Securepoint UTM Security Systems Installationshandbuch · Konfigurieren Sie das DMZ-Interface des...

de

uts

ch

Securepoint UTM Security Systems

Installationshandbuch

installationdeutsch 06.10.2009 12:38 Uhr Seite 1

Securepoint Web-Oberfläche und Security Manager

Securepoint Web-Oberfläche

Securepoint UTM-Lösungen bieten eine komplette, effiziente Netzwerk-, Web- und

Mail-Sicherheit mittels einer intuitiv bedienbaren Browser-Benutzerschnittstelle, um

Unternehmen vor den aktuellen

Internetgefahren effizient und

jederzeit aktuell zu schützen.

Securepoint Security Manager

Der Security Manager kann ebenfalls wie

gewohnt für die Administration und

Konfiguration eingesetzt werden! Mit

dem Security Manager können bis zu

65.535 Securepoint UTMs einfach, zentral

und remote administriert und

Konfigurationen verwaltet werden.


de

uts

ch

Kostenloser, exzellenter, schneller, deutscher Support

Bitte befolgen Sie diese Installationshilfe für die Securepoint UTM Security Systeme und

wenden Sie sich im Problemfall gern an den kostenlosen Support von Securepoint:

Telefon: ++49 (0) 41 31 - 24 01 - 0

(kostenloser Support für Fachhändler und Systemhäuser)

oder schicken Sie eine E-Mail mit Angabe des Problems an:

E-Mail: [email protected]

Sie können ebenfalls das Securepoint Support-Forum im Internet verwenden, wenn Sie

Probleme oder Fragen haben:

Web: http://www.securepoint.de/support/


1 Anschließen

Die Securepoint UTM-Appliances sind mit einer unterschiedlichen Anzahl von

Netzwerkkarten LAN 1, LAN 2 bis LAN n ausgerüstet.

Positionierung im Netzwerk

Eine Appliance wird in der Netzwerkstruktur hinter dem Modem oder Router platziert.

Wird hinter der Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub

zwischengeschaltet werden. Das Modem oder der Router wird an Port LAN 1 der

Appliance angeschlossen. Der Switch oder ggf. der einzelne Computer wird an den Port

LAN 2 angeschlossen. Die Ports LAN 3 bis LAN n sind für DeMilitarisierte Zonen (DMZ)

vorgesehen. Zum Verbinden werden RJ45 Kabel verwendet!

Hinweis:

Falls Ihr Rechner keine Gigabit-Schnittstelle besitzt und Sie sich ohne einen

Switch oder Hub direkt mit LAN 2 verbinden, verwenden Sie bitte ein gekreuz-

tes Kabel.

INTERNET Modemoder Router

LAN 1

LAN 2

SecurepointAppliance

Switchoder Hub

InternesNetzwerk

!


de

uts

ch

2 Werkseinstellungen

Sie erreichen die Securepoint Appliance mit Ihrem Web-Browser über die IP-Adresse des

internen Interface LAN 2 auf Port 11115 mit dem https (SSL) Protokoll. Diese IP-Adresse

ist von Werk aus auf 192.168.175.1 eingestellt.

Werkseinstellung:

– LAN 2, IP des internen Interface:192.168.175.1

Aufruf der Web-Oberfläche der Securepoint Appliance:

https://192.168.175.1:11115/

Hinweis:

Die Web-Oberfläche der Securepoint Appliance ist optimiert für Internet

Explorer 7 und Firefox 3. Sie sollten für die Web-Oberfläche einen PC mit min-

destens Pentium 4 Prozessor, 1.8 GHz oder höher, und einen Arbeitsspeicher

von 512 MB oder mehr verwenden.

Zurücksetzen auf Werkseinstellung:

Im Webinterface des Systems können Sie die Appliance auf die Werkseinstellungen

zurücksetzen. Klicken Sie im Menü Configuration auf Factory Defaults. Dies setzt die

Konfiguration auf Werkseinstellung zurück. Die bestehende Konfiguration wird dabei

überschrieben. Die zweite Möglichkeit die Appliance auf die Werkseinstellung zu set-

zen, ist die Neu-Installation mittels des Securepoint ISO-Images per USB-Stick. Sie finden

das Image und ein How-to auf der Securepoint Website:

Download Securepoint ISO-Image:

http://www.securepoint.de/downloads/

!


3 Verbinden und Einloggen

Starten Sie die Securepoint Appliance und verbinden Sie Ihren Rechner mit der LAN 2

Schnittstelle. Falls Ihr Rechner keine Gigabit-Schnittstelle besitzt und Sie sich ohne einen

Switch oder Hub direkt mit LAN 2 verbinden, verwenden Sie bitte ein gekreuztes Kabel.

Konfigurieren Sie auf Ihrem Rechner eine IP-Adresse aus dem Bereich zwischen:

192.168.175.2 bis 192.168.175.254 (Netzwerk-Maske: 255.255.255.0) oder lassen Sie sich

eine IP-Adresse via DHCP von der Appliance automatisch zuweisen. Falls Ihr Windows

Rechner keine IP-Adresse zugewiesen bekommt, öffnen Sie einen Command-Prompt

(cmd) und geben folgende Befehle ein, siehe Abbildung:

ipconfig /release

ipconfig /renew

Hinweis:

Unter Umständen müssen Sie den Befehl wiederholen!!


de

uts

ch

Öffnen Sie nun Ihren Browser und geben folgende Adresse ein:

Aufruf der Web-Oberfläche der Securepoint Appliance:

https://192.168.175.1:11115/

Sie erhalten danach folgende Meldung, siehe Abbildung. Akzeptieren Sie das selbstsig-

nierte Zertifikat der Securepoint Appliance. Sie kommen nun auf die Securepoint

Administrationsoberfläche.

Loggen Sie sich mit den Standard-Benutzerdaten der Werkseinstellung auf der

Securepoint Appliance ein:

Login bei Werkseinstellung:

– Standard Administrator-Benutzername: admin

– Standard Administrator-Kennwort: insecure


4 Grundkonfiguration

Sie können nun mit dem Installationswizard eine Grundkonfiguration vornehmen. In

der Konfiguration des LAN 2-Interfaces wird auch gleichzeitig der DHCP Adress-Pool für

das interne Netzwerk angepasst. Nach dem Beenden des Wizards können Sie sich die

konfigurierten Daten nochmal anzeigen lassen und ausdrucken: Print Settings. Das

System wird nach dem Beenden des Wizards mit den neuen Daten neu gestartet.

Schritt 1: Ändern der IP-Adresse LAN 2 (internes Netz) des Gateways

Tragen Sie die von Ihnen gewünschte IP-Adresse von LAN 2 (internes Netz) und die

Netzmaske (Netzgröße, z. B. Netzwerk-Maske im Bitcount-Format: 24 d. h.

255.255.255.0) des Gateways ein.

Schritt 2: Auswählen eines Internet-Verbindungstyps auf LAN 1

Wählen Sie die Art Ihrer Internet-Verbindung. Sie haben drei Möglichkeiten, eine

Internet-Verbindung zu erstellen: eine DSL-, Router- oder Kabel-Modem-Verbindung.


de

uts

ch

Schritt 3: Erstellen DSL (PPPoE), Router-Verbindung oder Kabelmodem-Betrieb.

Hier ein Beispiel mit einem DSL-Provider: Wählen Sie beispielsweise einen Provider aus,

und geben Sie Ihre Zugangsdaten ein.

Zu Router-Verbindungen: Wenn Sie vorher eine Router-Verbindung gewählt haben,

geben Sie die externe IP-Adresse, Netzmaske und das Default-Gateway ein.

Zu Kabel-Modem-Betrieb: Wenn Sie vorher eine Kabel-Modem-Verbindung gewählt

haben, müssen Sie nichts weiter eingeben.

Schritt 4: Optional: Konfiguration des DMZ-Interfaces des Gateways (LAN 3)

Konfigurieren Sie das DMZ-Interface des Gateways, wenn Sie es wünschen. Diesen

Schritt können Sie jedoch überspringen, wenn Sie keine DMZ einrichten möchten.


Schritt 5: Setzen des neuen Kennworts für den Standard-Administrator.

Setzen Sie das Kennwort für den Administrator admin neu. Wählen Sie ein sicheres

Passwort dafür aus!

Abschluss der Konfiguration

Ihre Erst-Konfiguration ist nun abgeschlossen. Sie haben nun die Möglichkeit, Ihre

Konfigurationsdaten zu prüfen und auszudrucken. Klicken Sie dazu auf den Button

Print Settings. Schließen Sie die Konfiguration ab, indem Sie auf den Button Fertig stel-

len drücken. Die Appliance wird nun mit Ihren Daten neu gestartet. Der Reboot von der

Ersteinrichtung kann je nach Leistung der Appliance ca. 2 bis 4 Minuten dauern!

Nach erfolgtem Reboot werden Sie automatisch auf die von Ihnen eventuell geänderte

IP-Adresse der Web-Oberfläche weitergeleitet.


de

uts

ch

5 Fehlersuche

Bevor Sie eine Neu-Installation des Gateways durchführen, prüfen Sie bitte die unten

genannten Fehlermöglichkeiten und Lösungen!

Scheinbar kein Reboot des Systems

Der Reboot nach der Ersteinrichtung kann ca. 2 bis 4 Minuten dauern, da eine

Initialisierung durchgeführt wird und Schlüssel erzeugt werden. Diese Vorgänge sind

sehr rechenintensiv! Sollte nach 4 Minuten im Browser kein sichtbares Reboot erfolgen,

ist davon auszugehen, dass Sie die IP-Adresse des internen Interface (LAN 2) geändert

haben! In diesem Fall müssen Sie die von Ihnen eingetragene IP-Adresse für das interne

Interface in Ihrem Browser eingeben, sonst kommen Sie nicht auf die Web-Oberfläche

des Gateways. Geben Sie also ein:

https://“Ihre neue IP-Adresse von LAN 2“:11115/

Prüfen des Netzwerkbereichs Ihres Administrationsrechners

Falls Sie die IP-Adresse von LAN 2 (internes Netz: standardmässig 192.168.175.1, Port

11115) auf der Appliance geändert haben, müssen Sie die IP-Adresse Ihres Rechners auf

den neuen Netzbereich einstellen, sonst kommen Sie nicht auf die Web-Oberfläche des

Gateways!


6 Registrierung und Lizensierung

Das UTM-System muss für den Betrieb lizensiert werden! Ohne eine Lizensierung ist

keine Aktualität der Appliance gegeben und ein sicherer Betrieb ist nicht möglich!

Lizensieren per Telefon

Sie können Ihr System per Telefon lizensieren, rufen Sie uns dazu unter der genannten

Telefon-Nummer an und Securepoint sendet Ihnen ein Lizenzfile:

Telefon: ++49 (0) 41 31 / 24 01 - 0

Registrieren und Lizensieren am Securepoint Portal

Loggen Sie sich auf der Appliance mit Ihrem Usernamen und Passwort ein und klicken

Sie auf das Menü Extras. Wählen Sie den Menüpunkt Registrierung aus. Falls Sie noch

nicht im Securepoint Portal registriert sind, registrieren Sie sich bitte dort. Sie erhalten

dann einen Portal-Zugang per E-Mail:

http://www.securepoint.de/registration

Lizenzfile in die Appliance einpflegen

Als registrierter Benutzer im Securepoint Portal können Sie sich sehr einfach eine

Registrierungsdatei für Ihre Appliance selbst erstellen. Diese wird Ihnen per E-Mail

zugesandt. Laden Sie diese bitte – ohne sie zu verändern – auf Ihre Appliance. Damit ist

Ihr Securepoint UTM-System voll funktionsfähig.


de

uts

ch

7 Übersicht Bedienung Web-Oberfläche

Das Securepoint Web-Cockpit

Das Cockpit ist die Web-Bedienoberfläche Ihres Securepoint UTM-Systems. Im Cockpit

der Securepoint Appliances erhalten Sie einen Überblick hinsichtlich der Funktionen,

System-Lasten, Services, Updates, verfügbaren Downloads wie Dokumente/Software

und vieles mehr. Sie können das Cockpit nach Ihren Wünschen individuell anpassen. Sie

können bis zu 65.535 Securepoint Appliances auch über den Securepoint Security

Manager verwalten und bedienen. Beachten Sie hierzu die Securepoint Handbücher.


Menü-Funktionsübersicht des Web-Cockpits

Folgende Funktionen stehen Ihnen über die Menüs des Web-Cockpits zur Verfügung.

Configuration-Menü

– Konfigurationen verwalten –> Verwalten von mehreren Konfigurationen

– Installationsassistent –> Schnelles Einrichten der Appliance

– Neu starten –> Neustart der Appliance

– Herunterfahren –> Herunterfahren der Appliance

– Werkseinstellung –> Zurücksetzen auf Werkseinstellungen

– Abmelden –> Abmelden vom Web-Cockpit

Network-Menü

– Server Eigenschaften –> System-Name, DNS-Server, NTP-Server,

IP-Admin-Bereich Web-Cockpit und Security

Manager, externes Logging/Syslog, SNMP,

Cluster/Hochverfügbarkeit

– Netzwerk Konfiguration –> IP-Interfaces/Schnittstellen, Routing,

DSL-Provider-, DynDNS, DHCP-

Einstellungen

– Zonen Einstellungen –> Zonen-Definition

– Netzwerk Werkzeuge –> NS-Lookup, Ping, Route Tabelle

Firewall-Menü

– Portfilter –> Firewall-Regeln erstellen/verwalten

– Hide NAT –> Network Address Translation/Maskierung

– Port Weiterleitung –> Portweiterleitung/Portübersetzung

– QoS –> Bandbreiten-Beschränkung/Zusicherung

– Dienste –> Definition von Diensten/Protokollen

– Dienstgruppen –> Zusammenfassen von Diensten/Protokollen

zu Gruppen für die Firewall-Regeln

– Netzwerkobjekte –> Definition von Netzwerkobjekten/Netzen

– Netzwerkgruppen –> Zusammenfassen von Netzwerkobjekten/

Netzen zu Gruppen für die Firewall-Regeln


de

uts

ch

Applications-Menü

– HTTP Proxy –> Proxy, Virenscanner, Content-Filter etc.

– PoP3 Proxy –> Proxy, Virenscanner, Spamfilter

– Mail Relay –> Relaying/Routing/Greylisting/Domain-Map.

– Spamfilter –> Spamfilter-Einstellungen (SMTP, PoP3 etc.)

– VNC Repeater –> Virtual Networking Computing Repeater

– VOIP Proxy –> Proxy

– IDS –> Intrusion Detection System-Einstellungen

– Anwendungsstatus –> Status aller Services der Appliance

VPN-Menü

– IPSec Assistent –> IPSec-Einrichtungsassistent (Site-to-Site,

Roadwarrior/VPN-Client-to-Server)

– IPSec Globale Einstellungen –> NAT Traversal, IKEv2

– IPSec Verbindungen –> Bearbeiten von IPSec-Verbindungen

– L2TP –> L2TP-VPN-Einstellungen

– PPTP –> PPTP-VPN-Einstellungen

– SSL VPN –> SSL-VPN-Einstellungen

Authentication-Menü

– Benutzer –> Benutzerverwaltung und -freigaben

– Externe Authentifizierung –> Radius, LDAP/AD, Kerberos/NTLM

– Zertifikate –> X.509-Zertifikatsverwaltung

Extras-Menü

– CLI –> Kommandozeilen Interface

– Firewall Updates –> Update-Management

– Registrierung –> Appliance-Registrierung und -Lizensierung

– Cockpit verwalten –> Individuelle Anpassung des Web-Cockpits

– Erweiterte Einstellungen –> Interne Appliance-Parametrisierung

– Alle Daten neu laden/Cockpit neu laden –> Daten-Neuladen von Appliance

Live log-Menü

– live log -> Real-time Logging auf der Appliance


Status- und Konfigurationsübersicht des Web-Cockpits

Das Cockpit können Sie individuell nach Ihren Wünschen anpassen.

Lizenz

Registrierungs- und Versions-Information über die Appliance.

System Status

System- und Hardware-Informationen über die Appliance.

Anwendungen

Status der laufende Applikationen/Services der Appliance.

Appliance

Übersicht der Appliance mit Interface-Informationen von LAN 1, LAN 2 bis LAN n.

Schnittstellen Auslastung

Grafische Übersicht der Schnittstellenauslastung.

IPSec Verbindungen

Übersicht zu allen bestehenden IPSec-VPN-Verbindungen.

DHCP

Übersicht zu allen bestehenden DHCP-Verbindungen.

Downloads

Hier können Sie verschiedene Dokumente/Software wie den Securepoint Security

Manager, Handbücher, Tools, VPN-Clients etc. von der Appliance downloaden.

Benutzer, die per SSH angemeldet sind

Übersicht über die angemeldeten User.

Spuva-Benutzer

Benutzer, die über den Securepoint Verification Agent angemeldet sind.

SSL-VPN-Benutzer

Übersicht über die angemeldeten SSL-VPN-User.

Web-Sessions

Laufende Web-Sessions der Appliance.


de

uts

ch

8 Übersicht Bedienung Security Manager

Mit dem Securepoint Security Manager können bis zu 65.535 UTM-Appliances einfach

und sicher verwaltet werden. Gehen Sie folgendermaßen vor:

– Installieren und starten Sie den Securepoint Security Manager. Sie finden ihn im

Downloadbereich des Web-Cockpits oder auf der Securepoint Website, Downloads.

– Beim ersten Start des Security Managers erscheint ein Dialog-Fenster zum Anlegen

eines verschlüsselten Datencontainers, in dem die Konfigurationen der Appliance

lokal gesichert werden. Tragen Sie einen Schlüssel ein (wiederholen Sie die Eingabe).

Sie werden bei jedem Start des Managers nach diesem Schlüssel gefragt.

– Legen Sie eine neue Securepoint Appliance an, klicken Sie dazu auf das gekennzeich-

nete Firewall-Symbol. Es öffnet sich das Dialog-Fenster Firewall - hinzufügen. Geben

Sie folgende Daten im Folder Firewall ein:

– Adresse: IP-Adresse (oder auflösbarer Name) des Interfaces der Appliance

– Port, über den die Appliance angesprochen wird. Standard: 22 (SSH Port)

– Login: Ihr Login-Name auf der Appliance

– Passwort: Ihr Passwort auf der Appliance

– Bestätigung: Die Passwort Bestätigung

– Ein neues Firewall-Symbol wird nun im Firewall-Tree angezeigt. Ein Doppelklick auf

dieses Symbol konnektiert den Security Manager mit einer Securepoint Appliance. Sie

können nun bis zu 65.535 Appliances konfigurieren, verwalten etc. Weitere Infor-

mationen erhalten Sie im Handbuch des Securepoint Security Managers.

Anlegen einer neuen

Appliance/Firewall


Securepoint GmbHSalzstrasse 121335 LueneburgGermany

phone: ++49 (0) 41 31 / 24 01 - 0fax: ++49 (0) 41 31 / 24 01 - 50

mail: [email protected]: www.securepoint.de

Small Business Solution

Small / Medium Business Solutions

Enterprise Business Solutions

Virtual Machine Solutions

Securepoint UTM Security Systems 10


Securepoint UTM Security Systems Installationshandbuch · Konfigurieren Sie das DMZ-Interface des...

Documents

Transcript of Securepoint UTM Security Systems Installationshandbuch · Konfigurieren Sie das DMZ-Interface des...