Sie sind auf Seite 1von 670

Sophos UTM

administration guide
Produktversion:9.202
Erstellungsdatum:Mittwoch, 11. Juni 2014
Die in dieser Dokumentation enthaltenen Angaben und Daten knnen ohne vorherige Ankndigung
gendert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind frei erfunden,
soweit nichts anderes angegeben ist. Ohne ausdrckliche schriftliche Erlaubnis von Sophos Limited
darf kein Teil dieser Unterlagen fr irgendwelche Zwecke vervielfltigt oder bertragen werden, unab-
hngig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies
geschieht. bersetzungen dieses Originals mssen folgendermaen markiert werden: Translation of
the original manual.
2014 Sophos Limited. Alle Rechte vorbehalten.
http://www.sophos.com
Sophos UTM, Sophos UTMManager, Astaro Security Gateway, Astaro Command Center, Astaro
Gateway Manager und WebAdmin sind Marken von Sophos Limited. Cisco ist ein registriertes Mar-
kenzeichen von Cisco Systems Inc. iOSist ein Markenzeichen von Apple Inc. Linux ist ein Mar-
kenzeichen von Linus Torvalds. Alle weiteren Markenzeichen stehen ausschlielich den jeweiligen Inha-
bern zu.
Einschrnkung der
Gewhrleistung
Fr die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie bernommen. Hinweise auf Feh-
ler und Verbesserungen nehmen wir gerne unter der E-Mail-Adresse nsg-docu@sophos.coment-
gegen.
Inhaltsverzeichnis
1 Installation 15
1.1 Empfohlene Lektre 15
1.2 Systemanforderungen 16
1.2.1 USV-Untersttzung 17
1.2.2 RAID-Untersttzung 17
1.3 Installationsanleitung 17
1.3.1 Tastenfunktionen whrend der Installation 18
1.3.2 Besondere Optionen whrend der Installation 18
1.3.3 Installation von Sophos UTM 19
1.4 Grundkonfiguration 22
1.5 Backup-Wiederherstellung 28
2 WebAdmin 31
2.1 WebAdmin-Men 32
2.2 Symbolleiste 34
2.3 Listen 35
2.4 Suche in Listen 36
2.5 Dialogfelder 37
2.6 Schaltflchen und Symbole 38
2.7 Objektlisten 40
3 Dashboard 43
3.1 Dashboard-Einstellungen 45
3.2 Flow-Monitor 47
4 Verwaltung 51
4.1 Systemeinstellungen 52
4.1.1 Organisatorisches 52
4.1.2 Hostname 52
4.1.3 Zeit und Datum 53
4.1.4 Shell-Zugriff 56
4.1.5 Scan-Einstellungen 57
4.1.6 Zurcksetzung 57
4.2 WebAdmin-Einstellungen 59
4.2.1 Allgemein 59
4.2.2 Zugriffskontrolle 60
4.2.3 HTTPS-Zertifikat 62
4.2.4 Benutzereinstellungen 63
4.2.5 Erweitert 64
Inhaltsverzeichnis
4.3 Lizenzen 67
4.3.1 Erwerb einer Lizenz 67
4.3.2 Lizenzmodell 69
4.3.3 bersicht 73
4.3.4 Installation 73
4.3.5 Aktive IP-Adressen 74
4.4 Up2Date 74
4.4.1 bersicht 75
4.4.2 Konfiguration 77
4.4.3 Erweitert 78
4.5 Backups 79
4.5.1 Backup/Wiederherstellen 80
4.5.2 Automatische Backups 83
4.6 Benutzerportal 84
4.6.1 Allgemein 87
4.6.2 Erweitert 88
4.7 Benachrichtigungen 89
4.7.1 Allgemein 90
4.7.2 Benachrichtigungen 90
4.7.3 Erweitert 91
4.8 Anpassungen 91
4.8.1 Allgemein 92
4.8.2 Web-Meldungen 93
4.8.2.1 Web-Meldung ndern 95
4.8.2.2 Download-Verwaltung 95
4.8.3 Web-Vorlagen 97
4.8.3.1 Web-Vorlagen anpassen 97
4.8.3.2 Benutzerspezifische Web-Vorlagen und Bilder hochladen 98
4.8.4 E-Mail-Mitteilungen 99
4.9 SNMP 99
4.9.1 Anfrage 100
4.9.2 Traps 102
4.10 Zentrale Verwaltung 103
4.10.1 Sophos UTMManager 103
4.11 Sophos Mobile Control 106
4.11.1 Allgemein 107
4.11.2 bereinstimmungsbersicht 108
4.11.3 Netzwerk-Zugriffskontrolle 108
4.11.4 Konfigurationseinstellungen 109
4.12 Hochverfgbarkeit 110
4.12.1 Hardware- und Software-Voraussetzungen 112
iv UTM9 WebAdmin
4.12.2 Status 113
4.12.3 Systemstatus 114
4.12.4 Konfiguration 114
4.13 Ausschalten/Neustart 119
5 Definitionen & Benutzer 121
5.1 Netzwerkdefinitionen 121
5.1.1 Netzwerkdefinitionen 122
5.1.2 MAC-Adressdefinitionen 127
5.2 Dienstdefinitionen 128
5.3 Zeitraumdefinitionen 131
5.4 Benutzer &Gruppen 132
5.4.1 Benutzer 132
5.4.2 Gruppen 135
5.5 Client-Authentifizierung 137
5.6 Authentifizierungsdienste 139
5.6.1 Allgemein 140
5.6.2 Server 141
5.6.2.1 eDirectory 142
5.6.2.2 Active Directory 144
5.6.2.3 LDAP 148
5.6.2.4 RADIUS 150
5.6.2.5 TACACS+ 152
5.6.3 Single Sign-On 153
5.6.4 Einmaliges Kennwort 155
5.6.5 Erweitert 162
6 Schnittstellen & Routing 165
6.1 Schnittstellen 165
6.1.1 Schnittstellen 166
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen 167
6.1.1.2 Arten von Schnittstellen 167
6.1.1.3 Gruppe 169
6.1.1.4 3G/UMTS 170
6.1.1.5 Ethernet-Statisch 172
6.1.1.6 Ethernet VLAN 174
6.1.1.7 Ethernet-DHCP 176
6.1.1.8 DSL (PPPoE) 178
6.1.1.9 DSL (PPPoA/PPTP) 181
6.1.1.10 Modem(PPP) 183
6.1.2 Zustzliche Adressen 186
6.1.3 Linkbndelung 187
UTM9 WebAdmin v
Inhaltsverzeichnis
Inhaltsverzeichnis
6.1.4 Uplink-Ausgleich 188
6.1.5 Multipathregeln 192
6.1.6 Hardware 195
6.2 Bridging 197
6.2.1 Status 197
6.2.2 Erweitert 199
6.3 Dienstqualitt (QoS) 200
6.3.1 Status 200
6.3.2 Verkehrskennzeichner 202
6.3.3 Bandbreiten-Pools 206
6.3.4 Download-Drosselung 208
6.3.5 Erweitert 210
6.4 Uplink-berwachung 211
6.4.1 Allgemein 211
6.4.2 Aktionen 212
6.4.3 Erweitert 213
6.5 IPv6 215
6.5.1 Allgemein 216
6.5.2 Prfix-Bekanntmachungen 216
6.5.3 Umnummerierung 217
6.5.4 6to4 218
6.5.5 Tunnel-Broker 219
6.6 Statisches Routing 220
6.6.1 Statische Routen 221
6.6.2 Richtlinienrouten 222
6.7 Dynam. Routing (OSPF) 224
6.7.1 Allgemein 224
6.7.2 Bereich 225
6.7.3 Schnittstellen 227
6.7.4 Prfsummen 229
6.7.5 Fehlersuche 230
6.7.6 Erweitert 230
6.8 Border Gateway Protocol 231
6.8.1 Allgemein 232
6.8.2 Systeme 233
6.8.3 Neighbor 234
6.8.4 Routemap 236
6.8.5 Filterliste 238
6.8.6 Erweitert 239
6.9 Multicast Routing (PIM-SM) 240
6.9.1 Allgemein 241
vi UTM9 WebAdmin
6.9.2 Schnittstellen 242
6.9.3 RP-Router 242
6.9.4 Routen 243
6.9.5 Erweitert 244
7 Netzwerkdienste 247
7.1 DNS 247
7.1.1 Allgemein 247
7.1.2 Weiterleitung 248
7.1.3 Anfragerouten 249
7.1.4 Statische Eintrge 250
7.1.5 DynDNS 250
7.2 DHCP 253
7.2.1 Server 254
7.2.2 Relay 257
7.2.3 Statische Zuordnungen 258
7.2.4 IPv4-Lease-Tabelle 258
7.2.5 IPv6-Lease-Tabelle 260
7.2.6 Optionen 261
7.3 NTP 264
8 Network Protection 265
8.1 Firewall 265
8.1.1 Regeln 266
8.1.2 Country-Blocking 270
8.1.3 Country-Blocking-Ausnahmen 271
8.1.4 ICMP 272
8.1.5 Erweitert 274
8.2 NAT 277
8.2.1 Maskierung 277
8.2.2 NAT 278
8.3 Advanced Threat Protection 282
8.3.1 Allgemein 283
8.4 Intrusion Prevention 284
8.4.1 Allgemein 284
8.4.2 Angriffsmuster 285
8.4.3 Anti-DoS/Flooding 287
8.4.4 Anti-Portscan 289
8.4.5 Ausnahmen 291
8.4.6 Erweitert 293
8.5 Server-Lastverteilung 294
8.5.1 Verteilungsregeln 295
UTM9 WebAdmin vii
Inhaltsverzeichnis
Inhaltsverzeichnis
8.6 VoIP 298
8.6.1 SIP 298
8.6.2 H.323 300
8.7 Erweitert 301
8.7.1 Generischer Proxy 301
8.7.2 SOCKS-Proxy 302
8.7.3 IDENT-Reverse-Proxy 303
9 Web Protection 305
9.1 Webfilter 306
9.1.1 Webfilter-nderungen 306
9.1.1.1 Wichtige Unterschiede 307
9.1.1.2 Hufige Aufgaben 308
9.1.1.3 Migration 309
9.1.2 Allgemein 310
9.1.3 Richtlinien 315
9.1.3.1 Filteraktionsassistent 316
9.1.3.2 Kategorien 317
9.1.3.3 Websites 318
9.1.3.4 Downloads 320
9.1.3.5 Antivirus 321
9.1.3.6 Zustzliche Optionen 322
9.2 Webfilter-Profile 324
9.2.1 Filterprofile 325
9.2.2 Filteraktionen 331
9.2.3 bergeordnete Proxies 332
9.3 Filteroptionen 333
9.3.1 Ausnahmen 333
9.3.2 Websites 336
9.3.3 Benutzer umgehen 337
9.3.4 Potenziell unerwnschte Anwendungen 337
9.3.5 Kategorien 338
9.3.6 HTTPS-CAs 339
9.3.7 Sonstiges 343
9.4 Richtlinientest 348
9.5 Application Control 348
9.5.1 Netzwerksichtbarkeit 349
9.5.2 Application-Control-Regeln 350
9.5.3 Erweitert 353
9.6 FTP 353
9.6.1 Allgemein 353
viii UTM9 WebAdmin
9.6.2 Antivirus 354
9.6.3 Ausnahmen 355
9.6.4 Erweitert 356
10 Email Protection 359
10.1 SMTP 359
10.1.1 Allgemein 360
10.1.2 Routing 361
10.1.3 Antivirus 362
10.1.4 Antispam 366
10.1.5 Datenschutz 372
10.1.6 Ausnahmen 374
10.1.7 Relaying 375
10.1.8 Erweitert 377
10.2 SMTP-Profile 381
10.3 POP3 386
10.3.1 Allgemein 387
10.3.2 Antivirus 387
10.3.3 Antispam 389
10.3.4 Ausnahmen 390
10.3.5 Erweitert 392
10.4 Encryption 397
10.4.1 Allgemein 400
10.4.2 Optionen 401
10.4.3 Interne Benutzer 402
10.4.4 S/MIMEAuthorities 404
10.4.5 S/MIME-Zertifikate 406
10.4.6 OpenPGP-Schlssel 407
10.5 SPX-Verschlsselung 408
10.5.1 SPX-Konfiguration 410
10.5.2 SPX-Vorlagen 412
10.5.3 SophosOutlook Add-in 415
10.6 Quarantnebericht 416
10.6.1 Allgemein 417
10.6.2 Ausnahmen 418
10.6.3 Erweitert 419
10.7 Mail-Manager 420
10.7.1 Mail-Manager-Fenster 421
10.7.1.1 SMTP-/POP3-Quarantne 422
10.7.1.2 SMTP-Spool 423
10.7.1.3 SMTP-Protokoll 424
UTM9 WebAdmin ix
Inhaltsverzeichnis
Inhaltsverzeichnis
10.7.2 Allgemein 426
10.7.3 Konfiguration 427
11 Endpoint Protection 429
11.1 Computerverwaltung 431
11.1.1 Allgemein 431
11.1.2 Agent installieren 433
11.1.3 Computer verwalten 433
11.1.4 Gruppen verwalten 434
11.1.5 Erweitert 436
11.2 Antivirus 437
11.2.1 Richtlinien 437
11.2.2 Ausnahmen 439
11.3 Device Control 441
11.3.1 Richtlinien 442
11.3.2 Ausnahmen 443
11.4 Endpoint Web Control 446
11.4.1 Allgemein 446
11.4.2 Erweitert 446
11.4.3 Nicht untersttzte Funktionen 447
12 Wireless Protection 449
12.1 Allgemeine Einstellungen 450
12.1.1 Allgemein 450
12.1.2 Erweitert 451
12.2 WLAN-Netzwerke 452
12.3 Access Points 456
12.3.1 bersicht 457
12.3.2 Gruppierung 462
12.4 Mesh-Netzwerke 463
12.5 WLAN-Clients 466
12.6 Hotspots 467
12.6.1 Allgemein 469
12.6.2 Hotspots 470
12.6.3 Voucher-Definitionen 479
12.6.4 Erweitert 480
13 Webserver Protection 481
13.1 Web Application Firewall 481
13.1.1 Virtuelle Webserver 481
13.1.2 Echte Webserver 486
13.1.3 Firewall-Profile 487
x UTM9 WebAdmin
13.1.4 Ausnahmen 493
13.1.5 Site-Path-Routing 495
13.1.6 Erweitert 497
13.2 Umkehrauthentifizierung 497
13.2.1 Profile 498
13.2.2 Formularvorlagen 501
13.3 Zertifikatverwaltung 504
13.3.1 Zertifikate 504
13.3.2 CA 504
13.3.3 Sperrlisten (CRLs) 504
13.3.4 Erweitert 504
14 RED-Verwaltung 505
14.1 bersicht 506
14.2 Allgemein 507
14.3 Clintverwaltung 508
14.4 Einrichtungshilfe 518
14.5 Tunnelverwaltung 521
15 Site-to-Site-VPN 523
15.1 Amazon VPC 524
15.1.1 Status 524
15.1.2 Einrichtung 525
15.2 IPsec 527
15.2.1 Verbindungen 530
15.2.2 Entfernte Gateways 532
15.2.3 Richtlinien 535
15.2.4 Lokaler RSA-Schlssel 539
15.2.5 Erweitert 540
15.2.6 Fehlersuche 543
15.3 SSL 543
15.3.1 Verbindungen 544
15.3.2 Einstellungen 546
15.3.3 Erweitert 547
15.4 Zertifikatverwaltung 549
15.4.1 Zertifikate 549
15.4.2 CA 551
15.4.3 Sperrlisten (CRLs) 553
15.4.4 Erweitert 553
16 Fernzugriff 555
16.1 SSL 556
UTM9 WebAdmin xi
Inhaltsverzeichnis
Inhaltsverzeichnis
16.1.1 Profile 556
16.1.2 Einstellungen 558
16.1.3 Erweitert 559
16.2 PPTP 560
16.2.1 Allgemein 560
16.2.2 iOS-Gerte 562
16.2.3 Erweitert 563
16.3 L2TPber IPsec 564
16.3.1 Allgemein 564
16.3.2 iOS-Gerte 568
16.3.3 Fehlersuche 568
16.4 IPsec 569
16.4.1 Verbindungen 572
16.4.2 Richtlinien 574
16.4.3 Erweitert 578
16.4.4 Fehlersuche 580
16.5 HTML5-VPN-Portal 581
16.5.1 Allgemein 582
16.6 Cisco VPNClient 586
16.6.1 Allgemein 586
16.6.2 iOS-Gerte 587
16.6.3 Fehlersuche 588
16.7 Erweitert 589
16.8 Zertifikatverwaltung 589
16.8.1 Zertifikate 590
16.8.2 CA 590
16.8.3 Sperrlisten (CRLs) 590
16.8.4 Erweitert 590
17 Protokolle & Berichte 591
17.1 Protokollansicht 593
17.1.1 Heutige Protokolldateien 593
17.1.2 Archivierte Protokolldateien 593
17.1.3 Protokolldateien durchsuchen 594
17.2 Hardware 594
17.2.1 Tglich 594
17.2.2 Wchentlich 595
17.2.3 Monatlich 595
17.2.4 Jhrlich 596
17.3 Netzwerknutzung 596
17.3.1 Tglich 596
xii UTM9 WebAdmin
17.3.2 Wchentlich 597
17.3.3 Monatlich 597
17.3.4 Jhrlich 597
17.3.5 Bandbreitennutzung 597
17.4 Network Protection 598
17.4.1 Tglich 599
17.4.2 Wchentlich 599
17.4.3 Monatlich 599
17.4.4 Jhrlich 599
17.4.5 Firewall 600
17.4.6 Advanced Threat Protection 601
17.4.7 IPS 601
17.5 Web Protection 602
17.5.1 Internetnutzung 602
17.5.2 Suchmaschinen 607
17.5.3 Abteilungen 610
17.5.4 Geplante Berichte 611
17.5.5 Application Control 612
17.5.6 Entanonymisierung 613
17.6 Email Protection 613
17.6.1 Nutzungsdiagramme 614
17.6.2 Mail-Nutzung 614
17.6.3 Blockierte Mails 615
17.6.4 Entanonymisierung 615
17.7 Wireless Protection 616
17.7.1 Tglich 616
17.7.2 Wchentlich 617
17.7.3 Monatlich 617
17.7.4 Jhrlich 617
17.8 Fernzugriff 617
17.8.1 Aktivitt 617
17.8.2 Sitzung 618
17.9 Webserver Protection 619
17.9.1 Nutzungsdiagramme 619
17.9.2 Details 619
17.10 Gesamtbericht 620
17.10.1 Bericht anzeigen 620
17.10.2 Archivierte Gesamtberichte 620
17.10.3 Konfiguration 621
17.11 Protokolleinstellungen 621
17.11.1 Lokale Protokollierung 621
UTM9 WebAdmin xiii
Inhaltsverzeichnis
Inhaltsverzeichnis
17.11.2 Remote-Syslog-Server 623
17.11.3 Ausgelagerte Protokollarchive 624
17.12 Berichteinstellungen 626
17.12.1 Einstellungen 626
17.12.2 Ausnahmen 629
17.12.3 Anonymisierung 630
18 Support 633
18.1 Dokumentation 633
18.2 Druckbare Konfiguration 634
18.3 Support kontaktieren 634
18.4 Tools 635
18.4.1 Ping-Prfung 635
18.4.2 Traceroute 636
18.4.3 DNS-Lookup 636
18.5 Erweitert 637
18.5.1 Prozesse 637
18.5.2 LAN-Verbindungen 637
18.5.3 Routen 637
18.5.4 Schnittstellen 638
18.5.5 Konfigurations-Abbild 638
18.5.6 REF auflsen 638
19 Abmelden 639
20 Benutzerportal 641
20.1 Benutzerportal: Mail-Quarantne 642
20.2 Benutzerportal: Mail-Protokoll 644
20.3 Benutzerportal: POP3-Konten 645
20.4 Benutzerportal: Absender-Whitelist 645
20.5 Benutzerportal: Absender-Blacklist 646
20.6 Benutzerportal:Hotspots 647
20.7 Benutzerportal: Client-Authentifizierung 650
20.8 Benutzerportal: OTP-Token 650
20.9 Benutzerportal: Fernzugriff 651
20.10 Benutzerportal: HTML5-VPN-Portal 652
20.11 Benutzerportal: Passwort ndern 654
20.12 Benutzerportal: HTTPS-Proxy 654
xiv UTM9 WebAdmin
1 Installation
Dieses Kapitel enthlt Informationen ber die Installation und Einrichtung von Sophos UTMin
IhremNetzwerk. Die Installation von Sophos UTMerfolgt in zwei Schritten: Erstens, die Instal-
lation der Software; zweitens, die Konfiguration von grundlegenden Systemeinstellungen. Die
Software-Installation wird mithilfe eines Konsolen-gesttzten Installationsmens durchgefhrt.
Die interne Konfiguration kann von IhremArbeitsplatzrechner aus ber die web-basierte Benut-
zeroberflche von Sophos UTMnamens WebAdmin erfolgen. Bevor Sie mit der Installation
beginnen, berprfen Sie bitte, ob Ihre Hardware den Mindestanforderungen entspricht.
Hinweis Wenn Sie eine Sophos UTMAppliance betreiben, knnen Sie die folgenden
Abschnitte berspringen und direkt mit demAbschnitt Grundkonfiguration fortfahren, da bei
allen Sophos UTM-Hardware-Appliances mit UTMdie Software vorinstalliert ist.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Empfohlene Lektre
l Systemanforderungen
l Installationsanleitung
l Grundkonfiguration
l Backup-Wiederherstellung
1.1 Empfohlene Lektre
Bevor Sie mit der Installation beginnen, sollten Sie die folgenden Dokumente lesen, die Ihnen
bei der Einrichtung von helfen. Beide Dokumente sind der Sophos UTMHardware Appliance
beigelegt und knnen alternativ vomSophos UTMSophos UTM-Resource-Center her-
untergeladen werden:
l Quick Start Guides Hardware
l Operating Instructions
1.2 Systemanforderungen 1 Installation
1.2 Systemanforderungen
Fr die Installation und den Betrieb der UTMgelten die folgenden Hardware-Min-
destanforderungen:
l Prozessor: Pentium4 mit 1,5 GHz (oder vergleichbar)
l Speicher: 1 GBRAM
l Festplatte: 20-GB-IDE- oder -SCSI-Festplatte
l CD-ROM-Laufwerk: Bootfhiges IDE- oder SCSI-CD-ROM-Laufwerk
l Netzwerkkarten (NICs): Zwei oder mehr PCI-Ethernet-Netzwerkkarten
l Netzwerkkarte (optional): Eine Heartbeat-fhige PCI-Ethernet-Netzwerkkarte. In
einemhochverfgbaren System(HA) kommunizieren das Primrsystemund das Stand-
by-Systemmittels eines sogenannten Heartbeats miteinander ein Signal, das ber
eine Netzwerkverbindung zwischen beiden Systemen zyklisch ausgetauscht wird. Falls
Sie ein hochverfgbares Systemeinsetzen mchten, stellen Sie sicher, dass beide Ger-
te mit Heartbeat-fhigen Netzwerkkarten ausgestattet sind.
l USB(optional): Ein USB-Anschluss zur Kommunikation mit einemUSV-Gert
l Switch (optional): Ein Gert, das die Kommunikation in Computernetzwerken steuert.
Stellen Sie sicher, dass der Switch sogenannte Jumbo Frames untersttzt.
Sophos fhrt eine Liste aller Hardware-Produkte, die imZusammenhang mit der UTM-Soft-
ware auf ihre Funktionalitt hin getestet wurden. Die Hardwarekompatibilittsliste (Hardware
Compatibility List; HCL) steht in der Sophos Knowledgebase zur Verfgung. UmInstallations-
und Betriebsfehler mit der UTM-Software zu vermeiden, sollten Sie nur Hardware verwenden,
die in der HCL aufgefhrt ist. Die Hardware- und Software-Anforderungen an den Arbeits-
platzrechner fr den Zugriff auf die webbasierte Benutzeroberflche WebAdmin sind wie folgt:
l Prozessor: Taktfrequenz 1 GHz oder hher
l Browser: Neuste Version von Firefox (empfohlen), neuste Version von Chrome, neus-
te Version von Safari, oder Microsoft Internet Explorer 8 und hher. JavaScript muss akti-
viert sein. Darber hinaus darf imBrowser kein Proxy fr die IP-Adresse der internen
Netzwerkkarte (eth0) von UTMkonfiguriert sein.
16 UTM9 WebAdmin
1.2.1 USV-Untersttzung
Gerte zur unterbrechungsfreien Stromversorgung (USV) gewhrleisten eine kontinuierliche
Stromversorgung bei Strungen oder Schwankungen der Stromzufuhr, indemsie Stromaus
einer unabhngigen Stromquelle liefern, wenn der Hausstromausfllt. Sophos UTMun-
tersttzt Gerte der Hersteller MGEUPSSystems und APC. Die Kommunikation zwischen
demUSV-Gert und Sophos UTMerfolgt ber die USB-Schnittstelle.
Sobald das USV-Gert imBatteriebetrieb luft, wird eine Nachricht an den Administrator
geschickt. Falls die Stromunterbrechung fr einen lngeren Zeitraumandauert und der Bat-
teriestatus des USV-Gerts einen kritischen Wert erreicht, wird eine weitere Nachricht ver-
schickt. Sophos UTMfhrt anschlieend kontrolliert herunter und schaltet sich automatisch ab.
Hinweis Informationen darber, wie Sie an IhremUSV-Gert anschlieen knnen, finden
Sie in der Bedienungsanleitung des USV-Gerts.Sophos UTMUTMerkennt das an der USB-
Schnittstelle angeschlossene USV-Gert whrend des Systemstarts. Starten Sie Sophos
UTMdaher erst nach der Verbindung mit demUSV-Gert.
1.2.2 RAID-Untersttzung
Ein RAID-System(Redundant Array of Independent Disks) ist ein Datenspeicherungsschema
zwischen mehreren physikalischen Festplatten, die als ein einziges logisches Laufwerk orga-
nisiert sind. Umsicherzustellen, dass das RAID-Systemerkannt und korrekt auf demDas-
hboard des WebAdmin angezeigt wird, bentigen Sie einen RAID-Controller, der von Sophos
UTMuntersttzt wird. Auf der HCL (Hardware Compatibility List) knnen Sie nachsehen, wel-
che RAID-Controller untersttzt werden. Die HCL befindet sich in der Sophos Knowledgebase.
Verwenden Sie HCLals Suchbegriff, umdie entsprechende Seite zu finden.
1.3 Installationsanleitung
ImFolgenden wird die Installation der Sophos UTM-Software Schritt fr Schritt beschrieben.
Bevor Sie mit der Installation beginnen, halten Sie die folgenden Komponenten bereit:
l Die Sophos UTMCD-ROM
l die Lizenz fr Sophos UTM
UTM9 WebAdmin 17
1 Installation 1.3 Installationsanleitung
1.3 Installationsanleitung 1 Installation
Das Installationsprogrammberprft zunchst die Hardware und installiert dann die Software
auf IhremSystem.
1.3.1 Tastenfunktionen whrend der Installation
Die Navigation imInstallationsmen erfolgt ber die folgenden Tasten (beachten Sie whrend
der Installation auch die zustzlichen Tastenfunktionen, die unten imBild angezeigt werden):
l F1: Zeigt den kontextsensitiven Hilfebildschirman.
l Pfeiltasten: Navigation in den Textfeldern, z.B. in der Lizenzbestimmung und der Aus-
wahl des Tastatur-Layouts.
l Tabulatortaste: Wechseln zwischen den Textfeldern, Listen und Schaltflchen.
l Eingabetaste: Die Eingabe wird besttigt und die Installation wird mit demnchsten
Schritt fortgesetzt.
l Leertaste: Whlen Sie Optionen, die mit einemAsterisk markiert sind, aus oder ab.
l Alt-F2: Wechsel zur Installationskonsole.
l Alt-F4: Wechsel zumProtokoll.
l Alt-F1: Wechsel zur interaktiven Bash-Konsole.
l Alt-F1: Rckkehr zumHaupt-Installationsbildschirm.
1.3.2 Besondere Optionen whrend der Installation
Einige Installationsschritte bieten zustzliche Optionen an:
View Log: Anzeige des Installationsprotokolls.
Support: Anzeige des Dialogfensters fr Untersttzung.
To USB Stick: Speichern des Installationsprotokolls als zip-Datei auf einen USB-Stick. Den-
ken Sie daran, einen USB-Stick einzustecken, bevor Sie diese Option besttigen. Die zip-Datei
kann dazu verwendet werden, Installationsprobleme zu lsen, z.B. durch das Support-Team
von Sophos UTM.
Back: Rckkehr zumletzten Installationsschritt.
Cancel: Anzeige eines Besttigungsdialogfensters, umdie Installation abzubrechen.
Help: Anzeige des kontextsensitiven Hilfebildschirms.
18 UTM9 WebAdmin
1.3.3 Installation von Sophos UTM
1. Booten Sie den PC von der CD-ROM.
Der Startbildschirmder Installation wird angezeigt.
Hinweis Sie knnen jederzeit F1 drcken, umzumHilfebildschirmzu gelangen.
Durch Drcken von F3 imStartbildschirmwird ein Bildschirmzur Fehlerbehebung
angezeigt.
2. Drcken Sie die Eingabetaste.
Der Schritt Introduction (Einleitung) wird angezeigt.
3. Whlen Sie Start Installation (Installation starten).
Der Schritt Hardware Detection (Hardware-Erkennung) wird angezeigt.
Die Software prft die folgenden Hardware-Komponenten:
l Prozessor
l Gre und Fabrikat der Festplatte
l CD-ROM-Laufwerk
l Netzwerkkarten
l IDE- bzw. SCSI-Controller
Falls Ihr Systemdie Mindestvoraussetzungen nicht erfllt, wird die Installation mit einer
entsprechenden Fehlermeldung abgebrochen.
Sobald die Hardware-Erkennung abgeschlossen ist, wird der Schritt Detected Hard-
ware (Erkannte Hardware) zu Informationszwecken angezeigt.
4. Drcken Sie die Eingabetaste.
Der Schritt Select Keyboard (Tastatur-Layout whlen) wird angezeigt.
5. Whlen Sie Ihr Tastatur-Layout.
Whlen Sie mit den Pfeiltasten das Tastatur-Layout aus, z.B. German (DE), und best-
tigen Sie dies mit der Eingabetaste.
Der Schritt Select Timezone (Zeitzone whlen) wird angezeigt.
UTM9 WebAdmin 19
1 Installation 1.3 Installationsanleitung
1.3 Installationsanleitung 1 Installation
6. Whlen Sie Ihre Region.
Whlen Sie mit den Pfeiltasten Ihre Region aus, z.B. Europe (Europa), und besttigen
Sie dies mit der Eingabetaste.
7. Whlen Sie Ihre Zeitzone.
Whlen Sie mit den Pfeiltasten Ihre Zeitzone aus, z.B. Berlin, und besttigen Sie dies mit
der Eingabetaste.
Der Schritt Date and Time (Datumund Zeit) wird angezeigt.
8. Stellen Sie Datumund Uhrzeit ein.
Falls Datumund Zeit nicht korrekt sind, knnen Sie die Einstellungen hier ndern. Sie
knnen mit der Tabulator-Taste und den Pfeiltasten zwischen den Textfeldern wech-
seln. Mit der Leertaste knnen Sie die Option Host Clock is UTC(Systemuhr ist UTC)
abwhlen. Ungltige Eingaben werden nicht bernommen. Besttigen Sie die Eingaben
mit der Eingabetaste.
Der Schritt Select Admin Interface (Administrationsschnittstelle whlen) wird angezeigt.
9. Whlen Sie eine interne Netzwerkkarte.
Damit Sie nach der Installation Sophos UTMber die Benutzeroberflche WebAdmin
weiter konfigurieren knnen, mssen Sie eine Netzwerkkarte als interne Netz-
werkschnittstelle (eth0) definieren. Whlen Sie aus der verfgbaren Hardware eine Netz-
werkkarte aus und besttigen Sie die Auswahl mit der Eingabetaste.
Hinweis Schnittstellen, die eine aktive Verbindung haben, sind mit demWort [Link]
hervorgehoben.
Der Schritt Network Configuration (Netzwerkkonfiguration) wird angezeigt.
10. Konfigurieren Sie die Netzwerkschnittstelle fr die Administration.
Definieren Sie fr die interne Schnittstelle, ber die das Systemadministriert werden soll,
eine IP-Adresse, eine Netzmaske und ein Standardgateway. Die Standardwerte sind:
Adresse: 192.168.2.100
Netzmaske: 255.255.255.0
Gateway: k. A.
Den Wert fr das Standardgateway mssen Sie nur ndern, wenn Sie die WebAdmin-
Schnittstelle von einemPCaus erreichen mchten, der auerhalb des
20 UTM9 WebAdmin
Netzwerkbereichs liegt. Beachten Sie, dass sich das Gateway innerhalb des Subnetzes
befinden muss.
1
Besttigen Sie die Eingaben mit der Eingabetaste.
Wenn Ihr Prozessor 64 Bit untersttzt, wird der Schritt 64 Bit Kernel Support (64-Bit-Ker-
nel-Untersttzung) angezeigt. Andernfalls wird die Installation mit demSchritt Enterprise
Toolkit fortgesetzt.
11. Installieren Sie den 64-Bit-Kernel.
Whlen Sie Yes, umden 64-Bit-Kernel zu installieren, oder No, umden 32-Bit-Kernel zu
installieren.
Der Schritt Enterprise Toolkit wird angezeigt.
12. Akzeptieren Sie die Installation des Enterprise Toolkits.
Das Enterprise Toolkit umfasst die Sophos UTM-Software. Sie knnen beschlieen, nur
Open-Source-Software zu installieren. Wir empfehlen jedoch auch die Installation des
Enterprise Toolkits, sodass Sie die volle Funktionalitt von Sophos UTMverwenden kn-
nen.
Drcken Sie die Eingabetaste, umbeide Softwarepakete zu installieren, oder whlen Sie
No, umnur die Open-Source-Software zu installieren.
Der Schritt Installation: Partitioning (Installation: Partitionierung) wird angezeigt.
13. Besttigen Sie den Warnhinweis, umdie Installation zu starten.
Bitte lesen Sie den Warnhinweis sorgfltig. Nach der Besttigung werden alle beste-
henden Daten auf demPCgelscht.
Wenn Sie die Installation abbrechen und das Systemstattdessen neu starten mchten,
whlen Sie No.
Warnung Alle Daten auf der Festplatte werden gelscht.
1
Bei der Netzmaske 255.255.255.0wird das Subnetz durch die ersten drei Werte definiert. In
unseremBeispiel lautet der relevante Bereich 192.168.2. Wenn nun Ihr Administrations-PC
z.B. die IP-Adresse 192.168.10.5hat, liegt er nicht imselben Subnetz. In diesemFall ben-
tigen Sie ein Gateway. Das Gateway muss dann eine Schnittstelle im192.168.2-Subnetz und
eine Verbindung zumAdministrations-PChaben. Fr unser Beispiel nehmen wir die Adresse
192.168.2.1.
UTM9 WebAdmin 21
1 Installation 1.3 Installationsanleitung
1.4 Grundkonfiguration 1 Installation
Die Installation der Software kann nun einige Minuten dauern.
Der Schritt Installation Finished (Installation abgeschlossen) wird angezeigt.
14. Entnehmen Sie die CD-ROM, verbinden Sie das Systemmit deminternen Netz-
werk und starten Sie das Systemneu.
Sobald Sie dazu aufgefordert werden, entnehmen Sie die CD-ROMaus demLaufwerk
und verbinden die Netzwerkkarte eth0mit Ihremlokalen Netzwerk. Mit Ausnahme der
internen Netzwerkkarte (eth0) wird die Reihenfolge der Netzwerkkarten in erster Linie
durch die PCI-IDund die Kernel-Treiber bestimmt. Die Reihenfolge der Netz-
werkkartenbenennung kann sich auch spter durch nderung der Hard-
warekonfiguration, z.B. durch das Hinzufgen oder Entfernen von Netzwerkkarten,
ndern.
Drcken Sie imInstallationsmen dann die Eingabetaste, umUTMneu zu starten. Wh-
rend des Neustarts werden die IP-Adressen der internen Netzwerkkarten neu gesetzt,
daher kann auf der Installationsroutine-Konsole (Alt+F1) fr kurze Zeit die Meldung No
IPon eth0 stehen.
NachdemSophos UTMneu gestartet ist (je nach Hardware-Leistung kann dies einige Minuten
dauern), sollten Sie mit demProgrammPing die IP-Adresse der internen Netzwerkkarte eth0
erreichen. Falls keine Verbindung zustande kommt, prfen Sie Ihr Systemauf die nach-
folgenden mglichen Fehlerquellen:
l Die IP-Adresse von Sophos UTMist nicht korrekt gesetzt.
l Die IP-Adresse des Administrations-PCs ist nicht korrekt gesetzt.
l Das Standardgateway ist nicht korrekt gesetzt.
l Das Netzwerkkabel ist mit der falschen Netzwerkkarte verbunden.
l Alle Netzwerkkarten sind an einemHub angeschlossen.
1.4 Grundkonfiguration
Der zweite Teil der Installation erfolgt imWebAdmin, der webbasierten Administrator-Benut-
zeroberflche von Sophos UTM. Bevor Sie die Grundkonfiguration durchfhren, sollten Sie
eine Vorstellung davon haben, wie Sie die Sophos UTMin Ihr Netzwerk integrieren wollen. Sie
mssen entscheiden, welche Funktionen sie bereitstellen soll, z.B., ob sie imBridge-Modus
oder imStandard-Modus (Routing) arbeiten soll, oder ob sie den Datenpaketfluss zwischen
ihren Schnittstellen berwachen soll. Sie knnen die Sophos UTMjedoch immer zu einem
22 UTM9 WebAdmin
spteren Zeitpunkt neu konfigurieren. Wenn Sie also noch nicht geplant haben, wie Sie die
Sophos UTMin Ihr Netzwerk integrieren wollen, knnen Sie direkt mit der Grundkonfiguration
beginnen.
1. Starten Sie Ihren Browser und ffnen Sie den WebAdmin.
Rufen Sie die URL der Sophos UTMauf (d.h. die IP-Adresse von eth0). Umbei unserer
Beispielkonfiguration zu bleiben, ist dies die URL https://192.168.2.100:4444
(beachten Sie das HTTPS-Protokoll und die Portnummer 4444).
Beachten Sie, dass abweichend von der betrachteten Beispielkonfiguration jede Sophos
UTMmit den folgenden Standardeinstellungen ausgeliefert wird:
l Schnittstellen: Interne Netzwerkschnittstelle (eth0)
l IP-Adresse: 192.168.0.1
l Netzmaske: 255.255.255.0
l Standardgateway: k.A.
Umauf den WebAdmin einer beliebigen Sophos UTMzuzugreifen, geben Sie statt-
dessen folgende URL an:
https://192.168.0.1:4444
UmAuthentifizierung und verschlsselte Kommunikation zu gewhrleisten, wird die
Sophos UTMmit einemselbstsignierten Sicherheitszertifikat ausgeliefert. Dieses Zer-
tifikat wird demWebbrowser beimAufbau der HTTPS-basierten Verbindung zum
WebAdmin angeboten. Da er die Gltigkeit des Zertifikats nicht berprfen kann, zeigt
der Browser eine Sicherheitswarnung an. NachdemSie das Zertifikat akzeptiert haben,
wird die initiale Anmeldeseite angezeigt.
UTM9 WebAdmin 23
1 Installation 1.4 Grundkonfiguration
1.4 Grundkonfiguration 1 Installation
Figure 1 WebAdmin: Initiale Anmeldeseite
2. Fllen Sie das Anmeldeformular aus.
Geben Sie die genauen Informationen zu Ihrer Firma in die Textfelder ein. Legen Sie ein
Kennwort fest und geben Sie eine gltige E-Mail-Adresse fr das Administratorkonto ein.
Wenn Sie mit den Lizenzbestimmungen einverstanden sind, klicken Sie auf die Schalt-
flche Grundlegende Systemkonfiguration durchfhren, ummit demAnmeldevorgang
fortzufahren. Whrend dieses Vorganges werden einige digitale Zertifikate und CAs
(Certificate Authorities, dt. Zertifizierungsinstanzen) erzeugt:
l WebAdmin-CA: Die CA, mit der das WebAdmin-Zertifikat signiert wurde (siehe
Verwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat).
l VPN-Signierungs-CA: Die CA, mit der digitale Zertifikate fr VPN-Ver-
bindungen signiert werden (siehe Site-to-Site-VPN>Zertifikatverwaltung >Zer-
tifizierungsstelle).
l WebAdmin-Zertifikat: Das digitale Zertifikat von WebAdmin (siehe Site-to-Site-
VPN>Zertifikatverwaltung >Zertifikate).
24 UTM9 WebAdmin
l Lokales X.509-Zertifikat: Das digitale Zertifikat von Sophos UTMwird fr VPN-
Verbindungen verwendet (siehe Site-to-Site VPN>Zertifikatverwaltung >Zer-
tifikate).
Die Anmeldeseite wird angezeigt. (Bei einigen Browsern kann es passieren, dass Ihnen
ein weiterer Sicherheitshinweis angezeigt wird, weil sich das Zertifikat entsprechend
Ihren Eingaben gendert hat.)
Figure 2 WebAdmin: Regulre Anmeldeseite
3. Melden Sie sich amWebAdmin an.
Geben Sie in das Feld Benutzername das Wort adminein und geben Sie das Kennwort
ein, das Sie in der vorherigen Ansicht festgelegt haben.
Ihnen wird nun ein Konfigurationsassistent angezeigt, der Sie durch den ersten Kon-
figurationsprozess leitet.
Fortfahren: Wenn Sie den Assistenten verwenden mchten, whlen Sie diese Option
und klicken Sie auf Weiter. Fhren Sie die Schritte aus, umdie Grundeinstellungen der
Sophos UTMzu konfigurieren.
Ein Backup wiederherstellen: Falls Sie ber eine Backupdatei verfgen, knnen Sie
stattdessen auch das Backup wiederherstellen. Whlen Sie diese Option und klicken Sie
auf Weiter. Wie Sie fortfahren, ist in Abschnitt Backup-Wiederherstellung.
Alternativ knnen Sie auch bedenkenlos auf Abbrechen klicken (in jedemder Schritte
des Assistenten) und dadurch den Assistenten beenden, wenn Sie z.B. die Konfiguration
der direkt imWebAdmin vornehmen mchten.Sophos UTMSie knnen auch jederzeit
auf Fertigstellen klicken. Dann werden alle bis dahin vorgenommenen Einstellungen
gespeichert und der Assistent beendet.
UTM9 WebAdmin 25
1 Installation 1.4 Grundkonfiguration
1.4 Grundkonfiguration 1 Installation
4. Installieren Sie Ihre Lizenz.
Klicken Sie auf das Ordnersymbol, umIhre erworbene Lizenz (eine Textdatei) hoch-
zuladen. Klicken Sie auf Weiter, umdie Lizenz zu installieren. Falls Sie keine Lizenz erwor-
ben haben, klicken Sie auf Weiter, umdie 30-Tage-Evaluationslizenz zu verwenden, bei
der alle Produktmerkmale aktiviert sind und die mit der Sophos UTMausgeliefert wer-
den.
Hinweis Wenn die ausgewhlte Lizenz ein bestimmtes Abonnement nicht enthlt,
wird die entsprechende Seite imweiteren Verlauf deaktiviert.
5. Konfigurieren Sie die interne Netzwerkkarte.
berprfen Sie die angezeigten Einstellungen fr die interne Netzwerkschnittstelle
(eth0). Die vorliegenden Einstellungen resultieren aus den Informationen, die Sie wh-
rend der Installation der Software eingegeben haben. Zustzlich knnen Sie die Sophos
UTMals DHCP-Server auf der internen Schnittstelle konfigurieren, indemSie das ent-
sprechende Auswahlkstchen markieren.
Hinweis Wenn Sie die IP-Adresse der internen Netzwerkschnittstelle ndern, ms-
sen Sie sich mit der neuen IP-Adresse erneut amWebAdmin anmelden, wenn Sie den
Assistenten beendet haben.
6. Whlen Sie den Uplink-Typ fr die externe Netzwerkkarte.
Whlen Sie die Art der Verbindung Ihrer Uplink-/Internetverbindung, die die externe
Netzwerkkarte verwenden wird. Die Art der Schnittstelle und ihre Konfiguration hngen
davon ab, welche Art der Internetverbindung Sie verwenden werden. Klicken Sie auf
Weiter.
Falls die Sophos UTMber keinen Uplink verfgt oder Sie diesen jetzt noch nicht kon-
figurieren mchten, whlen Sie die Option Internetverbindung spter einrichten. Wenn
Sie einen Internet-Uplink konfigurieren, wird IP-Maskierung automatisch fr alle Ver-
bindungen aus deminternen Netzwerk zumInternet konfiguriert.
Wenn Sie Standard-Ethernetschnittstelle mit statischer IP-Adresse auswhlen, ist ein
Standardgateway nur optional anzugeben. Wenn Sie das Textfeld leer lassen, bleibt Ihre
-Standardgateway-Einstellung aus der Installationsroutine erhalten. Sie knnen jeden
der folgenden Schritte berspringen, indemSie auf Weiter klicken. Diese bergangenen
Einstellungen knnen Sie dann spter imWebAdmin vornehmen oder ndern.
26 UTM9 WebAdmin
Hinweis Wenn Ihre Lizenz keine der folgenden Funktionen untersttzt, wird die ent-
sprechende Funktion nicht angezeigt.
7. Legen Sie die grundlegenden Firewall-Einstellungen fest.
Hier knnen Sie auswhlen, welche Arten von Diensten Sie fr das Internet zulassen wol-
len. Klicken Sie auf Weiter, umIhre Einstellungen zu besttigen.
8. Legen Sie die Advanced-Threat-Protection-Einstellungen fest.
You can nowmake settings regarding intrusion prevention and com-
mand&control/botnet detection for several operation systems and databases. Klicken Sie
auf Weiter, umIhre Einstellungen zu besttigen.
9. Make your web protection settings.
You can nowselect whether the web traffic should be scanned for viruses and spyware.
Additionally, you can select to block webpages that belong to certain categories. Klicken
Sie auf Weiter, umIhre Einstellungen zu besttigen.
10. Make your email protection settings.
You can nowselect the first checkbox to enable the POP3 proxy. You can also select the
second checkbox to enable UTMas inbound SMTPrelay: Enter the IPaddress of your
internal mail server and add SMTPdomains to route. Klicken Sie auf Weiter, umIhre Ein-
stellungen zu besttigen.
11. Make your wireless protection settings.
You can nowselect the checkbox to enable wireless protection. In the box, select or add
the interfaces that are allowed to connect your wireless access points to your system.
Click the Folder icon to add an interface or click the Plus icon to create a newinterface.
Enter the other wireless network parameters. Klicken Sie auf Weiter, umIhre Ein-
stellungen zu besttigen.
12. Make your advanced threat adaptive learning settings.
You can nowselect if you want to send anonymous data to the Sophos research team.
This data is used to improve future versions and to improve and enlarge the network visi-
bility and application control library.
13. Confirmyour settings.
Asummary of your settings is displayed. Click Finish to confirmthemor Back to change
them. However, you can also change themin WebAdmin later.
UTM9 WebAdmin 27
1 Installation 1.4 Grundkonfiguration
1.5 Backup-Wiederherstellung 1 Installation
After clicking Finish your settings are saved and you are redirected to the Dashboard of
WebAdmin, providing you with the most important systemstatus information of the
Sophos UTMunit.
Figure 3 WebAdmin: Dashboard
If you encounter any problems while completing these steps, please contact the support
department of your Sophos UTMsupplier. For more information, you might also want to
visit the following websites:
l Sophos UTMSupport-Forum
l Sophos Knowledgebase
1.5 Backup-Wiederherstellung
Der Konfigurationsassistent des WebAdmin (siehe Abschnitt Grundkonfiguration) ermglicht
es Ihnen, eine vorhandene Backupdatei wiederherzustellen, anstatt die Grundkonfiguration
durchzufhren. Gehen Sie folgendermaen vor:
1. Whlen Sie imKonfigurationsassistenten Vorhandene Backup-Datei wie-
derherstellen.
28 UTM9 WebAdmin
Whlen Sie imKonfigurationsassistenten Vorhandene Backup-Datei wiederherstellen
und klicken Sie auf Weiter.
Sie werden zu der Seite weitergeleitet, wo Sie die Datei hochladen knnen.
2. Laden Sie das Backup hoch.
Klicken Sie auf das Ordnersymbol, whlen Sie die Backupdatei aus, die Sie wie-
derherstellen mchten, und klicken Sie auf Hochladen starten.
3. Stellen Sie das Backup wieder her.
Klicken Sie auf Fertigstellen, umdas Backup wiederherzustellen.
Wichtiger Hinweis Danach ist es nicht mehr mglich, den Konfigurationsassistenten
erneut aufzurufen.
Sobald das Backup erfolgreich wiederhergestellt wurde, werden Sie auf die Anmeldeseite wei-
tergeleitet.
UTM9 WebAdmin 29
1 Installation 1.5 Backup-Wiederherstellung
2 WebAdmin
Der WebAdmin ist die webbasierte grafische Benutzeroberflche zur vollstndigen Admi-
nistration von Sophos UTM. Der WebAdmin besteht aus einemMen und mehreren Seiten,
von denen manche wiederummehrere Registerkarten (engl. tabs) besitzen. Das Men auf der
linken Seite orientiert sich in logischer Reihenfolge an den Produktmerkmalen von Sophos
UTM. Sobald Sie auf einen Menpunkt wie z.B. Network Protection klicken, ffnet sich ein
Untermen und die entsprechende Seite wird angezeigt. Beachten Sie, dass fr einige Men-
punkte keine eigene Seite vorhanden ist. In diesemFall wird weiterhin die zuvor ausgewhlte
Seite angezeigt. Erst wenn Sie ein Untermen anklicken, ffnet sich die dazugehrige Seite,
und zwar mit der ersten Registerkarte.
Beimerstmaligen Start des WebAdmin erscheint der Setup-Assistent einmalig. Befolgen Sie
die Anweisungen umdie wichtigsten Einstellungen vorzunehmen.
Die Anleitungen in dieser Dokumentation leiten Sie zu einer Seite durch die Angabe des Mens,
Untermens und der Registerkarte, z.B.: Auf der Registerkarte Schnittstellen &Routing >
Schnittstellen >Hardware werden ...
2.1 WebAdmin-Men 2 WebAdmin
Figure 4 WebAdmin: bersicht
2.1 WebAdmin-Men
Das WebAdmin-Men gibt Ihnen Zugriff auf alle Konfigurationsoptionen von Sophos UTM. Die
Verwendung einer Kommandozeile zur Konfiguration ist daher nicht erforderlich.
l Dashboard: Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus
von Sophos UTM.
l Verwaltung: In diesemMen werden grundlegende Einstellungen fr das Gesamt-
systemund WebAdmin vorgenommen, sowie Einstellungen, welche die Konfiguration
von Sophos UTMbetreffen.
l Definitionen & Benutzer: Neben Netzwerk-, Dienst- und Zeitereignisdefinitionen
sowie Benutzerkonten und -gruppen werden in diesemMen externe Authen-
tifizierungsdienste fr Sophos UTMkonfiguriert.
l Schnittstellen & Routing: Dieses Men enthlt u.a. die Konfiguration von Netz-
werkschnittstellen und Routing-Optionen.
32 UTM9 WebAdmin
l Netzwerkdienste: Dieses Men enthlt u.a. die Konfiguration von Netzwerkdiensten
wie DNSund DHCP.
l Network Protection: Konfiguration von grundlegenden Network-Protection-Funk-
tionen wie Firewallregeln, Voice over IPoder Einstellungen fr das Angriffschutzsystem.
l Web Protection: Konfiguration des Webfilters und von Application Control von Sophos
UTMsowie des FTP-Proxys.
l Email Protection: Konfiguration der SMTP- und POP3-Proxies von Sophos UTM
sowie der E-Mail-Verschlsselung.
l Endpoint Protection: Konfiguration und Verwaltung des Schutzes von Endpoint-Ger-
ten in IhremNetzwerk.
l Wireless Protection: Konfiguration Ihrer Drahtlosnetzwerke fr das Gateway.
l Webserver Protection: ZumSchutz Ihrer Webserver vor Angriffen wie Cross-Site-
Scripting und SQL-Injection.
l RED-Verwaltung: Konfiguration Ihrer Remote-Ethernet-Device-(RED-)Appliances.
l Site-to-Site-VPN: Konfiguration von Site-to-Site Virtual Private Networks (virtuelle pri-
vate Netzwerke).
l Fernzugriff: Konfiguration von VPN-Fernzugriffsverbindungen mit Sophos UTM.
l Protokolle & Berichte: Anzeige von Protokollen und Statistiken ber die Nutzung der
Sophos UTMund Konfiguration von Protokoll- und Berichteinstellungen.
l Support: Hier finden Sie verschiedene Support-Tools von Sophos UTM.
l Abmelden: Abmelden vomWebAdmin.
Suche imMen
ber demMen befindet sich ein Suchfeld. Damit knnen Sie das Men nach Stichwrtern
durchsuchen, umso leichter Meneintrge zu finden, die ein bestimmtes Thema betreffen. Die
Suchfunktion bercksichtigt neben den Namen von Meneintrgen auch hinterlegte, indizierte
Aliasse und Schlsselwrter.
Sobald Sie anfangen imSuchfeld zu tippen, wird das Men automatisch auf relevante Menein-
trge reduziert. Sie knnen das Suchfeld jederzeit verlassen und auf den Meneintrag klicken,
der demGesuchten entspricht. Das reduzierte Men bleibt erhalten und zeigt die Such-
ergebnisse solange an, bis Sie es ber die Schaltflche direkt daneben zurcksetzen.
UTM9 WebAdmin 33
2 WebAdmin 2.1 WebAdmin-Men
2.2 Symbolleiste 2 WebAdmin
Tipp Sie knnen den Fokus auf das Suchfeld setzen, indemSie auf der Tastatur STRG+Y
drcken.
2.2 Symbolleiste
Die Symbole in der oberen rechten Ecke des WebAdmin bieten Zugriff auf die folgenden Funk-
tionen:
l Benutzername/IP: Zeigt den aktuell angemeldeten Benutzer und die IP-Adresse an,
von der aus auf WebAdmin zugegriffen wird. Wenn derzeit noch weitere Benutzer ange-
meldet sind, werden ihre Daten ebenfalls angezeigt.
l Live-Protokoll ffnen: Wenn Sie diese Schaltflche anklicken, wird das Live-Protokoll,
das demaktiven WebAdmin-Men oder der aktiven Registerkarte zugeordnet ist, geff-
net. Umein anderes Live-Protokoll aufzurufen, ohne in ein anderes Men oder auf eine
andere Registerkarte zu wechseln, fahren Sie mit demMauszeiger ber die Schaltflche
Live-Protokoll. Nach ein paar Sekunden wird eine Liste der verfgbaren Live-Pro-
tokolle geffnet, aus der Sie das anzuzeigende Live-Protokoll auswhlen knnen. Ihre
Auswahl wird so lange beibehalten, wie Sie sich imgleichen Men bzw. auf der gleichen
Registerkarte des WebAdmin befinden.
Tipp Sie knnen Live-Protokolle auch ber die Schaltflchen Live-Protokoll ffnen
ffnen, die Sie auf vielen WebAdmin-Seiten finden.
l Onlinehilfe: Jedes Men, Untermen und jede Registerkarte verfgt ber eine kon-
textsensitive Onlinehilfe, die Informationen und Anleitungen zu der jeweils geffneten Sei-
te von WebAdmin enthlt.
Hinweis Die Onlinehilfe ist versionsbasiert und wird mithilfe von Patterns aktualisiert.
Wenn Sie eine Aktualisierung auf eine neue Firmware-Version durchfhren, wird auch
Ihre Onlinehilfe gegebenenfalls aktualisiert.
l Aktuelle Seite neu laden: Klicken Sie stets auf die Schaltflche Aktualisieren, umdie
bereits angezeigte Seite von WebAdmin zu aktualisieren.
Hinweis Verwenden Sie nie die Aktualisierungsfunktion des Browsers, da Sie in die-
semFall vomWebAdmin abgemeldet werden.
34 UTM9 WebAdmin
2.3 Listen
Viele Seiten imWebAdmin bestehen aus Listen. Mit den Schaltflchen links von jedemLis-
teneintrag knnen Sie einen Listeneintrag bearbeiten, lschen oder klonen (weitere Infor-
mationen finden Sie imAbschnitt Schaltflchen und Symbole). ZumErstellen eines neuen Lis-
teneintrags klicken Sie auf die Schaltflche Neue (wobei als Platzhalter fr das zu
erstellende Listenobjekt steht, z.B. Schnittstelle). Dies ffnet ein Dialogfeld, in welchemSie die
Eigenschaften des Objektes festlegen knnen.
Figure 5 WebAdmin: Beispiel einer Liste
Mit der ersten Auswahlliste ber der Liste knnen Sie die Listeneintrge nach ihremTyp oder
ihrer Gruppe sortieren. Die zweite Auswahlliste dient der gezielten Suche nach Lis-
teneintrgen. Geben Sie dazu einen Suchbegriff ein und klicken Sie auf Finden.
Listen mit mehr als zehn Eintrgen sind auf mehrere Seiten aufgeteilt. Mit den Schaltflchen
Vorwrts (>>) und Rckwrts (<<) knnen Sie zwischen den Seiten hin- und herschalten. Mit
der Auswahlliste Anzeige knnen Sie die Anzahl der Eintrge pro Seite vorbergehend ndern.
Zudemknnen Sie die Standardeinstellung fr alle Listen auf der Registerkarte Verwaltung >
WebAdmin-Einstellungen >Benutzereinstellungen ndern.
Mit Listenberschriften knnen einige Funktionen ausgefhrt werden. Wenn Sie eine Lis-
tenberschrift anklicken, wird die Liste normalerweise nach dementsprechenden Objektfeld
sortiert. Wenn Sie beispielsweise auf das Feld Name klicken, wird die Liste nach den Namen
der Objekte sortiert. Das Feld Aktion in der berschrift bietet mehrere Batch-Optionen, die Sie
fr zuvor ausgewhlte Listenobjekte durchfhren knnen. UmObjekte auszuwhlen, mar-
kieren Sie die zugehrigen Auswahlkstchen. Beachten Sie, dass die Auswahl sei-
tenbergreifend gltig bleibt, d.h., wenn Sie durch die Seiten einer Liste blttern, bleiben
bereits ausgewhlte Objekte ausgewhlt.
UTM9 WebAdmin 35
2 WebAdmin 2.3 Listen
2.4 Suche in Listen 2 WebAdmin
Tipp Durch einen Klick auf das Infosymbol eines Listeneintrags knnen Sie sehen, in wel-
chen Konfigurationen das Objekt verwendet wird.
2.4 Suche in Listen
ber das Filterfeld lsst sich die Anzahl der in einer Liste angezeigten Eintrge schnell redu-
zieren. Dadurch wird es wesentlich einfacher, die Objekte zu finden, die Sie suchen.
Wissenswertes
l Whrend einer Suche werden normalerweise mehrere Felder nach demSuchausdruck
durchsucht. Eine Suche in Benutzer & Gruppenbercksichtigt beispielsweise Benut-
zername, Realname, Kommentar und erste E-Mail-Adresse. Allgemein gesagt berck-
sichtigt die Suche alle Texte, die Sie in der Liste sehen knnen, ausgenommen jene
Details, die nach einemKlick auf das Infosymbol angezeigt werden.
l Die Listensuche ignoriert Gro-/Kleinschreibung. Das bedeutet, dass es keinen Unter-
schied macht, ob Sie Gro- oder Kleinbuchstaben eingeben. Das Suchergebnis wird
bereinstimmungen sowohl mit Gro- als auch mit Kleinbuchstaben anzeigen. Sie kn-
nen nicht explizit nach Gro- oder Kleinbuchstaben suchen.
l Die Listensuche basiert auf Perl-kompatiblen regulren Ausdrcken (abgesehen von
der Gro-/Kleinschreibung). Typische, aus Texteditoren bekannte Suchausdrcke wie *
und ?(als einfache Platzhalter) sowie die Operanden ANDund ORfunktionieren nicht in
der Listensuche.
Beispiele
Die folgende Liste stellt eine kleine Auswahl ntzlicher Suchausdrcke dar:
Einfacher Ausdruck: Findet alle Wrter, die den angegebenen Ausdruck enthalten. Bei-
spielsweise findet interdie Ergebnisse Internet, interfaceund printer.
Wortanfang: Stellen Sie demSuchausdruck die Zeichenfolge \bvoran. Beispielsweise findet
\binterdie Ergebnisse Internetund Interface, nicht jedoch Printer.
Wortende: Hngen Sie hinten an den Suchausdruck die Zeichenfolge \ban. Beispielsweise
findet http\bdas Ergebnis http, nicht jedoch https.
36 UTM9 WebAdmin
Beginn eines Eintrags: Stellen Sie demSuchausdruck das Zeichen ^voran. Beispielsweise
findet ^interdas Ergebnis Internet Uplink, nicht jedoch Uplink Interfaces.
IP-Adressen: Wenn Sie nach IP-Adressen suchen, mssen Sie die Trennpunkte mit einem
Backslash (umgekehrter Schrgstrich) maskieren. Umnach 192\.168zu suchen, mssen Sie
beispielsweise 192.168eingeben.
Fr eine allgemeinere Suche nach IP-Adressen verwenden Sie \dals Platzhalter fr eine belie-
bige Ziffer. \d+findet mehrere aufeinander folgende Ziffern. Mit \d+\.\d+\.\d+\.\d+findet
man beispielsweise jede beliebige IPv4-Adresse.
Hinweis Es ist sinnvoller, einen einfacheren, sicheren Suchausdruck zu verwenden, der zu
mehr Ergebnissen fhrt, als sich den Kopf ber den perfekten Suchausdruck zu zerbrechen,
welcher dann eher zu unerwarteten Ergebnissen oder falschen Schlussfolgerungen fhrt.
Eine ausfhrliche Beschreibung regulrer Ausrcke und deren Verwendung in Sophos UTM
finden Sie in der Sophos-Knowledgebase.
2.5 Dialogfelder
Dialogfelder sind spezielle Eingabemasken imWebAdmin, bei denen Sie aufgefordert sind,
bestimmte Informationen einzugeben. Das Beispiel zeigt ein Dialogfeld fr das Anlegen einer
statischen Route imMen Schnittstellen &Routing >Statisches Routing.
Figure 6 WebAdmin: Beispiel eines Dialogfelds
Jedes Dialogfeld kann aus verschiedenen Kontrollelementen (Widgets) wie zumBeispiel Text-
feldern oder Auswahlkstchen bestehen. Viele Dialogfelder bieten darber hinaus eine Drag-
and-Drop-Funktionalitt, was durch einen speziellen Hintergrund mit demSchriftzug DND
gekennzeichnet ist. Immer dann, wenn Sie ein solches Feld vorfinden, knnen Sie ein Objekt
UTM9 WebAdmin 37
2 WebAdmin 2.5 Dialogfelder
2.6 Schaltflchen und Symbole 2 WebAdmin
durch Ziehen und Ablegen mit der Maus (Drag-and-Drop) in dieses Feld ziehen. Umdie Objekt-
liste zu ffnen, von der aus Sie das Objekt in das Feld ziehen knnen, klicken Sie auf das gelbe
Ordnersymbol direkt neben demTextfeld. Abhngig von der jeweiligen Konfigurationsoption ff-
net sich die Liste mit den verfgbaren Netzwerk-, Dienst-, Benutzer-/Gruppen- oder Zeit-
raumdefinitionen. Ein Klick auf das grne Plussymbol ffnet ein Dialogfenster, in welchemSie
eine neue Definition anlegen knnen. Einige Kontrollelemente, die fr eine bestimmte Kon-
figuration nicht bentigt werden, sind ausgegraut. In manchen Fllen knnen diese durchaus
editiert werden, haben dann allerdings keinen Effekt.
Hinweis ImWebAdmin gibt es u.a. die Schaltflchen Speichern und bernehmen. Die
Schaltflche Speichern wird immer dann angezeigt, wenn Sie ein Objekt in WebAdmin neu
anlegen oder bearbeiten, zumBeispiel, wenn Sie eine neue statische Route anlegen oder
Netzwerkdefinitionen bearbeiten. Sie wird immer zusammen mit einer Schaltflche Abbre-
chen angezeigt. Die Schaltflche bernehmen hingegen dient dazu, Ihre Einstellungen in das
Backend zu bertragen und dadurch sofort wirksamwerden zu lassen.
2.6 Schaltflchen und Symbole
Der WebAdmin verfgt ber einige Schaltflchen und Symbole mit hinterlegter Funktion, deren
Nutzung hier beschrieben wird.
Schaltflchen Bedeutung
Zeigt ein Dialogfeld mit detaillierten Informationen zumObjekt an.
ffnet ein Dialogfeld, in demdie Eigenschaften des Objekts bearbeitet
werden knnen.
Lscht das Objekt. Es wird eine Warnung ausgegeben, wenn ein
Objekt noch irgendwo anders benutzt wird. Nicht alle Objekte knnen
gelscht werden, wenn sie in Benutzung sind.
ffnet ein Dialogfeld, umein Objekt mit identischen Ein-
stellungen/Eigenschaften anzulegen. Klonen dient dazu, hnliche
Objekte anzulegen ohne alle identischen Einstellungen erneut ein-
geben zu mssen.
38 UTM9 WebAdmin
Symbole
mit Funk-
tion
Bedeutung
Info: Zeigt alle Konfigurationen an, in denen das Objekt verwendet wird.
Details: Verlinkt auf eine andere WebAdmin-Seite mit weiteren Informationen
zu diesemThema.
Schieberegler: Aktiviert oder deaktiviert eine Funktion. Er zeigt Grn an,
wenn die Funktion aktiv ist, Grau, wenn die Funktion deaktiviert ist, und Gelb,
wenn eine Konfigurierung ntig ist, bevor die Funktion aktiviert werden kann.
Ordner: Dieses Symbol hat zwei Funktionen: (1) ffnet eine Objektleiste (sie-
he Abschnitt unten) auf der linken Seite, aus der Sie passende Objekte aus-
whlen knnen. (2) ffnet ein Dialogfenster, umeine Datei hochzuladen.
Plus: ffnet ein Dialogfenster, umein neues Objekt des erforderlichen Typs
hinzuzufgen.
Aktion: ffnet eine Auswahlliste mit Aktionen. Die Aktionen hngen davon ab,
wo sich das Symbol befindet: (1) Symbol in Listenberschrift: Die Aktionen, z.B.
Aktivieren, Deaktivieren oder Lschen gelten fr die ausgewhlten Lis-
tenobjekte. (2)Symbol in Textfeld: Mit den Aktionen Import und Export knnen
Sie Text importieren oder exportieren und mit Leeren den gesamten Inhalt
lschen. Auerdemexistiert ein Filterfeld, mit demSie eine Liste auf die rele-
vanten Elemente reduzieren knnen. Beachten Sie, dass der Filter zwischen
Gro- und Kleinschreibung unterscheidet.
Leeren: Entfernt ein Objekt aus der aktuellen Konfiguration, wenn es sich vor
demObjekt befindet.
Entfernt alle Objekte aus einemFeld, wenn es sich imMen Aktionen befindet.
Objekte werden jedoch niemals gelscht.
Import: ffnet ein Dialogfenster, umText mit mehr als einemEintrag bzw.
mehr als einer Zeile zu importieren. Diese Funktion erleichtert das Hinzufgen
von mehreren Eintrgen auf einmal, ohne diese einzeln eingeben zu mssen,
z.B. einer langen Negativliste (Blacklist) zur URL-Negativliste. Kopieren Sie
den Text dazu aus einer beliebigen Ausgangsdatei und fgen Sie ihn mittels
Strg+Vein.
UTM9 WebAdmin 39
2 WebAdmin 2.6 Schaltflchen und Symbole
2.7 Objektlisten 2 WebAdmin
Symbole
mit Funk-
tion
Bedeutung
Export: ffnet ein Dialogfenster, umalle vorhandenen Eintrge zu expor-
tieren. Sie knnen als Trennzeichen entweder Zeilenumbruch, Doppelpunkt
oder Komma whlen, umEintrge voneinander zu trennen. UmEintrge als
Text zu exportieren, markieren Sie den ganzen Text imFeld Exportierter Text
und drcken Sie Strg+C, umihn zu kopieren. Sie knnen ihn dann mittels
Strg+Vin allen blichen Anwendungen, z.B. einemTexteditor, einfgen.
Sortieren: Mithilfe dieser beiden Pfeile knnen Sie Listenelemente sortieren,
indemSie ein Element in der Liste nach oben oder unten verschieben.
Vorwrts/Rckwrts:Mithilfe dieser beiden Pfeile knnen Sie je nach Ihrer
Position durch die Seiten einer langen Liste navigieren oder entlang eines nde-
rungs- und Einstellungsverlaufs vor- und zurcknavigieren.
PDF: Speichert die aktuelle Ansicht der Daten in einer PDF-Datei und ffnet
anschlieend ein Dialogfenster, umdie erzeugte Datei herunterzuladen.
CSV: Speichert die aktuelle Ansicht der Daten in einer CSV-Datei (durch Kom-
ma getrennte Werte) und ffnet anschlieend ein Dialogfenster, umdie erzeug-
te Datei herunterzuladen.
2.7 Objektlisten
Eine Objektliste ist eine Liste von Objekten die gelegentlich auf der linken Seite des WebAdmin
eingeblendet wird und dabei vorbergehend das Hauptmen verdeckt.
40 UTM9 WebAdmin
Figure 7 Ziehen eines Objekts aus der Objektliste Networks
Eine Objektliste wird automatisch geffnet, wenn Sie auf das Ordnersymbol klicken (siehe
Abschnitt oben). Sie kann auch manuell ber ein Tastaturkrzel geffnet werden (siehe Ver-
waltung >WebAdmin-Einstellungen >Benutzereinstellungen).
Die Objektliste ermglicht einen schnellen Zugriff auf WebAdmin-Objekte wie Benut-
zer/Gruppen, Schnittstellen, Netzwerke und Dienste, umsie fr Konfigurationszwecke aus-
whlen zu knnen. Objekte werden ausgewhlt, indemsie einfach zur aktuellen Konfiguration
gezogen und dort ber dementsprechenden Feld fallen gelassen werden (Drag and Drop).
Es gibt fnf verschiedene Arten von Objektlisten, entsprechend den Objekttypen, die es gibt.
Bei einemKlick auf das Ordnersymbol wird immer die Objektliste geffnet, deren Typ von der
aktuellen Konfiguration bentigt wird.
UTM9 WebAdmin 41
2 WebAdmin 2.7 Objektlisten
3 Dashboard
Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Sophos UTM.
Mit Hilfe des Symbols "Dashboard-Einstellungen" rechts oben knnen Sie, unter anderem, aus-
whlen welche Themen angezeigt werden sollen. Nhere Informationen zu diesen Ein-
stellungen finden Sie unter Dashboard >Dashboard-Einstellungen.
Das Dashboard wird nach der Anmeldung amWebAdmin angezeigt und stellt standardmig
diese Informationen zur Verfgung:
l Allgemeine Informationen: Hostname, Modell, Lizenz-ID, Abonnements und die Zeit-
spanne, fr die das Gert in Betrieb ist. Die Farbe, in der ein Abonnement angezeigt
wird, wechselt 30 Tage vor Ablaufdatumauf orange. In den letzten 7 Tagen vor Ablauf
sowie nach Ablauf wird das Abonnement rot angezeigt.
l Versionsinformationen: Informationen zu den aktuell installierten Firmware- und Pat-
ternversionen sowie verfgbaren Updates.
l Ressourcennutzung: Aktuelle Systemauslastung, insbesondere der folgenden Kom-
ponenten:
l Die CPU-Auslastung in Prozent.
l Die RAM-Auslastung in Prozent. Hinweis: Der angezeigte Gesamtspeicher ist der
Teil, der fr das Betriebssystemnutzbar ist. Bei 32-Bit-Systemen entspricht dies
manchmal nicht der tatschlichen Gre des installierten physischen Speichers,
da ein Teil davon fr Hardware reserviert ist.
l Der von der Protokollpartition (engl. log partition) belegte Festplattenplatz in Pro-
zent
l Der von der Datenpartition belegte Festplattenplatz in Prozent
l Der Status des USV-Gertes (unterbrechungsfreie Stromversorgung) (falls vor-
handen)
l Heutiger Bedrohungsstatus: Ein Zhler fr die wichtigsten registrierten Bedro-
hungen seit Mitternacht:
l Die Summe der Datenpakete, die vomPaketfilter verworfen (engl. drop) oder
abgelehnt (engl. reject) wurden und fr die Protokollierung aktiviert ist
l Die Summe der blockierten Angriffe und Eindringungsversuche (engl. intrusion) in
das Netzwerk
3 Dashboard
l Die Summe der blockierten Viren (alle Proxies)
l Die Summe der blockierten Spam-Nachrichten (SMTP/POP3)
l Die Summe der blockierten Spyware-Kommunikation (alle Proxies)
l Die Summe der blockierten URLs (HTTP/S)
l Die Summe der blockierten Webserver-Angriffe (WAF)
l Die Summe der blockierten Endpoint-Angriffe und der blockierten Gerte
l Schnittstellen: Name und Status von konfigurierten Netzwerkkarten. Darber hinaus
wird fr jede Schnittstelle die durchschnittliche Datenbertragungsrate der letzten 75
Sekunden fr ein- und ausgehenden Datenverkehr angezeigt. Die Werte resultieren aus
Durchschnittswerten, die in Intervallen von 15 Sekunden gewonnen werden. Ein Klick
auf einen Verkehrswert einer Schnittstelle ffnet den Flow-Monitor in einemneuen Fens-
ter. Der Flow-Monitor zeigt den Datenverkehr der letzten zehn Minuten an und aktua-
lisiert sich selbst in kurzen Abstnden. Weitere Informationen zumFlow-Monitor finden
Sie imKapitel Flow-Monitor.
l Advanced Threat Protection: Status von Advanced Threat Protection. Die Ansicht
zeigt, ob Advanced Threat Protection aktiviert ist, und einen Zhler infizierter Hosts.
l Aktuelle Systemkonfiguration: Anzeige der wichtigsten Sicherheitsfunktionen und
deren Aktivittsstatus. Wenn Sie auf einen der Eintrge klicken, ffnet sich die WebAd-
min-Seite mit den entsprechenden Einstellungen:
l Firewall: Informationen zu allen aktiven Firewallregeln.
l Intrusion Prevention: Das Angriffschutzsystem(IPS, engl. Intrusion Pre-
vention) erkennt Angriffsversuche anhand eines signaturbasierten IPS-Regel-
werks.
l Webfilter: Ein Gateway auf Anwendungsebene fr das HTTP/S-Protokoll, das
eine groe Auswahl an Filtermechanismen fr die Netzwerke bietet, die seine
Dienste verwenden drfen.
l Netzwerksichtbarkeit:Sophos-Layer-7-Application-Control ermglicht die Kate-
gorisierung und Kontrolle von Netzwerkverkehr.
l SMTP-Proxy: Ein Gateway auf Anwendungsebene fr Nachrichten, die ber das
Simple Mail Transfer Protocol (SMTP) gesendet werden.
l POP3-Proxy: Ein Gateway auf Anwendungsebene fr Nachrichten, die ber das
Post Office Protocol 3 (POP3) gesendet werden.
44 UTM9 WebAdmin
l RED: Konfiguration von Remote-Ethernet-Device-(RED)-Appliances fr die
Sicherheit von Zweigniederlassungen.
l Wireless Protection: Konfiguration von WLAN-Netzwerken und Access Points.
l Endpoint Protection: Verwaltung von Endpoint-Gerten in IhremNetzwerk.
Zeigt die Anzahl der verbundenen Endpoints und Warnungen an.
l Site-to-Site-VPN: Konfiguration von Site-to-Site-VPN-Szenarien.
l Fernzugriff: Konfiguration von VPNVPNClosed-Szenarien fr Road Warriors.
l Web Application Firewall: Ein Gateway auf Anwendungsebene zumSchutz
Ihrer Webserver vor Angriffen wie Cross-Site-Scripting und SQL-Injections.
l HA/Cluster: Ausfallsicherheit und Cluster-Technologie, d.h. die gleichmige
Verteilung von rechenintensiven Aufgaben wie z.B. demFiltern von Inhalten,
Virenscans, Angriffschutz oder Entschlsselung auf mehrere Computer.
l Sophos UTMManager: Verwaltung Ihrer Sophos UTM-Appliance ber das zen-
trale Verwaltungs-Tool Sophos UTMManager (SUM).
l Antivirus: Schutz Ihres Netzwerks vor Internetverkehr, der schdlichen Inhalt
wie Viren, Wrmer und andere Malware verbreitet.
l Antispam: Erkennung von unerwnschten E-Mails und Spam-bermittlung von
bekannten oder verdchtigen Spam-Versendern.
l Antispyware: Schutz vor Spyware-Infektionen durch zwei voneinander unab-
hngig operierende Virenscanner, deren Virensignaturen- und Spyware-Fil-
termechanismen regelmig aktualisiert werden und eingehenden sowie
ausgehenden Datenverkehr schtzen.
3.1 Dashboard-Einstellungen
Sie knnen diverse Dashboard-Einstellungen vornehmen. Klicken Sie oben rechts imDas-
hboard auf das Symbol Dashboard-Einstellungen, umdas Dialogfenster Dashboard-Ein-
stellungen bearbeiten zu ffnen.
Dashboard aktualisieren: Standardmig wird das Dashboard alle fnf Sekunden aktua-
lisiert. Das Zeitintervall fr die Aktualisierung kann von Nie bis zu Jede Minute eingestellt wer-
den.
Linke Spalte Rechte Spalte: Das Dashboard ist in verschiedene Themenbereiche unter-
gliedert, in denen Sie Informationen zumjeweiligen Thema finden. Mit den beiden Feldern
UTM9 WebAdmin 45
3 Dashboard 3.1 Dashboard-Einstellungen
3.1 Dashboard-Einstellungen 3 Dashboard
Linke Spalte und Rechte Spalte knnen Sie die Themenabschnitte neu anordnen, The-
menabschnitte hinzufgen oder aus demAnzeigebereich entfernen. Diese Einstellungen wer-
den auf das Dashboard angewendet. Verwenden Sie die Sortier-Symbole umdie The-
menabschnitte einer Spalte zu sortieren. Umeinen bestimmten Themenabschnitt zum
Anzeigebereich hinzuzufgen oder daraus zu entfernen, aktivieren bzw. deaktivieren Sie das
zugehrige Auswahlkstchen.
Die standardmig angezeigten Themenabschnitte werden imKapitel Dashboardbeschrie-
ben. Diese Themenabschnitte knnen zustzlich angezeigt werden:
l Web Protection: Hufigste Anwendungen: berblick ber die amhufigsten ver-
wendeten Anwendungen. Wenn Sie in diesemThemenabschnitt mit demMauszeiger
ber eine Anwendung fahren, werden ein oder zwei Symbole mit zustzlichen Funk-
tionen angezeigt:
l Klicken Sie auf das Symbol Blockieren, umdie Anwendung ab diesemMoment zu
blockieren. Auf der Seite Application-Control-Regeln wird dann eine Regel
erstellt. Diese Option ist nicht fr Anwendungen verfgbar, die fr einen rei-
bungslosen Betrieb von Sophos UTMrelevant sind. So kann beispielsweise
WebAdmin-Datenverkehr nicht blockiert werden, da dies dazu fhren knnte,
dass Sie nicht mehr auf den WebAdmin zugreifen knnen. Auch nicht klas-
sifizierter Datenverkehr kann nicht blockiert werden.
l Klicken Sie auf das Symbol Regeln, umTraffic Shaping fr die entsprechende
Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Rege-
leinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind.
Dies erstellt jeweils eine Regel auf den Seiten Verkehrskennzeichner und Band-
breiten-Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen
Schnittstellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funk-
tioniert.
l Klicken Sie auf das Symbol Throttle umDownload-Drosselung fr die ent-
sprechende Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie
die Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie
fertig sind. Hiermit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner
und Download-Drosselung hinzugefgt. Download-Drosselung ist nicht ver-
fgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnittstellen ausgewhlt
haben, da Download-Drosselung schnittstellenbasiert funktioniert.
l Web Protection: Hufigste Sites nach Tageszeit: berblick ber die amhu-
figsten besuchten Domnen imZeitverlauf.
46 UTM9 WebAdmin
l Web Protection: Hufigste Sites nach Datenverkehr: berblick ber die amhu-
figsten besuchten Domnen nach Datenverkehr.
l Protokollierung: Status der Protokollpartition von Sophos UTM, einschlielich Infor-
mationen zumfreien Festplattenspeicherplatz und zur Zuwachsrate.
l Newsfeed: Neuigkeiten ber Sophos und seine Produkte.
l Diagramm: Gleichzeitige Verbindungen: Tgliche Statistiken und Histogrammder
Gesamtzahl an gleichzeitigen Verbindungen.
l Diagramm: Protokollpartitionsstatus: Statistik und Histogrammder Pro-
tokollpartitionsauslastung fr vier Wochen.
l Diagramm: CPU-Auslastung: Tgliche Statistiken und Histogrammder aktuellen Pro-
zessorauslastung in Prozent.
l Diagramm: Speicher-/Swap-Belegung: Tgliche Statistiken und Histogrammder
Speicher- und Swap-Auslastung in Prozent.
l Diagramm: Partitionsbelegung: Tgliche Statistiken und Histogrammder Auslastung
ausgewhlter Speicherpartitionen in Prozent.
Automatische Gruppierung auf Dashboard aktivieren: Whlen Sie diese Option, um
Informationen imDashboard kompakt anzuzeigen. Diese Option betrifft nur die ausgewhlten
Web-Protection-Elemente in der linken Spalte und die ausgewhlten Diagramm-Elemente in
der rechten Spalte. Wenn diese Option ausgewhlt ist, werden die jeweiligen Infor-
mationselemente als berlappende Registerkarten imDashboard angezeigt. Ist sie nicht aus-
gewhlt, werden die Informationselemente nebeneinander angezeigt.
Klicken Sie auf Speichern, umIhre Einstellungen zu speichern.
3.2 Flow-Monitor
Der Flow-Monitor von Sophos UTMist eine Anwendung, die schnellen Zugriff auf Infor-
mationen zumaktuellen Datenverkehr bietet, der die Schnittstellen von UTMpassiert. Der
Zugriff erfolgt ganz einfach ber das Dashboard durch einen Klick auf eine der Schnittstellen
oben rechts. Wenn Sie auf Alle Schnittstellen klicken, zeigt der Flow-Monitor den gesamten
Datenverkehr auf allen aktiven Schnittstellen an. Wenn Sie auf eine einzelne Schnittstelle kli-
cken, zeigt der Flow-Monitor nur den Datenverkehr dieser Schnittstelle an.
UTM9 WebAdmin 47
3 Dashboard 3.2 Flow-Monitor
3.2 Flow-Monitor 3 Dashboard
Hinweis Der Flow-Monitor wird in einemneuen Browser-Fenster geffnet. Da das Fens-
ter mglicherweise von Popup-Blockern blockiert wird, ist es ratsam, Popup-Blocker fr den
WebAdmin zu deaktivieren.
Der Flow-Monitor bietet mit einemDiagrammund einer Tabelle zwei Ansichten, die in den
nchsten Abschnitten beschrieben werden. Die Anwendung wird alle fnf Sekunden aktua-
lisiert. Sie knnen auf die Schaltflche Pause klicken, umdie Aktualisierung zu unterbrechen.
Wenn Sie auf Weiter klicken, umdie Aktualisierung wieder aufzunehmen, aktualisiert der Flow-
Monitor die Daten, sodass der aktuelle Datenverkehr angezeigt wird.
Tabellarische Ansicht
Die Flow-Monitor-Tabelle bietet Informationen zumNetzwerkverkehr der letzten fnf Sekun-
den:
#: Der Datenverkehr wird nach der aktuellen Bandbreitennutzung angeordnet.
Anwendung: Protokoll oder Name des Netzwerkverkehrs, falls verfgbar. Nicht klassifizierter
Datenverkehr ist eine demSystemunbekannte Art des Datenverkehrs. Nach einemKlick auf
eine Anwendung wird ein Fenster geffnet, das Informationen ber den Server, den ver-
wendeten Port, die bentigte Bandbreite pro Serververbindung und den gesamten Daten-
verkehr anzeigt.
Clients: Anzahl der Clientverbindungen, die die Anwendung nutzen. Nach einemKlick auf
einen Client wird ein Fenster geffnet, das Informationen ber die IP-Adresse des Clients, die
bentigte Bandbreite pro Clientverbindung und den Gesamtverkehr anzeigt. Beachten Sie,
dass bei nicht klassifiziertem(unclassified) Verkehr die Anzahl der Clients in der Tabelle hher
sein kann als imzustzlichen Informationsfenster. Das liegt daran, dass die Bezeichnung
unclassifiedmehr als eine Anwendung einschliet. Daher ist es mglich, dass imInfor-
mationsfenster nur ein Client, in der Tabelle jedoch drei Clients aufgefhrt werden. Bei letz-
teren handelt es sich eigentlich umdie Verbindungen des einen Clients mit drei verschiedenen,
nicht klassifizierten Anwendungen.
Aktuelle Bandbreitennutzung: Die Bandbreitennutzung der letzten fnf Sekunden. Nach
einemKlick auf eine Bandbreite wird ein Fenster geffnet, das Informationen zur Download-
und Upload-Rate der Anwendungsverbindung anzeigt.
Gesamter Datenverkehr: Der gesamte Datenverkehr einer Verbindung, solange diese
besteht. Beispiel 1: Ein Download wurde vor einiger Zeit gestartet und ist noch nicht beendet:
48 UTM9 WebAdmin
Der gesamte Datenverkehr seit demBeginn des Downloads wird angezeigt. Beispiel 2: Meh-
rere Clients nutzen Facebook: Solange ein Client die Verbindung offen hlt, wird der gesamte
bisher von allen Clients verursachte Datenverkehr angezeigt.
Nach einemKlick auf den gesamten Datenverkehr wird ein Fenster geffnet, das Infor-
mationen zur Download- und Upload-Rate der Anwendungsverbindung anzeigt.
Aktionen: Je nach Typ der Anwendung knnen verschiedene Aktionen durchgefhrt werden
(auer fr nicht klassifizierten Verkehr).
l Blockieren: Klicken Sie auf die Schaltflche Block, umdie entsprechende Anwendung ab
sofort zu blockieren.Auf der Seite Application-Control-Regeln wird dann eine Regel
erstellt. Diese Option ist nicht fr Anwendungen verfgbar, die fr einen reibungslosen
Betrieb von Sophos UTMrelevant sind. So kann beispielsweise WebAdmin-Daten-
verkehr nicht blockiert werden, da dies dazu fhren knnte, dass Sie nicht mehr auf den
WebAdmin zugreifen knnen. Auch nicht klassifizierter Datenverkehr kann nicht blockiert
werden.
l Traffic Shaping: Klicken Sie auf die Schaltflche Shape, umTraffic Shaping fr die ent-
sprechende Anwendung zu aktivieren.Ein Dialogfenster wird geffnet, in demSie die
Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind.
Dies erstellt jeweils eine Regel auf den Seiten Verkehrskennzeichner und Bandbreiten-
Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnitt-
stellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.
l Download-Drosselung: Klicken Sie auf die Schaltflche Throttle, umDownload-Dros-
selung fr die entsprechende Anwendung zu aktivieren. Ein Dialogfenster wird geffnet,
in demSie die Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn
Sie fertig sind. Hiermit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner und
Download-Drosselung hinzugefgt. Download-Drosselung ist nicht verfgbar, wenn Sie
eine Flow-Monitor-Ansicht mit allen Schnittstellen ausgewhlt haben, da Download-
Drosselung schnittstellenbasiert funktioniert.
Diagrammansicht
Das Flow-Monitor-Diagrammzeigt den Netzwerkverkehr der letzten zehn Minuten an. Die hori-
zontale Achse zeigt die Zeit und die vertikale Achse den Umfang des Datenverkehrs, wobei die
Skala dynamisch an den Durchsatz angepasst wird.
In der Diagrammansicht unten wird eine Legende angezeigt, die Informationen zur Art des
Datenverkehrs auf einer Schnittstelle bietet. Jeder Art von Datenverkehr ist eine andere Farbe
UTM9 WebAdmin 49
3 Dashboard 3.2 Flow-Monitor
3.2 Flow-Monitor 3 Dashboard
zugewiesen, sodass eine Unterscheidung des imDiagrammangezeigten Datenverkehrs pro-
blemlos mglich ist.
Hinweis Der Flow-Monitor zeigt wesentlich genauere Informationen zumDatenverkehr
an, wenn Netzwerksichtbarkeit aktiviert ist (siehe Kapitel Web Protection >Application Control
>Netzwerksichtbarkeit).
Wenn Sie mit demMauszeiger ber das Diagrammfahren, wird ein Punkt angezeigt, der Ihnen
detaillierte Informationen zu diesemTeil des Diagramms liefert. Der Punkt haftet an der Linie
des Diagramms. Er folgt den Bewegungen des Mauszeigers. Wenn ein Diagrammmehrere
Linien hat, wechselt der Punkt zwischen ihnen, je nachdem, wohin Sie den Mauszeiger bewe-
gen. Darber hinaus ndert der Punkt seine Farbe in Abhngigkeit davon, auf welche Linie sich
seine Informationen beziehen. Das ist besonders ntzlich, wenn Linien eng nebeneinander lie-
gen. Der Punkt bietet Informationen zu Art und Gre des Datenverkehrs zumjeweiligen Zeit-
punkt.
50 UTM9 WebAdmin
4 Verwaltung
In diesemKapitel wird beschrieben, wie grundlegende Systemeinstellungen sowie Ein-
stellungen fr die Web-basierte, administrative Benutzeroberflche von Sophos UTM, WebAd-
min, vorgenommen werden. Die Seite Verwaltungsbersicht zeigt eine Statistik der letzten
Anmeldungen amWebAdmin inklusive der gegebenenfalls durchgefhrten nderungen. Kli-
cken Sie auf die Schaltflche Anzeigen in der Spalte nderungsprotokoll, umdie nderungen
imDetail zu sehen.
In der Spalte Status ist aufgelistet, wann frhere WebAdmin-Sitzungen beendet wurden.
Hinweis Sie knnen WebAdmin-Sitzungen beenden, indemSie auf das Men Abmelden kli-
cken. Wenn Sie den Browser schlieen, ohne auf das Men Abmelden zu klicken, luft die Sit-
zung nach der Zeitspanne aus, die auf der Registerkarte Verwaltung >WebAdmin-Ein-
stellungen >Erweitert festgelegt ist.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Systemeinstellungen
l WebAdmin-Einstellungen
l Lizenzen
l Up2Date
l Backup/Wiederherstellen
l Benutzerportal
l Benachrichtigungen
l Anpassungen
l SNMP
l Zentrale Verwaltung
l Hochverfgbarkeit
l Ausschalten/Neustart
4.1 Systemeinstellungen 4 Verwaltung
4.1 Systemeinstellungen
Mit Hilfe des Mens Systemeinstellungen knnen Sie die grundlegenden Einstellungen Ihrer
UTMkonfigurieren. Sie knnen Hostname, Datumund Uhrzeiteinstellungen ebenso wie Scan-
einstellungen fr Antivirus oder Advanved Threat Protection-Optionen einstellen. Kon-
figurationen oder Zurcksetzen von Passwrtern und Shell-Zugriff-Konfigurationen knnen
ebenfalls vorgenommen werden.
4.1.1 Organisatorisches
Geben Sie folgende organisatiorischen Informationen an(falls noch nicht imInstal-
lationsassistenten geschehen):
l Organisationsname: Name Ihres Unternehmens
l Stadt: Stadt, in der sich Ihr Unternehmen befindet
l Land: Land, in demsich Ihr Unternehmen befindet
l E-Mail-Adresse des Administrators: E-Mail-Adresse der Person oder Gruppe, der/-
die in Ihrer Firma verantwortlich fr technische Belange ist Sophos UTM
Diese Informationen werden auch in Zertifikaten fr IPsec, Email Encryption und den WebAd-
min verwendet.
4.1.2 Hostname
Geben Sie den Hostnamen Ihrer UTMals Fully Qualified Domain Name (FQDN) an. Der Fully
Qualified Domain Name ist ein eindeutiger Domnenname, der in einer DNS-Baumstruktur die
absolute Position des Knotens spezifiziert, z.B. utm.beispiel.de. Ein Hostname darf aus
alphanumerischen Zeichen, Punkten und Bindestrichen bestehen. AmEnde des Hostnamens
muss ein spezieller Bezeichner wie z. B. com, orgoder destehen. Der Hostname wird u. a. in
Benachrichtigungs-E-Mails verwendet, umdie UTMzu identifizieren. Der Hostname erscheint
auch in Statusmeldungen des Webfilters. Beachten Sie, dass der Hostname nicht in der DNS-
Zone fr Ihre Domne registriert werden muss.
52 UTM9 WebAdmin
4.1.3 Zeit und Datum
Auf Ihrer UTMsollten Datumund Uhrzeit immer richtig eingestellt sein. Dies ist eine Voraus-
setzung dafr, dass die Informationen in den Protokoll- und Berichtssystemen korrekt sind und
dass die Zusammenarbeit mit anderen Computern imInternet problemlos abluft.
blicherweise brauchen Sie Zeit und Datumnicht manuell einzustellen. Denn standardmig
ist die automatische Synchronisierung mit ffentlichen Internetzeitservern aktiviert (siehe
Abschnitt Synchronisierung der Systemzeit mit NTPunten).
In demunwahrscheinlichen Fall, dass Sie die Synchronisierung mit Zeitservern deaktivieren
mssen, knnen Sie Zeit und Datummanuell ndern. Wenn Sie das tun, beachten Sie aber die
folgenden wichtigen Hinweise:
l ndern Sie niemals die Zeit von Winterzeit auf Sommerzeit oder andersherum. Diese
nderung wird immer automatisch durch die eingestellte Zeitzone durchgefhrt, auch
wenn die automatische Synchronisierung mit Zeitservern deaktiviert ist.
l ndern Sie nie Datumoder Zeit, whrend die Synchronisierung mit Zeitservern noch akti-
viert ist, da die automatische Synchronisierung Ihre nderungen immer sofort wieder
rckgngig machen wird. Falls Sie Datumoder Zeit manuell einstellen mssen, denken
Sie daran, zuerst alle Server aus demFeld NTP-Server imAbschnitt Synchronisierung
der Systemzeit mit NTPzu entfernen und dann auf bernehmen zu klicken.
l NachdemSie die Zeit manuell gendert haben, warten Sie, bis Sie eine grne Best-
tigungsmeldung sehen, die besagt, dass die nderung erfolgreich war. Starten Sie
danach das Systemneu (Verwaltung >Ausschalten/Neustart). Das ist sehr emp-
fehlenswert, da viele Dienste darauf vertrauen, dass sich die Zeit fortlaufend und nicht
pltzlich ndert. Zeitsprnge knnen daher zu Fehlfunktionen bei einigen Diensten fh-
ren. Dieser Hinweis gilt fr alle Arten von Computersystemen.
l In seltenen Fllen kann eine nderung der Systemzeit sogar Ihre WebAdmin-Sitzung
beenden. Falls das passiert, melden Sie sich erneut an, berprfen Sie, ob die Zeit nun
richtig eingestellt ist und starten Sie das Systemdanach neu.
Falls Sie mehrere miteinander verbundene UTMs betreiben, die ber verschiedene Zeitzonen
reichen, whlen Sie eine gemeinsame Zeitzone, z. B. UTC(koordinierte Weltzeit). Damit las-
sen sich Protokolleintrge sehr viel einfacher vergleichen.
Wenn Sie die Systemzeit manuell ndern, beachten Sie, dass Ihnen einige Nebeneffekte
begegnen werden, auch wenn Sie das Systemordentlich neu gestartet haben.
UTM9 WebAdmin 53
4 Verwaltung 4.1 Systemeinstellungen
4.1 Systemeinstellungen 4 Verwaltung
l Uhrzeit vorstellen
l In zeitbasierten Berichten fehlen Daten fr die entsprechende Zeitspanne. Die
meisten Diagramme stellen diesen Zeitraumals gerade Linie in Hhe des alten
Wertes dar.
l Fr den Netzwerkverkehr (engl. Accounting) betragen alle Werte in dieser Zeit-
spanne 0.
l Uhrzeit zurckstellen
l In den zeitbasierten Berichten gibt es fr den entsprechenden Zeitraumbereits
Protokolldaten (die aus Sicht des Systems aber aus der Zukunft stammen).
l Die meisten Diagramme stellen die Werte dieser Zeitspanne komprimiert dar.
l Die imDashboard angezeigte verstrichene Zeit seit der letzten Pattern-Prfung
zeigt den Wert nie, obwohl die letzte Prfung erst wenige Minuten zurckliegt.
l Automatisch auf der UTMerzeugte Zertifikate knnen ungltig werden, da der
Beginn ihrer Gltigkeit aus Sicht des Systems in der Zukunft liegt.
l Berichtsdaten ber den Netzwerkverkehr behalten die bereits erfassten Daten,
obwohl sie in der Zukunft liegen. Sobald der Zeitpunkt der Zurcksetzung erreicht
ist, werden die Netzwerkverkehr-Dateien weitergeschrieben.
Aufgrund dieser Nachteile sollten Sie die Systemzeit bei der Erstkonfiguration einmalig setzen
und spter nur geringfgig anpassen. Dies gilt insbesondere dann, wenn die gesammelten
Netzwerkverkehrs- und Berichtsdaten weiterverarbeitet werden und die Genauigkeit der
Daten wichtig ist.
Datum und Uhrzei t ei nstellen
Zur manuellen Konfiguration der Systemzeit whlen Sie Datumund Zeit aus den ent-
sprechenden Auswahllisten aus.Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
Zei tzone ei nstellen
Umdie Zeitzone des Systems zu ndern, whlen Sie ein Gebiet oder eine Zeitzone aus der Aus-
wahlliste aus.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Das ndern der Zeitzone ndert nicht die Systemzeit, sondern nur wie die Zeit ausgegeben
wird, beispielsweise in Protokoll- und Berichtsdaten. Auch wenn dadurch keine Dienste unter-
brochen werden, empfehlen wir dringend anschlieend neu zu starten, umsicherzugehen
dass alle Dienste die neue Zeiteinstellung verwenden.
54 UTM9 WebAdmin
Synchroni si erung der Systemzei t mi t NTP
Zur Synchronisierung der Systemzeit mithilfe eines Zeitservers whlen Sie einen oder mehrere
NTP-Server aus. Klicken Sie auf bernehmen, nachdemSie die Konfiguration abgeschlossen
haben.
NTP Server: Der NTPServer Pool ist voreingestellt. Diese Netzwerkdefinition bezieht sich auf
den groen virtuellen Zusammenschluss von ffentlichen Zeitservern des pool.ntp.org-Pro-
jekts. Falls Ihr Internetanbieter selbst NTP-Serverfr Kunden betreibt und Sie Zugang zu die-
sen Servern haben, ist es empfehlenswert, den NTPServer Pool zu entfernen und stattdessen
die Server Ihres Anbieters zu verwenden. Wenn Sie Ihre eigenen oder die Server Ihres Anbie-
ters verwenden, erhht die Verwendung von mehr als einemServer die Przision und Zuver-
lssigkeit. Die Verwendung von drei unabhngigen Servern ist eigentlich immer ausreichend.
Die Verwendung von mehr als drei Servern bringt meistens keine weitere Verbesserung,
erhht hingegen die Serverlast. Es ist nicht empfehlenswert, sowohl den NTPServer Pool als
auch Ihre eigenen Server oder die Server Ihres Anbieters zu verwenden, da dies imNormalfall
weder die Przision noch die Zuverlssigkeit erhht.
Tipp Wenn Sie mchten, dass sich Client-Computer mit diesen NTP-Servernverbinden
knnen, fgen Sie sie auf der Seite Netzwerkdienste >NTPzu den zugelassenen Netz-
werken hinzu.
Konfigurierte Server testen: Klicken Sie auf diese Schaltflche, umzu testen, ob mit den
gewhlten NTP-Servern eine Verbindung von IhremGert aus aufgebaut werden kann und ob
verwendbare Zeitdaten vomServer empfangen werden. Dabei wird die Zeitverschiebung zwi-
schen IhremSystemund den Servern ermittelt. Verschiebungen sollten normalerweise weit
unter einer Sekunde liegen, wenn Ihr Systemkorrekt konfiguriert ist und seit geraumer Zeit sta-
bil funktioniert.
Direkt nachdemSie NTPaktiviert oder andere Server hinzugefgt haben, ist es normal, wenn
grere Verschiebungen auftreten. Umgroe Zeitsprnge zu vermeiden, verndert NTPdie
Systemzeit langsamStck fr Stck, sodass die Zeit ohne Sprnge korrigiert wird. Haben Sie in
diesemFall bitte Geduld. Starten Sie insbesondere in diesemFall das Systemnicht neu. Schau-
en Sie lieber in einer Stunde noch einmal nach. Wenn sich die Verschiebung verringert, luft
alles so ab, wie es soll.
UTM9 WebAdmin 55
4 Verwaltung 4.1 Systemeinstellungen
4.1 Systemeinstellungen 4 Verwaltung
4.1.4 Shell-Zugriff
Secure Shell (SSH) ist ein Netzwerkprotokoll, mit dessen Hilfe man sich ber eine ver-
schlsselte Netzwerkverbindung auf der UTManmelden kann. Es wird typischerweise fr War-
tungsarbeiten und zur Fehlersuche verwendet. Fr den Zugriff bentigen Sie einen SSH-Cli-
ent, der in den meisten Linux-Distributionen enthalten ist.
Zugelassene Netzwerke
Verwenden Sie das Feld Zugelassene Netzwerke, umden SSH-Zugang auf bestimmte Netz-
werke zu beschrnken. Hier aufgefhrte Netzwerke knnen sich amSSH-Dienst anmelden.
Authenti fi zi erung
In diesemAbschnitt knnen Sie eine Authentifizierungsmethode fr den SSH-Zugriff und die
entsprechende Sicherheitsstufe festlegen. Die folgenden Authentifizierungsmethoden sind ver-
fgbar:
l Kennwort (Standard)
l ffentlicher Schlssel
l Kennwort und ffentlicher Schlssel
Aktivieren Sie die Optionen mit Hilfe der entsprechenden Auswahlkstchen. Umdie Funktion
Authentifizierung mit ffentlichemSchlssel zulassen zu verwenden, mssen Sie fr jeden
Benutzer, der sich ber seinen ffentlichen Schlssel authentifizieren darf, den ent-
sprechenden ffentlichen Schlssel in das Feld Autorisierte Schlssel fr loginuser hochladen.
Allow Root Login: Sie knnen SSH-Zugriff fr den Root-Benutzer zulassen. Diese Option ist
standardmig ausgeschaltet, da sie zu einemerhhten Sicherheitsrisiko fhrt. Wenn diese
Option aktiviert ist, kann sich der Root-Benutzer ber seinen ffentlichen Schlssel anmelden.
Laden Sie den/die ffentlichen Schlssel fr den Root-Benutzer in das Feld Autorisierte Schls-
sel fr Root hoch.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Shell-Benutzerkennwrter
Geben Sie Kennwrter fr die Standard-Zugangsberechtigten rootund loginuserein. Um
das Kennwort fr nur eines dieser beiden Konten zu ndern, lassen Sie die beiden Ein-
gabefelder fr das andere Konto einfach frei.
56 UTM9 WebAdmin
Hinweis UmSSH-Shell-Zugriff zu ermglichen, mssen zuerst die Kennwrter gesetzt
sein. Darber hinaus knnen Sie nur Kennwrter vergeben, die den Sicherheitseinstellungen
entsprechen, die Sie auf der Registerkarte Definitions &Users >Authentication Services >
Erweitert konfiguriert haben. Mit anderen Worten, wenn Sie die Verwendung von komplexen
Kennwrtern ausgewhlt haben, knnen Sie hier nur Kennwrter eingeben, die diesen
Sicherheitsanforderungen entsprechen.
Lausch-Port fr SSH-Daemon
Mit dieser Option knnen Sie den TCP-Port fr das SSH-Protokoll ndern. Der Standard-SSH-
Port 22ist voreingestellt. Umden Port zu ndern, geben Sie einen geeigneten Wert zwischen
1024und 65535in das Feld Portnummer ein und klicken Sie auf bernehmen.
4.1.5 Scan-Einstellungen
Ei nstellungen fr Anti vi ren-Mechani smus
Whlen Sie den Antiviren-Mechanismus, der in allen Einzelscan-Konfigurationen des WebAd-
min verwendet werden soll. In Zweifachscan-Konfigurationen werden beide Antiviren-Mecha-
nismen verwendet. Beachten Sie, dass Zweifachscan mit einemBasicGuard-Abonnement
nicht verfgbar ist. Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Opti onen von Advanced Threat Protecti on
Whlen Sie die Option Verdchtige Inhalte zur Analyse an SophosLabs senden, umden Schutz
zu verbessern. SophosLabs umfasst eine Cloud-basierte Sandbox, in der das Verhalten von
potenzieller Schadsoftware automatisch berwacht und analysiert werden kann. Das trgt zu
einemnoch besseren Schutz Ihrer UTMdurch eine schnellere Bereitstellung von Updates bei.
Durch eine Deaktivierung dieser Funktion kann sich die Durchfhrung von Abwehr-
manahmen etwas verzgern.
Die bermittlung erfolgt ber einen sicheren Kanal und die Handhabung gem der
SophosLabs-Richtlinie zur Informationssicherheit.
4.1.6 Zurcksetzung
Mit den Optionen auf der Registerkarte Zurcksetzung knnen Sie die Kennwrter der Shell-
Benutzer lschen. Darber hinaus knnen Sie die Werkszurcksetzung ausfhren und die Sys-
tem-IDder UTMzurcksetzen.
UTM9 WebAdmin 57
4 Verwaltung 4.1 Systemeinstellungen
4.1 Systemeinstellungen 4 Verwaltung
Systemkennwrter zurcksetzen
Das Ausfhren der Funktion Systemkennwrter jetzt zurcksetzen setzt die Kennwrter der fol-
genden Benutzer zurck:
l root (Shell-Benutzer)
l loginuser (Shell-Benutzer)
l admin (vordefiniertes Benutzerkonto des Administrators)
Umdas Gert nach demZurcksetzen der Kennwrter herunterzufahren, whlen Sie die Opti-
on Shutdown systemafterwards.
Sicherheitshinweis Der nchsten Person, die sich mit demWebAdmin verbindet, wird
das Dialogfenster Admin-Kennworteinrichtung angezeigt. Deshalb sollten Sie sich nach einer
Kennwortzurcksetzung sofort abmelden, die Webseite neu laden und ein neues Admi-
nistratorkennwort setzen.
Auerdemist der Shell-Zugriff erst wieder mglich, wenn Sie neue Shell-Kennwrter auf der
Registerkarte Verwaltung >Systemeinstellungen >Shell-Zugriff angeben.
Werkszurcksetzung
Die Funktion Werkszurcksetzung jetzt ausfhren setzt das Systemin den Aus-
lieferungszustand zurck. Die folgenden Daten werden dabei gelscht: Die folgenden Daten
werden dabei gelscht:
l Systemkonfiguration
l Webfilter-Cache
l Protokoll- und Berichtsdaten
l Datenbanken
l Up2Date-Pakete
l Lizenzen
l Kennwrter
l Hochverfgbarkeitsstatus
Die Versionsnummer der Sophos UTM-Software bleibt hingegen unverndert alle instal-
lierten Firmware- und Pattern-Aktualisierungen werden beibehalten.
58 UTM9 WebAdmin
Hinweis Sophos UTMwird ausgeschaltet, nachdemSie eine Werkszurcksetzung ver-
anlasst haben.
UTM-ID-Zurcksetzung
Mit der Funktion UTM-IDjetzt zurcksetzen setzen Sie die System-IDder UTMauf einen neu-
en, zuflligen Wert zurck. Dies ist beispielsweise dann relevant, wenn Sie Endpoint-Protection
aktivieren. Jede UTMmit aktivierter Endpoint-Protection identifiziert sich selbst in Sophos
LiveConnect mit ihrer eindeutigen System-ID. Wenn Sie beispielsweise eine virtuelle UTM, die
Endpoint-Protection verwendet, klonen und mchten, dass der Klon diese Funktion ebenfalls
verwendet, mssen Sie die UTM-System-IDdes geklonten Systems zurcksetzen, damit Sie
es anschlieend anhand der neuen System-IDidentifizieren knnen. Bei Zurcksetzen wird
Endpoint-Protection ausgeschaltet, falls die Funktion eingeschaltet war.
Hinweis Endpoints sind an die UTMmithilfe der UTM-System-IDangebunden. Wenn Sie
die UTM-System-IDzurcksetzen und keine andere UTMauf der alten UTM-IDlauscht, ms-
sen Sie die Endpoints neu installieren.
Hinweis Wenn eine UTMmit SophosUTMManager verbunden wird und Sie die UTM-Sys-
tem-IDzurcksetzen, wird die UTMals neues Gert verbunden. Bei Bedarf knnen Sie die
beiden Gerte zusammenfhren.
4.2 WebAdmin-Einstellungen
ImMen Verwaltung >WebAdmin-Einstellungen werden die grundlegenden Einstellungen fr
WebAdmin vorgenommen, wie zumBeispiel die Zugriffskontrolle, der TCP-Port, Benut-
zereinstellungen und die WebAdmin-Sprache.
4.2.1 Allgemein
Auf der Registerkarte WebAdmin-Einstellungen >Allgemein wird die Konfiguration der WebAd-
min-Sprache und der grundlegenden Zugriffseinstellungen vorgenommen.
UTM9 WebAdmin 59
4 Verwaltung 4.2 WebAdmin-Einstellungen
4.2 WebAdmin-Einstellungen 4 Verwaltung
WebAdmi n-Sprache
Whlen Sie die Sprache des WebAdmin. Die ausgewhlte Sprache wird auch fr einige Aus-
gaben des WebAdmin verwendet, z.B. E-Mail-Benachrichtigungen oder den Gesamtbericht.
Beachten Sie, dass diese Einstellung global ist und alle Benutzer betrifft.Klicken Sie auf ber-
nehmen, umIhre Einstellungen zu speichern.
Nach demndern der Sprache sollten Sie den Browser-Cache leeren, umsicherzustellen,
dass alle Texte in der korrekten Sprache angezeigt werden.
WebAdmi n-Zugri ffskonfi gurati on
Hier knnen Sie konfigurieren, welche Benutzer und/oder Netzwerke Zugriff auf den WebAd-
min haben sollen.
Zugelassene Administratoren:Sophos UTMkann von mehreren Administratoren gleich-
zeitig verwaltet werden. ImFeld Zugelassene Administratoren knnen Sie angeben, welche
Benutzer oder Benutzergruppen unbeschrnkten Lese- und Schreibzugriff auf den WebAdmin
haben drfen. Standardmig ist dies die Gruppe der SuperAdmins. Das Hinzufgen eines
Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.
Zugelassene Netzwerke: ImFeld Zugelassene Netzwerke knnen Sie festlegen, aus wel-
chen Netzwerken Zugriff auf den WebAdmin mglich sein soll. Fr eine reibungslose Instal-
lation der UTMist standardmig Anyeingestellt. Das bedeutet, dass von berall her auf den
WebAdmin zugegriffen werden darf. ndern Sie diese Einstellung so schnell wie mglich auf
Ihre internen Netze. Die sicherste Lsung ist jedoch, den Zugriff auf die UTMber HTTPSauf
nur einen Administrator-PCzu beschrnken. Das Hinzufgen einer Definition wird auf der Sei-
te Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Zugriffsverkehr protokollieren: Wenn Sie alle Aktivitten des WebAdmin-Zugriffs in der
Firewall-Protokolldatei aufgefhrt haben mchten, whlen Sie die Option Zugriffsverkehr pro-
tokollieren.
4.2.2 Zugriffskontrolle
Auf der Registerkarte WebAdmin-Einstellungen >Zugriffskontrolle knnen Sie WebAdmin-Rol-
len fr bestimmte Benutzer anlegen. Das ermglicht eine sehr detaillierte Definition der Berech-
tigungen, die ein Benutzer imWebAdmin haben kann.
Es sind zwei Benutzerrollen vordefiniert:
60 UTM9 WebAdmin
Auditor: Benutzer mit dieser Rolle knnen Protokoll- und Berichtsdaten einsehen.
Readonly: Benutzer mit dieser Rolle knnen alles imWebAdmin anzeigen, aber nichts bear-
beiten, anlegen oder lschen.
UmBenutzern oder Gruppen eine dieser Rollen zuzuweisen, klicken Sie auf die Schaltflche
Bearbeiten und fgen Sie die entsprechenden Benutzer oder Gruppen zumFeld Mitglieder hin-
zu.
Entsprechend Ihrer Sicherheitsrichtlinien knnen Sie weitere Rollen anlegen. Gehen Sie fol-
gendermaen vor:
1. Klicken Sie auf der Registerkarte Zugriffskontrolle auf Neue Rolle.
Das Dialogfeld Rolle anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Definition ein.
Mitglieder: Fgen Sie Benutzer und Gruppen, die diese Rolle besitzen sollen, zu die-
semFeld hinzu oder whlen Sie sie aus. Das Hinzufgen eines Benutzers wird auf der
Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
Nur Leserechte gewhren (optional): Whlen Sie diese Option, umden Mitgliedern fr
alle Bereiche des WebAdmin Leserechte zu geben.
Rechte: Dieses Feld enthlt die verschiedenen Berechtigungsstufen fr die ver-
schiedenen Funktionen von WebAdmin: Auditor und Manager. Ein Manager hat alle
Administrationsrechte fr die jeweiligen Funktionen, wohingegen ein Auditor nur Lese-
rechte hat. Sie knnen eine oder mehrere Berechtigungen auswhlen, indemSie das
entsprechende Auswahlkstchen vor einer Berechtigung markieren.
Beispiel: Sie knnen demBenutzer Hans Mustermann Manager-Rechte fr Email Pro-
tection gewhren und zustzlich das Auswahlkstchen Nur Leserechte gewhren mar-
kieren. Er wre dann in der Lage, nderungen imBereich Email Protection durch-
zufhren, und knnte alle anderen Bereiche von WebAdmin einsehen, ohne dort etwas
ndern zu knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
UTM9 WebAdmin 61
4 Verwaltung 4.2 WebAdmin-Einstellungen
4.2 WebAdmin-Einstellungen 4 Verwaltung
Umeine Rolle zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen. Beachten Sie, dass die Auditor- und die Readonly-Rollen nicht gelscht werden kn-
nen.
4.2.3 HTTPS-Zertifikat
Auf der Registerkarte Verwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat knnen Sie
das WebAdmin-CA-Zertifikat in Ihren Browser importieren, neu generieren oder ein signiertes
Zertifikat fr WebAdmin und das Benutzerportal auswhlen.
Whrend der Erstkonfiguration des WebAdmin-Zugriffs wurde automatisch ein lokales CA-Zer-
tifikat auf UTMerzeugt. Der ffentliche Schlssel dieses CA-Zertifikats kann in IhremBrowser
installiert werden, umden Sicherheitshinweis whrend der Anmeldung amWebAdmin zu ver-
meiden.
Umdas CA-Zertifikat zu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte HTTPS-Zertifikat auf CA-Zertifikat impor-
tieren.
Der ffentliche Schlssel des CA-Zertifikats wird exportiert.
Sie knnen das Zertifikat entweder auf der Festplatte abspeichern oder es in Ihrem
Browser installieren.
2. Installieren Sie das Zertifikat (optional).
Der Browser ffnet ein Dialogfenster, ber das Sie das Zertifikat sofort installieren kn-
nen.
Hinweis Beachten Sie, dass das Zertifikat aufgrund von unterschiedlichen Systemzeiten
und Zeitzonen mglicherweise nicht sofort nach der Erzeugung gltig ist. Viele Browser
geben in diesemFall die Meldung aus, dass das Zertifikat abgelaufen sei. Diese Meldung ist
nicht richtig. Aber das Zertifikat wird nach sptestens 24 Stunden gltig und bleibt dies fr
einen Zeitraumvon 27 Jahren.
WebAdmi n-Zerti fi kat neu erstellen
Das WebAdmin-Zertifikat bezieht sich auf den Hostnamen, den Sie whrend der ersten Anmel-
dung angegeben haben. Wenn sich der Hostname in der Zwischenzeit gendert hat, wird im
Browser eine entsprechende Sicherheitswarnung angezeigt. Umdies zu vermeiden, knnen
Sie ein neues Server-Zertifikat erzeugen, das den neuen Hostnamen bercksichtigt. Geben
Sie zu diesemZweck den gewnschten Hostnamen an und klicken Sie auf bernehmen. Um
62 UTM9 WebAdmin
imWebAdmin weiterarbeiten zu knnen, mssen Sie wahrscheinlich aufgrund der nderung
des Zertifikats die Seite ber Ihren Browser neu laden, das neue Zertifikat akzeptieren und
sich amWebAdmin neu anmelden.
WebAdmi n-/ Benutzerportal-Zerti fi kat auswhlen
Wenn Sie das CA-Zertifikat nicht importieren wollen, sondern stattdessen Ihr eigenes signier-
tes Zertifikat fr den WebAdmin und das Benutzerportal verwenden wollen, knnen Sie es hier
auswhlen. Wenn das Zertifikat jedoch in die Auswahlliste aufgenommen werden soll, mssen
Sie es erst ber die Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate imFormat
PKCS#12 hochladen, welches das Zertifikat, seine CAund seinen privaten Schlssel enthlt.
Umdas hochgeladene Zertifikat zu verwenden, whlen Sie es in der Auswahlliste Zertifikate
aus und klicken auf bernehmen.
4.2.4 Benutzereinstellungen
Auf der Registerkarte Verwaltung >WebAdmin-Einstellungen >Benutzereinstellungen knnen
Sie einige Benutzereinstellungen fr den jeweils angemeldeten Benutzer vornehmen, wie zum
Beispiel globale Tastaturkrzel und die Anzahl von Elementen pro Seite bei lngeren Tabellen
oder Listen.
Konfi gurati on der WebAdmi n-Tastaturkrzel
Hier knnen Sie Tastaturkrzel festlegen, umObjektleisten, die fr viele Konfigurationen ver-
wendet werden, zu ffnen und zu schlieen (weitere Informationen zu den Objektleisten finden
Sie unter WebAdmin >Objektleisten) oder umden Fokus des Mauszeigers in das Suchfeld zu
setzen (siehe auch WebAdmin >WebAdmin-Men). Verwenden Sie die Auswahlliste, umeine
andere Umschalttaste auszuwhlen, und das Textfeld, umein anderes Zeichen einzugeben.
Sie knnen Tastaturkrzel auch ausschalten, indemSie Aus aus der Auswahlliste whlen.
Wenn Sie die ursprnglichen Tastaturkrzel wiederherstellen wollen, klicken Sie auf die Schalt-
flche Auf Standard zurcksetzen. Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
Opti onen fr Tabellen-Sei tenumbruch
Hier knnen Sie global den Tabellenseiten-Umbruch festlegen, d.h. wie viele Elemente pro Sei-
te angezeigt werden. Klicken Sie auf die Auswahlliste und whlen Sie einen Wert. Klicken Sie
auf bernehmen, umIhre Einstellungen zu speichern.
UTM9 WebAdmin 63
4 Verwaltung 4.2 WebAdmin-Einstellungen
4.2 WebAdmin-Einstellungen 4 Verwaltung
WebAdmi n-Browserti tel anpassen
Hier knnen Sie den Titel des WebAdmin-Registers/-Fensters in IhremBrowser ndern. Sie
knnen Klartext eingeben oder die folgenden Variablen verwenden:
l %h: Hostname
l %u: Benutzername
l %i: Remote-IP-Adresse
Die Standardeinstellung lautet WebAdmin - User %u - Device %h, was beispielsweise dem
konkreten Titel WebAdmin - User admin - Device mein_gateway.beispiel.de entspricht. Klicken
Sie auf bernehmen, umIhre Einstellungen zu speichern.
4.2.5 Erweitert
WebAdmi n-Abmeldung bei Zei tberschrei tung
Abmelden nach: In diesemTextfeld knnen Sie die Zeitspanne (in Sekunden) angeben, wie
lange eine WebAdmin-Sitzung inaktiv sein darf, bevor sich der Administrator neu anmelden
muss. Standardmig sind 1.800 Sekunden voreingestellt. Sie knnen Werte von 60 bis
86.400 Sekunden eingeben.
Abmeldung imDashboard: Beachten Sie, dass die automatische Abmeldung deaktiviert ist,
wenn die Dashboard-Seite in WebAdmin geffnet ist. IndemSie diese Option auswhlen, kn-
nen Sie die automatische Abmeldung fr das Dashboard deaktivieren.
WebAdmi n-TCP-Port
Standardmig erreicht man den WebAdmin ber TCP-Port 4444. ImTextfeld TCP-Port kn-
nen Sie entweder 443oder einen Wert zwischen 1024und 65535eintragen. Allerdings sind
einige Ports bereits von anderen Diensten belegt. Insbesondere knnen Sie niemals den Port
10443, den Port des Benutzerportals oder den Port fr den SSL-Fernzugriff verwenden.
Beachten Sie, dass Sie die Portnummer in der IP-Adresse angeben mssen (durch einen Dop-
pelpunkt abgetrennt), wenn Sie auf WebAdmin zugreifen mchten, z.B.
https://192.168.0.1:4444
Nutzungsbedi ngungen
Ihre Unternehmensrichtlinien sehen es ggf. vor, dass Benutzer die Nutzungsbedingungen
akzeptieren mssen, bevor sie auf den WebAdmin zugreifen knnen. Aktivieren Sie das Aus-
wahlkstchen Nutzungsbedingungen nach der Anmeldung anzeigen, umzu erzwingen, dass
64 UTM9 WebAdmin
die Benutzer die Nutzungsbedingungen bei jedemZugriff auf WebAdmin akzeptieren. Die Nut-
zungsbedingungen werden den Benutzern unmittelbar nach der Anmeldung angezeigt. Wenn
sie sie nicht akzeptieren, werden sie wieder abgemeldet.
Sie knnen den Text der Nutzungsbedingungen nach Ihren Bedrfnissen anpassen.Klicken
Sie auf bernehmen, umIhre Einstellungen zu speichern.
Sophos Adapti ve Learni ng
Sie knnen zur Verbesserung von Sophos UTMbeitragen, indemSie der bertragung Ihrer
aktuellen Konfigurationsdaten in anonymer Formsowie von Informationen ber gefundene
Viren oder anonyme Anwendungsprofile an Sophos zustimmen. Informationen dieser Art kn-
nen nicht zu Ihnen zurckverfolgt werden. Keine benutzerspezifischen Informationen werden
erfasst, also keine Benutzer- oder Objektnamen, keine Kommentare oder andere persnliche
Informationen. Es werden jedoch URLs bermittelt, fr die ein Virus gefunden wurde, falls das
Antiviren-Scanning des Webfilters aktiv ist.
Die Informationen werden verschlsselt und mittels SSL an SophosLabs bertragen. Die emp-
fangenen Daten werden zusammengefasst gespeichert und den Softwareentwicklern von
Sophos zur Verfgung gestellt, sodass sie bei der Entwicklung fundierte Entscheidungen tref-
fen und zuknftige Versionen von Sophos UTMverbessern knnen.
Anonyme Telemetriedaten senden: Bei Aktivierung erfasst UTMfolgende Daten:
l Konfigurations- und Nutzungsdaten:Das Systemsendet einmal pro Woche die fol-
genden Daten an die Server von Sophos.
l Hardware- und Lizenzdaten (nicht den Eigentmer), z.B.:
processor Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz
memory 512MiB System Memory
eth0 network 82545EM Gigabit Ethernet Controller
id:UTM
version: 9.000000
type: virtual
license: standard
mode: standalone
active_ips: 2
system_id: 58174596-276f-39b8-854b-ffa1886e3c6c
UTM9 WebAdmin 65
4 Verwaltung 4.2 WebAdmin-Einstellungen
4.2 WebAdmin-Einstellungen 4 Verwaltung
Die System-IDidentifiziert UTMnur insofern, dass Systemdaten nicht ver-
sehentlich doppelt erfasst werden, z.B. nach einer Neuinstallation.
l Verwendete Funktionen (nur ob aktiviert oder deaktiviert), z.B.:
main->backup->status: 1
main->ha->status: off
l Anzahl der konfigurierten Objekte, z.B.:
objects->interface->ethernet: 2
objects->http->profile: 5
l CPU-, Speicher- und SWAP-Nutzungswerte in Prozent ber die letzten sieben
Tage
l Virendaten:Das Systemschreibt die folgenden Daten in eine Datei, die automatisch alle
15 Minuten auf die Sophos-Server hochgeladen wird.
l Informationen ber Viren, die von Web Protection gefunden wurden, z.B. Name
der Bedrohung,MIME-Typ, URLder Anfrage oder Dateigre.
l Intrusion-Prevention-Daten: Das IPS-Protokoll wird einmal pro Minute auf neue War-
nungen (Alerts) berprft. Sobald eine neue Warnung gefunden wird, werden sofort die
folgenden Daten an Sophos gesendet:
l Informationen ber die Warnung, beispielsweise die Snort-Regel-IDund der Zeit-
stempel.
l Hardware- und Lizenzdaten (nicht den Eigentmer), z. B. Anzahl Prozessoren
und Prozessorlast, Speicherkapazitt und Speichernutzung, SWAP-Zuweisung
und SWAP-Nutzung, System-ID, Engine- und Patternversion.
Die Daten werden alle 24 Stunden gesendet.
l Daten von Advanced Threat Protection: Das Systemgeneriert und sendet die Daten von
Advanced Threat Protection alle 30 Minuten.
l Erfasste Daten: System-ID, Zeitstempel, Sophos Bedrohungsname, Quell-IP, Ziel-
host, Erkennungskomponente, Anzahl der Bedrohungen, Regel-ID.
Anonyme Telemetriedaten zur Anwendungsgenauigkeit senden:Sie knnen uns dabei
helfen, die Erkennungs- und Klassifizierungsfunktionen imBereich Netzwerksichtbarkeit und
Application Control zu verbessern, indemSie amSophos UTMAppAccuracy-Programmteil-
nehmen. Bei Aktivierung erfasst das SystemDaten in Formanonymer Anwendungsprofile und
sendet diese an das Forschungsteamvon Sophos. Dort werden die Profile genutzt, umnicht
66 UTM9 WebAdmin
klassifizierte Anwendungen zu identifizieren und die Netzwerksichtbarkeits- und Application-
Control-Bibliothek zu verbessern und zu erweitern.
4.3 Lizenzen
Die Verfgbarkeit von bestimmten Funktionen auf Sophos UTMwird ber Lizenzen und Abon-
nements geregelt, d. h. die Lizenzen und Abonnements, die Sie mit der UTMerworben haben,
ermglichen Ihnen die Nutzung bestimmter Funktionen, anderer jedoch nicht.
4.3.1 Erwerb einer Lizenz
Sophos UTMwird standardmig mit einer 30-Tage-Testlizenz ausgeliefert, mit der Sie alle
Leistungsmerkmale und Funktionen uneingeschrnkt nutzen knnen. Nach Ablauf mssen Sie
eine gltige Lizenz installieren, umdie Sophos UTMweiter nutzen zu knnen. Alle Lizenzen (ein-
schlielich kostenloser Home-Use-Lizenzen) werden im MyUT-Portal angelegt.
Nach demKauf einer UTM-Lizenz erhalten Sie per E-Mail Ihre Aktivierungsschlssel. Diese
Schlssel bentigen Sie, umdie eigentliche Lizenz zu generieren bzw. eine bereits bestehende
Lizenz zu aktualisieren. Umeine Lizenz zu aktivieren, melden Sie sich im MyUT-Portal an und
gehen Sie zur Lizenzverwaltungsseite. Oben auf der Seite befindet sich ein Formular, wo Sie
den Aktivierungsschlssel aus der E-Mail kopieren und einfgen knnen. Weitere Infor-
mationen finden Sie imMyUTM-Benutzerhandbuch.
UTM9 WebAdmin 67
4 Verwaltung 4.3 Lizenzen
4.3 Lizenzen 4 Verwaltung
Figure 8 MyUTM-Portal
Ein neues Formular wird angezeigt, in das Sie sowohl Informationen zu IhremVertriebspartner
als auch Ihre eigenen Kontaktdaten eintragen knnen. Das Portal versucht, so viele Felder wie
mglich vorauszufllen. Auerdemerfasst Sophos ggf. die Hardware-Seriennummer der
UTM. NachdemSie das Formular abgeschickt haben, wird Ihre Lizenz erzeugt und Sie werden
auf die Lizenz-Detailseite weitergeleitet, von der aus Sie die Lizenz herunterladen knnen.
Umdie Lizenz verwenden zu knnen, mssen Sie die erzeugte Lizenz-Datei herunterladen
und sich dann an Ihrer WebAdmin-Installation anmelden. ffnen Sie in WebAdmin die Regis-
terkarte Verwaltung >Lizenzen >Installation und verwenden Sie die Upload-Funktion, umdie
Lizenzdatei auf Ihrer Festplatte zu finden. Laden Sie die Lizenzdatei hoch. Danach wird der
WebAdmin sie einlesen, umalle Abonnements und anderen Einstellungen zu aktivieren, die in
der Lizenzdatei vorgesehen sind.
Hinweis Der Aktivierungsschlssel, den Sie per E-Mail erhalten haben, kann nicht in den
WebAdmin importiert werden. Dieser Schlssel dient lediglich zur Aktivierung Ihrer Lizenz.
Nur die Lizenz-Datei kann in die UTMimportiert werden.
68 UTM9 WebAdmin
4.3.2 Lizenzmodell
Das modulare Lizenzmodell von Sophos ist uerst flexibel. Zunchst gibt es eine Basislizenz,
die grundlegende Funktionen kostenlos bereitstellt (siehe Tabelle unten). Des Weiteren gibt es
sechs weitere Abonnements:
l Network Protection
l Web Protection
l Email Protection
l Endpoint Protection
l Wireless Protection
l Webserver Protection
Diese Abonnements knnen Ihren Anforderungen entsprechend einzeln oder in Kombination
erworben werden. Die FullGuard-Lizenz enthlt alle Abonnements. Jedes der Abonnements
aktiviert bestimmte Funktionen des Produkts. Die untenstehende Tabelle zeigt eine bersicht
darber, welche Funktionen durch welches Abonnement freigeschaltet werden.
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Verwaltung
(Backups, Benach-
richtigungen,
SNMP, SUM, ...)
Lokale Authen-
tifizierung (Benut-
zer, Gruppen)
Grundlegende
Netz-
werkfunktionen
(Statisches Rou-
ting, DHCP, DNS,
Auto-QoS, NTP,
...)
UTM9 WebAdmin 69
4 Verwaltung 4.3 Lizenzen
4.3 Lizenzen 4 Verwaltung
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Firewall/NAT
(DNAT, SNAT, ...)
PPTP- &L2TP-
Fernzugriff
Lokale Pro-
tokollierung, Stan-
dardberichte
Intrusion Pre-
vention (IPS, dt.
Angriffsschutz)
(Patterns, DoS,
Flood, Portscan ...)
IPsec- &SSL-Site-
to-Site-VPN,
IPsec- &SSL-Fern-
zugriff
Erweiterte Netz-
werkfunktionen
(Linkbndelung,
Uplink-Ausgleich,
Richtlinien-Rou-
ting, OSPF, Mul-
ticast, angepasstes
QoS, Ser-
verlastausgleich,
Generischer Proxy
...)
( )
(
)
Benutzerportal
High Availabilty
(Hoch-
verfgbarkeit)
Entfernte Authen-
tifizierung (AD,
eDir, RADIUS, ...)
70 UTM9 WebAdmin
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Ausgelagerte Pro-
tokollierung, erwei-
terte Berichte
(Archivierung, Kon-
figuration)
Basis-Webfilter &
FTP-Proxy
Web- &FTP-
Schadsoftware-Fil-
terung
Application Control
Basis-SMTP-
Proxy, Qua-
rantnebericht,
Mail-Manager
SMTP- &POP3-
Schadsoftware-Fil-
terung
Endpoint Pro-
tection, Antivirus
Endpoint Pro-
tection, Device Con-
trol
Wireless Protection
Webserver Pro-
tection
Es gibt auch ein BasicGuard-Abonnement, das fr das UTM-Appliance-Model 100 verfgbar
ist, und eine eigene Untermenge der oben genannten Funktionen bietet (Mehr Informationen
finden Sie auf der Produkt-Webseite).
UTMs knnen auch vomSophos UTMManager (SUM) verwaltet und lizenziert sein. In diesem
Fall bergibt SUMdie MSP-Lizenz(Managed Service Provider) an die UTMund die Regis-
UTM9 WebAdmin 71
4 Verwaltung 4.3 Lizenzen
4.3 Lizenzen 4 Verwaltung
terkarte Installation ist inaktiv. Abonnements knnen dann nur von IhremSUM-Dienstleister
aktiviert werden.
Fr genauere Informationen zu Abonnements und ihremFunktionsumfang wenden Sie sich bit-
te an Ihren zertifizierten UTM-Partner oder die Sophos UTMWebseite .
Wenn bestimmte Abonnements nicht erworben wurden, sind die entsprechenden Regis-
terkarten imWebAdmin inaktiv. ber den Registerkarten wird eine Warnmeldung zur Lizen-
zierung angezeigt.
Figure 9 Lizenzen: Abonnement-Warnhinweis
Up2Dates
Jedes Abonnement aktiviert die vollstndige Untersttzung automatischer Updates, das bedeu-
tet, dass Sie automatisch ber neue Firmware-Updates informiert werden. Darber hinaus
knnen Firmware- und Pattern-Updates automatisch heruntergeladen (und installiert) wer-
den.
Eine Basislizenz ohne Abonnement untersttzt automatische Updates nur eingeschrnkt:
Lediglich Pattern-Updates, wie z.B. Aktualisierungen der Onlinehilfe, werden weiterhin auto-
matisch heruntergeladen und installiert. Sie werden jedoch nicht ber verfgbare Firmware-
Updates informiert, und die Firmware-Updates mssen manuell heruntergeladen werden. Die
Verfgbarkeit neuer Firmware-Updates wird imSophos UTMUp2Date-Blog bekanntgegeben
Support und Wartung
Mit der Basislizenz knnen Sie den Web-Support nutzen. Sie knnen das Sophos UTMSup-
port-Forumund die Sophos Knowledgebase nutzen.
72 UTM9 WebAdmin
Sobald Sie eines der Abonnements erwerben, werden Sie automatisch auf Standard-Support
umgestellt. Bei dieser Supportstufe knnen Sie zustzlich einen Supportfall im MyUT-Portal
anlegen oder Ihren zertifizierten UTM-Partner kontaktieren.
Darber hinaus gibt es die Mglichkeit, einen Premium-Support-Vertrag abzuschlieen. Die-
ser bietet Ihnen rund umdie Uhr Support durch einen UTM-Engineer als Ansprechpartner.
4.3.3 bersicht
Die Registerkarte Lizenzen >bersicht zeigt detaillierte Informationen zu Ihrer Lizenz und
besteht aus mehreren Abschnitten:
l Basislizenz: Grundlegende Lizenzparameter wie ID, Registrierungsdatumoder Typ.
l Network Protection, Email Protection, Web Protection, Webserver Protection,
Wireless Protection, Endpoint AntiVirus, BasicGuard: Diese Abschnitte zeigen
Informationen zu den Abonnements an, beispielsweise ob diese erworben wurden und
daher aktiviert sind, ihr Ablaufdatumund eine Kurzbeschreibung der Funktionen, die sie
bieten.
Hinweis Wenn Sie die MSP-Lizenz nutzen, werden keine Ablaufdaten angezeigt,
da die Lizenzen vomSophos UTMManager (SUM) verwaltet werden. Herkmmliche
Schlssel und Abonnements sind durch das SUM-MSP-Systemersetzt. Informationen
ber den verwaltenden SUMfinden Sie unter Zentrale Verwaltung >Sophos
UTMManager.
l Support-Dienste: Supportstufe sowie Gltigkeitszeitraum.
4.3.4 Installation
Auf der Registerkarte Verwaltung >Lizenzen >Installation knnen Sie neue Lizenzen hoch-
laden und installieren.
Hinweis Wenn Sie die MSP-Lizenz nutzen,ist die Registerkarte deaktiviert, da Lizenzen
durch den Sophos UTMManager (SUM) verwaltet werden. Neue Lizenzen knnen durch
Ihren SUM-Dienstleister installiert werden. Informationen ber den verwaltenden SUMfin-
den Sie unter Zentrale Verwaltung >Sophos UTMManager.
Umeine Lizenz zu installieren, gehen Sie folgendermaen vor:
UTM9 WebAdmin 73
4 Verwaltung 4.3 Lizenzen
4.4 Up2Date 4 Verwaltung
1. ffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie dazu auf das Ordnersymbol neben demEingabefeld Lizenzdatei.
Das Dialogfenster Datei hochladen ffnet sich.
2. Whlen Sie die Lizenzdatei aus.
Wechseln Sie in das Verzeichnis, in demsich Ihre Lizenzdatei befindet.
Whlen Sie die Lizenzdatei aus, die Sie installieren wollen.
3. Klicken Sie auf Hochladen starten.
Ihre Lizenzdatei wird hochgeladen.
4. Klicken Sie auf bernehmen.
Ihre Lizenz wird nun installiert. Beachten Sie, dass die neue Lizenz automatisch eine
bereits installierte Lizenz ersetzt.
Die Installation der Lizenz dauert ca. 60 Sekunden.
4.3.5 Aktive IP-Adressen
Die kostenlose Sophos-UTM-Manager-Lizenz ermglicht eine unbegrenzte Anzahl an IP-
Adressen.
Falls Sie eine Lizenz erworben haben, die nicht uneingeschrnkt viele Benutzer (IP-Adressen)
erlaubt, zeigt Ihnen diese Registerkarte Informationen ber die zulssige Anzahl an IP-Adres-
sen, die von Ihrer Lizenz abgedeckt werden. IP-Adressen, die den Umfang Ihrer Lizenz ber-
schreiten, werden gesondert aufgelistet. Falls Sie die zulssige Grenze berschritten haben,
erhalten Sie regelmig eine E-Mail-Benachrichtigung.
Hinweis IP-Adressen, die ber einen Zeitraumvon sieben Tagen inaktiv waren, werden
nicht mehr eingerechnet.
4.4 Up2Date
Das Men Verwaltung >Up2Date ermglicht die Konfiguration des Aktualisierungsdienstes
von Sophos UTM. Regelmige Aktualisierungen sorgen dafr, dass die UTMstets ber die
neuesten Fehlerkorrekturen, Produktverbesserungen und aktuellen Virensignaturen verfgt.
Jede Aktualisierung wird von Sophos digital signiert unsignierte oder geflschte Aktua-
lisierungen knnen so erkannt und Installationen von geflschten Aktualisierungen verhindert
74 UTM9 WebAdmin
werden. Neue Aktualisierungspakete werden standardmig automatisch auf die UTMher-
untergeladen. Diese Option kann unter Verwaltung >Up2Date >Konfiguration angepasst wer-
den.
Es gibt zwei Arten von Software-Aktualisierungen:
l Firmware-Aktualisierungen: Firmware-Aktualisierungen enthalten Feh-
lerkorrekturen und Produktverbesserungen fr Sophos UTM-Software.
l Pattern-Aktualisierungen: Pattern-Aktualisierungen halten Virus-, Spam- und Intru-
sion-Prevention-Signaturen sowie die Onlinehilfe auf demneuesten Stand.
UmUp2Date-Pakete herunterzuladen, ffnet die UTMeine TCP-Verbindung zu den Aktua-
lisierungsservern auf Port 443. Hierfr mssen vomAdministrator keinerlei Anpassungen vor-
genommen werden. Falls Sie jedoch eine bergeordnete Firewall verwenden, so mssen Sie
auf dieser die Kommunikation ber TCP-Port 443zu den Aktualisierungsservern explizit erlau-
ben.
4.4.1 bersicht
Die Registerkarte Verwaltung >Up2Date >bersicht gibt Ihnen einen schnellen berblick dar-
ber, ob Ihr Systemauf demneuesten Stand ist. Von hier aus knnen Sie neue Firmware- und
Pattern-Aktualisierungen installieren.
Up2Date-Fortschri tt
Dieser Bereich ist nur sichtbar, wenn Sie einen Installationsvorgang angestoen haben. Kli-
cken Sie auf die Schaltflche Up2Date-Fortschritt in neuemFenster anzeigen, umden Aktua-
lisierungsfortschritt zu verfolgen. Wenn Ihr Browser Pop-up-Fenster nicht unterdrckt, wird ein
neues Fenster geffnet, das den Aktualisierungsfortschritt anzeigt. Andernfalls mssen Sie
Pop-up-Fenster zunchst explizit erlauben.
Hinweis Bevor ein Installationsvorgang gestartet wird, wird ein Backup an den/die Stan-
dardempfnger fr Backups versendet.
UTM9 WebAdmin 75
4 Verwaltung 4.4 Up2Date
4.4 Up2Date 4 Verwaltung
Figure 10 Up2Date: Fortschrittsfenster
Fi rmware
ImAbschnitt Firmware sehen Sie die aktuell installierte Firmwareversion. Wenn ein Aktua-
lisierungspaket verfgbar ist, wird eine Schaltflche Jetzt auf neueste Version aktualisieren
angezeigt. Zustzlich wird eine Nachricht imAbschnitt Verfgbare Firmware-Up2Dates ange-
zeigt. Sie knnen von hier aus die neueste Aktualisierung direkt herunterladen und installieren.
Sobald Sie Jetzt auf neueste Version aktualisieren angeklickt haben, knnen Sie den Aktua-
lisierungsfortschritt in einemneuen Fenster verfolgen. Klicken Sie dazu auf das Aktualisieren-
Symbol von WebAdmin.
Verfgbare Fi rmware-Up2Dates
Wenn Sie Manuell auf der Registerkarte Konfiguration gewhlt haben, sehen Sie hier eine
Schaltflche Jetzt nach Up2Date-Paketen suchen, mit der Sie Firmware-Up2Date-Pakete
manuell herunterladen knnen. Wenn mehr als ein Up2Date-Paket verfgbar ist, knnen Sie
whlen, welches Sie installieren wollen. Sie knnen die Schaltflche Jetzt auf neueste Version
aktualisieren imAbschnitt Firmware verwenden, umdie neueste Version zu installieren.
Es gibt auerdemeine Schaltflche Planen fr jedes Up2Date, mit der Sie ein genaues Datum
und eine genaue Uhrzeit fr eine automatische Installation bestimmen knnen. Umeine geplan-
te Installation zu lschen, klicken Sie auf Abbrechen.
76 UTM9 WebAdmin
Ein Hinweis zu zwingendenInstallationen: Es kann Konstellationen geben, in denen Sie die
Installation eines Up2Date-Pakets planen, das die vorherige Installation eines lteren Up2Da-
te-Pakets erfordert. Dieses Up2Date-Paket wird automatisch zur Installation eingeplant, und
zwar vor demeigentlichen Up2Date-Paket. Sie knnen jedoch auch fr dieses Paket eine
genaue Zeit einplanen, aber Sie knnen seine Installation nicht verhindern.
Patterns
ImAbschnitt Patterns steht die Versionsnummer der aktuell installierten Patterns. Wenn Sie
Manuell auf der Registerkarte Konfiguration gewhlt haben, sehen Sie hier eine Schaltflche
Patterns jetzt aktualisieren. Mit dieser Schaltflche knnen Sie neue verfgbare Patterns her-
unterladen und installieren.
Hinweis Die aktuell installierte Patternversion muss nicht mit der neuesten verfgbaren Pat-
ternversion bereinstimmen, damit UTMkorrekt funktioniert. Eine Abweichung zwischen der
aktuell installierten und der aktuell erhltlichen Patternversion kann vorkommen, wenn neue
Patterns vorliegen, die jedoch nicht zu demGert passen, das Sie verwenden. Welche Pat-
terns heruntergeladen werden, hngt von Ihren Einstellungen und Ihrer Hard-
warekonfiguration ab. Wenn Sie zumBeispiel die Angriffschutzfunktion (IPS) von Sophos
UTMnicht verwenden, werden neu verfgbare IPS-Patterns nicht installiert, was den
Abstand zwischen installierten und erhltlichen Patternversionen vergrert.
4.4.2 Konfiguration
Neue Aktualisierungspakete werden standardmig automatisch auf die UTMher-
untergeladen.
Fi rmware-Download-Intervall
Diese Option steht standardmig auf 15 Minuten, das heit, dass Sophos UTMalle 15 Minu-
ten nach verfgbaren Firmware-Aktualisierungen sucht. Sophos UTMldt verfgbare Firm-
ware-Aktualisierungspakete automatisch herunter, ohne sie jedoch zu installieren. Der genaue
Zeitpunkt hierfr bewegt sich dabei beliebig in demangegebenen Zeitraum. Sie knnen das
Intervall auf bis zu Monatlich erhhen oder automatische Firmware-Downloads gnzlich deak-
tivieren, indemSie Manuell in der Auswahlliste whlen. Wenn Sie Manuell whlen, wird eine
Schaltflche Jetzt nach Up2Date-Paketen suchen auf der Registerkarte bersicht angezeigt.
UTM9 WebAdmin 77
4 Verwaltung 4.4 Up2Date
4.4 Up2Date 4 Verwaltung
Intervall fr Pattern-Download und -Installati on
Diese Option steht standardmig auf 15 Minuten, das heit, dass Sophos UTMalle 15 Minu-
ten nach verfgbaren Pattern-Aktualisierungen sucht. Sophos UTMldt verfgbare Pattern-
Aktualisierungspakete automatisch herunter und installiert diese. Der genaue Zeitpunkt hierfr
bewegt sich dabei beliebig in demangegebenen Zeitraum. Sie knnen das Intervall auf bis zu
Monatlich erhhen oder automatische Pattern-Downloads und -Installationen gnzlich deak-
tivieren, indemSie Manuell in der Auswahlliste whlen. Wenn Sie Manuell whlen, wird eine
Schaltflche Patterns jetzt aktualisieren auf der Registerkarte bersicht angezeigt.
4.4.3 Erweitert
Auf der Registerkarte Verwaltung >Up2Date >Erweitert gibt es weitere Kon-
figurationsmglichkeiten fr die Aktualisierungsfunktionalitt Ihrer UTM, wie die Angabe eines
bergeordneten Proxy (engl. parent proxy) oder eines Up2Date-Caches.
Hinweis Aktualisierungspakete knnen vomSophos UTMFTP-Server heruntergeladen
werden.
Manuelles Hochladen von Up2Date-Paketen: Wenn Ihre UTMkeinen direkten Zugang
zumInternet oder einemUp2Date-Cache hat, umAktualisierungspakete herunterzuladen, kn-
nen Sie diese auch manuell hochladen. Gehen Sie dazu folgendermaen vor:
1. ffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie auf das Ordnersymbol neben demFeld Up2Date-Datei.
Das Dialogfenster Datei hochladen ffnet sich.
2. Whlen Sie das Aktualisierungspaket.
Klicken Sie imDialogfenster Datei hochladen auf die Schaltflche Durchsuchen und wh-
len Sie das Aktualisierungspaket aus, das Sie hochladen mchten.
3. Klicken Sie auf Hochladen starten.
Das Aktualisierungspaket wird auf die UTMhochgeladen.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
78 UTM9 WebAdmin
bergeordneter Proxy
Ein bergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Lndern bentigt, in
denen der Zugang zumInternet nur ber einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung eines bergeordneten Proxys erforderlich
machen, so knnen Sie diesen hier durch Angabe einer Hostdefinition und eines Ports kon-
figurieren.
bergeordneten Proxy verwenden:
1. Whlen Sie diese Option, umeinen bergeordneten Proxy zu verwenden.
2. Whlen Sie den Host oder fgen Sie einen neuen Host hinzu.
3. Geben Sie den Port des Proxies an.
Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung erfor-
dert, geben Sie den Benutzernamen und das Kennwort hier ein.
Falls Sie einen bergeordneten Proxy eingerichtet haben, holt sich Sophos UTMdie Aktua-
lisierungspakete von diesemProxy.
4.5 Backups
Mit der Backup-Funktion knnen Sie die Einstellungen der UTMauf einer lokalen Festplatte
sichern. Mit Hilfe der Backup-Datei sind Sie in der Lage, eine erprobte Konfiguration auf neu
installierte oder fehlkonfigurierte Systeme zu bertragen.
Legen Sie nach jeder nderung der Systemeinstellungen eine neue Backup-Datei an. Auf die-
se Weise haben Sie immer die aktuellen Einstellungen Ihres Systems gespeichert. Bewahren
Sie Ihre Backups auerdeman einemsicheren Ort auf, da sicherheitsrelevante Daten wie z.B.
Zertifikate und kryptografische Schlssel darin enthalten sind. Prfen Sie die Backup-Datei
nach der Generierung immer auf Lesbarkeit. Es ist auerdemratsam, durch ein externes
MD5-Programmeine Prfsumme zu generieren, die es Ihnen auch spter ermglicht, die Inte-
gritt der Backup-Datei zu prfen.
UTM9 WebAdmin 79
4 Verwaltung 4.5 Backups
4.5 Backups 4 Verwaltung
4.5.1 Backup/Wiederherstellen
Auf der Registerkarte Verwaltung >Backup/Wiederherstellen >Backup/Wiederherstellen kn-
nen Sie Backups erstellen, importieren, wiederherstellen, herunterladen und senden sowie
bestehende Backups lschen.
Verfgbare Backups
Dieser Abschnitt ist nur sichtbar, wenn bereits mindestens ein Backup erstellt wurde, entweder
automatisch oder manuell (siehe Abschnitt Backup erstellen).
Alle Backups sind mit ihremErstellungsdatumund -zeitpunkt, ihrer UTM-Versionsnummer,
ihremErsteller und Kommentar aufgelistet.
Sie knnen ein Backup herunterladen, wiederherstellen, lschen oder versenden.
l Herunterladen: ffnet ein Dialogfenster, in demSie whlen knnen, ob Sie die Datei
verschlsselt (Kennwort eingeben) oder unverschlsselt herunterladen wollen. Klicken
Sie auf Backup herunterladen. Sie werden gebeten, einen Ort imDateisystemaus-
zuwhlen, an demdie heruntergeladene Datei gespeichert werden soll.
o
Vor demHerunterladen verschlsseln: Bevor Sie ein Backup herunterladen
oder versenden, haben Sie die Mglichkeit, es zu verschlsseln. Die Ver-
schlsselung erfolgt durch Blowfish-Verschlsselung imCBC-Modus. Geben Sie
ein Kennwort ein (ein zweites Mal zur Besttigung). Nach diesemKennwort wer-
den Sie gefragt, wenn Sie das Backup importieren wollen. Fr verschlsselte
Backups lautet die Dateierweiterung ebf, fr unverschlsselte Backups abf).
Hinweis Ein Backup enthlt Administrationskennwrter, das Hoch-
verfgbarkeitskennwort (falls konfiguriert) sowie alle RSA-Schlssel und X.509-
Zertifikate. Da es sich dabei umvertrauliche Informationen handelt, ist es rat-
sam, Backups zu verschlsseln.
l Wiederherstellen: Ersetzt die aktuellen Systemeinstellungen durch die in einem
Backup gespeicherten Einstellungen. Hinterher mssen Sie sich neu anmelden. ImFall,
dass das Backup alle Daten enthlt, knnen Sie sich direkt anmelden. Wenn das aus-
gewhlte Backup nicht alle Daten enthlt (siehe Abschnitt Backup erstellen), mssen Sie
die erforderlichen Daten whrend des Anmeldevorgangs eingeben. Wenn lediglich die
80 UTM9 WebAdmin
Hostdaten aus demgewhlten Backup entfernt wurden, knnen Sie bei Bedarf eine wei-
tere Administrator-E-Mail-Adresse hinzufgen. Diese wird an Stellen eingesetzt, an
denen bisher kein Empfnger eingetragen war, und als zustzliche Adresse dort, wo
mehrere Empfnger mglich sind.
Hinweis Backupwiederherstellung ist nur abwrtskompatibel. Nur Backups von Ver-
sionen kleiner als die aktuelle Version werden als funktionstchtig betrachtet.
o
Backups von USB-Flashspeicher wiederherstellen: Sie knnen unverschlsselte
Backup-Dateien (Dateierweiterung abf) von einemmit FAT formatierten USB-
Flashspeicher wie z. B. einemUSB-Stick wiederherstellen. Umein Backup von
einemUSB-Flashspeicher wiederherzustellen, kopieren Sie die Backup-Datei auf
den USB-Flashspeicher und schlieen Sie ihn an die Sophos UTMan, bevor Sie
das Systemstarten. Befinden sich mehrere Backup-Dateien auf demSpei-
chergert, wird die lexikografisch erste Datei verwendet (Zahlen vor Buchstaben).
Angenommen, die Backup-Dateien gateway_backup_2012-04-17.abfund
2011-03-20_gateway_backup.abfbefinden sich beide auf demUSB-Flas-
hspeicher. BeimStarten wird die zweite Datei verwendet, weil sie mit einer Zahl
beginnt, obwohl sie viel lter ist als die andere Datei.
Nach der erfolgreichen Wiederherstellung eines Backups wird eine Sperrdatei
(engl. lock file) angelegt. Diese verhindert, dass ein- und dasselbe Backup immer
wieder installiert wird, whrend der USB-Flashspeicher noch eingesteckt ist. Soll-
ten Sie ein vorangegangenes Backup dennoch erneut installieren wollen, so ms-
sen Sie den betreffenden Rechner zunchst ohne angeschlossenen USB-Flas-
hspeicher neu starten. Dabei werden alle Sperrdateien gelscht. Wenn Sie den
Rechner nun erneut mit angeschlossenemUSB-Flashspeicher hochfahren, kann
dasselbe Backup installiert werden.
l Lschen: Lscht ein Backup aus der Liste. Mit demLschen-Symbol unterhalb der Lis-
te knnen Sie alle ausgewhlten Backups lschen. UmBackups auszuwhlen, klicken
Sie auf die Auswahlkstchen links von den Backups oder verwenden Sie die Auswahlliste
unten, umalle Backups auszuwhlen.
l Senden: In einemDialogfenster knnen Sie die E-Mail-Empfnger festlegen. Stan-
dardmig sind die auf der Registerkarte Automatische Backups angegebenen Adres-
sen ausgewhlt. Entscheiden Sie dann, ob Sie die Datei verschlsselt (Kennwort ange-
ben) oder unverschlsselt senden mchten. Klicken Sie auf Jetzt senden, umdas
Backup zu senden.
UTM9 WebAdmin 81
4 Verwaltung 4.5 Backups
4.5 Backups 4 Verwaltung
o
Vor demSenden verschlsseln: Siehe oben: Vor demHerunterladen ver-
schlsseln.
Backup erstellen
Backups sind nicht nur ntzlich, wenn Sie Ihr Systemnach einer (nicht beabsichtigten) nde-
rung oder einemAusfall wiederherstellen mchten. Sie knnen auch als Vorlagen genutzt wer-
den, umSysteme mit einer hnlichen Konfiguration einzurichten. Diese Systeme sind dann qua-
si vorkonfiguriert, was eine enorme Zeitersparnis darstellen kann. Zu diesemZweck knnen
Sie vor der Erstellung bestimmte Daten von einemBackup entfernen, z.B. Hostname, Zer-
tifikate usw.
Umein Backup mit den aktuellen Systemeinstellungen zu erzeugen, gehen Sie fol-
gendermaen vor:
1. Geben Sie imAbschnitt Backup erstellen einen Kommentar ein (optional).
Der Kommentar wird neben demBackup in der Backup-Liste angezeigt.
2. Nehmen Sie die folgenden Einstellungen vor (optional):
Eindeutige Standortdaten entfernen: Whlen Sie diese Option, umdas Backup
ohne Host-spezifische Daten zu erstellen. Dies umfasst Hostnamen, System-ID, SNMP-
Daten, HA-Daten, Lizenz, Shell-Benutzerkennwrter, Anonymisierungskennwrter, alle
Zertifikate, ffentliche und private Schlssel, Fingerabdrcke und Schlssel von Email
Protection, Web Protection, Client-Authentifizierung, IPsec, SSL-VPN, RED, WebAd-
min, Web Application Firewall und Proxys.
Solche Backups ermglichen es Ihnen, mehrere hnliche Systeme bequemanzulegen.
Sie sollten allerdings einige Punkte beachten: 1) Nach der Wiederherstellung wird die Sei-
te Grundlegende Systemkonfiguration angezeigt. 2) Nur die erste Schnittstelle ist kon-
figuriert, wobei die primre IP-Adresse whrend der Installation konfiguriert wurde. Alle
anderen Schnittstellen werden deaktiviert und erhalten die IP-Adresse 0.0.0.0.
Achtung Obwohl die meisten Host-spezifischen Daten entfernt werden, enthlt eine
solche Backup-Vorlage dennoch vertrauliche Daten wie Benutzerkennwrter. Deshalb
ist es ratsam, Backup-Vorlagen zu verschlsseln.
Administrative E-Mail-Adressen entfernen: Whlen Sie diese Option, umdie Admi-
nistrator-E-Mail-Adressen, die in verschiedenen Bereichen der UTMverwendet wer-
den, z.B. Postmaster-Adressen in Email Protection, Benachrichtigungen usw., zu ent-
82 UTM9 WebAdmin
fernen. Diese Option ist besonders fr IT-Partner sinnvoll, die Sophos UTM-Appliances
an Kundenstandorten einrichten.
3. Klicken Sie auf Backup jetzt erzeugen.
Das Backup wird in der Liste der verfgbaren Backups angezeigt.
Falls ein Backup mit einer oder beiden der gewhlten Optionen erzeugt wurde, enthlt
der Backup-Eintrag einen entsprechenden zustzlichen Hinweis.
Backup i mporti eren
Umein Backup zu importieren, gehen Sie wie folgt vor:
1. Klicken Sie auf das Ordner-Symbol und whlen Sie eine Backup-Datei zum
Hochladen aus.
2. Klicken Sie auf Hochladen starten.
3. Entschlsseln Sie das Backup.
Wenn Sie ein verschlsseltes Backup importieren mchten, mssen Sie zunchst das
Kennwort eingeben.
4. Klicken Sie Backup importieren umdas Backup zu importieren.
Beachten Sie, dass beimImport des Backups noch keine Wiederherstellung durch-
gefhrt wird. Das Backup wird lediglich zur Liste Verfgbare Backups hinzugefgt.
4.5.2 Automatische Backups
Auf der Registerkarte Verwaltung >Backups >Automatische Backups haben Sie die Mg-
lichkeit, Backups automatisch erzeugen zu lassen. UmBackups automatisch erzeugen zu las-
sen, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Automatische Backups automatische
Backups.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und die Abschnitte Optionen sowie Backups per E-Mail ver-
senden knnen nun bearbeitet werden.
2. Legen Sie das Zeitintervall fest.
Automatisch erzeugte Backups knnen in verschiedenen Zeitintervallen erzeugt wer-
den.
Sie haben die Auswahl zwischen tglich, wchentlich und monatlich.
UTM9 WebAdmin 83
4 Verwaltung 4.5 Backups
4.6 Benutzerportal 4 Verwaltung
3. Legen Sie die maximale Anzahl der zu speichernden Backups fest.
Backups knnen bis zu der hier angegebenen Anzahl gespeichert werden. Nachdemdie
maximale Anzahl erreicht worden ist, werden die ltesten Backup-Dateien gelscht.
Beachten Sie, dass dies nur auf automatisch erzeugte Backup-Dateien zutrifft. Manuell
erzeugte Backup-Dateien und vor einer Systemaktualisierung erzeugte Backup-Dateien
werden nicht gelscht.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
UmBackup-Dateien Ihrer UTMnicht mhevoll manuell speichern zu mssen, knnen Sie
Backup-Dateien an eine Liste von E-Mail-Adressen schicken lassen.
Empfnger: Automatisch erzeugte Backup-Dateien werden an diejenigen Empfnger
geschickt, die imFeld Empfnger eingetragen sind. Es knnen mehrere Adressen angegeben
werden. Standardmig ist die E-Mail-Adresse des Administrators voreingestellt.
E-Mail-Backups verschlsseln: Darber hinaus haben Sie die Mglichkeit, das Backup zu
verschlsseln (3DES-Verschlsselung).
Kennwort: Wenn Sie die Option Encrypt email backups gewhlt haben, geben Sie ein Kenn-
wort ein (ein zweites Mal zur Besttigung). Nach diesemKennwort werden Sie gefragt, wenn
Sie das Backup importieren wollen.
Automatisch erzeugte Backups werden in der Liste Verfgbare Backups auf der Registerkarte
Backup/Wiederherstellen angezeigt und sind mit demHinweis Systemin der Spalte Ersteller
versehen. Von dort aus knnen sie genau wie manuell erzeugte Backup-Dateien wie-
derhergestellt, heruntergeladen oder gelscht werden.
4.6 Benutzerportal
Das Benutzerportal von Sophos UTMist eine besondere Browser-basierte Anwendung, die
autorisierten Benutzern personalisierte E-Mail-Dienste und Dienste fr den Fernzugriff zur Ver-
fgung stellt. Der Zugriff ist ber die URL der Sophos UTMmglich, zumBeispiel
https://192.168.2.100. (Beachten Sie das HTTPS-Protokoll und die fehlende Port-
nummer 4444, die Sie normalerweise eingeben wrden, umauf die WebAdmin-Schnittstelle
zugreifen zu knnen.)
84 UTM9 WebAdmin
Das Benutzerportal umfasst unter anderemdie E-Mail-Quarantne, die jene Nachrichten ent-
hlt, die entweder mit schdlicher Software infiziert sind, verdchtige Anhnge besitzen, als
Spamidentifiziert wurden oder Ausdrcke enthalten, die explizit untersagt sind.
Benutzer knnen auf der Anmeldeseite eine Sprache aus der Auswahlliste auswhlen, die sich
rechts in der Kopfleiste befindet.
Figure 11 Benutzerportal: Begrungsseite
ber das Benutzerportal haben Benutzer Zugriff auf die folgenden Dienste:
l SMTP-Quarantne: Benutzer knnen sich Nachrichten in Quarantne anschauen und
gegebenenfalls freigeben. Welche Arten von Nachrichten sie freigeben drfen, kann auf
der Registerkarte Email Protection >Quarantnebericht >Erweitert festgelegt werden.
(Die Registerkarte heit Mail-Quarantne, wenn POP3 deaktiviert ist.)
l SMTP-Protokoll: Benutzer haben hier Einblick in das SMTP-Protokoll ihres Mail-
verkehrs. (Die Registerkarte heit Mail-Protokoll, wenn POP3 deaktiviert ist.)
l POP3-Quarantne: Benutzer knnen sich Nachrichten in Quarantne anschauen und
gegebenenfalls freigeben. Welche Arten von Nachrichten sie freigeben drfen, kann auf
der Registerkarte Email Protection >Quarantnebericht >Erweitert festgelegt werden.
(Die Registerkarte heit Mail-Quarantne, wenn SMTPdeaktiviert ist.)
l POP3-Konten: Benutzer knnen hier ihre Zugangsdaten fr POP3-Konten eingeben,
die sie verwenden. Es werden nur Spam-E-Mails, fr die POP3-Kontozugangsdaten hin-
terlegt sind, imBenutzerportal angezeigt. Benutzer, fr die POP3-Kontozugangsdaten
gespeichert sind, erhalten einen eigenstndigen Quarantnebericht fr jede E-Mail-
Adresse. Beachten Sie, dass zugelassene POP3-Server auf der Registerkarte Email Pro-
tection >POP3 >Erweitert eingetragen sein mssen.
UTM9 WebAdmin 85
4 Verwaltung 4.6 Benutzerportal
4.6 Benutzerportal 4 Verwaltung
l Absender-Whitelist: Benutzer knnen eine Positivliste (Whitelist) fr bestimmte Absen-
der anlegen. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter Qua-
rantne gestellt. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter
Quarantne gestellt. In die Whitelist knnen sowohl einzelne gltige E-Mail-Adressen
(z.B. mmustermann@beispiel.de) als auch Adressen einer spezifischen Domne ein-
getragen werden, wobei ein Asterisk als Platzhalter dient (z.B. *@beispiel.de). Wenn
ein Whitelist-Eintrag exakt zutrifft, wird die berprfung der Absender-Blacklist ber-
sprungen.
l Absender-Blacklist: Hier knnen Benutzer E-Mail-Absender auf die Negativliste
(Blacklist) setzen, z.B. phishing@hotmail.com, oder auch ganze Domnen, z.B.
*@hotmail.com. Die Blacklist wird sowohl auf SMTP- als auch auf POP3-E-Mails ange-
wendet, wenn diese auf demSystemaktiviert sind. Absender knnen auf die Blacklist
gesetzt werden, indemman auf das Plussymbol klickt, die Adresse eingibt und zumSpei-
chern auf das Hkchen klickt.
l Hotspots: Hier finden Benutzer die Zugriffsdaten von Hotspots und knnen diese ver-
walten. Diese Registerkarte ist nur dann vorhanden, wenn fr einen bestimmten Benut-
zer mindestens ein Hotspot aktiviert wurde. Fr Hotspots mit tglicher
Kennwortnderung wird das aktuelle Kennwort angezeigt, das auch gendert werden
kann. Fr Hotspots, die ber Voucher genutzt werden knnen, knnen Voucher erstellt,
ausgedruckt, exportiert und gelscht werden. Auf einer Liste der erstellten Voucher wer-
den Nutzungsinformationen angezeigt. Weitere Informationen finden Sie unter Wireless
Protection >Hotspots.
l Client-Authentifizierung:Hier knnen die Benutzer eine Einrichtungsdatei von
Sophos Authentication Agent (SAA) herunterladen. Der SAAkann als Authen-
tifizierungsmethode fr den Webfilter genutzt werden. Die Registerkarte Client-Authen-
tifizierung ist nur dann verfgbar, wenn die entsprechende Funktion aktiviert wurde.
Weitere Informationen finden Sie unter Definitionen &Benutzer >Client-Authen-
tifizierung.
l OTP-Token: Hier finden die Benutzer einen oder mehrere QR-Codessowie die ent-
sprechenden Detailinformationen fr die Konfiguration des Dienstes der UTMfr ein-
malige Kennwrter (OTP) auf ihren Mobilgerten. Weitere Informationen erhalten Sie
unter Definitionen &Benutzer >Authentifizierungsdienste >Einmaliges Kennwort
(OTP).
l Fernzugriff: Benutzer knnen hier Client-Software fr den Fernzugriff sowie fr sie
bereitgestellte Konfigurationsdateien herunterladen. Der Menpunkt Fernzugriff ist aller-
dings nur zu sehen, wenn fr den jeweiligen Benutzer der Fernzugriff aktiviert wurde.
86 UTM9 WebAdmin
l HTML5-VPN-Portal: Hier knnen Benutzer ber vordefinierte Dienste VPN-Ver-
bindungen zu vordefinierten Hosts ffnen. Diese Registerkarte ist nur dann vorhanden,
wenn fr den jeweiligen Benutzer mindestens eine VPN-Verbindung aktiviert wurde. Wei-
tere Informationen finden Sie unter Fernzugriff >HTML5-VPN-Portal.
l Kennwort ndern: Benutzer knnen hier ihr Kennwort fr den Zugang zumBenut-
zerportal ndern.
l HTTPS-Proxy: Benutzer knnen von hier das HTTPS-Proxy-CA-Zertifikat importieren,
umdie Fehlermeldungen loszuwerden, die angezeigt werden, wenn sie sichere Web-
sites besuchen. Nach Klicken auf die Schaltflche Proxy-CA-Zertifikat importieren, wird
der Benutzer von seinemBrowser gefragt, ob er der CAfr verschiedene Zwecke ver-
traut. Weitere Informationen erhalten Sie unter Web Protection >Filteroptionen >
HTTPS-CAs.
l Abmelden: Klicken Sie hier, umsich vomBenutzerportal abzumelden. Das ist allerdings
nur ntig, wenn Sie beimAnmelden An meine Anmeldung erinnern markiert hatten
dabei wird ein Cookie angelegt und Sie sich nun explizit abmelden mchten. Dabei wird
der Cookie gelscht. Ansonsten gibt es keinen Grund, die Abmelden-Funktion zu ver-
wenden; es reicht aus, die Registerkarte des Browsers oder das Browserfenster zu
schlieen.
4.6.1 Allgemein
Auf der Registerkarte Verwaltung >Benutzerportal >Allgemein knnen Sie das Benut-
zerportal aktivieren. Zudemknnen Sie festlegen, welchen Netzwerken und welchen Benut-
zern Zugriff auf das Benutzerportal gewhrt werden soll.
Umden Zugang zumBenutzerportal zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie das Benutzerportal.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich Benutzerportal-Optionen kann nun bear-
beitet werden.
2. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus, die Zugriff auf das Benutzerportal haben sollen, oder
fgen Sie sie hinzu. Das Hinzufgen einer Definition wird auf der Seite Definitionen &
Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 87
4 Verwaltung 4.6 Benutzerportal
4.6 Benutzerportal 4 Verwaltung
3. Whlen Sie die zugelassenen Benutzer aus.
Whlen Sie die Benutzer oder Benutzergruppen aus, die Zugriff auf das Benutzerportal
haben sollen, oder fgen Sie neue Benutzer hinzu. Das Hinzufgen eines Benutzers
wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
Wenn Sie nicht allen Benutzern Zugriff gestatten mchten, deaktivieren Sie die Option
Alle Benutzer zulassen und whlen Sie die Benutzer oder Benutzergruppen einzeln aus.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
4.6.2 Erweitert
Auf der Registerkarte Erweitert knnen Sie einen alternativen Hostnamen und eine Port-
nummer fr das Benutzerportal definieren sowie Sprach- und Sicherheitseinstellungen vor-
nehmen.
Sprache
Whrend der Anmeldung wertet das Benutzerportal die Spracheinstellungen des Web-
browsers aus und ldt das entsprechende Gebietsschema, umdas Benutzerportal in der Stan-
dardsprache des Browsers anzuzeigen. Sollte der Browser eine Sprache als Stan-
dardeinstellung haben, die imBenutzerportal nicht verfgbar ist, knnen Sie hier angeben,
welche Sprache ersatzweise verwendet werden soll. Benutzer haben darber hinaus die Mg-
lichkeit, eine Sprache auf der Anmeldeseite des Benutzerportals zu whlen.
Si cherhei t
Das Benutzerportal verwendet Cookies zur Sitzungsverwaltung. Dauerhafte Cookies ermg-
lichen demBenutzer, nach demSchlieen einer Sitzung spter zurckzukehren, ohne sich neu
anmelden zu mssen. Cookies knnen jederzeit vomBenutzer gelscht werden, indemer im
Benutzerportal auf Abmelden klickt.
Portal-Ei ntrge deakti vi eren
Fr die hier angegebenen Funktionen wird imBenutzerportal ein Meneintrag angezeigt, falls
die entsprechende Funktion imWebAdmin aktiviert wurde. Sie knnen aber Meneintrge
bestimmen, die nicht imBenutzerportal angezeigt werden sollen. Whlen Sie hierzu die ent-
sprechende(n) Option(en) aus und klicken Sie auf bernehmen.
88 UTM9 WebAdmin
Netzwerkei nstellungen
Hostname: Standardmig ist der Hostname der UTMvoreingestellt, wie er auf der Regis-
terkarte Verwaltung >Systemeinstellungen >Hostname angegeben ist. Wenn Sie allerdings
Zugriff auf das Benutzerportal ber das Internet gestatten mchten, dann ist es sinnvoll, hier
einen alternativen Hostnamen einzutragen, der ffentlich aufgelst werden kann.
Lausch-Adresse: Der Standardwert lautet Any (alle). Wenn Sie die Web Application Firewall
verwenden, mssen Sie eine feste Schnittstellenadresse angeben, auf der der Dienst auf Ver-
bindungen zumBenutzerportal lauscht. Diese Einstellung ist notwendig, damit die Ver-
bindungsverwaltung fr das Benutzerportal und die Web Application Firewall die eingehenden
SSL-Verbindungen unterscheiden knnen.
Port: Standardmig ist der Port 443fr HTTPSvoreingestellt. Sie knnen den Port jedoch
auf einen beliebigen Wert zwischen 1024und 65535ndern. Beachten Sie, dass Sie weder
den Port 10443noch den WebAdmin-TCP-Port auswhlen knnen, der auf der Registerkarte
Verwaltung >WebAdmin-Einstellungen >Erweitert konfiguriert ist. Unabhngig vomgewhl-
ten Port kann das Benutzerportal stets nur ber HTTPSaufgerufen werden.
Begrungstext
Sie knnen den Begrungstext des Benutzerportals anpassen. Einfache HTML-Befehle und
Hyperlinks sind gestattet.
Hinweis Der Begrungstext kann nicht gendert werden, wenn Sie eine Home-Use-
Lizenz verwenden.
4.7 Benachrichtigungen
Sophos UTMverfgt ber eine Benachrichtigungsfunktion, die Sie sofort per E-Mail oder
SNMPber alle sicherheitsrelevanten Vorgnge auf der UTMinformiert entweder per E-Mail
oder SNMP-Trap. Alle Ereignisse, die fr einen Administrator von Interesse sein knnten,
haben ihre eigenen Fehler-, Warn- und Informations-Codes. Welche Benachrichtigungen ver-
schickt werden, hngt von den Einstellungen ab, die Sie auf der Registerkarte Benach-
richtigungen vorgenommen haben.
UTM9 WebAdmin 89
4 Verwaltung 4.7 Benachrichtigungen
4.7 Benachrichtigungen 4 Verwaltung
4.7.1 Allgemein
Auf der Registerkarte Verwaltung >Benachrichtigungen >Allgemein knnen Sie die Absen-
deradresse (d.h. die Von-Adresse) konfigurieren, die fr das Versenden von Benach-
richtigungen von der UTMverwendet werden soll. Standardmig ist dies do-not-reply@fw-
notify.net. Falls Sie diese Einstellung ndern mchten, ist es ratsam, eine E-Mail-Adresse
aus Ihrer Domne zu whlen, da manche Mail-Server berprfen, ob die Absender-Adresse
einer empfangenen Nachricht tatschlich existiert.
Darber hinaus knnen Sie einen oder mehrere Empfnger fr die Benachrichtigungen der
UTMfestlegen. Standardmig ist dies die E-Mail-Adresse des Administrators, die Sie wh-
rend der ersten Einrichtung angegeben haben.
Benachrichtigungen begrenzen: Einige sicherheitsrelevante Ereignisse, z.B. erkannte
Angriffsversuche, erzeugen eine Vielzahl von Benachrichtigungen, was schnell dazu fhren
kann, dass die Postfcher der Empfnger frmlich berlaufen. Zu diesemZweck verfgt die
Sophos UTMber angemessene Voreinstellungen, die die Anzahl der Benachrichtigungen, die
pro Stunde verschickt werden, begrenzen. Falls Sie diese Option deaktivieren, erzeugt jedes
sicherheitsrelevante Ereignis eine Benachrichtigung; vorausgesetzt natrlich, dieses Ereignis
ist auf der Registerkarte Verwaltung >Benachrichtigungen >Benachrichtigungen ent-
sprechend konfiguriert.
Gertespezi fi scher Text
Hier knnen Sie eine Beschreibung der Sophos UTMeingeben, z.B. den Standort. Diese wird
dann in den Benachrichtigungen angezeigt, die verschickt werden.
4.7.2 Benachrichtigungen
Benachrichtigungen sind in drei Kategorien unterteilt:
l CRIT: Benachrichtigungen ber kritische Ereignisse, die den fehlerfreien Betrieb der
UTMgefhrden.
l WARN: Warnhinweise ber potenzielle Probleme, die Ihre Aufmerksamkeit erfordern,
z.B. das berschreiten von Schwellenwerten.
l INFO: Rein informative Benachrichtigungen, z.B. bezglich des Neustarts einer Sys-
temkomponente.
90 UTM9 WebAdmin
Fr jedes einzelne Ereignis knnen Sie bestimmen, ob eine Benachrichtigung als E-Mail oder
SNMP-Trap verschickt werden soll.
4.7.3 Erweitert
Fr den Fall, dass Ihre UTME-Mails nicht direkt senden kann, knnen Sie einen Smarthost fr
den E-Mail-Versand einrichten. Gehen Sie folgendermaen vor:
1. Aktivieren Sie den Externen SMTP-Server auf der Registerkarte Verwaltung >
Benachrichtigungen > Erweitert.
Klicken Sie auf den Schieberegler.
2. Geben Sie Ihren Smarthost ein.
Sie knnen dafr Drag&Drop verwenden. Der Port ist auf den SMTP-Port 25vor-
eingestellt.
l TLS verwenden: Whlen Sie diese Option, wenn Sie TLSfr den Versand von
Benachrichtigungen erzwingen wollen. Beachten Sie, dass Benachrichtigungen
nicht versendet werden, wenn der Smarthost TLSnicht untersttzt.
3. Legen Sie die Authentifizierungs-Einstellungen fest.
Falls der Smarthost Authentifizierung erfordert, whlen Sie das Auswahlkstchen
Authentifizierung und geben Sie den entsprechenden Benutzernamen und das Kenn-
wort ein.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
4.8 Anpassungen
Auf den Registerkarten des Mens Verwaltung >Anpassungen knnen Sie die Vorlagen fr
Statusmeldungen und E-Mail-Benachrichtigungen, die von Sophos UTMerstellt werden,
anpassen und lokalisieren. Damit ist es mglich, diese Meldungen an die Richtlinien und die Cor-
porate Identity Ihres Unternehmens anzupassen.
Zustzlich knnen Sie benutzerdefinierte Web-Vorlagen hochladen und bearbeiten, umMel-
dungen ber blockierte Seiten oder andere Benachrichtigungen noch strker zu verndern.
Hinweis Anpassungen sind nicht mglich, wenn Sie eine Home-Use-Lizenz verwenden.
UTM9 WebAdmin 91
4 Verwaltung 4.8 Anpassungen
4.8 Anpassungen 4 Verwaltung
4.8.1 Allgemein
Auf der Registerkarte Verwaltung >Anpassungen >Allgemein knnen Sie allgemeine Ein-
stellungen fr Statusmeldungen vornehmen, die Benutzern angezeigt werden. Beachten Sie,
dass UTF-8/Unicode untersttzt wird.
Das Beispiel unten zeigt die anpassbaren globalen Optionen (Firmenlogo und Fir-
menspezifischer Text) in einer beispielhaften Inhalt blockiert-Nachricht, die auf der Seite Ver-
waltung >Anpassungen >Web-Meldungen angepasst werden kann.
Figure 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren
Elemente
Fi rmenlogo
Hier knnen Sie Ihr eigenes Firmenlogo/-banner (nur impng-Format) hochladen, das in den
folgenden Fllen verwendet wird:
l Web-Meldungen
l Blockierte POP3-E-Mails
l Statusmeldungen zur Aufhebung der Quarantne (werden angezeigt, wenn eine als
Spameingestufte E-Mail ber den Quarantnebericht aus der Quarantne freigegeben
oder auf die Positivliste (Whitelist) gesetzt wurde)
l Quarantnebericht
92 UTM9 WebAdmin
Einige der Benutzermeldungen sind fr das Standard-Logo optimiert (195 x 73 Pixel mit trans-
parentemHintergrund). Umein optimales Ergebnis zu erhalten, sollten Sie ein Bild mit den glei-
chen Eigenschaften verwenden.
Umein Logo hochzuladen:
1. ffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie dazu auf das Ordnersymbol neben demFeld Neues Logo hochladen.
Das Dialogfenster Datei hochladen ffnet sich.
2. Whlen Sie das Logo aus.
Wechseln Sie in das Verzeichnis, in demsich das Firmenlogo befindet.
Whlen Sie das Logo aus und klicken Sie auf Hochladen starten.
3. Klicken Sie auf bernehmen.
Das Logo wird hochgeladen und ersetzt dabei die zuvor installierte Datei.
Fi rmenspezi fi scher Text
Hierbei handelt es sich umden Text unterhalb des Firmenlogos auf der Standard-Feh-
lermeldungsseite, die vomBrowser angezeigt wird, wenn ein Benutzer eine Website ffnet, die
vomVirenscanner oder demInhaltsfilter von Sophos UTMblockiert wird. Sie knnen hier z.B.
die Kontaktdaten des Administrators eintragen.
4.8.2 Web-Meldungen
Sie knnen die Texte von Webfilter-Meldungen anpassen, die von der Sophos UTMangezeigt
werden. Meldungen werden beispielsweise angezeigt, wenn Benutzer bestimmte Dateien
nicht herunterladen drfen, weil sie zu gro sind, einen bestimmten Typ haben oder einen
Virus enthalten. Meldungen werden auch angezeigt, wenn Benutzer versuchen, auf gesperrte
Webseiten oder Anwendungen zuzugreifen, wenn sie Dateien herunterladen oder wenn sie
sich an der UTMauthentifizieren mssen. Sie knnen Meldungen in andere Sprachen ber-
setzen oder sie zustzlich umSupport-Kontaktinformationen erweitern, umnur einige Beispiele
zu nennen.
Hinweis Der Text, den Sie hier auf der Registerkarte Web-Meldungen eingeben, kann in
benutzerspezifischen Web-Vorlagen verwendet werden. Mehr Informationen finden Sie
unter Web-Vorlagen.
Die folgenden Vorlagen knnen angepasst werden:
UTM9 WebAdmin 93
4 Verwaltung 4.8 Anpassungen
4.8 Anpassungen 4 Verwaltung
Inhalt blockieren
l Surf Protection: Diese Meldung wird angezeigt, wenn ein Benutzer auf eine Webseite
zugreifen mchte, deren URL mit einer Kategorie bereinstimmt, die blockiert werden
soll, oder wenn der Ruf der Seite unter demeingestellten Schwellenwert liegt. Mehr Infor-
mationen finden Sie unter Web Protection >Webfilter.
l Blacklist: Diese Meldung wird angezeigt, wenn ein Benutzer auf eine Webseite zugrei-
fen mchte, deren URL auf der Blacklist steht. UmURLs zur Blacklist hinzuzufgen,
gehen Sie auf die Seite Web Protection >Webfilter >Richtlinien >Kategorien.
l MIME-Typ: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei mit einem
MIME-Typ anfordert, der blockiert werden soll. Mehr Informationen zumFestlegen von
MIME-Typen finden Sie unter Web Protection >Webfilter >Richtlinien >Downloads.
l Dateierweiterung: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei mit
einer Erweiterung anfordert, die blockiert werden soll. Mehr Informationen zumFest-
legen von Dateierweiterungen finden Sie unter Web Protection >Webfilter >Richtlinien >
Downloads.
l Dateigre: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei anfordert,
die die maximal erlaubte Dateigre berschreitet. Die maximale Download-Dateigre
legen Sie hier fest:Web Protection >Webfilter >Richtlinien >Downloads.
l Application Control: Diese Meldung wird angezeigt, wenn ein Benutzer versucht,
einen Netzwerkverkehrstyp zu verwenden, der durch Application Control blockiert wird.
Weitere Informationen zu Application Control finden Sie imKapitel Web Protection >App-
lication Control.
l Virus gefunden: Diese Meldung wird angezeigt, wenn eine Datei blockiert wird, die
einen Virus enthlt. Mehr Informationen ber Virenschutzeinstellungen finden Sie in
Web Protection >Webfilter >Richtlinien >Antivirus.
Download/Scan
l Download luft: Diese Meldung wird angezeigt, whrend eine Datei heruntergeladen
wird. Siehe Download Manager.
l Virenscan luft: Diese Meldung wird angezeigt, whrend die UTMDateien auf schd-
lichen Inhalt prft. Siehe Download Manager.
l Download abgeschlossen: Diese Meldung wird angezeigt, nachdemeine Datei kom-
plett heruntergeladen, gescannt und fr sicher befunden wurde. Siehe Download Mana-
ger.
Authentifizierung
94 UTM9 WebAdmin
l Transparenzmodus mit Authentifizierung: Diese Option gilt nur fr den Fall, dass
Sie den Webfilter imTransparenzmodus betreiben und die Authentifizierungsmethode
Browsergewhlt haben. Weitere Informationen finden Sie unter Web Protection >
Webfilterprofile >Filter Profiles. Der Text wird auf der Authentifizierungsseite angezeigt,
auf der sich Benutzer einloggen mssen, bevor sie den Webfilter benutzen drfen. Wenn
das Feld Nutzungsbedingungen Text enthlt, wird dieser auf der Authentifizierungsseite
angezeigt. Wenn das Feld leer ist, werden keine Nutzungsbedingungen angezeigt.
l Inhalts-Blockierung umgehen: Diese Meldung wird angezeigt, wenn eine Seite
durch Surf Protection blockiert ist und die Option, die Blockierung zu umgehen, aktiv ist
(siehe Web Protection >Filteroptionen >Benutzer umgehen). Wenn das Feld Nut-
zungsbedingungen ausgefllt ist, werden diese auf der Authentifizierungsseite ange-
zeigt. Wenn das Feld leer ist, werden keine Nutzungsbedingungen angezeigt.
Fehler
l Serverfehler: Diese Meldung wird angezeigt, wenn bei der Bearbeitung einer Benut-
zeranfrage ein Fehler auftritt.
Administratorangaben: Hier knnen Sie Informationen zumAdministrator angeben, der den
Webfilter verwaltet, einschlielich seiner E-Mail-Adresse.
4.8.2.1 Web-Meldung ndern
Umeine Meldung des Typs Blockierter Inhalt, Download/Scan, Authentifizierung oder Fehler
zu ndern:
1. Whlen Sie die Meldung aus.
Whlen Sie in der Auswahlliste Seite die Benutzermeldung aus, die Sie bearbeiten mch-
ten.
Betreff und Beschreibung dieser Meldung werden angezeigt.
2. ndern Sie den Betreff und/oder die Beschreibung.
Bearbeiten Sie den Standardtext nach Bedarf.
3. Klicken Sie auf bernehmen.
Die Textnderungen werden gespeichert.
4.8.2.2 Download-Verwaltung
Wenn der Webfilter aktiviert ist, zeigt der Webbrowser die folgenden Download-Seiten an,
sobald ein Benutzer versucht, Inhalte von mehr als 1MBGre herunterzuladen, die keinen
Text bzw. keine Bilder umfassen. Die Download-Seiten werden nicht angezeigt, wenn Video-
UTM9 WebAdmin 95
4 Verwaltung 4.8 Anpassungen
4.8 Anpassungen 4 Verwaltung
oder Audio-Streams angefordert werden oder wenn mehr als 50%einer Datei innerhalb von
fnf Sekunden heruntergeladen wurden.
Die Informationen auf den Download-Seiten knnen auf der Registerkarte Web-Meldungen
angepasst werden.
Figure 13 Anpassungen: HTTP-Download-Seite Schritt 1 von 3: Datei herunterladen
Figure 14 Anpassungen: HTTP-Download-Seite Schritt 2 von 3: Virenscan
96 UTM9 WebAdmin
Figure 15 Anpassungen: HTTP-Download-Seite Schritt 3 von 3: Datei komplett her-
untergeladen
4.8.3 Web-Vorlagen
Umdas Aussehen und den Inhalt von Meldungen, die Benutzern angezeigt werden, anzu-
passen, knnen Sie HTML-Dateien in Sophos UTMhochladen. Als Leitfaden bietet Sophos
mehrere Beispiel-Vorlagen. Diese Vorlagen zeigen Ihnen, wie Sie Variablen verwenden kn-
nen, umdynamisch Informationen einzufgen, die fr die einzelnen Benutzermeldungen wich-
tig sind. Wenn beispielsweise eine Datei blockiert wird, weil sie einen Virus enthlt, knnen Sie
eine Variable verwenden, die den Namen des blockierten Virus einfgt.
4.8.3.1 Web-Vorlagen anpassen
Warnung Das Anpassen von Sophos UTM-Benachrichtigungen ist ein Thema fr Fort-
geschrittene. Sie sollten diese Aufgabe nur dann angehen, wenn Sie ausreichende HTML-
und JavaScript-Kenntnisse besitzen.
Sie knnen angepasste Versionen von Sophos UTM-Benachrichtigungen hochladen, ein-
schlielich Meldungen ber blockierten Inhalt, Statusmeldungen, Fehlermeldungen und Ein-
gabeaufforderungen zur Authentifizierung. Die vier Beispielvorlagen enthalten Anwen-
dungsbeispiele fr Variablen und mehrere Bilder. Verwenden Sie fr Ihre spezifischen
Meldungen und Benachrichtigungen entweder die Beispielvorlagen als Basis oder laden Sie
UTM9 WebAdmin 97
4 Verwaltung 4.8 Anpassungen
4.8 Anpassungen 4 Verwaltung
Ihre eigenen HTML-Dateien hoch. Die gltigen Variablen sind imArtikel Using Variables in
UTMWeb Templates in der Sophos Knowledgebase beschrieben.
UmText aus einer Meldung zu verwenden, die auf der Registerkarte Web-Meldungen definiert
ist, knnen Sie die entsprechende Variable in Ihre benutzerspezifische Vorlage einfgen. Wei-
tere Informationen finden Sie unter Web-Meldungen.
Umdie Beispielvorlagen und Bilder herunterzuladen, klicken Sie auf den folgenden Link und
speichern Sie die .zip-Datei:
http://www.astaro.com/lists/Web_Templates.zip
4.8.3.2 Benutzerspezifische Web-Vorlagen und Bilder hoch-
laden
NachdemSie Ihre benutzerspezifische Vorlage bearbeitet und gespeichert haben, knnen Sie
sie in UTMhochladen.
Umeine Web-Vorlage oder ein Bild hochzuladen:
1. ffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie auf das Ordner-Symbol neben demNamen des Vorlagentyps, den Sie hoch-
laden mchten, oder klicken Sie auf das Ordner-Symbol neben Bilder, wenn Sie ein Bild
hochladen mchten.
Hinweis Die folgenden Dateitypen werden untersttzt: .png,.jpg, .jpegund .gif.
Das Dialogfeld Datei hochladen ffnet sich.
2. Whlen Sie die Vorlage oder das Bild.
Wechseln Sie in das Verzeichnis, in demsich die Vorlage oder das Bild befindet.
NachdemSie die Vorlage oder das Bild ausgewhlt haben, klicken Sie auf Hochladen
starten.
Das Dialogfenster Datei hochladen schliet sich.
3. Klicken Sie auf bernehmen.
Die Vorlage oder das Bild wird hochgeladen.
98 UTM9 WebAdmin
4.8.4 E-Mail-Mitteilungen
Passen Sie den Text in Benutzer-Mitteilungen an, die von den SMTP/POP3-Proxies von
Sophos UTMgeneriert werden. Sie knnen die Vorlagen in andere Sprachen bersetzen oder
sie zustzlich umKontaktinformationen erweitern, umnur einige Beispiele zu nennen. Die fol-
genden Meldungen knnen angepasst werden:
Quarantne
Aus Quarantne freigegebene E-Mail: Diese Meldung wird angezeigt, wenn eine E-Mail
erfolgreich aus der Quarantne freigegeben wurde.
Bei der Quarantne-Freigabe der E-Mail ist ein Fehler aufgetreten: Diese Meldung
wird angezeigt, wenn whrend der Freigabe einer E-Mail aus der Quarantne ein Fehler auf-
getreten ist.
POP3
POP3-Nachricht blockiert: Diese Meldung wird an den Empfnger gesendet, wenn eine
POP3-E-Mail blockiert wurde.
Figure 16 Anpassungen: Blockierte POP3-Proxy-Nachricht
4.9 SNMP
Das Simple Network Management Protocol (SNMP) wird dazu benutzt, Netzwerkelemente
wie Router, Server oder Switches von einer zentralen Station aus zu berwachen und zu steu-
ern. SNMPermglicht es einemAdministrator, sich schnell einen berblick ber den Zustand
der berwachten Netzwerkgerte zu verschaffen. Sophos UTMkann so konfiguriert werden,
dass sie auf SNMP-Anfragen antwortet oder SNMP-Traps an SNMP-Verwaltungstools
UTM9 WebAdmin 99
4 Verwaltung 4.9 SNMP
4.9 SNMP 4 Verwaltung
sendet. Ersteres wird mit Hilfe von sogenannten Management Information Bases (MIBs)
erreicht. Eine MIBdefiniert, welche Informationen zu welchen Netzwerkelementen abgerufen
werden knnen. Sophos UTMuntersttzt SNMPVersion 2 und 3 sowie die folgenden MIBs:
l DISMAN-EVENT-MIB: Management Information Base fr Ereignisse
l HOST-RESOURCES-MIB: Management Information Base fr Host-Ressourcen
l IF-MIB: Management Information Base fr Schnittstellengruppen
l IP-FORWARD-MIB: Management Information Base fr IP-bergabetabelle
l IF-MIB: Management Information Base fr das Internet Protocol (IP)
l NOTIFICATION-LOG-MIB: Management Information Base fr Benach-
richtigungsprotokolle
l RFC1213-MIB: Management Information Base fr die Netzwerkverwaltung von
TCP/IP-basiertemInternet: MIBII
l SNMPv2-MIB: Management Information Base fr das Simple Network Management
Protocol (SNMP)
l TCP-MIB: Management Information Base fr das Transmission Control Protocol (TCP)
l UDP-MIB: Management Information Base fr das User DatagramProtocol (UDP)
UmSysteminformationen zu Sophos UTMzu erhalten, mssen Sie einen SNMP-Manager ver-
wenden, der zumindest gegen die RFC1213-MIB(MIBII) kompiliert ist.
4.9.1 Anfrage
Auf der Seite Verwaltung >SNMP>Abfrage knnen Sie die Nutzung von SNMP-Abfragen akti-
vieren.
UmSNMP-Anfragen zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie SNMP-Anfragen.
Klicken Sie auf den Schieberegler.
Die Abschnitte SNMP-Versionund SNMP-Zugriffskontrolleknnen nun bearbeitet wer-
den.
2. Whlen Sie die SNMP-Version aus.
Whlen Sie imAbschnitt SNMP-Version aus der Auswahlliste eine Version aus. Fr
SNMPVersion 3 ist Authentifizierung erforderlich.
100 UTM9 WebAdmin
3. Whlen Sie die zugelassene Netzwerke aus.
Netzwerke imFeld Zugelassene Netzwerke drfen Anfragen an den SNMP-Agenten
von Sophos UTMstellen. Beachten Sie, dass der Zugriff immer auf das Leserecht (engl.
read-only) beschrnkt ist.
l Community-String: Geben Sie bei Nutzung von Version 2 einen Community-
String ein. Ein SNMP-Community-String dient als eine Art Kennwort fr den
Zugriff auf den SNMP-Agenten. Standardmig ist publicals SNMP-Com-
munity-String voreingestellt. Sie knnen diesen Wert nach Ihren Bedrfnissen
ndern.
Hinweis Der Community-String darf aus folgenden Zeichen bestehen: (az),
(AZ), (09), (+), (_), (@), (.), (-), (Leerzeichen).
l Benutzername/Kennwort: Bei Nutzung von Version 3 ist Authentifizierung erfor-
derlich. Geben Sie einen Benutzernamen und ein Kennwort ein (zweites Mal zur
Besttigung), damit der Remote-Administrator Anfragen versenden kann. Das
Kennwort muss mindestens acht Zeichen lang sein. SNMPv3 setzt fr die Authen-
tifizierung SHAund fr die Verschlsselung AESein. Beachten Sie, dass Benut-
zername/Kennwort fr beides verwendet werden.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Darber hinaus knnen Sie zustzliche Informationen zur UTMangeben.
Gertei nformati onen
Mit den Eingabefeldern imAbschnitt Gerteinformationen knnen Sie die UTMnher erlu-
tern, z. B. durch Angabe eines Gertenamens, des Standorts oder des zustndigen Admi-
nistrators. Diese Informationen knnen von SNMP-Verwaltungsprogrammen gelesen werden
und helfen bei der Identifikation der UTM.
Hinweis Beachten Sie, dass der gesamte SNMP-Datenverkehr (Protokollversion 2) zwi-
schen der UTMund den Zugelassenen Netzwerken unverschlsselt erfolgt und bei einem
Transfer ber ffentliche Netze mitgelesen werden kann.
Astaro Noti fi er MIB
In diesemAbschnitt knnen Sie den Astaro Notifier MIBherunterladen, der die Definitionen der
Sophos UTMSNMP-Benachrichtigungen enthlt, die auf Ihren aktuellen Einstellungen fr
UTM9 WebAdmin 101
4 Verwaltung 4.9 SNMP
4.9 SNMP 4 Verwaltung
Benachrichtigungs-Traps basieren. Aus historischen Grnden verwendet MIPden Astaro Pri-
vate Enterprise Code (SNMPv2-SMI::enterprises.astaro).
4.9.2 Traps
Auf der Registerkarte Traps knnen Sie einen SNMP-Trap-Server auswhlen, an den Benach-
richtigungen ber relevante Ereignisse auf der UTMper SNMP-Trap verschickt werden kn-
nen. Beachten Sie, dass spezielle SNMP-berwachungssoftware bentigt wird, umdie Traps
anzeigen zu knnen.
Die als SNMP-Traps verschickten Nachrichten enthalten einen sogenannten Object Identifier
(Objektidentifizierungsnummer) (OID), z. B. .1.3.6.1.4.1.9789, der zu den privaten Unter-
nehmensnummern gehrt, die von der IANAvergeben werden. Dabei ist .1.3.6.1.4.1der
Prfix, der fr iso.org.dod.internet.private.enterprisesteht, whrend 9789die pri-
vate Unternehmensnummer der Astaro GmbH&Co. KGist. Die OIDfr Benachrichtigungen
ist 1500, an die wiederumdie OIDs des Benachrichtigungstyps und die des dazugehrigen Feh-
lercodes (000-999) angehngt werden. Die folgenden Benachrichtigungstypen sind ver-
fgbar:
l DEBUG = 0
l INFO = 1
l WARN = 2
l CRIT = 3
Beispiel: Die Benachrichtigung INFO-302: Newfirmware Up2Date installedverwendet die
OID.1.3.6.1.4.1.9789.1500.1.302und bekommt die folgende Bezeichnung zugewiesen:
[<HOST>][INFO][302]
Beachten Sie, dass <HOST>ein Platzhalter fr den Hostnamen darstellt, und dass nur Typ und
Fehlercode aus der Betreffzeile der Benachrichtigung bermittelt werden.
Umeinen SNMP-Trap-Server auszuwhlen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neuer SNMP-Trap-Server.
Das Dialogfeld Neuen SNMP-Trap-Server erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Host: Die Host-Definition fr den SNMP-Trap-Server.
102 UTM9 WebAdmin
Community: Ein SNMP-Community-String dient als eine Art Kennwort fr den Zugriff
auf die Abfrage von SNMP-Nachrichten. Standardmig ist publicals SNMP-Com-
munity-String voreingestellt. Geben Sie hier den Community-String ein, der auf dem
SNMP-Trap-Server konfiguriert ist.
Hinweis Der Community-String darf aus folgenden Zeichen bestehen: (az), (AZ),
(09), (+), (_), (@), (.), (-), (Leerzeichen).
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Der neue SNMP-Trap-Server wird auf der Registerkarte Traps angezeigt.
4.10 Zentrale Verwaltung
ber das Men Zentrale Verwaltung werden Schnittstellen zu Verwaltungstools konfiguriert,
die verwendet werden knnen, umdas Gateway zu berwachen oder aus der Ferne zu ver-
walten.
4.10.1 Sophos UTMManager
Sophos UTMManager (SUM) ist Sophos' Produkt zur zentralen Verwaltung. Sie knnen meh-
rere UTM-Appliances mit einemSUMverbinden, ber den eine zentrale berwachung, Kon-
figuration und Wartung mglich ist. SUM4.2 untersttzt Konfiguration nur fr UTM9.2. Andere
Versionen von UTMwerden in SUMebenso dargestellt und knnen berwacht werden. Wenn
sich zumBeispiel ein UTM9.2 mit einemSUM4.1 verbindet, wird der "Legacy-Modus" aktiv.
Backups, MSP-Lizenzierung und Up2Date-Installationen sind dennoch mglich.
Auf dieser Registerkarte knnen Sie die Verbindung Ihrer UTMmit einemoder zwei SUMs kon-
figurieren.
Hinweis Wenn Sie die MSP-Lizenz nutzen, knnen folgende nderungen nur durch den
Sophos UTMManager (SUM) durchgefhrt werden:SUMdeaktivieren, SUM-Host ndern,
Rechte des SUM-Administrators ndern.
UTM9 WebAdmin 103
4 Verwaltung 4.10 Zentrale Verwaltung
4.10 Zentrale Verwaltung 4 Verwaltung
Damit Sophos UTMvon einemSUM-Server berwacht werden kann, gehen Sie fol-
gendermaen vor:
1. Aktivieren Sie die SUM-Funktionalitt auf der Registerkarte Sophos
UTMManager.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich SUM-Einstellungen kann bearbeitet wer-
den.
2. Geben Sie den SUM-Host an.
Whlen Sie einen SUM-Server aus, mit demsich die UTMverbinden soll, oder fgen Sie
einen hinzu.Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l Authentifizierung (optional): Wenn der SUM-Server Authentifizierung erfor-
dert, whlen Sie diese Option und geben Sie das Kennwort (vereinbarter Schls-
sel) an, das auf demSUM-Server konfiguriert ist.
l SUM-Server als Up2Date-Cache verwenden (optional): Up2Date-Pakete kn-
nen von einemZwischenspeicher (engl. cache) geholt werden, der sich auf dem
SUM-Server befindet. Wenn Sie diese Funktionalitt fr Ihr Gateway verwenden
wollen, whlen Sie die Option SUM-Server als Up2Date-Cache verwenden. Bitte
stellen Sie sicher, dass auf demSUM-Server, der Ihr Gert verwaltet, die Up2Da-
te-Cache-Funktionalitt ebenfalls aktiv ist. Beachten Sie, dass die Verwendung
der Up2Date-Cache-Funktionalitt und eines bergeordneten Proxy fr Up2Da-
te-Pakete sich gegenseitig ausschlieen.
3. Legen Sie die Berechtigungen des SUM-Administrators fest.
Der fr die UTMzustndige Administrator kann imSUMnur die Bereiche der UTMver-
walten, fr die hier eine ausdrckliche Berechtigung erteilt ist. Die hier aufgelisteten
Berechtigungen entsprechen demHauptmen und den Verwaltungsoptionen des SUM
Gateway Manager.
Administration: Bei Auswahl kann der Administrator die Funktionen in den Mens War-
tung und Verwaltung verwenden. Dadurch lsst sich beispielsweise der Bestand anzei-
gen. Auerdemknnen Backups erstellt und wiederhergestellt sowie geplante Vor-
gnge wie Firmware-Aktualisierungen durchgefhrt werden.
Berichte: Bei Auswahl kann der Administrator die Funktionen imBerichtsmen ver-
wenden. Er kann z.B. UTM-Berichte anfordern.
104 UTM9 WebAdmin
berwachung: Bei Auswahl wird die UTMauf den Seiten berwachung angezeigt und
der Administrator kann die entsprechenden Funktionen verwenden.
Konfiguration: Bei Auswahl kann der Administrator die Funktionen imMen Kon-
figuration verwenden. Er kann der UTMbeispielsweise Objekte (Netzwerke, Hosts,
VPNs) zuweisen.
Hinweis Weitere Informationen finden Sie imAdministratorhandbuch von Sophos
UTMManager.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Die UTMversucht nun, eine Verbindung zumSophos UTMManager aufzubauen.
Sobald eine Verbindung zwischen den beiden Systemen existiert, wird der Ver-
bindungsstatus grn. Die UTMkann dann vomhier gewhlten SUM-Server berwacht
und verwaltet werden. Den aktuellen Verbindungsstatus und den Zustand knnen Sie im
Bereich SUM-Zustand verfolgen. Ein Neuladen der Seite aktualisiert diese Daten. Nut-
zen Sie die Schaltflche Live-Protokoll ffnen und lesen Sie die angezeigten Meldungen
sorgfltig, umgegebenenfalls Verbindungsprobleme feststellen zu knnen.
Ei nstellungen fr ei nen zwei ten SUM
In diesemAbschnitt knnen Sie optional einen weiteren SUMhinzufgen. Das ist sinnvoll, wenn
Sie beispielsweise die Konfiguration selbst vornehmen (erster SUM-Server), aber Ihre Maschi-
nen dennoch von einemDritten berwachen lassen wollen, z.B. IhremMSSP(zweiten SUM-
Server). Die Einstellungen sind fast identisch mit denen des ersten SUM-Servers, lediglich die
Option Configuration fehlt, da diese nur demersten SUM-Server zur Verfgung steht.
Hinweis Beachten Sie, dass das Gateway und der SUM-Server ber Port 4433mit-
einander kommunizieren, wohingegen der Zugriff auf den Sophos UTMManager mit einem
Browser ber das HTTPS-Protokoll auf Port 4444fr die WebAdmin- und auf Port 4422fr
die Gateway-Manager-Schnittstelle erfolgt.
SUM-Zustand
Sie knnen den aktuellen Verbindungsstatus und Zustand imAbschnitt SUM-Zustand sehen.
Ein Neuladen der Seite aktualisiert diese Daten.
UTM9 WebAdmin 105
4 Verwaltung 4.10 Zentrale Verwaltung
4.11 Sophos Mobile Control 4 Verwaltung
SUM-Objekte
Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einemSUM
aus angelegt wurden und dieser SUMist nun getrennt von der Sophos UTM. SUM-erzeugte
Objekte knnen Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und
hnliches sein.
Die Schaltflche Objekte aufrumen kann angeklickt werden, umalle Objekte freizugeben, die
von demSUMangelegt wurden, mit demdas Systemehemals verwaltet wurde. Diese Objekte
sind normalerweise gesperrt und knnen auf demlokalen Gert nur angeschaut werden. Nach
Bettigung der Schaltflche werden die Objekte voll zugnglich und knnen vomlokalen Admi-
nistrator wiederverwendet oder gelscht werden.
Hinweis Wenn ehemalige SUM-erzeugte Objekte aufgerumt wurden, knnen sie nicht
zurckgewandelt werden, wenn das Gert wieder mit demselben SUMverbunden wird. Das
bedeutet, wenn ein entfernter SUMnoch Objektdefinitionen fr ein Gert bereithlt, das sich
spter wieder mit ihmverbindet, so werden diese Objekte erneut auf das Gert bertragen
obwohl dann bereits lokale Kopien existieren.
Li ve-Protokoll
Sie knnen das Live-Protokoll verwenden, umdie Verbindung zwischen der Sophos UTMund
demSUMzu beobachten. Klicken Sie auf die Schaltflche Live-Protokoll ffnen, umdas Live-
Protokoll in einemneuen Fenster zu ffnen.
4.11 Sophos Mobile Control
Sophos Mobile Control (SMC) ermglicht es Ihnen, mobile Gerte, wie Smartphones und
Tablets (iOS, Android oder Windows Phone) zu koordinieren. Hier knnen Sie den Bestim-
mungen entsprechende Gerte und Benutzer festlegen, Firmen-E-Mails auf mobilen Gerten,
die ein Gateway zu Exchange ActiveSync verwenden zu sichern und regeln, welche Apps instal-
liert werden drfen.
Weitere Informationen finden Sie auf der Sophos SMC-Website.
Auf der Sophos UTMknnen Sie sich mit SMCverbinden umeine bersicht ber Gerte und
Benutzer zu bekommen, die den Bestimmungen entsprechen, Netzwerkzugriff fr VPNund
WLAN-Netzwerke festlegen und Netzwerkkonfigurationen auf den SMC-Server zu kopieren.
106 UTM9 WebAdmin
4.11.1 Allgemein
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Allgemein knnen Sie den
Sophos Mobile Control-Host festlegen und Kundendetails sowie Anmeldeinformationen fr
den SMC-Server angeben.
1. Sophos Mobile Control aktivieren:
Klicken Sie auf den Schieberegler.
2. Nehmen Sie die folgenden Einstellungen vor:
SMC-Server: Whlen Sie einen Server aus, mit demsich SMCverbinden soll, oder
fgen Sie einen hinzu.
Kunde: Geben Sie den Kunden fr SMCan.
Benutzername: Geben Sie den Benutzernamen fr SMCan.
Kennwort: Geben Sie das Kennwort fr SMCan.
Hinweis In Sophos UTMknnen Sie keinen neuen Kunden anlegen oder Kenn-
wrter definieren. Neue Kunden knnen nur direkt in SMCangelegt werden.
CA-Zertifikat: Whlen Sie das offizielle Web CAoder ein benutzerspezifisches CA-Zer-
tifikat aus. Auf der Registerkarte Site-to-site VPN>Zertifikatverwaltung >CAknnen Sie
neue CAs zu der Einheit hinzufgen.
3. Klicken Sie SMC-Einstellungen testen:
Das Dialogfenster Information ffnet sich.
l Verbindungstest bestanden: Die Verbindung zumSMC-Server war erfolg-
reich.
l Verbindungstest fehlgeschlagen: Die Verbindung zumSMC-Server war
nicht erfolgreich.
Hinweis Wenn die Verbindung zumSMC-Server nicht erfolgreich war, kn-
nen Sie imLive-Protokoll von Sophos Mobile Control nachsehen, umdas Pro-
blemzu finden.
UTM9 WebAdmin 107
4 Verwaltung 4.11 Sophos Mobile Control
4.11 Sophos Mobile Control 4 Verwaltung
4. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Debug-Modus aktivieren: Diese Funktion kontrolliert, wie viel Output imSophos Mobi-
le Control-Protokoll generiert wird. Whlen Sie diese Funktion aus, wenn Sie zumBei-
spiel Verbindungsprobleme erkennen und nhere Informationen ber die Client-Para-
meter bentigen.
5. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Li ve-Protokoll ffnen
ImSophos Mobile Control-Live-Protokoll werden die Aktivitten auf der Sophos Mobile Con-
trol-Schnittstelle protokolliert. Klicken Sie auf Live-Protokoll ffnen, umdas Sophos Mobile Con-
trol-Protokoll in einemneuen Fenster zu ffnen.
4.11.2 bereinstimmungsbersicht
Auf der Registerkarte Verwaltung >Sophos Mobile Control >bereinstimmungsbersicht sind
alle mobilen Gerte aufgelistet, die mit der Sophos UTMverbunden sind. Folgende Infor-
mationen stehen zur Verfgung:
l Gerte, die nicht den Bestimmungen entsprechen: Zeigt die MAC-Adresse der
Gerte, die nicht den Bestimmungen entsprechen und fr die WLAN-Netzwerk-Blacklist
verwendet werden.
l Gerte, die den Bestimmungen entsprechen: Zeigt die MAC-Adresse der Gerte,
die den Bestimmungen entsprechen und fr die WLAN-Netzwerk-Whitelist verwendet
werden.
l Benutzer, die nicht den Bestimmungen entsprechen: Zeigt die Namen der Benut-
zer, die nicht den Bestimmungen entsprechen und die auf der VPN-Blacklist stehen.
4.11.3 Netzwerk-Zugriffskontrolle
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Allgemein knnen Sie die Netz-
werkzugriffskontrolle fr Ihre VPN-Verbindungen und WLAN-Netzwerke einstellen. Gerte,
die nicht den Bestimmungen entsprechen werden fr die angegebene VPN-Verbindung oder
fr WLAN-Netzwerke blockiert.
108 UTM9 WebAdmin
1. Entsprechende VPN oder WLAN-Netzwerke erzwingen.
Definieren Sie die VPNund WLAN-Netzwerke, die fr Benutzer blockiert werden sollen,
wenn ihre mobilen Gerte nicht den Firmenbestimmungen entsprechen.
l Fr L2TP via IPsec erzwingen: Wenn ausgewhlt, knnen nicht den Bestim-
mungen entsprechende Benutzer nicht mit L2TPvia IPsec auf Sophos Mobile Con-
trol zugreifen.
l Fr Cisco VPN erzwingen: Wenn ausgewhlt, knnen nicht den Bestim-
mungen entsprechende Benutzer nicht mit CiscoVPNauf Sophos Mobile Con-
trol zugreifen.
l Zugriff auch fr andere VPN-Protokolle verweigern: Wenn ausgewhlt, kn-
nen nicht den Bestimmungen entsprechende Benutzer nicht auf Sophos Mobile
Control zugreifen.
2. Fr WLAN-Netzwerke erzwingen.
Whlen Sie das/die WLAN-Netzwerke aus, mit denen nicht den Bestimmungen ent-
sprechende Gerte sich nicht mit Sophos Mobile Control verbinden drfen.
3. bereinstimmungsstatus abrufen.
Geben Sie das Intervall zumAbruf in Minuten (1-60) an. Innerhalb dieses Intervalls ruft
Sophos UTMden aktuellen bereinstimmungsstatus vomSMC-Server ab.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
4.11.4 Konfigurationseinstellungen
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Konfigurationseinstellungen kn-
nen Sie VPN- und WLAN-Netzwerk-Konfigurationen von der WebAdmin auf den SMC-Server
kopieren.
1. Konfigurationseinstellungen fr Sophos Mobile Control
Legen Sie fest, welche VPN- und WLAN-Netzwerk-Konfigurationen Sie auf den SMC-
Server kopieren mchten.
l L2TP ber IPsec-Konfiguration: Wenn ausgewhlt, wird die L2TPber IPsec-
Konfiguration auf den SMC-Server kopiert.
l Cisco VPN-Konfiguration: Wenn ausgewhlt, wird die CiscoVPN-Kon-
figuration auf den SMC-Server kopiert.
UTM9 WebAdmin 109
4 Verwaltung 4.11 Sophos Mobile Control
4.12 Hochverfgbarkeit 4 Verwaltung
2. WLAN-Netzwerke.
Whlen Sie die WLAN-Netzwerke, die Sie auf den SMC-Server kopieren mchten.
3. EAP-Methoden
Whlen Sie die EAP-Methode (engl. Extensible Authentication Protocol), die Sie fr die
WLAN-Netzwerk Enterprise-Authentifizierung verwenden mchten. EAPist eine Authen-
tifizierungsumgebung die den Transport und die Nutzung von Schlsselungsmaterial
und Parametern zur Verfgung stellt, die von EAP-Methoden generiert werden.
l PEAP: Protected Extensible Authentication Protocol
l LEAP: Lightweight Extensible Authentication Protocol
l FAST: Flexible Authentication via Secure Tunneling
l TLS: Transport Layer Security
l TTLS: Tunneled Transport Layer Security
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Konfiguration pushe
Umdie aktuelle Konfiguration auf den SMC-Server zu kopieren, klicken Sie auf die Schaltflche
Konfiguration jetzt kopieren.
Hinweis Verwenden Sie diese Funktion nur in Ausnahmen, zumBeispiel wenn die Server
whrend der bertragung offline waren. Diese Schaltflche ist nicht zwingend fr das stan-
dardmige Kopieren der Konfiguration erforderlich.
4.12 Hochverfgbarkeit
In den allermeisten Fllen ist ein Hardware-Fehler fr den Ausfall eines Inter-
netsicherheitssystems verantwortlich. Die Fhigkeit eines Systems, bei Ausfall einer seiner
Komponenten uneingeschrnkten Betrieb zu gewhrleisten, wird auch Failover bzw. Hoch-
verfgbarkeit genannt (HA, High-Availability). Sophos UTMbietet Hochverfgbarkeit, indemes
ermglicht, ein redundantes Hot-Standby-Systemzu konfigurieren, das imFalle eines tech-
nischen Versagens des Primrsystems dessen Aufgaben bernimmt (aktiv-passiv). Alternativ
dazu knnen Sie Sophos UTMals Cluster konfigurieren, der speziellen Datenverkehr auf meh-
110 UTM9 WebAdmin
rere Maschinen verteilt (aktiv-aktiv), wie man es von konventionellen Lsungen zur Last-
verteilung kennt. Das fhrt zu optimaler Ressourcenauslastung und verringert Rechenzeit.
Die Konzepte Hochverfgbarkeit und Cluster hneln sich hinsichtlich ihrer Implementierung in
Sophos UTMsehr. So kann z.B. ein hochverfgbares Systemals ein Zwei-Knoten-Cluster
angesehen werden, was die Mindestanforderung an ein redundantes Systemdarstellt.
Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen annehmen:
l Master: Das Primrsystemin einemHot-Standby-/Cluster-Aufbau. Innerhalb eines
Clusters sorgt der Master fr die Synchronisierung und Verteilung der Daten.
l Slave: Das Sekundrsystemin einemHot-Standby-/Cluster-Aufbau, das den Betrieb
sicherstellt, falls das Primrsystemausfllt.
l Worker: Ein einfacher Cluster-Knoten, der nur fr die Datenverarbeitung zustndig ist.
Alle Knoten berwachen sich gegenseitig mit Hilfe eines sogenannten Heartbeat-Signals, ein in
periodischen Abstnden verschicktes Multicast-UDP-Datenpaket, umfestzustellen, ob die
anderen Knoten noch amLebensind (daher der Begriff Heartbeat, dt. Herzschlag). Falls auf-
grund eines technischen Fehlers einer der Knoten kein Heartbeat-Signal mehr aussenden
kann, wird er als tot betrachtet. Je nach der Rolle, die der ausgefallene Knoten innehatte,
ndert sich die Konfiguration des Aufbaus wie folgt:
l Falls der Master-Knoten ausfllt, bernimmt der Slave-Knoten seinen Platz und der Wor-
ker-Knoten mit der hchsten IDwird Slave.
l Falls der Slave-Knoten ausfllt, wird der Worker-Knoten mit der hchsten IDzumSlave.
l Falls ein Worker-Knoten ausfllt, bemerken Sie imHchstfall Leistungseinbuen auf-
grund der verringerten Rechenleistung. Die Ausfallsicherheit ist dadurch nicht beein-
trchtigt.
Berichte
Alle Berichtsdaten werden auf demMaster-Knoten konsolidiert und in Abstnden von fnf Minu-
ten auf die anderen Knoten bertragen. ImFall einer bernahme durch das Sekundrsystem
verlieren Sie daher hchstens fnf Minuten an Daten. Es gibt allerdings einen Unterschied hin-
sichtlich der Zusammenfassung der Daten. Die Diagramme auf den Registerkarten Protokolle
&Berichte >Hardware reprsentieren lediglich die Daten des Knotens, der gerade Master ist.
Netzwerkverkehrsdaten wiederum, wie sie beispielsweise auf der Seite Protokolle &Berichte >
Netzwerknutzung angezeigt werden, reprsentieren Daten von allen beteiligten Knoten. So
zeigt z. B. das Histogrammder heutigen CPU-Auslastung die aktuelle Prozessorauslastung
UTM9 WebAdmin 111
4 Verwaltung 4.12 Hochverfgbarkeit
4.12 Hochverfgbarkeit 4 Verwaltung
des Master-Knotens. ImFall einer bernahme durch den Slave wren dies dann die Daten des
Slave. ImGegensatz dazu enthalten z. B. die Informationen ber die hufigsten Netz-
werkdienste die Daten aller Knoten, die bei der verteilten Verarbeitung des Datenverkehrs invol-
viert waren.
Hinweise
l Das Address Resolution Protocol (ARP) wird nur vomtatschlichen Master benutzt, d.h.
Slave- und Worker-Knoten senden und beantworten keine ARP-Anfragen.
l ImFall einer bernahme fhrt die Einheit, die die Aufgaben bernimmt, eine ARP-
Bekanntgabe (auch bekannt als gratuitous ARP) durch. Gewhnlich dient diese ARP-
Anfrage dazu, den ARP-Cache der Hosts, die diese Anfrage erhalten, zu aktualisieren.
Die ARP-Bekanntgabe wird dazu benutzt, bekannt zu geben, dass die IP-Adresse des
Masters auf den Slave bertragen wurde.
l Alle Schnittstellen, die auf demMaster konfiguriert sind, mssen eine physikalische Ver-
bindung haben, das heit, der Port muss korrekt mit einemNetzwerkgert verbunden
sein.
4.12.1 Hardware- und Software-Voraussetzungen
Die folgenden Hardware- und Software-Voraussetzungen mssen fr die HA- und Cluster-
Funktionalitt erfllt sein:
l Gltige Lizenz mit aktivierter HA-Option (fr das Standby-Gert bentigen Sie lediglich
eine zustzliche Basislizenz).
l Zwei UTM-Gerte mit identischer Software-Version und identischer Hardware oder
zwei UTM-Appliances des gleichen Modells.
l Heartbeat-fhige Ethernet-Netzwerkkarten. Auf der HCL (Hardware Compatibility List)
knnen Sie nachsehen, welche Netzwerkkarten untersttzt werden. Die HCL befindet
sich in der Sophos Knowledgebase (verwenden Sie HCLals Suchbegriff).
l Ethernet-Crosskabel (fr die Verbindung zwischen Master und Slave in einemHot-
Standby-System). UTM -Appliances der Modelle 320, 425 und 525, deren dedizierte
HA-Schnittstelle eine Gigabit-auto-MDX-Schnittstelle ist, knnen auch durch ein Stan-
dard-Ethernetkabel der IEEE-Norm802.3 miteinander verbunden werden.
l Netzwerk-Switch (umCluster-Knoten miteinander zu verbinden).
112 UTM9 WebAdmin
4.12.2 Status
Die Registerkarte Verwaltung >Hochverfgbarkeit >Status fhrt alle Gerte auf, die zu einem
Hot-Standby-Systembzw. Cluster gehren, und zeigt die folgenden Informationen an:
l ID: Die Knoten-IDdes Gerts. In einemHot-Standby-Systemist die IDentweder 1(Mas-
ter) oder 2(Slave).
Die IDin einemCluster reicht von 1 bis 10, da ein Cluster aus maximal zehn Knoten beste-
hen kann.
l Rolle: Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen anneh-
men:
l MASTER: Das Primrsystemin einemHot-Standby-/Cluster-Aufbau. Innerhalb
eines Clusters sorgt der Master fr die Synchronisierung und Verteilung der
Daten.
l SLAVE: Das Sekundrsystemin einemHot-Standby-/Cluster-Aufbau, das den
Betrieb sicherstellt, falls das Primrsystemausfllt.
l WORKER: Ein einfacher Cluster-Knoten, der nur fr die Datenverarbeitung
zustndig ist.
l Gertename: Der Name des Gerts.
l Status: HA-Status des Knotens. Die folgenden Werte sind mglich:
l AKTIV: Der Knoten ist voll funktionsfhig. ImFalle eines Hot-Standby-Setups
(aktiv-passiv) ist dies der Status des Aktiv-Knotens.
l READY:Der Knoten ist voll funktionsfhig. ImFalle eines Hot-Standby-Setups
(aktiv-passiv) ist dies der Status des Passiv-Knotens.
l UNLINKED: Eine oder mehrere Schnittstellen sind nicht verbunden.
l UP2DATE: Auf demKnoten wird gerade ein Up2Date ausgefhrt.
l UP2DATEFEHLGESCHLAGEN: Das Up2Date auf demKnoten ist fehl-
geschlagen.
l TOT: Der Knoten ist nicht erreichbar.
l SYNCING: Die Datensynchronisierung luft. Dieser Status wird angezeigt, wenn
ein bernahmevorgang stattfindet. Die anfngliche Synchronisierungszeit betrgt
mindestens fnf Minuten. Sie kann jedoch durch alle an der Synchronisierung
beteiligten Programme verlngert werden. Whrend ein SLAVEsynchronisiert
UTM9 WebAdmin 113
4 Verwaltung 4.12 Hochverfgbarkeit
4.12 Hochverfgbarkeit 4 Verwaltung
und sich imZustand SYNCINGbefindet, findet keine bernahme, z.B. wegen
eines Linkausfalls auf demMaster-Knoten, statt.
l Version: Versionsnummer der Sophos UTM-Software, die auf demSysteminstalliert
ist.
l Letzte Statusnderung: Zeitpunkt der letzten Statusnderung.
Neustart/Herunterfahren: Mit diesen Schaltflchen kann ein Gert manuell neu gestartet
oder heruntergefahren werden.
Knoten entfernen: Verwenden Sie diese Schaltflche, umeinen toten Cluster-Knoten ber
WebAdmin zu entfernen. Alle knotenspezifischen Daten wie E-Mail-Quarantne und Spool wer-
den dann vomMaster bernommen.
Klicken Sie auf die Schaltflche HA-Live-Protokoll ffnen in der rechten oberen Ecke, umdas
Hochverfgbarkeits-Live-Protokoll in einemseparaten Fenster zu ffnen.
4.12.3 Systemstatus
Die Registerkarte Verwaltung >Hochverfgbarkeit >Systemstatus fhrt alle Gerte auf, die zu
einemHot-Standby-Systembzw. Cluster gehren, und zeigt Informationen ber die Res-
sourcennutzung jedes einzelnen Gertes an:
l Die CPU-Auslastung in Prozent
l Die RAM-Auslastung in Prozent
l Der von der Swap-Partition genutzte Festplattenplatz in Prozent
l Der von der Protokollpartition (engl. log partition) belegte Festplattenplatz in Prozent
l Der von der Root-Partition belegte Festplattenplatz in Prozent
l Der Status des USV-Gertes (unterbrechungsfreie Stromversorgung) (falls vor-
handen)
4.12.4 Konfiguration
Die HA-Funktionalitt von Sophos UTMumfasst vier Grundeinstellungen:
l Aus
l Automatische Konfiguration
114 UTM9 WebAdmin
l Hot-Standby (aktiv-passiv)
l Cluster (aktiv-aktiv)
Automatische Konfiguration:Sophos UTMverfgt ber eine Plug-and-Play-Kon-
figurationsoption speziell fr UTM-Appliances, die es ermglicht, ein Hot-Standby-Systembzw.
ein Cluster aufzubauen, ohne jedes Gert einzeln konfigurieren oder manuell installieren zu
mssen, das zumCluster hinzugefgt werden soll. Dazu verbindet man einfach die HA-Schnitt-
stellen (eth3) der UTM-Appliances miteinander und whlt auf allen Gerten jeweils die Option
Automatische Konfiguration.
Hinweis Damit die Automatische Konfiguration funktioniert, mssen alle UTM-Appliances
vomgleichen Modell sein. Sie knnen z. B. nur zwei UTM-320-ApUTMpliances zumAufbau
eines HA-Systems verwenUTMden; eine 220 kann hingegen nicht mit einer 320 kombiniert
werden.
Wenn Sie zwei UTM-Appliances ber die entsprechende Schnittstelle miteinander verbinden,
erkennen sich alle Gerte gegenseitig und konfigurieren sich selbststndig als HA-System. Das
Gert mit der lngeren Betriebszeit wird Master. Imunwahrscheinlichen Fall, dass die Betriebs-
zeit identisch ist, wird die Entscheidung, welches Gert Master werden soll, anhand der MAC-
Adresse getroffen.
Wenn Sie UTM-Software verwenden, wird die Option Automatische Konfiguration auf dedi-
zierten Slave-Systemen dazu benutzt, automatisch einemMaster- oder bereits konfigurierten
Hot-Standby-Systembzw. Cluster beizutreten. Aus diesemGrund ist Automatische Kon-
figuration eher als bergangsmodus denn als eigenstndiger HA-Betriebsmodus zu ver-
stehen. Denn der HA-Betriebsmodus ndert sich in Hot-Standby oder Cluster, sobald das
Gert mit der Einstellung Automatische Konfiguration einemHot-Standby-Systembzw. Cluster
beitritt. Voraussetzung dafr allerdings ist, dass die Option Automatische Konfiguration neuer
Gerte aktivieren auf demMaster aktiviert ist. Diese Funktion sorgt dafr, dass genau die Ger-
te automatisch einemHot-Standby-Systembzw. Cluster hinzugefgt werden, deren HA-
Betriebsmodus auf Automatische Konfiguration steht.
Hot-Standby (aktiv-passiv):Sophos UTMkann als Hot-Standby-System, bestehend aus
zwei Knoten, konfiguriert werden, was die Mindestvoraussetzung fr ein redundantes System
ist. Eine der grten technischen Verbesserungen der Sophos UTMSoftware 9 ist, dass die
Latenzzeit fr eine bernahme durch das Standby-Gert auf weniger als zwei Sekunden ver-
ringert werden konnte. Zustzlich zur Firewall-Synchronisierung bietet das Gateway auch eine
IPsec-Tunnel-Synchronisierung. Dies bedeutet, dass weder Road-Warrior- noch entfernte
UTM9 WebAdmin 115
4 Verwaltung 4.12 Hochverfgbarkeit
4.12 Hochverfgbarkeit 4 Verwaltung
VPN-Gateway-Verbindungen nach einer bernahme neu aufgebaut werden mssen. Objek-
te, die sich in Quarantne befinden, werden ebenfalls synchronisiert und sind so auch nach
einemAusfall des Primrsystems noch verfgbar.
Cluster (aktiv-aktiv): (nicht verfgbar mit BasicGuard-Abonnement) Umder steigenden
Nachfrage nach der Verarbeitung von groen Mengen an Internetverkehr in Echtzeit gerecht
zu werden, kann Sophos UTMals Cluster konfiguriert werden. Ein Cluster besteht aus meh-
reren Knoten, auf die rechenintensive Aufgaben wie z. B. Inhaltsfilterung, Virenscans, Angriffs-
schutz und Entschlsselung gleichmig verteilt werden knnen. So kann ohne ein spezielles
Loadbalancer-Gert die Gesamtleistung des Gateways deutlich erhht werden.
Hinweis Wenn Sie einen Cluster konfigurieren, stellen Sie sicher, dass Sie den
Master zuerst konfigurieren, bevor Sie die anderen Gerte mit demSwitch ver-
binden.
Die Einrichtung von Master, Slaves und Workers unterscheidet sich nur in wenigen Punkten.
Gehen Sie folgendermaen vor:
1. Whlen Sie einen HA-Betriebsmodus.
Standardmig ist die HA-Funktion deaktiviert. Die folgenden Modi sind mglich:
l Automatische Konfiguration
l Hot-Standby (aktiv-passiv)
l Cluster (aktiv-aktiv)
Hinweis Falls Sie den Betriebsmodus spter ndern mchten, mssen Sie vorher
den Modus auf Aus stellen. Erst danach knnen Sie einen der Betriebsmodi Auto-
matische Konfiguration, Hot-Standby oder Cluster whlen.
Hinweis Wenn die Lizenz/das Abonnement abgelaufen oder nicht vorhanden ist,
kann der Betriebsmodus nur auf Aus und demaktuellen Betriebsmodus gendert wer-
den.
Abhngig von Ihrer Auswahl werden eine oder mehrere Optionen angezeigt.
2. Nehmen Sie die folgenden Einstellungen vor:
116 UTM9 WebAdmin
Sync NIC: Whlen Sie die Netzwerkkarte aus, ber die Master- und Slave-Systeme mit-
einander kommunizieren. Wenn Linkbndelung aktiviert ist, knnen Sie hier auch eine
Linkbndelungsschnittstelle sehen.
Hinweis Beachten Sie, dass nur jene Schnittstellen angezeigt werden, die noch nicht
konfiguriert wurden. Es ist mglich, die Synchronisierungsschnittstelle in einer lau-
fenden Konfiguration zu ndern. Beachten Sie, dass danach alle Knoten einen Neu-
start durchfhren werden.
Die folgenden Optionen knnen nur konfiguriert werden, wenn entweder Hot-Standby
oder Cluster als Betriebsmodus ausgewhlt wurde:
Gertename: Geben Sie einen aussagekrftigen Namen fr das Gert ein.
Device Node ID: Weisen Sie demGert eine Knoten-IDzu. ImFall eines Ausfalls des
Primrsystems wird der Knoten mit der hchsten IDMaster.
Encryption Key: Das Kennwort, mit demdie Kommunikation zwischen Master und Sla-
ve verschlsselt wird (zur Sicherheit mssen Sie das Kennwort zweimal eingeben). Der
Schlssel darf maximal 16 Zeichen lang sein.
3. Klicken Sie auf bernehmen.
Die Konfiguration der HA-Ausfallsicherheit auf demGert ist damit abgeschlossen.
Das Gateway imHot-Standby-Modus wird in regelmigen Abstnden ber die Sync-NIC
(Synchronisierungsschnittstelle) aktualisiert. Sollte das Primrsystemausfallen, wird das Sekun-
drsystemunmittelbar in den normalen Modus wechseln und die Aufgaben des Primrsystems
bernehmen.
Hinweis Wenn Sie ein Hot-Standby-Systembzw. einen Cluster deaktivieren, fhren die Sla-
ve- und Worker-Knoten eine Werkszurcksetzung durch und fahren herunter.
Weitere Informationen zu diesemThema (insbesondere Anwendungsflle) finden Sie im
HA/Cluster Guide in der Sophos-Knowledgebase.
Erwei tert
In diesemAbschnitt knnen Sie einige erweiterte Einstellungen vornehmen.
Automatische Konfiguration neuer Gerte aktivieren: Wenn Sie ein Hot-Standby-Sys-
tembzw. einen Cluster manuell konfiguriert haben, sorgt diese Option dafr, dass genau die
UTM9 WebAdmin 117
4 Verwaltung 4.12 Hochverfgbarkeit
4.12 Hochverfgbarkeit 4 Verwaltung
Gerte automatisch zu einemHot-Standby-Systembzw. Cluster hinzugefgt werden, deren
HA-Betriebsmodus auf Automatische Konfiguration steht. Da diese Option jedoch keinen Effekt
auf Slave-Systeme hat, knnen Sie die Option aktiviert lassen, was der Standardeinstellung ent-
spricht.
Knoten whrend eines Up2Date zurckhalten: Aktivieren Sie diese Option, damit wh-
rend eines Updates auf eine neue Systemversion die Hlfte der HA/Cluster-Knoten die aktuelle
Systemversion beibehlt. Sobald die neue Version stabil ist, knnen Sie die verbleibenden Kno-
ten auf der Seite Verwaltung >Hochverfgbarkeit >Status aktualisieren. Falls die neue Version
einen Ausfall der aktualisierten Knoten zur Folge hat, bilden die verbleibenden Knoten einen
neuen HA/Cluster mit der alten Version. Anschlieend knnen Sie auf den nicht mehr funk-
tionierenden Knoten wieder die alte Version installieren oder auf das nchste Update warten.
Wenn Knoten whrend Up2Date zurckhalten aktiv ist, werden reservierte Knoten nach einem
Update nicht mehr synchronisiert, da die Synchronisation nur funktioniert, wenn Knoten die glei-
che Systemversion besitzen. Stattdessen wird der Status der reservierten Knoten erhalten.
Wenn Sie daher aus irgendeinemGrund die reservierten Knoten reaktivieren, sind alle Kon-
figurationsnderungen und Berichtsdaten aus der Zeit zwischen Updatebeginn und Reak-
tivierung verloren.
Bevorzugter Master: Hier knnen Sie einen designierten Master-Knoten bestimmen, indem
Sie einen Knoten von der Auswahlliste whlen. ImFall einer bernahme wird der gewhlte
Knoten nicht imSlave-Modus bleiben, nachdemdie Verbindung wiederhergestellt ist, sondern
in den Master-Modus zurckkehren.
Backup-Schnittstelle: Umzu verhindern, dass sowohl Master als auch Slave gleichzeitig
Master werden (Master-Master-Situationen), beispielsweise durch ein Versagen der HA-Syn-
chronisierungsschnittstelle oder das Abziehen eines Netzwerkkabels, kann eine Heartbeat-fhi-
ge Backup-Schnittstelle ausgewhlt werden. Diese zustzliche Heartbeat-fhige Schnittstelle
kann eine beliebige konfigurierte und aktive Ethernet-Schnittstelle sein. Wenn eine Backup-
Schnittstelle gewhlt wurde, wird ein zustzliches Heartbeat-Signal ber diese Schnittstelle in
eine Richtung vomMaster zumSlave gesendet, umsicherzustellen, dass die Master-Slave-
Konfiguration intakt bleibt. Wenn die Master-Slave-Verbindung deaktiviert ist und die Backup-
Schnittstelle aktiv wird, erhlt der Administrator eine Benachrichtigung, die ihn darber infor-
miert, dass einer der Cluster-Knoten tot ist. Da diese Option jedoch keinen Effekt auf Slave-Sys-
teme hat, knnen Sie sie unkonfiguriert lassen.
118 UTM9 WebAdmin
Hinweis Wenn die HA-Synchronisierungsschnittstelle ausfllt, wird keine Kon-
figuration mehr synchronisiert. Die Backup-Schnittstelle verhindert lediglich Master-Mas-
ter-Situationen.
4.13 Ausschalten/Neustart
Auf dieser Registerkarte knnen Sie die Sophos UTMmanuell herunterfahren oder neu star-
ten.
Herunterfahren: Mit dieser Aktion knnen Sie das Systemherunterfahren und alle Dienste
ordnungsgem stoppen. Falls Sie keinen Monitor oder LCD-Display angeschlossen haben,
wird das erfolgreiche Herunterfahren durch eine endlose Reihe von Pieptnen imAbstand von
einer Sekunde signalisiert.
Umdie Sophos UTMherunterzufahren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Systemjetzt herunterfahren.
2. Besttigen Sie den Warnhinweis.
Besttigen Sie die Sicherheitsabfrage Systemwirklich herunterfahren?mit OK.
Das Systemfhrt anschlieend herunter.
Abhngig von der verwendeten Hardware und Konfiguration kann dieser Prozess mehrere
Minuten dauern. Sie sollten das Gert erst dann ausschalten, nachdemes vollstndig her-
untergefahren ist. Wenn Sie das Gert vorher ausschalten, wird das Systembeimnchsten
Start den Zustand des Dateisystems berprfen, was den Startvorgang erheblich verzgert.
Imschlimmsten Fall knnen Daten verloren gehen.
Einen erfolgreichen Systemstart signalisiert das Gert mit fnf aufeinanderfolgenden Piep-
tnen.
Neustart: Mit dieser Aktion knnen Sie das Systemneu starten. Abhngig von der ver-
wendeten Hardware und Konfiguration kann dieser Prozess mehrere Minuten dauern.
Umdie Sophos UTMneu zu starten, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Systemjetzt neu starten.
2. Besttigen Sie den Warnhinweis.
Besttigen Sie die Sicherheitsabfrage Systemwirklich neu starten?mit OK.
UTM9 WebAdmin 119
4 Verwaltung 4.13 Ausschalten/Neustart
4.13 Ausschalten/Neustart 4 Verwaltung
Das Systemfhrt herunter und startet anschlieend neu.
120 UTM9 WebAdmin
5 Definitionen & Benutzer
In diesemKapitel wird die Konfiguration von Netzwerk-, Dienst- und Zeitraumdefinitionen
beschrieben, die von Sophos UTMverwendet werden. Die Definitionenbersicht imWebAd-
min zeigt die Anzahl aller Netzwerkdefinitionen in Abhngigkeit von ihremTyp und die Anzahl
aller Dienstdefinitionen in Abhngigkeit von ihremProtokolltyp.
Die Seiten des Mens Definitionen &Benutzer ermglichen die zentrale Definition von Netz-
werken und Diensten, die dann berall in den Konfigurationsmens verwendet werden kn-
nen. Dies erlaubt es Ihnen, berall mit einheitlichen Namen zu arbeiten, anstatt mit unein-
gngigen IP-Adressen, Portnummern und Netzmasken. Ein weiterer Vorteil von Definitionen
liegt darin, dass Sie individuelle Netzwerke und Dienste gruppieren und dadurch auf einmal kon-
figurieren knnen. Wenn Sie dann beispielsweise spter nderungen an den Einstellungen die-
ser Gruppe vornehmen, gelten diese fr alle darin enthaltenen Netzwerke und Dienste.
Zudembeschreibt dieses Kapitel die Konfiguration von Benutzerkonten, Benutzergruppen und
externen Authentifizierungsservern von Sophos UTMsowie die Authentifizierung fr Client-
PCs.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Netzwerkdefinitionen
l Dienstdefinitionen
l Zeitraumdefinitionen
l Benutzer &Gruppen
l Client-Authentifizierung
l Authentifizierungsdienste
5.1 Netzwerkdefinitionen
Auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen werden die Hosts, Netzwerke
und Netzwerkgruppen sowie MAC-Adressdefinitionen festgelegt. Die hier angelegten Defi-
nitionen knnen in vielen anderen WebAdmin-Konfigurationen verwendet werden.
5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer
5.1.1 Netzwerkdefinitionen
Auf der Registerkarte Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen
werden die Hosts, Netzwerke und Netzwerkgruppen der UTMfestgelegt. Die hier angelegten
Definitionen knnen an vielen anderen Stellen der WebAdmin-Konfigurationsmens ver-
wendet werden.
Beimffnen der Registerkarte werden standardmig alle Netzwerkdefinitionen angezeigt.
Mit Hilfe der Auswahlliste oberhalb der Liste knnen Sie die angezeigte Auswahl auf Netz-
werkdefinitionen mit bestimmten Eigenschaften einschrnken.
Tipp Durch einen Klick auf das Infosymbol einer Netzwerkdefinition in der Liste Netz-
werkdefinitionen knnen Sie alle Konfigurationsoptionen sehen, in denen diese Netz-
werkdefinition verwendet wird.
Die Netzwerktabelle enthlt auch statische Netzwerke, die automatisch vomSystemangelegt
wurden und die weder bearbeitet noch gelscht werden knnen:
l Internal (Address): Eine Definition dieser Art wird fr jede Netzwerkkarte hinzugefgt.
Sie enthlt die aktuelle IP-Adresse der Schnittstelle. Ihr Name besteht aus demNamen
der Schnittstelle, gefolgt von demZusatz (Address).
l Internal (Broadcast): Eine Definition dieser Art wird fr jede Ethernet-artige Netz-
werkschnittstelle hinzugefgt. Sie enthlt die aktuelle IPv4-Broadcast-Adresse der
Schnittstelle. Ihr Name besteht aus demNamen der Schnittstelle, gefolgt von dem
Zusatz (Broadcast).
l Internal (Network): Eine Definition dieser Art wird fr jede Ethernet-artige Netz-
werkschnittstelle hinzugefgt. Sie enthlt das aktuelle IPv4-Netzwerk der Schnittstelle.
Ihr Name besteht aus demNamen der Schnittstelle, gefolgt von demZusatz (Network)
.
l Any (IPv4/IPv6): Eine Netzwerkdefinition (jeweils fr IPv4 und IPv6, falls IPv6 aktiviert
ist), die an diejenige Schnittstelle gebunden ist, die als Standardgateway fungiert. Die
Benutzung dieser Definition sollte Ihren Konfigurationsprozess erleichtern. Wenn die
Uplink-Ausgleich-Funktion aktiviert ist, ist die Definition Internet an die Uplink-Schnitt-
stellen gebunden.
122 UTM9 WebAdmin
Hinweis IPv6-Eintrge sind nur sichtbar, wenn Sie unter Schnittstellen &Routing >
IPv6 aktiviert wurden.
Hinweis Benutzernetzwerkobjekte, die ber die Client-Authentifizierung authentifiziert
sind, werden aus Leistungsgrnden immer als nicht aufgelst (unresolved) angezeigt.
Umeine Netzwerkdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Netzwerkdefinitionen auf Neue Netz-
werkdefinition.
Das Dialogfeld Neue Netzwerkdefinition erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
(Abhngig von demgewhlten Definitionstyp werden weitere Parameter der Netz-
werkdefinition angezeigt.)
Name: Geben Sie einen aussagekrftigen Namen fr diese Definition ein.
Typ: Whlen Sie den Typ der Netzwerkdefinition. Die folgenden Typen sind verfgbar:
l Host: Einzelne IP-Adresse. Geben Sie die folgenden Informationen an:
l IPv4 Address/IPv6 Address: Die IP-Adresse des Hosts (Sie knnen kei-
ne IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).
l DHCP-Einstellungen (optional):In diesemBereich knnen Sie statische
Zuordnungen zwischen Hosts und IP-Adresse festlegen. Zu diesemZweck
bentigen Sie einen konfigurierten DHCP-Server (siehe Netzwerkdienste >
DHCP>Server).
Hinweis UmIP-Adresskonflikten zwischen regulr zugeordneten
Adressen aus demDHCP-Pool und statisch zugeordneten Adressen vor-
zubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht
aus demDHCP-Pool stammt. ZumBeispiel knnte die statische Zuord-
nung von 192.168.0.200darin resultieren, dass zwei Systeme dieselbe
IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100
192.168.0.210umfasst.
IPv4 DHCP: Whlen Sie den IPv4-DHCP-Server, der fr die statische
Zuordnung verwendet werden soll.
UTM9 WebAdmin 123
5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen
5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer
MAC Addresses: Geben Sie die MAC-Adresse der Host-Netzwerkkarten
ein. MAC-Adressen werden gewhnlich in sechs Gruppen von je zwei
durch Doppelpunkt getrennte Hexadezimalziffern angegeben (z.B.
00:04:76:16:EA:62).
IPv6 DHCP: Whlen Sie den IPv6-DHCP-Server, der fr die statische
Zuordnung verwendet werden soll.
DHCP Unique IDs: Geben Sie die DUIDs der Hosts ein. Bei Windows-
Betriebssystemen finden Sie die DUIDbeispielsweise imWindows Registry:
HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Paramete
rs
Bitte beachten Sie, dass Sie zwei Hexadezimalziffern jeweils durch einen
Doppelpunkt trennen mssen, z.B.
00:01:00:01:13:30:65:56:00:50:56:b2:07:51).
l DNS-Einstellungen (optional):Wenn Sie keinen eigenen DNS-Server ein-
richten wollen, aber statische DNS-Zuordnungen fr einige Hosts Ihres
Netzwerks bentigen, knnen Sie diese Zuordnungen in diesemAbschnitt
der entsprechenden Hosts angeben. Beachten Sie, dass diese Lsung sich
nur fr eine begrenzte Anzahl von Hosts eignet und in keiner Weise als
Ersatz fr einen richtigen DNS-Server dienen kann.
Hostname: Geben Sie den vollstndigen Domnennamen (FQDN, fully
qualified domain name) des Hosts ein.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung
der IP-Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie,
dass eine IP-Adresse immer nur auf einen Namen verweisen kann, wohin-
gegen mehrere Namen auf die gleiche IP-Adresse verweisen knnen.
Additional Hostnames: Klicken Sie auf das Plussymbol umzustzliche
Hostnamen fr den Host hinzuzufgen.
l DNS Host: Ein DNS-Hostname, der dynamisch vomSystemaufgelst wird, um
eine IP-Adresse zu erhalten. DNS-Hosts sind ntzlich, wenn es darumgeht, mit
dynamischen IP-Endpoints zu arbeiten. Das Systemlst diese Definitionen peri-
odisch immer wieder neu auf, wobei es sich an den TTL-Werten (Time To Live) ori-
entiert, und aktualisiert die Definitionen bei Bedarf mit den neuen IP-Adressen.
Geben Sie die folgenden Informationen an:
124 UTM9 WebAdmin
l Hostname: Der Name des Hosts, der aufgelst werden soll.
l DNS Group: Eine DNS-Gruppe hnelt einemDNS-Host, aber sie kann mehrere
RRs (Resource Records, dt. Ressourcen-Eintrge) fr einen einzelnen Host im
DNSverarbeiten. Eine DNS-Gruppe ist ntzlich zur Definition von Firewallregeln
und Ausnahmen in transparenten Proxies.
l Netzwerk: Ein Standard-IP-Netzwerk, das aus einer Netzwerkadresse und einer
Netzmaske besteht. Geben Sie die folgenden Informationen an:
l IPv4 Address/IPv6 Address: Die Netzwerkadresse des Netzwerks (Sie
knnen keine IP-Adresse einer bereits konfigurierten Schnittstelle ein-
geben).
l Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Sub-
netzwerk spezifizieren und wie viele Bits Platz fr Hostadressen bieten.
l Bereich: Whlen Sie diese Option, umeinen ganzen Bereich von IPv4-Adressen
zu definieren. Geben Sie die folgenden Informationen an:
l IPv4 von:Die erste IPv4-Adresse des Bereichs.
l IPv4 bis: Die letzte IPv4-Adresse des Bereichs.
l IPv6 von:Die erste IPv6-Adresse des Bereichs.
l IPv6 bis: Die letzte IPv6-Adresse des Bereichs.
l Multicast Group: Ein Netzwerk, das einen festgelegten Multicast-Netz-
werkbereich umfasst.
l IPv4 Address: Die Netzwerkadresse des Multicast-Netzwerks, die im
Bereich 224.0.0.0bis 239.255.255.255liegen muss.
l Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Sub-
netzwerk spezifizieren und wie viele Bits Platz fr Hostadressen bieten.
l Network Group: Eine Art Behlter, der eine Liste anderer Netzwerkdefinitionen
enthlt. Sie knnen ihn verwenden, umNetzwerke und Hosts zusam-
menzufassen, damit Ihre Konfiguration bersichtlicher wird. Sobald Sie die Netz-
werkgruppe ausgewhlt haben, erscheint das Feld Mitglieder, ber das Sie die
Gruppenmitglieder hinzufgen knnen.
l Verfgbarkeitsgruppe: Eine Gruppe aus Hosts und/oder DNS-Hosts, die nach
Prioritt angeordnet sind. Die Verfgbarkeit aller Hosts wird standardmig mit
ICMP-Pings, die imAbstand von 60 Sekunden erfolgen, berprft. Der (ver-
fgbare) Host mit der hchsten Prioritt wird fr die Konfiguration verwendet.
UTM9 WebAdmin 125
5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen
5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer
Sobald Sie die Verfgbarkeitsgruppe ausgewhlt haben, erscheint das Feld Mit-
glieder, ber das Sie die Gruppenmitglieder hinzufgen knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Die angezeigten Optionen hngen vomoben ausgewhlten Typ ab.
Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstelle
gebunden werden, sodass Verbindungen zu dieser Definition nur ber diese Schnitt-
stelle zustande kommen.
berwachungstyp (nur beimTyp Verfgbarkeitsgruppe):Whlen Sie das Dienst-
protokoll fr die Verfgbarkeitsprfung. Whlen Sie fr die Dienstberwachung ent-
weder TCP(TCP-Verbindungsaufbau), UDP(UDP-Verbindungsaufbau), Ping (ICMP-
Ping), HTTPHost (HTTP-Anfragen) oder HTTPSHosts (HTTPS-Anfragen). Wenn Sie
UDPverwenden, wird zunchst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt
ein UDP-Paketmit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreich-
bar, gilt der Host als ausgefallen.
Port (nur beimberwachungstyp TCPoder UDP):Nummer des Ports, an den
die Anfrage gesendet wird.
URL (optional, nur bei den berwachungstypen HTTPHostoder HTTPS
Host):Angefragte URL. Sie knnen statt den Standard-Ports 80 und 443 auch
andere Ports verwenden, indemSie die Port-Information an die URL anhngen,
z.B. http://beispiel.domaene:8080/index.html. Wenn keine
URLangegeben ist, wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft
werden.
Zeitberschreitung: Geben Sie die maximale Zeitspanne, in der die Hosts eine
Antwort senden knnen, in Sekunden ein. Wenn ein Host whrend dieser Zeit
nicht antwortet, wird er als tot betrachtet.
Always Resolved: Diese Option ist vorausgewhlt, sodass fr den Fall, dass kein
Host erreichbar ist, die Gruppe zu jenemHost aufgelst wird, der zuletzt verfgbar
war. Andernfalls, wenn alle Hosts tot sind, wird die Gruppe auf nicht aufgelst
gesetzt.
126 UTM9 WebAdmin
4. Klicken Sie auf Speichern.
Die neue Definition wird in der Liste Netzwerke angezeigt.
Umeine Definition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
5.1.2 MAC-Adressdefinitionen
Die Registerkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adressdefinitionen
ist die zentrale Stelle fr die Festlegung von MAC-Adressdefinitionen, d.h., MAC-Adresslisten.
Eine MAC-Adressdefinition kann wie eine Netzwerkdefinition verwendet werden. Auerdem
kann sie dazu verwendet werden, eine Regel, die auf Hosts/IP-Adressen basiert, auf nur die-
jenigen Gerte einzuschrnken, die eine der festgelegtenMAC-Adressen besitzen.
Tipp Durch einen Klick auf das Infosymbol einer MAC-Adressdefinition knnen Sie alle Kon-
figurationsoptionen sehen, in denen diese Definition verwendet wird.
UmeineMAC-Adressdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite MAC-Adressdefinitionen auf Neue MAC-Adressliste.
Das Dialogfeld Neue MAC-Adressliste erstellen ffnet sich.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Definition ein.
MACAddresses: Klicken Sie auf das Plussymbol, umnacheinander einzelne MAC-
Adressen hinzuzufgen oder verwenden Sie das Action-Symbol umber Kopieren und
Einfgen MAC-Adressen zu importieren. MAC-Adressen werden gewhnlich in sechs
Gruppen von je zwei durch Doppelpunkt getrennte Hexadezimalziffern angegeben (z.B.
00:04:76:16:EA:62).
Hosts: Fgen Sie Hosts hinzu, derenMAC-Adressen Sie zurMAC-Adressdefinition hin-
zufgen mchten oder legenSie neue Hosts an. Die MAC-Adressen, die imBereich
DHCP-Einstellungen einer Host-Definition festgelegt sind, werden zur MAC-Adressliste
hinzugefgt. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer
>Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 127
5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen
5.2 Dienstdefinitionen 5 Definitionen & Benutzer
Hinweis Die Anzahl der Adressen pro Adressdefinition ist fr die folgenden Anwen-
dungsbereiche begrenzt: Fr die Einschrnkung des Zugriffs auf ein kabelloses Netz-
werk betrgt das Maximum200. Fr die Einschrnkung des Zugriffs auf einRED-
Gert betrgt das Maximumbei RED10 200 und bei RED50 400.
Hinweis Sie knnen entweder MAC-Adressen oder Hosts oder beides eingeben.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Definition wird in der Liste MAC-Adressdefinitionen angezeigt.
Umeine MAC-Adressdefinition zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
5.2 Dienstdefinitionen
Auf der Seite Definitionen &Benutzer >Dienstdefinitionen werden die Dienste und die Dienst-
gruppen zentral definiert und verwaltet. Dienste sind Definitionen bestimmter Arten von Netz-
werkverkehr und bestehen aus einemProtokoll, z.B. TCPoder UDP, und protokollbezogenen
Optionen wie Portnummern. Mittels der Dienste knnen Sie bestimmen, welche Arten von Netz-
werkverkehr von der UTMangenommen oder abgelehnt werden.
Tipp Durch einen Klick auf das Infosymbol einer Dienstdefinition in der Liste Dienst-
definitionen knnen Sie alle Konfigurationsoptionen sehen, in denen diese Dienstdefinition
verwendet wird.
Umeine Dienstdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Dienstdefinitionen auf Neue Dienstdefinition.
Das Dialogfeld Neue Dienstdefinition erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
(Abhngig von demgewhlten Definitionstyp werden weitere Parameter der Netz-
werkdefinition angezeigt.)
Name: Geben Sie einen aussagekrftigen Namen fr diese Definition ein.
128 UTM9 WebAdmin
Definitionstyp: Whlen Sie den Diensttyp aus. Die folgenden Typen sind verfgbar:
l TCP: TCP-Verbindungen (Transmission Control Protocol) verwenden Port-
nummern von 0bis 65535. Verlorene Pakete werden von TCPerkannt und
erneut angefragt. Bei einer TCP-Verbindung informiert der Empfnger den
Absender darber, wenn er ein Paket erfolgreich erhalten hat (ver-
bindungsbezogenes Protokoll). TCP-Sitzungen beginnen mit einem3-Wege-
Handshake, und Verbindungen werden amEnde der Sitzung geschlossen.
Geben Sie die folgenden Informationen an:
l Zielport: Geben Sie den Zielport ein, entweder als einzelne Portnummer
(z.B. 80) oder als Bereich (z.B. 1024:64000) mit einemDoppelpunkt als
Trennzeichen.
l Quellport: Geben Sie den Quellport ein, entweder als einzelne Port-
nummer (z.B. 80) oder als Bereich (z.B. 1024:64000) mit einemDop-
pelpunkt als Trennzeichen.
l UDP: Das UDP-Protokoll (User DatagramProtocol) verwendet Portnummern
zwischen 0und 65535und ist ein zustandsloses (engl. stateless) Protokoll. Da
UDPsich keine Zustnde merkt, ist es schneller als TCP, vor allemwenn es sich
umdas Versenden kleiner Datenmengen handelt. Diese Zustandslosigkeit bedeu-
tet aber auch, dass UDPnicht erkennen kann, wenn Pakete verloren gehen oder
verworfen (engl. drop) werden. Der Empfnger-Computer teilt demAbsender
nicht mit, wenn er ein Datenpaket erhlt. Wenn Sie UDPgewhlt haben, knnen
Sie die gleichen Konfigurationsoptionen bearbeiten wie bei TCP.
l TCP/UDP: Hierbei handelt es sich umeine Kombination von TCPund UDP, die
sich besonders fr Anwendungsprotokolle eignet, die beide Unterprotokolle ver-
wenden, z. B. DNS. Wenn Sie TCP/UDPgewhlt haben, knnen Sie die gleichen
Konfigurationsoptionen angeben wie bei TCPoder UDP.
l ICMP/ICMPv6: Das ICMP-Protokoll (Internet Control Message Protocol) wird
hauptschlich dazu verwendet, Fehlermeldungen zu versenden, die angeben,
dass z. B. ein angeforderter Dienst nicht verfgbar ist oder dass ein Host oder Rou-
ter nicht erreicht werden kann. NachdemSie ICMPoder ICMPv6 gewhlt haben,
geben Sie den ICMP-Typ/-Code an. Beachten Sie, dass IPv4-Firewallregeln nicht
fr ICMPv6-Verkehr gelten und IPv6-Firewallregeln nicht fr ICMP-Verkehr.
l IP: Das Internet-Protokoll (Internet Protocol, IP) ist ein Netzwerk- und Trans-
portprotokoll fr den Datenaustausch ber das Internet. NachdemSie IPgewhlt
UTM9 WebAdmin 129
5 Definitionen & Benutzer 5.2 Dienstdefinitionen
5.2 Dienstdefinitionen 5 Definitionen & Benutzer
haben, geben Sie die Nummer desjenigen Protokolls an, das in IPeingebettet wer-
den soll, z.B. 121(steht fr das SMP-Protokoll).
l ESP: Das ESP-Protokoll (Encapsulating Security Payload) ist Teil des IPSec-Tun-
nelprotokoll-Pakets, welches Verschlsselungsdienste fr Daten bietet, die ber
VPN-Tunnel gesendet werden. Nach der Auswahl von ESPoder AHgeben Sie
den Sicherheitsparameterindex (SPI) an, der in Verbindung mit der IP-Adresse
die Sicherheitsparameter identifiziert. Sie knnen entweder einen Wert zwischen
256 und 4.294.967.296 angeben, oder die Voreinstellung des Bereichs 256 bis
4.294.967.296 (Doppelpunkt als Trennzeichen) beibehalten, insbesondere wenn
Sie automatischen Schlsselaustausch fr IPsec verwenden. Beachten Sie, dass
die Zahlen 1255 von der IANA(Internet Assigned Numbers Authority) reserviert
sind.
l AH: Die Authentifizierungskopfzeile (Authentication Header, AH) ist Teil der
IPsec-Tunnelprotokoll-Lsung und befindet sich zwischen der IP-Kopfzeile (hea-
der) und den Datagramm-Nutzdaten (payload), umdie Integritt der Daten zu ver-
walten jedoch nicht deren Geheimhaltung.
l Group (Gruppe): Hierbei handelt es sich umeine Art Behlter, der eine Liste
anderer Dienstdefinitionen enthlt. Sie knnen ihn verwenden, umDienst-
definitionen zusammenzufassen, damit Ihre Konfiguration bersichtlicher wird.
NachdemSie Gruppe gewhlt haben, erscheint das Feld Mitglieder, in das Sie
Gruppenmitglieder, d.h. andere Dienstdefinitionen, hinzufgen knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Definition wird in der Liste Dienstdefinitionen angezeigt.
Umeine Definition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Hinweis Der Typ der Definition kann imNachhinein nicht mehr gendert werden. Wenn
Sie den Typ einer Definition ndern wollen, mssen Sie die Dienstdefinition lschen und eine
neue mit den gewnschten Einstellungen anlegen.
130 UTM9 WebAdmin
5.3 Zeitraumdefinitionen
Auf der Seite Definitionen &Benutzer >Zeitraumdefinitionen werden einzelne oder wie-
derkehrende Zeitfenster definiert, die dazu verwendet werden knnen, beispielsweise Fire-
wallregeln oder Inhaltsfilterprofile auf bestimmte Zeitrume zu beschrnken.
Tipp Durch einen Klick auf das Infosymbol einer Zeitraumdefinition in der Liste Zeit-
raumdefinitionen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Zeit-
raumdefinition verwendet wird.
Umeine Zeitraumdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Zeitraumdefinitionen auf Neue Zeit-
raumdefinition.
Das Dialogfeld Neue Zeitraumdefinition erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Zeitraumdefinition ein.
Typ: Whlen Sie den Typ des Zeitraums aus. Die folgenden Typen sind verfgbar:
l Wiederkehrendes Ereignis: Diese Ereignisse kehren periodisch wieder. Sie
knnen Startzeit, Endzeit und die Wochentage angeben, fr die diese Zeit-
raumdefinition gelten soll. Falls der Zeitraumbis in den nchsten Tag reicht,
bezieht sich der ausgewhlte Wochentag auf den Startzeitpunkt. Ein Start- oder
Enddatumkann fr diesen Typ nicht ausgewhlt werden.
l Einzelereignis: Diese Ereignisse finden nur einmal statt. Sie knnen sowohl Start-
datumund -zeit als auch Enddatumund -zeit auswhlen. Da diese Definitionen kei-
ne wiederkehrenden Ereignisse sind, knnen Sie die Option Wochentage fr
diesen Typ nicht auswhlen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Zeitraumdefinition wird in der Liste Zeitraumdefinitionen angezeigt.
Umeine Zeitraumdefinition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
UTM9 WebAdmin 131
5 Definitionen & Benutzer 5.3 Zeitraumdefinitionen
5.4 Benutzer &Gruppen 5 Definitionen & Benutzer
5.4 Benutzer &Gruppen
ber das Men Definitionen &Benutzer >Benutzer &Gruppen knnen Sie Benutzer und Grup-
pen fr den Zugriff auf den WebAdmin sowie den Fernzugriff, den Zugriff auf das Benut-
zerportal und die E-Mail-Nutzung erstellen.
5.4.1 Benutzer
Auf der Registerkarte Definitionen &Benutzer >Benutzer &Gruppen >Benutzer knnen Sie
Benutzerkonten zur UTMhinzufgen. In der Werkseinstellung besitzt Sophos UTMeinen vor-
konfigurierten Administrator namens admin.
Tipp Durch einen Klick auf das Infosymbol einer Benutzerdefinition in der Liste Benutzer
werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Benutzerdefinition ver-
wendet wird.
Wenn Sie eine E-Mail-Adresse imDialogfeld Neuer Benutzer angeben, wird parallel zumAnle-
gen der Benutzerdefinition ein X.509-Zertifikat generiert. Dabei dient die E-Mail-Adresse als
VPN-ID. Andernfalls, wenn keine E-Mail-Adresse angegeben ist, wird ein Zertifikat generiert,
das den Distinguished Name (DN) des Benutzers als VPN-IDverwendet. Wenn sich ein Benut-
zer ber eine Backend-Gruppe wie z.B. eDirectory authentifiziert, wird dadurch ein Zertifikat
angelegt, selbst wenn keine E-Mail-Adresse in der entsprechenden Backend-Benut-
zerdefinition angegeben ist.
Da die VPN-IDjedes Zertifikats einzigartig sein muss, muss jede Benutzerdefinition eine unter-
schiedliche und einzigartige E-Mail-Adresse besitzen. Das Anlegen einer Benutzerdefinition mit
einer bereits vorhandenen E-Mail-Adresse ist nicht mglich. Diese Zertifikate knnen fr ver-
schiedene Fernzugriff-Methoden verwendet werden, die von Sophos UTMuntersttzt wer-
den, mit Ausnahme von PPTP, L2TPber IPsec unter Verwendung von PSKund nativem
IPsec unter Verwendung von RSAoder PSK.
Umein Benutzerkonto hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Benutzer auf Neuer Benutzer.
Das Dialogfeld Neuen Benutzer erstellen wird geffnet.
132 UTM9 WebAdmin
2. Nehmen Sie die folgenden Einstellungen vor:
Benutzername: Tragen Sie einen aussagekrftigen Namen fr diesen Benutzer ein (z.
B. Max Mustermann). Beachten Sie, dass ein Benutzername nur druckbare ASCII-Zei-
chen enthalten darf, wenn er fr Fernzugriff ber PPTPoder L2TPber IPsec genutzt
werden soll
1
.
Realname: Tragen Sie den Realnamen des Benutzers ein (z. B. Max Mustermann).
E-Mail-Adresse: Tragen Sie die primre E-Mail-Adresse des Benutzers ein.
Zustzliche E-Mail-Adressen (optional): Geben Sie zustzliche E-Mail-Adressen die-
ses Benutzers ein. Alle als Spameingestuften E-Mails an diese Adressen werden in
einemindividuellen Quarantnebericht gesondert aufgefhrt. Dieser Quarantnebericht
wird an die primre E-Mail-Adresse geschickt.
Authentifizierung: Whlen Sie die Authentifizierungsmethode. Die folgenden Metho-
den sind verfgbar:
l Lokal: Whlen Sie diese Methode, umden Benutzer lokal an der zu authen-
tifizieren.UTM
l Entfernt: Der Benutzer authentifiziert sich ber eine externe Authen-
tifizierungsmethode, die von untersttzt wird.Sophos UTMWeitere Informationen
finden Sie unter Definitionen &Benutzer >Authentifizierungsdienste.
l Keine: Whlen Sie diese Methode, umzu verhindern, dass der Benutzer sich
authentifizieren kann. Dies ist beispielsweise ntzlich, umeinen Benutzer vor-
bergehend zu deaktivieren, ohne die Benutzerdefinition vollstndig lschen zu
mssen.
Kennwort: Tragen Sie das Kennwort fr den Benutzer ein (ein zweites Mal zur Best-
tigung). Diese Option ist nur verfgbar, wenn Sie als Authentifizierungsmethode Lokal
gewhlt haben. Beachten Sie, dass die einfache Benutzerauthentifizierung keine Umlau-
te untersttzt. Beachten Sie, dass ein Kennwort nur druckbare ASCII-Zeichen enthalten
darf, wenn es fr Fernzugriff ber PPTPoder L2TPber IPsec genutzt werden soll
2
.
Backend-Sync: Einige Grundeinstellungen, wie der echte Name und die E-Mail-Adres-
se des Benutzers werden automatisch durch Synchronisation mit demexternen
Backend-Authentifizierungsserver aktualisiert (diese Option ist nur verfgbar, wenn Sie
1
http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
2
http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
UTM9 WebAdmin 133
5 Definitionen & Benutzer 5.4 Benutzer &Gruppen
5.4 Benutzer &Gruppen 5 Definitionen & Benutzer
als Authentifizierungsmethode Entfernt gewhlt haben). Beachten Sie, dass diese Opti-
on automatisch entsprechend der Option Aktiviere Backend-Synchronisierung bei Anmel-
dung auf der Registerkarte Authentifizierungsdienste >Erweitert gesetzt wird, falls der
Benutzer fr das Vorabholen ausgewhlt ist.
Hinweis Momentan knnen Daten nur mit Active-Directory- und eDirectory-Servern
synchronisiert werden.
X.509-Zertifikat: Sobald die Benutzerdefinition angelegt wurde, knnen Sie diesem
Benutzer ein X.509-Zertifikat zuweisen, wenn Sie die Benutzerdefinition bearbeiten.
Standardmig handelt es sich dabei umjenes Zertifikat, das beimAnlegen der Benut-
zerdefinition erzeugt wurde. Sie knnen jedoch auch ein Zertifikat eines Drittanbieters
zuweisen, das Sie auf der Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate
hochladen knnen.
Statische Fernzugriffs-IP verwenden (optional): Whlen Sie diese Option aus, wenn
Sie einemBenutzer, der Fernzugriff verwendet, eine statische IP-Adresse anstelle einer
dynamischen IP-Adresse aus einemIP-Adressenpool zuweisen mchten. Fr IPsec-
Benutzer hinter einemNAT-Router ist es beispielsweise zwingend erforderlich, eine sta-
tische IP-Adresse zu verwenden.
Hinweis Die statische IP-Adresszuweisung kann nur fr den Fernzugriff via PPTP,
L2TPund IPsec genutzt werden. Sie kann jedoch nicht fr den Fernzugriff via SSL
genutzt werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Benutzer knnen ihre eigene Whitelist und Blacklist mit E-Mail-Adressen erstellen und
verwalten (siehe Kapitel Benutzerportal). Sie knnen diese Listen hier anzeigen und bei
Bedarf ndern.
4. Klicken Sie auf Speichern.
Das neue Benutzerkonto wird anschlieend in der Liste Benutzer angezeigt.
Wenn Sie diesemBenutzer regulre Administrationsrechte mit Zugriff auf die webbasierte
Administrationsschnittstelle WebAdmin geben wollen, fgen Sie den Benutzer zur Gruppe
134 UTM9 WebAdmin
SuperAdmins hinzu, die auf der Registerkarte Definitionen &Benutzer >Benutzer &Gruppen >
Gruppen konfiguriert wird.
Hinweis Wenn Sie ein Benutzerobjekt gelscht haben und ein Benutzerkonto mit dem-
selben Namen anlegen wollen, stellen Sie sicher, dass Sie auch das zugehrige Zertifikat auf
der Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate gelscht haben.Andernfalls
erhalten Sie eine Fehlermeldung, dass ein Benutzerkonto mit diesemNamen bereits existiert.
Sie knnen Zertifikate fr den Fernzugriff und/oder Konfigurationen von Benutzern her-
unterladen, fr die eine Art des Fernzugriffs aktiviert wurde. Aktivieren Sie dazu das Aus-
wahlkstchen vor den jeweiligen Benutzern und whlen Sie die gewnschte Option imTabel-
lenkopf aus der Auswahlliste Aktionen aus. Benutzer mit Fernzugriff knnen diese Dateien
auch selbst herunterladen, sofern Sie Zugriff auf das Benutzerportal haben.
5.4.2 Gruppen
Auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Gruppen knnen Sie Benut-
zergruppen zur UTMhinzufgen. In der Werkseinstellung ist in der Sophos UTMeine Benut-
zergruppe SuperAdmins vorhanden. Wenn Sie einemBenutzer administrative Rechte geben
wollen, d. h. Zugriffsrechte auf den WebAdmin, fgen Sie ihn der Gruppe SuperAdmins hinzu;
diese Gruppe sollte nicht gelscht werden.
Tipp Durch einen Klick auf eine Gruppendefinition in der Liste Gruppen werden Ihnen alle
Konfigurationsoptionen angezeigt, in denen diese Gruppendefinition verwendet wird.
Umeine Benutzergruppe hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Gruppen auf Neue Gruppe.
Das Dialogfeld Neue Gruppe erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Gruppenname: Geben Sie einen aussagekrftigen Namen fr diese Gruppe ein. Der
Gruppenname muss nicht mit demGruppennamen Ihrer Backend-Gruppen ber-
einstimmen.
Gruppentyp: Whlen Sie den Gruppentyp aus. Sie knnen zwischen einer Gruppe mit
statischen Mitgliedern und zwei Gruppen mit dynamischer Mitgliedschaft whlen.
UTM9 WebAdmin 135
5 Definitionen & Benutzer 5.4 Benutzer &Gruppen
5.4 Benutzer &Gruppen 5 Definitionen & Benutzer
l Statische Mitglieder: Whlen Sie die lokalen Benutzer aus, die Mitglied in dieser
Gruppe werden sollen.
l IPsec-X.509-DN-Maske: Benutzer werden dynamisch zu einer IPsec-X509-DN-
Gruppendefinition hinzugefgt, sobald sie sich erfolgreich ber eine IPsec-Ver-
bindung amGateway angemeldet haben und spezifische Parameter ihres Dis-
tinguished Name mit demWert imFeld DN-Maske bereinstimmen.
l Backend-Mitgliedschaft: Benutzer werden dynamisch zur einer Grup-
pendefinition hinzugefgt, wenn sie sich erfolgreich an einemder untersttzten
Authentifizierungsdienste angemeldet haben. Umfortzufahren, whlen Sie die
entsprechende Backend-Authentifizierungsmethode aus:
l Active Directory: Eine Active-Directory-Benutzergruppe der UTMstellt
die Gruppenmitgliedschaft fr Mitglieder von Active-Directory-Server-
Benutzergruppen bereit, die in einemWindows-Netzwerk konfiguriert sind.
Weitere Informationen finden Sie unter Definitionen &Benutzer >Authen-
tifizierungsdienste >Server.
l eDirectory: Eine eDirectory-Benutzergruppe der UTMstellt die Grup-
penmitgliedschaft fr Mitglieder von eDirectory-Benutzergruppen bereit,
die in einemeDirectory-Netzwerk konfiguriert sind. Weitere Informationen
finden Sie unter Definitionen &Benutzer >Authentifizierungsdienste >Ser-
ver.
l RADIUS: Benutzer werden automatisch zu einer RADIUS-Backend-Grup-
pe hinzugefgt, wenn sie sich erfolgreich ber die RADIUS-Authen-
tifizierungsmethode authentifiziert haben.
l TACACS+: Benutzer werden automatisch zu einer TACACS+-Backend-
Gruppe hinzugefgt, wenn sie sich erfolgreich ber die TACACS+-Authen-
tifizierungsmethode authentifiziert haben.
l LDAP: Benutzer werden automatisch zu einer LDAP-Backend-Gruppe hin-
zugefgt, wenn sie sich erfolgreich ber die LDAP-Authen-
tifizierungsmethode authentifiziert haben.
Auf Backend-Gruppenmitglieder beschrnken (optional; nur mit den
Backend-Gruppen Active Directory oder eDirectory): In Netzwerken mit einem
X.500-Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen auf
IhremBackend-Server beschrnkt werden, wenn Sie nicht alle Benutzer des
gewhlten Backend-Servers in diese Gruppendefinition aufnehmen wollen. Wenn
Sie diese Option whlen, mssen die hier angegebenen Gruppen mit einem
136 UTM9 WebAdmin
Allgemeinen Namen (Common Name) bereinstimmen, der auf IhremBackend-
Server konfiguriert ist. Beachten Sie, dass Sie das CN=-Prfix weglassen knnen,
wenn Sie diese Option fr Active Directory aktivieren. Wenn Sie diese Option fr
ein eDirectory-Backend aktivieren, knnen Sie den eDirectory-Browser ver-
wenden, umbequemdie eDirectory-Gruppen auszuwhlen, die in diese Grup-
pendefinition aufgenommen werden sollen. Falls Sie den eDirectory-Browser
nicht verwenden, stellen Sie jedoch sicher, dass das CN=-Prfix vorhanden ist,
wenn Sie eDirectory-Container eingeben.
Ein LDAP-Attribut berprfen (optional; nur mit Backend-Gruppe LDAP): In
Netzwerken mit einemLDAP-Verzeichnisdienst kann die Mitgliedschaft auf
bestimmte Gruppen in der Datenbank begrenzt werden, die ein bestimmtes
LDAP-Attribut Ihres Backend-Servers aufweisen, wenn Sie nicht alle Benutzer
eines gewhlten LDAP-Backend-Servers in diese Gruppendefinition aufnehmen
wollen. Dieses Attribut wird dann als LDAP-Filterkriteriumverwendet. Beispiel: Sie
knnten groupMembershipals Attribut mit demWert CN=Sales,O=Beispiel
angeben. Dadurch wrden alle Benutzer aus der Vertriebsabteilung Ihrer Firma
zur Gruppendefinition hinzugefgt werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Benutzergruppe wird anschlieend in der Liste Gruppen angezeigt.
Umeine Gruppe zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
5.5 Client-Authentifizierung
Sophos stellt einen Authentifizierungsclient fr Windows zur Verfgung, sodass sich die Benut-
zer direkt bei der UTMauthentifizieren knnen. Dies ermglicht eine benutzerbasierte Kon-
trolle ber das Surfen imInternet sowie den Netzwerkverkehr, da z.B. auf Benutzernetzwerken
oder Gruppennetzwerken basierende Firewallregeln erstellt werden knnen. Zudemwerden,
falls mglich, IP-Adressen, Hostnamen und hnliche Elemente durch Benutzernamen ersetzt,
sodass Berichtsdaten und Objekte besser verstndlich sind.
UTM9 WebAdmin 137
5 Definitionen & Benutzer 5.5 Client-Authentifizierung
5.5 Client-Authentifizierung 5 Definitionen & Benutzer
Hinweis ImWebAdmin werden Benutzernetzwerkobjekte, die ber die Client-Authen-
tifizierung authentifiziert sind, aus Leistungsgrnden immer als nicht aufgelst (unresolved)
angezeigt.
Benutzer, die Client-Authentifizierung nutzen mchten oder sollen, mssen den Sophos
Authentication Agent (SAA) auf IhremClient-PCoder MAC-OS-Computer installieren. Der
SAAkann von dieser WebAdmin-Seite oder imBenutzerportal heruntergeladen werden.
Beachten Sie, dass der Download-Link imBenutzerportal nur fr Benutzer verfgbar ist, die
Teil der Benutzergruppe fr die Client-Authentifizierungskonfiguration sind.
UmClient-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Client-Authentifizierung die Client-
Authentifizierung.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und der Abschnitt Client-Authentifizierungsoptionen kann
nun bearbeitet werden.
2. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus oder fgen Sie Netzwerke hinzu, die Client-Authen-
tifizierung verwenden sollen. Beachten Sie, dass diese Netzwerke direkt mit der UTMver-
bunden sein mssen, da die Client-Authentifizierung andernfalls nicht funktioniert. Das
Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
3. Whlen Sie die zugelassenen Benutzer und Gruppen aus.
Whlen Sie imFeld Zugelassene Benutzer und Gruppen einzelne Benutzer und Grup-
pen aus oder fgen Sie diese hinzu. Sie knnen auch eine bereits bestehende Authen-
tifizierungsgruppe, z.B. eine Active-Directory-Benutzergruppe, auswhlen. Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &
Gruppen >Benutzer erlutert.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Client-Authentifizierung ist nun fr die ausgewhlten Netzwerke verfgbar.
Cli ent-Authenti fi zi erungsprogramm
Wenn Client-Authentifizierung aktiviert ist, knnen Sie den Sophos Authentication Agent (SAA)
hier herunterladen. Sie knnen den SAAmanuell bereitstellen oder die Benutzer laden den
138 UTM9 WebAdmin
Client direkt vomBenutzerportal herunter.
EXE herunterladen: Ldt das Client-Authentifizierungsprogrammeinschlielich des CA-Zer-
tifikats herunter, das der direkten Installation auf Client-PCs dient. Das ist die gleiche Datei, die
auch imBenutzerportal heruntergeladen werden kann.
MSI herunterladen: Ldt das MSI-Paket fr die Client-Authentifizierung herunter. Dieses
Paket ist fr die automatische Paket-Installation ber Domain Controller (DC) gedacht und ent-
hlt kein CA-Zertifikat.
DMG herunterladen: Ldt das Disk-Image (Speicherabbild)fr die Client-Authentifizierung
auf Mac OSXherunter. Dieses Image dient der Installation auf Client-Computern mit dem
BetriebssystemMac OSX.
CA herunterladen: Ldt das CA-Zertifikat herunter, das zustzlich zumMSI-Paket ausgerollt
werden muss.
Der SAAkann als Authentifizierungsmethode fr den Webfilter genutzt werden. Weitere Infor-
mationen hierzu finden Sie imKapitel Web Protection >Webfilter >Allgemein.
5.6 Authentifizierungsdienste
Auf der Seite Definitionen &Benutzer >Authentifizierungsdienste knnen Datenbanken und
Backend-Server externer Dienste zur Benutzerauthentifizierung wie Single Sign-On oder Ein-
maliges Kennwort verwaltet werden. Externe Benutzerauthentifizierung ermglicht es Ihnen,
Benutzerkonten gegen vorhandene Benutzerdatenbanken oder Verzeichnisdienste zu vali-
dieren, die sich auf anderen Servern in IhremNetzwerk befinden. Momentan werden folgende
Authentifizierungsdienste untersttzt:
l Novell's eDirectory
l Microsoft's Active Directory
l RADIUS
l TACACS+
l LDAP
UTM9 WebAdmin 139
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
5.6.1 Allgemein
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsserver >Allgemeine Ein-
stellungen knnen Sie die grundlegenden Einstellungen fr die Authentifizierung vornehmen.
Die folgenden Aktionen sind mglich:
Benutzer automatisch erstellen: Wenn diese Option ausgewhlt ist, legt Sophos UTMauto-
matisch ein Benutzerobjekt an, sobald sich ein unbekannter Benutzer einer konfigurierten
Backend-Gruppe erfolgreich ber einen der angebundenen Authentifizierungsdienste anmel-
det, der von der Sophos UTMuntersttzt wird. Beispiel: Wenn Sie eine RADIUS-Backend-
Gruppe konfigurieren und diese Gruppe als Mitglied zu einer der Rollen hinzufgen, die auf der
Registerkarte Verwaltung >WebAdmin-Einstellungen >Zugriffskontrolle definiert sind, erstellt
die Sophos UTMautomatisch eine Benutzerdefinition fr RADIUS-Benutzer, die sich erfolg-
reich amWebAdmin angemeldet haben.
l Automatische Benutzererstellung fr Komponenten: Fr bestimmte Funktionen
kann eine automatische Benutzererstellung aktiviert oder deaktiviert werden. Die Benut-
zer werden dabei nur fr die ausgewhlten Funktionen angelegt. Diese Option ist nicht
verfgbar und automatische Benutzererstellung ist fr alle Komponenten deaktiviert
wenn die Option Benutzer automatisch erstellen nicht ausgewhlt ist.
Hinweis Diese Funktion ist mit Active Directory Single Sign-On (SSO) nicht mglich.
Diese Benutzerobjekte werden auch bentigt, umZugang zumBenutzerportal der Sophos
UTMzu gewhren. Darber hinaus wird fr alle automatisch erstellten Benutzerobjekte ein
X.509-Zertifikat generiert. Beachten Sie jedoch, dass die automatische Benutzererstellung fehl-
schlgt, wenn es zu einemE-Mail-Adressenkonflikt kommt, da die zu erstellende Benut-
zerdefinition keine E-Mail-Adresse besitzen darf, die auf demSystembereits vorhanden ist. Alle
E-Mail-Adressen mssen innerhalb des Systems eindeutig sein, da sie zur Identifizierung der
X.509-Zertifikate dienen.
Wichtiger Hinweis Authentifizierung (das Herausfinden, wer ein Benutzer ist) und Auto-
risierung (das Herausfinden, was ein Benutzer darf) fr einen Benutzer, dessen Benut-
zerobjekt automatisch erstellt wurde, geschieht immer auf dementfernten Backend-Server
bzw. Verzeichnisdienst. Aus diesemGrund sind automatisch erzeugte Benutzerobjekte in der
Sophos UTMnutzlos, wenn der entsprechende Backend-Server nicht erreichbar ist oder das
Benutzerobjekt amentfernten Standort gelscht wurde.
140 UTM9 WebAdmin
Beachten Sie auch, dass die Sophos UTMBenutzerauthentifizierungsdaten, die es von einem
entfernten Authentifizierungsserver geholt hat, fr 300 Sekunden zwischenspeichert. Aus-
genommen hiervon ist Active Directory Single Sign-On (SSO). Deshalb werden sich nde-
rungen an den entfernten Benutzereinstellungen erst auswirken, wenn der Speicherzeitraum
abgelaufen ist.
Authenti fi zi erungs-Cache
Jedes Mal, wenn die Sophos UTMeine Benutzeranfrage von einemnoch unbekannten Benut-
zer erreicht, z.B. http, und Authentifizierung erforderlich ist, schreibt die Sophos User Authen-
tication (SUA) einen Eintrag in den Authentifizierungs-Cache. Mit der Zeit kann es in Umge-
bungen mit hufig wechselnden Benutzern sinnvoll sein, den Cache gelegentlich zu leeren.
Eine Leerung kann auch angebracht sein, wenn Sie fr alle Benutzer eine sofortige neue
Authentifizierung erzwingen wollen. Verwenden Sie die Schaltflche Auth.-Cache leeren, um
den Authentifizierungs-Cache zu leeren.
Eine Authentifizierung ist 300 Sekunden lang gltig. In dieser Zeit werden neue Authen-
tifizierungsanfragen desselben Benutzers direkt imCache abgefragt. Diese Methode entlastet
Backend-Authentifizierungsdienste wie eDirectory.
Hinweis Das Leeren des Caches hat keine Auswirkung auf augenblicklich entfernt ange-
meldete Benutzer.
Li ve-Protokoll
Live-Protokoll ffnen: Durch einen Klick auf die Schaltflche wird das Protokoll der SophosU-
ser Authentication (SUA) in einemneuen Fenster angezeigt.
5.6.2 Server
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server knnen Sie
einen oder mehrere Authentifizierungs-Server erstellen. Folgen Sie den Links umdiese zu
erstellen:
l eDirectory
l Active Directory
l LDAP
l RADIUS
l TACACS+
UTM9 WebAdmin 141
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
5.6.2.1 eDirectory
Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur zentralen Verwaltung von
Zugriffsrechten auf Ressourcen auf mehreren Servern und Hosts innerhalb eines bestimmten
Netzwerks. eDirectory ist eine hierarchische, objektorientierte Datenbank, die alle Bestandteile
einer Organisation in einer logischen Baumstruktur darstellt. Diese Bestandteile knnen Men-
schen, Server, Workstations, Anwendungen, Drucker, Dienste, Gruppen usw. sein.
UmeDirectory-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Backend: Whlen Sie eDirectory als Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen eDirectory-Server (oder fgen Sie einen hinzu).Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
SSL: Whlen Sie diese Option, umSSL-gesicherten Datentransfer zu aktivieren. Der
Port ndert sich dann von 389(LDAP) auf 636(ldaps =LDAPover SSL).
Port: Geben Sie den Port des eDirectory-Servers ein. Standardmig ist das Port 389.
Bind DN: Der Distinguished Name (DN) des Benutzers, mit demdieser amServer
angemeldet werden soll. Dieser Benutzer wird bentigt, wenn anonyme Anfragen an
den eDirectory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer gengend Pri-
vilegien besitzen muss, umalle relevanten Informationen zur Benutzerdefinition vomeDi-
rectory-Server erhalten zu knnen, damit er Benutzer authentifizieren kann. eDirectory-
Benutzer, -Gruppen und -Container knnen mit demvollstndigen Distinguished Name
in LDAP-Notation und Kommas als Trennzeichen angegeben werden (z.B.
CN=administrator,DC=intranet,DC=beispiel,DC=de).
Kennwort: Geben Sie das Kennwort des Bind-Benutzers ein.
142 UTM9 WebAdmin
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in
demdie Benutzer eingefgt sind, die authentifiziert werden sollen. Beachten Sie, dass
der BaseDNber den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert
werden muss, wobei Kommata als Trennzeichen verwendet werden mssen (z.B.
O=Beispiel,OU=RnD). Der BaseDNkann leer sein. In diesemFall wird der BaseDN
automatisch aus demVerzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
3. Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
UTM9 WebAdmin 143
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Figure 17 Gruppen: eDirectory-Browser von Sophos UTM
5.6.2.2 Active Directory
Microsoft Active Directory (AD) ist ein Verzeichnisdienst und eine zentrale Komponente der Win-
dows 2000/2003 Server. Es speichert Informationen aus einembreiten Spektrumvon Netz-
werkressourcen, einschlielich Benutzer, Gruppen, Computer, Drucker, Anwendungen, Diens-
te und jeder Art von benutzerdefinierten Objekten. Als solches ist es ein Mittel, umdiese
Ressourcen zentral zu organisieren, zu verwalten und den Zugriff darauf zu kontrollieren.
Die Active-Directory-Authentifizierungsmethode ermglicht es, die Sophos UTMan einer Win-
dows-Domne zu registrieren, wodurch ein Objekt fr Sophos UTMauf demprimren Dom-
nencontroller (DC) angelegt wird. UTMist dann in der Lage, Benutzer- und Grup-
peninformationen von der Domne abzufragen.
Hinweis UTMuntersttzt Active Directory 2003 und neuer.
UmActive-Directory-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
144 UTM9 WebAdmin
2. Nehmen Sie die folgenden Einstellungen vor:
Backend: Whlen Sie Active Directory als Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen Active-Directory-Server (oder fgen Sie einen hinzu).Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
SSL: Whlen Sie diese Option, umSSL-gesicherten Datentransfer zu aktivieren. Der
Port ndert sich dann von 389(LDAP) auf 636(ldaps =LDAPover SSL).
Port: Geben Sie den Port des Active-Directory-Servers ein. Standardmig ist das Port
389.
Bind DN: Der vollstndige Distinguished Name (DN) des Benutzers, mit demdieser am
Server angemeldet werden soll, in LDAP-Notation. Dieser Benutzer wird bentigt, wenn
anonyme Anfragen an den Active-Directory-Server nicht erlaubt sind. Beachten Sie,
dass der Benutzer gengend Privilegien besitzen muss, umalle relevanten Infor-
mationen zur Benutzerdefinition vomActive-Directory-Server erhalten zu knnen, damit
er Benutzer authentifizieren kann das ist eine Voraussetzung, die meistens vomAdmi-
nistrator der Domne erfllt wird.
Jeder DNbesteht aus einemoder mehreren Relative Distinguished Names (RDN). Ein
RDNsetzt sich aus Attributen des Active-Directory-Benutzerobjekts zusammen und
umfasst seinen Benutzernamen, den Knoten des Objekts und den hchsten DNdes Ser-
vers. Die Definition erfolgt in der LDAP-Notation. Als Trennzeichen wird das Komma ver-
wendet.
l Der Benutzername muss der Name des Benutzers sein, der in der Lage ist, auf
das Verzeichnis zuzugreifen und folgendermaen spezifiziert ist: CN-Bezeichner
(z.B. CN=user). Obwohl die Nutzung eines beliebten Kontos mit Dom-
nenberechtigungen, wie z.B. admin, mglich ist, wird als bessere Methode drin-
gend empfohlen, einen Benutzer zu whlen, der keine Administrationsrechte
besitzt, da es vllig ausreichend fr diesen Benutzer ist, Leserechte auf alle Objek-
te des angegebenen BaseDNzu besitzen.
UTM9 WebAdmin 145
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
l Die Information ber den Knoten, an demsich das Benutzerobjekt befindet, muss
alle Unterknoten zwischen demWurzelknoten und demBenutzerobjekt umfassen
und besteht gewhnlich aus Komponenten wie sogenannten Orga-
nisationseinheiten (engl. organizational units) und demallgemeinen Namen (CN,
engl. common name). Organisationseinheiten (dargestellt durch ein Verzeichnis-
/Buchsymbol in der Microsoft Management-Konsole) werden durch den OU-
Bezeichner spezifiziert. Beachten Sie, dass die Reihenfolge der Knoten vom
untersten zumobersten verluft, d.h., dass spezifischere Elemente zuerst ange-
geben werden (z.B. OU=Management_US,OU=Management). Andererseits wer-
den Standardcontainer von Active Directory (dargestellt durch ein einfaches
Verzeichnis-Symbol) wie z.B. der vordefinierte Benutzer-Knoten durch den CN-
Bezeichner spezifiziert (z.B. CN=Users).
l Der oberste DNdes Servers kann aus mehreren Domnenkomponenten (engl.
domain component) bestehen, wobei jede durch den DC-Bezeichner spezifiziert
wird. Beachten Sie, dass die Domnenkomponenten in der gleichen Reihenfolge
angegeben werden wie der Domnenname. Beispiel: Wenn der Domnenname
beispiel.deist, dann ist der DN-Teil DC=beispiel,DC=de.
Ein Beispiel fr einen Bind-Benutzer-DN, wenn der Benutzername administratorist
und sich das Benutzerobjekt imContainer Benutzerbefindet in einer Domne namens
beispiel.de: CN=administrator,CN=Users,DC=example,DC=com
Figure 18 Authentifizierung: Microsoft Management-Konsole
Nehmen wir nun an, Sie haben eine Organisationseinheit namens Management mit dem
Unterknoten Management_USangelegt und verschieben das Benutzerobjekt Admi-
nistratordorthin, dann ndert sich der DNwie folgt:
CN=administrator,OU=Management_US,OU=Management, DC=example, DC=com
146 UTM9 WebAdmin
Kennwort: Geben Sie das Kennwort des Bind-Benutzers ein.
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in
demdie Benutzer eingefgt sind, die authentifiziert werden sollen. Beachten Sie, dass
der BaseDNber den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert
werden muss, wobei Kommata als Trennzeichen verwendet werden mssen (z.B.
O=Beispiel,OU=RnD). Der BaseDNkann leer sein. In diesemFall wird der BaseDN
automatisch aus demVerzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
3. Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
User Pri nci pal Name
In einigen Fllen sollte es Benutzern mglich sein, die User-Principal-Name-Notation "Benut-
zer@Domne" zu verwenden, wenn Sie ihre Daten angeben. ZumBeispiel wenn Exchange-
Server in Kombination mit Active Directory-Servern verwendet werden.
l Klonen Sie den gewnschten Server umeinen neuen Server zu erzeugen.
l ndern Sie Backend nach LDAP.
l ndern Sie das Benutzerattribut auf >.
l Geben Sie userPrincipalname in das Feld Angepasst ein.
Sofern noch nicht verfgbar, wird eine Benutzergruppe "LDAPUsers" angelegt, die Sie anstel-
le der Gruppe "Active Directory Users" verwenden mssen.
UTM9 WebAdmin 147
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Hinweis Das Format "Domne\Benutzer" wird nicht untersttzt. Verwenden Sie statt-
dessen das Format "Benutzer@Domne".
5.6.2.3 LDAP
LDAPsteht fr Lightweight Directory Access Protocol und ist ein Netzwerkprotokoll, umVer-
zeichnisdienste, die auf demX.500-Standard basieren, zu modifizieren und Anfragen zu sen-
den. Sophos UTMverwendet das LDAP-Protokoll, umBenutzer fr einige seiner Dienste zu
authentifizieren, indemmithilfe von Attributen oder Gruppenzugehrigkeiten auf demLDAP-
Server festgestellt wird, ob Zugriff auf einen bestimmten Dienst gewhrt wird oder nicht.
UmLDAP-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Backend: Whlen Sie LDAPals Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen LDAP-Server (oder fgen Sie einen hinzu).Das Hinzufgen
einer Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
SSL: Whlen Sie diese Option, umSSL-gesicherten Datentransfer zu aktivieren. Der
Port ndert sich dann von 389(LDAP) auf 636 (ldaps =LDAPover SSL).
Port: Geben Sie den Port des LDAP-Servers ein. Standardmig ist das Port 389.
Bind DN: Der Distinguished Name (DN) des Benutzers, mit demdieser amServer
angemeldet werden soll. Dieser Benutzer ist zwingend. Aus Sicherheitsgrnden werden
anonyme Anfragen an den LDAP-Server nicht untersttzt. Beachten Sie, dass der Benut-
zer gengend Privilegien besitzen muss, umalle relevanten Informationen zur Benut-
zerdefinition vomLDAP-Server erhalten zu knnen, damit er Benutzer authentifizieren
kann. LDAP-Benutzer, -Gruppen und -Container knnen mit demvollstndigen Dis-
148 UTM9 WebAdmin
tinguished Name in LDAP-Notation und Kommas als Trennzeichen angegeben werden
(z.B. CN=administrator,DC=intranet,DC=beispiel,DC=de).
Kennwort: Geben Sie das Kennwort des Bind-Benutzers ein.
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzerattribut: Whlen Sie das Benutzerattribut, das als Filter fr die Suche im
LDAP-Verzeichnis verwendet werden soll. Das Benutzerattribut enthlt den eigentlichen
Anmeldenamen, nach demjeder Benutzer von z.B. Fernzugriffsdiensten gefragt wird.
Folgende Benutzerattribute sind mglich:
l CN(allgemeiner Name, engl. common name)
l SN(Nachname)
l UID(Benutzer-ID)
Falls Benutzernamen in IhremLDAP-Verzeichnis nicht in Formdieser Attribute gespei-
chert werden, whlen Sie <<Angepasst>>aus der Liste aus und geben Sie Ihr benut-
zerdefiniertes Attribut imFeld Angepasst an. Beachten Sie, dass dieses Attribut in Ihrem
LDAP-Verzeichnis konfiguriert sein muss.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in
demdie Benutzer eingefgt sind, die authentifiziert werden sollen. Beachten Sie, dass
der BaseDNber den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert
werden muss, wobei Kommata als Trennzeichen verwendet werden mssen (z.B.
O=Beispiel,OU=RnD). Der BaseDNkann leer sein. In diesemFall wird der BaseDN
automatisch aus demVerzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
UTM9 WebAdmin 149
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
3. Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
5.6.2.4 RADIUS
RADIUSsteht fr Remote Authentication Dial In User Service und ist ein weit verbreitetes Pro-
tokoll, mit demNetzwerkgerte, wie z.B. Router, Informationen fr die Benut-
zerauthentifizierung von einemzentralen Server abfragen knnen. Neben den reinen Benut-
zerinformationen fr die Authentifizierung kann RADIUSauch technische Informationen
verwalten, die von Netzwerkgerten genutzt werden. Dazu gehren z.B. verwendete Pro-
tokolle, IP-Adressen, Routeninformationen etc. Zusammen bilden sie ein Benutzerprofil, das in
einer Datei oder Datenbank auf demRADIUS-Server gespeichert wird.
Das RADIUS-Protokoll ist sehr flexibel und es gibt Server fr die meisten Betriebssysteme. Die
RADIUS-Implementierung auf der UTMermglicht es Ihnen, Zugriffsrechte basierend auf
Proxys und Benutzern zu konfigurieren. Umdie RADIUS-Authentifizierung verwenden zu kn-
nen, bentigen Sie einen laufenden RADIUS-Server imNetzwerk. Kennwrter werden mit
demRADIUS-Schlssel verschlsselt, der Benutzername wird hingegen als Klartext ber-
tragen.
UmRADIUS-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Backend: Whlen Sie RADIUSals Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen RADIUS-Server (oder fgen Sie einen hinzu).Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Port: Geben Sie den Port des RADIUS-Servers ein. Standardmig ist das Port 1812.
150 UTM9 WebAdmin
Vereinbarter Schlssel: Dieser vereinbarte Schlssel (engl. Shared Secret) ist eine
Zeichenfolge, die als Kennwort zwischen demRADIUS-Client und demRADIUS-Server
dient. Geben Sie den vereinbarten Schlssel ein.
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
NAS-Kennung: Whlen Sie die entsprechende NAS-Kennung aus der Liste. Weitere
Informationen entnehmen Sie bitte demuntenstehenden Hinweis und der Tabelle.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
3. Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
Hinweis Jeder Benutzerauthentifizierungsdienst von Sophos UTM(z.B. PPTPoder
L2TP), der Anfragen an den RADIUS-Server stellt, sendet eine andere Kennung (NAS-Ken-
nung, engl. NASidentifier) an den RADIUS-Server. Beispiel: Der PPTP-Dienst sendet die
NAS-Kennung pptpan den RADIUS-Server, wenn er versucht, einen Benutzer zu authen-
tifizieren. Dadurch knnen die verschiedenen Dienste auf demRADIUS-Server aus-
einandergehalten werden. Das kommt den Autorisierungszwecken zugute, d.h. der Zugriffs-
genehmigung fr den Benutzer auf verschiedene Dienste. Unten finden Sie eine Liste der
Benutzerauthentifizierungsdienste und ihrer NAS-Kennung.
Benutzerauthentifizierungsdienst NAS-Kennung
SSL-VPN ssl
PPTP pptp
UTM9 WebAdmin 151
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Benutzerauthentifizierungsdienst NAS-Kennung
IPsec ipsec
L2TPber IPsec l2tp
SMTP-Proxy smtp
Benutzerportal portal
WebAdmin webadmin
SOCKS-Proxy socks
Webfilter http
Authentifizierungsclient agent
Wireless Access Points
Die NAS-Kennungist der Name des WLAN-
Netzwerks.
Table 1: RADIUS NAS-Kennungen
5.6.2.5 TACACS+
TACACS+steht fr Terminal Access Controller Access Control Systemund ist ein proprietres
Protokoll von Cisco Systems Inc., das detaillierte Netzwerkverkehrsinformationen liefert und
administrative Kontrolle ber Authentifizierungs- und Autorisierungsprozesse ermglicht. Wh-
rend RADIUSAuthentifizierung und Autorisierung in einemBenutzerprofil kombiniert, trennt
TACACS+diese Vorgnge. Ein weiterer Unterschied ist, dass TACACS+das TCP-Protokoll
verwendet (Port 49), wohingegen RADIUSdas UDP-Protokoll verwendet.
UmTACACS+-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Backend: Whlen Sie TACACS+als Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
152 UTM9 WebAdmin
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen TACACS+-Server (oder fgen Sie einen hinzu).Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Port: Geben Sie den Port des TACACS+-Servers ein. Standardmig ist das Port 49.
Schlssel: Geben Sie den Schlssel fr die Authentifizierung und die Verschlsselung
der gesamten TACACS+-Kommunikation zwischen Sophos UTMund demTACACS+-
Server ein. Der hier eingegebene Wert des Schlssels muss mit demjenigen auf dem
TACACS+-Server bereinstimmen. Geben Sie den Schlssel ein (ein zweites Mal zur
Besttigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
3. Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
5.6.3 Single Sign-On
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Single Sign-On
knnen Sie die Single-Sign-On-Funktionalitt fr Active Directory und/oder eDirectory kon-
figurieren.
Acti ve Di rectory Si ngle Si gn-On (SSO)
Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit demWebfilter
verwendet wird, umSingle Sign-On fr Browser bereitzustellen, die NTLMv2 oder Kerberos-
UTM9 WebAdmin 153
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Authentifizierung untersttzen.
Umdie Single-Sign-On-Funktionalitt zu aktivieren, muss UTMder Active-Directory-Domne
beitreten. Damit dieser Domnenbeitritt funktioniert, mssen die folgenden Voraussetzungen
erfllt sein:
l Die Zeitzone auf demGateway und auf demDomnencontroller (DC) mssen gleich
sein.
l Der Zeitunterschied der Uhren auf demGateway und demDCdarf NICHT mehr als fnf
Minuten betragen.
l Der UTM-Hostname muss imAD-DNS-Systemvorhanden sein.
l UTMmuss das AD-DNSzur Weiterleitung (engl. forwarder) verwenden oder sie muss
eine DNS-Anfrageroute zur AD-Domne besitzen, die auf den AD-DNS-Server zeigt.
UmActive Directory SSOzu konfigurieren, gehen Sie folgendermaen vor:
1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.
2. Nehmen Sie die folgenden Einstellungen vor:
Domne : Name der Domne (z.B. intranet.meinefirma.de). UTMsucht alle DCs,
die ber DNSerreichbar sind.
Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte fr
die Anbindung von Computern an diese Domne besitzt (in der Regel ist dies der Admi-
nistrator).
Kennwort: Das Kennwort fr den Admin-Benutzer.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Hinweis zur Untersttzung der Kerberos-Authentifizierung: Damit die oppor-
tunistische SSO-Kerberos-Untersttzung funktioniert, MSSENdie Clients den FQDN-Host-
namen von UTMin ihren Proxyeinstellungen verwenden. Wenn sie die IP-Adresse ver-
wenden, schlgt der Vorgang fehl. Der NTLMv2-Modus ist von dieser Voraussetzung nicht
betroffen und wird automatisch genutzt, wenn diese Voraussetzung nicht erfllt ist oder wenn
der Browser eine Kerberos-Authentifizierung nicht untersttzt.
eDi rectory Si ngle Si gn-On (SSO)
Hier knnen Sie SSOfr eDirectory konfigurieren. Wenn Sie eDirectory SSOals Authen-
tifizierungsmethode unter Web Protection >Webfilter eingerichtet haben, wird der hier
154 UTM9 WebAdmin
gewhlte eDirectory-Server verwendet.
UmeDirectory SSOzu konfigurieren, gehen Sie folgendermaen vor:
1. Legen Sie einen eDirectory-Server auf der Registerkarte Server an.
2. Nehmen Sie die folgenden Einstellungen vor:
Server: Whlen Sie einen eDirectory-Server aus, fr den Sie SSOaktivieren mchten.
Sync-Interval:Die Zeit (in Sekunden) zwischen zwei Synchronisierungsereignissen zwi-
schen UTMund eDirectory-Server.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
5.6.4 Einmaliges Kennwort
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Einmaliges Kenn-
wort knnen Sie den Dienst fr einmalige Kennwrter (OTP) konfigurieren und die Token der
Benutzer einmaliger Kennwrter berwachen oder bearbeiten. Einmalige Kennwrter sind
eine Methode zur Verbesserung der Sicherheit fr kennwortbasierte Authentifizierung. Das
benutzerspezifische Kennwort, das manchmal zu schwach ist, wird durch ein einmaliges Kenn-
wort ergnzt, das fr nur eine Anmeldung gltig ist. Selbst wenn ein Angreifer in den Besitz des
Kennworts gelangt, kann er sich deshalb nicht damit anmelden.
Einmalige Kennwrter ndern sich imAllgemeinen stndig und in regelmigen Abstnden.
Sie werden automatisch durch einen bestimmten Algorithmus berechnet. Bald nachdemein
neues Kennwort berechnet wird, luft das alte Kennwort automatisch ab. Umeinmalige Kenn-
wrter zu generieren, bentigt der Benutzer entweder ein Mobilgert mit entsprechender Soft-
ware oder spezielle Hardware oder ein Sicherheitstoken. Hardware-Token knnen von Beginn
an verwendet werden. Der Endbenutzer muss auf demMobilgert Google Authenticator oder
eine hnliche Software installieren und die Konfiguration implementieren, die imBenutzerportal
als QR-Code, auf der Startseite oder auf der Seite OTP-Token verfgbar ist (siehe Seite Benut-
zerportal). Danach kann das Gert einmalige Kennwrter in Token-spezifischen Intervallen
generieren. Datumund Uhrzeit mssen auf demMobilgert korrekt eingestellt sein, da der Zeit-
stempel bei der Generierung einmaliger Kennwrter verwendet wird.
Hinweis Umeine Authentifizierung fr die Komponenten, fr die ein einmaliges Kennwort
erforderlich ist, durchzufhren, muss der Benutzer sein benutzerspezifisches UTM-Kennwort
und direkt imAnschluss das einmalige Kennwort eingeben.
UTM9 WebAdmin 155
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Der Administrator kann ebenfalls einmalige Kennwrter manuell generieren. Diese werden
dann als Passcodes bezeichnet. In diesemFall mssen Sie sicherstellen, dass diese zeitlich
unbegrenzten einmaligen Kennwrter sicher zumBenutzer bertragen werden. Dieser Vor-
gang sollte jedoch nur eine bergangslsung sein, beispielsweise, wenn ein Benutzer vor-
bergehend keinen Zugriff auf das Gert hat, mit demer Kennwrter generiert.
Hinweis Sobald ein OTP-Token erstellt wurde wird rechts in der Tabelle ein Info-Symbol
angezeigt. Sie knnen den QR-Code und dessen Details ansehen, indemSie auf das Info-
Symbol klicken.
Aktivierung und Konfiguration des Dienstes fr einmalige
Kennwrter
Zur Konfiguration des Dienstes fr einmalige Kennwrter sind folgende Schritte erforderlich:
1. Nehmen Sie imBereich OTP-Einstellungen die folgenden Einstellungen vor:
Alle Benutzer mssen einmalige Kennwrter (OTP) verwenden: Standardmig
ist diese Option aktiviert und alle Benutzer mssen einmalige Kennwrter verwenden.
Wenn nur bestimmte Benutzer einmalige Kennwrter verwenden sollen, deaktivieren
Sie die Option und whlen Sie Benutzer oder Gruppen aus oder fgen Sie sie imFeld hin-
zu.
Achtung Wenn Sie die Funktion Alle Benutzer mssen einmalige Kennwrter
(OTP) verwenden deaktiviert haben, hat dies automatisch Auswirkungen auf den
Bereich Benutzer/Gruppen in anderen Teilen von UTM. ZumBeispiel Umkehr-
authentifizierung.
Hinweis Die Option Benutzer automatisch erstellen muss fr Benutzer mit Hin-
tergrundauthentifizierung aktiviert sein. Diese Option finden Sie imBereich Definitionen
&Benutzer >Authentifizierungsdienste >Allgemeine Einstellungen >Automatische
Benutzererstellung.
OTP-Token automatisch fr Benutzer erstellen: Wenn diese Option ausgewhlt ist,
wird autorisierten Benutzern ein QR-Code zur Softwarekonfiguration auf demMobil-
gert angezeigt, wenn sie sich das nchste Mal imBenutzerportal anmelden. Damit dies
funktioniert, stellen Sie sicher, dass die Benutzer Zugriff auf das Benutzerportal haben
(siehe Seiten Verwaltung >Benutzerportal). Wenn sich ein Benutzer imBenutzerportal
156 UTM9 WebAdmin
anmeldet, wird das entsprechende Token in der Liste OTP-Token angezeigt. Es emp-
fiehlt sich, diese Funktion zu aktivieren, wenn Sie Soft-Token auf Mobilgerten ver-
wenden. Wenn die Benutzer nur Hardware-Token verwenden, sollten Sie stattdessen
die Option deaktivieren und die Token hinzufgen oder importieren, bevor Sie die OTP-
Funktion aktivieren.
OTPfr Komponenten aktivieren:Hier whlen Sie die UTM-Komponenten aus, auf
die die ausgewhlten Benutzer mit einmaligen Kennwrtern zugreifen sollen. Wenn Sie
die Option OTP-Token automatisch fr Benutzer erstellen aktivieren, muss aus Sicher-
heitsgrnden das Benutzerportal aktiviert sein: Da das Benutzerportal Zugriff auf die
OTP-Token gewhrt, sollte es selbst ber mindestens den gleichen Schutz verfgen.
UmOTPfr sicheren Shell-Zugriff zu aktivieren, mssen Sie fr die entsprechenden
Token zustzlich die Verwendung fr Shell-Zugriff aktivieren (siehe Manuelles Hin-
zufgen oder Bearbeiten von OTP-Token). Die entsprechenden Benutzer mssen sich
dann mit demzugehrigen Kennwort, an das das einmalige Kennwort angehngt wird,
als loginuser anmelden.
Achtung Stellen Sie insbesondere dann, wenn Sie den WebAdmin oder Shell-
Zugriff zur Verwendung mit OTPauswhlen, sicher, dass die ausgewhlten Benutzer
Zugriff auf die Token fr einmalige Kennwrter haben. Andernfalls ist es mglich, dass
Sie sie permanent abmelden.
2. Nehmen Sie imBereich Zeitschritt-Einstellungen die folgenden Einstellungen
vor:
Standard-Token-Zeitschritt: Umdie Generierung einmaliger Kennwrter auf dem
Mobilgert und in der UTMzu synchronisieren, mssen die beiden Zeitschritte ber-
einstimmen. Einige Hardware-Token arbeiten mit einemZeitschritt von 60 Sekunden.
Andere Software OTP-Token verwenden einen Zeitschritt von 30 Sekunden, der hier
demStandardwert entspricht. Wenn die Zeitschritte nicht bereinstimmen, schlgt die
Authentifizierung fehl. Der hier eingegebene Wert wird automatisch fr jedes neue OTP-
Token verwendet. Der erlaubte Bereich fr den Zeitschritt ist 10-120.
Maximale Kennwortverzgerung: Mit dieser Option knnen Sie die maximale Kenn-
wortverzgerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zumBeispiel 3
Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 3 Zeitschritte zwischen
zwei Anmeldungen abweichen darf. Die maximale Kennwortverzgerung verlangt einen
Bereich von 0-10.
UTM9 WebAdmin 157
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Maximale initiale Kennwortverzgerung: Mit dieser Option knnen Sie die maximale
initiale Kennwortverzgerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie
zumBeispiel 10 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 10
Zeitschritte zwischen zwei Anmeldungen abweichen darf. Die maximale initiale Kenn-
wortverzgerung verlangt einen Bereich von 0-600.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
4. Wenn Sie Hardware-Token verwenden, importieren Sie sie oder fgen Sie sie
imBereich OTP-Token hinzu.
Verwenden Sie die Daten vomHardware-Token-Anbieter, ummithilfe von Semikolons
eine UTF-8-codierte CSV-Datei zu generieren. Die Datei muss drei Spalten mit fol-
genden Inhalten enthalten: Schlssel, Zeitschritt und Kommentar. Der Schlssel, eine
eindeutige, gertespezifische Zeichenfolge, ist obligatorisch und sollte imHexa-
dezimalformat mit einer Lnge von 128 bit vorliegen. Die anderen Spalten knnen leer
sein. Wenn kein Zeitschritt angegeben wird, wird der Zeitschritt fr das Standard-Token,
der imBereich OTP-Einstellungen festgelegt wird, verwendet.
Klicken Sie rechts oberhalb der Liste auf das Importsymbol. Fgen Sie dann die Daten im
CSV-Format in das Textfeld ein und klicken Sie auf Speichern.
Nach demImport knnen Sie die Eintrge mithilfe des Bearbeitensymbols ndern.
Auerdemknnen Sie immer einzelne Eintrge hinzufgen, indemSie auf das Plus-
symbol klicken (siehe Manuelles Hinzufgen oder Bearbeiten von OTP-Token).
5. Aktivieren Sie den Dienst fr einmalige Kennwrter.
Klicken Sie auf den Schieberegler oben auf der Seite.Der Schieberegler wird grn.
Wenn OTP-Token automatisch fr Benutzer erstellen aktiviert ist, erstellt die UTMden OTP-
Token-Eintrag automatisch, sofern er nicht vorab generiert wurde, wenn sich ein Benutzer, fr
den die Authentifizierung mit einemeinmaligen Kennwort konfiguriert ist, erstmals imBenut-
zerportal anmeldet. Auerdemist das Zurcksetzensymbol des Eintrags aktiviert.
Mithilfe des Schiebereglers eines Eintrags knnen sie diesen deaktivieren, zumBeispiel, wenn
der Benutzer sein Hardware-Token verloren hat. Mit dementsprechenden Symbol knnen Sie
einen Eintrag lschen, beispielsweise, wenn ein Hardware-Token beschdigt ist. Achten Sie
darauf, dass, wenn die Option OTP-Tokenautomatisch fr Benutzer erstellen aktiviert ist, der
Benutzer in beiden Fllen eine erneute Authentifizierung durchfhren kann, da er Zugriff auf
den Token-Schlssel hat. In der Liste OTP-Token wird ein neuer Eintrag angezeigt.
158 UTM9 WebAdmin
Rechts oberhalb der Liste OTP-Token befinden sich ein Suchfeld und Navigationssymbole, mit
denen Sie in der Liste navigieren und ihre Eintrge filtern knnen.
Symbol
ImBereich OTP-Token gibt es einige zustzliche Symbole
Symbole mit
Funktion
Bedeutung
Setzt den Token auf den Status "niemals verwendet", den sogenannten
initialen Status. Wenn das Zurcksetzen ausgefhrt wurde sieht der
Benutzer den QR-Code bei der nchsten Anmeldung imBenutzerportal
wieder. Die zurcksetzen-Funktion steht zur Verfgung, wenn sich der
Benutzer mindestens ein Mal mit OTPangemeldet hat.
Zeigt an, dass das Token so konfiguriert ist, dass es fr den entfernten
Shell-Zugriff verwendet werden kann.
Zeigt an, dass die Token-Information nicht imBenutzerportal angezeigt
wird.
Zeigt zustzliche Token-Codes an.
Ermglicht Ihnen, die Zeitverzgerung des Tokens anzusehen.
Zeigt den QR-Code des Tokens und seine Informationen an.
Manuelles Hinzufgen oder Bearbeiten von OTP-Token
Sie knnen OTP-Token hinzufgen oder bearbeiten.
Tipp Normalerweise fgen Sie keine einzelnen OTP-Token hinzu, sondern importieren sie
entweder wenn es sich umHardware-Token handelt oder generieren sie automatisch auf
einemMobilgert mit der Option OTP-Token automatisch fr Benutzer erstellen.
1. ffnen Sie das Dialogfenster, umdas OTP-Token hinzuzufgen oder zu bear-
beiten.
Umein OTP-Token hinzuzufgen, klicken Sie rechts oberhalb der Liste OTP-Token auf
das grne Plussymbol.
Umein OTP-Tokenzu bearbeiten, klicken Sie auf das Bearbeitensymbol vor dement-
sprechenden Eintrag in der Liste OTP-Token.
UTM9 WebAdmin 159
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
2. Nehmen Sie die folgenden Einstellungen vor:
Benutzer: Whlen Sie den Benutzer, demdas Token zugewiesen werden soll, aus oder
fgen Sie ihn hinzu.
Schlssel: Dies ist der vereinbarte Schlssel des Hardware-Tokens oder Soft-Tokens
des Benutzers. Ein Hardware-Token verfgt ber einen unvernderlichen Schlssel,
der vomHardwarehersteller festgelegt wird. Das Soft-Token wird nach demZufalls-
prinzip von der UTMgeneriert, wenn OTP-Token automatisch fr Benutzer erstellen akti-
viert ist. Der Schlssel sollte imHexadezimalformat vorliegen und 128 bit lang sein.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.Dieser Text wird mit demQR-Code imBenutzerportal angezeigt. Wenn Sie ver-
schiedene Token fr eine Person festlegen, z.B. ein Hardware-Token und ein Soft-
Token fr das Mobiltelefon, ist es sinnvoll, hier eine Erluterung anzugeben, da dem
Benutzer alle QR-Codes nebeneinander angezeigt werden.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Benutzerdefinierten Token-Zeitschritt verwenden: Wenn Sie einen anderen Zeit-
schritt als den imBereich OTP-Einstellungen festgelegten Standardzeitschritt fr Token
bentigen, aktivieren Sie diese Option und geben Sie den Wert ein. Der hier festgelegte
Zeitschritt muss mit demZeitschritt auf demGert, das der Benutzer zur Kenn-
wortgenerierung verwendet, bereinstimmen. Ansonsten schlgt die Authentifizierung
fehl.
Token-Informationen imBenutzerportal verbergen: Wenn diese Option aus-
gewhlt ist, wird das Token nicht imBenutzerportal angezeigt. Dies ist unter Umstnden
fr Hardware-Token sinnvoll, fr die keine Konfiguration erforderlich ist, oder wenn die
Soft-Token beispielsweise nicht vomEndbenutzer konfiguriert werden sollen, sondern
zentral vomAdministrator.
Token kann fr Shell-Zugriff verwendet werden: Wenn diese Option ausgewhlt
ist, kann das Token fr den Zugriff auf die UTMber die Kommandozeile verwendet wer-
den. Damit dies funktioniert, muss Shell-Zugriff imBereich OTP-Einstellungen aktiviert
sein und Shell-Zugriff mit Kennwortauthentifizierung muss allgemein fr die UTMakti-
viert sein (siehe Verwaltung >Systemeinstellungen >Shell-Zugriff). OTP-Token mit
Berechtigung fr Shell-Zugriff weisen oben rechts ein Kommando-Shell-Symbol auf. Fr
Shell-Zugriff mit einemeinmaligen Kennwort muss sich der Benutzer dann mit demzuge-
hrigen Kennwort, an das das einmalige Kennwort angehngt wird, als loginuser anmel-
den.
160 UTM9 WebAdmin
Zustzliche Codes (nur bei Bearbeitung eines OTP-Tokens): Sie knnen einmalige
Kennwrter fr Token manuell hinzufgen. Klicken Sie entweder auf das grne Plus-
symbol, umjeweils ein einmaliges Kennwort einzugeben, oder verwenden Sie die Schalt-
flche Generieren, umzehn einmalige Kennwrter auf einmal zu generieren. Sie knnen
die einmaligen Kennwrter auch mithilfe des Aktionssymbols importieren oder expor-
tieren. Diese einmaligen Kennwrter sind zeitlich unbegrenzt. Ein einmaliges Kennwort
wird automatisch gelscht, wenn sich der Benutzer damit anmeldet. OTP-Token mit
zustzlichen einmaligen Kennwrtern weisen rechts ein Plussymbol auf. Wenn Sie mit
demMauszeiger darber fahren, wird die Liste der einmaligen Kennwrter angezeigt.
4. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
OTP-Token-Zeit synchronisieren
Wenn Hardware-OTP-Token verwendet werden, kann es vorkommen, dass die eingebauten
Quartz-Uhren langsamer laufen als die "echten" Uhren. ZumBeispiel die VASCO-Token-
spezifizierung erlaubt eine Zeitverzgerung von 2 Sekunden pro Tag. Nach einigen Monaten
knnte die Zeitverzgerung des Hardware-Tokens so gro sein, dass sie nicht mehr den von
der UTMberechneten OTPs bereinstimmt und auch so gro, dass sie nicht mehr mit den stan-
dardmig erwarteten OTP-Fenstern von +/- einemToken-Code entspricht. Also wird der
OTP-Code in der UTMnicht erlaubt.
Jedes Mal, wenn ein Benutzer sich an UTMmit einemgltigen Token-Code anmeldet, berech-
net UTMob der Token-Code mehr als einen Zeitschritt entfernt ist oder nicht. Wenn ja, ndert
UTMdie Token-spezifische Zeitverzgerung automatisch.
Mit UTMknnen Sie die Zeitverzgerung berechnen und sie synchronisieren. Gehen Sie fol-
gendermaen vor:
1. Klicken Sie imBereich OTP-Token auf das Stoppuhrsymbol.
Der Dialog OTP-Token Zeitverzgerung ffnet sich. Die aktuelle Verzgerung des
Tokens wird angezeigt.
2. Geben Sie den Token-Code ein.
Der Token-Code ist eine sechsstellige Nummer die vomHardware-Gert erstellt wird.
3. Klicken Sie auf berprfen.
Das Ergebnis wird nach einigen Sekunden angezeigt. Wenn der Code gltig war, zeigt
die Meldung an, ob und wie viele Zeitschritte das Token entfernt ist.
UTM9 WebAdmin 161
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
4. Wenn Sie die Verzgerung des Tokens festlegen mchten, klicken Sie auf OK.
Die Token-Verzgerungszeit ist aktualisiert.
5. Klicken Sie auf Abbrechen.
Das Fenster wird geschlossen.
5.6.5 Erweitert
Erraten von Kennwrtern blocki eren
Diese Funktion kann verwendet werden, umdas Erraten von Kennwrtern zu verhindern.
Nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen (standardmig drei) wird
der Zugriff von dieser IP-Adresse auf eine der Komponenten fr eine bestimmte Zeit (stan-
dardmig 600 Sekunden) verweigert.
Pakete von blockierten Hosts verwerfen: Wenn diese Option aktiv ist, werden alle Pakete,
die von blockierten Hosts kommen, fr die festgelegte Zeit verworfen. Diese Option dient dazu,
DoS-Attacken zu verhindern.
Komponenten: Die berprfung wird fr die ausgewhlten Komponenten durchgefhrt.
Netzwerke nie blockieren: Die in diesemFeld aufgelisteten Netzwerke werden von dieser
berprfung ausgenommen.
Lokale Authenti fi zi erungskennwrter
Mit dieser Option knnen Sie festlegen, dass Administratoren oder lokal registrierte Benutzer
mit administrativen Rechten sichere Kennwrter verwenden mssen. Die Kenn-
wortkomplexitt kann so konfiguriert werden, dass sie den folgenden Sicher-
heitsanforderungen entspricht:
l Mindestlnge des Kennworts (acht Zeichen ist voreingestellt)
l mindestens ein kleingeschriebener Buchstabe
l mindestens ein grogeschriebener Buchstabe
l mindestens eine Zahl
l mindestens ein nicht-alphanumerisches Zeichen
Umdie ausgewhlten Kennworteigenschaften zu aktivieren, whlen Sie die Option Komplexe
Kennwrter verlangen und klicken Sie auf bernehmen.
162 UTM9 WebAdmin
Acti ve Di rectory Synchroni si erung der Gruppenmi tgli edschaft
Verwenden Sie diese Option umdie Hintergrundsynchronisation der ADGrup-
penmitgliedschaftsinformation zu aktivieren.
Die UTMkann die Gruppenmitgliedschaftsinformationen regelmig synchronisieren und lokal
zwischenspeichern, umden Active-Directory-Server zu entlasten. Wenn diese Option aktiviert
ist, werden die Gruppenmitgliedschaftsinformationen mit demkonfigurierten Active-Directory-
Single-Sign-On-Server synchronisiert.
Klicken Sie auf Jetzt synchronisieren, umdie Gruppenmitgliedschaftsinformationen sofort zu
synchronisieren
Verzei chni sbenutzer vorab holen
Benutzer von eDirectory oder Active Directory knnen mit der UTMsynchronisiert werden. Das
bedeutet, dass Benutzerdefinitionen vorab auf UTMangelegt werden, sodass diese Benut-
zerdefinitionen bereits existieren, wenn sich ein Benutzer anmeldet. Der Syn-
chronisierungsprozess kann wchentlich oder tglich stattfinden.
Umdas Vorabholen (engl. prefetching) zu aktivieren, nehmen Sie die folgenden Einstellungen
vor:
Server: Die Auswahlliste enthlt Server, die auf der Registerkarte Server angelegt wurden.
Whlen Sie einen Server aus, fr den Sie das Vorabholen aktivieren mchten.
Vorabholenintervall: Whlen Sie ein Intervall, umBenutzer vorab zu holen. Umdie Syn-
chronisierung wchentlich stattfinden zu lassen, whlen Sie einen Wochentag, amdemdie Syn-
chronisierung beginnen soll. Umdie Synchronisierung tglich stattfinden zu lassen, whlen Sie
Tglich.
Vorabholenzeit: Whlen Sie eine Uhrzeit, zu der das Vorabholen von Benutzern stattfinden
soll.
Gruppen: Geben Sie hier die Gruppen ein, die imVoraus angelegt werden sollen. Sie knnen
den integrierten LDAP-Browser verwenden, umdie Gruppen auszuwhlen.
Aktiviere Backend-Synchronisierung bei Anmeldung (optional): Bei jedemVorabholen
wird die Option Backend-Sync. der betreffenden Benutzer (Registerkarte Benutzer &Gruppen
>Benutzer) auf den hier festgelegten Wert gesetzt. Wenn die Option aktiv ist, wird also die Opti-
on Backend-Sync. der Benutzer aktiviert, und wenn die Option deaktiviert ist, wird die Option
Backend-Sync. der Benutzer deaktiviert.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
UTM9 WebAdmin 163
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
Jetzt vorab holen: Klicken Sie auf diese Schaltflche, umdas Vorabholen sofort zu starten.
Vorabholen-Live-Protokoll ffnen: Klicken Sie auf diese Schaltflche, umdas Vorabholen-
Live-Protokoll zu ffnen.
164 UTM9 WebAdmin
6 Schnittstellen & Routing
In diesemKapitel wird die Konfiguration von Schnittstellen und netzwerkspezifischen Ein-
stellungen in Sophos UTMbeschrieben. Die Seite Netzwerkstatistik imWebAdmin gibt einen
berblick ber die zehn aktivsten Dienste und Quellhosts sowie die gleichzeitigen Ver-
bindungen von heute. In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick auf den
Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie
weitere statistische Informationen finden knnen.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Schnittstellen
l Bridging
l Dienstqualitt (QoS)
l Uplink-berwachung
l IPv6
l Statisches Routing
l Dynamisches Routing (OSPF)
l Border Gateway Protocol
l Multicast Routing (PIM-SM)
6.1 Schnittstellen
Ein Gateway bentigt mindestens zwei Netzwerkkarten, umein internes LANmit einemexter-
nen Netzwerk (z.B. demInternet) zu verbinden. In den folgenden Beispielen ist die Netz-
werkkarte eth0immer die interne Netzwerkschnittstelle. Die Netzwerkkarte eth1ist als exter-
ne Netzwerkschnittstelle vorgesehen (z.B. zumInternet). Diese beiden Seiten werden auch
Trusted bzw. Untrusted genannt.
Whrend der Installation werden die Netzwerkkarten automatisch erkannt. Wenn bei der Soft-
ware-Appliance weitere Netzwerkkarten hinzugefgt werden, ist eine Neuinstallation des
Sicherheitssystems notwendig. Nutzen Sie hierfr die Backup-Funktion, umnach der Neu-
installation Ihre aktuelle Systemkonfiguration einfach wieder einzuspielen.
6.1 Schnittstellen 6 Schnittstellen & Routing
Das Gateway muss die einzige Schnittstelle zwischen deminternen und demexternen Netz-
werk sein. Alle Datenpakete mssen UTMpassieren. Es wird dringend davon abgeraten, die
internen und externen Schnittstellen ber einen Hub oder Switch physikalisch zusammen auf
ein Netzwerksegment zu legen, es sei denn, dieser ist als VLAN-Switch konfiguriert. Es kann zu
falschen ARP-Auflsungen (Address Resolution Protocol) kommen (ARP-Clash) die nicht alle
Betriebssysteme (z.B. die von Microsoft) verwalten knnen. Pro Gateway-Netz-
werkschnittstelle muss daher auch ein physikalisches Netzwerk-Segment verwendet werden.
ImMen Schnittstellen knnen Sie alle auf UTMinstallierten Netzwerkkarten sowie die Schnitt-
stellen zumexternen Netzwerk (Internet) und zu den internen Netzwerken (LAN, DMZ) kon-
figurieren und verwalten.
Hinweis Beachten Sie bei der Planung Ihrer Netzwerktopologie und der Konfiguration von
UTM, welche Netzwerkkarten Sie jeweils auf der Appliance auswhlen. In den meisten Kon-
figurationen ist als Verbindung zumexternen Netzwerk die Netzwerkschnittstelle mit SysID
eth1vorgesehen. Fr die sptere Installation eines Hochverfgbarkeitssystems (HA) ben-
tigen Sie auf beiden Systemen eine Netzwerkkarte mit gleicher SysID. Weitere Informationen
zur Installation des Hochverfgbarkeitssystems (HA-Failover) finden Sie auf der Seite Ver-
waltung >Hochverfgbarkeit.
In den folgenden Abschnitten wird erklrt, wie die verschiedenen Arten von Schnittstellen ber
die Registerkarten Schnittstellen, Zustzliche Adressen, Linkbndelung, Uplink-Ausgleich, Mul-
tipathregeln und Hardware verwaltet und konfiguriert werden.
6.1.1 Schnittstellen
Auf der Registerkarte Schnittstellen knnen Sie die Netzwerkkarten und virtuellen Schnitt-
stellen konfigurieren. In der Liste sind die bereits konfigurierten Netzwerkschnittstellen mit
ihremsymbolischen Namen, Netzwerkkarte und aktueller Adresse aufgefhrt. Der Status jeder
Schnittstelle wird ebenso angezeigt. Durch Anklicken des Schiebereglers knnen Sie Schnitt-
stellen aktivieren und deaktivieren. Beachten Sie, dass Schnittstellengruppen keinen Schie-
beregler haben.
Tipp Durch einen Klick auf das Infosymbol einer Netzwerkschnittstelle in der Liste Schnitt-
stellen werden Ihnen alle Konfigurationen angezeigt, in denen diese Schnittstelle verwendet
wird.
166 UTM9 WebAdmin
Neu hinzugefgte Schnittstellen knnen amAnfang als Aus angezeigt werden, solange sich die
Verbindung noch imAufbau befindet. Sie knnen Schnittstellen bearbeiten oder lschen,
indemSie auf die entsprechenden Schaltflchen klicken.
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen
Jede Schnittstelle auf Ihrer UTMbesitzt einen symbolischen Namen und eine Netzwerkkarte,
der sie zugewiesen ist. Der symbolische Name wird verwendet, wenn Sie in anderen Kon-
figurationen auf diese Schnittstelle referenzieren. Fr jede Schnittstelle wird automatisch eine
passende Gruppe von Netzwerkdefinitionen von der UTMerstellt:
l Eine Definition, die die aktuelle IP-Adresse der Schnittstelle enthlt, und deren Name
sich aus demSchnittstellennamen und demZusatz (Address) zusammensetzt.
l Eine Definition, die das Netzwerk enthlt, mit demdie Schnittstelle verbunden ist, und
deren Name sich aus demSchnittstellennamen und demZusatz (Network) zusam-
mensetzt. Diese Definition wird nicht fr Point-to-Point-Schnittstellen (PPP) angelegt.
l Eine Definition, die die Broadcast-Adresse der Schnittstelle enthlt, und deren Name
sich aus demSchnittstellennamen und demZusatz (Broadcast) zusammensetzt. Diese
Definition wird nicht fr Point-to-Point-Schnittstellen (PPP) angelegt.
Wenn die Schnittstelle eine dynamische Methode zur Adresszuweisung verwendet (wie z.B.
DHCPoder Fernzuweisung), so werden diese Definitionen automatisch aktuell gehalten. Alle
Einstellungen, die sich auf diese Definitionen beziehen, z.B. Firewall- und NAT-Regeln, werden
ebenfalls automatisch mit den genderten Adressen aktualisiert.
Eine Schnittstelle mit demsymbolischen Namen Internal ist bereits vordefiniert. Hierbei handelt
es sich umdie Administrationsschnittstelle, die typischerweise als interne Schnittstelle der UTM
verwendet wird. Falls Sie sie umbenennen mchten, sollten Sie das direkt nach der Installation
tun.
6.1.1.2 Arten von Schnittstellen
Die nachfolgende Liste gibt eine bersicht darber, welche Schnittstellentypen zur UTMhin-
zugefgt werden knnen und welche Hardware dafr bentigt wird:
Gruppe:Sie knnen Ihre Schnittstellen in Gruppen organisieren. Bei entsprechender Kon-
figuration knnen Sie eine Schnittstellengruppe anstelle mehrerer einzelner Schnittstellen wh-
len.
3G/UMTS: Diese Schnittstelle basiert auf einemUSB-Modem-Stick. Bevor die Schnittstelle
erstellt wird, muss der Stick eingesteckt und die UTMneu gestartet werden.
UTM9 WebAdmin 167
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
DSL (PPPoA/PPTP): PPPover ATM. Ein DSL-PPPoA-Gert ermglicht Ihnen, Ihr Gateway
an PPP-over-ATM-kompatible DSL-Leitungen anzuschlieen. Diese Gerte benutzen das
PPTP-Protokoll, umIP-Pakete zu tunneln. Sie erfordern eine dedizierte Ethernet-Verbindung
(sie knnen nicht mit anderen Schnittstellen auf derselben Hardware koexistieren). Sie mssen
ein DSL-Modeman das Schnittstellennetzwerksegment anschlieen. Die Netzwerkparameter
fr diese Gertetypen knnen ber eine entfernte Stelle zugewiesen werden (blicherweise Ihr
Internetanbieter). Auerdemmssen Sie einen Benutzernamen und Kennwort fr das Konto
bei IhremISPangeben. Auch mssen Sie die IP-Adresse Ihres Modems angeben. Diese Adres-
se ist demModemnormalerweise fest zugewiesen und kann nicht gendert werden. Ummit
demModemkommunizieren zu knnen, mssen Sie eine NIC-IP-Adresse und eine Netz-
maske eingeben. Die IP-Adresse des Modems muss sich dabei innerhalb des durch diese Para-
meter definierten Netzwerks befinden. Die Ping-Adresse muss ein Host amanderen Ende der
PPTP-Verbindung sein, der die ICMP-Pinganfragen beantwortet. Sie knnen versuchen, den
DNS-Server Ihres ISPdafr zu verwenden. Falls diese Adresse nicht ber Ping erreicht wer-
den kann, wird angenommen, dass die Verbindung tot ist, und die Verbindung wird neu auf-
gebaut.
DSL (PPPoE): PPPover Ethernet. Ein DSL-PPPoE-Gert ermglicht Ihnen, Ihr Gateway an
PPP-over-Ethernet-kompatible DSL-Leitungen anzuschlieen. Diese Gerte erfordern eine
dedizierte Ethernet-Verbindung (sie knnen nicht mit anderen Schnittstellen auf derselben
Hardware koexistieren). Sie mssen ein DSL-Modeman das Schnittstellennetzwerksegment
anschlieen. Die Netzwerkparameter fr diese Gertetypen knnen ber eine entfernte Stelle
zugewiesen werden (blicherweise Ihr Internetanbieter). Auerdemmssen Sie einen Benut-
zernamen und Kennwort fr das Konto bei IhremISPangeben.
Ethernet DHCP: Dies ist eine Standard-Ethernet-Schnittstelle mit DHCP.
Ethernet Static: Dabei handelt es sich umeine normale Ethernet-Schnittstelle mit einer Band-
breite von 10, 100 oder 1000 Mbit/s.
Ethernet VLAN: VLAN(Virtual LAN) ist eine Methode, ummehrere getrennte Netz-
werksegmente der 2. Schicht auf einer einzigen Hardwareschnittstelle zu ermglichen. Jedes
Segment wird durch eine VLAN-ID(auch engl. tag genannt) identifiziert, wobei es sich umeine
einfache Ganzzahl (engl. integer) handelt. Wenn Sie eine VLAN-Schnittstelle hinzufgen,
erzeugen Sie damit ein Hardware-Gert, das dazu verwendet werden kann, auch zustzliche
Schnittstellen (Aliasse) hinzuzufgen. PPPoE- und PPPoA-Gerte knnen nicht ber VLAN-vir-
tuelle Hardware betrieben werden.
Modem(PPP): Mit diesemSchnittstellentyp knnen Sie die UTMber ein PPP-Modemmit
demInternet verbinden. Fr die Konfiguration bentigen Sie eine serielle Schnittstelle und ein
168 UTM9 WebAdmin
externes Modemauf der UTM. Darber hinaus bentigen Sie DSL-Zugangsdaten wie Benut-
zername und Kennwort. Diese Daten erhalten Sie von IhremInternetanbieter.
ber flexi ble Slots
Bestimmte Typen von Sophos-Hardware-Appliances besitzen so genannte Slots, ber die die
Schnittstellen-Hardware einfach verndert werden kann, indemSlot-Module flexibel ein-
gesteckt oder ausgetauscht werden. Wenn diese Art von Hardware verwendet wird, zeigt der
WebAdmin die Slot-Information zusammen mit den Hardware-Schnittstellen an. Dies sieht bei-
spielsweise so aus: eth1 [A6] Intel Corporation 82576 Gigabit Network Connection, wobei die
Slot-Information in den eckigen Klammern steht, und A6 der sechste Port in Slot Aist. Derzeit
sind bis zu drei Slots mglich, die von Abis Cbenannt sind und jeweils bis zu acht Ports besitzen
knnen. Integrierte Schnittstellenkarten heien [MGMT1] und [MGMT2].
Slot-Informationen werden an den folgenden Stellen des WebAdmin angezeigt:
l Schnittstellen &Routing >Schnittstellen >Schnittstellen
l Schnittstellen &Routing >Schnittstellen >Hardware
l Imgesamten WebAdmin in Hardware-Auswahllisten und Listen, in denen Hard-
wareschnittstellen-Informationen angezeigt werden
Aktuelle Informationen darber, welche Appliance-Typen flexible Slots besitzen, finden Sie auf
der Sophos UTMWebseite .
6.1.1.3 Gruppe
Zwei oder mehr Schnittstellen lassen sich zu einer Gruppe zusammenfassen. Gruppen erleich-
tern die Konfiguration. BeimErstellen von Multipathregeln mssen Sie eine Gruppe kon-
figurieren, wenn Sie den Datenverkehr auf eine definierte Gruppe von Uplink-Schnittstellen ver-
teilen mchten, anstatt alle Uplink-Schnittstellen zu verwenden.
Umeine Gruppen-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Gruppe aus der Auswahlliste aus.
Schnittstellen: Fgen Sie die gewnschten Schnittstellen zur Gruppe hinzu.
UTM9 WebAdmin 169
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die Gruppe wird zur Schnittstellenliste hinzugefgt. Gruppen haben keinen Status.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.4 3G/UMTS
Sophos UTMuntersttzt Netzwerkverbindungen ber 3G/UMTS-USB-Sticks.
Umeine 3G/UMTS-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie 3G/UMTSaus der Auswahlliste aus.
Hardware: Whlen Sie einen USB-Modem-Stick aus der Auswahlliste. Beachten Sie,
dass nach demAnschluss des USB-Sticks ein Neustart erforderlich ist.
Netzwerk: Whlen Sie den Typ des Mobilfunknetzes aus (entweder GSM/W-CDMA,
CDMAoder LTE).
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
PIN(optional): Geben Sie die PINder SIM-Karte ein, falls eine PINkonfiguriert ist.
APN automatisch whlen: (optional): Standardmig wird der APN(Access Point
Name) vomUSB-Modem-Stick abgerufen. Wenn Sie die Auswahl dieses Kon-
trollkstchens deaktivieren, mssen Sie die APN-Informationen in das Feld APNein-
geben.
Benutzername/Kennwort (optional): Geben Sie, sofern erforderlich, einen Benut-
zernamen und ein Kennwort fr das Mobilfunknetz ein.
170 UTM9 WebAdmin
Einwahlkennung (optional): Sollte Ihr Dienstanbieter eine spezifische Einwahlkennung
verwenden, mssen Sie diese hier eingeben. Der Standardwert ist *99#.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Init-Kennung: Geben Sie die Kennung zur Initialisierung des USB-Modem-Sticks ein.
Beachten Sie, dass die Init-Kennung eventuell demUSB-Modem-Stick angepasst wer-
den muss. In diesemFall entnehmen Sie die Init-Kennung demzugehrigen Handbuch
des USB-Modem-Sticks. Falls Sie keine entsprechende Dokumentation zur Verfgung
haben, tragen Sie in das Eingabefeld ATZ ein.
Rckstellungskennung: Geben Sie die Kennung zur Rckstellung des USB-Modem-
Sticks ein. Beachten Sie auch hier, dass die Rckstellungskennung eventuell demUSB-
Modem-Stick angepasst werden muss. In diesemFall entnehmen Sie diese demzuge-
hrigen Handbuch des USB-Modem-Sticks. Falls Sie keine entsprechende Doku-
mentation zur Verfgung haben, tragen Sie in das Eingabefeld ATZ ein.
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr die Schnitt-
stellenart 3G/UMTSauf 1500 Byte voreingestellt.
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
UTM9 WebAdmin 171
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.5 Ethernet-Statisch
Umeine Netzwerkkarte fr eine statische Ethernet-Verbindung zu eineminternen oder exter-
nen Netzwerk zu konfigurieren, muss die Netzwerkkarte mit einer IP-Adresse und einer Netz-
maske konfiguriert werden.
Umeine Ethernet-Statisch-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Ethernet-Statisch aus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
Tipp Whlen Sie als Schnittstelle zumexternen Netzwerk (z.B. zumInternet) die
Netzwerkkarte mit der SysIDeth1 aus. Beachten Sie, dass eine Netzwerkkarte nicht
gleichzeitig als Ethernet-Statisch-Schnittstelle und als PPP-over-Ethernet (PPPoE-
DSL) oder PPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
172 UTM9 WebAdmin
Netzmaske: Whlen Sie eine Netzmaske (IPv4) und/oder geben Sie eine IPv6-Netz-
maske ein.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP(optional): Geben Sie hier die IP-Adresse des Standardgateways ein.
Hinweis Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besit-
zen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr die Schnitt-
stellenart Ethernet-Statisch auf 1500 Byte voreingestellt.
Proxy-ARP: Whlen Sie diese Option aus, umdie Proxy-ARP-Funktion zu aktivieren.
Standardmig ist die Funktion Proxy-ARPdeaktiviert.
Diese Funktion ist fr Schnittstellen vomTyp Broadcast verfgbar. Wenn diese Funktion
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr ande-
re Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe bernimmt
die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das
ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die Fire-
wall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
wenn der Router Ihres Anbieters (ISP) Ihr offiziellesNetzwerk einfach auf seine Ether-
netschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
UTM9 WebAdmin 173
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.6 Ethernet VLAN
Umeine Verbindung zwischen der UTMund den virtuellen LANs herzustellen, bentigt das Sys-
temeine Netzwerkkarte mit einemTag-fhigen Treiber. Ein -Tag ist ein kleiner 4-Byte-Header,
der an den Ethernet-Header von Paketen angefgt wird. Das Tag enthlt die Nummer des
VLAN, fr das dieses Paket bestimmt ist: Die VLAN-Nummer besteht aus 12 Bit, dadurch sind
4.095 verschiedene virtuelle LANs mglich. Diese VLAN-Nummer wird in WebAdmin als
VLAN-Tag oder VLAN-IDbezeichnet.
Hinweis Sophos verwaltet eine Liste der untersttzten, Tag-fhigen Netzwerkkarten. Die
Hardwarekompatibilittsliste (Hardware Compatibility List; HCL) steht in Sophos Know-
ledgebase zur Verfgung. Verwenden Sie HCLals Suchbegriff, umdie entsprechende Sei-
te zu finden.
Umeine Ethernet-VLAN-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
174 UTM9 WebAdmin
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Ethernet-VLANaus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
VLAN-Tag: Tragen Sie das VLAN-Tag fr diese Schnittstelle ein.
IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
Netzmaske: Whlen Sie eine Netzmaske (IPv4) und/oder geben Sie eine IPv6-Netz-
maske ein.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP(optional): Geben Sie hier die IP-Adresse des Standardgateways ein.
Hinweis Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besit-
zen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr den Schnitt-
stellentyp Ethernet-VLANauf 1.500 Byte voreingestellt.
Proxy-ARP: Whlen Sie diese Option aus, umdie Proxy-ARP-Funktion zu aktivieren.
Standardmig ist die Funktion Proxy-ARPdeaktiviert.
Diese Funktion ist fr Schnittstellen vomTyp Broadcast verfgbar. Wenn diese Funktion
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr
UTM9 WebAdmin 175
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
andere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe ber-
nimmt die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt.
Das ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die
Firewall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
wenn der Router Ihres Anbieters (ISP) Ihr offiziellesNetzwerk einfach auf seine Ether-
netschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.7 Ethernet-DHCP
Umeine Ethernet DHCP-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
176 UTM9 WebAdmin
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Ethernet-DHCPaus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
Tipp Whlen Sie als Schnittstelle zumexternen Netzwerk (z.B. zumInternet) die
Netzwerkkarte mit der SysIDeth1aus. Beachten Sie, dass eine Netzwerkkarte nicht
gleichzeitig als Ethernet-DHCPund als PPP-over-Ethernet (PPPoE-DSL) oder PPTP-
over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Hostname: Wenn Ihr ISPden Hostnamen Ihres Systems bentigt, geben Sie ihn hier
ein.
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr den Schnitt-
stellentyp Ethernet-DHCPauf 1.500 Byte voreingestellt.
Proxy-ARP: Whlen Sie diese Option aus, umdie Proxy-ARP-Funktion zu aktivieren.
Standardmig ist die Funktion Proxy-ARPdeaktiviert.
Diese Funktion ist fr Schnittstellen vomTyp Broadcast verfgbar. Wenn diese Funktion
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr ande-
re Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe bernimmt
die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das
ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die Fire-
wall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
UTM9 WebAdmin 177
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
wenn der Router Ihres Anbieters (ISP) Ihr offiziellesNetzwerk einfach auf seine Ether-
netschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.8 DSL (PPPoE)
Fr diese Konfiguration bentigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von IhremISP. VDSL wird ebenfalls von dieser Schnitt-
stellenart untersttzt.
Hinweis Die UTMist nach Aktivierung der DSL-Verbindung tglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung
als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
178 UTM9 WebAdmin
Umeine DSL-(PPPoE)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie DSL (PPPoE) aus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
VDSL: Whlen Sie diese Option (nur) aus, wenn es sich bei der Verbindung umeine
VDSL-Verbindung handelt. Der MTU-Wert ndert sich auf 1476.
Statische PPPoE-IP(optional): Markieren Sie dieses Auswahlkstchen, wenn Sie von
IhremInternetanbieter eine statische IP-Adresse zugewiesen bekommen haben, und
geben Sie die IP-Adresse und die dazugehrige Netzmaske in die angezeigten Text-
felder ein.
l IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
l Netzmaske: Whlen Sie aus der Auswahlliste eine Netzmaske aus und/oder
geben Sie eine IPv6-Netzmaske ein.
Hinweis Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besit-
zen.
IPv4/IPv6 Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
Benutzername: Geben Sie den Benutzernamen ein, den Sie von IhremAnbieter erhal-
ten haben.
Kennwort: Geben Sie das Kennwort ein, das Sie von IhremInternetanbieter erhalten
haben.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
UTM9 WebAdmin 179
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden. Der MTU-Wert ist fr die Schnitt-
stellenart DSL (PPPoE) auf 1492 Byte voreingestellt.
VLAN-Tag (nur wenn VDSL aktiv ist):Geben Sie den VLAN-Tag ein, der zu den
PPPoE-Paketen hinzugefgt werden soll. Das korrekteTag erfahren Sie von Ihrem
VDSL-Provider. Der Standardwert 7 wird derzeit fr die PPPoE-Verbindung der Deut-
schen Telekomverwendet.
Tgliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung been-
det und wieder neu aufgebaut werden soll. Sie knnen zwischen Nie und einer belie-
bigen Uhrzeit whlen.
Verzgerte Wiedereinwahl: Definieren Sie hier die Zeitverzgerung fr die Wie-
dereinwahl. Standardmig betrgt sie 5 Sekunden. Sollte Ihr Anbieter eine lngere Ver-
zgerung erfordern, knnen Sie den Wert auf Eine Minute oder Fnfzehn Minuten set-
zen.
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Multilink: Wenn die Option aktiv ist, knnen Sie mehrerePPP-Verbindungen bndeln.
Eine Multilink-PPP-Verbindungist nur mglich, wenn Ihr ISPMultilink PPPuntersttzt.
Multilink-Slaves: Whlen Sie die Schnittstellen, die Sie mit der oben gewhlten Hard-
ware zu einemMultilink bndeln mchten.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
180 UTM9 WebAdmin
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.9 DSL (PPPoA/PPTP)
Fr die Konfiguration einer PPP-over-ATM-Verbindung (PPPoA) bentigen Sie auf der UTM
eine freie Ethernet-Netzwerkkarte und ein externes ADSL-Modemmit Ethernet-Anschluss.
Die Verbindung zumInternet erfolgt ber zwei Teilstrecken. Zwischen der UTMund dem
ADSL-Modemerfolgt die Verbindung mit demProtokoll PPTPover Ethernet. Die Verbindung
vomADSL-ModemzumInternetanbieter (ISP) erfolgt mit demADSL-Einwahlprotokoll PPP
over ATM.
Fr diese Konfiguration bentigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von IhremISP.
Hinweis Die UTMist nach Aktivierung der DSL-Verbindung tglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung
als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
Umeine DSL-(PPPoA/PPTP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie DSL (PPPoA/PPTP) aus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
UTM9 WebAdmin 181
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
IPv4/IPv6 default GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
Benutzername: Geben Sie den Benutzernamen ein, den Sie von IhremAnbieter erhal-
ten haben.
Kennwort: Geben Sie das Kennwort ein, das Sie von IhremInternetanbieter erhalten
haben.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Modem-IP: Geben Sie die IP-Adresse des ADSL-Modems ein. Diese Adresse wird in
der Regel vomAnbieter oder von der Hardware mitgeliefert und kann nicht gendert
werden. Beispiel: 10.0.0.138(bei AonSpeed).
NIC-Adresse: Geben Sie die IP-Adresse fr die Netzwerkkarte auf der UTMein, die an
das Modemangeschlossen ist. Diese Adresse muss imselben Subnetz liegen wie die IP-
Adresse des Modems. Beispiel: 10.0.0.140(bei AonSpeed).
NIC-Netzmaske: Tragen Sie die Netzmaske ein.
Beispiel: 255.255.255.0(bei AonSpeed).
Ping-Adresse (optional): Geben Sie die IP-Adresse eines Hosts imInternet ein, der auf
ICMP-Ping-Anfragen antwortet. Umdie Verbindung zwischen der UTMund demexter-
nen Netzwerk zu testen, geben Sie eine IP-Adresse eines Hosts amanderen Ende der
PPTP-Verbindung an. Sie knnen versuchen, den DNS-Server Ihres ISPdafr zu ver-
wenden. Die UTMsendet Ping-Anfragen zu diesemHost: Falls das Systemvon diesem
Host keine Antwort erhlt, ist die Verbindung nicht intakt.
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden. Der MTU-Wert ist fr die Schnitt-
stellenart DSL (PPPoA) auf 1492 Byte voreingestellt.
182 UTM9 WebAdmin
Tgliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung been-
det und wieder neu aufgebaut werden soll. Sie knnen zwischen Nie und einer belie-
bigen Uhrzeit whlen.
Verzgerte Wiedereinwahl: Definieren Sie hier die Zeitverzgerung fr die Wie-
dereinwahl. Standardmig betrgt sie 5 Sekunden. Sollte Ihr Anbieter eine lngere Ver-
zgerung erfordern, knnen Sie den Wert auf Eine Minute oder Fnfzehn Minuten set-
zen.
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.10 Modem (PPP)
Fr die Konfiguration bentigen Sie eine serielle Schnittstelle und ein externes PPP-Modemauf
der UTM. Darber hinaus bentigen Sie DSL-Zugangsdaten wie Benutzername und Kenn-
wort. Diese Daten erhalten Sie von IhremInternetanbieter.
UTM9 WebAdmin 183
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Umeine Modem-(PPP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Modem(PPP) aus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
IPv4/IPv6 default GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
Benutzername: Geben Sie den Benutzernamen ein, den Sie von IhremAnbieter erhal-
ten haben.
Kennwort: Geben Sie das Kennwort ein, das Sie von IhremInternetanbieter erhalten
haben.
Einwahlkennung: Geben Sie die Telefonnummer ein. Beispiel: 5551230
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Geschwindigkeit: Stellen Sie hier die Geschwindigkeit in Bit pro Sekunde fr die Ver-
bindung zwischen der UTMund demModemein. bliche Werte sind 57.600 Bit/s und
115.200 Bit/s.
Datenflusskontrolle: Stellen Sie die Methode zur Kontrolle des Datenflusses ein.
Wenn die Daten ber die serielle Verbindung laufen, kann es vorkommen, dass das Sys-
temdie ankommenden Daten nicht schnell genug verarbeiten kann. Umsicherzustellen,
dass keine Daten verloren gehen, ist eine Methode zur Kontrolle des Datenflusses not-
wendig. Bei der seriellen Verbindung sind zwei Methoden verfgbar:
l Hardware-Signale
l Software-Signale
Da bei einer PPP-Verbindung alle acht Bit der Leitung verwendet werden und sich in den
bertragenen Daten die Byte der Steuerzeichen Control Sund Control Qbefinden, emp-
fehlen wir, die Voreinstellung Hardware beizubehalten und ein entsprechendes serielles
Verbindungskabel zu verwenden.
184 UTM9 WebAdmin
Init-Kennung: Geben Sie die Kennung zur Initialisierung des Modems ein. Beachten
Sie, dass die Init-Kennung (init string) eventuell demModemangepasst werden muss. In
diesemFall entnehmen Sie die Init-Kennung demzugehrigen Modem-Handbuch. Falls
Sie keine entsprechende Dokumentation zur Verfgung haben, tragen Sie in das Ein-
gabefeld ATZ ein.
Rckstellungskennung: Geben Sie die Rckstellungskennung (reset string) fr das
Modemein. Beachten Sie auch hier, dass die Rckstellungskennung eventuell dem
Modemangepasst werden muss. In diesemFall entnehmen Sie diese demzugehrigen
Modem-Handbuch. Falls Sie keine entsprechende Dokumentation zur Verfgung
haben, tragen Sie in das Eingabefeld ATZ ein.
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr die Schnitt-
stellenart Modem(PPP) auf 1492 Byte voreingestellt.
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
4. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
UTM9 WebAdmin 185
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.2 Zustzliche Adressen
Eine Netzwerkkarte kann mit zustzlichen IP-Adressen konfiguriert werden (auch Aliasse
genannt). Diese Funktion wird bentigt, umauf einer physikalischen Netzwerkkarte mehrere
logische Netzwerke zu verwalten. Sie kann auch verwendet werden, umder UTMimZusam-
menhang mit NAT (Network Address Translation) zustzliche Adressen zuzuweisen.
Umzustzliche Adressen auf einer Netzwerkkarte zu konfigurieren, gehen Sie fol-
gendermaen vor:
1. Klicken Sie auf der Registerkarte Zustzliche Adressen auf Neue zustzliche
Adresse.
Das Dialogfeld Neue zustzliche Adresse erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die neue zustzliche Adresse ein.
Auf Schnittstelle: Whlen Sie imAuswahlmen die Netzwerkkarte aus, der die Adres-
se zugewiesen werden soll.
IPv4-/IPv6-Adresse: Geben Sie die zustzliche IP-Adresse fr die Schnittstelle ein.
Netzmaske: Whlen Sie aus der Auswahlliste eine Netzmaske aus und/oder geben Sie
eine IPv6-Netzmaske ein.
Hinweis Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besit-
zen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
186 UTM9 WebAdmin
3. Klicken Sie auf Speichern.
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
4. Aktivieren Sie die zustzliche Adresse.
Aktivieren Sie die zustzliche Adresse durch einen Klick auf den Schieberegler.
Die zustzliche Adresse ist nun eingeschaltet (Schieberegler zeigt Grn). Die zustzliche
Adresse wird mglicherweise dennoch als Aus angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die zustzliche Adresse ist voll-
stndig einsatzbereit, sobald die Meldung An angezeigt wird.
Umeine zustzliche Adresse zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
6.1.3 Linkbndelung
Linkbndelung (engl. Link Aggregation) (auch Kanalbndelung, port trunking oder NICbon-
ding) fasst mehrere parallele Ethernet-Verbindungen zu einer logischen Verbindung mit einer
IP-Adresse zusammen. Die gebndelten Ports werden von IhremSystemals eine einzige IP-
Adresse wahrgenommen. Mit Linkbndelung lsst sich einerseits die Bandbreite ber die Kapa-
zitt einer einzelnen NIChinaus vervielfachen, andererseits bietet es durch die redundanten
Verbindungen eine einfache Ausfallsicherung (Failover) und Fehlertoleranz fr den Fall, dass
ein Port oder Switch ausfllt. Der gesamte Datenverkehr, der ber den ausgefallenen Port
oder Switch lief, wird automatisch auf die brigen Ports oder Switches umgeleitet. Eine solche
Ausfallsicherung ist fr das System, das diese Verbindung benutzt, vllig transparent.
Hinweis In einer Hochverfgbarkeitsumgebung knnen die einzelnen Ethernet-Ver-
bindungen sogar auf verschiedenen HA-Einheiten sein.
Sie knnen bis zu vier verschiedene Linkbndelungsgruppen definieren. Eine Gruppe kann aus
einer oder mehreren Schnittstellen bestehen.
Umeine Linkbndelungsgruppe (LAG) zu konfigurieren, gehen Sie folgendermaen vor:
1. Whlen Sie fr jede LAG, welche Schnittstellen Sie hinzufgen wollen.
Eine Gruppe kann aus einer konfigurierten Schnittstelle und/oder einer oder mehreren
unkonfigurierten Schnittstellen bestehen.
UTM9 WebAdmin 187
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Umeine konfigurierte Schnittstelle zu verwenden, whlen Sie diese aus der Auswahlliste
Konvertierungsschnittstelle aus. Umunkonfigurierte Schnittstellen zu verwenden, mar-
kieren Sie die entsprechenden Auswahlkstchen.
2. Aktivieren Sie die LAG.
Aktivieren Sie die LAGdurch einen Klick auf die Schaltflche Diese Gruppe aktivieren.
Sobald die Linkbndelungsgruppe konfiguriert ist, steht eine neue LAG-Schnittstelle
(z.B. lag0) zur Verfgung, die ausgewhlt werden kann, wenn Sie eine neue Schnitt-
stellendefinition auf der Registerkarte Schnittstellen anlegen. Fr eine LAGknnen die
folgenden Schnittstellenarten konfiguriert werden:
l Ethernet-Statisch
l Ethernet-VLAN
l Ethernet-DHCP
l Alias-Schnittstellen
Umeine LAGzu deaktivieren, entfernen Sie die Hkchen aus den Auswahlkstchen, die Teil
dieser LAGsind, klicken auf Diese Gruppe aktualisieren und besttigen den Warnhinweis. Der
Status der LAGwird auf der Registerkarte Support >Erweitert >Schnittstellen angezeigt.
6.1.4 Uplink-Ausgleich
Mit der Uplink-Ausgleich-Funktion knnen Sie mehrere Internetverbindungen zusam-
menfassen, entweder umZusatzverbindungen bei einemAusfall zu haben oder umdie Last
auf mehrere Verbindungen zu verteilen. Die Kombination von bis zu 32 unterschiedlichen Inter-
netverbindungen wird untersttzt. Beachten Sie, dass mit demBasicGuard-Abonnement nur
zwei Uplinks kombiniert werden knnen.
Der Uplink-Ausgleich ist automatisch aktiviert, wenn Sie einer Schnittstelle zustzlich zu einer
bereits vorhandenen Schnittstelle mit Standardgateway ein Standardgateway zuweisen. Alle
Schnittstellen mit Standardgateway werden zumFeld Aktive Schnittstellen hinzugefgt und der
Uplink-Ausgleich wird ab diesemZeitpunkt automatisch durchgefhrt. Weitere Schnittstellen
mit Standardgateway werden ebenfalls automatisch hinzugefgt.
Auf der Registerkarte Multipathregeln knnen Sie konkrete Regeln fr den auszugleichenden
Datenverkehr definieren.
Umden Uplink-Ausgleich manuell einzurichten, gehen Sie folgendermaen vor:
188 UTM9 WebAdmin
1. Aktivieren Sie den Uplink-Ausgleich.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Uplink-Ausgleich kann nun bearbeitet wer-
den.
2. Whlen Sie aktive Schnittstellen aus.
Fgen Sie eine oder mehrere Schnittstellen hinzu, indemSie auf das Ordnersymbol kli-
cken und danach Schnittstellen aus der Objektleiste herberziehen. Bei mehreren
Schnittstellen wird der von Clients kommende Verkehr ber die Quelle ausgeglichen,
d.h., der gesamte von einer Quelle kommende Verkehr verwendet dieselbe Schnitt-
stelle, whrend Verkehr von anderen Quellen zu anderen Schnittstellen geleitet werden
kann. Wenn eine der Schnittstellen nicht erreichbar ist, wird der Verkehr von der/den ver-
bleibenden Schnittstelle(n) bernommen.
Hinweis Wenn der Uplink-Ausgleich automatisch aktiviert wurde, enthlt die Liste
Aktive Schnittstellen zunchst bereits alle Schnittstellen mit Standardgateway. Wenn
Sie eine Schnittstelle aus der Liste entfernen, wird das Auswahlkstchen Stan-
dardgateway der Schnittstelle automatisch deaktiviert. Daher muss jede Schnittstelle
mit Standardgateway entweder auf dieser Liste oder imFeld Standby-Schnittstellen
unten aufgefhrt sein. Sie knnen jedoch Schnittstellen ohne Standardgateway hin-
zufgen und die Standardgatewayadresse spter eingeben.
Hinweis Die Reihenfolge der Schnittstellen ist wichtig: In Konfigurationen, in denen
nur eine Schnittstelle verwendet werden kann, sowie fr Pakete, die von der UTM
selbst gesendet werden, wird standardmig die erste verfgbare aktive Schnittstelle
verwendet. Sie knnen die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Sym-
bole ndern.
ber das Symbol Planer bearbeitenin der Kopfzeile des Feldes knnen Sie das Ver-
teilungsverhalten und die Schnittstellenbindung der aktiven Schnittstellen festlegen:
Gewichtung: Die Gewichtung kann auf einen Wert zwischen 0 und 100 festgelegt wer-
den und gibt an, wie viel Datenverkehr eine Schnittstelle imVergleich zu allen anderen
Schnittstellen verarbeitet. Hierfr wird ein gewichteter Round-Robin-Algorithmus ver-
wendet. Ein hherer Wert bedeutet, dass mehr Datenverkehr ber die jeweilige Schnitt-
stelle geroutet wird. Die Werte werden imVerhltnis zueinander bewertet, daher muss
ihre Summe nicht 100 ergeben. So ist z.B. eine Konfiguration mglich, bei der
UTM9 WebAdmin 189
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Schnittstelle 1 den Wert 100, Schnittstelle 2 den Wert 50 und Schnittstelle 3 den Wert 0
hat. Dabei bearbeitet Schnittstelle 2 nur halb so viel Datenverkehr wie Schnittstelle 1,
whrend Schnittstelle 3 nur aktiv wird, wenn keine der anderen Schnittstellen verfgbar
ist. Der Wert Null bedeutet, dass grundstzlich eine andere Schnittstelle mit hherem
Wert gewhlt wird, wenn diese verfgbar ist.
Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewhrleistet, dass Daten-
verkehr mit bestimmten Attributen immer ber dieselbe Uplink-Schnittstelle geroutet
wird. Die Bindung hat eine Zeitbeschrnkung von einer Stunde.
3. Ausgewhlte Standby-Schnittstellen (optional).
Hier knnen Sie optional Ersatz-Schnittstellen hinzufgen, die nur in Aktion treten, wenn
alle aktiven Schnittstellen unerreichbar sind. In diesemFall wird die erste verfgbare
Standby-Schnittstelle entsprechend der gegebenen Reihenfolge verwendet. Sie knnen
die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Symbole ndern.
4. berwachungseinstellungen ndern (optional).
Automatische berwachung ist standardmig aktiviert, umein mgliches Versagen
einer Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Schnitt-
stellen berwacht wird, indemein bestimmter Host imInternet in einemAbstand von 15
Sekunden angesprochen wird. Standardmig ist der berwachende Host der dritte
Pings zulassende Hop auf demWeg zu einemder Root-DNS-Server. Sie knnen die
Hosts zumberwachen der Server auch selbst bestimmen. Fr diese Hosts knnen Sie
einen anderen Dienst als Ping auswhlen und berwachungsintervall und -zeit-
berschreitung anpassen:
Sobald die berwachenden Hosts keine Antwort mehr senden, wird die entsprechende
Schnittstelle als tot betrachtet und nicht mehr fr die Verteilung verwendet. Auf demDas-
hboard wird dann in der Spalte Link der Schnittstelle Fehler angezeigt.
Hinweis Automatisch werden dieselben berwachungseinstellungen sowohl fr die
Uplink-berwachung (Uplink-berwachung >Erweitert) als auch fr den Uplink-Aus-
gleich (Schnittstellen >Uplink-Ausgleich) verwendet.
5. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Eine neue virtuelle Schnittstelle namens Uplink Interfaces wird automatisch angelegt und steht
anderen Funktionen von Sophos UTMzur Verfgung, z.B. IPsec-Regeln. Die virtuelle Netz-
werkschnittstelle Uplink Interfaces umfasst alle Uplink-Schnittstellen, die der Schnittstellen-Liste
190 UTM9 WebAdmin
hinzugefgt wurden.
Eine neue virtuelle Schnittstelle namens Uplink Primary Addresses (Uplink-Hauptadressen)
wird automatisch angelegt und steht anderen Funktionen von Sophos UTMzur Verfgung,
z.B. Firewallregeln. Sie bezieht sich auf die Hauptadressen smtlicher Uplink-Schnittstellen.
ImFall des Versagens einer Schnittstelle knnen offene VPN-Tunnel automatisch ber die
nchste verfgbare Schnittstelle wiederhergestellt werden, vorausgesetzt, dass DynDNSver-
wendet wird oder der entfernte Server die IP-Adressen aller Uplink-Schnittstellen akzeptiert.
Voraussetzung ist, dass die IPsec-Regel die Uplink-Schnittstellen als Lokale Schnittstelle ver-
wendet.
berwachungs-Hosts definieren
Umeigene Hosts fr die berwachung des Server-Pools zu definieren, gehen Sie fol-
gendermaen vor:
1. Deaktivieren Sie das Auswahlkstchen Automatische berwachung.
Das Feld berwachende Hosts kann nun bearbeitet werden.
2. Fgen Sie die berwachenden Hosts hinzu.
Whlen Sie einen oder mehrere Hosts aus oder fgen Sie Hosts hinzu, die anstelle einer
zuflligen Auswahl an Hosts die berwachung bernehmen sollen. Wenn eine Schnitt-
stelle von mehr als einemHost berwacht wird, wird sie nur als tot betrachtet, wenn kei-
ner der berwachenden Hosts in der festgelegten Zeitspanne antwortet.Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Hinweis Wenn ein ausgewhlter Host an eine Schnittstelle gebunden ist, wird er nur
zur berwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle
gebunden, wird er zur berwachung aller Schnittstellen verwendet. Schnittstellen, die
nicht von den ausgewhlten Hosts berwacht werden, werden automatisch ber-
wacht.
Klicken Sie auf das Symbol berwachungseinstellungen bearbeiten imKopf des Feldes,
umdie berwachungsdetails festzulegen:
berwachungstyp:Whlen Sie das Dienstprotokoll fr die berwachungsprfungen
aus. Whlen Sie fr die Dienstberwachung entweder TCP(TCP-Verbindungsaufbau),
UDP(UDP-Verbindungsaufbau), Ping (ICMP-Ping), HTTPHost (HTTP-Anfragen)
UTM9 WebAdmin 191
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
oder HTTPSHost (HTTPS-Anfragen). Wenn Sie UDPverwenden, wird zunchst eine
Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist
der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Verbindung als aus-
gefallen.
Port (nur bei den berwachungstypen TCPund UDP):Port-Nummer, an die die Anfra-
ge gesendet wird.
URL (optional, nur bei berwachungstypen HTTP/SHost):Anzufragende URL. Sie kn-
nen statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indemSie die
Port-Information an die URL anhngen, z.B.
http://beispiel.domaene:8080/index.html. Wenn keine URLangegeben ist,
wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft wer-
den.
Zeitberschreitung:Geben Sie einen maximalen Zeitraumin Sekunden an, in demdie
berwachenden Hosts eine Antwort senden knnen. Wenn keiner der berwachenden
Hosts einer Schnittstelle in diesemZeitraumantwortet, wird die Schnittstelle als tot
betrachtet.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
6.1.5 Multipathregeln
Auf der Registerkarte Schnittstellen &Routing >Schnittstellen >Multipathregeln knnen Sie
Regeln fr den Uplink-Ausgleich erstellen. Die Regeln werden auf die aktiven Schnittstellen der
Registerkarte Uplink-Ausgleich angewendet, falls es mehr als eine Schnittstelle gibt, umVer-
kehr auszugleichen. Ohne Multipathregeln werden die Dienste ber die Quelle ausgeglichen,
d.h., der gesamte von einer Quelle kommende Verkehr verwendet dieselbe Schnittstelle, wh-
rend Verkehr von anderen Quellen zu anderen Schnittstellen geleitet werden kann. Mit Mul-
tipathregeln knnen Sie diese Standard-Schnittstellenbindung ndern.
Hinweis Multipathregeln knnen fr die Diensttypen TCP, UDPoder IPeingerichtet wer-
den.
Umeine Multipathregel anzulegen, gehen Sie folgendermaen vor:
192 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Multipathregeln auf Neue Multipathregel.
Das Dialogfenster Neue Multipathregel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Multipathregel ein.
Position:Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen. Platzieren Sie spezifischere Regeln oben in der Liste, umsicherzustellen, dass
ungenauere Regeln zuletzt abgeglichen werden.
Quelle: Whlen Sie eine Quell-IP-Adresse oder ein Quellnetzwerk aus, auf die oder das
die Regel sich beziehen soll.
Dienst: Whlen Sie einen Netzwerkdienst aus, auf den die Regel sich beziehen soll.
Ziel: Whlen Sie eine Ziel-IP-Adresse oder ein Zielnetzwerk aus, auf die oder das die
Regel sich beziehen soll.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Schnittst.- Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewhrleistet,
dass Datenverkehr mit bestimmten Attributen immer ber dieselbe Uplink-Schnittstelle
geroutet wird. Die Bindung hat eine Zeitbeschrnkung von einer Stunde. Sie knnen die-
se Einstellung jedoch auf der Registerkarte Uplink-Ausgleich ndern. Sie knnen bestim-
men, was die Basis fr die Bindung sein soll:
l nach Verbindung: Der (Standard-)Ausgleich erfolgt abhngig von der Ver-
bindung, d.h. smtlicher Datenverkehr, der zu einer bestimmten Verbindung
gehrt, verwendet dieselbe Schnittstelle, whrend Datenverkehr einer anderen
Verbindung an eine andere Schnittstelle gesendet werden kann.
l nach Quelle: Ausgleich erfolgt abhngig von der Quell-IP-Adresse, d.h. smt-
licher Datenverkehr, der aus einer Quelle stammt, verwendet dieselbe Schnitt-
stelle, whrend Datenverkehr aus anderen Quellen an eine andere Schnittstelle
gesendet werden kann.
UTM9 WebAdmin 193
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
Hinweis Die Bindung nach Quelle funktioniert nicht, wenn Sie einen Proxy ver-
wenden, weil die Information ber die ursprngliche Quelle fehlt. Der HTTP-
Proxy ist jedoch eine Ausnahme: VomHTTP-Proxy generierter Verkehr stimmt
mit der ursprnglichen Client-Quell-IP-Adresse berein und entspricht daher
auch den Schnittstellenbindungsregeln nach Quelle.
l nach Ziel: Ausgleich erfolgt abhngig von der Ziel-IP-Adresse, d.h. smtlicher
Datenverkehr fr ein Ziel verwendet dieselbe Schnittstelle, whrend Daten-
verkehr mit anderen Zielen an eine andere Schnittstelle gesendet werden kann.
l nach Quelle/Ziel: Ausgleich erfolgt abhngig von Quell- und Ziel-IP-Adresse,
d.h. smtlicher Datenverkehr aus einer bestimmten Quelle und mit einembestimm-
ten Ziel verwendet dieselbe Schnittstelle. Datenverkehr mit einer anderen Kom-
bination aus Quelle und Ziel kann an eine andere Schnittstelle gesendet werden.
Beachten Sie bitte den obigen Hinweis.
l nach Schnittstelle: Whlen Sie eine Schnittstelle aus der Auswahlliste Bind-
Schnittstelle. Der Verkehr, fr den diese Regel zutrifft, wird ber diese Schnitt-
stelle geroutet. Wenn eine Schnittstelle versagt und keine der folgenden Regeln
zutrifft, wird fr die Verbindung die Standardaktion angewendet.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Ausgleich ber (nicht mit Bindung nach Schnittstelle): Fgen Sie eine Schnitt-
stellengruppe zumFeld hinzu. Der Verkehr, fr den diese Regel zutrifft, wird ber die
Schnittstellen dieser Gruppe ausgeglichen. Standardeinstellung ist Uplink-Schnittstellen,
d.h. Verbindungen werden ber alle Uplink-Schnittstellen ausgeglichen.
Regel bei Schnittstellenfehler berspringen: Ist die Option ausgewhlt, wird imFall
eines Schnittstellenfehlers die nchste passende Multipathregel fr den Verkehr ver-
wendet. Ist die Option nicht ausgewhlt, wird imFall eines Schnittstellenfehlers keine
andere Multipathregel auf den definierten Verkehr angewendet. Dies ist beispielsweise
sinnvoll, wenn Sie sicherstellen mchten, dassSMTP-Verkehr nur von einer bestimmten
statischenIP-Adresse gesendet wird, umzu verhindern, dass die Empfnger Ihre E-
Mails aufgrund einer ungltigen Absender-IP-Adresseals Spamklassifizieren.
4. Klicken Sie auf Speichern.
Die neue Multipathregel wird in der Liste Multipathregeln angezeigt.
194 UTM9 WebAdmin
5. Aktivieren Sie die Multipathregel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.1.6 Hardware
Auf der Registerkarte Schnittstellen &Routing >Schnittstellen >Hardware sind alle kon-
figurierten Schnittstellen mit den entsprechenden Hardware-Informationen wie z.B. demEther-
net-Betriebsmodus und der MAC-Adresse aufgelistet. Bei UTM-Hardware-Gerten kann fr
jede Schnittstelle die automatische Aushandlung (Auto Negotiation) eingeschaltet oder aus-
geschaltet werden.
Auto Negotiation (Automatische Aushandlung): Gewhnlich wird der Ethernet-
Betriebsmodus (1000BASE-T Full-Duplex, 100BASE-T Full-Duplex, 100BASE-T Half-Duplex,
10BASE-T Full-Duplex 10BASE-T Half-Duplex, usw.) zwischen zwei Netzwerkgerten auto-
matisch ausgehandelt, indemder beste Betriebsmodus gewhlt wird, der von beiden Gerten
untersttzt wird. Dabei wird eine hhere Geschwindigkeit (z.B. 1.000Mbit/s) einer niedrigeren
Geschwindigkeit (z.B. 100Mbit/s) vorgezogen, bei gleicher Geschwindigkeit wird Full-Duplex
Half-Duplex vorgezogen.
Warnung Fr eine einwandfreie Funktion von 1.000Mbit/s ist die automatische Aus-
handlung stets erforderlich und wird auch vomIEEE-Standard 802.3ab gefordert. Achten Sie
deshalb darauf, Auto Negotiation fr Schnittstellen mit Link mode 1000BASE-T niemals aus-
zuschalten. Die zeitliche Abstimmung Ihrer Netzwerkverbindung knnte scheitern, was zu ein-
geschrnkter Funktionalitt oder vollstndigemVersagen fhren kann. Bei der Verwendung
von 100 Mbit/s und 10 Mbit/s ist die automatische Aushandlung optional, ihr Einsatz wird aber
sofern mglich empfohlen.
Die automatische Aushandlung ist standardmig aktiviert. Klicken Sie in den seltenen Fllen,
in denen sie abgeschaltet werden muss, auf die Schaltflche Bearbeiten der entsprechenden
Netzwerkkarte und ndern Sie die Einstellung in demangezeigten Dialogfeld NIC-Parameter
bearbeiten ber die Auswahlliste Link-Modus. Beachten Sie, dass die Auswahlliste nur bei
UTM9 WebAdmin 195
6 Schnittstellen & Routing 6.1 Schnittstellen
6.1 Schnittstellen 6 Schnittstellen & Routing
UTM-Hardware-Gerten verfgbar ist. Klicken Sie auf Speichern, umIhre nderungen zu spei-
chern.
Warnung Seien Sie vorsichtig, wenn Sie die automatische Aushandlung abschalten, da
dadurch die Leistung der Verbindung deutlich eingeschrnkt oder sogar unterbrochen wer-
den kann. Falls es sich bei der Netzwerkkarte umIhre Schnittstelle zumWebAdmin handelt,
wre in diesemFall kein Zugriff auf den WebAdmin mehr mglich!
ImFall, dass eine der Schnittstellen ihre Netzwerkverbindung aufgrund einer nderung an der
automatischen Aushandlung oder den Geschwindigkeitseinstellungen verloren hat, wird eine
nderung der Einstellung auf ihren ursprnglichen Wert normalerweise die Funktionalitt nicht
wiederherstellen: Das ndern der automatischen Aushandlung oder den Geschwin-
digkeitseinstellungen von nicht verbundenen Schnittstellen funktioniert nicht zuverlssig. Akti-
vieren Sie daher erst die automatische Aushandlung und starten Sie dann UTMneu, umdie
normale Funktionalitt wiederherzustellen.
HA-Linkberwachung: Wenn Hochverfgbarkeit aktiviert ist, werden alle konfigurierten
Schnittstellen auf ihren Link-Status hin berwacht. Falls ein Link ausfllt, wird eine bernahme
(Takeover) eingeleitet. Falls eine konfigurierte Schnittstelle nicht durchgehend verbunden ist
(z.B. die Administrationsschnittstelle), deaktivieren Sie bitte die HA-Link-berwachung fr die-
se Schnittstelle. Andernfalls werden alle HA-Knoten imStatus NICHT VERBUNDENver-
bleiben. Umdie HA-Link-berwachung zu deaktivieren, klicken Sie auf die Schaltflche Bear-
beiten der entsprechenden Netzwerkkarte und ndern Sie die Einstellung imangezeigten
Dialogfeld NIC-Parameter bearbeiten. Klicken Sie auf Speichern, umIhre nderungen zu spei-
chern.
Virtuelle MAC setzen: Unter Umstnden ist es sinnvoll, die MAC-Adresse eines Gerts zu
ndern. Beispielsweise mssen die Modems einiger ISPs zurckgesetzt werden, wenn sich das
angeschlossene Gert und die damit verbundene MAC-Adresse ndert. Ein Zurcksetzen des
Modems lsst sich vermeiden, indemdie MAC-Adresse auf den Wert des Vorgngergerts
gesetzt wird.
UTMberschreibt jedoch nicht die ursprngliche MAC-Adresse des Gerts, sondern legt statt-
dessen eine virtuelle MAC-Adresse fest. Klicken Sie dazu auf die Schaltflche Bearbeiten der
entsprechenden Netzwerkkarte. Whlen Sie imangezeigten Dialogfeld NIC-Parameter bear-
beiten die Option Virtuelle MACsetzen und geben Sie eine gltige MAC-Adresse ein. Klicken
Sie auf Speichern, umIhre nderungen zu speichern.
196 UTM9 WebAdmin
Klicken Sie auf die Schaltflche Bearbeiten der entsprechenden Netzwerkkarte, umdie
ursprngliche MAC-Adresse wiederherzustellen. Whlen Sie imangezeigten Dialogfeld NIC-
Parameter bearbeiten die Option Virtuelle MACsetzen ab. Klicken Sie auf Speichern, umIhre
nderungen zu speichern.
6.2 Bridging
Das Bridging ist eine Methode zur Weiterleitung von Datenpaketen und wird hauptschlich in
Ethernet-Netzwerken eingesetzt. ImGegensatz zumRouting trifft Bridging keine Annahmen
darber, wo sich in einemNetzwerk eine bestimmte Adresse befindet. Stattdessen benutzt es
Broadcasting, umunbekannte Gerte zu lokalisieren.
Durch Bridging knnen zwei oder auch mehrere gleichartige Netzwerke oder Netz-
werksegmente miteinander verbunden werden. Dabei werden die Datenpakete mittels
Bridging-Tabellen, die MAC-Adressen einemBridge-Port zuordnen, weitergeleitet. Die ent-
stehende Bridge bermittelt den Verkehr dann transparent durch die Bridging-Schnittstellen.
Hinweis Diese Art von Verkehr muss explizit durch entsprechende Firewallregeln erlaubt
werden.
Hinweis Die meisten virtuellen Hosts lassen standardmig keine nderungen von MAC-
Adressen oder den Promiscuous Mode auf ihren virtuellen Schnittstellen zu. Damit Bridging
auf virtuellen Hosts ausgefhrt werden kann, stellen Sie sicher, dass die Validierung auf den
MAC-Adressen des virtuellen Hosts deaktiviert und der Promiscuous Mode zugelassen ist.
6.2.1 Status
Umeine Bridge zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Bridging auf der Registerkarte Status.
Klicken Sie auf der Registerkarte Schnittstellen &Routing >Bridging >Status auf den
Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Bridge-Konfiguration kann nun bearbeitet
werden.
2. Whlen Sie den Bridging-Modus aus.
Sie knnen zwischen zwei Bridging-Modi whlen:
UTM9 WebAdmin 197
6 Schnittstellen & Routing 6.2 Bridging
6.2 Bridging 6 Schnittstellen & Routing
l Bridge ber alle NICs: Bei dieser Methode werden alle verfgbaren Ethernet-
Netzwerkkarten zu einer einzigen Bridge-Schnittstelle zusammengefasst. Die
Festlegung einer Konvertierungsschnittstelle ist in diesemModus Pflicht. Alle
Schnittstellen auer der konvertierten Schnittstelle werden bei dieser Methode
gelscht.
l Bridge ber ausgewhlte NICs: In diesemModus knnen die NICs fr die
Bridge individuell zusammengestellt werden. Hierfr werden mindestens zwei
unkonfigurierte Netzwerkkarten bentigt. Whlen Sie eine oder mehrere Netz-
werkkarten aus, die Teil der Bridge werden sollen. Auerdembesteht die Mg-
lichkeit, eine Konvertierungsschnittstelle zu bestimmen, die auf die neue Bridge
bertragen wird.
Hinweis Zur Linkbndelung knnen Sie zwei LAG-Schnittstellen bridgen, z. B.,
indemSie eine dieser Schnittstellen als Konvertierungsschnittstelle verwenden.
3. Whlen Sie die Netzwerkkarte fr die Bridge aus.
Fr das Bridging kann nur eine bereits konfigurierte Netzwerkkarte ausgewhlt werden.
Die Bridge bernimmt die Adresseinstellungen dieser Schnittstelle sowie die Alias-Adres-
sen und die VLAN-Einstellungen.
4. Klicken Sie auf Bridge einrichten.
Die Netzwerkkarten werden nun zusammengefasst und die Bridge wird aktiviert (Schie-
beregler ist grn).
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.
Sobald die Bridge konfiguriert ist, erscheint die umgewandelte Schnittstelle als Bridge-Gert mit
der SysIDbr0auf der Registerkarte Schnittstellen &Routing >Schnittstellen. Alle Schnitt-
stellen, die zur Bridge gehren, werden in der Bridge-Konfiguration angezeigt. Umeine Schnitt-
stelle aus der Bridge zu entfernen, whlen Sie die entsprechende Option ab und klicken Sie auf
Bridge aktualisieren.
Bridge entfernen
Umdie Bridge zu entfernen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Status auf den Schieberegler.
Der Schieberegler wird gelb.
2. Klicken Sie auf Entfernen der Bridge besttigen.
Der Schieberegler wird grau. Die Bridge wurde erfolgreich entfernt.
198 UTM9 WebAdmin
6.2.2 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Bridging >Erweitert knnen die folgenden
Optionen konfiguriert werden:
ARP-Broadcasts zulassen: Mit dieser Funktion knnen Sie bestimmen, ob eingehende
ARP-Broadcasts von der Bridge weitergeleitet werden sollen. Imeingeschalteten Zustand
erlaubt die Bridge Anfragen an die MAC-Zieladresse FF:FF:FF:FF:FF:FF. Dies kann even-
tuell von mutmalichen Angreifern genutzt werden, umInformationen ber die Netz-
werkkarten imentsprechenden Netzwerksegment oder sogar auf demGert selbst zu sam-
meln. Daher ist die Standardeinstellung, solche Broadcasts nicht durch die Bridge zu lassen.
Spanning Tree Protocol: Wenn diese Option aktiviert ist, wird das Spanning Tree Protocol
(STP) aktiviert. Dieses Netzwerkprotokoll erkennt und verhindert Bridge-Loops.
Achtung Beachten Sie, dass das Spanning Tree Protocol keinen Schutz bietet. Daher kn-
nen Angreifer mglicherweise die Bridge-Topologie ndern.
Ablaufzeit: In diesemEingabefeld stellen Sie ein, nach welcher Zeitspanne eine inaktive MAC-
Adresse gelscht wird. Standardmig ist als Zeitraum300 Sekunden voreingestellt.
IPv6-Durchleitung zulassen: Aktivieren Sie diese Option, umdie Durchleitung von IPv6-Ver-
kehr ber die Bridge ohne Kontrolle zuzulassen.
Virtuelle MAC-Adresse: Hier knnen Sie eine statische MAC-Adresse fr die Bridge ein-
geben. Standardmig (und solange der Eintrag 00:00:00:00:00:00 lautet) verwendet die
Bridge die niedrigste MAC-Adresse aller zugehrigen Schnittstellen.
Weitergeleitete EtherTypes: Standardmig leitet eine Bridge, die auf Sophos UTMkon-
figuriert ist, nur IP-Pakete weiter. Wenn Sie mchten, dass weitere Protokolle weitergeleitet
werden, mssen Sie deren EtherType in dieses Feld eingeben. Die Typen mssen als 4-stel-
lige hexadezimale Zahlen angegeben werden. Beliebte Beispiele sind AppleTalk (Typ 809B),
Novell (Typ 8138) oder PPPoE(Typen 8863 und 8864). Ein typischer Fall wre eine Bridge zwi-
schen Ihren RED-Schnittstellen, die zustzliche Protokolle zwischen den verbundenen Netz-
werken weiterleiten sollen.
UTM9 WebAdmin 199
6 Schnittstellen & Routing 6.2 Bridging
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
6.3 Dienstqualitt (QoS)
ImAllgemeinen bezeichnet Dienstqualitt (QoS, Quality of Service) Kontrollmechanismen, die
dafr sorgen, dass ausgewhlter Netzwerkverkehr bevorzugt behandelt und insbesondere
dass diesemeine Mindestbandbreite zugesichert wird. In Sophos UTMwird zu priorisierender
Verkehr auf der Registerkarte Dienstqualitt (QoS) konfiguriert. Hier knnen Sie fr bestimmte
Arten von ausgehendemVerkehr, der zwei Punkte imNetzwerk passiert, eine garantierte
Bandbreite reservieren. Dahingegen wird die Optimierung von Kapazitten (engl. traffic sha-
ping) fr eingehenden Verkehr intern durch verschiedene Techniken umgesetzt, z.B. durch Sto-
chastic Fairness Queuing (SFQ) oder RandomEarly Detection (RED).
6.3.1 Status
Auf der Registerkarte Dienstqualitt (QoS) >Status sind die Netzwerkkarten aufgelistet, fr die
QoSkonfiguriert werden kann. Standardmig ist QoSfr alle Schnittstellen ausgeschaltet.
UmQoSfr eine Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten der entsprechenden Schnittstelle.
Das Dialogfeld Schnittstelle bearbeiten ffnet sich.
2. Nehmen Sie die folgenden Einstellungen vor:
Downlink Kbit/s/Uplink Kbit/s: Geben Sie die Downlink- und Uplinkbandbreite (in
Kbit/s) ein, die Ihr ISPbereitstellt. Umbeispielsweise eine Internetverbindung mit 5 Mbit/s
fr Up- und Downlink zu konfigurieren, geben Sie 5120ein.
Sollte Ihre Bandbreite variieren, geben Sie den niedrigsten garantierten Wert an, der
von IhremISPzugesichert wird. Wenn Sie beispielsweise eine Internetverbindung mit 5
Mbit/s fr Up- und Downlink mit einer Variation von 0,8 Mbit/s haben, geben Sie 4300
Kbit/s an. Beachten Sie, dass das Gateway eine vernderte Bandbreite bercksichtigt,
wenn die verfgbare Bandbreite temporr hher ausfllt als der konfigurierte tiefste
zugesicherte Wert. Dabei wird der prozentuale Anteil an der Bandbreite fr zu prio-
risierenden Verkehr entsprechend erhht; umgekehrt funktioniert das jedoch leider
nicht.
Uplink begrenzen: Wenn Sie diese Option whlen, nutzt die Funktion QoSdie oben ein-
getragenen Bandbreitenwerte als Basis fr die Kalkulation des zu priorisierenden Daten-
verkehrs, der diese Schnittstelle passiert. Die Option Uplink begrenzen ist
200 UTM9 WebAdmin
standardmig ausgewhlt und sollte fr die folgenden Arten von Schnittstellen ver-
wendet werden:
l Ethernet-Statisch-Schnittstelle: Zwischen Gateway und Internet ist ein Router
installiert und die vomRouter bereitgestellte Bandbreite ist bekannt.
l Ethernet-VLAN-Schnittstelle: Zwischen Gateway und Internet ist ein Router instal-
liert und die vomRouter bereitgestellte Bandbreite ist bekannt.
l DSL (PPPoE)
l DSL (PPPoA)
l Modem(PPP)
Die Option Uplink begrenzen sollte grundstzlich fr jene Schnittstellen ausgeschaltet
werden, bei denen die Basis fr die Bandbreiten-Kalkulation schon durch die Maxi-
malgeschwindigkeit der jeweiligen Schnittstelle ermittelt werden kann. Dies betrifft
jedoch nur die folgenden Schnittstellen-Typen:
l Ethernet-Statisch-Schnittstelle: Direkt mit demInternet verbunden.
l Ethernet-VLAN-Schnittstelle: Direkt mit demInternet verbunden.
l Ethernet-DHCP
Bei Schnittstellen ohne eine Uplink-Grenze verteilt die QoS-Funktion den gesamten
Datenverkehr proportioal. Wenn Sie beispielsweise auf einer Ethernet-DHCP-Schnitt-
stelle 512 Kbit/s fr VoIP-Verkehr reserviert haben und sich die verfgbare Bandbreite
halbiert, dann wrden 256 Kbit/s fr diesen Datenverkehr verwendet werden (imGegen-
satz zu Schnittstellen mit einer festen Obergrenze funktioniert proportionale Verteilung in
beiden Richtungen).
Download-Ausgleich: Wenn diese Option aktiviert ist, verhindern die beiden War-
teschlangen-Algorithmen Stochastic Fairness Queuing (SFQ) und RandomEarly Detec-
tion (RED), dass es zu Netzwerkstaus kommt. ImFall dass die konfigurierte Download-
Geschwindigkeit erreicht ist, werden Pakete jener Verbindung verworfen, die den meis-
ten Downlink in Anspruch nimmt.
Upload-Optimierung: Wenn diese Option aktiviert ist, werden ausgehende TCP-Pake-
te, die eine Verbindung aufbauen, priorisiert (TCP-Pakete mit SYN-Flag) ebenso wie
TCP-Besttigungspakete (TCP-Pakete mit ACK-Flag und einer Paketlnge zwischen
40 und 60 Bytes) und DNS-Lookups (UDP-Pakete auf Port 53).
UTM9 WebAdmin 201
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
4. Aktivieren Sie QoS fr die Schnittstelle.
Klicken Sie auf den Schieberegler der Schnittstelle.Der Schieberegler wird grn.
6.3.2 Verkehrskennzeichner
Ein Verkehrskennzeichner (traffic selector) kann als eine QoS-Definition angesehen werden,
die bestimmte Arten von Netzwerkverkehr beschreibt, die von QoSbearbeitet werden. Diese
Definitionen werden spter innerhalb der Bandbreiten-Pool-Definition verwendet. Dort knnen
Sie festlegen, wie dieser Verkehr von QoSbehandelt wird, indemSie z.B. die komplette Band-
breite begrenzen oder demVerkehr einen gewissen Mindestanteil der Bandbreite zusichern.
Umeinen Verkehrskennzeichner anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verkehrskennzeichner auf Neuer Ver-
kehrskennzeichner.
Das Dialogfeld Neuen Verkehrskennzeichner erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diesen Verkehrskennzeichner ein.
Kennzeichnertyp: Sie knnen folgende Arten von Kennzeichnern festlegen:
l Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird der
Verkehr auf Grundlage eines einzelnen Dienstes oder einer Dienstgruppe regu-
liert.
l Anwendungskennzeichner: Verwenden Sie einen Anwendungskennzeichner,
wird der Verkehr auf Grundlage von Anwendungen reguliert, d.h. je nachdem, zu
welcher Anwendung er gehrt, unabhngig vomverwendeten Port oder Dienst.
l Gruppe: Sie knnen verschiedene Dienst- und Anwendungskennzeichner in
einer Verkehrskennzeichnerregel zusammenfassen. Umeine Gruppe definieren
zu knnen, mssen bereits einzelne Kennzeichner definiert sein.
Quelle: Fgen Sie das Quellnetzwerk hinzu oder whlen Sie das Quellnetzwerk aus, fr
das QoSaktiviert werden soll.
Dienst: Nur fr Verkehrskennzeichner. Fgen Sie den Netzwerkdienst hinzu oder wh-
len Sie den Netzwerkdienst aus, fr den QoSaktiviert werden soll. Sie knnen zwischen
verschiedenen vordefinierten Diensten und Dienstgruppen auswhlen. Wenn Sie
202 UTM9 WebAdmin
beispielsweise fr VoIP-Verbindungen eine bestimmte Bandbreite reservieren mchten,
whlen Sie VoIP-Protokolle (SIPund H.323) aus.
Ziel: Fgen Sie das Zielnetzwerk hinzu oder whlen Sie das Zielnetzwerk aus, fr das
QoSaktiviert werden soll.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Kontrollieren durch: Nur fr Anwendungskennzeichner. Whlen Sie aus, ob die Regu-
lierung des Verkehrs auf Grundlage des jeweiligen Anwendungstyps oder kate-
goriebasiert durch einen dynamischen Filter erfolgen soll.
l Anwendungen: Der Verkehr wird anwendungsbasiert reguliert. Whlen Sie im
Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l Dynamischer Filter: Der Verkehr wird kategoriebasiert reguliert. Whlen Sie im
Feld Diese Kategorien kontrollieren eine oder mehrere Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Nur fr
Anwendungskennzeichner. Klicken Sie auf das Ordnersymbol, umAnwen-
dungen/Kategorien auszuwhlen. Ein Dialogfenster wird geffnet, das imnchsten
Abschnitt detailliert beschrieben wird.
Produktivitt: Nur mit Dynamischer Filter. Gibt den von Ihnen gewhlten Pro-
duktivittswert wieder.
Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewhlten Risikowert wie-
der.
Hinweis Einige Anwendungen sind von der Regulierung ausgeschlossen. Dies ist fr
einen reibungslosen Betrieb von Sophos UTMerforderlich. Bei diesen Anwendungen
wird in der Anwendungstabelle des Dialogfensters Anwendung auswhlen kein Aus-
wahlkstchen angezeigt. Dies trifft u.a. fr den WebAdmin, Teredo, SixXs (fr IPv6-
Verkehr) und Portal (fr Benutzerportal-Verkehr) zu.Wenn Sie dynamische Filter ver-
wenden, wird die Regulierung dieser Anwendungen ebenfalls automatisch verhindert.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
UTM9 WebAdmin 203
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
TOS/DSCP(nur beimKennzeichnertyp Verkehrskennzeichner):In bestimmten Fllen
kann es sinnvoll sein, Datenverkehr, der von QoSbearbeitet werden soll, nicht nur ber
Quelle, Ziel und Dienst zu unterscheiden, sondern auch ber die TOS- oder DSCP-
Flags imIP-Header.
l Aus: Mit dieser Standardoption wird smtlicher Datenverkehr, der mit Quelle,
Dienst und Ziel bereinstimmt, der oben eingestellt wurde, mit QoSbearbeitet.
l TOS-Bits: Whlen Sie diese Option aus, wenn der mit QoSbearbeiteten Daten-
verkehr auf IP-Pakete mit bestimmten TOS-Bit (Type of Service) beschrnkt wer-
den soll. Sie knnen zwischen den folgenden Einstellungen whlen:
l Normaler Dienst
l Kosten minimieren
l Zuverlssigkeit maximieren
l Durchsatz maximieren
l Verzgerung minimieren
l DSCP-Bits: Whlen Sie diese Option aus, wenn der mit QoSbearbeitete Daten-
verkehr auf IP-Pakete mit bestimmten DSCP-Bits (Differentiated Services Code
Point) beschrnkt werden soll. Sie knnen entweder einen einzigen DSCP-Wert
festlegen (eine Ganzzahl imBereich 0 bis 63) oder einen vordefinierten Wert aus
der Liste DSCP-Klassen (z.B. BEdefault dscp (000000)) auswhlen.
Datenmenge gesendet/empfangen: Aktivieren Sie dieses Auswahlkstchen, wenn
der Verkehrskennzeichner die bereinstimmung aufgrund der Anzahl der von der Ver-
bindung bisher bertragenen Byte vornehmen soll. Mit dieser Funktion knnen Sie bei-
spielsweise die Bandbreite von groenHTTP-Uploadseinschrnken, ohne den nor-
malen HTTP-Verkehr zu beeintrchtigen.
l Gesendet/empfangen:Whlen Sie aus der Auswahlliste Mehr als aus, umden
Verkehrskennzeichner nur fr Verbindungen zu definieren, die eine bestimmte
Verkehrsmenge berschreiten. Whlen Sie Weniger als aus, umihn fr Ver-
bindungen mit bisher weniger Verkehr zu definieren.
l kByte: Geben Sie den Schwellenwert fr die Verkehrsmenge ein.
204 UTM9 WebAdmin
Helfer: Einige Dienste nutzen fr die Datenbertragung dynamische Ports. Fr jede Ver-
bindung verhandeln die Endpoints die zu verwendenden Ports ber einen Kontrollkanal.
Die UTMverwendet einen speziellen Helfer fr die Verbindungsverfolgung (engl.
connection tracking helper), der den Kontrollkanal berwacht, umherauszufinden, wel-
che dynamischen Ports verwendet werden. Umden Verkehr, der durch die dyna-
mischen Ports geht, in den Verkehrskennzeichner mit aufzunehmen, whlen Sie oben,
imFeld Dienst, Any, und whlen Sie in der Auswahlliste Helfer den entsprechenden
Dienst.
4. Klicken Sie auf Speichern.
Der neue Kennzeichner wird in der Liste Verkehrskennzeichner angezeigt.
Wenn Sie viele Verkehrskennzeichner definiert haben, knnen Sie mehrere Kennzeichner zu
einer Verkehrskennzeichnergruppe zusammenfgen, umdie Konfiguration bequemer zu
gestalten.
Dieser Verkehrskennzeichner oder diese Verkehrskennzeichnergruppe kann nun fr jeden
Bandbreiten-Pool verwendet werden. Diese Pools knnen auf der Registerkarte Bandbreiten-
Pools definiert werden.
Das Di alogfenster zur Auswahl von Anwendungen oder Kate-
gori en
BeimErstellen von Application-Control-Regeln mssen Sie Anwendungen oder Anwen-
dungskategorien aus demDialogfenster Whlen Sie eine oder mehrere Anwen-
dungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle imunteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die
auswhlbar sind oder zu einer definierten Kategorie gehren. Standardmig werden alle
Anwendungen angezeigt.
Imoberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschrnkt werden kann:
l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst
alle verfgbaren Kategorien. Standardmig sind alle Kategorien ausgewhlt; d.h. alle
verfgbaren Anwendungen werden unten in der Tabelle gelistet. Mchten Sie die ange-
zeigten Anwendungen auf bestimmte Kategorien beschrnken, klicken Sie in die Liste
mit den Kategorien und whlen Sie nur die gewnschte(n) Kategorie(n) aus.
l Produktivitt: Die Anwendungen werden zudemnach ihrer Auswirkung auf die Pro-
duktivitt klassifiziert, d.h., wie stark sie die Produktivitt beeinflussen. Beispiel:
UTM9 WebAdmin 205
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung
der Anwendung trgt somit zur Produktivitt bei. ImGegensatz dazu ist das Onlinespiel
Farmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitzt
die Bewertung 3 er wirkt sich neutral auf die Produktivitt aus.
l Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je hher die Bewertung, desto hher das
Risiko.
Tipp Jede Anwendung verfgt ber ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie knnen die Tabelle mit Hilfe des Fil-
terfelds in der Kopfzeile durchsuchen.
Abhngig von Ihrer Auswahl in der Auswahlliste Kontrollieren durchimDialogfeld Neuen Ver-
kehrskennzeichner erstellen gehen Sie folgendermaen vor:
l Kontrolle durch dynamischen Filter: Whlen Sie imFeld Kategorie die Kategorien aus
und klicken Sie auf bernehmen, umdie ausgewhlten Kategorien fr die Regel zu ber-
nehmen.
l Kontrollieren durch Anwendungen: Whlen Sie die zu kontrollierenden Anwendungen in
der Tabelle aus, indemSie auf die Auswahlkstchen klicken, die vor den Anwendungen
angezeigt werden. Klicken Sie auf bernehmen, umdie ausgewhlten Anwendungen
fr die Regel zu bernehmen.
NachdemSie auf bernehmen geklickt haben, wird das Dialogfenster geschlossen und Sie kn-
nen die Einstellungen der Verkehrskennzeichnerregel weiter bearbeiten.
6.3.3 Bandbreiten-Pools
Auf der Registerkarte Dienstqualitt (QoS) >Bandbreiten-Pools werden die Pools fr das Band-
breiten-Management definiert und verwaltet. Mit einemBandbreiten-Pool reservieren Sie eine
garantierte Bandbreite fr einen spezifischen ausgehenden Verkehrstyp, optional limitiert
durch eine maximale Bandbreite.
Umeinen Bandbreiten-Pool anzulegen, gehen Sie folgendermaen vor:
1. Whlen Sie auf der Registerkarte Bandbreiten-Pools eine Schnittstelle aus.
Whlen Sie aus der Auswahlliste An Schnittstelle gebunden diejenige Schnittstelle aus,
fr die Sie einen Bandbreiten-Pool definieren mchten.
206 UTM9 WebAdmin
2. Klicken Sie auf Neuer Bandbreiten-Pool.
Das Dialogfeld Neuen Bandbreiten-Pool erstellen wird geffnet.
3. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr den Bandbreiten-Pool ein.
Position: Die Positionsnummer legt die Prioritt des Bandbreiten-Pools fest. Niedrigere
Nummern haben eine hhere Prioritt. Bandbreiten-Pools werden in aufsteigender Rei-
henfolge abgeglichen. Sobald ein Bandbreiten-Pool zutrifft, werden Bandbreiten-Pools
mit einer hheren Nummer nicht mehr abgeglichen. Platzieren Sie spezifischere Pools
oben in der Liste, umsicherzustellen, dass ungenauere Pools zuletzt abgeglichen wer-
den. Beispiel: Sie haben einen Bandbreiten-Pool fr Internet-Datenverkehr (HTTP) im
Allgemeinen und einen weiteren Pool fr den Internet-Datenverkehr zu einembestimm-
ten Webserver definiert. Dann sollte der Bandbreiten-Pool mit demspezifischen Webser-
ver vorrangig positioniert, d.h. auf Position 1 gesetzt werden.
Bandbreite: Geben Sie die Uplink-Bandbreite (in Kbit) ein, die fr diesen Bandbreiten-
Pool reserviert werden soll. Wenn Sie z.B. 1Mbit/s fr eine bestimmte Art von Daten-
verkehr reservieren mchten, geben Sie 1024ein.
Hinweis Sie knnen fr einen Bandbreiten-Pool lediglich bis zu 90%der zur Ver-
fgung stehenden Gesamtbandbreite reservieren. Das Gateway reserviert grund-
stzlich 10%fr den vomBandbreiten-Management unbercksichtigten Daten-
verkehr. Umbei demBeispiel von oben zu bleiben: Wenn der Uplink 5 Mbit/s betrgt,
und Sie mchten VoIPsoviel Bandbreite wie mglich zuweisen, knnen Sie fr den
VoIP-Datenverkehr eine Bandbreite von maximal 4608 Kbit/s reservieren.
Obere Bandbreitengrenze angeben: Der Wert, den Sie oben imFeld Bandbreite
angegeben haben, stellt die zugesicherte Bandbreite dar, die fr einen speziellen Ver-
kehrstyp reserviert ist. Ein Bandbreiten-Pool beansprucht jedoch immer mehr Band-
breite fr seinen Verkehr als verfgbar ist. Wenn Sie fr einen bestimmten Verkehrstyp
verhindern wollen, dass er mehr als eine bestimmte Menge Ihrer Bandbreite verbraucht,
whlen Sie diese Option aus, umdie Bandbreitennutzung dieses Pools auf eine Ober-
grenze zu beschrnken.
Verkehrskennzeichner: Whlen Sie die Verkehrskennzeichner fr diesen Band-
breiten-Pool aus.
UTM9 WebAdmin 207
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
4. Klicken Sie auf Speichern.
Der neue Bandbreiten-Pool wird in der Liste Bandbreiten-Pools angezeigt.
5. Aktivieren Sie die Regel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeinen Bandbreiten-Pool zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
6.3.4 Download-Drosselung
Auf der Registerkarte Dienstqualitt (QoS)>Download-Drosselung knnen Sie Regeln defi-
nieren und verwalten, umeingehenden Verkehr zu drosseln. Wenn Pakete schneller ankom-
men als der eingestellte Schwellenwert, werden die berzhligen Pakete sofort verworfen,
ohne imFirewall-Protokoll aufgelistet zu werden. Aufgrund von Mechanismen zur TCP-ber-
lastvermeidung (TCPcongestion avoidance) sollten die betroffenen Absender als Reaktion auf
die verworfenen Pakete ihre Senderaten reduzieren.
Umeine Download-Drosselungsregel zu erstellen, gehen Sie folgendermaen vor:
1. Whlen Sie auf der Registerkarte Download-Drosselung eine Schnittstelle.
Whlen Sie aus der Auswahlliste An Schnittstelle gebunden diejenige Schnittstelle aus,
fr die Sie eine Download-Drosselungsregel definieren mchten.
2. Klicken Sie auf Neue Download-Drosselungsregel.
Das Dialogfeld Neue Download-Drosselungsregel anlegen wird geffnet.
3. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Download-Drosselungsregel
ein.
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
208 UTM9 WebAdmin
glichen.Platzieren Sie spezifischere Regeln oben in der Liste, umsicherzustellen, dass
ungenauere Regeln zuletzt abgeglichen werden.
Limit (Kbit/s): Der obere Grenzwert (in Kbit) fr den festgelegten Verkehr. Wenn Sie
beispielsweise die Rate fr einen bestimmten Verkehrstyp auf 1 Mbit/s begrenzen wol-
len, geben Sie 1024 ein.
Limitiere: Kombination aus Verkehrsquelle und -ziel, auf die das oben definierte Limit
zutreffen soll:
l verteilt: Das Limit wird zwischen allen existierenden Verbindungen gleich verteilt.
Die Gesamt-Downloadrate fr den Verkehr, der durch diese Regel definiert ist, ist
also auf den festgelegten Wert begrenzt.
l jede Quelladresse: Das Limit wird auf jede einzelne Quelladresse angewendet.
l jede Zieladresse: Das Limit wird auf jede einzelne Zieladresse angewendet.
l jede Quelle-Ziel-Kombination: Das Limit wird auf jedes einzelne Quelle-Ziel-
Adresspaar angewendet.
Verkehrskennzeichner: Whlen Sie die Verkehrskennzeichner, fr die Sie die Dow-
nloadraten drosseln mchten. Das definierte Limit wird auf die gewhlten Ver-
kehrskennzeichner aufgeteilt.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
4. Klicken Sie auf Speichern.
Die neue Download-Drosselungsregel wird in der Liste Download-Drosselung ange-
zeigt.
5. Aktivieren Sie die Regel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
UTM9 WebAdmin 209
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
6.3.5 Erweitert
Klassi fi zi erung nach Verkapselung bei behalten
Markieren Sie dieses Auswahlkstchen, wenn Sie gewhrleisten mchten, dass ein Paket
nach der Verkapselung weiterhin demVerkehrskennzeichner des ursprnglichen Dienstes
zugewiesen wird, wenn es keinen anderen bereinstimmenden Verkehrskennzeichner gibt.
Die Zuweisung eines gekapselten IP-Pakets zu einemVerkehrskennzeichner erfolgt wie folgt:
1. Das ursprngliche IP-Paket wird in der vorgegebenen Reihenfolge mit den vor-
handenen Verkehrskennzeichnern abgeglichen. Das Paket wird demersten ber-
einstimmenden Verkehrskennzeichner zugewiesen (z.B. Internal ->HTTP->Any).
2. Das IP-Paket wird gekapselt und der Dienst gendert (z.B. in IPsec).
3. Das gekapselte IP-Paket wird in der vorgegebenen Reihenfolge mit den vorhandenen
Verkehrskennzeichnern abgeglichen. Das Paket wird demersten bereinstimmenden
Verkehrskennzeichner zugewiesen (z.B. Internal ->IPsec ->Any).
4. Wenn kein Verkehrskennzeichner bereinstimmt, ist die Zuweisung von der Option Klas-
sifizierung nach Verkapselung beibehalten abhngig:
l Ist die Option ausgewhlt, wird das gekapselte Paket demVerkehrskennzeichner
aus Schritt 1 zugewiesen.
l Ist die Option nicht ausgewhlt, wird das gekapselte Paket keinemVer-
kehrskennzeichner zugewiesen und kann daher nicht Bestandteil eines Band-
breiten-Pools sein.
Expli ci t-Congesti on-Noti fi cati on-Untersttzung
ECN(Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermg-
licht End-to-End-Benachrichtigungen ber Netzwerkberlastungen, ohne dass Pakete ver-
worfen werden. ECNfunktioniert nur, wenn beide Endpunkte einer Verbindung erfolgreich
ber die Verwendung verhandeln. Durch Markieren dieses Auswahlkstchens sendet die UTM
die Information, dass sie bereit ist, ECNzu verwenden. Stimmt der andere Endpunkt zu, wer-
den ECN-Informationen ausgetauscht. Beachten Sie, dass auch das zugrunde liegende Netz-
werk und die beteiligten Router ECNuntersttzen mssen.
210 UTM9 WebAdmin
6.4 Uplink-berwachung
Das Men Schnittstellen &Routing >Uplink-berwachung gibt Ihnen die Mglichkeit, Ihre
Uplink-Verbindung (Internet-Verbindung) zu berwachen und bestimmte Aktionen vor-
zugeben, die imFall, dass sich der Verbindungsstatus ndert, automatisch ausgefhrt werden.
Beispielsweise kann automatisch ein Ersatz-VPN-Tunnel aktiviert werden, der eine andere Ver-
bindung benutzt. Oder es wird eine Alias-IP-Adresse deaktiviert, so dass ein ber-
wachungsdienst aktiviert wird.
6.4.1 Allgemein
Auf der Registerkarte Uplink-berwachung >Allgemein knnen Sie die Uplink-berwachung
ein- oder ausschalten.
UmUplink-berwachung zu aktivieren, klicken Sie auf den Schieberegler.
Der Schieberegler wird grn.
Wenn die Uplink-berwachung aktiv ist, zeit der Bereich Uplink-Status alle aktuellen Uplink-
Schnittstellen und deren Status:
l ONLINE: Die Uplink-Verbindung ist hergestellt und funktioniert.
l OFFLINE: Die berwachung hat festgestellt, dass die Uplink-Verbindung nicht funk-
tioniert.
l DOWN: Entweder wurde die Uplink-Schnittstelle administrativ deaktiviert, oder imFall
einer dynamischen Schnittstelle der entfernte PPP- oder DHCP-Server ist nicht erreich-
bar.
l STANDBY: Die Schnittstelle wurde auf der Registerkarte Schnittstellen >Uplink-Aus-
gleich als Standby-Schnittstelle definiert und wird derzeit nicht verwendet.
Hinweis Wenn der Uplink-Ausgleich aktiv ist, werden die Uplinks immer berwacht, selbst
wenn Uplink-berwachung deaktiviert ist. Daher werden, selbst wenn die Uplink-ber-
wachung ausgeschaltet ist, die Uplink-Schnittstellen auf dieser Seite angezeigt, wenn der
Uplink-Ausgleich aktiv ist. In diesemFall knnen Sie die berwachungseinstellungen auf der
Registerkarte Schnittstellen >Uplink-Ausgleich ndern.
UTM9 WebAdmin 211
6 Schnittstellen & Routing 6.4 Uplink-berwachung
6.4 Uplink-berwachung 6 Schnittstellen & Routing
6.4.2 Aktionen
Auf der Registerkarte Schnittstellen &Routing >Uplink-berwachung >Aktionen knnen Sie
Aktionen definieren, die imFall, dass sich der Uplink-Status ndert, automatisch durchgefhrt
werden. Beispielsweise mchten Sie vielleicht zustzliche Adressen deaktivieren, wenn die
Uplink-Verbindung unterbrochen ist.
Umeine neue Aktion anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Aktionen auf Neue Aktion.
Das Dialogfeld Aktion 'falls Uplink offline geht' anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Aktion ein.
Typ: Whlen Sie den Verbindungstyp, fr den Sie eine Aktion definieren wollen.
l IPsec-Tunnel: Whlen Sie diese Option aus der Auswahlliste, wenn Sie eine Akti-
on fr einen IPsec-Tunnel definieren wollen.
l Zustzliche Adressen: Whlen Sie diese Option aus der Auswahlliste, wenn Sie
eine Aktion fr eine zustzliche Adresse definieren wollen.
IPsec-Tunnel: (Nur verfgbar wenn IPsec-Tunnel als Typ festgelegt wurde.) Wenn
mindestens ein IPsec-Tunnel definiert ist, knnen Sie hier einen von ihnen auswhlen.
Weitere Informationen ber IPsec-Tunnel finden Sie in Kapitel Fernzugriff >IPsec.
Zus. Adresse: (Nur verfgbar wenn Zustzliche Adressen als Typ festgelegt wurde.)
Wenn mindestens eine zustzliche Adresse definiert ist, knnen Sie hier eine von ihnen
auswhlen. Weitere Informationen ber zustzliche Adressen finden Sie in Kapitel
Schnittstellen &Routing >Schnittstellen >Zustzliche Adressen.
Aktion: Sie knnen hier entweder Enable oder Disable whlen, was bedeutet, dass im
Fall einer Uplink-Unterbrechung der oben gewhlte IPsec-Tunnel oder die zustzliche
Adresse aktiviert oder deaktiviert wird.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die Aktion wird gespeichert und imFall, dass die Uplink-Verbindung unterbrochen wird,
ausgefhrt.
212 UTM9 WebAdmin
Umeine Aktion zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.4.3 Erweitert
Auf der Registerkarte Uplink-berwachung >Erweitert knnen Sie die automatische ber-
wachung der Uplink-Verbindung deaktivieren und stattdessen einen oder mehrere Hosts ange-
ben, die fr die berwachung verwendet werden sollen.
Automatische berwachung ist standardmig aktiviert, umein mgliches Versagen einer
Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Schnittstellen ber-
wacht wird, indemein bestimmter Host imInternet in einemAbstand von 15 Sekunden ange-
sprochen wird. Standardmig ist der berwachende Host der dritte Pings zulassende Hop auf
demWeg zu einemder Root-DNS-Server. Sie knnen die Hosts zumberwachen der Server
auch selbst bestimmen. Fr diese Hosts knnen Sie einen anderen Dienst als Ping auswhlen
und berwachungsintervall und -zeitberschreitung anpassen:
Die berwachenden Hosts werden dann in gewissen Abstnden angesprochen, und wenn kei-
ner von ihnen erreichbar ist, gilt die Uplink-Verbindung als unterbrochen. Anschlieend werden
die Aktionen ausgefhrt, die in der Registerkarte Aktionen definiert sind.
Hinweis Automatisch werden dieselben berwachungseinstellungen sowohl fr die
Uplink-berwachung (Uplink-berwachung >Erweitert) als auch fr den Uplink-Ausgleich
(Schnittstellen >Uplink-Ausgleich) verwendet.
UmIhre eigenen Hosts fr die berwachung zu verwenden, gehen Sie folgendermaen vor:
1. Deaktivieren Sie das Auswahlkstchen Automatische berwachung.
Das Feld berwachende Hosts kann nun bearbeitet werden.
2. Fgen Sie die berwachenden Hosts hinzu.
Whlen Sie einen oder mehrere Hosts aus oder fgen Sie Hosts hinzu, die anstelle einer
zuflligen Auswahl an Hosts die berwachung bernehmen sollen. Wenn eine Schnitt-
stelle von mehr als einemHost berwacht wird, wird sie nur als tot betrachtet, wenn kei-
ner der berwachenden Hosts in der festgelegten Zeitspanne antwortet.Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 213
6 Schnittstellen & Routing 6.4 Uplink-berwachung
6.4 Uplink-berwachung 6 Schnittstellen & Routing
Hinweis Wenn ein ausgewhlter Host an eine Schnittstelle gebunden ist, wird er nur
zur berwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle
gebunden, wird er zur berwachung aller Schnittstellen verwendet. Schnittstellen, die
nicht von den ausgewhlten Hosts berwacht werden, werden automatisch ber-
wacht.
Klicken Sie auf das Symbol berwachungseinstellungen bearbeiten imKopf des Feldes,
umdie berwachungsdetails festzulegen:
berwachungstyp:Whlen Sie das Dienstprotokoll fr die berwachungsprfungen
aus. Whlen Sie fr die Dienstberwachung entweder TCP(TCP-Verbindungsaufbau),
UDP(UDP-Verbindungsaufbau), Ping (ICMP-Ping), HTTPHost (HTTP-Anfragen)
oder HTTPSHost (HTTPS-Anfragen). Wenn Sie UDPverwenden, wird zunchst eine
Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist
der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Verbindung als aus-
gefallen.
Port (nur bei den berwachungstypen TCPund UDP):Port-Nummer, an die die Anfra-
ge gesendet wird.
URL (optional, nur bei berwachungstypen HTTP/SHost):Anzufragende URL. Sie kn-
nen statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indemSie die
Port-Information an die URL anhngen, z.B.
http://beispiel.domaene:8080/index.html. Wenn keine URLangegeben ist,
wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft wer-
den.
Zeitberschreitung:Geben Sie einen maximalen Zeitraumin Sekunden an, in demdie
berwachenden Hosts eine Antwort senden knnen. Wenn keiner der berwachenden
Hosts einer Schnittstelle in diesemZeitraumantwortet, wird die Schnittstelle als tot
betrachtet.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
214 UTM9 WebAdmin
6.5 IPv6
Seit Version 8 untersttzt Sophos UTMIPv6, den Nachfolger von IPv4.
Die folgenden Funktionen von UTMuntersttzen IPv6 ganz oder teilweise.
l Zugang zumWebAdmin und zumBenutzerportal
l SSH
l NTP
l SNMP
l SLAAC- (Stateless Address Autoconfiguration) und DHCPv6-Client-Untersttzung fr
alle dynamischen Schnittstellen
l DNS
l DHCP-Server
l BGP
l OSPF
l IPS
l Firewall
l NAT
l ICMP
l Server-Lastverteilung
l Webfilter
l Web Application Firewall
l SMTP
l IPsec (nur Site-to-Site)
l Syslog-Server
UTM9 WebAdmin 215
6 Schnittstellen & Routing 6.5 IPv6
6.5 IPv6 6 Schnittstellen & Routing
6.5.1 Allgemein
Auf der Registerkarte IPv6 >Allgemein knnen Sie die IPv6-Untersttzung fr Sophos UTM
aktivieren. Auerdemwerden hier IPv6-Statusinformationen, z.B. Informationen ber Prfix-
Bekanntmachungen, angezeigt, wenn IPv6 aktiviert ist.
Die IPv6-Untersttzung ist standardmig ausgeschaltet. UmIPv6 zu aktivieren, gehen Sie fol-
gendermaen vor:
1. Aktivieren Sie IPv6 auf der Registerkarte Allgemein.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn. Wenn IPv6 bisher noch nicht aktiviert oder konfiguriert wur-
de, ist imAbschnitt Konnektivitt der Ausdruck Keine angegeben.
Sobald IPv6 aktiviert ist, werden Sie imWebAdmin viele Netzwerkdefinitionen und Definitionen
von anderen Objekten vorfinden, die sich explizit auf IPv6 beziehen. ImAllgemeinen knnen Sie
diese genauso verwenden, wie Sie es von den IPv4-Objekten gewhnt sind.
Hinweis Wenn IPv6 aktiviert ist, tragen die Symbole von Netzwerkobjekten eine zustz-
liche Markierung, die Ihnen anzeigt, ob es sich bei demjeweiligen Objekt umein IPv6- oder ein
IPv4-Objekt handelt oder umbeides.
6.5.2 Prfix-Bekanntmachungen
Auf der Registerkarte IPv6 >Prfix-Bekanntmachungen knnen Sie Sophos UTMso kon-
figurieren, dass sie Clients ein IPv6-Adressprfix zuweist, welches diesen dann ermglicht, sich
selbst eine IPv6-Adresse auszuwhlen. Die Prfix-Bekanntmachung (prefix advertisement)
oder Router-Bekanntmachung (router advertisement) ist eine IPv6-Funktion, bei der sich Rou-
ter (in diesemFall die UTM) in gewisser Weise wie ein DHCP-Server unter IPv4 verhalten. Die
Router weisen den Clients IPs jedoch nicht direkt zu. Stattdessen weisen sich die Clients in
einemIPv6-Netzwerk eine sogenannte link-lokale Adresse fr die erste Kommunikation mit
demRouter zu. Der Router teilt demClient dann das Prfix fr dessen Netzwerksegment mit.
Daraufhin generiert sich der Client eine IP-Adresse, die aus demPrfix und seiner MAC-Adres-
se besteht.
Umein neues Prfix anzulegen, gehen Sie folgendermaen vor:
216 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Prfix-Bekanntmachungen auf Neues Prfix.
Das Dialogfeld Neues Prfix anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Whlen Sie eine Schnittstelle aus, die mit einer IPv6-Adresse und einer
64-Bit-Netzmaske konfiguriert ist.
DNS-Server 1/2 (optional): Die IPv6-Adressen der DNS-Server.
Domne (optional): Geben Sie den Domnennamen ein, der an die Clients bermittelt
werden soll (z.B. intranet.beispiel.de).
Gltige Lebensdauer: Der Zeitraum, fr den das Prfix gltig sein soll. Der Stan-
dardwert ist 30 Tage.
Bevorzugte Lebensdauer: Der Zeitraum, nach demein anderes Prfix, dessen bevor-
zugte Lebensdauer noch nicht vorber ist, vomClient gewhlt werden soll. Der Stan-
dardwert ist 7 Tage.
Andere Konfig (optional): Diese Option ist standardmig ausgewhlt. Sie stellt sicher,
dass ein angegebener DNS-Server und ein Domnenname zusammen mit demange-
gebenen Prfix ber DHCPv6 bekannt gegeben werden. Dies ist ntzlich, da es zurzeit
zu wenig Clients gibt, die DNS-Informationen von den Prfix-Bekanntmachungen (RFC
5006/RFC6106) abrufen knnen. Beachten Sie, dass diese DHCPv6-Konfiguration ver-
steckt verluft und daher ber das DHCP-Konfigurationsmen weder sichtbar noch edi-
tierbar ist.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Prfix-Konfiguration wird in der Liste Prfix-Bekanntmachungen angezeigt.
6.5.3 Umnummerierung
Auf der Registerkarte IPv6 >Umnummerierung knnen Sie fr den Fall einer nderung des
Prfixes die automatische Umnummerierung der durch die UTMverwalteten IPv6-Adressen
erlauben. Auerdemknnen Sie IPv6-Adressen manuell umnummerieren.
Die folgenden IPv6-Adressen werden gendert:
l Host-, Netzwerk- und Bereichsdefinitionen
l Hauptadressen und zustzliche Adressen von Schnittstellen
UTM9 WebAdmin 217
6 Schnittstellen & Routing 6.5 IPv6
6.5 IPv6 6 Schnittstellen & Routing
l DHCPv6-Server-Bereiche und -Zuordnungen
l DNS-Zuordnungen
IPv6-Prfixe, die durch den Tunnel-Broker zugewiesen wurden, werden nicht umnummeriert.
Automati sche IPv6-Umnummeri erung
Standardmig werden die durch Ihre UTMverwalteten IPv6-Adressen automatisch umnum-
meriert, wenn sich das IPv6-Prfix ndert. Prfixnderungen werden durch Ihren ISPber
DHCPv6-Prfixdelegation ausgelst. Umdie Umnummerierung zu deaktivieren, deaktivieren
Sie das Auswahlkstchen und klicken Sie auf bernehmen.
Manuelle IPv6-Umnummeri erung
Sie knnen bestimmte IPv6-Adressen, die durch die UTMverwaltet werden, manuell umnum-
merieren. Dies kann hilfreich sein, wenn Sie zu einemneuen ISPwechseln, der ein neues IPv6-
Prfix statisch zuweist statt automatisch ber DHCPv6.
1. Legen Sie das aktuelle Prfix der IPv6-Adressen fest, die umnummeriert wer-
den sollen.
Geben Sie das Prfix in das Feld Altes Prfix ein.
2. Legen Sie das neue Prfix fest.
Geben Sie das Prfix in das Feld Neues Prfix ein.
3. Klicken Sie auf bernehmen.
Alle IPv6-Adressen mit demfestgelegten aktuellen Prfix werden mit Hilfe des neuen Pr-
fixes umnummeriert.
6.5.4 6to4
Auf der Registerkarte IPv6 >6to4 knnen Sie Sophos UTMso konfigurieren, dass IPv6-Adres-
sen automatisch ber ein vorhandenes IPv4-Netzwerk getunnelt werden. Bei 6to4 hat jede
IPv4-Adresse ein /48-Prfix aus demIPv6-Netzwerk, auf das sie abgebildet wird. Die daraus
resultierende IPv6-Adresse besteht aus demPrfix 2002und der IPv4-Adresse in hexa-
dezimaler Schreibweise.
Hinweis Sie knnen entweder 6to4 oder Tunnel-Broker aktiviert haben.
Umdas Tunneln von IP-Adressen fr eine bestimmte Schnittstelle zu aktivieren, gehen Sie fol-
gendermaen vor:
218 UTM9 WebAdmin
1. Aktivieren Sie 6to4 auf der Registerkarte 6to4.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und die Abschnitte 6to4 sowie Erweitert knnen nun bear-
beitet werden.
2. Whlen Sie eine Schnittstelle aus.
Whlen Sie eine Schnittstelle aus der Auswahlliste Schnittstelle, die eine ffentliche IPv6-
Adresse besitzt.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert. Der Schnittstellenstatus wird auf der Regis-
terkarte Allgemein angezeigt.
Erwei tert
Sie knnen die Server-Adresse ndern, umeinen anderen 6to4-Relay-Server zu verwenden.
Gehen Sie folgendermaen vor:
1. Geben Sie eine neue Server-Adresse ein.
2. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
6.5.5 Tunnel-Broker
Auf der Registerkarte IPv6 >Tunnel-Broker knnen Sie die Verwendung eines Tunnel-Broker
aktivieren. Die Tunnelvermittlung (tunnel brokerage) ist ein Dienst, der von einigen ISPs ange-
boten wird, und es ermglicht, ber IPv6-Adressen auf das Internet zuzugreifen.
Hinweis Sie knnen entweder 6to4 oder Tunnel-Broker aktiviert haben.
Sophos UTMuntersttzt die folgenden Tunnel-Broker (Vermittlungsdienste):
l Teredo (nur Anonymous)
l Freenet6 (nach GoGo6) (Anonymous oder mit Benutzerkonto)
l SixXS(Benutzerkonto erforderlich)
l Hurricane Electric (Benutzerkonto erforderlich)
Umeinen Tunnel-Broker zu verwenden, gehen Sie folgendermaen vor:
UTM9 WebAdmin 219
6 Schnittstellen & Routing 6.5 IPv6
6.6 Statisches Routing 6 Schnittstellen & Routing
1. Aktivieren Sie die Tunnelvermittlung auf der Registerkarte Tunnel-Broker.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und die Abschnitte Tunnel-Broker sowie Erweitert knnen
nun bearbeitet werden. Der Tunnel-Broker ist sofort aktiv und verwendet Teredo mit
anonymer Authentifizierung. Der Verbindungsstatus wird auf der Registerkarte All-
gemein angezeigt.
Wenn Sie SixXS-Tunnel verwenden und die IPv6-Verbindung geht verloren, werden die
SixXS-Tunnel nicht automatisch neu gestartet. Prfen Sie in diesemFall die Protokolldateien,
die unter Protokolle &Berichte >Protokollansicht >Heutige Protokolldateien erscheinen.
Tunnel-Broker
Sie knnen die Standardeinstellungen fr den Tunnel-Broker ndern.
Authentifizierung: Whlen Sie eine Authentifizierungsmethode aus der Auswahlliste.
l Anonymous: Bei dieser Methode bentigen Sie kein Benutzerkonto bei dement-
sprechenden Broker. Die zugewiesene IP-Adresse ist jedoch nur temporr.
l User: Sie mssen sich bei dementsprechenden Broker anmelden, umein Benut-
zerkonto zu bekommen.
Broker: Whlen Sie einen anderen Broker aus der Auswahlliste aus.
Benutzername (nur bei User verfgbar): Geben Sie Ihren Benutzernamen fr den ent-
sprechenden Broker an.
Kennwort (nur bei User verfgbar): Geben Sie Ihr Kennwort fr den Benutzernamen an.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Erwei tert
Hier knnen Sie eine andere Serveradresse fr den gewhlten Tunnel-Broker angeben.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
6.6 Statisches Routing
Jeder an ein Netzwerk angeschlossener Computer verwendet eine Routing-Tabelle, mit
deren Hilfe er feststellt, welchen Weg ein ausgehendes Datenpaket nehmen muss, umsein Ziel
zu erreichen. Die Routing-Tabelle enthlt z.B. Informationen darber, ob sich eine Zieladresse
220 UTM9 WebAdmin
imlokalen Netzwerk befindet oder ob das Datenpaket ber einen Router weitergeleitet werden
muss. Falls ein Router beteiligt ist, enthlt die Tabelle die Information, welcher Router fr wel-
ches Netzwerk benutzt werden muss.
Zwei Routenarten knnen zur Routing-Tabelle von Sophos UTMhinzugefgt werden: sta-
tische Routen und Richtlinienrouten. Bei statischen Routen werden die Routingziele lediglich
von der Zieladresse der Datenpakete bestimmt. Bei Richtlinienrouten ist es mglich, das Rou-
ting anhand der Quellschnittstelle, der Absenderadresse, des Dienstes oder der Zieladresse zu
bestimmen.
Hinweis Sie brauchen fr Netzwerke, die direkt an die Schnittstellen der UTMange-
schlossen sind, sowie fr Standardrouten keine Routing-Eintrge anzulegen. Diese Routing-
Eintrge werden vomSystemautomatisch erstellt.
6.6.1 Statische Routen
Fr die direkt angeschlossenen Netzwerke trgt das Systemdie entsprechenden Routing-Ein-
trge selbst ein. Weitere Eintrge mssen manuell vorgenommen werden, z.B. wenn imloka-
len Netzwerk ein weiterer Router existiert, ber den ein bestimmtes Netzwerk erreicht werden
soll. Routen fr Netzwerke, die nicht direkt angeschlossen sind, aber ber einen Befehl oder
eine Konfigurationsdatei in die Routing-Tabelle eingetragen werden, bezeichnet man als sta-
tische Routen.
Umeine statische Route hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Statische Routen auf Neue statische Route.
Das Dialogfeld Neue statische Route erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Routentyp: Die folgenden Routentypen sind verfgbar:
l Schnittstellenroute: Datenpakete werden an eine bestimmte Schnittstelle
geschickt. Dieser Typ kann in zwei Fllen ntzlich sein: Fr Routing-Eintrge zu
dynamischen Schnittstellen (z.B. PPP), da in diesemFall die IP-Adresse des Gate-
ways nicht bekannt ist, oder fr eine Standard-Route mit einemGateway auer-
halb der direkt angeschlossenen Netzwerke.
l Gatewayroute: Die Datenpakete werden an einen bestimmten Host (Gateway)
geschickt.
UTM9 WebAdmin 221
6 Schnittstellen & Routing 6.6 Statisches Routing
6.6 Statisches Routing 6 Schnittstellen & Routing
l Blackhole-Route: Die Datenpakete werden ohne Rckmeldung an den Absen-
der verworfen. In Verbindung mit OSPF oder anderen dynamischen adaptiven
Routing-Protokollen knnen dadurch unter anderemRouting Loops(Schleifen)
oder Route Flapping(schnelles Wechseln von Routen) verhindert werden.
Netzwerk: Whlen Sie die Zielnetzwerke der Datenpakete, die die UTMabfangen
muss.
Schnittstelle: Whlen Sie die Schnittstelle, durch die die Datenpakete die UTMver-
lassen (nur verfgbar, wenn Sie Schnittstellenroute als Routentyp gewhlt haben).
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den UTMdie Daten-
pakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp gewhlt
haben).
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgende erweiterte Einstellung vornehmen:
Metrik: Geben Sie einen Metrikwert ein. Dieser kann eine Ganzzahl zwischen 0 und
4294967295 sein. Der Standardwert betrgt 5. Dieser Metrikwert wird verwendet, um
Routen, die zumselben Ziel fhren, zu unterscheiden und zu priorisieren. Ein niedriger
Metrikwert wird einemhohen Metrikwert vorgezogen. IPsec-Routen besitzen auto-
matisch den Metrikwert 0.
4. Klicken Sie auf Speichern.
Die neue Route wird in der Liste Statische Routen angezeigt.
5. Aktivieren Sie die Route.
Klicken Sie auf den Schieberegler, umdie Route zu aktivieren.
Umeine Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.6.2 Richtlinienrouten
Normalerweise entscheidet ein Router darber, wohin ein bestimmtes Paket geschickt werden
muss, indemer die Zieladresse imPaket selbst ausliest und den entsprechenden Eintrag in
einer Routing-Tabelle nachschaut. Manchmal jedoch ist es notwendig ein Paket basierend auf
anderen Kriterien weiterzuleiten. Das richtlinienbasierte Routing ermglicht die Weiterleitung
bzw. das Routen von Datenpaketen nach eigenen Sicherheitsrichtlinien.
Umeine Richtlinienroute hinzuzufgen, gehen Sie folgendermaen vor:
222 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Richtlinienrouten auf Neue Richtlinienroute.
Das Dialogfeld Neue Richtlinienroute erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Position: Die Positionsnummer legt die Prioritt der Richtlinienroute fest. Niedrigere
Nummern haben eine hhere Prioritt. Routen werden in aufsteigender Reihenfolge
abgeglichen. Sobald eine Route zutrifft, werden Routen mit einer hheren Nummer
nicht mehr abgeglichen.
Routentyp: Die folgenden Routentypen sind verfgbar:
l Schnittstellenroute: Datenpakete werden an eine bestimmte Schnittstelle
geschickt. Dieser Typ kann in zwei Fllen ntzlich sein: Fr Routing-Eintrge zu
dynamischen Schnittstellen (z.B. PPP), da in diesemFall die IP-Adresse des Gate-
ways nicht bekannt ist, oder fr eine Standard-Route mit einemGateway auer-
halb der direkt angeschlossenen Netzwerke.
l Gatewayroute: Die Datenpakete werden an einen bestimmten Host (Gateway)
geschickt.
Quellschnittstelle: Die Schnittstelle, auf der das zu routende Datenpaket ankommt.
Mit der Einstellung Any werden alle Schnittstellen geprft.
Quellnetzwerk: Das Quellnetzwerk des zu routenden Datenpakets. Mit der Einstellung
Any werden alle Netzwerke geprft.
Dienst: Datenpakete dieses Diensts werden auf passende Routing-Regeln geprft. Die
Auswahlliste enthlt sowohl die vordefinierten als auch Ihre selbst definierten Dienste.
Mit Hilfe dieser Dienste lsst sich przise definieren, welche Art von Datenverkehr ver-
arbeitet werden soll. Die Einstellung Any entspricht in diesemFall allen Kombinationen
aus Protokollen und Quell- bzw. Zielports.
Zielnetzwerk: Das Zielnetzwerk des zu routenden Datenpakets. Mit der Einstellung Any
werden alle Netzwerke geprft.
Zielschnittstelle: Die Schnittstelle, an die die Datenpakete gesendet werden (nur ver-
fgbar, wenn Sie als Routentyp Schnittstellenroute gewhlt haben).
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp
gewhlt haben).
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
UTM9 WebAdmin 223
6 Schnittstellen & Routing 6.6 Statisches Routing
6.7 Dynam. Routing (OSPF) 6 Schnittstellen & Routing
3. Klicken Sie auf Speichern.
Die neue Route wird in der Liste Richtlinienrouten angezeigt.
4. Aktivieren Sie die Route.
Klicken Sie auf den Schieberegler, umdie Route zu aktivieren.
Umeine Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.7 Dynam. Routing (OSPF)
Das Protokoll Open Shortest Path First (OSPF) ist ein dynamisches Link-State-Routing-Pro-
tokoll, das hauptschlich innerhalb von groen autonomen Systemnetzwerken genutzt wird.
Sophos UTMuntersttzt OSPF Version 2. ImGegensatz zu anderen Protokollen nutzt OSPF
die Kosten fr die Pfade als Routing-Metrik. Die Kosten fr die bermittlung von Datenpaketen
ber eine Schnittstelle mit eingeschaltetemOSPF werden aus der verfgbaren Bandbreite
berechnet. Dabei sind die Kosten umgekehrt proportional zu der verfgbaren Bandbreite der
Schnittstelle eine grere Bandbreite hat somit geringere Kosten zur Folge. Die Kosten und
die entstehende Zeitverzgerung sind z.B. bei einer seriellen Schnittstelle mit 56 Kbit/s hher
als bei einer Ethernet-Schnittstelle mit 10 Mbit/s.
Die OSPF-Spezifikation enthlt keine Angaben darber, wie die Kosten fr ein ange-
schlossenes Netzwerk berechnet werden dies wird demAnbieter berlassen. Daher knnen
Sie eine eigene Berechnungsformel fr die Kosten definieren. Wenn das OSPF-Netzwerk
jedoch an ein anderes Netzwerk angrenzt, bei dembereits eine Formel definiert wurde, muss
diese hier ebenfalls als Basis fr die Kostenberechnung verwendet werden.
Die Kosten werden standardmig bandbreitenbasiert berechnet. Cisco beispielsweise
berechnet die Kosten folgendermaen: 10
8
dividiert durch die Schnittstellen-Bandbreite in Bit
pro Sekunde. Laut dieser Formel betragen die Kosten, umeine 10-Mbit/s-Ethernet-Schnitt-
stelle zu benutzen, 10
8
/10.000.000 =10 und 10
8
/1.544.000 =64, umeine 1,544-Mbit/s-Schnitt-
stelle (T1) zu benutzen (ungerade Ergebnisse werden auf eine Ganzzahl abgerundet).
6.7.1 Allgemein
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Allgemein
werden die Grundeinstellungen fr OSPF vorgenommen. Bevor Sie die OSPF-Funktion akti-
vieren knnen, mssen Sie mindestens einen OSPF-Bereich konfigurieren (auf der Regis-
terkarte Bereich).
224 UTM9 WebAdmin
Achtung Die Einstellungen fr die OSPF-Funktion von Sophos UTMsollten nur von einem
technisch erfahrenen Administrator durchgefhrt werden, der mit demProtokoll OSPF ver-
traut ist. Die Konfigurationsbeschreibungen in diesemKapitel umfassen nicht gengend
Aspekte von OSPF, umein vollstndiges Verstndnis des OSPF-Protokolls zu erreichen. Ver-
wenden Sie diese Funktion deshalb mit Vorsicht, da eine fehlerhafte Konfiguration das Netz-
werk betriebsunfhig machen kann.
UmOSPF zu konfigurieren, gehen Sie folgendermaen vor:
1. Konfigurieren Sie auf der Registerkarte Bereich mindestens einen OSPF-
Bereich.
2. Aktivieren Sie OSPF auf der Registerkarte Allgemein.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich Router kann nun bearbeitet werden.
3. Geben Sie die Router-ID ein.
Geben Sie eine eindeutige IDein, ber die sich die Sophos UTMgegenber den ande-
ren OSPF-Routern identifiziert.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
UmOSPFzu deaktivieren, klicken Sie auf den Schieberegler.
6.7.2 Bereich
Ein OSPF-Netzwerk ist in mehrere Bereiche unterteilt. Dies sind logische Gruppierungen von
Routern, deren Informationen fr das restliche Netzwerk zusammengefasst werden knnen.
Die einzelnen Bereiche werden durch eine 32-Bit-IDin der Punkt-Dezimalschreibweise fest-
gelegt hnlich der Schreibweise bei IP-Adressen.
Es gibt insgesamt sechs OSPF-Bereichstypen:
l Backbone: Der Bereich mit der ID0 (oder 0.0.0.0) ist fr das Backbone-Netzwerk
des OSPF-Netzwerks reserviert, welches das Kernnetz eines OSPF-Netzwerks bildet
alle anderen Bereiche sind damit verbunden.
l Normal: Ein normaler oder regulrer Bereich erhlt eine eindeutige IDimBereich 1
(oder 0.0.0.1) bis 4.294.967.295 (oder 255.255.255.255). In normalen Bereichen
werden externe Routen bidirektional ber den Area Border Router (ABR, Grenzrouter)
UTM9 WebAdmin 225
6 Schnittstellen & Routing 6.7 Dynam. Routing (OSPF)
6.7 Dynam. Routing (OSPF) 6 Schnittstellen & Routing
geflutet. Beachten Sie, dass externe Routen als Routen definiert werden, die imOSPF
von einemanderen Routing-Protokoll verteilt werden.
l Stub: Ein Stub-Bereich hat blicherweise keine direkte Verbindung zu einemexternen
Netzwerk. Das Zufhren externer Routen in einen Stub-Bereich ist nicht erforderlich, da
smtlicher Datenverkehr in externe Netzwerke durch einen Area Border Router (ABR)
geleitet werden muss. Daher ersetzt der Stub-Bereich eine vorgegebene Route durch
externe Routen, umDaten an externe Netzwerke zu senden.
l Stub No-Summary: Der Bereich Stub No-Summary (auch Totally Stubby Area) ist mit
einemStub-Bereich vergleichbar, allerdings werden keine sogenannten Summary Rou-
tes erlaubt. Das bedeutet, dass die Flutung von Summary-Link-State-Advertisements
(LSAs) des Typs 3 in demBereich damit eingeschrnkt wird.
l NSSA: Dieser Bereich (Not-So-Stubby-Area/NSSA) ist eine Art von Stub-Bereich, in
demallerdings auch externe Verbindungen untersttzt werden. Beachten Sie dabei,
dass keine virtuellen Links untersttzt werden.
l NSSA No-Summary: Dieser Bereich (NSSANo-Summary) ist mit NSSAvergleichbar,
allerdings werden keine sogenannten Summary Routes erlaubt. Das bedeutet, dass die
Flutung von Summary-Link-State-Advertisements (LSAs) des Typs 3 in demBereich
damit eingeschrnkt wird.
Umeinen OSPF-Bereich anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Bereich auf Neuer OSPF-Bereich.
Das Dialogfeld Neuen OSPF-Bereich erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr den Bereich ein.
Bereich-ID: Geben Sie die IDfr den Bereich in der Punkt-Dezimalschreibweise ein
(z.B. 0.0.0.1fr einen normalen Bereich oder 0.0.0.0fr den Backbone-Bereich).
Bereichstyp: Whlen Sie einen Bereichstyp (siehe obige Beschreibung) aus, umdie
Charakteristika des Netzwerks festzulegen, demdieser Bereich zugewiesen wird.
Auth.-Methode: Whlen Sie fr alle Pakete, die ber die Schnittstelle den OSPF-
Bereich erreichen, die Authentifizierungsmethode aus. Die folgenden Authen-
tifizierungsmethoden sind verfgbar:
l MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
226 UTM9 WebAdmin
l Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird
als Klartext durch das Netzwerk geschickt.
l Aus: Diese Option deaktiviert die Authentifizierung.
Verbinden ber Schnittstelle: Whlen Sie eine OSPF-Schnittstelle aus. Beachten
Sie, dass OSPF-Schnittstellen, die Sie hier spezifizieren, vorher auf der Registerkarte
Schnittstellen erstellt worden sein mssen.
Virtuelle Links verbinden: Alle Bereiche in einemautonomen OSPF-System(AS)
mssen physikalisch mit demBackbone-Bereich (Bereich 0) verbunden sein. In man-
chen Fllen, wenn eine physikalische Verbindung nicht mglich ist, knnen Sie einen vir-
tuellen Link verwenden, umden Backbone-Bereich mit einemNicht-Backbone-Bereich
zu verbinden. Geben Sie imFeld Virtuelle Links verbinden die Router-ID, die demvir-
tuellen Link-Nachbarn zugeordnet ist, in der Punkt-Dezimalschreibweise ein (z.B.
10.0.0.8).
Kosten: Die Kosten fr das Senden und Empfangen von Datenpaketen in diesem
Bereich. Gltige Werte fr Kosten liegen imBereich 1 bis 65535.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Bereichsdefinition wird auf der Registerkarte Bereich angezeigt.
Umeinen OSPF-Bereich zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Live-Protokoll ffnen: ImOSPF-Live-Protokoll werden die Aktivitten auf der OSPF-Schnitt-
stelle protokolliert. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fens-
ter zu ffnen.
6.7.3 Schnittstellen
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Schnittstellen
knnen Sie Schnittstellendefinitionen erstellen, die innerhalb eines OSPF-Bereichs genutzt wer-
den sollen. Jede Definition enthlt verschiedene Parameter, die spezifisch fr OSPF-Schnitt-
stellen sind.
Umeine OSPF-Schnittstellendefinition anzulegen, gehen Sie folgendermaen vor:
UTM9 WebAdmin 227
6 Schnittstellen & Routing 6.7 Dynam. Routing (OSPF)
6.7 Dynam. Routing (OSPF) 6 Schnittstellen & Routing
1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue OSPF-Schnittstelle.
Das Dialogfeld Neue OSPF-Schnittstelle erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Schnittstelle: Whlen Sie die Schnittstelle aus, die der OSPF-Schnittstellendefinition
zugeordnet werden soll.
Auth.-Methode: Whlen Sie die Authentifizierungsmethode aus, die fr alle OSPF-
Pakete verwendet werden soll, die ber die Schnittstelle gesendet und empfangen wer-
den. Die folgenden Authentifizierungsmethoden sind verfgbar:
l MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
l Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird
als Klartext durch das Netzwerk geschickt.
l Aus: Diese Option deaktiviert die Authentifizierung.
Prfsumme: Whlen Sie die Prfsumme (MD, von engl. message digest), umdie MD5-
Authentifizierung fr diese OSPF-Schnittstelle festzulegen. Beachten Sie, dass Sie eine
Prfsumme zunchst auf der Registerkarte Prfsummen anlegen mssen, bevor Sie sie
hier auswhlen knnen.
Kosten: Die Kosten fr die bermittlung von Datenpaketen ber diese Schnittstelle. Gl-
tige Werte fr Kosten liegen imBereich 1 bis 65535.
Erweiterte Optionen (optional): Durch die Auswahl der Option Erweiterte Optionen
werden weitere Konfigurationsoptionen angezeigt:
l Grupaketintervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos
UTMwartet, bevor es Grupakete ber diese Schnittstelle sendet. Als Stan-
dardwert sind zehn Sekunden voreingestellt.
l Wiederbertragungsintervall: Legen Sie das Zeitintervall (in Sekunden) fest,
nach demein LSA(engl. link state advertisement) fr die Schnittstelle nochmals
bertragen wird, wenn keine Besttigung eingegangen ist. Es ist ein Zeitintervall
von fnf Sekunden voreingestellt.
l Totes Intervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos UTM
auf Grupakete wartet, die ber die Schnittstelle eintreffen. Als Standardwert sind
228 UTM9 WebAdmin
40 Sekunden voreingestellt. Per Konvention muss der Wert des toten Intervalls
grundstzlich vier mal grer sein als der Wert des Grupaketintervalls.
l Prioritt: Legen Sie die Router-Prioritt fest, bei der es sich umeine 8-Bit-Num-
mer zwischen 1 und 255 handelt, die hauptschlich dafr genutzt wird, umin
einemNetzwerk den designierten Router (DR, engl. Designated Router) zu
bestimmen. Als Standardwert ist 1 voreingestellt.
l bertragungsverzgerung: Legen Sie das geschtzte Zeitintervall (in Sekun-
den) fest, das bentigt wird, umein Link-State-Update-Paket (Linkstatus-Aktua-
lisierung) ber die Schnittstelle zu senden. Gltige Werte liegen imBereich 1 bis
65535; als Standardwert ist 1 voreingestellt.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die OSPF-Schnittstellendefinition wird auf der Registerkarte Schnittstellen angezeigt.
Umeine OSPF-Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Live-Protokoll ffnen: ImOSPF-Live-Protokoll werden die Aktivitten auf der OSPF-Schnitt-
stelle protokolliert. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fens-
ter zu ffnen.
6.7.4 Prfsummen
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Prfsummen
werden sogenannte Prfsummenschlssel generiert. Prfsummenschlssel sind erforderlich,
umdie MD5-Authentifizierung mit OSPF zu aktivieren. Die MD5-Authentifizierung generiert
eine 128-Bit-Prfsumme aus Datenpaket und Kennwort. Die Prfsumme wird mit demDaten-
paket und einer Schlssel-IDverschickt, welche demKennwort zugeordnet ist.
Hinweis Auf allen empfangenden Routern muss derselbe Prfsummenschlssel kon-
figuriert sein.
Umeinen Prfsummenschlssel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Prfsummen auf Neuer Prf-
summenschlssel.
UTM9 WebAdmin 229
6 Schnittstellen & Routing 6.7 Dynam. Routing (OSPF)
6.7 Dynam. Routing (OSPF) 6 Schnittstellen & Routing
Das Dialogfeld Neuen Prfsummenschlssel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
ID: Geben Sie die Schlssel-Identifikationsnummer fr diesen Prfsummenschlssel ein.
MD5-Schlssel: Geben Sie das Kennwort ein. Es kann bis zu 16 alphanumerische Zei-
chen enthalten.
3. Klicken Sie auf Speichern.
Der neue Schlssel wird in der Liste Prfsummen angezeigt.
Umeinen Prfsummenschlssel zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
6.7.5 Fehlersuche
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Fehlersuche
werden detaillierte Informationen zu relevanten OSPF-Parametern in separaten Browser-
Fenstern dargestellt. Die folgenden Informationen sind verfgbar:
l IP des OSPF-Nachbarn anzeigen: Es werden schnittstellenbezogene Informationen
zu den OSPF-Nachbarn angezeigt.
l IP der OSPF-Routen anzeigen: Es wird der aktuelle Stand der Routing-Tabelle ange-
zeigt.
l IP der OSPF-Schnittstelle anzeigen: Es werden OSPF-bezogene Schnitt-
stelleninformationen angezeigt.
l IP der OSPF-Datenbank anzeigen: Es werden zu einembestimmten Router OSPF-
datenbankbezogene Informationen anzeigt.
l IP der OSPF-Grenzrouter anzeigen: Es werden die internen Eintrge aus der OSPF-
Routing-Tabelle zumArea Border Router (ABR) und zumAutonomous SystemBoun-
dary Router (ASBR) angezeigt.
6.7.6 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Erweitert
befinden sich die erweiterten Einstellungen fr OSPF. Die Funktionen beziehen sich dabei auf
die Einspeisung (Neuverteilung) von Routing-Informationen aus einer Nicht-OSPF-Domne in
die OSPF-Domne.
230 UTM9 WebAdmin
Hinweis Richtlinienrouten knnen nicht neu verteilt werden.
Verbundene neu verteilen: Umdie Routen von direkt verbundenen Netzwerken neu zu ver-
teilen, whlen Sie diese Option aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Statische neu verteilen: Umstatische Routen neu zu verteilen, whlen Sie diese Option aus.
Hinweis Fr IPsec-Tunnel muss striktes Routing deaktiviert sein, umeine Neuverteilung zu
ermglichen (siehe Kapitel Verbindungen).
IPsec neu verteilen: UmIPsec-Routen neu zu verteilen, whlen Sie diese Option aus. Die
Option bind to interface sollte deaktiviert sein.
SSL VPN neu verteilen: UmSSL-VPN-Routen neu zu verteilen, whlen Sie diese Option
aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
BGP neu verteilen: UmBGP-Routen neu zu verteilen, whlen Sie diese Option aus. Der
Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Standardroute bekanntgeben: Umeine vorgegebene Route zur OSPF-Domne neu zu
verteilen, whlen Sie diese Option aus.
Hinweis Eine vorgegebene Route wird in der OSPF-Domne angezeigt, ungeachtet des-
sen, ob sie eine Route zu 0.0.0.0/0enthlt.
Schnittstellen-Linkerkennung: Whlen Sie diese Option aus, wenn Routen auf Schnitt-
stellen nur dann bekannt gegeben werden sollen, wenn ein Link mit der Schnittstelle erkannt
wird.
6.8 Border Gateway Protocol
Das Border Gateway Protocol (BGP) ist ein Routing-Protokoll, das hauptschlich von Inter-
netanbietern (ISPs) verwendet wird, umdie Kommunikation zwischen mehreren autonomen
Systemen(Autonomous System, AS) zu ermglichen, das heit zwischen mehreren ISPs. Ein
autonomes Systembesteht aus mehreren miteinander verbundenen IP-Netzwerken, die von
einemoder mehreren ISPs kontrolliert werden und ber ein internes Routing-Protokoll (z.B.
IGP) miteinander verbunden sind. BGPwird als Pfad-Vektor-Protokoll bezeichnet und fllt
UTM9 WebAdmin 231
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.8 Border Gateway Protocol 6 Schnittstellen & Routing
seine Routing-Entscheidungen, imGegensatz zu IGP, anhand von Pfad, Netzwerkrichtlinien
und/oder Regelwerken. Aus diesemGrund knnte man es eher als Erreichbarkeitsprotokoll
bezeichnen denn als Routing-Protokoll.
Jeder ISP(oder andere Netzwerkanbieter) muss imBesitz einer offiziell registrierten AS-Num-
mer (Autonomous SystemNumber, ASN) sein, umsich selbst imNetzwerk ausweisen zu kn-
nen. Obwohl ein ISPintern mehrere autonome Systeme untersttzen mag, ist fr das Internet
nur das Routing-Protokoll relevant. AS-Nummern aus demBereich 6451265534 sind privat
und knnen nur intern verwendet werden.
BGPverwendet TCPals Transportprotokoll, auf Port 179.
Wenn BGPzwischen Routern eines einzigen ASverwendet wird, spricht man von internem
BGP(interior BGP, iBGP); wenn es hingegen zwischen Routern von verschiedenen ASver-
wendet wird, spricht man von externemBGP(exterior BGP, eBGP).
Eine Strke von eBGPist seine Fhigkeit, Routing-Schleifen zu verhindern, das heit, dass ein
IP-Paket ein ASniemals zweimal passiert. Dies wird folgendermaen erreicht: Ein eBGP-Rou-
ter pflegt eine komplette Liste aller AS, die ein IP-Paket passieren muss, umein bestimmtes
Netzwerksegment zu erreichen. Wenn der Router sendet, teilt er diese Information mit seinen
eBGP-Nachbarroutern (neighbors), welche daraufhin ihre Routingliste aktualisieren, falls
ntig. Wenn ein eBGP-Router feststellt, dass er bereits auf einer solchen UPDATE-Liste ein-
getragen ist, fgt er sich nicht noch einmal hinzu.
6.8.1 Allgemein
Auf der Seite Border Gateway Protocol >Allgemein knnen Sie BGPfr die UTMaktivieren und
deaktivieren.
1. UmBGP aktivieren zu knnen, legen Sie auf der Seite Neighbor mindestens
einen Nachbarn an.
2. Aktivieren Sie auf der Seite Allgemein BGP.
Klicken Sie auf den Schieberegler. Der Schieberegler wird gelb und der Abschnitt BGP-
Systemkann nun bearbeitet werden.
3. Nehmen Sie die folgenden Einstellungen vor:
AS-Nummer: Geben Sie die AS-Nummer (Autonomous SystemNumber, ASN) Ihres
Systems ein.
232 UTM9 WebAdmin
Router-ID: Geben Sie eine IPv4-Adresse als Router-IDein, die den Nachbarn (neigh-
bors) whrend der Sitzungsinitialisierung bermittelt wird.
Netzwerke: Fgen Sie die Netzwerke hinzu, die den Nachbarn vomSystembekannt
gegeben werden sollen. Das Hinzufgen einer Definition wird auf der Seite Definitionen
&Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
4. Klicken Sie auf bernehmen.
Der Schieberegler wird grn und BGPwird aktiviert. Schon bald werden imBereich
BGPSummary Statusinformationen angezeigt.
6.8.2 Systeme
Auf der Seite Border Gateway Protocol >Systeme knnen Sie eine Umgebung mit mehreren
autonomen Systemen einrichten.
Hinweis Diese Seite ist nur zugnglich, wenn Sie die Verwendung von mehreren ASauf
der Seite Erweitert aktivieren.
Umein neues BGP-Systemanzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Systeme auf Neues BGP-System.
Das Dialogfeld Neues BGP-Systemanlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr das Systemein.
ASN: Geben Sie die AS-Nummer (Autonomous SystemNumber, ASN) Ihres Systems
ein.
Router-ID: Geben Sie eine IPv4-Adresse als Router-IDein, die den Nachbarn (neigh-
bors) whrend der Sitzungsinitialisierung bermittelt wird.
Neighbor: Markieren Sie die Auswahlkstchen derjenigen Nachbarn, die zumASdie-
ses Systems gehren. Beachten Sie, dass Sie die Nachbarn zuvor auf der Seite Neigh-
bor anlegen mssen.
Netzwerke: Fgen Sie die Netzwerke hinzu, die vomSystembekannt gegeben werden
sollen. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 233
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.8 Border Gateway Protocol 6 Schnittstellen & Routing
Routen installieren: Diese Option ist standardmig aktiviert und sollte nur deaktiviert
werden, wenn Sie wollen, dass ein BGP-Router die Routen kennt, aber nicht aktiv am
BGP-Routing-Prozess teilnimmt. Wenn es mehrere AS-Systeme gibt, auf denen diese
Option aktiviert ist, mssen Filterlisten angelegt werden, umsicherzustellen, dass es kei-
ne doppelten Netzwerke gibt. Andernfalls ist das Routing-Verhalten fr identische Netz-
werke unbestimmt.
3. Klicken Sie auf Speichern.
Das Systemwird in der Liste Systeme angezeigt.
6.8.3 Neighbor
Auf der Seite Border Gateway Protocol >Neighbor knnen Sie einen oder mehrere BGP-
Neighbor-Router anlegen. Ein Nachbarrouter (neighbor oder peer router) stellt die Ver-
bindung zwischen mehreren autonomen Systemen (AS) oder innerhalb eines einzigen ASher.
Whrend der ersten Kommunikation tauschen zwei Neighbors ihre BGP-Routing-Tabellen mit-
einander aus. Danach senden sie sich gegenseitig Aktualisierungen bei nderungen in der Rou-
ting-Tabelle zu. Pakete zur Aufrechterhaltung der Verbindung (keepalive packets) werden ver-
sendet, umsicherzustellen, dass die Verbindung nach wie vor besteht. Sollten Fehler auftreten,
werden Benachrichtigungen (notifications) versendet.
Richtlinien-Routing in BGPunterscheidet zwischen Richtlinien fr eingehenden und aus-
gehenden Verkehr. Dies ist der Grund dafr, dass Routemaps und Filterlisten getrennt auf ein-
gehenden und ausgehenden Verkehr angewendet werden knnen.
Sie mssen mindestens einen Neighbor-Router anlegen, bevor Sie BGPauf der Seite All-
gemein aktivieren knnen.
Umeinen neuen BGP-Neighbor anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Neighbor auf Neuer BGP-Neighbor.
Das Dialogfeld Neuen BGP-Neighbor anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie den Namen des BGP-Nachbarrouters ein.
Host: Fgen Sie die Hostdefinition des Nachbarn hinzu. Die festgelegte IP-Adresse
muss von der UTMerreichbar sein.Das Hinzufgen einer Definition wird auf der Seite
Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Entfernte ASN: Geben Sie die AS-Nummer (ASN) des Nachbarn ein.
234 UTM9 WebAdmin
Authentifizierung: Falls der Nachbar Authentifizierung erfordert, whlen Sie TCP-
MD5-Signatur aus der Auswahlliste aus und geben Sie das Kennwort ein. Dieses muss
mit demKennwort bereinstimmen, das auf demNachbarn festgelegt wurde.
3. Nehmen Sie die folgenden erweiterten Einstellungen vor, falls erforderlich.
Eingehende/Ausgehende Route: Falls Sie eine Routemap angelegt haben, knnen
Sie diese hier auswhlen. Mit Eingehend oder Ausgehend legen Sie fest, ob Sie die Rou-
temap auf ein- oder ausgehende Meldungen anwenden mchten.
Eingehender/Ausgehender Filter: Falls Sie eine Filterliste angelegt haben, knnen
Sie diese hier auswhlen. Mit Eingehend oder Ausgehend legen Sie fest, ob Sie den Fil-
ter auf ein- oder ausgehende Meldungen anwenden mchten.
Next-Hop-Self: Wenn ein Router in einemiBGP-Netzwerk ein externes eBGP-Netz-
werk bekannt gibt, wissen iBGP-Router, die ber keine eigene direkte externe Ver-
bindung verfgen, nicht, wie sie Pakete zu diesemNetzwerk routen sollen. Durch Aus-
whlen dieser Option jedoch macht der eBGP-Router sich selbst als Gateway zum
externen Netzwerk bekannt.
Multihop:In einigen Fllen kann ein Cisco-Router eBGP gemeinsammit einem
Router eines Drittherstellers ausfhren, der keine direkte Verbindung zwi-
schen den beiden externen Peers erlaubt. Umdie Verbindung zu ermglichen, nut-
zen Sie den eBGPMultihop. Der eBGP-Multihop erlaubt eine Neighbor-Verbindung zwi-
schen zwei externen Peers, die keine direkte Verbindung besitzen. Multihop ist nur fr
eBGP, nicht fr iBGP, bestimmt.
Soft-Reconfiguration: Standardmig aktiviert. Diese Option ermglicht das Spei-
chern von Updates, die vomNeighbor gesendet wurden.
Default-Originate: Sendet die Standardroute 0.0.0.0 an den Nachbarn. Der Neighbor
verwendet diese Route nur, falls er ein Netzwerk erreichen muss, das nicht Teil seiner
Routing-Tabelle ist.
Gewichtung: Cisco-spezifische Option. Legt ein generisches Gewicht fr alle Routen
fest, die durch diesen Neighbor gelernt wurden. Sie knnen einen Wert zwischen 0 und
65535 eingeben. Die Route mit demhchsten Gewicht wird genommen, umein bestimm-
tes Netzwerk zu erreichen. Das hier angegebene Gewicht berlagert ein Routemap-
Gewicht.
4. Klicken Sie auf Speichern.
Der Neighbor wird in der Liste Neighbor angezeigt.
UTM9 WebAdmin 235
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.8 Border Gateway Protocol 6 Schnittstellen & Routing
6.8.4 Routemap
In BGPist route-map ein Befehl, umBedingungen fr die Neuverteilung von Routen fest-
zulegen und Richtlinien-Routing zu ermglichen. Auf der Seite Border Gateway Protocol >Rou-
temap knnen Sie Routemaps fr bestimmte Netzwerke erstellen und Metriken, Gewichtungen
bzw. Prferenzwerte einstellen.
Der Best-Path-Algorithmus, der festlegt, welche Route genommen wird, funktioniert fol-
gendermaen:
1. Gewicht wird berprft.*
2. Lokale Prferenz wird berprft.*
3. Lokale Route wird berprft.
4. AS-Pfadlnge wird berprft.
5. Ursprung wird berprft.
6. Metrik wird berprft.*
Dies ist nur eine Kurzbeschreibung. Da die Berechnung des Best Path sehr komplex ist, ziehen
Sie fr detaillierte Informationen bitte die einschlgige Dokumentation zu Rate, welche imInter-
net zur Verfgung steht.
Die Elemente, die mit einemAsterisk (*) markiert sind, knnen direkt konfiguriert werden.
Umeine BGP-Routemap anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Routemap auf Neue BGP-Routemap.
Das Dialogfeld Neue BGP-Routemap anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Routemap ein.
Abgleich ber: Whlen Sie aus, ob die Routemap die IP-Adresse eines bestimmten
Routers oder ein ganzes ASvergleichen soll.
l IP-Adresse: ImFeld Netzwerke knnen Sie Hosts oder Netzwerke hinzufgen
oder auswhlen, auf die der Filter angewendet werden soll.Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >
Netzwerkdefinitionen erlutert.
236 UTM9 WebAdmin
l AS-Nummer: Setzen Sie imFeld AS-Regex regulre BGP-Ausdrcke ein, um
AS-Nummern zu definieren, auf die der Filter angewendet werden soll. Beispiel: _
100_stimmt mit jeder Route durch AS100 berein.
Netzwerke: Fgen Sie Netzwerke und/oder Hosts hinzu, auf welche die Routemap
angewendet werden soll.Das Hinzufgen einer Definition wird auf der Seite Definitionen
&Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Metrik: Standardmig lernt ein Router Routing-Metriken dynamisch. Sie knnen
jedoch Ihren eigenen Metrikwert festlegen, der eine Ganzzahl zwischen 0 und
4294967295 sein kann. Ein niedriger Metrikwert wird einemhohen Metrikwert vor-
gezogen.
Gewichtung: Die Gewichtung wird verwendet, umden besten Pfad auszuwhlen. Sie
wird fr einen bestimmten Router festgelegt und nicht verbreitet. Wenn es mehrere Rou-
ten zu demselben Ziel gibt, werden Routen mit einer hheren Gewichtung bevorzugt.
Die Gewichtung basiert auf demzuerst zutreffenden AS-Pfad und kann eine Ganzzahl
zwischen 0 und 4294967295 sein.
Hinweis Falls einemNeighbor eine Gewichtung zugewiesen wurde, ber-
lagert diese Gewichtung die Routemap-Gewichtung, wenn die Route mit
demangegebenen Netzwerk bereinstimmt.
Prferenz: Sie knnen einen Prferenzwert fr den AS-Pfad festlegen, welcher nur an
alle Router imlokalen ASgesendet wird. Die Prferenz (oder lokale Prferenz) teilt den
Routern in einemASmit, welcher Pfad bevorzugt gewhlt werden soll, umein bestimm-
tes Netzwerk auerhalb des ASzu erreichen. Sie kann eine Ganzzahl zwischen 0 und
4294967295 sein und der Standardwert ist 100.
AS-Prfix: Das AS-Prfix wird eingesetzt, wenn aus irgendwelchen Grnden die Pr-
ferenz-Einstellungen nicht ausreichen, umeine bestimmte Route zu vermeiden, zumBei-
spiel eine Ersatzroute, die nur dann verwendet werden soll, wenn die Hauptroute nicht
verfgbar ist. Damit knnen Sie das AS-Pfadattribut erweitern, indemSie Ihre eigene
AS-Nummer wiederholen, z.B. 65002 65002 65002. Dies beeinflusst die Auswahl der
BGP-Route, da der krzeste AS-Pfad bevorzugt wird. Beachten Sie, dass Routemaps
mit eingestelltemAS-Prfix imFeld Ausgehende Route eines Neighbors ausgewhlt wer-
den mssen, damit sie wie vorgesehen funktionieren.
3. Klicken Sie auf Speichern.
Die Routemap wird in der Liste Routemap angezeigt.
UTM9 WebAdmin 237
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.8 Border Gateway Protocol 6 Schnittstellen & Routing
Sie knnen die Routemap jetzt in einer Neighbor-Definition verwenden.
6.8.5 Filterliste
Auf der Seite Border Gateway Protocol >Filterliste knnen Sie Filterlisten anlegen, die dazu ver-
wendet werden, den Verkehr zwischen Netzwerken anhand der IP-Adresse oder AS-Nummer
zu regulieren.
Umeine Filterliste anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Filterliste auf Neue BGP-Filterliste.
Das Dialogfeld Neue BGP-Filterliste anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Filterliste ein.
Filtern nach: Whlen Sie aus, ob der Filter die IP-Adresse eines bestimmten Routers
oder ein ganzes ASvergleichen soll.
l IP-Adresse: ImFeld Netzwerke knnen Sie Hosts oder Netzwerke hinzufgen
oder auswhlen, auf die der Filter angewendet werden soll. Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >
Netzwerkdefinitionen erlutert.
l AS-Nummer: Setzen Sie imFeld AS-Regex BGP-regulre Ausdrcke ein, um
AS-Nummer zu definieren, auf die der Filter angewendet werden soll. Beispiel: _
100_stimmt mit jeder Route durch AS100 berein.
Netzwerke: Fgen Sie Netzwerke und/oder Hosts hinzu, denen Informationen ber
bestimmte Netzwerke verweigert oder genehmigt werden sollen. Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
Aktion: Whlen Sie aus der Auswahlliste eine Aktion, die ausgefhrt werden soll, wenn
der Filter zutrifft. Sie knnen Datenverkehr entweder verweigern oder erlauben.
l Verweigern: Wenn Sie ber das Feld Eingehender Filter auf der Seite Neighbor
einembestimmten Nachbarn ein Netzwerk verweigern, ignoriert die UTMMel-
dungen fr dieses Netzwerk. Wenn Sie das gleiche ber das Feld Ausgehender
Filter durchfhren, sendet die UTMfr dieses Netzwerk keine Meldungen an den
Nachbarn.
l Erlauben: Wenn Sie ber das Feld Eingehender Filter auf der Seite Neighbor fr
einen bestimmten Nachbarn ein Netzwerk zulassen, empfngt die UTMnur
238 UTM9 WebAdmin
Meldungen fr dieses Netzwerk. Wenn Sie das gleiche ber das Feld Aus-
gehender Filter durchfhren, sendet die UTMnur fr dieses Netzwerk Meldungen
an den Nachbarn, jedoch fr kein anderes Netzwerk, das Sie auf den Seiten All-
gemein oder Systeme definiert haben.
3. Klicken Sie auf Speichern.
Die Filterliste wird in der Liste Filterliste angezeigt.
Sie knnen die Filterliste jetzt in einer Neighbor-Definition verwenden.
6.8.6 Erweitert
Auf der Seite Border Gateway Protocol >Erweitert knnen Sie einige zustzliche Einstellungen
fr BGPvornehmen und haben Zugriff auf Fenster mit BGP-Informationen zur Fehlersuche.
Mehrere autonome System zulassen
Mehrere AS zulassen: Markieren Sie dieses Auswahlkstchen, falls Sie mehrere ASkon-
figurieren wollen. Dadurch wird die Seite Systeme aktiv, auf der Sie anschlieend mehrere AS
hinzufgen knnen. Gleichzeitig wird der Bereich BGP-Systemauf der Seite Allgemein deak-
tiviert und die Seite Allgemein zeigt Informationen fr alle AS.
Stri kte IP-Adressen-berei nsti mmung
Strikte IP-Adressen-bereinstimmung: Markieren Sie fr eine strikte IP-Adressen-ber-
einstimmung dieses Auswahlkstchen. Beispiel: 10.0.0.0/8 stimmt nur mit 10.0.0.0/8 berein,
aber nicht mit 10.0.1.0/24.
Multi -Pfad-Routi ng
Normalerweise wird nur eine Route verwendet, selbst wenn es mehrere Routen mit denselben
Kosten gibt. Bei Auswahl dieser Option knnen bis zu acht gleichwertige Routen gleichzeitig ver-
wendet werden. Dies ermglicht eine Lastverteilung auf mehrere Schnittstellen.
BGP-Fehlersuche
Dieser Abschnitt bietet Zugriff auf drei Fenster mit Informationen fr die Fehlersuche. Klicken
Sie auf eine Schaltflche, umein Fenster zu ffnen. Der Name einer Schaltflche entspricht
demBGP-Befehl, den Sie normalerweise auf der Kommandozeile eingeben wrden. Das Fens-
ter wird dann das Ergebnis dieses Befehls in Formeiner Kommandozeilenausgabe anzeigen.
Show IPBGP Neighbor: Zeigt Informationen zu den Neighbors der UTMan. Vergewissern
Sie sich, dass der Linkstatus jedes Neighbors Hergestellt lautet.
UTM9 WebAdmin 239
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing
Show IPBGP Unicast: Zeigt die aktuelle BGP-Routing-Tabelle mit den bevorzugten Pfaden
an. Dies ist besonders ntzlich, umeinen berblick ber Ihre Metrik (metric), Gewichtung
(weight) und Prferenz (preference) und deren Auswirkungen zu erhalten.
Show IPBGP Summary: Zeigt den Status aller BGP-Verbindungen an. Diese Informationen
werden auch imBereich BGP-Zusammenfassung auf der Seite Allgemein angezeigt.
6.9 Multicast Routing (PIM-SM)
Das Men Schnittstellen &Routing >Multicast Routing (PIM-SM) ermglicht die Konfiguration
von Protocol Independent Multicast Sparse Mode (PIM-SM) zur Benutzung in IhremNetzwerk.
PIMist ein Protokoll umMulticast-Pakete in Netzwerken dynamisch zu routen. Multicast ist eine
Methode, Pakete, die von mehr als einemClient empfangen werden sollen, effizient aus-
zuliefern, indemso wenig Verkehr wie mglich verursacht wird. Normalerweise werden Pakete
fr mehr als einen Client einfach kopiert und jedemClient individuell zugestellt. Dabei steigt die
bentigte Bandbreite mit der Anzahl der Benutzer. Dadurch bentigen Server, die viele Clients
haben, die die gleichen Pakete zur gleichen Zeit erfragen, sehr viel Bandbreite, so z.B. Server
fr Streaming-Inhalte.
Multicast hingegen spart Bandbreite, indemes Pakete nur einmal ber jeden Netzwerkknoten
sendet. Umdas zu erreichen, beteiligt Multicast entsprechend konfigurierte Router an der Ent-
scheidung, wann auf demWeg vomServer (Absender) zumClient (Empfnger) Kopien erstellt
werden mssen. Die Router benutzen PIM-SM, umdie aktiven Multicast-Empfnger imAuge
zu behalten, und benutzen diese Information, umdas Routen zu konfigurieren.
Ein grobes Schema der PIM-SM-Kommunikation sieht wie folgt aus: Ein Sender beginnt damit,
seine Multicast-Daten zu bermitteln. Der Multicast-Router fr den Sender registriert sich ber
PIM-SMamRP-Router, welcher wiederumeine Teilnahmemeldung (join message) an den
Router des Senders schickt. Multicast-Pakete flieen nun vomSender zumRP-Router. Ein
Empfnger registriert sich ber einen IGMP-Broadcast fr diese Multicast-Gruppe bei seinem
lokalen PIM-SM-Router. Dieser Router sendet daraufhin eine Teilnahmemeldung fr den Emp-
fnger in Richtung RP-Router, welcher imGegenzug den Multicast-Verkehr an den Emp-
fnger weiterleitet.
Multicast besitzt seinen eigenen IP-Adressbereich: 224.0.0.0/4.
240 UTM9 WebAdmin
6.9.1 Allgemein
Auf der Registerkarte Multicast Routing (PIM-SM) >Allgemein knnen Sie PIMaktivieren und
deaktivieren. Der Abschnitt Routing-Daemon-Einstellungen zeigt den Status der Schnittstellen
und beteiligten Router an.
Bevor Sie PIMaktivieren knnen, mssen Sie zunchst auf der Registerkarte Schnittstellen min-
destens zwei Schnittstellen definieren, die als PIM-Schnittstellen dienen sollen, und auf der
Registerkarte RP-Router einen Router.
UmPIM-SMzu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie PIM-SM auf der Registerkarte Allgemein.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Routing-Daemon-Einstellungen kann
nun bearbeitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktive PIM-SM-Schnittstellen: Whlen Sie mindestens zwei Schnittstellen fr die
Benutzung von PIM-SMaus. Schnittstellen knnen auf der Registerkarte Schnittstellen
konfiguriert werden.
Aktive PIM-SM-RP-Router: Whlen Sie mindestens einen RP-Router fr die Benut-
zung von PIM-SMaus. RP-Router knnen auf der Registerkarte RP-Router definiert
werden.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert. PIM-SM-Kommunikation in IhremNetzwerk ist
nun aktiviert.
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler. UmPIM-SMzu
deaktvieren, klicken Sie auf den grnen Schieberegler.
Li ve-Protokoll
Klicken Sie auf Live-Protokoll ffnen, umdas PIM-Live-Protokoll in einemneuen Fenster zu ff-
nen.
UTM9 WebAdmin 241
6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM)
6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing
6.9.2 Schnittstellen
Auf der Registerkarte Multicast Routing (PIM-SM) >Schnittstellen knnen Sie festlegen, ber
welche Schnittstellen von Sophos UTMMulticast-Kommunikation stattfinden soll.
Umeine neue PIM-SM-Schnittstelle anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue PIM-SM-Schnitt-
stelle.
Das Dialogfeld Neue PIM-SM-Schnittstelle anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die PIM-SM-Schnittstelle ein.
Schnittstelle: Whlen Sie eine Schnittstelle aus, die PIM- und IGMP-Netzwerkverkehr
annehmen soll.
DR-Prioritt (optional): Geben Sie eine Zahl ein, die die designierte Router-Prioritt
(DR) fr diese Schnittstelle festlegt. Der Router mit der hchsten Zahl nimmt IGMP-
Anfragen an, wenn mehr als ein PIM-SM-Router imselben Netzwerksegment prsent
ist. Zahlen von 0bis 2
32
sind erlaubt. Wenn Sie keine Prioritt angeben, wird der Wert 0
gesetzt.
IGMP: Whlen Sie die Version des Internet-Group-Management-Protokolls (Internet
Group Management Protocol), die untersttzt werden soll. IGMPwird von Empfngern
benutzt, umeiner Multicast-Gruppe beizutreten.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue PIM-SM-Schnittstelle wird zur Schnittstellenliste hinzugefgt.
Umeine PIM-SM-Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
6.9.3 RP-Router
UmMulticast in IhremNetzwerk verwenden zu knnen, mssen Sie einen oder mehrere Ren-
dezvous-Point-Router (RP-Router) konfigurieren. Ein RP-Router nimmt Registrierungen
sowohl von Multicast-Empfngern als auch Multicast-Sendern an. Ein RP-Router ist ein regu-
lrer PIM-SM-Router, der dazu auserkoren wurde, auerdemals RP-Router fr bestimmte
242 UTM9 WebAdmin
Multicast-Gruppen zu agieren. Alle PIM-SM-Router mssen darin bereinstimmen, welcher
Router der RP-Router ist.
Umeinen RP-Router anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte RP-Router auf Neuer Rendezvous-Point-
Router.
Das Dialogfeld Neuen RP-Router anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr den RP-Router ein.
Host: Legen Sie einen Host an (oder whlen Sie einen aus), der als Rendezvous-Point-
Router agieren soll.
Prioritt: Geben Sie eine Zahl an, die die Prioritt des RP-Routers festlegt. Teil-
nahmemeldungen werden zu demRP-Router mit der niedrigsten Prioritt gesendet.
Zahlen von 0bis 232sind erlaubt. Wenn Sie keine Prioritt angeben, wird der Wert 0
gesetzt.
Multicast-Gruppenprfixe: Geben Sie die Multicast-Gruppe ein, fr die der RP-Rou-
ter verantwortlich ist. Sie knnen Gruppenprfixe wie 224.1.1.0/24festlegen, falls der
RPfr mehr als eine Multicast-Gruppe verantwortlich ist. Die Multicast-Gruppe oder das
Gruppenprfix muss sich innerhalb des Multicast-Adressbereichs befinden, der
224.0.0.0/4ist.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Der neue RP-Router wird in der Routerliste angezeigt.
Umeinen RP-Router zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.9.4 Routen
Sie mssen zwischen Sender(n) und Empfngern eine durchgngige Kommunikationsroute
einrichten. Wenn Empfnger, Sender und/oder RP-Router sich nicht imselben Netz-
werksegment befinden, werden Sie eine Route anlegen mssen, umdie Kommunikation zwi-
schen ihnen zu gewhrleisten.
Umeine PIM-SM-Route anzulegen, gehen Sie folgendermaen vor:
UTM9 WebAdmin 243
6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM)
6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing
1. Klicken Sie auf der Registerkarte Routen auf Neue PIM-SM-Route.
Das Dialogfeld Neue PIM-SM-Route anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Routentyp: Die folgenden Routentypen sind verfgbar:
l Schnittstellenroute: Datenpakete werden an eine bestimmte Schnittstelle
geschickt. Dieser Typ kann in zwei Fllen ntzlich sein: Fr Routing-Eintrge zu
dynamischen Schnittstellen (z.B. PPP), da in diesemFall die IP-Adresse des Gate-
ways nicht bekannt ist, oder fr eine Standard-Route mit einemGateway auer-
halb der direkt angeschlossenen Netzwerke.
l Gatewayroute: Die Datenpakete werden an einen bestimmten Host (Gateway)
geschickt.
Netzwerk: Whlen Sie den Zieladressbereich aus, wohin der PIM-Verkehr geroutet wer-
den soll.
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp
gewhlt haben).
Schnittstelle: Whlen Sie die Schnittstelle aus, zu der das Gateway die Datenpakete
weiterleiten soll (nur verfgbar, wenn Sie Schnittstellenroute als Routentyp ausgewhlt
haben).
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue PIM-SM-Route wird zur Routenliste hinzugefgt.
Umeine PIM-SM-Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
6.9.5 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Multicast Routing (PIM-SM) >Erweitert kn-
nen Sie erweiterte Einstellungen fr PIMkonfigurieren.
Shortest-Path-Tree-Ei nstellungen
In einigen Netzwerken ist die PIM-Kommunikationsroute zwischen Sender, RPund Empfnger
nicht der krzestmgliche Netzwerkpfad. Die Option Wechsel zu Shortest-Path-Tree
244 UTM9 WebAdmin
ermglichen erlaubt es, eine bestehende Kommunikation zwischen Sender und Empfnger auf
den krzestmglichen verfgbaren Pfad zu verlegen, wenn ein gewisser Schwellenwert
erreicht ist, wobei der RPdann als Vermittler ausgelassen wird.
Automati sche Fi rewallei nstellungen
Wenn Sie diese Option auswhlen, wird das Systemautomatisch alle notwendigen Fire-
wallregeln anlegen, die bentigt werden, umMulticast-Verkehr fr die angegebenen Multicast-
Gruppen weiterzuleiten.
Fehlersuche-Ei nstellungen
Whlen Sie die Option Fehlersuche-Modus aktivieren, umzustzliche Informationen fr die
Fehlersuche imPIM-SMRouting-Daemon-Protokoll anzuzeigen.
UTM9 WebAdmin 245
6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM)
7 Netzwerkdienste
In diesemKapitel wird die Konfiguration verschiedener Netzwerkdienste von Sophos UTMfr
Ihr Netzwerk beschrieben.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l DNS
l DHCP
l NTP
7.1 DNS
Die Registerkarten des Mens Netzwerkdienste >DNSenthalten eine Reihe von Kon-
figurationsmglichkeiten, die sich auf den Dienst Domain Name System(DNS) beziehen. Die
Hauptaufgabe von DNSist die bersetzung von Domnennamen (Hostnamen) in die zuge-
hrigen IP-Adressen.
7.1.1 Allgemein
Zugelassene Netzwerke
Sie knnen die Netzwerke angeben, die UTMfr die rekursive DNS-Auflsung nutzen knnen
sollen. blicherweise wird dies nur den internen Netzwerken (LAN) gestattet.
Warnung Whlen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre App-
liance einemhohen Risiko fr Angriffe aus demInternet aussetzen wrden.
Hinweis Wenn Sie bereits einen internen DNS-Server nutzen, z.B. in Verbindung mit Acti-
ve Directory, sollten Sie dieses Feld leer lassen.
DNSSEC
Die Domain Name SystemSecurity Extensions (DNSSEC) sind Erweiterungen fr DNS, die
die Sicherheit verbessern. DNSSECversieht die DNS-Lookup-Eintrge mit Hilfe von Public-
Key-Kryptografie mit einer digitalen Signatur. Ist die Option nicht ausgewhlt, akzeptiert die
7.1 DNS 7 Netzwerkdienste
UTMalle DNS-Eintrge. Ist die Option ausgewhlt, validiert die UTMeingehende DNS-Anfra-
gen bezglich ihrer DNSSEC-Signierung. Aus den signierten Zonen werden nur korrekt signier-
te Eintrge akzeptiert.
Hinweis Wenn die Option ausgewhlt ist, kann es passieren, dass DNS-Eintrge von manu-
ell installierten oder vomISPzugewiesenen Forwarders abgelehnt werden, die nicht
DNSSEC-fhig sind. Entfernen Sie in diesemFall auf der Registerkarte Weiterleitung die
DNS-Forwarders aus demFeld und/oder deaktivieren Sie das Kontrollkstchen VomISP
zugewiesene Forwarders verwenden.
DNS-Spei cher leeren
Der DNS-Proxy benutzt einen Zwischenspeicher (Cache) fr seine Eintrge. Jeder Eintrag hat
ein Ablaufdatum(TTL, Time-To-Live), an demer gelscht wird. Die TTL betrgt nor-
malerweise einen Tag. Sie knnen den Cache jedoch manuell leeren, wenn Sie z.B. wollen,
dass jngste nderungen in DNS-Eintrgen sofort bercksichtigt werden, ohne darauf warten
zu mssen, dass die TTL abluft. Umden Cache zu leeren, klicken Sie auf DNS-Speicher jetzt
leeren.
7.1.2 Weiterleitung
Auf der Registerkarte Netzwerkdienste >DNS>Weiterleitung knnen Sie sogenannte DNS-
Forwarders spezifizieren. Ein DNS-Forwarder ist ein Domain-Name-System-Server (DNS),
der DNS-Anfragen fr externe DNS-Namen an DNS-Server auerhalb des Netzwerks wei-
terleitet. Fgen Sie Ihrer Konfiguration wenn mglich eine DNS-Weiterleitung hinzu. Dies sollte
ein lokaler Host oder idealerweise ein Server sein, der von IhremInternetanbieter (ISP) betrie-
ben wird. Dieser wird dann als bergeordneter Zwischenspeicher (engl. parent cache) ver-
wendet und Ihre DNS-Anfragen deutlich beschleunigen. Wenn Sie keinen Namensserver fr
die Weiterleitung angeben, werden stattdessen die Root-DNS-Server gefragt, die zunchst ein-
mal Zoneninformationen einholen und deshalb eine lngere Beantwortungszeit bentigen.
Umeinen DNS-Forwarder anzulegen, gehen Sie folgendermaen vor:
1. Whlen Sie einen DNS-Forwarder aus.
Whlen Sie einen DNS-Forwarder aus oder fgen Sie einen hinzu. Das Hinzufgen
einer Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
248 UTM9 WebAdmin
VomISP zugewiesene Forwarders verwenden (optional): Whlen Sie die Opti-
on VomISPzugewiesene Forwarders verwenden, umDNS-Anfragen an DNS-
Server Ihres ISPweiterzuleiten. Wenn diese Option ausgewhlt ist, werden alle
Forwarders, die automatisch von IhremISPzugewiesen werden, in der Zeile
unter demFeld aufgelistet.
2. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
7.1.3 Anfragerouten
Angenommen, Sie betreiben Ihren eigenen internen DNS-Server. Dann kann dieser Server
dazu verwendet werden, als alternativer Server DNS-Anfragen fr Domnen aufzulsen, die
Sie nicht von DNS-Forwarders auflsen lassen wollen. Auf der Registerkarte Netzwerkdienste
>DNS>Anfragerouten knnen Sie Routen zu eigenen DNS-Servern definieren.
Umeine DNS-Anfrageroute anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Anfragerouten auf Neue DNS-Anfrageroute.
Das Dialogfeld Neue DNS-Anfrageroute erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Domne: Geben Sie die Domne ein, fr die ein alternativer DNS-Server genutzt wer-
den soll.
Zielserver: Whlen Sie einen oder mehrere DNS-Server fr die Auflsung der oben
angegebenen Domne aus oder fgen Sie sie hinzu. Das Hinzufgen einer Definition
wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Route wird in der Liste DNS-Anfragerouten angezeigt und ist sofort aktiv.
Umeine DNS-Anfrageroute zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
UTM9 WebAdmin 249
7 Netzwerkdienste 7.1 DNS
7.1 DNS 7 Netzwerkdienste
7.1.4 Statische Eintrge
Wenn Sie keinen eigenen DNS-Server einrichten wollen, aber eine statische DNS-Zuordnung
fr einige Hosts bentigen, knnen Sie diese Zuordnungen anlegen.
Ab UTM-Version 9.1 befindet sich diese Funktion auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen. Die DNS-Zuordnungen werden nun zusammen mit den beteiligten
Hosts definiert.
Wenn Sie auf die Schaltflche Statische Eintrge klicken, ffnet sich die Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Automatisch werden nur Hosts mit statischen Ein-
trgen angezeigt. Verwenden Sie die Auswahlliste oberhalb der Liste, umdie Fil-
tereinstellungen zu ndern.
7.1.5 DynDNS
Dynamic DNSoder kurz DynDNSist ein Domnennamensdienst, der es ermglicht, statische
Internetdomnennamen einemComputer mit variabler IP-Adresse zuzuordnen. Sie knnen
sich fr DynDNSauf der Website des jeweiligen DynDNS-Anbieters anmelden, umeinen DNS-
Alias anzufordern, der automatisch aktualisiert wird, wenn sich Ihre Uplink-IP-Adresse ndert.
Wenn Sie sich bei diesemDienst registriert haben, erhalten Sie einen Hostnamen, einen Benut-
zernamen und ein Kennwort, welche fr die Konfiguration bentigt werden.
UmDynDNSzu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte DynDNS auf Neue DynDNS.
Das Dialogfeld Neues DynDNSerstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Typ: Die folgenden DynDNS-Dienste sind verfgbar:
l DNSdynamic: Offizielle Website: www.dnsdynamic.org
l DNS Park: Offizielle Website: www.dnspark.org
l DtDNS: Offizielle Website: www.dtdns.com
l DynDNS: Standardmiger DNS-Dienst des Dienstanbieter Dynamic Network
Services Inc. (Dyn). Offizielle Website: www.dyndns.com
l DynDNS custom: Benutzerdefinierter DNS-Dienst des Dienstanbieter Dynamic
Network Services Inc. (Dyn) (www.dyndns.com). Dieser Dienst richtet sich
250 UTM9 WebAdmin
hauptschlich an Benutzer, die ihre Domne selbst besitzen oder selbst registriert
haben.
l easyDNS: Offizielle Website: www.easydns.com
l FreeDNS: Offizielle Website: freedns.afraid.org
l Namecheap: Offizielle Website: www.namecheap.com
l No-IP.com:Offizielle Website: www.noip.com
l OpenDNS IP update: Offizielle Website: www.opendns.com
l selfHOST: Offizielle Website: www.selfhost.de
l STRATO AG: Offizielle Website: www.strato.de
l zoneedit: Offizielle Website: www.zoneedit.com
Hinweis ImFeld Server wird die URL angezeigt, an welche die UTMdie IP-nde-
rungen sendet.
Zuweisen (nicht beimTyp FreeDNS): Legen Sie die IP-Adresse fest, der der DynDNS-
Name zugeordnet wird. Whlen Sie IPder lokalen Schnittstelle, wenn die betreffende
Schnittstelle eine ffentliche IP-Adresse hat. blicherweise werden Sie diese Option fr
Ihre DSL-Internetverbindung verwenden. Bei der Option Erste ffentliche IPauf der
Standardroute mssen keine Schnittstellen spezifiziert werden. Die UTMsendet statt-
dessen eine WWW-Anfrage zu einemffentlichen DynDNS-Server, der imGegenzug
mit der ffentlichen IP-Adresse antwortet, die Sie gerade verwenden. Dies ist hilfreich,
wenn die UTMber keine ffentliche IP-Adresse verfgt, sondern sich in einemprivaten
Netzwerk befindet und sich ber einen maskierenden Router mit demInternet verbindet.
Hinweis FreeDNSverwendet immer die erste ffentliche IP-Adresse auf der Stan-
dardroute.
Schnittstelle (nicht bei Typ FreeDNS, nur bei IPder lokalen Schnittstelle):Whlen Sie
die Schnittstelle, fr die Sie den DynDNS-Dienst verwenden mchten. Wahrscheinlich
wird es sich dabei umIhre externe Schnittstelle handeln, die mit demInternet verbunden
ist.
Hostname (nicht bei Typ Open DNSIPupdate):Tragen Sie die Domne ein, die Sie von
IhremDynDNS-Anbieter erhalten haben (z.B. example.dyndns.org). Sie mssen sich
UTM9 WebAdmin 251
7 Netzwerkdienste 7.1 DNS
7.1 DNS 7 Netzwerkdienste
bei demhier einzugebenden Hostnamen an keine spezielle Syntax halten. Was Sie hier
eingeben mssen, hngt ausschlielich davon ab, was Ihr DynDNS-Dienstanbieter erfor-
dert. berdies knnen Sie optional Ihren DynDNS-Hostnamen als Haupthostnamen fr
Ihr Gateway verwenden.
Bezeichnung (nur beimTyp Open DNSIPupdate): Geben Sie die Bezeichnung des
Netzwerks ein. Weitere Informationen finden Sie in der Wissensdatenbank von
OpenDNS.
Aliasse (optional, nur bei manchen Typen): In dieses Dialogfenster knnen zustzliche
Hostnamen eingetragen werden, die auf dieselbe IP-Adresse verweisen wie der Haup-
thostname oben (z. B. mail.beispiel.de, beispiel.de).
MX(optional, nur beimTyp DNSPark, DynDNSoder easyDNS): Mail-Exchange-Server
werden dazu benutzt, E-Mails an bestimmte Server umzuleiten, auf welche der Host-
name nicht verweist. MX-Eintrge ermglichen, dass E-Mails an eine bestimmte Dom-
ne zu einembestimmten Host (Server) geleitet werden. Beispiel: Wenn imEingabefeld
als Mail-Exchange-Server mail.beispiel.deeingetragen ist, dann wird eine E-Mail
mit der Adresse benutzer@beispiel.dean den Host mail.beispiel.degesendet.
MX-Prioritt (optional, nur beimTyp DNSPark):Geben Sie eine positive Ganzzahl ein,
die angibt, ob der angegebene Mail-Server bei der Zustellung der E-Mail gegenber der
Domne bevorzugt werden soll. Server mit niedrigeren Zahlen erhalten den Vorzug
gegenber Servern mit hheren Zahlen. Normalerweise knnen Sie dieses Feld leer las-
sen, da DNSPark den Standardwert 5 verwendet, der fr fast jeden Fall geeignet ist.
Technische Details zu den Mail-Exchanger-Prioritten finden Sie in RFC5321.
Backup-MX(optional, nur beimTyp DynDNSoder easyDNS: Whlen Sie diese Option
nur aus, wenn der Hostname imFeld Hostname als Hauptmailserver dienen soll. Dann
wird der Hostname imFeld MXnur als Backup-Mailserver eingesetzt.
Platzhalter (optional, nur beimTyp DynDNSoder easyDNS: Whlen Sie diese Option,
wenn die Subdomnen auf die gleiche IP-Adresse wie Ihre registrierte Domne ver-
weisen sollen. Bei Verwendung dieser Option wird Ihrer Domne ein Asterisk (*) bei-
gefgt, der als Platzhalter dient (z.B. *.beispiel.dyndns.org). Das stellt sicher, dass
z.B. www.beispiel.dyndns.orgauf dieselbe Adresse verweist wie
beispiel.dyndns.org.
Benutzername: Geben Sie den Benutzernamen ein, den Sie vomDynDNS-Anbieter
erhalten haben.
252 UTM9 WebAdmin
Kennwort: Geben Sie das Kennwort ein, das Sie vomDynDNS-Anbieter erhalten
haben.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Das neue DynDNSwird in der Liste DynDNSangezeigt. Der Dienst ist noch deaktiviert
(Schieberegler ist grau).
4. Aktivieren Sie DynDNS.
Klicken Sie auf den Schieberegler, umden DynDNS-Dienst zu aktivieren.
Der Dienst ist jetzt aktiv (Schieberegler ist grn).
Umein DynDNSzu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Sie knnen mehrere DynDNS-Eintrge gleichzeitig verwenden. Wenn alle Einstellungen fr
zwei Hostnamen identisch sind, empfiehlt es sich, die Option Aliasse zu verwenden, anstatt zwei
Einzeleintrge anzulegen.
7.2 DHCP
Das Dynamic Host Configuration Protocol (DHCP, dynamisches Hostkonfigurationsprotokoll)
verteilt automatisch Adressen aus einemfestgelegten IP-Adressbereich an angeschlossene Cli-
ents. Dies spart bei greren Netzwerken viel Konfigurationsaufwand und beugt Adres-
senkonflikten vor. Das DHCPverteilt IP-Adressen, Standardgateway-Informationen und DNS-
Konfigurationsdaten an seine Clients.
Zustzlich zur vereinfachten Konfiguration von Clientrechnern und zumproblemlosen Wech-
seln von mobilen Computern zwischen verschiedenen Netzwerken lassen sich in einemDHCP-
Netzwerk Fehler einfacher lokalisieren und beheben, da die Konfiguration der IP-Adressen pri-
mr von den Einstellungen des DHCP-Servers abhngen. Auerdemlassen sich Adress-
bereiche effektiver nutzen, vor allem, wenn nicht alle Rechner gleichzeitig imNetzwerk aktiv
sind. Die IP-Adressen knnen so je nach Bedarf vergeben und wiederverwendet werden.
UTM9 WebAdmin 253
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
7.2.1 Server
Auf der Registerkarte Netzwerkdienste >DHCP>Server knnen Sie einen DHCP-Server kon-
figurieren. Sophos UTMstellt den DHCP-Dienst fr das angeschlossene Netzwerk sowie fr
weitere Netzwerke bereit. Der DHCP-Server kann dazu verwendet werden, Ihren Clients
grundlegende Netzwerkparameter zuzuweisen. Sie knnen den DHCP-Dienst auf ver-
schiedenen Schnittstellen laufen lassen, wobei jede Schnittstelle und jedes bereitzustellende
Netzwerk individuell konfiguriert werden knnen.
Hinweis Auf der Registerkarte Optionen knnen Sie zustzliche oder andere DHCP-Optio-
nen definieren, die an die Clients gesendet werden. Eine DHCP-Option, die auf der Regis-
terkarte Optionen definiert ist, berschreibt eine Einstellung auf der Registerkarte Server,
wenn ihr Geltungsbereich nicht allgemein ist. Wenn Sie DHCP-Optionen nur fr ausgewhlte
Hosts definieren, knnen Sie ihnen einen DNS-Server oder eine Lease-Zeit zuweisen, die
von der Definition fr den DHCP-Server abweichen kann.
Umeinen DHCP-Server zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer DHCP-Server.
Das Dialogfeld Neuen DHCP-Server erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Whlen Sie die Schnittstelle aus, von der aus den Clients die IP-Adressen
zugewiesen werden. Es kann nur eine bereits konfigurierte Schnittstelle ausgewhlt wer-
den.
Adresstyp: Diese Option ist nur verfgbar, wenn IPv6 global aktiviert ist. Whlen Sie die
IP-Version des DHCP-Servers.
Bereichsbeginn/-ende: Der IP-Adressbereich, der als Kontingent fr diese Schnitt-
stelle verwendet wird. Standardmig ist der konfigurierte Adressbereich der Netz-
werkkarte eingestellt. Wenn sich die Clients imgleichen Netzwerk befinden, muss sich
der Bereich innerhalb des Netzwerks befinden, das mit der Schnittstelle verbunden ist.
Wenn sich die Clients in einemanderen Netzwerk befinden, muss sich der Bereich inner-
halb desjenigen Netzwerks befinden, aus demdie Relay-DHCP-Anfragen weitergeleitet
werden.
254 UTM9 WebAdmin
Hinweis Je grer der definierte DHCP-IP-Bereich ist, desto mehr Speicher reser-
viert die UTMdafr. Reduzieren Sie daher den DHCP-Bereich auf die Werte, die Sie
tatschlich bentigen. Der grte erlaubte Bereich ist ein /9-Netzwerk.
DNS-Server 1/2: Die IP-Adressen der DNS-Server.
Standardgateway (nur bei IPv4): Die IP-Adresse des Standardgateways.
Hinweis Sowohl fr WLAN-Access-Points als auch fr RED-Appliances muss sich
das Standardgateway imselben Subnetz befinden wie die Schnittstelle, an die diese
Appliances angeschlossen sind.
Domne (optional): Geben Sie den Domnennamen ein, der an die Clients bermittelt
werden soll (z.B. intranet.beispiel.de).
Lease-Zeit (nur bei IPv4): Der DHCP-Client versucht, den Lease automatisch zu erneu-
ern. Wenn der Lease whrend der Lease-Zeit nicht erneuert wird, luft der Lease der
IP-Adresse ab. Hier knnen Sie diesen Zeitraumin Sekunden festlegen. Der Standard
ist 86.400 Sekunden (ein Tag). Das Minimumbetrgt 600Sekunden (10 Minuten) und
das Maximumbetrgt 2.592.000Sekunden (ein Monat).
Gltige Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease auto-
matisch zu erneuern. Wenn der Lease whrend seiner gltigen Lebensdauer nicht
erneuert wird, wird der Lease-Status der IP-Adresse ungltig, die Adresse wird von der
Schnittstelle entfernt und kann anderweitig zugewiesen werden. Sie knnen ein Intervall
zwischen fnfMinuten und unendlich auswhlen. Die gltige Lebensdauer muss jedoch
mindestens der bevorzugten Lebensdauer entsprechen.
Bevorzugte Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease auto-
matisch zu erneuern. Wenn der Lease whrend seiner gltigen Lebensdauer nicht
erneuert wird, wird der Lease-Status der IP-Adresse berholt, d.h. er ist zwar noch gl-
tig, wird jedoch nicht fr neue Verbindungen verwendet. Sie knnen ein Intervall zwi-
schen fnfMinuten und unendlich auswhlen.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
WINS-Knotentyp (nur bei IPv4): Windows Internet Naming Service (WINS, dt. Win-
dows Internet Namensdienst) ist Microsofts Implementierung des NetBIOSName Ser-
ver (NBNS) fr Windows Betriebssysteme. Ein WINS-Server verhlt sich wie eine
UTM9 WebAdmin 255
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
Datenbank, die Hostnamen mit IP-Adressen vergleicht. Dadurch ermglicht er Com-
putern, die NetBIOSverwenden, das TCP/IP-Protokoll zu nutzen. Die folgenden WINS-
Knotentypen sind verfgbar:
l Nicht festlegen: Der WINS-Knotentyp ist nicht festgelegt und wird vomClient
selbst bestimmt.
l B-Knoten (kein WINS): B-Knotensysteme verwenden ausschlielich Broad-
cast.
l P-Knoten (nur WINS): P-Knotensysteme verwenden nur Punkt-zu-Punkt-
Namensanfragen fr einen Windows-Namensserver (WINS).
l M-Knoten (Broadcast, dann WINS): Bei M-Knotensystemen erfolgt zuerst ein
Broadcast, dann wird der Namensserver angefragt.
l H-Knoten (WINS, dann Broadcast): Bei H-Knotensystemen wird zuerst der
Namensserver angefragt, dann erfolgt ein Broadcast.
WINS-Server: Je nach gewhltemWINS-Knotentyp wird dieses Textfeld angezeigt.
Geben Sie hier die IP-Adresse des WINS-Servers ein.
Nur Clients mit statischer Zuordnung (optional): Whlen Sie diese Option aus,
damit der DHCP-Server IP-Adressen nur an Clients vergibt, die eine statische DHCP-
Zuordnung besitzen (siehe Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen).
HTTP-Proxy-Autokonfiguration aktivieren: Whlen Sie diese Option, wenn Sie eine
PAC-Datei fr die automatische Proxy-Konfiguration von Browsern bereitstellen wollen.
Weitere Informationen finden Sie imKapitel Web Protection >Filteroptionen >Sonstiges,
Abschnitt Automatische Proxy-Konfiguration.
Hinweis Die automatische HTTP-Proxy-Konfiguration wird derzeit bei IPv6 nicht von
Microsoft Windows untersttzt.
Clients ber DHCP-Relay-Agent: Bei Auswahl dieser Option weist der DHCP-Server
Clients, die sich nicht imNetzwerk der verbundenen Schnittstelle befinden, IP-Adressen
zu. In diesemFall muss sich der oben definierte Adressbereich in demNetzwerk befin-
den, aus demRelay-DHCP-Anfragen weitergeleitet werden, und nicht imNetzwerk der
verbundenen Schnittstelle.
256 UTM9 WebAdmin
Netzmaske: Whlen Sie die Netzmaske des Netzwerks, aus demdie Relay-
DHCP-Anfragen weitergeleitet werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
4. Klicken Sie auf Speichern.
Die neue DHCP-Serverdefinition wird in der DHCP-Server-Liste angezeigt und ist sofort
aktiv.
Umeine DHCP-Serverdefinition zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
7.2.2 Relay
Auf der Registerkarte Netzwerkdienste >DHCP>Relay knnen Sie ein DHCP-Relay kon-
figurieren. Der DHCP-Dienst wird von einemseparaten DHCP-Server bereitgestellt und die
UTMfungiert als Relay. Das DHCP-Relay kann zur Weiterleitung von DHCP-Anfragen und -
Antworten ber verschiedene Netzwerksegmente hinweg verwendet werden. Bevor die Ein-
stellungen fr das DHCP-Relay durchgefhrt werden knnen, muss der separate DHCP-Ser-
ver konfiguriert sein.
Umein DHCP-Relay zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Relay die Option DHCP-Relay.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt DHCP-Relaykonfiguration kann nun bear-
beitet werden.
2. Whlen Sie den DHCP-Server aus.
3. Whlen Sie die beteiligten Schnittstellen aus.
Fgen Sie sowohl die Schnittstelle zumDHCP-Server als auch die Schnittstellen zu den
Client-Netzwerken hinzu, zwischen denen DHCP-Anfragen und -Antworten wei-
tergeleitet werden.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.
UTM9 WebAdmin 257
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
7.2.3 Statische Zuordnungen
Sie knnen statische Zuordnungen zwischen Clients und IP-Adressen fr einige oder alle Cli-
ents erstellen. Ab UTM-Version 9.1 befindet sich diese Funktion auf der Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Die DHCP-Zuordnungen werden nun zusammen
mit den beteiligten Hosts definiert.
Wenn Sie auf die Schaltflche Statische Zuordnungen klicken, ffnet sich die Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Automatisch werden nur Hosts mit statischen
Zuordnungen angezeigt. Verwenden Sie die Auswahlliste oberhalb der Liste, umdie Fil-
tereinstellungen zu ndern.
7.2.4 IPv4-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, son-
dern least diese vomDHCP-Server. Dieser erteilt demClient die Berechtigung, die IP-Adresse
fr einen gewissen Zeitraumzu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste >DHCP>IPv4-Lease-Tabelle zeigt
die aktuellen IP-Adresszuweisungen des DHCP-Servers, einschlielich Informationen ber
den Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.
Stati sche Zuordnung fr ei ne neue Hostdefi ni ti on hi nzufgen
Sie knnen einen bestehenden Lease als Vorlage fr eine statische MAC/IP-Zuordnung mit
einemzu definierenden Host verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr den gewnschten Lease in der Spalte Statisch machen auf Sta-
tisch machen.
Das Dialogfenster Statisch machen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktion: Whlen Sie Neuen Host anlegen.
Name: Geben Sie einen aussagekrftigen Namen fr den neuen Host ein.
DHCP-Server:Whlen Sie den DHCP-Server aus, der fr die statische Zuordnung ver-
wendet werden soll. Der entsprechende DHCP-Bereich wird unter der Auswahlliste
angezeigt.
258 UTM9 WebAdmin
IPv4-Adresse: ndern Sie die IP-Adresse auf eine Adresse auerhalb des DHCP-
Pool-Bereichs.
Hinweis Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie
die IP-Adresse ndern, sodass sie nicht mehr imDHCP-Pool-Bereich liegt. Wenn Sie
die IP-Adresse ndern, ndert sich die IP-Adresse des Clients jedoch nicht sofort, son-
dern erst dann, wenn er das nchste Mal versucht, seinen Lease zu erneuern.
DNS-Hostname: Wenn Sie einen DNS-Hostnamen eingeben, wird dieser als statischer
DNS-Eintrag fr den Host verwendet.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung der IP-
Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie, dass eine IP-Adres-
se immer nur auf einen Namen verweisen kann, wohingegen mehrere Namen auf die
gleiche IP-Adresse verweisen knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Den neuen Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &
Benutzer >Netzwerkdefinitionen.
Stati sche Zuordnung fr ei ne vorhandene Hostdefi ni ti on hi n-
zufgen
Sie knnen eine bestehende IP-Adresszuweisung fr eine statische MAC/IP-Zuordnung einer
vorhandenen Hostdefinition verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr die gewnschte IP-Adresszuweisung in der Spalte Statisch
machen auf Statisch machen.
Das Dialogfenster Statisch machen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktion: Whlen Sie Vorhandenen Host verwenden.
Host: Fgen Sie den Host hinzu, indemSie auf das Ordnersymbol klicken.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
UTM9 WebAdmin 259
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
Den Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen.
7.2.5 IPv6-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, son-
dern least diese vomDHCP-Server. Dieser erteilt demClient die Berechtigung, die IP-Adresse
fr einen gewissen Zeitraumzu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste >DHCP>IPv6-Lease-Tabelle zeigt
die aktuellen Leases des DHCP-Servers, einschlielich Informationen ber den Beginn und die
Ablaufzeit des Leases.
Hinweis Leases, die ber Prfix-Bekanntmachungen vergeben wurden, werden in der
Tabelle nicht aufgefhrt.
Stati sche Zuordnung fr ei ne neue Hostdefi ni ti on hi nzufgen
Sie knnen einen bestehenden Lease als Vorlage fr eine statische MAC/IP-Zuordnung mit
einemzu definierenden Host verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr den gewnschten Lease auf Statisch machen.
Das Dialogfenster Statisch machen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktion: Whlen Sie Neuen Host anlegen.
Name: Geben Sie einen aussagekrftigen Namen fr den neuen Host ein.
DHCP-Server:Whlen Sie den DHCP-Server aus, der fr die statische Zuordnung ver-
wendet werden soll. Der entsprechende DHCP-Bereich wird unter der Auswahlliste
angezeigt.
IPv6-Adresse: ndern Sie die IP-Adresse auf eine Adresse auerhalb des DHCP-
Pool-Bereichs.
Hinweis Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie
die IP-Adresse ndern, sodass sie nicht mehr imDHCP-Pool-Bereich liegt. Wenn Sie
die IP-Adresse ndern, ndert sich die IP-Adresse des Clients jedoch nicht sofort, son-
dern erst dann, wenn er das nchste Mal versucht, seinen Lease zu erneuern.
260 UTM9 WebAdmin
DNS-Hostname: Wenn Sie einen DNS-Hostnamen eingeben, wird dieser als statischer
DNS-Eintrag fr den Host verwendet.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung der IP-
Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie, dass eine IP-Adres-
se immer nur auf einen Namen verweisen kann, wohingegen mehrere Namen auf die
gleiche IP-Adresse verweisen knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Stati sche Zuordnung fr ei ne vorhandene Hostdefi ni ti on hi n-
zufgen
Sie knnen eine bestehende IP-Adresszuweisung fr eine statische MAC/IP-Zuordnung einer
vorhandenen Hostdefinition verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr die gewnschte IP-Adresszuweisung in der Spalte Statisch
machen auf Statisch machen.
Das Dialogfenster Statisch machen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktion: Whlen Sie Vorhandenen Host verwenden.
Host: Fgen Sie den Host hinzu, indemSie auf das Ordnersymbol klicken.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Den Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen.
7.2.6 Optionen
Auf der Registerkarte Netzwerkdienste >DHCP>Optionen knnen Sie DHCP-Optionen kon-
figurieren. DHCP-Optionen sind zustzliche Konfigurationsparameter, die DHCP-Clients von
einemDHCP-Server zur Verfgung gestellt werden.
Beispiel: Umeinigen VoIP-Telefonen die erforderlichen Informationen von Ihren DHCP-Ser-
vern bereitzustellen, mssen Sie auf dieser Seite drei zustzliche DHCP-Optionen erstellen
und aktivieren:
UTM9 WebAdmin 261
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
l filename: Name der Boot-Datei.
l next-server: Name des TFTP-Servers, der die Boot-Datei bereitstellt.
l 4 (time-servers): IP-Adresse des Zeitservers.
DHCP-Optionen knnen unterschiedliche Geltungsbereiche aufweisen: Sie knnen bei-
spielsweise nur ausgewhlten Hosts, nur von ausgewhlten Servern oder sogar global bereit-
gestellt werden. Daher ist es mglich, fr denselben Host unterschiedliche Parameter zu defi-
nieren. Einige DHCP-Optionen sind bereits auf der Registerkarte DHCP>Server festgelegt,
z.B. DNS-Server (Option 6). ImFalle von widersprchlichen Parameterwerten werden die
Parameter demClient gem folgender Prioritten bereitgestellt:
1. DHCP-Option mit Geltungsbereich Host
2. DHCP-Option mit Geltungsbereich MAC-Prfix
3. DHCP-Option mit Geltungsbereich Anbieter-ID
4. DHCP-Option mit Geltungsbereich Server
5. DHCP-Serverparameter (Registerkarte DHCP>Server)
6. DHCP-Option mit Geltungsbereich Allgemein
Hinweis Mit der DHCP-Anfrage bermittelt ein DHCP-Client die Informationen darber,
welche DHCP-Optionen er verarbeiten kann. Daraufhin stellt der DHCP-Server nur die
DHCP-Optionen bereit, die der Client versteht, unabhngig davon, welche Optionen hier defi-
niert sind.
Umeine DHCP-Option anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neue DHCP-Option.
Das Dialogfeld Neue DHCP-Option erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Adresstyp (nur, wenn IPv6 aktiviert ist): Whlen Sie die IP-Version, fr die Sie die
DHCP-Option erstellen.
Code: Whlen Sie den Code fr die DHCP-Option, die Sie erstellen mchten.
Hinweis Mit demEintrag filename knnen Sie eine Datei angeben, die in den DHCP-
Client geladen und dort ausgefhrt werden soll. Mit next-server definieren Sie den
262 UTM9 WebAdmin
Boot-Server. Die nummerierten DHCP-Optionscodes werden unter anderemin
RFC2132 definiert.
Name: Geben Sie einen aussagekrftigen Namen fr diese Option ein.
Typ: Nur verfgbar, wenn Sie einen Code mit demKommentar (unknown) ausgewhlt
haben. Whlen Sie den Datentyp der Option aus. Sie knnen zwischen den Datentypen
IP-Adresse, Text und Hex whlen. Geben Sie je nach ausgewhltemDatentyp die pas-
senden Daten in das entsprechende Feld darunter ein:
Adresse: Whlen Sie den Host oder die Netzwerkgruppe mit der/den IP-Adresse
(n), die mit dieser DHCP-Option an den DHCP-Client bermittelt werden soll(en).
Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Text: Geben Sie den Text ein, der mit dieser DHCP-Option an den DHCP-Client
bermittelt werden soll.
Hex: Geben Sie den Hexadezimalwert ein, der mit dieser DHCP-Option an den
DHCP-Client bermittelt werden soll. Bitte beachten Sie, dass Sie die Gruppen
aus zwei Hexadezimalziffern jeweils durch einen Doppelpunkt trennen mssen,
z.B. 00:04:76:16:EA:62).
Bereich: Legen Sie fest, unter welchen Bedingungen die DHCP-Option gesendet wer-
den soll.
l Allgemein: Die DHCP-Option wird von allen definierten DHCP-Servern an alle
DHCP-Clients gesendet.
l Server: Whlen Sie imFeld Server die DHCP-Server, die die DHCP-Option sen-
den sollen. In diesemFeld werden alle DHCP-Server angezeigt, die auf der Regis-
terkarte DHCP-Server definiert sind.
l Host: Whlen Sie imFeld Host die Hosts aus, denen die DHCP-Option bereit-
gestellt werden soll. Das Hinzufgen einer Definition wird auf der Seite Defi-
nitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l MAC-Prfix: Geben Sie ein MAC-Prfix ein. Die DHCP-Option wird allen DHCP-
Clients mit passender MAC-Adresse bereitgestellt.
UTM9 WebAdmin 263
7 Netzwerkdienste 7.2 DHCP
7.3 NTP 7 Netzwerkdienste
l Anbieter-ID: Geben Sie eine Anbieter-IDoder das Prfix einer Anbieter-IDein.
Die DHCP-Option wird allen DHCP-Clients, auf die diese Zeichenfolge zutrifft,
bereitgestellt.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue DHCP-Option wird in der Liste DHCP-Optionen angezeigt und ist sofort aktiv.
Umeine DHCP-Option zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
7.3 NTP
ImMen Netzwerkdienste >NTPwird der NTP-Server fr die angeschlossenen Netzwerke
konfiguriert. Das Network Time Protocol (NTP) ist ein Protokoll, das Uhren von Computer-Sys-
temen ber IP-Netzwerke synchronisiert. Anstatt nur die Zeit von Sophos UTMzu syn-
chronisieren diese Funktion wird auf der Registerkarte Verwaltung >Systemeinstellungen >
Zeit und Datumeingestellt knnen Sie bestimmten Netzwerken explizit erlauben, diesen Syn-
chronisierungsdienst ebenfalls zu verwenden.
Umdie Benutzung von NTP-Zeitsynchronisierung fr bestimmte Netzwerke zu ermglichen,
gehen Sie folgendermaen vor:
1. Aktivieren Sie den NTP-Server.
Klicken Sie auf den Schieberegler.
2. Whlen Sie Zugelassene Netzwerke aus.
Whlen Sie die Netzwerke aus, die Zugriff auf den NTP-Server haben sollen, oder fgen
Sie sie hinzu. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer
>Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
264 UTM9 WebAdmin
8 Network Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Network-Protection-Funk-
tionen von Sophos UTMkonfigurieren. Die Seite Network-Protection-Statistik imWebAdmin
zeigt einen berblick ber Ereignisse imAngriffschutzsystemsowie ber verworfene Daten-
pakete fr Quell- und Zielhosts. In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick
auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter,
wo Sie weitere statistische Informationen finden knnen.
Hinweis Sie knnen eine Netzwerk-/Hostausnahme oder eine Bedrohungsausnahme
direkt hinzufgen, indemSie auf das Plus-Symbol in der Liste Advanced Threat Protection:
Neueste Ereignisse klicken.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Firewall
l NAT (Netzwerkadressumsetzung)
l Advanced Threat Protection
l Intrusion Prevention
l Server-Lastverteilung
l VoIP(Voice over IP)
l Erweiterte Einstellungen
8.1 Firewall
ImMen Network Protection >Firewall knnen Sie Firewallregeln fr das Gateway definieren
und verwalten. Allgemein gesagt ist die Firewall der zentrale Teil des Gateways und dient in
einemNetzwerk dazu, Verbindungen zu verhindern, die von der Sicherheitsrichtlinie verboten
sind. Die Standardrichtlinie von Sophos UTMbesagt, dass der gesamte Netzwerkverkehr blo-
ckiert und protokolliert wird. Ausnahmen stellen automatisch generierte Regelwerke dar, die
von anderen Softwarekomponenten des Gateways bentigt werden, umfunktionieren zu kn-
nen. Diese automatisch generierten Regeln werden jedoch auf der Registerkarte Firewall >
8.1 Firewall 8 Network Protection
Regeln nicht angezeigt. Diese Sicherheitsrichtlinie erfordert, dass Sie explizite Regeln fr Netz-
werkverkehr anlegen, der das Gateway passieren darf.
8.1.1 Regeln
Auf der Registerkarte Network Protection >Firewall >Regeln wird das Firewallregelwerk ver-
waltet. Beimffnen der Registerkarte werden standardmig nur benutzerdefinierte Fire-
wallregeln angezeigt. Mit Hilfe der Auswahlliste oberhalb der Liste knnen Sie stattdessen ein-
stellen, dass nur automatische Firewallregeln oder beide Typen von Regeln angezeigt werden.
Automatische Firewallregeln werden mit einer eigenen Hintergrundfarbe dargestellt. Auto-
matische Firewallregeln werden von UTMauf der Basis von ausgewhlten Auswahlkstchen
Automatische Firewallregeln in einer Ihrer Konfigurationen generiert, z.B. beimAnlegen von
IPsec- oder SSL-Verbindungen.
Neu definierte Firewallregeln sind direkt nach der Erstellung standardmig deaktiviert. Auto-
matische Firewallregeln und aktive benutzerdefinierte Firewallregeln werden der Reihe nach
angewendet, bis die erste Regel zutrifft. Automatische Firewallregeln stehen immer oben auf
der Liste. Die Reihenfolge der Abarbeitung von benutzerdefinierten Firewallregeln richtet sich
dabei nach der Positionsnummer, d.h., wenn Sie ber die Positionsnummer die Reihenfolge
der Regeln ndern, ndern Sie gleichzeitig die Reihenfolge der Abarbeitung.
Warnung Sobald eine Firewallregel zutrifft, werden die nachfolgenden Regeln nicht mehr
beachtet. Die Reihenfolge ist daher sehr wichtig. Setzen Sie nie eine Regel mit den Eintrgen
Any (Quelle) Any (Dienst) Any (Ziel) Zulassen (Aktion) an den Beginn Ihres Regelwerks,
da diese Regel alle Pakete in beide Richtungen durch das Gateway lassen wrde, ohne nach-
folgende Regeln zu beachten.
Umeine Firewallregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Regeln auf Neue Regel.
Das Dialogfeld Neue Regel anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Aus-
wahlliste ber der Liste knnen Sie die Regeln nach Ihrer Gruppe filtern. Die Zuge-
hrigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss
auf die Abarbeitung der Regeln. Umeine Gruppe anzulegen, whlen Sie den Eintrag <<
Neue Gruppe >>und geben Sie einen aussagekrftigen Namen in der Feld Name ein.
266 UTM9 WebAdmin
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen.
Quellen: Fgen Sie Quellnetzwerkdefinitionen hinzu bzw. whlen Sie sie aus, die ange-
ben, von welchemHost/welchen Hosts oder Netzwerken die Pakete stammen.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Dienste: Fgen Sie Dienstdefinitionen zur Beschreibung der Protokolle und bei TCP
oder UDPdie Quell- und Zielports der Pakete hinzu bzw. whlen Sie sie aus.
Ziele: Fgen Sie die Netzwerkdefinition des Ziels hinzu, die Zielhost(s) oder Ziel-
netzwerk(e) der Pakete angibt, oder whlen Sie sie aus.
Hinweis Wenn Sie mehr als eine Quelle, einen Dienst oder ein Ziel auswhlen, gilt
die Regel fr alle mglichen Quelle-Dienst-Ziel-Kombinationen. Eine Regel mit zwei
Quellen, zwei Diensten und zwei Zielen entspricht beispielsweise acht individuellen
Regeln: von jeder Quelle an jedes Ziel ber beide Dienste.
Aktion: Die Aktion, die angibt, wie mit Datenverkehr verfahren wird, auf den die Regel
zutrifft. Die folgenden Aktionen knnen ausgewhlt werden:
l Zulassen: Die Verbindung wird zugelassen und Datenverkehr wird wei-
tergeleitet.
l Verwerfen: Alle Pakete, die diese Bedingung erfllen, werden ohne Rck-
meldung an den Absender verworfen.
l Ablehnen: Verbindungsanfragen, die diese Bedingung erfllen, werden abge-
wiesen. Der Absender erhlt eine entsprechende ICMP-Nachricht.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Zeitraum: Standardmig ist keine Zeitraumdefinition ausgewhlt. Das bedeutet, dass
die Regel immer gltig ist. Wenn Sie eine Zeitraumdefinition auswhlen, wird die Regel
UTM9 WebAdmin 267
8 Network Protection 8.1 Firewall
8.1 Firewall 8 Network Protection
nur innerhalb der Zeitspanne gltig, die durch diese Zeitraumdefinition festgelegt ist. Wei-
tere Informationen finden Sie unter Zeitraumdefinitionen.
Verkehr protokollieren: Wenn Sie diese Option whlen, wird die Protokollierung akti-
viert und Pakete, auf die eine Regel zutrifft, werden imFirewallprotokoll mitgeschrieben.
Quell-MAC-Adressen: Whlen Sie eine MAC-Adressdefinition aus, die die MAC-Adres-
sen enthlt, von denen die Pakete stammen. Wenn die Option ausgewhlt ist, ent-
sprechen Pakete nur dann dieser Regel, wenn ihre Quell-MAC-Adresse in der Definition
aufgelistet ist. Beachten Sie, dass Sie nicht gleichzeitig eine MAC-Adressdefinition und
die Quelle Any verwenden knnen. MAC-Adressdefinitionen werden auf der Regis-
terkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adressdefinitionen defi-
niert.
4. Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Regeln angezeigt.
5. Aktivieren Sie die Firewallregel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Live-Protokoll ffnen: ber diese Schaltflche wird ein Pop-up-Fenster mit einemEchtzeit-
Protokoll der gefilterten Pakete geffnet. Die Hintergrundfarbe gibt an, welche Aktion ange-
wendet wurde:
l Rot: Das Paket wurde verworfen (drop).
l Gelb: Das Paket wurde abgelehnt (reject).
l Grn: Das Paket wurde zugelassen (allow).
l Grau: Die Aktion konnte nicht bestimmt werden.
Das Live-Protokoll enthlt auch Informationen darber, welche Firewallregel dafr gesorgt hat,
dass ein Paket abgelehnt wurde. Solche Informationen sind wichtig fr die Fehlersuche im
Regelwerk.
Mit der Suchfunktion knnen Sie das Firewallprotokoll nach bestimmten Eintrgen durch-
suchen. Die Suchfunktion erlaubt es sogar, Ausdrcke auszuschlieen, indemSie ein Minus
268 UTM9 WebAdmin
vor den Ausdruck schreiben, z.B. -WebAdmin, wodurch alle Zeilen ausgeblendet werden, die
diesen Ausdruck enthalten.
Bei Aktivierung der Funktion Autoscroll wird imFenster automatisch nach unten gescrollt,
sodass stets die aktuellsten Ergebnisse angezeigt werden.
Nachfolgend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall:
l Verworfene Broadcasts: Alle Broadcasts werden standardmig verworfen. Diese
Aktion wird auch nicht protokolliert (weitere Informationen hierzu unter Erweitert). Dies
ist fr NetBIOS-Netzwerke (z.B. Microsoft-Windows-Betriebssysteme) mit vielen Com-
putern hilfreich, da die Broadcasts das Firewallprotokoll schnell volllaufen lassen. Um
eine Regel fr das Verwerfen von Broadcasts manuell zu definieren, gruppieren Sie die
Definitionen der Broadcast-Adressen aller angeschlossenen Netzwerke und fgen Sie
eine global_broadcast-Definition 255.255.255.255/255.255.255.255hinzu.
Fgen Sie dann eine Regel hinzu, die smtlichen Verkehr zu diesen Adressen verwirft,
und platzieren Sie die Regel ganz oben in Ihrer Firewall-Konfiguration. In Netzwerken
mit viel Broadcast hat das auch positive Auswirkungen auf die Systemleistung.
l IDENT-Verkehr ablehnen: Wenn Sie den IDENT-Reverse-Proxy nicht nutzen mch-
ten, knnen Sie Datenpakete an den Port 113(IDENT) des internen Netzwerks ableh-
nen. Dies kann bei Diensten, die IDENT verwenden (z.B. FTP, SMTPund IRC), lngere
Zeitberschreitungen verhindern.
Hinweis Bei der Nutzung von Maskierung kommen die IDENT-Anfragen fr die mas-
kierten Netzwerke auf den Maskierungsschnittstellen an.
l NAT verndert die Adressen der Datenpakete und hat somit Auswirkungen auf die Fire-
wall-Funktionalitt.
l DNAT wird vor der Firewall ausgefhrt. Die Firewall bearbeitet daher die bereits
umgeschriebenen Datenpakete. Das mssen Sie bedenken, wenn Sie Regeln fr
DNAT-bezogene Dienste anlegen.
l SNAT und Maskierung werden nach der Firewall ausgefhrt. Die Firewall bear-
beitet daher noch die Datenpakete mit der originalen Quelladresse.
Mit den Funktionen imKopfbereich der Tabelle knnen Firewallregeln nach bestimmten Kri-
terien gefiltert und so bersichtlich dargestellt werden. Wenn Sie Gruppen angelegt haben, kn-
nen Sie eine Gruppe aus der Auswahlliste whlen und sehen so alle Regeln, die zu dieser Grup-
pe gehren. Mit demSuchfeld knnen Sie nach Stichworten oder auch nur Wortteilen suchen,
UTM9 WebAdmin 269
8 Network Protection 8.1 Firewall
8.1 Firewall 8 Network Protection
zu denen die Regeln angezeigt werden sollen. Die Suche umfasst Quelle, Ziel, Dienst, Grup-
penname und Kommentar einer Regel.
8.1.2 Country-Blocking
Auf der Registerkarte Network Protection >Firewall >Country-Blocking knnen Sie Daten-
verkehr aus bestimmten Lndern oder Gegenden bzw. Datenverkehr, der fr bestimmte Ln-
der oder Gegenden bestimmt ist, blockieren. Sie knnen entweder einzelne Lnder/Gegenden
oder ganze Kontinente blockieren. Das Blockieren erfolgt auf Basis der GeoIP-Informationen in
der IP-Adresse des Hosts.
UmCountry-Blocking zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Country-Blocking.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich Lnder kann nun bearbeitet werden.
2. Whlen Sie die Gegenden, die blockiert werden sollen.
Legen Sie mit Hilfe der Auswahllisten vor den Namen der Lnder bzw. Gegenden den
Blockierstatus fest:
l Alle: Der gesamte Verkehr von oder zu dieser Gegend wird blockiert.
l Von: Verkehr aus dieser Gegend wird blockiert.
l Nach: Verkehr in diese Gegend wird blockiert.
l Aus:Verkehr aus und in diese Gegend ist erlaubt.
Tipp Sie knnen auf einfache Weise den gleichen Blockierstatus fr alle Ln-
der/Gegenden einer Region auswhlen. Whlen Sie dafr in der Auswahlliste vor der
entsprechenden Region den gewnschten Blockierstatus aus.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.Verkehr von diesen oder in diese Gegenden wird
jetzt entsprechend Ihrer Einstellungen blockiert. Beachten Sie, dass Sie auf der Regis-
terkarte Country-Blocking-Ausnahmen Ausnahmen fr die blockierten Ln-
der/Gegenden anlegen knnen.
Tipp Jeder Abschnitt auf dieser Seite kann mit Hilfe des Reduzieren-Symbols in der
Abschnitts-berschrift rechts auf- und zugeklappt werden.
270 UTM9 WebAdmin
8.1.3 Country-Blocking-Ausnahmen
Auf der Registerkarte Network Protection >Firewall >Country-Blocking-Ausnahmen knnen
Sie Ausnahmen definieren fr Lnder, die auf der Registerkarte Country-Blocking blockiert wer-
den. Ausnahmen knnen angelegt werden fr Verkehr zwischen einemblockierten Land/einer
blockierten Gegend und bestimmten Hosts oder Netzwerken, unter Bercksichtigung von Rich-
tung und Dienst des Verkehrs.
Umeine Country-Blocking-Ausnahme anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahme anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr die Ausnahme ein.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Diese nicht blockieren:
l Region: Mit dieser Auswahlliste knnen Sie die Auswahl der Lnder, die imFeld
Lnder angezeigt wird, einschrnken.
l Lnder: Aktivieren Sie das Auswahlkstchen vor den Gegenden oder Lndern,
fr die Sie eine Ausnahme anlegen wollen. Umalle Lnder gleichzeitig aus-
zuwhlen, klicken Sie auf das Auswahlkstchen Alle auswhlen.
Hinweis Umalle IP-Adressen, inklusive derer, die nicht mit einemLand ver-
knpft sind, wie zumBeispiel interne IP-Adressen, abzuwhlen, klicken Sie auf
das Auswahlkstchen Alles abwhlen.
Fr alle Anfragen: Whlen Sie die Bedingung, fr die das Country-Blocking auf-
gehoben werden soll. Sie knnen zwischen ausgehendemund eingehendemVerkehr
whlen, mit Bezug auf die darunter ausgewhlten Hosts/Netzwerke.
l Hosts/Netzwerke: Whlen Sie die Hosts/Netzwerke aus, die Verkehr in die
gewhlten Lnder versenden oder aus diesen empfangen drfen abhngig von
der Einstellung in der Auswahlliste darber. Das Hinzufgen einer Definition wird
auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
UTM9 WebAdmin 271
8 Network Protection 8.1 Firewall
8.1 Firewall 8 Network Protection
Fr diese Dienste: Fgen Sie optional die Dienste hinzu, die zwischen den gewhlten
Hosts/Netzwerken und den gewhlten Lndern/Orten erlaubt sein sollen. Wenn kein
Dienst ausgewhlt ist, sind alle Dienste erlaubt.
3. Klicken Sie auf Speichern.
Die neue Country-Blocking-Ausnahme wird in der Liste Country-Blocking-Ausnahmen
angezeigt.
Umeine Ausnahme zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
8.1.4 ICMP
Auf der Registerkarte Network Protection >Firewall >ICMPknnen Sie die Einstellungen fr
das Internet Control Message Protocol (ICMP) konfigurieren. ICMPdient dazu ver-
bindungsrelevante Statusinformationen zwischen Hosts auszutauschen. Darber hinaus ist es
wichtig, umdie Erreichbarkeit des Netzwerks zu testen und zur Fehlerbehebung bei Netz-
werkproblemen.
Das Erlauben von allemICMP-Verkehr auf dieser Registerkarte hebt eventuelle ICMP-Ein-
stellungen in der Firewall auf. Wenn Sie ICMP-Verkehr nur fr bestimmte Hosts oder Netz-
werke erlauben wollen, sollten Sie besser die Registerkarte Firewall >Regeln verwenden.
Allgemei ne ICMP-Ei nstellungen
Die folgenden allgemeinen ICMP-Optionen sind mglich:
l Allow ICMP On Gateway: Das Gateway antwortet auf alle ICMP-Pakete.
l Allow ICMP Through Gateway: Bei Auswahl dieser Option werden ICMP-Pakete
ber das Gateway weitergeleitet, wenn die Pakete aus eineminternen Netzwerk stam-
men, also einemNetzwerk ohne Standardgateway.
l ICMP-Umleitungen protokollieren: Die ICMP-Umleitungen werden von Routern
gegenseitig verschickt, umeine bessere Route zu einemPaketziel zu finden. Router
ndern daraufhin ihre Routing-Tabellen und leiten das Paket auf der vermeintlich bes-
seren Route zumgleichen Ziel weiter. Wenn Sie diese Option whlen, werden alle
ICMP-Umleitungen imFirewallprotokoll protokolliert.
272 UTM9 WebAdmin
Hinweis Wenn diese Option aktiviert ist, gelten die ICMP-Einstellungen fr alle ICMP-Pake-
te, einschlielich Ping und Traceroute wenn sie ber ICMPgesendet werden, auch wenn
die zugehrigen Ping- und Traceroute-Einstellungen deaktiviert sind.
Pi ng-Ei nstellungen
Das ProgrammPing ist ein Computer-Netzwerk-Tool mit demman testen kann, ob ein
bestimmter Host ber ein IP-Netzwerk erreichbar ist. Ping sendet ICMP-Echo-Anfrage-Pakete
an den Zielhost und lauscht auf Antworten in Formvon ICMP-Echo-Antwort-Paketen. Aus Zei-
tintervallen und Antworthufigkeiten schtzt Ping die Dauer des Paketumlaufs und die Paket-
verlustrate zwischen den Hosts.
Die folgenden Ping-Optionen sind mglich:
l Gateway ist Ping-sichtbar: Das Gateway antwortet auf ICMP-Echo-Antwort-Pakete.
Diese Funktion ist standardmig eingeschaltet.
l Ping FromGateway: Der Ping-Befehl kann auf demGateway verwendet werden. Die-
se Funktion ist standardmig eingeschaltet.
l Gateway Forwards Pings: Das Gateway leitet ICMP-Echo-Anfrage- und Echo-Ant-
wort-Pakete weiter, die aus eineminternen Netzwerk stammen, also einemNetzwerk
ohne Standardgateway.
Hinweis Wenn die Funktion aktiviert ist, lassen die Ping-Einstellungen auch Traceroute-
ICMP-Paketezu, selbst wenn die betreffenden Traceroute-Einstellungen deaktiviert sind.
Traceroute-Ei nstellungen
Das ProgrammTraceroute ist ein Computer-Netzwerk-Tool zur Bestimmung der Route, die
von Paketen in einemIP-Netzwerk genommen werden. Es listet die IP-Adressen der Router
auf, ber die das versendete Paket transportiert wurde. Sollte der Pfad der Datenpakete kurz-
fristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt. Nach einer
bestimmten Zahl an Fehlversuchen wird die berprfung abgebrochen. Der Abbruch einer
berprfung kann viele Grnde haben, der wahrscheinlichste ist jedoch, dass eine Firewall im
Netzwerkpfad Traceroute-Pakete blockiert.
Die folgenden Traceroute-Optionen sind mglich:
UTM9 WebAdmin 273
8 Network Protection 8.1 Firewall
8.1 Firewall 8 Network Protection
l Gateway ist Traceroute-sichtbar: Das Gateway antwortet auf Traceroute-Pakete.
l Gateway Forwards Traceroute: Das Gateway leitet Traceroute-Pakete weiter, die
aus eineminternen Netzwerk stammen, also einemNetzwerk ohne Standardgateway.
Hinweis Darber hinaus werden auch die UDP-Ports fr UNIX-Traceroute-Anwen-
dungen geffnet.
Hinweis Wenn die Funktion aktiviert ist, lassen die Traceroute-Einstellungen auch Ping-
Paketezu, selbst wenn die betreffenden Ping-Einstellungen deaktiviert sind.
8.1.5 Erweitert
Auf der Registerkarte Network Protection >Firewall >Erweitert knnen Sie erweiterte Ein-
stellungen fr die Firewall und die NAT-Regeln vornehmen.
Helfer fr Verbi ndungsverfolgung
Sogenannte Helfer fr die Verbindungsverfolgungaktivieren Protokolle, die mehrere Netz-
werkverbindungen nutzen, umauf Firewall- oder NAT-Regeln zugreifen zu knnen. Alle Ver-
bindungen, die per Firewall abgewickelt werden, werden durch das Kernelmodul conntrack mit-
verfolgt: ein Prozess, der besser als connection tracking (Verbindungsverfolgung) bekannt ist.
Einige Protokolle, wie FTPund IRC, bentigen mehrere offene Ports und erfordern deshalb
spezielle Helfer fr die Verbindungsverfolgung, damit sie korrekt funktionieren. Diese Helfer
sind spezielle Kernelmodule, die dabei helfen, zustzliche Verbindungen zu identifizieren,
indemsie diese als zur Eingangsverbindung zugehrig markieren. Das tun sie, indemsie die
zugehrigen Adressen aus demDatenstromauslesen.
Damit z.B. eine FTP-Verbindung korrekt funktioniert, muss ein FTP-Conntrack-Helfer aus-
gewhlt werden. Der Grund hierfr liegt in den Eigenheiten des FTP-Protokolls, welches
zunchst eine einzelne Verbindung, die FTP-Kontrollverbindung, aufbaut. Sobald Befehle ber
diese Verbindung laufen, werden andere Ports geffnet, umden Rest der Daten zu trans-
portieren, die zu demjeweiligen Befehl gehren (z.B. Downloads oder Uploads). Das Problem
hierbei ist, dass das Gateway nichts von den Extraports wei, weil sie dynamisch ausgehandelt
wurden. Aus diesemGrund kann das Gateway auch nicht wissen, dass es demServer erlau-
ben soll, sich mit demClient ber diese spezifischen Ports (aktive FTP-Verbindungen) zu ver-
binden, oder dass es Clients aus demInternet erlauben soll, sich mit demFTP-Server zu ver-
binden (passive FTP-Verbindungen).
274 UTM9 WebAdmin
Hier wird der FTP-Conntrack-Helfer aktiv. Dieser spezielle Helfer wird zur Ver-
bindungsverfolgung hinzugefgt und durchsucht dann die Kontrollverbindung (normalerweise
auf Port 21) nach spezifischen Informationen. Wenn er auf korrekte Informationen stt, fgt
er diese spezifischen Informationen zu einer Liste erwarteter Verbindungen hinzu, sodass sie
als zugehrig zur Kontrollverbindung gelten. Das wiederumermglicht es demGateway,
sowohl die FTP-Eingangsverbindung als auch die zugehrigen Verbindungen richtig zu ver-
folgen.
Verbindungsverfolgungshelfer stehen fr die folgenden Protokolle zur Verfgung:
l FTP
l IRC(fr DCC)
l PPTP
l TFTP
Hinweis Das Helfer-Modul PPTPwird bentigt, wenn Sie PPTP-VPN-Dienste auf dem
Gateway anbieten wollen. PPTP-Verbindungen knnen sonst nicht aufgebaut werden. Der
Grund hierfr ist, dass das Protokoll PPTPzuerst eine Verbindung auf TCP-Port 1723 auf-
baut, bevor es zur Verbindung mit demProtokoll Generic Routing Encapsulation (GRE) wech-
selt, das ein eigenstndiges IP-Protokoll ist. Wenn das Helfer-Modul PPTPnicht geladen ist,
werden alle GRE-Pakete vomGateway blockiert. Falls Sie aber das Helfer-Modul PPTPnicht
laden mchten, knnen Sie Firewallregeln manuell hinzufgen, sodass GRE-Pakete fr ein-
und ausgehenden Datenverkehr zulssig sind.
Protokollhandhabung
TCP-Fensterskalierung ermglichen: Das TCPReceive Window(RWin) gibt vor (in Byte),
welche Datenmenge ein Systemwhrend einer Verbindung puffern kann. Der Absender kann
nur diese Datenmenge versenden, danach muss er auf eine Besttigung und eine Fens-
teraktualisierung des Empfngers warten. Fr eine effizientere Nutzung von Netzwerken mit
hoher Bandbreite kann eine grere Fenstergre verwendet werden. Allerdings kontrolliert
das TCP-Fenstergrenfeld den Datenfluss und ist auf zwei Byte bzw. eine Fenstergre von
65.535 Byte beschrnkt. Da das Grenfeld nicht erweitert werden kann, wird ein Ska-
lierungsfaktor verwendet. TCP-Fensterskalierung ist eine Kerneloption des TCP/IP-Stacks
und kann dazu verwendet werden, die maximale Fenstergre von 65.535 Byte auf 1 Gigabyte
zu erweitern. Die Fensterskalierung ist standardmig aktiviert. Da einige Netzwerkgerte wie
Router, Lastverteiler, Gateways usw. die Fensterskalierung immer noch nicht durchgehend
untersttzen, kann es notwendig sein, sie auszuschalten.
UTM9 WebAdmin 275
8 Network Protection 8.1 Firewall
8.1 Firewall 8 Network Protection
Strikte TCP-Sitzungsverwaltung verwenden: Standardmig erkennt das Systemvor-
handene TCP-Verbindungen, die aufgrund eines Neustarts in der Ver-
bindungsverfolgungstabelle nicht verwaltet werden. Interaktive Sitzungen, wie z.B. SSHund
Telnet, werden daher nicht unterbrochen, wenn eine Schnittstelle vorbergehend nicht erreich-
bar ist. Sobald diese Option aktiviert ist, wird immer ein neuer 3-Wege-Handshake notwendig
sein, umsolche Sitzungen zu reaktivieren. Darber hinaus erlaubt diese Option nicht, dass die
TCP-Verbindungsmethoden gleichzeitig offen sind, oder dass TCPHandshakes unterbricht.
Es wird empfohlen, diese Option ausgeschaltet zu lassen.
Paketlnge validieren: Wenn diese Option aktiviert ist, prft die Firewall die Datenpakete auf
die minimale Lnge, wenn das Protokoll ICMP, TCPoder UDPverwendet wird. Wenn die
Datenpakete krzer als die Minimalwerte sind, werden sie blockiert und es wird ein Eintrag im
Firewallprotokoll angelegt.
Tuschungsschutz: Die Option Tuschungsschutzist standardmig deaktiviert. Sie kn-
nen zwischen den folgenden Einstellungen whlen:
l Normal: Das Gateway verwirft und protokolliert alle Datenpakete, die als Absen-
deradresse entweder die gleiche Quell-IP-Adresse enthalten wie die Schnittstelle oder
die auf einer Schnittstelle ankommen, die eine Quell-IP-Adresse eines Netzwerks besitzt,
die einer anderen Schnittstelle imNetzwerk zugeordnet ist.
l Strikt: Mit dieser Einstellung werden darber hinaus alle Datenpakete verworfen und
protokolliert, die zwar die richtige Ziel-IP-Adresse fr eine bestimmte Schnittstelle im
Netzwerk enthalten, allerdings ber eine Schnittstelle, der sie nicht zugeordnet sind, im
Netzwerk eintreffen, also an einer Schnittstelle, fr die sie nicht bestimmt sind. Bei-
spielsweise werden Pakete verworfen, die von einemexternen Netzwerk an eine IP-
Adresse der internen Schnittstelle geschickt wurden, die aber nur dafr vorgesehen ist,
Pakete aus deminternen Netzwerk entgegenzunehmen.
Protokolli erungsopti onen
FTP-Datenverbindungen protokollieren:UTMprotokolliert alle Datenverbindungen
(FTP-Datei- und Verzeichnisauflistungen). Die Protokolleintrge werden mit demAusdruck
FTPdataversehen.
Eindeutige DNS-Anfragen protokollieren:UTMprotokolliert alle ausgehenden Anfragen
an DNS-Server sowie deren Ergebnis. Die Protokolleintrge werden mit demAusdruck DNS
requestversehen.
276 UTM9 WebAdmin
Verworfene Broadcasts protokollieren: Standardmig verwirft die Firewall alle Broad-
casts, die darber hinaus auch nicht protokolliert werden. Wenn Sie die Broadcasts jedoch im
Firewall-Protokoll bentigen, z.B. fr Prfungszwecke, whlen Sie die Option aus.
8.2 NAT
ImMen Network Protection >NAT werden die NAT-Regeln des Gateways definiert und ver-
waltet. Network Address Translation (NAT) ist ein Verfahren, mit demdie Quell- und/oder Zie-
ladressen von IP-Paketen umgeschrieben werden, wenn sie einen Router oder ein Gateway
passieren. Die meisten Systeme benutzen NAT, damit mehrere Hosts in einemprivaten Netz-
werk den Internetzugang ber eine einzige ffentliche IP-Adresse nutzen knnen. Wenn ein Cli-
ent ein IP-Paket an den Router schickt, wandelt NAT die Absenderadresse in eine andere,
ffentliche IP-Adresse um, bevor es das Paket ins Internet weiterleitet. Kommt eine Antwort auf
dieses Paket zurck, wandelt NAT die ffentliche Adresse wieder in die ursprngliche IP-Adres-
se umund leitet das Paket an den Client weiter. Abhngig von den vorhandenen Sys-
temressourcen ist NAT in der Lage, beliebig groe interne Netzwerke zu verwalten.
8.2.1 Maskierung
Maskierung (engl. masquerading) ist eine Sonderformder Quellnetzwerkadressumsetzung
(engl. Source Network Address Translation, SNAT), bei der viele private IP-Adressen (typi-
scherweise Ihr LANmit privatemAdressraum) auf eine einzige ffentliche IP-Adresse (typi-
scherweise Ihre externe Schnittstelle zumInternet) umgeschrieben werden, d.h. Sie ver-
bergen interne IP-Adressen und Netzwerkinformationen nach auen. SNAT ist allgemeiner,
da es ermglicht, mehrere Quelladressen mehreren Zieladressen zuzuordnen.
Hinweis Die Quelladresse wird nur umgesetzt, wenn das Paket das Gateway ber die
angegebene Schnittstelle verlsst. Des Weiteren ist die Quelladresse immer die aktuelle IP-
Adresse dieser Schnittstelle, d.h. diese Adresse kann dynamisch sein.
Umeine Maskierungsregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Maskierung auf Neue Maskierungsregel.
Das Dialogfeld Neue Maskierungsregel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Netzwerk: Whlen Sie das zu maskierende (interne) Netzwerk aus.
UTM9 WebAdmin 277
8 Network Protection 8.2 NAT
8.2 NAT 8 Network Protection
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen.
Schnittstelle: Whlen Sie die (externe) Netzwerkkarte aus, die mit demInternet ver-
bunden ist.
Benutze Adresse: Wenn der Schnittstelle, die Sie gewhlt haben, mehr als eine IP-
Adresse zugewiesen ist (siehe Schnittstellen &Routing >Schnittstellen >Zustzliche
Adressen), knnen Sie hier bestimmen, welche IP-Adresse fr die Maskierung ver-
wendet werden soll.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Maskierungsregel wird in der Liste Maskierung angezeigt.
4. Aktivieren Sie die Maskierungsregel.
Klicken Sie auf den Schieberegler, umdie Maskierungsregel zu aktivieren.
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Hinweis Damit von den Clients aus deminternen Netzwerk eine Verbindung zumInternet
aufgebaut werden kann, mssen Sie fr die Firewall entsprechende Regeln anlegen.
IPsec-Pakete sind von Maskierungsregeln niemals betroffen. Umdie Quelladresse von IPsec-
Paketen umzusetzen, legen Sie eine Regel fr SNAT oder Volles NAT an.
8.2.2 NAT
DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT
(Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle
Flle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung
initiiert hat. Das Gegenstck hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt.
DNAT ist besonders ntzlich, wenn ein internes Netzwerk private IP-Adressen verwendet und
der Administrator einige Dienste von auen zugnglich machen will.
278 UTM9 WebAdmin
Das lsst sich ambesten anhand eines Beispiels verdeutlichen: Ein Webserver mit der IP-Adres-
se 192.168.0.20, Port 80, der in einemprivaten Netzwerk mit demAdressraum
192.168.0.0/255.255.255.0steht, soll fr Clients aus demInternet erreichbar sein. Da der
Adressraum192.168. privat ist, knnen Internet-basierte Clients Pakete nicht direkt an den
Webserver schicken. Sie knnen aber mit der externen (ffentlichen) Adresse der UTMkom-
munizieren. DNAT kann in diesemFall Pakete an Port 80der Firewall annehmen und diese
zuminternen Webserver weiterleiten.
Hinweis PPTP-VPN-Zugang ist nicht kompatibel mit DNAT.
ImGegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primren Netz-
werkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-
Regelangegeben ist.
1:1-NATist ein Spezialfall von DNAToder SNAT. In diesemFall werden smtliche Adressen
eines Netzwerks 1:1 in die Adressen eines anderen Netzwerks mit der gleichen Netzmaske
bersetzt. Die erste Adresse des ursprnglichen Netzwerks wird also in die erste Adresse des
anderen Netzwerks bersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kann ent-
weder auf die Quell- oder die Zieladresse angewendet werden.
Hinweis Der Port 443(HTTPS) wird standardmig fr das Benutzerportal genutzt. Wenn
Sie den Port 443an einen internen Server weiterleiten mchten, mssen Sie den Wert des
TCP-Ports des Benutzerportals ndern (z.B. 1443). Nehmen Sie diese Einstellung auf der
Registerkarte Verwaltung >Benutzerportal >Erweitert vor.
Da DNAT vor demFirewalling angewendet wird, mssen Sie sicherstellen, dass ent-
sprechende Firewallregeln gesetzt sind. Weitergehende Informationen finden Sie unter Net-
work Protection >Firewall >Regeln.
Umeine NAT-Regel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.
Das Dialogfeld Neue NAT-Regel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Aus-
wahlliste ber der Liste knnen Sie die Regeln nach Ihrer Gruppe filtern. Die Zuge-
hrigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss
UTM9 WebAdmin 279
8 Network Protection 8.2 NAT
8.2 NAT 8 Network Protection
auf die Abarbeitung der Regeln. Umeine Gruppe anzulegen, whlen Sie den Eintrag <<
Neue Gruppe >>und geben Sie einen aussagekrftigen Namen in der Feld Name ein.
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen.
Regeltyp: Whlen Sie den NAT-Modus aus. Abhngig vomgewhlten Modus werden
verschiedene Optionen angezeigt: Die folgenden Modi sind mglich:
l SNAT (Quelle): Ordnet die Quelladresse definierter IP-Pakete einer neuen Quel-
ladresse zu. Der Dienst kann ebenfalls gendert werden. Der Dienst kann eben-
falls gendert werden.
l DNAT (Ziel): Ordnet die Zieladresse definierter IP-Pakete einer neuen Zie-
ladresse zu. Der Dienst kann ebenfalls gendert werden. Der Dienst kann eben-
falls gendert werden.
l 1:1-NAT (ganze Netzwerke): Ordnet IP-Adressen eines Netzwerks 1:1 einem
anderen Netzwerk zu. Die Regel gilt entweder fr die Quell- oder die Zieladresse
der definierten IP-Pakete.
l Volles NAT (Quelle + Ziel): Ordnet sowohl die Quell- als auch die Zieladresse
definierter IP-Pakete einer neuen Quell- und einer neuen Zieladresse zu. Der
Quelldienst und der Zieldienst knnen ebenfalls gendert werden.
l Kein NAT: Bei dieser Option handelt es sich umeine Ausnahmeregel. Beispiel:
Wenn fr ein bestimmtes Netzwerk eine NAT-Regel existiert, knnen Sie eine
Kein NAT-Regel fr bestimmte Hosts innerhalb dieses Netzwerks festlegen. Die-
se Hosts werden dann vomNAT ausgenommen.
Bedingung fr bereinstimmung: Whlen Sie Quell- und Zielnetzwerk, Quell- und
Zielhost sowie den Dienst, fr den Sie Adressen bersetzen mchten, oder fgen Sie die-
se Elemente hinzu.Das Hinzufgen einer Definition wird auf der Seite Definitionen &
Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l Datenverkehrsquelle: Die ursprngliche Quelladresse der Pakete. Dabei kann
es sich entweder umeinen einzelnen Host, ein gesamtes Netzwerk oder, auer
fr den Regeltyp 1:1-NAT, einen Netzwerkbereich handeln.
l Datenverkehrsdienst: Der ursprngliche Diensttyp des Pakets, der aus Quell-
und Zielports der Pakete sowie einemProtokoll besteht.
280 UTM9 WebAdmin
Hinweis Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auch
die entsprechenden Adressen umgesetzt werden. Des Weiteren kann ein
Dienst nur in einen Dienst mit demgleichen Protokoll umgesetzt werden.
l Datenverkehrsziel: Die ursprngliche Zieladresse der Pakete. Dabei kann es
sich entweder umeinen einzelnen Host oder ein gesamtes Netzwerk handeln. Bei
SNATund Kein NAT kann es sich auch umeinen Netzwerkbereich handeln.
Aktion:Whlen Sie den Quell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprnglichen
IP-Paketdaten bersetzen mchten. Die angezeigten Parameter hngen vomaus-
gewhlten Regeltyp ab.Das Hinzufgen einer Definition wird auf der Seite Definitionen &
Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l Quelle ndern in (nur in den Modi SNAT oder Volles NAT): Whlen Sie den
Quellhost, also die neue Quelladresse der Pakete.
l Ziel ndern in (nur in den Modi DNAT oder Volles NAT): Whlen Sie den Ziel-
host, also die neue Zieladresse der Pakete.
l Dienst ndern in (nur in den Modi DNAT, SNAT oder Volles NAT):Whlen Sie
den neuen Dienst fr die Pakete. Je nach ausgewhltemRegeltyp kann es sich
hierbei umden Quell- bzw. Zieldienst handeln.
l 1:1-NAT-Modus (nur imModus 1:1-NAT): Whlen Sie einen der folgenden
Modi:
l Map destination: ndert die Zieladresse.
l Map source: ndert die Quelladresse.
Hinweis Sie mssen imFeld Datenverkehrsquelle ein ganzes Netzwerk ein-
geben, wenn Sie die Quelle zuordnen mchten, oder imFeld Datenverkehrsziel,
wenn Sie das Ziel zuordnen mchten.
l Zuordnung (nur imModus 1:1-NAT): Whlen Sie das Netzwerk, in das Sie die
ursprnglichen IP-Adressen bersetzen mchten. Bitte beachten Sie, dass die
Netzmaske des ursprnglichen Netzwerks mit der Netzmaske des bersetzten
Netzwerks bereinstimmen muss.
UTM9 WebAdmin 281
8 Network Protection 8.2 NAT
8.3 Advanced Threat Protection 8 Network Protection
Automatische Firewallregel (optional): Whlen Sie diese Option, umFirewallregeln
automatisch zu generieren, sodass der entsprechende Datenverkehr die Firewall pas-
sieren kann.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Regel gilt fr IPsec-Pakete (nur in den Modi SNAT oder Volles NAT): Whlen Sie die-
se Option, wenn die Regel fr Datenverkehr gelten soll, der von IPsec verarbeitet wird.
Diese Option ist standardmig nicht ausgewhlt, wodurch IPsec-Verkehr von SNAT
ausgeschlossen wird.
Initpakete protokollieren (optional): Whlen Sie diese Option, umIni-
tialisierungspakete einer Kommunikation ins Firewall-Protokoll zu schreiben. Wann
immer eine NAT-Regel verwendet wird, werden Sie eine Meldung imFirewallprotokoll
mit folgendemInhalt finden: Connection using NAT(dt. Verbindung benutzt NAT). Die-
se Option funktioniert sowohl fr zustandbehaftete (stateful) als auch zustandlose (state-
less) Protokolle.
4. Klicken Sie auf Speichern.
Die neue Regel wird in der Liste NAT angezeigt.
5. Aktivieren Sie die NAT-Regel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
8.3 Advanced Threat Protection
ImMen Network Protection >Advanced Threat Protection knnen Sie die Funktion Advanced
Threat Protection aktivieren und konfigurieren, damit infizierte oder gefhrdete Clients inner-
halb Ihres Netzwerks rasch erkannt werden und eine Warnung ausgegeben wird bzw. der ent-
sprechende Verkehr verworfen wird. Advanced Threat Protection ist auf typische Her-
ausforderungen in modernen Unternehmensnetzwerken ausgelegt:einerseits die Verwaltung
mobiler Mitarbeitermit immer mehr verschiedenen Mobilgerten (BYOD), andererseits die
immer schneller voranschreitende Weiterentwicklung und Verteilung von Schadsoftware.
Advanced Threat Protection analysiert Netzwerkverkehr, z.B. DNS-Anfragen, HTTP-
282 UTM9 WebAdmin
Anfragen oder IP-Pakete imAllgemeinen, die aus allen Netzwerken stammen bzw. an diese
gesendet werden knnen. Advanced Threat Protection bietet zudemAngriffschutzund Anti-
virusdaten, wenn die entsprechenden Funktionen aktiviert sind. Die Datenbank zur Iden-
tifizierung von Bedrohungen wird laufend durch einen CnC/Botnet-Datenfeed von Sophos
Labs mittels Pattern-Aktualisierungen aktualisiert. Anhand dieser Daten knnen infizierte Hosts
und ihre Kommunikation mit Command-and-Control (CnC)-Servern schnell identifiziert wer-
den und es kann entsprechend darauf reagiert werden.
8.3.1 Allgemein
Auf der Registerkarte Advanced Threat Protection >Allgemein knnen Sie das Advanced Thre-
at Protection Systemder aktivieren.Sophos UTM
UmAdvanced Threat Protection zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie das Advanced Threat Protection System.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
Richtlinie: Whlen Sie die Sicherheitsrichtlinie aus, die vomAdvanced Threat Pro-
tection Systemverwendet werden soll, wenn eine Bedrohung erkannt wurde.
l Verwerfen: Das Datenpaket wird protokolliert und verworfen.
l Warnung: Das Datenpaket wird protokolliert.
Netzwerk-/Hostausnahmen: Fgen Sie die Quellnetzwerke oder -hosts hinzu, die vom
Scannen auf Bedrohungen durch Advanced Threat Protection ausgenommen werden
sollen, oder whlen Sie sie aus. Das Hinzufgen einer Definition wird auf der Seite Defi-
nitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Bedrohungsausnahmen: Fgen Sie Ziel-IP-Adressen oder Domnennamen hinzu,
die beimScannen auf Bedrohungen durch Advanced Threat Protection bersprungen
werden sollen. An dieser Stelle knnen Sie Falschmeldungen hinzufgen, umzu ver-
hindern, dass sie als Bedrohung erkannt werden. Beispiele: 8.8.8.8oder google.com.
UTM9 WebAdmin 283
8 Network Protection 8.3 Advanced Threat Protection
8.4 Intrusion Prevention 8 Network Protection
Achtung Gehen Sie beimFestlegen von Ausnahmen mit Vorsicht vor. Wenn Sie
Quellen oder Ziele ausnehmen, setzen Sie Ihr Netzwerk mglicherweise ernsthaften
Gefahren aus.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Wenn diese Option aktiviert ist und eine Bedrohung erkannt wird, wird sie auf der Seite von Net-
work Protection aufgelistet. Der Administrator erhlt eine Benachrichtigung, wenn diese Funk-
tion auf der Seite Verwaltung >Benachrichtigungen >Benachrichtigungen aktiviert ist. Die
Benachrichtigung ist standardmig auf Verwerfen oder Warnung eingestellt.
Li ve-Protokoll
Das Live-Protokoll von Advanced Threat Protection kann zur berwachung der erkannten
Bedrohungen verwendet werden. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in
einemneuen Fenster zu ffnen.
Hinweis IPS- und Web-Proxy-Bedrohungen werden imLive-Protokoll nicht angezeigt.
8.4 Intrusion Prevention
ImMen Network Protection >Intrusion Prevention werden die IPS-Regeln des Gateways defi-
niert und verwaltet. Das Angriffsschutzsystem(Intrusion Prevention System, IPS) erkennt
Angriffsversuche anhand eines signaturbasierten IPS-Regelwerks. Das Systemanalysiert den
gesamten Datenverkehr und blockiert Attacken automatisch, bevor diese das lokale Netzwerk
erreichen. Das bereits vorhandene Regelwerk und die Angriffsmuster werden durch die Pat-
tern-Updates-Funktion aktualisiert. Neue IPS-Angriffs-Pattern-Signaturen werden auto-
matisch als IPS-Regeln in das IPS-Regelwerk importiert.
8.4.1 Allgemein
Auf der Registerkarte Network Protection >Intrusion Prevention >Allgemein knnen Sie das
Angriffschutzsystem(Intrusion Prevention System, (IPS) von Sophos UTMaktivieren.
UmIPSzu aktivieren, gehen Sie folgendermaen vor:
284 UTM9 WebAdmin
1. Aktivieren Sie das Angriffschutzsystem.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Allgemeine IPS-Einstellungen kann nun
bearbeitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
Lokale Netzwerke: Fgen Sie Sie die Netzwerke hinzu oder whlen Sie die Netzwerke
aus, die vomAngriffsschutzsystemberwacht werden sollen. Falls kein Netzwerk aus-
gewhlt ist, wird IPSautomatisch wieder ausgeschaltet und kein Netzwerkverkehr ber-
wacht. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Richtlinie: Whlen Sie die Sicherheitsrichtlinie aus, die von IPSverwendet werden soll,
wenn eine IPS-Regel eine Angriffsignatur erkennt.
l Unbemerkt verwerfen: Die Datenpakete werden ohne weitere Manahmen
verworfen.
l Verbindung beenden: An beide Verbindungspartner wird ein Paket geschickt,
das die Verbindung beendet (RST bei TCP-Verbindungen und ICMPPort Unre-
achable fr UDP-Verbindungen).
Hinweis Standardmig ist Unbemerkt verwerfen ausgewhlt. Diese Einstellung
sollte in der Regel nicht verndert werden, vor allemda aus Paketen zur Ver-
bindungsbeendigung mutmaliche Angreifer auch Informationen ber das Gateway
ziehen knnen.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Li ve-Protokoll
Das Intrusion-Prevention-Live-Protokoll dient zur berwachung der gewhlten IPS-Regeln. Kli-
cken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
8.4.2 Angriffsmuster
Die Registerkarte Network Protection >Intrusion Prevention >Angriffsmuster enthlt das IPS-
Regelwerk, gruppiert nach blichen Angriffsmustern. Die IPS-Angriffsmuster sind in folgende
Gruppen unterteilt:
UTM9 WebAdmin 285
8 Network Protection 8.4 Intrusion Prevention
8.4 Intrusion Prevention 8 Network Protection
l Betriebssystemspezifische Angriffe: Angriffe auf Betriebssystem-spezifische
Schwchen.
l Angriffe gegen Server: Angriffe auf alle Arten von Servern (z.B. Webserver, Mail-
server).
l Angriffe gegen Client-Software: Angriffe auf Client-Software (z.B. Webbrowser, Mul-
timedia-Player).
l Protokollanomalie: Die Angriffsmuster sind auf Netzwerkanomalien ausgerichtet.
l Schadsoftware: Software, die darauf ausgelegt ist, in ein Computersystemein-
zudringen und ihmzu schaden, ohne dass der Besitzer davon Kenntnis hat, z.B. Tro-
janer, DoS-Kommunikationswerkzeuge usw.
Umdie Leistungsfhigkeit zu erhhen, sollten Sie IPS-Angriffsmuster deaktivieren, die sich auf
Dienste oder Software beziehen, welche nicht in Ihremlokalen Netzwerk vorkommen. Wenn
sich in Ihremlokalen Netzwerk z.B. kein Webserver imEinsatz befindet, knnen Sie die Aus-
wahl HTTP-Server aufheben.
Fr jede Gruppe sind die folgenden Einstellungen verfgbar:
Aktion: Jede Regel einer Gruppe besitzt eine ihr zugewiesene Aktion. Sie knnen zwischen
den folgenden Aktionen whlen:
l Verwerfen: Standardeinstellung. Wenn ein vermeintlicher Angriff festgestellt wird, wer-
den die betroffenen Datenpakete verworfen.
l Warnen: ImGegensatz zu Verwerfen wird das kritische Datenpaket durch das Gateway
gelassen, aber es wird eine Warnmeldung in das IPS-Protokoll geschrieben.
Hinweis Umdie Einstellungen fr individuell erstellte IPS-Regeln zu ndern, verwenden
Sie das Feld Genderte Regeln auf der Registerkarte Intrusion Prevention >Erweitert. Eine
detaillierte Liste mit allen IPS-Regeln, die in Sophos UTM9 verwendet werden, finden Sie auf
der UTM-Website.
Alter von Regeln:Standardmig sind IPS-Patterns auf diejenigen der letzten 12Monate
beschrnkt. Sie knnen in Abhngigkeit von individuellen Faktoren wie demPatch-Stand ins-
gesamt, lteren Systemen oder anderen Sicherheitsanforderungen einen anderen Zeitraum
whlen. Wenn Sie einen krzeren Zeitraumwhlen, reduziert sich die Anzahl an Regeln und
die Leistung verbessert sich.
Extra-Warnungen hinzufgen: Wenn Sie diese Option whlen, werden jeder IPS-Regel
zustzliche Regeln hinzugefgt, die die IPS-Erkennungsrate erhhen. Beachten Sie dabei,
286 UTM9 WebAdmin
dass diese zustzlichen Regeln allgemeiner gefasst und vager sind als die expliziten IPS-
Angriffsmuster und dadurch sicherlich hufiger Alarme auslsen. Aus diesemGrund ist die vor-
eingestellte Aktion Warnen, welche nicht konfiguriert werden kann.
Benachrichtigen: Wenn Sie diese Option whlen, wird fr jedes IPS-Ereignis, das zu dieser
Gruppe gehrt, eine Meldung an den Administrator geschickt. Beachten Sie, dass die Nachricht
nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion imMen Verwaltung >Benach-
richtigungen >Benachrichtigungen eingeschaltet und entsprechend konfiguriert haben. Dar-
ber hinaus hngt es ebenfalls von den Einstellungen dort ab, ob es sich bei der Benach-
richtigung umeine E-Mail oder SNMP-Trap handelt. Dabei kann es bis zu fnf Minuten dauern,
bevor die nderungen an den Benachrichtigungseinstellungen wirksamwerden.
8.4.3 Anti-DoS/Flooding
Auf der Registerkarte Anti-DoS/Flooding knnen Sie die Konfiguration fr den Schutz vor Deni-
al-of-Service-Angriffen (DoS) und Distributed-Denial-of-Service-Angriffen (DDoS) vor-
nehmen.
Allgemein gesagt, zielen DoS- und DDoS-Angriffe darauf ab, ein Computersystemfr legitime
Zugriffe unerreichbar zu machen. Imeinfachsten Fall berflutet der Angreifer den Server mit
sinnlosen Paketen, umdiesen zu berlasten. Da fr diese Angriffe eine groe Bandbreite erfor-
derlich ist, verlegen sich immer mehr Angreifer auf sogenannte SYN-Flood-Attacken, die nicht
darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers zu
blockieren. Zu diesemZweck werden sogenannte SYN-Pakete mit einer oftmals geflschten
Quelladresse an den TCP-Port des Dienstes geschickt. Auf diese Weise wird der Server ver-
anlasst, die Verbindung zur Hlfte zu ffnen, indemer TCP/SYN-ACK-Pakete an die geflsch-
te Adresse zurcksendet und auf ein Antwort-TCP/ACK-Paket des Absenders wartet. Da die
Absenderadresse geflscht ist, wird dieses aber niemals kommen. Diese halboffenen Ver-
bindungen sttigen die Anzahl der verfgbaren Verbindungen, die der Server eingehen kann,
und hindern ihn daran, auf legitime Anfragen zu reagieren.
Solche Angriffe knnen abgewehrt werden, indemdie Menge der SYN- (TCP), UDP- und
ICMP-Pakete, die in das Netzwerk geschickt werden, ber eine bestimmte Zeit begrenzt wer-
den.
TCP-SYN-Flood-Schutz
Umden TCP-SYN-Flood-Schutz zu aktivieren, gehen Sie folgendermaen vor:
UTM9 WebAdmin 287
8 Network Protection 8.4 Intrusion Prevention
8.4 Intrusion Prevention 8 Network Protection
1. Whlen Sie auf der Registerkarte Anti-DoS/Flooding die Option TCP-SYN-
Flood-Schutz verwenden.
2. Nehmen Sie die folgenden Einstellungen vor:
Modus: Die folgenden Modi sind mglich:
l Quell- und Zieladressen: In diesemModus knnen TCP-SYN-Pakete sowohl
abhngig von Quell-IP-Adresse als auch von Ziel-IP-Adresse verworfen werden.
Zunchst werden die SYN-Pakete, deren Quell-IP-Adresse bereinstimmt, auf
die unten festgelegte Quellpaketrate begrenzt. Dann, wenn es immer noch zu vie-
le Anfragen sind, werden diese zustzlich anhand ihrer Ziel-IP-Adresse gefiltert
und auf die Zielpaketrate begrenzt. Dieser Modus ist voreingestellt.
l Nur Zieladresse: In diesemModus werden die SYN-Pakete nur abhngig von
der Ziel-IP-Adresse und der Zielpaketrate verworfen.
l Nur Quelladresse: In diesemModus werden die SYN-Pakete nur abhngig von
der Quell-IP-Adresse und der Quellpaketrate verworfen.
Protokollierung: Mit dieser Option knnen Sie den Protokollumfang einstellen. Die fol-
genden Protokollierungsstufen sind verfgbar:
l Aus: Whlen Sie diese Option, wenn nichts protokolliert werden soll.
l Begrenzt: Whlen Sie diese Option, umpro Sekunde maximal fnf Pakete zu pro-
tokollieren. Dieser Modus ist voreingestellt.
l Alles: Whlen Sie diese Option, umalle SYN-Verbindungsversuche (TCP) zu pro-
tokollieren. Beachten Sie, dass TCP-SYN-Flood-Angriffe schnell zu einer sehr
umfangreichen Protokollierung fhren knnen.
Quellpaketrate: Geben Sie in das Eingabefeld die maximale Anzahl der Datenpakete
pro Sekunde ein, die fr Quell-IP-Adressen erlaubt ist.
Zielpaketrate: Geben Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro
Sekunde ein, die fr Ziel-IP-Adressen erlaubt ist.
Hinweis Es ist wichtig, dass Sie in die Eingabefelder angemessene Werte eintragen.
Wenn Sie die Werte zu hoch definieren, kann es passieren, dass der Webserver den
Dienst versagt, weil er eine derart groe Menge an TCP-SYN-Paketen nicht bewl-
tigen kann. Wenn Sie andererseits die Rate zu gering definieren, kann es passieren,
dass das Gateway unvorhersehbar reagiert und regulre Anfragen blockiert. Es hngt
288 UTM9 WebAdmin
hauptschlich von Ihrer Hardware ab, welche Einstellungen fr Sie sinnvoll sind. Erset-
zen Sie daher die Standardeinstellungen durch fr Ihr Systemgeeignete Werte.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
UDP-Flood-Schutz
Der UDP-Flood-Schutz erkennt und blockiert UDP-Paketfluten.
Die Konfiguration des UDP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-
Schutzes.
ICMP-Flood-Schutz
Der ICMP-Flood-Schutz erkennt und blockiert ICMP-Paketfluten.
Die Konfiguration des ICMP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-Schut-
zes.
8.4.4 Anti-Portscan
Auf der Registerkarte Network Protection >Intrusion Prevention >Anti-Portscan werden die
Optionen fr die Portscan-Erkennung konfiguriert.
Portscans werden meist von Hackern durchgefhrt, umin gesicherten Netzwerken nach
erreichbaren Diensten zu suchen: Umin ein Systemeinzudringen bzw. eine Denial-of-Service-
Attacke (DoS) zu starten, bentigen Angreifer Informationen zu den Netzwerkdiensten. Wenn
solche Informationen vorliegen, sind Angreifer mglicherweise in der Lage, gezielt die Sicher-
heitslcken dieser Dienste auszunutzen. Netzwerkdienste, die die Internet-Protokolle TCPund
UDPverwenden, sind ber bestimmte Ports erreichbar und diese Port-Zuordnung ist imAll-
gemeinen bekannt, z.B. ist der Dienst SMTPin der Regel demTCP-Port 25zugeordnet. Die
von Diensten verwendeten Ports werden als offenbezeichnet, da es mglich ist, eine Ver-
bindung zu ihnen aufzubauen, wohingegen unbenutzte Ports als geschlossenbezeichnet wer-
den, da Versuche, eine Verbindung zu ihnen aufzubauen, scheitern. Damit Angreifer her-
ausfinden knnen, welche Ports offen sind, verwenden sie ein spezielles Software-Werkzeug,
den Portscanner. Dieses Programmversucht mit mehreren Ports auf demZielhost eine Ver-
bindung aufzubauen. Falls dies gelingt, zeigt es die entsprechenden Ports als offen an und die
Angreifer haben die ntigen Informationen darber, welche Netzwerkdienste auf demZielhost
verfgbar sind.
UTM9 WebAdmin 289
8 Network Protection 8.4 Intrusion Prevention
8.4 Intrusion Prevention 8 Network Protection
Da den Internetprotokollen TCPund UDPje 65535 Ports zur Verfgung stehen, werden die
Ports in sehr kurzen Zeitabstnden gescannt. Wenn nun von derselben Quell-IP-Adresse meh-
rere Versuche registriert werden, mit immer anderen Ports Ihres Systems Verbindung auf-
zunehmen bzw. Informationen an diese zu senden, dann handelt es sich mit ziemlicher Sicher-
heit umeinen Portscan. Wenn ein vermeintlicher Angreifer Hosts oder Dienste in Ihrem
Netzwerk scannt, wird dies von der Portscan-Erkennung entdeckt. Eine Mglichkeit dagegen
vorzugehen ist, weitere Portscans von derselben Quell-IP-Adresse automatisch zu blockieren.
Beachten Sie, dass die Portscan-Erkennung auf Internetschnittstellen beschrnkt ist, also
Schnittstellen mit Standardgateway.
Technisch gesehen liegt ein Portscan vor, wenn fr eine einzelne Quell-IP-Adresse innerhalb
von 300 ms eine Erkennungsrate (engl. Detection Score) von 21 Punkten erreicht wird. Diese
Erkennungsrate setzt sich folgendermaen zusammen:
l Scan eines TCP-Zielports unter 1024=3 Punkte
l Scan eines TCP-Zielports gleich oder grer als 1024=1 Punkt
Umdie Portscan-Erkennung zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Anti-Portscan die Portscan-Erkennung.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
Aktion: Die folgenden Aktionen sind mglich:
l Ereignis nur protokollieren: Es wird keine Manahme gegen den Portscanner
ergriffen. Das Ereignis wird nur protokolliert.
l Verkehr verwerfen: Weitere Pakete des Portscans werden verworfen. Der Ports-
canner wird diese Ports als gefiltertmelden.
l Verkehr ablehnen: Die Verbindungsanfragen des Angreifers werden zurck-
gewiesen und eine ICMP-Antwort destination unreachable/port unreachable
(Ziel/Port unerreichbar) wird an den Initiator geschickt. Der Portscanner wird die-
sen Port als geschlossenmelden.
Protokollierung begrenzen: Aktivieren Sie diese Option, umdie Menge der Pro-
tokollnachrichten zu begrenzen. Die Portscan-Erkennung kann whrend eines Ports-
cans viele Eintrge erzeugen. So wird z.B. jedes SYN-Paket, das als Teil eines Ports-
290 UTM9 WebAdmin
cans angesehen wird, imFirewallprotokoll festgehalten. Durch Aktivierung dieser Funk-
tion wird der Protokollumfang auf fnf Zeilen pro Sekunde reduziert.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
8.4.5 Ausnahmen
Auf der Registerkarte Network Protection >Intrusion Prevention >Ausnahmen knnen Sie
Quell- und Zielnetzwerke definieren, die vomAngriffschutzsystem(IPS) ausgenommen wer-
den.
Umeine Ausnahme zu definieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahmenliste erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Ausnahme ein.
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen, die nicht durch-
gefhrt werden sollen:
l Intrusion Prevention: Wenn Sie diese Option aktivieren, wird das IPSvon
Sophos UTMausgeschaltet.
l Portscan-Schutz: Wenn Sie diese Option aktivieren, verlieren Sie den Schutz
vor Portscans, die Ihr Systemnach offenen Ports absuchen.
l TCP-SYN-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der TCP-SYN-
Flood-Schutz ausgeschaltet.
l UDP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der UDP-Flood-
Schutz ausgeschaltet.
l ICMP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der ICMP-Flood-
Schutz ausgeschaltet.
Fr alle Anfragen: Whlen Sie mindestens eine Bedingung, fr die die Sicher-
heitsprfungen ausgesetzt werden sollen. Sie knnen mehrere Bedingungen logisch mit-
einander verknpfen, indemSie entweder Und oder Oder aus der Auswahlliste vor einer
Bedingung auswhlen. Die folgenden Bedingungen knnen gesetzt werden:
UTM9 WebAdmin 291
8 Network Protection 8.4 Intrusion Prevention
8.4 Intrusion Prevention 8 Network Protection
l Aus diesen Quellnetzwerken: Whlen Sie diese Option, umQuellhosts/-netz-
werke hinzuzufgen, die von Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke
in das Feld Netzwerke ein, das nach Auswahl der Bedingung geffnet wird.
l Diese Dienste verwendend: Whlen Sie diese Option, umDienste hin-
zuzufgen, die von Sicherheitsprfungen dieser Ausnahmeregel ausgenommen
werden sollen. Fgen Sie die entsprechenden Dienste zumFeld Dienste hinzu,
das nach Auswahl der Bedingung geffnet wird.
l Zu diesen Zielen gehend: Whlen Sie diese Option, umZielhosts/-netzwerke
hinzuzufgen, die von den Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke
in das Feld Ziele ein, das nach Auswahl der Bedingung geffnet wird.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
4. Aktivieren Sie die Ausnahme.
Die neue Ausnahme ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie
auf den Schieberegler umdie Ausnahme zu aktivieren.
Die Ausnahme ist jetzt aktiv (Schieberegler ist grn).
Umeine Ausnahme zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Hinweis Wenn Sie Intrusion Prevention fr Pakete mit der Zieladresse des Gateways aus-
schalten wollen, wird die Wahl Any imFeld Ziele nicht den gewnschten Effekt haben. Whlen
Sie stattdessen eine Schnittstellendefinition des Gateways, die die IP-Adresse des Gateways
enthlt, z.B. Internal (Address), wenn Sie Intrusion Prevention fr die interne Adresse des
Gateways ausschalten mchten.
292 UTM9 WebAdmin
8.4.6 Erweitert
Mustersatzopti mi erung
Dateibezogene Muster aktivieren: Muster gegen dateibasierte Angriffe sind stan-
dardmig deaktiviert, da der Schutz vor solchen Bedrohungen blicherweise von der Anti-
virus-Engine bernommen wird. Die Standardeinstellung (deaktiviert) maximiert die Leistung,
bei aktivierter Option wird die Erkennungsrate maximiert. Die Aktivierung dateibezogener Mus-
ter kann sinnvoll sein, wenn kein anderer Virenschutz verfgbar ist, da z.B. Web Protection aus-
geschaltet oder kein Client-Antiviren-Programminstalliert ist.
Manuelle Regelmodi fi zi erung
In diesemBereich knnen Sie IPS-Regeln manuell modifizieren. Dabei wird die Stan-
dardrichtlinie, die aus den Gruppen unter Angriffsmuster stammt, fr die jeweilige Regel ber-
schrieben. Solche nderungen sollten nur erfahrene Benutzer vornehmen.
Umeine modifizierte IPS-Regel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie imFeld Genderte Regeln auf das Plussymbol.
Das Dialogfenster Regel ndern wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Regel-ID: Geben Sie die IDder IPS-Regel ein, die Sie ndern wollen. Die Regel-IDs fin-
den Sie in der IPS-Regelliste auf der Sophos-Website. (In demOrdner finden Sie Datei-
en mit IPS-rules imDateinamen, verfgbar fr verschiedene UTM- und Mus-
terversionen, sowohl imHTML- als auch imXML-Format.) Die IDs knnen auerdem
auch mit Hilfe des IPS-Protokolls oder des IPS-Berichts identifiziert werden.
Diese Regel deaktivieren: Wenn Sie diese Option whlen, wird die IPS-Regel mit der
entsprechenden IDausgeschaltet.
Wenn Sie diese Option nicht auswhlen, stehen die folgenden zwei Optionen zur Ver-
fgung:
l Benachrichtigungen ausschalten: Wenn Sie diese Option whlen, werden kei-
ne Benachrichtigungen versendet, wenn diese Regel angewendet wird.
l Aktion: Hierbei handelt es sich umdie Aktionen, die ausgefhrt werden, wenn
eine Regel zutrifft. Sie knnen zwischen den folgenden Aktionen whlen:
l Verwerfen: Wenn ein vermeintlicher Angriff festgestellt wird, werden die
betroffenen Datenpakete verworfen.
UTM9 WebAdmin 293
8 Network Protection 8.4 Intrusion Prevention
8.5 Server-Lastverteilung 8 Network Protection
l Warnung: ImGegensatz zu Verwerfen wird das kritische Datenpaket
durch das Gateway gelassen, aber es wird eine Warnmeldung in das IPS-
Protokoll geschrieben.
3. Klicken Sie auf Speichern.
Die Regel wird imFeld Genderte Regeln angezeigt. Bitte beachten Sie, dass Sie auer-
demunten auf der Seite auf bernehmen klicken mssen, damit die nderungen wirk-
samwerden.
Hinweis Wenn Sie eine Regel-IDzumFeld Genderte Regeln hinzufgen und die Aktion
zumBeispiel auf Warnung setzen, wird die nderung nur dann wirksam, wenn die Gruppe, zu
der diese Regel gehrt, auf der Registerkarte Angriffsmuster aktiv ist. Sollte diese Angriffs-
mustergruppe deaktiviert sein, haben nderungen an einzelnen Regeln keine Auswirkung.
Lei stungsstei gerung
Umdie Leistung des Angriffsschutzsystems zu verbessern und die Anzahl falscher Alarme zu
minimieren, knnen Sie hier den Bereich der IPS-Regeln auf einzelne Ihrer internen Server
begrenzen. Beispiel: Auf der Registerkarte Angriffsmuster ist die Gruppe HTTP-Server ein-
geschaltet und hier ist ein bestimmter HTTP-Server eingestellt. Wenn nun das Angriffs-
schutzsystemeinen Angriff auf einen HTTP-Server feststellt, dann wird die eingestellte Aktion
(Verwerfen oder Warnung) nur ausgefhrt, wenn die IP-Adresse des betroffenen Servers mit
der IP-Adresse des hier eingestellten HTTP-Servers bereinstimmt.
Der Einsatzbereich der IPS-Regeln kann fr die folgenden Servertypen begrenzt werden:
l HTTP: Alle Untergruppen in der Angriffsmustergruppe HTTP-Server
l DNS: Die Angriffsmustergruppe DNS
l SMTP: Die Angriffsmustergruppen Exchange und Sendmail
l SQL: Alle Untergruppen in der Angriffsmustergruppe Database Servers
8.5 Server-Lastverteilung
Mit der Server-Lastverteilung-Funktion (server load balancing) knnen Sie eingehende Ver-
bindungen (z.B. SMTP- oder HTTP-Verkehr) auf verschiedene Server hinter demGateway
verteilen. Die Verteilung basiert auf der Quell-IP-Adresse mit einer Bindungsdauer von einer
Stunde. Falls das Intervall zwischen zwei Anfragen derselben Quell-IP-Adresse diesen Zeit-
294 UTM9 WebAdmin
raumberschreitet, wird die Verteilung neu ausgehandelt. Die Verteilung des Datenverkehrs
basiert auf einemeinfachen Round-Robin-Algorithmus.
Alle Server des Serverpools werden entweder durch ICMP-Ping, TCP-Verbindungsaufbau
oder HTTP/S-Anfragen berwacht. Bei einemAusfall wird der betroffene Server nicht weiter
verwendet, wobei jede eventuelle Quell-IP-Bindungsdauer aufgehoben wird.
Hinweis Der Rckgabewert einer HTTP/S-Anfrage muss entweder 1xx
Informational, 2xx Success, 3xx Redirectionoder 4xx Client Error sein. Alle
anderen Rckgabewerte werden als Fehler gewertet.
8.5.1 Verteilungsregeln
Auf der Registerkarte Network Protection >Server-Lastverteilung >Verteilungsregeln knnen
Sie Lastverteilungsregeln fr die Sophos UTM-Software festlegen. NachdemSie eine Regel
erstellt haben, knnen Sie zustzlich die Gewichtung der Lastverteilung zwischen den Servern
und die Schnittstellenbindung festlegen.
Umeine Lastverteilungsregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verteilungsregeln auf Neue Last-
verteilungsregel.
Das Dialogfeld Neue Lastverteilungsregel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Dienst: Whlen Sie den Netzwerkdienst aus, dessen Last Sie verteilen wollen.
Virtueller Server: Der ursprngliche Zielhost des eingehenden Datenverkehrs. bli-
cherweise entspricht die Adresse der externen Adresse des Gateways.
Echte Server: Die Hosts, die abwechselnd den Datenverkehr fr diesen Dienst akzep-
tieren.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Prfmethode: Whlen Sie entweder
l TCP(TCP-Verbindungsaufbau),
l UDP(UDP-Verbindungsaufbau),
UTM9 WebAdmin 295
8 Network Protection 8.5 Server-Lastverteilung
8.5 Server-Lastverteilung 8 Network Protection
l Ping (ICMP-Ping),
l HTTPHost (HTTP-Anfragen),
l oder HTTPSHosts (HTTPS-Anfragen).
Wenn Sie UDPverwenden, wird zunchst eine Ping-Anfrage versendet. Ist diese
erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist der Ping erfolglos oder der
ICMP-Port nicht erreichbar, gilt der Server als ausgefallen. Fr HTTP- und
HTTPS-Anfragen knnen Sie eine URL angeben, welche einen Hostnamen ent-
halten kann, aber nicht muss, z.B. index.htmloder
http://www.beispiel.de/index.html.
Intervall: Geben Sie einen Prfintervall in Sekunden ein. Das Standardintervall betrgt
15Sekunden, d.h. alle 15 Sekunden werden alle echten Server auf ihre Funk-
tionsfhigkeit berprft.
Zeitberschreitung:Geben Sie eine maximale Zeitspanne in Sekunden ein, in der ech-
te Server antworten mssen. Wenn ein Server in diesemZeitraumnicht antwortet, gilt er
als tot.
Automatische Firewallregeln (optional): Whlen Sie diese Option, umautomatisch
Firewallregeln anlegen zu lassen. Diese Regeln erlauben die Weiterleitung von Daten-
verkehr von beliebigen Hosts zu den echten Servern.
Virtuelle Serverddresse abschalten (optional): Sie knnen diese Option nur akti-
vieren, wenn Sie eine zustzliche Adresse als virtuellen Server fr Lastverteilung ver-
wenden (siehe Kapitel Schnittstellen >Zustzliche Adressen). Sollten alle echten Server
unerreichbar werden, schaltet sich diese zustzliche Adressenschnittstelle automatisch
ab.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Verteilungsregeln angezeigt.
4. Aktivieren Sie die Lastverteilungsregel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
296 UTM9 WebAdmin
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Angenommen, Sie besitzen in Ihrer DMZ zwei HTTP-Server mit den IP-Adressen
192.168.66.10und 192.168.66.20. Nun wollen Sie den HTTP-Verkehr, der auf der exter-
nen Schnittstelle des Gateways ankommt, gleichmig auf beide Server verteilen. Umeine
Lastverteilungsregel zu erstellen, whlen Sie eine Hostdefinition oder legen Sie eine Host-
definition fr jeden Server an. Sie knnten sie http_server_1 und http_server_2 nennen. Wh-
len Sie dann imDialogfeld Neue Lastverteilungsregel erstellenHTTPals Dienst aus. Whlen
Sie auerdemdie externe Adresse des Gateways als Virtuellen Server aus und fgen Sie
zuletzt die Hostdefinitionen zumFeld Echte Server hinzu.
Gewichtung der Lastverteilung und Schnittstellenbindung
Zur Gewichtung der Lastverteilungs-Server und/oder zur Einstellung ihrer Schnitt-
stellenbindung gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten einer Lastverteilungsregel.
Das Dialogfeld Lastverteilungsregel bearbeiten wird geffnet.
2. Klicken Sie auf die Planer-Schaltflche in der Kopfzeile des Feldes Echte Ser-
ver.
Das Dialogfenster Planer bearbeiten wird geffnet.
3. Nehmen Sie die folgenden Einstellungen vor:
Gewichtung: Fr die Gewichtung kann ein Wert zwischen 0 und 100 gewhlt werden.
Sie legen damit fest, wie viel Datenverkehr ein Server imVerhltnis zu allen anderen Ser-
vern verarbeitet. Hierfr wird ein gewichteter Round-Robin-Algorithmus verwendet, d.h.
ein hherer Wert bedeutet, dass mehr Datenverkehr an den jeweiligen Server geroutet
wird. Die Werte werden imVerhltnis zueinander bewertet, daher muss ihre Summe
nicht 100 ergeben. Stattdessen knnen Sie zumBeispiel eine Konfiguration vornehmen,
in der Server 1 den Wert 100, Server 2 den Wert 50 und Server 3 den Wert 0 hat. In die-
semFall verarbeitet Server 2 halb so viel Datenverkehr wie Server 1, whrend Server 3
nur beansprucht wird, wenn die anderen Server beide nicht verfgbar sind. Der Wert 0
bedeutet in diesemFall, dass, falls verfgbar, immer ein Server mit einemhheren Wert
ausgewhlt wird.
Bindung: Schnittstellenbindung (Interface Persistence) ist eine Methode, die sicher-
stellt, dass nachfolgende Verbindungen von einemClient immer ber dieselbe Uplink-
Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschrnkung von einer Stunde.
Sie knnen die Schnittstellenbindung fr diese Lastverteilungsregel auch deaktivieren.
UTM9 WebAdmin 297
8 Network Protection 8.5 Server-Lastverteilung
8.6 VoIP 8 Network Protection
4. Klicken Sie auf Speichern.
Das Dialogfenster Planer bearbeiten wird geschlossen und Ihre Einstellungen werden
gespeichert.
5. Klicken Sie auf Speichern.
Das Dialogfeld Lastverteilungsregel bearbeiten wird geschlossen.
8.6 VoIP
Voice over Internet Protocol (VoIP) ist der Sammelbegriff fr das Routing von gesprochenen
Konversationen ber das Internet oder jedes andere IP-basierte Netzwerk. Sophos UTMunter-
sttzt die amhufigsten eingesetzten Protokolle, umSprachsignale ber das IP-Netzwerk zu
transportieren:
l SIP
l H.323
8.6.1 SIP
Das Session Initiation Protocol (SIP, dt. Sitzungsinitialisierungsprotokoll) ist ein Signa-
lisierungsprotokoll zumAufbau, zur Modifikation und zumBeenden von Sitzungen zwischen
zwei oder mehreren Kommunikationspartnern. Das Protokoll wird hauptschlich zumAufbau
und zumBeenden von Audio- oder Videotelefonieverbindungen eingesetzt. UmSIPzu nutzen,
mssen Sie zuerst IhreIP-Adresse und URLs bei IhremISPregistrieren. SIPnutzt UDPoder
TCPauf Port 5060, umauszuhandeln, welche IP-Adressenund Portnummern fr den Aus-
tausch von Mediadaten (Video oder Sprache)zwischen den Endpoints verwendet werden sol-
len. Da durch das ffnen des gesamten Port-Bereichs eine Sicherheitslcke entstehen wrde,
ist das Gateway in der Lage, den SIP-Datenverkehr intelligentzu steuern. Dies wird durch
einen speziellen Helfer fr die Verbindungsverfolgung (engl. Connection Tracking Helper)
erreicht, welcher durch berwachung des Steuerkanals feststellt, welche dynamischen Ports
fr die Verbindung genutzt werden, und daraufhin nur diese Ports fr den Datenverkehr
zulsst, wenn der Steuerkanal beschftigt ist. Zu diesemZweck mssen Sie sowohl einen SIP-
Serverals auch ein SIP-Clientnetzwerk angeben, umdie entsprechenden Firewallregeln anzu-
legen, die die Kommunikation ber das SIP-Protokoll ermglichen.
Umdie Untersttzung fr das SIP-Protokoll zu aktivieren, gehen Sie folgendermaen vor:
298 UTM9 WebAdmin
1. Aktivieren Sie die SIP-Protokoll-Untersttzung auf der Registerkarte SIP.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Allgemeine SIP-Einstellungen kann nun
bearbeitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
SIP-Servernetzwerke: Hier knnen Sie die SIP-Server (die von IhremISPbereitgestellt
werden) hinzufgen oder auswhlen, mit denen sich die SIP-Clients verbinden drfen
sollen. Whlen Sie aus Sicherheitsgrnden nicht Any aus.Das Hinzufgen einer Defi-
nition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
SIP-Clientnetzwerke: Whlen Sie die Hosts oder Netzwerke der SIP-Clients aus,
denen gestattet ist, eine SIP-Kommunikation zu beginnen oder anzunehmen, bzw.
fgen Sie sie hinzu. Ein SIP-Client ist ein Endpunkt imLAN, der an einer Zweiwege-Kom-
munikation in Echtzeit mit einemanderen SIP-Client teilnimmt.Das Hinzufgen einer Defi-
nition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
Erwartungsmodus: Whlen Sie aus, wie streng der Verbindungsaufbau gehandhabt
werden soll:
l Strikt: Eingehende Anrufe sind nur vomRegistrar des ISPs erlaubt, d. h. von
derIP-Adresse, an die die Nachricht REGISTERSIP gesendet wurde. Auer-
demakzeptiert UTMnur Mediadatensitzungen (Sprache oder Video) von signa-
lisierenden Endpoints, d.h. von den Gerten, die die SIP-Nachrichtausgetauscht
haben. Manche Provider senden Mediadaten von einer anderenIP-Adresse als
dieSIP-Nachricht, was von UTMabgelehnt wird.
l Client-/Servernetzwerke: Eingehende Anrufe sind von allen Clients der defi-
nierten SIP-Server- undSIP-Client-Netzwerke erlaubt. Mediadaten werden auch
von einer anderenIP-Adresse akzeptiert als der, die dieSIP-Nachricht geschickt
hat, vorausgesetzt sie gehrt zu einemder definiertenSIP-Server- oder SIP-Cli-
ent-Netzwerke.
l Beliebig: Sowohl eingehende Anrufe als auch Mediadaten sind von berall
erlaubt.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.
UTM9 WebAdmin 299
8 Network Protection 8.6 VoIP
8.6 VoIP 8 Network Protection
8.6.2 H.323
Das Protokoll H.323 ist ein internationaler Multimedia-Kommunikationsstandard, der von der
Internationalen Fernmeldeunion (engl. International Telecommunication Union, ITU-T) ver-
ffentlicht wurde. Es legt die Protokolle fest, mit denen audiovisuelle Kommunikationssitzungen
auf jedemNetzwerk, das Pakete bermittelt, ermglicht werden. H.323 wird blicherweise fr
Voice over IP(VoIP) und IP-basierte Videokonferenzen genutzt.
H.323 nutzt standardmig TCPauf Port 1720, umwhrend des Telefonverbindungsaufbaus
den dynamischen Port-Bereich zwischen den beiden Endpoints auszuhandeln. Da durch das
ffnen des gesamten Port-Bereichs eine Sicherheitslcke entstehen wrde, ist das Gateway in
der Lage, den H.323-Datenverkehr intelligentzu steuern. Dies wird durch einen speziellen
Helfer fr die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher
durch berwachung des Steuerkanals feststellt, welche dynamischen Ports fr die Verbindung
genutzt werden, und daraufhin nur diese Ports fr den Datenverkehr zulsst, wenn der Steu-
erkanal beschftigt ist. Zu diesemZweck mssen Sie sowohl einen H.323-Gatekeeper als auch
eine Client-Netzwerkdefinition angeben, umdie entsprechenden Firewallregeln anzulegen, die
die Kommunikation ber das H.323-Protokoll ermglichen.
Umdie Untersttzung fr das H.323-Protokoll zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die H.323-Protokoll-Untersttzung auf der Registerkarte H.323.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Allgemeine H.323-Einstellungen kann
nun bearbeitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
H.323-Gatekeeper: Whlen Sie einen H.323-Gatekeeper aus. Ein H.323-Gatekeeper
kontrolliert alle H.323-Clients (Endpoints wie z.B. Microsoft NetMeeting) in seiner Zone.
Genauer gesagt agiert er als berwachungsinstanz aller H.323-Anrufe innerhalb seiner
Zone imLAN. Seine wichtigste Aufgabe besteht darin, zwischen den symbolischen Alias-
Adressen und IP-Adressen zu bersetzen.Das Hinzufgen einer Definition wird auf der
Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
H.323-Client: Hier knnen Sie den Host oder das Netzwerk hinzufgen oder aus-
whlen, zu demund von demaus H.323-Verbindungen aufgebaut werden. Ein H.323-
Client ist ein Endpunkt imLAN, der an einer Zweiwege-Kommunikation in Echtzeit mit
300 UTM9 WebAdmin
einemanderen H.323-Client teilnimmt.Das Hinzufgen einer Definition wird auf der Sei-
te Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.
8.7 Erweitert
ImMen Network Protection >Erweitert knnen Sie zustzliche Funktionen fr die Netz-
werksicherheit konfigurieren: einen generischen Proxy, einen SOCKS-Proxy und einen
IDENT-Reverse-Proxy.
8.7.1 Generischer Proxy
Der generische Proxy, auch bekannt als Port Forwarder, ist eine Kombination von DNAT und
Maskierung (engl. masquerading) und leitet allen eingehenden Datenverkehr fr einen
bestimmten Dienst weiter zu einembeliebigen Server. Der Unterschied zumnormalen DNAT
ist jedoch, dass der generische Proxy auch die Quelladresse eines Anfragepakets mit der IP-
Adresse der Schnittstelle fr ausgehenden Datenverkehr ersetzt. Zustzlich kann noch der
Ziel-Port umgeschrieben werden.
Umeine Regel fr den generischen Proxy anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Generischer Proxy auf Neue Generischer-
Proxy-Regel.
Das Dialogfeld Neue Generischer-Proxy-Regel erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Whlen Sie die Schnittstelle fr den eingehenden Datenverkehr aus.
Dienst: Fgen Sie die Dienstdefinition fr den Verkehr hinzu, der weitergeleitet werden
soll, oder whlen Sie sie aus.
Host: Fgen Sie den Zielhost hinzu, zu demder Datenverkehr weitergeleitet werden
soll, oder whlen Sie ihn aus.
Dienst: Fgen Sie den Zieldienst fr den Verkehr hinzu, der weitergeleitet werden soll,
oder whlen Sie ihn aus.
UTM9 WebAdmin 301
8 Network Protection 8.7 Erweitert
8.7 Erweitert 8 Network Protection
Zugelassene Netzwerke: Fgen Sie die Netzwerke hinzu, zu denen die Weiterleitung
erfolgen soll, oder whlen Sie sie aus.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Generischer Proxy angezeigt.
4. Aktivieren Sie die Generischer-Proxy-Regel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
8.7.2 SOCKS-Proxy
SOCKSist ein universelles Internet-Protokoll, durch das Client-Server-Anwendungen trans-
parent die Dienste der Netzwerk-Firewall nutzen knnen. Der Proxy wird von vielen Client-
Anwendungen hinter einer Firewall genutzt, ummit Hosts imInternet zu kommunizieren. Einige
Beispiele dafr sind IRC-/Instant-Messaging-Clients, FTP-Clients und Windows SSH-/Telnet-
Clients. Clients hinter einer Firewall, die auf einen externen Server zugreifen wollen, verbinden
sich stattdessen mit einemSOCKS-Proxy-Server. Dieser Proxy-Server berprft dann die
Berechtigung des Clients, eine Verbindung zu demexternen Server aufzubauen, und leitet die
Anfrage zu demServer weiter. Ihre Client-Anwendung muss explizit die Protokollversion
SOCKS4 oder SOCKS5 untersttzen.
Der Standardport von SOCKSist 1080. Fast alle Clients verfgen ber die Implementierung
dieses Standardports, deshalb muss er normalerweise nicht konfiguriert werden. Die Unter-
schiede zwischen SOCKSund NAT sind, dass SOCKSauch bind-Anfragen erlaubt (imAuf-
trag des Clients auf einemPort lauschen eine Funktion, die nur sehr wenige Clients unter-
sttzen) und dass SOCKS5 Benutzerauthentifizierung zulsst.
302 UTM9 WebAdmin
Wenn der SOCKS-Proxy eingeschaltet wird, muss mindestens ein Netzwerk ausgewhlt wer-
den, das Zugang zumProxy hat. Fr eine Benutzerauthentifizierung knnen auch die ent-
sprechenden Benutzer oder Gruppen ausgewhlt werden.
Hinweis Ohne Benutzerauthentifizierung kann der SOCKS-Proxy sowohl mit dem
SOCKS-4- als auch mit demSOCKS-5-Protokoll genutzt werden. Fr Benut-
zerauthentifizierung wird das Protokoll SOCKS5 bentigt. Damit der Proxy imSOCKS-5-
Modus Hostnamen auflst, mssen Sie auch den DNS-Proxy einschalten. Andernfalls schlgt
die DNS-Auflsung fehl.
Umden SOCKS-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den SOCKS-Proxy auf der Registerkarte SOCKS-Proxy.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich SOCKS-Proxy-Optionen kann nun bear-
beitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
Zugelassene Netzwerke: Fgen Sie die Netzwerke hinzu, die den SOCKS-Proxy ver-
wenden drfen, oder whlen Sie sie aus.Das Hinzufgen einer Definition wird auf der
Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Benutzerauthentifizierung aktivieren: Wenn Sie diese Option whlen, mssen
Benutzer einen Benutzernamen und ein Kennwort angeben, umsich amSOCKS-Proxy
anmelden zu knnen. Da Benutzerauthentifizierung nur vomProtokoll SOCKS5 unter-
sttzt wird, wird SOCKS4 automatisch ausgeschaltet.
Zugelassene Benutzer: Whlen Sie die Benutzer oder Gruppen aus, die Zugriff auf
den SOCKS-Proxy haben sollen, oder fgen Sie die neuen Benutzer hinzu.Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &Grup-
pen >Benutzer erlutert.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
8.7.3 IDENT-Reverse-Proxy
Das IDENT-Protokoll wird von einigen Remote-Servern zur einfachen Identittsprfung der
auf sie zugreifenden Clients verwendet. Obwohl dieses IDENT-Protokoll unverschlsselt ist
UTM9 WebAdmin 303
8 Network Protection 8.7 Erweitert
8.7 Erweitert 8 Network Protection
und leicht manipuliert werden kann, verwenden es noch viele Dienste und setzen es manchmal
sogar voraus.
Umden IDENT-Reverse-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die IDENT-Weiterleitung auf der Registerkarte IDENT-Reverse-
Proxy.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
2. Nehmen Sie die folgenden Einstellungen vor:
An interne Hosts weiterleiten (optional): Da IDENT-Anfragen von der Ver-
bindungsverfolgung des Gateways nicht verarbeitet werden, bleiben sie stecken, wenn
Maskierung (engl. masquerading) verwendet wird. Whlen Sie die Option An interne
Hosts weiterleiten aus, umIDENT-Anfragen an maskierte Hosts hinter demGateway
weiterzuleiten. Beachten Sie dabei, dass die aktuelle IP-Verbindung nicht bergeben
wird. Stattdessen wird das Gateway beiminternen Client nach einer IDENT-Antwort fra-
gen und diese Zeichenfolge an den anfragenden Server weiterleiten. Dieses Vorgehen
wird von den meisten Mini-IDENT-Servern untersttzt, die meist Bestandteil der heute
gngigen IRC- und FTP-Clients sind.
Standardantwort: Das Gateway bietet Untersttzung fr die Beantwortung von
IDENT-Anfragen, wenn Sie die IDENT-Weiterleitung aktivieren. Das Systemwird dann
immer mit der Zeichenfolge antworten, die Sie imFeld Standardantwort eingegeben
haben, ungeachtet des lokalen Dienstes, der die Verbindung initiiert hat.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
304 UTM9 WebAdmin
9 Web Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Web-Protection-Funktionen
von Sophos UTMkonfigurieren.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Webfilter
l Webfilter-Profile
l Filteroptionen
l Richtlinientest
l Application Control
l FTP
Die Seite Web-Protection-Statistik imWebAdmin enthlt eine bersicht mit den ammeisten
genutzten Anwendungen und Anwendungskategorien, den meistaufgerufenen Domnen hin-
sichtlich Zeit und Verkehr sowie den Top-Internet-Nutzern. Des Weiteren werden die meist-
blockierten Kategorien fr die Websites angezeigt. In jedemAbschnitt befindet sich ein Link auf
die Details. Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des
WebAdmin weiter, wo Sie weitere statistische Informationen finden knnen.
Hinweis Detaillierte Informationen ber die Erfassung der Internetnutzungsdaten und die
Berechnung der Statistiken finden Sie auf der Seite Protokolle &Berichte >Web Protection >
Internetnutzung.
Wenn Sie imBereich Hufigste Anwendungen mit demMauszeiger ber eine Anwendung fah-
ren, werden ein oder zwei Symbole mit zustzlichen Funktionen angezeigt:
l Klicken Sie auf das Symbol Blockieren, umdie Anwendung ab diesemMoment zu blo-
ckieren. Auf der Seite Application-Control-Regeln wird dann eine Regel erstellt. Diese
Option ist nicht fr Anwendungen verfgbar, die fr einen reibungslosen Betrieb von
Sophos UTMrelevant sind. So kann beispielsweise WebAdmin-Datenverkehr nicht blo-
ckiert werden, da dies dazu fhren knnte, dass Sie nicht mehr auf den WebAdmin
zugreifen knnen. Auch nicht klassifizierter Datenverkehr kann nicht blockiert werden.
l Klicken Sie auf das Symbol Regeln, umTraffic Shaping fr die entsprechende Anwen-
dung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Regeleinstellungen
9.1 Webfilter 9 Web Protection
vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind. Dies erstellt jeweils
eine Regel auf den Seiten Verkehrskennzeichner und Bandbreiten-Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnitt-
stellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.
l Klicken Sie auf das Symbol Throttle umDownload-Drosselung fr die entsprechende
Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Rege-
leinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind. Hier-
mit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner und Download-
Drosselung hinzugefgt. Download-Drosselung ist nicht verfgbar, wenn Sie eine Flow-
Monitor-Ansicht mit allen Schnittstellen ausgewhlt haben, da Download-Drosselung
schnittstellenbasiert funktioniert.
9.1 Webfilter
Mit den Registerkarten des Mens Web Protection >Webfilter knnen Sie Sophos UTM-Soft-
ware als HTTP/S-Caching-Proxy konfigurieren. Das beinhaltet Antivirus-Scanning imein-
gehende und ausgehende Netzverkehr, der Schutz gegen Spyware und das Erkennung bs-
williger Websites. Es kann auch den Zugang zu den Webseiten der verschiedenen Kategorien
kontrollieren, so dass ein Administrator die Richtlinien in Bezug auf Zugang zu den Dingen, wie
Glcksspiel, Pornografie, oder Shopping, einschlielich der Sperrung dieser Seiten oder die
Bereitstellung eines wegklickbaren Warnseite durchzusetzen kann.
In Verbindung mit der Sophos-Endpoint-Software kann Sophos UTMdieselben Web-Richt-
linien auf Endpoint-Gerten in externen Netzwerken erzwingen und berwachen. Benutzer
knnen einen Laptop mit nach Hause oder umdie ganze Welt nehmen und es gelten die glei-
chen Bedingungen. Wie Sie Endpoint Web Control aktivieren, erfahren Sie unter Endpoint Pro-
tection >Web Control.
Sie knnen Ihre Filteraktionen auch auf der Registerkarte Webfilterprofile >Filteraktionen ver-
walten. Dort knnen Sie Filteraktionen hinzufgen, bearbeiten, klonen oder lschen. Jetzt aber
knnen Sie zudemden Assistenten Filteraktion hinzufgen/bearbeiten auf der Registerkarte
Webfilter >Richtlinien zumErstellen, Bearbeiten und Zuweisen von Filteraktionen verwenden.
9.1.1 Webfilter-nderungen
Ab Version 9.2 umfasst Sophos UTMeine neue, vereinfachte Benutzeroberflche zumErstel-
len und Verwalten von Webfilterrichtlinien. Die Benutzeroberflche hat sich zwar sehr gen-
dert, die Funktionalitt blieb jedoch unverndert. Alle Ihrer vorhandenen Einstellungen wurden
306 UTM9 WebAdmin
beibehalten und wenn Sie keine nderungen vornehmen, verhlt sich das Systemgenau
gleich.
Bisher mussten fr komplexe Webrichtlinien Webfilter-Profile angelegt werden. Diese bestan-
den aus Filteraktionen, die auf der Registerkarte Filteraktionen angelegt wurden und dann
ber Filterzuweisungen auf der Registerkarte Filterzuweisungen Benutzern und Gruppen
zugewiesen wurden. Auf der Registerkarte Proxy-Profile wurden sie konfiguriert. Ab sofort kn-
nen Sie alle Aspekte Ihrer Webfilter-Richtlinien, einschlielich der Standardkonfiguration und
erweiterter Filterprofile, auf der Registerkarte Webfilter >Richtlinien konfigurieren.
Hinweis Nehmen Sie sich Zeit, umsich mit der neuen Benutzeroberflche vertraut zu
machen, und lesen Sie die folgende bersicht. Auch wenn sich die aktuelle Version damit von
lteren Versionen unterscheidet, sollte die Erstellung und Verwaltung komplexer Webricht-
linien nun sehr viel einfacher sein.
9.1.1.1 Wichtige Unterschiede
l Viele Registerkarten, die frher unter Web Protection >Webfilter zu finden waren, sind
jetzt unter Web Protection >Filteroptionen verfgbar.
l Die neue UTM-Benutzeroberflche beschreibt Webfilter-Regeln mittels Richtlinien. Eine
Richtlinie ist das, was in vorherigen Versionen eine zugewiesene Filteraktion war.
l In Version 9.1 und lteren Versionen hatte das Standardprofil nur eine einzige Fil-
terzuweisung (die Standardzuweisung genannt wurde). Ab Version 9.2 kann das Stan-
dardprofil mehrere Richtlinien umfassen.
l Die Ersatzaktion aus frheren Versionen wird jetzt als Basisrichtlinie bezeichnet. Ihre
Funktion bleibt unverndert. Die Basisrichtlinie enthlt die Filteraktion, die verwendet
wird, wenn keine anderen Richtlinien zutreffen.
l Das Anlegen von Filteraktionen erfolgt nun ber ein Dialogfeld mit mehreren Regis-
terkarten den Filteraktionsassistenten.
l Proxy-Profile heien jetzt Filterprofile und knnen ber die Registerkarte Webfilter-Pro-
file >Filterprofile verwaltet werden. Die einemFilterprofil zugeordneten Richtlinien wer-
den auf der Registerkarte Richtlinien in den Dialogfeldern Profil bearbeiten und Profil hin-
zufgen angezeigt.
l In 9.1 und frheren Versionen konnte eine einzelne Filterzuweisung in mehreren Proxy-
Profilen verwendet werden. Ab Version 9.2 gehrt eine Richtlinie zu einemeinzigen
Filterprofil.
UTM9 WebAdmin 307
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
9.1.1.2 Hufige Aufgaben
Es folgt ein kurzer berblick ber hufige Aufgaben und ihre Durchfhrung in 9.2 und spteren
Versionen imVergleich zur Benutzeroberflche von Version 9.1.
Wie... 9.1 9.2
... bearbeite ich die
Standardrichtlinie?
Konfigurieren Sie die ver-
schiedenen Registerkarten
unter Webfilter:
l Webfilter >Anti-
virus/Schadsoftware
l Webfilter >URL-Fil-
terung
l Webfilter >Erweitert
Webfilter >Richtlinien
... erstelle oder
bearbeite ich ein
Proxy-Profil?
Webfilter-Profile >Proxy-Pro-
file
Webfilter >Webfilter-Profile
...weise ich einem
Proxy-Profil eine
Filterzuweisung
zu?
1. Legen Sie unter Web-
filter-Profile >Fil-
teraktionen eine
Filteraktion an
2. Erstellen Sie unter Web-
filter-Profile >Fil-
terzuweisungen eine
Filterzuweisung
3. Bearbeiten oder ergn-
zen Sie unter Webfilter-
Profile >Proxy-Profile
1. Klicken Sie unter Web-
filterprofile >Filterprofile auf
ein Filterprofil oder erstellen
Sie ein Filterprofil indemSie
auf das grne Plussymbol kli-
cken.
2. Klicken Sie in der Regis-
terkarte Richtlinien auf das gr-
ne Plussymbol umeine
Richtlinie hinzuzufgen.
3. Whlen Sie eine Filteraktion
oder klicken Sie auf das grne
Plussymbol umeine zu erstel-
len.
308 UTM9 WebAdmin
...fgen ich eine
Website auf eine
Blacklist in meine
Standard-Fil-
teraktion ein?
Webfilterprofile >Fil-
teraktionen
Klicken Sie auf der Registerkarte
Webfilter >Richtlinien zumBear-
beiten oder Hinzufgen einer Richt-
linie auf das grne Plussymbol neben
Filteraktion.
... erstelle ich eine
neue Filteraktion
fr meine Fil-
terzuweisung?
Web Filtering >URL Filtering
und auf das grne Plussymbol
neben Zustzliche URLs/Sites
zu blockieren klicken.
1. Webfilter >Richtlinien
2. Whlen Sie die Standard-Fil-
teraktion
3. Auf der Registerkarte Web-
sites, klicken Sie auf das grne
Plussymbol neben Diese Web-
seiten blockieren
... passe ich erwei-
terte Einstellungen
an?
Webfilter >Erweitert Filteroptionen >Sonstiges
... verwalte ich
HTTPSCAs?
Webfilter >HTTPSCAs Filteroptionen >HTTPSCAs
9.1.1.3 Migration
Bei der Aktualisierung auf Version 9.2 bleiben Ihre bestehenden Konfigurationen und Ein-
stellungen erhalten und Ihr Systemwird sich wie zuvor verhalten. Da sich jedoch die Benut-
zeroberflche deutlich verndert hat, befinden sich einige Funktionen nicht mehr amgewohn-
ten Ort. Das Men Webfilter beinhaltet alle Einstellungen die Sie bentigen, umeine
Zusammenstellung von Richtlinen und Aktionen erlaubten Netzwerken zuzuweisen. Das Men
Webfilterprofile enthlt alle zugehrigen Einstellungen und erlaubt es Ihnen, vielfltige Profile
anzulegen, umdamit verschiedenen Netzwerken unterschiedliche Einstellungen zuzuweisen.
Alle allgemeinen Einstellungen finden Sie nun in den Registerkarten des Mens Filteroptionen.
Einige Objekte wurden umbenannt. ZumBeispiel heit Proxy-Profile nun Filterprofile und Fil-
terzuweisungen heien nun Richtlinien. Die Rckfallaktion heit nun Basisrichtlinie, da sie die
Richtlinie/Aktion ist, die eintritt, wenn keine andere Richtlinie angewendet werden kann. Die
Zugehrigkeiten sind nun sehr viel klarer, seitdemdie Richtlinien in einer Registerkarte der Pro-
file gelistet sind. Die Filteraktion kann mit Hilfe eines Pop-up-Dialogs hinzugefgt oder gendert
werden. Der Dialog enthlt alle Konfigurationsmglichkeiten einer Aktion.
Eine der Einschrnkungen von 9.1 ist, dass man demStandardprofil nur eine Benutzergruppe
zuweisen kann. Dies wurde zu der sogenannten Standard-Webfilterprofil-Richtlinie
UTM9 WebAdmin 309
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
zusammengefasst und mit der sogenannten Standard-Filteraktion migriert. Wenn Sie andere
Filterzuweisungen erstellt hatten, erscheinen diese nun als deaktivierte Richtlinien in demProfil.
Wenn Sie in 9.1 Profile erstellt haben, ummehrfache Zuweisungen zu machen, knnen Sie die
Konfiguration nun vereinfachen, indemSie diese Richtlinien imStandardprofil der ersten Men-
option aktivieren. Stellen Sie zunchst sicher, dass die Einstellungen unter zugelassene Netz-
werke korrekt sind. Lschen Sie dann die nun nicht mehr ntigen zustzlichen Profile.
9.1.2 Allgemein
Auf der Registerkarte Web Protection >Webfilter >Allgemein knnen Sie die Grund-
einstellungen fr den Webfilter vornehmen.
Umden Webfilter zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den Webfilter auf der Registerkarte Allgemein.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und der Bereich Primres Webfilterprofil kann nun bear-
beitet werden.
2. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus, die den Webfilter verwenden drfen. Der Webfilter war-
tet standardmig auf Anfragen an TCP-Port 8080und lsst jeden Client zu, der sich in
einemNetzwerk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist.
Warnung Whlen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre
Appliance einemhohen Risiko fr Angriffe aus demInternet aussetzen wrden.
3. HTTPS-Verkehr (SSL):
UmSSL-Verkehr zu scannen whlen Sie aus den folgenden Optionen aus:
l Nicht scannen: Diese Option ist nur imTransparenzmodus verfgbar Wenn die-
se Option ausgewhlt ist geht kein HTTPS-Verkehr durch den Proxy und wird
nicht gescannt.
l Nur URL-Filterung: Prfungen werden basierend auf der URL durchgefhrt,
der tatschliche HTTPS-Datenverkehr wird jedoch nicht gescannt.
l Entschlsseln und scannen: Der Inhalt des HTTPS-Verkehrs wird vollstndig
entschlsselt und gescannt.
310 UTM9 WebAdmin
4. Whlen Sie einen Betriebsmodus aus.
Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung whlen, sollten Sie auch die
Benutzer und Gruppen angeben, die auf den Webfilter zugreifen drfen. Die folgenden
Betriebsmodi sind mglich:
l Standardmodus : ImStandardmodus wartet der Webfilter standardmig auf
Client-Anfragen auf Port 8080 und lsst jeden Client zu, der sich in einemNetz-
werk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist. In diesem
Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-
Proxy angegeben sein.
Whlen Sie die Standard-Authentifizierungsmethode aus.
l Keine: Whlen Sie diese Option, wenn keine Authentifizierung verwendet
werden soll.
l Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell
auf demComputer angemeldet ist als Benutzer des Proxies zu authen-
tifizieren (Single-Sign-On). If the currently logged in user is a valid ADuser
with permission to use the proxy, the authentication should occur with no
user interaction. Whlen Sie diese Option, wenn Sie Active Directory Single
Sign-On (SSO) auf der Registerkarte Definitionen &Benutzer >Authen-
tifizierungsdienste >Server konfiguriert haben. Clients knnen mit NTLM
oder Kerberos authentifiziert werden.
l Agent:Whlen Sie diese Option, umden Sophos Authentication Agent
(SAA) zu verwenden. Umden Webfilter verwenden zu knnen, mssen
Benutzer zunchst den Agent ausfhren und sich authentifizieren. The
agent can be downloaded fromthe User Portal. Siehe: Benutzerportall.
l Apple OpenDirectory SSO: Whlen Sie diese Option, wenn Sie LDAP
auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit
der Proxy richtig funktioniert, mssen Sie zustzlich eine MACOSXSingle
Sign-On Kerberos-Schlsseldatei auf der Registerkarte Web Protection >
Filteroptionen >Sonstiges hochladen. In diesemModus muss der Webfilter
in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben
sein. Beachten Sie, dass der Safari-Browser SSOnicht untersttzt.
l Einfache Benutzerauthentifizierung: In diesemModus muss sich jeder
Client gegenber demProxy authentifizieren, bevor er ihn verwendet. Wei-
tere Informationen zu den untersttzten Authentifizierungsmethoden fin-
den Sie unter Definitionen &Benutzer >Authentifizierungsdienste. In
UTM9 WebAdmin 311
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
diesemModus muss der Webfilter in der Browser-Konfiguration jedes Cli-
ents als HTTP-Proxy angegeben sein.
l Browser: Wenn Sie diese Funktion whlen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, ber das sie sich beim
Webfilter authentifizieren knnen. Dieser Modus ermglicht die Benut-
zernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Sur-
fen ohne Client-seitige Browserkonfiguration. Darber hinaus knnen Sie
Nutzungsbedingungen einrichten, die dann zustzlich auf der Anmeldeseite
angezeigt werden und von den Benutzern akzeptiert werden mssen,
bevor sie fortfahren knnen. Weitere Informationen zu Nut-
zungsbedingungen finden Sie imKapitel Verwaltung >Anpassungen >
Web-Meldungen.
l eDirectory SSO: Whlen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server
konfiguriert haben.
Hinweis Fr eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter
die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fnfzehn
Minuten; fr Apple OpenDirectory und Active Directory SSOspeichert nur die
Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den
Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fnfzehn Minu-
ten dauern kann, bis nderungen an Benutzern, Gruppen oder demAnmel-
destatus der zugreifenden Benutzer vomWebfilter bercksichtigt werden.
Wenn Sie einen Authentifizierungsmodus verwenden, der Benut-
zerauthentifizierung erfordert, whlen Sie Zugriff bei fehlgeschlagener Authen-
tifizierung blockieren aus, umden Benutzern mit fehlgeschlagener Authen-
tifizierung den Zugriff zu verweigern.
l Transparenzmodus: ImTransparenzmodus werden alle Verbindungen von Cli-
ent-Browseranwendungen auf Port 80(bzw. Port 443, wenn SSL aktiviert ist)
abgefangen und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet.
Der Client merkt dabei vomWebfilter nichts. Der Vorteil dieses Modus ist, dass kei-
ne zustzliche Verwaltung oder Client-seitige Konfiguration ntig ist; der Nachteil
ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden knnen. Deshalb wer-
den die Proxy-Einstellungen imClient-Browser unwirksam, wenn Sie den Trans-
parenzmodus whlen.
312 UTM9 WebAdmin
Hinweis ImTransparenzmodus entfernt der Webfilter NTLM-Authen-
tifizierungsheader von HTTP-Anfragen. Darber hinaus kann der Webfilter kei-
ne FTP-Anfragen in diesemModus verarbeiten. Wenn Ihre Clients auf solche
Dienste zugreifen wollen, mssen Sie den Port (21) in der Firewall ffnen.
Beachten Sie auch, dass manche Webserver einige Daten ber einen anderen
Port als Port 80 bermitteln, insbesondere Streaming-Video- und -Audiodaten.
Diese Anfragen werden nicht beachtet, wenn der Webfilter imTrans-
parenzmodus arbeitet. Umsolchen Verkehr zu untersttzen, mssen Sie ent-
weder einen anderen Modus whlen oder eine explizite Firewallregel anlegen,
die diesen Verkehr erlaubt.
l Keine: Whlen Sie diese Option, wenn keine Authentifizierung verwendet
werden soll.
l Active Directory SSO: This mode will attempt to authenticate the user
that is currently logged into the computer as the user of the proxy (single
sign on). If the currently logged in user is a valid ADuser with permission to
use the proxy, the authentication should occur with no user interaction. Wh-
len Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf
der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben. Clients knnen mit NTLMauthentifiziert werden
(bei Mac mit Kerberos).
Hinweis Wenn Sie eine Active-Directory-Benutzergruppe anlegen,
empfehlen wir dringend, imFeld Active-Directory-Gruppen die Namen
der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben,
statt die LDAP-Stringszu verwenden. Beispiel: Statt eines LDAP-Strings
CN=ads_group1,CN=Users,DC=example,DC=comgeben Sie einfach
den Namen ads_group1ein.
Hinweis Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-
Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benut-
zereintrge.
l Agent:SophosWhlen Sie diese Option, umden Authentication Agent
(SAA) zu verwenden. Umden Webfilter verwenden zu knnen, mssen
Benutzer zunchst den Agent ausfhren und sich authentifizieren.
UTM9 WebAdmin 313
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
l Browser: Wenn Sie diese Funktion whlen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, ber das sie sich beim
Webfilter authentifizieren knnen. Dieser Modus ermglicht die Benut-
zernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Sur-
fen ohne Client-seitige Browserkonfiguration. Darber hinaus knnen Sie
Nutzungsbedingungen einrichten, die dann zustzlich auf der Anmeldeseite
angezeigt werden und von den Benutzern akzeptiert werden mssen,
bevor sie fortfahren knnen. For more information on the disclaimer, please
refer to chapter Management >Customization >Web Messages.
l Volltransparent (optional): Whlen Sie die Option, umdie Quell-IPder Clients zu
erhalten, anstatt sie durch die IPdes Gateways zu ersetzen. Das ist ntzlich, wenn
Ihre Clients ffentliche IP-Adressen verwenden, die nicht durch den Webfilter ver-
schleiert werden sollen. The option is only available when running in bridged
mode.
Fr Volltransparent stehen dieselben Authentifizierungsmodi zur Verfgung wie
fr Transparent. Siehe oben.
5. Wenn Sie Authentifizierung verwenden, knnen Sie die Option Zugriff bei fehl-
geschlagener Authentifizierung blockieren auswhlen. Wenn Sie ADSSOverwenden
und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehl-
geschlagene SSOAuthentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage
erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehl-
geschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zustz-
licher Link fr ein Gste-Login bereitgestellt, umnicht authentifizierten Zugriff zu
erlauben.
6. Aktivieren Sie die gertespezifische Authentifizierung.
Umdie Authentifizierungsmethode fr bestimmte Gerte zu konfigurieren, aktivieren Sie
das Auswahlkstchen Gertespezifische Authentifizierung aktivieren. Anschlieend kn-
nen Sie auf das grne Plussymbol klicken und Gertetypen sowie die Authen-
tifizierungsmethode auswhlen.
7. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Wichtiger Hinweis Wenn SSL-Scanning zusammen mit demTransparenzmodus aktiviert
ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um
SSL-VPN-Verbindungen zu ermglichen, fgen Sie den entsprechenden Zielhost zur Liste
314 UTM9 WebAdmin
Transparenzmodus-Ausnahmen hinzu (siehe Web Protection >Filteroptionen >Sonstiges).
Umdarber hinaus Zugang zu Hosts mit einemselbstsignierten Zertifikat zu haben, mssen
Sie eine Ausnahme fr diese Hosts anlegen und die Option Zertifikat-Vertrauensprfung aus-
whlen. Der Proxy wird deren Zertifikate dann nicht berprfen.
Li ve-Protokoll
Das Webfilter-Live-Protokoll stellt Informationen zu Webanfragen bereit. Klicken Sie auf die
Schaltflche Live-Protokoll ffnen, umdas Webfilter-Live-Protokoll in einemneuen Fenster zu
ffnen.
9.1.3 Richtlinien
Verwenden Sie zur Erstellung und Verwaltung von Webfilter-Richtlinienzuweisungen die Regis-
terkarte Web Protection >Webfilter >Richtlinien. Richtlinien werden verwendet, umver-
schiedene Filteraktionen auf bestimmte Benutzer, Gruppen oder Zeitrume gelten zu machen.
Diese Richtlinien zugehrigen erlaubten Netzwerke, befinden sich auf der Registerkarte All-
gemein. Die erste Richtlinie, die den Benutzer und die Zeit anpasst, wird mit der Basisrichtlinie
angewendet, wenn keine andere passen. Alle Profile haben eine Basisrichtlinie, die immer
Bestndig ist und sich nicht deaktiviert lsst.
Umeine neue Richtlinie zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.
Das Dialogfeld Richtlinie hinzufgen wird angezeigt.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Richtlinie ein.
Benutzer/Gruppen: Whlen Sie Benutzer oder Benutzergruppen aus oder fgen Sie
neue Benutzer hinzu, die der Richtlinie zugewiesen werden sollen. Sie knnen auch
einen neuen Benutzer oder eine neue Gruppe anlegen. Das Hinzufgen eines Benut-
zers wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.
Zeit-Ereignis:Die Richtlinie gilt fr den von Ihnen ausgewhlten Zeitraum. Whlen Sie
Immer, damit die Richtlinie jederzeit aktiv ist. Sie knnen auch auf das grne Plussymbol
klicken umein Zeit-Ereignis anzulegen. Zeitraumdefinitionen werden auf der Regis-
terkarte Definitionen &Benutzer >Zeitraumdefinitionen verwaltet.
UTM9 WebAdmin 315
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
Filteraktion: Whlen Sie eine vorhandene Filteraktion aus, die die Sicher-
heitsmerkmale beschreiben, die Sie in einer Richtlinie anwenden mchten. Sie knnen
auch auf das grne Plussymbol klicken umeine neue Filteraktion mit Hilfe des Fil-
teraktionsassistents. Filteraktionen knnen auerdemauf der Registerkarte Web-
filterprofile >Filteraktionen verwaltet werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Erweiterte Einstellungen: Weisen Sie diese Richtlinie Anfragen zu, die aufgrund einer
Ausnahme die Authentifizierung bersprungen haben: Ausnahmen knnen Sie auf der
Seite Filteroptionen >Ausnahmen erstellen, umzumBeispiel die Authentifizierung fr
automatische Updates zu berspringen, die die Authentifizierung nicht verwenden kn-
nen. Wenn das Kontrollkstchen ausgewhlt ist, wird die Richtlinie auf Anfragen ange-
wendet, die die Authentifizierung bersprungen haben.
3. Klicken Sie auf Speichern.
Die neue Richtlinie wird ganz oben in der Liste Richtlinien angezeigt.
4. Aktivieren Sie die Richtlinie.
Die neue Richtlinie ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Richtlinie zu aktivieren. Die Richtlinie ist jetzt aktiv (Schie-
beregler ist grn).
l ZumBearbeiten einer Richtlinie klicken Sie auf ihren Namen.
l Umdie Reihenfolge zu ndern, in der Richtlinien ausgefhrt werden, bewegen Sie Richt-
linien in der Liste mithilfe des Aufwrts- oder Abwrtspfeils auf der rechten Seite nach
oben oder unten.
l ZumBearbeiten einer Filteraktion klicken Sie auf den Namen der Filteraktion, umden
Assistenten Filteraktion bearbeiten anzuzeigen, oder wechseln Sie zur Registerkarte
Webfilter-Profile >Filteraktionen.
9.1.3.1 Filteraktionsassistent
Der Assistent Filteraktion hinzufgen/bearbeiten dient zumErstellen oder Bearbeiten von Fil-
teraktionen zur Verwendung in Ihren Web-Richtlinien. Sie knnen den Assistenten ber die Dia-
logfelder Richtlinie hinzufgen oder Richtlinie bearbeiten starten oder indemSie auf den
Namen einer vorhandenen Filteraktion auf der Registerkarte Webfilter >Richtlinien klicken.
Sie knnen Ihre Filteraktionen auch auf der Registerkarte Webfilterprofile >Filteraktionen ver-
walten. Dort knnen Sie Filteraktionen hinzufgen, bearbeiten, klonen oder lschen. Jetzt aber
316 UTM9 WebAdmin
knnen Sie zudemden Assistenten Filteraktion hinzufgen/bearbeiten auf der Registerkarte
Webfilter >Richtlinien zumErstellen, Bearbeiten und Zuweisen von Filteraktionen verwenden.
9.1.3.2 Kategorien
Konfigurieren Sie Standardeinstellungen, umden Zugriff auf bestimmte Arten von Websites zu
steuern.
Name: Geben Sie einen aussagekrftigen Namen fr diese Filteraktion ein.
Zulassen/Blockieren-Auswahl: Legen Sie fest, ob Ihre Auswahl von Website-Kategorien
zugelassen oder blockiert werden soll. Die folgenden Aktionen sind mglich:
l Inhalt zulassen, der die unten stehenden Kriterien nicht erfllt:
l Blockieren Sie nur die Kategorien, die Sie ausgewhlt haben.
Wenn Sie Inhalt Zulassen, der die unten stehenden Kriterien nicht erfllt auswhlen, werden
alle Kategoriegruppen standardmig auf Zugelassen eingestellt und knnen auf Warnen
oder Blockieren umgestellt werden. Wenn Kategorien hier als Teil einer Kategoriegruppe nicht
angezeigt werden, werden sie ebenfalls auf Zugelassen gestellt. Wenn eine Website mehreren
Kategorien angehrt und eine Kategorie wird blockiert, ist die Website blockiert.
Wenn Sie Inhalt zulassen, der die unten stehenden Kriterien nicht erfllt auswhlen, werden
alle Kategoriegruppen standardmig auf Zugelassen eingestellt und knnen auf Warnen
oder Blockieren umgestellt werden. Wenn Kategorien hier als Teil einer Kategoriegruppe nicht
angezeigt werden, werden sie ebenfalls auf Blockieren gestellt. Wenn eine Website mehreren
Kategorien angehrt und eine Kategorie wird zugelassen, ist die Website zugelassen.
Spyware-Infizierung und -Kommunikation blockieren: Ausgewhlt blockiert diese Option
Spyware-Kategorien. Wenn Sie Inhalt blockieren whlen, ist es immer ausgewhlt.
Hinweis Advanced Threat Detection erkennt und blockiert zustzliche Maleware-Kom-
munikation. Das kann unter Network Protection >Advanced Threat Protection >Allgemein
eingestellt werden.
Kategorien: Sie knnen einstellen ob die von Benutzern besuchte Webseiten jeder Kategorie
erlaubt, geblockt oder gewarnt werden. Wenn Sie Warnen auswhlen, bekommen die Benut-
zer einer Website dieser Kategorie eine Warnung angezeigt, knnen aber whlen ob sie zur
Webseite weitergeleitet werden wollen.
UTM9 WebAdmin 317
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
Hinweis Es gibt 107 Kategorien die standardmig in 18 "Filter Kategorien" zusammen
gefasst werden. Das kann unter Web Protection >Filteroptionen >URL-Filterkategorien ein-
gestellt werden. Der Filteraktion Assistent zeigt alle Filter Kategorien an die eingestellt wur-
den.
Unkategorisierte Websites: Sie knnen unkategorisierte Websites auf Zulassen, Warnen
oder Blockieren einstellen.
Websites blockieren, deren Ruf schlechter als dieser Schwellenwert ist: Websites kn-
nen in folgende Kategorien unterteilt werden: vertrauenswrdig, neutral, unberprft, ver-
dchtig oder schdlich, wobei letztere nicht aufgefhrt wird. Unklassifizierte Websites werden
als unberprft eingestuft. Sie knnen whlen, welchen Ruf eine Website haben muss, umfr
Ihr Netzwerk erreichbar zu sein. Websites unterhalb des gewhlten Schwellenwerts werden
blockiert. Beachten Sie, dass diese Option nur verfgbar ist, wenn die erste Option auf dieser
Seite auf Zulassen gestellt ist. Weitere Informationen zumRuf von Websites finden Sie unter htt-
p://www.trustedsource.org.
Klicken Sie auf Weiter, umzur nchsten Konfigurationsseite zu wechseln, auf Speichern, um
Ihre Konfiguration zu speichern, oder auf Abbrechen, umalle nderungen zu verwerfen und
das Konfigurationsdialogfeld zu schlieen.
9.1.3.3 Websites
Diese Websites blockieren:Wenn Sie eine bestimmte URLoder Website blockieren mch-
ten, oder eine Auswahl von Webseiten einer bestimmten Domne, unabhngig von ihrer Kate-
gorie, legen Sie diese hier fest. Das bewirkt, dass hier definierte Websites blockiert werden kn-
nen, selbst wenn sie zu einer Kategorie gehren, die Sie zulassen.
1. Klicken Sie auf das Plussymbol umdas Dialogfenster Whitelist-/Blacklist-
Objekt zu ffnen.
2. Nehmen Sie die folgenden Einstellungen vor:
l Name: Geben Sie einen aussagekrftigen Namen fr das Whitelist-/Blacklist-
Objekt ein.
l Basis fr URL-Abgleich: Domnen: Geben Sie die Domnen ein, fr die Sie
bestimmte Webseiten blockieren mchten. Wenn Sie Subdomnen einschlieen
auswhlen, werden Subdomnen ebenfalls bercksichtigt (z.B. beispiel.de wird
www.beispiel.de und mail.beispiel.de bercksichtigen). Wenn Sie Subdomnen
318 UTM9 WebAdmin
einschlieen nicht auswhlen, wird genau der angegebene Domnenname
bercksichtigt.
l Basis fr URL-Abgleich: Regulrer Ausdruck: Geben Sie die regulren Aus-
drcke ein, die Sie fr die gesamte URL verbieten mchten. Wenn Sie Abgleich
nur fr diese Domnen durchfhren auswhlen knnen Sie die Liste der Dom-
nen angeben, die zutreffen muss, bevor der regulre Ausdruck zugewiesen wird.
Es ist ntzlich regulre Ausdrcke zu verwenden, wenn Sie einen bestimmten
Pfad verbieten mssen.
Querverweis Detaillierte Informationen zur Verwendung von regulren Aus-
drcken finden Sie in der Sophos-Knowledgebase.
Hinweis Die Eintrge mssen korrekte regulre Ausdrcke sein. Nicht gltig
ist zumBeispiel *.beispiel.de. Wenn Sie einen Domnennamen erfassen mch-
ten, versuchen Sie .* nicht zu verwenden, da dies Einfluss auf den Pfad haben
kann. Beispielsweise der regulre Ausdruck http://.*beispiel\.de bercksichtigt
auch http://www.google.de/suche?www.beispiel.de
l Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
3. Klicken Sie auf Speichern.
Diese Websites zulassen: Wenn Sie eine bestimmte URL oder Website oder eine Auswahl
von Webseiten einer bestimmten Domne, unabhngig von ihrer Kategorie, zulassen mch-
ten, legen Sie diese hier fest. Das bewirkt, dass hier definierte Websites zugelassen werden
knnen, selbst wenn sie zu einer Kategorie gehren, die Sie blockieren mchten.
1. Klicken Sie auf das Plussymbol, umdas Dialogfenster Regulrer-Ausdruck-
Objekt hinzufgen zu ffnen.
2. Nehmen Sie die folgenden Einstellungen vor:
l Name: Geben Sie einen aussagekrftigen Namen fr das Whitelist-/Blacklist-
Objekt ein.
l Basis fr URL-Abgleich: Domnen: Geben Sie die Domnen ein, fr die Sie
bestimmte Webseiten blockieren mchten. Wenn Sie Subdomnen einschlieen
auswhlen, werden Subdomnen ebenfalls bercksichtigt (z.B. beispiel.de wird
www.beispiel.de und mail.beispiel.de bercksichtigen). Wenn Sie Subdomnen
UTM9 WebAdmin 319
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
einschlieen nicht auswhlen, wird genau der angegebene Domnenname
bercksichtigt.
l Basis fr URL-Abgleich: Regulrer Ausdruck: Geben Sie die regulren Aus-
drcke ein, die Sie fr die gesamte URL verbieten mchten. Wenn Sie Abgleich
nur fr diese Domnen durchfhren auswhlen knnen Sie die Liste der Dom-
nen angeben, die zutreffen muss, bevor der regulre Ausdruck zugewiesen wird.
Es ist ntzlich regulre Ausdrcke zu verwenden, wenn Sie einen bestimmten
Pfad verbieten mssen.
Querverweis Detaillierte Informationen zur Verwendung von regulren Aus-
drcken finden Sie in der Sophos-Knowledgebase.
Hinweis Die Eintrge mssen korrekte regulre Ausdrcke sein. Nicht gltig
ist zumBeispiel *.beispiel.de. Wenn Sie einen Domnennamen erfassen mch-
ten, versuchen Sie .* nicht zu verwenden, da dies Einfluss auf den Pfad haben
kann. Beispielsweise der regulre Ausdruck http://.*beispiel\.de bercksichtigt
auch http://www.google.de/suche?www.beispiel.de
l Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
3. Klicken Sie auf Speichern.
9.1.3.4 Downloads
Konfigurieren Sie, welche Datei- und MIME-Typen blockiert oder gewarnt werden sollen.
Dateierweiterungen mit Warnung: Wenn der Benutzer versucht eine Datei mit einer Datei-
endung von der Liste Dateierweiterungen mit Warnung herunter zu laden, bekommt er eine
Warnung angezeigt. Umeine Dateierweiterung hinzuzufgen, klicken Sie auf das Plussymbol
imFeld Dateierweiterungen mit Warnung und geben die Dateierweiterung ein, bei der gewarnt
werden soll, zumBeispiel exe. Dateiendungen ohne voranstehenden Punkt.
Blockierte Dateierweiterungen: Wenn der Benutzer versucht eine Datei mit einer Datei-
endung von der Liste Blockierte Dateierweiterungen herunter zu laden, wird er blockiert. Um
eine Dateierweiterung hinzuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte Datei-
erweiterungen und geben die Dateierweiterung ein, bei der gewarnt werden soll, zumBeispiel
exe. Dateiendungen ohne voranstehenden Punkt.
320 UTM9 WebAdmin
Hinweis In Archiven (z.B. zip-Dateien) gespeicherte Dateien knnen nicht nach blo-
ckierten Dateitypen, blockierten Erweiterungen oder blockierten MIME-Typen durchsucht
werden. Wenn Sie Ihr Netzwerk vor diesen in Archiven gespeicherten Dateien schtzen
mchten, sollten Sie Dateitypen wie zip, rar usw. generell blockieren.
MIME-Typen mit Warnung: Wenn der Benutzer versucht eine Datei des Typs MIMEvon der
Liste MIME-Typen mit Warnung herunter zu laden, bekommt er eine Warnung angezeigt. Um
einen MIME-Typ hinzuzufgen, klicken Sie auf das Plussymbol imFeld MIME-Typen mit War-
nung und geben den MIME-Typ ein. Sie knnen in der Liste MIME-Typen mit Warnung Platz-
halter (*) verwenden, z.B. audio/*.
Blockierte MIME-Typen: Wenn der Benutzer versucht eine Datei des Typs MIMEvon der Lis-
te Blockierte MIME-Typen herunter zu laden, wird er blockiert. Umeinen MIME-Typ hin-
zuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte MIME-Typen und geben den
MIME-Typ ein. Sie knnen in der Liste Blockierte MIME-Typen Platzhalter (*) verwenden, z.B.
audio/*.
Downloads ab dieser Gre blockieren: Whlen Sie diese Option, umBenutzer daran zu
hindern, Dateien herunterzuladen, die grer sind als die festgelegte Gre (in MB).
Klicken Sie auf Weiter, umzur nchsten Konfigurationsseite zu wechseln, auf Speichern, um
Ihre Konfiguration zu speichern, oder auf Abbrechen, umalle nderungen zu verwerfen und
das Konfigurationsdialogfeld zu schlieen.
9.1.3.5 Antivirus
Anti vi rus
Antiviren-Scan verwenden: Whlen Sie diese Option, umeingehenden und ausgehenden
Internetverkehr auf Viren zu scannen. Sophos UTMbietet mehrere Antiviren-Mechanismen:
l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte
Systemeinstellungen >Scan-Einstellungen festgelegte Engine wird verwendet.
l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von
zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit
einemBasicGuard-Abonnement nicht verfgbar ist.
l Potenziell unerwnschte Anwendungen (PUA) blockieren: PUAsind Pro-
gramme, die nicht schdlich, in einer Geschftsumgebung aber unerwnscht sind. Diese
Funktion ist nur bei Verwendung der Sophos Antivirus-Engine verfgbar. Umbestimmte
UTM9 WebAdmin 321
9 Web Protection 9.1 Webfilter
9.1 Webfilter 9 Web Protection
PUAbei aktiver Blockierung dennoch zuzulassen, fgen Sie unter Web Protection >Fil-
teroptionen >PUAs.
Dateien nicht scannen, die grer sind als: Legen Sie die Maximalgre von Dateien
fest, die von den Antiviren-Engines gescannt werden sollen. Dateien, die grer sind, werden
nicht gescannt.
Tipp Umzu verhindern, dass Dateien mit einer Dateigre ber der maximalen Scan-
gre heruntergeladen werden, legen Sie den Wert Downloads ab dieser Gre blockieren
auf der Seite Downloads entsprechend fest.
Entfernen von akti vem Inhalt
ImAbschnitt Entfernen von aktivemInhalt knnen Sie einstellen, dass spezifischer Inter-
netinhalt, wie auf Webseiten eingebettete Objekte, automatisch entfernt wird. Sie knnen die fol-
genden Einstellungen konfigurieren:
l Javascript deaktivieren: Mit dieser Funktion werden alle <SCRIPT>-Tags aus HTML-
Seiten entfernt, wodurch Funktionen deaktiviert werden, die in HTML-Seiten eingebettet
oder eingebunden sind.
l Eingebettete Objekte entfernen (ActiveX/Java/Flash): Durch diese Funktion wer-
den alle <OBJECT>-Tags aus HTML-Seiten entfernt, wodurch dynamische Inhalte wie
ActiveX, Flash oder Java aus demeingehenden HTTP-Verkehr gelscht werden.
Klicken Sie auf Weiter, umzur nchsten Konfigurationsseite zu wechseln, auf Speichern, um
Ihre Konfiguration zu speichern, oder auf Abbrechen, umalle nderungen zu verwerfen und
das Konfigurationsdialogfeld zu schlieen.
9.1.3.6 Zustzliche Optionen
Websi te-Si cherhei tsfunkti onen erzwi ngen
SafeSearch: Manche Suchmaschinenanbieter haben eine SafeSearch-Funktion, die Erwach-
seneninhalte aus den Suchergebnissen entfernt. Sie knnen die Nutzung von SafeSearch fr
Google, Bing und Yahoo erzwingen. Wenn diese Option aktiviert ist, wird SafeSearch fr diesen
Anbieter erzwungen und kann von Webfilter-Benutzern weder deaktiviert noch umgangen wer-
den. Umdie Funktion zu konfigurieren, whlen Sie den Anbieter aus, fr den SafeSearch
erzwungen werden soll.
YouTube fr Schulen: Wenn diese Option aktiviert ist, knnen Benutzer nur auf YouTube-
Videos aus demBereich YouTube EDUoder solche, die ber Ihr Schulkonto hochgeladen
322 UTM9 WebAdmin
wurden, zugreifen. Dazu mssen Sie sich beimProgrammYouTube fr Schulenanmelden.
Sie erhalten dann eine Schul-ID, die Sie unten eingeben mssen.
Hinweis Auf der Sophos UTMmssen Sie sicherstellen, dass die Top-Level-Domnen
youtube.comund ytimg.comsowie Videos imAllgemeinen nicht blockiert werden. Wenn
Sie YouTube fr Schulen aktiviert haben, mssen Sie die Schul-IDoder den Code eingeben,
den Sie von YouTube erhalten haben.
Zulssige Domnen fr Google Apps erzwingen: Google Apps kann Benutzern den
Zugriff auf bestimmte Dienste verwehren, wenn ihr Google-Konto kein Mitglied der Google
Apps-Domne ist. Wenn diese Option ausgewhlt wird, ist die Funktion aktiviert und kann von
Webfilterbenutzern nicht ausgeschaltet oder umgangen werden. Whlen Sie Zulssige Dom-
nen fr Google Apps erzwingen aus, umdie Funktion zu konfigurieren. Klicken Sie dann oben
imFeld Domnen auf das Plus- oder das Aktionssymbol, umGoogle Apps-Domnen hin-
zuzufgen oder zu importieren.
Akti vi ttsprotokolli erung
Sie knnen festlegen, welche Aktivitten protokolliert werden:
l Besuchte Seiten protokollieren: Mit dieser Funktion werden Informationen ber alle
Seiten protokolliert, die ber UTMbesucht wurden.
l Blockierte Seiten protokollieren: Mit dieser Funktion werden Informationen ber Sei-
ten protokolliert, fr die der Zugriff blockiert wurde.
Netzwerkkonfi gurati on
Sie knnen bergeordnete Proxies konfigurieren (sowohl global als auch profilbasiert; siehe
Web Protection >Filteroptionen >bergeordnete Proxies).
Hinweis HTTPS-Anfragen imTransparenzmodus sind mit aktivierten bergeordneten Pro-
xies nicht mglich,wenn SSL-Scanning aktiviert ist.
Umeinen bergeordneten Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol ber der Liste bergeordneter Proxies.
Das Dialogfeld bergeordneten Proxy hinzufgen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr den bergeordneten Proxy ein.
UTM9 WebAdmin 323
9 Web Protection 9.1 Webfilter
9.2 Webfilter-Profile 9 Web Protection
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Proxy fr diese Hosts verwenden: Fgen Sie Hosts zu diesemFeld hinzu, fr die ein
bergeordneter Proxy verwendet werden soll, z.B.*.wikipedia.org. Sie knnen hier
musterbasierte Suchausdrcke (Pattern Matching) verwenden. Regulre Ausdrcke
sind hingegen nicht zugelassen. Wenn Sie das Feld leer lassen, wird, sobald Sie Spei-
chern klicken, automatisch ein Asterisk (*) hinzugefgt, der alle Hosts umfasst. Eine sol-
che Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn kei-
ner der anderen eventuell vorhandenen Proxies die Bedingungen erfllt.
bergeordneter Proxy: Whlen Sie die Netzwerkdefinition des bergeordneten Proxy
aus oder fgen Sie sie hinzu.
Port: Der Standardport fr die Verbindung zumbergeordneten Proxy ist 8080. Wenn
Ihr bergeordneter Proxy einen anderen Port erfordert, knnen Sie diesen hier ndern.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung
erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
3. Klicken Sie auf Speichern.
Der neue bergeordnete Proxy wird in der Liste bergeordnete Proxies und auf der Sei-
te Web Protection >Filteroptionen >bergeordnete Proxies angezeigt.
Umeinen bergeordneten Proxy zu bearbeiten oder zu lschen, klicken Sie auf den Namen
des Proxys.
Klicken Sie auf Speichern, umIhre Konfiguration zu speichern, oder auf Abbrechen, umalle
nderungen zu verwerfen und das Konfigurationsdialogfeld zu schlieen.
9.2 Webfilter-Profile
Webfilter-Profile knnen verwendet werden, umverschiedene Content-Filter-Richtlinien erstel-
len, so dass Sie verschiedene Richtlinien an verschiedene Adressen der Netzwerk hinzufgen
knnen. Wenn Sie die gleichen Richtlinien fr jedes Netzwerk in der Firma hinzufgen mch-
ten, knnen sie das unter Web Protection >Webfilter einrichten Zustzlich kann jedemFilter-
profil seine eigene Methode zur Benutzerauthentifizierung zugewiesen werden.
Mehrere Filter-Profile erlauben Ihnen die Authentifizierung und Web-Inhalte fr verschiedene
Netze zu kontrollieren. ZumBeispiel knnen Sie eine Reihe von Richtlinien fr Ihre Unter-
324 UTM9 WebAdmin
nehmens Computern mit ADSSOund eine andere Authentifizierungsmethode erstellen sowie
Richtlinien fr einen Gast imWireless Network.
9.2.1 Filterprofile
Wenn Sie verschiedener Inhaltsfilter-Richtlinien oder Authentifizierungsarten in mehreren Netz-
werken einrichten wollen, knnen Sie mehrere Filterprofile erstellen. Beispielsweise fr kabel-
gebundene Netzwerk Sie nur Unternehmens Computer verwenden, die mit ADintegriert sind
und sich ein Standardmodus mit einer expliziten Proxy und ADSSOwnschen. Das Draht-
losnetzwerk kann ein Browser-Login-Portal fr die Mitarbeiter haben umihre AD-Anmeld-
einformationen einzugeben, sowie ein Gast-Login, welcher begrenzten Zugang hat.
Profile knnen unter Web Filter Profiles >Filter Profiles angelegt werden. Wenn ein Web-
Antrag gestellt wird, wird die UTMdie Quell-IPkontrollieren und das erste Profil hinzufgen,
das eine bereinstimmung mit Zugelassene Netzwerke und Betriebsmodus hat. Das Stan-
dard-Webfilterprofil wird auf der Seite Web Protection >Webfilter eingestellt. Es wird hier auf-
gefhrt, umzu zeigen, dass es das letzte Profil bereinstimmt. Sobald ein Profil ausgewhlt ist,
wird die UTMAuthentifizierung und Richtlinien anhand dieses Profils durchfhren.
Umein Filterprofil anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.
Der Assistent Profil hinzufgen wird geffnet.
2. Geben Sie einen Namen und einen Kommentar ein.
3. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus, die den Webfilter verwenden drfen. Der Webfilter war-
tet standardmig auf Anfragen an TCP-Port 8080und lsst jeden Client zu, der sich in
einemNetzwerk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist.
4. Whlen Sie die zugelassenen Endpoint-Gruppen aus.
Wenn Endpoint Web Control aktiviert ist, whlen Sie die Endpoint-Gruppen aus, die den
Webfilter verwenden knnen sollen.
5. HTTPS-Verkehr (SSL):
UmSSL-Verkehr zu scannen whlen Sie aus den folgenden Optionen aus:
l Nicht scannen: Diese Option ist nur imTransparenzmodus verfgbar Wenn die-
se Option ausgewhlt ist geht kein HTTPS-Verkehr durch den Proxy und wird
nicht gescannt.
UTM9 WebAdmin 325
9 Web Protection 9.2 Webfilter-Profile
9.2 Webfilter-Profile 9 Web Protection
l Nur URL-Filterung: Prfungen werden basierend auf der URL durchgefhrt,
der tatschliche HTTPS-Datenverkehr wird jedoch nicht gescannt.
l Entschlsseln und scannen: Der Inhalt des HTTPS-Verkehrs wird vollstndig
entschlsselt und gescannt.
6. Whlen Sie einen Betriebsmodus aus.
Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung whlen, sollten Sie auch die
Benutzer und Gruppen angeben, die auf den Webfilter zugreifen drfen. Die folgenden
Betriebsmodi sind mglich:
l Standardmodus : ImStandardmodus wartet der Webfilter standardmig auf
Client-Anfragen auf Port 8080 und lsst jeden Client zu, der sich in einemNetz-
werk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist. In diesem
Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-
Proxy angegeben sein.
Whlen Sie die Standard-Authentifizierungsmethode aus.
l Keine: Whlen Sie diese Option, wenn keine Authentifizierung verwendet
werden soll.
l Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell
auf demComputer angemeldet ist als Benutzer des Proxies zu authen-
tifizieren (Single-Sign-On). If the currently logged in user is a valid ADuser
with permission to use the proxy, the authentication should occur with no
user interaction. Whlen Sie diese Option, wenn Sie Active Directory Single
Sign-On (SSO) auf der Registerkarte Definitionen &Benutzer >Authen-
tifizierungsdienste >Server konfiguriert haben. Clients knnen mit NTLM
oder Kerberos authentifiziert werden.
l Agent:Whlen Sie diese Option, umden Sophos Authentication Agent
(SAA) zu verwenden. Umden Webfilter verwenden zu knnen, mssen
Benutzer zunchst den Agent ausfhren und sich authentifizieren. The
agent can be downloaded fromthe User Portal. Siehe: Benutzerportall.
l Apple OpenDirectory SSO: Whlen Sie diese Option, wenn Sie LDAP
auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit
der Proxy richtig funktioniert, mssen Sie zustzlich eine MACOSXSingle
Sign-On Kerberos-Schlsseldatei auf der Registerkarte Web Protection >
Filteroptionen >Sonstiges hochladen. In diesemModus muss der Webfilter
in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben
sein. Beachten Sie, dass der Safari-Browser SSOnicht untersttzt.
326 UTM9 WebAdmin
l Einfache Benutzerauthentifizierung: In diesemModus muss sich jeder
Client gegenber demProxy authentifizieren, bevor er ihn verwendet. Wei-
tere Informationen zu den untersttzten Authentifizierungsmethoden fin-
den Sie unter Definitionen &Benutzer >Authentifizierungsdienste. In
diesemModus muss der Webfilter in der Browser-Konfiguration jedes Cli-
ents als HTTP-Proxy angegeben sein.
l Browser: Wenn Sie diese Funktion whlen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, ber das sie sich beim
Webfilter authentifizieren knnen. Dieser Modus ermglicht die Benut-
zernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Sur-
fen ohne Client-seitige Browserkonfiguration. Darber hinaus knnen Sie
Nutzungsbedingungen einrichten, die dann zustzlich auf der Anmeldeseite
angezeigt werden und von den Benutzern akzeptiert werden mssen,
bevor sie fortfahren knnen. Weitere Informationen zu Nut-
zungsbedingungen finden Sie imKapitel Verwaltung >Anpassungen >
Web-Meldungen.
l eDirectory SSO: Whlen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server
konfiguriert haben.
Hinweis Fr eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter
die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fnfzehn
Minuten; fr Apple OpenDirectory und Active Directory SSOspeichert nur die
Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den
Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fnfzehn Minu-
ten dauern kann, bis nderungen an Benutzern, Gruppen oder demAnmel-
destatus der zugreifenden Benutzer vomWebfilter bercksichtigt werden.
Wenn Sie einen Authentifizierungsmodus verwenden, der Benut-
zerauthentifizierung erfordert, whlen Sie Zugriff bei fehlgeschlagener Authen-
tifizierung blockieren aus, umden Benutzern mit fehlgeschlagener Authen-
tifizierung den Zugriff zu verweigern.
l Transparenzmodus: ImTransparenzmodus werden alle Verbindungen von Cli-
ent-Browseranwendungen auf Port 80(bzw. Port 443, wenn SSL aktiviert ist)
abgefangen und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet.
Der Client merkt dabei vomWebfilter nichts. Der Vorteil dieses Modus ist, dass
UTM9 WebAdmin 327
9 Web Protection 9.2 Webfilter-Profile
9.2 Webfilter-Profile 9 Web Protection
keine zustzliche Verwaltung oder Client-seitige Konfiguration ntig ist; der Nach-
teil ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden knnen. Deshalb
werden die Proxy-Einstellungen imClient-Browser unwirksam, wenn Sie den
Transparenzmodus whlen.
Hinweis ImTransparenzmodus entfernt der Webfilter NTLM-Authen-
tifizierungsheader von HTTP-Anfragen. Darber hinaus kann der Webfilter kei-
ne FTP-Anfragen in diesemModus verarbeiten. Wenn Ihre Clients auf solche
Dienste zugreifen wollen, mssen Sie den Port (21) in der Firewall ffnen.
Beachten Sie auch, dass manche Webserver einige Daten ber einen anderen
Port als Port 80 bermitteln, insbesondere Streaming-Video- und -Audiodaten.
Diese Anfragen werden nicht beachtet, wenn der Webfilter imTrans-
parenzmodus arbeitet. Umsolchen Verkehr zu untersttzen, mssen Sie ent-
weder einen anderen Modus whlen oder eine explizite Firewallregel anlegen,
die diesen Verkehr erlaubt.
l Keine: Whlen Sie diese Option, wenn keine Authentifizierung verwendet
werden soll.
l Active Directory SSO: This mode will attempt to authenticate the user
that is currently logged into the computer as the user of the proxy (single
sign on). If the currently logged in user is a valid ADuser with permission to
use the proxy, the authentication should occur with no user interaction. Wh-
len Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf
der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben. Clients knnen mit NTLMauthentifiziert werden
(bei Mac mit Kerberos).
Hinweis Wenn Sie eine Active-Directory-Benutzergruppe anlegen,
empfehlen wir dringend, imFeld Active-Directory-Gruppen die Namen
der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben,
statt die LDAP-Stringszu verwenden. Beispiel: Statt eines LDAP-Strings
CN=ads_group1,CN=Users,DC=example,DC=comgeben Sie einfach
den Namen ads_group1ein.
328 UTM9 WebAdmin
Hinweis Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-
Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benut-
zereintrge.
l Agent:SophosWhlen Sie diese Option, umden Authentication Agent
(SAA) zu verwenden. Umden Webfilter verwenden zu knnen, mssen
Benutzer zunchst den Agent ausfhren und sich authentifizieren.
l Browser: Wenn Sie diese Funktion whlen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, ber das sie sich beim
Webfilter authentifizieren knnen. Dieser Modus ermglicht die Benut-
zernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Sur-
fen ohne Client-seitige Browserkonfiguration. Darber hinaus knnen Sie
Nutzungsbedingungen einrichten, die dann zustzlich auf der Anmeldeseite
angezeigt werden und von den Benutzern akzeptiert werden mssen,
bevor sie fortfahren knnen. For more information on the disclaimer, please
refer to chapter Management >Customization >Web Messages.
l Volltransparent (optional): Whlen Sie die Option, umdie Quell-IPder Clients zu
erhalten, anstatt sie durch die IPdes Gateways zu ersetzen. Das ist ntzlich, wenn
Ihre Clients ffentliche IP-Adressen verwenden, die nicht durch den Webfilter ver-
schleiert werden sollen. The option is only available when running in bridged
mode.
Fr Volltransparent stehen dieselben Authentifizierungsmodi zur Verfgung wie
fr Transparent. Siehe oben.
7. Wenn Sie Authentifizierung verwenden, knnen Sie die Option Zugriff bei fehl-
geschlagener Authentifizierung blockieren auswhlen. Wenn Sie ADSSOverwenden
und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehl-
geschlagene SSOAuthentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage
erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehl-
geschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zustz-
licher Link fr ein Gste-Login bereitgestellt, umnicht authentifizierten Zugriff zu
erlauben.
8. Aktivieren Sie die gertespezifische Authentifizierung.
Umdie Authentifizierungsmethode fr bestimmte Gerte zu konfigurieren, aktivieren Sie
das Auswahlkstchen Gertespezifische Authentifizierung aktivieren. Anschlieend kn-
UTM9 WebAdmin 329
9 Web Protection 9.2 Webfilter-Profile
9.2 Webfilter-Profile 9 Web Protection
nen Sie auf das grne Plussymbol klicken und Gertetypen sowie die Authen-
tifizierungsmethode auswhlen.
9. Klicken Sie auf Weiter oder whlen Sie Richtlinien imoberen Bereich des
Assistenten.
10. Prfen und erstellen Sie Richtlinien fr Ihr Filterprofi.
Umeine neue Richtlinie zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.
Das Dialogfeld Richtlinie hinzufgen wird angezeigt.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Richtlinie ein.
Benutzer/Gruppen: Whlen Sie Benutzer oder Benutzergruppen aus oder
fgen Sie neue Benutzer hinzu, die der Richtlinie zugewiesen werden sollen. Sie
knnen auch einen neuen Benutzer oder eine neue Gruppe anlegen. Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &
Gruppen >Benutzer erlutert.
Zeit-Ereignis:Die Richtlinie gilt fr den von Ihnen ausgewhlten Zeitraum. Wh-
len Sie Immer, damit die Richtlinie jederzeit aktiv ist. Sie knnen auch auf das gr-
ne Plussymbol klicken umein Zeit-Ereignis anzulegen. Zeitraumdefinitionen wer-
den auf der Registerkarte Definitionen &Benutzer >Zeitraumdefinitionen
verwaltet.
Filteraktion: Whlen Sie eine vorhandene Filteraktion aus, die die Sicher-
heitsmerkmale beschreiben, die Sie in einer Richtlinie anwenden mchten. Sie
knnen auch auf das grne Plussymbol klicken umeine neue Filteraktion mit Hilfe
des Filteraktionsassistents. Filteraktionen knnen auerdemauf der Regis-
terkarte Webfilterprofile >Filteraktionen verwaltet werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
Erweiterte Einstellungen: Weisen Sie diese Richtlinie Anfragen zu, die auf-
grund einer Ausnahme die Authentifizierung bersprungen haben: Ausnahmen
knnen Sie auf der Seite Filteroptionen >Ausnahmen erstellen, umzumBeispiel
die Authentifizierung fr automatische Updates zu berspringen, die die Authen-
tifizierung nicht verwenden knnen. Wenn das Kontrollkstchen ausgewhlt ist,
wird die Richtlinie auf Anfragen angewendet, die die Authentifizierung ber-
sprungen haben.
330 UTM9 WebAdmin
3. Klicken Sie auf Speichern.
Die neue Richtlinie wird ganz oben in der Liste Richtlinien angezeigt.
4. Aktivieren Sie die Richtlinie.
Die neue Richtlinie ist standardmig deaktiviert (Schieberegler ist grau). Klicken
Sie auf den Schieberegler, umdie Richtlinie zu aktivieren. Die Richtlinie ist jetzt
aktiv (Schieberegler ist grn).
11. Klicken Sie auf Speichern.
Das neue Profil wird in der Liste Filterprofile angezeigt.
Wichtiger Hinweis Wenn SSL-Scanning zusammen mit demTransparenzmodus aktiviert
ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um
SSL-VPN-Verbindungen zu ermglichen, fgen Sie den entsprechenden Zielhost zur Liste
Transparenzmodus-Ausnahmen hinzu (siehe Web Protection >Filteroptionen >Sonstiges).
Umdarber hinaus Zugang zu Hosts mit einemselbstsignierten Zertifikat zu haben, mssen
Sie eine Ausnahme fr diese Hosts anlegen und die Option Zertifikat-Vertrauensprfung aus-
whlen. Der Proxy wird deren Zertifikate dann nicht berprfen.
ZumBearbeiten oder Lschen eines Filterprofils klicken Sie auf den Namen des Profils in der
Liste.
9.2.2 Filteraktionen
Auf der Registerkarte Webfilter-Profile >Filteraktionen knnen Sie eine Auswahl von Kon-
figurationseinstellungen zu Web Protection anlegen und bearbeiten, mit der verschiedene
Schutzarten und Schutzstufen angepasst werden knnen. Filteraktionen knnen ver-
schiedenen Benutzern und Benutzergruppen zugewiesen werden und bieten einen flexiblen
Weg, den Internetzugriff zu kontrollieren.
Sie knnen eine neue Filteraktion erstellen, indemSie auf die Schaltflche Neue Filteraktion kli-
cken, oder eine vorhandene Filteraktion bearbeiten, indemSie auf die entsprechende Schalt-
flche Bearbeiten klicken. Durch die Ausfhrung einer dieser beiden Aktionen wird der Fil-
teraktionsassistent gestartet. Weitere Informationen erhalten Sie unter Web Protection >
Webfilter >Richtlinien >Filteraktionen-Assistent.
Auf der Seite Web Protection >Webfilterprofile >Filteraktionen knnen Sie die Liste der vor-
handenen Filteraktionen auch durchsuchen, klonen oder lschen.
UTM9 WebAdmin 331
9 Web Protection 9.2 Webfilter-Profile
9.2 Webfilter-Profile 9 Web Protection
9.2.3 bergeordnete Proxies
Einige Netzwerktopologien erfordern einen Upstream-Web-Proxy-Server. Auf der Regis-
terkarte Web Protection >Webfilter-Profile >bergeordnete Proxies knnen Sie einen ber-
geordneten Proxy konfigurieren.
Umeinen bergeordneten Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neuer bergeordneter Proxy.
Das Dialogfeld Neuen bergeordneten Proxy anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diesen bergeordneten Proxy ein.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Proxy fr diese Hosts verwenden: Fgen Sie Hosts zu diesemFeld hinzu, fr die ein
bergeordneter Proxy verwendet werden soll, z.B.*.wikipedia.org. Sie knnen hier
musterbasierte Suchausdrcke (Pattern Matching) verwenden. Regulre Ausdrcke
sind hingegen nicht zugelassen. Wenn Sie das Feld leer lassen, wird, sobald Sie Spei-
chern klicken, automatisch ein Asterisk (*) hinzugefgt, der alle Hosts umfasst. Eine sol-
che Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn kei-
ner der anderen eventuell vorhandenen Proxies die Bedingungen erfllt.
bergeordneter Proxy: Whlen Sie die Netzwerkdefinition des bergeordneten Proxy
aus oder fgen Sie sie hinzu.
Port: Der Standardport fr die Verbindung zumbergeordneten Proxy ist 8080. Wenn
Ihr bergeordneter Proxy einen anderen Port erfordert, knnen Sie diesen hier ndern.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung
erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
3. Klicken Sie auf Speichern.
Der neue bergeordnete Proxy wird in der Liste bergeordnete Proxies angezeigt.
Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.
Umeinen bergeordneten Proxy zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
332 UTM9 WebAdmin
9.3 Filteroptionen
Auf der Seite Web Protection >Filteroptionen knnen Sie verschiedene Optionen zumWeb-
filter konfigurieren. Auf den Registerkarten, die von dieser Seite aus zugnglich sind, knnen
Sie u.a. Ausnahmen fr Filter, Benutzer, die Filter umgehen knnen, Filterkategorien sowie
HTTPS-Zertifikate und -Instanzen konfigurieren.
9.3.1 Ausnahmen
Auf der Registerkarte Web Protection >Filteroptionen >Ausnahmen knnen Sie Netzwerke,
Benutzer/Gruppen und Domnen definieren, die nicht gefiltert/blockiert werden sollen, d.h. auf
der Whitelist (Positivliste) stehen. Alle Eintrge in den Listen auf dieser Seite sind von bestimm-
ten Web-Protection-Diensten ausgenommen.
Umeine Ausnahme zu definieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahmenliste erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Ausnahme ein.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen, die nicht durch-
gefhrt werden sollen:
l Authentifizierung: Wenn der Webfilter imAuthentifizierungsmodus luft, kn-
nen Sie die Authentifizierung fr Quellhosts/-netzwerke oder Zieldomnen aus-
setzen.
l Zwischenspeichern: Whlen Sie diese Option, umdie Zwischenspeicherung
fr spezifische Domnen oder Quellhosts/-netzwerke zu deaktivieren.
l Nach Download-Gre blockieren: Whlen Sie diese Option, umdie Blo-
ckierung von Inhalt nach Download-Gre zu deaktivieren.
l Antivirus: Whlen Sie diese Option, umdie Virenscanfunktion zu deaktivieren,
die Nachrichten nach unerwnschten Inhalten wie Viren, Trojanern und hn-
lichemdurchsucht.
UTM9 WebAdmin 333
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
l Dateierweiterungen: Whlen Sie diese Option, umden Dateierweiterungenfilter
zu deaktivieren, der Inhalte blockiert, wenn sie bestimmte Dateierweiterungen ent-
halten.
l MIME-Typ: Whlen Sie diese Option, umden MIME-Typ-Filter zu deaktivieren.
Dieser blockiert Inhalte, die einen bestimmten MIME-Typ haben.
l URL-Filter: Whlen Sie diese Option, umden URL-Filter zu deaktivieren, der den
Zugriff auf bestimmte Websites kontrolliert.
l Inhaltsentfernung: Whlen Sie diese Option, umdie Entfernung von bestimm-
ten Inhalten, wie eingebettete Objekte (z.B. Multimedia-Dateien) oder JavaScript,
auf Webseiten auszulassen.
l SSL-Scan: Whlen Sie diese Option, umdas SSL-Scannen der angeforderten
Webseite auszulassen. Das ist bei Online-Banking-Websites oder bei Websites
sinnvoll, die nicht mit SSL-berwachung umgehen knnen. Aus technischen Grn-
den funktioniert diese Option nicht in Verbindung mit transparenten Webfilter-
Modi. Nutzen Sie imtransparenten Modus stattdessen die Transparenzmodus-
Ausnahmen (siehe Registerkarte Filteroptionen >Sonstiges). ImStandard-
Modus knnen Ausnahmen nur basierend auf demZielhost oder der IP-Adresse
gemacht werden, abhngig davon, was der Client bermittelt. Bei Ausnahmen,
die auf Kategorien basieren, wird anstelle der ganzen URL nur der Hostname klas-
sifiziert.
l Zertifikat-Vertrauensprfung (Trust Check): Whlen Sie diese Option, um
die Vertrauensprfung fr das HTTPS-Server-Zertifikat auszulassen. Beachten
Sie, dass das Auslassen der Vertrauensprfung fr das Zertifikat basierend auf
einer bereinstimmung bei Benutzern/Gruppen (Fr alle von diesen Benut-
zern/Gruppen kommenden Anfragen) technisch unmglich ist, wenn der Webfilter
imTransparenzmodus mit Authentifizierung arbeitet.
l Zertifikatsdatumsprfung: Whlen Sie diese Option, umdie berprfung des
Zertifikatsdatums auf Gltigkeit auszulassen.
Die beiden folgenden Optionen sind ntzlich, wenn es Personen oder Mitglieder z.B. des
Betriebsrates gibt, deren Aktivitten keinesfalls protokolliert werden drfen:
l Besuchte Seiten: Whlen Sie diese Option, umbesuchte Seiten nicht zu pro-
tokollieren. Diese Seitenanfragen werden auch von der Berichterstellung aus-
genommen.
334 UTM9 WebAdmin
l Blockierte Seiten: Whlen Sie diese Option, umSeiten, die blockiert wurden,
nicht zu protokollieren. Diese Seitenanfragen werden auch von der Berichter-
stellung ausgenommen.
Fr alle Anfragen: Whlen Sie mindestens eine Bedingung, fr die die Sicher-
heitsprfungen ausgesetzt werden sollen. Sie knnen mehrere Bedingungen logisch mit-
einander verknpfen, indemSie entweder Und oder Oder aus der Auswahlliste vor einer
Bedingung auswhlen. Die folgenden Bedingungen knnen gesetzt werden:
l Aus diesen Quellnetzwerken kommend: Whlen Sie diese Option, umQuell-
hosts/-netzwerke hinzuzufgen, die von Sicherheitsprfungen dieser Aus-
nahmeregel ausgenommen werden sollen. Geben Sie die entsprechenden Hosts
oder Netzwerke in das Feld Hosts/Netzwerke ein, das nach Auswahl der Bedin-
gung geffnet wird.
l Von diesen Quell-Endpointgruppen: Whlen Sie diese Option, umCom-
putergruppen hinzuzufgen (siehe Registerkarte Endpoint Protection >Com-
puterverwaltung >Grupen verwalten, die von Sicherheitsprfungen dieser
Ausnahmeregel ausgenommen werden sollen. Tragen Sie die entsprechenden
Gruppen in das Feld Quell-Endpointgruppen ein, das nach Auswahl der Bedin-
gung geffnet wird.
l Diese URLs betreffend: Whlen Sie diese Option, umZieldomnen hin-
zuzufgen, die von den Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Fgen Sie die entsprechenden Domnen zumFeld
Zieldomnen hinzu, das nach Auswahl der Bedingung geffnet wird. Hier sind
regulre Ausdrcke erlaubt. Beispiel: ^https?://[^.]*\.domain.comdeckt
HTTP(S)-Verbindungen zu allen Subdomnen dieser Domne ab.
Querverweis Detaillierte Informationen zur Verwendung von regulren Aus-
drcken finden Sie in der Sophos-Knowledgebase.
Hinweis Wenn Sie den Transparenzmodus verwenden und SSL-Scan akti-
viert ist, mssen Sie die Zieldomne(n) als IP-Adresse(n) angeben. Andernfalls
wird die Ausnahme aus technischen Grnden fehlschlagen.
l Von diesen Benutzern/Gruppen kommend: Whlen Sie diese Option, um
Benutzer oder Benutzergruppen hinzufgen, die von den Sicherheitsprfungen
dieser Ausnahmeregel ausgenommen werden sollen. Tragen Sie die
UTM9 WebAdmin 335
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
entsprechenden Benutzer oder Gruppen in das Feld Benutzer/Gruppen ein, das
nach Auswahl der Bedingung geffnet wird. ImStandardmodus funktioniert im
brigen der Abgleich basierend auf bestimmten Benutzern/Gruppen nicht, weil
die Authentifizierung entfllt.
l Zu diesen Website-Kategorien gehend: Whlen Sie diese Option, umSicher-
heitsprfungen fr bestimmte Kategorien auszunehmen. Whlen Sie dann die
Kategorien aus der Liste aus, die sich nach Auswahl der Bedingung ffnet.
3. Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Umeine Ausnahme zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
9.3.2 Websites
Auf der Registerkarte Web Protection >Filteroptionen >Websites knnen Sie Site-Listen ver-
walten, fr die Sie die Standardkategorie oder den Ruf bergehen mchten.
So fgen Sie einen Eintrag zu Lokale Site-Liste hinzu:
1. Klicken Sie auf die Schaltflche Site hinzufgen.
2. Geben Sie die Sites fr die bergehung ein.
ImTextfeld imDialogfeld Lokale Site(s) hinzufgen knnen URLs, Domnen, IP-Adres-
sen oder CIDR-Bereiche eingegeben werden.
3. Aktivieren Sie optional das Kontrollkstchen Subdomnen einschlieen.
Wenn Sie dieses Kontrollkstchen aktivieren, werden die bergehungen auf alle Sub-
domnen angewendet. Beispiel: Wenn Sie beispiel.de hinzufgen und das Kon-
trollkstchen Subdomnen einschlieen aktivieren, wird auch mail.beispiel.de ber-
gangen.
4. Whlen Sie eine Kategorie oder einen Ruf aus, die/der bergangen werden
soll.
Sie knnen entweder Kategorie, Ruf oder beides bergehen. Sites, die in Lokale Site-Lis-
te definiert sind, werden durch Filteraktionen anhand dieser bergangenen Werte ver-
arbeitet.
5. Fgen Sie optional einen Kommentar hinzu.
Bei groen Site-Listen knnen Sie mit den Symbolen Weiter und Zurck oben auf der Regis-
terkarte durch die Eintrge blttern oder mit demSuchtextfeld nach Elementen suchen. Zum
336 UTM9 WebAdmin
Lschen eines Eintrags klicken Sie auf das Lschen-Symbol neben dembetreffenden Eintrag.
Oder whlen Sie mehrere Elemente aus und klicken Sie auf das Lschen-Symbol ber der Lis-
te.
9.3.3 Benutzer umgehen
Auf der Seite Web Protection >Filteroptionen >Bypass Users knnen Sie Benutzer kon-
figurieren, die Blockierungen umgehen drfen.
So fgen Sie eine vorhandene Gruppe oder einen vorhandenen Benutzer hinzu:
1. Klicken Sie auf Benutzer/Gruppen, die Blockierungen umgehen drfen.
Die Liste der vorhandenen Benutzer und Gruppen wird imlinken Navigationsbereich
angezeigt.
2. Whlen Sie den Benutzer oder die Gruppe aus und ziehen Sie ihn bzw. sie in
das Feld Benutzer/Gruppen, die Blockierungen umgehen drfen.
Das Element wird nun auf der Registerkarte Benutzer umgehen aufgefhrt.
So fgen Sie einen neuen Benutzer hinzu:
1. Klicken Sie auf das grne Plussymbol neben Benutzer/Gruppen, die Blo-
ckierungen umgehen drfen.
Das Dialogfeld Benutzer hinzufgen wird angezeigt.
2. Geben Sie die Benutzerinformationen imDialogfeld Benutzer hinzufgen ein.
Das Hinzufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer
&Gruppen >Benutzer erlutert.
3. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
9.3.4 Potenziell unerwnschte Anwendungen
Auf der Registerkarte Web Protection >Filteroptionen >PUAs knnen Sie Listen autorisierter
potenziell unerwnschter Anwendungen (PUAs) verwalten. Ihre UTMkann Anwendungen, die
in einer Geschftsumgebung potenziell unerwnscht sind, identifizieren und blockieren. Umbei
aktiver Blockierung bestimmte PUAs zuzulassen, fgen Sie den Namen als gemeldet auf der
Blockierungsseite oder in den Protokollen hinzu.
So fgen Sie einen Eintrag zu Lokale Site-Liste hinzu:
UTM9 WebAdmin 337
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
1. Klicken Sie auf das Plussymbol in der Liste Autorisierte PUA.
2. Geben Sie die PUA-Definition ein.
PUA-Definitionen finden Sie, indemSie Protokolle &Berichte >Web Protection >Inter-
netnutzung aufrufen und dann in der Auswahlliste Verfgbare Berichte PUA-Downloads
auswhlen.
3. Klicken Sie auf bernehmen.
Klicken Sie auf das Mensymbol Aktionen ffnen neben demgrnen Plus-Symbol, umeine
Textliste von PUAs zu importieren oder exportieren und die Liste Autorisierte PUAzu lschen.
9.3.5 Kategorien
Auf der Registerkarte Web Protection >Filteroptionen >Kategorien knnen Sie die Zuordnung
zwischen Website-Kategorien und Kategoriengruppen anpassen, die auf der Registerkarte Fil-
teraktionen oder auf der Seite Website-Filter ausgewhlt werden knnen. Sophos UTMkann
unterschiedliche Kategorien von Websites identifizieren und den Zugriff auf sie blockieren.
URL-Klassifizierungsmethoden stellen die Genauigkeit und Vollstndigkeit bei der Ein-
schtzung fragwrdiger Websites sicher. Wenn ein Benutzer eine Webseite aufruft, die nicht in
der Datenbank vorliegt, wird die URL an Webcrawler gesendet und automatisch klassifiziert.
Hinweis Wenn Sie der Meinung sind, dass eine Website falsch kategorisiert ist, knnen Sie
dieses URL-Meldeformular verwenden, umneue Kategorien vorzuschlagen.
UmWebsite-Kategorien einer Kategoriengruppe zuzuordnen, gehen Sie folgendermaen vor:
1. Klicken Sie in der Kategoriengruppe, die Sie ndern wollen, auf Bearbeiten.
Das Dialogfeld Filterkategorie bearbeiten wird geffnet.
2. Whlen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkstchen von Unterkategorien, die Sie hinzufgen wollen,
oder entfernen Sie die Markierung von Unterkategorien, die Sie aus der Gruppe ent-
fernen wollen.
3. Klicken Sie auf Speichern.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Alternativ knnen Sie auch eine neue Filterkategorie anlegen. Gehen Sie folgendermaen vor:
338 UTM9 WebAdmin
1. Klicken Sie oben auf der Seite auf die Schaltflche Neue Filterkategorie.
Das Dialogfeld Filterkategorie erstellen wird geffnet.
2. Geben Sie einen Namen ein.
Geben Sie einen aussagekrftigen Namen fr die neue Filterkategorie ein.
3. Whlen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkstchen von Unterkategorien, die Sie zur Gruppe hin-
zufgen wollen.
4. Klicken Sie auf Speichern.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Umeine Kategorie zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
9.3.6 HTTPS-CAs
Auf der Registerkarte Web Protection >Webfilter >HTTPS-CAs knnen Sie die Signierungs-
und Verifizierungs-Zertifizierungsstellen (CAs) fr HTTPS-Verbindungen verwalten.
Si gni erungs-CA
In diesemAbschnitt knnen Sie Ihr Signierungs-CA-Zertifikat hochladen, das Signierungs-CA-
Zertifikat neu erstellen oder das vorhandene Signierungs-CA-Zertifikat herunterladen. Stan-
dardmig wird das Signierungs-CA-Zertifikat anhand der Informationen erstellt, die bei der
Einrichtung angegeben wurden, d. h. , dass sie den Informationen auf der Registerkarte Ver-
waltung >Systemeinstellungen >Organisatorisches entsprechen, sofern in der Zwischenzeit
keine nderungen vorgenommen wurden.
Umein neues Signierungs-CA-Zertifikat hochzuladen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Hochladen.
Das Dialogfenster PKCS#12-Zertifikatsdatei hochladen wird geffnet.
2. Navigieren Sie zu der Datei, die Sie hochladen wollen.
Klicken Sie auf das Ordnersymbol neben demFeld Datei, klicken Sie imDialogfenster
Datei hochladen auf Durchsuchen, whlen Sie das hochzuladende Zertifikat aus und kli-
cken Sie auf Hochladen starten.
Sie knnen nur Zertifikate imPKCS#12-Format hochladen, die kennwortgeschtzt sind.
UTM9 WebAdmin 339
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
3. Geben Sie das Kennwort ein.
Geben Sie das Kennwort zweimal in die entsprechenden Felder ein und klicken Sie auf
Speichern.
Das neue Signierungs-CA-Zertifikat wird installiert.
UmIhr Signierungs-CA-Zertifikat neu zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neu erstellen.
Das Dialogfeld Neue Signierungs-CAerstellen wird geffnet.
2. ndern Sie die Informationen.
ndern Sie die angegebenen Informationen gem Ihren Bedrfnissen und klicken Sie
auf Speichern.
Das neue Signierungs-CA-Zertifikat wird erstellt. Die Informationen zur Signierungs-CA
imAbschnitt Signierungs-CAndern sich entsprechend.
Umdas Signierungs-CA-Zertifikat herunterzuladen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Herunterladen.
Das Dialogfenster Zertifikatdatei herunterladen wird geffnet.
2. Whlen Sie das Dateiformat aus, das Sie herunterladen wollen.
Sie knnen zwischen zwei verschiedenen Formaten whlen:
l PKCS#12: Dieses Format ist verschlsselt, geben Sie deshalb ein Kennwort fr
den Export ein.
l PEM: Dieses Format ist unverschlsselt.
3. Klicken Sie auf Herunterladen.
Die Datei wird heruntergeladen.
Wenn Sie fr Ihre internen Webserver Zertifikate verwenden, die von einer eigenen CAsigniert
sind, ist es ratsam, dieses CA-Zertifikat in den WebAdmin als vertrauenswrdige Zer-
tifizierungsstelle (Trusted Certificate Authority) hochzuladen. Andernfalls wird Benutzern eine
Fehlermeldung vomWebfilter angezeigt, die ihnen mitteilt, dass das Serverzertifikat nicht ver-
trauenswrdig ist.
Umdie Ausstattung der Clients mit demProxy-CA-Zertifikat zu vereinfachen, knnen Benutzer
das Zertifikat selbst ber http://passthrough.fw-notify.net herunterladen und es in ihremBrow-
ser installieren. Die Website-Anfrage wird direkt vomProxy akzeptiert und verarbeitet. Deshalb
ist es notwendig, zunchst den Webfilter auf der Registerkarte Webfilter >Allgemein zu akti-
vieren.
340 UTM9 WebAdmin
Hinweis Falls der Proxy nicht imTransparenzmodus arbeitet, muss der Proxy imBrowser
des Benutzers aktiviert werden. Sonst kann auf den Download-Link nicht zugegriffen werden.
Wenn das Benutzerportal aktiviert ist, knnen Benutzer alternativ das Proxy-CA-Zertifikat auch
aus demBenutzerportal, Registerkarte HTTPS-Proxy, herunterladen.
HTTPS-Problemen vorbeugen
Wenn Sie HTTPSverwenden, sind Windows-Systemprogramme wie Windows Update und
Windows Defender nicht in der Lage, Verbindungen aufzubauen, weil sie mit
Systembenutzer-Rechten laufen. Dieser Benutzer vertraut aber standardmig der Proxy-
CAnicht. Deshalb ist es notwendig, das HTTPS-Proxy-CA-Zertifikat fr den Systembenutzer
zu importieren. Gehen Sie folgendermaen vor:
1. ffnen Sie unter Windows die Microsoft Management Console (mmc).
2. Klicken Sie imMen auf Datei und dann auf Snap-In hinzufgen/entfernen.
Das Dialogfenster Snap-In hinzufgen/entfernen wird geffnet.
3. Klicken Sie unten imFenster auf Hinzufgen.
Das Dialogfenster Eigenstndiges Snap-In hinzufgen wird geffnet.
4. Whlen Sie aus der Liste Zertifikate und klicken Sie auf Hinzufgen.
Ein Assistent wird geffnet.
5. Whlen Sie Computerkonto und klicken Sie auf Weiter.
6. Stellen Sie sicher, dass Lokaler Computer ausgewhlt ist, und klicken Sie auf
Fertigstellen und dann auf Schlieen.
Das erste Dialogfenster enthlt nun das Objekt Zertifikate (Lokaler Computer).
7. Klicken Sie auf OK.
Das Dialogfenster wird geschlossen und der Konsolenstammenthlt nun das Objekt Zer-
tifikate (Lokaler Computer).
8. ffnen Sie imKonsolenstammlinks Zertifikate > Vertrauenswrdige Stamm-
zertifizierungsinstanzen, klicken Sie mit der rechten Maustaste auf Zertifikate
und whlen Sie Alle Aufgaben > Importieren aus demKontextmen.
Der Import-Assistent wird geffnet.
9. Klicken Sie auf Weiter.
Der nchste Schritt wird angezeigt.
UTM9 WebAdmin 341
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
10. Wechseln Sie zu demzuvor heruntergeladenen HTTPS-Proxy-CA-Zertifikat, kli-
cken Sie auf ffnen und dann auf Weiter.
Der nchste Schritt wird angezeigt.
11. Stellen Sie sicher, dass Alle Zertifikate in folgendemSpeicher speichern aus-
gewhlt ist, und klicken Sie dann auf Weiter und auf Schlieen.
Der Import-Assistent meldet, dass der Import erfolgreich war.
12. Besttigen Sie die Meldung des Import-Assistenten.
Das Proxy-CA-Zertifikat wird nun unter den vertrauenswrdigen Zertifikaten aufgefhrt.
13. Speichern Sie die nderungen.
Klicken Sie imMen auf Datei und dann auf Speichern, umdie nderungen amKon-
solenstammzu speichern.
Nach diesemImportvorgang wird der CAsystemweit vertraut und es sollten keine Ver-
bindungsprobleme aufgrund des HTTPS-Proxys mehr auftreten.
Veri fi zi erungs-CAs
In diesemBereich knnen Sie Ihre Verifizierungs-CAs verwalten. Das sind Zer-
tifizierungsstellen, denen Sie generell vertrauen, d.h. Websites, die gltige Zertifikate vor-
weisen, welche von diesen CAs signiert sind, werden vomHTTPS-Proxy als vertrauenswrdig
eingestuft.
Lokale Verifizierungs-CAs: Sie knnen weitere Verifizierungs-CAs zur untenstehenden CA-
Liste hinzufgen. Gehen Sie folgendermaen vor:
1. Klicken Sie auf das Ordnersymbol neben demFeld Lokale CA hochladen.
Das Dialogfenster Datei hochladen ffnet sich.
2. Whlen Sie das Zertifikat aus, das Sie hochladen wollen.
Klicken Sie auf Durchsuchen und whlen Sie das CA-Zertifikat aus, das Sie hochladen
wollen. Nur PEM-Dateierweiterungen werden fr Zertifikate untersttzt.
3. Laden Sie das Zertifikat hoch.
Klicken Sie auf Hochladen starten, umdas gewhlte Zertifikat hochzuladen.
Das Zertifikat wird installiert und imAbschnitt Lokale Verifizierungs-CAs angezeigt.
Globale Verifizierungs-CAs: Die Liste der hier aufgefhrten Verifizierungs-CAs ist identisch
mit den Verifizierungs-CAs, die in Mozilla Firefox vorinstalliert sind. Sie knnen jedoch einen
oder alle Verifizierungs-CAs auf der Liste deaktivieren, wenn Sie sie nicht fr vertrauenswrdig
halten. Umdas Zertifikat zurckzuziehen (engl. revoke), klicken Sie auf seinen Schieberegler.
342 UTM9 WebAdmin
Der Schieberegler wird daraufhin grau und der HTTP-Proxy akzeptiert nun keine Websites
mehr, die von dieser CAsigniert sind.
Tipp Klicken Sie auf das blaue Infosymbol, umden Fingerabdruck der CAzu sehen.
Der HTTPS-Proxy zeigt Clients eine Fehlerseite mit demHinweis Blocked Content, wenn die
CAunbekannt oder deaktiviert ist. Sie knnen jedoch eine Ausnahme fr solche Seiten erstel-
len: entweder ber den Link Ausnahme anlegen auf der Fehlerseite des Webfilters oder ber
die Registerkarte Web Protection >Filteroptionen >Ausnahmen.
Hinweis Wenn Sie auf den Link Ausnahme anlegen auf der Fehlerseite des Webfilters kli-
cken, wird ein Anmeldedialogfeld angezeigt. Nur Benutzer mit Admin-Rechten knnen Aus-
nahmen anlegen.
9.3.7 Sonstiges
Die Registerkarte Web Protection >Filteroptionen >Sonstiges bietet zustzliche Kon-
figurationsoptionen fr den Webfilter, z.B. Zwischenspeicherung (Caching), Streaming oder
Porteinstellungen.
Sonsti ge Ei nstellungen
Webfilter-Port: In diesemEingabefeld wird die Portnummer fr Client-Anfragen an den Web-
filter festgelegt. Standardmig ist der Port 8080eingetragen.
Hinweis Die Option ist nur gltig, wenn der Proxy nicht imTransparenzmodus arbeitet.
MIME-Blockierung untersucht HTTP-Body: Nicht nur der HTTP-Header wird auf blo-
ckierte MIME-Typen berprft, sondern auch der HTTP-Body. Beachten Sie, dass sich das Ein-
schalten dieser Funktion negativ auf die Leistung des Systems auswirken kann.
Unscannbare und verschlsselte Dateien blockieren: Whlen Sie diese Option, um
Dateien zu blockieren, die nicht gescannt werden konnten. Der Grund hierfr kann unter ande-
remsein, dass Dateien verschlsselt oder beschdigt sind.
Zugelassene Zieldienste: Whlen Sie aus demFeld Zugelassene Zieldienste die Dienste
aus, auf die der Webfilter zugreifen darf. Standardmig sind bereits die Dienste mit Ports ent-
halten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutzt wer-
den: HTTP(Port 80), HTTPS(Port 443), FTP(Port 21), LDAP(Port 389), LDAP-SSL (Port
UTM9 WebAdmin 343
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
636), Webfilter (Port 8080), UTMSpamRelease (Ports 38404840) und UTMWebAdmin (Port
4444).
Standardzeichensatz: Diese Option wirkt sich darauf aus, wie der Proxy Dateinamen imFens-
ter Download-Verwaltung anzeigt. URLs (und Dateinamen, auf die sie vielleicht verweisen), die
in auslndischen Zeichenstzen codiert sind, werden von UTF-8 in den hier definierten Zei-
chensatz umgewandelt, es sei denn, der Server bermittelt einen anderen Zeichensatz. Wenn
Sie sich in einemLand oder einer Region befinden, die einen Zwei-Byte-Zeichensatz ver-
wendet, sollten Sie diese Option auf den nativenZeichensatz fr dieses Land/diese Region
setzen.
Suchdomne: Sie knnen hier eine zustzliche Domne angeben, die durchsucht wird, wenn
der erste DNS-Lookup kein Ergebnis liefert (NXDOMAIN). Dann wird eine zweite DNS-Anfra-
ge gestartet, die die hier angegebene Domne an den ursprnglichen Hostnamen anhngt.
Ein Benutzer gibt http://wikiein und meint damit wiki.intranet.beispiel.de. Die URL kann
jedoch nur aufgelst werden, wenn Sie intranet.beispiel.dein das Feld Suchdomne ein-
tragen.
Authentifizierungs-Zeitberschreitung: Mit dieser Einstellung knnen Sie festlegen, wie
lange (in Sekunden) ein Benutzer nach demAnmelden mit der Authentifizierung imBrow-
sermodus browsen kann. Wenn der Benutzer eine Abmelderegisterkarte geffnet hat, kann er
weiter browsen, ohne sich neu authentifizieren zu mssen, bis diese Registerkarte geschlossen
wird, zuzglich Authentifizierungs-Zeitberschreitung.
Mit dieser Einstellung knnen Sie zudemeinstellen, wie lange (in Sekunden) eine Blo-
ckierungsumgehung oder ein Fortfahren bei Warnung dauert.
Authentifizierungsbereich: Der Authentifizierungsbereich (engl. authentication realm) ist
der Name der Quelle, die ein Browser zusammen mit der Authentifzierungsanfrage anzeigt,
wenn der Proxy imModus Einfache Benutzerauthentifizierung arbeitet. Er legt den geschtzten
Bereich entsprechend der Spezifikation RFC2617 fest. Sie knnen hier einen beliebigen Aus-
druck eingeben.
Transparenzmodus-Ausnahmen
Diese Option ist nur von Bedeutung, wenn der Webfilter imTransparenzmodus arbeitet. Hosts
und Netzwerke, die in den Feldern Hosts/Netze vomTransparenzmodus ausnehmen auf-
gefhrt sind, werden vomHTTP-Proxy nicht transparent berwacht. Es gibt ein Feld fr Quell-
und eines fr Zielhosts/-netzwerke. Umdennoch HTTP-Datenverkehr (ohne Proxy) fr alle die-
se Hosts und Netzwerke zu erlauben, whlen Sie die Option HTTP-Verkehr fr aufgefhrte
344 UTM9 WebAdmin
Hosts/Netze zulassen. Wenn Sie diese Option nicht whlen, mssen Sie spezielle Fire-
wallregeln fr die hier aufgefhrten Hosts und Netzwerke anlegen.
Automati sche Proxy-Konfi gurati on (Proxy Auto Confi gurati on)
The proxy auto configuration is a feature that enables you to centrally provide a proxy auto con-
figuration file (PACfile) which can be fetched by browsers. The browsers will in turn configure
their proxy settings according to the details outlined in the PACfile.
Die PAC-Datei heit wpad.dat, hat den MIME-Typ application/x-ns-proxy-autoconfig
and will be provided by the UTM. Sie enthlt die Informationen, die Sie in das Textfeld ein-
geben, z.B.:
function FindProxyForURL(url, host)
{ return "PROXY proxy.example.com:8080; DIRECT"; }
Die obige Funktion weist den Browser an, alle Seitenanfragen an den Proxy-Server
proxy.beispiel.deauf Port 8080. If the proxy is not reachable, a direct connection to the
Internet will be established.
Der Hostname kann auch als Variable ${asg_hostname}. This is especially useful when you
want to deploy the same PACfile to several Sophos UTMappliances using Sophos UTMMana-
ger. The variable will then be instantiated with the hostname of the respective UTM. Using the
variable in the example above would look like the following:
function FindProxyForURL(url, host)
{ return "PROXY ${asg_hostname}:8080; DIRECT"; }
Umeine PAC-Datei fr Ihr Netzwerk bereitzustellen, haben Sie die folgenden Mglichkeiten:
l Bereitstellung ber Browserkonfiguration: Wenn Sie die Option Automatische Proxy-Kon-
figuration aktivieren auswhlen, steht die PAC-Datei unter folgender URL ber den
UTM-Webfilter zur Verfgung: http://IP-of-UTM:8080/wpad.dat. Umdiese Datei
zu verwenden, geben Sie ihre URL in der automatischen Proxy-Kon-
figurationseinstellung jener Browser an, die den Proxy verwenden sollen.
l Bereitstellung ber DHCP: Sie knnen dafr sorgen, dass Ihr DHCP-Server die URL
der PAC-Datei zusammen mit der Client-IP-Adresse vergibt. Whlen Sie dazu die Opti-
on Automatische Proxy-Konfiguration aktivieren in Ihrer DHCP-Serverkonfiguration aus
(siehe Kapitel Netzwerkdienste >DHCP). Ein Browser holt sich dann automatisch die
PAC-Datei ab und konfiguriert seine Einstellungen entsprechend.
UTM9 WebAdmin 345
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
Hinweis Die Bereitstellung ber DHCPfunktioniert ausschlielich mit demMicrosoft
Internet Explorer. Bei allen anderen Browsern mssen Sie die PAC-Datei manuell
bereitstellen.
bergeordneter Proxy fr URL-Kategori si erung
Geben Sie einen Proxy-Server fr die URL-Kategorisierungssuche ein, wenn Sie keinen direk-
ten Internetzugriff haben. Diese Option ist nur verfgbar, wenn bei Ihnen Endpoint Protection
aktiviert ist oder wenn Sie lokale Suchanfragen durchfhren. Bei lokalen Suchanfragen legen
Sie mit dieser Option den Proxy fest, der zumHerunterladen von Kate-
gorisierungsaktualisierungen in die UTMverwendet wird.
Webfi lter-Zwi schenspei cherung
Zwischenspeichern aktivieren: Wenn diese Option aktiviert ist, hlt der Webfilter einen Zwi-
schenspeicher auf Festplatte vor, umAnfragen zu hufig besuchten Webseiten schneller beant-
worten zu knnen.
l SSL-Inhalte zwischenspeichern: Whlen Sie diese Option, umSSL-verschlsselte
Daten ebenfalls unverschlsselt auf der Festplatte zu speichern.
l Inhalte mit Cookies zwischenspeichern: Cookies werden oft fr Authen-
tifizierungszwecke verwendet. Wenn diese Option aktiviert ist, werden HTTP-Antworten,
die Cookies enthalten, ebenfalls zwischengespeichert. Dieses Vorgehen kann aber zu
Datenschutz-Problemen fhren, da Benutzer, die auf die gleiche Seite zugreifen wollen,
sehr wahrscheinlich die Seite aus demCache erhalten, welche dann den Cookie eines
anderen Benutzers enthlt.
Wichtiger Hinweis Das Zwischenspeichern von SSL- und/oder Cookie-Inhalten
stellt ein wichtiges Sicherheitsproblemdar, da die Inhalte von jedemBenutzer mit
SuperAdmin-Rechten eingesehen werden knnen.
l Zwischenspeichern fr Sophos-Endpoint-Aktualisierungen erzwingen:Wenn
die Option aktiviert ist, werden bestimmte Daten, die imZusammenhang mit Endpoint-
Anfragen an Sophos-Auto-Update (SAU) stehen, zwischengespeichert. Wir empfehlen,
diese Funktion zu aktivieren, wenn Sie Endpoint Protection verwenden. Ist die Option
deaktiviert, werden diese Daten nicht zwischengespeichert. Dies kann zu Uplink-Eng-
pssen fhren, wenn viele Endpoints gleichzeitig versuchen, Daten von den Update-Ser-
vern imInternet herunterzuladen.
346 UTM9 WebAdmin
Zwischenspeicher leeren: Sie knnen alle zwischengespeicherten Seiten lschen, indem
Sie auf Zwischenspeicher leeren klicken.
Streami ng-Ei nstellungen:
Streaming-Inhalte nicht scannen: Wenn diese Option aktiviert ist, werden typische Audio-
und Video-Streaming-Inhalte nicht auf ihren Inhalt hin gescannt. Das Abschalten dieser Option
wird die meisten Mediastreams praktisch deaktivieren, da sie nicht in vertretbarer Zeit gescannt
werden knnen. Daher wird empfohlen, diese Option eingeschaltet zu lassen.
Apple OpenDi rectory Si ngle Si gn-On
Wenn Sie Apple OpenDirectory SSOals Authentifizierungsmethode nutzen, mssen Sie eine
MACOSXSingle Sign-On Kerberos-Schlsseldatei hochladen, damit die Authentifizierung
funktioniert. Generieren Sie die Schlsseldatei und laden Sie sie durch einen Klick auf das Ord-
nersymbol hoch. Weitere Informationen dazu, wie Sie die Schlsseldatei generieren knnen,
finden Sie in der Kerberos-Dokumentation.
Zerti fi kat fr Endbenutzersei ten
Die UTMverwendet HTTPSfr Benutzerbenachrichtigungen, zur Browserauthentifizierung
und anderen sicheren Benutzerinteraktionen. Standardmig verwendet die UTMein auto-
matisch generiertes Zertifikat fr diese HTTPS-Verbindungen. Sie knnen mit dieser Option
ein benutzerdefiniertes Zertifikat fr HTTPS-Seiten verwenden, die demEndbenutzer ange-
zeigt werden. Umein eigenes, benutzerdefiniertes Zertifikat fr diese HTTPS-Verbindungen
zu verwenden, laden Sie es zunchst ber Fernzugriff >Zertifikatverwaltung >Zertifikate hoch
und whlen Sie es dann aus und aktualisieren Sie Ihre Einstellungen hier.
Hinweis Der angegebene Hostname: ist die Basisdomne fr das Zertifikat, das Sie ver-
wenden. Die UTMhngt dann das Prfix passthrough. oder passthrough6. fr diese Dom-
ne an. Das Zertifikat muss fr passthrough (und passthough6) als Common Name, Subject
Alternate Name oder, was amhufigsten vorkommt, als Platzhalterzertifikat gltig sein,
sodass Sie jeden Host als Prfix an die Domne anhngen knnen. Auerdemmssen Sie
als DNSfr passthrough und passthrough6 bestimmte IP-Adressen einstellen. Wenn Sie die
UTMals DNS-Server verwenden, erfolgt dies automatisch. Wenn Sie einen anderen DNS-
Server verwenden, mssen Sie diese Eintrge dort erstellen.
UTM9 WebAdmin 347
9 Web Protection 9.3 Filteroptionen
9.4 Richtlinientest 9 Web Protection
9.4 Richtlinientest
Auf der Seite Web Protection >Richtlinientest knnen Sie URLs mit Ihren vorhandenen Web-
filter-Profilen testen. Umeine URL mit Ihrer aktuellen Richtlinie zu testen, gehen Sie wie folgt
vor:
1. Geben Sie die URL ein, die Sie testen mchten.
2. Geben Sie die Quell-IP-Adresse ein.
Unterschiedliche Quellnetzwerke weisen mglicherweise unterschiedliche Webfilter-Pro-
file auf. Wenn das Netzwerk mehr als ein Profil enthlt, wird das Profil mit der hchsten
Prioritt vomRichtlinientester verwendet.
3. Geben Sie optional einen Benutzer ein, unter dessen Identitt Sie die Anfrage
testen mchten.
Benutzer knnen unter unterschiedliche Webfilter-Profile fallen.
4. Geben Sie optional einen Zeitpunkt fr die Anfrage ein.
Webfilter-Profile knnen mit tageszeitbasierten Regeln konfiguriert werden.
5. Klicken Sie auf Test.
Die Ergebnisse Ihrer Testparameter werden imFeld Richtlinientestergebnisse angezeigt.
Hinweis Wenn Sie eine URL mir Ihren Webfilter-Profilen testen, ldt die Seite Web Pro-
tection >Richtlinientest keine Inhalte herunter und fhrt keine berprfungen auf Schad-
software, MIME-Typen oder Dateierweiterungen durch. Das tatschliche Filterverhalten
kann je nach den von der URL gehosteten Inhalten abweichen.
Hinweis Der korrekte Authentifizierungsserver muss auf der Seite Definitionen &Benutzer
>Authentifizierungsdienste >Server hinzugefgt werden, damit der Test funktioniert.
9.5 Application Control
Die Application-Control-Funktion von UTMermglicht Ihnen Traffic Shaping und Blockieren
von Netzwerkverkehr basierend auf der Art des Verkehrs. ImGegensatz zur Webfilter-Funk-
tion von UTM(siehe Kapitel Webfilter) unterscheidet der Klassifizierungsmechanismus von App-
lication Control Netzwerkverkehr nicht nur nach Protokoll oder URL, sondern nimmt
348 UTM9 WebAdmin
detailliertere Unterscheidungen vor. Besonders bei Internetverkehr ist dies ntzlich: Verkehr zu
Websites erfolgt normalerweise ber das HTTP-Protokoll auf Port 80 oder das HTTPS-Pro-
tokoll auf Port 443. Wenn Sie Verkehr zu einer bestimmten Website, z.B. facebook.com, blo-
ckieren mchten, knnen Sie das auf Grundlage der URL der Website (Webfilter) kon-
figurieren. Sie knnen Verkehr zu Facebook auch unabhngig von einer URL ber eine
Klassifizierung des Netzwerkverkehrs blockieren.
Die Klassifizierungsengine von UTMnutzt Layer-7-Packet-Inspection fr die Klassifizierung von
Netzwerkverkehr.
Application Control kann auf zweifache Weise genutzt werden. In einemersten Schritt mssen
Sie Application Control auf der Seite Netzwerksichtbarkeit generell aktivieren, sodass Anwen-
dungen in gewisser Hinsicht sichtbarwerden. Jetzt knnen Sie die Einstellung so bestehen las-
sen (beispielsweise fr einen bestimmten Zeitraum), umzu sehen, welche Anwendungen von
den Benutzern genutzt werden (z.B. imFlow-Monitor, in der Protokollierung, in der Berichter-
stellung). In einemzweiten Schritt knnen Sie bestimmte Anwendungen blockieren und andere
zulassen. Dies erreichen Sie mit Hilfe von Regeln, die auf der Seite Application-Control-Regeln
erstellt werden knnen. Zudemknnen Sie festlegen, dass Datenverkehr bestimmter Anwen-
dungen bevorzugt behandelt wird. Die Konfiguration erfolgt ber die Dienstqualitt-Funktion
(QoS) von Sophos.
9.5.1 Netzwerksichtbarkeit
Auf der Seite Web Protection >Application Control >Netzwerksichtbarkeit knnen Sie App-
lication Control aktivieren und deaktivieren.
Wenn Application Control aktiviert ist, wird der gesamte Netzwerkverkehr klassifiziert und ent-
sprechend seiner Klassifizierung protokolliert. Aktueller Netzwerkverkehr kann ber den Flow-
Monitor mit detaillierten Angaben zur Art des Datenverkehrs angezeigt werden (siehe Kapitel
Flow-Monitor). So werden beispielsweise Daten zumHTTP-Verkehr detailliert auf-
geschlsselt, sodass die zugrunde liegenden Anwendungen (z.B. Twitter, Facebook usw.)
ersichtlich sind. Umden Flow-Monitor zu ffnen, whlen Sie die gewnschte Schnittstelle im
Bereich Flow-Monitor und klicken Sie auf Flow-Monitor ffnen.
Fr Protokollierung und Berichterstellung sind umfangreiche Daten zu Netzwerkverkehr und
Klassifizierung sowie Daten zu Clients und Servern verfgbar, die die Anwendungen nutzen.
Weitere Informationen zu Protokollierung und Berichterstellung finden Sie imKapitel Pro-
tokollierung &Berichterstellung. Lesen Sie den Abschnitt Protokolldatei-Ansicht fr die Pro-
UTM9 WebAdmin 349
9 Web Protection 9.5 Application Control
9.5 Application Control 9 Web Protection
tokollierung und den Abschnitt Netzwerknutzung >Bandbreitennutzung und Web Protection >
Application Control fr die Berichterstellung.
9.5.2 Application-Control-Regeln
Auf der Seite Web Protection >Application Control >Application-Control-Regeln knnen Sie
Regeln erstellen, die auf einer Klassifizierung des Netzwerkverkehrs basieren und Anwen-
dungen definieren, deren Datenverkehr fr Ihr Netzwerk blockiert oder ausdrcklich zuge-
lassen werden soll.
Standardmig wird smtlicher Netzwerkverkehr zugelassen, wenn Application Control akti-
viert ist.
Application-Control-Regeln knnen entweder auf dieser Seite oder ber den Flow-Monitor
erstellt werden. Letzteres ist eventuell bequemer, doch so knnen Sie nur Regeln fr den aktu-
ell imNetzwerk auftretenden Datenverkehr erstellen.
Umeine Application-Control-Regel zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Application-Control-Regeln auf Neue Regel.
Das Dialogfeld Neue Regel anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name (optional): Sie knnen einen Namen fr die Regel eingeben. Wenn Sie das Feld
leer lassen, generiert das Systemeinen Namen fr die Regel.
Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Aus-
wahlliste ber der Liste knnen Sie die Regeln nach Ihrer Gruppe filtern. Die Zuge-
hrigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss
auf die Abarbeitung der Regeln. Umeine Gruppe anzulegen, whlen Sie den Eintrag <<
Neue Gruppe >>und geben Sie einen aussagekrftigen Namen in der Feld Name ein.
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen.
Aktion: Whlen Sie aus, ob der Datenverkehr blockiert oder zugelassen werden soll.
Kontrollieren durch: Whlen Sie aus, ob der Datenverkehr nach Anwendungsart
oder durch einen dynamischen Filter kontrolliert werden soll, der unterschiedliche Kate-
gorien bercksichtigt.
350 UTM9 WebAdmin
l Anwendungen: Der Verkehr wird anwendungsbasiert reguliert. Whlen Sie im
Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l Dynamischer Filter: Der Datenverkehr wird basierend auf Kategorien kon-
trolliert. Whlen Sie imFeld Diese Kategorien kontrollieren eine oder mehrere
Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Klicken Sie auf das Ordnersymbol,
umAnwendungen/Kategorien auszuwhlen. Ein Dialogfenster wird geffnet, das im
nchsten Abschnitt detailliert beschrieben wird.
Hinweis Einige Anwendungen knnen nicht blockiert werden. Dies ist fr einen rei-
bungslosen Betrieb von Sophos UTMerforderlich. Bei diesen Anwendungen wird in
der Anwendungstabelle des Dialogfensters Anwendung auswhlen kein Aus-
wahlkstchen angezeigt. Dies trifft u.a. fr den WebAdmin, Teredo, SixXs (fr IPv6-
Verkehr) und Portal (fr Benutzerportal-Verkehr) zu.Auch bei der Verwendung dyna-
mischer Filter wird das Blockieren dieser Anwendungen automatisch verhindert.
Produktivitt (nur mit Dynamischer Filter): Gibt den von Ihnen gewhlten Pro-
duktivittswert wieder.
Risiko (nur mit Dynamischer Filter): Gibt den von Ihnen gewhlten Risikowert wieder.
Fr: Whlen Sie in diesemFeld Netzwerke oder Hosts aus, deren Netzwerkverkehr von
der Regel kontrolliert werden soll. Dies gilt nur fr Quellhosts/-netzwerke. Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Protokollieren: Diese Option ist standardmig ausgewhlt und ermglicht das Pro-
tokollieren von Datenverkehr, auf den die Regel zutrifft.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Application-Control-Regeln angezeigt.
Das Di alogfenster zur Auswahl von Anwendungen oder Kate-
gori en
BeimErstellen von Application-Control-Regeln mssen Sie Anwendungen oder Anwen-
dungskategorien aus demDialogfenster Whlen Sie eine oder mehrere
UTM9 WebAdmin 351
9 Web Protection 9.5 Application Control
9.5 Application Control 9 Web Protection
Anwendungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle imunteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die
auswhlbar sind oder zu einer definierten Kategorie gehren. Standardmig werden alle
Anwendungen angezeigt.
Imoberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschrnkt werden kann:
l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst
alle verfgbaren Kategorien. Standardmig sind alle Kategorien ausgewhlt; d.h. alle
verfgbaren Anwendungen werden unten in der Tabelle gelistet. Mchten Sie die ange-
zeigten Anwendungen auf bestimmte Kategorien beschrnken, klicken Sie in die Liste
mit den Kategorien und whlen Sie nur die gewnschte(n) Kategorie(n) aus.
l Produktivitt: Die Anwendungen werden zudemnach ihrer Auswirkung auf die Pro-
duktivitt klassifiziert, d.h., wie stark sie die Produktivitt beeinflussen. Beispiel: Sales-
force, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung der
Anwendung trgt somit zur Produktivitt bei. ImGegensatz dazu ist das Onlinespiel Farm-
ville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitzt die
Bewertung 3 er wirkt sich neutral auf die Produktivitt aus.
l Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je hher die Bewertung, desto hher das
Risiko.
Tipp Jede Anwendung verfgt ber ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie knnen die Tabelle mit Hilfe des Fil-
terfelds in der Kopfzeile durchsuchen.
Abhngig davon, welchen Kontrolltyp Sie imDialogfeld Neue Regel anlegen ausgewhlt
haben, gehen Sie folgendermaen vor:
l Kontrolle durch dynamischen Filter: Whlen Sie imFeld Kategorie die Kategorien aus
und klicken Sie auf bernehmen, umdie ausgewhlten Kategorien fr die Regel zu ber-
nehmen.
l Kontrollieren durch Anwendungen: Whlen Sie die zu kontrollierenden Anwendungen in
der Tabelle aus, indemSie auf die Auswahlkstchen klicken, die vor den Anwendungen
angezeigt werden. Klicken Sie auf bernehmen, umdie ausgewhlten Anwendungen
fr die Regel zu bernehmen.
352 UTM9 WebAdmin
NachdemSie auf bernehmen geklickt haben, wird das Dialogfenster geschlossen und Sie kn-
nen die Einstellungen der Anwendungsregel weiter bearbeiten.
9.5.3 Erweitert
Auf der Seite Web Protection >Application Control >Erweitert knnen Sie erweiterte Optionen
fr Application Control konfigurieren.
Appli cati on-Control-Ausnahmen
In diesemFeld aufgefhrte Hosts und Netzwerke werden nicht von Application Control ber-
wacht und knnen deshalb weder von Application Control noch von der Quality-of-Service-Aus-
wahl kontrolliert werden. Das gilt sowohl fr Quell- als auch fr Zielhosts/-netzwerke.
9.6 FTP
Auf der Registerkarte Web Protection >FTPknnen Sie den FTP-Proxy konfigurieren. Das
File Transfer Protocol (FTP) ist ein weit verbreitetes Netzwerkprotokoll, umDateien ber das
Internet auszutauschen. Sophos UTMbietet einen Proxydienst, der als Zwischenstation fr
allen FTP-Verkehr in IhremNetzwerk agiert. Dabei bietet der FTP-Proxy ntzliche Funktionen
wie das Scannen von FTP-Verkehr auf Viren oder das Blockieren von bestimmten Dateitypen,
die ber das FTP-Protokoll bertragen werden.
Der FTP-Proxy kann transparent arbeiten, das heit, alle FTP-Clients in IhremNetzwerk bau-
en eine Verbindung mit demProxy auf anstatt mit demwirklichen Zielhost. Der Proxy initiiert
dann anhand der Anfrage eine neue Netzwerkverbindung, die fr den Client unsichtbar bleibt.
Der Vorteil dieses Modus ist, dass keine zustzliche Verwaltung oder clientseitige Konfiguration
ntig ist.
9.6.1 Allgemein
Auf der Registerkarte Web Protection >FTP>Allgemein knnen Sie die Grundeinstellungen
fr den FTP-Proxy vornehmen.
Umden FTP-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den FTP-Proxy auf der Registerkarte Allgemein.
Klicken Sie auf den Schieberegler.
UTM9 WebAdmin 353
9 Web Protection 9.6 FTP
9.6 FTP 9 Web Protection
Der Schieberegler wird gelb und der Bereich FTP-Einstellungen kann bearbeitet wer-
den.
2. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus, die den FTP-Proxy verwenden drfen.
3. Whlen Sie einen Betriebsmodus aus.
Whlen Sie einen Betriebsmodus fr den FTP-Proxy aus. Die folgenden Modi sind mg-
lich:
l Transparent: Der Proxy leitet die Clientanfragen an den Zielserver weiter und
scannt den Inhalt. Es ist keine Konfiguration auf Clientseite notwendig.
l Nicht transparent: Fr diesen Modus mssen Sie die FTP-Clients kon-
figurieren. Verwenden Sie die IP-Adresse des Gateways und Port 2121.
l Beide: Dieser Modus ermglicht Ihnen, fr einige Clients den transparenten
Modus zu verwenden und fr andere den nicht transparenten Modus. Kon-
figurieren Sie fr die FTP-Clients, die imnicht transparenten Modus betrieben wer-
den sollen, die Verwendung eines Proxy mit der IP-Adresse des Gateways und
Port 2121.
4. Klicken Sie auf bernehmen.
Ihre Einstellungen werden gespeichert.
Hinweis Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory
als Authentifizierungsmethode verwenden. UmFTP-Clients zu ermglichen, sich mit einem
solchen FTP-Server zu verbinden, fgen Sie den FTP-Server zu den FTP-Proxy-Aus-
nahmen auf der Registerkarte Erweitert hinzu.
9.6.2 Antivirus
Die Registerkarte Web Protection >FTP>Antivirus enthlt alle Manahmen gegen schd-
lichen oder gefhrlichen Inhalt wie Viren, Wrmer oder andere Schadsoftware, die fr FTP-
Verkehr eingesetzt werden knnen.
Antiviren-Scan verwenden: Wenn Sie diese Option aktivieren, wird der FTP-Datenverkehr
gescannt. Sophos UTMbietet mehrere Antiviren-Mechanismen fr hchste Sicherheit.
l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte
Systemeinstellungen >Scan-Einstellungen festgelegte Engine wird verwendet.
354 UTM9 WebAdmin
l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von
zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit
einemBasicGuard-Abonnement nicht verfgbar ist.
Max. Scangre: Legen Sie die Maximalgre von Dateien fest, die von den Antiviren-Engi-
nes gescannt werden sollen. Dateien, die grer sind, werden nicht gescannt.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Hinweis In Archiven (z.B. zip-Dateien) gespeicherte Dateien knnen nicht nach blo-
ckierten Dateitypen, blockierten Erweiterungen oder blockierten MIME-Typen durchsucht
werden. Wenn Sie Ihr Netzwerk vor diesen in Archiven gespeicherten Dateien schtzen
mchten, sollten Sie Dateitypen wie zip, rar usw. generell blockieren.
Datei erwei terungenfi lter
Diese Funktion filtert bestimmte FTP-Transfers basierend auf den bermittelten Datei-
erweiterungen (z.B. ausfhrbare Binrdateien) aus demInternetverkehr heraus, wenn diese
eine Dateierweiterung besitzen, die in der Liste Blockierte Erweiterungen aufgefhrt ist. Sie kn-
nen weitere Dateierweiterungen hinzufgen oder solche Erweiterungen aus der Liste lschen,
die nicht blockiert werden sollen. Umeine Dateierweiterung hinzuzufgen, klicken Sie auf das
Plussymbol imFeld Blockierte Erweiterungen und geben Sie die Dateierweiterung ein, die blo-
ckiert werden soll, zumBeispiel exe(ohne den Punkt als Trennzeichen).Klicken Sie auf ber-
nehmen, umIhre Einstellungen zu speichern.
9.6.3 Ausnahmen
Auf der Registerkarte FTP>Ausnahmen knnen Sie Hosts/Netzwerke definieren, die von
bestimmten Sicherheitsoptionen, die der FTP-Proxy bietet, ausgenommen werden sollen.
Umeine Ausnahme zu definieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahmenliste erstellen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Ausnahme ein.
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen, die nicht durch-
gefhrt werden sollen:
UTM9 WebAdmin 355
9 Web Protection 9.6 FTP
9.6 FTP 9 Web Protection
l Antivirenprfung: Whlen Sie diese Option, umdie Virenscanfunktion zu deak-
tivieren, die Datenverkehr nach unerwnschten Inhalten wie Viren, Trojanischen
Pferden und hnlichemdurchsucht.
l Dateierweiterungen: Whlen Sie diese Option, umden Dateierweiterungenfilter
zu deaktivieren, der verwendet werden kann, umDateibertragungen basierend
auf Dateierweiterungen zu blockieren.
l Zugelassene Server: Whlen Sie diese Option, umdie Prfung auf zugelassene
Server zu deaktivieren, die auf der Registerkarte Erweitert angegeben werden
knnen. Wenn diese Option ausgewhlt ist, knnen die gewhlten Clienthosts/-
netzwerke auf alle FTP-Server zugreifen und die gewhlten Serverhosts/-netz-
werke sind fr alle Clients erlaubt.
Fr diese Clienthosts/-netzwerke: Wenn Sie diese Option whlen, wird das Feld Cli-
enthosts/-netzwerke geffnet. Whlen Sie die Clienthosts/-netzwerke aus, die von den
Sicherheitsprfungen dieser Ausnahmenregel ausgenommen werden sollen.
ODERFr diese Serverhosts/-netzwerke: Wenn Sie diese Option whlen, wird das
Feld Serverhosts/-netzwerke geffnet. Whlen Sie die Serverhosts/-netzwerke aus, die
von den Sicherheitsprfungen dieser Ausnahmenregel ausgenommen werden sollen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Umeine Ausnahme zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
9.6.4 Erweitert
Auf der Registerkarte FTP>Erweitert knnen Sie Hosts und Netzwerke angeben, die nicht mit
demTransparenzmodus des FTP-Proxy berwacht werden sollen. Auerdemknnen Sie fest-
legen, auf welche FTP-Server zugegriffen werden darf.
FTP-Proxy-Ausnahmen
Hier aufgefhrte Hosts und Netzwerke (sowohl FTP-Clients als auch FTP-Server) sind von der
transparenten berwachung des FTP-Verkehrs ausgenommen. Umjedoch FTP-Verkehr fr
diese Hosts und Netzwerke zuzulassen, whlen Sie die Option FTP-Verkehr fr aufgefhrte
356 UTM9 WebAdmin
Hosts/Netze zulassen. Wenn Sie diese Option nicht whlen, mssen Sie spezielle Fire-
wallregeln fr die hier aufgefhrten Hosts und Netzwerke anlegen.
Hinweis Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory
als Authentifizierungsmethode verwenden. Damit sich FTP-Clients mit einemsolchen FTP-
Server verbinden knnen, fgen Sie den Server zu den FTP-Proxy-Ausnahmen hinzu.
FTP-Server
Whlen Sie FTP-Server aus oder fgen Sie FTP-Server hinzu, auf die von Ihren Hosts/Ihrem
Netzwerk aus zugegriffen werden darf. Sie knnen Ausnahmen fr einige FTP-Clients oder
FTP-Server auf der Registerkarte Ausnahmen anlegen, umdiese Liste zu umgehen.
UTM9 WebAdmin 357
9 Web Protection 9.6 FTP
10 Email Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Email-Protection-Funktionen
von Sophos UTMkonfigurieren. Die Seite Email-Protection-Statistik imWebAdmin gibt einen
berblick ber die zehn aktivsten E-Mail-Versender, E-Mail-Empfnger, Spam-Versender
(nach Land), erkannte Schadsoftware und gleichzeitige Verbindungen des aktuellen Datums.
In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick auf den Link leitet Sie zur ent-
sprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie weitere statistische
Informationen finden knnen.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l SMTP
l SMTP-Profiles
l POP3
l Encryption
l SPXEncryption
l Quarantnebericht
l Mail-Manager
10.1 SMTP
ImMen Email Protection >SMTPknnen Sie den SMTP-Proxy konfigurieren. SMTPist die
Abkrzung fr Simple Mail Transfer Protocol, ein Protokoll, das zumAusliefern von E-Mails an
einen Mailserver verwendet wird. Sophos UTMbesitzt ein Gateway auf Anwendungsebene fr
SMTP, das dazu genutzt werden kann, Ihren internen Mailserver vor Angriffen aus demInter-
net zu schtzen. Auerdembietet es effektive Antivirenscan- und E-Mail-Filterungs-Dienste.
Hinweis Damit der SMTP-Proxy korrekt funktioniert, muss ein gltiger Namensserver
(DNS) konfiguriert sein.
10.1 SMTP 10 Email Protection
10.1.1 Allgemein
Auf der Registerkarte Email Protection >SMTP>Allgemein knnen Sie festlegen, ob Sie fr die
Konfiguration von SMTPden Einfachen Modus oder den Profilmodus verwenden wollen.
1. Aktivieren Sie SMTP.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und der Abschnitt Konfigurationsmodus kann nun bear-
beitet werden.
2. Whlen Sie einen Konfigurationsmodus.
Einfacher Modus: Verwenden Sie diesen Modus, falls alle Domnen dieselben Ein-
stellungen teilen. Dennoch knnen Sie Ausnahmen definieren, die auf Domnennamen,
E-Mail-Adressen und Hosts basieren. Es besteht keine Einschrnkung in der Funk-
tionalitt imVergleich zumProfilmodus.
Profilmodus: (nicht verfgbar mit demBasicGuard-Abonnement): In diesemModus
knnen Sie globale Einstellungen, z.B. fr Antispamoder Antivirus, fr individuelle Dom-
nen oder Domnengruppen berschreiben oder erweitern, indemSie fr diese imMen
SMTP-Profile Profile anlegen. Die Einstellungen imMen SMTPgelten weiterhin fr die
ihnen zugeteilten Domnen, zustzlich dienen die als Standardeinstellungen fr die Pro-
file. Wenn Sie den Profilmodus whlen, finden Sie zu einigen Einstellungen zustzliche
Hinweise mit Empfehlungen bezglich des Profilmodus und zumVerhalten der UTM.
3. Klicken Sie auf bernehmen.
Der gewhlte Modus wird aktiviert.
Globale SPX-Vorlage
Dieser Bereich ist verfgbar, wenn die SPX-Verschlsselung aktiviert ist. Whlen Sie aus der
Auswahlliste die SPX-Vorlage aus, die global verwendet werden soll. Wenn Sie fr SMTPden
einfachen Modus verwenden, wird diese Vorlage fr alle SMTP-Benutzer verwendet. Wenn
Sie fr SMTPden Profilmodus verwenden, wird diese Vorlage fr alle SMTP-Profile ver-
wendet, fr die keine eigene SPX-Vorlage ausgewhlt ist.
Li ve-Protokoll
ImSMTP-Live-Protokoll werden die Aktivitten von SMTPprotokolliert. Klicken Sie auf die
Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
360 UTM9 WebAdmin
10.1.2 Routing
Auf der Registerkarte Routing knnen Sie Domnen- und Routingziele fr den SMTP-Proxy
konfigurieren.
Umdas SMTP-Proxy-Routing zu konfigurieren, gehen Sie folgendermaen vor:
1. Geben Sie Ihre interne(n) Domne(n) ein.
UmE-Mail-Domnen einzugeben, klicken Sie auf das Plussymbol imFeld Domnen.
Geben Sie imangezeigten Textfeld die Domne in der Formbeispiel.deein und kli-
cken Sie auf bernehmen. Wiederholen Sie diesen Schritt bis alle Domnen aufgefhrt
sind. Sie knnen Wildcards auf unterschiedliche Weisen verwenden. ZumBeispiel
*.ich.meinefirma.de, *.meinefirma.de, *.ich.meinefirma.*e,
**.meinefirma.*. Es ist nicht erlaubt, nur "*" zu verwenden.
ImProfilmodus: Geben Sie nur Domnen ein, die globale Einstellungen verwenden. Alle
anderen Domnen sollten in ihren jeweiligen Profilen aufgefhrt sein.
2. Geben Sie den internen Server an.
Whlen Sie aus der Auswahlliste Routen nach den Host aus, zu demE-Mails fr die oben
aufgefhrten Domnen weitergeleitet werden sollen. Ein blicher Zielhost wre der
Microsoft Exchange Server in Ihremlokalen Netzwerk. Sie knnen zwischen ver-
schiedenen Servertypen whlen:
l Statische Hostliste: Whlen Sie eine Hostdefinition der Zielroute aus demFeld
Hostliste. Beachten Sie, dass Sie mehrere Hostdefinitionen whlen knnen, um
ein einfaches Failover gewhrleisten zu knnen. Wenn die Zustellung an den ers-
ten Host fehlschlgt, werden die Mails zumnchsten Host geroutet. Die (sta-
tische) Reihenfolge der Hosts kann in der aktuellen Version von Sophos UTM
jedoch nicht festgelegt werden und ist etwas zuf