird.Diese Einstellung bezieht sich sowohl auf eingehende als auch ausgehende E-Mails. Falls IhrBackend-Server eine Begrenzung in Bezug auf die Größe von E-Mails hat, dann sollten Sie hierdenselben oder einen niedrigerenWert einstellen.

Max. Verbindungen: Diemaximale Anzahl gleichzeitiger Verbindungen, die der Proxyzulässt. Der Standardwert ist 20.

Max. Verb./Host: Diemaximale Anzahl von Hosts pro Verbindung, die der Proxy zulässt. DerStandardwert ist 10.

Max. Mails/Verbindung: Diemaximale Anzahl anMails pro Verbindung, die der Proxyzulässt. Der Standardwert ist 1000.

Max. Empf./Mail: Diemaximale Anzahl an Empfängern proMail, die der Proxy zulässt. DerStandardwert ist 500.

Fußzeilen-Modus: Hier können Sie bestimmen, wie Fußzeilen zu E-Mails hinzugefügtwerden.MIME-Teil fügt die Fußzeile alsExtra-MIME-Teil hinzu. Bereits vorhandene Teil-Enkodierungen werden nicht geändert und nationale Sprachzeichen bleiben erhalten.DieandereMethode ist Inline, dasbedeutet, dassdie Fußzeile von der eigentlichenMail durch dasTrennzeichen --getrennt ist. Bei diesemModuskönnen Sie wählen, ob die Fußzeile nachUnicode (UTF-8) konvertiert wird oder nicht. Eine Unicode-Umwandlung verändert dieNachricht dahingehend, dassnationale Sprachzeichen in der Fußzeile erhalten bleiben.

Smarthost-E inste llungenEin Smarthost ist eine Art Mail-Relay-Server, der eseinemSMTP-Server erlaubt, Mails aneinen Upstream-Mailserver zu routen statt direkt an den Server desEmpfängers. So einSmarthost verlangt meistens, dassder Absender sich authentifiziert, um sicherzustellen, dassder Absender auch die Berechtigung besitzt, Mails durch den Smarthost weiterzuleiten.

Smarthost verwenden:Wenn Sie einen Smarthost für denMailversand verwenden wollen,markieren Sie diesesAuswahlkästchen. In diesem Fallwird der ProxyMails nie selbst zustellen,sondern diese immer an den Smarthost senden.



10.2 SMTP-Profile 10 Email Protection

l Smarthost:Wählen Sie ein Smarthost-Objekt ausoder fügen Sie einshinzu.

l Smarthost-Port: Der Standardport für die Smarthost-Verbindung ist 25. Fallsnotwendig, können Sie diesen Port ändern.

l Dieser Smarthost erfordert Authentifizierung:Wählen Sie dieseOption, wenn derSmarthost Authentifizierung erfordert.AlsAuthentifizierungsmethodewird sowohlPlainals auch Login unterstützt. Geben Sie einen Benutzernamen und ein Kennwort in dieentsprechenden Textfelder ein.

10.2 SMTP-ProfileDer SMTP-Proxy von SophosUTM ermöglicht es Ihnen, alternative SMTP-Profile anzulegen,die dann verschiedenen Domänen zugeordnet werden können.Auf dieseWeise können SieDomänen bestimmen, die ein anderesProfil verwenden sollen als dasStandardprofil, dasunter Email Protection >SMTP konfiguriert ist. Die Reihenfolge der Funktionen, die in Formvon Registerkarten dargestellt sind, spiegelt die Abfolge einzelner Schritte während der SMTP-Zeit wider.

Um ein SMTP-Profil anzulegen, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den SMTP-Profilmodus.Wählen Sie auf der RegisterkarteEmail Protection >SMTP>Allgemein die OptionProfilmodusund klicken Sie aufÜbernehmen.

DasAnlegen von SMTP-Profilen imMenüEmail Protection >SMTP-Profile ist aktiviert.

2. Klicken Sie auf der Registerkarte SMTP-Profile auf Neues Profil erstellen.Ein Dialogfenster wird geöffnet.

3. Geben Sie einen aussagekräftigen Namen für das Profil an und klicken Sie aufOK.Die Seite mit den Einstellungen für dasProfil wird geöffnet.

4. Fügen Sie eine oder mehrere Domänen hinzu.Geben Sie im FeldDomänen eine oder mehrere Domänen an.

Einstellungen in diesemProfil werden für diese Domänen gelten.

5. Nehmen Sie die folgenden Einstellungen vor:Sie brauchen nur die Einstellungen für jene Funktionen vorzunehmen, die Sieverwenden wollen.Für jede der folgenden Funktionen können Sie entscheiden, ob die


hier vorgenommenen individuellen Einstellungen verwendet werden sollen oder dieglobalen Einstellungen vonEmail Protection >SMTP. Standardmäßig ist die globaleEinstellungen-Option ausgewählt. Die individuellen Einstellungen für jede Funktion sindunten beschrieben.

Hinweis –Verschlüsselte E-Mails, deren Absenderadresse einen Domänennamenenthält, der hier konfiguriert ist, können nicht entschlüsselt werden, wenn Sie die E-Mail-Verschlüsselungs-/Entschlüsselungsfunktion von SophosUTM verwenden. AusdiesemGrund sollten Sie keine Profile für externe E-Mail-Domänen anlegen.

Alle Einstellungen, die Sie hier vornehmen können, können unter Email Protection >SMTP auch global vorgenommenwerden. Deshalb werden hier nur eine Liste derEinstellungsmöglichkeiten und die Unterschiede zu den globalen Einstellungenaufgeführt.

Die folgenden Einstellungen können vorgenommenwerden:

l Routing: Auf der RegisterkarteRouting können Sie Domänen- und Routingzielefür den SMTP-Proxy konfigurieren. Außerdem können Sie festlegen, wieEmpfänger verifiziert werden sollen.l Statische Hostliste

l DNS-Hostname

l MX-Einträge

Weitere Informationen finden Sie unter Email Protection >SMTP>Routing.

l EmpfängerverifizierungEmpfänger verifizieren: Hier können Sie festlegen, ob und wie E-Mail-Empfänger verifiziert werden.

l Mit Serveranfrage: Eswird eine Anfrage an den Server geschickt, um denEmpfänger zu verifizieren.

l Im Active Directory: Eswird eine Anfrage (engl. server callout) an denActive Directory-Server geschickt, um den Empfänger zu verifizieren. UmActive Directory benutzen zu können, müssen Sie einen Active-Directory-Server unter Definitionen &Benutzer >Authentifizierungsserver >Serverangegeben haben.Geben Sie einen BaseDN im FeldAlternativer BaseDNein.


10 Email Protection 10.2 SMTP-Profile


Hinweis –Die Benutzung der Active-Directory-Empfängerverifizierungkann dazu führen, dassNachrichten abgelehnt werden, wenn der Servernicht antwortet.

l Aus: Sie können die Empfängerverifizierung vollständig ausschalten, aberdas ist nicht empfehlenswert, da es zu einem höheren Spam-AufkommenundWörterbuchangriffen führt. Dadurch erhöhen Sie dieWahrscheinlichkeit, dass Ihre Quarantänemit unerwünschten Nachrichten„überflutet“ wird.

Weitere Informationen finden Sie unter Email Protection >SMTP>Routing.

l Sophos UTM RBLs: Hier können Sie IP-Adressen blockieren, die mitSpamversand in Verbindung gebracht werden.l Empfohlene RBLsverwenden

l Einwahl-/Privathosts blockieren

Weitere Informationen finden Sie unter Email Protection >SMTP>Antispam.

l Extra-RBLs: Sie können weitere RBL-Sites hinzufügen, um die Antispam-Fähigkeiten von SophosUTM zu verbessern.Weitere Informationen finden Sieunter Email Protection >SMTP>Antispam. Beachten Sie, dassSie als dritteOption die globalen Einstellungen zu Ihren individuellen Einstellungen hierhinzufügen können.

l BATV/RDNS/HELO/SPF/Greylisting: Auf dieser Registerkarte sindverschiedene erweiterte Optionen vereint, die die Antispam-Fähigkeiten vonSophosUTM ergänzen.l Ungültige HELO/fehlende RDNSablehnen

l Greylisting verwenden

l BATV verwenden

l SPF-Prüfung durchführen


l Antiviren-Scan: Hier können Sie festlegen, wiemit Nachrichten verfahren wird,die schädlichen Inhalt enthalten.Die folgenden Aktionen sindmöglich:l Aus

l Quarantäne

l Verwerfen


Sie können zwischen den folgenden Antiviren-Scan-Optionen wählen:

l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in derRegisterkarteScan-Einstellungen festgelegte Engine wird verwendet.

l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechendeVerkehr von zwei verschiedenen Virenscannern gescannt wird.

Unscannbaren und verschlüsselten Inhalt in Quarantäne:Wählen SiedieseOption, umE-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescanntwerden konnte. Der Grund hierfür kann unter Anderem sein, dassder Inhaltverschlüsselt oder kaputt ist.

Weitere Informationen finden Sie unter Email Protection >SMTP>Antivirus.

l Antispam-Scan: Hier können Sie konfigurieren, wiemit unerwünschtenkommerziellen E-Mails verfahren werden soll.Sowohl für Spam als auch fürbestätigten Spam können Sie zwischen den folgendenOptionen wählen:l Aus

l Warnen

l Quarantäne

l Verwerfen


l Absender-Blacklist: Der Envelope-Absender eingehender SMTP-Sitzungenwirdmit den Adressen auf dieser Negativliste verglichen.Wenn der Envelope-Absender auf der Negativliste gefunden wird, wird die Nachrichtverworfen.Weitere Informationen finden Sie unter Email Protection >SMTP>Antispam. Beachten Sie, dassSie als dritte Option die globalen Einstellungen zuIhren individuellen Einstellungen hier hinzufügen können.

l MIME Audio/Video/Exe-Datei-Blockierung: Der MIME-Typ-Filter liest denMIME-Typ von E-Mail-Inhalten aus.Sie können wählen, welche Inhaltsarten Sieunter Quarantäne stellen wollen:l Audioinhalte

l Videoinhalte

l Ausführbare Inhalte

Weitere Informationen finden Sie unter Email Protection >SMTP>Antivirus.


10 Email Protection 10.2 SMTP-Profile


l MIME-Typ-Blacklist: Hier können Sie zusätzlicheMIME-Typen hinzufügen, dieunter Quarantäne gestellt werden sollen.Weitere Informationen finden Sie unterEmail Protection >SMTP>Antivirus. Beachten Sie, dassSie als dritte Option dieglobalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügenkönnen.

l MIME-Typ-Whitelist: Hier können SieMIME-Typen hinzufügen, die nicht unterQuarantäne gestellt werden sollen.Weitere Informationen finden Sie unter EmailProtection >SMTP>Antivirus. Beachten Sie, dassSie als dritte Option dieglobalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügenkönnen.

l Blockierte Erweiterungen:Mit demDateierweiterungenfilter können Sie E-Mails unter Quarantäne stellen (mitWarnung), die bestimmte Dateitypenenthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbareDateien).Weitere Informationen finden Sie unter Email Protection >SMTP>Antivirus. Beachten Sie, dassSie als dritte Option die globalen Einstellungen zuIhren individuellen Einstellungen hier hinzufügen können.

l Blockierte Ausdrücke: Der Ausdruckfilter prüft den Inhalt von Nachrichten, dieden SMTP-Proxypassieren, auf bestimmte Ausdrücke. Verdächtige E-Mailswerden blockiert.Weitere Informationen finden Sie unter Email Protection >SMTP>Antispam. Beachten Sie, dassSie als dritte Option die globalen Einstellungen zuIhren individuellen Einstellungen hier hinzufügen können.

l Vertraulichkeitsfußzeile:Sie können für jede ausgehende E-Mail eineVertraulichkeitsfußzeile hinzufügen oder anpassen, die Benutzer zumBeispieldarüber informiert, dassdie E-Mail vertrauliche oder schutzwürdigeInformationen enthalten kann. Die Vertraulichkeitsfußzeile wird jedoch nicht an dieE-Mail angehängt, wenn es sich bei der E-Mail um eine Antwort handelt (d. h. siebesitzt den Header In-Reply-To) oder wenn die Inhaltsart der E-Mail nichtbestimmt werden konnte. Beachten Sie, dassdie Fußzeile abhängig von derAbsenderdomäne angehängt wird.Um eine Fußzeile zu verwenden, markierenSie dasAuswahlfeld, geben Sie den Text für die Fußzeile ein und klicken Sie aufÜbernehmen.

6. Klicken Sie auf Übernehmen.Ihre Einstellungen werden gespeichert.Dasneue Profil wird in der ListeSMTP-Profileangezeigt.


Hinweis –Wenn Sie die OptionGlobale Einstellungen verwenden für eine Einstellungverwenden undÜbernehmen klicken, wechselt dasSymbol der Funktion zumSymbol fürglobale Einstellungen. Dadurch erhalten Sie leicht einen Überblick darüber, für welcheFunktionen Sie die globalen Einstellungen verwenden und für welche Funktionen dieindividuellen Einstellungen.

Um ein Profil umzubenennen, zu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen oben unter der Auswahlliste der Profile.

10.3 POP3ImMenüEmail Protection >POP3 können Sie den POP3-Proxy für eingehende E-Mailskonfigurieren.DasPost Office Protocol 3 ist ein Internet-Standardprotokoll aufAnwendungsebene, dasesermöglicht, E-Mails von einem entfernten Server abzuholen.DerPOP3-Proxyarbeitet im Transparenzmodus, dasheißt alle POP3-Anfragen, die über Port 110ausdem internen Netzwerk kommen, werden abgefangen und, unsichtbar für den Client,durch den Proxygeleitet. Der Vorteil diesesModus ist, dass keine zusätzliche Verwaltung oderclientseitige Konfiguration nötig ist.

Hinweis –Eskann nötig sein, die Einstellungen für die Server-Zeitüberschreitung in der E-Mail-Client-Konfiguration zu erhöhen. Meistens ist die Voreinstellung von einer Minute oderweniger zu gering, insbesondere wenn große E-Mails abgeholt werden.

DasPOP3-Protokoll nimmt keine serverseitige Verfolgung davon vor, welche E-Mails bereitsabgeholt wurden.Im Allgemeinen holt ein Mail-Client eine E-Mail ab und löscht sie danach aufdemServer.Wenn der Client jedoch so eingestellt ist, dasser keine E-Mails löscht, dann wirdauch auf Serverseite nicht gelöscht und der Client übernimmt die Aufgabe, nachzuvollziehen,welche E-Mails bereits abgeholt wurden.

10.3.1 AllgemeinAuf der RegisterkarteEmail Protection >POP3 >Allgemein können Sie Grundeinstellungen fürden POP3-Proxy vornehmen.

Um den POP3-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:


10 Email Protection 10.3 POP3

10.3 POP3 10 Email Protection

1. Aktivieren Sie den POP3-Proxy.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittPOP3-Einstellungen kann nun bearbeitetwerden.

2. Wählen Sie die zugelassenen Netzwerke aus.Wählen Sie die Netzwerke aus, deren POP3-Verkehr über den Proxy laufen soll.Standardmäßig ist das interne Netzwerk (InternalNetwork) voreingestellt.



Live -Protoko llImPOP3-Live-Protokollwerden die Aktivitäten desPOP3-Proxyprotokolliert. Alle eingehendenE-Mailswerden darin aufgeführt. Klicken Sie auf die Schaltfläche, um dasLive-Protokoll ineinem neuen Fenster zu öffnen.

10.3.2 AntivirusDie RegisterkarteAntivirusbietet verschiedeneMaßnahmen gegen E-Mails, die schädlichenoder gefährlichen Inhalt haben wie Viren,Würmer oder andere Schadsoftware.

Antiviren-ScanWenn Sie dieseOption wählen, werden E-Mails nach unerwünschtem Inhalt gescannt wie z. B.Viren, Trojanische Pferde oder verdächtige Dateitypen.Nachrichtenmit schädlichem Inhaltwerden blockiert oder in der E-Mail-Quarantäne gespeichert.Benutzer können ihreNachrichten in Quarantäne entweder über dasSophosBenutzerportal oder den täglichenQuarantänebericht einsehen.Nachrichten, die schädlichen Inhalt enthalten, können jedoch nurvomAdministrator über denMail-Manager ausder Quarantäne freigegeben werden.

SophosUTMbietet mehrere Antiviren-Mechanismen für höchste Sicherheit.




Unscannbaren und verschlüsselten Inhalt in Quarantäne:Wählen Sie dieseOption, umE-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte.Unscannbarer Inhalt können verschlüsselte Archive oder sehr große Inhalte sein, oder es kannein technischer Grund vorliegen wie z. B. der Ausfall einesScanners.

Max. Scangröße: Legen Sie dieMaximalgröße von Dateien fest, die von den Antiviren-Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.


Date ie rwe ite rungenf ilte rMit dieser Funktion können Sie E-Mails unter Quarantäne stellen (mitWarnung), die bestimmteDateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare Dateien).UmDateierweiterungen hinzuzufügen, klicken Sie auf dasPlussymbol im FeldBlockierteErweiterungen und geben Sie eine kritische Dateierweiterung ein, die gescannt werden soll, z.B. exeoder jar (ohne den Punkt als Trennzeichen).Klicken Sie aufÜbernehmen, um IhreEinstellungen zu speichern.


10.3.3 AntispamSophosUTMkann so konfiguriert werden, dassesunerwünschte Spam-E-Mails entdeckt undSpam-Übermittlungen von bekannten oder verdächtigten Spam-Versendern identifiziert.DieKonfigurationsoptionen auf der RegisterkarteAntispam ermöglichen die Konfiguration vonPOP3-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor demEmpfang vonunerbetenen kommerziellen E-Mails zu schützen.

Spamf ilte rSophosUTMbietet eine heuristische Prüfung eingehender E-Mails auf Spam-Eigenschaften.Esbenutzt dafür SMTP-Envelope-Informationen (envelope =Umschlag) undeine interne Datenbankmit heuristischen Tests und Eigenschaften. Die Spamfilter-Optionbewertet Nachrichten basierend auf ihrem Inhalt und SMTP-Envelope-Informationen. HöhereWerte deuten auf eine höhere Spam-Wahrscheinlichkeit hin.




Mit den folgenden beidenOptionen können Sie festlegen, wasmit Nachrichten geschehen soll,denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dasspotenzielleSpam-E-Mails vomGatewayanders behandelt werden.

l Spam-Aktion: Hier können Sie festlegen, wasmit Nachrichten geschieht, die alsmöglicher Spam eingestuft wurden. Beachten Sie, dassesFehlfunde geben kann, z. B.Newsletter, dadurch können durch Verwerfen E-Mails verloren gehen.

l Aktion bei bestätigtem Spam: Hier können Sie festlegen, wasmit Nachrichtengeschieht, die sicher Spam sind.

Sie können zwischen verschiedenen Aktionen für diese beiden Arten von Spamwählen:

l Aus: Eswerden keine Nachrichten alsSpammarkiert oder ausgefiltert.

l Warnen: Eswerden keine Nachrichten herausgefiltert. Stattdessen wird eine Spam-Markierung („Flag“) zumHeader der Nachricht hinzugefügt und der Betreff derNachricht erhält eine Spam-Kennzeichnung.

l Quarantäne: Die Nachricht wird blockiert und in die E-Mail-Quarantäne verschoben.Nachrichten in Quarantäne können entweder über dasBenutzerportal oder dentäglichenQuarantänebericht eingesehen werden.

Spam-Kennzeichnung:Mit dieser Option können Sie eine Kennzeichnung für Spam-Nachrichten festlegen, d. h. dasseine Zeichenkette zur Betreffzeile der Nachricht hinzugefügtwird, die eseinfachmacht, Spam-Nachrichten schnell als solche zu erkennen.Standardmäßigwird die Zeichenkette *SPAM*benutzt, umNachrichten alsSpam zu kennzeichnen.

Ausdruckf ilte rDer Ausdruckfilter scannt den Betreff und Inhalt von Nachrichten auf spezifische Ausdrücke. E-Mails, die einen der hier aufgeführten Ausdrücke enthalten, werden blockiert.Wenn jedoch aufder RegisterkarteEmail Protection >POP3 >Erweitert die Funktion Vorabholung verwendeneingeschaltet ist, wird die E-Mail unter Quarantäne gestellt.Ausdrücke können in Form vonPerlCompatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) eingegeben werden.Einfache Zeichenfolgen wie „Online Dating“ werden ohne Berücksichtigung der Groß-/Kleinschreibung interpretiert.


Absender -BlacklistDer Envelope-Absender eingehender POP3-Sitzungen wirdmit den Adressen auf dieserNegativliste (Blacklist) verglichen.Wenn der Envelope-Sender auf der Negativliste gefunden


wird, wird die Nachricht unter Quarantäne gestellt undmitOther in der Betreffzeile markiert.Um ein neuesAdressmuster zur Negativliste hinzuzufügen, klicken Sie auf dasPlussymbol imFeldAdressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klickenSieÜbernehmen.Sie können einen Asterisk (*) alsPlatzhalter verwenden, z. B.*@abbeybnknational.com.

10.3.4 AusnahmenAuf der RegisterkartePOP3 >Ausnahmen können Sie Clienthosts/-Netzwerke undAbsenderadressen festlegen, die von verschiedenen Sicherheitsmaßnahmen ausgenommenwerden sollen.




Diese Prüfungen auslassen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen.Weitere Informationen finden Sie unter Email Protection >SMTP>AntivirusundAntispam.

Für diese Clienthosts/-Netzwerke:Wählen Sie die Clienthosts/-Netzwerke (d. h. dieHosts oder Netzwerke, die Nachrichten senden), die von den Sicherheitsprüfungenausgenommenwerden sollen.

Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokaleNachrichten standardmäßig nicht gescannt werden.

Wenn Sie dieseOption wählen, wird dasFeldHost/Netzwerke geöffnet. Hier können Sieeinen Host oder ein Netzwerkeingeben, indemSie auf dasPlussymbol oder dasOrdnersymbol klicken.

Diese Absenderadressen:Wählen Sie die Absenderadressen, die von den gewähltenSicherheitsprüfungen ausgenommenwerden sollen.Wenn Sie dieseOption wählen, wird dasFeldAbsender geöffnet.Sie können entwedereine vollständige, gültige E-Mail-Adresse eingeben (z. B. [email protected])




oder alle E-Mail-Adressen einer bestimmten Domäne, wobeiSie einen Asterisk (*) alsPlatzhalter verwenden (z. B. *@beispiel.de).

Hinweis –Verwenden Sie dieAbsender-Optionmit Vorsicht, da Absenderadressenleicht gefälscht werden können.




10.3.5 ErweitertAuf der RegisterkartePOP3 >Erweitert können Sie solche Hosts und Netzwerke bestimmen,die vom TransparenzmodusdesPOP3-Proxyausgenommen sein sollen. DesWeiterenbeinhaltet die Registerkarte die POP3-Option zumVorabholen (engl. prefetch), welche esermöglicht, Nachrichten von einemPOP3-Server im Voraus zu holen und sie in einerDatenbank zu speichern.

Transparenzmodus-AusnahmenDieseOption ist nur von Bedeutung, wenn der POP3-Proxy im Transparenzmodusarbeitet.Hosts und Netzwerke, die im FeldAuszunehmendeHosts/Netze aufgeführt sind,werden vomPOP3-Proxynicht transparent überwacht.Um jedoch POP3-Verkehr für dieseHosts und Netzwerke zuzulassen, wählen Sie die OptionPOP3-Verkehr für aufgeführteHosts/Netze zulassen. Wenn Sie dieseOption nicht wählen, müssen Sie spezielleFirewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.

POP3-Server und VorabholenSie können hier einen oder mehrere POP3-Server eintragen, die demProxybekannt seinsollen. Zusätzlich können Sie dasVorabholen (engl. prefetching) aktivieren.

POP3-Server:Geben Sie die POP3-Server an, die in IhremNetzwerkbzw. von IhrenBenutzern verwendet werden.Wenn kein POP3-Server angegeben wird und E-Mails vomProxyabgefangen werden, ersetzt


der Proxydie E-Mails sofort mit einer Benachrichtigung an den Empfänger, die ihn davon inKenntnis setzt, dassdie E-Mails unter Quarantäne gestellt wurden.E-Mails in Quarantänekönnen imMail-Manager eingesehen werden, aber da sie nicht mit einemServer oder einemKonto in Verbindung gebracht werden können, können sie bei einer späteren Verbindung nichtfreigegeben werden. Die Freigabe von E-Mails ist überhaupt nur möglich für E-Mails, die imVorausabgeholt wurden („prefetching“).

Esgibt zweiSzenarien:

l Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen deaktiviert ist,behält der Proxydie Übersicht darüber, welche E-Mails in Quarantäne zu welchemServer oder Konto gehören. Dadurch können E-Mails in Quarantäne freigegebenwerden, wenn der Client die MailboxdasnächsteMal abfragt. Damit das funktioniert,mussder Proxy sicher feststellen, welche IP-Adresse zu welchemServer gehört (überderen FQDN, die Sie in IhremMail-Client angegeben haben).

l Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen aktiviert ist,überprüft der POP3-Proxydie POP3-Server periodisch auf neue Nachrichten.Wenneine neue Nachricht angekommen ist, wird sie zumPOP3-Proxy kopiert, gescannt und ineiner Datenbankauf der UTM gespeichert. Die Nachricht bleibt auf demPOP3-Server.Wenn ein Client versucht, neue Nachrichten abzuholen, kommuniziert er stattdessenmitdemPOP3-Proxyund holt nur die Nachrichten ausder Datenbank.

Ein POP3-Proxy, der dasVorabholen unterstützt, hat unter anderem folgende Vorteile:

l Keine Zeitüberschreitungsprobleme zwischen Client und Proxyoder umgekehrt.

l Die Zustellung der Nachrichten erfolgt sehr viel schneller, da die E-Mails bereits vorabgescannt wurden.

l Blockierte Nachrichten können vomBenutzerportal aus freigegeben werden – siewerden beim nächsten Abrufen der E-Mailsmit abgeholt.

Wenn eine Nachricht blockiert wurde, weil sie schädlichen Inhalt enthält oder alsSpameingestuft wurde, wird sie nicht an den Client ausgeliefert. Stattdessen wird sie unterQuarantäne gestellt.Eine Nachricht, die unter Quarantäne gestellt ist, wird im BereichMail-Manager im Benutzerportal gespeichert, von wo sie gelöscht oder freigegeben werden kann.

Vorabholen verwenden: Umden Vorabholenmoduszu aktivieren, markieren Sie dasAuswahlkästchen und fügen Sie einen oder mehrere POP3-Server zum FeldPOP3-Serverhinzu.

Vorabholenintervall:Wählen Sie dasZeitintervall, in dem der POP3-Proxyden POP3-Server kontaktiert, umNachrichten vorab zu holen.




Hinweis –Das Intervall, in demMail-Clients den POP3-Server kontaktieren dürfen,variiert von Server zu Server. DasVorabholenintervall sollte deshalb nicht kürzereingestellt werden als der POP3-Server es zulässt, sonst schlägt dasHerunterladender POP3-Nachrichten fehl, da der Zugang zumPOP3-Server nicht gestattet ist.Beachten Sie auch, dassmehrere Clients dasgleiche POP3-Konto abfragen können.JedesMal, wenn Nachrichten erfolgreich vomPOP3-Server abgerufen wurden,beginnt die Zeiterfassung von vorne, bis eine erneute Abfragemöglich ist. Wenn ausdiesemGrund der POP3-Proxyden POP3-Server viermal hintereinander nichterreichen kann (Standardeinstellung ist alle 15Minuten), wird dasKontokennwort ausder Proxy-Mail-Datenbankgelöscht, und eswerden dann solange keine E-Mailsmehrabgeholt, bis ein Mail-Client dasKennwort an den POP3-Server schickt und sichwieder erfolgreich anmeldet.

Quarantäne-Nachrichten vom Server löschen:Wenn Sie dieseOption wählen,werden Nachrichten in Quarantäne sofort vomPOP3-Server gelöscht.Das ist nützlich,um zu verhindern, dassBenutzer Spam- oder mit Viren infizierte Nachrichten erhalten,wenn sie sichmit demPOP3-Server nicht über die UTM, sondern beispielsweise überdasWebportal desPOP3-Servers verbinden.

Wenn der E-Mail-Client so konfiguriert ist, dasser Nachrichten vomServer löscht, nachdem ersie abgeholt hat, wird diese Information auch in der Datenbankabgespeichert. DasnächsteMal, wenn der ProxyNachrichten für diesesPOP3-Konto vorab holt, wird er die NachrichtenvomServer löschen.Dasbedeutet, so lange kein Client Nachrichten von SophosUTM abruftund kein Löschbefehl konfiguriert ist, werden keine Nachrichten auf demPOP3-Servergelöscht. Dadurch können sie weiterhin gelesen werden, zumBeispiel über dasWebportal desE-Mail-Anbieters.Quarantäne-Nachrichten werden in folgenden Fällen vomPOP3-Server gelöscht:

l Die Nachrichten werdenmanuell über denMail-Manager gelöscht.

l Die Nachrichten werdenmanuell über dasBenutzerportal gelöscht.

l Die Nachricht wurde freigegeben (entweder über denQuarantänebericht oder dasBenutzerportal) und der E-Mail-Client desBenutzers ist so konfiguriert, dasserNachrichten nach der Zustellung löscht.

l Die Benachrichtigungs-E-Mailwurde gelöscht.

l Die Aufbewahrungsfrist ist abgelaufen (siehe AbschnittKonfiguration im KapitelMail-Manager).


Im Vorabholenmoduskönnen Nachrichten unter Quarantäne nicht direkt durch einen Client-Befehl vomPOP3-Server gelöscht werden.

Hinweis –Der E-Mail-Client muss sichmindestenseinmal erfolgreichmit demPOP3-Serververbunden haben, bevor dasVorabholen funktioniert.Das liegt daran, dassSophosUTM denNamen desPOP3-Servers, den Benutzernamen und dasBenutzerkennwort in einerDatenbank speichernmuss, umPOP3-Nachrichten anstelle desBenutzers abholen zukönnen.Daskann jedoch nicht erreicht werden, wenn dasPOP3-Konto im SophosBenutzerportal eingerichtet wird (weitere Informationen finden Sie unter Benutzerportal). DiePOP3-Kontodaten im Benutzerportalwerden benötigt, damit die vorab geholten Nachrichtenim Benutzerportal desentsprechenden Benutzers erscheinen und in dessen täglichemQuarantänebericht.

SSLwird im Augenblick nicht unterstützt, deshalb könnenMails vonMail-Anbietern wieGooglemail, die ausschließlich SSL-Zugriff gestatten, nicht durch den Proxygefiltert werden.

Hinweis für Benutzer von Fetchmail: Die TOP-Methode wird ausSicherheitsgründen nichtunterstützt, um E-Mails vomMailserver herunterzuladen – Nachrichten, die über TOPempfangen wurden, können nicht gescannt werden.Es funktioniert aber, wenn Sie die Optionfetchallangeben (-aauf der Kommandozeile). Umweitere Informationen zu erhalten, lesenSie bitte dasKapitel „RETR or TOP“ im Fetchmail-Handbuch.

Bevorzugter Ze ichensatzIn diesemAbschnitt können Sie einen anderen Zeichensatz alsUTF-8 wählen, der für jeneMail-Header verwendet werden soll, die irgendwie von der UTM verändert wurden (z. B. durchBATV). Das ist nützlich, wenn Ihre Benutzer Mail-Clients verwenden, die mit UTF-8 nichtumgehen können. Im Allgemeinen ist der voreingestellte Zeichensatz eine guteWahl,unabhängig von Ihrer Region. Deshalb sollten Sie diese Einstellung nur ändern, wenn Siesicher sind, dassesdas ist, wasSie wollen.Wenn Sie Zweifel haben, sollten SieUTF-8beibehalten.

10.4 VerschlüsselungSeitdemE-Mails im privaten und geschäftlichen Bereich dasprimäre elektronischeKommunikationsmittel geworden sind, sind verständliche Bedenken über Privatsphäre undAuthentifizierung aufgekommen. Einfach formuliert: DasE-Mail-Format wird in Klartextübermittelt, ähnlich einer Postkarte, die jeder lesen kann. Da esdarüber hinaus sehr einfach ist,


10 Email Protection 10.4 Verschlüsselung

10.4 Verschlüsselung 10 Email Protection

falsche Identitäten anzunehmen,mussder Empfänger feststellen können, ob der Absenderauch der ist, für den er sich ausgibt.

Die Lösung zu diesen Problemen ist typischerweise die Verwendung von E-Mail-Verschlüsselung und digitalen Zertifikaten – E-Mailswerden dabei elektronisch signiert undkryptografisch verschlüsselt. Dies stellt sicher, dassausschließlich der Empfänger derNachricht diese öffnen und den Inhalt der Nachricht anschauen kann (Privatsphäre) und dieIdentität desAbsenders feststellen kann (Authentifizierung). Mit anderenWorten vereiteltdieser Prozessdie Idee, eine „E-Postkarte“ zugeschickt zu bekommen, und führt einen Prozessin einer Art registrierter oder zertifizierter E-Mails ein.

In der modernen Kryptografie gibt es zweiVerfahren für die Verschlüsselung von E-Mails:symmetrische und asymmetrische. Beide Verfahren haben sich alsStandard etabliert undwerden in verschiedenen Anwendungen eingesetzt. Bei der symmetrischen Verschlüsselungteilen sich der Absender und der Empfänger den gleichen Schlüssel.

Bei der asymmetrischen Verschlüsselung hingegen (auch bekannt alsPublic-Key-Kryptografie) besitzt jeder Benutzer ein Schlüsselpaar – einen öffentlichen Schlüssel (engl.public key) für die Verschlüsselung der E-Mail und einen korrespondierenden privaten bzw.geheimen Schlüssel (engl. private key) zur Entschlüsselung. Der öffentliche Schlüsselwird freiverteilt, während der private Schlüssel vomBenutzer geheim gehalten wird.

Ein Nachteil der symmetrischen Verschlüsselung ist, dass sich die beiden Beteiligten für einesichere Kommunikation einen Schlüssel teilen und sicherstellenmüssen, dassnur ihnen derSchlüssel bekannt ist. Wenn sie sich an unterschiedlichen Standorten befinden, müssen siesicherstellen, dassder Schlüssel bei der Übermittlung geheim bleibt. Dasgrößte Problem beider symmetrischen Verschlüsselung ist daher die Übermittlung der Schlüssel: Wie sende ichden Schlüssel an den Empfänger, ohne dass ihn jemand abfängt? Die Public-Key-Kryptografiewurde entwickelt, um genau diese Sicherheitslücke zu schließen. Mit dieser Verschlüsselungs-Methode können zweiParteien über eine unsichere Verbindungmiteinander kommunizieren,ohne dass zuvor ein gemeinsamer Schlüssel ausgetauscht werdenmuss.

Der Bedarf an E-Mail-Verschlüsselung hat eine Reihe von Standards für die Public-Key-Kryptografie hervorgebracht, vor allem S/MIMEundOpenPGP. SophosUTM unterstützt beideStandards.S/MIME (SecureMultipurpose Internet Mail Extensions) ist ein Standard fürasymmetrische Verschlüsselung und dasSignieren vonMIME-strukturierten E-Mails. DiesesProtokollwird üblicherweise innerhalb einer Public-Key-Infrastruktur (PKI) eingesetzt undbasiert auf einer hierarchischen Struktur ausdigitalen Zertifikaten, wobei eseinevertrauenswürdige InstanzalsZertifizierungsinstanz (CA, engl. certificate authority) benötigt.Die CA stellt ein Zertifikat aus, bei dem sie eine Identität an ein Paar elektronischer Schlüssel


bindet. Dieser Vorgang kann als digitalesGegenstück zu herkömmlichen Identitätsdokumentenwie einemReisepassangesehen werden.Aus technischer Sicht stellt die CA ein Zertifikat aus,indem sie einen öffentlichen Schlüssel an einen bestimmtenDistinguished Name im X.500-Standard bindet, oder an einenAlternative Namewie z. B. eine E-Mail-Adresse.

Ein digitalesZertifikat ermöglicht es festzustellen, ob jemand die Berechtigung hat, einenangegebenen Schlüssel zu verwenden. Der Gedanke dahinter ist, dassman sicher sein kann,dass jemandem der fragliche öffentliche Schlüssel gehört, wenn dieser einer CA vertraut undnachweisen kann, dassder öffentliche Schlüssel von dieser CA signiert wurde.

OpenPGP (PrettyGood Privacy), der andere Standard, nutzt eine asymmetrischeVerschlüsselung, die üblicherweise in einem sogenanntenWeb of Trust (WOT, dt. Netz desVertrauens) eingesetzt wird. Dasbedeutet, dassöffentliche Schlüssel digital von anderenBenutzern signiert werden, welche durch diese Handlung die Zusammengehörigkeit vonSchlüssel und Benutzer bestätigen.

Hinweis –Beachten Sie, dass, obwohl sie ähnliche Dienste anbieten, die beiden StandardsS/MIMEundOpenPGPsehr unterschiedliche Formate verwenden. Dasbedeutet, dassBenutzer deseinen Protokolls nicht mit Benutzern desanderen Protokolls kommunizierenkönnen. DesWeiteren können Authentifizierungszertifikate nicht für beide Protokolleverwendet werden.

Die gesamte E-Mail-Verschlüsselung ist für den Benutzer transparent, sodass keinezusätzliche Verschlüsselungs-Software auf demClient installiert werdenmuss. Einfach gesagtheißt das, dass zur Verschlüsselung der E-Mails dasZertifikat der Gegenstelle oder deröffentliche Schlüssel benötigt wird. Nachfolgend sind die unterschiedlichen Funktionsweisen fürein- und ausgehende Nachrichten beschrieben:

l Ausgehende Nachrichten von internen Benutzern werden standardmäßig gescannt,automatisch signiert und verschlüsselt. Für die Signierung und die Verschlüsselung wirdentweder dasZertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) desEmpfängers verwendet. DasZertifikat und der öffentliche Schlüsselmüssen dafür aufder UTM vorhanden sein.

l Verschlüsselte eingehende Nachrichten von externen Benutzern, deren S/MIME-Zertifikat oder öffentlicher OpenPGP-Schlüssel der UTM bekannt ist, werdenautomatisch entschlüsselt und auf Viren überprüft. Um die Nachricht zu entschlüsseln,mussder S/MIME-Schlüssel oder der private OpenPGP-Schlüssel des internenBenutzers auf der UTM installiert sein.




l Verschlüsselte eingehende Nachrichten von externen Benutzern oder für interne, derUTM unbekannte Benutzer werden zugestellt, obwohl sie nicht entschlüsselt unddeshalb nicht auf Viren oder Spam gescannt werden können. Es liegt dann in derVerantwortung desEmpfängers (interner Benutzer), sicherzustellen, dassdie E-Mailkeine Schadsoftware enthält, beispielsweise durch die Benutzung einer eigenenFirewall.

l Ausgehende Nachrichten, die bereits clientseitig verschlüsselt wurden, werden direkt anden Empfänger weitergeleitet, wenn dasentsprechende Zertifikat (S/MIME) oder deröffentliche Schlüssel (OpenPGP) nicht bekannt ist. Falls jedoch dasS/MIME-Zertifikatoder der öffentlicheOpenPGP-Schlüssel desEmpfängers vorhanden ist, werden dieNachrichten ein zweitesMal verschlüsselt. Beachten Sie, dass im Voraus verschlüsselteNachrichten nicht auf schädlichen Inhalt gescannt werden können.

l Entschlüsselung wird nur bei eingehenden E-Mails durchgeführt, wobeimit „eingehend“ gemeint ist, dassder Domänenname der Absenderadresse nicht Bestandteil einesSMTP-Profils ist. Beispiel: Damit die Nachricht von der [email protected]üsselt wird, darf die Domänebeispiel.denicht in den Routing-Einstellungen oder in irgendeinemSMTP-Profilangegeben sein.

l In die Betreffzeile jeder E-Mailwird eine Zusammenfassung desSignatur-/Verschlüsselungsergebnisseseingefügt. Beispiel: Einer E-Mail, die mit S/MIME korrektsigniert und verschlüsselt wurde, wird die Information „(S/MIME: Signed and encrypted)“ in der Betreffzeile angefügt.



10.4.1 AllgemeinAuf der RegisterkarteEmail Protection >Verschlüsselung >Allgemein können Sie dieGrundeinstellungen für die E-Mail-Verschlüsselungsfunktionalität vornehmen.

Hinweis –Verschlüsselung funktioniert nur beiSMTP, nicht beiPOP3.

Bevor Sie E-Mail-Verschlüsselung verwenden können, müssen Sie zunächst eineZertifizierungsinstanz (CA, Certificate Authority) erstellen. Diese CAbesteht auseinemCA-Zertifikat und einemCA-Schlüssel. DasCA-Zertifikat kann heruntergeladen und lokalgespeichert werden. Es kann außerdem als externe CA (S/MIME-Instanz, engl. S/MIMEAuthority) in anderenGeräten installiert werden (siehe Diagramm), um eine transparente E-Mail-Verschlüsselung zwischen zweiSophosUTMszu ermöglichen.


Bild 19 E-Mail-Verschlüsselung: Mit zwei Sophos UTMs

UmE-Mail-Verschlüsselung zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die E-Mail-Verschlüsselung auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der Abschnitt Zertifizierungsinstanz (CA) für E-Mail-Verschlüsselung kann nun bearbeitet werden.




2. Erstellen Sie eine Zertifizierungsinstanz (CA).Füllen Sie dasFormular Zertifizierungsinstanz (CA) für E-Mail-Verschlüsselungaus.Standardmäßig ist dasFormular mit denWerten von der RegisterkarteVerwaltung>Systemeinstellungen >Organisatorisches vorausgefüllt.

3. Klicken Sie auf Speichern.Die Statusampelwird grün und die folgenden Zertifikate bzw. Schlüsselwerdengeneriert:

l S/MIME-CA-Zertifikat

l Öffnen Sie den PGP-Postmaster-Schlüssel.

Beachten Sie, dassder GenerierungsprozesseinigeMinuten dauern kann.Falls dieFingerabdrücke desS/MIME-CA-Zertifikats und desOpenPGP-Postmaster-Schlüsselsnach einigenMinuten nicht anzeigt werden, klicken Sie auf die SchaltflächeAktualisierenin der rechten oberen Ecke desWebAdmin. DasZertifikat und der Schlüssel könnenheruntergeladen und lokal gespeichert werden.

Verwenden Sie die SchaltflächeE-Mail-Verschlüsselungssystem jetzt zurücksetzen, um alleEinstellungen imMenüVerschlüsselung in den Auslieferungszustand zurückzusetzen.

10.4.2 OptionenAuf der RegisterkarteVerschlüsselung >Optionen können Sie die Standardrichtlinie für diePublic-Key-Verschlüsselung von SophosUTM festlegen.

Standardrichtlinie: Legen Sie die Standardrichtlinie bezüglich der E-Mail-Verschlüsselungfest. Diese Einstellungen können allerdingsdurch benutzerspezifische Einstellungenüberschrieben werden.

Die folgenden Aktionen sindmöglich:

l Ausgehende E-Mails signieren

l Ausgehende E-Mails verschlüsseln

l Eingehende E-Mails verifizieren

l Eingehende E-Mails entschlüsseln



Hinweis –Damit die Verschlüsselung funktioniert, mussder Absender auf der Liste InterneBenutzer aufgeführt sein. Ausgehende E-Mails für Empfänger, deren S/MIME-Zertifikat oderöffentlicher OpenPGP-Schlüssel auf demGateway installiert ist, werden standardmäßigverschlüsselt. Wenn Sie Verschlüsselung für diese Empfänger deaktivieren wollen, löschenSie deren S/MIME-Zertifikate oder öffentlicheOpenPGP-Schlüssel.Wenn der UTMZertifikate oder öffentliche Schlüssel unbekannt sind, werden diese E-Mails unverschlüsseltversendet.

Automatische Extraktion von S/MIME-Zer tif ika tenWenn dieseOption gewählt ist, werden die an eingehende E-Mails angehängten S/MIME-Zertifikate automatisch extrahiert. Voraussetzung hierfür ist, dassdiesesZertifikat von einervertrauenswürdigen Zertifizierungsinstanz (CA) signiert wurde, dasheißt, von einer CA, dieauf demGerät vorhanden ist und deshalb unter Email Protection >Verschlüsselung >S/MIME-CAsangezeigt wird.Zudemmussdie Zeit- und Datumsanzeige von SophosUTM innerhalb derGültigkeitsdauer desZertifikats liegen, da die automatische Extraktion der Zertifikate sonst nichtfunktioniert.Erfolgreich extrahierte Zertifikate werden auf der RegisterkarteEmail Protection >Verschlüsselung >S/MIME-Zertifikate angezeigt. Beachten Sie, dassdieser Prozess ca. fünfbis zehnMinuten dauern kann.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zuspeichern.

OpenPGP-Schlüsse lserverOpenPGP-Schlüsselserver (engl. keyserver) beherbergen öffentliche PGP-Schlüssel. Siekönnen hier einenOpenPGP-Schlüsselserver angeben.Bei verschlüsselten eingehenden E-Mails oder bei ausgehenden E-Mails, die verschlüsselt werden sollen, wird die UTM versuchen,den öffentlichen Schlüssel vom angegebenen Server zu holen, wenn der entsprechendeSchlüssel der UTM noch unbekannt ist.

10.4.3 Interne BenutzerFür die Signierung und Verschlüsselung von E-Mailsmussentweder der S/MIME-Schlüsseloder der private OpenPGP-Schlüssel auf der UTM vorhanden sein.Auf der RegisterkarteVerschlüsselung > Interne Benutzer können Sie für die Benutzer, für die E-Mail-Verschlüsselung aktiviert werden soll, sowohl ein individuellesS/MIME-Schlüssel/Zertifikat-Paar als auch ein OpenPGP-Schlüsselpaar erstellen.

Um einen internen E-Mail-Benutzer hinzufügen, gehen Sie folgendermaßen vor:




1. Klicken Sie auf der Registerkarte Interne Benutzer auf Neuer E-Mail-Verschlüsselungsbenutzer.DasDialogfenster Neuen Benutzer erstellenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:E-Mail-Adresse:Geben Sie die E-Mail-Adresse desBenutzers ein.

Vor- und Nachname:Geben Sie den Namen desBenutzers ein.

Signierung: Für die Signierung stehen die folgendenOptionen zur Auswahl:

l Standardrichtlinie verwenden: Die Richtlinie, wie sie auf der RegisterkarteOptionen definiert ist, wird verwendet.

l Ein: E-Mailswerdenmit dem Zertifikat desBenutzers signiert.

l Aus: E-Mailswerden nicht signiert.

Verschlüsselung: Für die Verschlüsselung stehen die folgendenOptionen zurAuswahl:

l Standardrichtlinie verwenden: Die auf der RegisterkarteOptionen festgelegteRichtlinie wird verwendet.

l Ein: E-Mailswerdenmit dem öffentlichen Schlüssel desEmpfängers verschlüsselt.

l Aus: E-Mailswerden nicht verschlüsselt.

Verifizierung: Für die Verifizierung stehen die folgendenOptionen zur Auswahl:


l Ein: E-Mailswerdenmit dem öffentlichen Schlüssel desAbsenders verifiziert.

l Aus: E-Mailswerden nicht verifiziert.

Entschlüsselung: Für die Entschlüsselung stehen die folgendenOptionen zurAuswahl:


l Ein: E-Mailswerdenmit dem Zertifikat desBenutzers entschlüsselt.

l Aus: E-Mailswerden nicht entschlüsselt.


S/MIME: Sie können wählen, ob dasS/MIME-Zertifikat und der Schlüssel automatischvomSystem generiert werden sollen oder ob Sie ein Zertifikat im Format PKCS#12hochladen wollen.Wenn Sie dasZertifikat hochladen, müssen Sie dasKennwort kennen,mit dem die PKCS#12-Datei geschützt ist.Beachten Sie, dassdie PKCS#12-Datei sowohlden S/MIME-Schlüssel als auch dasZertifikat enthaltenmuss.Ein CA-Zertifikat, daseventuell zusätzlich in der PKCS#12-Datei enthalten ist, wird ignoriert.

OpenPGP: Sie können wählen, ob dasOpenPGP-Schlüsselpaar, dasauseinemprivaten und einem öffentlichen Schlüssel besteht, vomSystem automatisch generiertwerden soll oder ob Sie dasSchlüsselpaar im ASCII-Format hochladen wollen.Beachten Sie, dassder private und der öffentliche Schlüssel in einer einzigen Dateienthalten seinmüssen und dassdie Datei kein Kennwort enthalten darf.

Hinweis – FallsSie für einen Benutzer S/MIMEundOpenPGPkonfigurieren, dannwerden die von ihm gesendeten E-MailsmittelsS/MIME signiert und verschlüsselt.


3. Klicken Sie auf Speichern.Der neue Benutzer wird in der Liste Interne Benutzer angezeigt.

Verwenden Sie die Statusampel, um die Benutzung von einem oder beiden Schlüsselabzuschalten ohne die Schlüssel löschen zumüssen.

Hinweis –AusSicherheitsgründen kann nur dasS/MIME-Zertifikat beziehungsweise deröffentliche Schlüssel ausdemOpenPGP-Schlüsselpaar heruntergeladen werden.DerS/MIME-Schlüssel und der private OpenPGP-Schlüssel können nicht vomSystemheruntergeladen werden.UmProblemen beimHerunterladen von Dateienmit dem InternetExplorer 6 vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100)den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich dieseEinstellungen imMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beim InternetExplorer 7 zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatischeEingabeaufforderung für Dateidownloads.




10.4.4 S/MIME-CAsAuf der RegisterkarteVerschlüsselung >S/MIME-CAs können Sie die Zertifikate (z. B. denöffentlichen Schlüssel) einer externen Zertifizierungsinstanz (CA) importieren, der Sievertrauen. Auf dieseWeise sind alle eingehenden E-Mails, deren Zertifikate von dieser CAsigniert wurden, ebenfalls vertrauenswürdig.Wenn Sie die OptionAutomatische Extraktion vonS/MIME-Zertifikaten auf der RegisterkarteEmail Protection >Verschlüsselung >Optionenausgewählt haben, werden die Zertifikate dieser CA automatisch extrahiert und auf derRegisterkarteEmail Protection >Verschlüsselung >S/MIME-Zertifikate angezeigt.

Um eine externe S/MIME-CA zu importieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte S/MIME-CAs auf Neue externe CA.DasDialogfenster Externe CAhinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Format:Wählen Sie dasFormat der CA. Sie können zwischen den folgenden Formatenwählen:

l der (binär)

l pem (ASCII)

Hinweis –Microsoft-Windows-Betriebssysteme nutzen die Dateierweiterung cer fürbeide Formate, derund pem.Daher müssen Sie im Vorauswissen, ob es sich bei demZertifikat, die Sie hochladen wollen, um dasBinär- oder dasASCII-Format handelt.Wählen Sie dann ausder Auswahlliste dasentsprechende Format aus.

Zertifikat: Klicken Sie auf dasOrdnersymbol, um dasDialogfenster Datei hochladen zuöffnen.Wählen Sie die Datei ausund klicken Sie aufHochladen starten.


3. Klicken Sie auf Speichern.Die CAwird in der ListeS/MIME-CAsangezeigt.

SophosUTMwird standardmäßigmit einigen öffentlichen Schlüsseln von kommerziellen CAs(Zertifizierungsinstanzen) ausgeliefert, um die E-Mail-Verschlüsselung zwischen IhremUnternehmen und Ihren Kommunikationspartnern zu erleichtern, die eine PKI (Public-Key-


Infrastruktur) unterhalten, welche auf diesen CAsbasiert.Nachfolgend sind einige URLszubekannten Zertifizierungsanbietern aufgeführt:

l Trustcenter

l S-TRUST

l Thawte

l VeriSign

l GeoTrust

Zusätzlich können Sie die CAeiner anderen SophosUTM installieren. Dadurch ermöglichenSie eine transparente E-Mail-Verschlüsselung zwischen beiden SophosUTMs.

10.4.5 S/MIME-ZertifikateAuf der RegisterkarteVerschlüsselung >S/MIME-Zertifikate können Sie externe S/MIME-Zertifikate importieren. E-Mails an Empfänger, deren Zertifikate auf dieser Registerkarteaufgeführt sind, werden automatisch verschlüsselt. Wenn für einen bestimmten Empfänger dieE-Mails nicht verschlüsselt werden sollen, löschen Sie einfach dasentsprechende Zertifikat ausder Liste.

Hinweis –Wenn Sie ein S/MIME-Zertifikat manuell hochladen, wird Nachrichten von E-Mail-Adressen, die mit diesem Zertifikat verknüpft sind, immer vertraut. Selbst wenn kein CA-Zertifikat verfügbar ist, mit dem die Identität der Person auf dem Zertifikat überprüft werdenkönnte. Dasbedeutet also, dassmanuell hochgeladene S/MIME-Zertifikate immer alsvertrauenswürdig gelten.

Um ein externesS/MIME-Zertifikat zu importieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte S/MIME-Zertifikate auf Neues externesS/MIME-Zertifikat.DasDialogfenster S/MIME-Zertifikat hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Format:Wählen Sie dasFormat desZertifikats. Sie können zwischen den folgendenFormaten wählen:

l pem (ASCII)

l der (binär)



http://www.trustcenter.de/root_certificates.htm

http://www.s-trust.de/download/ausstellerzertifikate/index.htm

http://www.s-trust.de/download/ausstellerzertifikate/index.htm

http://www.thawte.com/roots/

http://www.verisign.com/support/roots.html

http://www.geotrust.com/resources/root_certificates/index.asp


Hinweis –Microsoft-Windows-Betriebssysteme nutzen die Dateierweiterung cer fürbeide Formate, derund pem. Daher müssen Sie im Vorauswissen, ob es sich bei derDatei, die Sie hochladen wollen, um dasbinär- oder dasASCII-Format handelt.Wählen Sie dann ausder Auswahlliste dasentsprechende Format aus.

Zertifikat: Klicken Sie auf dasOrdnersymbol, um dasDialogfenster Datei hochladen zuöffnen.Wählen Sie die Datei ausund klicken Sie aufSpeichern.


3. Klicken Sie auf Speichern.Dasneue S/MIME-Zertifikat wird in der ListeS/MIME-Zertifikate angezeigt.

10.4.6 OpenPGP-SchlüsselAuf der RegisterkarteVerschlüsselung >OpenPGP-Schlüssel können Sie öffentlicheOpenPGP-Schlüssel installieren.Die Dateienmüssen im .asc-Format vorliegen. Sie könnenauch ganze Schlüsselbunde (engl. keyrings) hochladen.

Hinweis – Importieren Sie keine Schlüsselbunddateien, die durch ein Kennwort geschütztsind.

Alle öffentlichen Schlüssel ausdemSchlüsselbund werden importiert und können dazuverwendet werden, Nachrichten zu verschlüsseln. E-Mails an Empfänger, deren öffentlicheSchlüssel auf dieser Registerkarte aufgeführt sind, werden automatisch verschlüsselt. Wennfür einen bestimmten Empfänger die E-Mails nicht verschlüsselt werden sollen, löschen Sieeinfach den entsprechenden öffentlichen Schlüssel ausder Liste.

Hinweis –Pro Schlüsselwird nur eine E-Mail-Adresse unterstützt. Falls einemSchlüsselmehrere E-Mail-Adressen zugeordnet sind, wird nur die „erste‟ E-Mail-Adresse verwendet(die Reihenfolge hängt von der Sortierung durchOpenPGPab).Wenn Sie einen Schlüsselimportierenmöchten, der über mehrere E-Mail-Adressen verfügt, somüssen Sie vorher dieunerwünschten Adressenmit OpenPGPoder einem anderen Programm entfernen, bevorSie den Schlüssel in SophosUTM importieren.

Um einen öffentlichenOpenPGP-Schlüssel zu importieren, gehen Sie folgendermaßen vor:


1. Klicken Sie auf der Registerkarte OpenPGP-Schlüssel auf Schlüsselbundimportieren.DasDialogfensterOpenPGP-Schlüsselbund importierenwird geöffnet.

2. Laden Sie den/die OpenPGP-Schlüssel hoch.Klicken Sie auf dasOrdnersymbol, um dasDialogfenster Datei hochladen zuöffnen.Wählen Sie die Datei ausund klicken Sie aufHochladen starten.

Der Schlüssel oder, wenn die Dateimehrere Schlüssel enthält, die Liste von Schlüsselnwird angezeigt.

3. Wählen Sie einen oder mehrere Schlüssel aus und klicken Sie auf GewählteSchlüssel importieren.Der/die Schlüsselwerden in der ListeOpenPGP-Schlüsselangezeigt.

Hinweis –DemSchlüsselmusseine E-Mail-Adresse zugeordnet sein. Ansonsten schlägt dieInstallation fehl.

10.5 QuarantäneberichtSophosUTMbesitzt eine E-Mail-Quarantäne, die alle Nachrichten enthält (SMTPund POP3)die aus verschiedenenGründen blockiert und unter Quarantäne gestellt wurden. Das schließtNachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten, die mit schädlicherSoftware infiziert sind, verdächtige Anhänge enthalten, alsSpam identifiziert wurden odereinfach unerwünschte Ausdrücke enthalten.

Um dasRisiko zuminimieren, dassNachrichten irrtümlicherweise zurückgehalten werden(sogenannte Fehlfunde), SophosUTM täglich einenQuarantänebericht an jeden Benutzer,der die Benutzer über Nachrichten informiert, die sich in Quarantäne befinden. Benutzer mitmehreren E-Mail-Adressen erhalten einen individuellen Quarantänebericht für jedekonfigurierte E-Mail-Adresse.Dasgilt auch für zusätzliche POP3-Konten, die für einenBenutzer im Benutzerportal, konfiguriert sind, vorausgesetzt der POP3-Proxy von SophosUTM befindet sich imVorabholenmodus. Im Vorabholenmoduswerden die E-Mails vomPOP3-Server vorab abgerufen und in einer lokale Datenbankabgelegt.ImQuarantäneberichtkann der Benutzer auf eine Spam-E-Mail klicken, um diese Nachricht ausder Quarantänefreizugeben, oder er kann den Absender für zukünftige Nachrichten einer Positivliste (Whitelist)hinzufügen.

Die folgende Liste enthält weitere Informationen zumQuarantänebericht:


10 Email Protection 10.5 Quarantänebericht

10.5 Quarantänebericht 10 Email Protection

l Quarantäneberichte werden nur an Benutzer geschickt, deren E-Mail-Adresse zu einerDomäne gehört, die in einemSMTP-Profil enthalten ist.Diesbeinhaltet sowohl dieAngaben im FeldDomänen auf der RegisterkarteSMTP>Routing als auch dieAngaben im FeldDomänen aller SMTP-Profile.

l Wenn die POP3-OptionVorabholen ausgeschaltet ist, werden Nachrichten inQuarantäne, die an diesesKonto geschickt wurden, nicht imQuarantäneberichtaufgeführt.Stattdessen wird demBenutzer die typische Sophos-Benachrichtigung überblockierte POP3-Nachrichten geschickt. Dadurch ist es dann nicht – wie über denQuarantänebericht oder dasBenutzerportal – möglich, die E-Mails freizugeben.Diese E-Mails können dann nur vomAdministrator über denMail-Manager im zip-Formatheruntergeladen werden.

l Nur Spam-E-Mails können ausder Quarantäne freigegeben werden.Nachrichten, diesich ausanderenGründen in Quarantäne befinden, z. B. weil sie Viren oder verdächtigeDateianhänge enthalten, können nur vomAdministrator über denMail-Manager vonSophosUTM freigegeben werden.Außerdem können Benutzer all ihre Nachrichten inQuarantäne über dasBenutzerportal von Sophoseinsehen.

l Wenn eine Spam-E-Mailmehrere Empfänger hat, wie esoft beiVerteilerlisten (auchengl. mailing list) der Fall ist, und einer der Empfänger die E-Mail freigibt, wird die E-Mailnur für diesen Empfänger freigegeben, vorausgesetzt die E-Mail-Adresse derVerteilerliste ist auf demSystem konfiguriert. Andernfallswird die E-Mail an alleEmpfänger gleichzeitig geschickt.Weitere Informationen finden Sie unter der OptionInterne Verteilerlisten definieren auf der RegisterkarteEmail Protection >Quarantänebericht >Ausnahmen.

l E-Mails, die an eine SMTP-E-Mail-Adresse geschickt wurden, für die kein Benutzer aufSophosUTM konfiguriert ist, können vomAdministrator über denQuarantäneberichtoder denMail-Manager freigegeben (aber nicht auf die Positivliste gesetzt) werden. Dader Benutzer nicht konfiguriert ist, ist jedoch kein Zugriff über dasBenutzerportalmöglich.

l An Verteilerlisten geschickte Spam-Mails können grundsätzlich nicht einer Positivlistehinzugefügt werden.

l Einige E-Mail-Programme kodieren den Header einer E-Mail nicht korrekt, was zu eineretwasmerkwürdigen Darstellung dieser E-Mails imQuarantänebericht führen kann.


10.5.1 AllgemeinAuf der RegisterkarteQuarantänebericht >Allgemein können Sie festlegen, zu welcher Zeitder täglicheQuarantänebericht versendet werden soll. Zusätzlich können Sie eine Nachrichtschreiben, die an die Quarantäneberichte angehängt wird.

Um die Einstellungen für denQuarantänebericht zu bearbeiten, aktivieren Sie denQuarantänebericht: Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.Die Statusampelwird grün.

Ze itpunkt für den Ber ichtversandHier können Sie festlegen, wann der täglicheQuarantänebericht versendet werdensoll.Wählen Sie die Zeit mit Hilfe der Auswahlliste ausund klicken Sie aufÜbernehmen.Sie können auch einen zusätzlichen Bericht versenden.Wählen Sie dazu die OptionZusatzbericht senden, stellen Sie die Zeit ein und klicken Sie aufÜbernehmen.

Anpassbarer Nachr ichtentextHier können Sie den Text anpassen, der alsEinleitung zumQuarantänebericht dient.ÄndernSie den Nachrichtentext nach IhrenWünschen und klicken Sie aufÜbernehmen.

Hinweis –Es ist nicht möglich, HTML-Tags im Feld für den Nachrichtentext zu verwenden.

Hinweis –Anpassungen sind nicht möglich, wenn Sie eine Home-Use-Lizenz verwenden.

10.5.2 AusnahmenAuf der RegisterkarteQuarantänebericht >Ausnahmen können Sie Ausnahmenlisten für E-Mail-Adressen definieren, um sie von den täglichenQuarantäneberichten auszunehmen.

Von Quarantäneber ichten ausnehmenHier können Sie die interne E-Mail-Adressen definieren, für die keine Quarantäneberichteversendet werden sollen. Benutzer, deren E-Mail-Adressen hier aufgeführt sind, erhaltenkeine täglichenQuarantäneberichte.Sie können vollständige E-Mail-Adressen eingeben odereinen Asterisk (*) alsPlatzhalter verwenden, z. B. *@example.com.



10.5 Quarantänebericht 10 Email Protection

Hinweis –Diese Ausnahmen gelten nur für den SMTP-Quarantänebericht.Wenn für einenBenutzer ein POP3-Konto angelegt ist, wird der POP3-Quarantänebericht auch versendet.

I nte rne Ver te ile r listen de f inie renWenn die E-Mail-Adresse einer Verteilerliste im FeldAdressmuster von Verteilerlistenkonfiguriert ist (z. B. [email protected]) und eine Spam-E-Mail, die an dieseVerteilerliste gesendet wurde, entdeckt und unter Quarantäne gestellt wurde, dann wird derQuarantänebericht aller Empfänger dieser Verteilerliste einen Link zu dieser Spam-E-Mailenthalten.Dadurch kann jeder Empfänger die Spam-E-Mail für sich freigeben, indem er seineE-Mail-Adresse in dasDialogfenster eingibt, daserscheint, wenn er auf den Freigeben-Link imQuarantänebericht geklickt hat.

Hinweis –Verteilerlisten können nicht über denQuarantänebericht oder dasBenutzerportalauf die Positivliste (Whitelist) gesetzt werden.

Alternativ könnten Sie die E-Mail-Adresse dieser Verteilerliste einem lokalen Benutzer alszusätzliche E-Mail-Adresse in dessen Profil eintragen, wodurch dieser Benutzer zu einer ArtMail-Verwalter werden würde. Nur der Quarantänebericht diesesBenutzers besitzt danneinen Link zu der Spam-E-Mail, die an die Verteilerliste geschickt wurde.Ein Klick auf denFreigeben-Linkwürde dann die Spam-E-Mail an alle Empfänger der Verteilerliste auf einmalversenden.

Hinweis –Wenn die E-Mail-Adresse einer Verteilerliste als zusätzliche E-Mail-Adresse beieinemBenutzerprofil eingetragen ist, wird den übrigen Empfängern dieser Verteilerliste keinFreigeben-Link beiSpam-E-Mails angezeigt, die an diese Liste gesendet wurden.

Wenn die E-Mail-Adresse der Verteilerliste allerdings in einemBenutzerkonto als zusätzlicheAdresse und gleichzeitig auch im FeldAdressmuster von Verteilerlisten eingetragen ist, dannwird imQuarantänebericht mit der Aktion Freigeben eine Eingabeaufforderung geöffnet. DerBenutzer kann dann bestimmen, an wen die Spam-Mail zugestellt wird, indem er dieentsprechende(n) E-Mail-Adresse(n) manuell in die Eingabeaufforderung einträgt.

Letztlich, wenn die E-Mail-Adresse der Verteilerliste weder in einemBenutzerkonto alszusätzliche Adresse noch im Feld Adressmuster von Verteilerlisten eingetragen ist, dann wirdeine an diese Verteilerliste gesendete Spam-E-Mailwie eine normale E-Mail behandelt, d. h.


wenn einer der Empfänger der Verteilerliste die Spam-E-Mail ausder Quarantäne freigibt, wirddiese gleichzeitig auch an alle anderen Empfänger der Verteilerlisten geschickt.

Zusammenfassend gesagt, wann immer die E-Mail-Adresse einer Verteilerliste alsVerteilerlisten-Adressmuster konfiguriert ist, erhält jeder Benutzer, der einen Freigabe-Link fürdie Spam-E-Mail in seinemQuarantänebericht hat, eine Eingabeaufforderung, in die er eine E-Mail-Adresse eingebenmuss, an welche die Spam-E-Mail gesendet werden soll.

10.5.3 ErweitertAuf der RegisterkarteQuarantänebericht >Erweitert können Sie eine(n) alternative(n)Hostnamen und Portnummer für die Freigeben-Links imQuarantänebericht definieren.Zusätzlich können Sie die Freigabeoptionen für Spam-E-Mails ändern.

Erwe ite r te Optionen des Quarantäneber ichtsHostname: Standardmäßig ist der Hostname desGateways voreingestellt, wie er auf derRegisterkarteVerwaltung >Systemeinstellungen >Hostname angegeben ist. DerQuarantänebericht, der täglich vomGatewayverschickt wird, enthält Hyperlinks, auf die derBenutzer klicken kann, um eine Nachricht ausder Quarantäne freizugeben. Standardmäßigzeigen diese Linksauf den hier angegebenen Hostnamen.Wenn Sie jedoch ermöglichenwollen, dassBenutzer ihre E-Mails über das Internet freigeben können, kann esnotwendigsein, einen alternativen Hostnamen anzugeben, der öffentlich aufgelöst werden kann.

Port: Standardmäßig ist der Port 3840eingestellt.Sie können den Port auf einen beliebigenWert zwischen 1024und 65535ändern.

Zugelassene Netzwerke: Sie können auch Netzwerke angeben, denen gestattet ist, sichmitdem Freigabedienst zu verbinden. Standardmäßig ist nur das interne Netzwerkausgewählt.


Fre igabeoptionenHier können Sie auswählen, welche Arten von Nachrichten in Quarantäne durch Benutzerfreigegeben werden dürfen. Sie können zwischen den folgendenOptionen wählen:

l Schadsoftware

l Spam

l Ausdruck

l Dateierweiterung



10.6Mail-Manager 10 Email Protection

l Unscannbar

l MIME

l Andere


10.6Mail-ManagerDer Mail-Manager ist ein administrativesWerkzeug, mit dem alle E-Mails verwaltet undorganisiert werden, die derzeit auf demSystem gespeichert sind. Das schließt Nachrichten ein,die auf ihre Zustellung warten, ebenso wie Nachrichten in Quarantäne, die mit schädlicherSoftware infiziert sind, verdächtige Anhänge enthalten, alsSpam identifiziert wurden odereinfach unerwünschte Ausdrücke enthalten. Sie können denMail-Manager dazu verwenden,alle Nachrichten einzusehen, bevor Sie sie herunterladen, freigeben oder löschen. Der Mail-Manager unterstützt UTF-8.



10.6.1 Mail-Manager-Fenster

Bild 20 Mail-Manager vonSophos UTM

UmdasFenster mit demMail-Manager zu öffnen, klicken Sie auf die SchaltflächeMail-Manager in neuem Fenster öffnen auf der RegisterkarteEmail Protection >Mail-Manager >Allgemein. Der Mail-Manager ist in fünf verschiedene Registerkarten unterteilt:

l SMTP Quarantine: Die SMTP-Quarantäne zeigt alle Nachrichten an, die momentanunter Quarantäne stehen.

l SMTP Spool: SMTP-Spool zeigt alle Nachrichten an, die sichmomentan in/var/spoolbefinden. Dies kann der Fall sein, wenn sie auf ihre Zustellung warten oderaufgrund einesFehlers.

l SMTP Log: DasSMTP-Protokoll zeigt dasZustellungsprotokoll für alle Nachrichten, dieüber SMTP verarbeitet wurden.

l POP3 Quarantine: Die POP3-Quarantäne zeigt alle Nachrichten an, die über POP3geholt wurden undmomentan unter Quarantäne stehen.

l Close: Klicken Sie hier, um dasMail-Manager-Fenster zu schließen.


10 Email Protection 10.6Mail-Manager


10.6.1.1 SMTP-/POP3-QuarantäneNachrichten in der SMTP- und POP3-Quarantäne können so angezeigt werden, dassderGrund für ihrenQuarantäneaufenthalt deutlich wird:

l Schadsoftware

l Spam

l Ausdruck

l Dateierweiterung

l MIME-Typ (nur SMTP)

l Unscannbar

l Andere

Verwenden Sie die Auswahlkästchen, um die Quarantäneursache auszuwählen.Doppelklicken Sie dasAuswahlkästchen einer Ursache, um ausschließlich diese Ursacheauszuwählen.

Tipp –Doppelklicken Sie auf eine Nachricht, um sie anzuschauen.

Profil/Domäne (SMTP),Konten (POP3):Wählen Sie ein Profil, eine Domäne oder ein Kontoaus, um nur Nachrichten anzuzeigen, die mit diesem/dieser verknüpft sind.

Abs./Empf./Betr.-Teilausdruck: Hier können Sie einen Absender, Empfänger oder Betreffeingeben (oder einenWortteil davon), nach dem in denQuarantäne-Nachrichten gesuchtwerden soll.

Eingangsdatum: Umnur Nachrichten anzuzeigen, die während einesbestimmten Zeitraumseingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über dasKalendersymbol.

Sortieren nach: Nachrichten können nach Datum, Betreff, Absenderadresse undNachrichtengröße sortiert werden.

und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seiteangezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dassdasAnzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.


Verwenden Sie dasAuswahlkästchen vor jeder Nachricht oder klicken Sie auf eine Nachricht,um sie auszuwählen und dann Aktionen für die gewählten Nachrichten ausführen zu können.Die folgenden Aktionen sindmöglich:

l Herunterladen: Die gewählten Nachrichten werden heruntergeladen.

l Löschen: Die gewählten Nachrichten werden unwiderruflich gelöscht.

l Freigeben: Die gewählten Nachrichten werden ausder Quarantäne freigegeben.

l Freigeben und als Fehlfund melden: Die gewählten Nachrichten werden ausderQuarantäne freigegeben und alsFehlfund (false positive) an dasSpam-Scan-Programm gemeldet.

Beachten Sie, dassnur der Administrator alleNachrichten ausder Quarantäne freigebenkann.Benutzer, die ihre Nachrichten im SophosBenutzerportal einsehen, können nurNachrichten freigeben, für die ihnen dasexplizit gestattet ist.Die Autorisierungseinstellungendafür finden Sie auf der RegisterkarteEmail Protection >Quarantänebericht >Erweitert.

Globale Aufräumaktion wählen: Hier finden Sie einige Löschoptionen, die auf alleNachrichten global angewendet werden, dasheißt, unabhängig davon, ob sie ausgewählt sindund/oder angezeigt werden oder nicht.

Warnung –Gelöschte Nachrichten können nicht wiederhergestellt werden.

10.6.1.2 SMTP-SpoolHier sehen Sie Nachrichten, die entweder darauf warten, zugestellt zu werden, oder einenFehler verursacht haben. DasZustellungsprotokoll ist auch Teil desHeaders einer Nachricht.Verwenden Sie die folgenden Auswahlkästchen, um nur eine Sorte von Nachrichten zurAnsicht auszuwählen:

l Ausstehend: Nachrichten, deren Zustellung noch aussteht.

l Fehler: Nachrichten, die einen Fehler verursacht haben.Wenn eine Nachricht mehr alseinmal einen Fehler verursacht, melden Sie den Fall bitte IhremSophosPartner oderdemSophosSupport-Team.

Tipp –Doppelklicken Sie auf eine Nachricht, um sie anzuschauen.

Profil/Domäne:Wählen Sie ein Profil oder eine Domäne aus, um nur dessen/derenNachrichten zu sehen.




Abs./Empf./Betr.-Teilausdruck: Hier können Sie einen Absender, Empfänger oder Betreffeingeben (oder einenWortteil davon), nach dem in den Nachrichten im Spool gesucht werdensoll.


Sortieren nach: Nachrichten können nach Datum, Absenderadresse, Betreff undNachrichtengröße sortiert werden.

und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seiteangezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dassdasAnzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.

Verwenden Sie dasAuswahlkästchen vor jeder Nachricht oder klicken Sie auf eine Nachricht,um sie auszuwählen und dann Aktionen für die gewählten Nachrichten ausführen zu können.Die folgenden Aktionen sindmöglich:

l Herunterladen: Die gewählten Nachrichten werden heruntergeladen.

l Erneut versuchen: Eswird sofort erneut versucht, die gewählten Nachrichtenzuzustellen.


l Zurückweisen: Die gewählten Nachrichten werden zurückgewiesen, dasheißt, derAbsender erhält eine Nachricht, dassdie Zustellung seiner Nachricht abgebrochenwurde, weil sie unzustellbar war.

Globale Aufräumaktion wählen: Hier finden Sie eineWiederholungsoption sowie einigeLöschoptionen, die auf alle Nachrichten global angewendet werden, dasheißt, unabhängigdavon, ob sie ausgewählt sind und/oder angezeigt werden oder nicht.

Warnung –Gelöschte Nachrichten können nicht wiederhergestellt werden.

10.6.1.3 SMTP-ProtokollDasSMTP-Protokoll (SMTPLog) zeigt die Protokollmeldungen für alle über SMTPverarbeiteten Nachrichten.

Ergebnisfilter:Wählen Sie aus, welche Arten von Nachrichten angezeigt werden, indemSiedie entsprechenden Auswahlkästchenmarkieren.


l Zugestellt: Erfolgreich zugestellte Nachrichten.

l Abgelehnt: Nachrichten, die von der UTM abgelehnt wurden.

l In Quarantäne: Nachrichten, die unter Quarantäne gestellt wurden.

l Verworfen: Nachrichten, die ohne Benachrichtigung gelöscht wurden.

l Abgebrochen: Nachrichten, deren Zustellungmanuell unter SMTPSpoolabgebrochen wurde.

l Zurückgewiesen: Nachrichten, die nicht zugestellt werden konnten, aufgrund von z. B.falschen Routing-Einstellungen.

l Gelöscht:Manuell gelöschte Nachrichten.

l Unbekannt: Nachrichten, deren Statusunbekannt ist.

Verwenden Sie die Auswahlkästchen, umErgebnisfilter-Optionen an- oder abzuwählen.Doppelklicken Sie eine Option, um ausschließlich dieseOption auszuwählen.

Ursachenfilter: Verwenden Sie die Auswahlkästchen, um dasNachrichtenprotokollweiter zufiltern.

Hinweis –Doppelklicken Sie ein Nachrichtenprotokoll, um esanzuschauen. Klicken Sie aufdasServersymbol einer Nachricht, um die IP-Adresse aufzulösen. Ein Asterisk (*)kennzeichnet einen erfolgreichen Reverse-DNS-Lookup.

Profil/Domäne:Wählen Sie ein Profil oder eine Domäne aus, um nur dessen/derenNachrichten zu sehen.

IP/Netz/Adresse/Betr. -Teilausdruck: Hier können Sie eine IP-Adresse, Netzwerkadresseoder einen Betreff eingeben, um danach in den SMTP-Protokollmeldungen zu suchen.


Sortieren nach: Nachrichten können nach Ereignisdatum, Absenderadresse undNachrichtengröße sortiert werden.

und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seiteangezeigt werden sollen oder alle Nachrichten auf einmal.Beachten Sie, dassdasAnzeigenaller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.




10.6.2 AllgemeinIm oberen Bereich der RegisterkarteMail-Manager >Allgemein können Sie denMail-Manageröffnen, indemSie auf die SchaltflächeMail-Manager in neuem Fenster öffnen klicken.

Im unteren Bereich bietet der AbschnittStatistischer Überblickeine Übersicht über alleNachrichten, die augenblicklich auf demSystem gespeichert sind.Die Daten sind unterteilt inNachrichten, die über SMTPund solche, die über POP3 zugestellt wurden. Für beide Artenwerden die folgenden Informationen angezeigt:

l Warten auf Auslieferung (Spooled) (nur SMTP): Hierbei handelt es sich umMails,die sich in Spool befinden, z. B. weil sie gescannt wurden und bis jetzt noch nichtausgeliefert werden konnten.

l Legitime Nachrichten insgesamt (nur POP3): Mails, die vomSystem vorab geholtwurden und bisher noch nicht von einemClient/Benutzer abgeholt wurden.

l Schadsoftware in Quarantäne: Die Anzahl an Nachrichten, die Schadsoftwareenthalten, wie z. B. Viren oder anderen schädlichen Inhalt.

l Spam in Quarantäne: Die Anzahl an Nachrichten, die alsSpam identifiziert unddeshalb unter Quarantäne gestellt wurden.

l Ausdruck in Quarantäne: Die Anzahl an Nachrichten, die unter Quarantäne gestelltwurden, weil sie unerwünschte Ausdrücke enthalten.

l Dateierweiterung in Quarantäne: Die Anzahl an Nachrichten, die unter Quarantänestehen, weil sie verdächtige Dateianhänge (die über ihre Dateierweiterung identifiziertwurden) enthalten.

l Unscannbarer Inhalt in Quarantäne: Die Anzahl an Nachrichten, die unterQuarantäne stehen, weil sie nicht gescannt werden konnten.

l MIME-Typ in Quarantäne (nur SMTP): Die Anzahl an Nachrichten, die unterQuarantäne stehen, weil sie einenMIME-Typ haben, der laut den SMTP-Einstellungengefiltert werden soll.

l In Quarantäne insgesamt: DieGesamtzahl an Nachrichten, die unter Quarantänestehen.


Hinweis –Die Zahlen fürWarten auf Auslieferung geben einen Echtzeit-Ausschnitt derSMTP-Nachrichten wieder.Für POP3-Nachrichten hingegen stellen die Zahlen dieAnhäufung der Daten seit dem letzten Vorabholen dar.

Unten sehen Sie eine kurze Statistik über die SMTP-Quarantäne und die Ablehnungen derletzten 24 Stunden:

l Schadsoftware in Quarantäne/abgelehnt: Nachrichten, die unter Quarantänegestellt oder abgelehnt wurden, weil sie schädlichen Inhalt besitzen.

l Spam in Quarantäne/abgelehnt: Nachrichten, die unter Quarantäne gestellt oderabgelehnt wurden, weil sie alsSpam identifiziert wurden.

l Ablehnungen durch Blacklist: Nachrichten, die abgelehnt wurden, weil ihr Absenderauf der Negativliste geführt wird.

l Ablehnungen nach Adressüberprüfung: Nachrichten, die abgelehnt wurden, weilihre Absenderadresse nicht verifiziert werden konnte.

l Ablehnungen durch SPF: Nachrichten, die abgelehnt wurden, weil der sie sendendeHost nicht zugelassen ist.

l Ablehnung durch RBL: Nachrichten, die abgelehnt wurden, weil der Absender aufeiner Echtzeit-Blackhole-Liste geführt wird.

l Ablehnungen durch BATV: Nachrichten, die abgelehnt wurden, weil dasBATV-Tagungültig war.

l Ablehnungen durch RDNS/HELO: Nachrichten, die abgelehnt wurden, weil dasHELOungültig war oder RDNS-Einträge fehlten.

Ob esüberhaupt Ablehnungen gibt, hängt von Ihren Einstellungen unter Email Protection >SMTP ab.

10.6.3 KonfigurationAuf der RegisterkarteMail-Manager >Konfigurationwird definiert, nach wie vielen Tagen dasDatenbankprotokoll geleert beziehungsweise die unter Quarantäne gestellten E-Mails gelöschtwerden. Alle Protokolle und E-Mails, die älter sind als die hier eingestellte Anzahl an Tagen,werden automatisch gelöscht.

Die Voreinstellungen sehen folgendermaßen aus:




l DasDatenbankprotokollwird nach drei Tagen geleert. Diemaximal erlaubte Anzahl anTagen beträgt 30 Tage.

l Nachrichten in Quarantäne werden nach 14 Tagen gelöscht. Diemaximal erlaubteAnzahl an Tagen beträgt 999 Tage.

Dieminimal erlaubte Anzahl an Tagen für sowohl dasDatenbankprotokoll als auch dieQuarantäne beträgt einen Tag.

Datenbankprotoko ll lee renDieseOption ist nützlich, wenn sich im Datenbankprotokoll eine enormeMenge an Datenangesammelt hat und Sie dasProtokoll sofort leerenmöchten. Auf dieseWeisemüssen Sienicht warten, bis die normale Aufräumaktion durchgeführt wird.


11 Endpoint ProtectionÜber dasMenüEndpoint Protection können Sie den Schutz der Endpoints in IhremNetzwerkverwalten, z. B. von Desktop-Computern, Servern und Laptops.UTMist der Ort derKonfiguration von Endpoint Protection, an demSie die Software für Endpoints herunterladen,sich einen Überblick über die geschützten Endpoints verschaffen, Antivirus- und DeviceControl-Richtlinien einrichten, Endpoints gruppieren und die definierten Richtlinien denEndpoint-Gruppen zuordnen können.

Endpoint Protection nutzt den zentralen Dienst SophosLiveConnect.Dieser Cloud-basierteDienst wird automatisch für die Verwendungmit der UTM konfiguriert, wenn Sie EndpointProtection aktivieren. LiveConnect ermöglicht Ihnen jederzeit die Verwaltung von Endpoints inIhrem lokalen Netzwerk, an entfernten Standorten oder beimobilen Benutzern. DerLiveConnect-Dienst umfasst Folgendes:

l Ein vorkonfiguriertes Installationspaket für den Endpoint-Agent

l Richtlinienumsetzung und Aktualisierungen für Endpoints

l Sicherheitsaktualisierungen und Definitionen für Endpoints

l Zentrale Protokoll- und Berichtsdaten zur zentralen Überwachung von Endpoints überdenWebAdmin

Da es sich bei LiveConnect um einen Cloud-basierten Dienst handelt, benötigen Sie eine aktiveInternetverbindung, um denDienst nutzen zu können. Verwaltete Endpoints benötigenebenfalls eine Internetverbindung, umRichtlinien- und Sicherheitsaktualisierungen empfangenzu können.

Die Abbildung unten zeigt ein Beispiel für die Implementierung von SophosUTMEndpointProtectionmit Nutzung desLiveConnect-Diensts.


11 Endpoint Protection 10.6Mail-Manager

10.6Mail-Manager 11 Endpoint Protection

Bild 21 Endpoint Protection: Übersicht


l Computerverwaltung

l Antivirus

l Device Control

Wenn Endpoint Protection aktiviert ist, werden auf der Übersichtsseite allgemeineInformationen zu registrierten Computern und deren Statusangezeigt. Sie können diese Listesortieren und durchsuchen.Wenn der StatuseinesEndpoints nichtOk lautet, können Sie denStatusanklicken, um ein Fenster mit weiteren Informationen zu öffnen.Der StatusKeineÜbereinstimmungweist darauf hin, dassdie Geräteeinstellungen derzeit nicht mit derKonfiguration der UTM übereinstimmen. Um diesesProblem zu beheben, müssen Sie übereinen Link im Fenster die aktuellen Endpoint-Einstellungen an den Endpoint senden. Fürandere Status können Sie die Informationen bestätigen und entscheiden, welcheMaßnahmenerforderlich sind.

Endpo int Protection Live -Protoko ll ö f fnenDasLive-Protokoll von Endpoint Protection stellt Informationen über die Verbindungenzwischen den Endpoints, LiveConnect und der UTM sowie Sicherheitsinformationen über die


Endpoints bereit.Klicken Sie auf die SchaltflächeEndpoint Protection Live-Protokoll öffnen, umdasLive-Protokoll in einem neuen Fenster zu öffnen.

11.1 ComputerverwaltungAuf den SeitenEndpoint Protection >Computerverwaltung können Sie den Schutz für einzelneComputer, die mit Ihrer SophosUTM verbunden sind, aktivieren und verwalten.

Sie können nach einer Installationsdatei für Endpoints suchen und diese verwenden und sicheinen Überblick über alle Computer verschaffen, auf denen Endpoint Protection installiert ist.Sie könnenGerätegruppenmit abweichenden Schutzeinstellungen definieren.

11.1.1 AllgemeinAuf der RegisterkarteEndpoint Protection >Computerverwaltung >Allgemein können SieEndpoint Protection aktivieren und deaktivieren.

UmEndpoint Protection zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und einige Felder mit Details zu Ihrer Organisation werdenangezeigt.

2. Geben Sie Informationen zu Ihrer Organisation ein.Standardmäßig werden die Einstellungen von der RegisterkarteVerwaltung >Systemeinstellungen >Organisatorisches verwendet.

3. Klicken Sie auf Endpoint Protection aktivieren.Die Statusampelwird grün und Endpoint Protection wird aktiviert.

Um die Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf diegelbe Statusampel.

Auf der SeiteAgent installieren können Sie nun im nächsten Schritt ein Endpoint-Protection-Installationspaket auf den zu überwachenden Computern installieren.

Hinweis –Wenn der Webfilter und der transparenteModusaktiv sind, sind zusätzlicheEinstellungen erforderlich, um sicherzustellen, dassEndpoint Protection wie vorgesehen anden Endpoints eingesetzt werden kann.Wenn Endpoint Protection aktiviert ist, erstellt die


11 Endpoint Protection 11.1 Computerverwaltung

11.1 Computerverwaltung 11 Endpoint Protection

UTM die DNS-GruppeSophosLiveConnect automatisch.Fügen Sie diese DNS-Gruppe imFeld Transparenzmodus-Zielhosts/-netze ausnehmen auf der RegisterkarteWebProtection>Webfilter > Erweitert hinzu.

UmEndpoint Protection zu deaktivieren, gehen Sie folgendermaßen vor:

1. Deaktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel oder auf die SchaltflächeDeaktivieren klicken.

Die Statusampelwird gelb und zweiOptionen werden angezeigt.

2. Entscheiden Sie, ob Sie Ihre Endpoint-Daten löschen möchten.ALLE Daten beibehalten:Wählen Sie dieseOption, wenn Sie Endpoint Protectionvorübergehend deaktivierenmöchten. Ihre Endpoint-Einstellungen werden gespeichert.Wenn Sie die Funktion erneut aufrufen, wird automatisch eine Verbindungmit denbereits installierten Endpoints hergestellt und alle festgelegten Richtlinien stehen zurVerfügung.

ALLE Daten löschen: Wählen Sie dieseOption, wenn Sie alle Endpoint-Einstellungenzurücksetzen und von vorne beginnenmöchten. Alle Verbindungenmit Endpoints undalle Richtlinieneinstellungen werden gelöscht.NachdemSie die Funktion erneut aktivierthaben, installieren Sie neue Installationspakete an den Endpoints, damit die neuenRegistrierungsdaten dort verfügbar sind (siehe AbschnittComputerverwaltung >Erweitert).

3. Klicken Sie auf Endpoint Protection deaktivieren.

Die Statusampelwird rot und Endpoint Protection wird deaktiviert.

11.1.2 Agent installierenAuf der RegisterkarteEndpoint Protection >Computerverwaltung >Agent installieren könnenSie die Installationsdateien für die Computer, die von Endpoint Protection überwacht werdensollen, herunterladen.

Es stehen zwei verschiedene Installationspakete zur Verfügung. Beide stellen die gleicheSoftware bereit. Sie stellen zweiAlternativen für Implementierung und Installation dar, dieverschiedene Vorteile bieten:

l Kompakt-Installationspaket: Dies ist ein kleines Installationspaket (12MB), daseinfach per E-Mail verschickt werden kann. Die Daten, die nicht in diesemPaket


enthalten sind, werden während der Installation heruntergeladen.

l Komplett-Installationspaket: DiesesPaket enthält sämtliche Installationsdaten (ca.90MB). Daher müssen während der Installation nur sehr wenige Datenheruntergeladen werden.

Die beiden Pakete bieten zwei verschiedeneMöglichkeiten, Endpoint Protection an Endpointszu installieren:

l Klicken Sie zumHerunterladen und Speichern des Installationspakets die SchaltflächeKompakt-Installationsprogrammherunterladen bzw.Komplett-Installationherunterladen an. Daraufhin können Benutzer an Endpoints auf die Pakete zugreifen.

l Kopieren Sie die URL ausdem grauen Feld und senden Sie sie an die Endpoint-Benutzer. Über diese URL können die Endpoint-Benutzer das Installationspaket selbstherunterladen und installieren.

Hinweis –Der Name von Installationspaketen darf nicht geändert werden.Während derInstallation vergleicht LiveConnect den Paketnamenmit den aktuellen Registrierungsdatender UTM.Wenn die Informationen nicht übereinstimmen, wird der Installationsvorgangabgebrochen.

Nach der Installation amEndpoint wird der jeweilige Computer auf der RegisterkarteComputer verwalten angezeigt.Außerdemwird er der Computergruppe, die auf derRegisterkarteErweitert festgelegt wurde, automatisch zugewiesen.

Hinweis –Das Installationspaket kannmithilfe der SchaltflächeRegistrierungstokenzurücksetzen auf der RegisterkarteErweitert zurückgesetzt werden.

11.1.3 Computer verwaltenAuf der RegisterkarteEndpoint Protection >Computerverwaltung >Computer verwaltenerhalten Sie einen Überblick über die Computer, auf denen Endpoint Protection für Ihre UTMinstalliert ist. Die Computer werden automatisch zur Liste hinzugefügt. Sie können einenComputer einer Gruppe zuweisen, weitere Informationen hinzufügen, denManipulationsschutz einesComputers ändern oder einen Computer ausder Liste löschen.

Um die Einstellungen einesComputer auf der Liste zu ändern, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Bearbeiten für den betreffenden Computer.DasDialogfenster Computer bearbeitenwird geöffnet.



11.1 Computerverwaltung 11 Endpoint Protection

2. Nehmen Sie die folgenden Einstellungen vor:Computergruppe: Wählen Sie die Computergruppe aus, der Sie den Computerzuweisenmöchten. Der Computer erhält die Schutzeinstellungen der Gruppe, der erzugewiesen ist.

Typ:Wählen Sie einen Computertyp, also Desktop, Laptop oder Server. Die ZuweisungeinesTyps ist bei der Filterung der Liste hilfreich.

Manipulationsschutz:Wenn der Manipulationsschutz aktiviert ist, können dieSchutzeinstellungen einesComputers lokal nur durch Eingabe einesKennwortsgeändert werden.DasKennwort wird auf der RegisterkarteErweitert festgelegt.Wenndiese Funktion deaktiviert ist, kann der Endpoint-Benutzer die Schutzeinstellungen ohneEingabe einesKennworts ändern. Standardmäßig stimmen die Einstellungenmit denEinstellungen der Gruppe überein, der der Computer zugeordnet ist.

Bestandsnr. (optional): Geben Sie die Bestandsnummer desComputers ein.



Um einen Computer ausder Liste zu löschen, klicken Sie auf das rote Löschen-Symbol.

Hinweis –Wenn Sie einen Computer ausder Liste löschen, wird er nicht mehr von der UTMüberwacht. Die installierte Endpoint-Software wird jedoch nicht automatisch deinstalliert unddie zuletzt angewandten Richtlinien bleiben aktiv.

11.1.4 GruppenverwaltungAuf der RegisterkarteEndpoint Protection >Computerverwaltung >Gruppen verwaltenkönnen Sie die geschützten Computer zu Gruppen zusammenfassen und gruppenweiteEndpoint-Protection-Einstellungen festlegen. Alle Computer, die einer Gruppe angehören,verfügen über gemeinsameAntivirus- undGeräte-Richtlinien.

Hinweis – Jeder Computer ist genau einer Gruppe zugeordnet. Anfangs sind alle Computerder Standardgruppe zugeordnet.NachdemSie Gruppen hinzugefügt haben, können Sie auf


der RegisterkarteErweitert festlegen, welcheGruppe Sie alsStandardgruppe verwendenmöchten, d. h. welcher Gruppe neu installierte Computer automatisch zugeordnet werden.

Um eine Computergruppe anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Computergruppe hinzufügen.DasDialogfenster Computergruppe hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für dieseGruppe ein.

Antivirus-Richtlinie:Wählen Sie die Antivirus-Richtlinie, die für dieseGruppe geltensoll.Die Richtlinien sind auf der RegisterkarteAntivirus> Richtlinien definiert.BeachtenSie, dassSie auf der RegisterkarteAntivirus> Ausnahmen gruppenspezifischeAusnahmen von dieser Richtlinie festlegen können.

Geräterichtlinie:Wählen Sie die Geräterichtlinie, die für dieseGruppe gelten soll.DieRichtlinien sind auf der RegisterkarteDevice Control > Richtlinien definiert.Beachten Sie,dassSie auf der RegisterkarteDevice Control > Ausnahmen gruppenspezifischeAusnahmen von dieser Richtlinie festlegen können.

Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, können Antivirus-Schutzeinstellungen nur durch Eingabe einesKennworts an den jeweiligen Endpointsgeändert werden.DasKennwort wird auf der RegisterkarteErweitert festgelegt.Wenndiese Funktion deaktiviert ist, kann der Endpoint-Benutzer die Antivirus-Schutzeinstellungen ohne Eingabe einesKennworts ändern.Beachten Sie, dassSie dieSchutzeinstellungen für einzelne Computer auf der RegisterkarteComputer verwaltenändern können.

Computer: Fügen Sie die Computer hinzu, die zur Gruppe gehören sollen.


3. Klicken Sie auf Speichern.DieGruppe wird erstellt und in der Liste der Computergruppen angezeigt. Bittebeachten Sie, dassesbis zu 15Minuten dauern kann, bis alle Computer neu konfiguriertsind.

Um eineGruppe zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.



11.2 Antivirus 11 Endpoint Protection

11.1.5 ErweitertAuf der RegisterkarteEndpoint Protection >Computerverwaltung >Erweitert können diefolgendenOptionen konfiguriert werden:

Manipulationsschutz:Wenn der Manipulationsschutz aktiviert ist, könnenSchutzeinstellungen nur an Endpoints, die diesesKennwort verwenden, geändert werden.

Standard-Computergruppe:Wählen Sie direkt nach der Installation von Endpoint Protectiondie Computergruppe, der ein Computer automatisch zugewiesen wird.

Sophos LiveConnect – Registrierung: Dieser Abschnitt enthält Informationen zurRegistrierung von Endpoint Protection. Diese Informationen werden unter anderem zurIdentifikation von Installationspaketen und für Supportzwecke verwendet.

l Registrierungstoken zurücksetzen: Klicken Sie auf diese Schaltfläche, um zuverhindern, dassEndpointsmit einem bereits verwendeten Installationspaket installiertwerden. Dieserfolgt typischerweise zumAbschlusseinesRollouts.Wenn Siemöchten,dassneue Endpoints installiert werden, geben Sie ein neues Installationspaket auf derRegisterkarteAgent installieren an.

11.2 AntivirusAuf den Seiten unter Endpoint Protection >Antivirus legen Sie die Antivirus-Einstellungen fürEndpoint Protection fest. Sie können Antivirus-Richtlinien erstellen und diese individuellenEinstellungen auf Ihre Computergruppen anwenden, die dann von Endpoint Protectionüberwacht werden. Sie können auch Ausnahmen von den Antivirus-Funktionen definieren, dienur für bestimmte Computergruppen gelten.

11.2.1 RichtlinienAuf der RegisterkarteEndpoint Protection >Antivirus>Richtlinien können Sie verschiedeneAntivirus-Einstellungen verwalten und auf die von Endpoint Protection überwachtenComputergruppen anwenden.

Die Antivirus-StandardrichtlinieBasic protection bietet die beste Balance ausSicherheit fürIhren Computer und allgemeiner Systemleistung. Sie kann nicht angepasst werden.

Um eine neue Antivirus-Richtlinie hinzuzufügen, gehen Sie folgendermaßen vor:


1. Klicken Sie auf die Schaltfläche Richtlinie hinzufügen.DasDialogfenster Richtlinie hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.

Zugriffsscan: Aktivieren Sie dieseOption, wenn Dateien bei jedemKopieren,Verschieben oder Öffnen gescannt werden sollen. Der Zugriff auf Dateien wird nurgewährt, wenn sie keine Gefahr darstellen oder sie zur Verwendung autorisiert wurden.

l PUA-Scan: Aktivieren Sie dieseOption, um beim Zugriffsscan auch nachpotenziell unerwünschten Anwendungen (PUAs) zu suchen.

Automatische Bereinigung: Aktivieren Sie dieseOption, um infizierte Dateien oderSpyware automatisch zu bereinigen. Dateienmit Malware werden gelöscht, infizierteDateien werden gesäubert. Die so bereinigten Dateien sind irreparabel beschädigt, dader Virenscanner den ursprünglichen Zustand der Datei vor ihrer Infektion nichtwiederherstellen kann.

Sophos Live Protection: Wenn der Antiviren-Scan auf einemEndpoint-Computereine verdächtige Datei erkennt, anhand der auf demComputer gespeicherten Sophos-Definitionsdateien (IDE) aber nicht entscheiden kann, ob die Datei sauber oder infiziertist, werden bestimmte Dateiinformationen (wie die Prüfsumme und andere Attribute) anSophosgesendet, um die weitere Analyse zu ermöglichen.

Bei dieser Cloud-basierten Überprüfung wird die SophosLabs-DatenbanknachInformationen über die verdächtige Datei durchsucht.Wenn die Datei als sauber oderinfiziert erkannt wird, wird diese Information an den Computer gesendet und der Statusder Dateiwird aktualisiert.

l Beispieldatei senden: Kann eine als verdächtig eingestufte Datei nicht anhandder Dateiinformationen alleine als schädlich identifiziert werden, können SieSophoserlauben, dasSenden einer Beispieldatei anzufordern.Wenn dieseOption aktiviert ist und Sophosnicht bereits über einMuster dieser Datei verfügt,wird die betreffende Datei automatisch gesendet.Durch dasEinsenden vonBeispieldateien kann SophosdieMalware-Erkennung kontinuierlich verbessernund Falschmeldungen vermeiden.

Verdächtiges Verhalten (HIPS): Aktivieren Sie dieseOption, um alle Systemprozesseauf Zeichen aktiver Malware hin zu überwachen. Dazu gehören verdächtige Einträge in


11 Endpoint Protection 11.2 Antivirus

11.2 Antivirus 11 Endpoint Protection

die Registry, Dateikopiervorgänge oder Pufferüberlauf-Techniken. VerdächtigeProzesse werden blockiert.

Web Protection: Aktivieren Sie dieseOption, umWebsite-URLs in der Online-Datenbankder infiziertenWebsites von Sophosnachzuschlagen.

l Websites mit schädlichen Inhalten blockieren: Aktivieren Sie dieseOption,umWebsitesmit schädlichen Inhalten zu blockieren.

l Download-Scan: Aktivieren Sie dieseOption, umDaten während desHerunterladensnach Viren zu scannen. Infizierte Dateien werden blockiert.

Geplanter Scan: Aktivieren Sie dieseOption, um den Scan zu einem bestimmtenZeitpunkt auszuführen.

l Rootkit-Scan: Aktivieren Sie dieseOption, um bei einem geplanten Scan denComputer nach Rootkits zu durchsuchen.

l Zeit-Ereignis:Geben Sie hier an, wann der Computer gescannt werden soll.Beachten Sie dabei die Zeitzone desEndpoints.


3. Klicken Sie auf Speichern.Die neue Richtlinie wird in der Liste der Antivirus-Richtlinien angezeigt. Beachten Sie,dassÄnderungen an den Einstellungen erst nach 15Minuten auf allen Computernwirksamwerden.

Um eine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

11.2.2 AusnahmenAuf der RegisterkarteEndpoint Protection >Antivirus>Ausnahmen können Sie einzelneComputergruppen von den Antivirus-Einstellungen desEndpoint-Protection-Modulsausnehmen. Eine Ausnahme legt fest, welcheObjekte von dem in einer Antivirus-Richtlinieneinstellung definierten Scanvorgang ausgenommenwerden.

Um eine Ausnahme hinzuzufügen, gehen Sie folgendermaßen vor:



2. Nehmen Sie die folgenden Einstellungen vor:Typ: Wählen Sie den Typ der Objekte aus, die vom Zugriffs- undOn-Demand-Scanausgenommen sein sollen.

l Adware und PUA:Wählen Sie dieseOption, wenn bestimmte Adware oder PUA(Potenziell Unerwünschte Anwendungen) nicht gescannt oder blockiert werdensoll. Adware zeigt unerwünschteWerbung an (zumBeispiel in Pop-up-Fenstern)und kann die Benutzerproduktivität und Systemeffizienzbeeinträchtigen. PUAsrichten keinen Schaden an, haben aber in geschäftlich genutzten Netzwerkennichts zu suchen.Geben Sie unter Dateiname den Namen der Adware oder PUAein, z. B. beispiel.zeugs.

l Scan-Ausnahmen: Wählen Sie dieseOption, um eine Datei, einenOrdner oderein Netzlaufwerk vomAntiviren-Scan auszuschließen.Unter File/Path geben Sieeine Datei, einenOrdner oder ein Netzlaufwerk an, z. B. C:\Dokumenteoder\\Server\Benutzer\Dokumente\Lebenslauf.doc.

l Scan-Erweiterungen:Wählen Sie dieseOption, umDateienmit einerbestimmten Dateierweiterung vomAntiviren-Scan auszuschließen.Geben Sie dieErweiterung in dasFeldErweiterung ein, z. B. html.

l Buffer overflow:Wählen Sie dieseOption, um zu verhindern, dassdieVerhaltensüberwachung Anwendungen blockiert, die Pufferüberlauf-Technikennutzen.Sie können alternativ auch den Namen einer bestimmtenAnwendungsdatei in dasFeldDateiname eingeben und die Datei über dasFeldHochladen hochladen.

l Verdächtige Dateien:Wählen Sie dieseOption, um zu verhindern, dassderAntiviren-Scan verdächtige Dateien blockiert.Sie können alternativ auch denNamen der verdächtigen Datei in dasFeldDateiname eingeben und die Dateiüber dasFeldHochladen hochladen.

l Verdächtiges Verhalten: Wählen Sie dieseOption, um zu verhindern, dasseineDatei von der Verhaltensüberwachung blockiert wird.Sie können alternativ auchden Namen einer bestimmten Datei in dasFeldDateiname eingeben und dieDatei über dasFeldHochladen hochladen.

l Websites:Wählen Sie dieseOption, umWebsites, die den Attributen im FeldWebformat entsprechen, vomAntiviren-Scan auszunehmen.Webformat: Geben Sie hier die Server mit denWebsites an, deren Besuchzulässig sein soll.


11 Endpoint Protection 11.2 Antivirus

11.3 Device Control 11 Endpoint Protection

l Domänenname: Geben Sie in dasFeldWebsite den Namen der Domäneein, die Sie zulassenmöchten.

l IP-Adresse mit Subnetzmaske:Geben Sie hier die IPv4-Adresse und dieNetzmaske der Computer ein, die Sie zulassenmöchten.

l IPv4-Adresse:Geben Sie hier die IPv4-Adresse desComputers ein, denSie zulassenmöchten.

Hochladen (Nur verfügbar bei den TypenBuffer overflow,Verdächtige Dateien undVerdächtigesVerhalten.): Laden Sie hier die Datei hoch, die vomAntiviren-Scanausgenommen sein soll.

Computergruppen:Geben Sie hier an, für welche Computergruppen dieseAusnahme gelten soll.




11.3 Device ControlAuf den SeitenEndpoint Protection >Device Control können Sie Geräte kontrollieren, die andie Computer, die mit Endpoint Protection überwacht werden, angeschlossen sind. In einerGeräterichtlinie legen Sie im Prinzip fest, welcheGerätetypen für die Computergruppen, denendie Richtlinie zugewiesen ist, zulässig sind oder blockiert werden. Sobald ein Gerät gefundenwird, prüft Endpoint Protection, ob esgemäß der Geräterichtlinie, die der Computergruppe desbetreffenden Computers zugewiesen ist, zulässig ist.Wenn es laut Geräterichtlinie blockiertoder eingeschränkt ist, wird esauf der RegisterkarteAusnahmen angezeigt, auf der Sie eineAusnahme für dasGerät hinzufügen können.

11.3.1 RichtlinienAuf der RegisterkarteEndpoint Protection >Device Control >Richtlinien können sieverschiedene zusammengefasste Einstellungen für Device Control verwalten, die daraufhin


auf die von Endpoint Protection überwachten Computergruppen angewandt werden. Diesezusammengefassten Einstellungen werden alsRichtlinien bezeichnet.

Standardmäßig stehen zweiGeräterichtlinien zur Verfügung: Alle blockieren verbietet jeglicheNutzung vonGeräten, währendVollständiger Zugriff alle Berechtigungen für sämtlicheGerätezulässt. Diese Richtlinien können nicht geändert werden.

Um eine neue Richtlinie hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Richtlinie hinzufügen.DasDialogfenster Richtlinie hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.

Speichergeräte: Sie können für verschiedene Arten von Speichergerätenkonfigurieren, ob sie Zuglassen oder Blockiert sein sollen.Gegebenenfalls ist auch derEintragNur Lesezugriff verfügbar.

Netzwerkgeräte: Sie können für ModemsundWLAN-Netzwerke konfigurieren, ob sieZugelassen,BeiBridging blockiert oder Blockiert sein sollen.

Geräte mit geringer Reichweite: Sie können für Bluetooth- und Infrarotgerätekonfigurieren, ob sie Zugelassen oder Blockiert sein sollen.

3. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationenhinzu.

4. Klicken Sie auf Speichern.Die neue Richtlinie wird in der Liste der Device-Control-Richtlinien angezeigt. Sie kannnun auf eine Computergruppe angewendet werden. Beachten Sie, dassÄnderungenan den Einstellungen erst nach 15Minuten auf allen Computern wirksamwerden.


11.3.2 AusnahmenAuf der RegisterkarteEndpoint Protection >Device Control >Ausnahmen können Sie fürbestimmteGeräte Schutzausnahmen festlegen. In der Liste werden die blockierten Gerätebzw. Gerätemit durch die Device-Control-Richtlinien eingeschränktem Zugriff angezeigt.WennDiskettenlaufwerke angeschlossen sind, wird nur ein Eintrag angezeigt, der alsPlatzhalter für alle Diskettenlaufwerke dient.


11 Endpoint Protection 11.3 Device Control

11.3 Device Control 11 Endpoint Protection

Durch eine Ausnahmewird etwas, das laut Geräterichtlinie, die der Computergruppezugewiesen ist, verboten ist, zulässig.

Hinweis –Eine Ausnahme gilt automatisch für alle Computer der ausgewählten Gruppen.

Um eine Ausnahme hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Bearbeiten für ein Gerät.DasDialogfensterGerät bearbeitenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Zugelassen: Fügen Sie die Computergruppen hinzu, für die dasGerät zugelassen seinsoll.

Nur Lesezugriff oder Bridged: Fügen Sie die Computergruppen hinzu, für die diesesGerät nur mit Lesezugriff (gilt für Speichergeräte) oder imModusBridged (gilt fürNetzwerkgeräte) zugelassen sein soll.

Auf alle anwenden: Bei dieser Option wird die Ausnahme auf alle Gerätemit dergleichenGeräte-ID angewendet. Dies ist beispielsweise dann hilfreich, wenn Sie diegleiche Ausnahme auf mehrere USB-Sticks desgleichen Typsanwenden wollen.





12 Wireless ProtectionÜber dasMenüWirelessProtection können SieWLAN-Access-Points für SophosUTM, diezugehörigenWLAN-Netzwerke und die Clients, dieWLAN-Zugang nutzen, konfigurieren undverwalten.Die AccessPointswerden automatisch auf der UTM konfiguriert. Sie müssen siealso nicht einzeln konfigurieren.Die Kommunikation zwischen der UTM und demAccessPoint,die der Konfiguration desAccessPoint sowie demAustausch von Statusinformationen dient,wird mittelsAES verschlüsselt.

Wichtiger Hinweis –Wenn die Lichter an IhremAccessPoint schnell blinken, trennen Sieihn nicht vomStrom! Schnell blinkende Lichter bedeuten, dassgerade ein Firmware-Flashdurchgeführt wird.Ein Firmware-Flash erfolgt beispielsweise nach einerSystemaktualisierung der UTM, diemit einer Aktualisierung vonWirelessProtectioneinhergeht.


l Allgemeine Einstellungen

l WLAN-Netzwerke

l AccessPoints

l WLAN-Clients

l Hotspots

Die Übersichtsseite vonWirelessProtection bietet allgemeine Informationen zu verbundenenAccessPoints, deren Status, verbundenen Clients undWLAN-Netzwerken.

Live -Protoko llSie können auf die SchaltflächeWireless-Protection-Live-Protokoll öffnen klicken, umdetaillierte Verbindungs- und Fehlersuche-Informationen über die AccessPoints und Clients zuerhalten, die versuchen, eine Verbindung herzustellen.

12.1 Allgemeine EinstellungenAuf den SeitenWirelessProtection >Allgemeine Einstellungen können SieWirelessProtectionaktivieren und die Netzwerkschnittstellen für WirelessProtection sowie dieWPA/WPA2-

12.1 Allgemeine Einstellungen 12 Wireless Protection

Enterprise-Authentifizierung konfigurieren.

12.1.1 AllgemeinAuf der RegisterkarteWirelessProtection >Allgemeine Einstellungen >Allgemein können SieWirelessProtection aktivieren oder deaktivieren.

UmWirelessProtection zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Wireless Protection auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der Abschnitt Zugangskontrolle kann nun bearbeitetwerden.

Bei der erstmaligen Aktivierung vonWirelessProtection wird der AbschnittErsteinrichtung angezeigt.Dieser Abschnitt enthält die Konfiguration, die erzeugt wird:ein eigenständigesWLAN-„Gast“-NetzwerkmitWPA2-Personal-Verschlüsselung undDHCP für WLAN-Clients. DieWLAN-Clients können DNSauf der UTM und denWeb-Surfing-Dienst verwenden. Der vorverteilte Schlüsselwird automatisch generiert undnur in diesemAbschnitt angezeigt. Diese Erstkonfiguration soll alsVorlage dienen.Siekönnen die Einstellungen jederzeit auf der SeiteWirelessProtection >WLAN-Netzwerkebearbeiten.

Automatische Konfiguration nicht durchführen:Wählen Sie dieseOption, wennkeine Ersteinrichtung durchgeführt werden soll. Dannmüssen Sie die Einstellungen fürWirelessSecuritymanuell durchführen.

2. Wählen Sie eine Netzwerkschnittstelle für den Access Point.Klicken Sie auf dasOrdnersymbol im Abschnitt Zugelassene Schnittstellen, um einekonfigurierte Schnittstelle auszuwählen, an die der AccessPoint angeschlossen wird.Stellen Sie sicher, dassdie Schnittstelle von einemDHCP-Server verwaltet wird.

3. Klicken Sie auf Übernehmen.

Ihre Einstellungen werden gespeichert. Die Statusampelwird grün und zeigt dadurchan, dassWirelessProtection aktiv ist.

Sie können nun fortfahren, indemSie den AccessPoint an die konfigurierteNetzwerkschnittstelle anschließen.Wenn Sie die automatische Konfigurationübersprungen haben, fahren Siemit der Konfiguration auf der SeiteWLAN-Netzwerkefort.


Umdie Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf die gelbeStatusampel.

Sobald Sie einen AccessPoint anschließen, wird er sich automatischmit demSystemverbinden.Neu angeschlossene, unkonfigurierte AccessPointswerden alsAusstehendeAccessPointsauf der SeiteAccessPointsangezeigt.

12.1.2 ErweitertAuf der RegisterkarteWirelessProtection >Allgemeine Einstellungen >Erweitert können SieIhre AccessPoints so konfigurieren, dass sieWPA/WPA2-Enterprise-Authentifizierungverwenden.

Die Enterprise-Authentifizierung erfordert einige Angaben zu IhremRADIUS-Server.Beachten Sie, dassdie APsnicht selbst mit demRADIUS-Server für dieAuthentifizierung kommunizieren, sondern nur die UTM.Port 414wird für die RADIUS-Kommunikation zwischen der UTM und dem/den AP(s) verwendet.

UmWPA/WPA2-Enterprise-Authentifizierung zu verwenden, nehmen Sie die folgendenEinstellungen vor:

RADIUS-Server:Wählen Sie einen Server (oder legen Sie einen an), über den sich Clientsselbst authentifizieren sollen, z. B. Ihren Active-Directory-Server.

RADIUS-Port (optional): Der RADIUS-Standardport 1812 ist vorausgewählt. Falls notwendig,können Sie diesen Port ändern.

RADIUS-Kennwort:Geben Sie dasRADIUS-Kennwort ein, das von den AccessPointsbenötigt wird, ummit demRADIUS-Server kommunizieren zu können.

Kennwort wiederholen:Geben Sie dasRADIUS-Kennwort ausSicherheitsgründen erneutein.


12.2 WLAN-NetzwerkeAuf der SeiteWirelessProtection >WLAN-Netzwerke können Sie IhreWLAN-Netzwerkedefinieren, z. B. ihre SSID und Verschlüsselungsmethode. Darüber hinaus können Siefestlegen, ob dasWLAN-Netzwerkeinen eigenständigen IP-Adressbereich oder eine Bridge indas LAN desAccessPoints haben soll.


12 Wireless Protection 12.2WLAN-Netzwerke

12.2WLAN-Netzwerke 12 Wireless Protection

Umein neuesWLAN-Netzwerkanzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite WLAN-Netzwerke auf WLAN-Netzwerk hinzufügen.DasDialogfensterWLAN-Netzwerkhinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Netzwerkname:Geben Sie einen aussagekräftigen Namen für dasNetzwerkein.

Netzwerk-SSID:Geben Sie den Service Set Identifier (SSID) für dasNetzwerkein, dervon den Clients registriert wird und zur Identifizierung desWLAN-Netzwerksdient.DieSSID kann aus1 bis 32 druckbaren ASCII-Zeichen bestehen1. Sie darf kein Kommaenthalten und nicht mit einem Leerzeichen beginnen oder enden.

Verschlüsselungsmethode:Wählen Sie eine Verschlüsselungsmethode ausderAuswahlliste.Standardmäßig istWPA2Personaleingestellt.Wir empfehlenWPA2 stattWPA, wennmöglich.AusSicherheitsgründen wird davon abgeraten,WEP zuverwenden, es sei denn, Ihr WLAN-Netzwerkwird von Clients genutzt, die keine andereMethode unterstützen.Wenn Sie eine Enterprise-Authentifizierungsmethodeverwenden, müssen Sie auch einen RADIUS-Server auf der RegisterkarteAllgemeineEinstellungen >Erweitert konfigurieren. Geben Sie alsNAS-ID desRADIUS-Serversden Namen desWLAN-Netzwerksein.

Kennwort/PSK: Nur bei der VerschlüsselungsmethodeWPA/WPA2Personalverfügbar. Geben Sie dasKennwort ein, dasdasWLAN-Netzwerk vor unautorisiertemZugriff schützen soll und wiederholen Sie es im nächsten Feld. DasKennwort darf aus8–63 ASCII-Zeichen bestehen.

128-bit WEP-Schlüssel: Nur bei der VerschlüsselungsmethodeWEP verfügbar.Geben Sie hier einenWEP-Schlüssel ein, der ausgenau 26 hexadezimalen Zeichenbesteht.

Client-Verkehr:Wählen Sie eineMethode, wie Ihr WLAN-Netzwerk in Ihr lokalesNetzwerk integriert werden soll.

l Getrennte Zone (Standard): DasWLAN-Netzwerkwird als eigenständige Zonebehandelt und hat einen eigenen IP-Adressbereich.Wenn Sie dieseOptionnutzen, müssen Sie, nachdemSie dasWLAN-Netzwerkhinzugefügt haben, mitder Einrichtung wie im Abschnitt unten (Nächste Schritte für Netzwerk in

1http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange


http://en.wikipedia.org/wiki/ASCII#ASCII_printable_characters






getrennter Zone) beschrieben fortfahren.

Hinweis –Wenn Sie ein Netzwerkder ArtGetrennte Zone zu einemNetzwerkder Art In AP-LAN bridgen oder In VLAN bridgen ändern, werden bereitskonfigurierteWLAN-Schnittstellen auf der UTM deaktiviert und dasSchnittstellenobjekt erhält den Statusnicht zugewiesen. Sie können demSchnittstellenobjekt jedoch eine neue Hardware-Schnittstelle zuweisen, indemSie esbearbeiten und dadurch wieder aktivieren.

l In AP-LAN bridgen: Sie können dasWLAN-Netzwerkauch in dasNetzwerkdesAccessPoint bridgen. Dasheißt, dassdieWLAN-Clients einen gemeinsamen IP-Adressbereich besitzen.

Hinweis –Wenn VLAN aktiviert ist, werden dieWLAN-Clients in dasVLAN-NetzwerkdesAccessPoint gebridged.

l In VLAN bridgen: Sie können den Verkehr diesesWLAN-Netzwerks in einVLAN Ihrer Wahl bridgen.Das ist nützlich, wenn Sie wollen, dassdie AccessPointsin einem gemeinsamenNetzwerkgetrennt von denWLAN-Clients sind.In VLAN-ID bridgen:Geben Sie die VLAN-ID desNetzwerksein, zu dem dieWLAN-Clients gehören sollen.

Client-VLAN-ID (nur mit einer Enterprise-Verschlüsselungsmethode verfügbar):Wählen Sie, wie die VLAN-ID definiert ist:

l Statisch: Die VLAN-ID, die im Feld In VLAN-ID bridgen definiert ist, wirdverwendet.

l RADIUS & Statisch: Die VLAN-ID IhresRADIUS-Serverswirdverwendet:Wenn ein Benutzer eine Verbindungmit einem Ihrer WLAN-Netzwerke herstellt und sich an IhremRADIUS-Server authentifiziert, teiltder RADIUS-Server demAccessPoint mit, welche VLAN-ID für diesenBenutzer verwendet werden soll. Wenn SiemehrereWLAN-Netzwerkeverwenden, können Sie den Zugriff auf interne Netzwerke daher nachBenutzer festlegen.Wenn einemBenutzer kein VLAN-ID-Attributzugewiesen wurde, wird die VLAN-ID, die im Feld In VLAN-ID bridgendefiniert ist, verwendet.


12 Wireless Protection 12.2WLAN-Netzwerke

12.2WLAN-Netzwerke 12 Wireless Protection


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:Algorithmus (nur verfügbar bei der VerschlüsselungsmethodeWPA/WPA2):WählenSie einen Verschlüsselungsalgorithmus: entweder AES oder TKIP&AES.AusSicherheitsgründen raten wir davon ab,AES zu verwenden.

Frequenzband: Die AccessPoints, die diesemWLAN-Netzwerk zugewiesen sind,werden auf dem ausgewählten Frequenzband übertragen. Das5-GHz-Band weist imAllgemeinen eine höhere Leistung, eine geringere Latenzund weniger Störungen auf.Daher sollte es z. B. beiVoIP-Kommunikation gewählt werden. Beachten Sie, dassnurAP 50 auf dem 5-GHz-Band senden kann.

Zeitbasierter Zugriff:Wählen Sie dieseOption, wenn Sie dasWLAN-Netzwerkautomatisch gemäß einesZeitplansaktivieren und deaktivierenmöchten.

Aktive Zeit auswählen: Wählen Sie eine Zeitraumdefinition, die festlegt, wanndasWLAN-Netzwerkaktiv ist. Wenn Sie dasPlussymbol anklicken, können Sieeine neue Zeitraumdefinition hinzufügen.

Client-Isolation: Clients innerhalb einesNetzwerks können normalerweisemiteinander kommunizieren.FallsSie dies unterbindenmöchten, z. B. in einemGastnetzwerk, wählen SieAktiviert ausder Auswahlliste.

SSID verstecken:Manchmalmöchten Sie Ihre SSID nicht anzeigen.Wählen Sie dazuJa ausder Auswahlliste. Bitte beachten Sie, dasses sich hierbei um keineSicherheitsfunktion handelt.

4. Klicken Sie auf Speichern.Ihre Einstellungen werden gespeichert und dasWLAN-Netzwerkwird in der ListeWLAN-Netzwerke angezeigt.

Nächste Schritte für Netzwerke in getrennter ZoneWenn Sie einWLAN-Netzwerkmit der OptionGetrennte Zone erstellen, wird automatisch eineentsprechende neue virtuelle Hardwareschnittstelle erstellt, z. B.wlan0. Um dasWLAN-Netzwerknutzen zu können, sind einige weiteremanuelle Konfigurationen erforderlich. GehenSie folgendermaßen vor:


1. Konfigurieren Sie eine neue Netzwerkschnittstelle.Erstellen Sie auf der RegisterkarteSchnittstellen &Routing >Schnittstellen >Schnittstellen eine neue Schnittstelle und wählen Sie IhreWLAN-Schnittstelle (z. B.wlan0) alsHardware. Stellen Sie sicher, dassSie „Ethernet“ als Typ gewählt haben undgeben Sie die IP-Adresse und Netzmaske IhresWLAN-Netzwerksan.

2. Aktivieren Sie DHCP für die WLAN-Clients.Damit Ihre Clients eine Verbindung zur UTM herstellen können, müssen Sie ihnen eineIP-Adresse und ein Standard-Gatewayzuweisen.Richten Sie hierzu auf derRegisterkarteNetzwerkdienste >DHCP>Server einen DHCP-Server für dieSchnittstelle ein.

3. Aktivieren Sie DNS für die WLAN-Clients.Damit Ihre ClientsDNS-Namen auflösen können, benötigen Sie Zugriff auf DNS-Server.Fügen Sie auf der RegisterkarteNetzwerkdienste >DNS>Allgemein dieSchnittstelle zur Liste der zugelassenen Netzwerke hinzu.

4. Erstellen Sie eine NAT-Regel, um das WLAN-Netzwerk zu maskieren.Wie bei allen anderen Netzwerkenmüssen Sie auch hier die Adressen desWLAN-Netzwerks in die Adressen der Uplink-Schnittstelle übersetzen.Erstellen Sie eine NAT-Regel auf der RegisterkarteNetworkProtection >NAT >Maskierung.

5. Erstellen Sie eine oder mehrere Paketfilterregeln, um Verkehr vomWLAN-Netzwerk bzw. dorthin zuzulassen.Wie bei jedem anderen Netzwerkmüssen Sie auch hier eine oder mehrerePaketfilterregeln erstellen, damit der Verkehr die UTM passieren kann, z. B.Web-Surfing-Verkehr.Erstellen Sie Paketfilterregeln auf der RegisterkarteNetworkProtection >Firewall >Regeln.

12.3 Access PointsDie SeitenWirelessProtection >AccessPointsgeben einen Überblick über die AccessPoints(AP), die demSystem bekannt sind. Sie können AP-Eigenschaften bearbeiten, APs löschenoder gruppieren und APsoder AP-GruppenWLAN-Netzwerke zuweisen.

Arten von Access PointsMomentan bietet Sophos vier verschiedene AccessPoints an:


12 Wireless Protection 12.3 AccessPoints

12.3 AccessPoints 12 Wireless Protection

l AP5 (USB-Stick; Zubehörprodukt für RED Rev2/Rev3): Standards802.11b/g/n,Frequenzband 2,4 GHz; max. sieben Clients

l AP10: Standards802.11b/g/n, Frequenzband 2,4 GHz

l AP30: Standards802.11b/g/n, Frequenzband 2,4 GHz

l AP50: Standards802.11a/b/g/n, Frequenzbänder 2,4/5 GHzDualband/DualfunkEsgibt zwei verschiedene AP-50-Modelle, bei denen sich die verfügbaren Kanäleunterscheiden.

l FCC-regulierte Gebiete (hauptsächlich USA): Kanäle 1-11, 36, 40, 44, 48

l ETSI-regulierte Gebiete (hauptsächlich Europa): Kanäle 1-13, 36, 40, 44, 48

Beachten Sie, dassdie Ländereinstellung einesAP reguliert, welche Kanäle zurVerfügung stehen, um der örtlichenGesetzeslage zu entsprechen.

12.3.1 ÜbersichtDie SeiteWirelessProtection >AccessPoints >Übersicht liefert einen Überblick über dieAccessPoints (AP), die demSystem bekannt sind.Die SophosUTM unterscheidet zwischenaktiven, inaktiven und ausstehenden APs.Um sicherzustellen, dass sich nur originale APsmitIhremNetzwerk verbinden, müssen die APszunächst autorisiert werden.

Hinweis –Wenn Sie vorhaben einen AP5 zu verwenden, müssen Sie zuerst die RED-Verwaltung aktivieren und ein RED einrichten.Fügen Sie die RED-Schnittstelle anschließendauf der SeiteWirelessProtection >Allgemeine Einstellungen zur Liste der zugelassenenNetzwerke hinzu.NachdemSie den AP5mit demRED verbunden haben, sollte der AP 5unter Ausstehende AccessPointsangezeigt werden.

Tipp –Alle dreiAbschnitte dieser Seite können durch einen Klick auf dasSymbol rechtsneben der Kopfzeile desAbschnitts geschlossen und wieder geöffnet werden.

Um die Verwaltung zu vereinfachen, können Sie für jeden APeinen Standort angeben.Siekönnen hier auch den Kanal ändern.Wenn Sie den Kanal aufAuto lassen, wird der APautomatisch auf demKanal senden, der amwenigsten verwendet wird.Klicken Sie auf dieSchaltflächeBearbeiten, um Änderungen an einemAP vorzunehmen (sieheAusstehendeAccessPointsunten).


Wenn ein AP physikalisch von IhremNetzwerkgetrennt wird, können Sie ihn hier durch einenKlick auf die Schaltfläche Löschen entfernen.Solange der APmit IhremNetzwerk verbundenbleibt, wird er nach dem Löschen automatisch wieder mit demStatusAusstehend angezeigt.

Hinweis –Eine Konfigurationsänderung dauert etwa 15 Sekunden. Danach sind alleSchnittstellen rekonfiguriert.

Aktive Access Po intsHier werden alle APsaufgeführt, die verbunden, konfiguriert undmomentan in Betrieb sind.

I naktive Access Po intsHier werden alle APsaufgeführt, die bereits einmal konfiguriert wurden, aber momentan nichtmit der UTM verbunden sind.Wenn ein AP länger als fünf Minuten in diesemStatusbleibt,überprüfen Sie bitte die Netzwerkverbindung desAPund Ihre Systemkonfiguration.Bei einemNeustart desDienstesWirelessProtection werden die Zeitstempel für Zuletzt gesehengelöscht.

Ausstehende Access Po intsHier werden alle APsaufgeführt, die mit demSystem verbunden aber noch nicht autorisiertsind. Um einen AccessPoint zu autorisieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Annehmen des entsprechenden AccessPoints.DasDialogfenster Edit Device Locationwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Standort (optional): Geben Sie einen Standort ein, damit der AP leicht im Netzidentifiziert werden kann.

Land:Geben Sie dasLand an, in dem sich der AP befindet.

Wichtig –Der Ländercode reguliert, welche Kanäle für die Übermittlung zurVerfügung stehen.Um nicht gegen örtlicheGesetze zu verstoßen, sollten Sie immerdas richtige Land auswählen (siehe KapitelAccessPoints).

3. Nehmen Sie optional folgende erweiterte Einstellungen vor:




2,4-GHz-Kanal: Sie können die StandardeinstellungAuto beibehalten, welcheautomatisch einen Übermittlungskanal auswählt. Alternativ können Sie einenfestgelegten Kanal auswählen.

5-GHz-Kanal (Nur verfügbar mit AP 50): Sie können die StandardeinstellungAutobeibehalten, welche automatisch einen Übermittlungskanal auswählt. Alternativ könnenSie einen festgelegten Kanal auswählen.

TX Power 2,4 GHz: Sie können die Standardeinstellung von 100%beibehalten, damitder AccessPoint mit maximaler Leistung sendet. Sie können die Sendeleistung auchnach unten regeln, um die Reichweite zu verringern und damit zumBeispiel Störungenzu vermeiden.

TX Power 5 GHz (Nur verfügbar mit AP 50): Beim AP50 können Sie die Sendeleistungfür das5-GHz-Frequenzband separat regeln.

VLAN-Taggen: UmVLAN zu aktivieren, wählen SieAktiviert ausder Auswahlliste.VLAN-Taggen ist standardmäßig ausgeschaltet. Wenn Sie den AP mit einervorhandenen VLAN-Ethernet-Schnittstelle verbindenmöchten, müssen Sie VLAN-Tagging aktivieren.Stellen Sie sicher, dassdie VLAN-Ethernet-Schnittstelle im FeldZugelassene Netzwerke auf der SeiteAllgemeine Einstellungen >AllgemeineEinstellungen hinzugefügt wird.

Hinweis –Gehen Sie wie folgt vor, um VLANmit den AccessPoints in IhremNetzwerkzu nutzen: Verbinden Sie den AP für mindestenseineMinute über dasStandard-LANmit der UTM. Das ist notwendig, damit sich der AP seine Konfiguration abholenkann.Würde der AP gleich über VLAN verbunden, wüsste er nicht, dasser sich ineinemVLAN befindet, und könnte sich deshalb nicht mit der UTM verbinden, um seineKonfiguration zu erhalten.Wenn der AP angezeigt wird, aktivieren Sie VLAN-Taggingund geben Sie die VLAN-ID ein. Verbinden Sie den APdannmit dem vorgesehenenVLAN, zumBeispiel einemSwitch.

Hinweis –VLAN-Tagging ist mit demAP5 nicht möglich.

AP VLAN-ID:WennVLAN-Tagging aktiviert ist, geben Sie dasVLAN-Tag desVLANein, über dasder AccessPoint eine Verbindungmit der UTM herstellen soll.VerwendenSie nicht die VLAN-Tags0und 1, da diese gewöhnlich eine spezielle Bedeutung fürNetzwerk-Hardware wie Switcheshaben. 4095 ist zudem per Konvention reserviert.


Hinweis –Wenn VLAN-Taggen konfiguriert ist, wird der AP auf dem konfiguriertenVLAN 60 Sekunden lang nach DHCPsuchen.Wenn er in diesem Zeitraum keine IP-Adresse erhält, wird der AP ersatzweise auf dem regulären LAN nach DHCPsuchen.

Gruppe (optional): Sie können Ihre APs in Gruppen organisieren. Falls bereits eineGruppe angelegt wurde, können Sie diese in der Auswahlliste auswählen.Wählen SieandernfallsNeueGruppe ausund geben Sie einen Namen für die Gruppe im TextfeldName ein, welchesdann erscheint.

4. Klicken Sie auf Speichern.Der AccessPoint erhält seine Konfiguration oder seine Konfiguration wird aktualisiert.Der nun autorisierte AccessPoint wird sofort in einem der oberen Abschnitte angezeigt,je nachdem ob er aktiv ist oder nicht.

FallsVLAN-Taggen konfiguriert wurde, der AP sich aber nicht mit der UTM über VLANverbinden kann, wird der AP sich selbst neu starten und eserneut versuchen, nachdemer die Konfiguration erhalten hat.

12.3.2 GruppierungAuf der SeiteWirelessProtection >AccessPoints >Gruppierung können Sie AccessPoints(APs) auf unterschiedlicheWeise verwalten: Zum einen können Sie den AccessPointsWLAN-Netzwerke zuweisen, sodass jeder AccessPoint nur bestimmteWLAN-Netzwerke überträgt.Dies ist beispielsweise nützlich, wenn Sie ein nur in firmeneigenen Büros verfügbaresWLAN-Firmennetzwerk sowie einWLAN-Netzwerk für Gäste haben, dasnur in den öffentlichenBereichen desGebäudes verfügbar sein soll.Zum anderen können Sie AccessPoints gruppieren. Auch diesenGruppen könnenWLAN-Netzwerke zugewiesen werden.

Die Seite zeigt eineMatrix vonWLAN-Netzwerken, AccessPoints und Access-Point-Gruppen(falls vorhanden) und ihre Beziehungen zueinander.

Neben jedemAPbzw. jeder AP-Gruppe befinden sich zweiSchaltflächen:Bearbeiten undLöschen.MitBearbeiten können Sie die Attribute einesAP bzw. einer Gruppe ändern.Wenn Sieauf Löschen klicken, wird eine Gruppe gelöscht bzw. ein AccessPoint entfernt.

Sie können auf den Namen einesWLAN-Netzwerks klicken, um die Netzwerkeinstellungen zubearbeiten.




Zuweisung von Netzwerken zu APsMarkieren Sie dasentsprechende Auswahlkästchen, um einemAPoder einer AP-Gruppe einWLAN-Netzwerk zuzuweisen, und klicken Sie danach aufÜbernehmen. Ein AP (oder alle APseiner Gruppe) übertragen alle ihnen zugewiesenenWLAN-Netzwerke.

Damit ein Access Point einemWLAN-Netzwerk zugewiesen werden kann, müssen dieOptionenClient-Verkehr desWLAN-Netzwerksund die OptionVLAN-Taggen desAccessPoints zueinanderpassen. Folgende Regeln gelten:

l WLAN-Netzwerkmit Client-VerkehrGetrennte Zone: VLAN-Taggen für den AccessPoint kann eingeschaltet oder ausgeschaltet sein.

l WLAN-Netzwerkmit Client-Verkehr In AP-LAN bridgen: VLAN-Taggen für den AccessPoint mussausgeschaltet sein.

l WLAN-Netzwerkmit Client-Verkehr In VLAN bridgen: VLAN-Taggen für den AccessPoint musseingeschaltet sein.Die jeweiligenWLAN-Clients verwenden die für dasWLAN-Netzwerk festgelegte In VLAN-ID bridgen oder erhalten ihre VLAN-ID vomRADIUS-Server, sofern angegeben.

Hinweis –EinemAP5 kann nur ein einzigesWLAN-Netzwerkmit der Client-Verkehr-OptionIn AP-LAN bridgen zugewiesen werden.

Über die SchaltflächeBearbeiten können Sie ebenfalls die AP-Einstellungen ändern.

Erstellen und Verwenden von GruppenKlicken Sie auf dieBearbeiten-Schaltfläche einesAP, um eine AP-Gruppe zu erstellen.WählenSie in der AuswahllisteGruppe die OptionNeueGruppe ausund geben Sie in dasFeldNameeinen Namen ein.Klicken Sie aufSpeichern. Die neueGruppe wird in der AP-Liste angezeigt.Der APwird nicht mehr in der Liste aufgeführt, da er nun Teil dieser Gruppe ist.

Tipp –Sie erreichen die DialogeDevice Control bearbeiten oder Access-Point-Gruppebearbeiten auch, indemSie auf den Namen einesAPoder einer Gruppe klicken.

Sie können einer Gruppe weitere APshinzufügen, indemSie auf dieBearbeiten-SchaltflächeeinesAP klicken und in der AuswahllisteGruppe die entsprechendeGruppe auswählen.


Wenn Sie einen APauseiner Gruppe entfernenmöchten, klicken Sie auf dieBearbeiten-Schaltfläche der entsprechendenGruppe und klicken Sie dann auf dasPapierkorbsymbolneben demAP, den Sie ausder Gruppe entfernenmöchten.

Über den DialogAccess-Point-Gruppe bearbeiten können Sie Gruppen auch umbenennen.

12.4 WLAN-ClientsDie SeiteWirelessProtection >WLAN-Clientsgibt Ihnen einen Überblick über die Clients, diemomentanmit einemAccessPoint verbunden sind oder in der Vergangenheit verbundenwaren.

Da nicht alle Clients ihren Namen übermitteln, können Sie ihnen hier einen Namen geben,damit Sie bekannte Clients in der Übersicht leichter auseinanderhalten können. FallsClientsihren NetBIOS-Namenwährend der DHCP-Anfrage übermitteln, wird ihr Name in der Tabelleangezeigt.Andernfallswerden sie als [unknown] aufgeführt. Sie können den Namen von(unbekannten) Clients ändern, indemSie auf dasSchlüsselsymbol vor demNamenklicken.Geben Sie dann einen Namen ein und klicken Sie aufSpeichern. Esdauert ein paarSekunden, bis die Änderung sichtbar wird. Klicken Sie auf dasAktualisieren-Symbol in derrechten oberen Ecke desWebAdmin, um denNamen desClients zu sehen.

Sie können Clients auch ausder Tabelle löschen, indemSie auf dasPapierkorb-Symbol in derersten Spalte klicken.

Bei einemNeustart desDienstesWirelessProtection werden die Zeitstempel für Zuletztgesehen gelöscht.

Hinweis – IP-Adressen, die Clients zugewiesen sind, können nur angezeigt werden, wenndie UTM alsDHCP-Server für dasentsprechendeWLAN-Netzwerk fungiert.Zusätzlich wirdfür statische DHCP-Zuordnungen die IP-Adresse 0.0.0.0angezeigt.

12.5 HotspotsAuf den SeitenWirelessProtection >Hotspots verwalten Sie den Zugang zumHotspotportal.Die Hotspot-Funktion ermöglicht es, in Gaststätten, Hotels, Unternehmen usw. Gästen einenzeit- und volumenbeschränkten Internetzugang bereitzustellen. Die Funktion ist Teil desWireless-Abonnements, funktioniert aber auch in LAN-Netzwerken.


12 Wireless Protection 12.4WLAN-Clients

12.5 Hotspots 12 Wireless Protection

Hinweis – Technisch gesehen beschränkt die Hotspot-Funktion Datenverkehr, der von derFirewall freigegeben ist. Sie müssen daher eine Firewallregel erstellen, die den Datenverkehrüber die Hotspots regelt. Testen Sie den Zugang erst einmal ohne die Hotspot-Funktion.Wenn alles funktioniert, aktivieren Sie die Hotspots.

Erstellen von HotspotsIn einem ersten Schritt erstellt und aktiviert der Administrator einen Hotspot für einenbestimmten Zugangstyp. Die folgenden Typen sind verfügbar:

l Annahme der Nutzungsbedingungen: DemGast werden Nutzungsbedingungenangezeigt, der er akzeptierenmuss, um Zugang zu erhalten. Die Bedingungen sind freidefinierbar.

l Tages-Kennwort: Der Gast mussein Zugangskennwort eingeben. DasKennwort wirdtäglich geändert.

l Voucher: Der Gast erhält einen Voucher mit einem Zugangscode, den er eingebenmuss. Der Voucher kann auf eine bestimmte AnzahlGeräte, einen Zeitraum oder einDatenvolumen beschränkt sein.

Verteilung der Zugangsdaten an GästeBei den Typen Tages-Kennwort undVouchermüssen die Zugangsdaten denGästenausgehändigt werden. Sie können festlegen, welche Benutzer die Zugangsdaten verwaltenund verteilen dürfen.Diese Benutzer greifen über die Benutzerportal-RegisterkarteHotspotauf die Daten zu und können sie von dort ausauch verteilen:

l Tages-Kennwort: Benutzer finden dasKennwort im Benutzerportal. DasKennwortkann per E-Mail versendet werden. Benutzer leiten dasKennwort an die Gäste weiter.Sie können ein neuesKennwort eingeben oder generieren. In diesem Fallwird dasvorhergehende Kennwort sofort ungültig. Alle laufenden Sitzungen werden beendet. Jenach Konfiguration werden auch andere Benutzer über dasneue Kennwort in Kenntnisgesetzt, entweder per E-Mail oder über dasBenutzerportal.

l Voucher: Im Benutzerportal können Benutzer Voucher mit einmaligen Zugangscodeserstellen. Der Administrator kann verschiedene Voucher-Typen definieren undbereitstellen. Sie können Voucher ausdrucken, exportieren und denGästenaushändigen. Die Liste der erstellten Voucher liefert einen Überblick über ihre Nutzungund erleichtert ihre Verwaltung.


Rechtliche HinweiseIn vielen Ländern unterliegt der Betrieb einesöffentlichenWLAN gesetzlichen Regelungen,dazu gehören unter anderem Zugriffsbeschränkungen aufWebsitesmit bestimmten Inhalten(z. B. File-Sharing-Seiten, Seitenmit extremistischemHintergrund usw.)Sie können dieseAnforderungen erfüllen, indemSie den Hotspot mit denWeb-Protection-Funktionen derSophosUTM kombinieren, um denWebzugriff auf ganzeWebsites oder bis hinunter auf dieEbene einzelner URLszu blockieren oder zuzulassen.Mit der UTM haben Sie volle Kontrolledarüber, wer wann auf welche Seiten zugreifen kann. So ist es auchmöglich, für den Hotspotbesonders strikte Regeln festzulegen, wenn staatliche oder unternehmensinterne Auflagendieserfordern.

Der integrierte HTTP-Proxy von SophosUTM bietet zusätzlich leistungsfähige Protokoll- undBerichtsfunktionen. Sie können zumBeispiel verfolgen, welche Personen wann und wie oftauch welcheWebsites zugreifen und so leicht eine unangemessene Nutzung identifizieren,wenn Sie einen Hotspot ohne jegliche Zugangsbeschränkungen betreiben.

In bestimmten Fällen kann esmöglich sein, dassSie Ihren Hotspot bei der staatlichenRegulierungsbehörde anmeldenmüssen.

12.5.1 AllgemeinAuf der RegisterkarteWirelessProtection >Hotspots>Allgemein können Sie die Hotspots-Funktion einschalten und angeben, welche Benutzer die Hotspot-Zugangsdaten anzeigen undverteilen können.

UmHotspots zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Hotspots auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittAllgemeine Hotspot-Einstellungen kannnun bearbeitet werden.

2. Wählen Sie die zugelassenen Benutzer aus.Wählen Sie die Benutzer aus, denen esmöglich sein soll, über dasBenutzerportalHotspot-Zugangsdaten bereitzustellen. Die hier ausgewählten Benutzer können dasTages-Kennwort anzeigen und Hotspot-Voucher erstellen.


12 Wireless Protection 12.5 Hotspots



Live -Protoko llDasLive-Protokoll liefert Informationen über die Hotspot-Nutzung.Klicken Sie auf Live-Protokoll öffnen, um dasHotspots-Live-Protokoll in einem neuen Fenster zu öffnen.

12.5.2 HotspotsAuf der RegisterkarteWirelessProtection >Hotspots>Hotspots verwalten Sie Ihre Hotspots.

Hinweis –Ein Hotspot musseiner existierenden Schnittstelle zugewiesen sein; in der Regelwird daseineWLAN-Schnittstelle sein. Alle Hosts, die diese Schnittstelle verwenden,unterliegen automatisch den Beschränkungen diesesHotspots.Bevor Sie einen Hotspoterstellen, würden Sie daher zuerst einWLAN-Netzwerkmit der OptionGetrennte Zoneanlegen und danach eine Schnittstelle für die entsprechendeWLAN-Schnittstellenhardwaredefinieren.Weitere Informationen hierzu finden Sie unterWirelessProtection >WLAN-Netzwerke.

Um einen Hotspot anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Hotspot hinzufügen.DasDialogfenster Hotspot hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesen Hotspot ein.

Schnittstellen: Fügen Sie die Schnittstellen hinzu, für die die ZugriffsbeschränkungendesHotspots gelten sollen. Für die ausgewählten Schnittstellenmusseine Firewallregelexistieren, die den gewünschten Datenverkehr zulässt. Eine Schnittstelle kann immernur von einemHotspot verwendet werden.

Hinweis –Wählen Sie hier keine Uplink-Schnittstelle aus.

Hotspot-Typ:Wählen Sie den Hotspot-Typ für die ausgewählten Schnittstellen.

l Tages-Kennwort: Einmal am Tagwird automatisch ein neuesKennworterstellt.DiesesKennwort kann im Benutzerportal auf der RegisterkarteHotspots


von allen auf der RegisterkarteAllgemein festgelegten Benutzern eingesehenwerden. Außerdemwird dasKennwort an die angegebenen E-Mail-Adressengesendet.

l Voucher:Wählen Sie diesen Hotspot-Typ, um im Benutzerportal zeit- odervolumenbeschränkte Gutscheinemit benutzerdefinierten Eigenschaften zuerstellen, die sich ausdrucken und anGäste verteilen lassen. Nach Eingabe desCodeserhalten Gäste Zugang zum Internet.

l Annahme der Nutzungsbedingungen:Gäste erhalten erst nach Annahmeder Nutzungsbedingungen Zugang zum Internet.

Kennwort erstellt um (nur beiHotspot-Typ Tages-Kennwort): Die Tageszeit, zu derdasneue Kennwort erstellt wird. Zu dieser Uhrzeit wird dasbisherige Kennwort ungültig.Alle laufenden Sitzungen werden beendet.

Kennwort per E-Mail senden an (nur beiHotspot-Typ Tages-Kennwort): Geben Siehier die E-Mail-Adressen ein, an die dasKennwort gesendet werden soll.

Voucher-Definitionen (nur beiHotspot-TypVoucher): Die Liste der existierendenVoucher-Definitionen.Wählen Sie die Definitionen für Ihren Hotspot aus.

Benutzer müssen die Nutzungsbedingungen akzeptieren:Wählen Sie dieseOption, wenn die Hotspot-Nutzer Ihre Nutzungsbedingungen akzeptierenmüssen, umZugang zum Internet zu erhalten.

l Nutzungsbedingungen:Geben Sie hier den Text für dieNutzungsbedingungen ein. Einfache HTML-Befehle und Hyperlinks sindgestattet.

Geräte pro Voucher (nur beiHotspot-TypVoucher): Geben Sie an, wie viele Gerätesichmaximalmit einemVoucher während seinesGültigkeitszeitraumseinloggenkönnen.Die Option unbegrenztwird nicht empfohlen.

Ablauf der Sitzung (nur beiHotspot-TypAnnahme der Nutzungsbedingungen):Geben Sie hier einen Zeitraum für die Gültigkeit des Internetzugangsan. Nach AblaufdiesesZeitraumsmussder Benutzer die Nutzungsbedingungen erneut akzeptieren, umsich wieder einloggen zu können.


3. Im Abschnitt Anmeldeseite anpassen können Sie die folgenden optionalenEinstellungen vornehmen:




Logo entfernen: Entfernt dasLogo von der Anmeldeseite.

Neues Logo hochladen: Legen Sie hier ein Logo für die Anmeldeseite fest.

Titel:Geben Sie hier einen Titel für die Anmeldeseite ein. Einfache HTML-Befehle undHyperlinks sind gestattet.

Benutzerdefinierter Text:Geben Sie hier zusätzlichen Text für die Anmeldeseite ein.Sie können hier zumBeispiel die SSID desWLAN-Netzwerkseingeben. EinfacheHTML-Befehle und Hyperlinks sind gestattet.

Hinweis -TitelundBenutzerdefinierter Textwerden auf den Vouchern ausgedruckt,wenn auf der RegisterkarteErweitert die entsprechendenOptionen ausgewähltwurden.

4. Klicken Sie auf Speichern.Der Hotspot wird erstellt und in der Hotspot-Liste angezeigt.

Tipp –NachdemSie den Hotspot gespeichert haben, können Sie eine Vorschau derAnmeldeseite anzeigen.Klicken Sie dazu in der Hotspot-Liste auf die SchaltflächeVorschauder Anmeldeseite.

Um einen Hotspot zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

12.5.3 Voucher-DefinitionenAuf der RegisterkarteWirelessProtection >Hotspots>Voucher-Definitionen verwalten Sie dieDefinitionen für den Hotspot-Typ „Voucher“.

Um eine Voucher-Definition anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Voucher-Definition hinzufügen.DasDialogfenster Voucher-Definition hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Voucher-Definition ein.


Gültigkeitszeitraum: Geben Sie an, wie lange ein Voucher mit dieser Definition gültigsein soll. Gezählt wird ab der ersten Anmeldung. Die Angabe einesGültigkeitszeitraumswird empfohlen.

Zeitkontingent:Geben Sie hier die erlaubte Online-Zeit ein. Geben Sie diemaximaleOnline-Zeit ein, nach deren Erreichen ein Voucher mit dieser Definition abläuft. Gezähltwird ab der Anmeldung bis zur nächsten Abmeldung. Außerdemwird die Zählung nach5Minuten Inaktivität angehalten.

Datenmenge: Hier können Sie dasDatenvolumen beschränken. Geben Sie einemaximale Datenmenge an, die mit dieser Voucher-Definition übertragen werden kann.


3. Klicken Sie auf Speichern.Die Voucher-Definition wird erstellt und steht jetzt zur Erstellung einesHotspots vom Typ„Voucher“ zur Verfügung.

Um eine Voucher-Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

12.5.4 Erweitert

Druckoptionen für VoucherSeitenformat: Legen Sie dasDruckformat der Voucher fest.

Voucher pro Seite: Legen Sie fest, wie viele Voucher auf eine Seite gedruckt werden sollen.

Titel drucken/Benutzerdefinierten Text drucken:Geben Sie an, ob die Voucher miteinem Titel oder einem benutzerdefinierten Text gedruckt werden sollen.Titel oder Textdefinieren Sie für jeden Hotspot einzeln unter Anmeldeseite anpassen auf der RegisterkarteHotspots.

Allgeme ine Voucher -OptionenHier können Sie einen Zeitraum angeben, nach dem nicht mehr gültige Voucher ausderDatenbankgelöscht werden. Im Hotspot-Protokoll bleiben die Informationen über diegelöschten Voucher erhalten.




Eingeschränkter Zugang zum InternetHier können Sie einzelne Hosts oder Netzwerke hinzufügen, auf die alle Benutzer ohneEingabe einesKennworts oder Voucher-Codesunbeschränkten Zugriff haben.


13 Webserver ProtectionIn diesemKapitelwird beschrieben, wie Sie dieWeb Application Firewall von SophosUTMkonfigurieren, die IhreWebserver vor Angriffen und schädigendemVerhalten schützt.


l WebApplication Firewall

l Zertifikatverwaltung

13.1 Web Application FirewallMit der Web Application Firewall (WAF), auch bekannt alsReverse Proxy, können Sie dankSophosUTM IhreWebserver vor Angriffen und schädigendemVerhalten wie Cross-Site-Scripting (XSS), SQL-Injection, Directory-Traversal und anderen gefährlichen Angriffenschützen.Sie können externe Adressen (virtuelle Server) definieren, die in die „echten“ Serverübersetzt werden, anstatt die DNAT-Regeln zu verwenden. Diesermöglicht esauch, dieServer mit Hilfe verschiedener Muster und Erkennungsmethoden zu schützen.Einfachausgedrückt ermöglicht dieser Bereich der UTM die Anwendung von Bedingungen aufAnfragen, die der Webserver erhält und versendet.Darüber hinausbietet er Lastausgleichzwischenmehreren Zielen.

13.1.1 AllgemeinAuf der RegisterkarteWebApplication Firewall >Allgemein können Sie dieWeb ApplicationFirewall (WAF) aktivieren und deaktivieren.

Hinweis –Bevor Sie dieWAF aktivieren können, müssen Siemindestenseinen virtuellenWebserver auf der RegisterkarteVirtuelleWebserver erstellen.

Um dieWAF zu aktivieren, gehen Sie folgendermaßen vor:

1. Erstellen Sie mindestens einen echten Webserver und einen virtuellenWebserver.In den AbschnittenEchteWebserver undVirtuelleWebserver erhalten Sie weitereInformationen.

13.1Web Application Firewall 13 Webserver Protection

2. Aktivieren Sie die Web Application Firewall.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und dieWeb Application Firewallwird aktiviert.

Live -Protoko llDasWAF-Live-Protokoll liefert Fehlersuche-Informationen zuWAF-Ereignissen.Klicken Sieauf die Schaltfläche Live-Protokoll öffnen, um dasWAF-Live-Protokoll in einem neuen Fensterzu öffnen.

13.1.2 Virtuelle WebserverAuf der RegisterkarteWebApplication Firewall >VirtuelleWebserver können Sie virtuelleWebserver anlegen.AlsTeil der UTM bilden dieseWebserver die Firewall zwischen demInternet und IhrenWebservern. Darumwird diese Art der Intervention auch Reverse Proxygenannt.Die UTM nimmt die Anfragen für dieWebserver entgegen und schützt die echtenWebserver vor diversen Angriffen. Jeder virtuelle Server entspricht einem echtenWebserverund legt die Sicherheitsstufe fest, die angewendet werden soll. Sie können auchmehr als einenechtenWebserver in einer virtuellenWebserver-Definition verwenden.Auf dieseWeiseerzielen Sie einen Lastausgleich für Ihre echtenWebserver.

Um einen virtuellen Server hinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neuer virtueller Webserver.DasDialogfenster VirtuellenWebserver anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für den virtuellenWebserver ein.

Typ: Legen Sie fest, ob die Kommunikation zwischen Client und virtuellemWebserververschlüsselt (HTTPS) oder unverschlüsselt (HTTP) erfolgen soll.

Domänen (nur beiHTTP): Geben Sie die Domänen, für die der Webserververantwortlich ist, als FQDN an, z. B. shop.beispiel.de.

Zertifikat (nur beiHTTPS): Wählen Sie ausder Auswahlliste dasZertifikat desWebservers. DasZertifikat muss vorher angelegt worden sein.

Domäne: DiesesFeld enthält den Hostnamen, für den dasZertifikat erstelltwurde.


Domänen (nur beiSAN-Zertifikaten): DieWAF unterstützt „Subject AlternativeName“-(SAN-)Zertifikate. Alle Hostnamen, die durch ein Zertifikat abgedecktsind, werden in diesem Feld aufgelistet. Sie können einen oder mehrereHostnamen auswählen, indemSie dasAuswahlkästchen vor einemHostnamenmarkieren.

Schnittstelle:Wählen Sie eine Schnittstelle ausder Auswahlliste aus, über die derWebserver erreicht werden kann.

Port:Geben Sie eine Portnummer an, über die der virtuelleWebserver von außenerreicht werden kann.Der Standard ist Port 80 beiHTTP und Port 443 beiHTTPS.

Echte Webserver:Markieren Sie dasAuswahlkästchen vor demWebserver, demSiedasFirewall-Profil zuweisen wollen.Wenn IhreWebserver gespiegelt sind, können Sieauchmehr als einenWebserver auswählen. Auf dieseWeise erzielen Siestandardmäßig einen Lastausgleich zwischen den ausgewähltenWebservern.Auf derRegisterkarteSite-Pfad-Routing können Sie detaillierte Verteilungsregel festlegen.

Firewall-Profil:Wählen Sie ausder Auswahlliste ein Firewall-Profil aus. DiesesProfilwird angewendet, um die gewähltenWebserver zu schützen.Sie können auchKein Profilauswählen, um kein Firewall-Profil zu verwenden.

HTML-Umschreibung aktivieren (optional): Wählen Sie dieseOption, damit die UTMdie Linksder zurückgegebenenWebsites umschreibt, sodassdie Linksweiterhinfunktionieren.Beispiel: Eine Ihrer echtenWebserver-Instanzen hat den Hostnamenihrefirma.local, aber der Hostname des virtuellen Servers auf der UTM lautetihrefirma.com.Daher funktionieren absolute Linkswie <ahref="http://ihrefirma.local/">nicht mehr, wenn der Link vor Weitergabe anden Client nicht in <a href="http://ihrefirma.com/">umgeschrieben wird.Siebrauchen dieseOption jedoch nicht zu aktivieren, wenn ihrefirma.comauf IhremWebserver konfiguriert ist oder wenn interne Linksauf IhrenWebsites immer als relativeLinksgeschrieben sind.Eswird empfohlen, die Option zu verwenden, wenn SieMicrosoftOutlookWeb Accessund/oder Sharepoint Portal Server einsetzen.

Hinweis –Es ist wahrscheinlich, dasseinige Linksnicht korrekt umgeschriebenwerden können und dadurch nicht funktionieren. Bitten Sie den/die Autor(en) IhrerWebsite, Linkseinheitlich zu formatieren.


13 Webserver Protection 13.1Web Application Firewall


Die Funktion HTML-Umschreibung schreibt nicht nur URLsum, sie korrigiert auchfehlerhafte HTML-Syntax, zumBeispiel:

o <title>-Tagswerden imDOM-Baum vomKnoten html > titlezumrichtigen Knoten html > head > titleverschoben verschoben

o Anführungszeichen umHTML-Attribut-Werte werden korrigiert (z. B. wird ausname="value""name="value")

Hinweis –HTML-Umschreibung wird auf alle Dateienmit HTTP-Inhalt desTypstext/*oder *xml*angewandt (* dient alsPlatzhalter). Stellen Sie sicher, dassandereDateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonstdurch die HTML-Umschreibung beschädigt werden können.

Querverweis –Weitere Informationen finden Sie in der libxml-Dokumentation(http://xmlsoft.org/html/libxml-HTMLparser.html).

Host-Header durchreichen (optional): Wenn Sie dieseOption wählen, bleibt der Host-Header (Kopfzeile) so erhalten, wie er vomClient angefragt wurde, und wirdmit derWeb-Anfrage an denWebserver weitergeleitet. Ob die Durchreichung desHost-Headers in Ihrer Umgebung notwendig ist, hängt jedoch von der Konfiguration IhresWebservers ab.


3. Klicken Sie auf Speichern.Der Server wird der ListeVirtuelleWebserver hinzugefügt.

Wennmehr als einWebserver für einen virtuellen Server konfiguriert ist, zeigt die ListeVirtuelleWebserver eine Statusampel für jedenWebserver an. Die Statusampel einesWebservers istrot, wenn der Server nicht aktiviert wurde.Sie ist gelb, wenn der Webserver nicht hochgefahrenoder nicht verfügbar ist, und grün, wenn alles einwandfrei funktioniert.

13.1.3 Echte WebserverAuf der RegisterkarteWebApplication Firewall >EchteWebserver können Sie dieWebserverhinzufügen, die durch dieWAF geschützt werden sollen.

Um einenWebserver hinzuzufügen, gehen Sie folgendermaßen vor:


http://xmlsoft.org/html/libxml-HTMLparser.html

http://xmlsoft.org/html/libxml-HTMLparser.html

1. Klicken Sie auf die Schaltfläche Neuer echter Webserver.DasDialogfenster EchtenWebserver anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für denWebserver ein.

Host:Wählen Sie einen Host desTypsHost oder DNS-Host ausoder fügen Sie ihnhinzu. Es ist sehr empfehlenswert, hier den DNS-Hostnamen zu verwenden, weilHosts,die mit ihrer IP-Adresse aufgeführt sind, leere Host-Header übermitteln, wasbeimanchen Browsern zu Problemen führen kann.

Typ: Legen Sie fest, ob die Kommunikation zwischen der UTM und demWebserververschlüsselt (HTTPS) oder unverschlüsselt (HTTP) stattfinden soll.

Port:Geben Sie eine Portnummer für die Kommunikation zwischen der UTM und demWebserver ein.Der Standard ist Port 80 beiHTTP und Port 443 beiHTTPS.


3. Klicken Sie auf Speichern.Der Server wird der ListeEchteWebserver hinzugefügt.

Wenn IhreWebserver gefunden wurden, können Sie ihnen auf der RegisterkarteVirtuelleWebserver Firewall-Profile zuweisen.

13.1.4 Firewall-ProfileAuf der RegisterkarteWebApplication Firewall > Firewall-Profile können SieWAF-Profileanlegen, die die Sicherheitsmodi und -stufen für IhreWebserver festlegen.

Um einWAF-Profil anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neues Firewall-Profil.DasDialogfenster Firewall-Profil anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für dasProfil ein.

Modus:Wählen Sie einenModusausder Auswahlliste:

l Überwachen: HTTP-Anfragen werden überwacht und protokolliert.

l Ablehnen: HTTP-Anfragen werden abgelehnt.

l Verwerfen: HTTP-Anfragen werden verworfen.




Der gewählte Moduswird angewendet, sobald eine der unten gewählten Bedingungenauf eine HTTP-Anfrage zutrifft.

SQL-Injection-Filter: Schützt einenWebserver vor SQL-Injections. Dafür werdenHTML-Formulare und andere Eingabefelder durch einen Parser und andereMethodenauf SQL-Befehle überprüft.

Cross-Site-Scripting-(XSS)-Filter: Schützt einenWebserver vor Cross-Site-Scripting.Dafür werden HTML-Formulare und andere Eingabefelder durch einenParser und andereMethoden auf HTML- und CSS-Befehle geprüft.

Cookie-Signierung aktivieren: Schützt einenWebserver vor manipuliertenCookies.Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie zum erstenCookie hinzugefügt, welcher einen Hash enthält, der ausdemNamen und demWert desersten Cookiesund einemSchlüssel besteht, wobei dieser Schlüssel nur der WAFbekannt ist. Wenn eine Anfrage nicht das richtige Cookie-Paar vorweisen kann, fandirgendeineManipulation statt und der Cookie wird verworfen.

URL-Hardening aktivieren: Schützt vor URL-Umschreibung. Dafür werden alle URLseiner Website signiert, sobald ein Client dieseWebsite anfordert. Die Vorgehensweisebei der Signierung ähnelt derjenigen bei der Cookie-Signierung. Darüber hinauswird dieAntwort desWebservers im Hinblick darauf analysiert, welche Linksals nächstesgültigangefordert werden können. Derartig „gefestigte“ URLskönnen desWeiteren alsLesezeichen abgespeichert und später besucht werden.Wählen Sie eine der folgendenMethoden, umEinstiegs-URLszu definieren:

l Manuell definierte Einstiegs-URLs:Geben Sie URLsan, die alsEinstiegs-URLs für eineWebsite dienen und dadurch nicht signiert werdenmüssen.DieSyntaxmusseinem der folgenden Beispiele entsprechen:http://shop.beispiel.de/produkte/,https://shop.beispiel.de/produkte/oder /produkte/.

l Einstiegs-URLs von hochgeladener Google-Sitemap-Datei: Sie könnenhier eine Sitemap-Datei hochladen, die Informationen zur Struktur Ihrer Websiteenthält. Sitemap-Dateien können im XML- oder Nur-Text-Format hochgeladenwerden. Letzteresenthält lediglich eine URL-Liste. Sobald dasProfil gespeichertist, wird die Sitemap-Datei von der WAF geparst.

l Einstiegs-URLs von Google-Sitemap-URL: Sie können die UTM eineSitemap-Datei von einer vorgegebenen URL herunterladen lassen, dieInformationen zur Struktur Ihrer Website enthält. Diese Datei kann regelmäßig


auf Aktualisierungen überprüft werden.Sobald dasProfil gespeichert ist, wird dieSitemap-Datei von der WAF heruntergeladen und geparst.URL:Geben Sie den Pfad zur Sitemap als absolute URL ein.

Aktualisierung:Wählen Sie ein Aktualisierungsintervall ausdieserAuswahlliste.Wenn SieManuellwählen, wird die Sitemap nur aktualisiert, wennSie dasProfil erneut speichern.

Hinweis –URL-Hardening wird auf alle Dateienmit HTTP-Inhalt desTypstext/*oder *xml*angewandt (* dient alsPlatzhalter). Stellen Sie sicher, dassandereDateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonstdurch dasURL-Hardening beschädigt werden können.

Form-Hardening aktivieren: Schützt vor Umschreibung vonWebformularen. DasForm-Hardening speichert die ursprüngliche Struktur einesWebformulars und fügt eineSignatur hinzu. Daher lehnt der Server die Anfrage ab, wenn sich die Struktur einesFormulars, dasan den Server übermittelt wird, geändert hat.

Hinweis – Form-Hardening wird auf alle Dateienmit HTTP-Inhalt desTypstext/*oder *xml*angewandt (* dient alsPlatzhalter). Stellen Sie sicher, dassandereDateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonstdurch dasForm-Hardening beschädigt werden können.

Antiviren-Scan verwenden:Wählen Sie dieseOption, um einenWebserver vor Virenzu schützen.

AV-Mechanismen:SophosUTM bietet mehrere Antiviren-Mechanismen fürhöchste Sicherheit.

l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in derRegisterkarteScan-Einstellungen festgelegte Engine wird verwendet.

l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechendeVerkehr von zwei verschiedenen Virenscannern gescannt wird.

Scan:Wählen Sie ausder Auswahlliste, ob nur Up- oder Downloadsgescanntwerden sollen oder beides.




Clients mit schlechtem Ruf blockieren: Anhand vonGeoIP- und RBL-Informationen können Sie Clients blockieren, die laut ihrer Klassifizierung einenschlechten Ruf haben.Sophosverwendet folgende Klassifizierungsanbieter:

RBL-Quellen:

l Commtouch IPReputation (ctipd.org)

l dnsbl.proxybl.org

l http.dnsbl.sorbs.net

Die GeoIP-Quelle ist Maxmind.WAF blockiert Clients, die in eine der folgendenMaxmind-Kategorien fallen:

l A1: AnonymeProxiesoder VPN-Dienste, die Clients nutzen, um ihre IP-Adressen oder ihren ursprünglichen geografischen Standort zu verschleiern.

l A2: Satellitenanbieter sind ISPs, die Benutzern auf der ganzenWeltInternetzugang über Satellit zur Verfügung stellen, oftmals von Hochrisiko-Ländern aus.


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:WAF-Regeln übergehen: Fügen Sie diesem Feld Nummern vonWAF-Regeln hinzu,die für dasaktuelle Profil übersprungen werden sollen, z. B. weil sie Falschmeldungenverursachen.DieWAF-Regel-Nummern können Sie auf der SeiteProtokolle &Berichte>Web Application Firewall >Detailsmithilfe desFiltersTop-Regeln abrufen.

Keine Fern-Abfragen für Clients mit schlechtem Ruf: DaRuf-Anfragen anentfernte Klassifizierungsanbieter gesendet werdenmüssen, kann die Verwendung vonrufbasiertem Blockieren zu Leistungseinbußen IhresSystems führen.Wählen Sie dieseOption, um nur GeoIP-basierte Klassifizierung zu verwenden, bei derzwischengespeicherte Informationen zumEinsatz kommen, wasdie Geschwindigkeitdeutlich erhöht.

4. Klicken Sie auf Speichern.DasWAF-Profil wird der Liste Firewall-Profile hinzugefügt.


http://www.maxmind.com/app/country

Weitere Informationen zu URL-Hardening und Form-HardeningAm besten wäre es, jederzeit sowohlURL-Hardening als auch Form-Hardening zu nutzen, dasich beide Funktionen gegenseitig ergänzen. Insbesondere verhindern Sie dadurch Probleme,die auftreten können, wenn Sie nur eine Option nutzen.

l Nur Form-Hardening ist aktiviert: Wenn eineWebseite Hyperlinksenthält, denenAbfragen angehängt sind (wasbei bestimmten CMSder Fall ist), z. B.http://beispiel.de/?view=article&id=1, werden solche Seitenabfragen durchForm-Hardening blockiert, da die Signatur fehlt.

l Nur URL-Hardening ist aktiviert: Wenn einWebbrowser Formulardaten an die Aktions-URL desform-TagseinesWebformulars anhängt (wasbeiGET-Anfragen der Fall ist),werden die Formulardaten in die Anfrage-URL integriert, die an denWebservergesendet wird, wodurch die URL-Signatur ungültig wird.

Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server dieAnfrage akzeptiert, wenn entweder Form-Hardening oder URL-Hardening die Anfrage fürgültig befindet.

Outlook Web AccessDie Konfiguration der WAF für OutlookWeb Access (OWA) ist etwasheikel, da OWAAnfragenvon einer öffentlichen IP anders behandelt als interne Anfragen von einer internen LAN-IP andie OWA-Website. Esgibt Umleitungen (engl. redirects), die an die OWA-URLsangehängtwerden, wobei bei externem Zugriff die externe FQDN verwendet wird, bei internen Anfragenhingegen die interne Server-IP-Adresse.

Zur LösungmussdasOWA-Verzeichnis alsEinstiegs-URL imWAF-Profil IhresOWA-Webservers eingetragen werden (z. B. http://webserver/exchange/).ZusätzlichmüssenSie eine Ausnahme anlegen, die URL-Hardening für den Pfad /exchange/*ausnimmt, undSiemüssen die Cookie-Signierung für den virtuellen Server komplett ausschalten.

13.1.5 AusnahmenAuf der RegisterkarteWebApplication Firewall >Ausnahmen können SieWebanfragen oderQuellnetzwerke definieren, die von bestimmten Prüfungen ausgenommen sein sollen.





2. Nehmen Sie die folgenden Einstellungen vor:Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationenhinzu.

Name:Geben Sie einen aussagekräftigen Namen für die Ausnahme ein.

Diese Prüfungen auslassen:Wählen Sie die Sicherheitsprüfungen, die nichtdurchgeführt werden sollen.

Auf dem virtuellen Webserver:Wählen Sie den virtuellenWebserver ausderAuswahlliste, der von den gewählten Prüfungen ausgenommenwerden soll.

Für alle Anfragen:Wählen Sie ausder Auswahlliste eine Anfragedefinition aus.Beachten Sie, dassSie zweiAnfragedefinitionen durch entweder „and“ (und) oder „or“ (oder) logisch kombinieren können.

Netzwerke:Wählen Sie die Quellnetzwerke, ausdenen die Client-Anfragenstammen und die von den gewählten Prüfungen ausgenommenwerden sollen,oder fügen Sie sie hinzu.

Pfade: Fügen Sie die Pfade in der Form /produkte/bilder/*hinzu, die vonden gewählten Prüfungen ausgenommenwerden sollen.

3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:HTML während URL-Hardening oder Form-Hardening nie ändern:Wenn dieseOption ausgewählt ist, werden keine Daten, die mit den festgelegtenAusnahmeeinstellungen übereinstimmen, von der WAF-Engine geändert. BeiAuswahldieser Option werden beispielsweise Binärdaten, die vom echtenWebserverfälschlicherweisemit Text-/HTML-Inhalten bereitgestellt wurden, nicht beschädigt.Andererseits könnenWebanfragen blockiert werden, wenn URL-Hardening, HTML-Umschreibung oder Form-Hardening aktiviert ist. Diese drei Funktionen nutzen einenHTML-Parser und hängen daher bis zu einem gewissenGrad von der Änderung vonWebsite-Inhalten ab. Um unerwünschtesBlockieren zu vermeiden, überspringen SieURL- bzw. Form-Hardening beiAnfragen, die von der Blockade betroffen sind.Möglicherweisemüssen Sie diesaufgrund von Abhängigkeiten zwischenWebservernbzw.Websites bei einer weiteren/neuen Ausnahme umsetzen.

4. Klicken Sie auf Speichern.Die Ausnahmewird der ListeAusnahmen hinzugefügt.


13.1.6 Site-Pfad-RoutingAuf der RegisterkarteWebApplication Firewall >Site-Pfad-Routing können Sie festlegen, anwelche echtenWebserver empfangene Anfragen weitergeleitet werden sollen.Sie könnenbeispielsweise festlegen, dassalle URLsmit einem bestimmten Pfad, z. B. /productsan einenbestimmtenWebserver weitergeleitet werden. Sie können auchmehr als einenWebserver füreine bestimmte Anfrage konfigurieren und anhand von Regeln festlegen, wie die Anfragen andie Server verteilt werden sollen. Sie können beispielsweise auch festlegen, dass jede Sitzungwährend ihrer gesamten Dauer an einen bestimmtenWebserver gebunden ist (Sitzungmitpermanenter Serververbindung). Dies ist beispielsweise erforderlich, wenn Sie einenOnline-Shop betreiben und sicherstellenmöchten, dassein Kunde während einesEinkaufs immer mitdemselben Server verbunden ist. Sie können auch einstellen, dassalle Anfragen an einenWebserver gesendet werden und die anderen nur alsBackup dienen.

Für jeden virtuellenWebserver wird eine Standard-Site-Pfad-Route (Mit Pfad /) automatischerstellt.Die UTMwendet die Site-Pfad-Regeln automatisch in logischer Reihenfolge an: vomstrengsten, d. h. längsten Pfad zumStandard-Pfad, der nur verwendet wird, wenn keinanderer, spezifischerer Site-Pfad auf die empfangene Anfrage zutrifft. Die Reihenfolge derListe der Site-Pfad-Routen spielt keine Rolle.Wenn keine Route auf eine empfangene Anfragzutrifft, z. B. weil die Standard-Route gelöscht wurde, wird die Anfrage abgelehnt.

Hinweis –Der Zugriff auf die RegisterkarteSite-Pfad-Routing ist erst möglich, wennmindestensein echter und ein virtueller Webserver erstellt wurden.

Um eine Site-Pfad-Route anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche Neue Site-Pfad-Route.DasDialogfenster Site-Pfad-Route anlegenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Für virtuelle Webserver:Wählen Sie den ursprünglichen Zielhost deseingehendenDatenverkehrs.

alle Anfragen an diesen Pfad senden:Geben Sie den Pfad ein, für den Sie die Site-Pfad-Route erstellenmöchten, z. B. /products.

Echte(r) Webserver: Aktivieren Sie die Auswahlkästchen vor den echtenWebservern,die dem jeweiligen Pfad zugeordnet sind.Die Reihenfolge der ausgewählten Server ist




nur für die OptionBackends imHot-Standby-Modusbetreiben relevant. Mit denSortiersymbolen können Sie die Reihenfolge ändern


3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen:

Hinweis –Die beiden erweiterten Einstellungen sind nur relevant, wenn Siemehr alseinen echtenWebserver für die Site-Pfad-Route auswählen.

Permanenten Sitzungscookie für Backend-Auswahl verwenden:Wählen SiedieseOption, um sicherzustellen, dass jede Sitzung an einen echtenWebservergebunden ist.Wenn dieseOption ausgewählt ist, wird ein Cookie im Browser desBenutzers abgelegt. Daraufhin leitet die UTM alle Anfragen von diesemBrowser andenselben echtenWebserver weiter.Wenn der Server nicht verfügbar ist, wird dasCookie aktualisiert und die Sitzung wechselt auf einen anderenWebserver.

Backends im Hot-Standby-Modus betreiben:Wählen Sie dieseOption aus, wennalle Anfragen an den ersten ausgewählten echtenWebserver gesendet werden und dieanderenWebserver nur alsBackup dienen sollen. Die Backup-Server kommen nur zumEinsatz, wenn der Hauptserver ausfällt.Sobald der Hauptserver wieder in Betrieb ist,wechseln die Sitzungen wieder zumHauptserver, es sei denn, Sie haben die OptionPermanenten Sitzungscookie für Backend-Auswahl verwenden ausgewählt.

4. Klicken Sie auf Speichern.Die Site-Pfad-Route wird zur Liste der Site-Pfad-Routen hinzugefügt.

Um eine Site-Pfad-Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

13.1.7 ErweitertAuf der RegisterkarteWebApplication Firewall >Erweitert können Sie die Schlüssel definieren,die für die Cookie-Signierung und dasURL-Hardening verwendet werden.

Cookie -S ignaturschlüsse lHier können Sie einen eigenen Schlüssel angeben, der alsSignaturschlüssel für die Cookie-Signierung verwendet wird.


URL-Hardening-Signaturschlüsse lHier können Sie einen eigenen Schlüssel angeben, der alsSignaturschlüssel für dasURL-Hardening verwendet wird.

Form-Hardening-E inste llungenHier können Sie einen eigenen Schlüssel angeben, der alsVerschlüsselungsschlüssel für dasForm-Hardening-Token verwendet wird.Der Schlüsselmussausmindestensacht Zeichenbestehen.

13.2 ZertifikatverwaltungÜber dasMenüWebserver Protection >Zertifikatverwaltung, dasdieselbenKonfigurationsoptionen enthält wie dasMenüSite-to-Site-VPN >Zertifikatverwaltung, könnenSie alle zertifikatsbezogenen Vorgänge von SophosUTM verwalten.Dasbeinhaltet unteranderem dasAnlegen und Importieren von X.509-Zertifikaten ebenso wie dasHochladensogenannter Zertifikatsperrlisten (CRLs).

13.2.1 ZertifikateGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Zertifikate.

13.2.2 CAGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >CA.

13.2.3 Sperrlisten (CRLs)Gehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Sperrlisten (CRLs).

13.2.4 ErweitertGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Erweitert.


13 Webserver Protection 13.2 Zertifikatverwaltung

14 RED-VerwaltungIn diesemKapitelwird beschrieben, wie Sie SophosRED konfigurieren.RED ist die Abkürzungfür Remote Ethernet Device (entferntesEthernet-Gerät) und bezeichnet eineMethode,räumlich getrennte Zweigniederlassungen und dergleichenmit Ihrer Hauptniederlassung zuverbinden, so als ob die Zweigniederlassung Teil Ihres lokalen Netzwerks sei.

Der Aufbau besteht auseiner SophosUTM in Ihrer Hauptniederlassung und einemRemoteEthernet Device (RED) in Ihrer Zweigniederlassung. Die Herstellung einer Verbindungzwischen den beiden ist ausgesprochen einfach, da dasRED-Gerät selbst nicht konfiguriertwerdenmuss. Sobald dasRED-Gerät mit Ihrer UTM verbunden ist, verhält es sich wie jedesandere Ethernet-Gerät auf Ihrer UTM.Aller Verkehr Ihrer Zweigstelle wird sicher über IhreUTM geroutet, dasbedeutet, dass Ihre Zweigniederlassung so gesichert ist wie Ihr lokalesNetzwerk.


l Übersicht

l Allgemeine Einstellungen

l Clientverwaltung

l Einrichtungshilfe

l Tunnelverwaltung

Bild 22 RED: Aufbaukonzept

Der Aufbau einer RED-Umgebung umfasst die folgenden Schritte:

1. Aktivierung der RED-Unterstützung.

2. Konfiguration desRED-Geräts auf Ihrer UTM.

14.1 Übersicht 14 RED-Verwaltung

3. Verbindung desRED-Gerätsmit dem Internet am entfernten Standort.

Hinweis –Die Übersichtsseite von RED zeigt allgemeine Informationen zur RED-Architektur, solange noch kein RED-Gerät konfiguriert ist. Wenn ein RED-Gerät konfiguriertwurde, zeigt die Seite Informationen zumStatus von RED.

RED-Live -Protoko ll ö f fnenSie können dasLive-Protokoll verwenden, um die Verbindung zwischen Ihrer SophosUTMund demRED-Gerät zu überwachen.Klicken Sie auf die SchaltflächeRED-Live-Protokollöffnen, um dasLive-Protokoll in einem neuen Fenster zu öffnen.

14.1 ÜbersichtDie SeiteÜbersicht bietet allgemeine Informationen darüber, wofür RED gedacht ist, wie esfunktioniert und wie ein typischer Einsatz von RED aussieht.

14.2 Allgemeine EinstellungenAuf der RegisterkarteAllgemeine Einstellungen können Sie die Unterstützung für RED ein-oder ausschalten, dasheißt, ob Ihre UTM alsRED-Hub agiert.Siemüssen die RED-Unterstützung einschalten, bevor ein RED-Gerät eine Verbindungmit der UTM herstellenkann.

Um die RED-Unterstützung zu aktivieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die RED-Unterstützung auf der Registerkarte AllgemeineEinstellungen.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittRED-Hub-Konfiguration kann nunbearbeitet werden.

2. Geben Sie Informationen zu Ihrer Organisation ein.Standardmäßig werden die Einstellungen von der RegisterkarteVerwaltung >Systemeinstellungen >Organisatorisches verwendet.


3. Klicken Sie auf RED aktivieren.Die Statusampelwird grün und die RED-Unterstützung wird aktiviert.Ihre UTMregistriert sich nun beimRED Provisioning Service (RPS) von Sophos, um alsRED-Hubzu agieren.

Sie können nun fortfahren, indemSie ein oder mehrere RED-Geräte auf der SeiteClientverwaltung hinzufügen.


14.3 ClientverwaltungAuf der SeiteRED-Verwaltung >Clientverwaltung können Sie die Verbindung von entferntenUTMsmit Ihrer UTM über einen Remote Ethernet Device (RED)-Tunnel aktivieren.Dieentfernten UTMs fungieren dann einfach alsRED-Geräte.Darüber hinaus können Sie RED-Gerätemanuell konfigurieren (Expertenmodus), anstatt die Einrichtungshilfe zu verwenden.Die Einrichtungshilfe ist ein bequemerer Weg, RED-Geräte zu konfigurieren, und befindet sichauf der nächstenWebAdmin-Seite.

JedesRED-Gerät oder jede UTM, das/die hier konfiguriert ist, kann eine Verbindung zu IhrerUTM herstellen.

DieMarkierung [Server] vor demSeitennamen gibt an, dassdiese Seite nur konfiguriertwerdenmuss, wenn die UTM alsServer (RED-Hub) fungieren soll.

Hinweis –Damit sich RED-Geräte verbinden können, müssen Sie zunächst die RED-Unterstützung auf der SeiteAllgemeine Einstellungen aktivieren.

Einrichten eines RED-Tunnels zwischen zwei UTMsDamit eine weitere UTM über einen RED-Tunnel eine Verbindungmit Ihrer lokalen UTMherstellen kann, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufügen.DasDialogfenster RED hinzufügenwird geöffnet.


14 RED-Verwaltung 14.3 Clientverwaltung

14.3 Clientverwaltung 14 RED-Verwaltung

2. Nehmen Sie die folgenden Einstellungen vor:Zweigstellenname:Geben Sie einen Namen für die Zweigstelle ein, in der sich dieClient-UTM befindet, z. B. „BüroMünchen“.

Client-Typ:Wählen SieUTM ausder Auswahlliste aus.

Tunnel-ID: Standardmäßig istAutomatisch ausgewählt. Tunnelwerdendurchnummeriert.Siemüssen sicherstellen, dassdie Tunnel-ID beider UTMseindeutigist. In diesem Fall kann es sinnvoll sein, eine andere ID ausder Auswahllisteauszuwählen.


DasUTM-Objekt wird erstellt.

4. Laden Sie die Bereitstellungsdatei herunter.Umder entfernten (Client-)UTM die Konfigurationsdaten bereitzustellen, laden Sie dieBereitstellungsdateimit Hilfe der SchaltflächeDownload herunter und übertragen Siedie Datei auf sichereWeise zur entfernten UTM.

Konfiguration eines RED-GerätsUmein RED-Gerät mit Ihrer lokalen UTM zu verbinden, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufügen.DasDialogfenster RED hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Zweigstellenname:Geben Sie einen Namen für die Zweigstelle ein, in der sich dasRED-Gerät befindet, z. B. „BüroMünchen“.

Client-Typ: Wählen SieRED 10 oder RED 50 ausder Auswahlliste, je nachdem,mitwelchemRED-Typ Sie eine Verbindung herstellenmöchten.

RED ID:Geben Sie die ID desRED-Geräts ein, dasSie gerade konfigurieren. Diese IDfinden Sie auf der Rückseite desRED-Geräts und auf dessen Verpackung.

Tunnel-ID: Standardmäßig istAutomatisch ausgewählt. Tunnelwerdendurchnummeriert. Wenn Sie IDshaben, die miteinander in Konflikt stehen, wählen Sieeine andere ID ausder Auswahlliste aus.

Entsperrcode (optional): Während der ersten Einrichtung einesRED-Gerätswird einEntsperrcode generiert. Dabei handelt es sich um eine Sicherheitsfunktion, die dafür


sorgt, dassein RED-Gerät nicht einfach entfernt und woanders installiert werden kann.In dem Fall, dassdasRED-Gerät, die Sie konfigurieren wollen, zuvor bereits einmaleingerichtet wurde, benötigen Sie dessen Entsperrcode.(Wenn Sie nicht im Besitz desEntsperrcodes sind, ist der einzigeWeg, dasRED-Gerät zu entsperren, den Sophos-Support zu kontaktieren.)

UTM-Hostname: Siemüssen eine öffentliche IP-Adresse oder einen Hostnameneingeben, über den der Zugriff auf Ihre UTMmöglich ist.

2. UTM-Hostname: Für RED 50-Appliances können Sie eine weitere öffentliche IP-Adresse oder einen anderen Hostnamen derselben UTM eingeben.Beachten Sie, dassSie keine IP-Adressen oder Hostnamen einer anderen UTM eingeben können.

Uplink-Modus/2. Uplink-Modus: Sie können festlegen, wie dasRED-Gerät eine IP-Adresse erhält, entweder über DHCPoder indemSie ihm direkt eine statische IP-Adresse zuweisen. Für RED 50-Geräte legen Sie den Uplink-Modus jedesRED-Uplink-Ethernet-Anschlusses separat fest.

l DHCP-Client: DasRED-Gerät bezieht eine IP-Adresse von einemDHCP-Server.

l Statische Adresse:Geben Sie eine IPv4-Adresse, eine entsprechendeNetzmaske, ein Standardgatewayund einen DNS-Server ein.

Hinweis –Esexistiert keine eindeutige Zuordnung zwischen UTM-Hostnamen undRED-Uplink-Ethernet-Anschlüssen.Jeder RED-Anschluss versucht, eine Verbindungmit jedem definierten UTM-Hostnamen herzustellen. Dies führt zu einer effektiverenAusnutzung der Bandbreite und einer erhöhten Zuverlässigkeit.

Betriebsmodus: Sie können festlegen, wie dasentfernte Netzwerk in Ihr lokalesNetzwerk integriert werden soll.

l Standard/Vereint: Die UTM kontrolliert den Netzwerkverkehr desentferntenNetzwerks vollständig. Darüber hinausagiert sie alsDHCP-Server und alsStandardgateway.DasRouting desgesamten Netzwerkverkehrs desentferntenNetzwerkserfolgt über die UTM.

l Standard/Getrennt: Die UTM kontrolliert den Netzwerkverkehr desentferntenNetzwerks vollständig. Darüber hinausagiert sie alsDHCP-Server und alsStandardgateway.ImGegensatz zum vereintenModuswird nur bestimmter


14 RED-Verwaltung 14.3 Clientverwaltung

14.3 Clientverwaltung 14 RED-Verwaltung

Verkehr über die UTM geroutet.Legen Sie unten im FeldGetrennte Netzwerkelokale Netzwerke fest, auf die entfernte ClientsZugriff haben sollen.

l Transparent/Getrennt: Die UTM kontrolliert den Netzwerkverkehr desentfernten Netzwerksnicht, sie dient weder alsDHCP-Server noch alsStandardgateway. ImGegenteil, sie bezieht eine IP-Adresse vomDHCP-Serverdesentfernten Netzwerks, um ein Teil von jenemNetzwerk zu werden. Dennochkönnen Sie entfernten ClientsZugriff auf Ihr lokalesNetzwerkgeben.Dafürmüssen SieGetrennte Netzwerke festlegen, auf die vom entfernten Netzwerkauszugegriffen werden darf.Darüber hinaus können Sie eine oder mehrereGetrennte Domänen festlegen, die zugänglich sein sollen.Falls Ihre lokalenDomänen nicht öffentlich auflösbar sind, müssen Sie einenGetrennten DNS-Server angeben, der Anfragen von den entfernten Clients entgegennimmt.

Beispiele zu diesen Betriebsmodi finden Sie auf der RegisterkarteEinrichtungshilfe.

Hinweis –Die folgenden Konfigurationenmüssen Sie immer manuell vornehmen: 1)DasAnlegen der notwendigen Firewallregeln (NetworkProtection >Firewall >Regeln).2) DasAnlegen der notwendigenMaskierungsregeln (NetworkProtection >NAT >Maskierung).

3. Klicken Sie auf Speichern.DasRED-Gerät wird angelegt und die UTM registriert sich amSophosRED-Bereitstellungsdienst (RED Provisioning Service, RPS).

Wichtiger Hinweis –Es ist äußerst wichtig, dassSie sich denEntsperrcodeaufschreiben, der sofort an die E-Mail-Adresse gesendet wird, die auf derRegisterkarteAllgemeine Einstellungen angegeben wurde (während der Aktivierungvon RED), sobald sich dasRED-Gerät amRPS registriert.Sie benötigen denEntsperrcode, wenn Sie dasRED-Gerät mit einer anderen UTM verwendenwollen.Wenn Sie dann den Entsperrcode nicht parat haben, ist der einzigeWeg, dasRED-Gerät zu entsperren, den Sophos-Support zu kontaktieren.

Wenn Sie die notwendigen Firewallregeln (und, falls nötig, Maskierungsregeln) konfigurierthaben, kann dasRED-Gerät am entfernten Standort mit dem Internet verbundenwerden.Sobald eshochgefahren ist, holt es sich seine Konfiguration vomSophosREDProvisioning Service (RPS).Danach wird die Verbindung zwischen Ihrer UTM und demRED-Gerät aufgebaut.Sie können denGerätestatusaller konfigurierten RED-Geräte auf der RED-Übersichtsseite desWebAdmin verfolgen.


Löschung eines RED-GerätsUmein RED-Gerät zu löschen, klicken Sie auf die Schaltfläche Löschen neben demNamen desGeräts.Sie werden einenWarnhinweis sehen, dassdasRED-Objekt Abhängigkeiten hat.BeachtenSie, dassbeim Löschen einesRED-Geräts dazugehörige Schnittstellen und derenAbhängigkeiten nicht gelöscht werden. DiesesVerhalten ist bewusst so gewählt, da es Ihnenermöglicht, eine Schnittstelle von einemRED-Gerät zu einem anderen zu verschieben.

Wenn Sie eine RED-Konfiguration vollständig entfernen wollen, müssen Sie eventuelleSchnittstellen und andere Definitionenmanuell löschen.

14.4 EinrichtungshilfeDie RegisterkarteRED-Verwaltung >Einrichtungshilfe verfügt über einen Assistenten, der dasEinrichten und die Integration einer RED-Umgebung erleichtert.Der Assistent ist als einfacheAlternative zur normalen Konfiguration auf der RegisterkarteClientverwaltung gedacht.Siemüssen lediglich die erforderlichen Felder ausfüllen, falls notwendig auch Felder, die alsoptionalgekennzeichnet sind, und dann auf die SchaltflächeRED einrichten klicken.

DieMarkierung [Server] vor demSeitennamen gibt an, dassdiese Seite nur konfiguriertwerdenmuss, wenn die UTM alsServer (RED-Hub) fungieren soll.

Hinweis –Der Einfachheit halber erstellt die Einrichtungshilfe in denModiStandard/VereintundStandard/Getrennt im Gegensatz zur RegisterkarteClientverwaltung folgendeObjekteautomatisch: eine lokale Schnittstelle mit der festgelegten IP-Adresse; einen DHCP-Serverfür dasentfernte Netzwerk, der die Hälfte des verfügbaren IP-Adressbereichsabdeckt;Zugriff auf die lokale DNS-Auflösung.Für denModusTransparent/Getrennt legt dieEinrichtungshilfe nur eine DHCP-Client-Schnittstelle an (Kabelmodem (DHCP)).

Die Einrichtungshilfe bietet eine Kurzbeschreibung zu jeder Option und eine schematischeDarstellung für jeden der dreiBetriebsmodi, die mit der RED-Technologiemöglich sind.

Unten finden Sie eine Beschreibung und Anwendungsfälle für die dreiBetriebsmodi von RED.


14 RED-Verwaltung 14.4 Einrichtungshilfe

14.4 Einrichtungshilfe 14 RED-Verwaltung

Standard/VereintDie UTM verwaltet dasgesamte entfernte Netzwerk.Sie fungiert alsDHCP-Server und alsStandardgateway.Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle desRED-Gerätsund dessen Uplink-Schnittstelle zu Ihrer lokalen UTM in diesemModus.

Beispiel: Sie haben eine Zweigstelle undmöchten ausSicherheitsgründen, dass sämtlicherVerkehr der Zweigstelle über die im Hauptsitz befindliche UTM geleitet wird. Auf dieseWeisewird die Zweigstelle Teil Ihres lokalen Netzwerksals ob Sie über LAN verbunden wäre.

Standard/GetrenntWie imModusStandard/Vereint verwaltet die UTM dasgesamte entfernte Netzwerk.Siefungiert alsDHCP-Server und alsStandardgateway.Der Unterschied besteht darin, dassnurNetzwerkverkehr, der an Netzwerke weitergeleitet wird, die im FeldGetrennte Netzwerkeaufgeführt sind, zu Ihrer lokalen UTM umgeleitet wird.Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle desRED-Gerätsund dessen Uplink-Schnittstelle zu Ihrer lokalen UTM in diesemModus. Verkehr, der nicht vonden aufgeführten getrennten Netzwerken stammt, wird direkt ins Internet geroutet.

Beispiel: Sie haben eine Zweigstelle undmöchten für sie Zugriff auf Ihr lokales Intraneteinrichten oder den Datenverkehr desentfernten NetzwerksausSicherheitsgründen über IhreUTM leiten, z. B. um die Daten auf Viren zu überprüfen oder um einen HTTP-Proxyeinzusetzen.

Transparent/GetrenntDasentfernte Netzwerkbleibt unabhängig, die UTM ist Teil diesesNetzwerks, da sie eine IP-Adresse vom entfernten DHCP Server erhält. Nur bestimmter Verkehr desentferntenNetzwerkshat Zugriff auf bestimmte Netzwerke oder lokale Domänen von Ihnen.Da die UTMkeine Kontrolle über dasentfernte Netzwerkhat, können lokale Domänen, die nicht öffentlichaufgelöst werden können, nicht vom entfernten Router aufgelöst werden. Zu diesem Zweckmüssen Sie einenGetrennten DNS-Server definieren. Das ist ein lokaler DNS-Server vonIhnen, der Anfragen von den entfernten Clients entgegennimmt.

Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle desRED-Gerätsund dessen Uplink-Schnittstelle zu Ihrer lokalen UTM sowie eine Bridge zum entfernten


Router.Da die UTM nur ein Client desentfernten Netzwerks ist, ist es nicht möglich, diegetrennten Netzwerke auf die gleicheWeise zu routen wie in den anderenModi.Daher liest dasRED-Gerät allen Verkehr mit: Verkehr, der für ein Netzwerkbestimmt ist, das im FeldGetrennte Netzwerke aufgeführt ist, oder zu einer Domäne geht, die im FeldGetrennteDomänen aufgeführt ist, wird zur Schnittstelle von UTM umgeleitet.Dieswird erreicht, indemdieMAC-Adresse desStandardgateways in den betreffenden Datenpaketen durch dieMAC-Adresse der UTM ersetzt wird.

Beispiel: Sie haben einen Partner oder einen Dienstleister, der Zugang zu Ihrem Intranet odereinem bestimmten Server in Ihrem lokalen Netzwerkhaben soll. Durch die Verwendung einesRED-Geräts bleibt dasNetzwerk IhresPartners vollständig unabhängig von IhremNetzwerk,aber er kann auf einen festgelegten Teil IhresNetzwerks zu bestimmten Zwecken zugreifen, soalswäre er über LAN verbunden.

Hinweis –BeiVerwendung der Einrichtungshilfe ist der Uplink-ModusdesRED-Geräts injedemBetriebsmodusDHCP-Client.Wenn esnotwendig ist, stattdessen eine statische IP-Adresse zu benutzen, müssen Sie dasRED-Gerät über die RegisterkarteClientverwaltungkonfigurieren.

14.5 TunnelverwaltungAuf der SeiteRED-Verwaltung >Tunnelverwaltung können Sie Ihre UTM so konfigurieren,dass sie sich wie ein RED-Gerät verhält, um so einen RED-Tunnel zu einer anderen UTMaufbauen zu können.Die entfernte Host-UTM dient dann alsRED-Hub für Ihre UTM.

DieMarkierung [Client] vor demSeitennamen gibt an, dassdiese Seite nur konfiguriert werdenmuss, wenn die UTM alsRED-Client fungieren soll.

Um Ihre UTMmit der Host-UTM zu verbinden, benötigen Sie eine Bereitstellungsdatei.DieseDateimussauf der Host-UTM generiert werden (sieheClientverwaltung).

Um Ihre UTMmit der Host-UTM zu verbinden, gehen Sie folgendermaßen vor:

1. Fügen Sie auf der Host-UTM Ihre lokale UTM zur Liste Clientverwaltung hinzu.

2. Laden Sie auf der Host-UTM die Bereitstellungsdatei für Ihre UTM herunter.

3. Klicken Sie auf Ihrer lokalen UTM auf Tunnel hinzufügen.DasDialogfenster Tunnel hinzufügenwird geöffnet.


14 RED-Verwaltung 14.5 Tunnelverwaltung

14.5 Tunnelverwaltung 14 RED-Verwaltung

4. Nehmen Sie die folgenden Einstellungen vor:Tunnelname:Geben Sie einen aussagekräftigen Namen für diesen Tunnel ein.

UTM-Host:Wählen Sie den entfernten UTM-Host.

Prov.- Datei: Klicken Sie auf dasOrdnersymbol, wählen Sie die Bereitstellungsdatei(provisioning file) aus, die Sie hochladen wollen und klicken Sie aufHochladen starten.


5. Klicken Sie auf Speichern.Der RED-Tunnelwird aufgebaut und in der Liste Tunnelverwaltung angezeigt.


15 Site-to-Site-VPNIn diesemKapitelwird die Konfiguration der Site-to-Site-VPN-Einstellungen von SophosUTMbeschrieben.Site-to-Site-VPNswerden in SophosUTM über sogenannteVirtualPrivateNetworks (VPNs, dt. virtuelle private Netzwerke) realisiert. Diese sind ein kostengünstiger undsicherer Weg für räumlich getrennte Netzwerke, ummiteinander über ein öffentlichesNetzwerkwie das Internet vertraulich zu kommunizieren.Sie verwenden das kryptografischeTunnelprotokoll IPsec, umVertraulichkeit und Datenschutz für die übertragenen Daten zugewährleisten.

Querverweis –Weitere Informationen zur Konfiguration von Site-to-Site-VPN-Verbindungen finden Sie in der SophosWissensdatenbank.


l Amazon VPC

l IPsec

l SSL


DieSite-to-Site-VPN-Übersichtsseite inWebAdmin zeigt alle konfigurierten Amazon-VPC-,IPsec- und SSL-Verbindungen sowie deren augenblicklichen Zustand. Der Zustand einerVerbindung wird durch die Farbe ihrer Statusampelwiedergegeben. Esgibt zweiArten vonStatusampeln. Die größeren neben demVerbindungsnamen informieren Sie über denGesamtzustand einer Verbindung. Die verschiedenen Farben bedeuten Folgendes:

l Grün – Alle SAs (SecurityAssociation, dt. Sicherheitsverbindung) wurden hergestellt.Die Verbindung ist voll funktionsfähig.

l Gelb – Nicht alle SAswurden hergestellt. Die Verbindung ist nur eingeschränktfunktionsfähig.

l Rot – Keine SAswurden hergestellt. Die Verbindung ist nicht funktionsfähig.

Die kleineren Statusampeln neben der Information zum Tunnel geben den Zustand desTunnelswieder. Hier bedeuten die Farben Folgendes:

https://support.astaro.com/support/index.php/Category:VPN


15.1 Amazon VPC 15 Site-to-Site-VPN

l Grün – Alle SAswurden hergestellt. Der Tunnel ist voll funktionsfähig.

l Gelb – Die IPsec-SAwurde hergestellt, die ISAKMP-SA (Internet SecurityAssociationand KeyManagement Protocol) hingegen wurde nicht hergestellt. Der Tunnel ist vollfunktionsfähig.

l Rot – Keine SAswurden hergestellt. Die Verbindung ist nicht funktionsfähig.

15.1 Amazon VPCDie Amazon VirtualPrivate Cloud (VPC) ist ein kommerzieller Cloud-Computing-Dienst. EinBenutzer kann virtuelle private Cloudsanlegen, welche danachmit einem lokalen Netzwerkverbunden und zentral über IPsec-Tunnel verwaltet werden können.

Sie können Ihre Amazon VPCmit Ihrer SophosUTM verbinden, falls die UTM eine statischeöffentliche IP-Adresse besitzt.Die gesamte Konfiguration der VPN-Verbindungenmuss in derAmazon-Umgebung durchgeführt werden. Danach können Sie die Verbindungsdaten einfachmit Hilfe Ihrer Amazon-Zugangsdaten oder einer Konfigurationsdatei importieren.

15.1.1 StatusAuf der SeiteSite-to-Site-VPN >Amazon VPC >Statuswird eine Listemit allen Verbindungenzu Ihren Amazon VPCsangezeigt.

Hier können Sie die Verbindungen aktivieren und deaktivieren.

UmVerbindungen zur Amazon VPC zu aktivieren, gehen Sie folgendermaßen vor:

1. Wählen Sie auf der Seite Einrichtung mindestens eine VPC-Verbindung.

2. Aktivieren Sie Amazon VPC auf der Status-Seite.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampel zeigt Grün und die importierten VPC-Verbindungen werden angezeigt.

3. Aktivieren Sie die gewünschte Verbindung.Klicken Sie auf die Statusampel der Verbindung, die Sie aktivieren wollen.

Die Statusampel zeigt Grün und die beiden Tunnel der VPC-Verbindung werdenangezeigt.


Hinweis –AusRedundanzgründen besteht jede Verbindung aus zwei Tunneln: einemaktiven und einemErsatztunnel (Backup). Aktive Tunnel können anhand desVorhandenseinseiner Netzmaske amEnde Ihrer BGP-Zeile erkannt werden. DieStatusampeln der Tunnelwerden lediglich zur Überwachung der Tunnel angezeigt –Sie können Tunnel darüber nicht aktivieren oder deaktivieren.

Um alle Amazon-VPC-Verbindungen zu deaktivieren, klicken Sie auf die oberste Statusampeloder die SchaltflächeDisable. Um eine einzelne Verbindung zu deaktivieren, klicken Sie auf dieStatusampel der jeweiligen Verbindung.

Um eine Verbindung zu schließen oder ausder Liste zu löschen, klicken Sie auf das roteLöschen-Symbol der jeweiligen Verbindung.

Hinweis –Da die Verbindungen auf der Amazon-VPC-Seite konfiguriert werden, könnenSie eine gelöschte Verbindung in SophosUTMmit den ursprünglichen Daten neuimportieren.

15.1.2 EinrichtungAuf der SeiteSite-to-Site-VPN >Amazon VPC >Einrichtung können Sie Verbindungen zu IhrerAmazon VirtualPrivate Cloud (VPC) hinzufügen.Sie können entweder alle Verbindungenimportieren, die gemeinsam in einemAmazon-Web-Service-(AWS)-Konto konfiguriert wurdenund die IP-Adresse Ihrer SophosUTM alsCustomer Gateway (Amazon-Ausdruck für IhrenEndpunkt einer VPC-VPN-Verbindung) verwenden. Oder Sie können Verbindungennacheinander hinzufügen, indemSie die Konfigurationsdatei verwenden, die Sie von Amazonherunterladen können.

Impor t über Amazon-ZugangsdatenSie können alle Verbindungen auf einmal importieren, die mit einem einzigen AWS-Kontokonfiguriert wurden und die IP-Adresse Ihrer SophosUTM alsCustomer Gatewayverwenden.Geben Sie einfach die AWS-Benutzerdaten ein, die Sie erhalten haben, alsSie Ihr Amazon-Web-Service-Konto eingerichtet haben.

Hinweis –Alle vorhandenen Verbindungen, die auf der RegisterkarteStatusaufgeführt sind,werden während des Imports gelöscht.

UmVerbindungen zu importieren, gehen Sie folgendermaßen vor:


15 Site-to-Site-VPN 15.1 Amazon VPC

15.2 IPsec 15 Site-to-Site-VPN

1. Nehmen Sie die folgenden Einstellungen vor:Access Key:Geben Sie Ihren Amazon AccessKeyein. Dabei handelt es sich um eineFolge von 20 alphanumerischen Zeichen.

Secret Key:Geben Sie Ihren Secret Keyein. Dabei handelt es sich um eine Folge von40 Zeichen.

2. Klicken Sie auf Übernehmen.Die Verbindungen werden importiert und danach auf der SeiteStatusangezeigt.

Impor t über Amazon-VPC-Konf igurationUmeine einzelne Verbindung zu einer vorhandenen Liste an Verbindungen hinzuzufügen,müssen Sie die Konfigurationsdatei der entsprechenden Verbindung hochladen.

Um eine einzelne Verbindung zu importieren, gehen Sie folgendermaßen vor:

1. Laden Sie die Konfigurationsdatei Ihrer Amazon-VPC-Verbindung herunter.Stellen Sie im Dialogfenster von Amazon sicher, dassSieSophosausder AuswahllisteVendor auswählen.

2. Öffnen Sie das Dialogfenster Hochladen starten.Klicken Sie auf dasOrdnersymbol neben dem FeldVPC-Konfigdatei.

3. Wählen Sie die Konfigurationsdatei aus und laden Sie sie hoch.Umdie gewählte Datei hochzuladen, klicken Sie auf die SchaltflächeHochladen starten.

Der Dateinamewird im FeldVPC-Konfigdateiangezeigt.

4. Klicken Sie auf Übernehmen.Die Verbindung wird importiert und danach auf der SeiteStatusangezeigt.

15.2 IPsecIP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)Kommunikationen durch Verschlüsselung- und/oder Authentifizierung aller IP-Pakete.

Der IPsec-Standard kennt zweiBetriebsarten (Modi) und zweiProtokolle:

l Transportmodus (engl. Transport Mode)

l Tunnelmodus (engl. TunnelMode)

l Authentication Header (AH): Protokoll für Authentifizierung


l Encapsulated SecurityPayload (ESP): Protokoll für Verschlüsselung (undAuthentifizierung)

DesWeiteren bietet IPsecMethoden für die manuelle und die automatische Verwaltung vonSicherheitsverbindungen (SAs, engl. SecurityAssociations) sowie zur Schlüsselverteilung.AlledieseMerkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.

IPsec-ModiIPsec kann entweder im Transportmodusoder im Tunnelmodusarbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jedenModusverwenden.Wenn es sich bei einem der beidenTunnelendpunkte jedoch um ein Astaro SecurityGatewayhandelt, mussder Tunnelmodusverwendet werden.Die IPsec-VPN-Verbindungen auf dieser UTM arbeiten immer imTunnelmodus.

Im Transportmoduswird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paketeingepackt. Der ursprüngliche IP-Header wird beibehalten und dasübrige Paket wirdentweder im Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder daskomplette Paket mit AH authentifiziert oder die Payloadmit Hilfe von ESP verschlüsselt undauthentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über dasWANgeschickt.

Im Tunnelmoduswird das komplette Paket – Header und Payload – in ein neues IP-Paketgekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse aufden empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen desgekapselten Paketesbleiben unverändert. DasOriginalpaket kann dannmit AH authentifiziert oder mit ESPauthentifiziert und verschlüsselt werden.

IPsec-ProtokolleIPsec verwendet für die sichere Kommunikation auf IP-Ebene zweiProtokolle:

l Authentication Header (AH): Ein Protokoll für die Authentifizierung von AbsenderneinesPakets sowie zur Überprüfung der Integrität desPaketinhalts.

l Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung desgesamten Pakets sowie für die Authentifizierung seines Inhalts.


15 Site-to-Site-VPN 15.2 IPsec


DasAuthentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität desPaketinhalts. DesWeiteren überprüft es, ob die Sender- und Empfänger-IP-Adressenwährend der Übertragung geändert wurden. Die Authentifizierung desPakets erfolgt anhandeiner Prüfsumme, diemittels einesHash-basedMessage Authentication Codes (HMAC) inVerbindungmit einemSchlüssel und einemHash-Algorithmusberechnet wurde. Einer derfolgenden Hash-Algorithmenwird verwendet:

l Message Digest Version 5 (MD5): Dieser Algorithmuserzeugt auseiner Nachrichtmit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie einFingerabdruckdesPaketinhalts und ändert sich, wenn die Nachricht verändert wird.Dieser Hash-Wert wirdmanchmal auch als digitale Signatur oder alsMessage Digestbezeichnet.

l Secure Hash (SHA-1): Dieser Algorithmuserzeugt analog zumMD5 einen 160-Bit-langen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer alsMD5.

Der Aufwand, einen Hash-Wert mittelsSHA-1 zu berechnen, ist im Vergleich zumMD5-Algorithmusetwashöher.Die Berechnungsgeschwindigkeit hängt natürlich von derProzessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf SophosUTM verwendet werden.

DasEncapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselungauch dieMöglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.Wenn ESP im Tunnelmodusverwendet wird, wird das komplette IP-Paket (Header undPayload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IP-und ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse desEmpfänger-Gatewaysund die Adresse desAbsender-Gateway. Diese IP-Adressen entsprechen denendesVPN-Tunnels.

Für ESPmit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet:

l Triple Data Encryption Standard (3DES)

l Advanced Encryption Standard (AES)

Von diesen bietet AESden höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, diemit AES verwendet werden können, sind 128, 192 oder 256 Bit.SophosUTMunterstütztmehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder derSHA-1-Algorithmusverwendet werden.


NAT-Traversal (NAT-T)NAT-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungenüber NAT-Geräte aufzubauen. Dieswird erreicht, indemUDP-Verkapselung der ESP-Paketebenutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wirdnur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfallswerden normale ESP-Pakete verwendet.

Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich dasGatewayoder ein RoadWarrior hinter einemNAT-Router befindet.Wenn Sie diese Funktion nutzenwollen, müssen allerdingsbeide IPsec-Endpunkte NAT-Traversal unterstützen – daswirdautomatisch ausgehandelt. Zusätzlichmussauf demNAT-Gerät der IPsec-Passthrough(IPsec-Durchreichung) ausgeschaltet sein, da diesNAT-Traversal beeinträchtigen kann.

WennRoadWarriorsNAT-Traversal verwenden wollen, muss ihr entsprechendesBenutzerobjekt imWebAdmin eine Statische Fernzugriffs-IP-Adresse (RAS, engl. remotestatic IP address) besitzen (siehe auchStatische Fernzugriffs-IP verwenden auf der SeiteBenutzer imWebAdmin).

Um zu verhindern, dassder Tunnel abgebaut wird, wenn keine Daten übermittelt werden,sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zurAufrechterhaltung (engl. keep alive).Durch diesesAufrechterhaltungssignalwird sichergestellt,dassder NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.

TOSType-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header.Diese Bitswerden Type-of-Service-Bits genannt, da sie esder übertragenden Anwendung ermöglichen, demNetzwerkmitzuteilen, welche Art von Dienstqualität benötigt wird.

Bei der IPsec-Implementierung von SophosUTMwird der TOS-Wert immer kopiert.

15.2.1 VerbindungenAuf der RegisterkarteSite-to-Site-VPN > IPsec>Verbindungen können Sie IPsec-Verbindungen anlegen und bearbeiten.

Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:




1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Verbindung.DasDialogfenster IPsec-Verbindung hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.

Entferntes Gateway:Wählen Sie eine Gateway-Definition für dasentfernteGateway.Entfernte Gatewayswerden auf der RegisterkarteSite-to-Site-VPN > IPsec>Entfernte Gatewaysdefiniert.

Lokale Schnittstelle:Wählen Sie den Namen der Schnittstelle aus, die als lokalerEndpunkt für den IPsec-Tunnel dienen soll.

Richtlinie:Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus.IPsec-Richtlinien können auf der RegisterkarteSite-to-Site-VPN > IPsec>Richtlinien definiertwerden.

Lokale Netzwerke:Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnelerreichbar sein sollen.

Automatische Firewallregeln:Wählen Sie dieseOption, um automatischFirewallregeln hinzuzufügen, die Datenverkehr für diese VPN-Verbindung zulassen. DieRegeln werden hinzugefügt, sobald die VPN-Verbindung erfolgreich aufgebaut wurdeund sie werden entfernt, wenn die Verbindung beendet wurde.Wenn Sie eine striktereIPsec-Verbindung wünschen, deaktivieren Sie die OptionAutomatische Firewallregelnund verwenden Sie stattdessen IPsec-Objekte im Firewallregelwerk.

Striktes Routing:Wenn diese Funktion eingeschaltet ist, erfolgt dasVPN-Routingnicht nur anhand der Zieladresse, sondern anhand vonQuell- und Zieladresse. AufdieseWeise werden nur Datenpakete durch den VPN-Tunnel geleitet, die mit derTunneldefinition exakt übereinstimmen.AlsFolge davon können Sie kein SNATverwenden, umNetzwerke oder Hosts zumVPN-Tunnel hinzuzufügen, die nicht vonvornherein Teil der Tunneldefinition sind. Andererseits können Sie, wenn striktesRouting ausgeschaltet ist, keine gemischte unverschlüsselte/verschlüsselteKonfiguration für dasselbe Netzwerk je nachQuelladresse haben.


3. Klicken Sie auf Speichern.Die neue Verbindung wird in der IPsec-ListeVerbindungen angezeigt.


Umeine Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Live-Protokoll öffnen: Das IPsec-VPN-Live-Protokoll dient zur Überwachung deraufgebauten IPsec-Verbindungen.Klicken Sie auf die Schaltfläche, um dasLive-Protokoll ineinem neuen Fenster zu öffnen.

15.2.2 Entfernte GatewaysAuf der RegisterkarteSite-to-Site-VPN > IPsec>Entfernte Gateways können Sie dieentferntenGateways (engl. remote gateways) für Ihre Site-to-Site-VPN-Tunneldefinieren.Diese Remote-Netzwerk-Definitionen stehen dann für die Konfiguration der IPsec-Verbindungen auf der Registerkarte IPsec>Verbindungen zur Verfügung.

Um ein entferntesGatewayhinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Entfernte Gateways auf Neues entferntesGateway.DasDialogfenster EntferntesGatewayhinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für dasentfernte Gatewayein.

Gateway-Typ:Wählen Sie denGateway-Typ aus. Die folgenden Typen sind verfügbar:

l Verbindung initiieren:Wählen Sie diesen Typ aus, wenn der entfernteEndpunkt eine statische IP-Adresse besitzt, sodassdasGatewayeine Verbindungzum entferntenGateway initiieren kann.Wenn Sie dieseOption gewählt haben,geben Sie im FeldGatewaydasentfernte Gatewayan. Beachten Sie, dassSiediesen Typ auch wählen können, wenn dasentfernte Gatewayüber DynDNSaufgelöst werden kann.

l Nur antworten:Wählen Sie diesen Typ aus, wenn die IP-Adresse desentferntenEndpunkts unbekannt ist oder nicht über DynDNSaufgelöst werden kann. DasGateway ist nicht in der Lage, eine Verbindung zu dem entferntenGatewayaufzubauen und wartet deshalb auf eingehende Verbindungen, auf die eslediglich antwortenmuss.

Authentifizierungsmethode:Wählen Sie die Authentifizierungsmethode für dieseDefinition desentferntenGatewaysaus.Die folgenden Typen sind verfügbar:

l Verteilter Schlüssel: AuthentifizierungmitVerteilten Schlüsseln (PSK, engl.Preshared Keys) verwendet geheime Kennwörter alsSchlüssel. Diese




Kennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindungaufgebaut wird.Wenn ein neuer VPN-Tunnel aufgebaut ist, überprüft jede Seite,ob die andere Seite dasgeheime Kennwort kennt. Die Sicherheit der PSKshängtvon der Qualität der verwendeten Kennwörter ab: NormaleWörter undAusdrücke fallen schnellWörterbuchangriffen zumOpfer. Permanente oderlängerfristige IPsec-Verbindungen sollten stattdessen Zertifikate oder RSA-Schlüssel verwenden.

l RSA-Schlüssel: Authentifizierungmit RSA-Schlüsseln ist technisch ausgefeilter.Bei dieser Methode erzeugt jede Seite der Verbindung ein Schlüsselpaar, dasauseinem öffentlichen (engl. public key) und einem privaten Schlüssel (engl. privatekey) besteht. Der private Schlüsselwird zur Verschlüsselung undAuthentifizierung während desSchlüsselaustauschsbenötigt.Beide Endpunkteeiner IPsec-VPN-Verbindung benötigen bei dieser Authentifizierungsmethode ihreigenesSchlüsselpaar.Kopieren Sie den öffentlichen RSA-Schlüssel derGegenstelle (Site-to-Site-VPN > IPsec> Lokaler RSA-Schlüssel) in dasFeldÖffentlicher Schlüsselauf dem lokalen System und andersherum. Geben Siedarüber hinausdie VPN-ID-Typen und die VPN-IDsan, die zu denentsprechenden RSA-Schlüsseln gehören.

l Lokales X.509-Zertifikat: DasX.509-Zertifikat basiert ähnlich wie dieAuthentifizierungmit RSA-Schlüsseln auf öffentlichen Schlüsseln und privatenSchlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüssel zusammenmitzusätzlichen Informationen über den Besitzer desSchlüssels.Solche Zertifikatesind von einer CA (Zertifizierungsinstanz, engl. Certificate Authority) signiert undausgestellt, der der Besitzer vertraut.Während desSchlüsselaustauschswerdendie Zertifikate ausgetauscht undmit Hilfe lokal gespeicherter CA-Zertifikateauthentifiziert. Wählen Sie diese Authentifizierungsmethode aus, wenn dasX.509-Zertifikat desentfernten VPN-Gatewaysauf dem lokalen Systemgespeichert ist.

l Remote-X.509-Zertifikat:Wählen Sie diese Authentifizierungsmethode aus,wenn dasX.509-Zertifikat desentfernten VPN-Gatewaysnicht auf dem lokalenSystem gespeichert ist.In diesem Fallmüssen Sie den VPN-ID-Typ und die VPN-ID desZertifikats angeben, dasauf dem entfernten VPN-Gatewaygenutzt wird, d.h. dasZertifikat, das im Bereich LokalesX.509-Zertifikat auf der RegisterkarteSite-to-Site-VPN > IPsec>Erweitert ausgewählt ist.

VPN-ID-Typ: Abhängig von der ausgewählten Authentifizierungsmethodemüssen Sieeinen VPN-ID-Typ und eine VPN-ID angeben. Die hier angegebene VPN-ID mussmit


demWert auf der Gegenstelle übereinstimmen.Angenommen, Sie verwenden zweiUTMAppliances, um einen Site-to-Site-VPN-Tunnel aufzubauen.Wenn Sie dann alsAuthentifizierungsmethodeRSA-Schlüsselauf dem lokalen System auswählen, müssender VPN-ID-Typ und die VPN-ID mit dem übereinstimmen, wasauf der RegisterkarteSite-to-Site-VPN > IPsec> Lokale RSA-Schlüssel imWebAdmin der Gegenstellekonfiguriert ist.Sie können zwischen den folgenden VPN-ID-Typen wählen:

l IP-Adresse

l Hostname

l E-Mail-Adresse

l Distinguished Name: Nur bei der AuthentifizierungsmethodeRemote-X.509-Zertifikat verfügbar.

l Any: Standard beimGateway-TypNur antworten.

Entfernte Netzwerke:Wählen Sie die entfernten Netzwerke aus, die über dasentfernte Gatewayerreichbar sein sollen.


3. Nehmen Sie gegebenenfalls erweiterte Einstellungen vor.Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen dieAuswirkungen bekannt sind:

Pfad-MTU-Ermittlung zulassen:PMTU (PathMaximumTransmission Unit)bezeichnet die Größe der übermittelten Datenpakete. Die gesendeten IP-Datenpaketesollten so groß sein, dass sie gerade noch ohne Fragmentierung entlang der Streckezum Ziel transportiert werden können.Zu große Datenpakete werden von den Routernauf der Strecke verworfen, wenn diese Pakete ohne Fragmentierung nicht weitergeleitetwerden können. An die Absender werden dann ICMP-Paketemit der Nachricht ICMPDestination Unreachable (dt. ICMP-Ziel nicht erreichbar) sowie einemCode gesendet,der „Fragmentierung benötigt und DF gesetzt“ bedeutet. Aufgrund dieser Nachrichtsetzt der Quellhost seinen angenommenen PMTU-Wert für die Strecke herab.Wenn Sie dieseOption aktivieren, aktiviert UTMPMTU, wenn diesauf Serverseiteaktiviert ist.

Überlastkontrolle (ECN) unterstützen: ECN (Explicit Congestion Notification) isteine Erweiterung des Internetprotokolls und ermöglicht End-to-End-




Benachrichtigungen über Netzwerküberlastungen, ohne dassPakete verworfenwerden.Wählen Sie dieseOption, wenn Sie ECN-Daten ausdem ursprünglichen IP-Paket-Header in den IPsec-Paket-Header kopierenmöchten. Beachten Sie, dassderentfernte Endpunkt ECN ebenso unterstützenmusswie das zugrunde liegendeNetzwerkund die beteiligten Router.

XAUTH-Client-Modus aktivieren: XAUTH ist eine Erweiterung von IPsec-IKE, umBenutzer über Benutzername und Kennwort auf einemVPN-Gatewayzuauthentifizieren. UmXAUTH für die Authentifizierung auf diesem entferntenGatewayzuverwenden, wählen Sie die Option ausund geben Sie den Benutzernamen und dasKennwort (zweimal) an, das vom entferntenGatewayerwartet wird.

4. Klicken Sie auf Speichern.DieGateway-Definition wird in der ListeEntfernte Gatewaysangezeigt.

Um eine Definition einesentferntenGatewayzu bearbeiten oder zu löschen, klicken Sie auf dieentsprechenden Schaltflächen.

15.2.3 RichtlinienAuf der Registerkarte IPsec>Richtlinien können Sie die Parameter für IPsec-Verbindungendefinieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinie legt dieInternet-Schlüsselaustausch-Methode (IKE, Internet KeyExchange) und die IPsec-Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eineIPsec-Richtlinie.

Hinweis - SophosUTM unterstützt in IKE-Phase 1 nur den Hauptmodus (engl. mainmode).Der aggressiveModus (engl. aggressivemode) wird nicht unterstützt.

Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.DasDialogfenster IPsec-Richtlinie hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.

IKE-Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt denAlgorithmus fest, der für die Verschlüsselung der IKE-Nachrichten verwendet wird. Diefolgenden Algorithmenwerden unterstützt:


l DES (56 Bit)

l 3DES (168 Bit)

l AES128 (128 Bit)

l AES192 (192 Bit)

l AES256 (256 Bit)

l Blowfish (128 Bit)

l Twofish (128 Bit)

l Serpent (128 Bit)

IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest,welcher Algorithmusverwendet wird, um die Intaktheit der IKE-Nachrichten zu prüfen.Die folgenden Algorithmenwerden unterstützt:

l MD5 (128 Bit)

l SHA1 (160 Bit)

l SHA2 256 (256 Bit)

l SHA2 384 (384 Bit)

l SHA2 512 (512 Bit)

IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die dieIKE-SA (SecurityAssociation, dt. Sicherheitsverbindung) gültig ist und wann die nächsteSchlüsselerneuerung stattfindet. GültigeWerte liegen zwischen 60 und 28800 Sekunden(8 Std.). AlsStandardwert sind 7800 Sekunden voreingestellt.

IKE-DH-Gruppe:Während der Aushandlung einer Verbindung gleichen die beidenGegenstellen auch die aktuellen Schlüssel für die Datenverschlüsselung ab. Für dieGenerierung desSitzungsschlüssels (session key) nutzt IKE denDiffie-Hellman-(DH-)Algorithmus. Dieser Algorithmusgeneriert den Schlüssel per Zufallsprinzip basierendauf sogenannten PoolBits. Die IKE-Gruppe gibt hauptsächlich Aufschlussüber dieAnzahl der PoolBits. Jemehr PoolBits, umso länger ist die zufällige Zahlenkette – jegrößer die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmusgeknacktwerden. Folglich bedeutenmehr PoolBits höhere Sicherheit, wasallerdingsauchbedeutet, dassmehr CPU-Leistung für die Generierung benötigt wird. Momentanwerden die folgenden Diffie-Hellman-Gruppen unterstützt:




l Gruppe 1: MODP768

l Gruppe 2: MODP1024





Hinweis –Gruppe 1 (MODP768) wird allgemein als sehr schwach eingestuft und wirdhier nur ausKompatibilitätsgründen unterstützt.

IPsec-Verschlüsselungsalgorithmus: Die gleichen Verschlüsselungsalgorithmenwie für IKE.

IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmenwie für IKE. Zusätzlich werden noch folgende Algorithmen unterstützt:

SHA2 256 (96 Bit)

SHA2 384 (96 Bit)

SHA2 512 (96 Bit)

Diese sind für die Kompatibilität mit Tunnelendpunkten verfügbar, die nicht RFC 4868entsprechen, beispielsweise frühere UTM-Versionen (d. h. ASG-Versionen) alsV8, unddeshalb keine abgeschnittenen Prüfsummen länger als 96 Bit unterstützen.

IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die dieIPsec-SA (SecurityAssociation, dt. Sicherheitsverbindung) gültig ist und wann dienächste Schlüsselerneuerung stattfindet. GültigeWerte liegen zwischen 60 und 86400Sekunden (1 Tag). AlsStandardwert sind 7800 Sekunden voreingestellt.

IPsec-PFS-Gruppe:Perfect Forward Secrecy (PFS) ist eine Eigenschaft vonVerschlüsselungsverfahren, die sicherstellt, dassauseinem geknackten Schlüssel nichtauf vorhergehende oder nachfolgende Sitzungsschlüssel einerKommunikationsverbindung geschlossen werden kann. Damit PFS besteht, darf derzumSchutz der IPsec-SA-Verbindung genutzte Schlüssel nicht von demselben zufälligerzeugten Verschlüsselungsmaterial hergeleitet worden sein wie die Schlüssel für dieIKE-SA-Verbindung. Daher initiiert PFS einen zweiten Diffie-Hellman-




Schlüsselaustauschmit der Absicht, der ausgewählten DH-Gruppe für die IPsec-Verbindung einen neuen zufällig erzeugten Schlüssel zu übergeben. Eswerden diegleichen DH-Gruppen wie bei IKE unterstützt.Die Aktivierung von PFSwird als sicherer eingestuft, aber esbenötigt auchmehr Zeit beider Aushandlung. Eswird davon abgeraten, PFS auf langsamer Hardware einzusetzen.

Hinweis –PFS ist nicht immer gänzlich kompatibelmit den verschiedenen Herstellern.Wenn Sie Problemewährend der Aushandlung feststellen, schalten Sie diese Funktionaus.

Strikte Richtlinie:Wenn ein IPsec-Gatewayeine Anfrage hinsichtlich einesVerschlüsselungsalgorithmusund der Verschlüsselungsstärke unternimmt, kann esvorkommen, dassdasGatewaydesEmpfängers diese Anfrage akzeptiert, obwohl dasnicht mit der entsprechenden IPsec-Richtlinie übereinstimmt.Wenn Sie dieseOptionwählen und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameterverwenden will, kommt keine IPsec-Verbindung zustande.Angenommen die IPsec-Richtlinie Ihrer UTM verlangt AES-256-Verschlüsselung, wohingegen ein RoadWarriormit SSH-Sentinel sichmit AES-128 verbinden will – wenn die Option für die strikteRichtlinie aktiviert ist, wird die Verbindung abgewiesen.

Hinweis –Die Komprimierungseinstellung wird durch Aktivierung der OptionStrikteRichtlinie nicht erzwungen.

Komprimierung: DieseOption legt fest, ob IP-Pakete vor der Verschlüsselungmit demIP Payload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert dieGröße von IP-Paketen, indem essie komprimiert, um die allgemeineKommunikationsleistung zwischen einemPaar von kommunizierenden Hosts oderGateways zu erhöhen. Komprimierung ist standardmäßig ausgeschaltet.


3. Klicken Sie auf Speichern.Die neue Richtlinie wird in der ListeRichtlinien angezeigt.





15.2.4 Lokaler RSA-SchlüsselBei der RSA-Authentifizierung werden zur Authentifizierung der VPN-Endpunkte RSA-Schlüssel verwendet. Die öffentlichen Schlüssel der Endpunkte werdenmanuell ausgetauscht,bevor die Verbindung aufgebaut wird.Wenn Sie diese Authentifizierungsmethode verwendenmöchten, müssen Sie eine VPN-ID definieren und einen lokalen RSA-Schlüsselgenerieren.Der öffentliche RSA-Schlüssel desGatewaysmussanschließend den IPsec-Geräten der Gegenstelle zugänglich gemacht werden, die IPsec-RSA-Authentifizierung fürSophosUTM verwenden.

Aktue lle r loka le r ö f fentlicher RSA-Schlüsse lIn diesem Feld wird der öffentliche Teil desaktuell installierten RSA-Schlüsselpaaresangezeigt.Um den Schlüssel in die Zwischenablage zu kopieren, klicken Sie in dasFeld,drücken Sie STRG-Aund anschließend STRG-C.

VPN-Optionen für loka len RSA-Schlüsse lWählen Sie den VPN-ID-Typ entsprechend Ihren Anforderungen aus. Standardmäßig ist derHostname desGatewaysalsVPN-ID voreingestellt.Wenn Sie eine statische IP-Adresse alsVPN-Endpunkt haben, wählen Sie IP-Adresse. Verwenden Sie alternativ eine E-Mail-AdressealsVPN-ID für mobile IPsec-Road-Warriors.

l Hostname: Standardeinstellung; der Hostname desGateways. Sie können jedoch aucheinen anderen Hostnamen eingeben.

l E-Mail-Adresse: Standardmäßig ist die E-Mail-Adresse desAdmin-KontosdesGateways voreingestellt. Sie können aber eine beliebige andere E-Mail-Adresseeingeben.

l IP-Adresse: Die IP-Adresse der externen Schnittstelle desGateways.

Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.Änderungen haben keineAuswirkungen auf den RSA-Schlüssel.

Loka len RSA-Schlüsse l neu erste llenUmeinen neuen RSA-Schlüssel zu generieren, wählen Sie die gewünschte Schlüssellänge ausund klicken auf die SchaltflächeÜbernehmen. Anschließend wird der Generierungsprozessgestartet, der – abhängig von der Schlüssellänge und der verwendeten Hardware – zwischenein paar Minuten und zweiStunden benötigen kann. Die Schlüssellänge ist ein Maß für die


Anzahl der Schlüssel, die bei einer Chiffre möglich sind. Die Länge wird üblicherweise in Bitangegeben. Die folgenden Schlüssellängen werden unterstützt:

l 1024 Bit

l 2048 Bit

l 4096 Bit

Sobald der neue RSA-Schlüssel generiert wurde, wird der zugehörige öffentliche Schlüssel imFeldAktueller lokaler öffentlicher RSA-Schlüsselangezeigt.Die Generierung einesneuenRSA-Schlüssels überschreibt den alten Schlüssel.

15.2.5 ErweitertAuf der RegisterkarteSite-to-Site-VPN > IPsec>Erweitert können Sie die erweitertenEinstellungen für IPsec-VPN vornehmen.Abhängig von Ihrer bevorzugtenAuthentifizierungsmethode können Sie unter anderem das lokale Zertifikat (für X.509-Authentifizierung) und den lokalen RSA-Schlüssel (für RSA-Authentifizierung) festlegen. DieseEinstellungen sollten nur von erfahrenen Benutzern durchgeführt werden.

Loka les X.509-Zer tif ika tBei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüsselder VPN-Endpunkte zu überprüfen.Wenn Sie diese Authentifizierungsmethode verwendenwollen, müssen Sie im Abschnitt LokalesX.509-Zertifikat ein lokalesZertifikat ausderAuswahlliste wählen. Dasausgewählte Zertifikat bzw. Schlüsselwird anschließend dafürgenutzt, um dasGatewaygegenüber Gegenstellen zu authentifizieren, fallsX.509-Authentifizierung ausgewählt ist.

Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhandenist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.

Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines imMenüZertifikatverwaltung hinzufügen, entweder indemSie ein neueserzeugen oder indemSie einesüber die Upload-Funktion importieren.

NachdemSie dasZertifikat ausgewählt haben, geben Sie dasKennwort ein, mit dem derprivate Schlüssel geschützt ist. Während desSpeichervorgangswird dasKennwort verifiziertund eine Fehlermeldung angezeigt, falls dasKennwort nicht zum verschlüsselten Schlüsselpasst.




Sobald ein aktiver Schlüssel oder ein Zertifikat ausgewählt ist, wird er/es im Abschnitt LokalesX.509-Zertifikat angezeigt.

Dead Peer Detection (DPD)Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenndasVPN-Gatewayoder der Client auf der Gegenseite nicht erreichbar ist. BeiVerbindungenmit statischen Endpunkten wird der Tunnel nach einemAusfall automatisch neu ausgehandelt.Für Verbindungenmit dynamischen Endpunkten wird für eine neue Aushandlung desTunnelsdie Anfrage seitensder Gegenstelle benötigt. In der Regel ist diese Funktion betriebssicher undkann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob dieGegenstelle Dead Peer Detection unterstützt oder nicht, und verwenden den normalenModus,falls nötig.

NAT-Traversa l (NAT-T)NAT-Traversal verwenden:Wählen Sie dieseOption, um zu ermöglichen, dass IPsec-Verkehr Upstream-Systeme passieren kann, dieNetworkAddressTranslation (NAT, dt.Netzwerkadressumsetzung) verwenden. Zusätzlich können Sie das Intervall für dieAufrechterhaltung (engl. keep-alive) für NAT-Traversal festlegen.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

CRL-HandhabungEssind Situationen denkbar, in denen ein Zertifikataussteller noch während derGültigkeitsdauer einesZertifikats die darin gegebene Bestätigung für ungültig erklärenmöchte,z. B. weil zwischenzeitlich bekannt wurde, dassdasZertifikat vom Zertifikatnehmer unterAngabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifiziertenöffentlichen Schlüssel gehörende private Schlüssel einemAngreifer in die Hände gefallen ist.Zudiesem Zweckwerden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate RevocationLists) verwendet. Diese enthalten üblicherweise die Seriennummern derjenigen Zertifikateeiner Zertifizierungsinstanz, die für ungültig erklärt werden und deren regulärerGültigkeitszeitraum noch nicht abgelaufen ist.Nach Ablauf diesesZeitraumsbesitzt dasZertifikat in jedem Fall keine Gültigkeit mehr undmussdaher auch nicht weiter auf der Zertifikatsperrliste geführt werden.

Automatische Abholung:Mit dieser Funktion wird die CRL automatisch über die URLabgeholt, die im Partnerzertifikat angegeben ist, via HTTP, anonymesFTP (AnonymousFTP)oder LDAPVersion 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert undaktualisiert werden, sobald der Gültigkeitszeitraum abgelaufen ist. Wenn Sie diese Funktion


nutzen (jedoch nicht über Port 80 oder 443), achten Sie darauf, dassdie Firewallregeln sogesetzt sind, dassauf den CRL-Distributionsserver zugegriffen werden kann.

Strikte Richtlinie:Wenn Sie dieseOption auswählen, werden alle Partnerzertifikate ohneeine zugehörige CRL zurückgewiesen.

Probing von ver te ilten Schlüsse lnFür IPsec-Verbindungen, die im Nur-Antworten-Modus (engl. respond-only) arbeiten, könnenSie festlegen, dassmehrere verteilte Schlüssel (PSK, engl. preshared keys) für jede IPsec-Verbindung zugelassen sind.

Probing von verteilten Schlüsseln:Markieren Sie dasAuswahlkästchen, um die Funktionzu aktivieren. DieseOption betrifft L2TP-über-IPsec-, IPsec-Fernzugriff- und IPsec-Site-to-Site-Verbindungen.

15.2.6 Fehlersuche

IKE-Fehle rsucheIm Abschnitt IKE-Fehlersuche können Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe derAuswahlkästchen legen Sie fest, für welche Arten von IKE-Nachrichten oder -Kommunikationzusätzliche Informationen in dasFehlerprotokoll geschrieben werden.

Hinweis –Der Abschnitt IKE-Fehlersuche ist für die Registerkarten Fehlersuche der MenüsSite-to-Site VPN IPsec, Fernzugriff IPsec, L2TPüber IPsecundCisco VPN Client identisch.

Die folgenden Flags können protokolliert werden:

l Kontrollverlauf: Kontrollnachrichten zum IKE-Status

l Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten

l Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten

l Kernel-Messaging: Kommunikationsnachrichtenmit demKernel

l Hochverfügbarkeit: Kommunikationmit anderen Hochverfügbarkeitsknoten



15.3 SSL 15 Site-to-Site-VPN

15.3 SSLSite-to-Site-VPN-Tunnel können über eine SSL-Verbindung aufgebaut werden. SSL-VPN-Verbindungen benutzen dabei eindeutige Rollen: Die Tunnelendpunkte agieren entweder alsClient oder alsServer. Es ist stets der Client, der die Verbindung initiiert, während der Serverauf Client-Anfragen antwortet. Denken Sie daran, dasshierin der Unterschied zu IPsec liegt,wo beide Endpunkte normalerweise eine Verbindung initiieren können.

Hinweis –Wenn beim Verbindungsaufbau Probleme auftreten, überprüfen Sie, ob SSL-Scanning auf demWebfilter, der sich im Transparenzmodusbefindet, aktiviert ist.Wenn dasder Fall ist, stellen Sie sicher, dassder Zielhost der VPN-Verbindung zu denTransparenzmodus-Ausnahmen unterWebProtection >Webfilter >Erweitert hinzugefügtwurde.

15.3.1 VerbindungenWenn Sie einen SSL-VPN-Site-to-Site-Tunnel anlegen, müssen Sie zuerst dieServerkonfiguration anlegen. Die Konfiguration desClientsmuss immer erst der zweite Schrittsein.

Um eine Serverkonfiguration anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.DasDialogfenster SSL-Verbindung hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Verbindungstyp:Wählen SieServer ausder Auswahlliste aus.

Verbindungsname:Geben Sie einen aussagekräftigen Namen für die Verbindung ein.

Statische virtuelle IP-Adresse verwenden (optional): Wählen Sie dieseOption nur,wenn der IP-Adressenpool nicht mit der Netzwerkumgebung desClients kompatibel ist:Standardmäßig erhalten Clients eine IP-Adresse ausdemVirtuellen IP-Pool(konfigurierbar auf der RegisterkarteEinstellungen). In Ausnahmefällen kann espassieren, dasseine solche IP-Adresse auf demHost desClients bereits in Benutzungist.Geben Sie in diesem Fall eine passende IP-Adresse in dasFeldStatische Peer-IP ein,welche daraufhin demClient während desTunnelaufbaus zugewiesen wird.


Lokale Netzwerke: Fügen Sie ein oder mehrere lokale Netzwerke hinzu, die für denFernzugriff zugelassen sein sollen.

Entfernte Netzwerke: Fügen Sie ein oder mehrere Netzwerke der Gegenstelle hinzu,die sichmit dem/den lokalen Netzwerk(en) verbinden dürfen.

Hinweis –Sie können die lokalen Netzwerke und die entfernten Netzwerke auchspäter noch konfigurieren, ohne dassSie den Client neu konfigurierenmüssten.

Automatische Firewallregeln (optional): Wenn dieseOption aktiviert ist, gewährt dieUTM automatisch Zugriff auf die gewählten lokalen Netzwerke für alle SSL-VPN-Clients.


3. Klicken Sie auf Speichern.Die neue SSL-Serververbindung wird in der ListeVerbindungen angezeigt.

4. Laden Sie die Konfigurationsdatei herunter.Klicken Sie auf die SchaltflächeDownload, die sich im Feld der neuen SSL-Serververbindung befindet, um die Client-Konfigurationsdatei für diese Verbindungherunterzuladen.

Konfigurationsdatei verschlüsseln (optional): Eswird empfohlen, dieKonfigurationsdatei ausSicherheitsgründen zu verschlüsseln. Geben Sie ein Kennwortzweimal ein.Klicken Sie aufPeer-Konfig. herunterladen, um die Datei zu speichern.Diese Dateiwird vomAdministrator der Client-Seite benötigt, um in der Lage zu sein,den Client-Endpunkt desTunnels zu konfigurieren.

Der nächste Schritt ist die Client-Konfiguration, die Client-seitig und nichtServer-seitig erfolgenmuss.Stellen Sie sicher, dassdie Client-Konfigurationsdatei bereitliegt.

Um eine Client-Konfiguration anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.DasDialogfenster SSL-Verbindung hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Verbindungstyp:Wählen SieClient ausder Auswahlliste aus.

Verbindungsname:Geben Sie einen aussagekräftigen Namen für die Verbindung ein.


15 Site-to-Site-VPN 15.3 SSL


Konfigurationsdatei: Klicken Sie auf dasOrdnersymbol, wechseln Sie zur Client-Konfigurationsdatei und klicken Sie aufSave.

Kennwort (optional): Wenn die Datei verschlüsselt ist, geben Sie dasKennwort ein.

HTTP-Proxy-Server verwenden (optional): Wählen Sie dieseOption, wenn sich derClient hinter einemProxybefindet, und geben Sie die Einstellungen für den Proxyein.

Proxy-Authentifizierung verwenden: (optional): Wählen Sie dieseOption,wenn sich der Client am Proxyauthentifizierenmuss, und geben SieBenutzername und Kennwort ein.

Peer-Hostnamen übergehen (optional): Wählen Sie dieseOption und geben Sieeinen Hostnamen ein, wenn der reguläre Hostname desServersystems (oder seinDynDNS-Hostname) nicht vomClienthost aufgelöst werden kann.

Automatische Firewallregeln (optional): Wenn dieseOption aktiviert ist, lässt die UTMautomatisch Verkehr zwischen Hosts der zum Tunnel gehörenden lokalen undentfernten Netzwerke zu.


3. Klicken Sie auf Speichern.Die neue SSL-VPN-Clientverbindung wird in der ListeVerbindungen angezeigt.

Um eine Client-Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

Klicken Sie auf denMenüpunktSite-to-Site-VPN, um den Statusder SSL-VPN-Verbindung aufder Übersichtsseite zu sehen. Die Statusampel dort wird grün, wenn die Verbindung aufgebautist.Dann werden auch Informationen zu denmiteinander verbundenen Subnetzen beiderSeiten desTunnels angezeigt.

15.3.2 EinstellungenAuf der RegisterkarteSSL >Einstellungen können Sie die Grundeinstellungen für SSL-VPN-Serververbindungen konfigurieren.

Hinweis –Diese Registerkarte ist identisch für Site-to-Site-VPN >SSL und Fernzugriff >SSL. Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.


Servere inste llungenSie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen:

l Schnittstellen-Adresse: Der Standardwert lautetAny. Wenn Sie dieWeb ApplicationFirewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresseangeben, die auf SSL-Verbindungen lauscht. Das ist für die Site-to-Site/Fernzugriff-SSL-Verbindungsverwaltung und dieWeb Application Firewall notwendig, damit diesedie eingehenden SSL-Verbindungen auseinanderhalten können.

l Protokoll:Wählen Sie dasProtokoll aus, das verwendet werden soll.Sie könnenentweder TCP oder UDP auswählen.

l Port: Sie können den Port ändern.Der Standardport ist 443.Sie können jedoch nicht denPort 10443, den ACC-Gateway-Manager-Port 4422oder den Port der WebAdmin-Schnittstelle verwenden.

l Hostnamen übergehen: Der Wert im FeldHostnamen übergehenwird alsZielhostname für Client-VPN-Verbindungen verwendet und ist standardmäßig derHostname desGateways. Ändern Sie den voreingestelltenWert nur, wenn der reguläreHostname (oder DynDNS-Hostname) nicht unter diesemNamen ausdem Interneterreichbar ist.

Vir tue lle r IP-PoolPool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressenauseinem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.Standardmäßig istVPNPool (SSL) ausgewählt.FallsSie einen anderen Adressenpool auswählen, darf die Netzmaskenicht größer als 29 Bits sein, da OpenVPN nicht mit Adressenpools umgehen kann, derenNetzmaske /30, /31oder /32 ist.

Doppe lte CNWählen SieMehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassenwollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen ausverbinden können.Wenn dieseOption deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-Verbindung pro Benutzer erlaubt.

15.3.3 ErweitertAuf der RegisterkarteSSL >Erweitert können Sie diverse erweiterte Serveroptionenkonfigurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zur


15 Site-to-Site-VPN 15.3 SSL


Fehlersuche.

Hinweis –Diese Registerkarte ist identisch für Site-to-Site-VPN >SSL und Fernzugriff >SSL.Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.

Kryptogra f ische Einste llungenDiese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL-VPN-Fernzugriff-Clients:

l Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt denAlgorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch denVPN-Tunnel gesendet werden.Die folgenden Algorithmenwerden unterstützt, welchealle im CBC-Modus (Cipher BlockChaining) sind:l DES-EDE3-CBC

l AES-128-CBC (128 Bit)



l BF-CBC (Blowfish (128 Bit))

l Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt denAlgorithmus fest, der für die Integritätsprüfung der Daten verwendet wird, die durch denVPN-Tunnel gesendet werden.Die folgenden Algorithmenwerden unterstützt:l MD5 (128 Bit)

l SHA-1 (160 Bit)

l Schlüssellänge: Die Schlüssellänge ist die Länge desDiffie-Hellman-Schlüsselaustauschs. Je länger der Schlüssel ist, desto sicherer sind die symmetrischenSchlüssel. Die Länge wird in Bits angegeben. Sie können zwischen einer Schlüssellängevon 1024 und 2048 Bitswählen.

l Serverzertifikat:Wählen Sie ein lokalesSSL-Zertifikat, dasder SSL-VPN-Serververwenden soll, um sich gegenüber Clients zu identifizieren.

l Schlüsselgültigkeit:Geben Sie einen Zeitraum an, nach dem der Schlüssel abläuft.Standardmäßig sind 28.800 Sekunden voreingestellt.

Kompr imie rungse inste llungenSSL-VPN-Verkehr komprimieren:Wenn dieseOption aktiviert ist, werden alle Daten, diedurch SSL-VPN-Tunnel geschickt werden, vor der Verschlüsselung komprimiert.


Fehle rsuche-Einste llungenFehlersuche-Modus aktivieren:Wenn Sie den Fehlersuche-Modusaktivieren, enthält dieSSL-VPN-Protokolldatei zusätzliche Informationen, die nützlich für die Fehlersuche sind.

15.4 ZertifikatverwaltungDasMenüSite-to-Site-VPN >Zertifikatverwaltung ist der zentrale Ort, an dem allezertifikatsbezogenen Vorgänge verwaltet werden, die beiSophosUTM erforderlich sind.Dasbeinhaltet unter anderem dasAnlegen und Importieren von X.509-Zertifikaten ebenso wie dasHochladen sogenannter Zertifikatsperrlisten (CRLs).

15.4.1 ZertifikateAuf der RegisterkarteSite-to-Site-VPN >Zertifikatverwaltung >Zertifikate können Sieöffentliche Schlüssel-Zertifikate im X.509-Standard erstellen oder importieren.SolcheZertifikate sind digital signierte Bescheinigungen, die üblicherweise von einerZertifizierungsinstanz (CA,Certificate Authority) ausgestellt werden und einen öffentlichenSchlüsselmit einem bestimmtenDistinguished Name (DN) in X.500-Schreibweise verknüpfen.

Alle Zertifikate, die Sie auf dieser Registerkarte erzeugen, sind selbst von derZertifizierungsinstanz (CA) signiert, die automatischmit den Informationen erstellt wurde, dieSie während der ersten Anmeldung amWebAdmin angegeben haben.

Um ein Zertifikat neu zu generieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.DasDialogfenster Zertifikat hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesesZertifikat ein.

Methode: Umein Zertifikat zu erstellen, wählen SieGenerieren aus (weitereInformationen zumHochladen von Zertifikaten finden Sie weiter unten).

Geben Sie die folgenden Informationen an:

l VPN-ID-Typ: Legen Sie eine einzigartige Identifikation (engl. identifier) für dasZertifikat fest.Die folgenden Identifikationsarten sind verfügbar:


15 Site-to-Site-VPN 15.4 Zertifikatverwaltung

15.4 Zertifikatverwaltung 15 Site-to-Site-VPN

l E-Mail-Adresse

l Hostname

l IP-Adresse

l Distinguished Name

l VPN-ID: Tragen Sie abhängig von der gewählten Identifikationsart (VPN-ID-Typ)den passendenWert in dasFeld ein.Beispiel: Wenn Sie eine IP-Adresse ausderListeVPN-ID-Typ gewählt haben, geben Sie eine IP-Adresse in diesesTextfeldein.Beachten Sie, dassdiesesTextfeld verborgen ist, wenn Sie denDistinguishedName ausder ListeVPN-ID-Typ gewählt haben.Verwenden Sie die Auswahllisten und Textfelder Land bisE-Mail, um dieInformationen zum Zertifikatsinhaber einzutragen.Diese Informationen werdenverwendet, um denDistinguished Name zu erstellen, dasheißt den Namen derInstanz, deren öffentlichen Schlüssel dasZertifikat identifiziert. Dieser Nameenthält viele persönliche Informationen im X.500-Standard, weswegen davonausgegangen wird, dassdieser Name im gesamten Internet einzigartig ist.FallsdasZertifikat für eine Fernzugriffsverbindung verwendet wird, geben Sie denNamen desBenutzers in dasFeldAllgemeiner Name ein.Wenn dasZertifikat füreinen Host ist, geben Sie einen Hostnamen ein.


3. Klicken Sie auf Speichern.DasZertifikat wird in der Liste Zertifikate angezeigt.

Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen desentsprechendenZertifikats.

Um alternativ ein Zertifikat hochzuladen (zu importieren), gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.DasDialogfenster Zertifikat hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diesesZertifikat ein.

Methode: Umein Zertifikat zu importieren, wählen SieHochladen aus.

Dateityp:Wählen Sie den Dateityp desZertifikats aus. Sie können Zertifikate derfolgenden Dateitypen hochladen:


l PKCS#12 Container: PKCSbezieht sich auf eine Gruppe vonPublicKeyCryptographyStandards (dt. etwa Standards für die Kryptografie öffentlicherSchlüssel), die von den RSALaboratories entwickelt und veröffentlichtwurden.DasDateiformat PKCS#12wird gemeinhin dafür benutzt, privateSchlüsselmit dem zugehörigen öffentlichen Schlüsselzertifikat zu speichern undmit einemKennwort zu schützen. Siemüssen diesesContainer-Kennwortkennen, umDateien in diesem Format hochladen zu können (geben Sie dasKennwort ein zweitesMal zur Bestätigung ein).

l PEM: Ein Base64-kodiertesFormat (PrivacyEnhancedMail, PEM), das keinKennwort erfordert.

Datei: Klicken Sie auf dasOrdnersymbol neben dem FeldDateiund wählen Sie dasZertifikat aus, dashochgeladen werden soll.


3. Klicken Sie auf Speichern.DasZertifikat wird in der Liste Zertifikate angezeigt.

Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen desentsprechendenZertifikats.

Sie können dasZertifikat entweder im PKCS#12- oder PEM-Format herunterladen.Die PEM-Datei enthält nur dasZertifikat selbst, wohingegen die PKCS#12-Datei auch noch den privatenSchlüssel sowie dasCA-Zertifikat enthält, mit dem dasZertifikat signiert wurde.


15.4.2 CAAuf der RegisterkarteSite-to-Site-VPN >Zertifikatverwaltung >CA können Sie neueZertifizierungsinstanzen importieren.Eine Zertifizierungsinstanz (CA, engl.CertificateAuthority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteienausstellt. Eine CAattestiert, dassder im Zertifikat enthaltene öffentliche Schlüssel zur der




Person, Organisation, Host oder anderen Instanzgehört, die im Zertifikat aufgeführt ist. Dieswird erreicht, indem bei der Signierungsanfrage dasZertifikat mit dem privaten Schlüssel desCA-eigenen Zertifikats signiert wird.Solch eine CAwird deshalb auch alsSignierungs-CAbezeichnet.

Auf der UTMwurde die Signierungs-CA automatisch während der ersten Anmeldung an derUTM generiert, wobei die angegeben Informationen verwendet wurden.Dadurch sind alleZertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, dasbedeutet, dassder Aussteller und der Inhaber identisch sind. Alternativ können Sie jedoch eineSignierungs-CA einesDrittanbieters importieren.Darüber hinaus können Sie auch andere CA-Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität einesHosts oder Benutzers zu überprüfen, der versucht, sich über IPsec zu verbinden.Diese CA-Zertifikate wiederumwerden alsVerifizierungs-CAsbezeichnet und können auch auf dieserRegisterkarte importiert werden.

Wichtiger Hinweis –Auf demSicherheitssystem könnenmehrere Verifizierungs-CAsvorhanden sein, allerdingsnur eine Signierungs-CA.Wenn Sie also eine neue Signierungs-CA hochladen, wird die zuvor installierte Signierungs-CA automatisch in eine Verifizierungs-CA umgewandelt.

Um eine CA zu importieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte CA auf CA importieren.DasDialogfenster CA importierenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese CAein.

Typ:Wählen Sie den CA-Typ, den Sie importieren werden. Sie können zwischenVerifizierungs-CA und Signierungs-CAwählen.Eine Verifizierungs-CAmuss im PEM-Format vorliegen, wohingegen eine Signierungs-CA im PKCS#12-Format vorliegenmuss.

CA-Zertifikat: Klicken Sie auf dasOrdnersymbol neben dem FeldCA-Zertifikat undwählen Sie die zu importierende Datei aus.Wenn Sie eine neue Signierungs-CAhochladen, beachten Sie, dassSie dasKennwort eingebenmüssen, mit dem derPKCS#12-Container gesichert wurde.



3. Klicken Sie auf Speichern.Dasneue CA-Zertifikat wird in der ListeCA angezeigt.

Um eine CA zu löschen, klicken Sie auf die Schaltfläche Löschen der entsprechenden CA.

Die Signierungs-CA kann im PKCS#12-Format heruntergeladen werden.Sie werden daraufhinaufgefordert, ein Kennwort einzugeben, das zur Sicherung desPKCS#12-Containers benutztwird.Außerdem können Sie Verifizierungs-CAs im PEM-Format herunterladen.


15.4.3 Sperrlisten (CRLs)Eine Zertifikatsperrliste (CRL, engl. Certificate Revocation List) (auchWiderrufsliste) ist eineListe von Zertifikaten (genauer: ihren Seriennummern), die widerrufen wurden, d. h. die nichtlänger gültig und ausdiesemGrund nicht vertrauenswürdig sind.Auf der RegisterkarteSite-to-Site-VPN >Zertifikatverwaltung >Sperrlisten (CRLs) können Sie eine Zertifikatsperrlisteimportieren, die sich auf Ihre Public-Key-Infrastruktur (PKI, dt. Infrastruktur für öffentlicheSchlüssel) bezieht.

Um eine Zertifikatsperrliste (CRL) hochzuladen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Sperrlisten (CRLs) auf CRL hochladen.DasDialogfenster CRL hochladenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese CRL ein.

CRL-Datei: Klicken Sie auf dasOrdner-Symbol neben dem FeldCRL-Dateiund wählenSie die zu importierende Datei aus.


3. Klicken Sie auf Speichern.Die neue CRLwird in der Liste der Sperrlisten angezeigt.




Umeine Sperrliste zu löschen, klicken Sie auf die Schaltfläche Löschen der entsprechendenSperrliste.

15.4.4 ErweitertAuf der RegisterkarteSite-to-Site-VPN >Zertifikatverwaltung >Erweitert können Sie die VPN-Signierungs-CA neu generieren, die während der ersten Anmeldung amSicherheitssystemautomatisch generiert wurde. Mit der VPN-Signierungs-CAwerden die Zertifikate für dieFernzugriffs- und Site-to-Site-VPN-Verbindungen digital signiert.

Signie rungs-CA neu erste llenSie können alle Benutzerzertifikatemit der aktuellen Signierungs-CA erneuern.Daswird dannnotwendig, wenn Sie eine alternative VPN-Signierungs-CA auf der RegisterkarteCA installierthaben.


16 FernzugriffIn diesemKapitelwird beschrieben, wie Sie den Fernzugriff (engl. Remote Access) für SophosUTM konfigurieren.Der Fernzugriff wird in SophosUTMmittels virtuellen privaten Netzwerken(engl.VirtualPrivate Networks (VPNs), realisiert. Diese sind ein kostengünstiger und sichererWeg, entfernten Benutzern wie Angestellten, die von unterwegsund von zu Hause ausarbeiten, den Zugang zum Firmennetzwerk zu ermöglichen.VPNsverwenden kryptografischeTunnelprotokolle wie IPsecund PPTP, umVertraulichkeit und Datenschutz für dieübertragenen Daten zu gewährleisten..

Querverweis –Weitere Informationen zur Konfiguration von Fernzugriff-VPN-Verbindungen finden Sie in der SophosWissensdatenbank.

Die UTM generiert automatisch die notwendigen Installations- und Konfigurationsdateien fürdie jeweilige Verbindungsart desFernzugriffs.Diese Dateien können direkt über dasBenutzerportal heruntergeladen werden. Es sind jedoch nur jene Dateien für einen Benutzerverfügbar, die mit den Verbindungsarten übereinstimmen, die für ihn aktiviert sind. Beispiel: EinBenutzer, für den der SSL-Fernzugriff aktiviert ist, findet nur eine SSL-Installationsdatei vor.

Hinweis –Sie können die Konfigurationsdateien für den Fernzugriff für alle oderausgewählte Benutzer über die RegisterkarteDefinitionen &Benutzer >Benutzer &Gruppen>Benutzer herunterladen.

Die Seite Fernzugriffsstatusenthält eine Übersicht mit allen Online-Benutzern.


l SSL

l PPTP

l L2TPüber IPsec

l IPsec

l HTML5-VPN-Portal

l Cisco VPN Client

l Erweitert




16.1 SSL 16 Fernzugriff

16.1 SSLDie Fernzugriff-SSL-Funktion von SophosUTMwird durchOpenVPN realisiert, einerumfassenden SSL-VPN-Lösung. Sie bietet die Möglichkeit, zwischen entferntenMitarbeiternund demUnternehmensnetzwerkPunkt-zu-Punkt-verschlüsselte Tunnel aufzubauen, wobeiSSL-Zertifikate und eine Benutzer-Kennwort-Kombination benötigt werden, um sich für denZugriff auf interne Ressourcen zu authentifizieren.Zusätzlich bietet es ein sicheresBenutzerportal, das von jedem autorisierten Benutzer erreicht werden kann, um einmaßgeschneidertesSSL-VPN-Client-Software-Paket herunterzuladen.DiesesPaketbeinhaltet einen kostenlosen SSL-VPN-Client, SSL-Zertifikate und eine Konfiguration, die sichüber ein einfaches Installationsverfahrenmit nur einemMausklick durchführen lässt. Der SSL-VPN-Client unterstützt die gängigstenGeschäftsanwendungenwie nativesOutlook, nativeWindows-Dateifreigabe und viele weitere.

Querverweis –Weitere Informationen zur Nutzung desSSL-VPN-Clients finden Sie in derSophosWissensdatenbank.

16.1.1 AllgemeinAuf der Registerkarte Fernzugriff > SSL >Allgemein können Sie die Grundeinstellungen fürden VPN-Zugang vornehmen.Standardmäßig setzt die SSL-VPN-Lösung von SophosUTMsogenanntesSplit Tunneling (dt. etwa geteiltesTunneln) ein. Dasbedeutet, dassein entfernterBenutzer Zugang zu einem öffentlichen Netzwerk (z. B. dem Internet) hat und gleichzeitig aufRessourcen im VPN zugreifen kann.Split-Tunneling kann jedoch auch umgangen werden,indemSieAnyunten im Feld Lokale Netzwerke auswählen. Dadurch wird der gesamteVerkehr durch den VPN-SSL-Tunnel geroutet. Ob Benutzer dann noch auf ein öffentlichesNetzwerk zugreifen dürfen oder nicht, hängt von Ihren Firewall-Einstellungen ab.

Um die allgemeinen SSL-VPN-Optionen zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den SSL-Fernzugriff auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der Abschnitt Fernzugriffseinstellungen kann nunbearbeitet werden.


https://support.astaro.com/support/index.php/Remote_Access_via_SSL_-_Configuration_Guide

https://support.astaro.com/support/index.php/Remote_Access_via_SSL_-_Configuration_Guide

2. Nehmen Sie die folgenden Einstellungen vor:Benutzer und Gruppen:Wählen Sie die für den SSL-VPN-Fernzugriff zugelassenenBenutzer und Benutzergruppen aus. Solange keine entsprechenden Benutzerkontenausgewählt sind, kann der SSL-Fernzugriff nicht eingeschaltet werden.

Hinweis –DasSSL-VPN-Client-Software-Paket im Benutzerportal ist nur fürBenutzer verfügbar, die im FeldBenutzer undGruppen ausgewählt wurden und für dieein Benutzerkonto auf der UTM existiert (sieheDefinitionen &Benutzer >Benutzer &Gruppen >Benutzer). Dennoch haben sie Zugang zumBenutzerportal.

Lokale Netzwerke:Wählen Sie das/die lokale(n) Netzwerk(e) aus, die für SSL-Clientserreichbar sein soll(en).

Automatische Firewallregeln:Wählen Sie dieseOption, damit die notwendigenFirewallregeln automatisch angelegt werden.


Live -Protoko ll ö f fnenImOpenVPN-Live-Protokollwerden die Fernzugriff-Aktivitäten protokolliert.Klicken Sie auf dieSchaltfläche, um dasLive-Protokoll in einem neuen Fenster zu öffnen.

16.1.2 EinstellungenAuf der RegisterkarteSSL >Einstellungen können Sie die Grundeinstellungen für SSL-VPN-Serververbindungen konfigurieren.

Hinweis –Diese Registerkarte ist identisch für Site-to-Site-VPN >SSL und Fernzugriff >SSL. Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.

Servere inste llungenSie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen:

l Schnittstellen-Adresse: Der Standardwert lautetAny. Wenn Sie dieWeb ApplicationFirewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresseangeben, die auf SSL-Verbindungen lauscht. Das ist für die Site-to-Site/Fernzugriff-SSL-Verbindungsverwaltung und dieWeb Application Firewall notwendig, damit diese


16 Fernzugriff 16.1 SSL

16.1 SSL 16 Fernzugriff

die eingehenden SSL-Verbindungen auseinanderhalten können.

l Protokoll:Wählen Sie dasProtokoll aus, das verwendet werden soll.Sie könnenentweder TCP oder UDP auswählen.

l Port: Sie können den Port ändern.Der Standardport ist 443.Sie können jedoch nicht denPort 10443, den ACC-Gateway-Manager-Port 4422oder den Port der WebAdmin-Schnittstelle verwenden.

l Hostnamen übergehen: Der Wert im FeldHostnamen übergehenwird alsZielhostname für Client-VPN-Verbindungen verwendet und ist standardmäßig derHostname desGateways. Ändern Sie den voreingestelltenWert nur, wenn der reguläreHostname (oder DynDNS-Hostname) nicht unter diesemNamen ausdem Interneterreichbar ist.

Vir tue lle r IP-PoolPool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressenauseinem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.Standardmäßig istVPNPool (SSL) ausgewählt.FallsSie einen anderen Adressenpool auswählen, darf die Netzmaskenicht größer als 29 Bits sein, da OpenVPN nicht mit Adressenpools umgehen kann, derenNetzmaske /30, /31oder /32 ist.

Doppe lte CNWählen SieMehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassenwollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen ausverbinden können.Wenn dieseOption deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-Verbindung pro Benutzer erlaubt.

16.1.3 ErweitertAuf der RegisterkarteSSL >Erweitert können Sie diverse erweiterte Serveroptionenkonfigurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zurFehlersuche.

Hinweis –Diese Registerkarte ist identisch für Site-to-Site-VPN >SSL und Fernzugriff >SSL.Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.


Kryptogra f ische Einste llungenDiese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL-VPN-Fernzugriff-Clients:

l Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt denAlgorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch denVPN-Tunnel gesendet werden.Die folgenden Algorithmenwerden unterstützt, welchealle im CBC-Modus (Cipher BlockChaining) sind:l DES-EDE3-CBC




l BF-CBC (Blowfish (128 Bit))

l Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt denAlgorithmus fest, der für die Integritätsprüfung der Daten verwendet wird, die durch denVPN-Tunnel gesendet werden.Die folgenden Algorithmenwerden unterstützt:l MD5 (128 Bit)

l SHA-1 (160 Bit)

l Schlüssellänge: Die Schlüssellänge ist die Länge desDiffie-Hellman-Schlüsselaustauschs. Je länger der Schlüssel ist, desto sicherer sind die symmetrischenSchlüssel. Die Länge wird in Bits angegeben. Sie können zwischen einer Schlüssellängevon 1024 und 2048 Bitswählen.

l Serverzertifikat:Wählen Sie ein lokalesSSL-Zertifikat, dasder SSL-VPN-Serververwenden soll, um sich gegenüber Clients zu identifizieren.

l Schlüsselgültigkeit:Geben Sie einen Zeitraum an, nach dem der Schlüssel abläuft.Standardmäßig sind 28.800 Sekunden voreingestellt.

Kompr imie rungse inste llungenSSL-VPN-Verkehr komprimieren:Wenn dieseOption aktiviert ist, werden alle Daten, diedurch SSL-VPN-Tunnel geschickt werden, vor der Verschlüsselung komprimiert.

Fehle rsuche-Einste llungenFehlersuche-Modus aktivieren:Wenn Sie den Fehlersuche-Modusaktivieren, enthält dieSSL-VPN-Protokolldatei zusätzliche Informationen, die nützlich für die Fehlersuche sind.


16 Fernzugriff 16.1 SSL

16.2 PPTP 16 Fernzugriff

16.2 PPTPPPTP (Point-to-Point Tunneling Protocol) ermöglicht einzelnen Hostsmit Hilfe einesverschlüsselten Tunnels den Zugriff über das Internet auf interne Netzwerkdienste. PPTP isteinfach einzurichten und benötigt auf MicrosoftWindows-Systemen keine spezielle Software.

PPTP ist in MicrosoftWindowsab Version 95 enthalten.UmPPTPmit SophosUTM verwendenzu können, mussder Client dasMSCHAPv2-Authentifizierungsprotokoll unterstützen.Benutzer vonWindows95 und 98müssen ein Update aufspielen, damit diesesProtokollunterstützt wird.

16.2.1 AllgemeinUmdie allgemeinenOptionen für PPTP zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie den PPTP-Fernzugriff auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittHaupteinstellungen kann nun bearbeitetwerden.

2. Nehmen Sie die folgenden Einstellungen vor:Authentifizierung über:Wählen Sie die Authentifizierungsmethode.PPTP-Fernzugriff unterstützt nur die lokale und die RADIUS-Authentifizierung.

l Lokal:Wenn Sie Lokalwählen, geben Sie die Benutzer und Benutzergruppen an,die sich per PPTP-Fernzugriff verbinden dürfen. Es ist nicht möglich, Backend-Benutzergruppen in dasFeld zu ziehen. Solange kein Benutzerkonto ausgewähltist, kann der PPTP-Fernzugriff nicht eingeschaltet werden.

Hinweis –Ähnlich wie beiSSL-VPN kann auf denMenüpunkt Fernzugriff imBenutzerportal nur von Benutzern zugegriffen werden, die im FeldBenutzerundGruppen eingetragen sind und für die eine Benutzerdefinition auf der UTMexistiert. Autorisierte Benutzer, die sich erfolgreich amBenutzerportalangemeldet haben, finden einen Link zu einer Installationsanleitung, die in derSophosKnowledgebase verfügbar ist.


https://support.astaro.com/support/index.php/Remote_Access_via_PPTP_-_Configuration_Guide

https://support.astaro.com/support/index.php/Remote_Access_via_PPTP_-_Configuration_Guide

l RADIUS: RADIUS kann nur ausgewählt werden, wenn zuvor ein RADIUS-Server konfiguriert wurde.Bei dieser AuthentifizierungsmethodewerdenBenutzer an einem externen RADIUS-Server authentifiziert, welcher auf derRegisterkarteDefinitionen &Benutzer >Authentifizierungsserver >Serverkonfiguriert werden kann.DasFeldBenutzer undGruppenwird dann ausgegraut;seine Einstellungen können zwar noch geändert werden, haben aber keinenEffekt mehr.Der RADIUS-Server mussMSCHAPv2-Challenge-Response-Authentifizierung unterstützen.Der Server kann Parameter wie die Client-IP-Adresse und die DNS/WINS-Serveradressen zurückgeben.DasPPTP-Modulsendet die folgende NAS-ID an den RADIUS-Server: pptp. Wenn RADIUS-Authentifizierung gewählt ist, beachten Sie, dass lokale Benutzer nicht länger mitPPTPauthentifiziert werden können. DesWeiterenmüssen auch Clients dieMSCHAPv2-Authentifizierung unterstützen.

IP-Adressen zuweisen durch: IP-Adressen können Sie entweder auseinemfestgelegen IP-Adressenpool zuweisen oder von einemDHCP-Server verteilen lassen:

l IP-Adressenpool:Wählen Sie dieseOption aus, wenn Sie IP-Adressen auseinem bestimmten IP-Adressbereich an Clients zuweisen wollen, die sich perFernzugriff über PPTP verbinden.Standardmäßig werden Adressen ausdemprivaten IP-Raum 10.242.1.0/24zugewiesen.Diese Netzwerkdefinition heißtVPN Pool (PPTP) und kann in allen Netzwerk-spezifischenKonfigurationsoptionen verwendet werden.Wenn Sie ein anderesNetzwerkverwendenmöchten, ändern Sie einfach die Definition vonVPN Pool (PPTP) aufder SeiteDefinitionen &Benutzer >Netzwerkdefinitionen.Alternativ können Sieauch einen anderen IP-Adressenpool anlegen, indemSie auf dasPlussymbolneben dem TextfeldPool-Netzwerk klicken.

l DHCP-Server:Wenn SieDHCP-Server auswählen, geben Sie auch dieNetzwerkschnittstelle an, über die der DHCP-Server erreichbar ist.Der DHCP-Server mussnicht direkt mit der Schnittstelle verbunden sein – der Zugriff ist auchüber einen Router möglich.Beachten Sie, dassder lokale DHCP-Server nichtunterstützt wird; der hier gewählte DHCP-Server mussauf einem physikalischanderen System laufen.


Live -Protoko llImPPTPDaemon Live-Protokollwerden die Aktivitäten desPPTP-Fernzugriffs protokolliert.Klicken Sie auf die Schaltfläche, um dasLive-Protokoll in einem neuen Fenster zu öffnen.


16 Fernzugriff 16.2 PPTP

16.2 PPTP 16 Fernzugriff

16.2.2 iOS-GeräteSie können ermöglichen, dassBenutzern von iOS-Geräten eine automatische PPTP-Konfiguration im Benutzerportal angeboten wird.

Allerdingswerden nur Benutzer, die im FeldBenutzer undGruppen auf der RegisterkarteAllgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.DeriOS-Geräte-Status ist standardmäßig aktiviert.

Verbindungsname:Geben Sie einen aussagekräftigen Namen für die PPTP-Verbindung ein,sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriff sindaufzubauen.Der Name Ihrer Firma gefolgt vomProtokoll PPTP ist voreingestellt.

Hinweis - Der Verbindungsnamemuss für alle iOS-Verbindungseinstellungen (PPTP, L2TPüber IPsec, Cisco VPN Client) einzigartig sein.

Hostnamen übergehen: Im Falle, dassder Systemhostname vomClient nicht öffentlichaufgelöst werden kann, können Sie hier einen Server-Hostnamen eingeben, der die internePräferenzübergeht, bei der der DynDNS-Hostname demSystem-DNS-Hostnamenvorgezogen wird.

Um die automatische iOS-Konfiguration auszuschalten, klicken Sie auf die Statusampel oderaufDisable oben in der Registerkarte.Die Statusampelwird rot.

16.2.3 ErweitertAuf der Registerkarte Fernzugriff > PPTP>Erweitert können Sie die Verschlüsselungsstärkeund dieMenge an Fehlersuchemeldungen für PPTP-Fernzugriff konfigurieren.Die erweitertenPPTP-Einstellungen können nur konfiguriert werden, wenn PPTPauf der RegisterkarteAllgemein aktiviert ist.

Verschlüsse lungsstärkeSie können zwischen einer starken (128 Bit) Tunnel-Verschlüsselung und einer schwachen (40Bit) (MPPE) wählen. Verwenden Sie nachMöglichkeit nicht die schwache Verschlüsselung,außer Sie habenGegenstellen, die die 128-Bit-Verschlüsselung nicht unterstützen.


Fehle rsuche-ModusFehlersuche-Modus aktivieren: DieseOption kontrolliert die Menge anFehlersuchemeldungen, die im PPTP-Protokoll erzeugt wird. Aktivieren Sie dieseOption, wennSie Verbindungsprobleme haben und detaillierte Informationen über beispielsweise dieAushandlung der Client-Parameter benötigen.

16.3 L2TP über IPsecL2TP ist die Kurzform für Layer 2 Tunneling Protocolund ist ein Datenlink-Ebene-Protokoll(Ebene 2 desOSI-Modells) für dasTunneln von Netzwerkverkehr zwischen zweiPeers überein existierendesNetzwerk (meistensdas Internet), auch bekannt alsVirtuellesPrivatesNetzwerk (VirtualPrivate Network, VPN).Da dasL2TP-Protokoll allein keine Vertraulichkeitmitbringt, wird esoft mit IPsec kombiniert, dasVertraulichkeit, Authentifizierung und Integritätbietet. Die Kombination dieser beiden Protokolle ist auch als L2TP über IPsecbekannt (engl.L2TP over IPsec). Mit L2TP über IPsec können Siemit der gleichen Funktionalität wie PPTPeinzelnen Hosts über einen verschlüsselten IPsec-Tunnel den Zugang zumUnternehmensnetzwerkermöglichen.

16.3.1 AllgemeinAuf der Registerkarte L2TPüber IPsec>Allgemein können Sie die grundlegendenOptionenfür den Fernzugriff über L2TP über IPsec konfigurieren.

Um L2TPüber IPsec zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie L2TP über IPsec auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittServereinstellungen und IP-Adressenzuweisung kann nun bearbeitet werden.

2. Nehmen Sie die folgenden Einstellungen vor:Schnittstelle:Wählen Sie die Netzwerkschnittstelle, die für den L2TP-VPN-Zugangverwendet werden soll.

Auth.-Methode: Sie können zwischen den folgenden Authentifizierungsmethodenwählen:


16 Fernzugriff 16.3 L2TP über IPsec

16.3 L2TP über IPsec 16 Fernzugriff

l Verteilter Schlüssel:Geben Sie ein Kennwort ein, dasals verteilter Schlüsseldient.Die Authentifizierungmit verteilten Schlüsseln (PSK, engl. preshared keys)erfolgt durch Schlüsselmit einem geheimen Kennwort, die vor der eigentlichenVerbindung unter den Beteiligten ausgetauscht werden. Um zu kommunizieren,weisen beideGegenstellen nach, dass sie dasKennwort kennen. Der verteilteSchlüssel ist ein Kennwort, dasdazu benutzt wird, den Datenverkehr mit demVerschlüsselungsalgorithmusvon L2TP zu verschlüsseln. Um die höchstmöglicheSicherheit zu gewährleisten, sollten Sie sich an den gängigenMaßstäben für dieStärke desKennwortesorientieren.Wie sicher solche verteilten Schlüssel sind,hängt davon ab, wie sicher dasKennwort gewählt wurde und wie sicher esübertragen wurde. Kennwörter, die ausallgemeinenWörter bestehen, sind sehranfällig für Wörterbuchangriffe. Daher sollte ein Kennwort ziemlich lang sein undeine Reihe von Buchstaben, Großbuchstaben und Zahlen enthalten. Folglichsollte ein verteilter Schlüssel auch nicht alsAuthentifizierungsmethode verwendet,sondern durch Zertifikate ersetzt werden, wo immer diesmöglich ist.

Hinweis –Wenn Sie den Zugang für iOS-Geräte ermöglichen wollen, müssenSieVerteilter Schlüsselwählen, da iOS-Geräte nur PSK-Authentifizierungunterstützen.

l X.509-CA-Prüfung: Die Authentifizierung durch X.509-Zertifikate erleichtert denAustausch desöffentlichen Schlüssels in großen VPN-Installationenmit vielenTeilnehmern.Eine sogenannte CA (engl. Certificate Authority,Zertifizierungsinstanz) erfasst und überprüft die öffentlichen Schlüssel der VPN-Endpunkte und stellt für jeden Teilnehmer ein Zertifikat aus. DiesesZertifikatenthält Informationen zur Identität desTeilnehmersund den zugehörigenöffentlichen Schlüssel. Da dasZertifikat digital signiert ist, kann niemand anderesein gefälschtesZertifikat verteilen, ohne entdeckt zu werden.Während desSchlüsselaustauschswerden die X.509-Zertifikate ausgetauschtundmithilfe der lokal installierten CAsbeglaubigt. Die eigentliche Authentifizierungder VPN-Endpunkte wird dann durch die öffentlichen und privaten Schlüsseldurchgeführt. Wenn Sie diese Authentifizierungsmethode verwenden wollen,wählen Sie ein X.509-Zertifikat.Beachten Sie, dassSie für die X.509-Authentifizierungsmethode auf derRegisterkarte Fernzugriff > Zertifikatverwaltung >CA eine gültige CA konfigurierthabenmüssen.


IP-Adressen zuweisen durch: IP-Adressen können Sie entweder auseinemfestgelegen IP-Adressenpool zuweisen oder von einemDHCP-Server verteilen lassen:

l Pool-Netzwerk: Standardmäßig ist IP-Adressenpool für die IP-Adressenzuweisung ausgewählt, wobei die NetzwerkdefinitionVPN Pool (L2TP)alsPool-Netzwerk voreingestellt ist.Der VPN Pool (L2TP) ist ein zufälliggeneriertesNetzwerkausdem IP-Adressbereich 10.x.x.x für privateNetzwerke, für dasein Klasse-C-Subnetz verwendet wird. Normalerweise ist esnicht notwendig, das zu ändern, da es sicherstellt, dassdie Benutzer einenbestimmten Adressenpool haben, von dem aussie Verbindungen aufbauenkönnen.Wenn Sie ein anderesNetzwerk verwenden wollen, können Sie einfachdie Definition desVPN Pool (L2TP) ändern oder hier ein anderesNetzwerkals IP-Adressenpool angeben.

Hinweis –Wenn Sie private IP-Adressen für Ihren L2TP-VPN-Pool verwendenund wollen, dass IPsec-Hosts auf das Internet zugreifen dürfen, legen SieentsprechendeMaskierungs- oder NAT-Regeln für den IP-Adressenpool an.

l DHCP-Server:Wenn SieDHCP-Server auswählen, geben Sie auch dieNetzwerkschnittstelle an, über die der DHCP-Server erreichbar ist.Der DHCP-Server mussnicht direkt mit der Schnittstelle verbunden sein – der Zugriff ist auchüber einen Router möglich. Beachten Sie, dassder lokale DHCP-Server nichtunterstützt wird; der hier gewählte DHCP-Server mussauf einem physikalischanderen System laufen.


Um die Konfiguration abzubrechen, klicken Sie aufAktivierung abbrechen oder auf diegelbe Statusampel.

Zugr if fskontro lleAuthentifizierung über: L2TP-Fernzugriff unterstützt nur die lokale und RADIUS-Authentifizierung.

l Lokal:Wenn Sie Lokalwählen, geben Sie die Benutzer und Benutzergruppen an, diesich per L2TP-Fernzugriff verbinden dürfen. Es ist nicht möglich, Backend-Benutzergruppen in dasFeld zu ziehen. Lokale Benutzer müssen Sie auf dem



16.3 L2TP über IPsec 16 Fernzugriff

herkömmlichenWeg hinzufügen und L2TP für sie aktivieren.Wenn keine Benutzer oderGruppen ausgewählt sind, wird L2TP-Fernzugriff ausgeschaltet.

Hinweis –Ähnlich wie beiSSLVPN steht dasMenü Fernzugriff desBenutzerportalsnur Benutzern zur Verfügung, die im FeldBenutzer undGruppen ausgewählt sind undfür die in der UTM eine Benutzerdefinition existiert.In Abhängigkeit von derAuthentifizierungsmethode liegt für autorisierte Benutzer, die sich erfolgreich amBenutzerportal angemeldet haben, der verteilte Schlüssel für IPsec(AuthentifizierungsmethodeVerteilter Schlüssel) oder die DateiPKCS#12(AuthentifizierungsmethodeX.509-CA-Prüfung) sowie ein Link zurInstallationsanleitung bereit, die in der SophosWissensdatenbank zur Verfügung steht.

l RADIUS:Wenn SieRADIUS auswählen, werden die Authentifizierungsanfragen anden RADIUS-Server weitergeleitet.DasL2TP-Modul sendet die folgende NAS-ID anden RADIUS-Server: l2tp.

Der Authentifizierungsalgorithmuswird automatisch zwischen demClient und demServerausgehandelt.Für lokale Benutzer unterstützt SophosUTM die folgendenAuthentifizierungsprotokolle:

l MSCHAPv2

l PAP

Standardmäßig handelt einWindows-Client MSCHAPv2 aus.

Für RADIUS-Benutzer unterstützt SophosUTM folgende Authentifizierungsprotokolle:

l MSCHAPv2

l MSCHAP

l CHAP

l PAP

16.3.2 iOS-GeräteSie können ermöglichen, dassBenutzern von iOS-Geräten eine automatische L2TP-über-IPsec-Konfiguration im Benutzerportal angeboten wird.


https://support.astaro.com/support/index.php/Remote_Access_via_L2TP_over_IPsec_-_Configuration_Guide

https://support.astaro.com/support/index.php/Remote_Access_via_L2TP_over_IPsec_-_Configuration_Guide


Verbindungsname:Geben Sie einen aussagekräftigen Namen für die L2TP über IPsec-Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriffsind aufzubauen.Der Name Ihrer Firma gefolgt vomProtokoll L2TP über IPsec istvoreingestellt.




16.3.3 Fehlersuche









16.4 IPsec 16 Fernzugriff



L2TP-Fehle rsucheWenn die Option Fehlersuche-Modusaktivieren ausgewählt ist, enthält die ProtokolldateiIPsec-VPNweitere Informationen zur Aushandlung von L2TP- oder PPP-Verbindungen.

16.4 IPsecIP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)Kommunikationen durch Verschlüsselung- und/oder Authentifizierung aller IP-Pakete.

Der IPsec-Standard kennt zweiBetriebsarten (Modi) und zweiProtokolle:

l Transportmodus (engl. Transport Mode)

l Tunnelmodus (engl. TunnelMode)

l Authentication Header (AH): Protokoll für Authentifizierung

l Encapsulated SecurityPayload (ESP): Protokoll für Verschlüsselung (undAuthentifizierung)

DesWeiteren bietet IPsecMethoden für die manuelle und die automatische Verwaltung vonSicherheitsverbindungen (SAs, engl. SecurityAssociations) sowie zur Schlüsselverteilung.AlledieseMerkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.

IPsec-ModiIPsec kann entweder im Transportmodusoder im Tunnelmodusarbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jedenModusverwenden.Wenn es sich bei einem der beidenTunnelendpunkte jedoch um ein Astaro SecurityGatewayhandelt, mussder Tunnelmodusverwendet werden.Die IPsec-VPN-Verbindungen auf dieser UTM arbeiten immer imTunnelmodus.

Im Transportmoduswird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paketeingepackt. Der ursprüngliche IP-Header wird beibehalten und dasübrige Paket wirdentweder im Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder daskomplette Paket mit AH authentifiziert oder die Payloadmit Hilfe von ESP verschlüsselt und


authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über dasWANgeschickt.

Im Tunnelmoduswird das komplette Paket – Header und Payload – in ein neues IP-Paketgekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse aufden empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen desgekapselten Paketesbleiben unverändert. DasOriginalpaket kann dannmit AH authentifiziert oder mit ESPauthentifiziert und verschlüsselt werden.

IPsec-ProtokolleIPsec verwendet für die sichere Kommunikation auf IP-Ebene zweiProtokolle:

l Authentication Header (AH): Ein Protokoll für die Authentifizierung von AbsenderneinesPakets sowie zur Überprüfung der Integrität desPaketinhalts.

l Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung desgesamten Pakets sowie für die Authentifizierung seines Inhalts.

DasAuthentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität desPaketinhalts. DesWeiteren überprüft es, ob die Sender- und Empfänger-IP-Adressenwährend der Übertragung geändert wurden. Die Authentifizierung desPakets erfolgt anhandeiner Prüfsumme, diemittels einesHash-basedMessage Authentication Codes (HMAC) inVerbindungmit einemSchlüssel und einemHash-Algorithmusberechnet wurde. Einer derfolgenden Hash-Algorithmenwird verwendet:

l Message Digest Version 5 (MD5): Dieser Algorithmuserzeugt auseiner Nachrichtmit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie einFingerabdruckdesPaketinhalts und ändert sich, wenn die Nachricht verändert wird.Dieser Hash-Wert wirdmanchmal auch als digitale Signatur oder alsMessage Digestbezeichnet.

l Secure Hash (SHA-1): Dieser Algorithmuserzeugt analog zumMD5 einen 160-Bit-langen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer alsMD5.

Der Aufwand, einen Hash-Wert mittelsSHA-1 zu berechnen, ist im Vergleich zumMD5-Algorithmusetwashöher.Die Berechnungsgeschwindigkeit hängt natürlich von derProzessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf SophosUTM verwendet werden.

DasEncapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselungauch dieMöglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.


16 Fernzugriff 16.4 IPsec


Wenn ESP im Tunnelmodusverwendet wird, wird das komplette IP-Paket (Header undPayload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IP-und ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse desEmpfänger-Gatewaysund die Adresse desAbsender-Gateway. Diese IP-Adressen entsprechen denendesVPN-Tunnels.

Für ESPmit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet:

l Triple Data Encryption Standard (3DES)

l Advanced Encryption Standard (AES)

Von diesen bietet AESden höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, diemit AES verwendet werden können, sind 128, 192 oder 256 Bit.SophosUTMunterstütztmehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder derSHA-1-Algorithmusverwendet werden.

NAT-Traversal (NAT-T)NAT-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungenüber NAT-Geräte aufzubauen. Dieswird erreicht, indemUDP-Verkapselung der ESP-Paketebenutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wirdnur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfallswerden normale ESP-Pakete verwendet.

Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich dasGatewayoder ein RoadWarrior hinter einemNAT-Router befindet.Wenn Sie diese Funktion nutzenwollen, müssen allerdingsbeide IPsec-Endpunkte NAT-Traversal unterstützen – daswirdautomatisch ausgehandelt. Zusätzlichmussauf demNAT-Gerät der IPsec-Passthrough(IPsec-Durchreichung) ausgeschaltet sein, da diesNAT-Traversal beeinträchtigen kann.

WennRoadWarriorsNAT-Traversal verwenden wollen, muss ihr entsprechendesBenutzerobjekt imWebAdmin eine Statische Fernzugriffs-IP-Adresse (RAS, engl. remotestatic IP address) besitzen (siehe auchStatische Fernzugriffs-IP verwenden auf der SeiteBenutzer imWebAdmin).

Um zu verhindern, dassder Tunnel abgebaut wird, wenn keine Daten übermittelt werden,sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zurAufrechterhaltung (engl. keep alive).Durch diesesAufrechterhaltungssignalwird sichergestellt,dassder NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.


TOSType-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header.Diese Bitswerden Type-of-Service-Bits genannt, da sie esder übertragenden Anwendung ermöglichen, demNetzwerkmitzuteilen, welche Art von Dienstqualität benötigt wird.

Bei der IPsec-Implementierung von SophosUTMwird der TOS-Wert immer kopiert.

16.4.1 VerbindungenAuf der Registerkarte IPsec>Verbindungen können Sie IPsec-Verbindungen anlegen undbearbeiten.

Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Fernzugriffsregel.DasDialogfenster IPsec-Fernzugriffsregel hinzufügenwird geöffnet.


Schnittstelle:Wählen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt fürden IPsec-Tunnel dienen soll.


Virtueller IP-Pool: Dies ist der IP-Adressenpool, ausdem die Clients eine IP-Adresseerhalten, falls sie keine statische IP-Adresse haben.Der Standardpool istVPN Pool(IPsec), der den privaten IP-Bereich 10.242.4.0/24umfasst. Sie können jedoch aucheinen anderen IP-Adressenpool auswählen.

Richtlinie:Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus.IPsec-Richtlinien können auf der Registerkarte Fernzugriff > IPsec>Richtlinien definiertwerden.

Authentifizierungsmethode:Wählen Sie die Authentifizierungsmethode für dieseRemote-Gateway-Definition aus.Die folgenden Typen sind verfügbar:




l Verteilter Schlüssel: Die Authentifizierungmit verteilten Schlüsseln (PSK, engl.Preshared Keys) verwendet geheime Kennwörter alsSchlüssel. DieseKennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindungaufgebaut wird.Wenn ein neuer VPN-Tunnel aufgebaut ist, überprüft jede Seite,ob die andere Seite dasgeheime Kennwort kennt. Die Sicherheit der PSKshängtvon der Qualität der verwendeten Kennwörter ab: NormaleWörter undAusdrücke fallen schnellWörterbuchangriffen zumOpfer. Permanente oderlängerfristige IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.

l X.509-Zertifikat: DasX.509-Zertifikat basiert auf öffentlichen Schlüsseln undprivaten Schlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüsselzusammenmit zusätzlichen Informationen über den Besitzer desSchlüssels.Solche Zertifikate sind von einer CA (Zertifizierungsinstanz, engl.Certificate Authority) signiert und ausgestellt, der der Besitzer vertraut.Wenn Siediese Authentifizierungsmethodewählen, geben Sie die Benutzer an, die dieseIPsec-Verbindung benutzen dürfen.Es ist nicht möglich, Backend-Benutzergruppen in dasFeld Zugelassene Benutzer zu ziehen.Wenn Sie dieOptionAutomatische Firewallregeln nicht auswählen, müssen Sie entsprechendeFirewallregelnmanuell imMenüNetzwerksicherheit anlegen.

Hinweis –Auf dasBenutzerportal kann nur von Benutzern zugegriffen werden,die im Feld Zugelassene Benutzer ausgewählt sind und für die eineBenutzerdefinition auf der UTM existiert.Autorisierte Benutzer, die sicherfolgreich amBenutzerportal angemeldet haben, finden denSophos IPsecClient (SIC) vor, dessen Konfigurationsdatei, die PKCS#12-Datei sowie einenLink zur Installationsanleitung, die in der UTMKnowledgebase zur Verfügungstehen.

l CA-DN-Vergleich: Bei dieser Authentifizierungsmethode (engl. CADNMatch)wird ein Vergleich desDistinguished Name (DN) der CA-Zertifikate gemacht, umdie Schlüssel der VPN-Endpunkte zu verifizieren.Wenn Sie dieseAuthentifizierungsmethodewählen, wählen Sie eine ZertifizierungsinstanzundeineDN-Maske, die zu den DNsder Fernzugriff-Clients passt.Wählen Sie danacheinenPeer-Subnetzbereich ausoder fügen Sie einen hinzu. Clients ist es nurgestattet sich zu verbinden, wenn die DN-Maske zu derjenigen in ihrem Zertifikatpasst.


https://support.astaro.com/support/index.php/Remote_Access_via_IPsec_-_Configuration_Guide

https://support.astaro.com/support/index.php/Remote_Access_via_IPsec_-_Configuration_Guide

XAUTH aktivieren (optional): XAUTH, erweiterte Authentifizierung (engl. extendedauthentication), sollte aktiviert werden, um von Benutzern eine Authentifizierung gegenkonfigurierte Backends zu verlangen.

Automatische Firewallregeln (optional): Diese Funktion steht nur bei derAuthentifizierungsmethodeX.509-Zertifikat zur Verfügung.Sobald die IPsec-Verbindung erfolgreich aufgebaut wurde, werden die Firewallregelnfür den Datenverkehr automatisch hinzugefügt. Beim Beenden der Verbindung werdendie Paketfilterregeln wieder entfernt.


3. Klicken Sie auf Speichern.Die neue Fernzugriffsregelwird in der ListeVerbindungen angezeigt.

Um eine Fernzugriffsregel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

16.4.2 RichtlinienAuf der Registerkarte Fernzugriff > IPsec>Richtlinien können Sie die Parameter für IPsec-Verbindungen definieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinielegt die Internet-Schlüsselaustausch-Methode (IKE, Internet KeyExchange) und die IPsec-Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eineIPsec-Richtlinie.

Hinweis - SophosUTM unterstützt in IKE-Phase 1 nur den Hauptmodus (engl. mainmode).Der aggressiveModus (engl. aggressivemode) wird nicht unterstützt.

Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.DasDialogfenster IPsec-Richtlinie hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.




IKE-Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt denAlgorithmus fest, der für die Verschlüsselung der IKE-Nachrichten verwendet wird. Diefolgenden Algorithmenwerden unterstützt:

l DES (56 Bit)

l 3DES (168 Bit)

l AES128 (128 Bit)

l AES192 (192 Bit)

l AES256 (256 Bit)

l Blowfish (128 Bit)

l Twofish (128 Bit)

l Serpent (128 Bit)

IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest,welcher Algorithmusverwendet wird, um die Intaktheit der IKE-Nachrichten zu prüfen.Die folgenden Algorithmenwerden unterstützt:

l MD5 (128 Bit)

l SHA1 (160 Bit)

l SHA2 256 (256 Bit)

l SHA2 384 (384 Bit)

l SHA2 512 (512 Bit)

IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die dieIKE-SA (SecurityAssociation, dt. Sicherheitsverbindung) gültig ist und wann die nächsteSchlüsselerneuerung stattfindet. GültigeWerte liegen zwischen 60 und 28800 Sekunden(8 Std.). AlsStandardwert sind 7800 Sekunden voreingestellt.

IKE-DH-Gruppe:Während der Aushandlung einer Verbindung gleichen die beidenGegenstellen auch die aktuellen Schlüssel für die Datenverschlüsselung ab. Für dieGenerierung desSitzungsschlüssels (session key) nutzt IKE denDiffie-Hellman-(DH-)Algorithmus. Dieser Algorithmusgeneriert den Schlüssel per Zufallsprinzip basierendauf sogenannten PoolBits. Die IKE-Gruppe gibt hauptsächlich Aufschlussüber dieAnzahl der PoolBits. Jemehr PoolBits, umso länger ist die zufällige Zahlenkette – jegrößer die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmusgeknackt


werden. Folglich bedeutenmehr PoolBits höhere Sicherheit, wasallerdingsauchbedeutet, dassmehr CPU-Leistung für die Generierung benötigt wird. Momentanwerden die folgenden Diffie-Hellman-Gruppen unterstützt:

l Gruppe 1: MODP768






Hinweis –Gruppe 1 (MODP768) wird allgemein als sehr schwach eingestuft und wirdhier nur ausKompatibilitätsgründen unterstützt.

IPsec-Verschlüsselungsalgorithmus: Die gleichen Verschlüsselungsalgorithmenwie für IKE.

IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmenwie für IKE. Zusätzlich werden noch folgende Algorithmen unterstützt:

SHA2 256 (96 Bit)

SHA2 384 (96 Bit)

SHA2 512 (96 Bit)

Diese sind für die Kompatibilität mit Tunnelendpunkten verfügbar, die nicht RFC 4868entsprechen, beispielsweise frühere UTM-Versionen (d. h. ASG-Versionen) alsV8, unddeshalb keine abgeschnittenen Prüfsummen länger als 96 Bit unterstützen.

IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die dieIPsec-SA (SecurityAssociation, dt. Sicherheitsverbindung) gültig ist und wann dienächste Schlüsselerneuerung stattfindet. GültigeWerte liegen zwischen 60 und 86400Sekunden (1 Tag). AlsStandardwert sind 7800 Sekunden voreingestellt.

IPsec-PFS-Gruppe:Perfect Forward Secrecy (PFS) ist eine Eigenschaft vonVerschlüsselungsverfahren, die sicherstellt, dassauseinem geknackten Schlüssel nichtauf vorhergehende oder nachfolgende Sitzungsschlüssel einerKommunikationsverbindung geschlossen werden kann. Damit PFS besteht, darf der






zumSchutz der IPsec-SA-Verbindung genutzte Schlüssel nicht von demselben zufälligerzeugten Verschlüsselungsmaterial hergeleitet worden sein wie die Schlüssel für dieIKE-SA-Verbindung. Daher initiiert PFS einen zweiten Diffie-Hellman-Schlüsselaustauschmit der Absicht, der ausgewählten DH-Gruppe für die IPsec-Verbindung einen neuen zufällig erzeugten Schlüssel zu übergeben. Eswerden diegleichen DH-Gruppen wie bei IKE unterstützt.Die Aktivierung von PFSwird als sicherer eingestuft, aber esbenötigt auchmehr Zeit beider Aushandlung. Eswird davon abgeraten, PFS auf langsamer Hardware einzusetzen.

Hinweis –PFS ist nicht immer gänzlich kompatibelmit den verschiedenen Herstellern.Wenn Sie Problemewährend der Aushandlung feststellen, schalten Sie diese Funktionaus.

Strikte Richtlinie:Wenn ein IPsec-Gatewayeine Anfrage hinsichtlich einesVerschlüsselungsalgorithmusund der Verschlüsselungsstärke unternimmt, kann esvorkommen, dassdasGatewaydesEmpfängers diese Anfrage akzeptiert, obwohl dasnicht mit der entsprechenden IPsec-Richtlinie übereinstimmt.Wenn Sie dieseOptionwählen und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameterverwenden will, kommt keine IPsec-Verbindung zustande.Angenommen die IPsec-Richtlinie Ihrer UTM verlangt AES-256-Verschlüsselung, wohingegen ein RoadWarriormit SSH-Sentinel sichmit AES-128 verbinden will – wenn die Option für die strikteRichtlinie aktiviert ist, wird die Verbindung abgewiesen.

Hinweis –Die Komprimierungseinstellung wird durch Aktivierung der OptionStrikteRichtlinie nicht erzwungen.

Komprimierung: DieseOption legt fest, ob IP-Pakete vor der Verschlüsselungmit demIP Payload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert dieGröße von IP-Paketen, indem essie komprimiert, um die allgemeineKommunikationsleistung zwischen einemPaar von kommunizierenden Hosts oderGateways zu erhöhen. Komprimierung ist standardmäßig ausgeschaltet.


3. Klicken Sie auf Speichern.Die neue Richtlinie wird in der ListeRichtlinien angezeigt.


Umeine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.

16.4.3 ErweitertAuf der Registerkarte Fernzugriff > IPsec>Erweitert können Sie die erweiterten Einstellungenfür IPsec-VPN vornehmen.Abhängig von Ihrer bevorzugten Authentifizierungsmethodekönnen Sie unter anderem das lokale Zertifikat (für X.509-Authentifizierung) und den lokalenRSA-Schlüssel (für RSA-Authentifizierung) festlegen. Diese Einstellungen sollten nur vonerfahrenen Benutzern durchgeführt werden.

Loka les X.509-Zer tif ika tBei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüsselder VPN-Endpunkte zu überprüfen.Wenn Sie diese Authentifizierungsmethode verwendenwollen, müssen Sie im Abschnitt LokalesX.509-Zertifikat ein lokalesZertifikat ausderAuswahlliste wählen. Dasausgewählte Zertifikat bzw. Schlüsselwird anschließend dafürgenutzt, um dasGatewaygegenüber Gegenstellen zu authentifizieren, fallsX.509-Authentifizierung ausgewählt ist.

Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhandenist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.

Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines imMenüZertifikatverwaltung hinzufügen, entweder indemSie ein neueserzeugen oder indemSie einesüber die Upload-Funktion importieren.

NachdemSie dasZertifikat ausgewählt haben, geben Sie dasKennwort ein, mit dem derprivate Schlüssel geschützt ist. Während desSpeichervorgangswird dasKennwort verifiziertund eine Fehlermeldung angezeigt, falls dasKennwort nicht zum verschlüsselten Schlüsselpasst.

Sobald ein aktiver Schlüssel oder ein Zertifikat ausgewählt ist, wird er/es im Abschnitt LokalesX.509-Zertifikat angezeigt.

Dead Peer Detection (DPD)Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenndasVPN-Gatewayoder der Client auf der Gegenseite nicht erreichbar ist. BeiVerbindungenmit statischen Endpunkten wird der Tunnel nach einemAusfall automatisch neu ausgehandelt.Für Verbindungenmit dynamischen Endpunkten wird für eine neue Aushandlung desTunnels




die Anfrage seitensder Gegenstelle benötigt. In der Regel ist diese Funktion betriebssicher undkann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob dieGegenstelle Dead Peer Detection unterstützt oder nicht, und verwenden den normalenModus,falls nötig.

NAT-Traversa l (NAT-T)NAT-Traversal verwenden:Wählen Sie dieseOption, um zu ermöglichen, dass IPsec-Verkehr Upstream-Systeme passieren kann, dieNetworkAddressTranslation (NAT, dt.Netzwerkadressumsetzung) verwenden. Zusätzlich können Sie das Intervall für dieAufrechterhaltung (engl. keep-alive) für NAT-Traversal festlegen.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

CRL-HandhabungEssind Situationen denkbar, in denen ein Zertifikataussteller noch während derGültigkeitsdauer einesZertifikats die darin gegebene Bestätigung für ungültig erklärenmöchte,z. B. weil zwischenzeitlich bekannt wurde, dassdasZertifikat vom Zertifikatnehmer unterAngabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifiziertenöffentlichen Schlüssel gehörende private Schlüssel einemAngreifer in die Hände gefallen ist.Zudiesem Zweckwerden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate RevocationLists) verwendet. Diese enthalten üblicherweise die Seriennummern derjenigen Zertifikateeiner Zertifizierungsinstanz, die für ungültig erklärt werden und deren regulärerGültigkeitszeitraum noch nicht abgelaufen ist.Nach Ablauf diesesZeitraumsbesitzt dasZertifikat in jedem Fall keine Gültigkeit mehr undmussdaher auch nicht weiter auf der Zertifikatsperrliste geführt werden.

Automatische Abholung:Mit dieser Funktion wird die CRL automatisch über die URLabgeholt, die im Partnerzertifikat angegeben ist, via HTTP, anonymesFTP (AnonymousFTP)oder LDAPVersion 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert undaktualisiert werden, sobald der Gültigkeitszeitraum abgelaufen ist. Wenn Sie diese Funktionnutzen (jedoch nicht über Port 80 oder 443), achten Sie darauf, dassdie Firewallregeln sogesetzt sind, dassauf den CRL-Distributionsserver zugegriffen werden kann.

Strikte Richtlinie:Wenn Sie dieseOption auswählen, werden alle Partnerzertifikate ohneeine zugehörige CRL zurückgewiesen.

Probing von ver te ilten Schlüsse lnFür IPsec-Verbindungen, die im Nur-Antworten-Modus (engl. respond-only) arbeiten, könnenSie festlegen, dassmehrere verteilte Schlüssel (PSK, engl. preshared keys) für jede IPsec-


Verbindung zugelassen sind.

Probing von verteilten Schlüsseln:Markieren Sie dasAuswahlkästchen, um die Funktionzu aktivieren. DieseOption betrifft L2TP-über-IPsec-, IPsec-Fernzugriff- und IPsec-Site-to-Site-Verbindungen.

16.4.4 Fehlersuche









16.5 HTML5-VPN-PortalDasHTML5-VPN-Portal ermöglicht Benutzern in externen Netzwerken den Zugriff auf interneRessourcen über vorkonfigurierte Verbindungsarten und einen normalenWebbrowser ohnezusätzliche Plug-ins.Der Benutzer meldet sich dafür amBenutzerportal der UTM an. Auf derRegisterkarteHTML5-VPN-Portalwird eine Liste aller Verbindungen angezeigt, die für diesenBenutzer definiert sind.Wenn der Benutzer auf die SchaltflächeVerbinden klickt, wird eineVerbindung zur festgelegten internen Ressource hergestellt. AlsAdministrator müssen Siediese Verbindungen erst erstellen sowie zugelassene Benutzer, die Verbindungsart undandere Einstellungen festlegen. Der Zugriff auf interne Ressourcen kann über verschiedeneVerbindungsarten erfolgen: Remote Desktop Protocol (RDP) oder VirtualNetworkComputing


16 Fernzugriff 16.5 HTML5-VPN-Portal

16.5 HTML5-VPN-Portal 16 Fernzugriff

(VNC) für den Zugriff auf entfernte Computer, einen Browser für Webanwendungen(HTTP/HTTPS) oder Telnet/Secure Shell (SSH) für Terminal-Sitzungen.

Mit dieser Funktion können Siemehreren Benutzern Zugriff auf interne Ressourcen geben,auch wenn diese von sich aus keinenMehrbenutzerzugriff unterstützen (z. B.Netzwerkhardware wie Switches). Auch lässt sich damit der Zugriff auf einen bestimmtenDienst beschränken, anstatt Vollzugriff auf ganze Systeme oder Netzwerke zu gewähren.

Beispiele:

l Geben Sie einem Telekommunikationsanbieter beschränkten Zugriff, damit er IhreTelefoninfrastruktur warten kann.

l Erlauben Sie den Zugriff auf eine bestimmte interneWebsite, z. B. das Intranet.

Hinweise zur Verwendung im Benutzerportal

Hinweis –Der Browser desBenutzersmussHTML5 undWebSocket unterstützen. AndereBrowser können Flash verwenden, was jedoch die Installation desFlash-Plug-insvoraussetzt. Ab den folgenden Browser-Versionenmuss kein Flash-Plug-in installiertsein: Firefox6.0, Internet Explorer 10, Chrome, Safari 5 (nicht beim BetriebssystemWindows).

Im Benutzerportal kann der Benutzer eine Verbindung beenden oder trennen, indem er dieentsprechendeOption in einemMenü auswählt, daseingeblendet wird, sobald er denMauszeiger über den oberen Fensterrand bewegt.

l Mit demBefehlSitzung beenden imMenüVerbindung oder durch Schließen desBrowser-Fensters (x-Symbol in der Titelleiste) wird die Verbindung geschlossen. DerBenutzer kann über den Link im Benutzerportal eine neue Sitzung starten.

l Der BefehlTrennen imMenüVerbindung trennt die Verbindung. Der Sitzungsstatuswird für die Dauer von fünf Minuten gespeichert. Meldet sich der Benutzer währenddiesesZeitraumswieder an, kann er die letzte Sitzung fortsetzen.

Das zusätzliche Tastatur-Menü bietet Zugriff auf hilfreiche Funktionstasten undTastenkürzel.ImMenü Tastatur > Tastatur-Layout können Sie dasTastatur-Layout fürRemotedesktopsitzungenmit einemWindows-Host ändern. Besonders für dieWindows-Anmeldung gilt, dassdie ausgewählte Sprachemit dem Tastatur-Layout desWindows-Systemsübereinstimmen sollte, um eine korrekte Kennworteingabe zu ermöglichen.


16.5.1 AllgemeinAuf der Registerkarte Fernzugriff >HTML5-VPN-Portal >Allgemein können Sie dasHTML5-VPN-Portal einschalten und die VPN-Portal-Verbindungen verwalten.Zugelassene Benutzerkönnen auf der RegisterkarteHTML5-VPN-Portal im Benutzerportal auf die für siefreigegebenen Verbindungen zugreifen.

Um dasHTML5-VPN-Portal zu aktivieren und eine neue HTML5-VPN-Verbindung zuerstellen, gehen Sie folgendermaßen vor:

1. Aktivieren Sie das HTML5-VPN-Portal.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und der AbschnittVerbindungen kann nun bearbeitetwerden. Jetzt können zugelassene Benutzer alle vorhandenen, für sie freigegebenenVerbindungen im Benutzerportal sehen.

2. Klicken Sie auf die SchaltflächeNeue HTML5-VPN-Portal-Verbindung.DasDialogfenster HTML5-VPN-Portal-Verbindung hinzufügenwird geöffnet.


Verbindungstyp:Wählen Sie den Verbindungstyp aus. Je nachdem, welchenVerbindungstyp Sie auswählen, werden verschiedene Einstellungen angezeigt. Diefolgenden Typen sind verfügbar:

l Remotedesktop: Fernzugriff über Remote Desktop Protocol (RDP), z. B. füreine Remotedesktopsitzung auf einemWindows-Host.

l Webapp (HTTP): Browserbasierter Zugriff aufWebanwendungen über HTTP.

l Webapp (HTTPS): Browserbasierter Zugriff aufWebanwendungen überHTTPS.

Hinweis –Die für die HTTP/HTTPS-Verbindung verwendete URL setzt sichausden Verbindungsoptionen Ziel,Port undPfad zusammen.

l Telnet: Terminalzugriff über dasTelnet-Protokoll, z. B. für den Zugriff auf einenSwitch oder einen Drucker.

l SSH: Terminalzugriff über SSH.



16.5 HTML5-VPN-Portal 16 Fernzugriff

l VNC: Terminalzugriff über VirtualNetworkComputing (VNC), z. B. für eineRemotedesktopverbindungmit einem Linux/Unix-Host.

Ziel:Geben Sie hier den Host an, mit dem sich zugelassene Benutzer verbinden dürfen.

Hinweis –Wenn der ausgewählte Zielhost ein selbstsigniertesZertifikat bereitstellt,mussder CN (CommonName) desZertifikatsmit demNamen IhresZielhostsübereinstimmen. Andernfallswird demBenutzer im Portal-Browser einWarnhinweisangezeigt.Wenn Sie zumBeispiel den DNS-Hostwww.meinedomaene.deverwenden, mussdieser Name im selbstsignierten Zertifikat enthalten sein.Wenn Sieanstelle einesDNS-Hosts einen Host verwenden, mussdas selbstsignierte Zertifikatdie IP-Adresse desHosts alsSubject Alternative Name enthalten.

Pfad (nur bei denWebapp-Verbindungstypen): Geben Sie hier den Pfad ein, mit demsich zugelassene Benutzer verbinden dürfen.

Benutzername (nur beim VerbindungstypSSH): Geben Sie den Benutzernamen ein,den der Benutzer für die Verbindung verwenden soll.

Automatisch anmelden/Automatisch anmelden (einfache Auth.): Wenn aktiviert,können sich Benutzer ohne Kenntnis der Authentifizierungsdaten anmelden. In diesemFallmüssen Sie die Authentifizierungsdaten bereitstellen. Je nach Verbindungstypwerden unterschiedlicheOptionen angezeigt:

l Benutzername:Geben Sie den Benutzernamen ein, den Benutzer für dieVerbindung verwenden sollen.

l Kennwort:Geben Sie dasKennwort ein, dasBenutzer für die Verbindungverwenden sollen.

l Authentifizierungsmethode (nur beim VerbindungstypSSH): Wählen Sie dieSSH-Authentifizierungsmethode. Sie können entweder dasKennwort für denausgewählten Benutzernamen angeben oder denPrivaten SSH-Schlüssel für dieSSH-Verbindung.

SSL-Hostzertifikat (nur beim VerbindungstypHTTPS): Fügen Sie dasSSL-Host-Sicherheitszertifikat hinzu, mit dem der Zielhost identifiziert wird.

l SSL-Zertifikat: Klicken Sie auf die SchaltflächeAbrufen, um dasZertifikatautomatisch zum ausgewählten Zielhost hinzuzufügen.


Öffentlicher Host-Schlüssel (nur beim VerbindungstypSSH): Fügen Sie denöffentlichen Schlüssel desSSH-Hosts hinzu.

l Öffentlicher SSH-Schlüssel: Klicken Sie auf die SchaltflächeAbrufen, um denöffentlichen SSH-Schlüssel desausgewählten Zielhosts automatisch abzurufen.

Zugelassene Benutzer (Benutzerportal):Wählen Sie die Benutzer oder Gruppenaus, die Zugriff auf die VPN-Portal-Verbindung haben sollen. Standardmäßig kann eineVerbindung immer nur von einemBenutzer gleichzeitig verwendet werden.Wenn Siemöchten, dasseine Verbindung vonmehreren Benutzern gleichzeitig verwendetwerden kann, aktivieren Sie dasAuswahlfeldShared session im AbschnittErweitert.

Hinweis –Wenn Sie eine Gruppemit Backend-Mitgliedschaft hinzufügen, mussdieseGruppe für dasBenutzerportal zugelassen sein.Auf der RegisterkarteVerwaltung >Benutzerportal >Allgemeinwählen Sie dafür entweder Alle Benutzer zulassen oderNur bestimmte Benutzer zulassen und fügen Sie die fraglicheGruppe explizit hinzu.Wenn Sie nur einzelneGruppenmitglieder für dasBenutzerportal zulassen, erhaltendiese keinen Zugriff auf dieselben Verbindungen wie die Gruppe.


4. The options displayed depend on the selected Type above.

Port:Geben Sie eine Portnummer für die Verbindung ein. Standardmäßig ist dies derStandardport desausgewählten Verbindungstyps.

Shared session: Wählen Sie dieseOption, damit eine Verbindung vonmehrerenBenutzern gleichzeitig verwendet werden kann. Den Benutzern wird derselbe Bildschirmangezeigt.

5. Klicken Sie auf Speichern.Die neue Verbindung wird in der ListeVerbindungen angezeigt.

6. Aktivieren Sie die Verbindung.Aktivieren Sie die Verbindung durch einen Klick auf die Statusampel.

Die Verbindung kann jetzt von den zugelassenen Benutzern verwendet werden.Siefinden sie auf der RegisterkarteHTML5-VPN-PortaldesBenutzerportals.

Um eine Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechendenSchaltflächen.



16.6 Cisco VPN Client 16 Fernzugriff

16.6 Cisco VPNClientSophosUTMunterstützt IPsec-Fernzugriff über Cisco VPN Client.Der Cisco VPN Client ist einausführbaresProgramm vonCisco Systems, dasesermöglicht, entfernte Computer aufsichereWeisemit einem virtuellen privaten Netzwerk (VPN, VirtualPrivate Network) zuverbinden.

16.6.1 AllgemeinAuf der Registerkarte Fernzugriff >Cisco VPN Client >Allgemein können Sie diegrundlegendenOptionen für den Fernzugriff über Cisco VPN Client konfigurieren.

UmSophosUTM so zu konfigurieren, dassCisco-VPN-Client-Verbindungen zulässig sind,gehen Sie folgendermaßen vor:

1. Aktivieren Sie Cisco VPN Client auf der Registerkarte Allgemein.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittServereinstellungen kann nun bearbeitetwerden.

2. Nehmen Sie die folgenden Einstellungen vor:Schnittstelle:Wählen Sie eine Schnittstelle, die für Cisco-VPN-Client-Verbindungenverwendet werden soll.

Serverzertifikat:Wählen Sie dasZertifikat, mit dem sich der Server gegenüber demClient identifizieren soll.

Pool-Netzwerk:Wählen Sie einen Netzwerk-Pool, dessen virtuelle Netzwerkadressenden Clients zugewiesen werden sollen, wenn sie sich verbinden.VPN Pool (Cisco) istvorausgewählt.

Benutzer und Gruppen:Wählen Sie Benutzer und/oder Gruppen, die sichmit UTMüber Cisco VPN Client verbinden dürfen. Es ist jedoch nicht möglich, Backend-Mitgliedschaftsgruppen in dasFeld zu ziehen, weil zum Zeitpunkt der IPsec-Konfiguration ein Benutzerzertifikat benötigt wird. DiesesZertifikat wird aber nurerzeugt, wenn sich ein Benutzer zum erstenMal erfolgreich angemeldet hat.



Automatische Firewallregeln (optional): Sobald die IPsec-Verbindung erfolgreichaufgebaut wurde, werden die Firewallregeln für den betreffenden Datenverkehrautomatisch hinzugefügt. Beim Beenden der Verbindung werden die Paketfilterregelnwieder entfernt.


Live -Protoko llVerwenden Sie dasLive-Protokoll, um die Verbindungs-Protokolleinträge des IPsec-IKE-Daemon-Protokolls zu verfolgen. Es zeigt Informationen zumAufbau, der Aufrechterhaltungund der Beendigung von Verbindungen an.

16.6.2 iOS-GeräteSie können ermöglichen, dassBenutzern von iOS-Geräten eine automatische Cisco-IPsec-Konfiguration im Benutzerportal angeboten wird.


Verbindungsname:Geben Sie einen aussagekräftigen Namen für die Cisco IPsec-Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriffsind aufzubauen.Der Name Ihrer Firma gefolgt vomProtokollCisco IPsec ist voreingestellt.





16 Fernzugriff 16.6 Cisco VPN Client

16.7 Erweitert 16 Fernzugriff

Eine VPN-Verbindung auf Anfrage aufbauen:Wählen Sie dieseOption, um automatischeine Verbindung aufzubauen, sobald eseine Übereinstimmungmit einem der Hostnamen odereiner der Domänen gibt.

Beachten Sie, dass iOS-Geräten, die sich verbinden, dasServerzertifikat gezeigt wird, dasaufder RegisterkarteAllgemein definiert ist.Das iOS-Gerät überprüft dann, ob die VPN-ID diesesZertifikatsmit demServer-Hostnamen übereinstimmt, und lehnt die Verbindung ab, wenn eskeine Übereinstimmung gibt.Wenn dasServerzertifikat einenDistinguished Name alsVPN-IDverwendet, vergleicht das iOS-Gerät den Server-Hostnamen stattdessenmit dem FeldAllgemeiner Name (CommonName).Siemüssen sicherstellen, dassdasServer-Zertifikatdiese Bedingungen erfüllt.

16.6.3 Fehlersuche









16.7 ErweitertAuf der Seite Fernzugriff > Erweitert können Sie die erweiterten Einstellungen für dieFernzugriff-Clients durchführen.Die IP-Adressen der DNS- undWINS-Server, die Sie hierangeben, werden für die Benutzung durch Fernzugriff-Clientswährend des


Verbindungsaufbausmit demGatewayzur Verfügung gestellt, wodurch eine vollständigeNamensauflösung für Ihre Domäne gewährleistet wird.

DNS-Server: Sie können bis zu zweiDNS-Server für Ihr Unternehmen definieren.

WINS-Server: Sie können bis zu zweiWINS-Server für Ihr Unternehmen definieren.WindowsInternet Naming Service (WINS, dt.Windows Internet Namensdienst) ist MicrosoftsImplementierung desNetBIOSNameServer (NBNS) für Windows-Betriebssysteme. UntermStrichmachtWINS für NetBIOS-Namen das, wasDNS für Domänennamenmacht: einenzentralen Abgleich zwischen Hostnamen und IP-Adressen.

Domänenname:Geben Sie den FullyQualified Domain Name (FQDN) IhresUnternehmensein.Dies ist ein eindeutiger Domänenname, der in einer DNS-Baumstruktur die absolutePosition desKnotens spezifiziert, z. B. intranet.beispiel.de.

Hinweis –BeiPPTPund L2TPüber IPsec kann der Domänenname nicht automatischverteilt werden – er mussauf demClient manuell konfiguriert werden.Bei iOS-Geräten, die Cisco VPN Client verwenden, wird der oben angegebene DNS-Servernur dazu verwendet, Hosts aufzulösen, die zu der definierten Domäne gehören.

16.8 ZertifikatverwaltungÜber dasMenü Fernzugriff > Zertifikatverwaltung, dasdieselben Konfigurationsoptionenenthält wie dasMenüSite-to-Site-VPN >Zertifikatverwaltung, können Sie allezertifikatbezogenen Vorgänge von SophosUTM verwalten.Dasbeinhaltet unter anderem dasAnlegen und Importieren von X.509-Zertifikaten ebenso wie dasHochladen sogenannterZertifikatsperrlisten (CRLs).

16.8.1 ZertifikateGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Zertifikate.

16.8.2 CAGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >CA.

16.8.3 Sperrlisten (CRLs)Gehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Sperrlisten (CRLs).


16 Fernzugriff 16.8 Zertifikatverwaltung

16.8 Zertifikatverwaltung 16 Fernzugriff

16.8.4 ErweitertGehen Sie zuSite-to-Site-VPN >Zertifikatverwaltung >Erweitert.


17 Protokolle & BerichteDiesesKapitel beschreibt die Protokoll- und Berichtsfunktionen von SophosUTM.

SophosUTMbietet umfangreiche Protokollfunktionen, indem esdie verschiedenen Ereignissebetreffend den Schutz desSystemsund desNetzwerksdauernd überwacht.Aufgrund derdetaillierten historischen Informationen und den aktuellen Analysen der verschiedenenNetzwerkaktivitäten können potenzielle Sicherheitsbedrohungen identifiziert oderaufkommende Probleme verhindert werden.

Die Berichtsfunktion von SophosUTM bietet System- und Netzwerkinformationen in Echtzeit.Dafür werden die Informationen ausden Protokolldateien gesammelt und in grafischer Formdargestellt.

Die SeiteProtokollpartitionsstatus inWebAdmin zeigt den aktuellen StatusderProtokollpartition auf SophosUTM an, einschließlich Informationen zum verbleibendenSpeicherplatz, der Zuwachsrate sowie einesHistogrammsüber die Nutzung derProtokollpartition über die letzten vier Wochen. Für die Berechnung der durchschnittlichenZuwachsrate wird dasaktuelle Datenvolumen durch die verstrichene Zeit dividiert – dieAngaben sind daher zu Beginn etwasungenau.


l Protokollansicht

l Hardware

l Netzwerknutzung

l NetworkProtection

l WebProtection

l Email Protection

l Fernzugriff


l Gesamtbericht

l Protokolleinstellungen

l Berichteinstellungen

17 Protokolle & Berichte

Flash-basierte BerichteAb Version 8 zeigt SophosUTMBerichtsdaten-Diagramme standardmäßig alsAdobe®

Flash®-Animationen an. Diese Flash-Diagramme ermöglichen einen detaillierteren Zugang zuden Informationen, die die Grundlage für ein Diagramm bilden, als die vorher verwendetenstatischen Bilder.Wenn Sie jedoch den Berichtstyp V7 bevorzugen, können Sie zur statischenDarstellung zurückkehren, indemSie die Benutzereinstellungen anpassen (sieheVerwaltung >WebAdmin-Einstellungen >Benutzereinstellungen).

LiniendiagrammeDer Umgangmit Flash-Liniendiagrammen ist einfach:Wenn Siemit demMauszeiger über einDiagramm fahren, erscheint ein Punkt, der Ihnen detaillierte Informationen zu diesem Teil desDiagramms liefert. Der Punkt haftet an der Linie desDiagramms. Er folgt den Bewegungen desMauszeigers.Wenn ein Diagrammmehrere Linien hat, wechselt der Punkt zwischen ihnen, jenachdem, wohin Sie denMauszeiger bewegen. Darüber hinausändert der Punkt seine Farbein Abhängigkeit davon, auf welche Linie sich seine Informationen beziehen. Das ist besondersnützlich, wenn Linien eng nebeneinander liegen.

Bild 23 Berichte: Beispiel eines Flash-basierten Liniendiagramms

TortendiagrammeÄhnlich wie bei den Flash-Liniendiagrammen können Siemit den Tortendiagrammeninteragieren: Fahren Siemit demMauszeiger über ein StückeinesTortendiagramms. DiesesStückwird sofort vomRest desTortendiagrammshervorgehoben und der Tooltip zeigtInformationen zum hervorgehobenen Stück.


Bild 24 Berichte: Beispiel eines Flash-basierten Tortendiagramms

17.1 ProtokollansichtImMenüProtokolle &Berichte >Protokollansicht können die verschiedenen Protokolldateienangesehen und durchsucht werden.

17.1.1 Heutige ProtokolldateienAuf der RegisterkarteProtokolle &Berichte >Protokollansicht >Heutige Protokolldateienkönnen Sie auf alle aktuellen Protokolldateien zugreifen.

Diese Registerkarte bietet außerdem einige Aktionen, die auf alle Protokolldateienangewendet werden können. Die folgenden Aktionen sindmöglich:

l Live-Protokoll: Ein Klick auf diese Schaltfläche öffnet ein neuesFenster, in demSie dasProtokoll in Echtzeit mitverfolgen können. Neue Zeilen werden der Protokolldatei inEchtzeit hinzugefügt.WennAutoscrolleingeschaltet ist, läuft der Text im Fenster mit,sodass immer die aktuellsten Einträge angezeigt werden. DesWeiteren können Siemitder Filterfunktion die Anzeige neuer Protokolleinträge einschränken, sodassnur jeneEinträge angezeigt werden, die mit demAusdruck im Filter übereinstimmen.

l Ansicht: Ein Pop-Up-Fenster wird geöffnet, in dem der aktuelle Stand derProtokolldatei angezeigt wird.

l Löschen: Löscht den Inhalt der Protokolldatei.

Mit der Auswahlliste unterhalb der Tabelle können Sie vorher ausgewählte Protokolldateienentweder alszip-Datei herunterladen oder den Inhalt der Dateien auf einmal löschen.

Hinweis -UmProblemen beimHerunterladen von Dateienmit dem Internet Explorer 6vorzubeugen, fügen Sie die URL desGateways (z. B. https://192.168.2.100) denvertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese EinstellungenimMenüExtras> Internetoptionen >Sicherheit. Aktivieren Sie beim Internet Explorer 7zusätzlich im Fenster Sicherheitseinstellungen die FunktionAutomatischeEingabeaufforderung für Dateidownloads. Es kann vorkommen, dassdasLive-Protokoll


17 Protokolle & Berichte 17.1 Protokollansicht

17.1 Protokollansicht 17 Protokolle & Berichte

aufhört, Zeilen hinzuzufügen.Versuchen Sie in diesem Fall, dasProblem im Fenster desLive-Protokolls durch Drücken von F5 (Aktualisieren) zu beheben.

17.1.2 Archivierte ProtokolldateienAuf der RegisterkarteProtokolle &Berichte >Protokollansicht >Archivierte Protokolldateienkönnen Sie dasProtokollarchiv verwalten. Alle Protokolldateien werden täglich archiviert.Umauf eine archivierte Protokolldatei zuzugreifen, wählen Sie dasTeilsystem von SophosUTMaus, für dasdie Protokolle erstellt werden, sowie ein Jahr und einenMonat.

Alle verfügbaren Protokolldateien, die Ihrer Auswahl entsprechen, werden in chronologischerReihenfolge angezeigt.Sei können die archivierten Protokolldateien entweder aufrufen oder imzip-Format herunterladen.

Mit der Auswahlliste unterhalb der Tabelle können Sie vorher ausgewählte Protokolldateienentweder alszip-Datei herunterladen oder alle auf einmal löschen.


17.1.3 Protokolldateien durchsuchenAuf der RegisterkarteProtokolle &Berichte >Protokollansicht >Protokolldateien durchsuchenkönnen Sie Ihre lokalen Protokolldateien nach bestimmten Zeiträumen durchsuchen.WählenSie zunächst eine Protokolldatei, die Sie durchsuchen wollen. Geben Sie dann einenSuchbegriff ein und wählen Sie einen Zeitraum.Wenn SieBenutzerdefinierter Zeitraum unterZeitraum auswählen, können Sie ein Start- und Enddatum angeben.NachdemSie aufSuchestarten geklickt haben, wird ein neuesFenster geöffnet, in dem die Ergebnisse Ihrer Sucheangezeigt werden. Je nach Browser kann esnötig sein, Pop-Up-Fenster für WebAdmin zuerlauben.


17.2 Hardware

17.2.1 TäglichDie RegisterkarteHardware >Täglich bietet umfangreiche statistische Informationen zu denfolgenden Hardware-Komponenten für die letzten 24 Stunden:

l CPU Usage: CPU-Auslastung

17.2.2 WöchentlichDie RegisterkarteHardware >Wöchentlich bietet umfangreiche statistische Informationen zuausgewählten Hardware-Komponenten für die letzten sieben Tage.Die einzelnenHistogrammewerden im Abschnitt Täglich beschrieben.

17.2.3 MonatlichDie RegisterkarteHardware >Monatlich bietet umfangreiche statistische Informationen zuausgewählten Hardware-Komponenten für die letzten vier Wochen.Die einzelnenHistogrammewerden im Abschnitt Täglich beschrieben.

17.2.4 JährlichDie RegisterkarteHardware > Jährlich bietet umfangreiche statistische Informationen zuausgewählten Hardware-Komponenten für die letzten zwölf Monate.Die einzelnenHistogrammewerden im Abschnitt Täglich beschrieben.

17.3 NetzwerknutzungDasMenüProtokolle &Berichte >Netzwerknutzung bietet einen statistischen Überblick überden Datenverkehr, der jede Schnittstelle von SophosUTM passiert, für verschiedeneZeiträume. Zur Darstellung werden die folgendenMaßeinheiten verwendet:

l u (Mikro, 10e-6)

l m (Milli, 10e-3)


17 Protokolle & Berichte 17.2 Hardware

17.3 Netzwerknutzung 17 Protokolle & Berichte

l k (Kilo, 10e3)

l M (Mega, 10e6)

l G(Giga, 10e9)

Beachten Sie, dassdie Skalierung zwischen 10e-18 bis 10e8 variiert.

17.3.1 TäglichDie RegisterkarteNetzwerknutzung >Täglich bietet umfangreiche statistische InformationenzumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten 24 Stunden.

JedesDiagramm enthält zwei grafische Darstellungen:

l Inbound: Eingehender Datenverkehr auf dieser Schnittstelle in Bit pro Sekunde.

l Outbound: Ausgehender Datenverkehr auf dieser Schnittstelle in Bit pro Sekunde.

DasDiagrammConcurrent Connections zeigt die Anzahl der gleichzeitigen Verbindungen.

17.3.2 WöchentlichDie RegisterkarteNetzwerknutzung >Wöchentlich bietet umfangreiche statistischeInformationen zumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten siebenTagen.Die einzelnen Histogrammewerden im Abschnitt Täglich beschrieben.

17.3.3 MonatlichDie RegisterkarteNetzwerknutzung >Monatlich bietet umfangreiche statistische InformationenzumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten vier Wochen.Die einzelnenHistogrammewerden im Abschnitt Täglich beschrieben.

17.3.4 JährlichDie RegisterkarteNetzwerknutzung > Jährlich bietet umfangreiche statistische InformationenzumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten zwölf Monaten.Dieeinzelnen Histogrammewerden im Abschnitt Täglich beschrieben.


17.3.5 BandbreitennutzungDie RegisterkarteNetzwerknutzung >Bandbreitennutzung bietet umfangreiche statistischeInformationen zu Datenverkehr, der an, von und durch dasSystem gesendet wurde.

Wenn Sie auf eine IP-Adresse oder einen Hostnamen in der Ergebnistabelle der AnsichtByClient/ByServer (nach Client/nach Server) klicken, wird diese Auswahl automatisch alsFilterfür die Ansicht Top ServicesByClient (Häufigste Dienste nach Client) verwendet.Sie könnendie Ansicht auch zu Top ServicesbyServer (Häufigste Dienste nach Server) ändern, odermanuell ein(e) IP/Netzwerkangeben sowie Netzwerkbereiche (z. B. 192.168.1.0/24oder10/8) und diese Einstellungen durch einen Klick auf die SchaltflächeUpdate bestätigen.Bei den AnsichtenByService (Nach Dienst) können Sie ein Protokoll und einen Dienst,getrennt durch ein Komma, angeben, (z. B. TCP,SMTP,UDP,6000).Ohne Angabe desProtokollswird automatisch von TCPausgegangen (HTTP ist z. B. auch gültig). Wenn esproSeite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indemSie dieSchaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.

Top Applications/Top Application Groups (Häufigste Anwendungen/HäufigsteAnwendungsgruppen): Ist Application Control deaktiviert, wird der Netzwerkverkehr als„nicht klassifiziert“ angezeigt. Ist Application Control aktiviert, wird der Netzwerkverkehr nachTyp angezeigt, z. B. „WebAdmin“, „NTP“, „facebook“ usw.Weitere Informationen zuApplication Control finden Sie im KapitelWebProtection >Application Control.

Sie können die Daten im PDF- oder Excel-Format herunterladen, indemSie auf dieentsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Berichtwird ausder aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagrammanzeigen lassen, indemSie auf dasKreisdiagramm-Symbol – falls vorhanden – klicken.

Bitte beachten Sie, dassdie Bezeichnungen IN undOUT für Datenverkehr je nachBetrachtungsweise variieren können.Wenn der Proxyeingeschaltet ist, verbinden sich dieClients auf Port 8080mit der UTM (auch im Transparenzmodus), sodassDaten, die von denClients gesendet werden (die Anfrage), auf der internen Netzwerkschnittstelle alseingehenderVerkehr, und Daten, die an den Client gesendet werden (die Antwort), alsausgehenderVerkehr angesehen werden.

Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.Um beispielsweise alle Hosts nach dem eingehenden Verkehr zusortieren, klicken Sie auf die Überschrift IN. Der Host mit demmeisten Datenverkehr wird


17 Protokolle & Berichte 17.3 Netzwerknutzung

17.4 NetworkProtection 17 Protokolle & Berichte

dann ganzoben angezeigt.Beachten Sie, dassdie Informationen für den Datenverkehr inKibibyte (KiB) undMebibytes (MiB), beidesEinheiten desComputerspeichersmit der Basis 2,angegeben sind (z. B. 1 Kibibyte = 210Byte = 1024 Byte).

17.4 Network ProtectionDie Registerkarten desMenüsProtokolle &Berichte >NetworkProtection bieten einenstatistischen Überblick über Ereignisse im Angriffschutzsystem desNetzwerks, die von SophosUTM registriert wurden.

17.4.1 TäglichDie RegisterkarteNetworkProtection >Täglich bietet umfangreiche statistische Informationenzu den folgenden Ereignissen der letzten 24 Stunden:

l Firewallverstöße

l Angriffschutz-Ereignisse

Firewall Violations (Firewallverstöße:) Jedes verworfene oder abgelehnte Datenpaket wirdalsVerstoß gegen die Firewallregeln gewertet. Die Anzahl der Firewallverstöße wird übereinen Zeitraum von fünf Minuten errechnet.

Angriffschutz-Ereignisse: Alle Diagrammeweisen zwei Linien auf:

l Alert Events (Alarme): Die Anzahl der Datenpakete, die einen Angriff-Alarm ausgelösthaben.

l Drop Events (Verwürfe): Die Anzahl der Datenpakete, die durch dasAngriffschutzsystem verworfen wurden.

17.4.2 WöchentlichAuf der RegisterkarteNetworkProtection >Wöchentlich erhalten Sie einen statistischenÜberblick über Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten siebenTage.Die Histogrammewerden unter Täglich beschrieben.


17.4.3 MonatlichAuf der RegisterkarteNetworkProtection >Monatlich erhalten Sie einen statistischen Überblicküber Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten vier Wochen.DieHistogrammewerden unter Täglich beschrieben.

17.4.4 JährlichAuf der RegisterkarteNetworkProtection > Jährlich erhalten Sie einen statistischen Überblicküber Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten zwölf Monate.DieHistogrammewerden unter Täglich beschrieben.

17.4.5 FirewallDie RegisterkarteNetworkProtection >Firewall stellt umfassende Daten über die Firewall-Aktivitäten, aufgeschlüsselt nachQuell-IP, Quellhosts, Anzahl empfangener Pakete und Anzahlvon Diensten, bereit.

Wenn Sie auf eine IP-Adresse oder einen Hostnamen in der Ergebnistabelle klicken, wird dieseAuswahl automatisch alsFilter für die Ansicht Top Services (Häufigste Dienste) verwendet.Siekönnenmanuell eine IP oder ein Netzwerk sowie Netzwerkbereiche (z. B. 192.168.1.0/24oder 10/8) angeben und diese Einstellungen durch einen Klick auf die SchaltflächeAktualisieren anwenden.Bei den AnsichtenByService (Nach Dienst) können Sie ein Protokoll und einen Dienst,getrennt durch ein Komma, angeben, (z. B. TCP,SMTP,UDP,6000).Wenn espro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern,indemSie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.


Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.Um beispielsweise die Tabelle nach der Anzahl der Dienste zu


17 Protokolle & Berichte 17.4 NetworkProtection

17.5Web Protection 17 Protokolle & Berichte

sortieren, klicken Sie auf die ÜberschriftServices. Die Quell-IP, die diemeistenDienstanfragen geschickt hat, wird dann ganzoben angezeigt.

17.4.6 IPSDie RegisterkarteNetworkProtection > IPS bietet umfangreiche Daten zu Angriffschutz-Aktivitäten in IhremNetzwerk.


Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.Um beispielsweise die Tabelle nach der Anzahl der Pakete zusortieren, klicken Sie auf die ÜberschriftPackets. Die Quell-IP, die diemeisten Paketeangefragt hat, wird dann ganzoben angezeigt.

17.5 Web ProtectionDasMenüProtokolle &Berichte >Web Protection bietet einen statistischen Überblick über dieaktivsten Internetnutzer und die am häufigsten aufgerufenenWebsites.

17.5.1 InternetnutzungDie SeiteProtokolle &Berichte >Web Protection > Internetnutzung bietet Ihnen vielseitigeFunktionen, mit denen Sie sich gezielt über Ihren Netzwerkverkehr und die Nutzung desInternets durch Ihre Benutzer informieren können. Auf den ersten Blickwirkt die Seitekompliziert, ihre Verwendung erschließt sich jedoch problemlosdurch Ausprobieren.

Seitenaufbau

Kopfze ileZunächst gibt es da die Kopfzeile, welche folgende Elemente enthält:


l Home:Mithilfe diesesSymbols gelangen Sie zurück zumAnfang, frei von sämtlichenKlicks und Filtern.

l Vorwärts/Rückwärts:Mithilfe dieser Symbole können Sie im Verlauf Ihrer Änderungenund Einstellungen vor- und zurückblättern. Die Funktion ähnelt der einesWebbrowsers.

l Verfügbare Berichte: Diese Auswahlliste enthält alle verfügbaren Berichtstypen,einschließlich (falls vorhanden) Ihrer eigenen gespeicherten Berichte.Sie iststandardmäßig aufSiteseingestellt.Der Inhalt der Ergebnistabelle auf der SeiteInternetnutzung hängt unmittelbar von dieser Berichtstyp-Einstellung ab.

Hinweis –Wenn Sie Filter verwenden und anschließend die Berichte durchgehen,sehen Sie, dassdie EinstellungVerfügbare Berichte automatisch geändert wurde. Siezeigt stets die jeweils aktuelle Berichtsgrundlage an.

Standard: Esstehen fünf Berichtstypen zur Verfügung; ausführlichere Informationenhierzu finden Sie weiter unten.

Gespeicherte Webberichte: Hier können Sie gespeicherteWebberichte auswählen,die Sie bereits erstellt haben.

l Löschen: Klicken Sie auf diesesSymbol, um einen gespeichertenWebbericht zulöschen. Standardberichte können nicht gelöscht werden.

l Speichern: Klicken Sie auf diesesSymbol, um eine aktuelle Ansicht zu speichern und siespäter erneut aufrufen zu können.Sie wird in der AuswahllisteVerfügbare Berichtegespeichert.Wenn Sie dasAuswahlkästchenBerichte versendenmarkieren, können Sieeinen oder mehrere E-Mail-Empfänger angeben, an die dieser Bericht versendetwerden soll.Sie können selbst auch regelmäßig gespeicherte Berichte empfangen;weitere Informationen hierzu finden Sie im AbschnittGeplante Berichte.

Filte r le isteIn der Filterleiste befinden sich folgende Elemente:

l Plus: Klicken Sie auf diesesSymbol, um zusätzliche Filter zu erstellen; ausführlichereInformationen hierzu finden Sie weiter unten.

l Anzahl: Verwenden Sie die Auswahlliste, um die Anzahl der Ergebnisse in der Tabellezu reduzieren. Sie können jeweils die ersten 10, die ersten 50 oder die ersten 100Ergebnisse anzeigen.


17 Protokolle & Berichte 17.5Web Protection


l Zeit: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmteZeiträume einzugrenzen oder zu erweitern.Der BerichtszeitraumAngepasst ermöglichtes Ihnen, eigene Zeiträume festzulegen.

l Abteilungen: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle aufbestimmte Abteilungen einzugrenzen.Auf der SeiteAbteilungen können Sie Abteilungenerstellen.

Ergebnistabe lleZuletzt gibt es die Ergebnistabelle.Wasdarin angezeigt wird, hängt erstens vom ausgewähltenBerichtstyp (die jeweils aktuelle Einstellung wird in der ListeVerfügbare Berichte angezeigt)und zweitens von gegebenenfalls definierten Filtern ab.

Hinweis –Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-Adresse, sondern nummeriert angezeigt.

Je nach ausgewähltem Berichtstyp enthält die Tabelle verschiedene Informationen:

Benutzer Kategorien Sites Domäne URLs

#

Verkehr

%

Dauer

Seiten

Anfragen

Kategorien*

Aktion*

Ursache*

Info*

* =Diese Zellen können angeklickt werden, umweitere, detailliertere Informationenanzuzeigen.

#: Platzierung imHinblick auf dasDatenverkehrsaufkommen.

Verkehr: Umfang desDatenverkehrsaufkommens.

%: Anteil amGesamtdatenverkehr in Prozent.

Dauer: Verweildauer auf der Website.


Seiten: Anzahl der abgefragten Seiten.

Anfragen: Anzahl der Anfragen pro Kategorie, Site, Domäne oder URL.

Kategorien: Zeigt alle Kategorien an, denen eine URL angehört. Beimehreren Kategorienwird durch Anklicken der Kategorie ein kleinesDialogfeld geöffnet. Ausdiesem können Sieanschließend eine Kategorie auswählen, auf deren Basis dann ein Filter erstellt wird.

Aktion: Zeigt an, ob dieWebsite an den Client übermittelt wurde (zugelassen bzw. engl.passed) oder ob sie durch eine Application-Control-Regel blockiert (bzw. engl. blocked) wurde.

Ursache: Zeigt an, warum eineWebsite-Anfrage blockiert wurde.Beispiel: Ein Benutzerversucht, eine msi-Datei herunterzuladen. Esexistiert jedoch eine Application-Control-Regel,die Dateiübertragungen verhindert. In diesem Fallwird in der Zelle „msi“ alsUrsacheangezeigt.

Info: Diese Zelle enthält (falls verfügbar) zusätzliche Informationen darüber, warum eineWebsite-Anfrage blockiert wurde.Wurde z. B. der Download einer Datei aufgrund ihrerErweiterung blockiert, enthält die Zelle dasWort „Erweiterung“.

Definition von FilternFilter werden verwendet, um in der Ergebnistabelle Informationenmit bestimmtenEigenschaften anzuzeigen.Für die Definition von Filtern stehen zweiMöglichkeiten zurVerfügung: Anklicken desPlus-Symbols in der Filterleiste oder Klicken in die Tabelle.

Definition über dasPlus-Symbol: Nach Anklicken desgrünen Plus-Symbols in der Filterleistewird ein kleiner Filterdialogmit zwei Feldern angezeigt.Im ersten Feld, einer Auswahlliste,können Sie einen Berichtstyp auswählen, zumBeispielKategorie.Im zweiten Feld können Siedann einenWert für den ausgewählten Berichtstyp wählen oder eingeben, z. B.Erwachseneninhalte, wennKategorie ausgewählt ist.Klicken Sie aufSave, um den Filter zuspeichern und gleichzeitig auf die Ergebnistabelle anzuwenden.

Definition über die Tabelle: Durch Klicken in die Tabelle öffnet sich dasDialogfensterBerichtaufschlüsselung, wenn für den von Ihnen angeklickten Eintragmehr als ein Berichtstypzur Verfügung steht. Siemüssen eine der angezeigten Filteroptionen auswählen.Anschließendwird dasFenster Berichtaufschlüsselung geschlossen, der jeweilige Filter erstellt und in derFilterleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisseangezeigt.Beispiel: Auf der Seite Internetnutzungwird standardmäßig der BerichtSitesangezeigt. KlickenSie in der Ergebnistabelle in eine beliebige Zeile (z. B. amazon.com).DasDialogfensterBerichtaufschlüsselungwird geöffnet. Sie können drei verschiedeneOptionen auswählen: Sie




können für die jeweilige Site entweder Informationen über Domänen,Benutzer, welche die Sitebesucht haben, oder Kategorien, denen die Site angehört, anzeigen.Sie sehen, dasszahlreiche Benutzer amazon.com besucht haben undmöchtenmehr über dieseWebsiteerfahren, also aktivieren Sie dasFeldBenutzer. DasFenster wird geschlossen.Sie sehen in derKopfleiste, dassder Berichtstyp inBenutzer geändert wurde, und in der Filterleiste, dassdieInformationen in der Ergebnistabelle für Benutzer nach der von Ihnen ausgewähltenWebsite(amazon.com) gefiltert sind. Die Tabelle zeigt nun alle Benutzer an, die dieseWebsite besuchthaben, sowie zusätzliche Informationen über ihre Sitzungen.

Hinweis –Manchmal kommt esdarauf an, in welche Tabellenzeile Sie klicken, da bestimmteZellen über eigene Filter verfügen (weitere Informationen hierzu finden Sie bei den Einträgenmit Asterisk (*) oben im AbschnittErgebnistabelle).

17.5.2 SuchmaschinenDie SeiteProtokolle &Berichte >Web Protection >Suchmaschinen enthält Informationen überdie Suchmaschinen, die Ihre Benutzer verwenden, und die Recherchen, die sie damitdurchführen. Auf den ersten Blickwirkt die Seite kompliziert, ihre Verwendung erschließt sichjedoch problemlosdurch Ausprobieren.

Seitenaufbau

Kopfze ileZunächst gibt es da die Kopfzeile, welche folgende Elemente enthält:

l Home:Mithilfe diesesSymbols gelangen Sie zurück zumAnfang, frei von sämtlichenKlicks und Filtern.

l Vorwärts/Rückwärts:Mithilfe dieser Symbole können Sie im Verlauf Ihrer Änderungenund Einstellungen vor- und zurückblättern. Die Funktion ähnelt der einesWebbrowsers.

l Verfügbare Berichte: Diese Auswahlliste enthält alle verfügbaren Berichtstypen,einschließlich (falls vorhanden) Ihrer eigenen gespeicherten Berichte.Sie iststandardmäßig aufRecherchen eingestellt.Der Inhalt der Ergebnistabelle auf der SeiteSuchmaschinen hängt unmittelbar von dieser Berichtstyp-Einstellung ab.


Hinweis –Wenn Sie Filter verwenden und anschließend die Berichte durchgehen,sehen Sie, dassdie EinstellungVerfügbare Berichte automatisch geändert wurde. Siezeigt stets die jeweils aktuelle Berichtsgrundlage an.

Standard: Esstehen dreiBerichtstypen zur Verfügung; ausführlichere Informationenhierzu finden Sie weiter unten.

Gespeicherte Suchmaschinenberichte: Hier können Sie gespeicherteSuchmaschinenberichte auswählen, die Sie bereits erstellt haben.

l Löschen: Klicken Sie auf diesesSymbol, um einen gespeichertenSuchmaschinenbericht zu löschen. Standardberichte können nicht gelöscht werden.

l Speichern: Klicken Sie auf diesesSymbol, um eine aktuelle Ansicht zu speichern und siespäter erneut aufrufen zu können.Sie wird in der AuswahllisteVerfügbare Berichtegespeichert.Wenn Sie dasAuswahlkästchenBerichte versendenmarkieren, können Sieeinen oder mehrere E-Mail-Empfänger angeben, an die dieser Bericht versendetwerden soll.Sie können selbst auch regelmäßig gespeicherte Berichte empfangen;weitere Informationen hierzu finden Sie im AbschnittGeplante Berichte.

Filte r le isteIn der Filterleiste befinden sich folgende Elemente:

l Plus: Klicken Sie auf diesesSymbol, um zusätzliche Filter zu erstellen; ausführlichereInformationen hierzu finden Sie weiter unten.

l Anzahl: Verwenden Sie die Auswahlliste, um die Anzahl der Ergebnisse in der Tabellezu reduzieren. Sie können jeweils die ersten 10, die ersten 50 oder die ersten 100Ergebnisse anzeigen.

l Zeit: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmteZeiträume einzugrenzen oder zu erweitern.Der BerichtszeitraumAngepasst ermöglichtes Ihnen, eigene Zeiträume festzulegen.

l Abteilungen: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle aufbestimmte Abteilungen einzugrenzen.Auf der SeiteAbteilungen können Sie Abteilungenerstellen.

Ergebnistabe lleZuletzt gibt es die Ergebnistabelle.Wasdarin angezeigt wird, hängt erstens vom ausgewähltenBerichtstyp (die jeweils aktuelle Einstellung wird in der ListeVerfügbare Berichte angezeigt)




und zweitens von gegebenenfalls definierten Filtern ab. Die folgenden Berichtstypen sindverfügbar:

l Recherchen: Zeigt die Suchbegriffe an, die Ihre Benutzer verwendet haben.

l Suchmaschinen: Zeigt die Suchmaschinen an, die Ihre Benutzer verwendet haben.

l Benutzerrecherchen: Zeigt die Benutzer an, die Recherchen durchgeführt haben.

Hinweis –Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-Adresse, sondern nummeriert angezeigt.

Die Tabelle enthält die folgenden Informationen über jeden Berichtstyp:

#: Platzierung imHinblick auf die Häufigkeit.

Anfragen: Anzahl der Anfragen pro Suchbegriff, Suchmaschine oder Benutzer.

%: Anteil an der Gesamtzahl der Recherchen in Prozent.

Definition von FilternFilter werden verwendet, um in der Ergebnistabelle Informationenmit bestimmtenEigenschaften anzuzeigen.Für die Definition von Filtern stehen zweiMöglichkeiten zurVerfügung: Anklicken desPlus-Symbols in der Filterleiste oder Klicken in die Tabelle.

Definition über dasPlus-Symbol: Nach Anklicken desgrünen Plus-Symbols in der Filterleistewird ein kleiner Filterdialogmit zwei Feldern angezeigt.Im ersten Feld, einer Auswahlliste,können Sie einen Berichtstyp auswählen, zumBeispielSuchmaschine.Im zweiten Feld könnenSie einenWert für den ausgewählten Berichtstyp wählen oder eingeben, z. B.Google(google.com), wennSuchmaschine ausgewählt ist.Klicken Sie aufSave, um den Filter zuspeichern und gleichzeitig auf die Ergebnistabelle anzuwenden.

Definition über die Tabelle: Durch Klicken in die Tabelle öffnet sich dasDialogfensterBerichtaufschlüsselung, wenn für den von Ihnen angeklickten Eintragmehr als ein Berichtstypzur Verfügung steht. Siemüssen eine der angezeigten Filteroptionen auswählen.Anschließendwird dasFenster Berichtaufschlüsselung geschlossen, der jeweilige Filter erstellt und in derFilterleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisseangezeigt.Beispiel: Auf der SeiteSuchmaschinenwird standardmäßig der BerichtRecherchen angezeigt.Klicken Sie in der Ergebnistabelle in eine beliebige Zeile (z. B.Wetter).DasDialogfensterBerichtaufschlüsselungwird geöffnet. Sie können zwei verschiedeneOptionen auswählen: Sie


können Informationen über die für die Recherche verwendeten Suchmaschinen(Suchmaschinen) oder über die Benutzer, welche diesen Suchbegriff verwendet haben(Benutzerrecherchen), anzeigen.Sie sehen, dass zahlreiche Benutzer den Suchbegriff„Wetter“ verwendet haben undmöchtenmehr darüber erfahren, also aktivieren Sie dasFeldBenutzerrecherchen. DasFenster wird geschlossen.Sie sehen in der Kopfleiste, dassderBerichtstyp inBenutzerrecherchen geändert wurde, und in der Filterleiste, dassdieInformationen in der Ergebnistabelle für Benutzerrecherchen nach dem von Ihnenausgewählten Suchbegriff (Wetter) gefiltert sind. Die Tabelle zeigt nun alle Benutzer an, dieden Suchbegriff „Wetter“ verwendet haben sowie zusätzliche Informationen über ihreRecherchen.

Hinweis –Manchmal kommt esdarauf an, in welche Tabellenzeile Sie klicken, da bestimmteZellen über eigene Filter verfügen (weitere Informationen hierzu finden Sie bei den Einträgenmit Asterisk (*) oben im AbschnittErgebnistabelle).

17.5.3 AbteilungenAuf der SeiteProtokolle &Berichte >Web Protection >Abteilungen können Sie Benutzer oderHosts und Netzwerke in virtuelle Abteilungen gruppieren. Diese Abteilungen können dann zumFiltern von Internetnutzungs- oder Suchmaschinenberichten verwendet werden.

Um eine Abteilung anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Abteilungen auf Abteilung hinzufügen.DasDialogfenster Neue Abteilung hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name: Geben Sie einen aussagekräftigen Namen für diese Abteilung ein.

3. Fügen Sie Benutzer oder Hosts/Netzwerke hinzu.Eine Abteilungsdefinition kann immer nur entweder Benutzer oder Hosts/Netzwerkeenthalten, nicht beide gleichzeitig.

l Benutzer: Fügen Sie einen oder mehrere Benutzer, die dieser Abteilungangehören sollen, zum Feld hinzu.

l Hosts/Netzwerke: Fügen Sie einen oder mehrere Hosts oder Netzwerke, diedieser Abteilung angehören sollen, zum Feld hinzu.






Die neue Abteilung wird in der ListeAbteilungen angezeigt.

Um eine Abteilung zu bearbeiten, zu löschen oder zu klonen, klicken Sie auf dieentsprechenden Schaltflächen.

Weitere Informationen zur Verwendung von Abteilungen finden Sie in den AbschnittenInternetnutzung undSuchmaschinen.

17.5.4 Geplante BerichteAuf der SeiteProtokolle &Berichte >Web Protection >Geplante Berichte können Sie festlegen,welche Ihrer gespeicherten Berichte regelmäßig per E-Mail versendet werden sollen.Bevor Sieeinen geplanten Bericht erstellen können, müssen Sie über mindestenseinen gespeichertenBericht verfügen (weitere Informationen zumSpeichern von Berichten finden Sie in denAbschnitten Internetnutzung oder Suchmaschinen).

Um einen geplanten Bericht anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Geplante Berichte auf Geplanten Berichthinzufügen.DasDialogfenster Neuen geplanten Bericht hinzufügenwird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:Name: Geben Sie einen aussagekräftigen Namen für den geplanten Bericht ein.

Intervall:Wählen Sie ausder Auswahlliste ein Zeitintervall zumVersenden der Berichte.

Berichte: Alle gespeicherten Berichte sind hier aufgeführt. Markieren Sie dasAuswahlkästchen vor jedemBericht, der im ausgewählten Zeitintervall versendetwerden soll.

Empfänger: Fügen Sie alle Empfänger, die den/die ausgewählte(n) Bericht(e) erhaltensollen, in dasFeld ein. Beachten Sie, dassSiemit Hilfe der Importschaltfläche auch eineganze Liste an Empfängern hinzufügen können.



Der neue geplante Bericht wird in der ListeGeplante Berichte angezeigt.


Umeine Abteilung zu bearbeiten, zu löschen oder zu klonen, klicken Sie auf dieentsprechenden Schaltflächen. Verwenden Sie die Statusampel einesBerichts, um denVersand von Berichten zu deaktivieren, ohne den Bericht selbst zu löschen.

17.5.5 Application ControlDie SeiteProtokolle &Berichte >Web Protection >Application Controlbietet umfangreichestatistische Informationen zu den aktivstenQuellen, denmeistaufgerufenen Zielen und denbeliebtesten Anwendungen für verschiedene Zeiträume.Bestätigen Sie Änderungen immerdurch einen Klick auf die SchaltflächeAktualisieren. Wenn espro Seite mehr als 20 Ergebnissegibt, können Sie vorwärts und rückwärts blättern, indemSie die Schaltflächen für die nächste(>>) bzw. vorherige (<<) Seite verwenden.


Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.Um beispielsweise alle Quellen nach ihrer jeweiligen Anzahlempfangener und versendeter Pakete zu sortieren, klicken Sie in der Tabelle auf dieÜberschriftPakete. Die Quellenmit denmeisten empfangenen und versendeten Paketenwerden zuerst angezeigt.

Die aktivstenQuellen erscheinen nicht sofort in der Übersicht, sondern erst nachdem eineSitzungs-Zeitüberschreitung stattgefunden hat. Dies ist der Fall, wenn ein bestimmter Client(Benutzername oder IP-Adresse) für fünf Minuten dasSurfen im Internet unterbricht.Die UTMerklärt diese Verbindung für „tot“ und sendet die Information an eine Datenbank, bevor sie indie Liste der aktivstenQuellen aufgenommenwird.

Darüber hinaus können Sie auch Berichtemit der ErgänzungNach Anwendung oder NachQuelle auswählen.In diesem Fallwird ein Filterfeld angezeigt, in dasSie die gesuchteAnwendung oder Quelle eingeben. Klicken Sie anschließend aufAktualisieren. Fallsvorhanden, werden die Ergebnisse in der Tabelle nach der angegebenen Anwendung bzw.Quelle gefiltert und angezeigt.Beachten Sie, dassSie dasProzentzeichen (%) alsPlatzhalter verwenden können.Wenn Sieein Prozentzeichen nach IhremSuchbegriff einfügen, sucht SophosUTM nach genauenTreffern und teilweisen Übereinstimmungen. Beachten Sie, dassdasFilterfeld zwischenGroß-



17.6 Email Protection 17 Protokolle & Berichte

und Kleinschreibung unterscheidet.Beispiel: Wenn Sie in dasFeldAnwendung den Suchbegriff„Google%“ eingeben, zeigt die Tabelle Ergebnisse für „Google Safe Browsing“, „GoogleAnalytics“, und „Google“, jedoch nicht für „google“ an.

17.5.6 EntanonymisierungAuf die RegisterkarteWebProtection >Entanonymisierung kann nur zugegriffen werden,wenn Anonymisierung aktiviert ist (sieheProtokolle &Berichte >Berichtseinstellungen >Anonymisierung).

Hier ist esmöglich, die Anonymisierung für bestimmte Benutzer im Hinblick aufWeb-Protection-Berichte auszusetzen. Gehen Sie folgendermaßen vor:

1. Geben Sie beide Kennwörter ein.Geben Sie daserste und das zweite Kennwort ein, die zur Aktivierung derAnonymisierung angegeben wurden.

2. Fügen Sie Benutzer hinzu, die entanonymisiert werden sollen.Fügen Sie zum FeldBenutzer entanonymisieren die Benutzernamen von jenenBenutzern hinzu, die Sie entanonymisieren wollen.


17.6 Email ProtectionDie Registerkarten desMenüsProtokolle &Berichte >Email Protection bieten einenstatistischen Überblick über den E-Mail-Verkehr, die E-Mail-Nutzung und die E-Mail-Sicherheit.

17.6.1 NutzungsdiagrammeDie RegisterkarteEmail Protection >Nutzungsdiagramme bietet einen statistischen Überblicküber den E-Mail-Verkehr auf der UTM für verschiedene Zeiträume:

l Täglich

l Wöchentlich

l Monatlich

l Jährlich


17.6.2 Mail-NutzungDie RegisterkarteEmail Protection >Mail-Nutzung bietet umfangreiche statistischeInformationen zu den am häufigsten genutzten E-Mail-Adressen und Adressdomänen fürverschiedene Zeiträume.Bestätigen Sie Änderungen immer durch einen Klick auf dieSchaltflächeAktualisieren. Wenn espro Seite mehr als 20 Ergebnisse gibt, können Sievorwärts und rückwärts blättern, indemSie die Schaltflächen für die nächste (>>) bzw.vorherige (<<) Seite verwenden.

17.6.3 Blockierte MailsDie RegisterkarteEmail Protection >Blockierte Mailsbietet umfangreiche statistischeInformationen zu allen blockierten E-Mail-Anfragen, die auf Antivirus und Antispambasieren.Bestätigen Sie Änderungen immer durch einen Klick auf die SchaltflächeAktualisieren. Wenn espro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts undrückwärts blättern, indemSie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seiteverwenden.

17.6.4 EntanonymisierungAuf die RegisterkarteEmail Protection >Entanonymisierung kann nur zugegriffen werden,wenn Anonymisierung aktiviert ist (sieheProtokolle &Berichte >Berichteinstellungen >Anonymisierung).

Hier ist esmöglich, die Anonymisierung für bestimmte E-Mail-Adressen und/oder -Domänen imHinblick auf Email-Protection-Berichte auszusetzen. Gehen Sie folgendermaßen vor:


2. Nehmen Sie die folgenden Einstellungen vor:Adressen entanonymisieren: Sie können E-Mail-Adressen hinzufügen, die Sieentanonymisieren wollen.

Domänen entanonymisieren: Sie können Domänen hinzufügen, die Sieentanonymisieren wollen.


17 Protokolle & Berichte 17.6 Email Protection

17.7 Fernzugriff 17 Protokolle & Berichte


Angegebene E-Mail-Adressen und Domänen sind in Berichten nun lesbar.

17.7 FernzugriffDie Registerkarten desMenüsProtokolle &Berichte >Fernzugriff bieten einen statistischenÜberblick über Fernzugriff-Aktivitäten und Informationen zu Sitzungen.

17.7.1 AktivitätDie Registerkarte Fernzugriff > Aktivität bietet umfangreiche statistische Informationen zu denFernzugriff-Aktivitäten auf der UTM für IPsec, SSL-VPN, PPTPund L2TPüber verschiedeneZeiträume:

l Täglich

l Wöchentlich

l Monatlich

l Jährlich

Zeitraum auswählen: Verwenden Sie die Auswahlliste, um einen Berichtszeitraumauszuwählen.Die Seite wird automatisch aktualisiert.

17.7.2 SitzungDie Registerkarte Fernzugriff > Sitzung bietet umfangreiche statistische Informationen zuabgeschlossenen Sitzungen, fehlgeschlagenen Anmeldungen undmomentanen Benutzern fürverschiedene Zeiträume.

Sie können die Tabellendaten filtern. Am schnellsten filtern Sie Daten durch einen Klick in eineTabellenkopfzelle.AlsweitereMöglichkeit können Sie einen Filter über die zweite Auswahllistewählen, dasFilterargument eingeben und anschließend aufUpdate klicken.

Die folgenden Filter sind abhängig von der Sitzung, die Sie in der ersten Auswahlliste gewählthaben, verfügbar:


l By Service (nach Dienst):Current Users (momentane Benutzer),CompletedSessions (abgeschlossene Sitzungen), Failed Logins (fehlgeschlageneAnmeldeversuche)

l By User (nach Benutzer):Current Users (momentane Benutzer),CompletedSessions (abgeschlossene Sitzungen)

l By Source IP Address (nach Quell-IP-Adresse):Current Users (momentaneBenutzer),Completed Sessions (abgeschlossene Sitzungen)

l By Virtual IP Address (nach virtueller IP-Adresse):Current Users (momentaneBenutzer),Completed Sessions (abgeschlossene Sitzungen), Failed Logins(fehlgeschlagene Anmeldeversuche)

Wenn espro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern,indemSie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.


Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.Um beispielsweise die Tabelle nach den Diensten zu sortieren,klicken Sie auf die ÜberschriftServices.Daraufhin wird die Tabelle alphabetisch nachDiensten sortiert.

17.8Webserver ProtectionDie Registerkarten desMenüsProtokolle &Berichte >Webserver Protection bieten einenstatistischen Überblick über Webserver-Anfragen,Warnhinweise und Alarme.

17.8.1 NutzungsdiagrammeDie RegisterkarteWebserver Protection >Nutzungsdiagramme bietet einen statistischenÜberblick über Webserver-Anfragen,Warnhinweise und Alarme auf der UTM fürverschiedene Zeiträume:

l Täglich

l Wöchentlich


17 Protokolle & Berichte 17.8Webserver Protection

17.9 Gesamtbericht 17 Protokolle & Berichte

l Monatlich

l Jährlich

17.8.2 DetailsDie RegisterkarteWebserver Protection >Detailsbietet umfangreiche statistischeInformationen zu den aktivsten Clients, virtuellen Hosts, Backends, Antwort-Codesundverschiedenen Angriffen über verschiedene Zeiträume.Bestätigen Sie Änderungen immerdurch einen Klick auf die SchaltflächeAktualisieren. Wenn espro Seite mehr als 20 Ergebnissegibt, können Sie vorwärts und rückwärts blättern, indemSie die Schaltflächen für die nächste(>>) bzw. vorherige (<<) Seite verwenden.


Tipp –Sie können die Daten sortieren, indemSie auf die Überschriften in denTabellenspalten klicken.

17.9 GesamtberichtImMenüProtokolle &Berichte >Gesamtbericht können Sie einenGesamtbericht erstellen, dereine Zusammenstellung ausden wichtigsten Berichtsdaten ist und in grafischer Form dieNetzwerknutzung für eine Reihe von Diensten anzeigt.

17.9.1 Bericht anzeigenAuf der RegisterkarteProtokolle &Berichte >Gesamtbericht >Bericht anzeigen können Sieeinen kompletten Gesamtbericht erstellen, der ausden einzelnen Berichten auf denRegisterkarten und Seiten desMenüsBerichte zusammengestellt wird.Klicken Sie dieSchaltflächeBericht jetzt erstellen an, um denGesamtbericht in einem neuen Fenster zuöffnen.


17.9.2 Archivierte GesamtberichteDie RegisterkarteGesamtbericht >Archivierte Gesamtberichte bietet einen Überblick über allearchivierten Gesamtberichte.Eswerden nur Gesamtberichte archiviert, für die auf derRegisterkarteKonfigurationArchivierung aktiviert wurde.

17.9.3 KonfigurationAuf der RegisterkarteGesamtbericht >Konfiguration können Sie die Einstellungen für dieGesamtberichte vornehmen.

Wählen Sie einen Zeitraum für denGesamtbericht. Der Bericht kann täglich, wöchentlich odermonatlich erstellt werden.Wenn SieWöchentlichwählen, können Sie zusätzlich noch einenWochentag auswählen, an dem der Gesamtbericht beginnen soll, Daten zu erfassen.

Geben Sie darüber hinausdie E-Mail-Adressen der Empfänger an, die denGesamtberichterhalten sollen. Beachten Sie, dass für verschiedene Zeiträume unterschiedliche E-Mail-Adressen konfiguriert werden können.

17.10 ProtokolleinstellungenImMenüProtokolle &Berichte >Protokolleinstellungen können Sie die Grundeinstellungen fürdie lokale und die ausgelagerte Protokollierung festlegen.

17.10.1 Lokale ProtokollierungAuf der RegisterkarteProtokolle &Berichte >Protokolleinstellungen >Lokale Protokollierungwerden die Einstellungen für die lokale Protokollierung vorgenommen. Die lokaleProtokollierung ist standardmäßig eingeschaltet.

Falls sie deaktiviert wurde, können Sie sie folgendermaßenwieder einschalten:

1. Aktivieren Sie die lokale Protokollierung auf der Registerkarte LokaleProtokollierung.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird grün und die Abschnitte auf dieser Registerkarte können nunbearbeitet werden.


17 Protokolle & Berichte 17.10 Protokolleinstellungen

17.10 Protokolleinstellungen 17 Protokolle & Berichte

2. Wählen Sie einen Zeitraum, nach dem die Protokolldateien automatischgelöscht werden sollen.Wählen Sie ausder Auswahlliste eine Aktion, die automatisch auf die Protokolldateienangewendet werden soll.Protokolldateien nie löschen ist voreingestellt.


Schwellenwer teHier können Sie Schwellenwerte für die lokale Protokollierung festlegen. Diese Schwellenwertesind an bestimmte Aktionen gekoppelt, welche ausgeführt werden, wenn ein Schwellenwerterreicht ist. Die folgenden Aktionen sindmöglich:

l Nichts: Eswerden keine Aktionen gestartet.

l Benachrichtigung senden: Eswird eine Benachrichtigung an den Administratorgesendet, um ihmmitzuteilen, dassder Schwellenwert erreicht wurde.

l Älteste Protokolldateien löschen: Die ältesten Protokolldateien werden automatischgelöscht, bis die Datenmenge entweder unterhalb deseingestellten Schwellenwerts liegtoder die Protokoll-Partition leer ist. Zusätzlich erhält der Administrator eineBenachrichtigung über dasEreignis.

l System herunterfahren: DasSystem fährt automatisch herunter.Der Administratorerhält eine Benachrichtigung über dasEreignis.Falls dasSystem heruntergefahren wird, mussder Administrator die Konfiguration fürdie lokale Protokollierung ändern, die Löschung von Protokolldateien konfigurieren oderProtokolldateienmanuell verschieben beziehungsweise löschen.Wenn die Ursache fürdasHerunterfahren desSystemsweiterhin besteht, wird sich dasSystemwiederherunterfahren, sobald der Prozessder Protokollüberprüfung dasnächsteMal läuft.Dieser Prozess findet täglich um 0.00 Uhr statt.


17.10.2 Remote-Syslog-ServerAuf der RegisterkarteProtokolle &Berichte >Protokolleinstellungen >Remote-Syslog-Serverwerden die Einstellungen für eine ausgelagerte Protokollierung vorgenommen.Diese Funktionermöglicht es, Protokollmeldungen vomGatewayan andere Hostsweiterzuleiten.Das istinsbesondere in Netzwerken nützlich, die einen dedizierten Host besitzen, der dieProtokollinformationen vonmehrerenGateways sammelt.Auf dem ausgewählten Host muss in


diesem Fall ein Protokollierungs-Daemon in Betrieb sein, der mit demSyslog-Protokollkompatibel ist.

Um einen Remote-Syslog-Server zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie Remote-Syslog auf der Registerkarte Remote-Syslog-Server.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittRemote-Syslog-Einstellungen kann nunbearbeitet werden.

2. Klicken Sie auf das Plussymbol im Feld Syslog-Server, um einen Serveranzulegen.DasDialogfenster Syslog-Server hinzufügenwird geöffnet.

3. Nehmen Sie die folgenden Einstellungen vor:Name:Geben Sie einen aussagekräftigen Namen für den Remote-Syslog-Server ein.

Server:Wählen Sie den Host oder fügen Sie einen Host hinzu, der die ProtokolldatenvomGatewayentgegennehmen soll.

Achtung –Wählen Sie keine Netzwerkschnittstelle desGatewaysaus, um sie alsRemote-Syslog-Host zu verwenden – daswürde zu einer Protokollierungsschleifeführen.

Port:Wählen Sie einen Port oder fügen Sie einen Port hinzu, der für die Verbindungverwendet werden soll.


Remote-Syslog-Puffe rIn diesemAbschnitt können Sie die Puffergröße desRemote-Syslogsändern. Die Puffergrößeist die Anzahl der Protokollzeilen, die im Puffer vorgehalten werden. Der Standardwert ist1000.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Remote-Syslog-Protoko llauswahlDieser Abschnitt kann nur bearbeitet werden, wenn Remote-Syslog aktiviert ist. Markieren Siedie Auswahlkästchen von den Protokollen, die an den Syslog-Server geschickt werdensollen.Über die OptionAlle auswählen können Sie alle Protokolle auf einmal auswählen.KlickenSie aufÜbernehmen, um Ihre Einstellungen zu speichern.



17.10 Protokolleinstellungen 17 Protokolle & Berichte

17.10.3 Ausgelagerte ProtokollarchiveAuf der RegisterkarteProtokolle &Berichte >Protokolleinstellungen >AusgelagerteProtokollarchivewerden die Einstellungen für eine ausgelagerte Archivierung derProtokolldaten vorgenommen.Wenn die ausgelagerte Protokolldatei-Archivierung aktiviert ist,werden die Protokolldateien desVortages in einer Datei zusammengepackt und komprimiert,und dann an den entfernten Protokollarchiv-Host gesendet. Über die Auswahlliste können SieIhre bevorzugte Übertragungsmethode wählen.

Um ein ausgelagertesProtokollarchiv zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die Funktion Ausgelagerte Protokollarchive.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittAusgelagertesProtokollarchiv kann nunbearbeitet werden.

2. Wählen Sie die Archivierungsmethode.Wählen Sie ausder Auswahlliste Ihre bevorzugte Archivierungsmethode aus. Abhängigvon Ihrer Wahlwerden unten die zugehörigen Konfigurationsoptionen angezeigt. Siekönnen zwischen den folgenden Archivierungsmethodenwählen:

l FTP-Server: Für dasFile Transfer Protocol (FTP, Dateiübertragungsprotokoll)müssen die folgenden Parameter gesetzt werden:l Host: Hostdefinition für den FTP-Server.

l Dienst:TCP-Port, auf dem der Server lauscht.

l Benutzername: Tragen Sie den Benutzernamen für dasFTP-Serverkonto ein.

l Kennwort: Tragen Sie dasKennwort für dasFTP-Serverkonto ein.

l Pfad: Tragen Sie den relativen Pfad zum FTP-Server sein.

l SMB-(CIFS)-Freigabe: Für die SMB-Methodemüssen die folgenden Parametergesetzt werden:l Host:Wählen Sie die Hostdefinition für den SMB-Server aus.

l Benutzername: Tragen Sie den Benutzernamen für dasSMB-Konto ein.


l Kennwort: Tragen Sie dasKennwort für dasSMB-Konto ein.

Sicherheitshinweis –DasKennwort wird in Klartext in derKonfigurationsdatei gespeichert. Daher wird empfohlen, eine Benutzer-/Kennwortkombination anzulegen, die ausschließlich fürProtokollierungszwecke verwendet wird.

l Freigabe: SMB-Freigabename.Geben Sie den Pfad oder dieInformationen zum freigegebenen Netzwerkein, an dasdieProtokolldateien übertragen werden, z. B. /Protokolle/Dateiarchiv.

l Arbeitsgruppe/Domäne:Geben Sie die Arbeitsgruppe oder Domäne an,zu der dasProtokollarchiv gehört.

l Secure Copy (SSH-Server): Für die SCP-Methodemussder öffentliche SSH-DSA-Schlüssel zu den autorisierten Schlüsseln desSCP-Servers hinzugefügtwerden.In einem Linux-System können Sie den SSH-DSA-Schlüssel einfach überdie Zwischenablage in die Datei~/.ssh/authorized_keysdesdafürkonfigurierten Benutzerkontos kopieren.Während der Installation erstellt SophosUTM einen neuen SSH-DSA-Schlüssel.AusSicherheitsgründen wird der SSH-DSA-Schlüssel nicht in Backupsgespeichert. Nach einer Neuinstallation oder derInstallation einesBackupsmüssen Sie daher den neuen SSH-DSA-Schüssel aufden entfernten Server kopieren, damit die Protokolldateiarchive auf den SCP-Server kopiert werden können.Für die SCP-Methodemüssen die folgenden Einstellungen vorgenommenwerden:

l Host: Hostdefinition für den SCP-Server.

l Benutzername: Tragen Sie den Benutzernamen für dasSCP-Serverkonto ein.

l Pfad: Tragen Sie den vollständigen Pfad ein, in dem die Protokolldateiengespeichert werden sollen.

l Öffentlicher DSA-Schlüssel: Fügen Sie den öffentlichen DSA-Schlüsselzur Liste der autorisierten Schlüssel auf dem entfernten Speicher-Rechnerhinzu.

l Per E-Mail senden: Damit die Protokollarchive per E-Mail versendet werden,geben Sie eine gültige E-Mail-Adresse ein.



17.11 Berichteinstellungen 17 Protokolle & Berichte


Wenn die Datenübertragung fehlschlägt, verbleibt die Archivdatei auf demGateway.DasGatewayversucht bei jeder Protokollüberprüfung, alle verbliebenen Archivdateien zuübertragen.

17.11 BerichteinstellungenImMenüProtokolle &Berichte >Berichtseinstellungen können Sie die Einstellungen fürBerichtsfunktionen vornehmen, wie dasEin- und Ausschalten bestimmter Berichtsfunktionen,dasBestimmen von Zeiträumen und der Menge zu speichernder Daten. DesWeiteren könnenSie Daten anonymisieren, um denDatenschutz zu verbessern.

17.11.1 EinstellungenDie RegisterkarteEinstellungen ermöglicht Ihnen, den Umgangmit Berichtsdaten zu regelnund festzulegen, wie lange Berichtsdaten auf demSystem gespeichert werden, bevor sieautomatisch gelöscht werden. Einstellungen für die folgenden Themenbereiche könnenvorgenommenwerden:

l Accounting (Netzwerkstatistik)

l Application Control

l Authentifizierung

l Email Protection

l Firewall

l IPS

l Fernzugriff

l WebProtection


Verwenden Sie die Auswahlkästchen auf der linken Seite, um die Berichtsfunktion für einenbestimmten Themenbereich ein- oder auszuschalten. Standardmäßig ist die Berichtsfunktionfür alle Themenbereiche eingeschaltet.


Verwenden Sie die Auswahllisten auf der rechten Seite, um festzulegen, wie lange dieBerichtsdaten aufbewahrt werden sollen.

Hinweis –DasAusschalten unnötiger Berichtsfunktionen senkt die Grundlast desSystemsund reduziert Leistungsengpässe. Versuchen Sie, die Zeiträume so kurzwiemöglich zuhalten, da großeMengen gespeicherter Daten eine höhere Grundlast für dasSystembedeuten und längere Antwortzeiten auf den dynamischen Berichtsseiten verursachen.

Die Einstellungen auf dieser Registerkarte wirken sich nicht auf die Protokolldateiarchive aus.

Deta ilgrad der Web-Protection-Ber ichteIn diesemBereich können Sie den Detailgrad für IhreWeb-Protection-Berichte festlegen.Beachten Sie, dassein höherer Detailgrad eine spürbare Erhöhung der Speicherauslastungund Systemlast verursacht, deshalb sollten Sie den Detailgrad nur erhöhen, wenn esnotwendig ist.

Die folgenden Detailgrade sind verfügbar:

l Nur Domäne: Die Berichte zeigen die Top-Level-Domäne und die Second-Level-Domäne einer URL an, z. B. beispiel.de.Third-Level-Domänenwerden angezeigt,wenn sie erzwungen sind, z. B. example.co.uk.

l Komplette Domäne: Die Berichte zeigen die komplette Domäne an, z. B.www.beispiel.deoder shop.example.com

l 1 URL-Ebene: Die Berichte zeigen zusätzlich daserste (virtuelle) Verzeichnis einerURL an, z. B. www.beispiel.de/de/.

l 2 URL-Ebenen: Die Berichte zeigen zusätzlich die ersten beiden (virtuellen)Verzeichnisse einer URL an, z. B. www.beispiel.de/de/produkte/.

l 3 URL-Ebenen: Die Berichte zeigen zusätzlich die ersten drei (virtuellen) Verzeichnisseeiner URL an, z. B. www.beispiel.de/de/produkte/neu/.

Einste llungen für Gesamtber ichtIn diesemAbschnitt können Sie jeweils die Anzahl an Gesamtberichten festlegen, dieaufbewahrt werden soll:

l Tagesberichte: Maximal 60

l Wochenberichte: Maximal 52

l Monatsberichte: Maximal 12


17 Protokolle & Berichte 17.11 Berichteinstellungen



Weitere Informationen zumGesamtbericht und seinenOptionen finden Sie unter Protokolle &Berichte >Gesamtbericht.

PDF-Papie re inste llungenDasvoreingestellte Papierformat für den PDF-Gesamtbericht ist A4.Sie können dieAuswahlliste verwenden, um alternativLetter oder Legal zu wählen.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

Einste llungen für CSV-Trennze ichenAn dieser Stelle können Sie festlegen, welchesTrennzeichen beim Export von Berichtsdaten indasCSV-Format verwendet wird. Beachten Sie, dassunter WindowsdasTrennzeichenmitden regionalen Einstellungen IhresSystemsübereinstimmen sollte, damit die exportiertenDaten korrekt in einem Tabellenkalkulationsprogrammwie beispielsweise Excel angezeigtwerden.

IPFIX-AccountingMithilfe von IPFIX lassen sich Informationen zum IPv4-Datenflussder UTM an denDienstanbieter weiterleiten, z. B. zwecksÜberwachung, Berichterstattung, Accounting undRechnungsstellung.

Bei IPFIX (Internet Protocol Flow Information Export) handelt es sich um einnachrichtenbasiertesProtokoll für den universellen Export vonNetzwerkverkehrsinformationen.Die Netzwerkverkehrsinformationenwerden zunächst voneinem exporter gesammelt und anschließend zu einemcollector weitergesendet.TypischeNetzwerkverkehrsinformationen zu einem IPv4-DatenflussumfassenQuell- und Zieladresse,Quell- und Zielport, Bytes, Pakete und Klassifizierungsdaten desNetzwerkverkehrs.

BeiAktivierung dieser Funktion exportiert die UTM die IPFIX-Accounting-Daten.Die Sammlungder Daten erfolgt im Allgemeinen durch den Dienstanbieter. Hierfür werden dieNetzwerkverkehrsdaten einer oder mehrerer UTM gesammelt und analysiert.Während derSystemkonfiguration bei IhremDienstanbieter wird der Hostname vergeben und Siemüssenpro exportierende UTM eineOID (Observation Domain ID) festlegen. Geben Sie diese Datenin die entsprechenden Felder ein.

Der Datenexport erfolgt über den UDP-Port 4739. Eine einzige Netzwerkverbindung nutztzwei IPFIX-Datenströme – einen für den Export, den anderen für die Antwort.


Sicherheitshinweis –Beachten Sie dassdie Netzwerkverkehrsdaten bei IPFIXunverschlüsselt übertragen werden. Deshalb wird empfohlen, die Daten lediglich über privateNetzwerke zu versenden.


17.11.2 AusnahmenAuf der RegisterkarteBerichteinstellungen >Ausnahmen können Sie bestimmte Domänen undAdressen von der Berichterstellung ausnehmen. Dasbetrifft sowohl denGesamtbericht alsauch die jeweiligen Abschnitte desMenüsProtokolle &Berichte und die entsprechendenstatistischen Informationen.

Hinweis –Vorgenommene Änderungen sind nicht umgehend auf den Seiten für dieTagesstatistik sichtbar, da die Aktualisierung nur alle 10 bis 15 Minuten vorgenommenwird.Beachten Sie außerdem die Import-Funktion, mit der Siemehrere Einträge auf einmaldefinieren können.

Ber ichtsausnahmen: WebIn diesemAbschnitt können Sie die Domänen festlegen, die von denWeb-Protection-Berichtenausgenommenwerden.Die Domänennamenmüssen genau so eingegeben werden, wie sieim BerichtDomänen auf der RegisterkarteProtokolle &Berichte >Web Protection >Internetnutzung aufgelistet sind.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zuspeichern.

Ber ichtsausnahmen: Ma ilIn diesen beiden Abschnitten können Sie Domänen und E-Mail-Adressen festlegen, die vonallen Email-Protection-Berichten ausgenommenwerden,

Über dasFeldDomänen lassen sich alle E-Mail-Adressen einer bestimmten Domäneausschließen.Geben Sie lediglich den Teil der E-Mail-Adresse an, der die Domäne beschriebt,z. B. sophos.com.Über dasFeldAdressen lassen sich bestimmte E-Mail-Adressen von denBerichten ausschließen.Klicken Sie aufÜbernehmen, um Ihre Einstellungen zu speichern.

E-Mailsmit den festgelegten Domänennamen oder Adressen alsSender oder Empfängerwerden von den Email-Protection-Berichten ausgenommen.




Ber ichtsausnahmen: Network ProtectionIn diesemAbschnitt können Sie die IPv4- und IPv6-Adressen festlegen, die von den Network-Protection-Berichten ausgenommenwerden.Klicken Sie aufÜbernehmen, um IhreEinstellungen zu speichern.

17.11.3 AnonymisierungDie RegisterkarteBerichtseinstellungen >Anonymisierung ermöglicht Ihnen, Daten –basierend auf demVier-Augen-Prinzip – zu anonymisieren. Dasbedeutet, dasseineEntanonymisierung nur möglich ist, wenn zwei verschiedene Leute diesesVorgehenbeschließen. Anonymisierung stellt sicher, dassBenutzerdaten geheim bleiben, wennProtokoll- und Berichtsdaten eingesehen werden. Dadurch können Aktionen (wie z. B.Surfverhalten) nicht auf eine bestimmte Person zurückverfolgt werden.

UmAnonymisierung zu verwenden, gehen Sie folgendermaßen vor:

1. Aktivieren Sie die Anonymisierung auf der Registerkarte Anonymisierung.Sie können entweder auf die Statusampel klicken oder auf die SchaltflächeEnable.

Die Statusampelwird gelb und der AbschnittAnonymisierungs-Einstellungen kann nunbearbeitet werden.

2. Geben Sie zwei Sicherheitskennwörter ein.DasVier-Augen-Prinzip ist nur gewährleistet, wenn zwei verschiedene Personen einKennwort eingeben, dasder jeweils anderen Person unbekannt ist.


UmAnonymisierung (global) wieder zu deaktivieren, sind beide Kennwörter erforderlich.

1. Klicken Sie auf der Registerkarte Anonymisierung entweder auf Disable oderauf die Statusampel.Die Statusampelwird gelb und der AbschnittAnonymisierungs-Einstellungen kann nunbearbeitet werden.




Falls nötig, kann die Anonymisierung für einzelne Benutzer aufgehoben werden.WeitereInformationen hierzu finden Sie unter Protokolle &Berichte >Web Protection undProtokolle &Berichte >Email Protection.



18 SupportDiesesKapitel beschreibt die Support-Tools, die für SophosUTM zur Verfügung stehen.

Die Seiten desMenüsSupport enthalten viele Funktionen, die den Benutzer unterstützen, vonWeblinksüber Kontaktinformationen bis hin zu nützlichen Netzwerk-Tools zur Bestimmungwichtiger Netzwerkeigenschaften, ohne dassauf die Kommandozeilen-Schnittstelle desGateways zugegriffen werdenmuss.


l Handbuch

l Druckbare Konfiguration

l Support kontaktieren

l Tools

l Erweitert

Darüber hinausenthält die Hauptseite desMenüsSupportWeblinks zu den folgendenRessourcen:

l Wissensdatenbank: Die offizielleWissensdatenbankvon SophosNSGstellt zahlreicheInformationen zur Konfiguration von SophosUTM bereit.

l Liste bekannter Probleme: (engl. Known IssuesList) Die beschriebenen Problemekönnen entweder nicht behoben werden oder es sindWorkarounds verfügbar, die zurLösung führen.

l Hardwarekompatibilitätsliste: Eine Listemit kompatibler Hardware für die SophosUTMSoftware (engl. hardware compatibility list, HCL).

l Up2Date-Informationen: Der SophosNSGUp2Date-Blog informiert überProduktverbesserungen und Firmware-Updates.

18.1 HandbuchAuf der SeiteSupport >Handbuch können Sie dasaktuelle Administratorhandbuch im PDF-Format herunterladen.Wählen Sie die Sprache ausund klicken Sie aufHerunterladen. Um dieDatei zu öffnen, benötigen Sie ein speziellesProgrammwie Adobe Reader oder Xpdf.

18.2 Druckbare Konfiguration 18 Support


18.2 Druckbare KonfigurationAuf der SeiteSupport >Druckbare Konfiguration können Sie einen detaillierten Bericht deraktuellenWebAdmin-Konfiguration erzeugen.

Hinweis –Die druckbare Konfiguration wird in einem neuen Fenster geöffnet. Je nachBrowser kann esnötig sein, Pop-Up-Fenster für WebAdmin zu erlauben.

Die Gliederung der druckbaren Konfiguration entspricht der Menüstruktur vonWebAdmin, umdasAuffinden der entsprechenden Konfigurationsoptionen inWebAdmin zu erleichtern.

Die Browser-Seite der druckbaren Konfiguration besteht auseiner Übersichtsseite, genanntindex, undmehreren Unterseiten. Links zu Unterseiten sind blau hervorgehoben. Unterseitenenthalten detaillierte Informationen zu dem jeweiligen Thema.Durch einen Klick auf den LinkBack to the indexunten auf einer Unterseite können Sie jederzeit von einer Unterseite zurIndexseite zurückkehren.

Esgibt zweiweitere Ansichtsoptionen für die druckbare Konfiguration:

l WebAdmin format (WebAdmin-Format)

l Confd format (Confd-Format)

Die Links zu diesen Ansichtsoptionen finden Sie unten auf der Indexseite.

18.3 Support kontaktierenSophosbietet für seine Sicherheitslösungen umfangreichen Kundensupport an.Je nachSupport-/Wartungsvertrag gibt es verschiedene Kategorien. Diese unterscheiden sich


hinsichtlich der Art desKontakts zumSupport und der zugesicherten Reaktionszeit durch dieSophos-Service-Abteilung und/oder SophosNSG-zertifizierte Partner.

Alle Supportfälle, die SophosUTM betreffen, werden über dasSophosNSGPartner Portalabgewickelt.Sie können über dasWebformular einen Supportfall öffnen, indemSie auf dieSchaltflächeSupport-Ticket öffnen klicken.

18.4 ToolsDie Registerkarten desMenüsSupport > Toolsenthalten nützliche Netzwerk-Tools, mit denenwichtige Netzwerkeigenschaften ermittelt werden können, ohne dassauf dieKommandozeilen-Schnittstelle desGateways zugegriffen werdenmuss. Die Ausgabe derfolgenden Tools kann eingesehen werden:

l Ping

l Traceroute

l DNS-Lookup

18.4.1 Ping-PrüfungDasProgrammPing ist ein Computer-Netzwerk-Toolmit demman testen kann, ob einbestimmter Host über ein IP-Netzwerkerreichbar ist.Ping sendet ICMP-Echo-Anfrage-Paketean den Zielhost und lauscht auf Antworten in Form von ICMP-Echo-Antwort-Paketen.AusZeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer desPaketumlaufs und diePaketverlustrate zwischen den Hosts.

Um eine Ping-Prüfung durchzuführen, gehen Sie folgendermaßen vor:

1. Wählen Sie den Ping-Host.Wählen Sie den Host, den Sie „anpingen“ möchten.Im FeldPing-Host können Sie einenHost auswählen, für den eine Hostdefinition existiert.Alternativ können Sie auchBenutzerdefinierte(r) Hostname/IP-Adressewählen und im Feld darunter einenbenutzerdefinierten Hostnamen oder eine benutzerdefinierte IP-Adresse angeben.

2. Klicken Sie auf Starten.Die Ausgabe der Ping-Prüfung wird im AbschnittPing-Prüfungsergebnisangezeigt.


18 Support 18.4 Tools

https://www.astaro.com/license/support_cases




18.4 Tools 18 Support

18.4.2 TracerouteDasProgramm Traceroute ist ein Computer-Netzwerkwerkzeug zur Bestimmung der Route,die von Paketen in einem IP-Netzwerkgenommenwerden. Es listet die IP-Adressen derRouter auf, über die das versendete Paket transportiert wurde. Sollte der Pfad derDatenpakete kurzfristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresseangezeigt. Nach einer bestimmten Zahl an Fehlversuchen wird die Überprüfung abgebrochen.Der Abbruch einer Überprüfung kann viele Gründe haben, der wahrscheinlichste ist jedoch,dasseine Firewall im Netzwerkpfad Traceroute-Pakete blockiert.

Um eine Route nachzuvollziehen, gehen Sie folgendermaßen vor:

1. Geben Sie den Hostnamen oder die IP-Adresse ein.Geben Sie den Hostnamen oder die IP-Adresse einesHosts ein, dessen Route Siebestimmenwollen.

2. Hop-Adressen (Abschnitte) numerisch statt symbolisch und numerischausgeben (optional).Wenn Sie dieseOption wählen, wird für jedesGateway im Pfad eine Adresse-zu-Name-Auflösung durch einen Namensserver durchgeführt und gespeichert.

3. Klicken Sie auf Starten.Die Ausgabe von Traceroute wird im Abschnitt Traceroute-Ergebnisangezeigt.

18.4.3 DNS-LookupDasProgramm dig (Abkürzung für Domain Information Groper) ist ein Netzwerk-Tool zurAbfrage von DNS-Namensservern. Es führt DNS-Lookupsdurch und zeigt die Antworten an,die von den befragten Namensservern zurückkommen.

Um ein DNS-Lookup durchzuführen, gehen Sie folgendermaßen vor:

1. Geben Sie den Hostnamen oder die IP-Adresse ein.Geben Sie den Hostnamen oder die IP-Adresse einesHosts ein, für den Sie DNS-Informationen erhalten wollen.

2. Wählen Sie Ausführliche Ausgabe aktivieren (optional).Wählen Sie dieseOption, damit in der Ausgabe ausführlichere Informationenauftauchen.


3. Klicken Sie auf Starten.Die Ausgabe von dig wird im AbschnittDNS-Suchergebnisangezeigt.

18.5 ErweitertDasMenüSupport >Erweitert bietet weitere Informationen zu IhremGatewayund gewährtZugriff auf erweiterte Funktionen. Esbietet einen Überblick über laufende Prozesse und lokaleNetzwerkverbindungen und Sie erhalten Einblick in die Routing-Tabelle und dieNetzwerkschnittstellen-Tabelle. Darüber hinaus können Sie ein Support-Paket herunterladen,das Ihnen bei der Fehlersuche undWiederherstellung hilft sowie Hintergrundinformationen zuinternen Konfigurationsreferenzen bietet, welche Ihnen in Protokolldateien begegnen können.

18.5.1 ProzesslisteDasProgramm ps stellt eine Kopfzeile dar gefolgt von Zeilen, die Informationen über dielaufenden Prozesse auf demSystem enthalten. Diese Informationen sind nach ihrem„Controlling Terminal“ (dt. Steuerkonsole) und dann nach ihrer Prozess-ID sortiert.

18.5.2 LAN-VerbindungenDasProgramm netstat (Abkürzung für NetworkStatistics, dt. Netzwerkstatistiken) ist einNetzwerk-Tool, dasalle augenblicklich aktiven, sowohl eingehenden als auch ausgehenden,Internetverbindungen einesComputers anzeigt.

18.5.3 Routen-TabelleDasProgramm ip ist ein Netzwerk-Tool, das zur Kontrolle desTCP/IP-Netzwerk- undDatenverkehrs dient.Mit demParameter route show table allwerden die Inhalte allerRouting-Tabellen desGatewayangezeigt.

18.5.4 Schnittstellen-TabelleDie Tabelle zeigt alle konfigurierten Schnittstellen von SophosUTM, sowohlNetzwerkkartenals auch virtuelle Schnittstellen.Die Daten werden vomProgramm ip durch den Parameteraddrerzeugt. Schnittstellen und deren Eigenschaften werden angezeigt.


18 Support 18.5 Erweitert

18.5 Erweitert 18 Support

18.5.5 Konfigurations-AbbildFür die Fehlersuche und für Wiederherstellungszwecke ist es nützlich, so viele Informationenwiemöglich über die Installation von SophosUTM. zu sammeln. Auf der RegisterkarteSupport>Erweitert >Konfigurations-Abbild kann dasSupport-Paket heruntergeladen werden, dasgenau diese Funktion bietet.Die zip-Datei enthält Folgendes:

l Den kompletten Auszug der Gateway-Konfiguration (storage.abf). Bitte beachten Sie,dasses sich dabei nicht um eine echte Backup-Datei handelt – einige Informationen, z. B.die Kennwörter sind nicht in dieser Datei enthalten – und kann daher nur zurFehlerbehebung genutzt werden.

l Informationen über die gegenwärtig genutzte Hardware (hwinfo).

l Informationen über die installierten Software-Pakete (swinfo).


18.5.6 REF_ auflösenZur Fehlerbehebung können vomSystem genutzte Configuration References(Konfigurationsreferenzen) aufgelöst werden.Wenn Sie irgendwo in den Protokollen (Logs)auf solche References stoßen, können Sie die Zeichenfolge (z. B. REF_DefaultSuperAdmin)in dasEingabefeld kopieren. Auf der Registerkarte wird anschließend ein Auszug ausderDatenstruktur desKonfigurations-Daemonsangezeigt.


19 Log OffSie können sich vomWebAdmin durch einen Klick auf denMenüpunkt LogOff abmelden.WennSie sich nicht richtig vomWebAdmin abmelden oder der Browser mit einer offenen Sitzunggeschlossen wird, kann espassieren, dassSie sich für die folgenden 30 Sekunden nichtanmelden können.

Hinweis –Beachten Sie, dassSie abgemeldet werden, wenn Sie während einer Sitzung zueiner anderen Internetseite wechseln. In diesem Fallmüssen Sie sich neu anmelden.

20.1 User Portal: Mail-Quarantäne 20 Benutzerportal

20 BenutzerportalDiesesKapitel enthält Informationen über die Funktionsweise desBenutzerportals und dieDienste, die den Endbenutzern dadurch bereitgestellt werden.

DasBenutzerportal von SophosUTM ist eine Browser-basierte Anwendung, die autorisiertenBenutzern unter anderem personalisierte E-Mail-Dienste und Dienste für den Fernzugriff zurVerfügung stellt.Der Zugriff ist über die URL von SophosUTMmöglich, zumBeispielhttps://192.168.2.100 (beachten Sie dasHTTPS-Protokoll).

Benutzer können auf der Anmeldeseite eine Sprache ausder Auswahlliste auswählen, die sichrechts in der Kopfleiste befindet.

Abhängig von den imWebAdmin vomAdministrator aktivierten Diensten und Funktionenkönnen Benutzer auf folgende Dienste zugreifen:

l Mail-Quarantäne

l Mail-Log

l POP3-Konten

l Absender-Whitelist

l Absender-Blacklist

l Hotspots

l Client-Authentifizierung

l Fernzugriff

l HTML5-VPN-Portal

l Kennwort ändern

l HTTPS-Proxy

20.1 User Portal: Mail-QuarantäneAuf dieser Registerkarte können Benutzer Nachrichten in Quarantäne anzeigen undgegebenenfalls freigeben.


Hinweis –Die RegisterkarteMail-Quarantänewird angezeigt, wenn POP3 oder SMTP imWebAdmin aktiviert ist und der Benutzer für diese Dienste konfiguriert wurde.Erhält derBenutzer E-Mails über SMTP und POP3, werden die Nachrichten auf zweiRegisterkartenunterteilt:POP3-Quarantäne undSMTP-Quarantäne bieten ähnliche Funktionen.

Die RegisterkarteMail-Quarantäne zeigt eine Übersicht aller E-Mails für den Benutzer an,außer jenen, die von SophosUTM blockiert und unter Quarantäne gestellt wurden.. DamitPOP3-Quarantäne-E-Mails angezeigt werden, mussder Benutzer auf der RegisterkartePOP3-Konten seine POP3-Zugangsdaten eingeben.

Sortieren und Filtern von Quarantäne-E-MailsStandardmäßig werden alle E-Mails angezeigt. Enthält die Liste mehr als zwanzig E-Mails, wirdsie unterteilt. Verwenden Sie die SchaltflächenWeiter (>) und Zurück (<), um sich in denTeillisten zu bewegen.

Benutzer können die Anzeige anpassen:

Sortieren nach: Standardmäßig wird die Liste nach Eingangsdatum sortiert.Nachrichten können nach Datum, Betreff, Absenderadresse und Nachrichtengrößesortiert werden.

und zeige: Benutzer können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge proSeite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dassdasAnzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.

Verschiedene Elemente auf der Seite ermöglichen dasFiltern von E-Mails:

l Anzahl der Nachrichten in Quarantäne: Ganzoben auf der Seite befinden sichmehrere Auswahlfelder, mit denen die E-Mail-Anzeige nach demGrund für dieQuarantäne (schädlicher Inhalt, Spam, übereinstimmender Ausdruck,Dateierweiterung, MIME-Typ, unscannbar, andere) gefiltert werden kann.

l Adressen: Ermöglicht es, Nachrichten nach Absenderadresse zu filtern.

l Abs./Betr.-Teilausdruck: Hier können Benutzer einen Absender oder Betreffeingeben (oder einenWortteil davon), nach dem in denQuarantäne-Nachrichtengesucht werden soll.


20 Benutzerportal 20.1 User Portal: Mail-Quarantäne

20.2 User Portal: Mail-Protokoll 20 Benutzerportal

l Eingangsdatum: Umnur Nachrichten anzuzeigen, die während einesbestimmtenZeitraumseingegangen sind, geben Benutzer hier ein Datum ein oder wählen einDatum über dasKalendersymbol.

Verwalten von Quarantäne-E-MailsMit demAuswahlfeld vor jeder Nachricht oder durch Anklicken einer Nachricht könnenBenutzer Aktionen für ausgewählte Nachrichten ausführen. Die folgenden Aktionen sindmöglich:

l Anzeigen:Öffnet ein Fenster mit demE-Mail-Inhalt.

l Herunterladen: Die gewählten Nachrichten werden im EML-Format heruntergeladen.


l Absender auf Whitelist: Verschiebt die E-Mail in Ihr Postfach und fügt den Absenderzur Positivliste (Whitelist) hinzu. Nachfolgende E-Mails von diesemAbsender werdennicht mehr unter Quarantäne gestellt. Beachten Sie, dassE-Mailsmit schädlichem Inhaltimmer unter Quarantäne gestellt werden, auch wenn der Absender auf der Positivlistesteht.

l Freigeben: Die gewählten Nachrichten werden ausder Quarantäne freigegeben.

Hinweis –Welche Aktionen verfügbar sind, hängt vomQuarantänegrund und von denWebAdmin-Einstellungen ab. E-Mailsmit schädlichem Inhalt können nur von einemAdministrator freigegeben werden.

Globale Aufräumaktion wählen: Hier finden Sie einige Löschoptionen, die auf alleNachrichten global angewendet werden, dasheißt, unabhängig davon, ob sie ausgewählt sindund/oder angezeigt werden oder nicht.

20.2 User Portal: Mail-ProtokollAuf dieser Registerkarte können Endbenutzer ein Protokoll desüber SMTPgesendeten E-Mail-Verkehrs anzeigen.

Hinweis –Die RegisterkarteMail-Protokoll führt nur E-Mail-Adressen der Domäne auf, dieder SMTP-Proxy von SophosUTM überwacht. Benutzer können die Registerkarte nur


sehen, wenn ihnen der Administrator entsprechende Rechte zugewiesen hat.Wenn für einenBenutzer sowohlSMTP als auch POP3 aktiviert wurden, heißt diese RegisterkarteSMTP-Protokoll.

Die RegisterkarteMail-Protokollenthält Protokolleinträge über den gesamten E-Mail-Verkehrfür alle E-Mail-Adressen desBenutzers. Für E-Mails, die nicht zugestellt werden konnten,enthalten die Protokolleinträge Informationen über die jeweilige Ursache. Durch einenDoppelklick auf einen Protokolleintrag wird ein Fenster mit weiterführenden Informationenangezeigt.

Standardmäßig werden alle E-Mails angezeigt. Enthält die Liste mehr als zwanzig E-Mails, wirdsie unterteilt. Verwenden Sie die SchaltflächenWeiter (>) und Zurück (<), um sich in denTeillisten zu bewegen.

Benutzer können die Anzeige anpassen:

Sortieren nach: Standardmäßig wird die Liste nach Eingangsdatum sortiert.Nachrichten können nach Datum, Betreff, Absenderadresse und Nachrichtengrößesortiert werden.

und zeige: Benutzer können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge proSeite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dassdasAnzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.

Verschiedene Elemente auf der Seite ermöglichen dasFiltern von E-Mails:

l Anzahl Protokollereignisse für Datei: Ganzoben auf der Seite befinden sichmehrere Auswahlfelder, mit denen E-Mails abhängig von ihremStatuseingeblendet undausgeblendet werden können.

l Adressen: Ermöglicht es, E-Mails nach Absenderadresse zu filtern.

l Abs./Betr.-Teilausdruck: Hier können Benutzer einen Absender oder Betreffeingeben (oder einenWortteil davon), nach dem in denQuarantäne-Nachrichtengesucht werden soll.

l Eingangsdatum: Umnur Nachrichten anzuzeigen, die während einesbestimmtenZeitraumseingegangen sind, geben Benutzer hier ein Datum ein oder wählen einDatum über dasKalendersymbol.


20 Benutzerportal 20.2 User Portal: Mail-Protokoll

20.3 User Portal: POP3-Konten 20 Benutzerportal

20.3 User Portal: POP3-KontenAuf dieser Registerkarte können sich Endbenutzer ausweisen, um ihre POP3-E-Mails inQuarantäne ansehen und freigeben undQuarantäneberichte erhalten zu können.

Hinweis –Die RegisterkartePOP3-Konten ist nur verfügbar, wenn der Administrator POP3aktiviert und einen POP3-Server hinzugefügt hat.

Auf dieser Seite müssen Benutzer die Zugangsdaten zu den POP3-Konten eingeben, die siebenutzen. Eswerden nur Spam-E-Mails, für die POP3-Kontozugangsdaten hinterlegt sind, imBenutzerportal angezeigt.Benutzer, für die POP3-Kontozugangsdaten gespeichert sind,erhalten einen eigenständigenQuarantänebericht für jede E-Mail-Adresse.

20.4 User Portal: Absender-WhitelistAuf dieser Registerkarte können Benutzer E-Mail-Absender auf die Positivliste (Whitelist)setzen, damit die Nachrichten dieser Absender niemals alsSpam behandelt werden. E-Mailsmit Viren oder unscannbare E-Mailswerden jedoch stets unter Quarantäne gestellt.

Hinweis –Die RegisterkarteAbsender-Whitelist ist nur dann verfügbar, wenn die E-Mail-Adresse desBenutzers demNetzwerkoder der Domäne angehört, die von SophosUTMüberwacht wird, und vomAdministrator die Zugriffsrechte für diese Funktion gewährtwurden.

Absender können auf die Positivliste gesetzt werden, indem dasPlussymbol angeklickt, eineAdresse eingegeben und auf dasHäkchensymbol geklickt wird, um den Eintrag zuspeichern.Benutzer können sowohl einzelne gültige E-Mail-Adressen (z. [email protected]) als auch Adressen einer spezifischen Domäne eintragen, wobeiein Asterisk alsPlatzhalter dient (z. B. *@beispiel.de).

20.5 User Portal: Absender-BlacklistAuf dieser Registerkarte können Benutzer E-Mail-Absender auf die Negativliste (Blacklist)setzen, damit die Nachrichten dieser Absender immer alsSpam behandelt werden.


Hinweis –Die RegisterkarteAbsender-Blacklist ist nur dann verfügbar, wenn die E-Mail-Adresse desBenutzers demNetzwerkoder der Domäne angehört, die von SophosUTMüberwacht wird, und vomAdministrator die Zugriffsrechte für diese Funktion gewährtwurden.

Die Negativliste wird sowohl auf SMTP- als auch auf POP3-E-Mails angewendet, wenn dieseauf demSystem aktiviert sind. Absender können auf die Negativliste gesetzt werden, indem dasPlussymbol angeklickt, eine Adresse eingegeben und auf dasHäkchensymbol geklickt wird, umden Eintrag zu speichern.Benutzer können entweder gültige E-Mail-Adressen eingeben, z. [email protected], oder auch ganze Domänen, z. B. *@hotmail.com.

20.6 Benutzerportal: HotspotsDie Hotspot-Funktion ermöglicht es, in Gaststätten, Hotels, Unternehmen usw. Gästen einenzeit- und volumenbeschränkten Internetzugang bereitzustellen.

Hinweis –Die RegisterkarteHotspotswird im Benutzerportal nur dann angezeigt, wenn derAdministrator einen Hotspot der TypenKennwort oder Voucher erstellt hat und denbetreffenden Benutzer in die Liste der zugelassenen Benutzer aufgenommen hat.

Auf dieser Registerkarte können Benutzer die Hotspot-Zugangsdaten anWLAN-Gästeverteilen.Welche Funktionen verfügbar sind, hängt von dem gewählten Hotspot-Typ ab:entweder sie verteilen ein allgemeingültigesKennwort oder Voucher.

Hotspot-Typ: Tages-KennwortDasFeldKennwort enthält dasaktuelle Kennwort. DiesesKennwort wird einmal am Taggeändert. Benutzer haben aber auch dieMöglichkeit, dasKennwort manuell zu ändern. Dasvorhergehende Kennwort wird sofort ungültig. Alle laufenden Sitzungen werden beendet.

Um dasKennwort zu ändern, gehen Benutzer folgendermaßen vor:

1. Sie öffnen im Benutzerportal die Registerkarte Hotspots.

2. Sie wählen einen Hotspot aus, dessen Zugangsinformationen sie bearbeitenmöchten.


20 Benutzerportal 20.6 Benutzerportal: Hotspots

20.6 Benutzerportal: Hotspots 20 Benutzerportal

Sie wählen ausder Hotspot-Auswahlliste den Hotspot aus, dessen Kennwort sie ändernmöchten.

3. Sie erstellen das neue Kennwort.Dazu geben sie dasneue Kennwort in dasFeldKennwort ein oder klicken auf dieSchaltflächeGenerieren, um automatisch ein neuesKennwort zu erzeugen.

4. Benutzer können die neuen Kennwörter per E-Mail versenden, indem sie dasAuswahlfeld E-Mail senden aktivieren.DasKennwort wird an die vomAdministrator spezifizierten E-Mail-Empfänger gesendet.

5. Sie klicken auf Speichern.Die Kennwortänderung tritt sofort in Kraft.

Hotspot-Typ: VoucherBenutzer können Voucher mit einmaligen Zugangscodeserstellen. Sie können die Voucherdrucken und ihrenGästen aushändigen. Die Liste der erstellten Voucher liefert einen Überblicküber ihre Nutzung und erleichtert ihre Verwaltung.

UmVoucher zu erstellen, gehen Benutzer folgendermaßen vor:

1. Sie öffnen im Benutzerportal die Registerkarte Hotspots.

2. Sie wählen einen Hotspot aus, dessen Zugangsinformationen sie bearbeitenmöchten.Sie wählen ausder Hotspot-Auswahlliste den Hotspot aus, für den sie einen Vouchererstellenmöchten.

3. Sie wählen im Feld Voucher-Definition einen Voucher-Typ aus.Der Administrator legt die Voucher-Typen fest. DasUnternehmen legt fest, welcherVoucher-Typ für welchen Zweck verwendet wird.

4. Sie geben im Feld Anzahl an, wie viele Voucher dieses Typs erstellt werdensollen.

5. Optional können die Benutzer in das Kommentar-Feld zusätzlicheAnmerkungen eingeben.Die Anmerkungen werden in der Voucher-Liste desBenutzers angezeigt.

6. Benutzer können die Voucher auch sofort ausdrucken, indem sie dasAuswahlfeld Drucken aktivieren.


7. Sie klicken auf die Schaltfläche Voucher erstellen.Die Voucher werden generiert. Die Voucher werden sofort in der Voucher-Listeangezeigt. Jeder Voucher entspricht einer neuen Zeile.Wenn zuvor ausgewählt,werden die Voucher direkt ausgedruckt. Jeder Voucher hat einen einmaligen Code.

Hinweis – Inhalt, Größe und Layout der Voucher werden vomAdministrator festgelegt.

In der Voucher-Liste können Benutzer die Voucher verwalten. Sie können die Liste sortierenund filtern, einen Kommentar eingeben oder ändern und sie können Voucher drucken, löschenoder exportieren.

l ZumSortieren der Liste wählen sie in der AuswahllisteSortieren nach einSortierkriterium aus. Mit der Auswahlliste auf der rechten Seite legen Benutzer fest, wieviele Voucher pro Seite angezeigt werden.

l Mit den FeldernStatus,Code oder Kommentar kann die Liste gefiltert werden.DieBenutzer wählen dasgewünschte Attribut ausoder geben esein, um die Liste zu filtern.Die Liste wird bereitswährend der Eingabe gefiltert.Um den Filter zurückzusetzen,wählen sie den StatuseintragAlle und löschen den eingegebenen Text in denTextfeldernCode bzw.Kommentar.

l Umeinen Kommentar einzugeben oder zu bearbeiten, klicken sie in der Kommentar-Spalte des jeweiligen Vouchers auf dasNotizbuch-Symbol. Ein Bearbeitungsfeld wirdangezeigt. Benutzer können Text eingeben oder bearbeiten. Mit der Eingabetaste oderdem einemKlick auf dasHäkchen werden die Änderungen gespeichert.

l Wenn sie Voucher drucken oder löschenmöchten, aktivieren Benutzer dasAuswahlfeldvor den jeweiligen Vouchern und klicken unten auf die entsprechende Schaltfläche.

Hinweis –Der Administrator kann festlegen, dassVoucher nach einem bestimmtenZeitraum automatisch gelöscht werden.

l UmVoucher zu exportieren, gehen Benutzer folgendermaßen vor: Sie aktivieren dasAuswahlfeld vor den jeweiligen Vouchern und klicken unterhalb der Liste auf dieSchaltflächeCSVexportieren. In einem neu angezeigten Fenster können sieanschließend auswählen, ob die CSV-Datei gespeichert oder direkt geöffnet werdensoll. Die ausgewählten Voucher werden gemeinsam in einer CSV-Dateigespeichert.Benutzer müssen beimÖffnen dieser Datei darauf achten, dass sie daskorrekte Trennzeichen für die Spaltentrennung auswählen.


20 Benutzerportal 20.6 Benutzerportal: Hotspots

20.7 User Portal: Client-Authentifizierung 20 Benutzerportal

20.7 User Portal: Client-AuthentifizierungAuf dieser Registerkarte können Endbenutzer die Setup-Datei desSophosAuthenticationAgents (SAA) herunterladen. Der SAA kann alsAuthentifizierungsmethode für denWebfiltergenutzt werden.

Hinweis –Die RegisterkarteClient-Authentifizierung ist nur verfügbar, wenn Client-Authentifizierung vomAdministrator aktiviert wurde.

20.8 Benutzerportal: FernzugriffAuf dieser Registerkarte können Endbenutzer Client-Software für den Fernzugriff sowie für siebereitgestellte Konfigurationsdateien herunterladen. Diese werden entsprechend denWebAdmin-Einstellungen desAdministrators automatisch erstellt und bereitgestellt.

Hinweis –Der Menüpunkt Fernzugriff ist allerdingsnur zu sehen, wenn für den jeweiligenBenutzer der Fernzugriff aktiviert wurde.

Es sind jedoch nur jene Fernzugriffdaten für einen Benutzer verfügbar, die mit denVerbindungsarten übereinstimmen, die für ihn vomAdministrator aktiviert wurden. Beispiel: EinBenutzer, für den der SSL-VPN-Fernzugriff aktiviert ist, findet einen AbschnittSSL-VPN vor.

Jede Verbindungsart wird in einem separaten Abschnitt angezeigt. Abhängig von derVerbindungsart sind Informationen und/oder Schaltflächen zumHerunterladen derentsprechenden Software verfügbar.Sofern zutreffend finden Benutzer über den Abschnitteneinen Link Installationsanleitung in neuem Fenster öffnen. Auf dieseWeise kann detaillierteInstallationsdokumentation geöffnet werden.



20.9 User Portal: HTML5-VPN-PortalDasHTML5-VPN-Portal ermöglicht Benutzern von externen Netzwerken ausden Zugriff aufinterne Ressourcen über vorkonfigurierte Verbindungsarten und einen normalenWebbrowser.

Hinweis –Die RegisterkarteHTML5-VPN-Portalwird ausschließlich Benutzern angezeigt,für die der Administrator VPN-Verbindungen eingerichtet hat und die zur Gruppe derzugelassenen Benutzer gehören.

Hinweis –Der Browser desBenutzersmussHTML5 unterstützen. Browser, die HTML5nicht unterstützen, können Flash verwenden, was jedoch die Installation desFlash-Plug-insvoraussetzt. Die folgenden Browser unterstützen HTML5: Firefoxab Version 6.0, InternetExplorer ab Version 10, Chrome, Safari ab Version 5 (außer unter Windows).

Auf der RegisterkarteHTML5-VPN-Portal sind die zugelassenen Verbindungen aufgeführt.Die Symbole weisen auf den Verbindungstyp hin.

Um eine Verbindung zu verwenden, gehen Benutzer folgendermaßen vor:

1. Sie klicken auf die jeweilige Verbinden-Schaltfläche.Ein neuesBrowser-Fenster wird geöffnet. Inhalt und Aussehen diesesFensters hängenvomVerbindungstyp ab.Wenn der Benutzer zumBeispiel eine HTTP- oder HTTPS-Verbindung aufgebaut hat, wird eineWebsite angezeigt. BeiSSH-Verbindungen wirdeine Kommandozeile angezeigt.

2. Im neuen Fenster kann wie über eine Standardverbindung gearbeitet werden.

Hinweis –BeiRemotedesktopverbindungenmit einemWindows-Host könnenBenutzer die Tastatureingabesprache desVerbindungsfensters ändern. Besondersfür dieWindows-Anmeldung gilt, dassdie ausgewählte Sprachemit derSpracheinstellung inWindowsübereinstimmen sollte, um eine korrekteKennworteingabe zu ermöglichen. Um die Tastatureingabesprache zu ändern,bewegen Benutzer denMauszeiger an den oberen Fensterrand. EineMenüleiste wirdangezeigt.Im Tastatur-Menümüssen Benutzer auf den Eintrag Tastatur-Layout


20 Benutzerportal 20.9 User Portal: HTML5-VPN-Portal

20.10 User Portal: Kennwort ändern 20 Benutzerportal

zeigen und die gewünschte Sprache auswählen. Dasausgewählte Tastatur-Layoutwird in einemCookie gespeichert.

Hinweis –Möchten Benutzer spezielle Befehle wie Funktionstasten oderSTRG+ALT+ENTF verwenden, müssen sie denMauszeiger an den oberenFensterrand bewegen. EineMenüleiste wird angezeigt.Im Tastatur-Menü kann derBenutzer den gewünschten Eintrag auswählen.

3. Nach getaner Arbeit wird die Verbindung geschlossen.l Mit demBefehlSitzung beenden imMenüVerbindung oder durch Schließen des

Browser-Fensters (x-Symbol in der Titelleiste) wird die Verbindunggeschlossen.Durch erneutesAnklicken der Verbinden-Schaltfläche wird eineneue Sitzung gestartet.

l Mit demBefehlTrennen imMenüVerbindungwird die Sitzung beendet. DerSitzungsstatuswird für die Dauer von fünf Minuten gespeichert. Meldet sich derBenutzer während diesesZeitraumswieder an, kann er die letzte Sitzungfortsetzen.

20.10 User Portal: Kennwort ändernAuf dieser Registerkarte können Endbenutzer ihr Kennwort für den Zugriff auf dasBenutzerportal und, sofern verfügbar, für den Fernzugriff über PPTPändern.

20.11 User Portal: HTTPS-ProxyAuf dieser Registerkarte können Benutzer dasHTTP/S-Proxy-CA-Zertifikat importieren, damitkeine Fehlermeldungenmehr angezeigt werden, wenn sie sichereWebsites besuchen.

Hinweis –Die RegisterkarteHTTPS-ProxydesBenutzerportalswird nur angezeigt, wennder Administrator global ein HTTP/S-Proxy-Zertifikat bereitgestellt hat.

Nach Anklicken der SchaltflächeProxy-CA-Zertifikat importierenwird der Benutzer von seinemBrowser gefragt, ob er der CA für verschiedene Zwecke vertraut.


Glossar33DES

Triple Data Encryption Standard

AACPI

Advanced Conguration and Power Interface

AD

Active Directory

Address Resolution Protocol

ARP ist ein Netzwerkprotokoll, dasdie Zuordnung von Netzwerkadressen (IP-Adressen) zu Hardwareadressen (MAC-Adressen) möglichmacht.

ADSL

AsymmetricDigital Subscriber Line

Advanced Configuration and Power Interface

ACPI ist ein offener Industriestandard und stellt Schnittstellen zurHardwareerkennung, Gerätekonfiguration und zumEnergiemanagement vonComputern zur Verfügung.

Advanced Programmable Interrupt Controller

APIC ist eine Architektur für die Verteilung von Interrupts in Multiprozessor-Computersystemen.

AES

Advanced Encryption Standard

AFC

Astaro Flow Classifier

Glossar

AH

Authentication Header

AMG

AstaroMailGateway

APIC

Advanced Programmable Interrupt Controller

ARP

AddressResolution Protocol

AS

AutonomesSystem

ASCII

American Standard Code for Information Interchange

ASG

Astaro SecurityGateway

Astaro Command Center

Software für die Überwachung und Verwaltung vonmehreren Astaro Gateway-Produkten über eine einzige Software-Oberfläche.

Astaro Security Gateway

Software für Unified Threat Management, die Mail- und Internetsicherheit umfasst.

AUA

Astaro User Authentication

Authentication Header

AH ist ein IPsec-Protokoll und stellt die Authentizität der übertragenen Paketesicher. Darüber hinaus schützt es gegen Replay-Angriffe.


Autonomes System

Ein AS ist ein IP-Netz, welchesalsEinheit verwaltet wird und ein gemeinsames(oder auchmehrere) interne Routing-Protokolle verwendet.

AWG

AstaroWebGateway

AWS

AmazonWeb Services

BBATV

Bounce AddressTag Validation

BGP

Border GatewayProtocol

Bounce Address Tag Validation

BATV ist der Name einer Methode zur Bestimmung, ob die Antwort-Adresse einerE-Mail gültig ist. Eswurde entwickelt, um Bounce-Messages für gefälschte Antwort-Adressen zu verwerfen.

Broadcast

Ein Broadcast in einemComputernetzwerk ist eine Nachricht, bei der Datenpaketevon einemPunkt ausan alle Teilnehmer einesNetzesübertragen werden. ZumBeispiel: Ein Netzwerkmit der IP-Adresse 192.168.2.0 und einer Netzmaske255.255.255.0 hat die Broadcast-Adresse 192.168.2.255.

CCA

Certificate Authority (Zertifizierungsinstanz)

CBC

Cipher BlockChaining


Glossar

Glossar

CDMA

CodeDivisionMultiple Access

Certificate Authority (Zertifizierungsinstanz)

Eine CA (dt. Zertifizierungsinstanz) ist eine Entität oder Organisation, die digitaleZertifikate herausgibt.

CHAP

Challenge Handshake Authentication Protocol

Cipher Block Chaining

In der Kryptografie bezeichnet CBC eine Betriebsart, in derBlockchiffrierungsalgorithmen arbeiten. Vor demVerschlüsseln einesKlartextblockswird dieser erst mit dem im letzten Schritt erzeugtenGeheimtextblockper XOR(exklusivesOder) verknüpft.

Cluster

Gruppe vonmiteinander verbundenen Computern, die eng zusammen arbeiten,sodass sie in vielerleiHinsicht wie ein einzelner Computer agieren.

CMS

Content Management System

CRL

Certificate Revocation List (Zertifikatsperrliste)

CSS

Cascading Style Sheets

DDC

Domänencontroller

DCC

Direct Client Connection


DDoS

Distributed Denial of Service

DER

Distinguished Encoding Rules

Destination Network Address Translation

DNAT ist ein spezieller Fall von NAT (NetworkAddressTranslation), bei dem dieZieladressinformationen in Datenpaketen durch andere ersetzt werden.

DHCP

DynamicHost Configuration Protocol

Digital Signature Algorithm

DSA ist ein Standard der US-Regierung für digitale Signaturen.

Digital Subscriber Line

DSL ist eine Technologie zur digitalen Datenübertragung über herkömmlicheTelefonleitungen.

Distinguished Encoding Rules

DER ist eineMethode zur Verschlüsselung von Datenobjekten (z. B. X.509-Zertifikate), um sie digital zu signieren oder um ihre Signatur zu überprüfen.

DKIM

DomainKeys IdentifiedMail

DMZ

Demilitarized Zone (Entmilitarisierte Zone)

DN

Distinguished Name

DNAT

Destination NetworkAddressTranslation


Glossar

Glossar

DNS

Domain NameService

DOI

Domain of Interpretation

Domain Name Service

DNS ist ein hierarchischesSystem von Namen im Internet und dient zur Auflösungdieser Namen in IP-Adressen.

DoS

Denial of Service

DSA

Digital Signature Algorithm

DSCP

Differentiated ServicesCode Point

DSL

Digital Subscriber Line

DUID

DHCPUnique Identifier

Dynamic Host Configuration Protocol

DHCP ist ein Protokoll, das von Netzwerkgeräten verwendet wird, um IP-Adressenzu erhalten.

EEchtzeit-Blackhole-Liste

Eine RBL ist eine in Echtzeit abfragbare Schwarze Liste, die verwendet wird, um E-Mails zweifelhafter Herkunft alsSpam zu klassifizieren. DiemeistenMailserverkönnen so konfiguriert werden, dassdie Nachrichten ablehnen oder markieren, dievon einer Gegenstelle stammen, die auf einer oder mehreren schwarzen Listengeführt ist.


Encapsulating Security Payload

ESP ist ein IPsec-Protokoll, das für die Authentifizierung, Integrität undVertraulichkeit von IP-Paketen sorgt.

ESP

Encapsulating SecurityPayload

FFAT

File Allocation Table

File Transfer Protocol

FTP ist ein Netzwerkprotokoll zur Dateiübertragung über TCP/IP-Netzwerke.

FQHN

FullyQualified Host Name

FTP

File Transfer Protocol

GGeneric Routing Encapsulation

GRE ist ein Netzwerkprotokoll und dient der Einkapselung von Datenpaketen inandere Protokolle, um sie in Form von IP-Tunneln zu transportieren.

GeoIP-

Eine Technik, um den Standort vonGeräten weltweit mit Hilfe von Satellitenbilderndarzustellen.

Gerätebaum

Befindet sich unterhalb desHauptmenüsund bietet Zugriff auf alle Astaro Gateway-Geräte, die mit demACC verbunden sind.


Glossar

Glossar

Geteilter Schlüssel

Ein geteilter Schlüssel (shared secret) ist ein Kennwort, das von zweiGegenstellenzur sicheren Kommunikation geteilt wird.

GRE

GenericRouting Encapsulation

GSM

GlobalSystem for Mobile Communications

HH.323

H.323 ist ein Protokoll für die audiovisuelle Kommunikation über paketvermittelteNetzwerke.

HA

High Availabilty (Hochverfügbarkeit)

HCL

Hardware Compatibility List (Hardwarekompatibilitätsliste)

HELO

Ein Befehl im SimpleMail Transfer Protocol (SMTP), mit dem der Client auf deninitialen Gruß desServers antwortet.

High Availabilty (Hochverfügbarkeit)

Hochverfügbarkeit (High availability) bezeichnet die Fähigkeit einesSystems, bis zueinem gewissenGrad Ausfallsicherheit gewährleisten zu können.

HMAC

Hash-basedMessage Authentication Code

HTML

Hypertext Transfer Markup Language


HTTP

Hypertext Transfer Protocol

HTTP/S

Hypertext Transfer ProtocolSecure

HTTPS

Hypertext Transfer ProtocolSecure

Hypertext Transfer Protocol

HTTP ist ein Protokoll für die Übermittlung von Informationen im Internet.

Hypertext Transfer Protocol over Secure Socket Layer

HTTPSermöglicht eine sicherere HTTP-Kommunikation.

IIANA

Internet Assigned NumbersAuthority

ICMP

Internet ControlMessage Protocol

ID

Identität

IDE

Intelligent Drive Electronics

IDENT

IDENT ist ein Netzwerkprotokoll, mit dem ein Server feststellen kann, welcherBenutzer einesMehrbenutzersystemseine bestimmte TCP-Verbindung geöffnethat.

IDN

InternationalDomain Name


Glossar

Glossar

IE

Internet Explorer

IE7

Internet Explorer Version 7

IKE

Internet KeyExchange

IM

Instant Messaging (Sofortnachrichten)

Internet Control Message Protocol

ICMP ist ein Teil der Internetprotokollfamilie und dient in Netzwerken zumAustausch von Fehler- und Informationsmeldungen.

Internet Protocol

IP ist ein in Computernetzen weit verbreitetesNetzwerkprotokoll und bildet die erstevomÜbertragungsmedium unabhängige Schicht der Internetprotokollfamilie.

Internet Relay Chat

IRC ist ein offenesProtokoll und ermöglicht eine direkte Kommunikation über dasInternet.

Internetdienstanbieter

Ein ISP (Internetanbieter) ist ein Anbieter von Diensten, Inhalten oder technischenLeistungen, die für die Nutzung oder den Betrieb im Internet erforderlich sind.

IP

Internet Protocol

IP-Adresse

Eine IP-Adresse (Internet-Protocol-Adresse) ist eine Nummer, die dieAdressierung von Hosts und anderenGeräten in einem IP-Netzwerkerlaubt.

IPS

Intrusion Prevention System (Angriffschutzsystem)


IPsec

Internet ProtocolSecurity

IRC

Internet RelayChat

ISP

Internetdienstanbieter

LL2TP

Layer 2 Tunneling Protocol

LAG

LinkAggregation Group (Linkbündelungsgruppe)

LAN

LocalArea Network

LDAP

Lightweight DirectoryAccessProtocol

Link State Advertisement

LSA ist ein elementaresKommunikationsprinzip innerhalb desOSPF Routing-Protokolls.

LSA

LinkState Advertisement

LTE

3GPPLong Term Evolution

MMAC

Media AccessControl


Glossar

Glossar

MAC-Adresse

EineMAC-Adresse (Media AccessControl) ist die Hardware-Adresse jedeseinzelnen Netzwerkadapters, die zur eindeutigen Identifikation desGeräts imNetzwerkdient.

Managed Security Service Provider

MSSPsbieten Sicherheitsdienste für Firmen an.

Management Information Base

EineMIB ist eine Informationsstruktur zumVerwalten von Netzwerkgeräten (z. B.Router und Switches). Diese stellen Status-, Parameter-, Fähigkeits- undSteuerinformationen über sich selbst in einer MIB zusammen, die an anfragendeGeräte gesendet wird.

Maskierung (Masquerading)

Maskierung ist eine Form von NetworkAddressTranslation, die esmehrerenComputern (mit privaten IP-Adressen) in einem LAN ermöglicht, beiVerwendungeiner einzigen öffentlichen IP-Adressemit dem Internet zu kommunizieren.

MD5

Message-Digest-Algorithm 5

Message-Digest Algorithm 5

MD5 ist eine kryptografische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt.

MIB

Management Information Base

MIME

Multipurpose Internet Mail Extensions

MPPE) wählen.

Microsoft Point-to-Point Encryption

MSCHAP

Microsoft Challenge Handshake Authentication Protocol


MSCHAPv2

Microsoft Challenge Handshake Authentication ProtocolVersion 2

MSSP

Managed SecurityService Provider

MTU

MaximumTansmission Unit

Multipurpose Internet Mail Extensions

MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails undanderer Internetnachrichten festlegt.

MX-Eintrag

EinMX-Eintrag ist eine Art Ressourcen-Eintrag imDomain NameSystem (DNS),der festlegt, wie E-Mails über das Internet geroutet werden sollen.

NNAS

NetworkAccessServer

NAT

NetworkAddressTranslation

NAT-T

NAT-Traversal

Network Address Translation

System zur Wiederverwendung von IP-Adressen.

Network Time Protocol

NTP ist ein Protokoll für die Zeitsynchronisation von Computern in einemNetzwerk.

NIC

Network Interface Card (Netzwerkkarte)


Glossar

Glossar

Not-So-Stubby-Area

Eine NSSA ist ein Bereichstyp (area type) im RoutingprotokollOSPF.

NSSA

Not-So-Stubby-Area

NTLM

NT LANManager (MicrosoftWindows)

NTP

NetworkTime Protocol

OOpen Shortest Path First

OSPF ist ein dynamischesRouting-Protokoll, dasauf einem Link-State-Algorithmusbasiert.

OpenPGP

OpenPGP ist ein Kryptografie-Protokoll basierend auf PGP (PrettyGood Privacy)zur Verschlüsselung von Informationen und Erzeugung digitaler Signaturen.

OSI

Open Source Initiative

OSPF

Open Shortest Path First

OU

OrganisationalUnit

PPAC

ProxyAuto Configuration (Automatische Proxy-Konfiguration)


PAP

Password Authentication Protocol

PCI

PeripheralComponent Interconnect

PEM

PrivacyEnhancedMail

PGP

PrettyGood Privacy

PKCS

PublicKeyCryptographyStandards

PKI

PublicKey Infrastructure

PMTU

PathMaximumTransmission Unit

POP3

Post Office ProtocolVersion 3

Port

Ports sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden, umDatenpakete den richtigen Diensten (Protokollen) zuzuordnen. Genauer gesagt,dient ein Port als zusätzliche Identifikation – bei TCPund UDP ist es eine Zahlzwischen 0 und 65535 – die eseinemComputer ermöglicht, zwischenmehrerenverschiedenen gleichzeitigen Verbindungen zwischen zweiComputern zuunterscheiden.

Portscan

Der Vorgang, einen Netzwerkhost nach offenen Ports abzusuchen.


Glossar

Glossar

Post Office Protocol Version 3

POP3 ist ein Protokoll für die Übertragung von E-Mails in einem paketvermitteltenNetzwerk.

PPP

Point-to-Point Protocol

PPPoA

PPPover ATMProtocol

PPTP

Point-to-Point Tunneling Protocol

Privacy Enhanced Mail

PEM ist ein frühesProtokoll zur Verschlüsselung von E-Mailsmittels einesasymmetrischen Verschlüsselungsverfahrens.

Protokoll

Protokolle sind Regeln, die dasFormat, den Inhalt, die Bedeutung und dieReihenfolge gesendeter Nachrichten zwischen verschiedenen Instanzen (dergleichen Schicht) festlegen.

Proxy

Ein Proxy ist ein zwischengeschalteter Computer, der zur Pufferung, Überwachungund Zugriffskontrolle dient.

Prozessor

Hauptprozessor

PSK

Preshared Key (Vorvereinbarter Schlüssel)

QQoS (Quality of Service, Dienstqualität)

Quality of Service (Dienstqualität)


RRADIUS

Remote Authentication Dial In User Service

RAID

Redundant Arrayof Independent Disks

RAM

RandomAccessMemory

RAS

Remote AccessServer

RBL

Realtime Blackhole List (Echtzeit-Blackhole-Liste)

RDN

Relative Distinguished Name

RDNS

Reverse Domain NameService

RDP

Remote Desktop Protocol

RED

RandomEarlyDetection

Redundant Array of Independent Disks

Ein RAID-System dient zur Organisationmehrerer physikalischer Festplatten einesComputers zu einem logischen Laufwerk.

Remote Authentication Dial In User Service

RADIUS ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierungund zumAccounting von Benutzern beiEinwahlverbindungen in ein


Glossar

Glossar

Computernetzwerkdient.

RFC

Request for Comment

Router

Ein Router ist ein Vermittlungsrechner, der in einemNetz dafür sorgt, dassbei ihmeintreffende Daten einesProtokolls zum vorgesehenen Zielnetz bzw. Subnetzweitergeleitet werden.

RPS

RED Provisioning Service

RSA

Rivest, Shamir &Adleman (Verschlüsselungstechnologie für öffentliche Schlüssel)

SS/MIME

Secure/Multipurpose Internet Mail Extensions

SA

SecurityAssociations (Sicherheitsverbindungen)

SCP

Secure Copy (ausdemSSH-Paket für Computeranwendungen für sichereKommunikation)

SCSI

SmallComputer System Interface

Secure Shell

SSH ist ein Protokoll bzw. Implementierung diesesProtokolls, mit dem sich eineverschlüsselte Netzwerkverbindung zu einem entfernten Computer aufbauen lässt.


Secure Sockets Layer

SSL und sein Nachfolger Transport Layer Security (TLS) sindVerschlüsselungsprotokolle für die sichere Datenübertragung im Internet.

Secure/Multipurpose Internet Mail Extensions

S/MIME ist ein Standard für die Verschlüsselung und Signatur vonMIME-gekapselter E-Mail durch ein asymmetrischesVerschlüsselungsverfahren.

Security Parameter Index

SPI ist eine Identifikationsmarkierung, die zumHeader (Kopfzeile) beim Tunnelnvon Datenmit IPsechinzugefügt wird.

Sender Policy Framework

SPF ist eine Erweiterung desSMTPProtokolls zumSchutz gegen dasVersendenvon Spam-E-Mailsmit falschen Absender-Adressen.

Session Initiation Protocol

SIP ist ein Netzprotokoll zumAufbau einer Kommunikationssitzung zwischen zweioder mehr Teilnehmern. Das text-orientierte Protokoll basiert auf HTTPund kannSignalisierungsdatenmittels TCPoder UDPüber IP-Netzwerke übermitteln.Dadurch stellt es neben anderen Protokollen die Basis für Voice over IP,Videotelefonie undMultimedia-Anwendungen in Echtzeit bereit.

SFQ

Stochastic FairnessQueuing

Simple Mail Transfer Protocol

SMTP ist ein Protokoll der Internetprotokollfamilie, das zumAustausch von E-Mailsin Computernetzen dient.

Single Sign-On

SSObedeutet, dassein Benutzer nach einer einmaligen Authentifizierung auf alleHosts und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedesMal neuanmelden zumüssen.

SIP

Session Initiation Protocol


Glossar

Glossar

SLAAC

StatelessAddressAutoconfiguration

SMB

Server Message Block

SMP

SymmetrischesMultiprocessing

SMTP

SimpleMail Transfer Protocol

SNAT

Source NetworkAddressTranslation

SNMP

Simple NetworkMessage Protocol

SOCKetS

„SOCKS“ ist eine Abkürzung für „SOCKetS“, ein Protokoll, dasesClient-Server-Anwendungen erlaubt, transparent die Dienste einer Firewall zu nutzen. SOCKS,oft auch Firewall TraversalProtocol genannt, befindet sichmomentan in Version 5undmuss clientseitig vorhanden sein, um richtig zu funktionieren.

SOCKS

SOCKetS

Source Network Address Translation

SNAT ist ein Spezialfall von NetworkAddressTranslation (NAT), bei dem die Quell-IP-Adresse ersetzt wird.

Spanning Tree Protocol

Netzwerkprotokoll, dasBridge-Loopserkennt und verhindert

SPF

Sender PolicyFramework


SPI

SecurityParameter Index

SSH

Secure Shell

SSID

Service Set Identifier

SSL

Secure Sockets Layer

SSO

Single Sign-On

STP

Spanning Tree Protocol

Subnetzmaske

Die Subnetzmaske (auch Netzwerkmaske oder Netzmaske genannt) einesNetzwerks legt fest, welche Adressen Teil des lokalen Netzwerks sind und welchenicht. Einzelne Computer werden auf Basis dieser Definition einemNetzwerkzugeordnet.

Symmetrisches Multiprocessing

Der Einsatz vonmehr als einemProzessor.

SYN

Synchronous

TTACACS

TerminalAccessController AccessControl System

TCP

Transmission Control Protocol


Glossar

Glossar

TFTP

Trivial File Transfer Protocol

Time-to-live (TTL)

TTL ist der Name eines8-Bit-langen Header-Feldsdes Internetprotokolls (IP) undgibt an, wie lange ein Paket auf demWeg vom Ziel zumSender unterwegs sein darf,bevor es verworfen wird, und soll verhindern, dassunzustellbare Pakete unendlichlange weitergeroutet werden.

TKIP

TemporalKey IntegrityProtocol

TLS

Transport Layer Security

TOS

Type of Service

Transmission Control Protocol

TCP ist ein Protokoll der Internet-Protokollfamilie, das zusammenmit demInternetprotokoll (IP) eingesetzt wird, umDaten in Form von Paketen zwischenComputern über das Internet zu transportieren. DasProtokoll gewährleistet eineverlässliche und geordnete Auslieferung von Daten vomAbsender zumEmpfänger.

Transport Layer Security

TLS und sein Vorgänger Secure Sockets Layer (SSL) sindVerschlüsselungsprotokolle für die sichere Datenübertragung im Internet.

TTL

Time-to-live (TTL)

UUDP

User DatagramProtocol


UMTS

UniversalMobile TelecommunicationsSystem

Uniform Resource Locator

URLs identifizieren eine Ressource in Computernetzwerken und sind der Standardvon Adressen im Internet.

Unterbrechungsfreie Stromversorgung

Ein Gerät zur unterbrechungsfreien Stromversorgung (USV) wird eingesetzt, umbeiStörungen der Stromversorgung einen durchgehenden Betrieb zu ermöglichen.

Up2Date

Ein Dienst, der eserlaubt, relevante Aktualisierungspakete vomAstaro-Serverherunterzuladen.

URL

UniformResource Locator

USB

UniversalSerial Bus

User Datagram Protocol

UDP ist ein Protokoll für den verbindungslosen Datenaustausch, dashauptsächlichfür die Verteilung von Nachrichten über ein Netzwerk verwendet wird.

USV

Unterbrechungsfreie Stromversorgung

UTC

Coordinated Universal Time (KoordinierteWeltzeit)

UTM

Unified Threat Management


Glossar

Glossar

VVDSL

VeryHigh Speed Digital Subscriber Line

Virtuelles Privates Netzwerk

Ein VPN (VirtualPrivate Network) ist eine verschlüsselte Verbindung zwischen zweiStandorten, die zum Transport privater Daten ein öffentlichesNetzwie das Internetnutzt.

VLAN

Virtuelles LAN

VNC

VirtualNetworkComputing

Voice over IP

Mit VoIPwird sprachbasierte Kommunikation (Telefonieren) überComputernetzwerke geroutet.

VoIP

Voice over IP

VPC

VirtualPrivate Cloud

VPN-

VirtuellesPrivatesNetzwerk

WWAF

WebApplication Firewall

WAN

Wide Area Network


W-CDMA

Wideband CodeDivisionMultiple Access

WebAdmin

Webbasierte grafische Benutzeroberfläche von Astaro-Produkten wie ACC, ASG,AWGund AMG.

WEP

Wired Equivalent Privacy

Windows Internet Naming Service

WINS ist ein vonMicrosoft entwickeltesSystem zur dynamischen Auflösung vonNetBIOS-Namen.

WINS

Windows Internet Naming Service

WLAN

WirelessLocalArea Network (Drahtloses lokalesNetzwerk)

WPA

Wi-FiProtected Access

XX.509

X.509 ist ein Standard für digitale Zertifikate, der von der ITU-T (InternationalTelecommunicationsUnion – Telecommunication) herausgegeben wird. Dort sindInformationen und Attribute spezifiziert, die zur Identifikation einer Person odereinesComputers erforderlich sind.

XSS

Cross-Site-Scripting


Glossar

AbbildungsverzeichnisBild 1 IE7 Sicherheitseinstellungen – Zone vertrauenswürdiger Sites 17Bild 2 WebAdmin: Initiale Anmeldeseite 25Bild 3 WebAdmin: Reguläre Anmeldeseite 26Bild 4 WebAdmin: Dashboard 29Bild 5 WebAdmin: Übersicht 32Bild 6 WebAdmin: Beispiel einer Liste 35Bild 7 WebAdmin: Beispiel einesDialogfensters 37Bild 8 WebAdmin: Ziehen einesObjekts ausder Objektleiste Networks 41Bild 9 MyAstaro-Portal 66Bild 10 Up2Date: Fortschrittsfenster 73Bild 11 Benutzerportal: Begrüßungsseite 82Bild 12 Anpassungen: Beispiel einer blockiertenWebseite mit Angabe der anpassbarenElemente 89Bild 13 Anpassungen: HTTP-Statusmeldung Schritt 1 von 3 92Bild 14 Anpassungen: HTTP-Statusmeldung Schritt 2 von 3 92Bild 15 Anpassungen: HTTP-Statusmeldung Schritt 3 von 3 93Bild 16 Anpassungen: Blockierte POP3-Proxy-Nachricht 93Bild 17 Gruppen: eDirectory-Browser vonSophosUTM 124Bild 18 Authentifizierung: Microsoft Management-Konsole 131Bild 19 E-Mail-Verschlüsselung: Mit zweiSophosUTMs 347Bild 20 Mail-Manager vonSophosUTM 361Bild 21 Endpoint Protection: Übersicht 370Bild 22 RED: Aufbaukonzept 417Bild 23 Berichte: Beispiel einesFlash-basierten Liniendiagramms 492Bild 24 Berichte: Beispiel einesFlash-basierten Tortendiagramms 493

Astaro Utm9 Manual Eng

Documents

Transcript of Astaro Utm9 Manual Eng