Utm9202 Manual de 01

Sophos UTM
administration guide
Produktversion:9.202
Erstellungsdatum:Mittwoch, 11. Juni 2014
Die in dieser Dokumentation enthaltenen Angaben und Daten knnen ohne vorherige Ankndigung
gendert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind frei erfunden,
soweit nichts anderes angegeben ist. Ohne ausdrckliche schriftliche Erlaubnis von Sophos Limited
darf kein Teil dieser Unterlagen fr irgendwelche Zwecke vervielfltigt oder bertragen werden, unab-
hngig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies
geschieht. bersetzungen dieses Originals mssen folgendermaen markiert werden: Translation of
the original manual.
2014 Sophos Limited. Alle Rechte vorbehalten.
http://www.sophos.com
Sophos UTM, Sophos UTMManager, Astaro Security Gateway, Astaro Command Center, Astaro
Gateway Manager und WebAdmin sind Marken von Sophos Limited. Cisco ist ein registriertes Mar-
kenzeichen von Cisco Systems Inc. iOSist ein Markenzeichen von Apple Inc. Linux ist ein Mar-
kenzeichen von Linus Torvalds. Alle weiteren Markenzeichen stehen ausschlielich den jeweiligen Inha-
bern zu.
Einschrnkung der
Gewhrleistung
Fr die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie bernommen. Hinweise auf Feh-
ler und Verbesserungen nehmen wir gerne unter der E-Mail-Adresse nsg-docu@sophos.coment-
gegen.
Inhaltsverzeichnis
1 Installation 15
1.1 Empfohlene Lektre 15
1.2 Systemanforderungen 16
1.2.1 USV-Untersttzung 17
1.2.2 RAID-Untersttzung 17
1.3 Installationsanleitung 17
1.3.1 Tastenfunktionen whrend der Installation 18
1.3.2 Besondere Optionen whrend der Installation 18
1.3.3 Installation von Sophos UTM 19
1.4 Grundkonfiguration 22
1.5 Backup-Wiederherstellung 28
2 WebAdmin 31
2.1 WebAdmin-Men 32
2.2 Symbolleiste 34
2.3 Listen 35
2.4 Suche in Listen 36
2.5 Dialogfelder 37
2.6 Schaltflchen und Symbole 38
2.7 Objektlisten 40
3 Dashboard 43
3.1 Dashboard-Einstellungen 45
3.2 Flow-Monitor 47
4 Verwaltung 51
4.1 Systemeinstellungen 52
4.1.1 Organisatorisches 52
4.1.2 Hostname 52
4.1.3 Zeit und Datum 53
4.1.4 Shell-Zugriff 56
4.1.5 Scan-Einstellungen 57
4.1.6 Zurcksetzung 57
4.2 WebAdmin-Einstellungen 59
4.2.1 Allgemein 59
4.2.2 Zugriffskontrolle 60
4.2.3 HTTPS-Zertifikat 62
4.2.4 Benutzereinstellungen 63
4.2.5 Erweitert 64
Inhaltsverzeichnis
4.3 Lizenzen 67
4.3.1 Erwerb einer Lizenz 67
4.3.2 Lizenzmodell 69
4.3.3 bersicht 73
4.3.4 Installation 73
4.3.5 Aktive IP-Adressen 74
4.4 Up2Date 74
4.4.1 bersicht 75
4.4.2 Konfiguration 77
4.4.3 Erweitert 78
4.5 Backups 79
4.5.1 Backup/Wiederherstellen 80
4.5.2 Automatische Backups 83
4.6 Benutzerportal 84
4.6.1 Allgemein 87
4.6.2 Erweitert 88
4.7 Benachrichtigungen 89
4.7.1 Allgemein 90
4.7.2 Benachrichtigungen 90
4.7.3 Erweitert 91
4.8 Anpassungen 91
4.8.1 Allgemein 92
4.8.2 Web-Meldungen 93
4.8.2.1 Web-Meldung ndern 95
4.8.2.2 Download-Verwaltung 95
4.8.3 Web-Vorlagen 97
4.8.3.1 Web-Vorlagen anpassen 97
4.8.3.2 Benutzerspezifische Web-Vorlagen und Bilder hochladen 98
4.8.4 E-Mail-Mitteilungen 99
4.9 SNMP 99
4.9.1 Anfrage 100
4.9.2 Traps 102
4.10 Zentrale Verwaltung 103
4.10.1 Sophos UTMManager 103
4.11 Sophos Mobile Control 106
4.11.1 Allgemein 107
4.11.2 bereinstimmungsbersicht 108
4.11.3 Netzwerk-Zugriffskontrolle 108
4.11.4 Konfigurationseinstellungen 109
4.12 Hochverfgbarkeit 110
4.12.1 Hardware- und Software-Voraussetzungen 112
iv UTM9 WebAdmin
4.12.2 Status 113
4.12.3 Systemstatus 114
4.13 Ausschalten/Neustart 119
5 Definitionen & Benutzer 121
5.1 Netzwerkdefinitionen 121
5.1.1 Netzwerkdefinitionen 122
5.1.2 MAC-Adressdefinitionen 127
5.2 Dienstdefinitionen 128
5.3 Zeitraumdefinitionen 131
5.4 Benutzer &Gruppen 132
5.4.1 Benutzer 132
5.4.2 Gruppen 135
5.5 Client-Authentifizierung 137
5.6 Authentifizierungsdienste 139
5.6.1 Allgemein 140
5.6.2 Server 141
5.6.2.1 eDirectory 142
5.6.2.2 Active Directory 144
5.6.2.3 LDAP 148
5.6.2.4 RADIUS 150
5.6.2.5 TACACS+ 152
5.6.3 Single Sign-On 153
5.6.4 Einmaliges Kennwort 155
5.6.5 Erweitert 162
6 Schnittstellen & Routing 165
6.1 Schnittstellen 165
6.1.1 Schnittstellen 166
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen 167
6.1.1.2 Arten von Schnittstellen 167
6.1.1.3 Gruppe 169
6.1.1.4 3G/UMTS 170
6.1.1.5 Ethernet-Statisch 172
6.1.1.6 Ethernet VLAN 174
6.1.1.7 Ethernet-DHCP 176
6.1.1.8 DSL (PPPoE) 178
6.1.1.9 DSL (PPPoA/PPTP) 181
6.1.1.10 Modem(PPP) 183
6.1.2 Zustzliche Adressen 186
6.1.3 Linkbndelung 187
UTM9 WebAdmin v
Inhaltsverzeichnis
Inhaltsverzeichnis
6.1.4 Uplink-Ausgleich 188
6.1.5 Multipathregeln 192
6.1.6 Hardware 195
6.2 Bridging 197
6.2.1 Status 197
6.2.2 Erweitert 199
6.3 Dienstqualitt (QoS) 200
6.3.1 Status 200
6.3.2 Verkehrskennzeichner 202
6.3.3 Bandbreiten-Pools 206
6.3.4 Download-Drosselung 208
6.3.5 Erweitert 210
6.4 Uplink-berwachung 211
6.4.1 Allgemein 211
6.4.2 Aktionen 212
6.4.3 Erweitert 213
6.5 IPv6 215
6.5.1 Allgemein 216
6.5.2 Prfix-Bekanntmachungen 216
6.5.3 Umnummerierung 217
6.5.4 6to4 218
6.5.5 Tunnel-Broker 219
6.6 Statisches Routing 220
6.6.1 Statische Routen 221
6.6.2 Richtlinienrouten 222
6.7 Dynam. Routing (OSPF) 224
6.7.1 Allgemein 224
6.7.2 Bereich 225
6.7.4 Prfsummen 229
6.7.5 Fehlersuche 230
6.7.6 Erweitert 230
6.8 Border Gateway Protocol 231
6.8.1 Allgemein 232
6.8.2 Systeme 233
6.8.3 Neighbor 234
6.8.4 Routemap 236
6.8.5 Filterliste 238
6.8.6 Erweitert 239
6.9 Multicast Routing (PIM-SM) 240
6.9.1 Allgemein 241
vi UTM9 WebAdmin
6.9.3 RP-Router 242
6.9.4 Routen 243
6.9.5 Erweitert 244
7 Netzwerkdienste 247
7.1 DNS 247
7.1.1 Allgemein 247
7.1.2 Weiterleitung 248
7.1.3 Anfragerouten 249
7.1.4 Statische Eintrge 250
7.1.5 DynDNS 250
7.2 DHCP 253
7.2.1 Server 254
7.2.2 Relay 257
7.2.3 Statische Zuordnungen 258
7.2.4 IPv4-Lease-Tabelle 258
7.2.5 IPv6-Lease-Tabelle 260
7.2.6 Optionen 261
7.3 NTP 264
8 Network Protection 265
8.1 Firewall 265
8.1.1 Regeln 266
8.1.2 Country-Blocking 270
8.1.3 Country-Blocking-Ausnahmen 271
8.1.4 ICMP 272
8.1.5 Erweitert 274
8.2 NAT 277
8.2.1 Maskierung 277
8.2.2 NAT 278
8.3 Advanced Threat Protection 282
8.3.1 Allgemein 283
8.4 Intrusion Prevention 284
8.4.1 Allgemein 284
8.4.2 Angriffsmuster 285
8.4.3 Anti-DoS/Flooding 287
8.4.4 Anti-Portscan 289
8.4.5 Ausnahmen 291
8.4.6 Erweitert 293
8.5 Server-Lastverteilung 294
8.5.1 Verteilungsregeln 295
UTM9 WebAdmin vii
Inhaltsverzeichnis
Inhaltsverzeichnis
8.6 VoIP 298
8.6.1 SIP 298
8.6.2 H.323 300
8.7 Erweitert 301
8.7.1 Generischer Proxy 301
8.7.2 SOCKS-Proxy 302
8.7.3 IDENT-Reverse-Proxy 303
9 Web Protection 305
9.1 Webfilter 306
9.1.1 Webfilter-nderungen 306
9.1.1.1 Wichtige Unterschiede 307
9.1.1.2 Hufige Aufgaben 308
9.1.1.3 Migration 309
9.1.2 Allgemein 310
9.1.3 Richtlinien 315
9.1.3.1 Filteraktionsassistent 316
9.1.3.2 Kategorien 317
9.1.3.3 Websites 318
9.1.3.4 Downloads 320
9.1.3.5 Antivirus 321
9.1.3.6 Zustzliche Optionen 322
9.2 Webfilter-Profile 324
9.2.1 Filterprofile 325
9.2.2 Filteraktionen 331
9.2.3 bergeordnete Proxies 332
9.3 Filteroptionen 333
9.3.1 Ausnahmen 333
9.3.2 Websites 336
9.3.3 Benutzer umgehen 337
9.3.4 Potenziell unerwnschte Anwendungen 337
9.3.5 Kategorien 338
9.3.6 HTTPS-CAs 339
9.3.7 Sonstiges 343
9.4 Richtlinientest 348
9.5 Application Control 348
9.5.1 Netzwerksichtbarkeit 349
9.5.2 Application-Control-Regeln 350
9.5.3 Erweitert 353
9.6 FTP 353
9.6.1 Allgemein 353
viii UTM9 WebAdmin
9.6.2 Antivirus 354
9.6.3 Ausnahmen 355
9.6.4 Erweitert 356
10 Email Protection 359
10.1 SMTP 359
10.1.2 Routing 361
10.1.3 Antivirus 362
10.1.4 Antispam 366
10.1.5 Datenschutz 372
10.1.6 Ausnahmen 374
10.1.7 Relaying 375
10.1.8 Erweitert 377
10.2 SMTP-Profile 381
10.3 POP3 386
10.3.2 Antivirus 387
10.3.3 Antispam 389
10.4 Encryption 397
10.4.2 Optionen 401
10.4.3 Interne Benutzer 402
10.4.4 S/MIMEAuthorities 404
10.4.5 S/MIME-Zertifikate 406
10.4.6 OpenPGP-Schlssel 407
10.5 SPX-Verschlsselung 408
10.5.1 SPX-Konfiguration 410
10.5.2 SPX-Vorlagen 412
10.5.3 SophosOutlook Add-in 415
10.6 Quarantnebericht 416
10.7 Mail-Manager 420
10.7.1 Mail-Manager-Fenster 421
10.7.1.1 SMTP-/POP3-Quarantne 422
10.7.1.2 SMTP-Spool 423
10.7.1.3 SMTP-Protokoll 424
UTM9 WebAdmin ix
Inhaltsverzeichnis
Inhaltsverzeichnis
11 Endpoint Protection 429
11.1 Computerverwaltung 431
11.1.2 Agent installieren 433
11.1.3 Computer verwalten 433
11.1.4 Gruppen verwalten 434
11.2 Antivirus 437
11.3 Device Control 441
11.4 Endpoint Web Control 446
11.4.3 Nicht untersttzte Funktionen 447
12 Wireless Protection 449
12.1 Allgemeine Einstellungen 450
12.2 WLAN-Netzwerke 452
12.3 Access Points 456
12.3.1 bersicht 457
12.3.2 Gruppierung 462
12.4 Mesh-Netzwerke 463
12.5 WLAN-Clients 466
12.6 Hotspots 467
12.6.2 Hotspots 470
12.6.3 Voucher-Definitionen 479
13 Webserver Protection 481
13.1 Web Application Firewall 481
13.1.1 Virtuelle Webserver 481
13.1.2 Echte Webserver 486
13.1.3 Firewall-Profile 487
x UTM9 WebAdmin
13.1.5 Site-Path-Routing 495
13.2 Umkehrauthentifizierung 497
13.2.1 Profile 498
13.2.2 Formularvorlagen 501
13.3 Zertifikatverwaltung 504
13.3.1 Zertifikate 504
13.3.2 CA 504
13.3.3 Sperrlisten (CRLs) 504
14 RED-Verwaltung 505
14.1 bersicht 506
14.2 Allgemein 507
14.3 Clintverwaltung 508
14.4 Einrichtungshilfe 518
14.5 Tunnelverwaltung 521
15 Site-to-Site-VPN 523
15.1 Amazon VPC 524
15.1.1 Status 524
15.1.2 Einrichtung 525
15.2 IPsec 527
15.2.1 Verbindungen 530
15.2.2 Entfernte Gateways 532
15.2.4 Lokaler RSA-Schlssel 539
15.3 SSL 543
15.3.2 Einstellungen 546
15.4.2 CA 551
16 Fernzugriff 555
16.1 SSL 556
UTM9 WebAdmin xi
Inhaltsverzeichnis
Inhaltsverzeichnis
16.1.1 Profile 556
16.2 PPTP 560
16.2.2 iOS-Gerte 562
16.3 L2TPber IPsec 564
16.4 IPsec 569
16.5 HTML5-VPN-Portal 581
16.6 Cisco VPNClient 586
16.7 Erweitert 589
16.8.2 CA 590
17 Protokolle & Berichte 591
17.1 Protokollansicht 593
17.1.1 Heutige Protokolldateien 593
17.1.2 Archivierte Protokolldateien 593
17.1.3 Protokolldateien durchsuchen 594
17.2 Hardware 594
17.2.1 Tglich 594
17.2.2 Wchentlich 595
17.2.3 Monatlich 595
17.2.4 Jhrlich 596
17.3 Netzwerknutzung 596
17.3.1 Tglich 596
xii UTM9 WebAdmin
17.3.4 Jhrlich 597
17.3.5 Bandbreitennutzung 597
17.4 Network Protection 598
17.4.1 Tglich 599
17.4.4 Jhrlich 599
17.4.5 Firewall 600
17.4.6 Advanced Threat Protection 601
17.4.7 IPS 601
17.5 Web Protection 602
17.5.1 Internetnutzung 602
17.5.2 Suchmaschinen 607
17.5.3 Abteilungen 610
17.5.4 Geplante Berichte 611
17.5.5 Application Control 612
17.5.6 Entanonymisierung 613
17.6 Email Protection 613
17.6.1 Nutzungsdiagramme 614
17.6.2 Mail-Nutzung 614
17.6.3 Blockierte Mails 615
17.6.4 Entanonymisierung 615
17.7 Wireless Protection 616
17.7.1 Tglich 616
17.7.4 Jhrlich 617
17.8 Fernzugriff 617
17.8.1 Aktivitt 617
17.8.2 Sitzung 618
17.9 Webserver Protection 619
17.9.1 Nutzungsdiagramme 619
17.9.2 Details 619
17.10 Gesamtbericht 620
17.10.1 Bericht anzeigen 620
17.10.2 Archivierte Gesamtberichte 620
17.11 Protokolleinstellungen 621
17.11.1 Lokale Protokollierung 621
UTM9 WebAdmin xiii
Inhaltsverzeichnis
Inhaltsverzeichnis
17.11.2 Remote-Syslog-Server 623
17.11.3 Ausgelagerte Protokollarchive 624
17.12 Berichteinstellungen 626
17.12.3 Anonymisierung 630
18 Support 633
18.1 Dokumentation 633
18.2 Druckbare Konfiguration 634
18.3 Support kontaktieren 634
18.4 Tools 635
18.4.1 Ping-Prfung 635
18.4.2 Traceroute 636
18.4.3 DNS-Lookup 636
18.5 Erweitert 637
18.5.1 Prozesse 637
18.5.2 LAN-Verbindungen 637
18.5.3 Routen 637
18.5.5 Konfigurations-Abbild 638
18.5.6 REF auflsen 638
19 Abmelden 639
20 Benutzerportal 641
20.1 Benutzerportal: Mail-Quarantne 642
20.2 Benutzerportal: Mail-Protokoll 644
20.3 Benutzerportal: POP3-Konten 645
20.4 Benutzerportal: Absender-Whitelist 645
20.5 Benutzerportal: Absender-Blacklist 646
20.6 Benutzerportal:Hotspots 647
20.7 Benutzerportal: Client-Authentifizierung 650
20.8 Benutzerportal: OTP-Token 650
20.9 Benutzerportal: Fernzugriff 651
20.10 Benutzerportal: HTML5-VPN-Portal 652
20.11 Benutzerportal: Passwort ndern 654
20.12 Benutzerportal: HTTPS-Proxy 654
xiv UTM9 WebAdmin
1 Installation
Dieses Kapitel enthlt Informationen ber die Installation und Einrichtung von Sophos UTMin
IhremNetzwerk. Die Installation von Sophos UTMerfolgt in zwei Schritten: Erstens, die Instal-
lation der Software; zweitens, die Konfiguration von grundlegenden Systemeinstellungen. Die
Software-Installation wird mithilfe eines Konsolen-gesttzten Installationsmens durchgefhrt.
Die interne Konfiguration kann von IhremArbeitsplatzrechner aus ber die web-basierte Benut-
zeroberflche von Sophos UTMnamens WebAdmin erfolgen. Bevor Sie mit der Installation
beginnen, berprfen Sie bitte, ob Ihre Hardware den Mindestanforderungen entspricht.
Hinweis Wenn Sie eine Sophos UTMAppliance betreiben, knnen Sie die folgenden
Abschnitte berspringen und direkt mit demAbschnitt Grundkonfiguration fortfahren, da bei
allen Sophos UTM-Hardware-Appliances mit UTMdie Software vorinstalliert ist.
Dieses Kapitel enthlt Informationen zu den folgenden Themen:
l Empfohlene Lektre
l Systemanforderungen
l Installationsanleitung
l Grundkonfiguration
l Backup-Wiederherstellung
1.1 Empfohlene Lektre
Bevor Sie mit der Installation beginnen, sollten Sie die folgenden Dokumente lesen, die Ihnen
bei der Einrichtung von helfen. Beide Dokumente sind der Sophos UTMHardware Appliance
beigelegt und knnen alternativ vomSophos UTMSophos UTM-Resource-Center her-
untergeladen werden:
l Quick Start Guides Hardware
l Operating Instructions
1.2 Systemanforderungen 1 Installation
1.2 Systemanforderungen
Fr die Installation und den Betrieb der UTMgelten die folgenden Hardware-Min-
destanforderungen:
l Prozessor: Pentium4 mit 1,5 GHz (oder vergleichbar)
l Speicher: 1 GBRAM
l Festplatte: 20-GB-IDE- oder -SCSI-Festplatte
l CD-ROM-Laufwerk: Bootfhiges IDE- oder SCSI-CD-ROM-Laufwerk
l Netzwerkkarten (NICs): Zwei oder mehr PCI-Ethernet-Netzwerkkarten
l Netzwerkkarte (optional): Eine Heartbeat-fhige PCI-Ethernet-Netzwerkkarte. In
einemhochverfgbaren System(HA) kommunizieren das Primrsystemund das Stand-
by-Systemmittels eines sogenannten Heartbeats miteinander ein Signal, das ber
eine Netzwerkverbindung zwischen beiden Systemen zyklisch ausgetauscht wird. Falls
Sie ein hochverfgbares Systemeinsetzen mchten, stellen Sie sicher, dass beide Ger-
te mit Heartbeat-fhigen Netzwerkkarten ausgestattet sind.
l USB(optional): Ein USB-Anschluss zur Kommunikation mit einemUSV-Gert
l Switch (optional): Ein Gert, das die Kommunikation in Computernetzwerken steuert.
Stellen Sie sicher, dass der Switch sogenannte Jumbo Frames untersttzt.
Sophos fhrt eine Liste aller Hardware-Produkte, die imZusammenhang mit der UTM-Soft-
ware auf ihre Funktionalitt hin getestet wurden. Die Hardwarekompatibilittsliste (Hardware
Compatibility List; HCL) steht in der Sophos Knowledgebase zur Verfgung. UmInstallations-
und Betriebsfehler mit der UTM-Software zu vermeiden, sollten Sie nur Hardware verwenden,
die in der HCL aufgefhrt ist. Die Hardware- und Software-Anforderungen an den Arbeits-
platzrechner fr den Zugriff auf die webbasierte Benutzeroberflche WebAdmin sind wie folgt:
l Prozessor: Taktfrequenz 1 GHz oder hher
l Browser: Neuste Version von Firefox (empfohlen), neuste Version von Chrome, neus-
te Version von Safari, oder Microsoft Internet Explorer 8 und hher. JavaScript muss akti-
viert sein. Darber hinaus darf imBrowser kein Proxy fr die IP-Adresse der internen
Netzwerkkarte (eth0) von UTMkonfiguriert sein.
16 UTM9 WebAdmin
1.2.1 USV-Untersttzung
Gerte zur unterbrechungsfreien Stromversorgung (USV) gewhrleisten eine kontinuierliche
Stromversorgung bei Strungen oder Schwankungen der Stromzufuhr, indemsie Stromaus
einer unabhngigen Stromquelle liefern, wenn der Hausstromausfllt. Sophos UTMun-
tersttzt Gerte der Hersteller MGEUPSSystems und APC. Die Kommunikation zwischen
demUSV-Gert und Sophos UTMerfolgt ber die USB-Schnittstelle.
Sobald das USV-Gert imBatteriebetrieb luft, wird eine Nachricht an den Administrator
geschickt. Falls die Stromunterbrechung fr einen lngeren Zeitraumandauert und der Bat-
teriestatus des USV-Gerts einen kritischen Wert erreicht, wird eine weitere Nachricht ver-
schickt. Sophos UTMfhrt anschlieend kontrolliert herunter und schaltet sich automatisch ab.
Hinweis Informationen darber, wie Sie an IhremUSV-Gert anschlieen knnen, finden
Sie in der Bedienungsanleitung des USV-Gerts.Sophos UTMUTMerkennt das an der USB-
Schnittstelle angeschlossene USV-Gert whrend des Systemstarts. Starten Sie Sophos
UTMdaher erst nach der Verbindung mit demUSV-Gert.
1.2.2 RAID-Untersttzung
Ein RAID-System(Redundant Array of Independent Disks) ist ein Datenspeicherungsschema
zwischen mehreren physikalischen Festplatten, die als ein einziges logisches Laufwerk orga-
nisiert sind. Umsicherzustellen, dass das RAID-Systemerkannt und korrekt auf demDas-
hboard des WebAdmin angezeigt wird, bentigen Sie einen RAID-Controller, der von Sophos
UTMuntersttzt wird. Auf der HCL (Hardware Compatibility List) knnen Sie nachsehen, wel-
che RAID-Controller untersttzt werden. Die HCL befindet sich in der Sophos Knowledgebase.
Verwenden Sie HCLals Suchbegriff, umdie entsprechende Seite zu finden.
1.3 Installationsanleitung
ImFolgenden wird die Installation der Sophos UTM-Software Schritt fr Schritt beschrieben.
Bevor Sie mit der Installation beginnen, halten Sie die folgenden Komponenten bereit:
l Die Sophos UTMCD-ROM
l die Lizenz fr Sophos UTM
UTM9 WebAdmin 17
1 Installation 1.3 Installationsanleitung
1.3 Installationsanleitung 1 Installation
Das Installationsprogrammberprft zunchst die Hardware und installiert dann die Software
auf IhremSystem.
1.3.1 Tastenfunktionen whrend der Installation
Die Navigation imInstallationsmen erfolgt ber die folgenden Tasten (beachten Sie whrend
der Installation auch die zustzlichen Tastenfunktionen, die unten imBild angezeigt werden):
l F1: Zeigt den kontextsensitiven Hilfebildschirman.
l Pfeiltasten: Navigation in den Textfeldern, z.B. in der Lizenzbestimmung und der Aus-
wahl des Tastatur-Layouts.
l Tabulatortaste: Wechseln zwischen den Textfeldern, Listen und Schaltflchen.
l Eingabetaste: Die Eingabe wird besttigt und die Installation wird mit demnchsten
Schritt fortgesetzt.
l Leertaste: Whlen Sie Optionen, die mit einemAsterisk markiert sind, aus oder ab.
l Alt-F2: Wechsel zur Installationskonsole.
l Alt-F4: Wechsel zumProtokoll.
l Alt-F1: Wechsel zur interaktiven Bash-Konsole.
l Alt-F1: Rckkehr zumHaupt-Installationsbildschirm.
1.3.2 Besondere Optionen whrend der Installation
Einige Installationsschritte bieten zustzliche Optionen an:
View Log: Anzeige des Installationsprotokolls.
Support: Anzeige des Dialogfensters fr Untersttzung.
To USB Stick: Speichern des Installationsprotokolls als zip-Datei auf einen USB-Stick. Den-
ken Sie daran, einen USB-Stick einzustecken, bevor Sie diese Option besttigen. Die zip-Datei
kann dazu verwendet werden, Installationsprobleme zu lsen, z.B. durch das Support-Team
von Sophos UTM.
Back: Rckkehr zumletzten Installationsschritt.
Cancel: Anzeige eines Besttigungsdialogfensters, umdie Installation abzubrechen.
Help: Anzeige des kontextsensitiven Hilfebildschirms.
18 UTM9 WebAdmin
1.3.3 Installation von Sophos UTM
1. Booten Sie den PC von der CD-ROM.
Der Startbildschirmder Installation wird angezeigt.
Hinweis Sie knnen jederzeit F1 drcken, umzumHilfebildschirmzu gelangen.
Durch Drcken von F3 imStartbildschirmwird ein Bildschirmzur Fehlerbehebung
angezeigt.
2. Drcken Sie die Eingabetaste.
Der Schritt Introduction (Einleitung) wird angezeigt.
3. Whlen Sie Start Installation (Installation starten).
Der Schritt Hardware Detection (Hardware-Erkennung) wird angezeigt.
Die Software prft die folgenden Hardware-Komponenten:
l Prozessor
l Gre und Fabrikat der Festplatte
l CD-ROM-Laufwerk
l Netzwerkkarten
l IDE- bzw. SCSI-Controller
Falls Ihr Systemdie Mindestvoraussetzungen nicht erfllt, wird die Installation mit einer
entsprechenden Fehlermeldung abgebrochen.
Sobald die Hardware-Erkennung abgeschlossen ist, wird der Schritt Detected Hard-
ware (Erkannte Hardware) zu Informationszwecken angezeigt.
4. Drcken Sie die Eingabetaste.
Der Schritt Select Keyboard (Tastatur-Layout whlen) wird angezeigt.
5. Whlen Sie Ihr Tastatur-Layout.
Whlen Sie mit den Pfeiltasten das Tastatur-Layout aus, z.B. German (DE), und best-
tigen Sie dies mit der Eingabetaste.
Der Schritt Select Timezone (Zeitzone whlen) wird angezeigt.
UTM9 WebAdmin 19
1.3 Installationsanleitung 1 Installation
6. Whlen Sie Ihre Region.
Whlen Sie mit den Pfeiltasten Ihre Region aus, z.B. Europe (Europa), und besttigen
Sie dies mit der Eingabetaste.
7. Whlen Sie Ihre Zeitzone.
Whlen Sie mit den Pfeiltasten Ihre Zeitzone aus, z.B. Berlin, und besttigen Sie dies mit
der Eingabetaste.
Der Schritt Date and Time (Datumund Zeit) wird angezeigt.
8. Stellen Sie Datumund Uhrzeit ein.
Falls Datumund Zeit nicht korrekt sind, knnen Sie die Einstellungen hier ndern. Sie
knnen mit der Tabulator-Taste und den Pfeiltasten zwischen den Textfeldern wech-
seln. Mit der Leertaste knnen Sie die Option Host Clock is UTC(Systemuhr ist UTC)
abwhlen. Ungltige Eingaben werden nicht bernommen. Besttigen Sie die Eingaben
mit der Eingabetaste.
Der Schritt Select Admin Interface (Administrationsschnittstelle whlen) wird angezeigt.
9. Whlen Sie eine interne Netzwerkkarte.
Damit Sie nach der Installation Sophos UTMber die Benutzeroberflche WebAdmin
weiter konfigurieren knnen, mssen Sie eine Netzwerkkarte als interne Netz-
werkschnittstelle (eth0) definieren. Whlen Sie aus der verfgbaren Hardware eine Netz-
werkkarte aus und besttigen Sie die Auswahl mit der Eingabetaste.
Hinweis Schnittstellen, die eine aktive Verbindung haben, sind mit demWort [Link]
hervorgehoben.
Der Schritt Network Configuration (Netzwerkkonfiguration) wird angezeigt.
10. Konfigurieren Sie die Netzwerkschnittstelle fr die Administration.
Definieren Sie fr die interne Schnittstelle, ber die das Systemadministriert werden soll,
eine IP-Adresse, eine Netzmaske und ein Standardgateway. Die Standardwerte sind:
Adresse: 192.168.2.100
Netzmaske: 255.255.255.0
Gateway: k. A.
Den Wert fr das Standardgateway mssen Sie nur ndern, wenn Sie die WebAdmin-
Schnittstelle von einemPCaus erreichen mchten, der auerhalb des
20 UTM9 WebAdmin
Netzwerkbereichs liegt. Beachten Sie, dass sich das Gateway innerhalb des Subnetzes
befinden muss.
1
Besttigen Sie die Eingaben mit der Eingabetaste.
Wenn Ihr Prozessor 64 Bit untersttzt, wird der Schritt 64 Bit Kernel Support (64-Bit-Ker-
nel-Untersttzung) angezeigt. Andernfalls wird die Installation mit demSchritt Enterprise
Toolkit fortgesetzt.
11. Installieren Sie den 64-Bit-Kernel.
Whlen Sie Yes, umden 64-Bit-Kernel zu installieren, oder No, umden 32-Bit-Kernel zu
installieren.
Der Schritt Enterprise Toolkit wird angezeigt.
12. Akzeptieren Sie die Installation des Enterprise Toolkits.
Das Enterprise Toolkit umfasst die Sophos UTM-Software. Sie knnen beschlieen, nur
Open-Source-Software zu installieren. Wir empfehlen jedoch auch die Installation des
Enterprise Toolkits, sodass Sie die volle Funktionalitt von Sophos UTMverwenden kn-
nen.
Drcken Sie die Eingabetaste, umbeide Softwarepakete zu installieren, oder whlen Sie
No, umnur die Open-Source-Software zu installieren.
Der Schritt Installation: Partitioning (Installation: Partitionierung) wird angezeigt.
13. Besttigen Sie den Warnhinweis, umdie Installation zu starten.
Bitte lesen Sie den Warnhinweis sorgfltig. Nach der Besttigung werden alle beste-
henden Daten auf demPCgelscht.
Wenn Sie die Installation abbrechen und das Systemstattdessen neu starten mchten,
whlen Sie No.
Warnung Alle Daten auf der Festplatte werden gelscht.
1
Bei der Netzmaske 255.255.255.0wird das Subnetz durch die ersten drei Werte definiert. In
unseremBeispiel lautet der relevante Bereich 192.168.2. Wenn nun Ihr Administrations-PC
z.B. die IP-Adresse 192.168.10.5hat, liegt er nicht imselben Subnetz. In diesemFall ben-
tigen Sie ein Gateway. Das Gateway muss dann eine Schnittstelle im192.168.2-Subnetz und
eine Verbindung zumAdministrations-PChaben. Fr unser Beispiel nehmen wir die Adresse
192.168.2.1.
UTM9 WebAdmin 21
1.4 Grundkonfiguration 1 Installation
Die Installation der Software kann nun einige Minuten dauern.
Der Schritt Installation Finished (Installation abgeschlossen) wird angezeigt.
14. Entnehmen Sie die CD-ROM, verbinden Sie das Systemmit deminternen Netz-
werk und starten Sie das Systemneu.
Sobald Sie dazu aufgefordert werden, entnehmen Sie die CD-ROMaus demLaufwerk
und verbinden die Netzwerkkarte eth0mit Ihremlokalen Netzwerk. Mit Ausnahme der
internen Netzwerkkarte (eth0) wird die Reihenfolge der Netzwerkkarten in erster Linie
durch die PCI-IDund die Kernel-Treiber bestimmt. Die Reihenfolge der Netz-
werkkartenbenennung kann sich auch spter durch nderung der Hard-
warekonfiguration, z.B. durch das Hinzufgen oder Entfernen von Netzwerkkarten,
ndern.
Drcken Sie imInstallationsmen dann die Eingabetaste, umUTMneu zu starten. Wh-
rend des Neustarts werden die IP-Adressen der internen Netzwerkkarten neu gesetzt,
daher kann auf der Installationsroutine-Konsole (Alt+F1) fr kurze Zeit die Meldung No
IPon eth0 stehen.
NachdemSophos UTMneu gestartet ist (je nach Hardware-Leistung kann dies einige Minuten
dauern), sollten Sie mit demProgrammPing die IP-Adresse der internen Netzwerkkarte eth0
erreichen. Falls keine Verbindung zustande kommt, prfen Sie Ihr Systemauf die nach-
folgenden mglichen Fehlerquellen:
l Die IP-Adresse von Sophos UTMist nicht korrekt gesetzt.
l Die IP-Adresse des Administrations-PCs ist nicht korrekt gesetzt.
l Das Standardgateway ist nicht korrekt gesetzt.
l Das Netzwerkkabel ist mit der falschen Netzwerkkarte verbunden.
l Alle Netzwerkkarten sind an einemHub angeschlossen.
1.4 Grundkonfiguration
Der zweite Teil der Installation erfolgt imWebAdmin, der webbasierten Administrator-Benut-
zeroberflche von Sophos UTM. Bevor Sie die Grundkonfiguration durchfhren, sollten Sie
eine Vorstellung davon haben, wie Sie die Sophos UTMin Ihr Netzwerk integrieren wollen. Sie
mssen entscheiden, welche Funktionen sie bereitstellen soll, z.B., ob sie imBridge-Modus
oder imStandard-Modus (Routing) arbeiten soll, oder ob sie den Datenpaketfluss zwischen
ihren Schnittstellen berwachen soll. Sie knnen die Sophos UTMjedoch immer zu einem
22 UTM9 WebAdmin
spteren Zeitpunkt neu konfigurieren. Wenn Sie also noch nicht geplant haben, wie Sie die
Sophos UTMin Ihr Netzwerk integrieren wollen, knnen Sie direkt mit der Grundkonfiguration
beginnen.
1. Starten Sie Ihren Browser und ffnen Sie den WebAdmin.
Rufen Sie die URL der Sophos UTMauf (d.h. die IP-Adresse von eth0). Umbei unserer
Beispielkonfiguration zu bleiben, ist dies die URL https://192.168.2.100:4444
(beachten Sie das HTTPS-Protokoll und die Portnummer 4444).
Beachten Sie, dass abweichend von der betrachteten Beispielkonfiguration jede Sophos
UTMmit den folgenden Standardeinstellungen ausgeliefert wird:
l Schnittstellen: Interne Netzwerkschnittstelle (eth0)
l IP-Adresse: 192.168.0.1
l Netzmaske: 255.255.255.0
l Standardgateway: k.A.
Umauf den WebAdmin einer beliebigen Sophos UTMzuzugreifen, geben Sie statt-
dessen folgende URL an:
https://192.168.0.1:4444
UmAuthentifizierung und verschlsselte Kommunikation zu gewhrleisten, wird die
Sophos UTMmit einemselbstsignierten Sicherheitszertifikat ausgeliefert. Dieses Zer-
tifikat wird demWebbrowser beimAufbau der HTTPS-basierten Verbindung zum
WebAdmin angeboten. Da er die Gltigkeit des Zertifikats nicht berprfen kann, zeigt
der Browser eine Sicherheitswarnung an. NachdemSie das Zertifikat akzeptiert haben,
wird die initiale Anmeldeseite angezeigt.
UTM9 WebAdmin 23
1 Installation 1.4 Grundkonfiguration
Figure 1 WebAdmin: Initiale Anmeldeseite
2. Fllen Sie das Anmeldeformular aus.
Geben Sie die genauen Informationen zu Ihrer Firma in die Textfelder ein. Legen Sie ein
Kennwort fest und geben Sie eine gltige E-Mail-Adresse fr das Administratorkonto ein.
Wenn Sie mit den Lizenzbestimmungen einverstanden sind, klicken Sie auf die Schalt-
flche Grundlegende Systemkonfiguration durchfhren, ummit demAnmeldevorgang
fortzufahren. Whrend dieses Vorganges werden einige digitale Zertifikate und CAs
(Certificate Authorities, dt. Zertifizierungsinstanzen) erzeugt:
l WebAdmin-CA: Die CA, mit der das WebAdmin-Zertifikat signiert wurde (siehe
Verwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat).
l VPN-Signierungs-CA: Die CA, mit der digitale Zertifikate fr VPN-Ver-
bindungen signiert werden (siehe Site-to-Site-VPN>Zertifikatverwaltung >Zer-
tifizierungsstelle).
l WebAdmin-Zertifikat: Das digitale Zertifikat von WebAdmin (siehe Site-to-Site-
VPN>Zertifikatverwaltung >Zertifikate).
24 UTM9 WebAdmin
l Lokales X.509-Zertifikat: Das digitale Zertifikat von Sophos UTMwird fr VPN-
Verbindungen verwendet (siehe Site-to-Site VPN>Zertifikatverwaltung >Zer-
tifikate).
Die Anmeldeseite wird angezeigt. (Bei einigen Browsern kann es passieren, dass Ihnen
ein weiterer Sicherheitshinweis angezeigt wird, weil sich das Zertifikat entsprechend
Ihren Eingaben gendert hat.)
Figure 2 WebAdmin: Regulre Anmeldeseite
3. Melden Sie sich amWebAdmin an.
Geben Sie in das Feld Benutzername das Wort adminein und geben Sie das Kennwort
ein, das Sie in der vorherigen Ansicht festgelegt haben.
Ihnen wird nun ein Konfigurationsassistent angezeigt, der Sie durch den ersten Kon-
figurationsprozess leitet.
Fortfahren: Wenn Sie den Assistenten verwenden mchten, whlen Sie diese Option
und klicken Sie auf Weiter. Fhren Sie die Schritte aus, umdie Grundeinstellungen der
Sophos UTMzu konfigurieren.
Ein Backup wiederherstellen: Falls Sie ber eine Backupdatei verfgen, knnen Sie
stattdessen auch das Backup wiederherstellen. Whlen Sie diese Option und klicken Sie
auf Weiter. Wie Sie fortfahren, ist in Abschnitt Backup-Wiederherstellung.
Alternativ knnen Sie auch bedenkenlos auf Abbrechen klicken (in jedemder Schritte
des Assistenten) und dadurch den Assistenten beenden, wenn Sie z.B. die Konfiguration
der direkt imWebAdmin vornehmen mchten.Sophos UTMSie knnen auch jederzeit
auf Fertigstellen klicken. Dann werden alle bis dahin vorgenommenen Einstellungen
gespeichert und der Assistent beendet.
UTM9 WebAdmin 25
4. Installieren Sie Ihre Lizenz.
Klicken Sie auf das Ordnersymbol, umIhre erworbene Lizenz (eine Textdatei) hoch-
zuladen. Klicken Sie auf Weiter, umdie Lizenz zu installieren. Falls Sie keine Lizenz erwor-
ben haben, klicken Sie auf Weiter, umdie 30-Tage-Evaluationslizenz zu verwenden, bei
der alle Produktmerkmale aktiviert sind und die mit der Sophos UTMausgeliefert wer-
den.
Hinweis Wenn die ausgewhlte Lizenz ein bestimmtes Abonnement nicht enthlt,
wird die entsprechende Seite imweiteren Verlauf deaktiviert.
5. Konfigurieren Sie die interne Netzwerkkarte.
berprfen Sie die angezeigten Einstellungen fr die interne Netzwerkschnittstelle
(eth0). Die vorliegenden Einstellungen resultieren aus den Informationen, die Sie wh-
rend der Installation der Software eingegeben haben. Zustzlich knnen Sie die Sophos
UTMals DHCP-Server auf der internen Schnittstelle konfigurieren, indemSie das ent-
sprechende Auswahlkstchen markieren.
Hinweis Wenn Sie die IP-Adresse der internen Netzwerkschnittstelle ndern, ms-
sen Sie sich mit der neuen IP-Adresse erneut amWebAdmin anmelden, wenn Sie den
Assistenten beendet haben.
6. Whlen Sie den Uplink-Typ fr die externe Netzwerkkarte.
Whlen Sie die Art der Verbindung Ihrer Uplink-/Internetverbindung, die die externe
Netzwerkkarte verwenden wird. Die Art der Schnittstelle und ihre Konfiguration hngen
davon ab, welche Art der Internetverbindung Sie verwenden werden. Klicken Sie auf
Weiter.
Falls die Sophos UTMber keinen Uplink verfgt oder Sie diesen jetzt noch nicht kon-
figurieren mchten, whlen Sie die Option Internetverbindung spter einrichten. Wenn
Sie einen Internet-Uplink konfigurieren, wird IP-Maskierung automatisch fr alle Ver-
bindungen aus deminternen Netzwerk zumInternet konfiguriert.
Wenn Sie Standard-Ethernetschnittstelle mit statischer IP-Adresse auswhlen, ist ein
Standardgateway nur optional anzugeben. Wenn Sie das Textfeld leer lassen, bleibt Ihre
-Standardgateway-Einstellung aus der Installationsroutine erhalten. Sie knnen jeden
der folgenden Schritte berspringen, indemSie auf Weiter klicken. Diese bergangenen
Einstellungen knnen Sie dann spter imWebAdmin vornehmen oder ndern.
26 UTM9 WebAdmin
Hinweis Wenn Ihre Lizenz keine der folgenden Funktionen untersttzt, wird die ent-
sprechende Funktion nicht angezeigt.
7. Legen Sie die grundlegenden Firewall-Einstellungen fest.
Hier knnen Sie auswhlen, welche Arten von Diensten Sie fr das Internet zulassen wol-
len. Klicken Sie auf Weiter, umIhre Einstellungen zu besttigen.
8. Legen Sie die Advanced-Threat-Protection-Einstellungen fest.
You can nowmake settings regarding intrusion prevention and com-
mand&control/botnet detection for several operation systems and databases. Klicken Sie
auf Weiter, umIhre Einstellungen zu besttigen.
9. Make your web protection settings.
You can nowselect whether the web traffic should be scanned for viruses and spyware.
Additionally, you can select to block webpages that belong to certain categories. Klicken
Sie auf Weiter, umIhre Einstellungen zu besttigen.
10. Make your email protection settings.
You can nowselect the first checkbox to enable the POP3 proxy. You can also select the
second checkbox to enable UTMas inbound SMTPrelay: Enter the IPaddress of your
internal mail server and add SMTPdomains to route. Klicken Sie auf Weiter, umIhre Ein-
stellungen zu besttigen.
11. Make your wireless protection settings.
You can nowselect the checkbox to enable wireless protection. In the box, select or add
the interfaces that are allowed to connect your wireless access points to your system.
Click the Folder icon to add an interface or click the Plus icon to create a newinterface.
Enter the other wireless network parameters. Klicken Sie auf Weiter, umIhre Ein-
stellungen zu besttigen.
12. Make your advanced threat adaptive learning settings.
You can nowselect if you want to send anonymous data to the Sophos research team.
This data is used to improve future versions and to improve and enlarge the network visi-
bility and application control library.
13. Confirmyour settings.
Asummary of your settings is displayed. Click Finish to confirmthemor Back to change
them. However, you can also change themin WebAdmin later.
UTM9 WebAdmin 27
1.5 Backup-Wiederherstellung 1 Installation
After clicking Finish your settings are saved and you are redirected to the Dashboard of
WebAdmin, providing you with the most important systemstatus information of the
Sophos UTMunit.
Figure 3 WebAdmin: Dashboard
If you encounter any problems while completing these steps, please contact the support
department of your Sophos UTMsupplier. For more information, you might also want to
visit the following websites:
l Sophos UTMSupport-Forum
l Sophos Knowledgebase
1.5 Backup-Wiederherstellung
Der Konfigurationsassistent des WebAdmin (siehe Abschnitt Grundkonfiguration) ermglicht
es Ihnen, eine vorhandene Backupdatei wiederherzustellen, anstatt die Grundkonfiguration
durchzufhren. Gehen Sie folgendermaen vor:
1. Whlen Sie imKonfigurationsassistenten Vorhandene Backup-Datei wie-
derherstellen.
28 UTM9 WebAdmin
Whlen Sie imKonfigurationsassistenten Vorhandene Backup-Datei wiederherstellen
und klicken Sie auf Weiter.
Sie werden zu der Seite weitergeleitet, wo Sie die Datei hochladen knnen.
2. Laden Sie das Backup hoch.
Klicken Sie auf das Ordnersymbol, whlen Sie die Backupdatei aus, die Sie wie-
derherstellen mchten, und klicken Sie auf Hochladen starten.
3. Stellen Sie das Backup wieder her.
Klicken Sie auf Fertigstellen, umdas Backup wiederherzustellen.
Wichtiger Hinweis Danach ist es nicht mehr mglich, den Konfigurationsassistenten
erneut aufzurufen.
Sobald das Backup erfolgreich wiederhergestellt wurde, werden Sie auf die Anmeldeseite wei-
tergeleitet.
UTM9 WebAdmin 29
1 Installation 1.5 Backup-Wiederherstellung
2 WebAdmin
Der WebAdmin ist die webbasierte grafische Benutzeroberflche zur vollstndigen Admi-
nistration von Sophos UTM. Der WebAdmin besteht aus einemMen und mehreren Seiten,
von denen manche wiederummehrere Registerkarten (engl. tabs) besitzen. Das Men auf der
linken Seite orientiert sich in logischer Reihenfolge an den Produktmerkmalen von Sophos
UTM. Sobald Sie auf einen Menpunkt wie z.B. Network Protection klicken, ffnet sich ein
Untermen und die entsprechende Seite wird angezeigt. Beachten Sie, dass fr einige Men-
punkte keine eigene Seite vorhanden ist. In diesemFall wird weiterhin die zuvor ausgewhlte
Seite angezeigt. Erst wenn Sie ein Untermen anklicken, ffnet sich die dazugehrige Seite,
und zwar mit der ersten Registerkarte.
Beimerstmaligen Start des WebAdmin erscheint der Setup-Assistent einmalig. Befolgen Sie
die Anweisungen umdie wichtigsten Einstellungen vorzunehmen.
Die Anleitungen in dieser Dokumentation leiten Sie zu einer Seite durch die Angabe des Mens,
Untermens und der Registerkarte, z.B.: Auf der Registerkarte Schnittstellen &Routing >
Schnittstellen >Hardware werden ...
2.1 WebAdmin-Men 2 WebAdmin
Figure 4 WebAdmin: bersicht
2.1 WebAdmin-Men
Das WebAdmin-Men gibt Ihnen Zugriff auf alle Konfigurationsoptionen von Sophos UTM. Die
Verwendung einer Kommandozeile zur Konfiguration ist daher nicht erforderlich.
l Dashboard: Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus
von Sophos UTM.
l Verwaltung: In diesemMen werden grundlegende Einstellungen fr das Gesamt-
systemund WebAdmin vorgenommen, sowie Einstellungen, welche die Konfiguration
von Sophos UTMbetreffen.
l Definitionen & Benutzer: Neben Netzwerk-, Dienst- und Zeitereignisdefinitionen
sowie Benutzerkonten und -gruppen werden in diesemMen externe Authen-
tifizierungsdienste fr Sophos UTMkonfiguriert.
l Schnittstellen & Routing: Dieses Men enthlt u.a. die Konfiguration von Netz-
werkschnittstellen und Routing-Optionen.
32 UTM9 WebAdmin
l Netzwerkdienste: Dieses Men enthlt u.a. die Konfiguration von Netzwerkdiensten
wie DNSund DHCP.
l Network Protection: Konfiguration von grundlegenden Network-Protection-Funk-
tionen wie Firewallregeln, Voice over IPoder Einstellungen fr das Angriffschutzsystem.
l Web Protection: Konfiguration des Webfilters und von Application Control von Sophos
UTMsowie des FTP-Proxys.
l Email Protection: Konfiguration der SMTP- und POP3-Proxies von Sophos UTM
sowie der E-Mail-Verschlsselung.
l Endpoint Protection: Konfiguration und Verwaltung des Schutzes von Endpoint-Ger-
ten in IhremNetzwerk.
l Wireless Protection: Konfiguration Ihrer Drahtlosnetzwerke fr das Gateway.
l Webserver Protection: ZumSchutz Ihrer Webserver vor Angriffen wie Cross-Site-
Scripting und SQL-Injection.
l RED-Verwaltung: Konfiguration Ihrer Remote-Ethernet-Device-(RED-)Appliances.
l Site-to-Site-VPN: Konfiguration von Site-to-Site Virtual Private Networks (virtuelle pri-
vate Netzwerke).
l Fernzugriff: Konfiguration von VPN-Fernzugriffsverbindungen mit Sophos UTM.
l Protokolle & Berichte: Anzeige von Protokollen und Statistiken ber die Nutzung der
Sophos UTMund Konfiguration von Protokoll- und Berichteinstellungen.
l Support: Hier finden Sie verschiedene Support-Tools von Sophos UTM.
l Abmelden: Abmelden vomWebAdmin.
Suche imMen
ber demMen befindet sich ein Suchfeld. Damit knnen Sie das Men nach Stichwrtern
durchsuchen, umso leichter Meneintrge zu finden, die ein bestimmtes Thema betreffen. Die
Suchfunktion bercksichtigt neben den Namen von Meneintrgen auch hinterlegte, indizierte
Aliasse und Schlsselwrter.
Sobald Sie anfangen imSuchfeld zu tippen, wird das Men automatisch auf relevante Menein-
trge reduziert. Sie knnen das Suchfeld jederzeit verlassen und auf den Meneintrag klicken,
der demGesuchten entspricht. Das reduzierte Men bleibt erhalten und zeigt die Such-
ergebnisse solange an, bis Sie es ber die Schaltflche direkt daneben zurcksetzen.
UTM9 WebAdmin 33
2 WebAdmin 2.1 WebAdmin-Men
2.2 Symbolleiste 2 WebAdmin
Tipp Sie knnen den Fokus auf das Suchfeld setzen, indemSie auf der Tastatur STRG+Y
drcken.
2.2 Symbolleiste
Die Symbole in der oberen rechten Ecke des WebAdmin bieten Zugriff auf die folgenden Funk-
tionen:
l Benutzername/IP: Zeigt den aktuell angemeldeten Benutzer und die IP-Adresse an,
von der aus auf WebAdmin zugegriffen wird. Wenn derzeit noch weitere Benutzer ange-
meldet sind, werden ihre Daten ebenfalls angezeigt.
l Live-Protokoll ffnen: Wenn Sie diese Schaltflche anklicken, wird das Live-Protokoll,
das demaktiven WebAdmin-Men oder der aktiven Registerkarte zugeordnet ist, geff-
net. Umein anderes Live-Protokoll aufzurufen, ohne in ein anderes Men oder auf eine
andere Registerkarte zu wechseln, fahren Sie mit demMauszeiger ber die Schaltflche
Live-Protokoll. Nach ein paar Sekunden wird eine Liste der verfgbaren Live-Pro-
tokolle geffnet, aus der Sie das anzuzeigende Live-Protokoll auswhlen knnen. Ihre
Auswahl wird so lange beibehalten, wie Sie sich imgleichen Men bzw. auf der gleichen
Registerkarte des WebAdmin befinden.
Tipp Sie knnen Live-Protokolle auch ber die Schaltflchen Live-Protokoll ffnen
ffnen, die Sie auf vielen WebAdmin-Seiten finden.
l Onlinehilfe: Jedes Men, Untermen und jede Registerkarte verfgt ber eine kon-
textsensitive Onlinehilfe, die Informationen und Anleitungen zu der jeweils geffneten Sei-
te von WebAdmin enthlt.
Hinweis Die Onlinehilfe ist versionsbasiert und wird mithilfe von Patterns aktualisiert.
Wenn Sie eine Aktualisierung auf eine neue Firmware-Version durchfhren, wird auch
Ihre Onlinehilfe gegebenenfalls aktualisiert.
l Aktuelle Seite neu laden: Klicken Sie stets auf die Schaltflche Aktualisieren, umdie
bereits angezeigte Seite von WebAdmin zu aktualisieren.
Hinweis Verwenden Sie nie die Aktualisierungsfunktion des Browsers, da Sie in die-
semFall vomWebAdmin abgemeldet werden.
34 UTM9 WebAdmin
2.3 Listen
Viele Seiten imWebAdmin bestehen aus Listen. Mit den Schaltflchen links von jedemLis-
teneintrag knnen Sie einen Listeneintrag bearbeiten, lschen oder klonen (weitere Infor-
mationen finden Sie imAbschnitt Schaltflchen und Symbole). ZumErstellen eines neuen Lis-
teneintrags klicken Sie auf die Schaltflche Neue (wobei als Platzhalter fr das zu
erstellende Listenobjekt steht, z.B. Schnittstelle). Dies ffnet ein Dialogfeld, in welchemSie die
Eigenschaften des Objektes festlegen knnen.
Figure 5 WebAdmin: Beispiel einer Liste
Mit der ersten Auswahlliste ber der Liste knnen Sie die Listeneintrge nach ihremTyp oder
ihrer Gruppe sortieren. Die zweite Auswahlliste dient der gezielten Suche nach Lis-
teneintrgen. Geben Sie dazu einen Suchbegriff ein und klicken Sie auf Finden.
Listen mit mehr als zehn Eintrgen sind auf mehrere Seiten aufgeteilt. Mit den Schaltflchen
Vorwrts (>>) und Rckwrts (<<) knnen Sie zwischen den Seiten hin- und herschalten. Mit
der Auswahlliste Anzeige knnen Sie die Anzahl der Eintrge pro Seite vorbergehend ndern.
Zudemknnen Sie die Standardeinstellung fr alle Listen auf der Registerkarte Verwaltung >
WebAdmin-Einstellungen >Benutzereinstellungen ndern.
Mit Listenberschriften knnen einige Funktionen ausgefhrt werden. Wenn Sie eine Lis-
tenberschrift anklicken, wird die Liste normalerweise nach dementsprechenden Objektfeld
sortiert. Wenn Sie beispielsweise auf das Feld Name klicken, wird die Liste nach den Namen
der Objekte sortiert. Das Feld Aktion in der berschrift bietet mehrere Batch-Optionen, die Sie
fr zuvor ausgewhlte Listenobjekte durchfhren knnen. UmObjekte auszuwhlen, mar-
kieren Sie die zugehrigen Auswahlkstchen. Beachten Sie, dass die Auswahl sei-
tenbergreifend gltig bleibt, d.h., wenn Sie durch die Seiten einer Liste blttern, bleiben
bereits ausgewhlte Objekte ausgewhlt.
UTM9 WebAdmin 35
2 WebAdmin 2.3 Listen
2.4 Suche in Listen 2 WebAdmin
Tipp Durch einen Klick auf das Infosymbol eines Listeneintrags knnen Sie sehen, in wel-
chen Konfigurationen das Objekt verwendet wird.
2.4 Suche in Listen
ber das Filterfeld lsst sich die Anzahl der in einer Liste angezeigten Eintrge schnell redu-
zieren. Dadurch wird es wesentlich einfacher, die Objekte zu finden, die Sie suchen.
Wissenswertes
l Whrend einer Suche werden normalerweise mehrere Felder nach demSuchausdruck
durchsucht. Eine Suche in Benutzer & Gruppenbercksichtigt beispielsweise Benut-
zername, Realname, Kommentar und erste E-Mail-Adresse. Allgemein gesagt berck-
sichtigt die Suche alle Texte, die Sie in der Liste sehen knnen, ausgenommen jene
Details, die nach einemKlick auf das Infosymbol angezeigt werden.
l Die Listensuche ignoriert Gro-/Kleinschreibung. Das bedeutet, dass es keinen Unter-
schied macht, ob Sie Gro- oder Kleinbuchstaben eingeben. Das Suchergebnis wird
bereinstimmungen sowohl mit Gro- als auch mit Kleinbuchstaben anzeigen. Sie kn-
nen nicht explizit nach Gro- oder Kleinbuchstaben suchen.
l Die Listensuche basiert auf Perl-kompatiblen regulren Ausdrcken (abgesehen von
der Gro-/Kleinschreibung). Typische, aus Texteditoren bekannte Suchausdrcke wie *
und ?(als einfache Platzhalter) sowie die Operanden ANDund ORfunktionieren nicht in
der Listensuche.
Beispiele
Die folgende Liste stellt eine kleine Auswahl ntzlicher Suchausdrcke dar:
Einfacher Ausdruck: Findet alle Wrter, die den angegebenen Ausdruck enthalten. Bei-
spielsweise findet interdie Ergebnisse Internet, interfaceund printer.
Wortanfang: Stellen Sie demSuchausdruck die Zeichenfolge \bvoran. Beispielsweise findet
\binterdie Ergebnisse Internetund Interface, nicht jedoch Printer.
Wortende: Hngen Sie hinten an den Suchausdruck die Zeichenfolge \ban. Beispielsweise
findet http\bdas Ergebnis http, nicht jedoch https.
36 UTM9 WebAdmin
Beginn eines Eintrags: Stellen Sie demSuchausdruck das Zeichen ^voran. Beispielsweise
findet ^interdas Ergebnis Internet Uplink, nicht jedoch Uplink Interfaces.
IP-Adressen: Wenn Sie nach IP-Adressen suchen, mssen Sie die Trennpunkte mit einem
Backslash (umgekehrter Schrgstrich) maskieren. Umnach 192\.168zu suchen, mssen Sie
beispielsweise 192.168eingeben.
Fr eine allgemeinere Suche nach IP-Adressen verwenden Sie \dals Platzhalter fr eine belie-
bige Ziffer. \d+findet mehrere aufeinander folgende Ziffern. Mit \d+\.\d+\.\d+\.\d+findet
man beispielsweise jede beliebige IPv4-Adresse.
Hinweis Es ist sinnvoller, einen einfacheren, sicheren Suchausdruck zu verwenden, der zu
mehr Ergebnissen fhrt, als sich den Kopf ber den perfekten Suchausdruck zu zerbrechen,
welcher dann eher zu unerwarteten Ergebnissen oder falschen Schlussfolgerungen fhrt.
Eine ausfhrliche Beschreibung regulrer Ausrcke und deren Verwendung in Sophos UTM
finden Sie in der Sophos-Knowledgebase.
2.5 Dialogfelder
Dialogfelder sind spezielle Eingabemasken imWebAdmin, bei denen Sie aufgefordert sind,
bestimmte Informationen einzugeben. Das Beispiel zeigt ein Dialogfeld fr das Anlegen einer
statischen Route imMen Schnittstellen &Routing >Statisches Routing.
Figure 6 WebAdmin: Beispiel eines Dialogfelds
Jedes Dialogfeld kann aus verschiedenen Kontrollelementen (Widgets) wie zumBeispiel Text-
feldern oder Auswahlkstchen bestehen. Viele Dialogfelder bieten darber hinaus eine Drag-
and-Drop-Funktionalitt, was durch einen speziellen Hintergrund mit demSchriftzug DND
gekennzeichnet ist. Immer dann, wenn Sie ein solches Feld vorfinden, knnen Sie ein Objekt
UTM9 WebAdmin 37
2 WebAdmin 2.5 Dialogfelder
2.6 Schaltflchen und Symbole 2 WebAdmin
durch Ziehen und Ablegen mit der Maus (Drag-and-Drop) in dieses Feld ziehen. Umdie Objekt-
liste zu ffnen, von der aus Sie das Objekt in das Feld ziehen knnen, klicken Sie auf das gelbe
Ordnersymbol direkt neben demTextfeld. Abhngig von der jeweiligen Konfigurationsoption ff-
net sich die Liste mit den verfgbaren Netzwerk-, Dienst-, Benutzer-/Gruppen- oder Zeit-
raumdefinitionen. Ein Klick auf das grne Plussymbol ffnet ein Dialogfenster, in welchemSie
eine neue Definition anlegen knnen. Einige Kontrollelemente, die fr eine bestimmte Kon-
figuration nicht bentigt werden, sind ausgegraut. In manchen Fllen knnen diese durchaus
editiert werden, haben dann allerdings keinen Effekt.
Hinweis ImWebAdmin gibt es u.a. die Schaltflchen Speichern und bernehmen. Die
Schaltflche Speichern wird immer dann angezeigt, wenn Sie ein Objekt in WebAdmin neu
anlegen oder bearbeiten, zumBeispiel, wenn Sie eine neue statische Route anlegen oder
Netzwerkdefinitionen bearbeiten. Sie wird immer zusammen mit einer Schaltflche Abbre-
chen angezeigt. Die Schaltflche bernehmen hingegen dient dazu, Ihre Einstellungen in das
Backend zu bertragen und dadurch sofort wirksamwerden zu lassen.
2.6 Schaltflchen und Symbole
Der WebAdmin verfgt ber einige Schaltflchen und Symbole mit hinterlegter Funktion, deren
Nutzung hier beschrieben wird.
Schaltflchen Bedeutung
Zeigt ein Dialogfeld mit detaillierten Informationen zumObjekt an.
ffnet ein Dialogfeld, in demdie Eigenschaften des Objekts bearbeitet
werden knnen.
Lscht das Objekt. Es wird eine Warnung ausgegeben, wenn ein
Objekt noch irgendwo anders benutzt wird. Nicht alle Objekte knnen
gelscht werden, wenn sie in Benutzung sind.
ffnet ein Dialogfeld, umein Objekt mit identischen Ein-
stellungen/Eigenschaften anzulegen. Klonen dient dazu, hnliche
Objekte anzulegen ohne alle identischen Einstellungen erneut ein-
geben zu mssen.
38 UTM9 WebAdmin
Symbole
mit Funk-
tion
Bedeutung
Info: Zeigt alle Konfigurationen an, in denen das Objekt verwendet wird.
Details: Verlinkt auf eine andere WebAdmin-Seite mit weiteren Informationen
zu diesemThema.
Schieberegler: Aktiviert oder deaktiviert eine Funktion. Er zeigt Grn an,
wenn die Funktion aktiv ist, Grau, wenn die Funktion deaktiviert ist, und Gelb,
wenn eine Konfigurierung ntig ist, bevor die Funktion aktiviert werden kann.
Ordner: Dieses Symbol hat zwei Funktionen: (1) ffnet eine Objektleiste (sie-
he Abschnitt unten) auf der linken Seite, aus der Sie passende Objekte aus-
whlen knnen. (2) ffnet ein Dialogfenster, umeine Datei hochzuladen.
Plus: ffnet ein Dialogfenster, umein neues Objekt des erforderlichen Typs
hinzuzufgen.
Aktion: ffnet eine Auswahlliste mit Aktionen. Die Aktionen hngen davon ab,
wo sich das Symbol befindet: (1) Symbol in Listenberschrift: Die Aktionen, z.B.
Aktivieren, Deaktivieren oder Lschen gelten fr die ausgewhlten Lis-
tenobjekte. (2)Symbol in Textfeld: Mit den Aktionen Import und Export knnen
Sie Text importieren oder exportieren und mit Leeren den gesamten Inhalt
lschen. Auerdemexistiert ein Filterfeld, mit demSie eine Liste auf die rele-
vanten Elemente reduzieren knnen. Beachten Sie, dass der Filter zwischen
Gro- und Kleinschreibung unterscheidet.
Leeren: Entfernt ein Objekt aus der aktuellen Konfiguration, wenn es sich vor
demObjekt befindet.
Entfernt alle Objekte aus einemFeld, wenn es sich imMen Aktionen befindet.
Objekte werden jedoch niemals gelscht.
Import: ffnet ein Dialogfenster, umText mit mehr als einemEintrag bzw.
mehr als einer Zeile zu importieren. Diese Funktion erleichtert das Hinzufgen
von mehreren Eintrgen auf einmal, ohne diese einzeln eingeben zu mssen,
z.B. einer langen Negativliste (Blacklist) zur URL-Negativliste. Kopieren Sie
den Text dazu aus einer beliebigen Ausgangsdatei und fgen Sie ihn mittels
Strg+Vein.
UTM9 WebAdmin 39
2 WebAdmin 2.6 Schaltflchen und Symbole
2.7 Objektlisten 2 WebAdmin
Symbole
mit Funk-
tion
Bedeutung
Export: ffnet ein Dialogfenster, umalle vorhandenen Eintrge zu expor-
tieren. Sie knnen als Trennzeichen entweder Zeilenumbruch, Doppelpunkt
oder Komma whlen, umEintrge voneinander zu trennen. UmEintrge als
Text zu exportieren, markieren Sie den ganzen Text imFeld Exportierter Text
und drcken Sie Strg+C, umihn zu kopieren. Sie knnen ihn dann mittels
Strg+Vin allen blichen Anwendungen, z.B. einemTexteditor, einfgen.
Sortieren: Mithilfe dieser beiden Pfeile knnen Sie Listenelemente sortieren,
indemSie ein Element in der Liste nach oben oder unten verschieben.
Vorwrts/Rckwrts:Mithilfe dieser beiden Pfeile knnen Sie je nach Ihrer
Position durch die Seiten einer langen Liste navigieren oder entlang eines nde-
rungs- und Einstellungsverlaufs vor- und zurcknavigieren.
PDF: Speichert die aktuelle Ansicht der Daten in einer PDF-Datei und ffnet
anschlieend ein Dialogfenster, umdie erzeugte Datei herunterzuladen.
CSV: Speichert die aktuelle Ansicht der Daten in einer CSV-Datei (durch Kom-
ma getrennte Werte) und ffnet anschlieend ein Dialogfenster, umdie erzeug-
te Datei herunterzuladen.
2.7 Objektlisten
Eine Objektliste ist eine Liste von Objekten die gelegentlich auf der linken Seite des WebAdmin
eingeblendet wird und dabei vorbergehend das Hauptmen verdeckt.
40 UTM9 WebAdmin
Figure 7 Ziehen eines Objekts aus der Objektliste Networks
Eine Objektliste wird automatisch geffnet, wenn Sie auf das Ordnersymbol klicken (siehe
Abschnitt oben). Sie kann auch manuell ber ein Tastaturkrzel geffnet werden (siehe Ver-
waltung >WebAdmin-Einstellungen >Benutzereinstellungen).
Die Objektliste ermglicht einen schnellen Zugriff auf WebAdmin-Objekte wie Benut-
zer/Gruppen, Schnittstellen, Netzwerke und Dienste, umsie fr Konfigurationszwecke aus-
whlen zu knnen. Objekte werden ausgewhlt, indemsie einfach zur aktuellen Konfiguration
gezogen und dort ber dementsprechenden Feld fallen gelassen werden (Drag and Drop).
Es gibt fnf verschiedene Arten von Objektlisten, entsprechend den Objekttypen, die es gibt.
Bei einemKlick auf das Ordnersymbol wird immer die Objektliste geffnet, deren Typ von der
aktuellen Konfiguration bentigt wird.
UTM9 WebAdmin 41
2 WebAdmin 2.7 Objektlisten
3 Dashboard
Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Sophos UTM.
Mit Hilfe des Symbols "Dashboard-Einstellungen" rechts oben knnen Sie, unter anderem, aus-
whlen welche Themen angezeigt werden sollen. Nhere Informationen zu diesen Ein-
stellungen finden Sie unter Dashboard >Dashboard-Einstellungen.
Das Dashboard wird nach der Anmeldung amWebAdmin angezeigt und stellt standardmig
diese Informationen zur Verfgung:
l Allgemeine Informationen: Hostname, Modell, Lizenz-ID, Abonnements und die Zeit-
spanne, fr die das Gert in Betrieb ist. Die Farbe, in der ein Abonnement angezeigt
wird, wechselt 30 Tage vor Ablaufdatumauf orange. In den letzten 7 Tagen vor Ablauf
sowie nach Ablauf wird das Abonnement rot angezeigt.
l Versionsinformationen: Informationen zu den aktuell installierten Firmware- und Pat-
ternversionen sowie verfgbaren Updates.
l Ressourcennutzung: Aktuelle Systemauslastung, insbesondere der folgenden Kom-
ponenten:
l Die CPU-Auslastung in Prozent.
l Die RAM-Auslastung in Prozent. Hinweis: Der angezeigte Gesamtspeicher ist der
Teil, der fr das Betriebssystemnutzbar ist. Bei 32-Bit-Systemen entspricht dies
manchmal nicht der tatschlichen Gre des installierten physischen Speichers,
da ein Teil davon fr Hardware reserviert ist.
l Der von der Protokollpartition (engl. log partition) belegte Festplattenplatz in Pro-
zent
l Der von der Datenpartition belegte Festplattenplatz in Prozent
l Der Status des USV-Gertes (unterbrechungsfreie Stromversorgung) (falls vor-
handen)
l Heutiger Bedrohungsstatus: Ein Zhler fr die wichtigsten registrierten Bedro-
hungen seit Mitternacht:
l Die Summe der Datenpakete, die vomPaketfilter verworfen (engl. drop) oder
abgelehnt (engl. reject) wurden und fr die Protokollierung aktiviert ist
l Die Summe der blockierten Angriffe und Eindringungsversuche (engl. intrusion) in
das Netzwerk
3 Dashboard
l Die Summe der blockierten Viren (alle Proxies)
l Die Summe der blockierten Spam-Nachrichten (SMTP/POP3)
l Die Summe der blockierten Spyware-Kommunikation (alle Proxies)
l Die Summe der blockierten URLs (HTTP/S)
l Die Summe der blockierten Webserver-Angriffe (WAF)
l Die Summe der blockierten Endpoint-Angriffe und der blockierten Gerte
l Schnittstellen: Name und Status von konfigurierten Netzwerkkarten. Darber hinaus
wird fr jede Schnittstelle die durchschnittliche Datenbertragungsrate der letzten 75
Sekunden fr einund ausgehenden Datenverkehr angezeigt. Die Werte resultieren aus
Durchschnittswerten, die in Intervallen von 15 Sekunden gewonnen werden. Ein Klick
auf einen Verkehrswert einer Schnittstelle ffnet den Flow-Monitor in einemneuen Fens-
ter. Der Flow-Monitor zeigt den Datenverkehr der letzten zehn Minuten an und aktua-
lisiert sich selbst in kurzen Abstnden. Weitere Informationen zumFlow-Monitor finden
Sie imKapitel Flow-Monitor.
l Advanced Threat Protection: Status von Advanced Threat Protection. Die Ansicht
zeigt, ob Advanced Threat Protection aktiviert ist, und einen Zhler infizierter Hosts.
l Aktuelle Systemkonfiguration: Anzeige der wichtigsten Sicherheitsfunktionen und
deren Aktivittsstatus. Wenn Sie auf einen der Eintrge klicken, ffnet sich die WebAd-
min-Seite mit den entsprechenden Einstellungen:
l Firewall: Informationen zu allen aktiven Firewallregeln.
l Intrusion Prevention: Das Angriffschutzsystem(IPS, engl. Intrusion Pre-
vention) erkennt Angriffsversuche anhand eines signaturbasierten IPS-Regel-
werks.
l Webfilter: Ein Gateway auf Anwendungsebene fr das HTTP/S-Protokoll, das
eine groe Auswahl an Filtermechanismen fr die Netzwerke bietet, die seine
Dienste verwenden drfen.
l Netzwerksichtbarkeit:Sophos-Layer-7-Application-Control ermglicht die Kate-
gorisierung und Kontrolle von Netzwerkverkehr.
l SMTP-Proxy: Ein Gateway auf Anwendungsebene fr Nachrichten, die ber das
Simple Mail Transfer Protocol (SMTP) gesendet werden.
l POP3-Proxy: Ein Gateway auf Anwendungsebene fr Nachrichten, die ber das
Post Office Protocol 3 (POP3) gesendet werden.
44 UTM9 WebAdmin
l RED: Konfiguration von Remote-Ethernet-Device-(RED)-Appliances fr die
Sicherheit von Zweigniederlassungen.
l Wireless Protection: Konfiguration von WLAN-Netzwerken und Access Points.
l Endpoint Protection: Verwaltung von Endpoint-Gerten in IhremNetzwerk.
Zeigt die Anzahl der verbundenen Endpoints und Warnungen an.
l Site-to-Site-VPN: Konfiguration von Site-to-Site-VPN-Szenarien.
l Fernzugriff: Konfiguration von VPNVPNClosed-Szenarien fr Road Warriors.
l Web Application Firewall: Ein Gateway auf Anwendungsebene zumSchutz
Ihrer Webserver vor Angriffen wie Cross-Site-Scripting und SQL-Injections.
l HA/Cluster: Ausfallsicherheit und Cluster-Technologie, d.h. die gleichmige
Verteilung von rechenintensiven Aufgaben wie z.B. demFiltern von Inhalten,
Virenscans, Angriffschutz oder Entschlsselung auf mehrere Computer.
l Sophos UTMManager: Verwaltung Ihrer Sophos UTM-Appliance ber das zen-
trale Verwaltungs-Tool Sophos UTMManager (SUM).
l Antivirus: Schutz Ihres Netzwerks vor Internetverkehr, der schdlichen Inhalt
wie Viren, Wrmer und andere Malware verbreitet.
l Antispam: Erkennung von unerwnschten E-Mails und Spam-bermittlung von
bekannten oder verdchtigen Spam-Versendern.
l Antispyware: Schutz vor Spyware-Infektionen durch zwei voneinander unab-
hngig operierende Virenscanner, deren Virensignaturen- und Spyware-Fil-
termechanismen regelmig aktualisiert werden und eingehenden sowie
ausgehenden Datenverkehr schtzen.
3.1 Dashboard-Einstellungen
Sie knnen diverse Dashboard-Einstellungen vornehmen. Klicken Sie oben rechts imDas-
hboard auf das Symbol Dashboard-Einstellungen, umdas Dialogfenster Dashboard-Ein-
stellungen bearbeiten zu ffnen.
Dashboard aktualisieren: Standardmig wird das Dashboard alle fnf Sekunden aktua-
lisiert. Das Zeitintervall fr die Aktualisierung kann von Nie bis zu Jede Minute eingestellt wer-
den.
Linke Spalte Rechte Spalte: Das Dashboard ist in verschiedene Themenbereiche unter-
gliedert, in denen Sie Informationen zumjeweiligen Thema finden. Mit den beiden Feldern
UTM9 WebAdmin 45
3 Dashboard 3.1 Dashboard-Einstellungen
3.1 Dashboard-Einstellungen 3 Dashboard
Linke Spalte und Rechte Spalte knnen Sie die Themenabschnitte neu anordnen, The-
menabschnitte hinzufgen oder aus demAnzeigebereich entfernen. Diese Einstellungen wer-
den auf das Dashboard angewendet. Verwenden Sie die Sortier-Symbole umdie The-
menabschnitte einer Spalte zu sortieren. Umeinen bestimmten Themenabschnitt zum
Anzeigebereich hinzuzufgen oder daraus zu entfernen, aktivieren bzw. deaktivieren Sie das
zugehrige Auswahlkstchen.
Die standardmig angezeigten Themenabschnitte werden imKapitel Dashboardbeschrie-
ben. Diese Themenabschnitte knnen zustzlich angezeigt werden:
l Web Protection: Hufigste Anwendungen: berblick ber die amhufigsten ver-
wendeten Anwendungen. Wenn Sie in diesemThemenabschnitt mit demMauszeiger
ber eine Anwendung fahren, werden ein oder zwei Symbole mit zustzlichen Funk-
tionen angezeigt:
l Klicken Sie auf das Symbol Blockieren, umdie Anwendung ab diesemMoment zu
blockieren. Auf der Seite Application-Control-Regeln wird dann eine Regel
erstellt. Diese Option ist nicht fr Anwendungen verfgbar, die fr einen rei-
bungslosen Betrieb von Sophos UTMrelevant sind. So kann beispielsweise
WebAdmin-Datenverkehr nicht blockiert werden, da dies dazu fhren knnte,
dass Sie nicht mehr auf den WebAdmin zugreifen knnen. Auch nicht klas-
sifizierter Datenverkehr kann nicht blockiert werden.
l Klicken Sie auf das Symbol Regeln, umTraffic Shaping fr die entsprechende
Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Rege-
leinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind.
Dies erstellt jeweils eine Regel auf den Seiten Verkehrskennzeichner und Band-
breiten-Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen
Schnittstellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funk-
tioniert.
l Klicken Sie auf das Symbol Throttle umDownload-Drosselung fr die ent-
sprechende Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie
die Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie
fertig sind. Hiermit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner
und Download-Drosselung hinzugefgt. Download-Drosselung ist nicht ver-
fgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnittstellen ausgewhlt
haben, da Download-Drosselung schnittstellenbasiert funktioniert.
l Web Protection: Hufigste Sites nach Tageszeit: berblick ber die amhu-
figsten besuchten Domnen imZeitverlauf.
46 UTM9 WebAdmin
l Web Protection: Hufigste Sites nach Datenverkehr: berblick ber die amhu-
figsten besuchten Domnen nach Datenverkehr.
l Protokollierung: Status der Protokollpartition von Sophos UTM, einschlielich Infor-
mationen zumfreien Festplattenspeicherplatz und zur Zuwachsrate.
l Newsfeed: Neuigkeiten ber Sophos und seine Produkte.
l Diagramm: Gleichzeitige Verbindungen: Tgliche Statistiken und Histogrammder
Gesamtzahl an gleichzeitigen Verbindungen.
l Diagramm: Protokollpartitionsstatus: Statistik und Histogrammder Pro-
tokollpartitionsauslastung fr vier Wochen.
l Diagramm: CPU-Auslastung: Tgliche Statistiken und Histogrammder aktuellen Pro-
zessorauslastung in Prozent.
l Diagramm: Speicher-/Swap-Belegung: Tgliche Statistiken und Histogrammder
Speicher- und Swap-Auslastung in Prozent.
l Diagramm: Partitionsbelegung: Tgliche Statistiken und Histogrammder Auslastung
ausgewhlter Speicherpartitionen in Prozent.
Automatische Gruppierung auf Dashboard aktivieren: Whlen Sie diese Option, um
Informationen imDashboard kompakt anzuzeigen. Diese Option betrifft nur die ausgewhlten
Web-Protection-Elemente in der linken Spalte und die ausgewhlten Diagramm-Elemente in
der rechten Spalte. Wenn diese Option ausgewhlt ist, werden die jeweiligen Infor-
mationselemente als berlappende Registerkarten imDashboard angezeigt. Ist sie nicht aus-
gewhlt, werden die Informationselemente nebeneinander angezeigt.
Klicken Sie auf Speichern, umIhre Einstellungen zu speichern.
3.2 Flow-Monitor
Der Flow-Monitor von Sophos UTMist eine Anwendung, die schnellen Zugriff auf Infor-
mationen zumaktuellen Datenverkehr bietet, der die Schnittstellen von UTMpassiert. Der
Zugriff erfolgt ganz einfach ber das Dashboard durch einen Klick auf eine der Schnittstellen
oben rechts. Wenn Sie auf Alle Schnittstellen klicken, zeigt der Flow-Monitor den gesamten
Datenverkehr auf allen aktiven Schnittstellen an. Wenn Sie auf eine einzelne Schnittstelle kli-
cken, zeigt der Flow-Monitor nur den Datenverkehr dieser Schnittstelle an.
UTM9 WebAdmin 47
3 Dashboard 3.2 Flow-Monitor
3.2 Flow-Monitor 3 Dashboard
Hinweis Der Flow-Monitor wird in einemneuen Browser-Fenster geffnet. Da das Fens-
ter mglicherweise von Popup-Blockern blockiert wird, ist es ratsam, Popup-Blocker fr den
WebAdmin zu deaktivieren.
Der Flow-Monitor bietet mit einemDiagrammund einer Tabelle zwei Ansichten, die in den
nchsten Abschnitten beschrieben werden. Die Anwendung wird alle fnf Sekunden aktua-
lisiert. Sie knnen auf die Schaltflche Pause klicken, umdie Aktualisierung zu unterbrechen.
Wenn Sie auf Weiter klicken, umdie Aktualisierung wieder aufzunehmen, aktualisiert der Flow-
Monitor die Daten, sodass der aktuelle Datenverkehr angezeigt wird.
Tabellarische Ansicht
Die Flow-Monitor-Tabelle bietet Informationen zumNetzwerkverkehr der letzten fnf Sekun-
den:
#: Der Datenverkehr wird nach der aktuellen Bandbreitennutzung angeordnet.
Anwendung: Protokoll oder Name des Netzwerkverkehrs, falls verfgbar. Nicht klassifizierter
Datenverkehr ist eine demSystemunbekannte Art des Datenverkehrs. Nach einemKlick auf
eine Anwendung wird ein Fenster geffnet, das Informationen ber den Server, den ver-
wendeten Port, die bentigte Bandbreite pro Serververbindung und den gesamten Daten-
verkehr anzeigt.
Clients: Anzahl der Clientverbindungen, die die Anwendung nutzen. Nach einemKlick auf
einen Client wird ein Fenster geffnet, das Informationen ber die IP-Adresse des Clients, die
bentigte Bandbreite pro Clientverbindung und den Gesamtverkehr anzeigt. Beachten Sie,
dass bei nicht klassifiziertem(unclassified) Verkehr die Anzahl der Clients in der Tabelle hher
sein kann als imzustzlichen Informationsfenster. Das liegt daran, dass die Bezeichnung
unclassifiedmehr als eine Anwendung einschliet. Daher ist es mglich, dass imInfor-
mationsfenster nur ein Client, in der Tabelle jedoch drei Clients aufgefhrt werden. Bei letz-
teren handelt es sich eigentlich umdie Verbindungen des einen Clients mit drei verschiedenen,
nicht klassifizierten Anwendungen.
Aktuelle Bandbreitennutzung: Die Bandbreitennutzung der letzten fnf Sekunden. Nach
einemKlick auf eine Bandbreite wird ein Fenster geffnet, das Informationen zur Download-
und Upload-Rate der Anwendungsverbindung anzeigt.
Gesamter Datenverkehr: Der gesamte Datenverkehr einer Verbindung, solange diese
besteht. Beispiel 1: Ein Download wurde vor einiger Zeit gestartet und ist noch nicht beendet:
48 UTM9 WebAdmin
Der gesamte Datenverkehr seit demBeginn des Downloads wird angezeigt. Beispiel 2: Meh-
rere Clients nutzen Facebook: Solange ein Client die Verbindung offen hlt, wird der gesamte
bisher von allen Clients verursachte Datenverkehr angezeigt.
Nach einemKlick auf den gesamten Datenverkehr wird ein Fenster geffnet, das Infor-
mationen zur Download- und Upload-Rate der Anwendungsverbindung anzeigt.
Aktionen: Je nach Typ der Anwendung knnen verschiedene Aktionen durchgefhrt werden
(auer fr nicht klassifizierten Verkehr).
l Blockieren: Klicken Sie auf die Schaltflche Block, umdie entsprechende Anwendung ab
sofort zu blockieren.Auf der Seite Application-Control-Regeln wird dann eine Regel
erstellt. Diese Option ist nicht fr Anwendungen verfgbar, die fr einen reibungslosen
Betrieb von Sophos UTMrelevant sind. So kann beispielsweise WebAdmin-Daten-
verkehr nicht blockiert werden, da dies dazu fhren knnte, dass Sie nicht mehr auf den
WebAdmin zugreifen knnen. Auch nicht klassifizierter Datenverkehr kann nicht blockiert
werden.
l Traffic Shaping: Klicken Sie auf die Schaltflche Shape, umTraffic Shaping fr die ent-
sprechende Anwendung zu aktivieren.Ein Dialogfenster wird geffnet, in demSie die
Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind.
Dies erstellt jeweils eine Regel auf den Seiten Verkehrskennzeichner und Bandbreiten-
Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnitt-
stellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.
l Download-Drosselung: Klicken Sie auf die Schaltflche Throttle, umDownload-Dros-
selung fr die entsprechende Anwendung zu aktivieren. Ein Dialogfenster wird geffnet,
in demSie die Regeleinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn
Sie fertig sind. Hiermit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner und
Download-Drosselung hinzugefgt. Download-Drosselung ist nicht verfgbar, wenn Sie
eine Flow-Monitor-Ansicht mit allen Schnittstellen ausgewhlt haben, da Download-
Drosselung schnittstellenbasiert funktioniert.
Diagrammansicht
Das Flow-Monitor-Diagrammzeigt den Netzwerkverkehr der letzten zehn Minuten an. Die hori-
zontale Achse zeigt die Zeit und die vertikale Achse den Umfang des Datenverkehrs, wobei die
Skala dynamisch an den Durchsatz angepasst wird.
In der Diagrammansicht unten wird eine Legende angezeigt, die Informationen zur Art des
Datenverkehrs auf einer Schnittstelle bietet. Jeder Art von Datenverkehr ist eine andere Farbe
UTM9 WebAdmin 49
3 Dashboard 3.2 Flow-Monitor
3.2 Flow-Monitor 3 Dashboard
zugewiesen, sodass eine Unterscheidung des imDiagrammangezeigten Datenverkehrs pro-
blemlos mglich ist.
Hinweis Der Flow-Monitor zeigt wesentlich genauere Informationen zumDatenverkehr
an, wenn Netzwerksichtbarkeit aktiviert ist (siehe Kapitel Web Protection >Application Control
>Netzwerksichtbarkeit).
Wenn Sie mit demMauszeiger ber das Diagrammfahren, wird ein Punkt angezeigt, der Ihnen
detaillierte Informationen zu diesemTeil des Diagramms liefert. Der Punkt haftet an der Linie
des Diagramms. Er folgt den Bewegungen des Mauszeigers. Wenn ein Diagrammmehrere
Linien hat, wechselt der Punkt zwischen ihnen, je nachdem, wohin Sie den Mauszeiger bewe-
gen. Darber hinaus ndert der Punkt seine Farbe in Abhngigkeit davon, auf welche Linie sich
seine Informationen beziehen. Das ist besonders ntzlich, wenn Linien eng nebeneinander lie-
gen. Der Punkt bietet Informationen zu Art und Gre des Datenverkehrs zumjeweiligen Zeit-
punkt.
50 UTM9 WebAdmin
4 Verwaltung
In diesemKapitel wird beschrieben, wie grundlegende Systemeinstellungen sowie Ein-
stellungen fr die Web-basierte, administrative Benutzeroberflche von Sophos UTM, WebAd-
min, vorgenommen werden. Die Seite Verwaltungsbersicht zeigt eine Statistik der letzten
Anmeldungen amWebAdmin inklusive der gegebenenfalls durchgefhrten nderungen. Kli-
cken Sie auf die Schaltflche Anzeigen in der Spalte nderungsprotokoll, umdie nderungen
imDetail zu sehen.
In der Spalte Status ist aufgelistet, wann frhere WebAdmin-Sitzungen beendet wurden.
Hinweis Sie knnen WebAdmin-Sitzungen beenden, indemSie auf das Men Abmelden kli-
cken. Wenn Sie den Browser schlieen, ohne auf das Men Abmelden zu klicken, luft die Sit-
zung nach der Zeitspanne aus, die auf der Registerkarte Verwaltung >WebAdmin-Ein-
stellungen >Erweitert festgelegt ist.
l Systemeinstellungen
l WebAdmin-Einstellungen
l Lizenzen
l Up2Date
l Backup/Wiederherstellen
l Benutzerportal
l Benachrichtigungen
l Anpassungen
l SNMP
l Zentrale Verwaltung
l Hochverfgbarkeit
l Ausschalten/Neustart
4.1 Systemeinstellungen 4 Verwaltung
4.1 Systemeinstellungen
Mit Hilfe des Mens Systemeinstellungen knnen Sie die grundlegenden Einstellungen Ihrer
UTMkonfigurieren. Sie knnen Hostname, Datumund Uhrzeiteinstellungen ebenso wie Scan-
einstellungen fr Antivirus oder Advanved Threat Protection-Optionen einstellen. Kon-
figurationen oder Zurcksetzen von Passwrtern und Shell-Zugriff-Konfigurationen knnen
ebenfalls vorgenommen werden.
4.1.1 Organisatorisches
Geben Sie folgende organisatiorischen Informationen an(falls noch nicht imInstal-
lationsassistenten geschehen):
l Organisationsname: Name Ihres Unternehmens
l Stadt: Stadt, in der sich Ihr Unternehmen befindet
l Land: Land, in demsich Ihr Unternehmen befindet
l E-Mail-Adresse des Administrators: E-Mail-Adresse der Person oder Gruppe, der/-
die in Ihrer Firma verantwortlich fr technische Belange ist Sophos UTM
Diese Informationen werden auch in Zertifikaten fr IPsec, Email Encryption und den WebAd-
min verwendet.
4.1.2 Hostname
Geben Sie den Hostnamen Ihrer UTMals Fully Qualified Domain Name (FQDN) an. Der Fully
Qualified Domain Name ist ein eindeutiger Domnenname, der in einer DNS-Baumstruktur die
absolute Position des Knotens spezifiziert, z.B. utm.beispiel.de. Ein Hostname darf aus
alphanumerischen Zeichen, Punkten und Bindestrichen bestehen. AmEnde des Hostnamens
muss ein spezieller Bezeichner wie z. B. com, orgoder destehen. Der Hostname wird u. a. in
Benachrichtigungs-E-Mails verwendet, umdie UTMzu identifizieren. Der Hostname erscheint
auch in Statusmeldungen des Webfilters. Beachten Sie, dass der Hostname nicht in der DNS-
Zone fr Ihre Domne registriert werden muss.
52 UTM9 WebAdmin
4.1.3 Zeit und Datum
Auf Ihrer UTMsollten Datumund Uhrzeit immer richtig eingestellt sein. Dies ist eine Voraus-
setzung dafr, dass die Informationen in den Protokoll- und Berichtssystemen korrekt sind und
dass die Zusammenarbeit mit anderen Computern imInternet problemlos abluft.
blicherweise brauchen Sie Zeit und Datumnicht manuell einzustellen. Denn standardmig
ist die automatische Synchronisierung mit ffentlichen Internetzeitservern aktiviert (siehe
Abschnitt Synchronisierung der Systemzeit mit NTPunten).
In demunwahrscheinlichen Fall, dass Sie die Synchronisierung mit Zeitservern deaktivieren
mssen, knnen Sie Zeit und Datummanuell ndern. Wenn Sie das tun, beachten Sie aber die
folgenden wichtigen Hinweise:
l ndern Sie niemals die Zeit von Winterzeit auf Sommerzeit oder andersherum. Diese
nderung wird immer automatisch durch die eingestellte Zeitzone durchgefhrt, auch
wenn die automatische Synchronisierung mit Zeitservern deaktiviert ist.
l ndern Sie nie Datumoder Zeit, whrend die Synchronisierung mit Zeitservern noch akti-
viert ist, da die automatische Synchronisierung Ihre nderungen immer sofort wieder
rckgngig machen wird. Falls Sie Datumoder Zeit manuell einstellen mssen, denken
Sie daran, zuerst alle Server aus demFeld NTP-Server imAbschnitt Synchronisierung
der Systemzeit mit NTPzu entfernen und dann auf bernehmen zu klicken.
l NachdemSie die Zeit manuell gendert haben, warten Sie, bis Sie eine grne Best-
tigungsmeldung sehen, die besagt, dass die nderung erfolgreich war. Starten Sie
danach das Systemneu (Verwaltung >Ausschalten/Neustart). Das ist sehr emp-
fehlenswert, da viele Dienste darauf vertrauen, dass sich die Zeit fortlaufend und nicht
pltzlich ndert. Zeitsprnge knnen daher zu Fehlfunktionen bei einigen Diensten fh-
ren. Dieser Hinweis gilt fr alle Arten von Computersystemen.
l In seltenen Fllen kann eine nderung der Systemzeit sogar Ihre WebAdmin-Sitzung
beenden. Falls das passiert, melden Sie sich erneut an, berprfen Sie, ob die Zeit nun
richtig eingestellt ist und starten Sie das Systemdanach neu.
Falls Sie mehrere miteinander verbundene UTMs betreiben, die ber verschiedene Zeitzonen
reichen, whlen Sie eine gemeinsame Zeitzone, z. B. UTC(koordinierte Weltzeit). Damit las-
sen sich Protokolleintrge sehr viel einfacher vergleichen.
Wenn Sie die Systemzeit manuell ndern, beachten Sie, dass Ihnen einige Nebeneffekte
begegnen werden, auch wenn Sie das Systemordentlich neu gestartet haben.
UTM9 WebAdmin 53
4 Verwaltung 4.1 Systemeinstellungen
l Uhrzeit vorstellen
l In zeitbasierten Berichten fehlen Daten fr die entsprechende Zeitspanne. Die
meisten Diagramme stellen diesen Zeitraumals gerade Linie in Hhe des alten
Wertes dar.
l Fr den Netzwerkverkehr (engl. Accounting) betragen alle Werte in dieser Zeit-
spanne 0.
l Uhrzeit zurckstellen
l In den zeitbasierten Berichten gibt es fr den entsprechenden Zeitraumbereits
Protokolldaten (die aus Sicht des Systems aber aus der Zukunft stammen).
l Die meisten Diagramme stellen die Werte dieser Zeitspanne komprimiert dar.
l Die imDashboard angezeigte verstrichene Zeit seit der letzten Pattern-Prfung
zeigt den Wert nie, obwohl die letzte Prfung erst wenige Minuten zurckliegt.
l Automatisch auf der UTMerzeugte Zertifikate knnen ungltig werden, da der
Beginn ihrer Gltigkeit aus Sicht des Systems in der Zukunft liegt.
l Berichtsdaten ber den Netzwerkverkehr behalten die bereits erfassten Daten,
obwohl sie in der Zukunft liegen. Sobald der Zeitpunkt der Zurcksetzung erreicht
ist, werden die Netzwerkverkehr-Dateien weitergeschrieben.
Aufgrund dieser Nachteile sollten Sie die Systemzeit bei der Erstkonfiguration einmalig setzen
und spter nur geringfgig anpassen. Dies gilt insbesondere dann, wenn die gesammelten
Netzwerkverkehrs- und Berichtsdaten weiterverarbeitet werden und die Genauigkeit der
Daten wichtig ist.
Datum und Uhrzei t ei nstellen
Zur manuellen Konfiguration der Systemzeit whlen Sie Datumund Zeit aus den ent-
sprechenden Auswahllisten aus.Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
Zei tzone ei nstellen
Umdie Zeitzone des Systems zu ndern, whlen Sie ein Gebiet oder eine Zeitzone aus der Aus-
wahlliste aus.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Das ndern der Zeitzone ndert nicht die Systemzeit, sondern nur wie die Zeit ausgegeben
wird, beispielsweise in Protokoll- und Berichtsdaten. Auch wenn dadurch keine Dienste unter-
brochen werden, empfehlen wir dringend anschlieend neu zu starten, umsicherzugehen
dass alle Dienste die neue Zeiteinstellung verwenden.
54 UTM9 WebAdmin
Synchroni si erung der Systemzei t mi t NTP
Zur Synchronisierung der Systemzeit mithilfe eines Zeitservers whlen Sie einen oder mehrere
NTP-Server aus. Klicken Sie auf bernehmen, nachdemSie die Konfiguration abgeschlossen
haben.
NTP Server: Der NTPServer Pool ist voreingestellt. Diese Netzwerkdefinition bezieht sich auf
den groen virtuellen Zusammenschluss von ffentlichen Zeitservern des pool.ntp.org-Pro-
jekts. Falls Ihr Internetanbieter selbst NTP-Serverfr Kunden betreibt und Sie Zugang zu die-
sen Servern haben, ist es empfehlenswert, den NTPServer Pool zu entfernen und stattdessen
die Server Ihres Anbieters zu verwenden. Wenn Sie Ihre eigenen oder die Server Ihres Anbie-
ters verwenden, erhht die Verwendung von mehr als einemServer die Przision und Zuver-
lssigkeit. Die Verwendung von drei unabhngigen Servern ist eigentlich immer ausreichend.
Die Verwendung von mehr als drei Servern bringt meistens keine weitere Verbesserung,
erhht hingegen die Serverlast. Es ist nicht empfehlenswert, sowohl den NTPServer Pool als
auch Ihre eigenen Server oder die Server Ihres Anbieters zu verwenden, da dies imNormalfall
weder die Przision noch die Zuverlssigkeit erhht.
Tipp Wenn Sie mchten, dass sich Client-Computer mit diesen NTP-Servernverbinden
knnen, fgen Sie sie auf der Seite Netzwerkdienste >NTPzu den zugelassenen Netz-
werken hinzu.
Konfigurierte Server testen: Klicken Sie auf diese Schaltflche, umzu testen, ob mit den
gewhlten NTP-Servern eine Verbindung von IhremGert aus aufgebaut werden kann und ob
verwendbare Zeitdaten vomServer empfangen werden. Dabei wird die Zeitverschiebung zwi-
schen IhremSystemund den Servern ermittelt. Verschiebungen sollten normalerweise weit
unter einer Sekunde liegen, wenn Ihr Systemkorrekt konfiguriert ist und seit geraumer Zeit sta-
bil funktioniert.
Direkt nachdemSie NTPaktiviert oder andere Server hinzugefgt haben, ist es normal, wenn
grere Verschiebungen auftreten. Umgroe Zeitsprnge zu vermeiden, verndert NTPdie
Systemzeit langsamStck fr Stck, sodass die Zeit ohne Sprnge korrigiert wird. Haben Sie in
diesemFall bitte Geduld. Starten Sie insbesondere in diesemFall das Systemnicht neu. Schau-
en Sie lieber in einer Stunde noch einmal nach. Wenn sich die Verschiebung verringert, luft
alles so ab, wie es soll.
UTM9 WebAdmin 55
4.1.4 Shell-Zugriff
Secure Shell (SSH) ist ein Netzwerkprotokoll, mit dessen Hilfe man sich ber eine ver-
schlsselte Netzwerkverbindung auf der UTManmelden kann. Es wird typischerweise fr War-
tungsarbeiten und zur Fehlersuche verwendet. Fr den Zugriff bentigen Sie einen SSH-Cli-
ent, der in den meisten Linux-Distributionen enthalten ist.
Zugelassene Netzwerke
Verwenden Sie das Feld Zugelassene Netzwerke, umden SSH-Zugang auf bestimmte Netz-
werke zu beschrnken. Hier aufgefhrte Netzwerke knnen sich amSSH-Dienst anmelden.
Authenti fi zi erung
In diesemAbschnitt knnen Sie eine Authentifizierungsmethode fr den SSH-Zugriff und die
entsprechende Sicherheitsstufe festlegen. Die folgenden Authentifizierungsmethoden sind ver-
fgbar:
l Kennwort (Standard)
l ffentlicher Schlssel
l Kennwort und ffentlicher Schlssel
Aktivieren Sie die Optionen mit Hilfe der entsprechenden Auswahlkstchen. Umdie Funktion
Authentifizierung mit ffentlichemSchlssel zulassen zu verwenden, mssen Sie fr jeden
Benutzer, der sich ber seinen ffentlichen Schlssel authentifizieren darf, den ent-
sprechenden ffentlichen Schlssel in das Feld Autorisierte Schlssel fr loginuser hochladen.
Allow Root Login: Sie knnen SSH-Zugriff fr den Root-Benutzer zulassen. Diese Option ist
standardmig ausgeschaltet, da sie zu einemerhhten Sicherheitsrisiko fhrt. Wenn diese
Option aktiviert ist, kann sich der Root-Benutzer ber seinen ffentlichen Schlssel anmelden.
Laden Sie den/die ffentlichen Schlssel fr den Root-Benutzer in das Feld Autorisierte Schls-
sel fr Root hoch.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Shell-Benutzerkennwrter
Geben Sie Kennwrter fr die Standard-Zugangsberechtigten rootund loginuserein. Um
das Kennwort fr nur eines dieser beiden Konten zu ndern, lassen Sie die beiden Ein-
gabefelder fr das andere Konto einfach frei.
56 UTM9 WebAdmin
Hinweis UmSSH-Shell-Zugriff zu ermglichen, mssen zuerst die Kennwrter gesetzt
sein. Darber hinaus knnen Sie nur Kennwrter vergeben, die den Sicherheitseinstellungen
entsprechen, die Sie auf der Registerkarte Definitions &Users >Authentication Services >
Erweitert konfiguriert haben. Mit anderen Worten, wenn Sie die Verwendung von komplexen
Kennwrtern ausgewhlt haben, knnen Sie hier nur Kennwrter eingeben, die diesen
Sicherheitsanforderungen entsprechen.
Lausch-Port fr SSH-Daemon
Mit dieser Option knnen Sie den TCP-Port fr das SSH-Protokoll ndern. Der Standard-SSH-
Port 22ist voreingestellt. Umden Port zu ndern, geben Sie einen geeigneten Wert zwischen
1024und 65535in das Feld Portnummer ein und klicken Sie auf bernehmen.
4.1.5 Scan-Einstellungen
Ei nstellungen fr Anti vi ren-Mechani smus
Whlen Sie den Antiviren-Mechanismus, der in allen Einzelscan-Konfigurationen des WebAd-
min verwendet werden soll. In Zweifachscan-Konfigurationen werden beide Antiviren-Mecha-
nismen verwendet. Beachten Sie, dass Zweifachscan mit einemBasicGuard-Abonnement
nicht verfgbar ist. Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Opti onen von Advanced Threat Protecti on
Whlen Sie die Option Verdchtige Inhalte zur Analyse an SophosLabs senden, umden Schutz
zu verbessern. SophosLabs umfasst eine Cloud-basierte Sandbox, in der das Verhalten von
potenzieller Schadsoftware automatisch berwacht und analysiert werden kann. Das trgt zu
einemnoch besseren Schutz Ihrer UTMdurch eine schnellere Bereitstellung von Updates bei.
Durch eine Deaktivierung dieser Funktion kann sich die Durchfhrung von Abwehr-
manahmen etwas verzgern.
Die bermittlung erfolgt ber einen sicheren Kanal und die Handhabung gem der
SophosLabs-Richtlinie zur Informationssicherheit.
4.1.6 Zurcksetzung
Mit den Optionen auf der Registerkarte Zurcksetzung knnen Sie die Kennwrter der Shell-
Benutzer lschen. Darber hinaus knnen Sie die Werkszurcksetzung ausfhren und die Sys-
tem-IDder UTMzurcksetzen.
UTM9 WebAdmin 57
Systemkennwrter zurcksetzen
Das Ausfhren der Funktion Systemkennwrter jetzt zurcksetzen setzt die Kennwrter der fol-
genden Benutzer zurck:
l root (Shell-Benutzer)
l loginuser (Shell-Benutzer)
l admin (vordefiniertes Benutzerkonto des Administrators)
Umdas Gert nach demZurcksetzen der Kennwrter herunterzufahren, whlen Sie die Opti-
on Shutdown systemafterwards.
Sicherheitshinweis Der nchsten Person, die sich mit demWebAdmin verbindet, wird
das Dialogfenster Admin-Kennworteinrichtung angezeigt. Deshalb sollten Sie sich nach einer
Kennwortzurcksetzung sofort abmelden, die Webseite neu laden und ein neues Admi-
nistratorkennwort setzen.
Auerdemist der Shell-Zugriff erst wieder mglich, wenn Sie neue Shell-Kennwrter auf der
Registerkarte Verwaltung >Systemeinstellungen >Shell-Zugriff angeben.
Werkszurcksetzung
Die Funktion Werkszurcksetzung jetzt ausfhren setzt das Systemin den Aus-
lieferungszustand zurck. Die folgenden Daten werden dabei gelscht: Die folgenden Daten
werden dabei gelscht:
l Systemkonfiguration
l Webfilter-Cache
l Protokoll- und Berichtsdaten
l Datenbanken
l Up2Date-Pakete
l Lizenzen
l Kennwrter
l Hochverfgbarkeitsstatus
Die Versionsnummer der Sophos UTM-Software bleibt hingegen unverndert alle instal-
lierten Firmware- und Pattern-Aktualisierungen werden beibehalten.
58 UTM9 WebAdmin
Hinweis Sophos UTMwird ausgeschaltet, nachdemSie eine Werkszurcksetzung ver-
anlasst haben.
UTM-ID-Zurcksetzung
Mit der Funktion UTM-IDjetzt zurcksetzen setzen Sie die System-IDder UTMauf einen neu-
en, zuflligen Wert zurck. Dies ist beispielsweise dann relevant, wenn Sie Endpoint-Protection
aktivieren. Jede UTMmit aktivierter Endpoint-Protection identifiziert sich selbst in Sophos
LiveConnect mit ihrer eindeutigen System-ID. Wenn Sie beispielsweise eine virtuelle UTM, die
Endpoint-Protection verwendet, klonen und mchten, dass der Klon diese Funktion ebenfalls
verwendet, mssen Sie die UTM-System-IDdes geklonten Systems zurcksetzen, damit Sie
es anschlieend anhand der neuen System-IDidentifizieren knnen. Bei Zurcksetzen wird
Endpoint-Protection ausgeschaltet, falls die Funktion eingeschaltet war.
Hinweis Endpoints sind an die UTMmithilfe der UTM-System-IDangebunden. Wenn Sie
die UTM-System-IDzurcksetzen und keine andere UTMauf der alten UTM-IDlauscht, ms-
sen Sie die Endpoints neu installieren.
Hinweis Wenn eine UTMmit SophosUTMManager verbunden wird und Sie die UTM-Sys-
tem-IDzurcksetzen, wird die UTMals neues Gert verbunden. Bei Bedarf knnen Sie die
beiden Gerte zusammenfhren.
4.2 WebAdmin-Einstellungen
ImMen Verwaltung >WebAdmin-Einstellungen werden die grundlegenden Einstellungen fr
WebAdmin vorgenommen, wie zumBeispiel die Zugriffskontrolle, der TCP-Port, Benut-
zereinstellungen und die WebAdmin-Sprache.
4.2.1 Allgemein
Auf der Registerkarte WebAdmin-Einstellungen >Allgemein wird die Konfiguration der WebAd-
min-Sprache und der grundlegenden Zugriffseinstellungen vorgenommen.
UTM9 WebAdmin 59
4 Verwaltung 4.2 WebAdmin-Einstellungen
4.2 WebAdmin-Einstellungen 4 Verwaltung
WebAdmi n-Sprache
Whlen Sie die Sprache des WebAdmin. Die ausgewhlte Sprache wird auch fr einige Aus-
gaben des WebAdmin verwendet, z.B. E-Mail-Benachrichtigungen oder den Gesamtbericht.
Beachten Sie, dass diese Einstellung global ist und alle Benutzer betrifft.Klicken Sie auf ber-
nehmen, umIhre Einstellungen zu speichern.
Nach demndern der Sprache sollten Sie den Browser-Cache leeren, umsicherzustellen,
dass alle Texte in der korrekten Sprache angezeigt werden.
WebAdmi n-Zugri ffskonfi gurati on
Hier knnen Sie konfigurieren, welche Benutzer und/oder Netzwerke Zugriff auf den WebAd-
min haben sollen.
Zugelassene Administratoren:Sophos UTMkann von mehreren Administratoren gleich-
zeitig verwaltet werden. ImFeld Zugelassene Administratoren knnen Sie angeben, welche
Benutzer oder Benutzergruppen unbeschrnkten Lese- und Schreibzugriff auf den WebAdmin
haben drfen. Standardmig ist dies die Gruppe der SuperAdmins. Das Hinzufgen eines
Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.
Zugelassene Netzwerke: ImFeld Zugelassene Netzwerke knnen Sie festlegen, aus wel-
chen Netzwerken Zugriff auf den WebAdmin mglich sein soll. Fr eine reibungslose Instal-
lation der UTMist standardmig Anyeingestellt. Das bedeutet, dass von berall her auf den
WebAdmin zugegriffen werden darf. ndern Sie diese Einstellung so schnell wie mglich auf
Ihre internen Netze. Die sicherste Lsung ist jedoch, den Zugriff auf die UTMber HTTPSauf
nur einen Administrator-PCzu beschrnken. Das Hinzufgen einer Definition wird auf der Sei-
te Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Zugriffsverkehr protokollieren: Wenn Sie alle Aktivitten des WebAdmin-Zugriffs in der
Firewall-Protokolldatei aufgefhrt haben mchten, whlen Sie die Option Zugriffsverkehr pro-
tokollieren.
4.2.2 Zugriffskontrolle
Auf der Registerkarte WebAdmin-Einstellungen >Zugriffskontrolle knnen Sie WebAdmin-Rol-
len fr bestimmte Benutzer anlegen. Das ermglicht eine sehr detaillierte Definition der Berech-
tigungen, die ein Benutzer imWebAdmin haben kann.
Es sind zwei Benutzerrollen vordefiniert:
60 UTM9 WebAdmin
Auditor: Benutzer mit dieser Rolle knnen Protokoll- und Berichtsdaten einsehen.
Readonly: Benutzer mit dieser Rolle knnen alles imWebAdmin anzeigen, aber nichts bear-
beiten, anlegen oder lschen.
UmBenutzern oder Gruppen eine dieser Rollen zuzuweisen, klicken Sie auf die Schaltflche
Bearbeiten und fgen Sie die entsprechenden Benutzer oder Gruppen zumFeld Mitglieder hin-
zu.
Entsprechend Ihrer Sicherheitsrichtlinien knnen Sie weitere Rollen anlegen. Gehen Sie fol-
gendermaen vor:
1. Klicken Sie auf der Registerkarte Zugriffskontrolle auf Neue Rolle.
Das Dialogfeld Rolle anlegen wird geffnet.
2. Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekrftigen Namen fr diese Definition ein.
Mitglieder: Fgen Sie Benutzer und Gruppen, die diese Rolle besitzen sollen, zu die-
semFeld hinzu oder whlen Sie sie aus. Das Hinzufgen eines Benutzers wird auf der
Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
Nur Leserechte gewhren (optional): Whlen Sie diese Option, umden Mitgliedern fr
alle Bereiche des WebAdmin Leserechte zu geben.
Rechte: Dieses Feld enthlt die verschiedenen Berechtigungsstufen fr die ver-
schiedenen Funktionen von WebAdmin: Auditor und Manager. Ein Manager hat alle
Administrationsrechte fr die jeweiligen Funktionen, wohingegen ein Auditor nur Lese-
rechte hat. Sie knnen eine oder mehrere Berechtigungen auswhlen, indemSie das
entsprechende Auswahlkstchen vor einer Berechtigung markieren.
Beispiel: Sie knnen demBenutzer Hans Mustermann Manager-Rechte fr Email Pro-
tection gewhren und zustzlich das Auswahlkstchen Nur Leserechte gewhren mar-
kieren. Er wre dann in der Lage, nderungen imBereich Email Protection durch-
zufhren, und knnte alle anderen Bereiche von WebAdmin einsehen, ohne dort etwas
ndern zu knnen.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
3. Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
UTM9 WebAdmin 61
Umeine Rolle zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen. Beachten Sie, dass die Auditor- und die Readonly-Rollen nicht gelscht werden kn-
nen.
4.2.3 HTTPS-Zertifikat
Auf der Registerkarte Verwaltung >WebAdmin-Einstellungen >HTTPS-Zertifikat knnen Sie
das WebAdmin-CA-Zertifikat in Ihren Browser importieren, neu generieren oder ein signiertes
Zertifikat fr WebAdmin und das Benutzerportal auswhlen.
Whrend der Erstkonfiguration des WebAdmin-Zugriffs wurde automatisch ein lokales CA-Zer-
tifikat auf UTMerzeugt. Der ffentliche Schlssel dieses CA-Zertifikats kann in IhremBrowser
installiert werden, umden Sicherheitshinweis whrend der Anmeldung amWebAdmin zu ver-
meiden.
Umdas CA-Zertifikat zu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte HTTPS-Zertifikat auf CA-Zertifikat impor-
tieren.
Der ffentliche Schlssel des CA-Zertifikats wird exportiert.
Sie knnen das Zertifikat entweder auf der Festplatte abspeichern oder es in Ihrem
Browser installieren.
2. Installieren Sie das Zertifikat (optional).
Der Browser ffnet ein Dialogfenster, ber das Sie das Zertifikat sofort installieren kn-
nen.
Hinweis Beachten Sie, dass das Zertifikat aufgrund von unterschiedlichen Systemzeiten
und Zeitzonen mglicherweise nicht sofort nach der Erzeugung gltig ist. Viele Browser
geben in diesemFall die Meldung aus, dass das Zertifikat abgelaufen sei. Diese Meldung ist
nicht richtig. Aber das Zertifikat wird nach sptestens 24 Stunden gltig und bleibt dies fr
einen Zeitraumvon 27 Jahren.
WebAdmi n-Zerti fi kat neu erstellen
Das WebAdmin-Zertifikat bezieht sich auf den Hostnamen, den Sie whrend der ersten Anmel-
dung angegeben haben. Wenn sich der Hostname in der Zwischenzeit gendert hat, wird im
Browser eine entsprechende Sicherheitswarnung angezeigt. Umdies zu vermeiden, knnen
Sie ein neues Server-Zertifikat erzeugen, das den neuen Hostnamen bercksichtigt. Geben
Sie zu diesemZweck den gewnschten Hostnamen an und klicken Sie auf bernehmen. Um
62 UTM9 WebAdmin
imWebAdmin weiterarbeiten zu knnen, mssen Sie wahrscheinlich aufgrund der nderung
des Zertifikats die Seite ber Ihren Browser neu laden, das neue Zertifikat akzeptieren und
sich amWebAdmin neu anmelden.
WebAdmi n-/ Benutzerportal-Zerti fi kat auswhlen
Wenn Sie das CA-Zertifikat nicht importieren wollen, sondern stattdessen Ihr eigenes signier-
tes Zertifikat fr den WebAdmin und das Benutzerportal verwenden wollen, knnen Sie es hier
auswhlen. Wenn das Zertifikat jedoch in die Auswahlliste aufgenommen werden soll, mssen
Sie es erst ber die Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate imFormat
PKCS#12 hochladen, welches das Zertifikat, seine CAund seinen privaten Schlssel enthlt.
Umdas hochgeladene Zertifikat zu verwenden, whlen Sie es in der Auswahlliste Zertifikate
aus und klicken auf bernehmen.
4.2.4 Benutzereinstellungen
Auf der Registerkarte Verwaltung >WebAdmin-Einstellungen >Benutzereinstellungen knnen
Sie einige Benutzereinstellungen fr den jeweils angemeldeten Benutzer vornehmen, wie zum
Beispiel globale Tastaturkrzel und die Anzahl von Elementen pro Seite bei lngeren Tabellen
oder Listen.
Konfi gurati on der WebAdmi n-Tastaturkrzel
Hier knnen Sie Tastaturkrzel festlegen, umObjektleisten, die fr viele Konfigurationen ver-
wendet werden, zu ffnen und zu schlieen (weitere Informationen zu den Objektleisten finden
Sie unter WebAdmin >Objektleisten) oder umden Fokus des Mauszeigers in das Suchfeld zu
setzen (siehe auch WebAdmin >WebAdmin-Men). Verwenden Sie die Auswahlliste, umeine
andere Umschalttaste auszuwhlen, und das Textfeld, umein anderes Zeichen einzugeben.
Sie knnen Tastaturkrzel auch ausschalten, indemSie Aus aus der Auswahlliste whlen.
Wenn Sie die ursprnglichen Tastaturkrzel wiederherstellen wollen, klicken Sie auf die Schalt-
flche Auf Standard zurcksetzen. Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
Opti onen fr Tabellen-Sei tenumbruch
Hier knnen Sie global den Tabellenseiten-Umbruch festlegen, d.h. wie viele Elemente pro Sei-
te angezeigt werden. Klicken Sie auf die Auswahlliste und whlen Sie einen Wert. Klicken Sie
auf bernehmen, umIhre Einstellungen zu speichern.
UTM9 WebAdmin 63
WebAdmi n-Browserti tel anpassen
Hier knnen Sie den Titel des WebAdmin-Registers/-Fensters in IhremBrowser ndern. Sie
knnen Klartext eingeben oder die folgenden Variablen verwenden:
l %h: Hostname
l %u: Benutzername
l %i: Remote-IP-Adresse
Die Standardeinstellung lautet WebAdmin - User %u - Device %h, was beispielsweise dem
konkreten Titel WebAdmin - User admin - Device mein_gateway.beispiel.de entspricht. Klicken
Sie auf bernehmen, umIhre Einstellungen zu speichern.
4.2.5 Erweitert
WebAdmi n-Abmeldung bei Zei tberschrei tung
Abmelden nach: In diesemTextfeld knnen Sie die Zeitspanne (in Sekunden) angeben, wie
lange eine WebAdmin-Sitzung inaktiv sein darf, bevor sich der Administrator neu anmelden
muss. Standardmig sind 1.800 Sekunden voreingestellt. Sie knnen Werte von 60 bis
86.400 Sekunden eingeben.
Abmeldung imDashboard: Beachten Sie, dass die automatische Abmeldung deaktiviert ist,
wenn die Dashboard-Seite in WebAdmin geffnet ist. IndemSie diese Option auswhlen, kn-
nen Sie die automatische Abmeldung fr das Dashboard deaktivieren.
WebAdmi n-TCP-Port
Standardmig erreicht man den WebAdmin ber TCP-Port 4444. ImTextfeld TCP-Port kn-
nen Sie entweder 443oder einen Wert zwischen 1024und 65535eintragen. Allerdings sind
einige Ports bereits von anderen Diensten belegt. Insbesondere knnen Sie niemals den Port
10443, den Port des Benutzerportals oder den Port fr den SSL-Fernzugriff verwenden.
Beachten Sie, dass Sie die Portnummer in der IP-Adresse angeben mssen (durch einen Dop-
pelpunkt abgetrennt), wenn Sie auf WebAdmin zugreifen mchten, z.B.
https://192.168.0.1:4444
Nutzungsbedi ngungen
Ihre Unternehmensrichtlinien sehen es ggf. vor, dass Benutzer die Nutzungsbedingungen
akzeptieren mssen, bevor sie auf den WebAdmin zugreifen knnen. Aktivieren Sie das Aus-
wahlkstchen Nutzungsbedingungen nach der Anmeldung anzeigen, umzu erzwingen, dass
64 UTM9 WebAdmin
die Benutzer die Nutzungsbedingungen bei jedemZugriff auf WebAdmin akzeptieren. Die Nut-
zungsbedingungen werden den Benutzern unmittelbar nach der Anmeldung angezeigt. Wenn
sie sie nicht akzeptieren, werden sie wieder abgemeldet.
Sie knnen den Text der Nutzungsbedingungen nach Ihren Bedrfnissen anpassen.Klicken
Sie auf bernehmen, umIhre Einstellungen zu speichern.
Sophos Adapti ve Learni ng
Sie knnen zur Verbesserung von Sophos UTMbeitragen, indemSie der bertragung Ihrer
aktuellen Konfigurationsdaten in anonymer Formsowie von Informationen ber gefundene
Viren oder anonyme Anwendungsprofile an Sophos zustimmen. Informationen dieser Art kn-
nen nicht zu Ihnen zurckverfolgt werden. Keine benutzerspezifischen Informationen werden
erfasst, also keine Benutzer- oder Objektnamen, keine Kommentare oder andere persnliche
Informationen. Es werden jedoch URLs bermittelt, fr die ein Virus gefunden wurde, falls das
Antiviren-Scanning des Webfilters aktiv ist.
Die Informationen werden verschlsselt und mittels SSL an SophosLabs bertragen. Die emp-
fangenen Daten werden zusammengefasst gespeichert und den Softwareentwicklern von
Sophos zur Verfgung gestellt, sodass sie bei der Entwicklung fundierte Entscheidungen tref-
fen und zuknftige Versionen von Sophos UTMverbessern knnen.
Anonyme Telemetriedaten senden: Bei Aktivierung erfasst UTMfolgende Daten:
l Konfigurations- und Nutzungsdaten:Das Systemsendet einmal pro Woche die fol-
genden Daten an die Server von Sophos.
l Hardware- und Lizenzdaten (nicht den Eigentmer), z.B.:
processor Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz
memory 512MiB System Memory
eth0 network 82545EM Gigabit Ethernet Controller
id:UTM
version: 9.000000
type: virtual
license: standard
mode: standalone
active_ips: 2
system_id: 58174596-276f-39b8-854b-ffa1886e3c6c
UTM9 WebAdmin 65
Die System-IDidentifiziert UTMnur insofern, dass Systemdaten nicht ver-
sehentlich doppelt erfasst werden, z.B. nach einer Neuinstallation.
l Verwendete Funktionen (nur ob aktiviert oder deaktiviert), z.B.:
main->backup->status: 1
main->ha->status: off
l Anzahl der konfigurierten Objekte, z.B.:
objects->interface->ethernet: 2
objects->http->profile: 5
l CPU-, Speicher- und SWAP-Nutzungswerte in Prozent ber die letzten sieben
Tage
l Virendaten:Das Systemschreibt die folgenden Daten in eine Datei, die automatisch alle
15 Minuten auf die Sophos-Server hochgeladen wird.
l Informationen ber Viren, die von Web Protection gefunden wurden, z.B. Name
der Bedrohung,MIME-Typ, URLder Anfrage oder Dateigre.
l Intrusion-Prevention-Daten: Das IPS-Protokoll wird einmal pro Minute auf neue War-
nungen (Alerts) berprft. Sobald eine neue Warnung gefunden wird, werden sofort die
folgenden Daten an Sophos gesendet:
l Informationen ber die Warnung, beispielsweise die Snort-Regel-IDund der Zeit-
stempel.
l Hardware- und Lizenzdaten (nicht den Eigentmer), z. B. Anzahl Prozessoren
und Prozessorlast, Speicherkapazitt und Speichernutzung, SWAP-Zuweisung
und SWAP-Nutzung, System-ID, Engine- und Patternversion.
Die Daten werden alle 24 Stunden gesendet.
l Daten von Advanced Threat Protection: Das Systemgeneriert und sendet die Daten von
Advanced Threat Protection alle 30 Minuten.
l Erfasste Daten: System-ID, Zeitstempel, Sophos Bedrohungsname, Quell-IP, Ziel-
host, Erkennungskomponente, Anzahl der Bedrohungen, Regel-ID.
Anonyme Telemetriedaten zur Anwendungsgenauigkeit senden:Sie knnen uns dabei
helfen, die Erkennungs- und Klassifizierungsfunktionen imBereich Netzwerksichtbarkeit und
Application Control zu verbessern, indemSie amSophos UTMAppAccuracy-Programmteil-
nehmen. Bei Aktivierung erfasst das SystemDaten in Formanonymer Anwendungsprofile und
sendet diese an das Forschungsteamvon Sophos. Dort werden die Profile genutzt, umnicht
66 UTM9 WebAdmin
klassifizierte Anwendungen zu identifizieren und die Netzwerksichtbarkeits- und Application-
Control-Bibliothek zu verbessern und zu erweitern.
4.3 Lizenzen
Die Verfgbarkeit von bestimmten Funktionen auf Sophos UTMwird ber Lizenzen und Abon-
nements geregelt, d. h. die Lizenzen und Abonnements, die Sie mit der UTMerworben haben,
ermglichen Ihnen die Nutzung bestimmter Funktionen, anderer jedoch nicht.
4.3.1 Erwerb einer Lizenz
Sophos UTMwird standardmig mit einer 30-Tage-Testlizenz ausgeliefert, mit der Sie alle
Leistungsmerkmale und Funktionen uneingeschrnkt nutzen knnen. Nach Ablauf mssen Sie
eine gltige Lizenz installieren, umdie Sophos UTMweiter nutzen zu knnen. Alle Lizenzen (ein-
schlielich kostenloser Home-Use-Lizenzen) werden im MyUT-Portal angelegt.
Nach demKauf einer UTM-Lizenz erhalten Sie per E-Mail Ihre Aktivierungsschlssel. Diese
Schlssel bentigen Sie, umdie eigentliche Lizenz zu generieren bzw. eine bereits bestehende
Lizenz zu aktualisieren. Umeine Lizenz zu aktivieren, melden Sie sich im MyUT-Portal an und
gehen Sie zur Lizenzverwaltungsseite. Oben auf der Seite befindet sich ein Formular, wo Sie
den Aktivierungsschlssel aus der E-Mail kopieren und einfgen knnen. Weitere Infor-
mationen finden Sie imMyUTM-Benutzerhandbuch.
UTM9 WebAdmin 67
4 Verwaltung 4.3 Lizenzen
4.3 Lizenzen 4 Verwaltung
Figure 8 MyUTM-Portal
Ein neues Formular wird angezeigt, in das Sie sowohl Informationen zu IhremVertriebspartner
als auch Ihre eigenen Kontaktdaten eintragen knnen. Das Portal versucht, so viele Felder wie
mglich vorauszufllen. Auerdemerfasst Sophos ggf. die Hardware-Seriennummer der
UTM. NachdemSie das Formular abgeschickt haben, wird Ihre Lizenz erzeugt und Sie werden
auf die Lizenz-Detailseite weitergeleitet, von der aus Sie die Lizenz herunterladen knnen.
Umdie Lizenz verwenden zu knnen, mssen Sie die erzeugte Lizenz-Datei herunterladen
und sich dann an Ihrer WebAdmin-Installation anmelden. ffnen Sie in WebAdmin die Regis-
terkarte Verwaltung >Lizenzen >Installation und verwenden Sie die Upload-Funktion, umdie
Lizenzdatei auf Ihrer Festplatte zu finden. Laden Sie die Lizenzdatei hoch. Danach wird der
WebAdmin sie einlesen, umalle Abonnements und anderen Einstellungen zu aktivieren, die in
der Lizenzdatei vorgesehen sind.
Hinweis Der Aktivierungsschlssel, den Sie per E-Mail erhalten haben, kann nicht in den
WebAdmin importiert werden. Dieser Schlssel dient lediglich zur Aktivierung Ihrer Lizenz.
Nur die Lizenz-Datei kann in die UTMimportiert werden.
68 UTM9 WebAdmin
4.3.2 Lizenzmodell
Das modulare Lizenzmodell von Sophos ist uerst flexibel. Zunchst gibt es eine Basislizenz,
die grundlegende Funktionen kostenlos bereitstellt (siehe Tabelle unten). Des Weiteren gibt es
sechs weitere Abonnements:
l Network Protection
l Web Protection
l Email Protection
l Endpoint Protection
l Wireless Protection
l Webserver Protection
Diese Abonnements knnen Ihren Anforderungen entsprechend einzeln oder in Kombination
erworben werden. Die FullGuard-Lizenz enthlt alle Abonnements. Jedes der Abonnements
aktiviert bestimmte Funktionen des Produkts. Die untenstehende Tabelle zeigt eine bersicht
darber, welche Funktionen durch welches Abonnement freigeschaltet werden.
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Verwaltung
(Backups, Benach-
richtigungen,
SNMP, SUM, ...)
Lokale Authen-
tifizierung (Benut-
zer, Gruppen)
Grundlegende
Netz-
werkfunktionen
(Statisches Rou-
ting, DHCP, DNS,
Auto-QoS, NTP,
...)
UTM9 WebAdmin 69
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Firewall/NAT
(DNAT, SNAT, ...)
PPTP- &L2TP-
Fernzugriff
Lokale Pro-
tokollierung, Stan-
dardberichte
Intrusion Pre-
vention (IPS, dt.
Angriffsschutz)
(Patterns, DoS,
Flood, Portscan ...)
IPsec- &SSL-Site-
to-Site-VPN,
IPsec- &SSL-Fern-
zugriff
Erweiterte Netz-
werkfunktionen
(Linkbndelung,
Uplink-Ausgleich,
Richtlinien-Rou-
ting, OSPF, Mul-
ticast, angepasstes
QoS, Ser-
verlastausgleich,
Generischer Proxy
...)
( )
(
)
Benutzerportal
High Availabilty
(Hoch-
verfgbarkeit)
Entfernte Authen-
tifizierung (AD,
eDir, RADIUS, ...)
70 UTM9 WebAdmin
Funktion Basis-
lizenz
Netz-
werk
We-
b
E-
Mai-
l
End-
point
Wire-
less
Webser-
ver
Ausgelagerte Pro-
tokollierung, erwei-
terte Berichte
(Archivierung, Kon-
figuration)
Basis-Webfilter &
FTP-Proxy
Web- &FTP-
Schadsoftware-Fil-
terung
Application Control
Basis-SMTP-
Proxy, Qua-
rantnebericht,
Mail-Manager
SMTP- &POP3-
Schadsoftware-Fil-
terung
Endpoint Pro-
tection, Antivirus
Endpoint Pro-
tection, Device Con-
trol
Wireless Protection
Webserver Pro-
tection
Es gibt auch ein BasicGuard-Abonnement, das fr das UTM-Appliance-Model 100 verfgbar
ist, und eine eigene Untermenge der oben genannten Funktionen bietet (Mehr Informationen
finden Sie auf der Produkt-Webseite).
UTMs knnen auch vomSophos UTMManager (SUM) verwaltet und lizenziert sein. In diesem
Fall bergibt SUMdie MSP-Lizenz(Managed Service Provider) an die UTMund die Regis-
UTM9 WebAdmin 71
terkarte Installation ist inaktiv. Abonnements knnen dann nur von IhremSUM-Dienstleister
aktiviert werden.
Fr genauere Informationen zu Abonnements und ihremFunktionsumfang wenden Sie sich bit-
te an Ihren zertifizierten UTM-Partner oder die Sophos UTMWebseite .
Wenn bestimmte Abonnements nicht erworben wurden, sind die entsprechenden Regis-
terkarten imWebAdmin inaktiv. ber den Registerkarten wird eine Warnmeldung zur Lizen-
zierung angezeigt.
Figure 9 Lizenzen: Abonnement-Warnhinweis
Up2Dates
Jedes Abonnement aktiviert die vollstndige Untersttzung automatischer Updates, das bedeu-
tet, dass Sie automatisch ber neue Firmware-Updates informiert werden. Darber hinaus
knnen Firmware- und Pattern-Updates automatisch heruntergeladen (und installiert) wer-
den.
Eine Basislizenz ohne Abonnement untersttzt automatische Updates nur eingeschrnkt:
Lediglich Pattern-Updates, wie z.B. Aktualisierungen der Onlinehilfe, werden weiterhin auto-
matisch heruntergeladen und installiert. Sie werden jedoch nicht ber verfgbare Firmware-
Updates informiert, und die Firmware-Updates mssen manuell heruntergeladen werden. Die
Verfgbarkeit neuer Firmware-Updates wird imSophos UTMUp2Date-Blog bekanntgegeben
Support und Wartung
Mit der Basislizenz knnen Sie den Web-Support nutzen. Sie knnen das Sophos UTMSup-
port-Forumund die Sophos Knowledgebase nutzen.
72 UTM9 WebAdmin
Sobald Sie eines der Abonnements erwerben, werden Sie automatisch auf Standard-Support
umgestellt. Bei dieser Supportstufe knnen Sie zustzlich einen Supportfall im MyUT-Portal
anlegen oder Ihren zertifizierten UTM-Partner kontaktieren.
Darber hinaus gibt es die Mglichkeit, einen Premium-Support-Vertrag abzuschlieen. Die-
ser bietet Ihnen rund umdie Uhr Support durch einen UTM-Engineer als Ansprechpartner.
4.3.3 bersicht
Die Registerkarte Lizenzen >bersicht zeigt detaillierte Informationen zu Ihrer Lizenz und
besteht aus mehreren Abschnitten:
l Basislizenz: Grundlegende Lizenzparameter wie ID, Registrierungsdatumoder Typ.
l Network Protection, Email Protection, Web Protection, Webserver Protection,
Wireless Protection, Endpoint AntiVirus, BasicGuard: Diese Abschnitte zeigen
Informationen zu den Abonnements an, beispielsweise ob diese erworben wurden und
daher aktiviert sind, ihr Ablaufdatumund eine Kurzbeschreibung der Funktionen, die sie
bieten.
Hinweis Wenn Sie die MSP-Lizenz nutzen, werden keine Ablaufdaten angezeigt,
da die Lizenzen vomSophos UTMManager (SUM) verwaltet werden. Herkmmliche
Schlssel und Abonnements sind durch das SUM-MSP-Systemersetzt. Informationen
ber den verwaltenden SUMfinden Sie unter Zentrale Verwaltung >Sophos
UTMManager.
l Support-Dienste: Supportstufe sowie Gltigkeitszeitraum.
4.3.4 Installation
Auf der Registerkarte Verwaltung >Lizenzen >Installation knnen Sie neue Lizenzen hoch-
laden und installieren.
Hinweis Wenn Sie die MSP-Lizenz nutzen,ist die Registerkarte deaktiviert, da Lizenzen
durch den Sophos UTMManager (SUM) verwaltet werden. Neue Lizenzen knnen durch
Ihren SUM-Dienstleister installiert werden. Informationen ber den verwaltenden SUMfin-
den Sie unter Zentrale Verwaltung >Sophos UTMManager.
Umeine Lizenz zu installieren, gehen Sie folgendermaen vor:
UTM9 WebAdmin 73
4.4 Up2Date 4 Verwaltung
1. ffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie dazu auf das Ordnersymbol neben demEingabefeld Lizenzdatei.
Das Dialogfenster Datei hochladen ffnet sich.
2. Whlen Sie die Lizenzdatei aus.
Wechseln Sie in das Verzeichnis, in demsich Ihre Lizenzdatei befindet.
Whlen Sie die Lizenzdatei aus, die Sie installieren wollen.
3. Klicken Sie auf Hochladen starten.
Ihre Lizenzdatei wird hochgeladen.
4. Klicken Sie auf bernehmen.
Ihre Lizenz wird nun installiert. Beachten Sie, dass die neue Lizenz automatisch eine
bereits installierte Lizenz ersetzt.
Die Installation der Lizenz dauert ca. 60 Sekunden.
4.3.5 Aktive IP-Adressen
Die kostenlose Sophos-UTM-Manager-Lizenz ermglicht eine unbegrenzte Anzahl an IP-
Adressen.
Falls Sie eine Lizenz erworben haben, die nicht uneingeschrnkt viele Benutzer (IP-Adressen)
erlaubt, zeigt Ihnen diese Registerkarte Informationen ber die zulssige Anzahl an IP-Adres-
sen, die von Ihrer Lizenz abgedeckt werden. IP-Adressen, die den Umfang Ihrer Lizenz ber-
schreiten, werden gesondert aufgelistet. Falls Sie die zulssige Grenze berschritten haben,
erhalten Sie regelmig eine E-Mail-Benachrichtigung.
Hinweis IP-Adressen, die ber einen Zeitraumvon sieben Tagen inaktiv waren, werden
nicht mehr eingerechnet.
4.4 Up2Date
Das Men Verwaltung >Up2Date ermglicht die Konfiguration des Aktualisierungsdienstes
von Sophos UTM. Regelmige Aktualisierungen sorgen dafr, dass die UTMstets ber die
neuesten Fehlerkorrekturen, Produktverbesserungen und aktuellen Virensignaturen verfgt.
Jede Aktualisierung wird von Sophos digital signiert unsignierte oder geflschte Aktua-
lisierungen knnen so erkannt und Installationen von geflschten Aktualisierungen verhindert
74 UTM9 WebAdmin
werden. Neue Aktualisierungspakete werden standardmig automatisch auf die UTMher-
untergeladen. Diese Option kann unter Verwaltung >Up2Date >Konfiguration angepasst wer-
den.
Es gibt zwei Arten von Software-Aktualisierungen:
l Firmware-Aktualisierungen: Firmware-Aktualisierungen enthalten Feh-
lerkorrekturen und Produktverbesserungen fr Sophos UTM-Software.
l Pattern-Aktualisierungen: Pattern-Aktualisierungen halten Virus-, Spam- und Intru-
sion-Prevention-Signaturen sowie die Onlinehilfe auf demneuesten Stand.
UmUp2Date-Pakete herunterzuladen, ffnet die UTMeine TCP-Verbindung zu den Aktua-
lisierungsservern auf Port 443. Hierfr mssen vomAdministrator keinerlei Anpassungen vor-
genommen werden. Falls Sie jedoch eine bergeordnete Firewall verwenden, so mssen Sie
auf dieser die Kommunikation ber TCP-Port 443zu den Aktualisierungsservern explizit erlau-
ben.
4.4.1 bersicht
Die Registerkarte Verwaltung >Up2Date >bersicht gibt Ihnen einen schnellen berblick dar-
ber, ob Ihr Systemauf demneuesten Stand ist. Von hier aus knnen Sie neue Firmware- und
Pattern-Aktualisierungen installieren.
Up2Date-Fortschri tt
Dieser Bereich ist nur sichtbar, wenn Sie einen Installationsvorgang angestoen haben. Kli-
cken Sie auf die Schaltflche Up2Date-Fortschritt in neuemFenster anzeigen, umden Aktua-
lisierungsfortschritt zu verfolgen. Wenn Ihr Browser Pop-up-Fenster nicht unterdrckt, wird ein
neues Fenster geffnet, das den Aktualisierungsfortschritt anzeigt. Andernfalls mssen Sie
Pop-up-Fenster zunchst explizit erlauben.
Hinweis Bevor ein Installationsvorgang gestartet wird, wird ein Backup an den/die Stan-
dardempfnger fr Backups versendet.
UTM9 WebAdmin 75
4 Verwaltung 4.4 Up2Date
Figure 10 Up2Date: Fortschrittsfenster
Fi rmware
ImAbschnitt Firmware sehen Sie die aktuell installierte Firmwareversion. Wenn ein Aktua-
lisierungspaket verfgbar ist, wird eine Schaltflche Jetzt auf neueste Version aktualisieren
angezeigt. Zustzlich wird eine Nachricht imAbschnitt Verfgbare Firmware-Up2Dates ange-
zeigt. Sie knnen von hier aus die neueste Aktualisierung direkt herunterladen und installieren.
Sobald Sie Jetzt auf neueste Version aktualisieren angeklickt haben, knnen Sie den Aktua-
lisierungsfortschritt in einemneuen Fenster verfolgen. Klicken Sie dazu auf das Aktualisieren-
Symbol von WebAdmin.
Verfgbare Fi rmware-Up2Dates
Wenn Sie Manuell auf der Registerkarte Konfiguration gewhlt haben, sehen Sie hier eine
Schaltflche Jetzt nach Up2Date-Paketen suchen, mit der Sie Firmware-Up2Date-Pakete
manuell herunterladen knnen. Wenn mehr als ein Up2Date-Paket verfgbar ist, knnen Sie
whlen, welches Sie installieren wollen. Sie knnen die Schaltflche Jetzt auf neueste Version
aktualisieren imAbschnitt Firmware verwenden, umdie neueste Version zu installieren.
Es gibt auerdemeine Schaltflche Planen fr jedes Up2Date, mit der Sie ein genaues Datum
und eine genaue Uhrzeit fr eine automatische Installation bestimmen knnen. Umeine geplan-
te Installation zu lschen, klicken Sie auf Abbrechen.
76 UTM9 WebAdmin
Ein Hinweis zu zwingendenInstallationen: Es kann Konstellationen geben, in denen Sie die
Installation eines Up2Date-Pakets planen, das die vorherige Installation eines lteren Up2Da-
te-Pakets erfordert. Dieses Up2Date-Paket wird automatisch zur Installation eingeplant, und
zwar vor demeigentlichen Up2Date-Paket. Sie knnen jedoch auch fr dieses Paket eine
genaue Zeit einplanen, aber Sie knnen seine Installation nicht verhindern.
Patterns
ImAbschnitt Patterns steht die Versionsnummer der aktuell installierten Patterns. Wenn Sie
Manuell auf der Registerkarte Konfiguration gewhlt haben, sehen Sie hier eine Schaltflche
Patterns jetzt aktualisieren. Mit dieser Schaltflche knnen Sie neue verfgbare Patterns her-
unterladen und installieren.
Hinweis Die aktuell installierte Patternversion muss nicht mit der neuesten verfgbaren Pat-
ternversion bereinstimmen, damit UTMkorrekt funktioniert. Eine Abweichung zwischen der
aktuell installierten und der aktuell erhltlichen Patternversion kann vorkommen, wenn neue
Patterns vorliegen, die jedoch nicht zu demGert passen, das Sie verwenden. Welche Pat-
terns heruntergeladen werden, hngt von Ihren Einstellungen und Ihrer Hard-
warekonfiguration ab. Wenn Sie zumBeispiel die Angriffschutzfunktion (IPS) von Sophos
UTMnicht verwenden, werden neu verfgbare IPS-Patterns nicht installiert, was den
Abstand zwischen installierten und erhltlichen Patternversionen vergrert.
4.4.2 Konfiguration
Neue Aktualisierungspakete werden standardmig automatisch auf die UTMher-
untergeladen.
Fi rmware-Download-Intervall
Diese Option steht standardmig auf 15 Minuten, das heit, dass Sophos UTMalle 15 Minu-
ten nach verfgbaren Firmware-Aktualisierungen sucht. Sophos UTMldt verfgbare Firm-
ware-Aktualisierungspakete automatisch herunter, ohne sie jedoch zu installieren. Der genaue
Zeitpunkt hierfr bewegt sich dabei beliebig in demangegebenen Zeitraum. Sie knnen das
Intervall auf bis zu Monatlich erhhen oder automatische Firmware-Downloads gnzlich deak-
tivieren, indemSie Manuell in der Auswahlliste whlen. Wenn Sie Manuell whlen, wird eine
Schaltflche Jetzt nach Up2Date-Paketen suchen auf der Registerkarte bersicht angezeigt.
UTM9 WebAdmin 77
4 Verwaltung 4.4 Up2Date
Intervall fr Pattern-Download und -Installati on
Diese Option steht standardmig auf 15 Minuten, das heit, dass Sophos UTMalle 15 Minu-
ten nach verfgbaren Pattern-Aktualisierungen sucht. Sophos UTMldt verfgbare Pattern-
Aktualisierungspakete automatisch herunter und installiert diese. Der genaue Zeitpunkt hierfr
bewegt sich dabei beliebig in demangegebenen Zeitraum. Sie knnen das Intervall auf bis zu
Monatlich erhhen oder automatische Pattern-Downloads und -Installationen gnzlich deak-
tivieren, indemSie Manuell in der Auswahlliste whlen. Wenn Sie Manuell whlen, wird eine
Schaltflche Patterns jetzt aktualisieren auf der Registerkarte bersicht angezeigt.
4.4.3 Erweitert
Auf der Registerkarte Verwaltung >Up2Date >Erweitert gibt es weitere Kon-
figurationsmglichkeiten fr die Aktualisierungsfunktionalitt Ihrer UTM, wie die Angabe eines
bergeordneten Proxy (engl. parent proxy) oder eines Up2Date-Caches.
Hinweis Aktualisierungspakete knnen vomSophos UTMFTP-Server heruntergeladen
werden.
Manuelles Hochladen von Up2Date-Paketen: Wenn Ihre UTMkeinen direkten Zugang
zumInternet oder einemUp2Date-Cache hat, umAktualisierungspakete herunterzuladen, kn-
nen Sie diese auch manuell hochladen. Gehen Sie dazu folgendermaen vor:
Klicken Sie auf das Ordnersymbol neben demFeld Up2Date-Datei.
2. Whlen Sie das Aktualisierungspaket.
Klicken Sie imDialogfenster Datei hochladen auf die Schaltflche Durchsuchen und wh-
len Sie das Aktualisierungspaket aus, das Sie hochladen mchten.
Das Aktualisierungspaket wird auf die UTMhochgeladen.
78 UTM9 WebAdmin
bergeordneter Proxy
Ein bergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Lndern bentigt, in
denen der Zugang zumInternet nur ber einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung eines bergeordneten Proxys erforderlich
machen, so knnen Sie diesen hier durch Angabe einer Hostdefinition und eines Ports kon-
figurieren.
bergeordneten Proxy verwenden:
1. Whlen Sie diese Option, umeinen bergeordneten Proxy zu verwenden.
2. Whlen Sie den Host oder fgen Sie einen neuen Host hinzu.
3. Geben Sie den Port des Proxies an.
Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
werkdefinitionen >Netzwerkdefinitionen erlutert.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung erfor-
dert, geben Sie den Benutzernamen und das Kennwort hier ein.
Falls Sie einen bergeordneten Proxy eingerichtet haben, holt sich Sophos UTMdie Aktua-
lisierungspakete von diesemProxy.
4.5 Backups
Mit der Backup-Funktion knnen Sie die Einstellungen der UTMauf einer lokalen Festplatte
sichern. Mit Hilfe der Backup-Datei sind Sie in der Lage, eine erprobte Konfiguration auf neu
installierte oder fehlkonfigurierte Systeme zu bertragen.
Legen Sie nach jeder nderung der Systemeinstellungen eine neue Backup-Datei an. Auf die-
se Weise haben Sie immer die aktuellen Einstellungen Ihres Systems gespeichert. Bewahren
Sie Ihre Backups auerdeman einemsicheren Ort auf, da sicherheitsrelevante Daten wie z.B.
Zertifikate und kryptografische Schlssel darin enthalten sind. Prfen Sie die Backup-Datei
nach der Generierung immer auf Lesbarkeit. Es ist auerdemratsam, durch ein externes
MD5-Programmeine Prfsumme zu generieren, die es Ihnen auch spter ermglicht, die Inte-
gritt der Backup-Datei zu prfen.
UTM9 WebAdmin 79
4 Verwaltung 4.5 Backups
4.5 Backups 4 Verwaltung
4.5.1 Backup/Wiederherstellen
Auf der Registerkarte Verwaltung >Backup/Wiederherstellen >Backup/Wiederherstellen kn-
nen Sie Backups erstellen, importieren, wiederherstellen, herunterladen und senden sowie
bestehende Backups lschen.
Verfgbare Backups
Dieser Abschnitt ist nur sichtbar, wenn bereits mindestens ein Backup erstellt wurde, entweder
automatisch oder manuell (siehe Abschnitt Backup erstellen).
Alle Backups sind mit ihremErstellungsdatumund -zeitpunkt, ihrer UTM-Versionsnummer,
ihremErsteller und Kommentar aufgelistet.
Sie knnen ein Backup herunterladen, wiederherstellen, lschen oder versenden.
l Herunterladen: ffnet ein Dialogfenster, in demSie whlen knnen, ob Sie die Datei
verschlsselt (Kennwort eingeben) oder unverschlsselt herunterladen wollen. Klicken
Sie auf Backup herunterladen. Sie werden gebeten, einen Ort imDateisystemaus-
zuwhlen, an demdie heruntergeladene Datei gespeichert werden soll.
o
Vor demHerunterladen verschlsseln: Bevor Sie ein Backup herunterladen
oder versenden, haben Sie die Mglichkeit, es zu verschlsseln. Die Ver-
schlsselung erfolgt durch Blowfish-Verschlsselung imCBC-Modus. Geben Sie
ein Kennwort ein (ein zweites Mal zur Besttigung). Nach diesemKennwort wer-
den Sie gefragt, wenn Sie das Backup importieren wollen. Fr verschlsselte
Backups lautet die Dateierweiterung ebf, fr unverschlsselte Backups abf).
Hinweis Ein Backup enthlt Administrationskennwrter, das Hoch-
verfgbarkeitskennwort (falls konfiguriert) sowie alle RSA-Schlssel und X.509-
Zertifikate. Da es sich dabei umvertrauliche Informationen handelt, ist es rat-
sam, Backups zu verschlsseln.
l Wiederherstellen: Ersetzt die aktuellen Systemeinstellungen durch die in einem
Backup gespeicherten Einstellungen. Hinterher mssen Sie sich neu anmelden. ImFall,
dass das Backup alle Daten enthlt, knnen Sie sich direkt anmelden. Wenn das aus-
gewhlte Backup nicht alle Daten enthlt (siehe Abschnitt Backup erstellen), mssen Sie
die erforderlichen Daten whrend des Anmeldevorgangs eingeben. Wenn lediglich die
80 UTM9 WebAdmin
Hostdaten aus demgewhlten Backup entfernt wurden, knnen Sie bei Bedarf eine wei-
tere Administrator-E-Mail-Adresse hinzufgen. Diese wird an Stellen eingesetzt, an
denen bisher kein Empfnger eingetragen war, und als zustzliche Adresse dort, wo
mehrere Empfnger mglich sind.
Hinweis Backupwiederherstellung ist nur abwrtskompatibel. Nur Backups von Ver-
sionen kleiner als die aktuelle Version werden als funktionstchtig betrachtet.
o
Backups von USB-Flashspeicher wiederherstellen: Sie knnen unverschlsselte
Backup-Dateien (Dateierweiterung abf) von einemmit FAT formatierten USB-
Flashspeicher wie z. B. einemUSB-Stick wiederherstellen. Umein Backup von
einemUSB-Flashspeicher wiederherzustellen, kopieren Sie die Backup-Datei auf
den USB-Flashspeicher und schlieen Sie ihn an die Sophos UTMan, bevor Sie
das Systemstarten. Befinden sich mehrere Backup-Dateien auf demSpei-
chergert, wird die lexikografisch erste Datei verwendet (Zahlen vor Buchstaben).
Angenommen, die Backup-Dateien gateway_backup_2012-04-17.abfund
2011-03-20_gateway_backup.abfbefinden sich beide auf demUSB-Flas-
hspeicher. BeimStarten wird die zweite Datei verwendet, weil sie mit einer Zahl
beginnt, obwohl sie viel lter ist als die andere Datei.
Nach der erfolgreichen Wiederherstellung eines Backups wird eine Sperrdatei
(engl. lock file) angelegt. Diese verhindert, dass einund dasselbe Backup immer
wieder installiert wird, whrend der USB-Flashspeicher noch eingesteckt ist. Soll-
ten Sie ein vorangegangenes Backup dennoch erneut installieren wollen, so ms-
sen Sie den betreffenden Rechner zunchst ohne angeschlossenen USB-Flas-
hspeicher neu starten. Dabei werden alle Sperrdateien gelscht. Wenn Sie den
Rechner nun erneut mit angeschlossenemUSB-Flashspeicher hochfahren, kann
dasselbe Backup installiert werden.
l Lschen: Lscht ein Backup aus der Liste. Mit demLschen-Symbol unterhalb der Lis-
te knnen Sie alle ausgewhlten Backups lschen. UmBackups auszuwhlen, klicken
Sie auf die Auswahlkstchen links von den Backups oder verwenden Sie die Auswahlliste
unten, umalle Backups auszuwhlen.
l Senden: In einemDialogfenster knnen Sie die E-Mail-Empfnger festlegen. Stan-
dardmig sind die auf der Registerkarte Automatische Backups angegebenen Adres-
sen ausgewhlt. Entscheiden Sie dann, ob Sie die Datei verschlsselt (Kennwort ange-
ben) oder unverschlsselt senden mchten. Klicken Sie auf Jetzt senden, umdas
Backup zu senden.
UTM9 WebAdmin 81
4.5 Backups 4 Verwaltung
o
Vor demSenden verschlsseln: Siehe oben: Vor demHerunterladen ver-
schlsseln.
Backup erstellen
Backups sind nicht nur ntzlich, wenn Sie Ihr Systemnach einer (nicht beabsichtigten) nde-
rung oder einemAusfall wiederherstellen mchten. Sie knnen auch als Vorlagen genutzt wer-
den, umSysteme mit einer hnlichen Konfiguration einzurichten. Diese Systeme sind dann qua-
si vorkonfiguriert, was eine enorme Zeitersparnis darstellen kann. Zu diesemZweck knnen
Sie vor der Erstellung bestimmte Daten von einemBackup entfernen, z.B. Hostname, Zer-
tifikate usw.
Umein Backup mit den aktuellen Systemeinstellungen zu erzeugen, gehen Sie fol-
gendermaen vor:
1. Geben Sie imAbschnitt Backup erstellen einen Kommentar ein (optional).
Der Kommentar wird neben demBackup in der Backup-Liste angezeigt.
2. Nehmen Sie die folgenden Einstellungen vor (optional):
Eindeutige Standortdaten entfernen: Whlen Sie diese Option, umdas Backup
ohne Host-spezifische Daten zu erstellen. Dies umfasst Hostnamen, System-ID, SNMP-
Daten, HA-Daten, Lizenz, Shell-Benutzerkennwrter, Anonymisierungskennwrter, alle
Zertifikate, ffentliche und private Schlssel, Fingerabdrcke und Schlssel von Email
Protection, Web Protection, Client-Authentifizierung, IPsec, SSL-VPN, RED, WebAd-
min, Web Application Firewall und Proxys.
Solche Backups ermglichen es Ihnen, mehrere hnliche Systeme bequemanzulegen.
Sie sollten allerdings einige Punkte beachten: 1) Nach der Wiederherstellung wird die Sei-
te Grundlegende Systemkonfiguration angezeigt. 2) Nur die erste Schnittstelle ist kon-
figuriert, wobei die primre IP-Adresse whrend der Installation konfiguriert wurde. Alle
anderen Schnittstellen werden deaktiviert und erhalten die IP-Adresse 0.0.0.0.
Achtung Obwohl die meisten Host-spezifischen Daten entfernt werden, enthlt eine
solche Backup-Vorlage dennoch vertrauliche Daten wie Benutzerkennwrter. Deshalb
ist es ratsam, Backup-Vorlagen zu verschlsseln.
Administrative E-Mail-Adressen entfernen: Whlen Sie diese Option, umdie Admi-
nistrator-E-Mail-Adressen, die in verschiedenen Bereichen der UTMverwendet wer-
den, z.B. Postmaster-Adressen in Email Protection, Benachrichtigungen usw., zu ent-
82 UTM9 WebAdmin
fernen. Diese Option ist besonders fr IT-Partner sinnvoll, die Sophos UTM-Appliances
an Kundenstandorten einrichten.
3. Klicken Sie auf Backup jetzt erzeugen.
Das Backup wird in der Liste der verfgbaren Backups angezeigt.
Falls ein Backup mit einer oder beiden der gewhlten Optionen erzeugt wurde, enthlt
der Backup-Eintrag einen entsprechenden zustzlichen Hinweis.
Backup i mporti eren
Umein Backup zu importieren, gehen Sie wie folgt vor:
1. Klicken Sie auf das Ordner-Symbol und whlen Sie eine Backup-Datei zum
Hochladen aus.
3. Entschlsseln Sie das Backup.
Wenn Sie ein verschlsseltes Backup importieren mchten, mssen Sie zunchst das
Kennwort eingeben.
4. Klicken Sie Backup importieren umdas Backup zu importieren.
Beachten Sie, dass beimImport des Backups noch keine Wiederherstellung durch-
gefhrt wird. Das Backup wird lediglich zur Liste Verfgbare Backups hinzugefgt.
4.5.2 Automatische Backups
Auf der Registerkarte Verwaltung >Backups >Automatische Backups haben Sie die Mg-
lichkeit, Backups automatisch erzeugen zu lassen. UmBackups automatisch erzeugen zu las-
sen, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Automatische Backups automatische
Backups.
Klicken Sie auf den Schieberegler.
Der Schieberegler wird grn und die Abschnitte Optionen sowie Backups per E-Mail ver-
senden knnen nun bearbeitet werden.
2. Legen Sie das Zeitintervall fest.
Automatisch erzeugte Backups knnen in verschiedenen Zeitintervallen erzeugt wer-
den.
Sie haben die Auswahl zwischen tglich, wchentlich und monatlich.
UTM9 WebAdmin 83
4.6 Benutzerportal 4 Verwaltung
3. Legen Sie die maximale Anzahl der zu speichernden Backups fest.
Backups knnen bis zu der hier angegebenen Anzahl gespeichert werden. Nachdemdie
maximale Anzahl erreicht worden ist, werden die ltesten Backup-Dateien gelscht.
Beachten Sie, dass dies nur auf automatisch erzeugte Backup-Dateien zutrifft. Manuell
erzeugte Backup-Dateien und vor einer Systemaktualisierung erzeugte Backup-Dateien
werden nicht gelscht.
UmBackup-Dateien Ihrer UTMnicht mhevoll manuell speichern zu mssen, knnen Sie
Backup-Dateien an eine Liste von E-Mail-Adressen schicken lassen.
Empfnger: Automatisch erzeugte Backup-Dateien werden an diejenigen Empfnger
geschickt, die imFeld Empfnger eingetragen sind. Es knnen mehrere Adressen angegeben
werden. Standardmig ist die E-Mail-Adresse des Administrators voreingestellt.
E-Mail-Backups verschlsseln: Darber hinaus haben Sie die Mglichkeit, das Backup zu
verschlsseln (3DES-Verschlsselung).
Kennwort: Wenn Sie die Option Encrypt email backups gewhlt haben, geben Sie ein Kenn-
wort ein (ein zweites Mal zur Besttigung). Nach diesemKennwort werden Sie gefragt, wenn
Sie das Backup importieren wollen.
Automatisch erzeugte Backups werden in der Liste Verfgbare Backups auf der Registerkarte
Backup/Wiederherstellen angezeigt und sind mit demHinweis Systemin der Spalte Ersteller
versehen. Von dort aus knnen sie genau wie manuell erzeugte Backup-Dateien wie-
derhergestellt, heruntergeladen oder gelscht werden.
4.6 Benutzerportal
Das Benutzerportal von Sophos UTMist eine besondere Browser-basierte Anwendung, die
autorisierten Benutzern personalisierte E-Mail-Dienste und Dienste fr den Fernzugriff zur Ver-
fgung stellt. Der Zugriff ist ber die URL der Sophos UTMmglich, zumBeispiel
https://192.168.2.100. (Beachten Sie das HTTPS-Protokoll und die fehlende Port-
nummer 4444, die Sie normalerweise eingeben wrden, umauf die WebAdmin-Schnittstelle
zugreifen zu knnen.)
84 UTM9 WebAdmin
Das Benutzerportal umfasst unter anderemdie E-Mail-Quarantne, die jene Nachrichten ent-
hlt, die entweder mit schdlicher Software infiziert sind, verdchtige Anhnge besitzen, als
Spamidentifiziert wurden oder Ausdrcke enthalten, die explizit untersagt sind.
Benutzer knnen auf der Anmeldeseite eine Sprache aus der Auswahlliste auswhlen, die sich
rechts in der Kopfleiste befindet.
Figure 11 Benutzerportal: Begrungsseite
ber das Benutzerportal haben Benutzer Zugriff auf die folgenden Dienste:
l SMTP-Quarantne: Benutzer knnen sich Nachrichten in Quarantne anschauen und
gegebenenfalls freigeben. Welche Arten von Nachrichten sie freigeben drfen, kann auf
der Registerkarte Email Protection >Quarantnebericht >Erweitert festgelegt werden.
(Die Registerkarte heit Mail-Quarantne, wenn POP3 deaktiviert ist.)
l SMTP-Protokoll: Benutzer haben hier Einblick in das SMTP-Protokoll ihres Mail-
verkehrs. (Die Registerkarte heit Mail-Protokoll, wenn POP3 deaktiviert ist.)
l POP3-Quarantne: Benutzer knnen sich Nachrichten in Quarantne anschauen und
gegebenenfalls freigeben. Welche Arten von Nachrichten sie freigeben drfen, kann auf
der Registerkarte Email Protection >Quarantnebericht >Erweitert festgelegt werden.
(Die Registerkarte heit Mail-Quarantne, wenn SMTPdeaktiviert ist.)
l POP3-Konten: Benutzer knnen hier ihre Zugangsdaten fr POP3-Konten eingeben,
die sie verwenden. Es werden nur Spam-E-Mails, fr die POP3-Kontozugangsdaten hin-
terlegt sind, imBenutzerportal angezeigt. Benutzer, fr die POP3-Kontozugangsdaten
gespeichert sind, erhalten einen eigenstndigen Quarantnebericht fr jede E-Mail-
Adresse. Beachten Sie, dass zugelassene POP3-Server auf der Registerkarte Email Pro-
tection >POP3 >Erweitert eingetragen sein mssen.
UTM9 WebAdmin 85
4 Verwaltung 4.6 Benutzerportal
l Absender-Whitelist: Benutzer knnen eine Positivliste (Whitelist) fr bestimmte Absen-
der anlegen. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter Qua-
rantne gestellt. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter
Quarantne gestellt. In die Whitelist knnen sowohl einzelne gltige E-Mail-Adressen
(z.B. mmustermann@beispiel.de) als auch Adressen einer spezifischen Domne ein-
getragen werden, wobei ein Asterisk als Platzhalter dient (z.B. *@beispiel.de). Wenn
ein Whitelist-Eintrag exakt zutrifft, wird die berprfung der Absender-Blacklist ber-
sprungen.
l Absender-Blacklist: Hier knnen Benutzer E-Mail-Absender auf die Negativliste
(Blacklist) setzen, z.B. phishing@hotmail.com, oder auch ganze Domnen, z.B.
*@hotmail.com. Die Blacklist wird sowohl auf SMTP- als auch auf POP3-E-Mails ange-
wendet, wenn diese auf demSystemaktiviert sind. Absender knnen auf die Blacklist
gesetzt werden, indemman auf das Plussymbol klickt, die Adresse eingibt und zumSpei-
chern auf das Hkchen klickt.
l Hotspots: Hier finden Benutzer die Zugriffsdaten von Hotspots und knnen diese ver-
walten. Diese Registerkarte ist nur dann vorhanden, wenn fr einen bestimmten Benut-
zer mindestens ein Hotspot aktiviert wurde. Fr Hotspots mit tglicher
Kennwortnderung wird das aktuelle Kennwort angezeigt, das auch gendert werden
kann. Fr Hotspots, die ber Voucher genutzt werden knnen, knnen Voucher erstellt,
ausgedruckt, exportiert und gelscht werden. Auf einer Liste der erstellten Voucher wer-
den Nutzungsinformationen angezeigt. Weitere Informationen finden Sie unter Wireless
Protection >Hotspots.
l Client-Authentifizierung:Hier knnen die Benutzer eine Einrichtungsdatei von
Sophos Authentication Agent (SAA) herunterladen. Der SAAkann als Authen-
tifizierungsmethode fr den Webfilter genutzt werden. Die Registerkarte Client-Authen-
tifizierung ist nur dann verfgbar, wenn die entsprechende Funktion aktiviert wurde.
Weitere Informationen finden Sie unter Definitionen &Benutzer >Client-Authen-
tifizierung.
l OTP-Token: Hier finden die Benutzer einen oder mehrere QR-Codessowie die ent-
sprechenden Detailinformationen fr die Konfiguration des Dienstes der UTMfr ein-
malige Kennwrter (OTP) auf ihren Mobilgerten. Weitere Informationen erhalten Sie
unter Definitionen &Benutzer >Authentifizierungsdienste >Einmaliges Kennwort
(OTP).
l Fernzugriff: Benutzer knnen hier Client-Software fr den Fernzugriff sowie fr sie
bereitgestellte Konfigurationsdateien herunterladen. Der Menpunkt Fernzugriff ist aller-
dings nur zu sehen, wenn fr den jeweiligen Benutzer der Fernzugriff aktiviert wurde.
86 UTM9 WebAdmin
l HTML5-VPN-Portal: Hier knnen Benutzer ber vordefinierte Dienste VPN-Ver-
bindungen zu vordefinierten Hosts ffnen. Diese Registerkarte ist nur dann vorhanden,
wenn fr den jeweiligen Benutzer mindestens eine VPN-Verbindung aktiviert wurde. Wei-
tere Informationen finden Sie unter Fernzugriff >HTML5-VPN-Portal.
l Kennwort ndern: Benutzer knnen hier ihr Kennwort fr den Zugang zumBenut-
zerportal ndern.
l HTTPS-Proxy: Benutzer knnen von hier das HTTPS-Proxy-CA-Zertifikat importieren,
umdie Fehlermeldungen loszuwerden, die angezeigt werden, wenn sie sichere Web-
sites besuchen. Nach Klicken auf die Schaltflche Proxy-CA-Zertifikat importieren, wird
der Benutzer von seinemBrowser gefragt, ob er der CAfr verschiedene Zwecke ver-
traut. Weitere Informationen erhalten Sie unter Web Protection >Filteroptionen >
HTTPS-CAs.
l Abmelden: Klicken Sie hier, umsich vomBenutzerportal abzumelden. Das ist allerdings
nur ntig, wenn Sie beimAnmelden An meine Anmeldung erinnern markiert hatten
dabei wird ein Cookie angelegt und Sie sich nun explizit abmelden mchten. Dabei wird
der Cookie gelscht. Ansonsten gibt es keinen Grund, die Abmelden-Funktion zu ver-
wenden; es reicht aus, die Registerkarte des Browsers oder das Browserfenster zu
schlieen.
4.6.1 Allgemein
Auf der Registerkarte Verwaltung >Benutzerportal >Allgemein knnen Sie das Benut-
zerportal aktivieren. Zudemknnen Sie festlegen, welchen Netzwerken und welchen Benut-
zern Zugriff auf das Benutzerportal gewhrt werden soll.
Umden Zugang zumBenutzerportal zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie das Benutzerportal.
Der Schieberegler wird gelb und der Bereich Benutzerportal-Optionen kann nun bear-
beitet werden.
2. Whlen Sie die zugelassenen Netzwerke aus.
Whlen Sie die Netzwerke aus, die Zugriff auf das Benutzerportal haben sollen, oder
fgen Sie sie hinzu. Das Hinzufgen einer Definition wird auf der Seite Definitionen &
Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 87
4 Verwaltung 4.6 Benutzerportal
3. Whlen Sie die zugelassenen Benutzer aus.
Whlen Sie die Benutzer oder Benutzergruppen aus, die Zugriff auf das Benutzerportal
haben sollen, oder fgen Sie neue Benutzer hinzu. Das Hinzufgen eines Benutzers
wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
Wenn Sie nicht allen Benutzern Zugriff gestatten mchten, deaktivieren Sie die Option
Alle Benutzer zulassen und whlen Sie die Benutzer oder Benutzergruppen einzeln aus.
4.6.2 Erweitert
Auf der Registerkarte Erweitert knnen Sie einen alternativen Hostnamen und eine Port-
nummer fr das Benutzerportal definieren sowie Sprach- und Sicherheitseinstellungen vor-
nehmen.
Sprache
Whrend der Anmeldung wertet das Benutzerportal die Spracheinstellungen des Web-
browsers aus und ldt das entsprechende Gebietsschema, umdas Benutzerportal in der Stan-
dardsprache des Browsers anzuzeigen. Sollte der Browser eine Sprache als Stan-
dardeinstellung haben, die imBenutzerportal nicht verfgbar ist, knnen Sie hier angeben,
welche Sprache ersatzweise verwendet werden soll. Benutzer haben darber hinaus die Mg-
lichkeit, eine Sprache auf der Anmeldeseite des Benutzerportals zu whlen.
Si cherhei t
Das Benutzerportal verwendet Cookies zur Sitzungsverwaltung. Dauerhafte Cookies ermg-
lichen demBenutzer, nach demSchlieen einer Sitzung spter zurckzukehren, ohne sich neu
anmelden zu mssen. Cookies knnen jederzeit vomBenutzer gelscht werden, indemer im
Benutzerportal auf Abmelden klickt.
Portal-Ei ntrge deakti vi eren
Fr die hier angegebenen Funktionen wird imBenutzerportal ein Meneintrag angezeigt, falls
die entsprechende Funktion imWebAdmin aktiviert wurde. Sie knnen aber Meneintrge
bestimmen, die nicht imBenutzerportal angezeigt werden sollen. Whlen Sie hierzu die ent-
sprechende(n) Option(en) aus und klicken Sie auf bernehmen.
88 UTM9 WebAdmin
Netzwerkei nstellungen
Hostname: Standardmig ist der Hostname der UTMvoreingestellt, wie er auf der Regis-
terkarte Verwaltung >Systemeinstellungen >Hostname angegeben ist. Wenn Sie allerdings
Zugriff auf das Benutzerportal ber das Internet gestatten mchten, dann ist es sinnvoll, hier
einen alternativen Hostnamen einzutragen, der ffentlich aufgelst werden kann.
Lausch-Adresse: Der Standardwert lautet Any (alle). Wenn Sie die Web Application Firewall
verwenden, mssen Sie eine feste Schnittstellenadresse angeben, auf der der Dienst auf Ver-
bindungen zumBenutzerportal lauscht. Diese Einstellung ist notwendig, damit die Ver-
bindungsverwaltung fr das Benutzerportal und die Web Application Firewall die eingehenden
SSL-Verbindungen unterscheiden knnen.
Port: Standardmig ist der Port 443fr HTTPSvoreingestellt. Sie knnen den Port jedoch
auf einen beliebigen Wert zwischen 1024und 65535ndern. Beachten Sie, dass Sie weder
den Port 10443noch den WebAdmin-TCP-Port auswhlen knnen, der auf der Registerkarte
Verwaltung >WebAdmin-Einstellungen >Erweitert konfiguriert ist. Unabhngig vomgewhl-
ten Port kann das Benutzerportal stets nur ber HTTPSaufgerufen werden.
Begrungstext
Sie knnen den Begrungstext des Benutzerportals anpassen. Einfache HTML-Befehle und
Hyperlinks sind gestattet.
Hinweis Der Begrungstext kann nicht gendert werden, wenn Sie eine Home-Use-
Lizenz verwenden.
4.7 Benachrichtigungen
Sophos UTMverfgt ber eine Benachrichtigungsfunktion, die Sie sofort per E-Mail oder
SNMPber alle sicherheitsrelevanten Vorgnge auf der UTMinformiert entweder per E-Mail
oder SNMP-Trap. Alle Ereignisse, die fr einen Administrator von Interesse sein knnten,
haben ihre eigenen Fehler-, Warn- und Informations-Codes. Welche Benachrichtigungen ver-
schickt werden, hngt von den Einstellungen ab, die Sie auf der Registerkarte Benach-
richtigungen vorgenommen haben.
UTM9 WebAdmin 89
4 Verwaltung 4.7 Benachrichtigungen
4.7 Benachrichtigungen 4 Verwaltung
4.7.1 Allgemein
Auf der Registerkarte Verwaltung >Benachrichtigungen >Allgemein knnen Sie die Absen-
deradresse (d.h. die Von-Adresse) konfigurieren, die fr das Versenden von Benach-
richtigungen von der UTMverwendet werden soll. Standardmig ist dies do-not-reply@fw-
notify.net. Falls Sie diese Einstellung ndern mchten, ist es ratsam, eine E-Mail-Adresse
aus Ihrer Domne zu whlen, da manche Mail-Server berprfen, ob die Absender-Adresse
einer empfangenen Nachricht tatschlich existiert.
Darber hinaus knnen Sie einen oder mehrere Empfnger fr die Benachrichtigungen der
UTMfestlegen. Standardmig ist dies die E-Mail-Adresse des Administrators, die Sie wh-
rend der ersten Einrichtung angegeben haben.
Benachrichtigungen begrenzen: Einige sicherheitsrelevante Ereignisse, z.B. erkannte
Angriffsversuche, erzeugen eine Vielzahl von Benachrichtigungen, was schnell dazu fhren
kann, dass die Postfcher der Empfnger frmlich berlaufen. Zu diesemZweck verfgt die
Sophos UTMber angemessene Voreinstellungen, die die Anzahl der Benachrichtigungen, die
pro Stunde verschickt werden, begrenzen. Falls Sie diese Option deaktivieren, erzeugt jedes
sicherheitsrelevante Ereignis eine Benachrichtigung; vorausgesetzt natrlich, dieses Ereignis
ist auf der Registerkarte Verwaltung >Benachrichtigungen >Benachrichtigungen ent-
sprechend konfiguriert.
Gertespezi fi scher Text
Hier knnen Sie eine Beschreibung der Sophos UTMeingeben, z.B. den Standort. Diese wird
dann in den Benachrichtigungen angezeigt, die verschickt werden.
4.7.2 Benachrichtigungen
Benachrichtigungen sind in drei Kategorien unterteilt:
l CRIT: Benachrichtigungen ber kritische Ereignisse, die den fehlerfreien Betrieb der
UTMgefhrden.
l WARN: Warnhinweise ber potenzielle Probleme, die Ihre Aufmerksamkeit erfordern,
z.B. das berschreiten von Schwellenwerten.
l INFO: Rein informative Benachrichtigungen, z.B. bezglich des Neustarts einer Sys-
temkomponente.
90 UTM9 WebAdmin
Fr jedes einzelne Ereignis knnen Sie bestimmen, ob eine Benachrichtigung als E-Mail oder
SNMP-Trap verschickt werden soll.
4.7.3 Erweitert
Fr den Fall, dass Ihre UTME-Mails nicht direkt senden kann, knnen Sie einen Smarthost fr
den E-Mail-Versand einrichten. Gehen Sie folgendermaen vor:
1. Aktivieren Sie den Externen SMTP-Server auf der Registerkarte Verwaltung >
Benachrichtigungen > Erweitert.
2. Geben Sie Ihren Smarthost ein.
Sie knnen dafr Drag&Drop verwenden. Der Port ist auf den SMTP-Port 25vor-
eingestellt.
l TLS verwenden: Whlen Sie diese Option, wenn Sie TLSfr den Versand von
Benachrichtigungen erzwingen wollen. Beachten Sie, dass Benachrichtigungen
nicht versendet werden, wenn der Smarthost TLSnicht untersttzt.
3. Legen Sie die Authentifizierungs-Einstellungen fest.
Falls der Smarthost Authentifizierung erfordert, whlen Sie das Auswahlkstchen
Authentifizierung und geben Sie den entsprechenden Benutzernamen und das Kenn-
wort ein.
4.8 Anpassungen
Auf den Registerkarten des Mens Verwaltung >Anpassungen knnen Sie die Vorlagen fr
Statusmeldungen und E-Mail-Benachrichtigungen, die von Sophos UTMerstellt werden,
anpassen und lokalisieren. Damit ist es mglich, diese Meldungen an die Richtlinien und die Cor-
porate Identity Ihres Unternehmens anzupassen.
Zustzlich knnen Sie benutzerdefinierte Web-Vorlagen hochladen und bearbeiten, umMel-
dungen ber blockierte Seiten oder andere Benachrichtigungen noch strker zu verndern.
Hinweis Anpassungen sind nicht mglich, wenn Sie eine Home-Use-Lizenz verwenden.
UTM9 WebAdmin 91
4 Verwaltung 4.8 Anpassungen
4.8 Anpassungen 4 Verwaltung
4.8.1 Allgemein
Auf der Registerkarte Verwaltung >Anpassungen >Allgemein knnen Sie allgemeine Ein-
stellungen fr Statusmeldungen vornehmen, die Benutzern angezeigt werden. Beachten Sie,
dass UTF-8/Unicode untersttzt wird.
Das Beispiel unten zeigt die anpassbaren globalen Optionen (Firmenlogo und Fir-
menspezifischer Text) in einer beispielhaften Inhalt blockiert-Nachricht, die auf der Seite Ver-
waltung >Anpassungen >Web-Meldungen angepasst werden kann.
Figure 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren
Elemente
Fi rmenlogo
Hier knnen Sie Ihr eigenes Firmenlogo/-banner (nur impng-Format) hochladen, das in den
folgenden Fllen verwendet wird:
l Web-Meldungen
l Blockierte POP3-E-Mails
l Statusmeldungen zur Aufhebung der Quarantne (werden angezeigt, wenn eine als
Spameingestufte E-Mail ber den Quarantnebericht aus der Quarantne freigegeben
oder auf die Positivliste (Whitelist) gesetzt wurde)
l Quarantnebericht
92 UTM9 WebAdmin
Einige der Benutzermeldungen sind fr das Standard-Logo optimiert (195 x 73 Pixel mit trans-
parentemHintergrund). Umein optimales Ergebnis zu erhalten, sollten Sie ein Bild mit den glei-
chen Eigenschaften verwenden.
Umein Logo hochzuladen:
Klicken Sie dazu auf das Ordnersymbol neben demFeld Neues Logo hochladen.
2. Whlen Sie das Logo aus.
Wechseln Sie in das Verzeichnis, in demsich das Firmenlogo befindet.
Whlen Sie das Logo aus und klicken Sie auf Hochladen starten.
Das Logo wird hochgeladen und ersetzt dabei die zuvor installierte Datei.
Fi rmenspezi fi scher Text
Hierbei handelt es sich umden Text unterhalb des Firmenlogos auf der Standard-Feh-
lermeldungsseite, die vomBrowser angezeigt wird, wenn ein Benutzer eine Website ffnet, die
vomVirenscanner oder demInhaltsfilter von Sophos UTMblockiert wird. Sie knnen hier z.B.
die Kontaktdaten des Administrators eintragen.
4.8.2 Web-Meldungen
Sie knnen die Texte von Webfilter-Meldungen anpassen, die von der Sophos UTMangezeigt
werden. Meldungen werden beispielsweise angezeigt, wenn Benutzer bestimmte Dateien
nicht herunterladen drfen, weil sie zu gro sind, einen bestimmten Typ haben oder einen
Virus enthalten. Meldungen werden auch angezeigt, wenn Benutzer versuchen, auf gesperrte
Webseiten oder Anwendungen zuzugreifen, wenn sie Dateien herunterladen oder wenn sie
sich an der UTMauthentifizieren mssen. Sie knnen Meldungen in andere Sprachen ber-
setzen oder sie zustzlich umSupport-Kontaktinformationen erweitern, umnur einige Beispiele
zu nennen.
Hinweis Der Text, den Sie hier auf der Registerkarte Web-Meldungen eingeben, kann in
benutzerspezifischen Web-Vorlagen verwendet werden. Mehr Informationen finden Sie
unter Web-Vorlagen.
Die folgenden Vorlagen knnen angepasst werden:
UTM9 WebAdmin 93
Inhalt blockieren
l Surf Protection: Diese Meldung wird angezeigt, wenn ein Benutzer auf eine Webseite
zugreifen mchte, deren URL mit einer Kategorie bereinstimmt, die blockiert werden
soll, oder wenn der Ruf der Seite unter demeingestellten Schwellenwert liegt. Mehr Infor-
mationen finden Sie unter Web Protection >Webfilter.
l Blacklist: Diese Meldung wird angezeigt, wenn ein Benutzer auf eine Webseite zugrei-
fen mchte, deren URL auf der Blacklist steht. UmURLs zur Blacklist hinzuzufgen,
gehen Sie auf die Seite Web Protection >Webfilter >Richtlinien >Kategorien.
l MIME-Typ: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei mit einem
MIME-Typ anfordert, der blockiert werden soll. Mehr Informationen zumFestlegen von
MIME-Typen finden Sie unter Web Protection >Webfilter >Richtlinien >Downloads.
l Dateierweiterung: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei mit
einer Erweiterung anfordert, die blockiert werden soll. Mehr Informationen zumFest-
legen von Dateierweiterungen finden Sie unter Web Protection >Webfilter >Richtlinien >
Downloads.
l Dateigre: Diese Meldung wird angezeigt, wenn ein Benutzer eine Datei anfordert,
die die maximal erlaubte Dateigre berschreitet. Die maximale Download-Dateigre
legen Sie hier fest:Web Protection >Webfilter >Richtlinien >Downloads.
l Application Control: Diese Meldung wird angezeigt, wenn ein Benutzer versucht,
einen Netzwerkverkehrstyp zu verwenden, der durch Application Control blockiert wird.
Weitere Informationen zu Application Control finden Sie imKapitel Web Protection >App-
lication Control.
l Virus gefunden: Diese Meldung wird angezeigt, wenn eine Datei blockiert wird, die
einen Virus enthlt. Mehr Informationen ber Virenschutzeinstellungen finden Sie in
Web Protection >Webfilter >Richtlinien >Antivirus.
Download/Scan
l Download luft: Diese Meldung wird angezeigt, whrend eine Datei heruntergeladen
wird. Siehe Download Manager.
l Virenscan luft: Diese Meldung wird angezeigt, whrend die UTMDateien auf schd-
lichen Inhalt prft. Siehe Download Manager.
l Download abgeschlossen: Diese Meldung wird angezeigt, nachdemeine Datei kom-
plett heruntergeladen, gescannt und fr sicher befunden wurde. Siehe Download Mana-
ger.
Authentifizierung
94 UTM9 WebAdmin
l Transparenzmodus mit Authentifizierung: Diese Option gilt nur fr den Fall, dass
Sie den Webfilter imTransparenzmodus betreiben und die Authentifizierungsmethode
Browsergewhlt haben. Weitere Informationen finden Sie unter Web Protection >
Webfilterprofile >Filter Profiles. Der Text wird auf der Authentifizierungsseite angezeigt,
auf der sich Benutzer einloggen mssen, bevor sie den Webfilter benutzen drfen. Wenn
das Feld Nutzungsbedingungen Text enthlt, wird dieser auf der Authentifizierungsseite
angezeigt. Wenn das Feld leer ist, werden keine Nutzungsbedingungen angezeigt.
l Inhalts-Blockierung umgehen: Diese Meldung wird angezeigt, wenn eine Seite
durch Surf Protection blockiert ist und die Option, die Blockierung zu umgehen, aktiv ist
(siehe Web Protection >Filteroptionen >Benutzer umgehen). Wenn das Feld Nut-
zungsbedingungen ausgefllt ist, werden diese auf der Authentifizierungsseite ange-
zeigt. Wenn das Feld leer ist, werden keine Nutzungsbedingungen angezeigt.
Fehler
l Serverfehler: Diese Meldung wird angezeigt, wenn bei der Bearbeitung einer Benut-
zeranfrage ein Fehler auftritt.
Administratorangaben: Hier knnen Sie Informationen zumAdministrator angeben, der den
Webfilter verwaltet, einschlielich seiner E-Mail-Adresse.
4.8.2.1 Web-Meldung ndern
Umeine Meldung des Typs Blockierter Inhalt, Download/Scan, Authentifizierung oder Fehler
zu ndern:
1. Whlen Sie die Meldung aus.
Whlen Sie in der Auswahlliste Seite die Benutzermeldung aus, die Sie bearbeiten mch-
ten.
Betreff und Beschreibung dieser Meldung werden angezeigt.
2. ndern Sie den Betreff und/oder die Beschreibung.
Bearbeiten Sie den Standardtext nach Bedarf.
Die Textnderungen werden gespeichert.
4.8.2.2 Download-Verwaltung
Wenn der Webfilter aktiviert ist, zeigt der Webbrowser die folgenden Download-Seiten an,
sobald ein Benutzer versucht, Inhalte von mehr als 1MBGre herunterzuladen, die keinen
Text bzw. keine Bilder umfassen. Die Download-Seiten werden nicht angezeigt, wenn Video-
UTM9 WebAdmin 95
oder Audio-Streams angefordert werden oder wenn mehr als 50%einer Datei innerhalb von
fnf Sekunden heruntergeladen wurden.
Die Informationen auf den Download-Seiten knnen auf der Registerkarte Web-Meldungen
angepasst werden.
Figure 13 Anpassungen: HTTP-Download-Seite Schritt 1 von 3: Datei herunterladen
Figure 14 Anpassungen: HTTP-Download-Seite Schritt 2 von 3: Virenscan
96 UTM9 WebAdmin
Figure 15 Anpassungen: HTTP-Download-Seite Schritt 3 von 3: Datei komplett her-
untergeladen
4.8.3 Web-Vorlagen
Umdas Aussehen und den Inhalt von Meldungen, die Benutzern angezeigt werden, anzu-
passen, knnen Sie HTML-Dateien in Sophos UTMhochladen. Als Leitfaden bietet Sophos
mehrere Beispiel-Vorlagen. Diese Vorlagen zeigen Ihnen, wie Sie Variablen verwenden kn-
nen, umdynamisch Informationen einzufgen, die fr die einzelnen Benutzermeldungen wich-
tig sind. Wenn beispielsweise eine Datei blockiert wird, weil sie einen Virus enthlt, knnen Sie
eine Variable verwenden, die den Namen des blockierten Virus einfgt.
4.8.3.1 Web-Vorlagen anpassen
Warnung Das Anpassen von Sophos UTM-Benachrichtigungen ist ein Thema fr Fort-
geschrittene. Sie sollten diese Aufgabe nur dann angehen, wenn Sie ausreichende HTML-
und JavaScript-Kenntnisse besitzen.
Sie knnen angepasste Versionen von Sophos UTM-Benachrichtigungen hochladen, ein-
schlielich Meldungen ber blockierten Inhalt, Statusmeldungen, Fehlermeldungen und Ein-
gabeaufforderungen zur Authentifizierung. Die vier Beispielvorlagen enthalten Anwen-
dungsbeispiele fr Variablen und mehrere Bilder. Verwenden Sie fr Ihre spezifischen
Meldungen und Benachrichtigungen entweder die Beispielvorlagen als Basis oder laden Sie
UTM9 WebAdmin 97
Ihre eigenen HTML-Dateien hoch. Die gltigen Variablen sind imArtikel Using Variables in
UTMWeb Templates in der Sophos Knowledgebase beschrieben.
UmText aus einer Meldung zu verwenden, die auf der Registerkarte Web-Meldungen definiert
ist, knnen Sie die entsprechende Variable in Ihre benutzerspezifische Vorlage einfgen. Wei-
tere Informationen finden Sie unter Web-Meldungen.
Umdie Beispielvorlagen und Bilder herunterzuladen, klicken Sie auf den folgenden Link und
speichern Sie die .zip-Datei:
http://www.astaro.com/lists/Web_Templates.zip
4.8.3.2 Benutzerspezifische Web-Vorlagen und Bilder hoch-
laden
NachdemSie Ihre benutzerspezifische Vorlage bearbeitet und gespeichert haben, knnen Sie
sie in UTMhochladen.
Umeine Web-Vorlage oder ein Bild hochzuladen:
Klicken Sie auf das Ordner-Symbol neben demNamen des Vorlagentyps, den Sie hoch-
laden mchten, oder klicken Sie auf das Ordner-Symbol neben Bilder, wenn Sie ein Bild
hochladen mchten.
Hinweis Die folgenden Dateitypen werden untersttzt: .png,.jpg, .jpegund .gif.
Das Dialogfeld Datei hochladen ffnet sich.
2. Whlen Sie die Vorlage oder das Bild.
Wechseln Sie in das Verzeichnis, in demsich die Vorlage oder das Bild befindet.
NachdemSie die Vorlage oder das Bild ausgewhlt haben, klicken Sie auf Hochladen
starten.
Das Dialogfenster Datei hochladen schliet sich.
Die Vorlage oder das Bild wird hochgeladen.
98 UTM9 WebAdmin
4.8.4 E-Mail-Mitteilungen
Passen Sie den Text in Benutzer-Mitteilungen an, die von den SMTP/POP3-Proxies von
Sophos UTMgeneriert werden. Sie knnen die Vorlagen in andere Sprachen bersetzen oder
sie zustzlich umKontaktinformationen erweitern, umnur einige Beispiele zu nennen. Die fol-
genden Meldungen knnen angepasst werden:
Quarantne
Aus Quarantne freigegebene E-Mail: Diese Meldung wird angezeigt, wenn eine E-Mail
erfolgreich aus der Quarantne freigegeben wurde.
Bei der Quarantne-Freigabe der E-Mail ist ein Fehler aufgetreten: Diese Meldung
wird angezeigt, wenn whrend der Freigabe einer E-Mail aus der Quarantne ein Fehler auf-
getreten ist.
POP3
POP3-Nachricht blockiert: Diese Meldung wird an den Empfnger gesendet, wenn eine
POP3-E-Mail blockiert wurde.
Figure 16 Anpassungen: Blockierte POP3-Proxy-Nachricht
4.9 SNMP
Das Simple Network Management Protocol (SNMP) wird dazu benutzt, Netzwerkelemente
wie Router, Server oder Switches von einer zentralen Station aus zu berwachen und zu steu-
ern. SNMPermglicht es einemAdministrator, sich schnell einen berblick ber den Zustand
der berwachten Netzwerkgerte zu verschaffen. Sophos UTMkann so konfiguriert werden,
dass sie auf SNMP-Anfragen antwortet oder SNMP-Traps an SNMP-Verwaltungstools
UTM9 WebAdmin 99
4 Verwaltung 4.9 SNMP
4.9 SNMP 4 Verwaltung
sendet. Ersteres wird mit Hilfe von sogenannten Management Information Bases (MIBs)
erreicht. Eine MIBdefiniert, welche Informationen zu welchen Netzwerkelementen abgerufen
werden knnen. Sophos UTMuntersttzt SNMPVersion 2 und 3 sowie die folgenden MIBs:
l DISMAN-EVENT-MIB: Management Information Base fr Ereignisse
l HOST-RESOURCES-MIB: Management Information Base fr Host-Ressourcen
l IF-MIB: Management Information Base fr Schnittstellengruppen
l IP-FORWARD-MIB: Management Information Base fr IP-bergabetabelle
l IF-MIB: Management Information Base fr das Internet Protocol (IP)
l NOTIFICATION-LOG-MIB: Management Information Base fr Benach-
richtigungsprotokolle
l RFC1213-MIB: Management Information Base fr die Netzwerkverwaltung von
TCP/IP-basiertemInternet: MIBII
l SNMPv2-MIB: Management Information Base fr das Simple Network Management
Protocol (SNMP)
l TCP-MIB: Management Information Base fr das Transmission Control Protocol (TCP)
l UDP-MIB: Management Information Base fr das User DatagramProtocol (UDP)
UmSysteminformationen zu Sophos UTMzu erhalten, mssen Sie einen SNMP-Manager ver-
wenden, der zumindest gegen die RFC1213-MIB(MIBII) kompiliert ist.
4.9.1 Anfrage
Auf der Seite Verwaltung >SNMP>Abfrage knnen Sie die Nutzung von SNMP-Abfragen akti-
vieren.
UmSNMP-Anfragen zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie SNMP-Anfragen.
Die Abschnitte SNMP-Versionund SNMP-Zugriffskontrolleknnen nun bearbeitet wer-
den.
2. Whlen Sie die SNMP-Version aus.
Whlen Sie imAbschnitt SNMP-Version aus der Auswahlliste eine Version aus. Fr
SNMPVersion 3 ist Authentifizierung erforderlich.
100 UTM9 WebAdmin
3. Whlen Sie die zugelassene Netzwerke aus.
Netzwerke imFeld Zugelassene Netzwerke drfen Anfragen an den SNMP-Agenten
von Sophos UTMstellen. Beachten Sie, dass der Zugriff immer auf das Leserecht (engl.
read-only) beschrnkt ist.
l Community-String: Geben Sie bei Nutzung von Version 2 einen Community-
String ein. Ein SNMP-Community-String dient als eine Art Kennwort fr den
Zugriff auf den SNMP-Agenten. Standardmig ist publicals SNMP-Com-
munity-String voreingestellt. Sie knnen diesen Wert nach Ihren Bedrfnissen
ndern.
Hinweis Der Community-String darf aus folgenden Zeichen bestehen: (az),
(AZ), (09), (+), (_), (@), (.), (-), (Leerzeichen).
l Benutzername/Kennwort: Bei Nutzung von Version 3 ist Authentifizierung erfor-
derlich. Geben Sie einen Benutzernamen und ein Kennwort ein (zweites Mal zur
Besttigung), damit der Remote-Administrator Anfragen versenden kann. Das
Kennwort muss mindestens acht Zeichen lang sein. SNMPv3 setzt fr die Authen-
tifizierung SHAund fr die Verschlsselung AESein. Beachten Sie, dass Benut-
zername/Kennwort fr beides verwendet werden.
Darber hinaus knnen Sie zustzliche Informationen zur UTMangeben.
Gertei nformati onen
Mit den Eingabefeldern imAbschnitt Gerteinformationen knnen Sie die UTMnher erlu-
tern, z. B. durch Angabe eines Gertenamens, des Standorts oder des zustndigen Admi-
nistrators. Diese Informationen knnen von SNMP-Verwaltungsprogrammen gelesen werden
und helfen bei der Identifikation der UTM.
Hinweis Beachten Sie, dass der gesamte SNMP-Datenverkehr (Protokollversion 2) zwi-
schen der UTMund den Zugelassenen Netzwerken unverschlsselt erfolgt und bei einem
Transfer ber ffentliche Netze mitgelesen werden kann.
Astaro Noti fi er MIB
In diesemAbschnitt knnen Sie den Astaro Notifier MIBherunterladen, der die Definitionen der
Sophos UTMSNMP-Benachrichtigungen enthlt, die auf Ihren aktuellen Einstellungen fr
UTM9 WebAdmin 101
4 Verwaltung 4.9 SNMP
4.9 SNMP 4 Verwaltung
Benachrichtigungs-Traps basieren. Aus historischen Grnden verwendet MIPden Astaro Pri-
vate Enterprise Code (SNMPv2-SMI::enterprises.astaro).
4.9.2 Traps
Auf der Registerkarte Traps knnen Sie einen SNMP-Trap-Server auswhlen, an den Benach-
richtigungen ber relevante Ereignisse auf der UTMper SNMP-Trap verschickt werden kn-
nen. Beachten Sie, dass spezielle SNMP-berwachungssoftware bentigt wird, umdie Traps
anzeigen zu knnen.
Die als SNMP-Traps verschickten Nachrichten enthalten einen sogenannten Object Identifier
(Objektidentifizierungsnummer) (OID), z. B. .1.3.6.1.4.1.9789, der zu den privaten Unter-
nehmensnummern gehrt, die von der IANAvergeben werden. Dabei ist .1.3.6.1.4.1der
Prfix, der fr iso.org.dod.internet.private.enterprisesteht, whrend 9789die pri-
vate Unternehmensnummer der Astaro GmbH&Co. KGist. Die OIDfr Benachrichtigungen
ist 1500, an die wiederumdie OIDs des Benachrichtigungstyps und die des dazugehrigen Feh-
lercodes (000-999) angehngt werden. Die folgenden Benachrichtigungstypen sind ver-
fgbar:
l DEBUG = 0
l INFO = 1
l WARN = 2
l CRIT = 3
Beispiel: Die Benachrichtigung INFO-302: Newfirmware Up2Date installedverwendet die
OID.1.3.6.1.4.1.9789.1500.1.302und bekommt die folgende Bezeichnung zugewiesen:
[<HOST>][INFO][302]
Beachten Sie, dass <HOST>ein Platzhalter fr den Hostnamen darstellt, und dass nur Typ und
Fehlercode aus der Betreffzeile der Benachrichtigung bermittelt werden.
Umeinen SNMP-Trap-Server auszuwhlen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neuer SNMP-Trap-Server.
Das Dialogfeld Neuen SNMP-Trap-Server erstellen wird geffnet.
Host: Die Host-Definition fr den SNMP-Trap-Server.
102 UTM9 WebAdmin
Community: Ein SNMP-Community-String dient als eine Art Kennwort fr den Zugriff
auf die Abfrage von SNMP-Nachrichten. Standardmig ist publicals SNMP-Com-
munity-String voreingestellt. Geben Sie hier den Community-String ein, der auf dem
SNMP-Trap-Server konfiguriert ist.
Hinweis Der Community-String darf aus folgenden Zeichen bestehen: (az), (AZ),
(09), (+), (_), (@), (.), (-), (Leerzeichen).
zu.
Der neue SNMP-Trap-Server wird auf der Registerkarte Traps angezeigt.
4.10 Zentrale Verwaltung
ber das Men Zentrale Verwaltung werden Schnittstellen zu Verwaltungstools konfiguriert,
die verwendet werden knnen, umdas Gateway zu berwachen oder aus der Ferne zu ver-
walten.
4.10.1 Sophos UTMManager
Sophos UTMManager (SUM) ist Sophos' Produkt zur zentralen Verwaltung. Sie knnen meh-
rere UTM-Appliances mit einemSUMverbinden, ber den eine zentrale berwachung, Kon-
figuration und Wartung mglich ist. SUM4.2 untersttzt Konfiguration nur fr UTM9.2. Andere
Versionen von UTMwerden in SUMebenso dargestellt und knnen berwacht werden. Wenn
sich zumBeispiel ein UTM9.2 mit einemSUM4.1 verbindet, wird der "Legacy-Modus" aktiv.
Backups, MSP-Lizenzierung und Up2Date-Installationen sind dennoch mglich.
Auf dieser Registerkarte knnen Sie die Verbindung Ihrer UTMmit einemoder zwei SUMs kon-
figurieren.
Hinweis Wenn Sie die MSP-Lizenz nutzen, knnen folgende nderungen nur durch den
Sophos UTMManager (SUM) durchgefhrt werden:SUMdeaktivieren, SUM-Host ndern,
Rechte des SUM-Administrators ndern.
UTM9 WebAdmin 103
4 Verwaltung 4.10 Zentrale Verwaltung
4.10 Zentrale Verwaltung 4 Verwaltung
Damit Sophos UTMvon einemSUM-Server berwacht werden kann, gehen Sie fol-
gendermaen vor:
1. Aktivieren Sie die SUM-Funktionalitt auf der Registerkarte Sophos
UTMManager.
Der Schieberegler wird gelb und der Bereich SUM-Einstellungen kann bearbeitet wer-
den.
2. Geben Sie den SUM-Host an.
Whlen Sie einen SUM-Server aus, mit demsich die UTMverbinden soll, oder fgen Sie
einen hinzu.Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l Authentifizierung (optional): Wenn der SUM-Server Authentifizierung erfor-
dert, whlen Sie diese Option und geben Sie das Kennwort (vereinbarter Schls-
sel) an, das auf demSUM-Server konfiguriert ist.
l SUM-Server als Up2Date-Cache verwenden (optional): Up2Date-Pakete kn-
nen von einemZwischenspeicher (engl. cache) geholt werden, der sich auf dem
SUM-Server befindet. Wenn Sie diese Funktionalitt fr Ihr Gateway verwenden
wollen, whlen Sie die Option SUM-Server als Up2Date-Cache verwenden. Bitte
stellen Sie sicher, dass auf demSUM-Server, der Ihr Gert verwaltet, die Up2Da-
te-Cache-Funktionalitt ebenfalls aktiv ist. Beachten Sie, dass die Verwendung
der Up2Date-Cache-Funktionalitt und eines bergeordneten Proxy fr Up2Da-
te-Pakete sich gegenseitig ausschlieen.
3. Legen Sie die Berechtigungen des SUM-Administrators fest.
Der fr die UTMzustndige Administrator kann imSUMnur die Bereiche der UTMver-
walten, fr die hier eine ausdrckliche Berechtigung erteilt ist. Die hier aufgelisteten
Berechtigungen entsprechen demHauptmen und den Verwaltungsoptionen des SUM
Gateway Manager.
Administration: Bei Auswahl kann der Administrator die Funktionen in den Mens War-
tung und Verwaltung verwenden. Dadurch lsst sich beispielsweise der Bestand anzei-
gen. Auerdemknnen Backups erstellt und wiederhergestellt sowie geplante Vor-
gnge wie Firmware-Aktualisierungen durchgefhrt werden.
Berichte: Bei Auswahl kann der Administrator die Funktionen imBerichtsmen ver-
wenden. Er kann z.B. UTM-Berichte anfordern.
104 UTM9 WebAdmin
berwachung: Bei Auswahl wird die UTMauf den Seiten berwachung angezeigt und
der Administrator kann die entsprechenden Funktionen verwenden.
Konfiguration: Bei Auswahl kann der Administrator die Funktionen imMen Kon-
figuration verwenden. Er kann der UTMbeispielsweise Objekte (Netzwerke, Hosts,
VPNs) zuweisen.
Hinweis Weitere Informationen finden Sie imAdministratorhandbuch von Sophos
UTMManager.
Die UTMversucht nun, eine Verbindung zumSophos UTMManager aufzubauen.
Sobald eine Verbindung zwischen den beiden Systemen existiert, wird der Ver-
bindungsstatus grn. Die UTMkann dann vomhier gewhlten SUM-Server berwacht
und verwaltet werden. Den aktuellen Verbindungsstatus und den Zustand knnen Sie im
Bereich SUM-Zustand verfolgen. Ein Neuladen der Seite aktualisiert diese Daten. Nut-
zen Sie die Schaltflche Live-Protokoll ffnen und lesen Sie die angezeigten Meldungen
sorgfltig, umgegebenenfalls Verbindungsprobleme feststellen zu knnen.
Ei nstellungen fr ei nen zwei ten SUM
In diesemAbschnitt knnen Sie optional einen weiteren SUMhinzufgen. Das ist sinnvoll, wenn
Sie beispielsweise die Konfiguration selbst vornehmen (erster SUM-Server), aber Ihre Maschi-
nen dennoch von einemDritten berwachen lassen wollen, z.B. IhremMSSP(zweiten SUM-
Server). Die Einstellungen sind fast identisch mit denen des ersten SUM-Servers, lediglich die
Option Configuration fehlt, da diese nur demersten SUM-Server zur Verfgung steht.
Hinweis Beachten Sie, dass das Gateway und der SUM-Server ber Port 4433mit-
einander kommunizieren, wohingegen der Zugriff auf den Sophos UTMManager mit einem
Browser ber das HTTPS-Protokoll auf Port 4444fr die WebAdmin- und auf Port 4422fr
die Gateway-Manager-Schnittstelle erfolgt.
SUM-Zustand
Sie knnen den aktuellen Verbindungsstatus und Zustand imAbschnitt SUM-Zustand sehen.
Ein Neuladen der Seite aktualisiert diese Daten.
UTM9 WebAdmin 105
4 Verwaltung 4.10 Zentrale Verwaltung
4.11 Sophos Mobile Control 4 Verwaltung
SUM-Objekte
Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einemSUM
aus angelegt wurden und dieser SUMist nun getrennt von der Sophos UTM. SUM-erzeugte
Objekte knnen Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und
hnliches sein.
Die Schaltflche Objekte aufrumen kann angeklickt werden, umalle Objekte freizugeben, die
von demSUMangelegt wurden, mit demdas Systemehemals verwaltet wurde. Diese Objekte
sind normalerweise gesperrt und knnen auf demlokalen Gert nur angeschaut werden. Nach
Bettigung der Schaltflche werden die Objekte voll zugnglich und knnen vomlokalen Admi-
nistrator wiederverwendet oder gelscht werden.
Hinweis Wenn ehemalige SUM-erzeugte Objekte aufgerumt wurden, knnen sie nicht
zurckgewandelt werden, wenn das Gert wieder mit demselben SUMverbunden wird. Das
bedeutet, wenn ein entfernter SUMnoch Objektdefinitionen fr ein Gert bereithlt, das sich
spter wieder mit ihmverbindet, so werden diese Objekte erneut auf das Gert bertragen
obwohl dann bereits lokale Kopien existieren.
Li ve-Protokoll
Sie knnen das Live-Protokoll verwenden, umdie Verbindung zwischen der Sophos UTMund
demSUMzu beobachten. Klicken Sie auf die Schaltflche Live-Protokoll ffnen, umdas Live-
Protokoll in einemneuen Fenster zu ffnen.
4.11 Sophos Mobile Control
Sophos Mobile Control (SMC) ermglicht es Ihnen, mobile Gerte, wie Smartphones und
Tablets (iOS, Android oder Windows Phone) zu koordinieren. Hier knnen Sie den Bestim-
mungen entsprechende Gerte und Benutzer festlegen, Firmen-E-Mails auf mobilen Gerten,
die ein Gateway zu Exchange ActiveSync verwenden zu sichern und regeln, welche Apps instal-
liert werden drfen.
Weitere Informationen finden Sie auf der Sophos SMC-Website.
Auf der Sophos UTMknnen Sie sich mit SMCverbinden umeine bersicht ber Gerte und
Benutzer zu bekommen, die den Bestimmungen entsprechen, Netzwerkzugriff fr VPNund
WLAN-Netzwerke festlegen und Netzwerkkonfigurationen auf den SMC-Server zu kopieren.
106 UTM9 WebAdmin
4.11.1 Allgemein
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Allgemein knnen Sie den
Sophos Mobile Control-Host festlegen und Kundendetails sowie Anmeldeinformationen fr
den SMC-Server angeben.
1. Sophos Mobile Control aktivieren:
SMC-Server: Whlen Sie einen Server aus, mit demsich SMCverbinden soll, oder
fgen Sie einen hinzu.
Kunde: Geben Sie den Kunden fr SMCan.
Benutzername: Geben Sie den Benutzernamen fr SMCan.
Kennwort: Geben Sie das Kennwort fr SMCan.
Hinweis In Sophos UTMknnen Sie keinen neuen Kunden anlegen oder Kenn-
wrter definieren. Neue Kunden knnen nur direkt in SMCangelegt werden.
CA-Zertifikat: Whlen Sie das offizielle Web CAoder ein benutzerspezifisches CA-Zer-
tifikat aus. Auf der Registerkarte Site-to-site VPN>Zertifikatverwaltung >CAknnen Sie
neue CAs zu der Einheit hinzufgen.
3. Klicken Sie SMC-Einstellungen testen:
Das Dialogfenster Information ffnet sich.
l Verbindungstest bestanden: Die Verbindung zumSMC-Server war erfolg-
reich.
l Verbindungstest fehlgeschlagen: Die Verbindung zumSMC-Server war
nicht erfolgreich.
Hinweis Wenn die Verbindung zumSMC-Server nicht erfolgreich war, kn-
nen Sie imLive-Protokoll von Sophos Mobile Control nachsehen, umdas Pro-
blemzu finden.
UTM9 WebAdmin 107
4 Verwaltung 4.11 Sophos Mobile Control
4.11 Sophos Mobile Control 4 Verwaltung
4. Optional knnen Sie die folgenden erweiterten Einstellungen vornehmen:
Debug-Modus aktivieren: Diese Funktion kontrolliert, wie viel Output imSophos Mobi-
le Control-Protokoll generiert wird. Whlen Sie diese Funktion aus, wenn Sie zumBei-
spiel Verbindungsprobleme erkennen und nhere Informationen ber die Client-Para-
meter bentigen.
Li ve-Protokoll ffnen
ImSophos Mobile Control-Live-Protokoll werden die Aktivitten auf der Sophos Mobile Con-
trol-Schnittstelle protokolliert. Klicken Sie auf Live-Protokoll ffnen, umdas Sophos Mobile Con-
trol-Protokoll in einemneuen Fenster zu ffnen.
4.11.2 bereinstimmungsbersicht
Auf der Registerkarte Verwaltung >Sophos Mobile Control >bereinstimmungsbersicht sind
alle mobilen Gerte aufgelistet, die mit der Sophos UTMverbunden sind. Folgende Infor-
mationen stehen zur Verfgung:
l Gerte, die nicht den Bestimmungen entsprechen: Zeigt die MAC-Adresse der
Gerte, die nicht den Bestimmungen entsprechen und fr die WLAN-Netzwerk-Blacklist
verwendet werden.
l Gerte, die den Bestimmungen entsprechen: Zeigt die MAC-Adresse der Gerte,
die den Bestimmungen entsprechen und fr die WLAN-Netzwerk-Whitelist verwendet
werden.
l Benutzer, die nicht den Bestimmungen entsprechen: Zeigt die Namen der Benut-
zer, die nicht den Bestimmungen entsprechen und die auf der VPN-Blacklist stehen.
4.11.3 Netzwerk-Zugriffskontrolle
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Allgemein knnen Sie die Netz-
werkzugriffskontrolle fr Ihre VPN-Verbindungen und WLAN-Netzwerke einstellen. Gerte,
die nicht den Bestimmungen entsprechen werden fr die angegebene VPN-Verbindung oder
fr WLAN-Netzwerke blockiert.
108 UTM9 WebAdmin
1. Entsprechende VPN oder WLAN-Netzwerke erzwingen.
Definieren Sie die VPNund WLAN-Netzwerke, die fr Benutzer blockiert werden sollen,
wenn ihre mobilen Gerte nicht den Firmenbestimmungen entsprechen.
l Fr L2TP via IPsec erzwingen: Wenn ausgewhlt, knnen nicht den Bestim-
mungen entsprechende Benutzer nicht mit L2TPvia IPsec auf Sophos Mobile Con-
trol zugreifen.
l Fr Cisco VPN erzwingen: Wenn ausgewhlt, knnen nicht den Bestim-
mungen entsprechende Benutzer nicht mit CiscoVPNauf Sophos Mobile Con-
trol zugreifen.
l Zugriff auch fr andere VPN-Protokolle verweigern: Wenn ausgewhlt, kn-
nen nicht den Bestimmungen entsprechende Benutzer nicht auf Sophos Mobile
Control zugreifen.
2. Fr WLAN-Netzwerke erzwingen.
Whlen Sie das/die WLAN-Netzwerke aus, mit denen nicht den Bestimmungen ent-
sprechende Gerte sich nicht mit Sophos Mobile Control verbinden drfen.
3. bereinstimmungsstatus abrufen.
Geben Sie das Intervall zumAbruf in Minuten (1-60) an. Innerhalb dieses Intervalls ruft
Sophos UTMden aktuellen bereinstimmungsstatus vomSMC-Server ab.
4.11.4 Konfigurationseinstellungen
Auf der Registerkarte Verwaltung >Sophos Mobile Control >Konfigurationseinstellungen kn-
nen Sie VPN- und WLAN-Netzwerk-Konfigurationen von der WebAdmin auf den SMC-Server
kopieren.
1. Konfigurationseinstellungen fr Sophos Mobile Control
Legen Sie fest, welche VPN- und WLAN-Netzwerk-Konfigurationen Sie auf den SMC-
Server kopieren mchten.
l L2TP ber IPsec-Konfiguration: Wenn ausgewhlt, wird die L2TPber IPsec-
Konfiguration auf den SMC-Server kopiert.
l Cisco VPN-Konfiguration: Wenn ausgewhlt, wird die CiscoVPN-Kon-
figuration auf den SMC-Server kopiert.
UTM9 WebAdmin 109
4 Verwaltung 4.11 Sophos Mobile Control
4.12 Hochverfgbarkeit 4 Verwaltung
2. WLAN-Netzwerke.
Whlen Sie die WLAN-Netzwerke, die Sie auf den SMC-Server kopieren mchten.
3. EAP-Methoden
Whlen Sie die EAP-Methode (engl. Extensible Authentication Protocol), die Sie fr die
WLAN-Netzwerk Enterprise-Authentifizierung verwenden mchten. EAPist eine Authen-
tifizierungsumgebung die den Transport und die Nutzung von Schlsselungsmaterial
und Parametern zur Verfgung stellt, die von EAP-Methoden generiert werden.
l PEAP: Protected Extensible Authentication Protocol
l LEAP: Lightweight Extensible Authentication Protocol
l FAST: Flexible Authentication via Secure Tunneling
l TLS: Transport Layer Security
l TTLS: Tunneled Transport Layer Security
Konfiguration pushe
Umdie aktuelle Konfiguration auf den SMC-Server zu kopieren, klicken Sie auf die Schaltflche
Konfiguration jetzt kopieren.
Hinweis Verwenden Sie diese Funktion nur in Ausnahmen, zumBeispiel wenn die Server
whrend der bertragung offline waren. Diese Schaltflche ist nicht zwingend fr das stan-
dardmige Kopieren der Konfiguration erforderlich.
4.12 Hochverfgbarkeit
In den allermeisten Fllen ist ein Hardware-Fehler fr den Ausfall eines Inter-
netsicherheitssystems verantwortlich. Die Fhigkeit eines Systems, bei Ausfall einer seiner
Komponenten uneingeschrnkten Betrieb zu gewhrleisten, wird auch Failover bzw. Hoch-
verfgbarkeit genannt (HA, High-Availability). Sophos UTMbietet Hochverfgbarkeit, indemes
ermglicht, ein redundantes Hot-Standby-Systemzu konfigurieren, das imFalle eines tech-
nischen Versagens des Primrsystems dessen Aufgaben bernimmt (aktiv-passiv). Alternativ
dazu knnen Sie Sophos UTMals Cluster konfigurieren, der speziellen Datenverkehr auf meh-
110 UTM9 WebAdmin
rere Maschinen verteilt (aktiv-aktiv), wie man es von konventionellen Lsungen zur Last-
verteilung kennt. Das fhrt zu optimaler Ressourcenauslastung und verringert Rechenzeit.
Die Konzepte Hochverfgbarkeit und Cluster hneln sich hinsichtlich ihrer Implementierung in
Sophos UTMsehr. So kann z.B. ein hochverfgbares Systemals ein Zwei-Knoten-Cluster
angesehen werden, was die Mindestanforderung an ein redundantes Systemdarstellt.
Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen annehmen:
l Master: Das Primrsystemin einemHot-Standby-/Cluster-Aufbau. Innerhalb eines
Clusters sorgt der Master fr die Synchronisierung und Verteilung der Daten.
l Slave: Das Sekundrsystemin einemHot-Standby-/Cluster-Aufbau, das den Betrieb
sicherstellt, falls das Primrsystemausfllt.
l Worker: Ein einfacher Cluster-Knoten, der nur fr die Datenverarbeitung zustndig ist.
Alle Knoten berwachen sich gegenseitig mit Hilfe eines sogenannten Heartbeat-Signals, ein in
periodischen Abstnden verschicktes Multicast-UDP-Datenpaket, umfestzustellen, ob die
anderen Knoten noch amLebensind (daher der Begriff Heartbeat, dt. Herzschlag). Falls auf-
grund eines technischen Fehlers einer der Knoten kein Heartbeat-Signal mehr aussenden
kann, wird er als tot betrachtet. Je nach der Rolle, die der ausgefallene Knoten innehatte,
ndert sich die Konfiguration des Aufbaus wie folgt:
l Falls der Master-Knoten ausfllt, bernimmt der Slave-Knoten seinen Platz und der Wor-
ker-Knoten mit der hchsten IDwird Slave.
l Falls der Slave-Knoten ausfllt, wird der Worker-Knoten mit der hchsten IDzumSlave.
l Falls ein Worker-Knoten ausfllt, bemerken Sie imHchstfall Leistungseinbuen auf-
grund der verringerten Rechenleistung. Die Ausfallsicherheit ist dadurch nicht beein-
trchtigt.
Berichte
Alle Berichtsdaten werden auf demMaster-Knoten konsolidiert und in Abstnden von fnf Minu-
ten auf die anderen Knoten bertragen. ImFall einer bernahme durch das Sekundrsystem
verlieren Sie daher hchstens fnf Minuten an Daten. Es gibt allerdings einen Unterschied hin-
sichtlich der Zusammenfassung der Daten. Die Diagramme auf den Registerkarten Protokolle
&Berichte >Hardware reprsentieren lediglich die Daten des Knotens, der gerade Master ist.
Netzwerkverkehrsdaten wiederum, wie sie beispielsweise auf der Seite Protokolle &Berichte >
Netzwerknutzung angezeigt werden, reprsentieren Daten von allen beteiligten Knoten. So
zeigt z. B. das Histogrammder heutigen CPU-Auslastung die aktuelle Prozessorauslastung
UTM9 WebAdmin 111
4 Verwaltung 4.12 Hochverfgbarkeit
des Master-Knotens. ImFall einer bernahme durch den Slave wren dies dann die Daten des
Slave. ImGegensatz dazu enthalten z. B. die Informationen ber die hufigsten Netz-
werkdienste die Daten aller Knoten, die bei der verteilten Verarbeitung des Datenverkehrs invol-
viert waren.
Hinweise
l Das Address Resolution Protocol (ARP) wird nur vomtatschlichen Master benutzt, d.h.
Slave- und Worker-Knoten senden und beantworten keine ARP-Anfragen.
l ImFall einer bernahme fhrt die Einheit, die die Aufgaben bernimmt, eine ARP-
Bekanntgabe (auch bekannt als gratuitous ARP) durch. Gewhnlich dient diese ARP-
Anfrage dazu, den ARP-Cache der Hosts, die diese Anfrage erhalten, zu aktualisieren.
Die ARP-Bekanntgabe wird dazu benutzt, bekannt zu geben, dass die IP-Adresse des
Masters auf den Slave bertragen wurde.
l Alle Schnittstellen, die auf demMaster konfiguriert sind, mssen eine physikalische Ver-
bindung haben, das heit, der Port muss korrekt mit einemNetzwerkgert verbunden
sein.
4.12.1 Hardware- und Software-Voraussetzungen
Die folgenden Hardware- und Software-Voraussetzungen mssen fr die HA- und Cluster-
Funktionalitt erfllt sein:
l Gltige Lizenz mit aktivierter HA-Option (fr das Standby-Gert bentigen Sie lediglich
eine zustzliche Basislizenz).
l Zwei UTM-Gerte mit identischer Software-Version und identischer Hardware oder
zwei UTM-Appliances des gleichen Modells.
l Heartbeat-fhige Ethernet-Netzwerkkarten. Auf der HCL (Hardware Compatibility List)
knnen Sie nachsehen, welche Netzwerkkarten untersttzt werden. Die HCL befindet
sich in der Sophos Knowledgebase (verwenden Sie HCLals Suchbegriff).
l Ethernet-Crosskabel (fr die Verbindung zwischen Master und Slave in einemHot-
Standby-System). UTM -Appliances der Modelle 320, 425 und 525, deren dedizierte
HA-Schnittstelle eine Gigabit-auto-MDX-Schnittstelle ist, knnen auch durch ein Stan-
dard-Ethernetkabel der IEEE-Norm802.3 miteinander verbunden werden.
l Netzwerk-Switch (umCluster-Knoten miteinander zu verbinden).
112 UTM9 WebAdmin
4.12.2 Status
Die Registerkarte Verwaltung >Hochverfgbarkeit >Status fhrt alle Gerte auf, die zu einem
Hot-Standby-Systembzw. Cluster gehren, und zeigt die folgenden Informationen an:
l ID: Die Knoten-IDdes Gerts. In einemHot-Standby-Systemist die IDentweder 1(Mas-
ter) oder 2(Slave).
Die IDin einemCluster reicht von 1 bis 10, da ein Cluster aus maximal zehn Knoten beste-
hen kann.
l Rolle: Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen anneh-
men:
l MASTER: Das Primrsystemin einemHot-Standby-/Cluster-Aufbau. Innerhalb
eines Clusters sorgt der Master fr die Synchronisierung und Verteilung der
Daten.
l SLAVE: Das Sekundrsystemin einemHot-Standby-/Cluster-Aufbau, das den
Betrieb sicherstellt, falls das Primrsystemausfllt.
l WORKER: Ein einfacher Cluster-Knoten, der nur fr die Datenverarbeitung
zustndig ist.
l Gertename: Der Name des Gerts.
l Status: HA-Status des Knotens. Die folgenden Werte sind mglich:
l AKTIV: Der Knoten ist voll funktionsfhig. ImFalle eines Hot-Standby-Setups
(aktiv-passiv) ist dies der Status des Aktiv-Knotens.
l READY:Der Knoten ist voll funktionsfhig. ImFalle eines Hot-Standby-Setups
(aktiv-passiv) ist dies der Status des Passiv-Knotens.
l UNLINKED: Eine oder mehrere Schnittstellen sind nicht verbunden.
l UP2DATE: Auf demKnoten wird gerade ein Up2Date ausgefhrt.
l UP2DATEFEHLGESCHLAGEN: Das Up2Date auf demKnoten ist fehl-
geschlagen.
l TOT: Der Knoten ist nicht erreichbar.
l SYNCING: Die Datensynchronisierung luft. Dieser Status wird angezeigt, wenn
ein bernahmevorgang stattfindet. Die anfngliche Synchronisierungszeit betrgt
mindestens fnf Minuten. Sie kann jedoch durch alle an der Synchronisierung
beteiligten Programme verlngert werden. Whrend ein SLAVEsynchronisiert
UTM9 WebAdmin 113
und sich imZustand SYNCINGbefindet, findet keine bernahme, z.B. wegen
eines Linkausfalls auf demMaster-Knoten, statt.
l Version: Versionsnummer der Sophos UTM-Software, die auf demSysteminstalliert
ist.
l Letzte Statusnderung: Zeitpunkt der letzten Statusnderung.
Neustart/Herunterfahren: Mit diesen Schaltflchen kann ein Gert manuell neu gestartet
oder heruntergefahren werden.
Knoten entfernen: Verwenden Sie diese Schaltflche, umeinen toten Cluster-Knoten ber
WebAdmin zu entfernen. Alle knotenspezifischen Daten wie E-Mail-Quarantne und Spool wer-
den dann vomMaster bernommen.
Klicken Sie auf die Schaltflche HA-Live-Protokoll ffnen in der rechten oberen Ecke, umdas
Hochverfgbarkeits-Live-Protokoll in einemseparaten Fenster zu ffnen.
4.12.3 Systemstatus
Die Registerkarte Verwaltung >Hochverfgbarkeit >Systemstatus fhrt alle Gerte auf, die zu
einemHot-Standby-Systembzw. Cluster gehren, und zeigt Informationen ber die Res-
sourcennutzung jedes einzelnen Gertes an:
l Die CPU-Auslastung in Prozent
l Die RAM-Auslastung in Prozent
l Der von der Swap-Partition genutzte Festplattenplatz in Prozent
l Der von der Protokollpartition (engl. log partition) belegte Festplattenplatz in Prozent
l Der von der Root-Partition belegte Festplattenplatz in Prozent
l Der Status des USV-Gertes (unterbrechungsfreie Stromversorgung) (falls vor-
handen)
4.12.4 Konfiguration
Die HA-Funktionalitt von Sophos UTMumfasst vier Grundeinstellungen:
l Aus
l Automatische Konfiguration
114 UTM9 WebAdmin
l Hot-Standby (aktiv-passiv)
l Cluster (aktiv-aktiv)
Automatische Konfiguration:Sophos UTMverfgt ber eine Plug-and-Play-Kon-
figurationsoption speziell fr UTM-Appliances, die es ermglicht, ein Hot-Standby-Systembzw.
ein Cluster aufzubauen, ohne jedes Gert einzeln konfigurieren oder manuell installieren zu
mssen, das zumCluster hinzugefgt werden soll. Dazu verbindet man einfach die HA-Schnitt-
stellen (eth3) der UTM-Appliances miteinander und whlt auf allen Gerten jeweils die Option
Automatische Konfiguration.
Hinweis Damit die Automatische Konfiguration funktioniert, mssen alle UTM-Appliances
vomgleichen Modell sein. Sie knnen z. B. nur zwei UTM-320-ApUTMpliances zumAufbau
eines HA-Systems verwenUTMden; eine 220 kann hingegen nicht mit einer 320 kombiniert
werden.
Wenn Sie zwei UTM-Appliances ber die entsprechende Schnittstelle miteinander verbinden,
erkennen sich alle Gerte gegenseitig und konfigurieren sich selbststndig als HA-System. Das
Gert mit der lngeren Betriebszeit wird Master. Imunwahrscheinlichen Fall, dass die Betriebs-
zeit identisch ist, wird die Entscheidung, welches Gert Master werden soll, anhand der MAC-
Adresse getroffen.
Wenn Sie UTM-Software verwenden, wird die Option Automatische Konfiguration auf dedi-
zierten Slave-Systemen dazu benutzt, automatisch einemMaster- oder bereits konfigurierten
Hot-Standby-Systembzw. Cluster beizutreten. Aus diesemGrund ist Automatische Kon-
figuration eher als bergangsmodus denn als eigenstndiger HA-Betriebsmodus zu ver-
stehen. Denn der HA-Betriebsmodus ndert sich in Hot-Standby oder Cluster, sobald das
Gert mit der Einstellung Automatische Konfiguration einemHot-Standby-Systembzw. Cluster
beitritt. Voraussetzung dafr allerdings ist, dass die Option Automatische Konfiguration neuer
Gerte aktivieren auf demMaster aktiviert ist. Diese Funktion sorgt dafr, dass genau die Ger-
te automatisch einemHot-Standby-Systembzw. Cluster hinzugefgt werden, deren HA-
Betriebsmodus auf Automatische Konfiguration steht.
Hot-Standby (aktiv-passiv):Sophos UTMkann als Hot-Standby-System, bestehend aus
zwei Knoten, konfiguriert werden, was die Mindestvoraussetzung fr ein redundantes System
ist. Eine der grten technischen Verbesserungen der Sophos UTMSoftware 9 ist, dass die
Latenzzeit fr eine bernahme durch das Standby-Gert auf weniger als zwei Sekunden ver-
ringert werden konnte. Zustzlich zur Firewall-Synchronisierung bietet das Gateway auch eine
IPsec-Tunnel-Synchronisierung. Dies bedeutet, dass weder Road-Warrior- noch entfernte
UTM9 WebAdmin 115
VPN-Gateway-Verbindungen nach einer bernahme neu aufgebaut werden mssen. Objek-
te, die sich in Quarantne befinden, werden ebenfalls synchronisiert und sind so auch nach
einemAusfall des Primrsystems noch verfgbar.
Cluster (aktiv-aktiv): (nicht verfgbar mit BasicGuard-Abonnement) Umder steigenden
Nachfrage nach der Verarbeitung von groen Mengen an Internetverkehr in Echtzeit gerecht
zu werden, kann Sophos UTMals Cluster konfiguriert werden. Ein Cluster besteht aus meh-
reren Knoten, auf die rechenintensive Aufgaben wie z. B. Inhaltsfilterung, Virenscans, Angriffs-
schutz und Entschlsselung gleichmig verteilt werden knnen. So kann ohne ein spezielles
Loadbalancer-Gert die Gesamtleistung des Gateways deutlich erhht werden.
Hinweis Wenn Sie einen Cluster konfigurieren, stellen Sie sicher, dass Sie den
Master zuerst konfigurieren, bevor Sie die anderen Gerte mit demSwitch ver-
binden.
Die Einrichtung von Master, Slaves und Workers unterscheidet sich nur in wenigen Punkten.
Gehen Sie folgendermaen vor:
1. Whlen Sie einen HA-Betriebsmodus.
Standardmig ist die HA-Funktion deaktiviert. Die folgenden Modi sind mglich:
l Automatische Konfiguration
l Hot-Standby (aktiv-passiv)
l Cluster (aktiv-aktiv)
Hinweis Falls Sie den Betriebsmodus spter ndern mchten, mssen Sie vorher
den Modus auf Aus stellen. Erst danach knnen Sie einen der Betriebsmodi Auto-
matische Konfiguration, Hot-Standby oder Cluster whlen.
Hinweis Wenn die Lizenz/das Abonnement abgelaufen oder nicht vorhanden ist,
kann der Betriebsmodus nur auf Aus und demaktuellen Betriebsmodus gendert wer-
den.
Abhngig von Ihrer Auswahl werden eine oder mehrere Optionen angezeigt.
116 UTM9 WebAdmin
Sync NIC: Whlen Sie die Netzwerkkarte aus, ber die Master- und Slave-Systeme mit-
einander kommunizieren. Wenn Linkbndelung aktiviert ist, knnen Sie hier auch eine
Linkbndelungsschnittstelle sehen.
Hinweis Beachten Sie, dass nur jene Schnittstellen angezeigt werden, die noch nicht
konfiguriert wurden. Es ist mglich, die Synchronisierungsschnittstelle in einer lau-
fenden Konfiguration zu ndern. Beachten Sie, dass danach alle Knoten einen Neu-
start durchfhren werden.
Die folgenden Optionen knnen nur konfiguriert werden, wenn entweder Hot-Standby
oder Cluster als Betriebsmodus ausgewhlt wurde:
Gertename: Geben Sie einen aussagekrftigen Namen fr das Gert ein.
Device Node ID: Weisen Sie demGert eine Knoten-IDzu. ImFall eines Ausfalls des
Primrsystems wird der Knoten mit der hchsten IDMaster.
Encryption Key: Das Kennwort, mit demdie Kommunikation zwischen Master und Sla-
ve verschlsselt wird (zur Sicherheit mssen Sie das Kennwort zweimal eingeben). Der
Schlssel darf maximal 16 Zeichen lang sein.
Die Konfiguration der HA-Ausfallsicherheit auf demGert ist damit abgeschlossen.
Das Gateway imHot-Standby-Modus wird in regelmigen Abstnden ber die Sync-NIC
(Synchronisierungsschnittstelle) aktualisiert. Sollte das Primrsystemausfallen, wird das Sekun-
drsystemunmittelbar in den normalen Modus wechseln und die Aufgaben des Primrsystems
bernehmen.
Hinweis Wenn Sie ein Hot-Standby-Systembzw. einen Cluster deaktivieren, fhren die Sla-
ve- und Worker-Knoten eine Werkszurcksetzung durch und fahren herunter.
Weitere Informationen zu diesemThema (insbesondere Anwendungsflle) finden Sie im
HA/Cluster Guide in der Sophos-Knowledgebase.
Erwei tert
In diesemAbschnitt knnen Sie einige erweiterte Einstellungen vornehmen.
Automatische Konfiguration neuer Gerte aktivieren: Wenn Sie ein Hot-Standby-Sys-
tembzw. einen Cluster manuell konfiguriert haben, sorgt diese Option dafr, dass genau die
UTM9 WebAdmin 117
Gerte automatisch zu einemHot-Standby-Systembzw. Cluster hinzugefgt werden, deren
HA-Betriebsmodus auf Automatische Konfiguration steht. Da diese Option jedoch keinen Effekt
auf Slave-Systeme hat, knnen Sie die Option aktiviert lassen, was der Standardeinstellung ent-
spricht.
Knoten whrend eines Up2Date zurckhalten: Aktivieren Sie diese Option, damit wh-
rend eines Updates auf eine neue Systemversion die Hlfte der HA/Cluster-Knoten die aktuelle
Systemversion beibehlt. Sobald die neue Version stabil ist, knnen Sie die verbleibenden Kno-
ten auf der Seite Verwaltung >Hochverfgbarkeit >Status aktualisieren. Falls die neue Version
einen Ausfall der aktualisierten Knoten zur Folge hat, bilden die verbleibenden Knoten einen
neuen HA/Cluster mit der alten Version. Anschlieend knnen Sie auf den nicht mehr funk-
tionierenden Knoten wieder die alte Version installieren oder auf das nchste Update warten.
Wenn Knoten whrend Up2Date zurckhalten aktiv ist, werden reservierte Knoten nach einem
Update nicht mehr synchronisiert, da die Synchronisation nur funktioniert, wenn Knoten die glei-
che Systemversion besitzen. Stattdessen wird der Status der reservierten Knoten erhalten.
Wenn Sie daher aus irgendeinemGrund die reservierten Knoten reaktivieren, sind alle Kon-
figurationsnderungen und Berichtsdaten aus der Zeit zwischen Updatebeginn und Reak-
tivierung verloren.
Bevorzugter Master: Hier knnen Sie einen designierten Master-Knoten bestimmen, indem
Sie einen Knoten von der Auswahlliste whlen. ImFall einer bernahme wird der gewhlte
Knoten nicht imSlave-Modus bleiben, nachdemdie Verbindung wiederhergestellt ist, sondern
in den Master-Modus zurckkehren.
Backup-Schnittstelle: Umzu verhindern, dass sowohl Master als auch Slave gleichzeitig
Master werden (Master-Master-Situationen), beispielsweise durch ein Versagen der HA-Syn-
chronisierungsschnittstelle oder das Abziehen eines Netzwerkkabels, kann eine Heartbeat-fhi-
ge Backup-Schnittstelle ausgewhlt werden. Diese zustzliche Heartbeat-fhige Schnittstelle
kann eine beliebige konfigurierte und aktive Ethernet-Schnittstelle sein. Wenn eine Backup-
Schnittstelle gewhlt wurde, wird ein zustzliches Heartbeat-Signal ber diese Schnittstelle in
eine Richtung vomMaster zumSlave gesendet, umsicherzustellen, dass die Master-Slave-
Konfiguration intakt bleibt. Wenn die Master-Slave-Verbindung deaktiviert ist und die Backup-
Schnittstelle aktiv wird, erhlt der Administrator eine Benachrichtigung, die ihn darber infor-
miert, dass einer der Cluster-Knoten tot ist. Da diese Option jedoch keinen Effekt auf Slave-Sys-
teme hat, knnen Sie sie unkonfiguriert lassen.
118 UTM9 WebAdmin
Hinweis Wenn die HA-Synchronisierungsschnittstelle ausfllt, wird keine Kon-
figuration mehr synchronisiert. Die Backup-Schnittstelle verhindert lediglich Master-Mas-
ter-Situationen.
4.13 Ausschalten/Neustart
Auf dieser Registerkarte knnen Sie die Sophos UTMmanuell herunterfahren oder neu star-
ten.
Herunterfahren: Mit dieser Aktion knnen Sie das Systemherunterfahren und alle Dienste
ordnungsgem stoppen. Falls Sie keinen Monitor oder LCD-Display angeschlossen haben,
wird das erfolgreiche Herunterfahren durch eine endlose Reihe von Pieptnen imAbstand von
einer Sekunde signalisiert.
Umdie Sophos UTMherunterzufahren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Systemjetzt herunterfahren.
2. Besttigen Sie den Warnhinweis.
Besttigen Sie die Sicherheitsabfrage Systemwirklich herunterfahren?mit OK.
Das Systemfhrt anschlieend herunter.
Abhngig von der verwendeten Hardware und Konfiguration kann dieser Prozess mehrere
Minuten dauern. Sie sollten das Gert erst dann ausschalten, nachdemes vollstndig her-
untergefahren ist. Wenn Sie das Gert vorher ausschalten, wird das Systembeimnchsten
Start den Zustand des Dateisystems berprfen, was den Startvorgang erheblich verzgert.
Imschlimmsten Fall knnen Daten verloren gehen.
Einen erfolgreichen Systemstart signalisiert das Gert mit fnf aufeinanderfolgenden Piep-
tnen.
Neustart: Mit dieser Aktion knnen Sie das Systemneu starten. Abhngig von der ver-
wendeten Hardware und Konfiguration kann dieser Prozess mehrere Minuten dauern.
Umdie Sophos UTMneu zu starten, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Systemjetzt neu starten.
2. Besttigen Sie den Warnhinweis.
Besttigen Sie die Sicherheitsabfrage Systemwirklich neu starten?mit OK.
UTM9 WebAdmin 119
4 Verwaltung 4.13 Ausschalten/Neustart
4.13 Ausschalten/Neustart 4 Verwaltung
Das Systemfhrt herunter und startet anschlieend neu.
120 UTM9 WebAdmin
5 Definitionen & Benutzer
In diesemKapitel wird die Konfiguration von Netzwerk-, Dienst- und Zeitraumdefinitionen
beschrieben, die von Sophos UTMverwendet werden. Die Definitionenbersicht imWebAd-
min zeigt die Anzahl aller Netzwerkdefinitionen in Abhngigkeit von ihremTyp und die Anzahl
aller Dienstdefinitionen in Abhngigkeit von ihremProtokolltyp.
Die Seiten des Mens Definitionen &Benutzer ermglichen die zentrale Definition von Netz-
werken und Diensten, die dann berall in den Konfigurationsmens verwendet werden kn-
nen. Dies erlaubt es Ihnen, berall mit einheitlichen Namen zu arbeiten, anstatt mit unein-
gngigen IP-Adressen, Portnummern und Netzmasken. Ein weiterer Vorteil von Definitionen
liegt darin, dass Sie individuelle Netzwerke und Dienste gruppieren und dadurch auf einmal kon-
figurieren knnen. Wenn Sie dann beispielsweise spter nderungen an den Einstellungen die-
ser Gruppe vornehmen, gelten diese fr alle darin enthaltenen Netzwerke und Dienste.
Zudembeschreibt dieses Kapitel die Konfiguration von Benutzerkonten, Benutzergruppen und
externen Authentifizierungsservern von Sophos UTMsowie die Authentifizierung fr Client-
PCs.
l Netzwerkdefinitionen
l Dienstdefinitionen
l Zeitraumdefinitionen
l Benutzer &Gruppen
l Client-Authentifizierung
l Authentifizierungsdienste
5.1 Netzwerkdefinitionen
Auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen werden die Hosts, Netzwerke
und Netzwerkgruppen sowie MAC-Adressdefinitionen festgelegt. Die hier angelegten Defi-
nitionen knnen in vielen anderen WebAdmin-Konfigurationen verwendet werden.
5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer
5.1.1 Netzwerkdefinitionen
Auf der Registerkarte Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen
werden die Hosts, Netzwerke und Netzwerkgruppen der UTMfestgelegt. Die hier angelegten
Definitionen knnen an vielen anderen Stellen der WebAdmin-Konfigurationsmens ver-
wendet werden.
Beimffnen der Registerkarte werden standardmig alle Netzwerkdefinitionen angezeigt.
Mit Hilfe der Auswahlliste oberhalb der Liste knnen Sie die angezeigte Auswahl auf Netz-
werkdefinitionen mit bestimmten Eigenschaften einschrnken.
Tipp Durch einen Klick auf das Infosymbol einer Netzwerkdefinition in der Liste Netz-
werkdefinitionen knnen Sie alle Konfigurationsoptionen sehen, in denen diese Netz-
werkdefinition verwendet wird.
Die Netzwerktabelle enthlt auch statische Netzwerke, die automatisch vomSystemangelegt
wurden und die weder bearbeitet noch gelscht werden knnen:
l Internal (Address): Eine Definition dieser Art wird fr jede Netzwerkkarte hinzugefgt.
Sie enthlt die aktuelle IP-Adresse der Schnittstelle. Ihr Name besteht aus demNamen
der Schnittstelle, gefolgt von demZusatz (Address).
l Internal (Broadcast): Eine Definition dieser Art wird fr jede Ethernet-artige Netz-
werkschnittstelle hinzugefgt. Sie enthlt die aktuelle IPv4-Broadcast-Adresse der
Schnittstelle. Ihr Name besteht aus demNamen der Schnittstelle, gefolgt von dem
Zusatz (Broadcast).
l Internal (Network): Eine Definition dieser Art wird fr jede Ethernet-artige Netz-
werkschnittstelle hinzugefgt. Sie enthlt das aktuelle IPv4-Netzwerk der Schnittstelle.
Ihr Name besteht aus demNamen der Schnittstelle, gefolgt von demZusatz (Network)
.
l Any (IPv4/IPv6): Eine Netzwerkdefinition (jeweils fr IPv4 und IPv6, falls IPv6 aktiviert
ist), die an diejenige Schnittstelle gebunden ist, die als Standardgateway fungiert. Die
Benutzung dieser Definition sollte Ihren Konfigurationsprozess erleichtern. Wenn die
Uplink-Ausgleich-Funktion aktiviert ist, ist die Definition Internet an die Uplink-Schnitt-
stellen gebunden.
122 UTM9 WebAdmin
Hinweis IPv6-Eintrge sind nur sichtbar, wenn Sie unter Schnittstellen &Routing >
IPv6 aktiviert wurden.
Hinweis Benutzernetzwerkobjekte, die ber die Client-Authentifizierung authentifiziert
sind, werden aus Leistungsgrnden immer als nicht aufgelst (unresolved) angezeigt.
Umeine Netzwerkdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Netzwerkdefinitionen auf Neue Netz-
werkdefinition.
Das Dialogfeld Neue Netzwerkdefinition erstellen wird geffnet.
(Abhngig von demgewhlten Definitionstyp werden weitere Parameter der Netz-
werkdefinition angezeigt.)
Typ: Whlen Sie den Typ der Netzwerkdefinition. Die folgenden Typen sind verfgbar:
l Host: Einzelne IP-Adresse. Geben Sie die folgenden Informationen an:
l IPv4 Address/IPv6 Address: Die IP-Adresse des Hosts (Sie knnen kei-
ne IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).
l DHCP-Einstellungen (optional):In diesemBereich knnen Sie statische
Zuordnungen zwischen Hosts und IP-Adresse festlegen. Zu diesemZweck
bentigen Sie einen konfigurierten DHCP-Server (siehe Netzwerkdienste >
DHCP>Server).
Hinweis UmIP-Adresskonflikten zwischen regulr zugeordneten
Adressen aus demDHCP-Pool und statisch zugeordneten Adressen vor-
zubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht
aus demDHCP-Pool stammt. ZumBeispiel knnte die statische Zuord-
nung von 192.168.0.200darin resultieren, dass zwei Systeme dieselbe
IP-Adresse erhalten, wenn der DHCP-Pool 192.168.0.100
192.168.0.210umfasst.
IPv4 DHCP: Whlen Sie den IPv4-DHCP-Server, der fr die statische
Zuordnung verwendet werden soll.
UTM9 WebAdmin 123
5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen
MAC Addresses: Geben Sie die MAC-Adresse der Host-Netzwerkkarten
ein. MAC-Adressen werden gewhnlich in sechs Gruppen von je zwei
durch Doppelpunkt getrennte Hexadezimalziffern angegeben (z.B.
00:04:76:16:EA:62).
IPv6 DHCP: Whlen Sie den IPv6-DHCP-Server, der fr die statische
Zuordnung verwendet werden soll.
DHCP Unique IDs: Geben Sie die DUIDs der Hosts ein. Bei Windows-
Betriebssystemen finden Sie die DUIDbeispielsweise imWindows Registry:
HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Paramete
rs
Bitte beachten Sie, dass Sie zwei Hexadezimalziffern jeweils durch einen
Doppelpunkt trennen mssen, z.B.
00:01:00:01:13:30:65:56:00:50:56:b2:07:51).
l DNS-Einstellungen (optional):Wenn Sie keinen eigenen DNS-Server ein-
richten wollen, aber statische DNS-Zuordnungen fr einige Hosts Ihres
Netzwerks bentigen, knnen Sie diese Zuordnungen in diesemAbschnitt
der entsprechenden Hosts angeben. Beachten Sie, dass diese Lsung sich
nur fr eine begrenzte Anzahl von Hosts eignet und in keiner Weise als
Ersatz fr einen richtigen DNS-Server dienen kann.
Hostname: Geben Sie den vollstndigen Domnennamen (FQDN, fully
qualified domain name) des Hosts ein.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung
der IP-Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie,
dass eine IP-Adresse immer nur auf einen Namen verweisen kann, wohin-
gegen mehrere Namen auf die gleiche IP-Adresse verweisen knnen.
Additional Hostnames: Klicken Sie auf das Plussymbol umzustzliche
Hostnamen fr den Host hinzuzufgen.
l DNS Host: Ein DNS-Hostname, der dynamisch vomSystemaufgelst wird, um
eine IP-Adresse zu erhalten. DNS-Hosts sind ntzlich, wenn es darumgeht, mit
dynamischen IP-Endpoints zu arbeiten. Das Systemlst diese Definitionen peri-
odisch immer wieder neu auf, wobei es sich an den TTL-Werten (Time To Live) ori-
entiert, und aktualisiert die Definitionen bei Bedarf mit den neuen IP-Adressen.
Geben Sie die folgenden Informationen an:
124 UTM9 WebAdmin
l Hostname: Der Name des Hosts, der aufgelst werden soll.
l DNS Group: Eine DNS-Gruppe hnelt einemDNS-Host, aber sie kann mehrere
RRs (Resource Records, dt. Ressourcen-Eintrge) fr einen einzelnen Host im
DNSverarbeiten. Eine DNS-Gruppe ist ntzlich zur Definition von Firewallregeln
und Ausnahmen in transparenten Proxies.
l Netzwerk: Ein Standard-IP-Netzwerk, das aus einer Netzwerkadresse und einer
Netzmaske besteht. Geben Sie die folgenden Informationen an:
l IPv4 Address/IPv6 Address: Die Netzwerkadresse des Netzwerks (Sie
knnen keine IP-Adresse einer bereits konfigurierten Schnittstelle ein-
geben).
l Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Sub-
netzwerk spezifizieren und wie viele Bits Platz fr Hostadressen bieten.
l Bereich: Whlen Sie diese Option, umeinen ganzen Bereich von IPv4-Adressen
zu definieren. Geben Sie die folgenden Informationen an:
l IPv4 von:Die erste IPv4-Adresse des Bereichs.
l IPv4 bis: Die letzte IPv4-Adresse des Bereichs.
l IPv6 von:Die erste IPv6-Adresse des Bereichs.
l IPv6 bis: Die letzte IPv6-Adresse des Bereichs.
l Multicast Group: Ein Netzwerk, das einen festgelegten Multicast-Netz-
werkbereich umfasst.
l IPv4 Address: Die Netzwerkadresse des Multicast-Netzwerks, die im
Bereich 224.0.0.0bis 239.255.255.255liegen muss.
l Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das Sub-
netzwerk spezifizieren und wie viele Bits Platz fr Hostadressen bieten.
l Network Group: Eine Art Behlter, der eine Liste anderer Netzwerkdefinitionen
enthlt. Sie knnen ihn verwenden, umNetzwerke und Hosts zusam-
menzufassen, damit Ihre Konfiguration bersichtlicher wird. Sobald Sie die Netz-
werkgruppe ausgewhlt haben, erscheint das Feld Mitglieder, ber das Sie die
Gruppenmitglieder hinzufgen knnen.
l Verfgbarkeitsgruppe: Eine Gruppe aus Hosts und/oder DNS-Hosts, die nach
Prioritt angeordnet sind. Die Verfgbarkeit aller Hosts wird standardmig mit
ICMP-Pings, die imAbstand von 60 Sekunden erfolgen, berprft. Der (ver-
fgbare) Host mit der hchsten Prioritt wird fr die Konfiguration verwendet.
UTM9 WebAdmin 125
Sobald Sie die Verfgbarkeitsgruppe ausgewhlt haben, erscheint das Feld Mit-
glieder, ber das Sie die Gruppenmitglieder hinzufgen knnen.
zu.
Die angezeigten Optionen hngen vomoben ausgewhlten Typ ab.
Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstelle
gebunden werden, sodass Verbindungen zu dieser Definition nur ber diese Schnitt-
stelle zustande kommen.
berwachungstyp (nur beimTyp Verfgbarkeitsgruppe):Whlen Sie das Dienst-
protokoll fr die Verfgbarkeitsprfung. Whlen Sie fr die Dienstberwachung ent-
weder TCP(TCP-Verbindungsaufbau), UDP(UDP-Verbindungsaufbau), Ping (ICMP-
Ping), HTTPHost (HTTP-Anfragen) oder HTTPSHosts (HTTPS-Anfragen). Wenn Sie
UDPverwenden, wird zunchst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt
ein UDP-Paketmit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreich-
bar, gilt der Host als ausgefallen.
Port (nur beimberwachungstyp TCPoder UDP):Nummer des Ports, an den
die Anfrage gesendet wird.
URL (optional, nur bei den berwachungstypen HTTPHostoder HTTPS
Host):Angefragte URL. Sie knnen statt den Standard-Ports 80 und 443 auch
andere Ports verwenden, indemSie die Port-Information an die URL anhngen,
z.B. http://beispiel.domaene:8080/index.html. Wenn keine
URLangegeben ist, wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft
werden.
Zeitberschreitung: Geben Sie die maximale Zeitspanne, in der die Hosts eine
Antwort senden knnen, in Sekunden ein. Wenn ein Host whrend dieser Zeit
nicht antwortet, wird er als tot betrachtet.
Always Resolved: Diese Option ist vorausgewhlt, sodass fr den Fall, dass kein
Host erreichbar ist, die Gruppe zu jenemHost aufgelst wird, der zuletzt verfgbar
war. Andernfalls, wenn alle Hosts tot sind, wird die Gruppe auf nicht aufgelst
gesetzt.
126 UTM9 WebAdmin
Die neue Definition wird in der Liste Netzwerke angezeigt.
Umeine Definition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
5.1.2 MAC-Adressdefinitionen
Die Registerkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adressdefinitionen
ist die zentrale Stelle fr die Festlegung von MAC-Adressdefinitionen, d.h., MAC-Adresslisten.
Eine MAC-Adressdefinition kann wie eine Netzwerkdefinition verwendet werden. Auerdem
kann sie dazu verwendet werden, eine Regel, die auf Hosts/IP-Adressen basiert, auf nur die-
jenigen Gerte einzuschrnken, die eine der festgelegtenMAC-Adressen besitzen.
Tipp Durch einen Klick auf das Infosymbol einer MAC-Adressdefinition knnen Sie alle Kon-
figurationsoptionen sehen, in denen diese Definition verwendet wird.
UmeineMAC-Adressdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite MAC-Adressdefinitionen auf Neue MAC-Adressliste.
Das Dialogfeld Neue MAC-Adressliste erstellen ffnet sich.
MACAddresses: Klicken Sie auf das Plussymbol, umnacheinander einzelne MAC-
Adressen hinzuzufgen oder verwenden Sie das Action-Symbol umber Kopieren und
Einfgen MAC-Adressen zu importieren. MAC-Adressen werden gewhnlich in sechs
Gruppen von je zwei durch Doppelpunkt getrennte Hexadezimalziffern angegeben (z.B.
00:04:76:16:EA:62).
Hosts: Fgen Sie Hosts hinzu, derenMAC-Adressen Sie zurMAC-Adressdefinition hin-
zufgen mchten oder legenSie neue Hosts an. Die MAC-Adressen, die imBereich
DHCP-Einstellungen einer Host-Definition festgelegt sind, werden zur MAC-Adressliste
hinzugefgt. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer
>Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
UTM9 WebAdmin 127
5.2 Dienstdefinitionen 5 Definitionen & Benutzer
Hinweis Die Anzahl der Adressen pro Adressdefinition ist fr die folgenden Anwen-
dungsbereiche begrenzt: Fr die Einschrnkung des Zugriffs auf ein kabelloses Netz-
werk betrgt das Maximum200. Fr die Einschrnkung des Zugriffs auf einRED-
Gert betrgt das Maximumbei RED10 200 und bei RED50 400.
Hinweis Sie knnen entweder MAC-Adressen oder Hosts oder beides eingeben.
zu.
Die neue Definition wird in der Liste MAC-Adressdefinitionen angezeigt.
Umeine MAC-Adressdefinition zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen.
5.2 Dienstdefinitionen
Auf der Seite Definitionen &Benutzer >Dienstdefinitionen werden die Dienste und die Dienst-
gruppen zentral definiert und verwaltet. Dienste sind Definitionen bestimmter Arten von Netz-
werkverkehr und bestehen aus einemProtokoll, z.B. TCPoder UDP, und protokollbezogenen
Optionen wie Portnummern. Mittels der Dienste knnen Sie bestimmen, welche Arten von Netz-
werkverkehr von der UTMangenommen oder abgelehnt werden.
Tipp Durch einen Klick auf das Infosymbol einer Dienstdefinition in der Liste Dienst-
definitionen knnen Sie alle Konfigurationsoptionen sehen, in denen diese Dienstdefinition
verwendet wird.
Umeine Dienstdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Dienstdefinitionen auf Neue Dienstdefinition.
Das Dialogfeld Neue Dienstdefinition erstellen wird geffnet.
(Abhngig von demgewhlten Definitionstyp werden weitere Parameter der Netz-
werkdefinition angezeigt.)
128 UTM9 WebAdmin
Definitionstyp: Whlen Sie den Diensttyp aus. Die folgenden Typen sind verfgbar:
l TCP: TCP-Verbindungen (Transmission Control Protocol) verwenden Port-
nummern von 0bis 65535. Verlorene Pakete werden von TCPerkannt und
erneut angefragt. Bei einer TCP-Verbindung informiert der Empfnger den
Absender darber, wenn er ein Paket erfolgreich erhalten hat (ver-
bindungsbezogenes Protokoll). TCP-Sitzungen beginnen mit einem3-Wege-
Handshake, und Verbindungen werden amEnde der Sitzung geschlossen.
Geben Sie die folgenden Informationen an:
l Zielport: Geben Sie den Zielport ein, entweder als einzelne Portnummer
(z.B. 80) oder als Bereich (z.B. 1024:64000) mit einemDoppelpunkt als
Trennzeichen.
l Quellport: Geben Sie den Quellport ein, entweder als einzelne Port-
nummer (z.B. 80) oder als Bereich (z.B. 1024:64000) mit einemDop-
pelpunkt als Trennzeichen.
l UDP: Das UDP-Protokoll (User DatagramProtocol) verwendet Portnummern
zwischen 0und 65535und ist ein zustandsloses (engl. stateless) Protokoll. Da
UDPsich keine Zustnde merkt, ist es schneller als TCP, vor allemwenn es sich
umdas Versenden kleiner Datenmengen handelt. Diese Zustandslosigkeit bedeu-
tet aber auch, dass UDPnicht erkennen kann, wenn Pakete verloren gehen oder
verworfen (engl. drop) werden. Der Empfnger-Computer teilt demAbsender
nicht mit, wenn er ein Datenpaket erhlt. Wenn Sie UDPgewhlt haben, knnen
Sie die gleichen Konfigurationsoptionen bearbeiten wie bei TCP.
l TCP/UDP: Hierbei handelt es sich umeine Kombination von TCPund UDP, die
sich besonders fr Anwendungsprotokolle eignet, die beide Unterprotokolle ver-
wenden, z. B. DNS. Wenn Sie TCP/UDPgewhlt haben, knnen Sie die gleichen
Konfigurationsoptionen angeben wie bei TCPoder UDP.
l ICMP/ICMPv6: Das ICMP-Protokoll (Internet Control Message Protocol) wird
hauptschlich dazu verwendet, Fehlermeldungen zu versenden, die angeben,
dass z. B. ein angeforderter Dienst nicht verfgbar ist oder dass ein Host oder Rou-
ter nicht erreicht werden kann. NachdemSie ICMPoder ICMPv6 gewhlt haben,
geben Sie den ICMP-Typ/-Code an. Beachten Sie, dass IPv4-Firewallregeln nicht
fr ICMPv6-Verkehr gelten und IPv6-Firewallregeln nicht fr ICMP-Verkehr.
l IP: Das Internet-Protokoll (Internet Protocol, IP) ist ein Netzwerk- und Trans-
portprotokoll fr den Datenaustausch ber das Internet. NachdemSie IPgewhlt
UTM9 WebAdmin 129
5 Definitionen & Benutzer 5.2 Dienstdefinitionen
5.2 Dienstdefinitionen 5 Definitionen & Benutzer
haben, geben Sie die Nummer desjenigen Protokolls an, das in IPeingebettet wer-
den soll, z.B. 121(steht fr das SMP-Protokoll).
l ESP: Das ESP-Protokoll (Encapsulating Security Payload) ist Teil des IPSec-Tun-
nelprotokoll-Pakets, welches Verschlsselungsdienste fr Daten bietet, die ber
VPN-Tunnel gesendet werden. Nach der Auswahl von ESPoder AHgeben Sie
den Sicherheitsparameterindex (SPI) an, der in Verbindung mit der IP-Adresse
die Sicherheitsparameter identifiziert. Sie knnen entweder einen Wert zwischen
256 und 4.294.967.296 angeben, oder die Voreinstellung des Bereichs 256 bis
4.294.967.296 (Doppelpunkt als Trennzeichen) beibehalten, insbesondere wenn
Sie automatischen Schlsselaustausch fr IPsec verwenden. Beachten Sie, dass
die Zahlen 1255 von der IANA(Internet Assigned Numbers Authority) reserviert
sind.
l AH: Die Authentifizierungskopfzeile (Authentication Header, AH) ist Teil der
IPsec-Tunnelprotokoll-Lsung und befindet sich zwischen der IP-Kopfzeile (hea-
der) und den Datagramm-Nutzdaten (payload), umdie Integritt der Daten zu ver-
walten jedoch nicht deren Geheimhaltung.
l Group (Gruppe): Hierbei handelt es sich umeine Art Behlter, der eine Liste
anderer Dienstdefinitionen enthlt. Sie knnen ihn verwenden, umDienst-
definitionen zusammenzufassen, damit Ihre Konfiguration bersichtlicher wird.
NachdemSie Gruppe gewhlt haben, erscheint das Feld Mitglieder, in das Sie
Gruppenmitglieder, d.h. andere Dienstdefinitionen, hinzufgen knnen.
zu.
Die neue Definition wird in der Liste Dienstdefinitionen angezeigt.
Umeine Definition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Hinweis Der Typ der Definition kann imNachhinein nicht mehr gendert werden. Wenn
Sie den Typ einer Definition ndern wollen, mssen Sie die Dienstdefinition lschen und eine
neue mit den gewnschten Einstellungen anlegen.
130 UTM9 WebAdmin
5.3 Zeitraumdefinitionen
Auf der Seite Definitionen &Benutzer >Zeitraumdefinitionen werden einzelne oder wie-
derkehrende Zeitfenster definiert, die dazu verwendet werden knnen, beispielsweise Fire-
wallregeln oder Inhaltsfilterprofile auf bestimmte Zeitrume zu beschrnken.
Tipp Durch einen Klick auf das Infosymbol einer Zeitraumdefinition in der Liste Zeit-
raumdefinitionen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Zeit-
raumdefinition verwendet wird.
Umeine Zeitraumdefinition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Zeitraumdefinitionen auf Neue Zeit-
raumdefinition.
Das Dialogfeld Neue Zeitraumdefinition erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Zeitraumdefinition ein.
Typ: Whlen Sie den Typ des Zeitraums aus. Die folgenden Typen sind verfgbar:
l Wiederkehrendes Ereignis: Diese Ereignisse kehren periodisch wieder. Sie
knnen Startzeit, Endzeit und die Wochentage angeben, fr die diese Zeit-
raumdefinition gelten soll. Falls der Zeitraumbis in den nchsten Tag reicht,
bezieht sich der ausgewhlte Wochentag auf den Startzeitpunkt. Ein Start- oder
Enddatumkann fr diesen Typ nicht ausgewhlt werden.
l Einzelereignis: Diese Ereignisse finden nur einmal statt. Sie knnen sowohl Start-
datumund -zeit als auch Enddatumund -zeit auswhlen. Da diese Definitionen kei-
ne wiederkehrenden Ereignisse sind, knnen Sie die Option Wochentage fr
diesen Typ nicht auswhlen.
zu.
Die neue Zeitraumdefinition wird in der Liste Zeitraumdefinitionen angezeigt.
Umeine Zeitraumdefinition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
UTM9 WebAdmin 131
5 Definitionen & Benutzer 5.3 Zeitraumdefinitionen
5.4 Benutzer &Gruppen 5 Definitionen & Benutzer
5.4 Benutzer &Gruppen
ber das Men Definitionen &Benutzer >Benutzer &Gruppen knnen Sie Benutzer und Grup-
pen fr den Zugriff auf den WebAdmin sowie den Fernzugriff, den Zugriff auf das Benut-
zerportal und die E-Mail-Nutzung erstellen.
5.4.1 Benutzer
Auf der Registerkarte Definitionen &Benutzer >Benutzer &Gruppen >Benutzer knnen Sie
Benutzerkonten zur UTMhinzufgen. In der Werkseinstellung besitzt Sophos UTMeinen vor-
konfigurierten Administrator namens admin.
Tipp Durch einen Klick auf das Infosymbol einer Benutzerdefinition in der Liste Benutzer
werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Benutzerdefinition ver-
wendet wird.
Wenn Sie eine E-Mail-Adresse imDialogfeld Neuer Benutzer angeben, wird parallel zumAnle-
gen der Benutzerdefinition ein X.509-Zertifikat generiert. Dabei dient die E-Mail-Adresse als
VPN-ID. Andernfalls, wenn keine E-Mail-Adresse angegeben ist, wird ein Zertifikat generiert,
das den Distinguished Name (DN) des Benutzers als VPN-IDverwendet. Wenn sich ein Benut-
zer ber eine Backend-Gruppe wie z.B. eDirectory authentifiziert, wird dadurch ein Zertifikat
angelegt, selbst wenn keine E-Mail-Adresse in der entsprechenden Backend-Benut-
zerdefinition angegeben ist.
Da die VPN-IDjedes Zertifikats einzigartig sein muss, muss jede Benutzerdefinition eine unter-
schiedliche und einzigartige E-Mail-Adresse besitzen. Das Anlegen einer Benutzerdefinition mit
einer bereits vorhandenen E-Mail-Adresse ist nicht mglich. Diese Zertifikate knnen fr ver-
schiedene Fernzugriff-Methoden verwendet werden, die von Sophos UTMuntersttzt wer-
den, mit Ausnahme von PPTP, L2TPber IPsec unter Verwendung von PSKund nativem
IPsec unter Verwendung von RSAoder PSK.
Umein Benutzerkonto hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Benutzer auf Neuer Benutzer.
Das Dialogfeld Neuen Benutzer erstellen wird geffnet.
132 UTM9 WebAdmin
Benutzername: Tragen Sie einen aussagekrftigen Namen fr diesen Benutzer ein (z.
B. Max Mustermann). Beachten Sie, dass ein Benutzername nur druckbare ASCII-Zei-
chen enthalten darf, wenn er fr Fernzugriff ber PPTPoder L2TPber IPsec genutzt
werden soll
1
.
Realname: Tragen Sie den Realnamen des Benutzers ein (z. B. Max Mustermann).
E-Mail-Adresse: Tragen Sie die primre E-Mail-Adresse des Benutzers ein.
Zustzliche E-Mail-Adressen (optional): Geben Sie zustzliche E-Mail-Adressen die-
ses Benutzers ein. Alle als Spameingestuften E-Mails an diese Adressen werden in
einemindividuellen Quarantnebericht gesondert aufgefhrt. Dieser Quarantnebericht
wird an die primre E-Mail-Adresse geschickt.
Authentifizierung: Whlen Sie die Authentifizierungsmethode. Die folgenden Metho-
den sind verfgbar:
l Lokal: Whlen Sie diese Methode, umden Benutzer lokal an der zu authen-
tifizieren.UTM
l Entfernt: Der Benutzer authentifiziert sich ber eine externe Authen-
tifizierungsmethode, die von untersttzt wird.Sophos UTMWeitere Informationen
finden Sie unter Definitionen &Benutzer >Authentifizierungsdienste.
l Keine: Whlen Sie diese Methode, umzu verhindern, dass der Benutzer sich
authentifizieren kann. Dies ist beispielsweise ntzlich, umeinen Benutzer vor-
bergehend zu deaktivieren, ohne die Benutzerdefinition vollstndig lschen zu
mssen.
Kennwort: Tragen Sie das Kennwort fr den Benutzer ein (ein zweites Mal zur Best-
tigung). Diese Option ist nur verfgbar, wenn Sie als Authentifizierungsmethode Lokal
gewhlt haben. Beachten Sie, dass die einfache Benutzerauthentifizierung keine Umlau-
te untersttzt. Beachten Sie, dass ein Kennwort nur druckbare ASCII-Zeichen enthalten
darf, wenn es fr Fernzugriff ber PPTPoder L2TPber IPsec genutzt werden soll
2
.
Backend-Sync: Einige Grundeinstellungen, wie der echte Name und die E-Mail-Adres-
se des Benutzers werden automatisch durch Synchronisation mit demexternen
Backend-Authentifizierungsserver aktualisiert (diese Option ist nur verfgbar, wenn Sie
1
http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
2
UTM9 WebAdmin 133
5 Definitionen & Benutzer 5.4 Benutzer &Gruppen
als Authentifizierungsmethode Entfernt gewhlt haben). Beachten Sie, dass diese Opti-
on automatisch entsprechend der Option Aktiviere Backend-Synchronisierung bei Anmel-
dung auf der Registerkarte Authentifizierungsdienste >Erweitert gesetzt wird, falls der
Benutzer fr das Vorabholen ausgewhlt ist.
Hinweis Momentan knnen Daten nur mit Active-Directory- und eDirectory-Servern
synchronisiert werden.
X.509-Zertifikat: Sobald die Benutzerdefinition angelegt wurde, knnen Sie diesem
Benutzer ein X.509-Zertifikat zuweisen, wenn Sie die Benutzerdefinition bearbeiten.
Standardmig handelt es sich dabei umjenes Zertifikat, das beimAnlegen der Benut-
zerdefinition erzeugt wurde. Sie knnen jedoch auch ein Zertifikat eines Drittanbieters
zuweisen, das Sie auf der Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate
hochladen knnen.
Statische Fernzugriffs-IP verwenden (optional): Whlen Sie diese Option aus, wenn
Sie einemBenutzer, der Fernzugriff verwendet, eine statische IP-Adresse anstelle einer
dynamischen IP-Adresse aus einemIP-Adressenpool zuweisen mchten. Fr IPsec-
Benutzer hinter einemNAT-Router ist es beispielsweise zwingend erforderlich, eine sta-
tische IP-Adresse zu verwenden.
Hinweis Die statische IP-Adresszuweisung kann nur fr den Fernzugriff via PPTP,
L2TPund IPsec genutzt werden. Sie kann jedoch nicht fr den Fernzugriff via SSL
genutzt werden.
zu.
Benutzer knnen ihre eigene Whitelist und Blacklist mit E-Mail-Adressen erstellen und
verwalten (siehe Kapitel Benutzerportal). Sie knnen diese Listen hier anzeigen und bei
Bedarf ndern.
Das neue Benutzerkonto wird anschlieend in der Liste Benutzer angezeigt.
Wenn Sie diesemBenutzer regulre Administrationsrechte mit Zugriff auf die webbasierte
Administrationsschnittstelle WebAdmin geben wollen, fgen Sie den Benutzer zur Gruppe
134 UTM9 WebAdmin
SuperAdmins hinzu, die auf der Registerkarte Definitionen &Benutzer >Benutzer &Gruppen >
Gruppen konfiguriert wird.
Hinweis Wenn Sie ein Benutzerobjekt gelscht haben und ein Benutzerkonto mit dem-
selben Namen anlegen wollen, stellen Sie sicher, dass Sie auch das zugehrige Zertifikat auf
der Registerkarte Fernzugriff >Zertifikatverwaltung >Zertifikate gelscht haben.Andernfalls
erhalten Sie eine Fehlermeldung, dass ein Benutzerkonto mit diesemNamen bereits existiert.
Sie knnen Zertifikate fr den Fernzugriff und/oder Konfigurationen von Benutzern her-
unterladen, fr die eine Art des Fernzugriffs aktiviert wurde. Aktivieren Sie dazu das Aus-
wahlkstchen vor den jeweiligen Benutzern und whlen Sie die gewnschte Option imTabel-
lenkopf aus der Auswahlliste Aktionen aus. Benutzer mit Fernzugriff knnen diese Dateien
auch selbst herunterladen, sofern Sie Zugriff auf das Benutzerportal haben.
5.4.2 Gruppen
Auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Gruppen knnen Sie Benut-
zergruppen zur UTMhinzufgen. In der Werkseinstellung ist in der Sophos UTMeine Benut-
zergruppe SuperAdmins vorhanden. Wenn Sie einemBenutzer administrative Rechte geben
wollen, d. h. Zugriffsrechte auf den WebAdmin, fgen Sie ihn der Gruppe SuperAdmins hinzu;
diese Gruppe sollte nicht gelscht werden.
Tipp Durch einen Klick auf eine Gruppendefinition in der Liste Gruppen werden Ihnen alle
Konfigurationsoptionen angezeigt, in denen diese Gruppendefinition verwendet wird.
Umeine Benutzergruppe hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Gruppen auf Neue Gruppe.
Das Dialogfeld Neue Gruppe erstellen wird geffnet.
Gruppenname: Geben Sie einen aussagekrftigen Namen fr diese Gruppe ein. Der
Gruppenname muss nicht mit demGruppennamen Ihrer Backend-Gruppen ber-
einstimmen.
Gruppentyp: Whlen Sie den Gruppentyp aus. Sie knnen zwischen einer Gruppe mit
statischen Mitgliedern und zwei Gruppen mit dynamischer Mitgliedschaft whlen.
UTM9 WebAdmin 135
5 Definitionen & Benutzer 5.4 Benutzer &Gruppen
l Statische Mitglieder: Whlen Sie die lokalen Benutzer aus, die Mitglied in dieser
Gruppe werden sollen.
l IPsec-X.509-DN-Maske: Benutzer werden dynamisch zu einer IPsec-X509-DN-
Gruppendefinition hinzugefgt, sobald sie sich erfolgreich ber eine IPsec-Ver-
bindung amGateway angemeldet haben und spezifische Parameter ihres Dis-
tinguished Name mit demWert imFeld DN-Maske bereinstimmen.
l Backend-Mitgliedschaft: Benutzer werden dynamisch zur einer Grup-
pendefinition hinzugefgt, wenn sie sich erfolgreich an einemder untersttzten
Authentifizierungsdienste angemeldet haben. Umfortzufahren, whlen Sie die
entsprechende Backend-Authentifizierungsmethode aus:
l Active Directory: Eine Active-Directory-Benutzergruppe der UTMstellt
die Gruppenmitgliedschaft fr Mitglieder von Active-Directory-Server-
Benutzergruppen bereit, die in einemWindows-Netzwerk konfiguriert sind.
Weitere Informationen finden Sie unter Definitionen &Benutzer >Authen-
tifizierungsdienste >Server.
l eDirectory: Eine eDirectory-Benutzergruppe der UTMstellt die Grup-
penmitgliedschaft fr Mitglieder von eDirectory-Benutzergruppen bereit,
die in einemeDirectory-Netzwerk konfiguriert sind. Weitere Informationen
finden Sie unter Definitionen &Benutzer >Authentifizierungsdienste >Ser-
ver.
l RADIUS: Benutzer werden automatisch zu einer RADIUS-Backend-Grup-
pe hinzugefgt, wenn sie sich erfolgreich ber die RADIUS-Authen-
tifizierungsmethode authentifiziert haben.
l TACACS+: Benutzer werden automatisch zu einer TACACS+-Backend-
Gruppe hinzugefgt, wenn sie sich erfolgreich ber die TACACS+-Authen-
l LDAP: Benutzer werden automatisch zu einer LDAP-Backend-Gruppe hin-
zugefgt, wenn sie sich erfolgreich ber die LDAP-Authen-
Auf Backend-Gruppenmitglieder beschrnken (optional; nur mit den
Backend-Gruppen Active Directory oder eDirectory): In Netzwerken mit einem
X.500-Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen auf
IhremBackend-Server beschrnkt werden, wenn Sie nicht alle Benutzer des
gewhlten Backend-Servers in diese Gruppendefinition aufnehmen wollen. Wenn
Sie diese Option whlen, mssen die hier angegebenen Gruppen mit einem
136 UTM9 WebAdmin
Allgemeinen Namen (Common Name) bereinstimmen, der auf IhremBackend-
Server konfiguriert ist. Beachten Sie, dass Sie das CN=-Prfix weglassen knnen,
wenn Sie diese Option fr Active Directory aktivieren. Wenn Sie diese Option fr
ein eDirectory-Backend aktivieren, knnen Sie den eDirectory-Browser ver-
wenden, umbequemdie eDirectory-Gruppen auszuwhlen, die in diese Grup-
pendefinition aufgenommen werden sollen. Falls Sie den eDirectory-Browser
nicht verwenden, stellen Sie jedoch sicher, dass das CN=-Prfix vorhanden ist,
wenn Sie eDirectory-Container eingeben.
Ein LDAP-Attribut berprfen (optional; nur mit Backend-Gruppe LDAP): In
Netzwerken mit einemLDAP-Verzeichnisdienst kann die Mitgliedschaft auf
bestimmte Gruppen in der Datenbank begrenzt werden, die ein bestimmtes
LDAP-Attribut Ihres Backend-Servers aufweisen, wenn Sie nicht alle Benutzer
eines gewhlten LDAP-Backend-Servers in diese Gruppendefinition aufnehmen
wollen. Dieses Attribut wird dann als LDAP-Filterkriteriumverwendet. Beispiel: Sie
knnten groupMembershipals Attribut mit demWert CN=Sales,O=Beispiel
angeben. Dadurch wrden alle Benutzer aus der Vertriebsabteilung Ihrer Firma
zur Gruppendefinition hinzugefgt werden.
zu.
Die neue Benutzergruppe wird anschlieend in der Liste Gruppen angezeigt.
Umeine Gruppe zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
5.5 Client-Authentifizierung
Sophos stellt einen Authentifizierungsclient fr Windows zur Verfgung, sodass sich die Benut-
zer direkt bei der UTMauthentifizieren knnen. Dies ermglicht eine benutzerbasierte Kon-
trolle ber das Surfen imInternet sowie den Netzwerkverkehr, da z.B. auf Benutzernetzwerken
oder Gruppennetzwerken basierende Firewallregeln erstellt werden knnen. Zudemwerden,
falls mglich, IP-Adressen, Hostnamen und hnliche Elemente durch Benutzernamen ersetzt,
sodass Berichtsdaten und Objekte besser verstndlich sind.
UTM9 WebAdmin 137
5 Definitionen & Benutzer 5.5 Client-Authentifizierung
5.5 Client-Authentifizierung 5 Definitionen & Benutzer
Hinweis ImWebAdmin werden Benutzernetzwerkobjekte, die ber die Client-Authen-
tifizierung authentifiziert sind, aus Leistungsgrnden immer als nicht aufgelst (unresolved)
angezeigt.
Benutzer, die Client-Authentifizierung nutzen mchten oder sollen, mssen den Sophos
Authentication Agent (SAA) auf IhremClient-PCoder MAC-OS-Computer installieren. Der
SAAkann von dieser WebAdmin-Seite oder imBenutzerportal heruntergeladen werden.
Beachten Sie, dass der Download-Link imBenutzerportal nur fr Benutzer verfgbar ist, die
Teil der Benutzergruppe fr die Client-Authentifizierungskonfiguration sind.
UmClient-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Client-Authentifizierung die Client-
Authentifizierung.
Der Schieberegler wird grn und der Abschnitt Client-Authentifizierungsoptionen kann
nun bearbeitet werden.
Whlen Sie die Netzwerke aus oder fgen Sie Netzwerke hinzu, die Client-Authen-
tifizierung verwenden sollen. Beachten Sie, dass diese Netzwerke direkt mit der UTMver-
bunden sein mssen, da die Client-Authentifizierung andernfalls nicht funktioniert. Das
Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
3. Whlen Sie die zugelassenen Benutzer und Gruppen aus.
Whlen Sie imFeld Zugelassene Benutzer und Gruppen einzelne Benutzer und Grup-
pen aus oder fgen Sie diese hinzu. Sie knnen auch eine bereits bestehende Authen-
tifizierungsgruppe, z.B. eine Active-Directory-Benutzergruppe, auswhlen. Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &
Gruppen >Benutzer erlutert.
Client-Authentifizierung ist nun fr die ausgewhlten Netzwerke verfgbar.
Cli ent-Authenti fi zi erungsprogramm
Wenn Client-Authentifizierung aktiviert ist, knnen Sie den Sophos Authentication Agent (SAA)
hier herunterladen. Sie knnen den SAAmanuell bereitstellen oder die Benutzer laden den
138 UTM9 WebAdmin
Client direkt vomBenutzerportal herunter.
EXE herunterladen: Ldt das Client-Authentifizierungsprogrammeinschlielich des CA-Zer-
tifikats herunter, das der direkten Installation auf Client-PCs dient. Das ist die gleiche Datei, die
auch imBenutzerportal heruntergeladen werden kann.
MSI herunterladen: Ldt das MSI-Paket fr die Client-Authentifizierung herunter. Dieses
Paket ist fr die automatische Paket-Installation ber Domain Controller (DC) gedacht und ent-
hlt kein CA-Zertifikat.
DMG herunterladen: Ldt das Disk-Image (Speicherabbild)fr die Client-Authentifizierung
auf Mac OSXherunter. Dieses Image dient der Installation auf Client-Computern mit dem
BetriebssystemMac OSX.
CA herunterladen: Ldt das CA-Zertifikat herunter, das zustzlich zumMSI-Paket ausgerollt
werden muss.
Der SAAkann als Authentifizierungsmethode fr den Webfilter genutzt werden. Weitere Infor-
mationen hierzu finden Sie imKapitel Web Protection >Webfilter >Allgemein.
5.6 Authentifizierungsdienste
Auf der Seite Definitionen &Benutzer >Authentifizierungsdienste knnen Datenbanken und
Backend-Server externer Dienste zur Benutzerauthentifizierung wie Single Sign-On oder Ein-
maliges Kennwort verwaltet werden. Externe Benutzerauthentifizierung ermglicht es Ihnen,
Benutzerkonten gegen vorhandene Benutzerdatenbanken oder Verzeichnisdienste zu vali-
dieren, die sich auf anderen Servern in IhremNetzwerk befinden. Momentan werden folgende
Authentifizierungsdienste untersttzt:
l Novell's eDirectory
l Microsoft's Active Directory
l RADIUS
l TACACS+
l LDAP
UTM9 WebAdmin 139
5 Definitionen & Benutzer 5.6 Authentifizierungsdienste
5.6 Authentifizierungsdienste 5 Definitionen & Benutzer
5.6.1 Allgemein
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsserver >Allgemeine Ein-
stellungen knnen Sie die grundlegenden Einstellungen fr die Authentifizierung vornehmen.
Die folgenden Aktionen sind mglich:
Benutzer automatisch erstellen: Wenn diese Option ausgewhlt ist, legt Sophos UTMauto-
matisch ein Benutzerobjekt an, sobald sich ein unbekannter Benutzer einer konfigurierten
Backend-Gruppe erfolgreich ber einen der angebundenen Authentifizierungsdienste anmel-
det, der von der Sophos UTMuntersttzt wird. Beispiel: Wenn Sie eine RADIUS-Backend-
Gruppe konfigurieren und diese Gruppe als Mitglied zu einer der Rollen hinzufgen, die auf der
Registerkarte Verwaltung >WebAdmin-Einstellungen >Zugriffskontrolle definiert sind, erstellt
die Sophos UTMautomatisch eine Benutzerdefinition fr RADIUS-Benutzer, die sich erfolg-
reich amWebAdmin angemeldet haben.
l Automatische Benutzererstellung fr Komponenten: Fr bestimmte Funktionen
kann eine automatische Benutzererstellung aktiviert oder deaktiviert werden. Die Benut-
zer werden dabei nur fr die ausgewhlten Funktionen angelegt. Diese Option ist nicht
verfgbar und automatische Benutzererstellung ist fr alle Komponenten deaktiviert
wenn die Option Benutzer automatisch erstellen nicht ausgewhlt ist.
Hinweis Diese Funktion ist mit Active Directory Single Sign-On (SSO) nicht mglich.
Diese Benutzerobjekte werden auch bentigt, umZugang zumBenutzerportal der Sophos
UTMzu gewhren. Darber hinaus wird fr alle automatisch erstellten Benutzerobjekte ein
X.509-Zertifikat generiert. Beachten Sie jedoch, dass die automatische Benutzererstellung fehl-
schlgt, wenn es zu einemE-Mail-Adressenkonflikt kommt, da die zu erstellende Benut-
zerdefinition keine E-Mail-Adresse besitzen darf, die auf demSystembereits vorhanden ist. Alle
E-Mail-Adressen mssen innerhalb des Systems eindeutig sein, da sie zur Identifizierung der
X.509-Zertifikate dienen.
Wichtiger Hinweis Authentifizierung (das Herausfinden, wer ein Benutzer ist) und Auto-
risierung (das Herausfinden, was ein Benutzer darf) fr einen Benutzer, dessen Benut-
zerobjekt automatisch erstellt wurde, geschieht immer auf dementfernten Backend-Server
bzw. Verzeichnisdienst. Aus diesemGrund sind automatisch erzeugte Benutzerobjekte in der
Sophos UTMnutzlos, wenn der entsprechende Backend-Server nicht erreichbar ist oder das
Benutzerobjekt amentfernten Standort gelscht wurde.
140 UTM9 WebAdmin
Beachten Sie auch, dass die Sophos UTMBenutzerauthentifizierungsdaten, die es von einem
entfernten Authentifizierungsserver geholt hat, fr 300 Sekunden zwischenspeichert. Aus-
genommen hiervon ist Active Directory Single Sign-On (SSO). Deshalb werden sich nde-
rungen an den entfernten Benutzereinstellungen erst auswirken, wenn der Speicherzeitraum
abgelaufen ist.
Authenti fi zi erungs-Cache
Jedes Mal, wenn die Sophos UTMeine Benutzeranfrage von einemnoch unbekannten Benut-
zer erreicht, z.B. http, und Authentifizierung erforderlich ist, schreibt die Sophos User Authen-
tication (SUA) einen Eintrag in den Authentifizierungs-Cache. Mit der Zeit kann es in Umge-
bungen mit hufig wechselnden Benutzern sinnvoll sein, den Cache gelegentlich zu leeren.
Eine Leerung kann auch angebracht sein, wenn Sie fr alle Benutzer eine sofortige neue
Authentifizierung erzwingen wollen. Verwenden Sie die Schaltflche Auth.-Cache leeren, um
den Authentifizierungs-Cache zu leeren.
Eine Authentifizierung ist 300 Sekunden lang gltig. In dieser Zeit werden neue Authen-
tifizierungsanfragen desselben Benutzers direkt imCache abgefragt. Diese Methode entlastet
Backend-Authentifizierungsdienste wie eDirectory.
Hinweis Das Leeren des Caches hat keine Auswirkung auf augenblicklich entfernt ange-
meldete Benutzer.
Li ve-Protokoll
Live-Protokoll ffnen: Durch einen Klick auf die Schaltflche wird das Protokoll der SophosU-
ser Authentication (SUA) in einemneuen Fenster angezeigt.
5.6.2 Server
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server knnen Sie
einen oder mehrere Authentifizierungs-Server erstellen. Folgen Sie den Links umdiese zu
erstellen:
l eDirectory
l Active Directory
l LDAP
l RADIUS
l TACACS+
UTM9 WebAdmin 141
5.6.2.1 eDirectory
Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur zentralen Verwaltung von
Zugriffsrechten auf Ressourcen auf mehreren Servern und Hosts innerhalb eines bestimmten
Netzwerks. eDirectory ist eine hierarchische, objektorientierte Datenbank, die alle Bestandteile
einer Organisation in einer logischen Baumstruktur darstellt. Diese Bestandteile knnen Men-
schen, Server, Workstations, Anwendungen, Drucker, Dienste, Gruppen usw. sein.
UmeDirectory-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geffnet.
Backend: Whlen Sie eDirectory als Backend-Verzeichnisdienst.
Position: Whlen Sie eine Position fr den Backend-Server. Backend-Server mit nied-
rigeren Nummern werden zuerst abgefragt. Stellen Sie fr eine bessere Leistung sicher,
dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhlt, ganz oben in
der Liste steht.
Server: Whlen Sie einen eDirectory-Server (oder fgen Sie einen hinzu).Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
SSL: Whlen Sie diese Option, umSSL-gesicherten Datentransfer zu aktivieren. Der
Port ndert sich dann von 389(LDAP) auf 636(ldaps =LDAPover SSL).
Port: Geben Sie den Port des eDirectory-Servers ein. Standardmig ist das Port 389.
Bind DN: Der Distinguished Name (DN) des Benutzers, mit demdieser amServer
angemeldet werden soll. Dieser Benutzer wird bentigt, wenn anonyme Anfragen an
den eDirectory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer gengend Pri-
vilegien besitzen muss, umalle relevanten Informationen zur Benutzerdefinition vomeDi-
rectory-Server erhalten zu knnen, damit er Benutzer authentifizieren kann. eDirectory-
Benutzer, -Gruppen und -Container knnen mit demvollstndigen Distinguished Name
in LDAP-Notation und Kommas als Trennzeichen angegeben werden (z.B.
CN=administrator,DC=intranet,DC=beispiel,DC=de).
Kennwort: Geben Sie das Kennwort des Bind-Benutzers ein.
142 UTM9 WebAdmin
Servereinstellungen testen: Durch einen Klick auf die Schaltflche Test wird ein Bind-
Test mit demkonfigurierten Server durchgefhrt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in
demdie Benutzer eingefgt sind, die authentifiziert werden sollen. Beachten Sie, dass
der BaseDNber den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert
werden muss, wobei Kommata als Trennzeichen verwendet werden mssen (z.B.
O=Beispiel,OU=RnD). Der BaseDNkann leer sein. In diesemFall wird der BaseDN
automatisch aus demVerzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen fr den Testbenutzer an umdie regu-
lre Authentifizierung durchzufhren.
Kennwort: Geben Sie das Kennwort fr den Testbenutzer an.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltflche Test, umden
Authentifizierungstest fr den Testbenutzer zu starten. Dies stellt sicher, dass alle Ser-
vereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzep-
tiert, und dass Benutzer erfolgreich authentifiziert werden knnen.
Der Server wird in der Liste Server angezeigt.
UTM9 WebAdmin 143
Figure 17 Gruppen: eDirectory-Browser von Sophos UTM
5.6.2.2 Active Directory
Microsoft Active Directory (AD) ist ein Verzeichnisdienst und eine zentrale Komponente der Win-
dows 2000/2003 Server. Es speichert Informationen aus einembreiten Spektrumvon Netz-
werkressourcen, einschlielich Benutzer, Gruppen, Computer, Drucker, Anwendungen, Diens-
te und jeder Art von benutzerdefinierten Objekten. Als solches ist es ein Mittel, umdiese
Ressourcen zentral zu organisieren, zu verwalten und den Zugriff darauf zu kontrollieren.
Die Active-Directory-Authentifizierungsmethode ermglicht es, die Sophos UTMan einer Win-
dows-Domne zu registrieren, wodurch ein Objekt fr Sophos UTMauf demprimren Dom-
nencontroller (DC) angelegt wird. UTMist dann in der Lage, Benutzer- und Grup-
peninformationen von der Domne abzufragen.
Hinweis UTMuntersttzt Active Directory 2003 und neuer.
UmActive-Directory-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
144 UTM9 WebAdmin
Backend: Whlen Sie Active Directory als Backend-Verzeichnisdienst.
der Liste steht.
Server: Whlen Sie einen Active-Directory-Server (oder fgen Sie einen hinzu).Das Hin-
Port ndert sich dann von 389(LDAP) auf 636(ldaps =LDAPover SSL).
Port: Geben Sie den Port des Active-Directory-Servers ein. Standardmig ist das Port
389.
Bind DN: Der vollstndige Distinguished Name (DN) des Benutzers, mit demdieser am
Server angemeldet werden soll, in LDAP-Notation. Dieser Benutzer wird bentigt, wenn
anonyme Anfragen an den Active-Directory-Server nicht erlaubt sind. Beachten Sie,
dass der Benutzer gengend Privilegien besitzen muss, umalle relevanten Infor-
mationen zur Benutzerdefinition vomActive-Directory-Server erhalten zu knnen, damit
er Benutzer authentifizieren kann das ist eine Voraussetzung, die meistens vomAdmi-
nistrator der Domne erfllt wird.
Jeder DNbesteht aus einemoder mehreren Relative Distinguished Names (RDN). Ein
RDNsetzt sich aus Attributen des Active-Directory-Benutzerobjekts zusammen und
umfasst seinen Benutzernamen, den Knoten des Objekts und den hchsten DNdes Ser-
vers. Die Definition erfolgt in der LDAP-Notation. Als Trennzeichen wird das Komma ver-
wendet.
l Der Benutzername muss der Name des Benutzers sein, der in der Lage ist, auf
das Verzeichnis zuzugreifen und folgendermaen spezifiziert ist: CN-Bezeichner
(z.B. CN=user). Obwohl die Nutzung eines beliebten Kontos mit Dom-
nenberechtigungen, wie z.B. admin, mglich ist, wird als bessere Methode drin-
gend empfohlen, einen Benutzer zu whlen, der keine Administrationsrechte
besitzt, da es vllig ausreichend fr diesen Benutzer ist, Leserechte auf alle Objek-
te des angegebenen BaseDNzu besitzen.
UTM9 WebAdmin 145
l Die Information ber den Knoten, an demsich das Benutzerobjekt befindet, muss
alle Unterknoten zwischen demWurzelknoten und demBenutzerobjekt umfassen
und besteht gewhnlich aus Komponenten wie sogenannten Orga-
nisationseinheiten (engl. organizational units) und demallgemeinen Namen (CN,
engl. common name). Organisationseinheiten (dargestellt durch ein Verzeichnis-
/Buchsymbol in der Microsoft Management-Konsole) werden durch den OU-
Bezeichner spezifiziert. Beachten Sie, dass die Reihenfolge der Knoten vom
untersten zumobersten verluft, d.h., dass spezifischere Elemente zuerst ange-
geben werden (z.B. OU=Management_US,OU=Management). Andererseits wer-
den Standardcontainer von Active Directory (dargestellt durch ein einfaches
Verzeichnis-Symbol) wie z.B. der vordefinierte Benutzer-Knoten durch den CN-
Bezeichner spezifiziert (z.B. CN=Users).
l Der oberste DNdes Servers kann aus mehreren Domnenkomponenten (engl.
domain component) bestehen, wobei jede durch den DC-Bezeichner spezifiziert
wird. Beachten Sie, dass die Domnenkomponenten in der gleichen Reihenfolge
angegeben werden wie der Domnenname. Beispiel: Wenn der Domnenname
beispiel.deist, dann ist der DN-Teil DC=beispiel,DC=de.
Ein Beispiel fr einen Bind-Benutzer-DN, wenn der Benutzername administratorist
und sich das Benutzerobjekt imContainer Benutzerbefindet in einer Domne namens
beispiel.de: CN=administrator,CN=Users,DC=example,DC=com
Figure 18 Authentifizierung: Microsoft Management-Konsole
Nehmen wir nun an, Sie haben eine Organisationseinheit namens Management mit dem
Unterknoten Management_USangelegt und verschieben das Benutzerobjekt Admi-
nistratordorthin, dann ndert sich der DNwie folgt:
CN=administrator,OU=Management_US,OU=Management, DC=example, DC=com
146 UTM9 WebAdmin
User Pri nci pal Name
In einigen Fllen sollte es Benutzern mglich sein, die User-Principal-Name-Notation "Benut-
zer@Domne" zu verwenden, wenn Sie ihre Daten angeben. ZumBeispiel wenn Exchange-
Server in Kombination mit Active Directory-Servern verwendet werden.
l Klonen Sie den gewnschten Server umeinen neuen Server zu erzeugen.
l ndern Sie Backend nach LDAP.
l ndern Sie das Benutzerattribut auf >.
l Geben Sie userPrincipalname in das Feld Angepasst ein.
Sofern noch nicht verfgbar, wird eine Benutzergruppe "LDAPUsers" angelegt, die Sie anstel-
le der Gruppe "Active Directory Users" verwenden mssen.
UTM9 WebAdmin 147
Hinweis Das Format "Domne\Benutzer" wird nicht untersttzt. Verwenden Sie statt-
dessen das Format "Benutzer@Domne".
5.6.2.3 LDAP
LDAPsteht fr Lightweight Directory Access Protocol und ist ein Netzwerkprotokoll, umVer-
zeichnisdienste, die auf demX.500-Standard basieren, zu modifizieren und Anfragen zu sen-
den. Sophos UTMverwendet das LDAP-Protokoll, umBenutzer fr einige seiner Dienste zu
authentifizieren, indemmithilfe von Attributen oder Gruppenzugehrigkeiten auf demLDAP-
Server festgestellt wird, ob Zugriff auf einen bestimmten Dienst gewhrt wird oder nicht.
UmLDAP-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
Backend: Whlen Sie LDAPals Backend-Verzeichnisdienst.
der Liste steht.
Server: Whlen Sie einen LDAP-Server (oder fgen Sie einen hinzu).Das Hinzufgen
einer Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen erlutert.
Port ndert sich dann von 389(LDAP) auf 636 (ldaps =LDAPover SSL).
Port: Geben Sie den Port des LDAP-Servers ein. Standardmig ist das Port 389.
Bind DN: Der Distinguished Name (DN) des Benutzers, mit demdieser amServer
angemeldet werden soll. Dieser Benutzer ist zwingend. Aus Sicherheitsgrnden werden
anonyme Anfragen an den LDAP-Server nicht untersttzt. Beachten Sie, dass der Benut-
zer gengend Privilegien besitzen muss, umalle relevanten Informationen zur Benut-
zerdefinition vomLDAP-Server erhalten zu knnen, damit er Benutzer authentifizieren
kann. LDAP-Benutzer, -Gruppen und -Container knnen mit demvollstndigen Dis-
148 UTM9 WebAdmin
tinguished Name in LDAP-Notation und Kommas als Trennzeichen angegeben werden
(z.B. CN=administrator,DC=intranet,DC=beispiel,DC=de).
Benutzerattribut: Whlen Sie das Benutzerattribut, das als Filter fr die Suche im
LDAP-Verzeichnis verwendet werden soll. Das Benutzerattribut enthlt den eigentlichen
Anmeldenamen, nach demjeder Benutzer von z.B. Fernzugriffsdiensten gefragt wird.
Folgende Benutzerattribute sind mglich:
l CN(allgemeiner Name, engl. common name)
l SN(Nachname)
l UID(Benutzer-ID)
Falls Benutzernamen in IhremLDAP-Verzeichnis nicht in Formdieser Attribute gespei-
chert werden, whlen Sie <<Angepasst>>aus der Liste aus und geben Sie Ihr benut-
zerdefiniertes Attribut imFeld Angepasst an. Beachten Sie, dass dieses Attribut in Ihrem
LDAP-Verzeichnis konfiguriert sein muss.
UTM9 WebAdmin 149
5.6.2.4 RADIUS
RADIUSsteht fr Remote Authentication Dial In User Service und ist ein weit verbreitetes Pro-
tokoll, mit demNetzwerkgerte, wie z.B. Router, Informationen fr die Benut-
zerauthentifizierung von einemzentralen Server abfragen knnen. Neben den reinen Benut-
zerinformationen fr die Authentifizierung kann RADIUSauch technische Informationen
verwalten, die von Netzwerkgerten genutzt werden. Dazu gehren z.B. verwendete Pro-
tokolle, IP-Adressen, Routeninformationen etc. Zusammen bilden sie ein Benutzerprofil, das in
einer Datei oder Datenbank auf demRADIUS-Server gespeichert wird.
Das RADIUS-Protokoll ist sehr flexibel und es gibt Server fr die meisten Betriebssysteme. Die
RADIUS-Implementierung auf der UTMermglicht es Ihnen, Zugriffsrechte basierend auf
Proxys und Benutzern zu konfigurieren. Umdie RADIUS-Authentifizierung verwenden zu kn-
nen, bentigen Sie einen laufenden RADIUS-Server imNetzwerk. Kennwrter werden mit
demRADIUS-Schlssel verschlsselt, der Benutzername wird hingegen als Klartext ber-
tragen.
UmRADIUS-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
Backend: Whlen Sie RADIUSals Backend-Verzeichnisdienst.
der Liste steht.
Server: Whlen Sie einen RADIUS-Server (oder fgen Sie einen hinzu).Das Hin-
Port: Geben Sie den Port des RADIUS-Servers ein. Standardmig ist das Port 1812.
150 UTM9 WebAdmin
Vereinbarter Schlssel: Dieser vereinbarte Schlssel (engl. Shared Secret) ist eine
Zeichenfolge, die als Kennwort zwischen demRADIUS-Client und demRADIUS-Server
dient. Geben Sie den vereinbarten Schlssel ein.
NAS-Kennung: Whlen Sie die entsprechende NAS-Kennung aus der Liste. Weitere
Informationen entnehmen Sie bitte demuntenstehenden Hinweis und der Tabelle.
Hinweis Jeder Benutzerauthentifizierungsdienst von Sophos UTM(z.B. PPTPoder
L2TP), der Anfragen an den RADIUS-Server stellt, sendet eine andere Kennung (NAS-Ken-
nung, engl. NASidentifier) an den RADIUS-Server. Beispiel: Der PPTP-Dienst sendet die
NAS-Kennung pptpan den RADIUS-Server, wenn er versucht, einen Benutzer zu authen-
tifizieren. Dadurch knnen die verschiedenen Dienste auf demRADIUS-Server aus-
einandergehalten werden. Das kommt den Autorisierungszwecken zugute, d.h. der Zugriffs-
genehmigung fr den Benutzer auf verschiedene Dienste. Unten finden Sie eine Liste der
Benutzerauthentifizierungsdienste und ihrer NAS-Kennung.
Benutzerauthentifizierungsdienst NAS-Kennung
SSL-VPN ssl
PPTP pptp
UTM9 WebAdmin 151
Benutzerauthentifizierungsdienst NAS-Kennung
IPsec ipsec
L2TPber IPsec l2tp
SMTP-Proxy smtp
Benutzerportal portal
WebAdmin webadmin
SOCKS-Proxy socks
Webfilter http
Authentifizierungsclient agent
Wireless Access Points
Die NAS-Kennungist der Name des WLAN-
Netzwerks.
Table 1: RADIUS NAS-Kennungen
5.6.2.5 TACACS+
TACACS+steht fr Terminal Access Controller Access Control Systemund ist ein proprietres
Protokoll von Cisco Systems Inc., das detaillierte Netzwerkverkehrsinformationen liefert und
administrative Kontrolle ber Authentifizierungs- und Autorisierungsprozesse ermglicht. Wh-
rend RADIUSAuthentifizierung und Autorisierung in einemBenutzerprofil kombiniert, trennt
TACACS+diese Vorgnge. Ein weiterer Unterschied ist, dass TACACS+das TCP-Protokoll
verwendet (Port 49), wohingegen RADIUSdas UDP-Protokoll verwendet.
UmTACACS+-Authentifizierung zu konfigurieren, gehen Sie folgendermaen vor:
Backend: Whlen Sie TACACS+als Backend-Verzeichnisdienst.
152 UTM9 WebAdmin
der Liste steht.
Server: Whlen Sie einen TACACS+-Server (oder fgen Sie einen hinzu).Das Hin-
Port: Geben Sie den Port des TACACS+-Servers ein. Standardmig ist das Port 49.
Schlssel: Geben Sie den Schlssel fr die Authentifizierung und die Verschlsselung
der gesamten TACACS+-Kommunikation zwischen Sophos UTMund demTACACS+-
Server ein. Der hier eingegebene Wert des Schlssels muss mit demjenigen auf dem
TACACS+-Server bereinstimmen. Geben Sie den Schlssel ein (ein zweites Mal zur
Besttigung).
5.6.3 Single Sign-On
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Single Sign-On
knnen Sie die Single-Sign-On-Funktionalitt fr Active Directory und/oder eDirectory kon-
figurieren.
Acti ve Di rectory Si ngle Si gn-On (SSO)
Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit demWebfilter
verwendet wird, umSingle Sign-On fr Browser bereitzustellen, die NTLMv2 oder Kerberos-
UTM9 WebAdmin 153
Authentifizierung untersttzen.
Umdie Single-Sign-On-Funktionalitt zu aktivieren, muss UTMder Active-Directory-Domne
beitreten. Damit dieser Domnenbeitritt funktioniert, mssen die folgenden Voraussetzungen
erfllt sein:
l Die Zeitzone auf demGateway und auf demDomnencontroller (DC) mssen gleich
sein.
l Der Zeitunterschied der Uhren auf demGateway und demDCdarf NICHT mehr als fnf
Minuten betragen.
l Der UTM-Hostname muss imAD-DNS-Systemvorhanden sein.
l UTMmuss das AD-DNSzur Weiterleitung (engl. forwarder) verwenden oder sie muss
eine DNS-Anfrageroute zur AD-Domne besitzen, die auf den AD-DNS-Server zeigt.
UmActive Directory SSOzu konfigurieren, gehen Sie folgendermaen vor:
1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.
Domne : Name der Domne (z.B. intranet.meinefirma.de). UTMsucht alle DCs,
die ber DNSerreichbar sind.
Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte fr
die Anbindung von Computern an diese Domne besitzt (in der Regel ist dies der Admi-
nistrator).
Kennwort: Das Kennwort fr den Admin-Benutzer.
Hinweis zur Untersttzung der Kerberos-Authentifizierung: Damit die oppor-
tunistische SSO-Kerberos-Untersttzung funktioniert, MSSENdie Clients den FQDN-Host-
namen von UTMin ihren Proxyeinstellungen verwenden. Wenn sie die IP-Adresse ver-
wenden, schlgt der Vorgang fehl. Der NTLMv2-Modus ist von dieser Voraussetzung nicht
betroffen und wird automatisch genutzt, wenn diese Voraussetzung nicht erfllt ist oder wenn
der Browser eine Kerberos-Authentifizierung nicht untersttzt.
eDi rectory Si ngle Si gn-On (SSO)
Hier knnen Sie SSOfr eDirectory konfigurieren. Wenn Sie eDirectory SSOals Authen-
tifizierungsmethode unter Web Protection >Webfilter eingerichtet haben, wird der hier
154 UTM9 WebAdmin
gewhlte eDirectory-Server verwendet.
UmeDirectory SSOzu konfigurieren, gehen Sie folgendermaen vor:
1. Legen Sie einen eDirectory-Server auf der Registerkarte Server an.
Server: Whlen Sie einen eDirectory-Server aus, fr den Sie SSOaktivieren mchten.
Sync-Interval:Die Zeit (in Sekunden) zwischen zwei Synchronisierungsereignissen zwi-
schen UTMund eDirectory-Server.
5.6.4 Einmaliges Kennwort
Auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Einmaliges Kenn-
wort knnen Sie den Dienst fr einmalige Kennwrter (OTP) konfigurieren und die Token der
Benutzer einmaliger Kennwrter berwachen oder bearbeiten. Einmalige Kennwrter sind
eine Methode zur Verbesserung der Sicherheit fr kennwortbasierte Authentifizierung. Das
benutzerspezifische Kennwort, das manchmal zu schwach ist, wird durch ein einmaliges Kenn-
wort ergnzt, das fr nur eine Anmeldung gltig ist. Selbst wenn ein Angreifer in den Besitz des
Kennworts gelangt, kann er sich deshalb nicht damit anmelden.
Einmalige Kennwrter ndern sich imAllgemeinen stndig und in regelmigen Abstnden.
Sie werden automatisch durch einen bestimmten Algorithmus berechnet. Bald nachdemein
neues Kennwort berechnet wird, luft das alte Kennwort automatisch ab. Umeinmalige Kenn-
wrter zu generieren, bentigt der Benutzer entweder ein Mobilgert mit entsprechender Soft-
ware oder spezielle Hardware oder ein Sicherheitstoken. Hardware-Token knnen von Beginn
an verwendet werden. Der Endbenutzer muss auf demMobilgert Google Authenticator oder
eine hnliche Software installieren und die Konfiguration implementieren, die imBenutzerportal
als QR-Code, auf der Startseite oder auf der Seite OTP-Token verfgbar ist (siehe Seite Benut-
zerportal). Danach kann das Gert einmalige Kennwrter in Token-spezifischen Intervallen
generieren. Datumund Uhrzeit mssen auf demMobilgert korrekt eingestellt sein, da der Zeit-
stempel bei der Generierung einmaliger Kennwrter verwendet wird.
Hinweis Umeine Authentifizierung fr die Komponenten, fr die ein einmaliges Kennwort
erforderlich ist, durchzufhren, muss der Benutzer sein benutzerspezifisches UTM-Kennwort
und direkt imAnschluss das einmalige Kennwort eingeben.
UTM9 WebAdmin 155
Der Administrator kann ebenfalls einmalige Kennwrter manuell generieren. Diese werden
dann als Passcodes bezeichnet. In diesemFall mssen Sie sicherstellen, dass diese zeitlich
unbegrenzten einmaligen Kennwrter sicher zumBenutzer bertragen werden. Dieser Vor-
gang sollte jedoch nur eine bergangslsung sein, beispielsweise, wenn ein Benutzer vor-
bergehend keinen Zugriff auf das Gert hat, mit demer Kennwrter generiert.
Hinweis Sobald ein OTP-Token erstellt wurde wird rechts in der Tabelle ein Info-Symbol
angezeigt. Sie knnen den QR-Code und dessen Details ansehen, indemSie auf das Info-
Symbol klicken.
Aktivierung und Konfiguration des Dienstes fr einmalige
Kennwrter
Zur Konfiguration des Dienstes fr einmalige Kennwrter sind folgende Schritte erforderlich:
1. Nehmen Sie imBereich OTP-Einstellungen die folgenden Einstellungen vor:
Alle Benutzer mssen einmalige Kennwrter (OTP) verwenden: Standardmig
ist diese Option aktiviert und alle Benutzer mssen einmalige Kennwrter verwenden.
Wenn nur bestimmte Benutzer einmalige Kennwrter verwenden sollen, deaktivieren
Sie die Option und whlen Sie Benutzer oder Gruppen aus oder fgen Sie sie imFeld hin-
zu.
Achtung Wenn Sie die Funktion Alle Benutzer mssen einmalige Kennwrter
(OTP) verwenden deaktiviert haben, hat dies automatisch Auswirkungen auf den
Bereich Benutzer/Gruppen in anderen Teilen von UTM. ZumBeispiel Umkehr-
authentifizierung.
Hinweis Die Option Benutzer automatisch erstellen muss fr Benutzer mit Hin-
tergrundauthentifizierung aktiviert sein. Diese Option finden Sie imBereich Definitionen
&Benutzer >Authentifizierungsdienste >Allgemeine Einstellungen >Automatische
Benutzererstellung.
OTP-Token automatisch fr Benutzer erstellen: Wenn diese Option ausgewhlt ist,
wird autorisierten Benutzern ein QR-Code zur Softwarekonfiguration auf demMobil-
gert angezeigt, wenn sie sich das nchste Mal imBenutzerportal anmelden. Damit dies
funktioniert, stellen Sie sicher, dass die Benutzer Zugriff auf das Benutzerportal haben
(siehe Seiten Verwaltung >Benutzerportal). Wenn sich ein Benutzer imBenutzerportal
156 UTM9 WebAdmin
anmeldet, wird das entsprechende Token in der Liste OTP-Token angezeigt. Es emp-
fiehlt sich, diese Funktion zu aktivieren, wenn Sie Soft-Token auf Mobilgerten ver-
wenden. Wenn die Benutzer nur Hardware-Token verwenden, sollten Sie stattdessen
die Option deaktivieren und die Token hinzufgen oder importieren, bevor Sie die OTP-
Funktion aktivieren.
OTPfr Komponenten aktivieren:Hier whlen Sie die UTM-Komponenten aus, auf
die die ausgewhlten Benutzer mit einmaligen Kennwrtern zugreifen sollen. Wenn Sie
die Option OTP-Token automatisch fr Benutzer erstellen aktivieren, muss aus Sicher-
heitsgrnden das Benutzerportal aktiviert sein: Da das Benutzerportal Zugriff auf die
OTP-Token gewhrt, sollte es selbst ber mindestens den gleichen Schutz verfgen.
UmOTPfr sicheren Shell-Zugriff zu aktivieren, mssen Sie fr die entsprechenden
Token zustzlich die Verwendung fr Shell-Zugriff aktivieren (siehe Manuelles Hin-
zufgen oder Bearbeiten von OTP-Token). Die entsprechenden Benutzer mssen sich
dann mit demzugehrigen Kennwort, an das das einmalige Kennwort angehngt wird,
als loginuser anmelden.
Achtung Stellen Sie insbesondere dann, wenn Sie den WebAdmin oder Shell-
Zugriff zur Verwendung mit OTPauswhlen, sicher, dass die ausgewhlten Benutzer
Zugriff auf die Token fr einmalige Kennwrter haben. Andernfalls ist es mglich, dass
Sie sie permanent abmelden.
2. Nehmen Sie imBereich Zeitschritt-Einstellungen die folgenden Einstellungen
vor:
Standard-Token-Zeitschritt: Umdie Generierung einmaliger Kennwrter auf dem
Mobilgert und in der UTMzu synchronisieren, mssen die beiden Zeitschritte ber-
einstimmen. Einige Hardware-Token arbeiten mit einemZeitschritt von 60 Sekunden.
Andere Software OTP-Token verwenden einen Zeitschritt von 30 Sekunden, der hier
demStandardwert entspricht. Wenn die Zeitschritte nicht bereinstimmen, schlgt die
Authentifizierung fehl. Der hier eingegebene Wert wird automatisch fr jedes neue OTP-
Token verwendet. Der erlaubte Bereich fr den Zeitschritt ist 10-120.
Maximale Kennwortverzgerung: Mit dieser Option knnen Sie die maximale Kenn-
wortverzgerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zumBeispiel 3
Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 3 Zeitschritte zwischen
zwei Anmeldungen abweichen darf. Die maximale Kennwortverzgerung verlangt einen
Bereich von 0-10.
UTM9 WebAdmin 157
Maximale initiale Kennwortverzgerung: Mit dieser Option knnen Sie die maximale
initiale Kennwortverzgerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie
zumBeispiel 10 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 10
Zeitschritte zwischen zwei Anmeldungen abweichen darf. Die maximale initiale Kenn-
wortverzgerung verlangt einen Bereich von 0-600.
4. Wenn Sie Hardware-Token verwenden, importieren Sie sie oder fgen Sie sie
imBereich OTP-Token hinzu.
Verwenden Sie die Daten vomHardware-Token-Anbieter, ummithilfe von Semikolons
eine UTF-8-codierte CSV-Datei zu generieren. Die Datei muss drei Spalten mit fol-
genden Inhalten enthalten: Schlssel, Zeitschritt und Kommentar. Der Schlssel, eine
eindeutige, gertespezifische Zeichenfolge, ist obligatorisch und sollte imHexa-
dezimalformat mit einer Lnge von 128 bit vorliegen. Die anderen Spalten knnen leer
sein. Wenn kein Zeitschritt angegeben wird, wird der Zeitschritt fr das Standard-Token,
der imBereich OTP-Einstellungen festgelegt wird, verwendet.
Klicken Sie rechts oberhalb der Liste auf das Importsymbol. Fgen Sie dann die Daten im
CSV-Format in das Textfeld ein und klicken Sie auf Speichern.
Nach demImport knnen Sie die Eintrge mithilfe des Bearbeitensymbols ndern.
Auerdemknnen Sie immer einzelne Eintrge hinzufgen, indemSie auf das Plus-
symbol klicken (siehe Manuelles Hinzufgen oder Bearbeiten von OTP-Token).
5. Aktivieren Sie den Dienst fr einmalige Kennwrter.
Klicken Sie auf den Schieberegler oben auf der Seite.Der Schieberegler wird grn.
Wenn OTP-Token automatisch fr Benutzer erstellen aktiviert ist, erstellt die UTMden OTP-
Token-Eintrag automatisch, sofern er nicht vorab generiert wurde, wenn sich ein Benutzer, fr
den die Authentifizierung mit einemeinmaligen Kennwort konfiguriert ist, erstmals imBenut-
zerportal anmeldet. Auerdemist das Zurcksetzensymbol des Eintrags aktiviert.
Mithilfe des Schiebereglers eines Eintrags knnen sie diesen deaktivieren, zumBeispiel, wenn
der Benutzer sein Hardware-Token verloren hat. Mit dementsprechenden Symbol knnen Sie
einen Eintrag lschen, beispielsweise, wenn ein Hardware-Token beschdigt ist. Achten Sie
darauf, dass, wenn die Option OTP-Tokenautomatisch fr Benutzer erstellen aktiviert ist, der
Benutzer in beiden Fllen eine erneute Authentifizierung durchfhren kann, da er Zugriff auf
den Token-Schlssel hat. In der Liste OTP-Token wird ein neuer Eintrag angezeigt.
158 UTM9 WebAdmin
Rechts oberhalb der Liste OTP-Token befinden sich ein Suchfeld und Navigationssymbole, mit
denen Sie in der Liste navigieren und ihre Eintrge filtern knnen.
Symbol
ImBereich OTP-Token gibt es einige zustzliche Symbole
Symbole mit
Funktion
Bedeutung
Setzt den Token auf den Status "niemals verwendet", den sogenannten
initialen Status. Wenn das Zurcksetzen ausgefhrt wurde sieht der
Benutzer den QR-Code bei der nchsten Anmeldung imBenutzerportal
wieder. Die zurcksetzen-Funktion steht zur Verfgung, wenn sich der
Benutzer mindestens ein Mal mit OTPangemeldet hat.
Zeigt an, dass das Token so konfiguriert ist, dass es fr den entfernten
Shell-Zugriff verwendet werden kann.
Zeigt an, dass die Token-Information nicht imBenutzerportal angezeigt
wird.
Zeigt zustzliche Token-Codes an.
Ermglicht Ihnen, die Zeitverzgerung des Tokens anzusehen.
Zeigt den QR-Code des Tokens und seine Informationen an.
Manuelles Hinzufgen oder Bearbeiten von OTP-Token
Sie knnen OTP-Token hinzufgen oder bearbeiten.
Tipp Normalerweise fgen Sie keine einzelnen OTP-Token hinzu, sondern importieren sie
entweder wenn es sich umHardware-Token handelt oder generieren sie automatisch auf
einemMobilgert mit der Option OTP-Token automatisch fr Benutzer erstellen.
1. ffnen Sie das Dialogfenster, umdas OTP-Token hinzuzufgen oder zu bear-
beiten.
Umein OTP-Token hinzuzufgen, klicken Sie rechts oberhalb der Liste OTP-Token auf
das grne Plussymbol.
Umein OTP-Tokenzu bearbeiten, klicken Sie auf das Bearbeitensymbol vor dement-
sprechenden Eintrag in der Liste OTP-Token.
UTM9 WebAdmin 159
Benutzer: Whlen Sie den Benutzer, demdas Token zugewiesen werden soll, aus oder
fgen Sie ihn hinzu.
Schlssel: Dies ist der vereinbarte Schlssel des Hardware-Tokens oder Soft-Tokens
des Benutzers. Ein Hardware-Token verfgt ber einen unvernderlichen Schlssel,
der vomHardwarehersteller festgelegt wird. Das Soft-Token wird nach demZufalls-
prinzip von der UTMgeneriert, wenn OTP-Token automatisch fr Benutzer erstellen akti-
viert ist. Der Schlssel sollte imHexadezimalformat vorliegen und 128 bit lang sein.
zu.Dieser Text wird mit demQR-Code imBenutzerportal angezeigt. Wenn Sie ver-
schiedene Token fr eine Person festlegen, z.B. ein Hardware-Token und ein Soft-
Token fr das Mobiltelefon, ist es sinnvoll, hier eine Erluterung anzugeben, da dem
Benutzer alle QR-Codes nebeneinander angezeigt werden.
Benutzerdefinierten Token-Zeitschritt verwenden: Wenn Sie einen anderen Zeit-
schritt als den imBereich OTP-Einstellungen festgelegten Standardzeitschritt fr Token
bentigen, aktivieren Sie diese Option und geben Sie den Wert ein. Der hier festgelegte
Zeitschritt muss mit demZeitschritt auf demGert, das der Benutzer zur Kenn-
wortgenerierung verwendet, bereinstimmen. Ansonsten schlgt die Authentifizierung
fehl.
Token-Informationen imBenutzerportal verbergen: Wenn diese Option aus-
gewhlt ist, wird das Token nicht imBenutzerportal angezeigt. Dies ist unter Umstnden
fr Hardware-Token sinnvoll, fr die keine Konfiguration erforderlich ist, oder wenn die
Soft-Token beispielsweise nicht vomEndbenutzer konfiguriert werden sollen, sondern
zentral vomAdministrator.
Token kann fr Shell-Zugriff verwendet werden: Wenn diese Option ausgewhlt
ist, kann das Token fr den Zugriff auf die UTMber die Kommandozeile verwendet wer-
den. Damit dies funktioniert, muss Shell-Zugriff imBereich OTP-Einstellungen aktiviert
sein und Shell-Zugriff mit Kennwortauthentifizierung muss allgemein fr die UTMakti-
viert sein (siehe Verwaltung >Systemeinstellungen >Shell-Zugriff). OTP-Token mit
Berechtigung fr Shell-Zugriff weisen oben rechts ein Kommando-Shell-Symbol auf. Fr
Shell-Zugriff mit einemeinmaligen Kennwort muss sich der Benutzer dann mit demzuge-
hrigen Kennwort, an das das einmalige Kennwort angehngt wird, als loginuser anmel-
den.
160 UTM9 WebAdmin
Zustzliche Codes (nur bei Bearbeitung eines OTP-Tokens): Sie knnen einmalige
Kennwrter fr Token manuell hinzufgen. Klicken Sie entweder auf das grne Plus-
symbol, umjeweils ein einmaliges Kennwort einzugeben, oder verwenden Sie die Schalt-
flche Generieren, umzehn einmalige Kennwrter auf einmal zu generieren. Sie knnen
die einmaligen Kennwrter auch mithilfe des Aktionssymbols importieren oder expor-
tieren. Diese einmaligen Kennwrter sind zeitlich unbegrenzt. Ein einmaliges Kennwort
wird automatisch gelscht, wenn sich der Benutzer damit anmeldet. OTP-Token mit
zustzlichen einmaligen Kennwrtern weisen rechts ein Plussymbol auf. Wenn Sie mit
demMauszeiger darber fahren, wird die Liste der einmaligen Kennwrter angezeigt.
OTP-Token-Zeit synchronisieren
Wenn Hardware-OTP-Token verwendet werden, kann es vorkommen, dass die eingebauten
Quartz-Uhren langsamer laufen als die "echten" Uhren. ZumBeispiel die VASCO-Token-
spezifizierung erlaubt eine Zeitverzgerung von 2 Sekunden pro Tag. Nach einigen Monaten
knnte die Zeitverzgerung des Hardware-Tokens so gro sein, dass sie nicht mehr den von
der UTMberechneten OTPs bereinstimmt und auch so gro, dass sie nicht mehr mit den stan-
dardmig erwarteten OTP-Fenstern von +/- einemToken-Code entspricht. Also wird der
OTP-Code in der UTMnicht erlaubt.
Jedes Mal, wenn ein Benutzer sich an UTMmit einemgltigen Token-Code anmeldet, berech-
net UTMob der Token-Code mehr als einen Zeitschritt entfernt ist oder nicht. Wenn ja, ndert
UTMdie Token-spezifische Zeitverzgerung automatisch.
Mit UTMknnen Sie die Zeitverzgerung berechnen und sie synchronisieren. Gehen Sie fol-
gendermaen vor:
1. Klicken Sie imBereich OTP-Token auf das Stoppuhrsymbol.
Der Dialog OTP-Token Zeitverzgerung ffnet sich. Die aktuelle Verzgerung des
Tokens wird angezeigt.
2. Geben Sie den Token-Code ein.
Der Token-Code ist eine sechsstellige Nummer die vomHardware-Gert erstellt wird.
3. Klicken Sie auf berprfen.
Das Ergebnis wird nach einigen Sekunden angezeigt. Wenn der Code gltig war, zeigt
die Meldung an, ob und wie viele Zeitschritte das Token entfernt ist.
UTM9 WebAdmin 161
4. Wenn Sie die Verzgerung des Tokens festlegen mchten, klicken Sie auf OK.
Die Token-Verzgerungszeit ist aktualisiert.
5. Klicken Sie auf Abbrechen.
Das Fenster wird geschlossen.
5.6.5 Erweitert
Erraten von Kennwrtern blocki eren
Diese Funktion kann verwendet werden, umdas Erraten von Kennwrtern zu verhindern.
Nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen (standardmig drei) wird
der Zugriff von dieser IP-Adresse auf eine der Komponenten fr eine bestimmte Zeit (stan-
dardmig 600 Sekunden) verweigert.
Pakete von blockierten Hosts verwerfen: Wenn diese Option aktiv ist, werden alle Pakete,
die von blockierten Hosts kommen, fr die festgelegte Zeit verworfen. Diese Option dient dazu,
DoS-Attacken zu verhindern.
Komponenten: Die berprfung wird fr die ausgewhlten Komponenten durchgefhrt.
Netzwerke nie blockieren: Die in diesemFeld aufgelisteten Netzwerke werden von dieser
berprfung ausgenommen.
Lokale Authenti fi zi erungskennwrter
Mit dieser Option knnen Sie festlegen, dass Administratoren oder lokal registrierte Benutzer
mit administrativen Rechten sichere Kennwrter verwenden mssen. Die Kenn-
wortkomplexitt kann so konfiguriert werden, dass sie den folgenden Sicher-
heitsanforderungen entspricht:
l Mindestlnge des Kennworts (acht Zeichen ist voreingestellt)
l mindestens ein kleingeschriebener Buchstabe
l mindestens ein grogeschriebener Buchstabe
l mindestens eine Zahl
l mindestens ein nicht-alphanumerisches Zeichen
Umdie ausgewhlten Kennworteigenschaften zu aktivieren, whlen Sie die Option Komplexe
Kennwrter verlangen und klicken Sie auf bernehmen.
162 UTM9 WebAdmin
Acti ve Di rectory Synchroni si erung der Gruppenmi tgli edschaft
Verwenden Sie diese Option umdie Hintergrundsynchronisation der ADGrup-
penmitgliedschaftsinformation zu aktivieren.
Die UTMkann die Gruppenmitgliedschaftsinformationen regelmig synchronisieren und lokal
zwischenspeichern, umden Active-Directory-Server zu entlasten. Wenn diese Option aktiviert
ist, werden die Gruppenmitgliedschaftsinformationen mit demkonfigurierten Active-Directory-
Single-Sign-On-Server synchronisiert.
Klicken Sie auf Jetzt synchronisieren, umdie Gruppenmitgliedschaftsinformationen sofort zu
synchronisieren
Verzei chni sbenutzer vorab holen
Benutzer von eDirectory oder Active Directory knnen mit der UTMsynchronisiert werden. Das
bedeutet, dass Benutzerdefinitionen vorab auf UTMangelegt werden, sodass diese Benut-
zerdefinitionen bereits existieren, wenn sich ein Benutzer anmeldet. Der Syn-
chronisierungsprozess kann wchentlich oder tglich stattfinden.
Umdas Vorabholen (engl. prefetching) zu aktivieren, nehmen Sie die folgenden Einstellungen
vor:
Server: Die Auswahlliste enthlt Server, die auf der Registerkarte Server angelegt wurden.
Whlen Sie einen Server aus, fr den Sie das Vorabholen aktivieren mchten.
Vorabholenintervall: Whlen Sie ein Intervall, umBenutzer vorab zu holen. Umdie Syn-
chronisierung wchentlich stattfinden zu lassen, whlen Sie einen Wochentag, amdemdie Syn-
chronisierung beginnen soll. Umdie Synchronisierung tglich stattfinden zu lassen, whlen Sie
Tglich.
Vorabholenzeit: Whlen Sie eine Uhrzeit, zu der das Vorabholen von Benutzern stattfinden
soll.
Gruppen: Geben Sie hier die Gruppen ein, die imVoraus angelegt werden sollen. Sie knnen
den integrierten LDAP-Browser verwenden, umdie Gruppen auszuwhlen.
Aktiviere Backend-Synchronisierung bei Anmeldung (optional): Bei jedemVorabholen
wird die Option Backend-Sync. der betreffenden Benutzer (Registerkarte Benutzer &Gruppen
>Benutzer) auf den hier festgelegten Wert gesetzt. Wenn die Option aktiv ist, wird also die Opti-
on Backend-Sync. der Benutzer aktiviert, und wenn die Option deaktiviert ist, wird die Option
Backend-Sync. der Benutzer deaktiviert.
UTM9 WebAdmin 163
Jetzt vorab holen: Klicken Sie auf diese Schaltflche, umdas Vorabholen sofort zu starten.
Vorabholen-Live-Protokoll ffnen: Klicken Sie auf diese Schaltflche, umdas Vorabholen-
Live-Protokoll zu ffnen.
164 UTM9 WebAdmin
6 Schnittstellen & Routing
In diesemKapitel wird die Konfiguration von Schnittstellen und netzwerkspezifischen Ein-
stellungen in Sophos UTMbeschrieben. Die Seite Netzwerkstatistik imWebAdmin gibt einen
berblick ber die zehn aktivsten Dienste und Quellhosts sowie die gleichzeitigen Ver-
bindungen von heute. In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick auf den
Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie
weitere statistische Informationen finden knnen.
l Schnittstellen
l Bridging
l Dienstqualitt (QoS)
l Uplink-berwachung
l IPv6
l Statisches Routing
l Dynamisches Routing (OSPF)
l Border Gateway Protocol
l Multicast Routing (PIM-SM)
6.1 Schnittstellen
Ein Gateway bentigt mindestens zwei Netzwerkkarten, umein internes LANmit einemexter-
nen Netzwerk (z.B. demInternet) zu verbinden. In den folgenden Beispielen ist die Netz-
werkkarte eth0immer die interne Netzwerkschnittstelle. Die Netzwerkkarte eth1ist als exter-
ne Netzwerkschnittstelle vorgesehen (z.B. zumInternet). Diese beiden Seiten werden auch
Trusted bzw. Untrusted genannt.
Whrend der Installation werden die Netzwerkkarten automatisch erkannt. Wenn bei der Soft-
ware-Appliance weitere Netzwerkkarten hinzugefgt werden, ist eine Neuinstallation des
Sicherheitssystems notwendig. Nutzen Sie hierfr die Backup-Funktion, umnach der Neu-
installation Ihre aktuelle Systemkonfiguration einfach wieder einzuspielen.
6.1 Schnittstellen 6 Schnittstellen & Routing
Das Gateway muss die einzige Schnittstelle zwischen deminternen und demexternen Netz-
werk sein. Alle Datenpakete mssen UTMpassieren. Es wird dringend davon abgeraten, die
internen und externen Schnittstellen ber einen Hub oder Switch physikalisch zusammen auf
ein Netzwerksegment zu legen, es sei denn, dieser ist als VLAN-Switch konfiguriert. Es kann zu
falschen ARP-Auflsungen (Address Resolution Protocol) kommen (ARP-Clash) die nicht alle
Betriebssysteme (z.B. die von Microsoft) verwalten knnen. Pro Gateway-Netz-
werkschnittstelle muss daher auch ein physikalisches Netzwerk-Segment verwendet werden.
ImMen Schnittstellen knnen Sie alle auf UTMinstallierten Netzwerkkarten sowie die Schnitt-
stellen zumexternen Netzwerk (Internet) und zu den internen Netzwerken (LAN, DMZ) kon-
figurieren und verwalten.
Hinweis Beachten Sie bei der Planung Ihrer Netzwerktopologie und der Konfiguration von
UTM, welche Netzwerkkarten Sie jeweils auf der Appliance auswhlen. In den meisten Kon-
figurationen ist als Verbindung zumexternen Netzwerk die Netzwerkschnittstelle mit SysID
eth1vorgesehen. Fr die sptere Installation eines Hochverfgbarkeitssystems (HA) ben-
tigen Sie auf beiden Systemen eine Netzwerkkarte mit gleicher SysID. Weitere Informationen
zur Installation des Hochverfgbarkeitssystems (HA-Failover) finden Sie auf der Seite Ver-
waltung >Hochverfgbarkeit.
In den folgenden Abschnitten wird erklrt, wie die verschiedenen Arten von Schnittstellen ber
die Registerkarten Schnittstellen, Zustzliche Adressen, Linkbndelung, Uplink-Ausgleich, Mul-
tipathregeln und Hardware verwaltet und konfiguriert werden.
6.1.1 Schnittstellen
Auf der Registerkarte Schnittstellen knnen Sie die Netzwerkkarten und virtuellen Schnitt-
stellen konfigurieren. In der Liste sind die bereits konfigurierten Netzwerkschnittstellen mit
ihremsymbolischen Namen, Netzwerkkarte und aktueller Adresse aufgefhrt. Der Status jeder
Schnittstelle wird ebenso angezeigt. Durch Anklicken des Schiebereglers knnen Sie Schnitt-
stellen aktivieren und deaktivieren. Beachten Sie, dass Schnittstellengruppen keinen Schie-
beregler haben.
Tipp Durch einen Klick auf das Infosymbol einer Netzwerkschnittstelle in der Liste Schnitt-
stellen werden Ihnen alle Konfigurationen angezeigt, in denen diese Schnittstelle verwendet
wird.
166 UTM9 WebAdmin
Neu hinzugefgte Schnittstellen knnen amAnfang als Aus angezeigt werden, solange sich die
Verbindung noch imAufbau befindet. Sie knnen Schnittstellen bearbeiten oder lschen,
indemSie auf die entsprechenden Schaltflchen klicken.
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen
Jede Schnittstelle auf Ihrer UTMbesitzt einen symbolischen Namen und eine Netzwerkkarte,
der sie zugewiesen ist. Der symbolische Name wird verwendet, wenn Sie in anderen Kon-
figurationen auf diese Schnittstelle referenzieren. Fr jede Schnittstelle wird automatisch eine
passende Gruppe von Netzwerkdefinitionen von der UTMerstellt:
l Eine Definition, die die aktuelle IP-Adresse der Schnittstelle enthlt, und deren Name
sich aus demSchnittstellennamen und demZusatz (Address) zusammensetzt.
l Eine Definition, die das Netzwerk enthlt, mit demdie Schnittstelle verbunden ist, und
deren Name sich aus demSchnittstellennamen und demZusatz (Network) zusam-
mensetzt. Diese Definition wird nicht fr Point-to-Point-Schnittstellen (PPP) angelegt.
l Eine Definition, die die Broadcast-Adresse der Schnittstelle enthlt, und deren Name
sich aus demSchnittstellennamen und demZusatz (Broadcast) zusammensetzt. Diese
Definition wird nicht fr Point-to-Point-Schnittstellen (PPP) angelegt.
Wenn die Schnittstelle eine dynamische Methode zur Adresszuweisung verwendet (wie z.B.
DHCPoder Fernzuweisung), so werden diese Definitionen automatisch aktuell gehalten. Alle
Einstellungen, die sich auf diese Definitionen beziehen, z.B. Firewall- und NAT-Regeln, werden
ebenfalls automatisch mit den genderten Adressen aktualisiert.
Eine Schnittstelle mit demsymbolischen Namen Internal ist bereits vordefiniert. Hierbei handelt
es sich umdie Administrationsschnittstelle, die typischerweise als interne Schnittstelle der UTM
verwendet wird. Falls Sie sie umbenennen mchten, sollten Sie das direkt nach der Installation
tun.
6.1.1.2 Arten von Schnittstellen
Die nachfolgende Liste gibt eine bersicht darber, welche Schnittstellentypen zur UTMhin-
zugefgt werden knnen und welche Hardware dafr bentigt wird:
Gruppe:Sie knnen Ihre Schnittstellen in Gruppen organisieren. Bei entsprechender Kon-
figuration knnen Sie eine Schnittstellengruppe anstelle mehrerer einzelner Schnittstellen wh-
len.
3G/UMTS: Diese Schnittstelle basiert auf einemUSB-Modem-Stick. Bevor die Schnittstelle
erstellt wird, muss der Stick eingesteckt und die UTMneu gestartet werden.
UTM9 WebAdmin 167
6 Schnittstellen & Routing 6.1 Schnittstellen
DSL (PPPoA/PPTP): PPPover ATM. Ein DSL-PPPoA-Gert ermglicht Ihnen, Ihr Gateway
an PPP-over-ATM-kompatible DSL-Leitungen anzuschlieen. Diese Gerte benutzen das
PPTP-Protokoll, umIP-Pakete zu tunneln. Sie erfordern eine dedizierte Ethernet-Verbindung
(sie knnen nicht mit anderen Schnittstellen auf derselben Hardware koexistieren). Sie mssen
ein DSL-Modeman das Schnittstellennetzwerksegment anschlieen. Die Netzwerkparameter
fr diese Gertetypen knnen ber eine entfernte Stelle zugewiesen werden (blicherweise Ihr
Internetanbieter). Auerdemmssen Sie einen Benutzernamen und Kennwort fr das Konto
bei IhremISPangeben. Auch mssen Sie die IP-Adresse Ihres Modems angeben. Diese Adres-
se ist demModemnormalerweise fest zugewiesen und kann nicht gendert werden. Ummit
demModemkommunizieren zu knnen, mssen Sie eine NIC-IP-Adresse und eine Netz-
maske eingeben. Die IP-Adresse des Modems muss sich dabei innerhalb des durch diese Para-
meter definierten Netzwerks befinden. Die Ping-Adresse muss ein Host amanderen Ende der
PPTP-Verbindung sein, der die ICMP-Pinganfragen beantwortet. Sie knnen versuchen, den
DNS-Server Ihres ISPdafr zu verwenden. Falls diese Adresse nicht ber Ping erreicht wer-
den kann, wird angenommen, dass die Verbindung tot ist, und die Verbindung wird neu auf-
gebaut.
DSL (PPPoE): PPPover Ethernet. Ein DSL-PPPoE-Gert ermglicht Ihnen, Ihr Gateway an
PPP-over-Ethernet-kompatible DSL-Leitungen anzuschlieen. Diese Gerte erfordern eine
dedizierte Ethernet-Verbindung (sie knnen nicht mit anderen Schnittstellen auf derselben
Hardware koexistieren). Sie mssen ein DSL-Modeman das Schnittstellennetzwerksegment
anschlieen. Die Netzwerkparameter fr diese Gertetypen knnen ber eine entfernte Stelle
zugewiesen werden (blicherweise Ihr Internetanbieter). Auerdemmssen Sie einen Benut-
zernamen und Kennwort fr das Konto bei IhremISPangeben.
Ethernet DHCP: Dies ist eine Standard-Ethernet-Schnittstelle mit DHCP.
Ethernet Static: Dabei handelt es sich umeine normale Ethernet-Schnittstelle mit einer Band-
breite von 10, 100 oder 1000 Mbit/s.
Ethernet VLAN: VLAN(Virtual LAN) ist eine Methode, ummehrere getrennte Netz-
werksegmente der 2. Schicht auf einer einzigen Hardwareschnittstelle zu ermglichen. Jedes
Segment wird durch eine VLAN-ID(auch engl. tag genannt) identifiziert, wobei es sich umeine
einfache Ganzzahl (engl. integer) handelt. Wenn Sie eine VLAN-Schnittstelle hinzufgen,
erzeugen Sie damit ein Hardware-Gert, das dazu verwendet werden kann, auch zustzliche
Schnittstellen (Aliasse) hinzuzufgen. PPPoE- und PPPoA-Gerte knnen nicht ber VLAN-vir-
tuelle Hardware betrieben werden.
Modem(PPP): Mit diesemSchnittstellentyp knnen Sie die UTMber ein PPP-Modemmit
demInternet verbinden. Fr die Konfiguration bentigen Sie eine serielle Schnittstelle und ein
168 UTM9 WebAdmin
externes Modemauf der UTM. Darber hinaus bentigen Sie DSL-Zugangsdaten wie Benut-
zername und Kennwort. Diese Daten erhalten Sie von IhremInternetanbieter.
ber flexi ble Slots
Bestimmte Typen von Sophos-Hardware-Appliances besitzen so genannte Slots, ber die die
Schnittstellen-Hardware einfach verndert werden kann, indemSlot-Module flexibel ein-
gesteckt oder ausgetauscht werden. Wenn diese Art von Hardware verwendet wird, zeigt der
WebAdmin die Slot-Information zusammen mit den Hardware-Schnittstellen an. Dies sieht bei-
spielsweise so aus: eth1 [A6] Intel Corporation 82576 Gigabit Network Connection, wobei die
Slot-Information in den eckigen Klammern steht, und A6 der sechste Port in Slot Aist. Derzeit
sind bis zu drei Slots mglich, die von Abis Cbenannt sind und jeweils bis zu acht Ports besitzen
knnen. Integrierte Schnittstellenkarten heien [MGMT1] und [MGMT2].
Slot-Informationen werden an den folgenden Stellen des WebAdmin angezeigt:
l Schnittstellen &Routing >Schnittstellen >Schnittstellen
l Schnittstellen &Routing >Schnittstellen >Hardware
l Imgesamten WebAdmin in Hardware-Auswahllisten und Listen, in denen Hard-
wareschnittstellen-Informationen angezeigt werden
Aktuelle Informationen darber, welche Appliance-Typen flexible Slots besitzen, finden Sie auf
der Sophos UTMWebseite .
6.1.1.3 Gruppe
Zwei oder mehr Schnittstellen lassen sich zu einer Gruppe zusammenfassen. Gruppen erleich-
tern die Konfiguration. BeimErstellen von Multipathregeln mssen Sie eine Gruppe kon-
figurieren, wenn Sie den Datenverkehr auf eine definierte Gruppe von Uplink-Schnittstellen ver-
teilen mchten, anstatt alle Uplink-Schnittstellen zu verwenden.
Umeine Gruppen-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfeld Neue Schnittstelle erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Schnittstelle ein.
Art: Whlen Sie Gruppe aus der Auswahlliste aus.
Schnittstellen: Fgen Sie die gewnschten Schnittstellen zur Gruppe hinzu.
UTM9 WebAdmin 169
zu.
Die Gruppe wird zur Schnittstellenliste hinzugefgt. Gruppen haben keinen Status.
Umnur Schnittstellen einer bestimmten Art angezeigt zu bekommen, whlen Sie imFiltermen
die entsprechende Art. Umeine Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die
entsprechenden Schaltflchen.
6.1.1.4 3G/UMTS
Sophos UTMuntersttzt Netzwerkverbindungen ber 3G/UMTS-USB-Sticks.
Umeine 3G/UMTS-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Art: Whlen Sie 3G/UMTSaus der Auswahlliste aus.
Hardware: Whlen Sie einen USB-Modem-Stick aus der Auswahlliste. Beachten Sie,
dass nach demAnschluss des USB-Sticks ein Neustart erforderlich ist.
Netzwerk: Whlen Sie den Typ des Mobilfunknetzes aus (entweder GSM/W-CDMA,
CDMAoder LTE).
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
dardgateway Ihres Anbieters nutzen mchten.
PIN(optional): Geben Sie die PINder SIM-Karte ein, falls eine PINkonfiguriert ist.
APN automatisch whlen: (optional): Standardmig wird der APN(Access Point
Name) vomUSB-Modem-Stick abgerufen. Wenn Sie die Auswahl dieses Kon-
trollkstchens deaktivieren, mssen Sie die APN-Informationen in das Feld APNein-
geben.
Benutzername/Kennwort (optional): Geben Sie, sofern erforderlich, einen Benut-
zernamen und ein Kennwort fr das Mobilfunknetz ein.
170 UTM9 WebAdmin
Einwahlkennung (optional): Sollte Ihr Dienstanbieter eine spezifische Einwahlkennung
verwenden, mssen Sie diese hier eingeben. Der Standardwert ist *99#.
zu.
Init-Kennung: Geben Sie die Kennung zur Initialisierung des USB-Modem-Sticks ein.
Beachten Sie, dass die Init-Kennung eventuell demUSB-Modem-Stick angepasst wer-
den muss. In diesemFall entnehmen Sie die Init-Kennung demzugehrigen Handbuch
des USB-Modem-Sticks. Falls Sie keine entsprechende Dokumentation zur Verfgung
haben, tragen Sie in das Eingabefeld ATZ ein.
Rckstellungskennung: Geben Sie die Kennung zur Rckstellung des USB-Modem-
Sticks ein. Beachten Sie auch hier, dass die Rckstellungskennung eventuell demUSB-
Modem-Stick angepasst werden muss. In diesemFall entnehmen Sie diese demzuge-
hrigen Handbuch des USB-Modem-Sticks. Falls Sie keine entsprechende Doku-
mentation zur Verfgung haben, tragen Sie in das Eingabefeld ATZ ein.
MTU: Geben Sie die maximale Gre der Datenpakete (engl. MaximumTransmission
Unit) fr die Schnittstelle in Byte an. Sie mssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern gendert
werden, da ein falscher Wert die Schnittstelle funktionsunfhig machen kann. Ein MTU-
Wert, der grer als 1500 Byte ist, muss vomNetzwerkbetreiber und der Netzwerkkarte
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr die Schnitt-
stellenart 3G/UMTSauf 1500 Byte voreingestellt.
Asymmetrisch (optional): Whlen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies
widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
des Uplinks in entweder MB/s oder KB/s angeben knnen. Whlen Sie die ent-
sprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier knnen Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Band-
breite kann entweder in MB/s oder KB/s angegeben werden. Whlen Sie die ent-
UTM9 WebAdmin 171
Das Systemprft die Einstellungen nun auf ihre Gltigkeit. Nach der erfolgreichen Pr-
fung wird die neue Schnittstelle in der Schnittstellen-Liste angezeigt. Die Schnittstelle ist
noch nicht aktiv (Schieberegler ist grau).
5. Aktivieren Sie die Schnittstelle.
Klicken Sie auf den Schieberegler, umdie Schnittstelle zu aktivieren.
Die Schnittstelle ist jetzt aktiv (Schieberegler ist grn). Die Schnittstelle wird zunchst
mglicherweise noch als Aus (nicht verbunden) angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die neue Schnittstelle ist
betriebsbereit, wenn die Statusmeldung An angezeigt wird.
6.1.1.5 Ethernet-Statisch
Umeine Netzwerkkarte fr eine statische Ethernet-Verbindung zu eineminternen oder exter-
nen Netzwerk zu konfigurieren, muss die Netzwerkkarte mit einer IP-Adresse und einer Netz-
maske konfiguriert werden.
Umeine Ethernet-Statisch-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Art: Whlen Sie Ethernet-Statisch aus der Auswahlliste aus.
Hardware: Whlen Sie eine Schnittstelle aus der Auswahlliste aus.
Tipp Whlen Sie als Schnittstelle zumexternen Netzwerk (z.B. zumInternet) die
Netzwerkkarte mit der SysIDeth1 aus. Beachten Sie, dass eine Netzwerkkarte nicht
gleichzeitig als Ethernet-Statisch-Schnittstelle und als PPP-over-Ethernet (PPPoE-
DSL) oder PPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
172 UTM9 WebAdmin
Netzmaske: Whlen Sie eine Netzmaske (IPv4) und/oder geben Sie eine IPv6-Netz-
maske ein.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP(optional): Geben Sie hier die IP-Adresse des Standardgateways ein.
Hinweis Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besit-
zen.
zu.
stellenart Ethernet-Statisch auf 1500 Byte voreingestellt.
Proxy-ARP: Whlen Sie diese Option aus, umdie Proxy-ARP-Funktion zu aktivieren.
Standardmig ist die Funktion Proxy-ARPdeaktiviert.
Diese Funktion ist fr Schnittstellen vomTyp Broadcast verfgbar. Wenn diese Funktion
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr ande-
re Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe bernimmt
die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das
ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die Fire-
wall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
wenn der Router Ihres Anbieters (ISP) Ihr offiziellesNetzwerk einfach auf seine Ether-
netschnittstelle setzt (anstelle eine Host-Route zu verwenden).
UTM9 WebAdmin 173
6.1.1.6 Ethernet VLAN
Umeine Verbindung zwischen der UTMund den virtuellen LANs herzustellen, bentigt das Sys-
temeine Netzwerkkarte mit einemTag-fhigen Treiber. Ein -Tag ist ein kleiner 4-Byte-Header,
der an den Ethernet-Header von Paketen angefgt wird. Das Tag enthlt die Nummer des
VLAN, fr das dieses Paket bestimmt ist: Die VLAN-Nummer besteht aus 12 Bit, dadurch sind
4.095 verschiedene virtuelle LANs mglich. Diese VLAN-Nummer wird in WebAdmin als
VLAN-Tag oder VLAN-IDbezeichnet.
Hinweis Sophos verwaltet eine Liste der untersttzten, Tag-fhigen Netzwerkkarten. Die
Hardwarekompatibilittsliste (Hardware Compatibility List; HCL) steht in Sophos Know-
ledgebase zur Verfgung. Verwenden Sie HCLals Suchbegriff, umdie entsprechende Sei-
te zu finden.
Umeine Ethernet-VLAN-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
174 UTM9 WebAdmin
1.
Art: Whlen Sie Ethernet-VLANaus der Auswahlliste aus.
VLAN-Tag: Tragen Sie das VLAN-Tag fr diese Schnittstelle ein.
IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
Netzmaske: Whlen Sie eine Netzmaske (IPv4) und/oder geben Sie eine IPv6-Netz-
maske ein.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP(optional): Geben Sie hier die IP-Adresse des Standardgateways ein.
zen.
zu.
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr den Schnitt-
stellentyp Ethernet-VLANauf 1.500 Byte voreingestellt.
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr
UTM9 WebAdmin 175
andere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe ber-
nimmt die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt.
Das ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die
Firewall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
6.1.1.7 Ethernet-DHCP
Umeine Ethernet DHCP-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
176 UTM9 WebAdmin
Art: Whlen Sie Ethernet-DHCPaus der Auswahlliste aus.
Tipp Whlen Sie als Schnittstelle zumexternen Netzwerk (z.B. zumInternet) die
Netzwerkkarte mit der SysIDeth1aus. Beachten Sie, dass eine Netzwerkkarte nicht
gleichzeitig als Ethernet-DHCPund als PPP-over-Ethernet (PPPoE-DSL) oder PPTP-
over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4-/IPv6-Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
zu.
Hostname: Wenn Ihr ISPden Hostnamen Ihres Systems bentigt, geben Sie ihn hier
ein.
(z.B. Gigabit-Netzwerkkarte) untersttzt werden.Der MTU-Wert ist fr den Schnitt-
stellentyp Ethernet-DHCPauf 1.500 Byte voreingestellt.
aktiviert ist, wird die UTMber diese Schnittstelle Datenverkehr stellvertretend fr ande-
re Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe bernimmt
die Firewall fr alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das
ermglicht Ihnen, ein transparentesNetzwerk-Bridging einzurichten ohne auf die Fire-
wall-Eigenschaften zu verzichten. Ein anderer Anwendungsfall fr diese Funktion ist,
UTM9 WebAdmin 177
6.1.1.8 DSL (PPPoE)
Fr diese Konfiguration bentigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von IhremISP. VDSL wird ebenfalls von dieser Schnitt-
stellenart untersttzt.
Hinweis Die UTMist nach Aktivierung der DSL-Verbindung tglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung
als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
178 UTM9 WebAdmin
Umeine DSL-(PPPoE)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Art: Whlen Sie DSL (PPPoE) aus der Auswahlliste aus.
VDSL: Whlen Sie diese Option (nur) aus, wenn es sich bei der Verbindung umeine
VDSL-Verbindung handelt. Der MTU-Wert ndert sich auf 1476.
Statische PPPoE-IP(optional): Markieren Sie dieses Auswahlkstchen, wenn Sie von
IhremInternetanbieter eine statische IP-Adresse zugewiesen bekommen haben, und
geben Sie die IP-Adresse und die dazugehrige Netzmaske in die angezeigten Text-
felder ein.
l IPv4/IPv6-Adresse: Geben Sie die IP-Adresse fr die Schnittstelle ein.
l Netzmaske: Whlen Sie aus der Auswahlliste eine Netzmaske aus und/oder
geben Sie eine IPv6-Netzmaske ein.
zen.
IPv4/IPv6 Standard-GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
Benutzername: Geben Sie den Benutzernamen ein, den Sie von IhremAnbieter erhal-
ten haben.
Kennwort: Geben Sie das Kennwort ein, das Sie von IhremInternetanbieter erhalten
haben.
zu.
UTM9 WebAdmin 179
(z.B. Gigabit-Netzwerkkarte) untersttzt werden. Der MTU-Wert ist fr die Schnitt-
stellenart DSL (PPPoE) auf 1492 Byte voreingestellt.
VLAN-Tag (nur wenn VDSL aktiv ist):Geben Sie den VLAN-Tag ein, der zu den
PPPoE-Paketen hinzugefgt werden soll. Das korrekteTag erfahren Sie von Ihrem
VDSL-Provider. Der Standardwert 7 wird derzeit fr die PPPoE-Verbindung der Deut-
schen Telekomverwendet.
Tgliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung been-
det und wieder neu aufgebaut werden soll. Sie knnen zwischen Nie und einer belie-
bigen Uhrzeit whlen.
Verzgerte Wiedereinwahl: Definieren Sie hier die Zeitverzgerung fr die Wie-
dereinwahl. Standardmig betrgt sie 5 Sekunden. Sollte Ihr Anbieter eine lngere Ver-
zgerung erfordern, knnen Sie den Wert auf Eine Minute oder Fnfzehn Minuten set-
zen.
Multilink: Wenn die Option aktiv ist, knnen Sie mehrerePPP-Verbindungen bndeln.
Eine Multilink-PPP-Verbindungist nur mglich, wenn Ihr ISPMultilink PPPuntersttzt.
Multilink-Slaves: Whlen Sie die Schnittstellen, die Sie mit der oben gewhlten Hard-
ware zu einemMultilink bndeln mchten.
180 UTM9 WebAdmin
6.1.1.9 DSL (PPPoA/PPTP)
Fr die Konfiguration einer PPP-over-ATM-Verbindung (PPPoA) bentigen Sie auf der UTM
eine freie Ethernet-Netzwerkkarte und ein externes ADSL-Modemmit Ethernet-Anschluss.
Die Verbindung zumInternet erfolgt ber zwei Teilstrecken. Zwischen der UTMund dem
ADSL-Modemerfolgt die Verbindung mit demProtokoll PPTPover Ethernet. Die Verbindung
vomADSL-ModemzumInternetanbieter (ISP) erfolgt mit demADSL-Einwahlprotokoll PPP
over ATM.
Fr diese Konfiguration bentigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von IhremISP.
Hinweis Die UTMist nach Aktivierung der DSL-Verbindung tglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung
als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
Umeine DSL-(PPPoA/PPTP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Art: Whlen Sie DSL (PPPoA/PPTP) aus der Auswahlliste aus.
UTM9 WebAdmin 181
IPv4/IPv6 default GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
ten haben.
haben.
zu.
Modem-IP: Geben Sie die IP-Adresse des ADSL-Modems ein. Diese Adresse wird in
der Regel vomAnbieter oder von der Hardware mitgeliefert und kann nicht gendert
werden. Beispiel: 10.0.0.138(bei AonSpeed).
NIC-Adresse: Geben Sie die IP-Adresse fr die Netzwerkkarte auf der UTMein, die an
das Modemangeschlossen ist. Diese Adresse muss imselben Subnetz liegen wie die IP-
Adresse des Modems. Beispiel: 10.0.0.140(bei AonSpeed).
NIC-Netzmaske: Tragen Sie die Netzmaske ein.
Beispiel: 255.255.255.0(bei AonSpeed).
Ping-Adresse (optional): Geben Sie die IP-Adresse eines Hosts imInternet ein, der auf
ICMP-Ping-Anfragen antwortet. Umdie Verbindung zwischen der UTMund demexter-
nen Netzwerk zu testen, geben Sie eine IP-Adresse eines Hosts amanderen Ende der
PPTP-Verbindung an. Sie knnen versuchen, den DNS-Server Ihres ISPdafr zu ver-
wenden. Die UTMsendet Ping-Anfragen zu diesemHost: Falls das Systemvon diesem
Host keine Antwort erhlt, ist die Verbindung nicht intakt.
(z.B. Gigabit-Netzwerkkarte) untersttzt werden. Der MTU-Wert ist fr die Schnitt-
stellenart DSL (PPPoA) auf 1492 Byte voreingestellt.
182 UTM9 WebAdmin
Tgliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung been-
det und wieder neu aufgebaut werden soll. Sie knnen zwischen Nie und einer belie-
bigen Uhrzeit whlen.
Verzgerte Wiedereinwahl: Definieren Sie hier die Zeitverzgerung fr die Wie-
dereinwahl. Standardmig betrgt sie 5 Sekunden. Sollte Ihr Anbieter eine lngere Ver-
zgerung erfordern, knnen Sie den Wert auf Eine Minute oder Fnfzehn Minuten set-
zen.
6.1.1.10 Modem (PPP)
Fr die Konfiguration bentigen Sie eine serielle Schnittstelle und ein externes PPP-Modemauf
der UTM. Darber hinaus bentigen Sie DSL-Zugangsdaten wie Benutzername und Kenn-
wort. Diese Daten erhalten Sie von IhremInternetanbieter.
UTM9 WebAdmin 183
Umeine Modem-(PPP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1.
Art: Whlen Sie Modem(PPP) aus der Auswahlliste aus.
IPv4/IPv6 default GW(optional): Whlen Sie diese Option, wenn Sie das Stan-
ten haben.
haben.
Einwahlkennung: Geben Sie die Telefonnummer ein. Beispiel: 5551230
zu.
Geschwindigkeit: Stellen Sie hier die Geschwindigkeit in Bit pro Sekunde fr die Ver-
bindung zwischen der UTMund demModemein. bliche Werte sind 57.600 Bit/s und
115.200 Bit/s.
Datenflusskontrolle: Stellen Sie die Methode zur Kontrolle des Datenflusses ein.
Wenn die Daten ber die serielle Verbindung laufen, kann es vorkommen, dass das Sys-
temdie ankommenden Daten nicht schnell genug verarbeiten kann. Umsicherzustellen,
dass keine Daten verloren gehen, ist eine Methode zur Kontrolle des Datenflusses not-
wendig. Bei der seriellen Verbindung sind zwei Methoden verfgbar:
l Hardware-Signale
l Software-Signale
Da bei einer PPP-Verbindung alle acht Bit der Leitung verwendet werden und sich in den
bertragenen Daten die Byte der Steuerzeichen Control Sund Control Qbefinden, emp-
fehlen wir, die Voreinstellung Hardware beizubehalten und ein entsprechendes serielles
Verbindungskabel zu verwenden.
184 UTM9 WebAdmin
Init-Kennung: Geben Sie die Kennung zur Initialisierung des Modems ein. Beachten
Sie, dass die Init-Kennung (init string) eventuell demModemangepasst werden muss. In
diesemFall entnehmen Sie die Init-Kennung demzugehrigen Modem-Handbuch. Falls
Sie keine entsprechende Dokumentation zur Verfgung haben, tragen Sie in das Ein-
gabefeld ATZ ein.
Rckstellungskennung: Geben Sie die Rckstellungskennung (reset string) fr das
Modemein. Beachten Sie auch hier, dass die Rckstellungskennung eventuell dem
Modemangepasst werden muss. In diesemFall entnehmen Sie diese demzugehrigen
Modem-Handbuch. Falls Sie keine entsprechende Dokumentation zur Verfgung
haben, tragen Sie in das Eingabefeld ATZ ein.
stellenart Modem(PPP) auf 1492 Byte voreingestellt.
UTM9 WebAdmin 185
6.1.2 Zustzliche Adressen
Eine Netzwerkkarte kann mit zustzlichen IP-Adressen konfiguriert werden (auch Aliasse
genannt). Diese Funktion wird bentigt, umauf einer physikalischen Netzwerkkarte mehrere
logische Netzwerke zu verwalten. Sie kann auch verwendet werden, umder UTMimZusam-
menhang mit NAT (Network Address Translation) zustzliche Adressen zuzuweisen.
Umzustzliche Adressen auf einer Netzwerkkarte zu konfigurieren, gehen Sie fol-
gendermaen vor:
1. Klicken Sie auf der Registerkarte Zustzliche Adressen auf Neue zustzliche
Adresse.
Das Dialogfeld Neue zustzliche Adresse erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die neue zustzliche Adresse ein.
Auf Schnittstelle: Whlen Sie imAuswahlmen die Netzwerkkarte aus, der die Adres-
se zugewiesen werden soll.
IPv4-/IPv6-Adresse: Geben Sie die zustzliche IP-Adresse fr die Schnittstelle ein.
Netzmaske: Whlen Sie aus der Auswahlliste eine Netzmaske aus und/oder geben Sie
eine IPv6-Netzmaske ein.
zen.
zu.
186 UTM9 WebAdmin
4. Aktivieren Sie die zustzliche Adresse.
Aktivieren Sie die zustzliche Adresse durch einen Klick auf den Schieberegler.
Die zustzliche Adresse ist nun eingeschaltet (Schieberegler zeigt Grn). Die zustzliche
Adresse wird mglicherweise dennoch als Aus angezeigt. Das Systembentigt kurze
Zeit, umdie Einstellungen zu konfigurieren und zu laden. Die zustzliche Adresse ist voll-
stndig einsatzbereit, sobald die Meldung An angezeigt wird.
Umeine zustzliche Adresse zu bearbeiten oder zu lschen, klicken Sie auf die ent-
6.1.3 Linkbndelung
Linkbndelung (engl. Link Aggregation) (auch Kanalbndelung, port trunking oder NICbon-
ding) fasst mehrere parallele Ethernet-Verbindungen zu einer logischen Verbindung mit einer
IP-Adresse zusammen. Die gebndelten Ports werden von IhremSystemals eine einzige IP-
Adresse wahrgenommen. Mit Linkbndelung lsst sich einerseits die Bandbreite ber die Kapa-
zitt einer einzelnen NIChinaus vervielfachen, andererseits bietet es durch die redundanten
Verbindungen eine einfache Ausfallsicherung (Failover) und Fehlertoleranz fr den Fall, dass
ein Port oder Switch ausfllt. Der gesamte Datenverkehr, der ber den ausgefallenen Port
oder Switch lief, wird automatisch auf die brigen Ports oder Switches umgeleitet. Eine solche
Ausfallsicherung ist fr das System, das diese Verbindung benutzt, vllig transparent.
Hinweis In einer Hochverfgbarkeitsumgebung knnen die einzelnen Ethernet-Ver-
bindungen sogar auf verschiedenen HA-Einheiten sein.
Sie knnen bis zu vier verschiedene Linkbndelungsgruppen definieren. Eine Gruppe kann aus
einer oder mehreren Schnittstellen bestehen.
Umeine Linkbndelungsgruppe (LAG) zu konfigurieren, gehen Sie folgendermaen vor:
1. Whlen Sie fr jede LAG, welche Schnittstellen Sie hinzufgen wollen.
Eine Gruppe kann aus einer konfigurierten Schnittstelle und/oder einer oder mehreren
unkonfigurierten Schnittstellen bestehen.
UTM9 WebAdmin 187
Umeine konfigurierte Schnittstelle zu verwenden, whlen Sie diese aus der Auswahlliste
Konvertierungsschnittstelle aus. Umunkonfigurierte Schnittstellen zu verwenden, mar-
kieren Sie die entsprechenden Auswahlkstchen.
2. Aktivieren Sie die LAG.
Aktivieren Sie die LAGdurch einen Klick auf die Schaltflche Diese Gruppe aktivieren.
Sobald die Linkbndelungsgruppe konfiguriert ist, steht eine neue LAG-Schnittstelle
(z.B. lag0) zur Verfgung, die ausgewhlt werden kann, wenn Sie eine neue Schnitt-
stellendefinition auf der Registerkarte Schnittstellen anlegen. Fr eine LAGknnen die
folgenden Schnittstellenarten konfiguriert werden:
l Ethernet-Statisch
l Ethernet-VLAN
l Ethernet-DHCP
l Alias-Schnittstellen
Umeine LAGzu deaktivieren, entfernen Sie die Hkchen aus den Auswahlkstchen, die Teil
dieser LAGsind, klicken auf Diese Gruppe aktualisieren und besttigen den Warnhinweis. Der
Status der LAGwird auf der Registerkarte Support >Erweitert >Schnittstellen angezeigt.
6.1.4 Uplink-Ausgleich
Mit der Uplink-Ausgleich-Funktion knnen Sie mehrere Internetverbindungen zusam-
menfassen, entweder umZusatzverbindungen bei einemAusfall zu haben oder umdie Last
auf mehrere Verbindungen zu verteilen. Die Kombination von bis zu 32 unterschiedlichen Inter-
netverbindungen wird untersttzt. Beachten Sie, dass mit demBasicGuard-Abonnement nur
zwei Uplinks kombiniert werden knnen.
Der Uplink-Ausgleich ist automatisch aktiviert, wenn Sie einer Schnittstelle zustzlich zu einer
bereits vorhandenen Schnittstelle mit Standardgateway ein Standardgateway zuweisen. Alle
Schnittstellen mit Standardgateway werden zumFeld Aktive Schnittstellen hinzugefgt und der
Uplink-Ausgleich wird ab diesemZeitpunkt automatisch durchgefhrt. Weitere Schnittstellen
mit Standardgateway werden ebenfalls automatisch hinzugefgt.
Auf der Registerkarte Multipathregeln knnen Sie konkrete Regeln fr den auszugleichenden
Datenverkehr definieren.
Umden Uplink-Ausgleich manuell einzurichten, gehen Sie folgendermaen vor:
188 UTM9 WebAdmin
1. Aktivieren Sie den Uplink-Ausgleich.
Der Schieberegler wird gelb und der Abschnitt Uplink-Ausgleich kann nun bearbeitet wer-
den.
2. Whlen Sie aktive Schnittstellen aus.
Fgen Sie eine oder mehrere Schnittstellen hinzu, indemSie auf das Ordnersymbol kli-
cken und danach Schnittstellen aus der Objektleiste herberziehen. Bei mehreren
Schnittstellen wird der von Clients kommende Verkehr ber die Quelle ausgeglichen,
d.h., der gesamte von einer Quelle kommende Verkehr verwendet dieselbe Schnitt-
stelle, whrend Verkehr von anderen Quellen zu anderen Schnittstellen geleitet werden
kann. Wenn eine der Schnittstellen nicht erreichbar ist, wird der Verkehr von der/den ver-
bleibenden Schnittstelle(n) bernommen.
Hinweis Wenn der Uplink-Ausgleich automatisch aktiviert wurde, enthlt die Liste
Aktive Schnittstellen zunchst bereits alle Schnittstellen mit Standardgateway. Wenn
Sie eine Schnittstelle aus der Liste entfernen, wird das Auswahlkstchen Stan-
dardgateway der Schnittstelle automatisch deaktiviert. Daher muss jede Schnittstelle
mit Standardgateway entweder auf dieser Liste oder imFeld Standby-Schnittstellen
unten aufgefhrt sein. Sie knnen jedoch Schnittstellen ohne Standardgateway hin-
zufgen und die Standardgatewayadresse spter eingeben.
Hinweis Die Reihenfolge der Schnittstellen ist wichtig: In Konfigurationen, in denen
nur eine Schnittstelle verwendet werden kann, sowie fr Pakete, die von der UTM
selbst gesendet werden, wird standardmig die erste verfgbare aktive Schnittstelle
verwendet. Sie knnen die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Sym-
bole ndern.
ber das Symbol Planer bearbeitenin der Kopfzeile des Feldes knnen Sie das Ver-
teilungsverhalten und die Schnittstellenbindung der aktiven Schnittstellen festlegen:
Gewichtung: Die Gewichtung kann auf einen Wert zwischen 0 und 100 festgelegt wer-
den und gibt an, wie viel Datenverkehr eine Schnittstelle imVergleich zu allen anderen
Schnittstellen verarbeitet. Hierfr wird ein gewichteter Round-Robin-Algorithmus ver-
wendet. Ein hherer Wert bedeutet, dass mehr Datenverkehr ber die jeweilige Schnitt-
stelle geroutet wird. Die Werte werden imVerhltnis zueinander bewertet, daher muss
ihre Summe nicht 100 ergeben. So ist z.B. eine Konfiguration mglich, bei der
UTM9 WebAdmin 189
Schnittstelle 1 den Wert 100, Schnittstelle 2 den Wert 50 und Schnittstelle 3 den Wert 0
hat. Dabei bearbeitet Schnittstelle 2 nur halb so viel Datenverkehr wie Schnittstelle 1,
whrend Schnittstelle 3 nur aktiv wird, wenn keine der anderen Schnittstellen verfgbar
ist. Der Wert Null bedeutet, dass grundstzlich eine andere Schnittstelle mit hherem
Wert gewhlt wird, wenn diese verfgbar ist.
Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewhrleistet, dass Daten-
verkehr mit bestimmten Attributen immer ber dieselbe Uplink-Schnittstelle geroutet
wird. Die Bindung hat eine Zeitbeschrnkung von einer Stunde.
3. Ausgewhlte Standby-Schnittstellen (optional).
Hier knnen Sie optional Ersatz-Schnittstellen hinzufgen, die nur in Aktion treten, wenn
alle aktiven Schnittstellen unerreichbar sind. In diesemFall wird die erste verfgbare
Standby-Schnittstelle entsprechend der gegebenen Reihenfolge verwendet. Sie knnen
die Reihenfolge der Schnittstellen mit Hilfe der Sortieren-Symbole ndern.
4. berwachungseinstellungen ndern (optional).
Automatische berwachung ist standardmig aktiviert, umein mgliches Versagen
einer Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Schnitt-
stellen berwacht wird, indemein bestimmter Host imInternet in einemAbstand von 15
Sekunden angesprochen wird. Standardmig ist der berwachende Host der dritte
Pings zulassende Hop auf demWeg zu einemder Root-DNS-Server. Sie knnen die
Hosts zumberwachen der Server auch selbst bestimmen. Fr diese Hosts knnen Sie
einen anderen Dienst als Ping auswhlen und berwachungsintervall und -zeit-
berschreitung anpassen:
Sobald die berwachenden Hosts keine Antwort mehr senden, wird die entsprechende
Schnittstelle als tot betrachtet und nicht mehr fr die Verteilung verwendet. Auf demDas-
hboard wird dann in der Spalte Link der Schnittstelle Fehler angezeigt.
Hinweis Automatisch werden dieselben berwachungseinstellungen sowohl fr die
Uplink-berwachung (Uplink-berwachung >Erweitert) als auch fr den Uplink-Aus-
gleich (Schnittstellen >Uplink-Ausgleich) verwendet.
Eine neue virtuelle Schnittstelle namens Uplink Interfaces wird automatisch angelegt und steht
anderen Funktionen von Sophos UTMzur Verfgung, z.B. IPsec-Regeln. Die virtuelle Netz-
werkschnittstelle Uplink Interfaces umfasst alle Uplink-Schnittstellen, die der Schnittstellen-Liste
190 UTM9 WebAdmin
hinzugefgt wurden.
Eine neue virtuelle Schnittstelle namens Uplink Primary Addresses (Uplink-Hauptadressen)
wird automatisch angelegt und steht anderen Funktionen von Sophos UTMzur Verfgung,
z.B. Firewallregeln. Sie bezieht sich auf die Hauptadressen smtlicher Uplink-Schnittstellen.
ImFall des Versagens einer Schnittstelle knnen offene VPN-Tunnel automatisch ber die
nchste verfgbare Schnittstelle wiederhergestellt werden, vorausgesetzt, dass DynDNSver-
wendet wird oder der entfernte Server die IP-Adressen aller Uplink-Schnittstellen akzeptiert.
Voraussetzung ist, dass die IPsec-Regel die Uplink-Schnittstellen als Lokale Schnittstelle ver-
wendet.
berwachungs-Hosts definieren
Umeigene Hosts fr die berwachung des Server-Pools zu definieren, gehen Sie fol-
gendermaen vor:
1. Deaktivieren Sie das Auswahlkstchen Automatische berwachung.
Das Feld berwachende Hosts kann nun bearbeitet werden.
2. Fgen Sie die berwachenden Hosts hinzu.
Whlen Sie einen oder mehrere Hosts aus oder fgen Sie Hosts hinzu, die anstelle einer
zuflligen Auswahl an Hosts die berwachung bernehmen sollen. Wenn eine Schnitt-
stelle von mehr als einemHost berwacht wird, wird sie nur als tot betrachtet, wenn kei-
ner der berwachenden Hosts in der festgelegten Zeitspanne antwortet.Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Hinweis Wenn ein ausgewhlter Host an eine Schnittstelle gebunden ist, wird er nur
zur berwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle
gebunden, wird er zur berwachung aller Schnittstellen verwendet. Schnittstellen, die
nicht von den ausgewhlten Hosts berwacht werden, werden automatisch ber-
wacht.
Klicken Sie auf das Symbol berwachungseinstellungen bearbeiten imKopf des Feldes,
umdie berwachungsdetails festzulegen:
berwachungstyp:Whlen Sie das Dienstprotokoll fr die berwachungsprfungen
aus. Whlen Sie fr die Dienstberwachung entweder TCP(TCP-Verbindungsaufbau),
UDP(UDP-Verbindungsaufbau), Ping (ICMP-Ping), HTTPHost (HTTP-Anfragen)
UTM9 WebAdmin 191
oder HTTPSHost (HTTPS-Anfragen). Wenn Sie UDPverwenden, wird zunchst eine
Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist
der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Verbindung als aus-
gefallen.
Port (nur bei den berwachungstypen TCPund UDP):Port-Nummer, an die die Anfra-
ge gesendet wird.
URL (optional, nur bei berwachungstypen HTTP/SHost):Anzufragende URL. Sie kn-
nen statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indemSie die
Port-Information an die URL anhngen, z.B.
http://beispiel.domaene:8080/index.html. Wenn keine URLangegeben ist,
wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft wer-
den.
Zeitberschreitung:Geben Sie einen maximalen Zeitraumin Sekunden an, in demdie
berwachenden Hosts eine Antwort senden knnen. Wenn keiner der berwachenden
Hosts einer Schnittstelle in diesemZeitraumantwortet, wird die Schnittstelle als tot
betrachtet.
6.1.5 Multipathregeln
Auf der Registerkarte Schnittstellen &Routing >Schnittstellen >Multipathregeln knnen Sie
Regeln fr den Uplink-Ausgleich erstellen. Die Regeln werden auf die aktiven Schnittstellen der
Registerkarte Uplink-Ausgleich angewendet, falls es mehr als eine Schnittstelle gibt, umVer-
kehr auszugleichen. Ohne Multipathregeln werden die Dienste ber die Quelle ausgeglichen,
d.h., der gesamte von einer Quelle kommende Verkehr verwendet dieselbe Schnittstelle, wh-
rend Verkehr von anderen Quellen zu anderen Schnittstellen geleitet werden kann. Mit Mul-
tipathregeln knnen Sie diese Standard-Schnittstellenbindung ndern.
Hinweis Multipathregeln knnen fr die Diensttypen TCP, UDPoder IPeingerichtet wer-
den.
Umeine Multipathregel anzulegen, gehen Sie folgendermaen vor:
192 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Multipathregeln auf Neue Multipathregel.
Das Dialogfenster Neue Multipathregel erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Multipathregel ein.
Position:Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
haben eine hhere Prioritt. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer hheren Nummer nicht mehr abge-
glichen. Platzieren Sie spezifischere Regeln oben in der Liste, umsicherzustellen, dass
ungenauere Regeln zuletzt abgeglichen werden.
Quelle: Whlen Sie eine Quell-IP-Adresse oder ein Quellnetzwerk aus, auf die oder das
die Regel sich beziehen soll.
Dienst: Whlen Sie einen Netzwerkdienst aus, auf den die Regel sich beziehen soll.
Ziel: Whlen Sie eine Ziel-IP-Adresse oder ein Zielnetzwerk aus, auf die oder das die
Regel sich beziehen soll.
Tipp Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >
Schnittst.- Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewhrleistet,
dass Datenverkehr mit bestimmten Attributen immer ber dieselbe Uplink-Schnittstelle
geroutet wird. Die Bindung hat eine Zeitbeschrnkung von einer Stunde. Sie knnen die-
se Einstellung jedoch auf der Registerkarte Uplink-Ausgleich ndern. Sie knnen bestim-
men, was die Basis fr die Bindung sein soll:
l nach Verbindung: Der (Standard-)Ausgleich erfolgt abhngig von der Ver-
bindung, d.h. smtlicher Datenverkehr, der zu einer bestimmten Verbindung
gehrt, verwendet dieselbe Schnittstelle, whrend Datenverkehr einer anderen
Verbindung an eine andere Schnittstelle gesendet werden kann.
l nach Quelle: Ausgleich erfolgt abhngig von der Quell-IP-Adresse, d.h. smt-
licher Datenverkehr, der aus einer Quelle stammt, verwendet dieselbe Schnitt-
stelle, whrend Datenverkehr aus anderen Quellen an eine andere Schnittstelle
gesendet werden kann.
UTM9 WebAdmin 193
Hinweis Die Bindung nach Quelle funktioniert nicht, wenn Sie einen Proxy ver-
wenden, weil die Information ber die ursprngliche Quelle fehlt. Der HTTP-
Proxy ist jedoch eine Ausnahme: VomHTTP-Proxy generierter Verkehr stimmt
mit der ursprnglichen Client-Quell-IP-Adresse berein und entspricht daher
auch den Schnittstellenbindungsregeln nach Quelle.
l nach Ziel: Ausgleich erfolgt abhngig von der Ziel-IP-Adresse, d.h. smtlicher
Datenverkehr fr ein Ziel verwendet dieselbe Schnittstelle, whrend Daten-
verkehr mit anderen Zielen an eine andere Schnittstelle gesendet werden kann.
l nach Quelle/Ziel: Ausgleich erfolgt abhngig von Quell- und Ziel-IP-Adresse,
d.h. smtlicher Datenverkehr aus einer bestimmten Quelle und mit einembestimm-
ten Ziel verwendet dieselbe Schnittstelle. Datenverkehr mit einer anderen Kom-
bination aus Quelle und Ziel kann an eine andere Schnittstelle gesendet werden.
Beachten Sie bitte den obigen Hinweis.
l nach Schnittstelle: Whlen Sie eine Schnittstelle aus der Auswahlliste Bind-
Schnittstelle. Der Verkehr, fr den diese Regel zutrifft, wird ber diese Schnitt-
stelle geroutet. Wenn eine Schnittstelle versagt und keine der folgenden Regeln
zutrifft, wird fr die Verbindung die Standardaktion angewendet.
zu.
Ausgleich ber (nicht mit Bindung nach Schnittstelle): Fgen Sie eine Schnitt-
stellengruppe zumFeld hinzu. Der Verkehr, fr den diese Regel zutrifft, wird ber die
Schnittstellen dieser Gruppe ausgeglichen. Standardeinstellung ist Uplink-Schnittstellen,
d.h. Verbindungen werden ber alle Uplink-Schnittstellen ausgeglichen.
Regel bei Schnittstellenfehler berspringen: Ist die Option ausgewhlt, wird imFall
eines Schnittstellenfehlers die nchste passende Multipathregel fr den Verkehr ver-
wendet. Ist die Option nicht ausgewhlt, wird imFall eines Schnittstellenfehlers keine
andere Multipathregel auf den definierten Verkehr angewendet. Dies ist beispielsweise
sinnvoll, wenn Sie sicherstellen mchten, dassSMTP-Verkehr nur von einer bestimmten
statischenIP-Adresse gesendet wird, umzu verhindern, dass die Empfnger Ihre E-
Mails aufgrund einer ungltigen Absender-IP-Adresseals Spamklassifizieren.
Die neue Multipathregel wird in der Liste Multipathregeln angezeigt.
194 UTM9 WebAdmin
5. Aktivieren Sie die Multipathregel.
Die neue Regel ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Regel zu aktivieren.
Die Regel ist jetzt aktiv (Schieberegler ist grn).
Umeine Regel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.1.6 Hardware
Auf der Registerkarte Schnittstellen &Routing >Schnittstellen >Hardware sind alle kon-
figurierten Schnittstellen mit den entsprechenden Hardware-Informationen wie z.B. demEther-
net-Betriebsmodus und der MAC-Adresse aufgelistet. Bei UTM-Hardware-Gerten kann fr
jede Schnittstelle die automatische Aushandlung (Auto Negotiation) eingeschaltet oder aus-
geschaltet werden.
Auto Negotiation (Automatische Aushandlung): Gewhnlich wird der Ethernet-
Betriebsmodus (1000BASE-T Full-Duplex, 100BASE-T Full-Duplex, 100BASE-T Half-Duplex,
10BASE-T Full-Duplex 10BASE-T Half-Duplex, usw.) zwischen zwei Netzwerkgerten auto-
matisch ausgehandelt, indemder beste Betriebsmodus gewhlt wird, der von beiden Gerten
untersttzt wird. Dabei wird eine hhere Geschwindigkeit (z.B. 1.000Mbit/s) einer niedrigeren
Geschwindigkeit (z.B. 100Mbit/s) vorgezogen, bei gleicher Geschwindigkeit wird Full-Duplex
Half-Duplex vorgezogen.
Warnung Fr eine einwandfreie Funktion von 1.000Mbit/s ist die automatische Aus-
handlung stets erforderlich und wird auch vomIEEE-Standard 802.3ab gefordert. Achten Sie
deshalb darauf, Auto Negotiation fr Schnittstellen mit Link mode 1000BASE-T niemals aus-
zuschalten. Die zeitliche Abstimmung Ihrer Netzwerkverbindung knnte scheitern, was zu ein-
geschrnkter Funktionalitt oder vollstndigemVersagen fhren kann. Bei der Verwendung
von 100 Mbit/s und 10 Mbit/s ist die automatische Aushandlung optional, ihr Einsatz wird aber
sofern mglich empfohlen.
Die automatische Aushandlung ist standardmig aktiviert. Klicken Sie in den seltenen Fllen,
in denen sie abgeschaltet werden muss, auf die Schaltflche Bearbeiten der entsprechenden
Netzwerkkarte und ndern Sie die Einstellung in demangezeigten Dialogfeld NIC-Parameter
bearbeiten ber die Auswahlliste Link-Modus. Beachten Sie, dass die Auswahlliste nur bei
UTM9 WebAdmin 195
UTM-Hardware-Gerten verfgbar ist. Klicken Sie auf Speichern, umIhre nderungen zu spei-
chern.
Warnung Seien Sie vorsichtig, wenn Sie die automatische Aushandlung abschalten, da
dadurch die Leistung der Verbindung deutlich eingeschrnkt oder sogar unterbrochen wer-
den kann. Falls es sich bei der Netzwerkkarte umIhre Schnittstelle zumWebAdmin handelt,
wre in diesemFall kein Zugriff auf den WebAdmin mehr mglich!
ImFall, dass eine der Schnittstellen ihre Netzwerkverbindung aufgrund einer nderung an der
automatischen Aushandlung oder den Geschwindigkeitseinstellungen verloren hat, wird eine
nderung der Einstellung auf ihren ursprnglichen Wert normalerweise die Funktionalitt nicht
wiederherstellen: Das ndern der automatischen Aushandlung oder den Geschwin-
digkeitseinstellungen von nicht verbundenen Schnittstellen funktioniert nicht zuverlssig. Akti-
vieren Sie daher erst die automatische Aushandlung und starten Sie dann UTMneu, umdie
normale Funktionalitt wiederherzustellen.
HA-Linkberwachung: Wenn Hochverfgbarkeit aktiviert ist, werden alle konfigurierten
Schnittstellen auf ihren Link-Status hin berwacht. Falls ein Link ausfllt, wird eine bernahme
(Takeover) eingeleitet. Falls eine konfigurierte Schnittstelle nicht durchgehend verbunden ist
(z.B. die Administrationsschnittstelle), deaktivieren Sie bitte die HA-Link-berwachung fr die-
se Schnittstelle. Andernfalls werden alle HA-Knoten imStatus NICHT VERBUNDENver-
bleiben. Umdie HA-Link-berwachung zu deaktivieren, klicken Sie auf die Schaltflche Bear-
beiten der entsprechenden Netzwerkkarte und ndern Sie die Einstellung imangezeigten
Dialogfeld NIC-Parameter bearbeiten. Klicken Sie auf Speichern, umIhre nderungen zu spei-
chern.
Virtuelle MAC setzen: Unter Umstnden ist es sinnvoll, die MAC-Adresse eines Gerts zu
ndern. Beispielsweise mssen die Modems einiger ISPs zurckgesetzt werden, wenn sich das
angeschlossene Gert und die damit verbundene MAC-Adresse ndert. Ein Zurcksetzen des
Modems lsst sich vermeiden, indemdie MAC-Adresse auf den Wert des Vorgngergerts
gesetzt wird.
UTMberschreibt jedoch nicht die ursprngliche MAC-Adresse des Gerts, sondern legt statt-
dessen eine virtuelle MAC-Adresse fest. Klicken Sie dazu auf die Schaltflche Bearbeiten der
entsprechenden Netzwerkkarte. Whlen Sie imangezeigten Dialogfeld NIC-Parameter bear-
beiten die Option Virtuelle MACsetzen und geben Sie eine gltige MAC-Adresse ein. Klicken
Sie auf Speichern, umIhre nderungen zu speichern.
196 UTM9 WebAdmin
Klicken Sie auf die Schaltflche Bearbeiten der entsprechenden Netzwerkkarte, umdie
ursprngliche MAC-Adresse wiederherzustellen. Whlen Sie imangezeigten Dialogfeld NIC-
Parameter bearbeiten die Option Virtuelle MACsetzen ab. Klicken Sie auf Speichern, umIhre
nderungen zu speichern.
6.2 Bridging
Das Bridging ist eine Methode zur Weiterleitung von Datenpaketen und wird hauptschlich in
Ethernet-Netzwerken eingesetzt. ImGegensatz zumRouting trifft Bridging keine Annahmen
darber, wo sich in einemNetzwerk eine bestimmte Adresse befindet. Stattdessen benutzt es
Broadcasting, umunbekannte Gerte zu lokalisieren.
Durch Bridging knnen zwei oder auch mehrere gleichartige Netzwerke oder Netz-
werksegmente miteinander verbunden werden. Dabei werden die Datenpakete mittels
Bridging-Tabellen, die MAC-Adressen einemBridge-Port zuordnen, weitergeleitet. Die ent-
stehende Bridge bermittelt den Verkehr dann transparent durch die Bridging-Schnittstellen.
Hinweis Diese Art von Verkehr muss explizit durch entsprechende Firewallregeln erlaubt
werden.
Hinweis Die meisten virtuellen Hosts lassen standardmig keine nderungen von MAC-
Adressen oder den Promiscuous Mode auf ihren virtuellen Schnittstellen zu. Damit Bridging
auf virtuellen Hosts ausgefhrt werden kann, stellen Sie sicher, dass die Validierung auf den
MAC-Adressen des virtuellen Hosts deaktiviert und der Promiscuous Mode zugelassen ist.
6.2.1 Status
Umeine Bridge zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Bridging auf der Registerkarte Status.
Klicken Sie auf der Registerkarte Schnittstellen &Routing >Bridging >Status auf den
Schieberegler.
Der Schieberegler wird gelb und der Abschnitt Bridge-Konfiguration kann nun bearbeitet
werden.
2. Whlen Sie den Bridging-Modus aus.
Sie knnen zwischen zwei Bridging-Modi whlen:
UTM9 WebAdmin 197
6 Schnittstellen & Routing 6.2 Bridging
6.2 Bridging 6 Schnittstellen & Routing
l Bridge ber alle NICs: Bei dieser Methode werden alle verfgbaren Ethernet-
Netzwerkkarten zu einer einzigen Bridge-Schnittstelle zusammengefasst. Die
Festlegung einer Konvertierungsschnittstelle ist in diesemModus Pflicht. Alle
Schnittstellen auer der konvertierten Schnittstelle werden bei dieser Methode
gelscht.
l Bridge ber ausgewhlte NICs: In diesemModus knnen die NICs fr die
Bridge individuell zusammengestellt werden. Hierfr werden mindestens zwei
unkonfigurierte Netzwerkkarten bentigt. Whlen Sie eine oder mehrere Netz-
werkkarten aus, die Teil der Bridge werden sollen. Auerdembesteht die Mg-
lichkeit, eine Konvertierungsschnittstelle zu bestimmen, die auf die neue Bridge
bertragen wird.
Hinweis Zur Linkbndelung knnen Sie zwei LAG-Schnittstellen bridgen, z. B.,
indemSie eine dieser Schnittstellen als Konvertierungsschnittstelle verwenden.
3. Whlen Sie die Netzwerkkarte fr die Bridge aus.
Fr das Bridging kann nur eine bereits konfigurierte Netzwerkkarte ausgewhlt werden.
Die Bridge bernimmt die Adresseinstellungen dieser Schnittstelle sowie die Alias-Adres-
sen und die VLAN-Einstellungen.
4. Klicken Sie auf Bridge einrichten.
Die Netzwerkkarten werden nun zusammengefasst und die Bridge wird aktiviert (Schie-
beregler ist grn).
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.
Sobald die Bridge konfiguriert ist, erscheint die umgewandelte Schnittstelle als Bridge-Gert mit
der SysIDbr0auf der Registerkarte Schnittstellen &Routing >Schnittstellen. Alle Schnitt-
stellen, die zur Bridge gehren, werden in der Bridge-Konfiguration angezeigt. Umeine Schnitt-
stelle aus der Bridge zu entfernen, whlen Sie die entsprechende Option ab und klicken Sie auf
Bridge aktualisieren.
Bridge entfernen
Umdie Bridge zu entfernen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Status auf den Schieberegler.
Der Schieberegler wird gelb.
2. Klicken Sie auf Entfernen der Bridge besttigen.
Der Schieberegler wird grau. Die Bridge wurde erfolgreich entfernt.
198 UTM9 WebAdmin
6.2.2 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Bridging >Erweitert knnen die folgenden
Optionen konfiguriert werden:
ARP-Broadcasts zulassen: Mit dieser Funktion knnen Sie bestimmen, ob eingehende
ARP-Broadcasts von der Bridge weitergeleitet werden sollen. Imeingeschalteten Zustand
erlaubt die Bridge Anfragen an die MAC-Zieladresse FF:FF:FF:FF:FF:FF. Dies kann even-
tuell von mutmalichen Angreifern genutzt werden, umInformationen ber die Netz-
werkkarten imentsprechenden Netzwerksegment oder sogar auf demGert selbst zu sam-
meln. Daher ist die Standardeinstellung, solche Broadcasts nicht durch die Bridge zu lassen.
Spanning Tree Protocol: Wenn diese Option aktiviert ist, wird das Spanning Tree Protocol
(STP) aktiviert. Dieses Netzwerkprotokoll erkennt und verhindert Bridge-Loops.
Achtung Beachten Sie, dass das Spanning Tree Protocol keinen Schutz bietet. Daher kn-
nen Angreifer mglicherweise die Bridge-Topologie ndern.
Ablaufzeit: In diesemEingabefeld stellen Sie ein, nach welcher Zeitspanne eine inaktive MAC-
Adresse gelscht wird. Standardmig ist als Zeitraum300 Sekunden voreingestellt.
IPv6-Durchleitung zulassen: Aktivieren Sie diese Option, umdie Durchleitung von IPv6-Ver-
kehr ber die Bridge ohne Kontrolle zuzulassen.
Virtuelle MAC-Adresse: Hier knnen Sie eine statische MAC-Adresse fr die Bridge ein-
geben. Standardmig (und solange der Eintrag 00:00:00:00:00:00 lautet) verwendet die
Bridge die niedrigste MAC-Adresse aller zugehrigen Schnittstellen.
Weitergeleitete EtherTypes: Standardmig leitet eine Bridge, die auf Sophos UTMkon-
figuriert ist, nur IP-Pakete weiter. Wenn Sie mchten, dass weitere Protokolle weitergeleitet
werden, mssen Sie deren EtherType in dieses Feld eingeben. Die Typen mssen als 4-stel-
lige hexadezimale Zahlen angegeben werden. Beliebte Beispiele sind AppleTalk (Typ 809B),
Novell (Typ 8138) oder PPPoE(Typen 8863 und 8864). Ein typischer Fall wre eine Bridge zwi-
schen Ihren RED-Schnittstellen, die zustzliche Protokolle zwischen den verbundenen Netz-
werken weiterleiten sollen.
UTM9 WebAdmin 199
6 Schnittstellen & Routing 6.2 Bridging
6.3 Dienstqualitt (QoS) 6 Schnittstellen & Routing
6.3 Dienstqualitt (QoS)
ImAllgemeinen bezeichnet Dienstqualitt (QoS, Quality of Service) Kontrollmechanismen, die
dafr sorgen, dass ausgewhlter Netzwerkverkehr bevorzugt behandelt und insbesondere
dass diesemeine Mindestbandbreite zugesichert wird. In Sophos UTMwird zu priorisierender
Verkehr auf der Registerkarte Dienstqualitt (QoS) konfiguriert. Hier knnen Sie fr bestimmte
Arten von ausgehendemVerkehr, der zwei Punkte imNetzwerk passiert, eine garantierte
Bandbreite reservieren. Dahingegen wird die Optimierung von Kapazitten (engl. traffic sha-
ping) fr eingehenden Verkehr intern durch verschiedene Techniken umgesetzt, z.B. durch Sto-
chastic Fairness Queuing (SFQ) oder RandomEarly Detection (RED).
6.3.1 Status
Auf der Registerkarte Dienstqualitt (QoS) >Status sind die Netzwerkkarten aufgelistet, fr die
QoSkonfiguriert werden kann. Standardmig ist QoSfr alle Schnittstellen ausgeschaltet.
UmQoSfr eine Schnittstelle zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten der entsprechenden Schnittstelle.
Das Dialogfeld Schnittstelle bearbeiten ffnet sich.
Downlink Kbit/s/Uplink Kbit/s: Geben Sie die Downlink- und Uplinkbandbreite (in
Kbit/s) ein, die Ihr ISPbereitstellt. Umbeispielsweise eine Internetverbindung mit 5 Mbit/s
fr Up- und Downlink zu konfigurieren, geben Sie 5120ein.
Sollte Ihre Bandbreite variieren, geben Sie den niedrigsten garantierten Wert an, der
von IhremISPzugesichert wird. Wenn Sie beispielsweise eine Internetverbindung mit 5
Mbit/s fr Up- und Downlink mit einer Variation von 0,8 Mbit/s haben, geben Sie 4300
Kbit/s an. Beachten Sie, dass das Gateway eine vernderte Bandbreite bercksichtigt,
wenn die verfgbare Bandbreite temporr hher ausfllt als der konfigurierte tiefste
zugesicherte Wert. Dabei wird der prozentuale Anteil an der Bandbreite fr zu prio-
risierenden Verkehr entsprechend erhht; umgekehrt funktioniert das jedoch leider
nicht.
Uplink begrenzen: Wenn Sie diese Option whlen, nutzt die Funktion QoSdie oben ein-
getragenen Bandbreitenwerte als Basis fr die Kalkulation des zu priorisierenden Daten-
verkehrs, der diese Schnittstelle passiert. Die Option Uplink begrenzen ist
200 UTM9 WebAdmin
standardmig ausgewhlt und sollte fr die folgenden Arten von Schnittstellen ver-
wendet werden:
l Ethernet-Statisch-Schnittstelle: Zwischen Gateway und Internet ist ein Router
installiert und die vomRouter bereitgestellte Bandbreite ist bekannt.
l Ethernet-VLAN-Schnittstelle: Zwischen Gateway und Internet ist ein Router instal-
liert und die vomRouter bereitgestellte Bandbreite ist bekannt.
l DSL (PPPoE)
l DSL (PPPoA)
l Modem(PPP)
Die Option Uplink begrenzen sollte grundstzlich fr jene Schnittstellen ausgeschaltet
werden, bei denen die Basis fr die Bandbreiten-Kalkulation schon durch die Maxi-
malgeschwindigkeit der jeweiligen Schnittstelle ermittelt werden kann. Dies betrifft
jedoch nur die folgenden Schnittstellen-Typen:
l Ethernet-Statisch-Schnittstelle: Direkt mit demInternet verbunden.
l Ethernet-VLAN-Schnittstelle: Direkt mit demInternet verbunden.
l Ethernet-DHCP
Bei Schnittstellen ohne eine Uplink-Grenze verteilt die QoS-Funktion den gesamten
Datenverkehr proportioal. Wenn Sie beispielsweise auf einer Ethernet-DHCP-Schnitt-
stelle 512 Kbit/s fr VoIP-Verkehr reserviert haben und sich die verfgbare Bandbreite
halbiert, dann wrden 256 Kbit/s fr diesen Datenverkehr verwendet werden (imGegen-
satz zu Schnittstellen mit einer festen Obergrenze funktioniert proportionale Verteilung in
beiden Richtungen).
Download-Ausgleich: Wenn diese Option aktiviert ist, verhindern die beiden War-
teschlangen-Algorithmen Stochastic Fairness Queuing (SFQ) und RandomEarly Detec-
tion (RED), dass es zu Netzwerkstaus kommt. ImFall dass die konfigurierte Download-
Geschwindigkeit erreicht ist, werden Pakete jener Verbindung verworfen, die den meis-
ten Downlink in Anspruch nimmt.
Upload-Optimierung: Wenn diese Option aktiviert ist, werden ausgehende TCP-Pake-
te, die eine Verbindung aufbauen, priorisiert (TCP-Pakete mit SYN-Flag) ebenso wie
TCP-Besttigungspakete (TCP-Pakete mit ACK-Flag und einer Paketlnge zwischen
40 und 60 Bytes) und DNS-Lookups (UDP-Pakete auf Port 53).
UTM9 WebAdmin 201
6 Schnittstellen & Routing 6.3 Dienstqualitt (QoS)
4. Aktivieren Sie QoS fr die Schnittstelle.
Klicken Sie auf den Schieberegler der Schnittstelle.Der Schieberegler wird grn.
6.3.2 Verkehrskennzeichner
Ein Verkehrskennzeichner (traffic selector) kann als eine QoS-Definition angesehen werden,
die bestimmte Arten von Netzwerkverkehr beschreibt, die von QoSbearbeitet werden. Diese
Definitionen werden spter innerhalb der Bandbreiten-Pool-Definition verwendet. Dort knnen
Sie festlegen, wie dieser Verkehr von QoSbehandelt wird, indemSie z.B. die komplette Band-
breite begrenzen oder demVerkehr einen gewissen Mindestanteil der Bandbreite zusichern.
Umeinen Verkehrskennzeichner anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verkehrskennzeichner auf Neuer Ver-
kehrskennzeichner.
Das Dialogfeld Neuen Verkehrskennzeichner erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diesen Verkehrskennzeichner ein.
Kennzeichnertyp: Sie knnen folgende Arten von Kennzeichnern festlegen:
l Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird der
Verkehr auf Grundlage eines einzelnen Dienstes oder einer Dienstgruppe regu-
liert.
l Anwendungskennzeichner: Verwenden Sie einen Anwendungskennzeichner,
wird der Verkehr auf Grundlage von Anwendungen reguliert, d.h. je nachdem, zu
welcher Anwendung er gehrt, unabhngig vomverwendeten Port oder Dienst.
l Gruppe: Sie knnen verschiedene Dienst- und Anwendungskennzeichner in
einer Verkehrskennzeichnerregel zusammenfassen. Umeine Gruppe definieren
zu knnen, mssen bereits einzelne Kennzeichner definiert sein.
Quelle: Fgen Sie das Quellnetzwerk hinzu oder whlen Sie das Quellnetzwerk aus, fr
das QoSaktiviert werden soll.
Dienst: Nur fr Verkehrskennzeichner. Fgen Sie den Netzwerkdienst hinzu oder wh-
len Sie den Netzwerkdienst aus, fr den QoSaktiviert werden soll. Sie knnen zwischen
verschiedenen vordefinierten Diensten und Dienstgruppen auswhlen. Wenn Sie
202 UTM9 WebAdmin
beispielsweise fr VoIP-Verbindungen eine bestimmte Bandbreite reservieren mchten,
whlen Sie VoIP-Protokolle (SIPund H.323) aus.
Ziel: Fgen Sie das Zielnetzwerk hinzu oder whlen Sie das Zielnetzwerk aus, fr das
QoSaktiviert werden soll.
Kontrollieren durch: Nur fr Anwendungskennzeichner. Whlen Sie aus, ob die Regu-
lierung des Verkehrs auf Grundlage des jeweiligen Anwendungstyps oder kate-
goriebasiert durch einen dynamischen Filter erfolgen soll.
l Anwendungen: Der Verkehr wird anwendungsbasiert reguliert. Whlen Sie im
Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l Dynamischer Filter: Der Verkehr wird kategoriebasiert reguliert. Whlen Sie im
Feld Diese Kategorien kontrollieren eine oder mehrere Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Nur fr
Anwendungskennzeichner. Klicken Sie auf das Ordnersymbol, umAnwen-
dungen/Kategorien auszuwhlen. Ein Dialogfenster wird geffnet, das imnchsten
Abschnitt detailliert beschrieben wird.
Produktivitt: Nur mit Dynamischer Filter. Gibt den von Ihnen gewhlten Pro-
duktivittswert wieder.
Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewhlten Risikowert wie-
der.
Hinweis Einige Anwendungen sind von der Regulierung ausgeschlossen. Dies ist fr
einen reibungslosen Betrieb von Sophos UTMerforderlich. Bei diesen Anwendungen
wird in der Anwendungstabelle des Dialogfensters Anwendung auswhlen kein Aus-
wahlkstchen angezeigt. Dies trifft u.a. fr den WebAdmin, Teredo, SixXs (fr IPv6-
Verkehr) und Portal (fr Benutzerportal-Verkehr) zu.Wenn Sie dynamische Filter ver-
wenden, wird die Regulierung dieser Anwendungen ebenfalls automatisch verhindert.
zu.
UTM9 WebAdmin 203
TOS/DSCP(nur beimKennzeichnertyp Verkehrskennzeichner):In bestimmten Fllen
kann es sinnvoll sein, Datenverkehr, der von QoSbearbeitet werden soll, nicht nur ber
Quelle, Ziel und Dienst zu unterscheiden, sondern auch ber die TOS- oder DSCP-
Flags imIP-Header.
l Aus: Mit dieser Standardoption wird smtlicher Datenverkehr, der mit Quelle,
Dienst und Ziel bereinstimmt, der oben eingestellt wurde, mit QoSbearbeitet.
l TOS-Bits: Whlen Sie diese Option aus, wenn der mit QoSbearbeiteten Daten-
verkehr auf IP-Pakete mit bestimmten TOS-Bit (Type of Service) beschrnkt wer-
den soll. Sie knnen zwischen den folgenden Einstellungen whlen:
l Normaler Dienst
l Kosten minimieren
l Zuverlssigkeit maximieren
l Durchsatz maximieren
l Verzgerung minimieren
l DSCP-Bits: Whlen Sie diese Option aus, wenn der mit QoSbearbeitete Daten-
verkehr auf IP-Pakete mit bestimmten DSCP-Bits (Differentiated Services Code
Point) beschrnkt werden soll. Sie knnen entweder einen einzigen DSCP-Wert
festlegen (eine Ganzzahl imBereich 0 bis 63) oder einen vordefinierten Wert aus
der Liste DSCP-Klassen (z.B. BEdefault dscp (000000)) auswhlen.
Datenmenge gesendet/empfangen: Aktivieren Sie dieses Auswahlkstchen, wenn
der Verkehrskennzeichner die bereinstimmung aufgrund der Anzahl der von der Ver-
bindung bisher bertragenen Byte vornehmen soll. Mit dieser Funktion knnen Sie bei-
spielsweise die Bandbreite von groenHTTP-Uploadseinschrnken, ohne den nor-
malen HTTP-Verkehr zu beeintrchtigen.
l Gesendet/empfangen:Whlen Sie aus der Auswahlliste Mehr als aus, umden
Verkehrskennzeichner nur fr Verbindungen zu definieren, die eine bestimmte
Verkehrsmenge berschreiten. Whlen Sie Weniger als aus, umihn fr Ver-
bindungen mit bisher weniger Verkehr zu definieren.
l kByte: Geben Sie den Schwellenwert fr die Verkehrsmenge ein.
204 UTM9 WebAdmin
Helfer: Einige Dienste nutzen fr die Datenbertragung dynamische Ports. Fr jede Ver-
bindung verhandeln die Endpoints die zu verwendenden Ports ber einen Kontrollkanal.
Die UTMverwendet einen speziellen Helfer fr die Verbindungsverfolgung (engl.
connection tracking helper), der den Kontrollkanal berwacht, umherauszufinden, wel-
che dynamischen Ports verwendet werden. Umden Verkehr, der durch die dyna-
mischen Ports geht, in den Verkehrskennzeichner mit aufzunehmen, whlen Sie oben,
imFeld Dienst, Any, und whlen Sie in der Auswahlliste Helfer den entsprechenden
Dienst.
Der neue Kennzeichner wird in der Liste Verkehrskennzeichner angezeigt.
Wenn Sie viele Verkehrskennzeichner definiert haben, knnen Sie mehrere Kennzeichner zu
einer Verkehrskennzeichnergruppe zusammenfgen, umdie Konfiguration bequemer zu
gestalten.
Dieser Verkehrskennzeichner oder diese Verkehrskennzeichnergruppe kann nun fr jeden
Bandbreiten-Pool verwendet werden. Diese Pools knnen auf der Registerkarte Bandbreiten-
Pools definiert werden.
Das Di alogfenster zur Auswahl von Anwendungen oder Kate-
gori en
BeimErstellen von Application-Control-Regeln mssen Sie Anwendungen oder Anwen-
dungskategorien aus demDialogfenster Whlen Sie eine oder mehrere Anwen-
dungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle imunteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die
auswhlbar sind oder zu einer definierten Kategorie gehren. Standardmig werden alle
Anwendungen angezeigt.
Imoberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschrnkt werden kann:
l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst
alle verfgbaren Kategorien. Standardmig sind alle Kategorien ausgewhlt; d.h. alle
verfgbaren Anwendungen werden unten in der Tabelle gelistet. Mchten Sie die ange-
zeigten Anwendungen auf bestimmte Kategorien beschrnken, klicken Sie in die Liste
mit den Kategorien und whlen Sie nur die gewnschte(n) Kategorie(n) aus.
l Produktivitt: Die Anwendungen werden zudemnach ihrer Auswirkung auf die Pro-
duktivitt klassifiziert, d.h., wie stark sie die Produktivitt beeinflussen. Beispiel:
UTM9 WebAdmin 205
Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung
der Anwendung trgt somit zur Produktivitt bei. ImGegensatz dazu ist das Onlinespiel
Farmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitzt
die Bewertung 3 er wirkt sich neutral auf die Produktivitt aus.
l Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je hher die Bewertung, desto hher das
Risiko.
Tipp Jede Anwendung verfgt ber ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie knnen die Tabelle mit Hilfe des Fil-
terfelds in der Kopfzeile durchsuchen.
Abhngig von Ihrer Auswahl in der Auswahlliste Kontrollieren durchimDialogfeld Neuen Ver-
kehrskennzeichner erstellen gehen Sie folgendermaen vor:
l Kontrolle durch dynamischen Filter: Whlen Sie imFeld Kategorie die Kategorien aus
und klicken Sie auf bernehmen, umdie ausgewhlten Kategorien fr die Regel zu ber-
nehmen.
l Kontrollieren durch Anwendungen: Whlen Sie die zu kontrollierenden Anwendungen in
der Tabelle aus, indemSie auf die Auswahlkstchen klicken, die vor den Anwendungen
angezeigt werden. Klicken Sie auf bernehmen, umdie ausgewhlten Anwendungen
fr die Regel zu bernehmen.
NachdemSie auf bernehmen geklickt haben, wird das Dialogfenster geschlossen und Sie kn-
nen die Einstellungen der Verkehrskennzeichnerregel weiter bearbeiten.
6.3.3 Bandbreiten-Pools
Auf der Registerkarte Dienstqualitt (QoS) >Bandbreiten-Pools werden die Pools fr das Band-
breiten-Management definiert und verwaltet. Mit einemBandbreiten-Pool reservieren Sie eine
garantierte Bandbreite fr einen spezifischen ausgehenden Verkehrstyp, optional limitiert
durch eine maximale Bandbreite.
Umeinen Bandbreiten-Pool anzulegen, gehen Sie folgendermaen vor:
1. Whlen Sie auf der Registerkarte Bandbreiten-Pools eine Schnittstelle aus.
Whlen Sie aus der Auswahlliste An Schnittstelle gebunden diejenige Schnittstelle aus,
fr die Sie einen Bandbreiten-Pool definieren mchten.
206 UTM9 WebAdmin
2. Klicken Sie auf Neuer Bandbreiten-Pool.
Das Dialogfeld Neuen Bandbreiten-Pool erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den Bandbreiten-Pool ein.
Position: Die Positionsnummer legt die Prioritt des Bandbreiten-Pools fest. Niedrigere
Nummern haben eine hhere Prioritt. Bandbreiten-Pools werden in aufsteigender Rei-
henfolge abgeglichen. Sobald ein Bandbreiten-Pool zutrifft, werden Bandbreiten-Pools
mit einer hheren Nummer nicht mehr abgeglichen. Platzieren Sie spezifischere Pools
oben in der Liste, umsicherzustellen, dass ungenauere Pools zuletzt abgeglichen wer-
den. Beispiel: Sie haben einen Bandbreiten-Pool fr Internet-Datenverkehr (HTTP) im
Allgemeinen und einen weiteren Pool fr den Internet-Datenverkehr zu einembestimm-
ten Webserver definiert. Dann sollte der Bandbreiten-Pool mit demspezifischen Webser-
ver vorrangig positioniert, d.h. auf Position 1 gesetzt werden.
Bandbreite: Geben Sie die Uplink-Bandbreite (in Kbit) ein, die fr diesen Bandbreiten-
Pool reserviert werden soll. Wenn Sie z.B. 1Mbit/s fr eine bestimmte Art von Daten-
verkehr reservieren mchten, geben Sie 1024ein.
Hinweis Sie knnen fr einen Bandbreiten-Pool lediglich bis zu 90%der zur Ver-
fgung stehenden Gesamtbandbreite reservieren. Das Gateway reserviert grund-
stzlich 10%fr den vomBandbreiten-Management unbercksichtigten Daten-
verkehr. Umbei demBeispiel von oben zu bleiben: Wenn der Uplink 5 Mbit/s betrgt,
und Sie mchten VoIPsoviel Bandbreite wie mglich zuweisen, knnen Sie fr den
VoIP-Datenverkehr eine Bandbreite von maximal 4608 Kbit/s reservieren.
Obere Bandbreitengrenze angeben: Der Wert, den Sie oben imFeld Bandbreite
angegeben haben, stellt die zugesicherte Bandbreite dar, die fr einen speziellen Ver-
kehrstyp reserviert ist. Ein Bandbreiten-Pool beansprucht jedoch immer mehr Band-
breite fr seinen Verkehr als verfgbar ist. Wenn Sie fr einen bestimmten Verkehrstyp
verhindern wollen, dass er mehr als eine bestimmte Menge Ihrer Bandbreite verbraucht,
whlen Sie diese Option aus, umdie Bandbreitennutzung dieses Pools auf eine Ober-
grenze zu beschrnken.
Verkehrskennzeichner: Whlen Sie die Verkehrskennzeichner fr diesen Band-
breiten-Pool aus.
UTM9 WebAdmin 207
zu.
Der neue Bandbreiten-Pool wird in der Liste Bandbreiten-Pools angezeigt.
5. Aktivieren Sie die Regel.
Umeinen Bandbreiten-Pool zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
6.3.4 Download-Drosselung
Auf der Registerkarte Dienstqualitt (QoS)>Download-Drosselung knnen Sie Regeln defi-
nieren und verwalten, umeingehenden Verkehr zu drosseln. Wenn Pakete schneller ankom-
men als der eingestellte Schwellenwert, werden die berzhligen Pakete sofort verworfen,
ohne imFirewall-Protokoll aufgelistet zu werden. Aufgrund von Mechanismen zur TCP-ber-
lastvermeidung (TCPcongestion avoidance) sollten die betroffenen Absender als Reaktion auf
die verworfenen Pakete ihre Senderaten reduzieren.
Umeine Download-Drosselungsregel zu erstellen, gehen Sie folgendermaen vor:
1. Whlen Sie auf der Registerkarte Download-Drosselung eine Schnittstelle.
Whlen Sie aus der Auswahlliste An Schnittstelle gebunden diejenige Schnittstelle aus,
fr die Sie eine Download-Drosselungsregel definieren mchten.
2. Klicken Sie auf Neue Download-Drosselungsregel.
Das Dialogfeld Neue Download-Drosselungsregel anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Download-Drosselungsregel
ein.
Position: Die Positionsnummer legt die Prioritt der Regel fest. Niedrigere Nummern
208 UTM9 WebAdmin
glichen.Platzieren Sie spezifischere Regeln oben in der Liste, umsicherzustellen, dass
ungenauere Regeln zuletzt abgeglichen werden.
Limit (Kbit/s): Der obere Grenzwert (in Kbit) fr den festgelegten Verkehr. Wenn Sie
beispielsweise die Rate fr einen bestimmten Verkehrstyp auf 1 Mbit/s begrenzen wol-
len, geben Sie 1024 ein.
Limitiere: Kombination aus Verkehrsquelle und -ziel, auf die das oben definierte Limit
zutreffen soll:
l verteilt: Das Limit wird zwischen allen existierenden Verbindungen gleich verteilt.
Die Gesamt-Downloadrate fr den Verkehr, der durch diese Regel definiert ist, ist
also auf den festgelegten Wert begrenzt.
l jede Quelladresse: Das Limit wird auf jede einzelne Quelladresse angewendet.
l jede Zieladresse: Das Limit wird auf jede einzelne Zieladresse angewendet.
l jede Quelle-Ziel-Kombination: Das Limit wird auf jedes einzelne Quelle-Ziel-
Adresspaar angewendet.
Verkehrskennzeichner: Whlen Sie die Verkehrskennzeichner, fr die Sie die Dow-
nloadraten drosseln mchten. Das definierte Limit wird auf die gewhlten Ver-
kehrskennzeichner aufgeteilt.
zu.
Die neue Download-Drosselungsregel wird in der Liste Download-Drosselung ange-
zeigt.
5. Aktivieren Sie die Regel.
flchen.
UTM9 WebAdmin 209
6.3.5 Erweitert
Klassi fi zi erung nach Verkapselung bei behalten
Markieren Sie dieses Auswahlkstchen, wenn Sie gewhrleisten mchten, dass ein Paket
nach der Verkapselung weiterhin demVerkehrskennzeichner des ursprnglichen Dienstes
zugewiesen wird, wenn es keinen anderen bereinstimmenden Verkehrskennzeichner gibt.
Die Zuweisung eines gekapselten IP-Pakets zu einemVerkehrskennzeichner erfolgt wie folgt:
1. Das ursprngliche IP-Paket wird in der vorgegebenen Reihenfolge mit den vor-
handenen Verkehrskennzeichnern abgeglichen. Das Paket wird demersten ber-
einstimmenden Verkehrskennzeichner zugewiesen (z.B. Internal ->HTTP->Any).
2. Das IP-Paket wird gekapselt und der Dienst gendert (z.B. in IPsec).
3. Das gekapselte IP-Paket wird in der vorgegebenen Reihenfolge mit den vorhandenen
Verkehrskennzeichnern abgeglichen. Das Paket wird demersten bereinstimmenden
Verkehrskennzeichner zugewiesen (z.B. Internal ->IPsec ->Any).
4. Wenn kein Verkehrskennzeichner bereinstimmt, ist die Zuweisung von der Option Klas-
sifizierung nach Verkapselung beibehalten abhngig:
l Ist die Option ausgewhlt, wird das gekapselte Paket demVerkehrskennzeichner
aus Schritt 1 zugewiesen.
l Ist die Option nicht ausgewhlt, wird das gekapselte Paket keinemVer-
kehrskennzeichner zugewiesen und kann daher nicht Bestandteil eines Band-
breiten-Pools sein.
Expli ci t-Congesti on-Noti fi cati on-Untersttzung
ECN(Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermg-
licht End-to-End-Benachrichtigungen ber Netzwerkberlastungen, ohne dass Pakete ver-
worfen werden. ECNfunktioniert nur, wenn beide Endpunkte einer Verbindung erfolgreich
ber die Verwendung verhandeln. Durch Markieren dieses Auswahlkstchens sendet die UTM
die Information, dass sie bereit ist, ECNzu verwenden. Stimmt der andere Endpunkt zu, wer-
den ECN-Informationen ausgetauscht. Beachten Sie, dass auch das zugrunde liegende Netz-
werk und die beteiligten Router ECNuntersttzen mssen.
210 UTM9 WebAdmin
6.4 Uplink-berwachung
Das Men Schnittstellen &Routing >Uplink-berwachung gibt Ihnen die Mglichkeit, Ihre
Uplink-Verbindung (Internet-Verbindung) zu berwachen und bestimmte Aktionen vor-
zugeben, die imFall, dass sich der Verbindungsstatus ndert, automatisch ausgefhrt werden.
Beispielsweise kann automatisch ein Ersatz-VPN-Tunnel aktiviert werden, der eine andere Ver-
bindung benutzt. Oder es wird eine Alias-IP-Adresse deaktiviert, so dass ein ber-
wachungsdienst aktiviert wird.
6.4.1 Allgemein
Auf der Registerkarte Uplink-berwachung >Allgemein knnen Sie die Uplink-berwachung
ein- oder ausschalten.
UmUplink-berwachung zu aktivieren, klicken Sie auf den Schieberegler.
Der Schieberegler wird grn.
Wenn die Uplink-berwachung aktiv ist, zeit der Bereich Uplink-Status alle aktuellen Uplink-
Schnittstellen und deren Status:
l ONLINE: Die Uplink-Verbindung ist hergestellt und funktioniert.
l OFFLINE: Die berwachung hat festgestellt, dass die Uplink-Verbindung nicht funk-
tioniert.
l DOWN: Entweder wurde die Uplink-Schnittstelle administrativ deaktiviert, oder imFall
einer dynamischen Schnittstelle der entfernte PPP- oder DHCP-Server ist nicht erreich-
bar.
l STANDBY: Die Schnittstelle wurde auf der Registerkarte Schnittstellen >Uplink-Aus-
gleich als Standby-Schnittstelle definiert und wird derzeit nicht verwendet.
Hinweis Wenn der Uplink-Ausgleich aktiv ist, werden die Uplinks immer berwacht, selbst
wenn Uplink-berwachung deaktiviert ist. Daher werden, selbst wenn die Uplink-ber-
wachung ausgeschaltet ist, die Uplink-Schnittstellen auf dieser Seite angezeigt, wenn der
Uplink-Ausgleich aktiv ist. In diesemFall knnen Sie die berwachungseinstellungen auf der
Registerkarte Schnittstellen >Uplink-Ausgleich ndern.
UTM9 WebAdmin 211
6 Schnittstellen & Routing 6.4 Uplink-berwachung
6.4 Uplink-berwachung 6 Schnittstellen & Routing
6.4.2 Aktionen
Auf der Registerkarte Schnittstellen &Routing >Uplink-berwachung >Aktionen knnen Sie
Aktionen definieren, die imFall, dass sich der Uplink-Status ndert, automatisch durchgefhrt
werden. Beispielsweise mchten Sie vielleicht zustzliche Adressen deaktivieren, wenn die
Uplink-Verbindung unterbrochen ist.
Umeine neue Aktion anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Aktionen auf Neue Aktion.
Das Dialogfeld Aktion 'falls Uplink offline geht' anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Aktion ein.
Typ: Whlen Sie den Verbindungstyp, fr den Sie eine Aktion definieren wollen.
l IPsec-Tunnel: Whlen Sie diese Option aus der Auswahlliste, wenn Sie eine Akti-
on fr einen IPsec-Tunnel definieren wollen.
l Zustzliche Adressen: Whlen Sie diese Option aus der Auswahlliste, wenn Sie
eine Aktion fr eine zustzliche Adresse definieren wollen.
IPsec-Tunnel: (Nur verfgbar wenn IPsec-Tunnel als Typ festgelegt wurde.) Wenn
mindestens ein IPsec-Tunnel definiert ist, knnen Sie hier einen von ihnen auswhlen.
Weitere Informationen ber IPsec-Tunnel finden Sie in Kapitel Fernzugriff >IPsec.
Zus. Adresse: (Nur verfgbar wenn Zustzliche Adressen als Typ festgelegt wurde.)
Wenn mindestens eine zustzliche Adresse definiert ist, knnen Sie hier eine von ihnen
auswhlen. Weitere Informationen ber zustzliche Adressen finden Sie in Kapitel
Schnittstellen &Routing >Schnittstellen >Zustzliche Adressen.
Aktion: Sie knnen hier entweder Enable oder Disable whlen, was bedeutet, dass im
Fall einer Uplink-Unterbrechung der oben gewhlte IPsec-Tunnel oder die zustzliche
Adresse aktiviert oder deaktiviert wird.
zu.
Die Aktion wird gespeichert und imFall, dass die Uplink-Verbindung unterbrochen wird,
ausgefhrt.
212 UTM9 WebAdmin
Umeine Aktion zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.4.3 Erweitert
Auf der Registerkarte Uplink-berwachung >Erweitert knnen Sie die automatische ber-
wachung der Uplink-Verbindung deaktivieren und stattdessen einen oder mehrere Hosts ange-
ben, die fr die berwachung verwendet werden sollen.
Automatische berwachung ist standardmig aktiviert, umein mgliches Versagen einer
Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Schnittstellen ber-
wacht wird, indemein bestimmter Host imInternet in einemAbstand von 15 Sekunden ange-
sprochen wird. Standardmig ist der berwachende Host der dritte Pings zulassende Hop auf
demWeg zu einemder Root-DNS-Server. Sie knnen die Hosts zumberwachen der Server
auch selbst bestimmen. Fr diese Hosts knnen Sie einen anderen Dienst als Ping auswhlen
und berwachungsintervall und -zeitberschreitung anpassen:
Die berwachenden Hosts werden dann in gewissen Abstnden angesprochen, und wenn kei-
ner von ihnen erreichbar ist, gilt die Uplink-Verbindung als unterbrochen. Anschlieend werden
die Aktionen ausgefhrt, die in der Registerkarte Aktionen definiert sind.
Hinweis Automatisch werden dieselben berwachungseinstellungen sowohl fr die
Uplink-berwachung (Uplink-berwachung >Erweitert) als auch fr den Uplink-Ausgleich
(Schnittstellen >Uplink-Ausgleich) verwendet.
UmIhre eigenen Hosts fr die berwachung zu verwenden, gehen Sie folgendermaen vor:
1. Deaktivieren Sie das Auswahlkstchen Automatische berwachung.
Das Feld berwachende Hosts kann nun bearbeitet werden.
2. Fgen Sie die berwachenden Hosts hinzu.
Whlen Sie einen oder mehrere Hosts aus oder fgen Sie Hosts hinzu, die anstelle einer
zuflligen Auswahl an Hosts die berwachung bernehmen sollen. Wenn eine Schnitt-
stelle von mehr als einemHost berwacht wird, wird sie nur als tot betrachtet, wenn kei-
ner der berwachenden Hosts in der festgelegten Zeitspanne antwortet.Das Hin-
zufgen einer Definition wird auf der Seite Definitionen &Benutzer >
UTM9 WebAdmin 213
6 Schnittstellen & Routing 6.4 Uplink-berwachung
6.4 Uplink-berwachung 6 Schnittstellen & Routing
Hinweis Wenn ein ausgewhlter Host an eine Schnittstelle gebunden ist, wird er nur
zur berwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle
gebunden, wird er zur berwachung aller Schnittstellen verwendet. Schnittstellen, die
nicht von den ausgewhlten Hosts berwacht werden, werden automatisch ber-
wacht.
Klicken Sie auf das Symbol berwachungseinstellungen bearbeiten imKopf des Feldes,
umdie berwachungsdetails festzulegen:
berwachungstyp:Whlen Sie das Dienstprotokoll fr die berwachungsprfungen
aus. Whlen Sie fr die Dienstberwachung entweder TCP(TCP-Verbindungsaufbau),
UDP(UDP-Verbindungsaufbau), Ping (ICMP-Ping), HTTPHost (HTTP-Anfragen)
oder HTTPSHost (HTTPS-Anfragen). Wenn Sie UDPverwenden, wird zunchst eine
Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist
der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Verbindung als aus-
gefallen.
Port (nur bei den berwachungstypen TCPund UDP):Port-Nummer, an die die Anfra-
ge gesendet wird.
URL (optional, nur bei berwachungstypen HTTP/SHost):Anzufragende URL. Sie kn-
nen statt den Standard-Ports 80 und 443 auch andere Ports verwenden, indemSie die
Port-Information an die URL anhngen, z.B.
http://beispiel.domaene:8080/index.html. Wenn keine URLangegeben ist,
wird das Wurzelverzeichnis angefragt.
Intervall:Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts berprft wer-
den.
Zeitberschreitung:Geben Sie einen maximalen Zeitraumin Sekunden an, in demdie
berwachenden Hosts eine Antwort senden knnen. Wenn keiner der berwachenden
Hosts einer Schnittstelle in diesemZeitraumantwortet, wird die Schnittstelle als tot
betrachtet.
214 UTM9 WebAdmin
6.5 IPv6
Seit Version 8 untersttzt Sophos UTMIPv6, den Nachfolger von IPv4.
Die folgenden Funktionen von UTMuntersttzen IPv6 ganz oder teilweise.
l Zugang zumWebAdmin und zumBenutzerportal
l SSH
l NTP
l SNMP
l SLAAC- (Stateless Address Autoconfiguration) und DHCPv6-Client-Untersttzung fr
alle dynamischen Schnittstellen
l DNS
l DHCP-Server
l BGP
l OSPF
l IPS
l Firewall
l NAT
l ICMP
l Server-Lastverteilung
l Webfilter
l Web Application Firewall
l SMTP
l IPsec (nur Site-to-Site)
l Syslog-Server
UTM9 WebAdmin 215
6 Schnittstellen & Routing 6.5 IPv6
6.5 IPv6 6 Schnittstellen & Routing
6.5.1 Allgemein
Auf der Registerkarte IPv6 >Allgemein knnen Sie die IPv6-Untersttzung fr Sophos UTM
aktivieren. Auerdemwerden hier IPv6-Statusinformationen, z.B. Informationen ber Prfix-
Bekanntmachungen, angezeigt, wenn IPv6 aktiviert ist.
Die IPv6-Untersttzung ist standardmig ausgeschaltet. UmIPv6 zu aktivieren, gehen Sie fol-
gendermaen vor:
1. Aktivieren Sie IPv6 auf der Registerkarte Allgemein.
Der Schieberegler wird grn. Wenn IPv6 bisher noch nicht aktiviert oder konfiguriert wur-
de, ist imAbschnitt Konnektivitt der Ausdruck Keine angegeben.
Sobald IPv6 aktiviert ist, werden Sie imWebAdmin viele Netzwerkdefinitionen und Definitionen
von anderen Objekten vorfinden, die sich explizit auf IPv6 beziehen. ImAllgemeinen knnen Sie
diese genauso verwenden, wie Sie es von den IPv4-Objekten gewhnt sind.
Hinweis Wenn IPv6 aktiviert ist, tragen die Symbole von Netzwerkobjekten eine zustz-
liche Markierung, die Ihnen anzeigt, ob es sich bei demjeweiligen Objekt umein IPv6- oder ein
IPv4-Objekt handelt oder umbeides.
6.5.2 Prfix-Bekanntmachungen
Auf der Registerkarte IPv6 >Prfix-Bekanntmachungen knnen Sie Sophos UTMso kon-
figurieren, dass sie Clients ein IPv6-Adressprfix zuweist, welches diesen dann ermglicht, sich
selbst eine IPv6-Adresse auszuwhlen. Die Prfix-Bekanntmachung (prefix advertisement)
oder Router-Bekanntmachung (router advertisement) ist eine IPv6-Funktion, bei der sich Rou-
ter (in diesemFall die UTM) in gewisser Weise wie ein DHCP-Server unter IPv4 verhalten. Die
Router weisen den Clients IPs jedoch nicht direkt zu. Stattdessen weisen sich die Clients in
einemIPv6-Netzwerk eine sogenannte link-lokale Adresse fr die erste Kommunikation mit
demRouter zu. Der Router teilt demClient dann das Prfix fr dessen Netzwerksegment mit.
Daraufhin generiert sich der Client eine IP-Adresse, die aus demPrfix und seiner MAC-Adres-
se besteht.
Umein neues Prfix anzulegen, gehen Sie folgendermaen vor:
216 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Prfix-Bekanntmachungen auf Neues Prfix.
Das Dialogfeld Neues Prfix anlegen wird geffnet.
Schnittstelle: Whlen Sie eine Schnittstelle aus, die mit einer IPv6-Adresse und einer
64-Bit-Netzmaske konfiguriert ist.
DNS-Server 1/2 (optional): Die IPv6-Adressen der DNS-Server.
Domne (optional): Geben Sie den Domnennamen ein, der an die Clients bermittelt
werden soll (z.B. intranet.beispiel.de).
Gltige Lebensdauer: Der Zeitraum, fr den das Prfix gltig sein soll. Der Stan-
dardwert ist 30 Tage.
Bevorzugte Lebensdauer: Der Zeitraum, nach demein anderes Prfix, dessen bevor-
zugte Lebensdauer noch nicht vorber ist, vomClient gewhlt werden soll. Der Stan-
dardwert ist 7 Tage.
Andere Konfig (optional): Diese Option ist standardmig ausgewhlt. Sie stellt sicher,
dass ein angegebener DNS-Server und ein Domnenname zusammen mit demange-
gebenen Prfix ber DHCPv6 bekannt gegeben werden. Dies ist ntzlich, da es zurzeit
zu wenig Clients gibt, die DNS-Informationen von den Prfix-Bekanntmachungen (RFC
5006/RFC6106) abrufen knnen. Beachten Sie, dass diese DHCPv6-Konfiguration ver-
steckt verluft und daher ber das DHCP-Konfigurationsmen weder sichtbar noch edi-
tierbar ist.
zu.
Die neue Prfix-Konfiguration wird in der Liste Prfix-Bekanntmachungen angezeigt.
6.5.3 Umnummerierung
Auf der Registerkarte IPv6 >Umnummerierung knnen Sie fr den Fall einer nderung des
Prfixes die automatische Umnummerierung der durch die UTMverwalteten IPv6-Adressen
erlauben. Auerdemknnen Sie IPv6-Adressen manuell umnummerieren.
Die folgenden IPv6-Adressen werden gendert:
l Host-, Netzwerk- und Bereichsdefinitionen
l Hauptadressen und zustzliche Adressen von Schnittstellen
UTM9 WebAdmin 217
6.5 IPv6 6 Schnittstellen & Routing
l DHCPv6-Server-Bereiche und -Zuordnungen
l DNS-Zuordnungen
IPv6-Prfixe, die durch den Tunnel-Broker zugewiesen wurden, werden nicht umnummeriert.
Automati sche IPv6-Umnummeri erung
Standardmig werden die durch Ihre UTMverwalteten IPv6-Adressen automatisch umnum-
meriert, wenn sich das IPv6-Prfix ndert. Prfixnderungen werden durch Ihren ISPber
DHCPv6-Prfixdelegation ausgelst. Umdie Umnummerierung zu deaktivieren, deaktivieren
Sie das Auswahlkstchen und klicken Sie auf bernehmen.
Manuelle IPv6-Umnummeri erung
Sie knnen bestimmte IPv6-Adressen, die durch die UTMverwaltet werden, manuell umnum-
merieren. Dies kann hilfreich sein, wenn Sie zu einemneuen ISPwechseln, der ein neues IPv6-
Prfix statisch zuweist statt automatisch ber DHCPv6.
1. Legen Sie das aktuelle Prfix der IPv6-Adressen fest, die umnummeriert wer-
den sollen.
Geben Sie das Prfix in das Feld Altes Prfix ein.
2. Legen Sie das neue Prfix fest.
Geben Sie das Prfix in das Feld Neues Prfix ein.
Alle IPv6-Adressen mit demfestgelegten aktuellen Prfix werden mit Hilfe des neuen Pr-
fixes umnummeriert.
6.5.4 6to4
Auf der Registerkarte IPv6 >6to4 knnen Sie Sophos UTMso konfigurieren, dass IPv6-Adres-
sen automatisch ber ein vorhandenes IPv4-Netzwerk getunnelt werden. Bei 6to4 hat jede
IPv4-Adresse ein /48-Prfix aus demIPv6-Netzwerk, auf das sie abgebildet wird. Die daraus
resultierende IPv6-Adresse besteht aus demPrfix 2002und der IPv4-Adresse in hexa-
dezimaler Schreibweise.
Hinweis Sie knnen entweder 6to4 oder Tunnel-Broker aktiviert haben.
Umdas Tunneln von IP-Adressen fr eine bestimmte Schnittstelle zu aktivieren, gehen Sie fol-
gendermaen vor:
218 UTM9 WebAdmin
1. Aktivieren Sie 6to4 auf der Registerkarte 6to4.
Der Schieberegler wird gelb und die Abschnitte 6to4 sowie Erweitert knnen nun bear-
beitet werden.
2. Whlen Sie eine Schnittstelle aus.
Whlen Sie eine Schnittstelle aus der Auswahlliste Schnittstelle, die eine ffentliche IPv6-
Adresse besitzt.
Ihre Einstellungen werden gespeichert. Der Schnittstellenstatus wird auf der Regis-
terkarte Allgemein angezeigt.
Erwei tert
Sie knnen die Server-Adresse ndern, umeinen anderen 6to4-Relay-Server zu verwenden.
Gehen Sie folgendermaen vor:
1. Geben Sie eine neue Server-Adresse ein.
6.5.5 Tunnel-Broker
Auf der Registerkarte IPv6 >Tunnel-Broker knnen Sie die Verwendung eines Tunnel-Broker
aktivieren. Die Tunnelvermittlung (tunnel brokerage) ist ein Dienst, der von einigen ISPs ange-
boten wird, und es ermglicht, ber IPv6-Adressen auf das Internet zuzugreifen.
Hinweis Sie knnen entweder 6to4 oder Tunnel-Broker aktiviert haben.
Sophos UTMuntersttzt die folgenden Tunnel-Broker (Vermittlungsdienste):
l Teredo (nur Anonymous)
l Freenet6 (nach GoGo6) (Anonymous oder mit Benutzerkonto)
l SixXS(Benutzerkonto erforderlich)
l Hurricane Electric (Benutzerkonto erforderlich)
Umeinen Tunnel-Broker zu verwenden, gehen Sie folgendermaen vor:
UTM9 WebAdmin 219
6.6 Statisches Routing 6 Schnittstellen & Routing
1. Aktivieren Sie die Tunnelvermittlung auf der Registerkarte Tunnel-Broker.
Der Schieberegler wird grn und die Abschnitte Tunnel-Broker sowie Erweitert knnen
nun bearbeitet werden. Der Tunnel-Broker ist sofort aktiv und verwendet Teredo mit
anonymer Authentifizierung. Der Verbindungsstatus wird auf der Registerkarte All-
gemein angezeigt.
Wenn Sie SixXS-Tunnel verwenden und die IPv6-Verbindung geht verloren, werden die
SixXS-Tunnel nicht automatisch neu gestartet. Prfen Sie in diesemFall die Protokolldateien,
die unter Protokolle &Berichte >Protokollansicht >Heutige Protokolldateien erscheinen.
Tunnel-Broker
Sie knnen die Standardeinstellungen fr den Tunnel-Broker ndern.
Authentifizierung: Whlen Sie eine Authentifizierungsmethode aus der Auswahlliste.
l Anonymous: Bei dieser Methode bentigen Sie kein Benutzerkonto bei dement-
sprechenden Broker. Die zugewiesene IP-Adresse ist jedoch nur temporr.
l User: Sie mssen sich bei dementsprechenden Broker anmelden, umein Benut-
zerkonto zu bekommen.
Broker: Whlen Sie einen anderen Broker aus der Auswahlliste aus.
Benutzername (nur bei User verfgbar): Geben Sie Ihren Benutzernamen fr den ent-
sprechenden Broker an.
Kennwort (nur bei User verfgbar): Geben Sie Ihr Kennwort fr den Benutzernamen an.
Erwei tert
Hier knnen Sie eine andere Serveradresse fr den gewhlten Tunnel-Broker angeben.
6.6 Statisches Routing
Jeder an ein Netzwerk angeschlossener Computer verwendet eine Routing-Tabelle, mit
deren Hilfe er feststellt, welchen Weg ein ausgehendes Datenpaket nehmen muss, umsein Ziel
zu erreichen. Die Routing-Tabelle enthlt z.B. Informationen darber, ob sich eine Zieladresse
220 UTM9 WebAdmin
imlokalen Netzwerk befindet oder ob das Datenpaket ber einen Router weitergeleitet werden
muss. Falls ein Router beteiligt ist, enthlt die Tabelle die Information, welcher Router fr wel-
ches Netzwerk benutzt werden muss.
Zwei Routenarten knnen zur Routing-Tabelle von Sophos UTMhinzugefgt werden: sta-
tische Routen und Richtlinienrouten. Bei statischen Routen werden die Routingziele lediglich
von der Zieladresse der Datenpakete bestimmt. Bei Richtlinienrouten ist es mglich, das Rou-
ting anhand der Quellschnittstelle, der Absenderadresse, des Dienstes oder der Zieladresse zu
bestimmen.
Hinweis Sie brauchen fr Netzwerke, die direkt an die Schnittstellen der UTMange-
schlossen sind, sowie fr Standardrouten keine Routing-Eintrge anzulegen. Diese Routing-
Eintrge werden vomSystemautomatisch erstellt.
6.6.1 Statische Routen
Fr die direkt angeschlossenen Netzwerke trgt das Systemdie entsprechenden Routing-Ein-
trge selbst ein. Weitere Eintrge mssen manuell vorgenommen werden, z.B. wenn imloka-
len Netzwerk ein weiterer Router existiert, ber den ein bestimmtes Netzwerk erreicht werden
soll. Routen fr Netzwerke, die nicht direkt angeschlossen sind, aber ber einen Befehl oder
eine Konfigurationsdatei in die Routing-Tabelle eingetragen werden, bezeichnet man als sta-
tische Routen.
Umeine statische Route hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Statische Routen auf Neue statische Route.
Das Dialogfeld Neue statische Route erstellen wird geffnet.
Routentyp: Die folgenden Routentypen sind verfgbar:
l Schnittstellenroute: Datenpakete werden an eine bestimmte Schnittstelle
geschickt. Dieser Typ kann in zwei Fllen ntzlich sein: Fr Routing-Eintrge zu
dynamischen Schnittstellen (z.B. PPP), da in diesemFall die IP-Adresse des Gate-
ways nicht bekannt ist, oder fr eine Standard-Route mit einemGateway auer-
halb der direkt angeschlossenen Netzwerke.
l Gatewayroute: Die Datenpakete werden an einen bestimmten Host (Gateway)
geschickt.
UTM9 WebAdmin 221
6 Schnittstellen & Routing 6.6 Statisches Routing
6.6 Statisches Routing 6 Schnittstellen & Routing
l Blackhole-Route: Die Datenpakete werden ohne Rckmeldung an den Absen-
der verworfen. In Verbindung mit OSPF oder anderen dynamischen adaptiven
Routing-Protokollen knnen dadurch unter anderemRouting Loops(Schleifen)
oder Route Flapping(schnelles Wechseln von Routen) verhindert werden.
Netzwerk: Whlen Sie die Zielnetzwerke der Datenpakete, die die UTMabfangen
muss.
Schnittstelle: Whlen Sie die Schnittstelle, durch die die Datenpakete die UTMver-
lassen (nur verfgbar, wenn Sie Schnittstellenroute als Routentyp gewhlt haben).
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den UTMdie Daten-
pakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp gewhlt
haben).
zu.
3. Optional knnen Sie die folgende erweiterte Einstellung vornehmen:
Metrik: Geben Sie einen Metrikwert ein. Dieser kann eine Ganzzahl zwischen 0 und
4294967295 sein. Der Standardwert betrgt 5. Dieser Metrikwert wird verwendet, um
Routen, die zumselben Ziel fhren, zu unterscheiden und zu priorisieren. Ein niedriger
Metrikwert wird einemhohen Metrikwert vorgezogen. IPsec-Routen besitzen auto-
matisch den Metrikwert 0.
Die neue Route wird in der Liste Statische Routen angezeigt.
5. Aktivieren Sie die Route.
Klicken Sie auf den Schieberegler, umdie Route zu aktivieren.
Umeine Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.6.2 Richtlinienrouten
Normalerweise entscheidet ein Router darber, wohin ein bestimmtes Paket geschickt werden
muss, indemer die Zieladresse imPaket selbst ausliest und den entsprechenden Eintrag in
einer Routing-Tabelle nachschaut. Manchmal jedoch ist es notwendig ein Paket basierend auf
anderen Kriterien weiterzuleiten. Das richtlinienbasierte Routing ermglicht die Weiterleitung
bzw. das Routen von Datenpaketen nach eigenen Sicherheitsrichtlinien.
Umeine Richtlinienroute hinzuzufgen, gehen Sie folgendermaen vor:
222 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Richtlinienrouten auf Neue Richtlinienroute.
Das Dialogfeld Neue Richtlinienroute erstellen wird geffnet.
Position: Die Positionsnummer legt die Prioritt der Richtlinienroute fest. Niedrigere
Nummern haben eine hhere Prioritt. Routen werden in aufsteigender Reihenfolge
abgeglichen. Sobald eine Route zutrifft, werden Routen mit einer hheren Nummer
nicht mehr abgeglichen.
geschickt.
Quellschnittstelle: Die Schnittstelle, auf der das zu routende Datenpaket ankommt.
Mit der Einstellung Any werden alle Schnittstellen geprft.
Quellnetzwerk: Das Quellnetzwerk des zu routenden Datenpakets. Mit der Einstellung
Any werden alle Netzwerke geprft.
Dienst: Datenpakete dieses Diensts werden auf passende Routing-Regeln geprft. Die
Auswahlliste enthlt sowohl die vordefinierten als auch Ihre selbst definierten Dienste.
Mit Hilfe dieser Dienste lsst sich przise definieren, welche Art von Datenverkehr ver-
arbeitet werden soll. Die Einstellung Any entspricht in diesemFall allen Kombinationen
aus Protokollen und Quell- bzw. Zielports.
Zielnetzwerk: Das Zielnetzwerk des zu routenden Datenpakets. Mit der Einstellung Any
werden alle Netzwerke geprft.
Zielschnittstelle: Die Schnittstelle, an die die Datenpakete gesendet werden (nur ver-
fgbar, wenn Sie als Routentyp Schnittstellenroute gewhlt haben).
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp
gewhlt haben).
zu.
UTM9 WebAdmin 223
6 Schnittstellen & Routing 6.6 Statisches Routing
6.7 Dynam. Routing (OSPF) 6 Schnittstellen & Routing
Die neue Route wird in der Liste Richtlinienrouten angezeigt.
4. Aktivieren Sie die Route.
Klicken Sie auf den Schieberegler, umdie Route zu aktivieren.
Umeine Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.7 Dynam. Routing (OSPF)
Das Protokoll Open Shortest Path First (OSPF) ist ein dynamisches Link-State-Routing-Pro-
tokoll, das hauptschlich innerhalb von groen autonomen Systemnetzwerken genutzt wird.
Sophos UTMuntersttzt OSPF Version 2. ImGegensatz zu anderen Protokollen nutzt OSPF
die Kosten fr die Pfade als Routing-Metrik. Die Kosten fr die bermittlung von Datenpaketen
ber eine Schnittstelle mit eingeschaltetemOSPF werden aus der verfgbaren Bandbreite
berechnet. Dabei sind die Kosten umgekehrt proportional zu der verfgbaren Bandbreite der
Schnittstelle eine grere Bandbreite hat somit geringere Kosten zur Folge. Die Kosten und
die entstehende Zeitverzgerung sind z.B. bei einer seriellen Schnittstelle mit 56 Kbit/s hher
als bei einer Ethernet-Schnittstelle mit 10 Mbit/s.
Die OSPF-Spezifikation enthlt keine Angaben darber, wie die Kosten fr ein ange-
schlossenes Netzwerk berechnet werden dies wird demAnbieter berlassen. Daher knnen
Sie eine eigene Berechnungsformel fr die Kosten definieren. Wenn das OSPF-Netzwerk
jedoch an ein anderes Netzwerk angrenzt, bei dembereits eine Formel definiert wurde, muss
diese hier ebenfalls als Basis fr die Kostenberechnung verwendet werden.
Die Kosten werden standardmig bandbreitenbasiert berechnet. Cisco beispielsweise
berechnet die Kosten folgendermaen: 10
8
dividiert durch die Schnittstellen-Bandbreite in Bit
pro Sekunde. Laut dieser Formel betragen die Kosten, umeine 10-Mbit/s-Ethernet-Schnitt-
stelle zu benutzen, 10
8
/10.000.000 =10 und 10
8
/1.544.000 =64, umeine 1,544-Mbit/s-Schnitt-
stelle (T1) zu benutzen (ungerade Ergebnisse werden auf eine Ganzzahl abgerundet).
6.7.1 Allgemein
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Allgemein
werden die Grundeinstellungen fr OSPF vorgenommen. Bevor Sie die OSPF-Funktion akti-
vieren knnen, mssen Sie mindestens einen OSPF-Bereich konfigurieren (auf der Regis-
terkarte Bereich).
224 UTM9 WebAdmin
Achtung Die Einstellungen fr die OSPF-Funktion von Sophos UTMsollten nur von einem
technisch erfahrenen Administrator durchgefhrt werden, der mit demProtokoll OSPF ver-
traut ist. Die Konfigurationsbeschreibungen in diesemKapitel umfassen nicht gengend
Aspekte von OSPF, umein vollstndiges Verstndnis des OSPF-Protokolls zu erreichen. Ver-
wenden Sie diese Funktion deshalb mit Vorsicht, da eine fehlerhafte Konfiguration das Netz-
werk betriebsunfhig machen kann.
UmOSPF zu konfigurieren, gehen Sie folgendermaen vor:
1. Konfigurieren Sie auf der Registerkarte Bereich mindestens einen OSPF-
Bereich.
2. Aktivieren Sie OSPF auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Bereich Router kann nun bearbeitet werden.
3. Geben Sie die Router-ID ein.
Geben Sie eine eindeutige IDein, ber die sich die Sophos UTMgegenber den ande-
ren OSPF-Routern identifiziert.
UmOSPFzu deaktivieren, klicken Sie auf den Schieberegler.
6.7.2 Bereich
Ein OSPF-Netzwerk ist in mehrere Bereiche unterteilt. Dies sind logische Gruppierungen von
Routern, deren Informationen fr das restliche Netzwerk zusammengefasst werden knnen.
Die einzelnen Bereiche werden durch eine 32-Bit-IDin der Punkt-Dezimalschreibweise fest-
gelegt hnlich der Schreibweise bei IP-Adressen.
Es gibt insgesamt sechs OSPF-Bereichstypen:
l Backbone: Der Bereich mit der ID0 (oder 0.0.0.0) ist fr das Backbone-Netzwerk
des OSPF-Netzwerks reserviert, welches das Kernnetz eines OSPF-Netzwerks bildet
alle anderen Bereiche sind damit verbunden.
l Normal: Ein normaler oder regulrer Bereich erhlt eine eindeutige IDimBereich 1
(oder 0.0.0.1) bis 4.294.967.295 (oder 255.255.255.255). In normalen Bereichen
werden externe Routen bidirektional ber den Area Border Router (ABR, Grenzrouter)
UTM9 WebAdmin 225
6 Schnittstellen & Routing 6.7 Dynam. Routing (OSPF)
geflutet. Beachten Sie, dass externe Routen als Routen definiert werden, die imOSPF
von einemanderen Routing-Protokoll verteilt werden.
l Stub: Ein Stub-Bereich hat blicherweise keine direkte Verbindung zu einemexternen
Netzwerk. Das Zufhren externer Routen in einen Stub-Bereich ist nicht erforderlich, da
smtlicher Datenverkehr in externe Netzwerke durch einen Area Border Router (ABR)
geleitet werden muss. Daher ersetzt der Stub-Bereich eine vorgegebene Route durch
externe Routen, umDaten an externe Netzwerke zu senden.
l Stub No-Summary: Der Bereich Stub No-Summary (auch Totally Stubby Area) ist mit
einemStub-Bereich vergleichbar, allerdings werden keine sogenannten Summary Rou-
tes erlaubt. Das bedeutet, dass die Flutung von Summary-Link-State-Advertisements
(LSAs) des Typs 3 in demBereich damit eingeschrnkt wird.
l NSSA: Dieser Bereich (Not-So-Stubby-Area/NSSA) ist eine Art von Stub-Bereich, in
demallerdings auch externe Verbindungen untersttzt werden. Beachten Sie dabei,
dass keine virtuellen Links untersttzt werden.
l NSSA No-Summary: Dieser Bereich (NSSANo-Summary) ist mit NSSAvergleichbar,
allerdings werden keine sogenannten Summary Routes erlaubt. Das bedeutet, dass die
Flutung von Summary-Link-State-Advertisements (LSAs) des Typs 3 in demBereich
damit eingeschrnkt wird.
Umeinen OSPF-Bereich anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Bereich auf Neuer OSPF-Bereich.
Das Dialogfeld Neuen OSPF-Bereich erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den Bereich ein.
Bereich-ID: Geben Sie die IDfr den Bereich in der Punkt-Dezimalschreibweise ein
(z.B. 0.0.0.1fr einen normalen Bereich oder 0.0.0.0fr den Backbone-Bereich).
Bereichstyp: Whlen Sie einen Bereichstyp (siehe obige Beschreibung) aus, umdie
Charakteristika des Netzwerks festzulegen, demdieser Bereich zugewiesen wird.
Auth.-Methode: Whlen Sie fr alle Pakete, die ber die Schnittstelle den OSPF-
Bereich erreichen, die Authentifizierungsmethode aus. Die folgenden Authen-
tifizierungsmethoden sind verfgbar:
l MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
226 UTM9 WebAdmin
l Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird
als Klartext durch das Netzwerk geschickt.
l Aus: Diese Option deaktiviert die Authentifizierung.
Verbinden ber Schnittstelle: Whlen Sie eine OSPF-Schnittstelle aus. Beachten
Sie, dass OSPF-Schnittstellen, die Sie hier spezifizieren, vorher auf der Registerkarte
Schnittstellen erstellt worden sein mssen.
Virtuelle Links verbinden: Alle Bereiche in einemautonomen OSPF-System(AS)
mssen physikalisch mit demBackbone-Bereich (Bereich 0) verbunden sein. In man-
chen Fllen, wenn eine physikalische Verbindung nicht mglich ist, knnen Sie einen vir-
tuellen Link verwenden, umden Backbone-Bereich mit einemNicht-Backbone-Bereich
zu verbinden. Geben Sie imFeld Virtuelle Links verbinden die Router-ID, die demvir-
tuellen Link-Nachbarn zugeordnet ist, in der Punkt-Dezimalschreibweise ein (z.B.
10.0.0.8).
Kosten: Die Kosten fr das Senden und Empfangen von Datenpaketen in diesem
Bereich. Gltige Werte fr Kosten liegen imBereich 1 bis 65535.
zu.
Die neue Bereichsdefinition wird auf der Registerkarte Bereich angezeigt.
Umeinen OSPF-Bereich zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Live-Protokoll ffnen: ImOSPF-Live-Protokoll werden die Aktivitten auf der OSPF-Schnitt-
stelle protokolliert. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fens-
ter zu ffnen.
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Schnittstellen
knnen Sie Schnittstellendefinitionen erstellen, die innerhalb eines OSPF-Bereichs genutzt wer-
den sollen. Jede Definition enthlt verschiedene Parameter, die spezifisch fr OSPF-Schnitt-
stellen sind.
Umeine OSPF-Schnittstellendefinition anzulegen, gehen Sie folgendermaen vor:
UTM9 WebAdmin 227
1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue OSPF-Schnittstelle.
Das Dialogfeld Neue OSPF-Schnittstelle erstellen wird geffnet.
Schnittstelle: Whlen Sie die Schnittstelle aus, die der OSPF-Schnittstellendefinition
zugeordnet werden soll.
Auth.-Methode: Whlen Sie die Authentifizierungsmethode aus, die fr alle OSPF-
Pakete verwendet werden soll, die ber die Schnittstelle gesendet und empfangen wer-
den. Die folgenden Authentifizierungsmethoden sind verfgbar:
l MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
l Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird
als Klartext durch das Netzwerk geschickt.
l Aus: Diese Option deaktiviert die Authentifizierung.
Prfsumme: Whlen Sie die Prfsumme (MD, von engl. message digest), umdie MD5-
Authentifizierung fr diese OSPF-Schnittstelle festzulegen. Beachten Sie, dass Sie eine
Prfsumme zunchst auf der Registerkarte Prfsummen anlegen mssen, bevor Sie sie
hier auswhlen knnen.
Kosten: Die Kosten fr die bermittlung von Datenpaketen ber diese Schnittstelle. Gl-
tige Werte fr Kosten liegen imBereich 1 bis 65535.
Erweiterte Optionen (optional): Durch die Auswahl der Option Erweiterte Optionen
werden weitere Konfigurationsoptionen angezeigt:
l Grupaketintervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos
UTMwartet, bevor es Grupakete ber diese Schnittstelle sendet. Als Stan-
dardwert sind zehn Sekunden voreingestellt.
l Wiederbertragungsintervall: Legen Sie das Zeitintervall (in Sekunden) fest,
nach demein LSA(engl. link state advertisement) fr die Schnittstelle nochmals
bertragen wird, wenn keine Besttigung eingegangen ist. Es ist ein Zeitintervall
von fnf Sekunden voreingestellt.
l Totes Intervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos UTM
auf Grupakete wartet, die ber die Schnittstelle eintreffen. Als Standardwert sind
228 UTM9 WebAdmin
40 Sekunden voreingestellt. Per Konvention muss der Wert des toten Intervalls
grundstzlich vier mal grer sein als der Wert des Grupaketintervalls.
l Prioritt: Legen Sie die Router-Prioritt fest, bei der es sich umeine 8-Bit-Num-
mer zwischen 1 und 255 handelt, die hauptschlich dafr genutzt wird, umin
einemNetzwerk den designierten Router (DR, engl. Designated Router) zu
bestimmen. Als Standardwert ist 1 voreingestellt.
l bertragungsverzgerung: Legen Sie das geschtzte Zeitintervall (in Sekun-
den) fest, das bentigt wird, umein Link-State-Update-Paket (Linkstatus-Aktua-
lisierung) ber die Schnittstelle zu senden. Gltige Werte liegen imBereich 1 bis
65535; als Standardwert ist 1 voreingestellt.
zu.
Die OSPF-Schnittstellendefinition wird auf der Registerkarte Schnittstellen angezeigt.
Umeine OSPF-Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Live-Protokoll ffnen: ImOSPF-Live-Protokoll werden die Aktivitten auf der OSPF-Schnitt-
stelle protokolliert. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fens-
ter zu ffnen.
6.7.4 Prfsummen
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Prfsummen
werden sogenannte Prfsummenschlssel generiert. Prfsummenschlssel sind erforderlich,
umdie MD5-Authentifizierung mit OSPF zu aktivieren. Die MD5-Authentifizierung generiert
eine 128-Bit-Prfsumme aus Datenpaket und Kennwort. Die Prfsumme wird mit demDaten-
paket und einer Schlssel-IDverschickt, welche demKennwort zugeordnet ist.
Hinweis Auf allen empfangenden Routern muss derselbe Prfsummenschlssel kon-
figuriert sein.
Umeinen Prfsummenschlssel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Prfsummen auf Neuer Prf-
summenschlssel.
UTM9 WebAdmin 229
Das Dialogfeld Neuen Prfsummenschlssel erstellen wird geffnet.
ID: Geben Sie die Schlssel-Identifikationsnummer fr diesen Prfsummenschlssel ein.
MD5-Schlssel: Geben Sie das Kennwort ein. Es kann bis zu 16 alphanumerische Zei-
chen enthalten.
Der neue Schlssel wird in der Liste Prfsummen angezeigt.
Umeinen Prfsummenschlssel zu bearbeiten oder zu lschen, klicken Sie auf die ent-
6.7.5 Fehlersuche
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Fehlersuche
werden detaillierte Informationen zu relevanten OSPF-Parametern in separaten Browser-
Fenstern dargestellt. Die folgenden Informationen sind verfgbar:
l IP des OSPF-Nachbarn anzeigen: Es werden schnittstellenbezogene Informationen
zu den OSPF-Nachbarn angezeigt.
l IP der OSPF-Routen anzeigen: Es wird der aktuelle Stand der Routing-Tabelle ange-
zeigt.
l IP der OSPF-Schnittstelle anzeigen: Es werden OSPF-bezogene Schnitt-
stelleninformationen angezeigt.
l IP der OSPF-Datenbank anzeigen: Es werden zu einembestimmten Router OSPF-
datenbankbezogene Informationen anzeigt.
l IP der OSPF-Grenzrouter anzeigen: Es werden die internen Eintrge aus der OSPF-
Routing-Tabelle zumArea Border Router (ABR) und zumAutonomous SystemBoun-
dary Router (ASBR) angezeigt.
6.7.6 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Dynamisches Routing (OSPF) >Erweitert
befinden sich die erweiterten Einstellungen fr OSPF. Die Funktionen beziehen sich dabei auf
die Einspeisung (Neuverteilung) von Routing-Informationen aus einer Nicht-OSPF-Domne in
die OSPF-Domne.
230 UTM9 WebAdmin
Hinweis Richtlinienrouten knnen nicht neu verteilt werden.
Verbundene neu verteilen: Umdie Routen von direkt verbundenen Netzwerken neu zu ver-
teilen, whlen Sie diese Option aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Statische neu verteilen: Umstatische Routen neu zu verteilen, whlen Sie diese Option aus.
Hinweis Fr IPsec-Tunnel muss striktes Routing deaktiviert sein, umeine Neuverteilung zu
ermglichen (siehe Kapitel Verbindungen).
IPsec neu verteilen: UmIPsec-Routen neu zu verteilen, whlen Sie diese Option aus. Die
Option bind to interface sollte deaktiviert sein.
SSL VPN neu verteilen: UmSSL-VPN-Routen neu zu verteilen, whlen Sie diese Option
aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
BGP neu verteilen: UmBGP-Routen neu zu verteilen, whlen Sie diese Option aus. Der
Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Standardroute bekanntgeben: Umeine vorgegebene Route zur OSPF-Domne neu zu
verteilen, whlen Sie diese Option aus.
Hinweis Eine vorgegebene Route wird in der OSPF-Domne angezeigt, ungeachtet des-
sen, ob sie eine Route zu 0.0.0.0/0enthlt.
Schnittstellen-Linkerkennung: Whlen Sie diese Option aus, wenn Routen auf Schnitt-
stellen nur dann bekannt gegeben werden sollen, wenn ein Link mit der Schnittstelle erkannt
wird.
6.8 Border Gateway Protocol
Das Border Gateway Protocol (BGP) ist ein Routing-Protokoll, das hauptschlich von Inter-
netanbietern (ISPs) verwendet wird, umdie Kommunikation zwischen mehreren autonomen
Systemen(Autonomous System, AS) zu ermglichen, das heit zwischen mehreren ISPs. Ein
autonomes Systembesteht aus mehreren miteinander verbundenen IP-Netzwerken, die von
einemoder mehreren ISPs kontrolliert werden und ber ein internes Routing-Protokoll (z.B.
IGP) miteinander verbunden sind. BGPwird als Pfad-Vektor-Protokoll bezeichnet und fllt
UTM9 WebAdmin 231
6 Schnittstellen & Routing 6.8 Border Gateway Protocol
6.8 Border Gateway Protocol 6 Schnittstellen & Routing
seine Routing-Entscheidungen, imGegensatz zu IGP, anhand von Pfad, Netzwerkrichtlinien
und/oder Regelwerken. Aus diesemGrund knnte man es eher als Erreichbarkeitsprotokoll
bezeichnen denn als Routing-Protokoll.
Jeder ISP(oder andere Netzwerkanbieter) muss imBesitz einer offiziell registrierten AS-Num-
mer (Autonomous SystemNumber, ASN) sein, umsich selbst imNetzwerk ausweisen zu kn-
nen. Obwohl ein ISPintern mehrere autonome Systeme untersttzen mag, ist fr das Internet
nur das Routing-Protokoll relevant. AS-Nummern aus demBereich 6451265534 sind privat
und knnen nur intern verwendet werden.
BGPverwendet TCPals Transportprotokoll, auf Port 179.
Wenn BGPzwischen Routern eines einzigen ASverwendet wird, spricht man von internem
BGP(interior BGP, iBGP); wenn es hingegen zwischen Routern von verschiedenen ASver-
wendet wird, spricht man von externemBGP(exterior BGP, eBGP).
Eine Strke von eBGPist seine Fhigkeit, Routing-Schleifen zu verhindern, das heit, dass ein
IP-Paket ein ASniemals zweimal passiert. Dies wird folgendermaen erreicht: Ein eBGP-Rou-
ter pflegt eine komplette Liste aller AS, die ein IP-Paket passieren muss, umein bestimmtes
Netzwerksegment zu erreichen. Wenn der Router sendet, teilt er diese Information mit seinen
eBGP-Nachbarroutern (neighbors), welche daraufhin ihre Routingliste aktualisieren, falls
ntig. Wenn ein eBGP-Router feststellt, dass er bereits auf einer solchen UPDATE-Liste ein-
getragen ist, fgt er sich nicht noch einmal hinzu.
6.8.1 Allgemein
Auf der Seite Border Gateway Protocol >Allgemein knnen Sie BGPfr die UTMaktivieren und
deaktivieren.
1. UmBGP aktivieren zu knnen, legen Sie auf der Seite Neighbor mindestens
einen Nachbarn an.
2. Aktivieren Sie auf der Seite Allgemein BGP.
Klicken Sie auf den Schieberegler. Der Schieberegler wird gelb und der Abschnitt BGP-
Systemkann nun bearbeitet werden.
AS-Nummer: Geben Sie die AS-Nummer (Autonomous SystemNumber, ASN) Ihres
Systems ein.
232 UTM9 WebAdmin
Router-ID: Geben Sie eine IPv4-Adresse als Router-IDein, die den Nachbarn (neigh-
bors) whrend der Sitzungsinitialisierung bermittelt wird.
Netzwerke: Fgen Sie die Netzwerke hinzu, die den Nachbarn vomSystembekannt
gegeben werden sollen. Das Hinzufgen einer Definition wird auf der Seite Definitionen
&Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Der Schieberegler wird grn und BGPwird aktiviert. Schon bald werden imBereich
BGPSummary Statusinformationen angezeigt.
6.8.2 Systeme
Auf der Seite Border Gateway Protocol >Systeme knnen Sie eine Umgebung mit mehreren
autonomen Systemen einrichten.
Hinweis Diese Seite ist nur zugnglich, wenn Sie die Verwendung von mehreren ASauf
der Seite Erweitert aktivieren.
Umein neues BGP-Systemanzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Systeme auf Neues BGP-System.
Das Dialogfeld Neues BGP-Systemanlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr das Systemein.
ASN: Geben Sie die AS-Nummer (Autonomous SystemNumber, ASN) Ihres Systems
ein.
Router-ID: Geben Sie eine IPv4-Adresse als Router-IDein, die den Nachbarn (neigh-
bors) whrend der Sitzungsinitialisierung bermittelt wird.
Neighbor: Markieren Sie die Auswahlkstchen derjenigen Nachbarn, die zumASdie-
ses Systems gehren. Beachten Sie, dass Sie die Nachbarn zuvor auf der Seite Neigh-
bor anlegen mssen.
Netzwerke: Fgen Sie die Netzwerke hinzu, die vomSystembekannt gegeben werden
sollen. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
UTM9 WebAdmin 233
Routen installieren: Diese Option ist standardmig aktiviert und sollte nur deaktiviert
werden, wenn Sie wollen, dass ein BGP-Router die Routen kennt, aber nicht aktiv am
BGP-Routing-Prozess teilnimmt. Wenn es mehrere AS-Systeme gibt, auf denen diese
Option aktiviert ist, mssen Filterlisten angelegt werden, umsicherzustellen, dass es kei-
ne doppelten Netzwerke gibt. Andernfalls ist das Routing-Verhalten fr identische Netz-
werke unbestimmt.
Das Systemwird in der Liste Systeme angezeigt.
6.8.3 Neighbor
Auf der Seite Border Gateway Protocol >Neighbor knnen Sie einen oder mehrere BGP-
Neighbor-Router anlegen. Ein Nachbarrouter (neighbor oder peer router) stellt die Ver-
bindung zwischen mehreren autonomen Systemen (AS) oder innerhalb eines einzigen ASher.
Whrend der ersten Kommunikation tauschen zwei Neighbors ihre BGP-Routing-Tabellen mit-
einander aus. Danach senden sie sich gegenseitig Aktualisierungen bei nderungen in der Rou-
ting-Tabelle zu. Pakete zur Aufrechterhaltung der Verbindung (keepalive packets) werden ver-
sendet, umsicherzustellen, dass die Verbindung nach wie vor besteht. Sollten Fehler auftreten,
werden Benachrichtigungen (notifications) versendet.
Richtlinien-Routing in BGPunterscheidet zwischen Richtlinien fr eingehenden und aus-
gehenden Verkehr. Dies ist der Grund dafr, dass Routemaps und Filterlisten getrennt auf ein-
gehenden und ausgehenden Verkehr angewendet werden knnen.
Sie mssen mindestens einen Neighbor-Router anlegen, bevor Sie BGPauf der Seite All-
gemein aktivieren knnen.
Umeinen neuen BGP-Neighbor anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Neighbor auf Neuer BGP-Neighbor.
Das Dialogfeld Neuen BGP-Neighbor anlegen wird geffnet.
Name: Geben Sie den Namen des BGP-Nachbarrouters ein.
Host: Fgen Sie die Hostdefinition des Nachbarn hinzu. Die festgelegte IP-Adresse
muss von der UTMerreichbar sein.Das Hinzufgen einer Definition wird auf der Seite
Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Entfernte ASN: Geben Sie die AS-Nummer (ASN) des Nachbarn ein.
234 UTM9 WebAdmin
Authentifizierung: Falls der Nachbar Authentifizierung erfordert, whlen Sie TCP-
MD5-Signatur aus der Auswahlliste aus und geben Sie das Kennwort ein. Dieses muss
mit demKennwort bereinstimmen, das auf demNachbarn festgelegt wurde.
3. Nehmen Sie die folgenden erweiterten Einstellungen vor, falls erforderlich.
Eingehende/Ausgehende Route: Falls Sie eine Routemap angelegt haben, knnen
Sie diese hier auswhlen. Mit Eingehend oder Ausgehend legen Sie fest, ob Sie die Rou-
temap auf ein- oder ausgehende Meldungen anwenden mchten.
Eingehender/Ausgehender Filter: Falls Sie eine Filterliste angelegt haben, knnen
Sie diese hier auswhlen. Mit Eingehend oder Ausgehend legen Sie fest, ob Sie den Fil-
ter auf ein- oder ausgehende Meldungen anwenden mchten.
Next-Hop-Self: Wenn ein Router in einemiBGP-Netzwerk ein externes eBGP-Netz-
werk bekannt gibt, wissen iBGP-Router, die ber keine eigene direkte externe Ver-
bindung verfgen, nicht, wie sie Pakete zu diesemNetzwerk routen sollen. Durch Aus-
whlen dieser Option jedoch macht der eBGP-Router sich selbst als Gateway zum
externen Netzwerk bekannt.
Multihop:In einigen Fllen kann ein Cisco-Router eBGP gemeinsammit einem
Router eines Drittherstellers ausfhren, der keine direkte Verbindung zwi-
schen den beiden externen Peers erlaubt. Umdie Verbindung zu ermglichen, nut-
zen Sie den eBGPMultihop. Der eBGP-Multihop erlaubt eine Neighbor-Verbindung zwi-
schen zwei externen Peers, die keine direkte Verbindung besitzen. Multihop ist nur fr
eBGP, nicht fr iBGP, bestimmt.
Soft-Reconfiguration: Standardmig aktiviert. Diese Option ermglicht das Spei-
chern von Updates, die vomNeighbor gesendet wurden.
Default-Originate: Sendet die Standardroute 0.0.0.0 an den Nachbarn. Der Neighbor
verwendet diese Route nur, falls er ein Netzwerk erreichen muss, das nicht Teil seiner
Routing-Tabelle ist.
Gewichtung: Cisco-spezifische Option. Legt ein generisches Gewicht fr alle Routen
fest, die durch diesen Neighbor gelernt wurden. Sie knnen einen Wert zwischen 0 und
65535 eingeben. Die Route mit demhchsten Gewicht wird genommen, umein bestimm-
tes Netzwerk zu erreichen. Das hier angegebene Gewicht berlagert ein Routemap-
Gewicht.
Der Neighbor wird in der Liste Neighbor angezeigt.
UTM9 WebAdmin 235
6.8.4 Routemap
In BGPist route-map ein Befehl, umBedingungen fr die Neuverteilung von Routen fest-
zulegen und Richtlinien-Routing zu ermglichen. Auf der Seite Border Gateway Protocol >Rou-
temap knnen Sie Routemaps fr bestimmte Netzwerke erstellen und Metriken, Gewichtungen
bzw. Prferenzwerte einstellen.
Der Best-Path-Algorithmus, der festlegt, welche Route genommen wird, funktioniert fol-
gendermaen:
1. Gewicht wird berprft.*
2. Lokale Prferenz wird berprft.*
3. Lokale Route wird berprft.
4. AS-Pfadlnge wird berprft.
5. Ursprung wird berprft.
6. Metrik wird berprft.*
Dies ist nur eine Kurzbeschreibung. Da die Berechnung des Best Path sehr komplex ist, ziehen
Sie fr detaillierte Informationen bitte die einschlgige Dokumentation zu Rate, welche imInter-
net zur Verfgung steht.
Die Elemente, die mit einemAsterisk (*) markiert sind, knnen direkt konfiguriert werden.
Umeine BGP-Routemap anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Routemap auf Neue BGP-Routemap.
Das Dialogfeld Neue BGP-Routemap anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Routemap ein.
Abgleich ber: Whlen Sie aus, ob die Routemap die IP-Adresse eines bestimmten
Routers oder ein ganzes ASvergleichen soll.
l IP-Adresse: ImFeld Netzwerke knnen Sie Hosts oder Netzwerke hinzufgen
oder auswhlen, auf die der Filter angewendet werden soll.Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >
Netzwerkdefinitionen erlutert.
236 UTM9 WebAdmin
l AS-Nummer: Setzen Sie imFeld AS-Regex regulre BGP-Ausdrcke ein, um
AS-Nummern zu definieren, auf die der Filter angewendet werden soll. Beispiel: _
100_stimmt mit jeder Route durch AS100 berein.
Netzwerke: Fgen Sie Netzwerke und/oder Hosts hinzu, auf welche die Routemap
angewendet werden soll.Das Hinzufgen einer Definition wird auf der Seite Definitionen
Metrik: Standardmig lernt ein Router Routing-Metriken dynamisch. Sie knnen
jedoch Ihren eigenen Metrikwert festlegen, der eine Ganzzahl zwischen 0 und
4294967295 sein kann. Ein niedriger Metrikwert wird einemhohen Metrikwert vor-
gezogen.
Gewichtung: Die Gewichtung wird verwendet, umden besten Pfad auszuwhlen. Sie
wird fr einen bestimmten Router festgelegt und nicht verbreitet. Wenn es mehrere Rou-
ten zu demselben Ziel gibt, werden Routen mit einer hheren Gewichtung bevorzugt.
Die Gewichtung basiert auf demzuerst zutreffenden AS-Pfad und kann eine Ganzzahl
zwischen 0 und 4294967295 sein.
Hinweis Falls einemNeighbor eine Gewichtung zugewiesen wurde, ber-
lagert diese Gewichtung die Routemap-Gewichtung, wenn die Route mit
demangegebenen Netzwerk bereinstimmt.
Prferenz: Sie knnen einen Prferenzwert fr den AS-Pfad festlegen, welcher nur an
alle Router imlokalen ASgesendet wird. Die Prferenz (oder lokale Prferenz) teilt den
Routern in einemASmit, welcher Pfad bevorzugt gewhlt werden soll, umein bestimm-
tes Netzwerk auerhalb des ASzu erreichen. Sie kann eine Ganzzahl zwischen 0 und
4294967295 sein und der Standardwert ist 100.
AS-Prfix: Das AS-Prfix wird eingesetzt, wenn aus irgendwelchen Grnden die Pr-
ferenz-Einstellungen nicht ausreichen, umeine bestimmte Route zu vermeiden, zumBei-
spiel eine Ersatzroute, die nur dann verwendet werden soll, wenn die Hauptroute nicht
verfgbar ist. Damit knnen Sie das AS-Pfadattribut erweitern, indemSie Ihre eigene
AS-Nummer wiederholen, z.B. 65002 65002 65002. Dies beeinflusst die Auswahl der
BGP-Route, da der krzeste AS-Pfad bevorzugt wird. Beachten Sie, dass Routemaps
mit eingestelltemAS-Prfix imFeld Ausgehende Route eines Neighbors ausgewhlt wer-
den mssen, damit sie wie vorgesehen funktionieren.
Die Routemap wird in der Liste Routemap angezeigt.
UTM9 WebAdmin 237
Sie knnen die Routemap jetzt in einer Neighbor-Definition verwenden.
6.8.5 Filterliste
Auf der Seite Border Gateway Protocol >Filterliste knnen Sie Filterlisten anlegen, die dazu ver-
wendet werden, den Verkehr zwischen Netzwerken anhand der IP-Adresse oder AS-Nummer
zu regulieren.
Umeine Filterliste anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Filterliste auf Neue BGP-Filterliste.
Das Dialogfeld Neue BGP-Filterliste anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Filterliste ein.
Filtern nach: Whlen Sie aus, ob der Filter die IP-Adresse eines bestimmten Routers
oder ein ganzes ASvergleichen soll.
l IP-Adresse: ImFeld Netzwerke knnen Sie Hosts oder Netzwerke hinzufgen
oder auswhlen, auf die der Filter angewendet werden soll. Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >
l AS-Nummer: Setzen Sie imFeld AS-Regex BGP-regulre Ausdrcke ein, um
AS-Nummer zu definieren, auf die der Filter angewendet werden soll. Beispiel: _
100_stimmt mit jeder Route durch AS100 berein.
Netzwerke: Fgen Sie Netzwerke und/oder Hosts hinzu, denen Informationen ber
bestimmte Netzwerke verweigert oder genehmigt werden sollen. Das Hinzufgen einer
Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
Aktion: Whlen Sie aus der Auswahlliste eine Aktion, die ausgefhrt werden soll, wenn
der Filter zutrifft. Sie knnen Datenverkehr entweder verweigern oder erlauben.
l Verweigern: Wenn Sie ber das Feld Eingehender Filter auf der Seite Neighbor
einembestimmten Nachbarn ein Netzwerk verweigern, ignoriert die UTMMel-
dungen fr dieses Netzwerk. Wenn Sie das gleiche ber das Feld Ausgehender
Filter durchfhren, sendet die UTMfr dieses Netzwerk keine Meldungen an den
Nachbarn.
l Erlauben: Wenn Sie ber das Feld Eingehender Filter auf der Seite Neighbor fr
einen bestimmten Nachbarn ein Netzwerk zulassen, empfngt die UTMnur
238 UTM9 WebAdmin
Meldungen fr dieses Netzwerk. Wenn Sie das gleiche ber das Feld Aus-
gehender Filter durchfhren, sendet die UTMnur fr dieses Netzwerk Meldungen
an den Nachbarn, jedoch fr kein anderes Netzwerk, das Sie auf den Seiten All-
gemein oder Systeme definiert haben.
Die Filterliste wird in der Liste Filterliste angezeigt.
Sie knnen die Filterliste jetzt in einer Neighbor-Definition verwenden.
6.8.6 Erweitert
Auf der Seite Border Gateway Protocol >Erweitert knnen Sie einige zustzliche Einstellungen
fr BGPvornehmen und haben Zugriff auf Fenster mit BGP-Informationen zur Fehlersuche.
Mehrere autonome System zulassen
Mehrere AS zulassen: Markieren Sie dieses Auswahlkstchen, falls Sie mehrere ASkon-
figurieren wollen. Dadurch wird die Seite Systeme aktiv, auf der Sie anschlieend mehrere AS
hinzufgen knnen. Gleichzeitig wird der Bereich BGP-Systemauf der Seite Allgemein deak-
tiviert und die Seite Allgemein zeigt Informationen fr alle AS.
Stri kte IP-Adressen-berei nsti mmung
Strikte IP-Adressen-bereinstimmung: Markieren Sie fr eine strikte IP-Adressen-ber-
einstimmung dieses Auswahlkstchen. Beispiel: 10.0.0.0/8 stimmt nur mit 10.0.0.0/8 berein,
aber nicht mit 10.0.1.0/24.
Multi -Pfad-Routi ng
Normalerweise wird nur eine Route verwendet, selbst wenn es mehrere Routen mit denselben
Kosten gibt. Bei Auswahl dieser Option knnen bis zu acht gleichwertige Routen gleichzeitig ver-
wendet werden. Dies ermglicht eine Lastverteilung auf mehrere Schnittstellen.
BGP-Fehlersuche
Dieser Abschnitt bietet Zugriff auf drei Fenster mit Informationen fr die Fehlersuche. Klicken
Sie auf eine Schaltflche, umein Fenster zu ffnen. Der Name einer Schaltflche entspricht
demBGP-Befehl, den Sie normalerweise auf der Kommandozeile eingeben wrden. Das Fens-
ter wird dann das Ergebnis dieses Befehls in Formeiner Kommandozeilenausgabe anzeigen.
Show IPBGP Neighbor: Zeigt Informationen zu den Neighbors der UTMan. Vergewissern
Sie sich, dass der Linkstatus jedes Neighbors Hergestellt lautet.
UTM9 WebAdmin 239
6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing
Show IPBGP Unicast: Zeigt die aktuelle BGP-Routing-Tabelle mit den bevorzugten Pfaden
an. Dies ist besonders ntzlich, umeinen berblick ber Ihre Metrik (metric), Gewichtung
(weight) und Prferenz (preference) und deren Auswirkungen zu erhalten.
Show IPBGP Summary: Zeigt den Status aller BGP-Verbindungen an. Diese Informationen
werden auch imBereich BGP-Zusammenfassung auf der Seite Allgemein angezeigt.
6.9 Multicast Routing (PIM-SM)
Das Men Schnittstellen &Routing >Multicast Routing (PIM-SM) ermglicht die Konfiguration
von Protocol Independent Multicast Sparse Mode (PIM-SM) zur Benutzung in IhremNetzwerk.
PIMist ein Protokoll umMulticast-Pakete in Netzwerken dynamisch zu routen. Multicast ist eine
Methode, Pakete, die von mehr als einemClient empfangen werden sollen, effizient aus-
zuliefern, indemso wenig Verkehr wie mglich verursacht wird. Normalerweise werden Pakete
fr mehr als einen Client einfach kopiert und jedemClient individuell zugestellt. Dabei steigt die
bentigte Bandbreite mit der Anzahl der Benutzer. Dadurch bentigen Server, die viele Clients
haben, die die gleichen Pakete zur gleichen Zeit erfragen, sehr viel Bandbreite, so z.B. Server
fr Streaming-Inhalte.
Multicast hingegen spart Bandbreite, indemes Pakete nur einmal ber jeden Netzwerkknoten
sendet. Umdas zu erreichen, beteiligt Multicast entsprechend konfigurierte Router an der Ent-
scheidung, wann auf demWeg vomServer (Absender) zumClient (Empfnger) Kopien erstellt
werden mssen. Die Router benutzen PIM-SM, umdie aktiven Multicast-Empfnger imAuge
zu behalten, und benutzen diese Information, umdas Routen zu konfigurieren.
Ein grobes Schema der PIM-SM-Kommunikation sieht wie folgt aus: Ein Sender beginnt damit,
seine Multicast-Daten zu bermitteln. Der Multicast-Router fr den Sender registriert sich ber
PIM-SMamRP-Router, welcher wiederumeine Teilnahmemeldung (join message) an den
Router des Senders schickt. Multicast-Pakete flieen nun vomSender zumRP-Router. Ein
Empfnger registriert sich ber einen IGMP-Broadcast fr diese Multicast-Gruppe bei seinem
lokalen PIM-SM-Router. Dieser Router sendet daraufhin eine Teilnahmemeldung fr den Emp-
fnger in Richtung RP-Router, welcher imGegenzug den Multicast-Verkehr an den Emp-
fnger weiterleitet.
Multicast besitzt seinen eigenen IP-Adressbereich: 224.0.0.0/4.
240 UTM9 WebAdmin
6.9.1 Allgemein
Auf der Registerkarte Multicast Routing (PIM-SM) >Allgemein knnen Sie PIMaktivieren und
deaktivieren. Der Abschnitt Routing-Daemon-Einstellungen zeigt den Status der Schnittstellen
und beteiligten Router an.
Bevor Sie PIMaktivieren knnen, mssen Sie zunchst auf der Registerkarte Schnittstellen min-
destens zwei Schnittstellen definieren, die als PIM-Schnittstellen dienen sollen, und auf der
Registerkarte RP-Router einen Router.
UmPIM-SMzu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie PIM-SM auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Abschnitt Routing-Daemon-Einstellungen kann
Aktive PIM-SM-Schnittstellen: Whlen Sie mindestens zwei Schnittstellen fr die
Benutzung von PIM-SMaus. Schnittstellen knnen auf der Registerkarte Schnittstellen
konfiguriert werden.
Aktive PIM-SM-RP-Router: Whlen Sie mindestens einen RP-Router fr die Benut-
zung von PIM-SMaus. RP-Router knnen auf der Registerkarte RP-Router definiert
werden.
Ihre Einstellungen werden gespeichert. PIM-SM-Kommunikation in IhremNetzwerk ist
nun aktiviert.
Umdie Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler. UmPIM-SMzu
deaktvieren, klicken Sie auf den grnen Schieberegler.
Li ve-Protokoll
Klicken Sie auf Live-Protokoll ffnen, umdas PIM-Live-Protokoll in einemneuen Fenster zu ff-
nen.
UTM9 WebAdmin 241
6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM)
Auf der Registerkarte Multicast Routing (PIM-SM) >Schnittstellen knnen Sie festlegen, ber
welche Schnittstellen von Sophos UTMMulticast-Kommunikation stattfinden soll.
Umeine neue PIM-SM-Schnittstelle anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue PIM-SM-Schnitt-
stelle.
Das Dialogfeld Neue PIM-SM-Schnittstelle anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die PIM-SM-Schnittstelle ein.
Schnittstelle: Whlen Sie eine Schnittstelle aus, die PIM- und IGMP-Netzwerkverkehr
annehmen soll.
DR-Prioritt (optional): Geben Sie eine Zahl ein, die die designierte Router-Prioritt
(DR) fr diese Schnittstelle festlegt. Der Router mit der hchsten Zahl nimmt IGMP-
Anfragen an, wenn mehr als ein PIM-SM-Router imselben Netzwerksegment prsent
ist. Zahlen von 0bis 2
32
sind erlaubt. Wenn Sie keine Prioritt angeben, wird der Wert 0
gesetzt.
IGMP: Whlen Sie die Version des Internet-Group-Management-Protokolls (Internet
Group Management Protocol), die untersttzt werden soll. IGMPwird von Empfngern
benutzt, umeiner Multicast-Gruppe beizutreten.
zu.
Die neue PIM-SM-Schnittstelle wird zur Schnittstellenliste hinzugefgt.
Umeine PIM-SM-Schnittstelle zu bearbeiten oder zu lschen, klicken Sie auf die ent-
6.9.3 RP-Router
UmMulticast in IhremNetzwerk verwenden zu knnen, mssen Sie einen oder mehrere Ren-
dezvous-Point-Router (RP-Router) konfigurieren. Ein RP-Router nimmt Registrierungen
sowohl von Multicast-Empfngern als auch Multicast-Sendern an. Ein RP-Router ist ein regu-
lrer PIM-SM-Router, der dazu auserkoren wurde, auerdemals RP-Router fr bestimmte
242 UTM9 WebAdmin
Multicast-Gruppen zu agieren. Alle PIM-SM-Router mssen darin bereinstimmen, welcher
Router der RP-Router ist.
Umeinen RP-Router anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte RP-Router auf Neuer Rendezvous-Point-
Router.
Das Dialogfeld Neuen RP-Router anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den RP-Router ein.
Host: Legen Sie einen Host an (oder whlen Sie einen aus), der als Rendezvous-Point-
Router agieren soll.
Prioritt: Geben Sie eine Zahl an, die die Prioritt des RP-Routers festlegt. Teil-
nahmemeldungen werden zu demRP-Router mit der niedrigsten Prioritt gesendet.
Zahlen von 0bis 232sind erlaubt. Wenn Sie keine Prioritt angeben, wird der Wert 0
gesetzt.
Multicast-Gruppenprfixe: Geben Sie die Multicast-Gruppe ein, fr die der RP-Rou-
ter verantwortlich ist. Sie knnen Gruppenprfixe wie 224.1.1.0/24festlegen, falls der
RPfr mehr als eine Multicast-Gruppe verantwortlich ist. Die Multicast-Gruppe oder das
Gruppenprfix muss sich innerhalb des Multicast-Adressbereichs befinden, der
224.0.0.0/4ist.
zu.
Der neue RP-Router wird in der Routerliste angezeigt.
Umeinen RP-Router zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
6.9.4 Routen
Sie mssen zwischen Sender(n) und Empfngern eine durchgngige Kommunikationsroute
einrichten. Wenn Empfnger, Sender und/oder RP-Router sich nicht imselben Netz-
werksegment befinden, werden Sie eine Route anlegen mssen, umdie Kommunikation zwi-
schen ihnen zu gewhrleisten.
Umeine PIM-SM-Route anzulegen, gehen Sie folgendermaen vor:
UTM9 WebAdmin 243
1. Klicken Sie auf der Registerkarte Routen auf Neue PIM-SM-Route.
Das Dialogfeld Neue PIM-SM-Route anlegen wird geffnet.
geschickt.
Netzwerk: Whlen Sie den Zieladressbereich aus, wohin der PIM-Verkehr geroutet wer-
den soll.
Gateway: Whlen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfgbar, wenn Sie Gateway-Route als Routentyp
gewhlt haben).
Schnittstelle: Whlen Sie die Schnittstelle aus, zu der das Gateway die Datenpakete
weiterleiten soll (nur verfgbar, wenn Sie Schnittstellenroute als Routentyp ausgewhlt
haben).
zu.
Die neue PIM-SM-Route wird zur Routenliste hinzugefgt.
Umeine PIM-SM-Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
6.9.5 Erweitert
Auf der Registerkarte Schnittstellen &Routing >Multicast Routing (PIM-SM) >Erweitert kn-
nen Sie erweiterte Einstellungen fr PIMkonfigurieren.
Shortest-Path-Tree-Ei nstellungen
In einigen Netzwerken ist die PIM-Kommunikationsroute zwischen Sender, RPund Empfnger
nicht der krzestmgliche Netzwerkpfad. Die Option Wechsel zu Shortest-Path-Tree
244 UTM9 WebAdmin
ermglichen erlaubt es, eine bestehende Kommunikation zwischen Sender und Empfnger auf
den krzestmglichen verfgbaren Pfad zu verlegen, wenn ein gewisser Schwellenwert
erreicht ist, wobei der RPdann als Vermittler ausgelassen wird.
Automati sche Fi rewallei nstellungen
Wenn Sie diese Option auswhlen, wird das Systemautomatisch alle notwendigen Fire-
wallregeln anlegen, die bentigt werden, umMulticast-Verkehr fr die angegebenen Multicast-
Gruppen weiterzuleiten.
Fehlersuche-Ei nstellungen
Whlen Sie die Option Fehlersuche-Modus aktivieren, umzustzliche Informationen fr die
Fehlersuche imPIM-SMRouting-Daemon-Protokoll anzuzeigen.
UTM9 WebAdmin 245
7 Netzwerkdienste
In diesemKapitel wird die Konfiguration verschiedener Netzwerkdienste von Sophos UTMfr
Ihr Netzwerk beschrieben.
l DNS
l DHCP
l NTP
7.1 DNS
Die Registerkarten des Mens Netzwerkdienste >DNSenthalten eine Reihe von Kon-
figurationsmglichkeiten, die sich auf den Dienst Domain Name System(DNS) beziehen. Die
Hauptaufgabe von DNSist die bersetzung von Domnennamen (Hostnamen) in die zuge-
hrigen IP-Adressen.
7.1.1 Allgemein
Zugelassene Netzwerke
Sie knnen die Netzwerke angeben, die UTMfr die rekursive DNS-Auflsung nutzen knnen
sollen. blicherweise wird dies nur den internen Netzwerken (LAN) gestattet.
Warnung Whlen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre App-
liance einemhohen Risiko fr Angriffe aus demInternet aussetzen wrden.
Hinweis Wenn Sie bereits einen internen DNS-Server nutzen, z.B. in Verbindung mit Acti-
ve Directory, sollten Sie dieses Feld leer lassen.
DNSSEC
Die Domain Name SystemSecurity Extensions (DNSSEC) sind Erweiterungen fr DNS, die
die Sicherheit verbessern. DNSSECversieht die DNS-Lookup-Eintrge mit Hilfe von Public-
Key-Kryptografie mit einer digitalen Signatur. Ist die Option nicht ausgewhlt, akzeptiert die
7.1 DNS 7 Netzwerkdienste
UTMalle DNS-Eintrge. Ist die Option ausgewhlt, validiert die UTMeingehende DNS-Anfra-
gen bezglich ihrer DNSSEC-Signierung. Aus den signierten Zonen werden nur korrekt signier-
te Eintrge akzeptiert.
Hinweis Wenn die Option ausgewhlt ist, kann es passieren, dass DNS-Eintrge von manu-
ell installierten oder vomISPzugewiesenen Forwarders abgelehnt werden, die nicht
DNSSEC-fhig sind. Entfernen Sie in diesemFall auf der Registerkarte Weiterleitung die
DNS-Forwarders aus demFeld und/oder deaktivieren Sie das Kontrollkstchen VomISP
zugewiesene Forwarders verwenden.
DNS-Spei cher leeren
Der DNS-Proxy benutzt einen Zwischenspeicher (Cache) fr seine Eintrge. Jeder Eintrag hat
ein Ablaufdatum(TTL, Time-To-Live), an demer gelscht wird. Die TTL betrgt nor-
malerweise einen Tag. Sie knnen den Cache jedoch manuell leeren, wenn Sie z.B. wollen,
dass jngste nderungen in DNS-Eintrgen sofort bercksichtigt werden, ohne darauf warten
zu mssen, dass die TTL abluft. Umden Cache zu leeren, klicken Sie auf DNS-Speicher jetzt
leeren.
7.1.2 Weiterleitung
Auf der Registerkarte Netzwerkdienste >DNS>Weiterleitung knnen Sie sogenannte DNS-
Forwarders spezifizieren. Ein DNS-Forwarder ist ein Domain-Name-System-Server (DNS),
der DNS-Anfragen fr externe DNS-Namen an DNS-Server auerhalb des Netzwerks wei-
terleitet. Fgen Sie Ihrer Konfiguration wenn mglich eine DNS-Weiterleitung hinzu. Dies sollte
ein lokaler Host oder idealerweise ein Server sein, der von IhremInternetanbieter (ISP) betrie-
ben wird. Dieser wird dann als bergeordneter Zwischenspeicher (engl. parent cache) ver-
wendet und Ihre DNS-Anfragen deutlich beschleunigen. Wenn Sie keinen Namensserver fr
die Weiterleitung angeben, werden stattdessen die Root-DNS-Server gefragt, die zunchst ein-
mal Zoneninformationen einholen und deshalb eine lngere Beantwortungszeit bentigen.
Umeinen DNS-Forwarder anzulegen, gehen Sie folgendermaen vor:
1. Whlen Sie einen DNS-Forwarder aus.
Whlen Sie einen DNS-Forwarder aus oder fgen Sie einen hinzu. Das Hinzufgen
248 UTM9 WebAdmin
VomISP zugewiesene Forwarders verwenden (optional): Whlen Sie die Opti-
on VomISPzugewiesene Forwarders verwenden, umDNS-Anfragen an DNS-
Server Ihres ISPweiterzuleiten. Wenn diese Option ausgewhlt ist, werden alle
Forwarders, die automatisch von IhremISPzugewiesen werden, in der Zeile
unter demFeld aufgelistet.
7.1.3 Anfragerouten
Angenommen, Sie betreiben Ihren eigenen internen DNS-Server. Dann kann dieser Server
dazu verwendet werden, als alternativer Server DNS-Anfragen fr Domnen aufzulsen, die
Sie nicht von DNS-Forwarders auflsen lassen wollen. Auf der Registerkarte Netzwerkdienste
>DNS>Anfragerouten knnen Sie Routen zu eigenen DNS-Servern definieren.
Umeine DNS-Anfrageroute anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Anfragerouten auf Neue DNS-Anfrageroute.
Das Dialogfeld Neue DNS-Anfrageroute erstellen wird geffnet.
Domne: Geben Sie die Domne ein, fr die ein alternativer DNS-Server genutzt wer-
den soll.
Zielserver: Whlen Sie einen oder mehrere DNS-Server fr die Auflsung der oben
angegebenen Domne aus oder fgen Sie sie hinzu. Das Hinzufgen einer Definition
wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
zu.
Die neue Route wird in der Liste DNS-Anfragerouten angezeigt und ist sofort aktiv.
Umeine DNS-Anfrageroute zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
UTM9 WebAdmin 249
7 Netzwerkdienste 7.1 DNS
7.1.4 Statische Eintrge
Wenn Sie keinen eigenen DNS-Server einrichten wollen, aber eine statische DNS-Zuordnung
fr einige Hosts bentigen, knnen Sie diese Zuordnungen anlegen.
Ab UTM-Version 9.1 befindet sich diese Funktion auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen. Die DNS-Zuordnungen werden nun zusammen mit den beteiligten
Hosts definiert.
Wenn Sie auf die Schaltflche Statische Eintrge klicken, ffnet sich die Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Automatisch werden nur Hosts mit statischen Ein-
trgen angezeigt. Verwenden Sie die Auswahlliste oberhalb der Liste, umdie Fil-
tereinstellungen zu ndern.
7.1.5 DynDNS
Dynamic DNSoder kurz DynDNSist ein Domnennamensdienst, der es ermglicht, statische
Internetdomnennamen einemComputer mit variabler IP-Adresse zuzuordnen. Sie knnen
sich fr DynDNSauf der Website des jeweiligen DynDNS-Anbieters anmelden, umeinen DNS-
Alias anzufordern, der automatisch aktualisiert wird, wenn sich Ihre Uplink-IP-Adresse ndert.
Wenn Sie sich bei diesemDienst registriert haben, erhalten Sie einen Hostnamen, einen Benut-
zernamen und ein Kennwort, welche fr die Konfiguration bentigt werden.
UmDynDNSzu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte DynDNS auf Neue DynDNS.
Das Dialogfeld Neues DynDNSerstellen wird geffnet.
Typ: Die folgenden DynDNS-Dienste sind verfgbar:
l DNSdynamic: Offizielle Website: www.dnsdynamic.org
l DNS Park: Offizielle Website: www.dnspark.org
l DtDNS: Offizielle Website: www.dtdns.com
l DynDNS: Standardmiger DNS-Dienst des Dienstanbieter Dynamic Network
Services Inc. (Dyn). Offizielle Website: www.dyndns.com
l DynDNS custom: Benutzerdefinierter DNS-Dienst des Dienstanbieter Dynamic
Network Services Inc. (Dyn) (www.dyndns.com). Dieser Dienst richtet sich
250 UTM9 WebAdmin
hauptschlich an Benutzer, die ihre Domne selbst besitzen oder selbst registriert
haben.
l easyDNS: Offizielle Website: www.easydns.com
l FreeDNS: Offizielle Website: freedns.afraid.org
l Namecheap: Offizielle Website: www.namecheap.com
l No-IP.com:Offizielle Website: www.noip.com
l OpenDNS IP update: Offizielle Website: www.opendns.com
l selfHOST: Offizielle Website: www.selfhost.de
l STRATO AG: Offizielle Website: www.strato.de
l zoneedit: Offizielle Website: www.zoneedit.com
Hinweis ImFeld Server wird die URL angezeigt, an welche die UTMdie IP-nde-
rungen sendet.
Zuweisen (nicht beimTyp FreeDNS): Legen Sie die IP-Adresse fest, der der DynDNS-
Name zugeordnet wird. Whlen Sie IPder lokalen Schnittstelle, wenn die betreffende
Schnittstelle eine ffentliche IP-Adresse hat. blicherweise werden Sie diese Option fr
Ihre DSL-Internetverbindung verwenden. Bei der Option Erste ffentliche IPauf der
Standardroute mssen keine Schnittstellen spezifiziert werden. Die UTMsendet statt-
dessen eine WWW-Anfrage zu einemffentlichen DynDNS-Server, der imGegenzug
mit der ffentlichen IP-Adresse antwortet, die Sie gerade verwenden. Dies ist hilfreich,
wenn die UTMber keine ffentliche IP-Adresse verfgt, sondern sich in einemprivaten
Netzwerk befindet und sich ber einen maskierenden Router mit demInternet verbindet.
Hinweis FreeDNSverwendet immer die erste ffentliche IP-Adresse auf der Stan-
dardroute.
Schnittstelle (nicht bei Typ FreeDNS, nur bei IPder lokalen Schnittstelle):Whlen Sie
die Schnittstelle, fr die Sie den DynDNS-Dienst verwenden mchten. Wahrscheinlich
wird es sich dabei umIhre externe Schnittstelle handeln, die mit demInternet verbunden
ist.
Hostname (nicht bei Typ Open DNSIPupdate):Tragen Sie die Domne ein, die Sie von
IhremDynDNS-Anbieter erhalten haben (z.B. example.dyndns.org). Sie mssen sich
UTM9 WebAdmin 251
7 Netzwerkdienste 7.1 DNS
bei demhier einzugebenden Hostnamen an keine spezielle Syntax halten. Was Sie hier
eingeben mssen, hngt ausschlielich davon ab, was Ihr DynDNS-Dienstanbieter erfor-
dert. berdies knnen Sie optional Ihren DynDNS-Hostnamen als Haupthostnamen fr
Ihr Gateway verwenden.
Bezeichnung (nur beimTyp Open DNSIPupdate): Geben Sie die Bezeichnung des
Netzwerks ein. Weitere Informationen finden Sie in der Wissensdatenbank von
OpenDNS.
Aliasse (optional, nur bei manchen Typen): In dieses Dialogfenster knnen zustzliche
Hostnamen eingetragen werden, die auf dieselbe IP-Adresse verweisen wie der Haup-
thostname oben (z. B. mail.beispiel.de, beispiel.de).
MX(optional, nur beimTyp DNSPark, DynDNSoder easyDNS): Mail-Exchange-Server
werden dazu benutzt, E-Mails an bestimmte Server umzuleiten, auf welche der Host-
name nicht verweist. MX-Eintrge ermglichen, dass E-Mails an eine bestimmte Dom-
ne zu einembestimmten Host (Server) geleitet werden. Beispiel: Wenn imEingabefeld
als Mail-Exchange-Server mail.beispiel.deeingetragen ist, dann wird eine E-Mail
mit der Adresse benutzer@beispiel.dean den Host mail.beispiel.degesendet.
MX-Prioritt (optional, nur beimTyp DNSPark):Geben Sie eine positive Ganzzahl ein,
die angibt, ob der angegebene Mail-Server bei der Zustellung der E-Mail gegenber der
Domne bevorzugt werden soll. Server mit niedrigeren Zahlen erhalten den Vorzug
gegenber Servern mit hheren Zahlen. Normalerweise knnen Sie dieses Feld leer las-
sen, da DNSPark den Standardwert 5 verwendet, der fr fast jeden Fall geeignet ist.
Technische Details zu den Mail-Exchanger-Prioritten finden Sie in RFC5321.
Backup-MX(optional, nur beimTyp DynDNSoder easyDNS: Whlen Sie diese Option
nur aus, wenn der Hostname imFeld Hostname als Hauptmailserver dienen soll. Dann
wird der Hostname imFeld MXnur als Backup-Mailserver eingesetzt.
Platzhalter (optional, nur beimTyp DynDNSoder easyDNS: Whlen Sie diese Option,
wenn die Subdomnen auf die gleiche IP-Adresse wie Ihre registrierte Domne ver-
weisen sollen. Bei Verwendung dieser Option wird Ihrer Domne ein Asterisk (*) bei-
gefgt, der als Platzhalter dient (z.B. *.beispiel.dyndns.org). Das stellt sicher, dass
z.B. www.beispiel.dyndns.orgauf dieselbe Adresse verweist wie
beispiel.dyndns.org.
Benutzername: Geben Sie den Benutzernamen ein, den Sie vomDynDNS-Anbieter
erhalten haben.
252 UTM9 WebAdmin
Kennwort: Geben Sie das Kennwort ein, das Sie vomDynDNS-Anbieter erhalten
haben.
zu.
Das neue DynDNSwird in der Liste DynDNSangezeigt. Der Dienst ist noch deaktiviert
(Schieberegler ist grau).
4. Aktivieren Sie DynDNS.
Klicken Sie auf den Schieberegler, umden DynDNS-Dienst zu aktivieren.
Der Dienst ist jetzt aktiv (Schieberegler ist grn).
Umein DynDNSzu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Sie knnen mehrere DynDNS-Eintrge gleichzeitig verwenden. Wenn alle Einstellungen fr
zwei Hostnamen identisch sind, empfiehlt es sich, die Option Aliasse zu verwenden, anstatt zwei
Einzeleintrge anzulegen.
7.2 DHCP
Das Dynamic Host Configuration Protocol (DHCP, dynamisches Hostkonfigurationsprotokoll)
verteilt automatisch Adressen aus einemfestgelegten IP-Adressbereich an angeschlossene Cli-
ents. Dies spart bei greren Netzwerken viel Konfigurationsaufwand und beugt Adres-
senkonflikten vor. Das DHCPverteilt IP-Adressen, Standardgateway-Informationen und DNS-
Konfigurationsdaten an seine Clients.
Zustzlich zur vereinfachten Konfiguration von Clientrechnern und zumproblemlosen Wech-
seln von mobilen Computern zwischen verschiedenen Netzwerken lassen sich in einemDHCP-
Netzwerk Fehler einfacher lokalisieren und beheben, da die Konfiguration der IP-Adressen pri-
mr von den Einstellungen des DHCP-Servers abhngen. Auerdemlassen sich Adress-
bereiche effektiver nutzen, vor allem, wenn nicht alle Rechner gleichzeitig imNetzwerk aktiv
sind. Die IP-Adressen knnen so je nach Bedarf vergeben und wiederverwendet werden.
UTM9 WebAdmin 253
7 Netzwerkdienste 7.2 DHCP
7.2 DHCP 7 Netzwerkdienste
7.2.1 Server
Auf der Registerkarte Netzwerkdienste >DHCP>Server knnen Sie einen DHCP-Server kon-
figurieren. Sophos UTMstellt den DHCP-Dienst fr das angeschlossene Netzwerk sowie fr
weitere Netzwerke bereit. Der DHCP-Server kann dazu verwendet werden, Ihren Clients
grundlegende Netzwerkparameter zuzuweisen. Sie knnen den DHCP-Dienst auf ver-
schiedenen Schnittstellen laufen lassen, wobei jede Schnittstelle und jedes bereitzustellende
Netzwerk individuell konfiguriert werden knnen.
Hinweis Auf der Registerkarte Optionen knnen Sie zustzliche oder andere DHCP-Optio-
nen definieren, die an die Clients gesendet werden. Eine DHCP-Option, die auf der Regis-
terkarte Optionen definiert ist, berschreibt eine Einstellung auf der Registerkarte Server,
wenn ihr Geltungsbereich nicht allgemein ist. Wenn Sie DHCP-Optionen nur fr ausgewhlte
Hosts definieren, knnen Sie ihnen einen DNS-Server oder eine Lease-Zeit zuweisen, die
von der Definition fr den DHCP-Server abweichen kann.
Umeinen DHCP-Server zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Server auf Neuer DHCP-Server.
Das Dialogfeld Neuen DHCP-Server erstellen wird geffnet.
Schnittstelle: Whlen Sie die Schnittstelle aus, von der aus den Clients die IP-Adressen
zugewiesen werden. Es kann nur eine bereits konfigurierte Schnittstelle ausgewhlt wer-
den.
Adresstyp: Diese Option ist nur verfgbar, wenn IPv6 global aktiviert ist. Whlen Sie die
IP-Version des DHCP-Servers.
Bereichsbeginn/-ende: Der IP-Adressbereich, der als Kontingent fr diese Schnitt-
stelle verwendet wird. Standardmig ist der konfigurierte Adressbereich der Netz-
werkkarte eingestellt. Wenn sich die Clients imgleichen Netzwerk befinden, muss sich
der Bereich innerhalb des Netzwerks befinden, das mit der Schnittstelle verbunden ist.
Wenn sich die Clients in einemanderen Netzwerk befinden, muss sich der Bereich inner-
halb desjenigen Netzwerks befinden, aus demdie Relay-DHCP-Anfragen weitergeleitet
werden.
254 UTM9 WebAdmin
Hinweis Je grer der definierte DHCP-IP-Bereich ist, desto mehr Speicher reser-
viert die UTMdafr. Reduzieren Sie daher den DHCP-Bereich auf die Werte, die Sie
tatschlich bentigen. Der grte erlaubte Bereich ist ein /9-Netzwerk.
DNS-Server 1/2: Die IP-Adressen der DNS-Server.
Standardgateway (nur bei IPv4): Die IP-Adresse des Standardgateways.
Hinweis Sowohl fr WLAN-Access-Points als auch fr RED-Appliances muss sich
das Standardgateway imselben Subnetz befinden wie die Schnittstelle, an die diese
Appliances angeschlossen sind.
Domne (optional): Geben Sie den Domnennamen ein, der an die Clients bermittelt
werden soll (z.B. intranet.beispiel.de).
Lease-Zeit (nur bei IPv4): Der DHCP-Client versucht, den Lease automatisch zu erneu-
ern. Wenn der Lease whrend der Lease-Zeit nicht erneuert wird, luft der Lease der
IP-Adresse ab. Hier knnen Sie diesen Zeitraumin Sekunden festlegen. Der Standard
ist 86.400 Sekunden (ein Tag). Das Minimumbetrgt 600Sekunden (10 Minuten) und
das Maximumbetrgt 2.592.000Sekunden (ein Monat).
Gltige Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease auto-
matisch zu erneuern. Wenn der Lease whrend seiner gltigen Lebensdauer nicht
erneuert wird, wird der Lease-Status der IP-Adresse ungltig, die Adresse wird von der
Schnittstelle entfernt und kann anderweitig zugewiesen werden. Sie knnen ein Intervall
zwischen fnfMinuten und unendlich auswhlen. Die gltige Lebensdauer muss jedoch
mindestens der bevorzugten Lebensdauer entsprechen.
Bevorzugte Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease auto-
matisch zu erneuern. Wenn der Lease whrend seiner gltigen Lebensdauer nicht
erneuert wird, wird der Lease-Status der IP-Adresse berholt, d.h. er ist zwar noch gl-
tig, wird jedoch nicht fr neue Verbindungen verwendet. Sie knnen ein Intervall zwi-
schen fnfMinuten und unendlich auswhlen.
WINS-Knotentyp (nur bei IPv4): Windows Internet Naming Service (WINS, dt. Win-
dows Internet Namensdienst) ist Microsofts Implementierung des NetBIOSName Ser-
ver (NBNS) fr Windows Betriebssysteme. Ein WINS-Server verhlt sich wie eine
UTM9 WebAdmin 255
Datenbank, die Hostnamen mit IP-Adressen vergleicht. Dadurch ermglicht er Com-
putern, die NetBIOSverwenden, das TCP/IP-Protokoll zu nutzen. Die folgenden WINS-
Knotentypen sind verfgbar:
l Nicht festlegen: Der WINS-Knotentyp ist nicht festgelegt und wird vomClient
selbst bestimmt.
l B-Knoten (kein WINS): B-Knotensysteme verwenden ausschlielich Broad-
cast.
l P-Knoten (nur WINS): P-Knotensysteme verwenden nur Punkt-zu-Punkt-
Namensanfragen fr einen Windows-Namensserver (WINS).
l M-Knoten (Broadcast, dann WINS): Bei M-Knotensystemen erfolgt zuerst ein
Broadcast, dann wird der Namensserver angefragt.
l H-Knoten (WINS, dann Broadcast): Bei H-Knotensystemen wird zuerst der
Namensserver angefragt, dann erfolgt ein Broadcast.
WINS-Server: Je nach gewhltemWINS-Knotentyp wird dieses Textfeld angezeigt.
Geben Sie hier die IP-Adresse des WINS-Servers ein.
Nur Clients mit statischer Zuordnung (optional): Whlen Sie diese Option aus,
damit der DHCP-Server IP-Adressen nur an Clients vergibt, die eine statische DHCP-
Zuordnung besitzen (siehe Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
werkdefinitionen).
HTTP-Proxy-Autokonfiguration aktivieren: Whlen Sie diese Option, wenn Sie eine
PAC-Datei fr die automatische Proxy-Konfiguration von Browsern bereitstellen wollen.
Weitere Informationen finden Sie imKapitel Web Protection >Filteroptionen >Sonstiges,
Abschnitt Automatische Proxy-Konfiguration.
Hinweis Die automatische HTTP-Proxy-Konfiguration wird derzeit bei IPv6 nicht von
Microsoft Windows untersttzt.
Clients ber DHCP-Relay-Agent: Bei Auswahl dieser Option weist der DHCP-Server
Clients, die sich nicht imNetzwerk der verbundenen Schnittstelle befinden, IP-Adressen
zu. In diesemFall muss sich der oben definierte Adressbereich in demNetzwerk befin-
den, aus demRelay-DHCP-Anfragen weitergeleitet werden, und nicht imNetzwerk der
verbundenen Schnittstelle.
256 UTM9 WebAdmin
Netzmaske: Whlen Sie die Netzmaske des Netzwerks, aus demdie Relay-
DHCP-Anfragen weitergeleitet werden.
zu.
Die neue DHCP-Serverdefinition wird in der DHCP-Server-Liste angezeigt und ist sofort
aktiv.
Umeine DHCP-Serverdefinition zu bearbeiten oder zu lschen, klicken Sie auf die ent-
7.2.2 Relay
Auf der Registerkarte Netzwerkdienste >DHCP>Relay knnen Sie ein DHCP-Relay kon-
figurieren. Der DHCP-Dienst wird von einemseparaten DHCP-Server bereitgestellt und die
UTMfungiert als Relay. Das DHCP-Relay kann zur Weiterleitung von DHCP-Anfragen und -
Antworten ber verschiedene Netzwerksegmente hinweg verwendet werden. Bevor die Ein-
stellungen fr das DHCP-Relay durchgefhrt werden knnen, muss der separate DHCP-Ser-
ver konfiguriert sein.
Umein DHCP-Relay zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Relay die Option DHCP-Relay.
Der Schieberegler wird gelb und der Abschnitt DHCP-Relaykonfiguration kann nun bear-
beitet werden.
2. Whlen Sie den DHCP-Server aus.
3. Whlen Sie die beteiligten Schnittstellen aus.
Fgen Sie sowohl die Schnittstelle zumDHCP-Server als auch die Schnittstellen zu den
Client-Netzwerken hinzu, zwischen denen DHCP-Anfragen und -Antworten wei-
tergeleitet werden.
UTM9 WebAdmin 257
7.2.3 Statische Zuordnungen
Sie knnen statische Zuordnungen zwischen Clients und IP-Adressen fr einige oder alle Cli-
ents erstellen. Ab UTM-Version 9.1 befindet sich diese Funktion auf der Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Die DHCP-Zuordnungen werden nun zusammen
mit den beteiligten Hosts definiert.
Wenn Sie auf die Schaltflche Statische Zuordnungen klicken, ffnet sich die Registerkarte Defi-
nitionen &Benutzer >Netzwerkdefinitionen. Automatisch werden nur Hosts mit statischen
Zuordnungen angezeigt. Verwenden Sie die Auswahlliste oberhalb der Liste, umdie Fil-
tereinstellungen zu ndern.
7.2.4 IPv4-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, son-
dern least diese vomDHCP-Server. Dieser erteilt demClient die Berechtigung, die IP-Adresse
fr einen gewissen Zeitraumzu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste >DHCP>IPv4-Lease-Tabelle zeigt
die aktuellen IP-Adresszuweisungen des DHCP-Servers, einschlielich Informationen ber
den Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.
Stati sche Zuordnung fr ei ne neue Hostdefi ni ti on hi nzufgen
Sie knnen einen bestehenden Lease als Vorlage fr eine statische MAC/IP-Zuordnung mit
einemzu definierenden Host verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr den gewnschten Lease in der Spalte Statisch machen auf Sta-
tisch machen.
Das Dialogfenster Statisch machen wird geffnet.
Aktion: Whlen Sie Neuen Host anlegen.
Name: Geben Sie einen aussagekrftigen Namen fr den neuen Host ein.
DHCP-Server:Whlen Sie den DHCP-Server aus, der fr die statische Zuordnung ver-
wendet werden soll. Der entsprechende DHCP-Bereich wird unter der Auswahlliste
angezeigt.
258 UTM9 WebAdmin
IPv4-Adresse: ndern Sie die IP-Adresse auf eine Adresse auerhalb des DHCP-
Pool-Bereichs.
Hinweis Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie
die IP-Adresse ndern, sodass sie nicht mehr imDHCP-Pool-Bereich liegt. Wenn Sie
die IP-Adresse ndern, ndert sich die IP-Adresse des Clients jedoch nicht sofort, son-
dern erst dann, wenn er das nchste Mal versucht, seinen Lease zu erneuern.
DNS-Hostname: Wenn Sie einen DNS-Hostnamen eingeben, wird dieser als statischer
DNS-Eintrag fr den Host verwendet.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung der IP-
Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie, dass eine IP-Adres-
se immer nur auf einen Namen verweisen kann, wohingegen mehrere Namen auf die
gleiche IP-Adresse verweisen knnen.
zu.
Den neuen Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &
Benutzer >Netzwerkdefinitionen.
Stati sche Zuordnung fr ei ne vorhandene Hostdefi ni ti on hi n-
zufgen
Sie knnen eine bestehende IP-Adresszuweisung fr eine statische MAC/IP-Zuordnung einer
vorhandenen Hostdefinition verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr die gewnschte IP-Adresszuweisung in der Spalte Statisch
machen auf Statisch machen.
Aktion: Whlen Sie Vorhandenen Host verwenden.
Host: Fgen Sie den Host hinzu, indemSie auf das Ordnersymbol klicken.
UTM9 WebAdmin 259
Den Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen.
7.2.5 IPv6-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, son-
dern least diese vomDHCP-Server. Dieser erteilt demClient die Berechtigung, die IP-Adresse
fr einen gewissen Zeitraumzu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste >DHCP>IPv6-Lease-Tabelle zeigt
die aktuellen Leases des DHCP-Servers, einschlielich Informationen ber den Beginn und die
Ablaufzeit des Leases.
Hinweis Leases, die ber Prfix-Bekanntmachungen vergeben wurden, werden in der
Tabelle nicht aufgefhrt.
Stati sche Zuordnung fr ei ne neue Hostdefi ni ti on hi nzufgen
Sie knnen einen bestehenden Lease als Vorlage fr eine statische MAC/IP-Zuordnung mit
einemzu definierenden Host verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr den gewnschten Lease auf Statisch machen.
Aktion: Whlen Sie Neuen Host anlegen.
Name: Geben Sie einen aussagekrftigen Namen fr den neuen Host ein.
DHCP-Server:Whlen Sie den DHCP-Server aus, der fr die statische Zuordnung ver-
wendet werden soll. Der entsprechende DHCP-Bereich wird unter der Auswahlliste
angezeigt.
IPv6-Adresse: ndern Sie die IP-Adresse auf eine Adresse auerhalb des DHCP-
Pool-Bereichs.
Hinweis Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie
die IP-Adresse ndern, sodass sie nicht mehr imDHCP-Pool-Bereich liegt. Wenn Sie
die IP-Adresse ndern, ndert sich die IP-Adresse des Clients jedoch nicht sofort, son-
dern erst dann, wenn er das nchste Mal versucht, seinen Lease zu erneuern.
260 UTM9 WebAdmin
DNS-Hostname: Wenn Sie einen DNS-Hostnamen eingeben, wird dieser als statischer
DNS-Eintrag fr den Host verwendet.
Reverse-DNS:Markieren Sie dieses Auswahlkstchen, umdie Zuordnung der IP-
Adresse des Hosts zu seinemNamen zu ermglichen. Beachten Sie, dass eine IP-Adres-
se immer nur auf einen Namen verweisen kann, wohingegen mehrere Namen auf die
gleiche IP-Adresse verweisen knnen.
zu.
Stati sche Zuordnung fr ei ne vorhandene Hostdefi ni ti on hi n-
zufgen
Sie knnen eine bestehende IP-Adresszuweisung fr eine statische MAC/IP-Zuordnung einer
vorhandenen Hostdefinition verwenden. Gehen Sie folgendermaen vor:
1. Klicken Sie fr die gewnschte IP-Adresszuweisung in der Spalte Statisch
machen auf Statisch machen.
Aktion: Whlen Sie Vorhandenen Host verwenden.
Host: Fgen Sie den Host hinzu, indemSie auf das Ordnersymbol klicken.
Den Host mit der statischen Zuordnung finden Sie auf der Registerkarte Definitionen &Benut-
zer >Netzwerkdefinitionen.
7.2.6 Optionen
Auf der Registerkarte Netzwerkdienste >DHCP>Optionen knnen Sie DHCP-Optionen kon-
figurieren. DHCP-Optionen sind zustzliche Konfigurationsparameter, die DHCP-Clients von
einemDHCP-Server zur Verfgung gestellt werden.
Beispiel: Umeinigen VoIP-Telefonen die erforderlichen Informationen von Ihren DHCP-Ser-
vern bereitzustellen, mssen Sie auf dieser Seite drei zustzliche DHCP-Optionen erstellen
und aktivieren:
UTM9 WebAdmin 261
l filename: Name der Boot-Datei.
l next-server: Name des TFTP-Servers, der die Boot-Datei bereitstellt.
l 4 (time-servers): IP-Adresse des Zeitservers.
DHCP-Optionen knnen unterschiedliche Geltungsbereiche aufweisen: Sie knnen bei-
spielsweise nur ausgewhlten Hosts, nur von ausgewhlten Servern oder sogar global bereit-
gestellt werden. Daher ist es mglich, fr denselben Host unterschiedliche Parameter zu defi-
nieren. Einige DHCP-Optionen sind bereits auf der Registerkarte DHCP>Server festgelegt,
z.B. DNS-Server (Option 6). ImFalle von widersprchlichen Parameterwerten werden die
Parameter demClient gem folgender Prioritten bereitgestellt:
1. DHCP-Option mit Geltungsbereich Host
2. DHCP-Option mit Geltungsbereich MAC-Prfix
3. DHCP-Option mit Geltungsbereich Anbieter-ID
4. DHCP-Option mit Geltungsbereich Server
5. DHCP-Serverparameter (Registerkarte DHCP>Server)
6. DHCP-Option mit Geltungsbereich Allgemein
Hinweis Mit der DHCP-Anfrage bermittelt ein DHCP-Client die Informationen darber,
welche DHCP-Optionen er verarbeiten kann. Daraufhin stellt der DHCP-Server nur die
DHCP-Optionen bereit, die der Client versteht, unabhngig davon, welche Optionen hier defi-
niert sind.
Umeine DHCP-Option anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neue DHCP-Option.
Das Dialogfeld Neue DHCP-Option erstellen wird geffnet.
Adresstyp (nur, wenn IPv6 aktiviert ist): Whlen Sie die IP-Version, fr die Sie die
DHCP-Option erstellen.
Code: Whlen Sie den Code fr die DHCP-Option, die Sie erstellen mchten.
Hinweis Mit demEintrag filename knnen Sie eine Datei angeben, die in den DHCP-
Client geladen und dort ausgefhrt werden soll. Mit next-server definieren Sie den
262 UTM9 WebAdmin
Boot-Server. Die nummerierten DHCP-Optionscodes werden unter anderemin
RFC2132 definiert.
Name: Geben Sie einen aussagekrftigen Namen fr diese Option ein.
Typ: Nur verfgbar, wenn Sie einen Code mit demKommentar (unknown) ausgewhlt
haben. Whlen Sie den Datentyp der Option aus. Sie knnen zwischen den Datentypen
IP-Adresse, Text und Hex whlen. Geben Sie je nach ausgewhltemDatentyp die pas-
senden Daten in das entsprechende Feld darunter ein:
Adresse: Whlen Sie den Host oder die Netzwerkgruppe mit der/den IP-Adresse
(n), die mit dieser DHCP-Option an den DHCP-Client bermittelt werden soll(en).
Text: Geben Sie den Text ein, der mit dieser DHCP-Option an den DHCP-Client
bermittelt werden soll.
Hex: Geben Sie den Hexadezimalwert ein, der mit dieser DHCP-Option an den
DHCP-Client bermittelt werden soll. Bitte beachten Sie, dass Sie die Gruppen
aus zwei Hexadezimalziffern jeweils durch einen Doppelpunkt trennen mssen,
z.B. 00:04:76:16:EA:62).
Bereich: Legen Sie fest, unter welchen Bedingungen die DHCP-Option gesendet wer-
den soll.
l Allgemein: Die DHCP-Option wird von allen definierten DHCP-Servern an alle
DHCP-Clients gesendet.
l Server: Whlen Sie imFeld Server die DHCP-Server, die die DHCP-Option sen-
den sollen. In diesemFeld werden alle DHCP-Server angezeigt, die auf der Regis-
terkarte DHCP-Server definiert sind.
l Host: Whlen Sie imFeld Host die Hosts aus, denen die DHCP-Option bereit-
gestellt werden soll. Das Hinzufgen einer Definition wird auf der Seite Defi-
nitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
l MAC-Prfix: Geben Sie ein MAC-Prfix ein. Die DHCP-Option wird allen DHCP-
Clients mit passender MAC-Adresse bereitgestellt.
UTM9 WebAdmin 263
7.3 NTP 7 Netzwerkdienste
l Anbieter-ID: Geben Sie eine Anbieter-IDoder das Prfix einer Anbieter-IDein.
Die DHCP-Option wird allen DHCP-Clients, auf die diese Zeichenfolge zutrifft,
bereitgestellt.
zu.
Die neue DHCP-Option wird in der Liste DHCP-Optionen angezeigt und ist sofort aktiv.
Umeine DHCP-Option zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
7.3 NTP
ImMen Netzwerkdienste >NTPwird der NTP-Server fr die angeschlossenen Netzwerke
konfiguriert. Das Network Time Protocol (NTP) ist ein Protokoll, das Uhren von Computer-Sys-
temen ber IP-Netzwerke synchronisiert. Anstatt nur die Zeit von Sophos UTMzu syn-
chronisieren diese Funktion wird auf der Registerkarte Verwaltung >Systemeinstellungen >
Zeit und Datumeingestellt knnen Sie bestimmten Netzwerken explizit erlauben, diesen Syn-
chronisierungsdienst ebenfalls zu verwenden.
Umdie Benutzung von NTP-Zeitsynchronisierung fr bestimmte Netzwerke zu ermglichen,
gehen Sie folgendermaen vor:
1. Aktivieren Sie den NTP-Server.
2. Whlen Sie Zugelassene Netzwerke aus.
Whlen Sie die Netzwerke aus, die Zugriff auf den NTP-Server haben sollen, oder fgen
Sie sie hinzu. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer
>Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
264 UTM9 WebAdmin
8 Network Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Network-Protection-Funk-
tionen von Sophos UTMkonfigurieren. Die Seite Network-Protection-Statistik imWebAdmin
zeigt einen berblick ber Ereignisse imAngriffschutzsystemsowie ber verworfene Daten-
pakete fr Quell- und Zielhosts. In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick
auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter,
wo Sie weitere statistische Informationen finden knnen.
Hinweis Sie knnen eine Netzwerk-/Hostausnahme oder eine Bedrohungsausnahme
direkt hinzufgen, indemSie auf das Plus-Symbol in der Liste Advanced Threat Protection:
Neueste Ereignisse klicken.
l Firewall
l NAT (Netzwerkadressumsetzung)
l Advanced Threat Protection
l Intrusion Prevention
l Server-Lastverteilung
l VoIP(Voice over IP)
l Erweiterte Einstellungen
8.1 Firewall
ImMen Network Protection >Firewall knnen Sie Firewallregeln fr das Gateway definieren
und verwalten. Allgemein gesagt ist die Firewall der zentrale Teil des Gateways und dient in
einemNetzwerk dazu, Verbindungen zu verhindern, die von der Sicherheitsrichtlinie verboten
sind. Die Standardrichtlinie von Sophos UTMbesagt, dass der gesamte Netzwerkverkehr blo-
ckiert und protokolliert wird. Ausnahmen stellen automatisch generierte Regelwerke dar, die
von anderen Softwarekomponenten des Gateways bentigt werden, umfunktionieren zu kn-
nen. Diese automatisch generierten Regeln werden jedoch auf der Registerkarte Firewall >
8.1 Firewall 8 Network Protection
Regeln nicht angezeigt. Diese Sicherheitsrichtlinie erfordert, dass Sie explizite Regeln fr Netz-
werkverkehr anlegen, der das Gateway passieren darf.
8.1.1 Regeln
Auf der Registerkarte Network Protection >Firewall >Regeln wird das Firewallregelwerk ver-
waltet. Beimffnen der Registerkarte werden standardmig nur benutzerdefinierte Fire-
wallregeln angezeigt. Mit Hilfe der Auswahlliste oberhalb der Liste knnen Sie stattdessen ein-
stellen, dass nur automatische Firewallregeln oder beide Typen von Regeln angezeigt werden.
Automatische Firewallregeln werden mit einer eigenen Hintergrundfarbe dargestellt. Auto-
matische Firewallregeln werden von UTMauf der Basis von ausgewhlten Auswahlkstchen
Automatische Firewallregeln in einer Ihrer Konfigurationen generiert, z.B. beimAnlegen von
IPsec- oder SSL-Verbindungen.
Neu definierte Firewallregeln sind direkt nach der Erstellung standardmig deaktiviert. Auto-
matische Firewallregeln und aktive benutzerdefinierte Firewallregeln werden der Reihe nach
angewendet, bis die erste Regel zutrifft. Automatische Firewallregeln stehen immer oben auf
der Liste. Die Reihenfolge der Abarbeitung von benutzerdefinierten Firewallregeln richtet sich
dabei nach der Positionsnummer, d.h., wenn Sie ber die Positionsnummer die Reihenfolge
der Regeln ndern, ndern Sie gleichzeitig die Reihenfolge der Abarbeitung.
Warnung Sobald eine Firewallregel zutrifft, werden die nachfolgenden Regeln nicht mehr
beachtet. Die Reihenfolge ist daher sehr wichtig. Setzen Sie nie eine Regel mit den Eintrgen
Any (Quelle) Any (Dienst) Any (Ziel) Zulassen (Aktion) an den Beginn Ihres Regelwerks,
da diese Regel alle Pakete in beide Richtungen durch das Gateway lassen wrde, ohne nach-
folgende Regeln zu beachten.
Umeine Firewallregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Regeln auf Neue Regel.
Das Dialogfeld Neue Regel anlegen wird geffnet.
Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Aus-
wahlliste ber der Liste knnen Sie die Regeln nach Ihrer Gruppe filtern. Die Zuge-
hrigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss
auf die Abarbeitung der Regeln. Umeine Gruppe anzulegen, whlen Sie den Eintrag <<
Neue Gruppe >>und geben Sie einen aussagekrftigen Namen in der Feld Name ein.
266 UTM9 WebAdmin
glichen.
Quellen: Fgen Sie Quellnetzwerkdefinitionen hinzu bzw. whlen Sie sie aus, die ange-
ben, von welchemHost/welchen Hosts oder Netzwerken die Pakete stammen.
Dienste: Fgen Sie Dienstdefinitionen zur Beschreibung der Protokolle und bei TCP
oder UDPdie Quell- und Zielports der Pakete hinzu bzw. whlen Sie sie aus.
Ziele: Fgen Sie die Netzwerkdefinition des Ziels hinzu, die Zielhost(s) oder Ziel-
netzwerk(e) der Pakete angibt, oder whlen Sie sie aus.
Hinweis Wenn Sie mehr als eine Quelle, einen Dienst oder ein Ziel auswhlen, gilt
die Regel fr alle mglichen Quelle-Dienst-Ziel-Kombinationen. Eine Regel mit zwei
Quellen, zwei Diensten und zwei Zielen entspricht beispielsweise acht individuellen
Regeln: von jeder Quelle an jedes Ziel ber beide Dienste.
Aktion: Die Aktion, die angibt, wie mit Datenverkehr verfahren wird, auf den die Regel
zutrifft. Die folgenden Aktionen knnen ausgewhlt werden:
l Zulassen: Die Verbindung wird zugelassen und Datenverkehr wird wei-
tergeleitet.
l Verwerfen: Alle Pakete, die diese Bedingung erfllen, werden ohne Rck-
meldung an den Absender verworfen.
l Ablehnen: Verbindungsanfragen, die diese Bedingung erfllen, werden abge-
wiesen. Der Absender erhlt eine entsprechende ICMP-Nachricht.
zu.
Zeitraum: Standardmig ist keine Zeitraumdefinition ausgewhlt. Das bedeutet, dass
die Regel immer gltig ist. Wenn Sie eine Zeitraumdefinition auswhlen, wird die Regel
UTM9 WebAdmin 267
8 Network Protection 8.1 Firewall
nur innerhalb der Zeitspanne gltig, die durch diese Zeitraumdefinition festgelegt ist. Wei-
tere Informationen finden Sie unter Zeitraumdefinitionen.
Verkehr protokollieren: Wenn Sie diese Option whlen, wird die Protokollierung akti-
viert und Pakete, auf die eine Regel zutrifft, werden imFirewallprotokoll mitgeschrieben.
Quell-MAC-Adressen: Whlen Sie eine MAC-Adressdefinition aus, die die MAC-Adres-
sen enthlt, von denen die Pakete stammen. Wenn die Option ausgewhlt ist, ent-
sprechen Pakete nur dann dieser Regel, wenn ihre Quell-MAC-Adresse in der Definition
aufgelistet ist. Beachten Sie, dass Sie nicht gleichzeitig eine MAC-Adressdefinition und
die Quelle Any verwenden knnen. MAC-Adressdefinitionen werden auf der Regis-
terkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adressdefinitionen defi-
niert.
Die neue Regel wird in der Liste Regeln angezeigt.
5. Aktivieren Sie die Firewallregel.
flchen.
Live-Protokoll ffnen: ber diese Schaltflche wird ein Pop-up-Fenster mit einemEchtzeit-
Protokoll der gefilterten Pakete geffnet. Die Hintergrundfarbe gibt an, welche Aktion ange-
wendet wurde:
l Rot: Das Paket wurde verworfen (drop).
l Gelb: Das Paket wurde abgelehnt (reject).
l Grn: Das Paket wurde zugelassen (allow).
l Grau: Die Aktion konnte nicht bestimmt werden.
Das Live-Protokoll enthlt auch Informationen darber, welche Firewallregel dafr gesorgt hat,
dass ein Paket abgelehnt wurde. Solche Informationen sind wichtig fr die Fehlersuche im
Regelwerk.
Mit der Suchfunktion knnen Sie das Firewallprotokoll nach bestimmten Eintrgen durch-
suchen. Die Suchfunktion erlaubt es sogar, Ausdrcke auszuschlieen, indemSie ein Minus
268 UTM9 WebAdmin
vor den Ausdruck schreiben, z.B. -WebAdmin, wodurch alle Zeilen ausgeblendet werden, die
diesen Ausdruck enthalten.
Bei Aktivierung der Funktion Autoscroll wird imFenster automatisch nach unten gescrollt,
sodass stets die aktuellsten Ergebnisse angezeigt werden.
Nachfolgend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall:
l Verworfene Broadcasts: Alle Broadcasts werden standardmig verworfen. Diese
Aktion wird auch nicht protokolliert (weitere Informationen hierzu unter Erweitert). Dies
ist fr NetBIOS-Netzwerke (z.B. Microsoft-Windows-Betriebssysteme) mit vielen Com-
putern hilfreich, da die Broadcasts das Firewallprotokoll schnell volllaufen lassen. Um
eine Regel fr das Verwerfen von Broadcasts manuell zu definieren, gruppieren Sie die
Definitionen der Broadcast-Adressen aller angeschlossenen Netzwerke und fgen Sie
eine global_broadcast-Definition 255.255.255.255/255.255.255.255hinzu.
Fgen Sie dann eine Regel hinzu, die smtlichen Verkehr zu diesen Adressen verwirft,
und platzieren Sie die Regel ganz oben in Ihrer Firewall-Konfiguration. In Netzwerken
mit viel Broadcast hat das auch positive Auswirkungen auf die Systemleistung.
l IDENT-Verkehr ablehnen: Wenn Sie den IDENT-Reverse-Proxy nicht nutzen mch-
ten, knnen Sie Datenpakete an den Port 113(IDENT) des internen Netzwerks ableh-
nen. Dies kann bei Diensten, die IDENT verwenden (z.B. FTP, SMTPund IRC), lngere
Zeitberschreitungen verhindern.
Hinweis Bei der Nutzung von Maskierung kommen die IDENT-Anfragen fr die mas-
kierten Netzwerke auf den Maskierungsschnittstellen an.
l NAT verndert die Adressen der Datenpakete und hat somit Auswirkungen auf die Fire-
wall-Funktionalitt.
l DNAT wird vor der Firewall ausgefhrt. Die Firewall bearbeitet daher die bereits
umgeschriebenen Datenpakete. Das mssen Sie bedenken, wenn Sie Regeln fr
DNAT-bezogene Dienste anlegen.
l SNAT und Maskierung werden nach der Firewall ausgefhrt. Die Firewall bear-
beitet daher noch die Datenpakete mit der originalen Quelladresse.
Mit den Funktionen imKopfbereich der Tabelle knnen Firewallregeln nach bestimmten Kri-
terien gefiltert und so bersichtlich dargestellt werden. Wenn Sie Gruppen angelegt haben, kn-
nen Sie eine Gruppe aus der Auswahlliste whlen und sehen so alle Regeln, die zu dieser Grup-
pe gehren. Mit demSuchfeld knnen Sie nach Stichworten oder auch nur Wortteilen suchen,
UTM9 WebAdmin 269
zu denen die Regeln angezeigt werden sollen. Die Suche umfasst Quelle, Ziel, Dienst, Grup-
penname und Kommentar einer Regel.
8.1.2 Country-Blocking
Auf der Registerkarte Network Protection >Firewall >Country-Blocking knnen Sie Daten-
verkehr aus bestimmten Lndern oder Gegenden bzw. Datenverkehr, der fr bestimmte Ln-
der oder Gegenden bestimmt ist, blockieren. Sie knnen entweder einzelne Lnder/Gegenden
oder ganze Kontinente blockieren. Das Blockieren erfolgt auf Basis der GeoIP-Informationen in
der IP-Adresse des Hosts.
UmCountry-Blocking zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Country-Blocking.
Der Schieberegler wird gelb und der Bereich Lnder kann nun bearbeitet werden.
2. Whlen Sie die Gegenden, die blockiert werden sollen.
Legen Sie mit Hilfe der Auswahllisten vor den Namen der Lnder bzw. Gegenden den
Blockierstatus fest:
l Alle: Der gesamte Verkehr von oder zu dieser Gegend wird blockiert.
l Von: Verkehr aus dieser Gegend wird blockiert.
l Nach: Verkehr in diese Gegend wird blockiert.
l Aus:Verkehr aus und in diese Gegend ist erlaubt.
Tipp Sie knnen auf einfache Weise den gleichen Blockierstatus fr alle Ln-
der/Gegenden einer Region auswhlen. Whlen Sie dafr in der Auswahlliste vor der
entsprechenden Region den gewnschten Blockierstatus aus.
Ihre Einstellungen werden gespeichert.Verkehr von diesen oder in diese Gegenden wird
jetzt entsprechend Ihrer Einstellungen blockiert. Beachten Sie, dass Sie auf der Regis-
terkarte Country-Blocking-Ausnahmen Ausnahmen fr die blockierten Ln-
der/Gegenden anlegen knnen.
Tipp Jeder Abschnitt auf dieser Seite kann mit Hilfe des Reduzieren-Symbols in der
Abschnitts-berschrift rechts auf- und zugeklappt werden.
270 UTM9 WebAdmin
8.1.3 Country-Blocking-Ausnahmen
Auf der Registerkarte Network Protection >Firewall >Country-Blocking-Ausnahmen knnen
Sie Ausnahmen definieren fr Lnder, die auf der Registerkarte Country-Blocking blockiert wer-
den. Ausnahmen knnen angelegt werden fr Verkehr zwischen einemblockierten Land/einer
blockierten Gegend und bestimmten Hosts oder Netzwerken, unter Bercksichtigung von Rich-
tung und Dienst des Verkehrs.
Umeine Country-Blocking-Ausnahme anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahme anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Ausnahme ein.
zu.
Diese nicht blockieren:
l Region: Mit dieser Auswahlliste knnen Sie die Auswahl der Lnder, die imFeld
Lnder angezeigt wird, einschrnken.
l Lnder: Aktivieren Sie das Auswahlkstchen vor den Gegenden oder Lndern,
fr die Sie eine Ausnahme anlegen wollen. Umalle Lnder gleichzeitig aus-
zuwhlen, klicken Sie auf das Auswahlkstchen Alle auswhlen.
Hinweis Umalle IP-Adressen, inklusive derer, die nicht mit einemLand ver-
knpft sind, wie zumBeispiel interne IP-Adressen, abzuwhlen, klicken Sie auf
das Auswahlkstchen Alles abwhlen.
Fr alle Anfragen: Whlen Sie die Bedingung, fr die das Country-Blocking auf-
gehoben werden soll. Sie knnen zwischen ausgehendemund eingehendemVerkehr
whlen, mit Bezug auf die darunter ausgewhlten Hosts/Netzwerke.
l Hosts/Netzwerke: Whlen Sie die Hosts/Netzwerke aus, die Verkehr in die
gewhlten Lnder versenden oder aus diesen empfangen drfen abhngig von
der Einstellung in der Auswahlliste darber. Das Hinzufgen einer Definition wird
auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
UTM9 WebAdmin 271
Fr diese Dienste: Fgen Sie optional die Dienste hinzu, die zwischen den gewhlten
Hosts/Netzwerken und den gewhlten Lndern/Orten erlaubt sein sollen. Wenn kein
Dienst ausgewhlt ist, sind alle Dienste erlaubt.
Die neue Country-Blocking-Ausnahme wird in der Liste Country-Blocking-Ausnahmen
angezeigt.
Umeine Ausnahme zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
8.1.4 ICMP
Auf der Registerkarte Network Protection >Firewall >ICMPknnen Sie die Einstellungen fr
das Internet Control Message Protocol (ICMP) konfigurieren. ICMPdient dazu ver-
bindungsrelevante Statusinformationen zwischen Hosts auszutauschen. Darber hinaus ist es
wichtig, umdie Erreichbarkeit des Netzwerks zu testen und zur Fehlerbehebung bei Netz-
werkproblemen.
Das Erlauben von allemICMP-Verkehr auf dieser Registerkarte hebt eventuelle ICMP-Ein-
stellungen in der Firewall auf. Wenn Sie ICMP-Verkehr nur fr bestimmte Hosts oder Netz-
werke erlauben wollen, sollten Sie besser die Registerkarte Firewall >Regeln verwenden.
Allgemei ne ICMP-Ei nstellungen
Die folgenden allgemeinen ICMP-Optionen sind mglich:
l Allow ICMP On Gateway: Das Gateway antwortet auf alle ICMP-Pakete.
l Allow ICMP Through Gateway: Bei Auswahl dieser Option werden ICMP-Pakete
ber das Gateway weitergeleitet, wenn die Pakete aus eineminternen Netzwerk stam-
men, also einemNetzwerk ohne Standardgateway.
l ICMP-Umleitungen protokollieren: Die ICMP-Umleitungen werden von Routern
gegenseitig verschickt, umeine bessere Route zu einemPaketziel zu finden. Router
ndern daraufhin ihre Routing-Tabellen und leiten das Paket auf der vermeintlich bes-
seren Route zumgleichen Ziel weiter. Wenn Sie diese Option whlen, werden alle
ICMP-Umleitungen imFirewallprotokoll protokolliert.
272 UTM9 WebAdmin
Hinweis Wenn diese Option aktiviert ist, gelten die ICMP-Einstellungen fr alle ICMP-Pake-
te, einschlielich Ping und Traceroute wenn sie ber ICMPgesendet werden, auch wenn
die zugehrigen Ping- und Traceroute-Einstellungen deaktiviert sind.
Pi ng-Ei nstellungen
Das ProgrammPing ist ein Computer-Netzwerk-Tool mit demman testen kann, ob ein
bestimmter Host ber ein IP-Netzwerk erreichbar ist. Ping sendet ICMP-Echo-Anfrage-Pakete
an den Zielhost und lauscht auf Antworten in Formvon ICMP-Echo-Antwort-Paketen. Aus Zei-
tintervallen und Antworthufigkeiten schtzt Ping die Dauer des Paketumlaufs und die Paket-
verlustrate zwischen den Hosts.
Die folgenden Ping-Optionen sind mglich:
l Gateway ist Ping-sichtbar: Das Gateway antwortet auf ICMP-Echo-Antwort-Pakete.
Diese Funktion ist standardmig eingeschaltet.
l Ping FromGateway: Der Ping-Befehl kann auf demGateway verwendet werden. Die-
se Funktion ist standardmig eingeschaltet.
l Gateway Forwards Pings: Das Gateway leitet ICMP-Echo-Anfrage- und Echo-Ant-
wort-Pakete weiter, die aus eineminternen Netzwerk stammen, also einemNetzwerk
ohne Standardgateway.
Hinweis Wenn die Funktion aktiviert ist, lassen die Ping-Einstellungen auch Traceroute-
ICMP-Paketezu, selbst wenn die betreffenden Traceroute-Einstellungen deaktiviert sind.
Traceroute-Ei nstellungen
Das ProgrammTraceroute ist ein Computer-Netzwerk-Tool zur Bestimmung der Route, die
von Paketen in einemIP-Netzwerk genommen werden. Es listet die IP-Adressen der Router
auf, ber die das versendete Paket transportiert wurde. Sollte der Pfad der Datenpakete kurz-
fristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt. Nach einer
bestimmten Zahl an Fehlversuchen wird die berprfung abgebrochen. Der Abbruch einer
berprfung kann viele Grnde haben, der wahrscheinlichste ist jedoch, dass eine Firewall im
Netzwerkpfad Traceroute-Pakete blockiert.
Die folgenden Traceroute-Optionen sind mglich:
UTM9 WebAdmin 273
l Gateway ist Traceroute-sichtbar: Das Gateway antwortet auf Traceroute-Pakete.
l Gateway Forwards Traceroute: Das Gateway leitet Traceroute-Pakete weiter, die
aus eineminternen Netzwerk stammen, also einemNetzwerk ohne Standardgateway.
Hinweis Darber hinaus werden auch die UDP-Ports fr UNIX-Traceroute-Anwen-
dungen geffnet.
Hinweis Wenn die Funktion aktiviert ist, lassen die Traceroute-Einstellungen auch Ping-
Paketezu, selbst wenn die betreffenden Ping-Einstellungen deaktiviert sind.
8.1.5 Erweitert
Auf der Registerkarte Network Protection >Firewall >Erweitert knnen Sie erweiterte Ein-
stellungen fr die Firewall und die NAT-Regeln vornehmen.
Helfer fr Verbi ndungsverfolgung
Sogenannte Helfer fr die Verbindungsverfolgungaktivieren Protokolle, die mehrere Netz-
werkverbindungen nutzen, umauf Firewall- oder NAT-Regeln zugreifen zu knnen. Alle Ver-
bindungen, die per Firewall abgewickelt werden, werden durch das Kernelmodul conntrack mit-
verfolgt: ein Prozess, der besser als connection tracking (Verbindungsverfolgung) bekannt ist.
Einige Protokolle, wie FTPund IRC, bentigen mehrere offene Ports und erfordern deshalb
spezielle Helfer fr die Verbindungsverfolgung, damit sie korrekt funktionieren. Diese Helfer
sind spezielle Kernelmodule, die dabei helfen, zustzliche Verbindungen zu identifizieren,
indemsie diese als zur Eingangsverbindung zugehrig markieren. Das tun sie, indemsie die
zugehrigen Adressen aus demDatenstromauslesen.
Damit z.B. eine FTP-Verbindung korrekt funktioniert, muss ein FTP-Conntrack-Helfer aus-
gewhlt werden. Der Grund hierfr liegt in den Eigenheiten des FTP-Protokolls, welches
zunchst eine einzelne Verbindung, die FTP-Kontrollverbindung, aufbaut. Sobald Befehle ber
diese Verbindung laufen, werden andere Ports geffnet, umden Rest der Daten zu trans-
portieren, die zu demjeweiligen Befehl gehren (z.B. Downloads oder Uploads). Das Problem
hierbei ist, dass das Gateway nichts von den Extraports wei, weil sie dynamisch ausgehandelt
wurden. Aus diesemGrund kann das Gateway auch nicht wissen, dass es demServer erlau-
ben soll, sich mit demClient ber diese spezifischen Ports (aktive FTP-Verbindungen) zu ver-
binden, oder dass es Clients aus demInternet erlauben soll, sich mit demFTP-Server zu ver-
binden (passive FTP-Verbindungen).
274 UTM9 WebAdmin
Hier wird der FTP-Conntrack-Helfer aktiv. Dieser spezielle Helfer wird zur Ver-
bindungsverfolgung hinzugefgt und durchsucht dann die Kontrollverbindung (normalerweise
auf Port 21) nach spezifischen Informationen. Wenn er auf korrekte Informationen stt, fgt
er diese spezifischen Informationen zu einer Liste erwarteter Verbindungen hinzu, sodass sie
als zugehrig zur Kontrollverbindung gelten. Das wiederumermglicht es demGateway,
sowohl die FTP-Eingangsverbindung als auch die zugehrigen Verbindungen richtig zu ver-
folgen.
Verbindungsverfolgungshelfer stehen fr die folgenden Protokolle zur Verfgung:
l FTP
l IRC(fr DCC)
l PPTP
l TFTP
Hinweis Das Helfer-Modul PPTPwird bentigt, wenn Sie PPTP-VPN-Dienste auf dem
Gateway anbieten wollen. PPTP-Verbindungen knnen sonst nicht aufgebaut werden. Der
Grund hierfr ist, dass das Protokoll PPTPzuerst eine Verbindung auf TCP-Port 1723 auf-
baut, bevor es zur Verbindung mit demProtokoll Generic Routing Encapsulation (GRE) wech-
selt, das ein eigenstndiges IP-Protokoll ist. Wenn das Helfer-Modul PPTPnicht geladen ist,
werden alle GRE-Pakete vomGateway blockiert. Falls Sie aber das Helfer-Modul PPTPnicht
laden mchten, knnen Sie Firewallregeln manuell hinzufgen, sodass GRE-Pakete fr ein-
und ausgehenden Datenverkehr zulssig sind.
Protokollhandhabung
TCP-Fensterskalierung ermglichen: Das TCPReceive Window(RWin) gibt vor (in Byte),
welche Datenmenge ein Systemwhrend einer Verbindung puffern kann. Der Absender kann
nur diese Datenmenge versenden, danach muss er auf eine Besttigung und eine Fens-
teraktualisierung des Empfngers warten. Fr eine effizientere Nutzung von Netzwerken mit
hoher Bandbreite kann eine grere Fenstergre verwendet werden. Allerdings kontrolliert
das TCP-Fenstergrenfeld den Datenfluss und ist auf zwei Byte bzw. eine Fenstergre von
65.535 Byte beschrnkt. Da das Grenfeld nicht erweitert werden kann, wird ein Ska-
lierungsfaktor verwendet. TCP-Fensterskalierung ist eine Kerneloption des TCP/IP-Stacks
und kann dazu verwendet werden, die maximale Fenstergre von 65.535 Byte auf 1 Gigabyte
zu erweitern. Die Fensterskalierung ist standardmig aktiviert. Da einige Netzwerkgerte wie
Router, Lastverteiler, Gateways usw. die Fensterskalierung immer noch nicht durchgehend
untersttzen, kann es notwendig sein, sie auszuschalten.
UTM9 WebAdmin 275
Strikte TCP-Sitzungsverwaltung verwenden: Standardmig erkennt das Systemvor-
handene TCP-Verbindungen, die aufgrund eines Neustarts in der Ver-
bindungsverfolgungstabelle nicht verwaltet werden. Interaktive Sitzungen, wie z.B. SSHund
Telnet, werden daher nicht unterbrochen, wenn eine Schnittstelle vorbergehend nicht erreich-
bar ist. Sobald diese Option aktiviert ist, wird immer ein neuer 3-Wege-Handshake notwendig
sein, umsolche Sitzungen zu reaktivieren. Darber hinaus erlaubt diese Option nicht, dass die
TCP-Verbindungsmethoden gleichzeitig offen sind, oder dass TCPHandshakes unterbricht.
Es wird empfohlen, diese Option ausgeschaltet zu lassen.
Paketlnge validieren: Wenn diese Option aktiviert ist, prft die Firewall die Datenpakete auf
die minimale Lnge, wenn das Protokoll ICMP, TCPoder UDPverwendet wird. Wenn die
Datenpakete krzer als die Minimalwerte sind, werden sie blockiert und es wird ein Eintrag im
Firewallprotokoll angelegt.
Tuschungsschutz: Die Option Tuschungsschutzist standardmig deaktiviert. Sie kn-
nen zwischen den folgenden Einstellungen whlen:
l Normal: Das Gateway verwirft und protokolliert alle Datenpakete, die als Absen-
deradresse entweder die gleiche Quell-IP-Adresse enthalten wie die Schnittstelle oder
die auf einer Schnittstelle ankommen, die eine Quell-IP-Adresse eines Netzwerks besitzt,
die einer anderen Schnittstelle imNetzwerk zugeordnet ist.
l Strikt: Mit dieser Einstellung werden darber hinaus alle Datenpakete verworfen und
protokolliert, die zwar die richtige Ziel-IP-Adresse fr eine bestimmte Schnittstelle im
Netzwerk enthalten, allerdings ber eine Schnittstelle, der sie nicht zugeordnet sind, im
Netzwerk eintreffen, also an einer Schnittstelle, fr die sie nicht bestimmt sind. Bei-
spielsweise werden Pakete verworfen, die von einemexternen Netzwerk an eine IP-
Adresse der internen Schnittstelle geschickt wurden, die aber nur dafr vorgesehen ist,
Pakete aus deminternen Netzwerk entgegenzunehmen.
Protokolli erungsopti onen
FTP-Datenverbindungen protokollieren:UTMprotokolliert alle Datenverbindungen
(FTP-Datei- und Verzeichnisauflistungen). Die Protokolleintrge werden mit demAusdruck
FTPdataversehen.
Eindeutige DNS-Anfragen protokollieren:UTMprotokolliert alle ausgehenden Anfragen
an DNS-Server sowie deren Ergebnis. Die Protokolleintrge werden mit demAusdruck DNS
requestversehen.
276 UTM9 WebAdmin
Verworfene Broadcasts protokollieren: Standardmig verwirft die Firewall alle Broad-
casts, die darber hinaus auch nicht protokolliert werden. Wenn Sie die Broadcasts jedoch im
Firewall-Protokoll bentigen, z.B. fr Prfungszwecke, whlen Sie die Option aus.
8.2 NAT
ImMen Network Protection >NAT werden die NAT-Regeln des Gateways definiert und ver-
waltet. Network Address Translation (NAT) ist ein Verfahren, mit demdie Quell- und/oder Zie-
ladressen von IP-Paketen umgeschrieben werden, wenn sie einen Router oder ein Gateway
passieren. Die meisten Systeme benutzen NAT, damit mehrere Hosts in einemprivaten Netz-
werk den Internetzugang ber eine einzige ffentliche IP-Adresse nutzen knnen. Wenn ein Cli-
ent ein IP-Paket an den Router schickt, wandelt NAT die Absenderadresse in eine andere,
ffentliche IP-Adresse um, bevor es das Paket ins Internet weiterleitet. Kommt eine Antwort auf
dieses Paket zurck, wandelt NAT die ffentliche Adresse wieder in die ursprngliche IP-Adres-
se umund leitet das Paket an den Client weiter. Abhngig von den vorhandenen Sys-
temressourcen ist NAT in der Lage, beliebig groe interne Netzwerke zu verwalten.
8.2.1 Maskierung
Maskierung (engl. masquerading) ist eine Sonderformder Quellnetzwerkadressumsetzung
(engl. Source Network Address Translation, SNAT), bei der viele private IP-Adressen (typi-
scherweise Ihr LANmit privatemAdressraum) auf eine einzige ffentliche IP-Adresse (typi-
scherweise Ihre externe Schnittstelle zumInternet) umgeschrieben werden, d.h. Sie ver-
bergen interne IP-Adressen und Netzwerkinformationen nach auen. SNAT ist allgemeiner,
da es ermglicht, mehrere Quelladressen mehreren Zieladressen zuzuordnen.
Hinweis Die Quelladresse wird nur umgesetzt, wenn das Paket das Gateway ber die
angegebene Schnittstelle verlsst. Des Weiteren ist die Quelladresse immer die aktuelle IP-
Adresse dieser Schnittstelle, d.h. diese Adresse kann dynamisch sein.
Umeine Maskierungsregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Maskierung auf Neue Maskierungsregel.
Das Dialogfeld Neue Maskierungsregel erstellen wird geffnet.
Netzwerk: Whlen Sie das zu maskierende (interne) Netzwerk aus.
UTM9 WebAdmin 277
8 Network Protection 8.2 NAT
8.2 NAT 8 Network Protection
glichen.
Schnittstelle: Whlen Sie die (externe) Netzwerkkarte aus, die mit demInternet ver-
bunden ist.
Benutze Adresse: Wenn der Schnittstelle, die Sie gewhlt haben, mehr als eine IP-
Adresse zugewiesen ist (siehe Schnittstellen &Routing >Schnittstellen >Zustzliche
Adressen), knnen Sie hier bestimmen, welche IP-Adresse fr die Maskierung ver-
wendet werden soll.
zu.
Die neue Maskierungsregel wird in der Liste Maskierung angezeigt.
4. Aktivieren Sie die Maskierungsregel.
Klicken Sie auf den Schieberegler, umdie Maskierungsregel zu aktivieren.
flchen.
Hinweis Damit von den Clients aus deminternen Netzwerk eine Verbindung zumInternet
aufgebaut werden kann, mssen Sie fr die Firewall entsprechende Regeln anlegen.
IPsec-Pakete sind von Maskierungsregeln niemals betroffen. Umdie Quelladresse von IPsec-
Paketen umzusetzen, legen Sie eine Regel fr SNAT oder Volles NAT an.
8.2.2 NAT
DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT
(Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle
Flle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung
initiiert hat. Das Gegenstck hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt.
DNAT ist besonders ntzlich, wenn ein internes Netzwerk private IP-Adressen verwendet und
der Administrator einige Dienste von auen zugnglich machen will.
278 UTM9 WebAdmin
Das lsst sich ambesten anhand eines Beispiels verdeutlichen: Ein Webserver mit der IP-Adres-
se 192.168.0.20, Port 80, der in einemprivaten Netzwerk mit demAdressraum
192.168.0.0/255.255.255.0steht, soll fr Clients aus demInternet erreichbar sein. Da der
Adressraum192.168. privat ist, knnen Internet-basierte Clients Pakete nicht direkt an den
Webserver schicken. Sie knnen aber mit der externen (ffentlichen) Adresse der UTMkom-
munizieren. DNAT kann in diesemFall Pakete an Port 80der Firewall annehmen und diese
zuminternen Webserver weiterleiten.
Hinweis PPTP-VPN-Zugang ist nicht kompatibel mit DNAT.
ImGegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primren Netz-
werkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-
Regelangegeben ist.
1:1-NATist ein Spezialfall von DNAToder SNAT. In diesemFall werden smtliche Adressen
eines Netzwerks 1:1 in die Adressen eines anderen Netzwerks mit der gleichen Netzmaske
bersetzt. Die erste Adresse des ursprnglichen Netzwerks wird also in die erste Adresse des
anderen Netzwerks bersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kann ent-
weder auf die Quell- oder die Zieladresse angewendet werden.
Hinweis Der Port 443(HTTPS) wird standardmig fr das Benutzerportal genutzt. Wenn
Sie den Port 443an einen internen Server weiterleiten mchten, mssen Sie den Wert des
TCP-Ports des Benutzerportals ndern (z.B. 1443). Nehmen Sie diese Einstellung auf der
Registerkarte Verwaltung >Benutzerportal >Erweitert vor.
Da DNAT vor demFirewalling angewendet wird, mssen Sie sicherstellen, dass ent-
sprechende Firewallregeln gesetzt sind. Weitergehende Informationen finden Sie unter Net-
work Protection >Firewall >Regeln.
Umeine NAT-Regel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.
Das Dialogfeld Neue NAT-Regel erstellen wird geffnet.
UTM9 WebAdmin 279
8.2 NAT 8 Network Protection
glichen.
Regeltyp: Whlen Sie den NAT-Modus aus. Abhngig vomgewhlten Modus werden
verschiedene Optionen angezeigt: Die folgenden Modi sind mglich:
l SNAT (Quelle): Ordnet die Quelladresse definierter IP-Pakete einer neuen Quel-
ladresse zu. Der Dienst kann ebenfalls gendert werden. Der Dienst kann eben-
falls gendert werden.
l DNAT (Ziel): Ordnet die Zieladresse definierter IP-Pakete einer neuen Zie-
ladresse zu. Der Dienst kann ebenfalls gendert werden. Der Dienst kann eben-
falls gendert werden.
l 1:1-NAT (ganze Netzwerke): Ordnet IP-Adressen eines Netzwerks 1:1 einem
anderen Netzwerk zu. Die Regel gilt entweder fr die Quell- oder die Zieladresse
der definierten IP-Pakete.
l Volles NAT (Quelle + Ziel): Ordnet sowohl die Quell- als auch die Zieladresse
definierter IP-Pakete einer neuen Quell- und einer neuen Zieladresse zu. Der
Quelldienst und der Zieldienst knnen ebenfalls gendert werden.
l Kein NAT: Bei dieser Option handelt es sich umeine Ausnahmeregel. Beispiel:
Wenn fr ein bestimmtes Netzwerk eine NAT-Regel existiert, knnen Sie eine
Kein NAT-Regel fr bestimmte Hosts innerhalb dieses Netzwerks festlegen. Die-
se Hosts werden dann vomNAT ausgenommen.
Bedingung fr bereinstimmung: Whlen Sie Quell- und Zielnetzwerk, Quell- und
Zielhost sowie den Dienst, fr den Sie Adressen bersetzen mchten, oder fgen Sie die-
se Elemente hinzu.Das Hinzufgen einer Definition wird auf der Seite Definitionen &
l Datenverkehrsquelle: Die ursprngliche Quelladresse der Pakete. Dabei kann
es sich entweder umeinen einzelnen Host, ein gesamtes Netzwerk oder, auer
fr den Regeltyp 1:1-NAT, einen Netzwerkbereich handeln.
l Datenverkehrsdienst: Der ursprngliche Diensttyp des Pakets, der aus Quell-
und Zielports der Pakete sowie einemProtokoll besteht.
280 UTM9 WebAdmin
Hinweis Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auch
die entsprechenden Adressen umgesetzt werden. Des Weiteren kann ein
Dienst nur in einen Dienst mit demgleichen Protokoll umgesetzt werden.
l Datenverkehrsziel: Die ursprngliche Zieladresse der Pakete. Dabei kann es
sich entweder umeinen einzelnen Host oder ein gesamtes Netzwerk handeln. Bei
SNATund Kein NAT kann es sich auch umeinen Netzwerkbereich handeln.
Aktion:Whlen Sie den Quell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprnglichen
IP-Paketdaten bersetzen mchten. Die angezeigten Parameter hngen vomaus-
gewhlten Regeltyp ab.Das Hinzufgen einer Definition wird auf der Seite Definitionen &
l Quelle ndern in (nur in den Modi SNAT oder Volles NAT): Whlen Sie den
Quellhost, also die neue Quelladresse der Pakete.
l Ziel ndern in (nur in den Modi DNAT oder Volles NAT): Whlen Sie den Ziel-
host, also die neue Zieladresse der Pakete.
l Dienst ndern in (nur in den Modi DNAT, SNAT oder Volles NAT):Whlen Sie
den neuen Dienst fr die Pakete. Je nach ausgewhltemRegeltyp kann es sich
hierbei umden Quell- bzw. Zieldienst handeln.
l 1:1-NAT-Modus (nur imModus 1:1-NAT): Whlen Sie einen der folgenden
Modi:
l Map destination: ndert die Zieladresse.
l Map source: ndert die Quelladresse.
Hinweis Sie mssen imFeld Datenverkehrsquelle ein ganzes Netzwerk ein-
geben, wenn Sie die Quelle zuordnen mchten, oder imFeld Datenverkehrsziel,
wenn Sie das Ziel zuordnen mchten.
l Zuordnung (nur imModus 1:1-NAT): Whlen Sie das Netzwerk, in das Sie die
ursprnglichen IP-Adressen bersetzen mchten. Bitte beachten Sie, dass die
Netzmaske des ursprnglichen Netzwerks mit der Netzmaske des bersetzten
Netzwerks bereinstimmen muss.
UTM9 WebAdmin 281
8.3 Advanced Threat Protection 8 Network Protection
Automatische Firewallregel (optional): Whlen Sie diese Option, umFirewallregeln
automatisch zu generieren, sodass der entsprechende Datenverkehr die Firewall pas-
sieren kann.
zu.
Regel gilt fr IPsec-Pakete (nur in den Modi SNAT oder Volles NAT): Whlen Sie die-
se Option, wenn die Regel fr Datenverkehr gelten soll, der von IPsec verarbeitet wird.
Diese Option ist standardmig nicht ausgewhlt, wodurch IPsec-Verkehr von SNAT
ausgeschlossen wird.
Initpakete protokollieren (optional): Whlen Sie diese Option, umIni-
tialisierungspakete einer Kommunikation ins Firewall-Protokoll zu schreiben. Wann
immer eine NAT-Regel verwendet wird, werden Sie eine Meldung imFirewallprotokoll
mit folgendemInhalt finden: Connection using NAT(dt. Verbindung benutzt NAT). Die-
se Option funktioniert sowohl fr zustandbehaftete (stateful) als auch zustandlose (state-
less) Protokolle.
Die neue Regel wird in der Liste NAT angezeigt.
5. Aktivieren Sie die NAT-Regel.
flchen.
8.3 Advanced Threat Protection
ImMen Network Protection >Advanced Threat Protection knnen Sie die Funktion Advanced
Threat Protection aktivieren und konfigurieren, damit infizierte oder gefhrdete Clients inner-
halb Ihres Netzwerks rasch erkannt werden und eine Warnung ausgegeben wird bzw. der ent-
sprechende Verkehr verworfen wird. Advanced Threat Protection ist auf typische Her-
ausforderungen in modernen Unternehmensnetzwerken ausgelegt:einerseits die Verwaltung
mobiler Mitarbeitermit immer mehr verschiedenen Mobilgerten (BYOD), andererseits die
immer schneller voranschreitende Weiterentwicklung und Verteilung von Schadsoftware.
Advanced Threat Protection analysiert Netzwerkverkehr, z.B. DNS-Anfragen, HTTP-
282 UTM9 WebAdmin
Anfragen oder IP-Pakete imAllgemeinen, die aus allen Netzwerken stammen bzw. an diese
gesendet werden knnen. Advanced Threat Protection bietet zudemAngriffschutzund Anti-
virusdaten, wenn die entsprechenden Funktionen aktiviert sind. Die Datenbank zur Iden-
tifizierung von Bedrohungen wird laufend durch einen CnC/Botnet-Datenfeed von Sophos
Labs mittels Pattern-Aktualisierungen aktualisiert. Anhand dieser Daten knnen infizierte Hosts
und ihre Kommunikation mit Command-and-Control (CnC)-Servern schnell identifiziert wer-
den und es kann entsprechend darauf reagiert werden.
8.3.1 Allgemein
Auf der Registerkarte Advanced Threat Protection >Allgemein knnen Sie das Advanced Thre-
at Protection Systemder aktivieren.Sophos UTM
UmAdvanced Threat Protection zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie das Advanced Threat Protection System.
Der Schieberegler wird gelb und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
Richtlinie: Whlen Sie die Sicherheitsrichtlinie aus, die vomAdvanced Threat Pro-
tection Systemverwendet werden soll, wenn eine Bedrohung erkannt wurde.
l Verwerfen: Das Datenpaket wird protokolliert und verworfen.
l Warnung: Das Datenpaket wird protokolliert.
Netzwerk-/Hostausnahmen: Fgen Sie die Quellnetzwerke oder -hosts hinzu, die vom
Scannen auf Bedrohungen durch Advanced Threat Protection ausgenommen werden
sollen, oder whlen Sie sie aus. Das Hinzufgen einer Definition wird auf der Seite Defi-
Bedrohungsausnahmen: Fgen Sie Ziel-IP-Adressen oder Domnennamen hinzu,
die beimScannen auf Bedrohungen durch Advanced Threat Protection bersprungen
werden sollen. An dieser Stelle knnen Sie Falschmeldungen hinzufgen, umzu ver-
hindern, dass sie als Bedrohung erkannt werden. Beispiele: 8.8.8.8oder google.com.
UTM9 WebAdmin 283
8 Network Protection 8.3 Advanced Threat Protection
8.4 Intrusion Prevention 8 Network Protection
Achtung Gehen Sie beimFestlegen von Ausnahmen mit Vorsicht vor. Wenn Sie
Quellen oder Ziele ausnehmen, setzen Sie Ihr Netzwerk mglicherweise ernsthaften
Gefahren aus.
Wenn diese Option aktiviert ist und eine Bedrohung erkannt wird, wird sie auf der Seite von Net-
work Protection aufgelistet. Der Administrator erhlt eine Benachrichtigung, wenn diese Funk-
tion auf der Seite Verwaltung >Benachrichtigungen >Benachrichtigungen aktiviert ist. Die
Benachrichtigung ist standardmig auf Verwerfen oder Warnung eingestellt.
Li ve-Protokoll
Das Live-Protokoll von Advanced Threat Protection kann zur berwachung der erkannten
Bedrohungen verwendet werden. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in
einemneuen Fenster zu ffnen.
Hinweis IPS- und Web-Proxy-Bedrohungen werden imLive-Protokoll nicht angezeigt.
8.4 Intrusion Prevention
ImMen Network Protection >Intrusion Prevention werden die IPS-Regeln des Gateways defi-
niert und verwaltet. Das Angriffsschutzsystem(Intrusion Prevention System, IPS) erkennt
Angriffsversuche anhand eines signaturbasierten IPS-Regelwerks. Das Systemanalysiert den
gesamten Datenverkehr und blockiert Attacken automatisch, bevor diese das lokale Netzwerk
erreichen. Das bereits vorhandene Regelwerk und die Angriffsmuster werden durch die Pat-
tern-Updates-Funktion aktualisiert. Neue IPS-Angriffs-Pattern-Signaturen werden auto-
matisch als IPS-Regeln in das IPS-Regelwerk importiert.
8.4.1 Allgemein
Auf der Registerkarte Network Protection >Intrusion Prevention >Allgemein knnen Sie das
Angriffschutzsystem(Intrusion Prevention System, (IPS) von Sophos UTMaktivieren.
UmIPSzu aktivieren, gehen Sie folgendermaen vor:
284 UTM9 WebAdmin
1. Aktivieren Sie das Angriffschutzsystem.
Der Schieberegler wird gelb und der Abschnitt Allgemeine IPS-Einstellungen kann nun
bearbeitet werden.
Lokale Netzwerke: Fgen Sie Sie die Netzwerke hinzu oder whlen Sie die Netzwerke
aus, die vomAngriffsschutzsystemberwacht werden sollen. Falls kein Netzwerk aus-
gewhlt ist, wird IPSautomatisch wieder ausgeschaltet und kein Netzwerkverkehr ber-
wacht. Das Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netz-
Richtlinie: Whlen Sie die Sicherheitsrichtlinie aus, die von IPSverwendet werden soll,
wenn eine IPS-Regel eine Angriffsignatur erkennt.
l Unbemerkt verwerfen: Die Datenpakete werden ohne weitere Manahmen
verworfen.
l Verbindung beenden: An beide Verbindungspartner wird ein Paket geschickt,
das die Verbindung beendet (RST bei TCP-Verbindungen und ICMPPort Unre-
achable fr UDP-Verbindungen).
Hinweis Standardmig ist Unbemerkt verwerfen ausgewhlt. Diese Einstellung
sollte in der Regel nicht verndert werden, vor allemda aus Paketen zur Ver-
bindungsbeendigung mutmaliche Angreifer auch Informationen ber das Gateway
ziehen knnen.
Li ve-Protokoll
Das Intrusion-Prevention-Live-Protokoll dient zur berwachung der gewhlten IPS-Regeln. Kli-
cken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
8.4.2 Angriffsmuster
Die Registerkarte Network Protection >Intrusion Prevention >Angriffsmuster enthlt das IPS-
Regelwerk, gruppiert nach blichen Angriffsmustern. Die IPS-Angriffsmuster sind in folgende
Gruppen unterteilt:
UTM9 WebAdmin 285
8 Network Protection 8.4 Intrusion Prevention
l Betriebssystemspezifische Angriffe: Angriffe auf Betriebssystem-spezifische
Schwchen.
l Angriffe gegen Server: Angriffe auf alle Arten von Servern (z.B. Webserver, Mail-
server).
l Angriffe gegen Client-Software: Angriffe auf Client-Software (z.B. Webbrowser, Mul-
timedia-Player).
l Protokollanomalie: Die Angriffsmuster sind auf Netzwerkanomalien ausgerichtet.
l Schadsoftware: Software, die darauf ausgelegt ist, in ein Computersystemein-
zudringen und ihmzu schaden, ohne dass der Besitzer davon Kenntnis hat, z.B. Tro-
janer, DoS-Kommunikationswerkzeuge usw.
Umdie Leistungsfhigkeit zu erhhen, sollten Sie IPS-Angriffsmuster deaktivieren, die sich auf
Dienste oder Software beziehen, welche nicht in Ihremlokalen Netzwerk vorkommen. Wenn
sich in Ihremlokalen Netzwerk z.B. kein Webserver imEinsatz befindet, knnen Sie die Aus-
wahl HTTP-Server aufheben.
Fr jede Gruppe sind die folgenden Einstellungen verfgbar:
Aktion: Jede Regel einer Gruppe besitzt eine ihr zugewiesene Aktion. Sie knnen zwischen
den folgenden Aktionen whlen:
l Verwerfen: Standardeinstellung. Wenn ein vermeintlicher Angriff festgestellt wird, wer-
den die betroffenen Datenpakete verworfen.
l Warnen: ImGegensatz zu Verwerfen wird das kritische Datenpaket durch das Gateway
gelassen, aber es wird eine Warnmeldung in das IPS-Protokoll geschrieben.
Hinweis Umdie Einstellungen fr individuell erstellte IPS-Regeln zu ndern, verwenden
Sie das Feld Genderte Regeln auf der Registerkarte Intrusion Prevention >Erweitert. Eine
detaillierte Liste mit allen IPS-Regeln, die in Sophos UTM9 verwendet werden, finden Sie auf
der UTM-Website.
Alter von Regeln:Standardmig sind IPS-Patterns auf diejenigen der letzten 12Monate
beschrnkt. Sie knnen in Abhngigkeit von individuellen Faktoren wie demPatch-Stand ins-
gesamt, lteren Systemen oder anderen Sicherheitsanforderungen einen anderen Zeitraum
whlen. Wenn Sie einen krzeren Zeitraumwhlen, reduziert sich die Anzahl an Regeln und
die Leistung verbessert sich.
Extra-Warnungen hinzufgen: Wenn Sie diese Option whlen, werden jeder IPS-Regel
zustzliche Regeln hinzugefgt, die die IPS-Erkennungsrate erhhen. Beachten Sie dabei,
286 UTM9 WebAdmin
dass diese zustzlichen Regeln allgemeiner gefasst und vager sind als die expliziten IPS-
Angriffsmuster und dadurch sicherlich hufiger Alarme auslsen. Aus diesemGrund ist die vor-
eingestellte Aktion Warnen, welche nicht konfiguriert werden kann.
Benachrichtigen: Wenn Sie diese Option whlen, wird fr jedes IPS-Ereignis, das zu dieser
Gruppe gehrt, eine Meldung an den Administrator geschickt. Beachten Sie, dass die Nachricht
nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion imMen Verwaltung >Benach-
richtigungen >Benachrichtigungen eingeschaltet und entsprechend konfiguriert haben. Dar-
ber hinaus hngt es ebenfalls von den Einstellungen dort ab, ob es sich bei der Benach-
richtigung umeine E-Mail oder SNMP-Trap handelt. Dabei kann es bis zu fnf Minuten dauern,
bevor die nderungen an den Benachrichtigungseinstellungen wirksamwerden.
8.4.3 Anti-DoS/Flooding
Auf der Registerkarte Anti-DoS/Flooding knnen Sie die Konfiguration fr den Schutz vor Deni-
al-of-Service-Angriffen (DoS) und Distributed-Denial-of-Service-Angriffen (DDoS) vor-
nehmen.
Allgemein gesagt, zielen DoS- und DDoS-Angriffe darauf ab, ein Computersystemfr legitime
Zugriffe unerreichbar zu machen. Imeinfachsten Fall berflutet der Angreifer den Server mit
sinnlosen Paketen, umdiesen zu berlasten. Da fr diese Angriffe eine groe Bandbreite erfor-
derlich ist, verlegen sich immer mehr Angreifer auf sogenannte SYN-Flood-Attacken, die nicht
darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers zu
blockieren. Zu diesemZweck werden sogenannte SYN-Pakete mit einer oftmals geflschten
Quelladresse an den TCP-Port des Dienstes geschickt. Auf diese Weise wird der Server ver-
anlasst, die Verbindung zur Hlfte zu ffnen, indemer TCP/SYN-ACK-Pakete an die geflsch-
te Adresse zurcksendet und auf ein Antwort-TCP/ACK-Paket des Absenders wartet. Da die
Absenderadresse geflscht ist, wird dieses aber niemals kommen. Diese halboffenen Ver-
bindungen sttigen die Anzahl der verfgbaren Verbindungen, die der Server eingehen kann,
und hindern ihn daran, auf legitime Anfragen zu reagieren.
Solche Angriffe knnen abgewehrt werden, indemdie Menge der SYN- (TCP), UDP- und
ICMP-Pakete, die in das Netzwerk geschickt werden, ber eine bestimmte Zeit begrenzt wer-
den.
TCP-SYN-Flood-Schutz
Umden TCP-SYN-Flood-Schutz zu aktivieren, gehen Sie folgendermaen vor:
UTM9 WebAdmin 287
1. Whlen Sie auf der Registerkarte Anti-DoS/Flooding die Option TCP-SYN-
Flood-Schutz verwenden.
Modus: Die folgenden Modi sind mglich:
l Quell- und Zieladressen: In diesemModus knnen TCP-SYN-Pakete sowohl
abhngig von Quell-IP-Adresse als auch von Ziel-IP-Adresse verworfen werden.
Zunchst werden die SYN-Pakete, deren Quell-IP-Adresse bereinstimmt, auf
die unten festgelegte Quellpaketrate begrenzt. Dann, wenn es immer noch zu vie-
le Anfragen sind, werden diese zustzlich anhand ihrer Ziel-IP-Adresse gefiltert
und auf die Zielpaketrate begrenzt. Dieser Modus ist voreingestellt.
l Nur Zieladresse: In diesemModus werden die SYN-Pakete nur abhngig von
der Ziel-IP-Adresse und der Zielpaketrate verworfen.
l Nur Quelladresse: In diesemModus werden die SYN-Pakete nur abhngig von
der Quell-IP-Adresse und der Quellpaketrate verworfen.
Protokollierung: Mit dieser Option knnen Sie den Protokollumfang einstellen. Die fol-
genden Protokollierungsstufen sind verfgbar:
l Aus: Whlen Sie diese Option, wenn nichts protokolliert werden soll.
l Begrenzt: Whlen Sie diese Option, umpro Sekunde maximal fnf Pakete zu pro-
tokollieren. Dieser Modus ist voreingestellt.
l Alles: Whlen Sie diese Option, umalle SYN-Verbindungsversuche (TCP) zu pro-
tokollieren. Beachten Sie, dass TCP-SYN-Flood-Angriffe schnell zu einer sehr
umfangreichen Protokollierung fhren knnen.
Quellpaketrate: Geben Sie in das Eingabefeld die maximale Anzahl der Datenpakete
pro Sekunde ein, die fr Quell-IP-Adressen erlaubt ist.
Zielpaketrate: Geben Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro
Sekunde ein, die fr Ziel-IP-Adressen erlaubt ist.
Hinweis Es ist wichtig, dass Sie in die Eingabefelder angemessene Werte eintragen.
Wenn Sie die Werte zu hoch definieren, kann es passieren, dass der Webserver den
Dienst versagt, weil er eine derart groe Menge an TCP-SYN-Paketen nicht bewl-
tigen kann. Wenn Sie andererseits die Rate zu gering definieren, kann es passieren,
dass das Gateway unvorhersehbar reagiert und regulre Anfragen blockiert. Es hngt
288 UTM9 WebAdmin
hauptschlich von Ihrer Hardware ab, welche Einstellungen fr Sie sinnvoll sind. Erset-
zen Sie daher die Standardeinstellungen durch fr Ihr Systemgeeignete Werte.
UDP-Flood-Schutz
Der UDP-Flood-Schutz erkennt und blockiert UDP-Paketfluten.
Die Konfiguration des UDP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-
Schutzes.
ICMP-Flood-Schutz
Der ICMP-Flood-Schutz erkennt und blockiert ICMP-Paketfluten.
Die Konfiguration des ICMP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-Schut-
zes.
8.4.4 Anti-Portscan
Auf der Registerkarte Network Protection >Intrusion Prevention >Anti-Portscan werden die
Optionen fr die Portscan-Erkennung konfiguriert.
Portscans werden meist von Hackern durchgefhrt, umin gesicherten Netzwerken nach
erreichbaren Diensten zu suchen: Umin ein Systemeinzudringen bzw. eine Denial-of-Service-
Attacke (DoS) zu starten, bentigen Angreifer Informationen zu den Netzwerkdiensten. Wenn
solche Informationen vorliegen, sind Angreifer mglicherweise in der Lage, gezielt die Sicher-
heitslcken dieser Dienste auszunutzen. Netzwerkdienste, die die Internet-Protokolle TCPund
UDPverwenden, sind ber bestimmte Ports erreichbar und diese Port-Zuordnung ist imAll-
gemeinen bekannt, z.B. ist der Dienst SMTPin der Regel demTCP-Port 25zugeordnet. Die
von Diensten verwendeten Ports werden als offenbezeichnet, da es mglich ist, eine Ver-
bindung zu ihnen aufzubauen, wohingegen unbenutzte Ports als geschlossenbezeichnet wer-
den, da Versuche, eine Verbindung zu ihnen aufzubauen, scheitern. Damit Angreifer her-
ausfinden knnen, welche Ports offen sind, verwenden sie ein spezielles Software-Werkzeug,
den Portscanner. Dieses Programmversucht mit mehreren Ports auf demZielhost eine Ver-
bindung aufzubauen. Falls dies gelingt, zeigt es die entsprechenden Ports als offen an und die
Angreifer haben die ntigen Informationen darber, welche Netzwerkdienste auf demZielhost
verfgbar sind.
UTM9 WebAdmin 289
Da den Internetprotokollen TCPund UDPje 65535 Ports zur Verfgung stehen, werden die
Ports in sehr kurzen Zeitabstnden gescannt. Wenn nun von derselben Quell-IP-Adresse meh-
rere Versuche registriert werden, mit immer anderen Ports Ihres Systems Verbindung auf-
zunehmen bzw. Informationen an diese zu senden, dann handelt es sich mit ziemlicher Sicher-
heit umeinen Portscan. Wenn ein vermeintlicher Angreifer Hosts oder Dienste in Ihrem
Netzwerk scannt, wird dies von der Portscan-Erkennung entdeckt. Eine Mglichkeit dagegen
vorzugehen ist, weitere Portscans von derselben Quell-IP-Adresse automatisch zu blockieren.
Beachten Sie, dass die Portscan-Erkennung auf Internetschnittstellen beschrnkt ist, also
Schnittstellen mit Standardgateway.
Technisch gesehen liegt ein Portscan vor, wenn fr eine einzelne Quell-IP-Adresse innerhalb
von 300 ms eine Erkennungsrate (engl. Detection Score) von 21 Punkten erreicht wird. Diese
Erkennungsrate setzt sich folgendermaen zusammen:
l Scan eines TCP-Zielports unter 1024=3 Punkte
l Scan eines TCP-Zielports gleich oder grer als 1024=1 Punkt
Umdie Portscan-Erkennung zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie auf der Registerkarte Anti-Portscan die Portscan-Erkennung.
Der Schieberegler wird grn und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
Aktion: Die folgenden Aktionen sind mglich:
l Ereignis nur protokollieren: Es wird keine Manahme gegen den Portscanner
ergriffen. Das Ereignis wird nur protokolliert.
l Verkehr verwerfen: Weitere Pakete des Portscans werden verworfen. Der Ports-
canner wird diese Ports als gefiltertmelden.
l Verkehr ablehnen: Die Verbindungsanfragen des Angreifers werden zurck-
gewiesen und eine ICMP-Antwort destination unreachable/port unreachable
(Ziel/Port unerreichbar) wird an den Initiator geschickt. Der Portscanner wird die-
sen Port als geschlossenmelden.
Protokollierung begrenzen: Aktivieren Sie diese Option, umdie Menge der Pro-
tokollnachrichten zu begrenzen. Die Portscan-Erkennung kann whrend eines Ports-
cans viele Eintrge erzeugen. So wird z.B. jedes SYN-Paket, das als Teil eines Ports-
290 UTM9 WebAdmin
cans angesehen wird, imFirewallprotokoll festgehalten. Durch Aktivierung dieser Funk-
tion wird der Protokollumfang auf fnf Zeilen pro Sekunde reduziert.
8.4.5 Ausnahmen
Auf der Registerkarte Network Protection >Intrusion Prevention >Ausnahmen knnen Sie
Quell- und Zielnetzwerke definieren, die vomAngriffschutzsystem(IPS) ausgenommen wer-
den.
Umeine Ausnahme zu definieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfeld Ausnahmenliste erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Ausnahme ein.
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen, die nicht durch-
gefhrt werden sollen:
l Intrusion Prevention: Wenn Sie diese Option aktivieren, wird das IPSvon
Sophos UTMausgeschaltet.
l Portscan-Schutz: Wenn Sie diese Option aktivieren, verlieren Sie den Schutz
vor Portscans, die Ihr Systemnach offenen Ports absuchen.
l TCP-SYN-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der TCP-SYN-
Flood-Schutz ausgeschaltet.
l UDP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der UDP-Flood-
Schutz ausgeschaltet.
l ICMP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der ICMP-Flood-
Schutz ausgeschaltet.
Fr alle Anfragen: Whlen Sie mindestens eine Bedingung, fr die die Sicher-
heitsprfungen ausgesetzt werden sollen. Sie knnen mehrere Bedingungen logisch mit-
einander verknpfen, indemSie entweder Und oder Oder aus der Auswahlliste vor einer
Bedingung auswhlen. Die folgenden Bedingungen knnen gesetzt werden:
UTM9 WebAdmin 291
l Aus diesen Quellnetzwerken: Whlen Sie diese Option, umQuellhosts/-netz-
werke hinzuzufgen, die von Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke
in das Feld Netzwerke ein, das nach Auswahl der Bedingung geffnet wird.
l Diese Dienste verwendend: Whlen Sie diese Option, umDienste hin-
zuzufgen, die von Sicherheitsprfungen dieser Ausnahmeregel ausgenommen
werden sollen. Fgen Sie die entsprechenden Dienste zumFeld Dienste hinzu,
das nach Auswahl der Bedingung geffnet wird.
l Zu diesen Zielen gehend: Whlen Sie diese Option, umZielhosts/-netzwerke
hinzuzufgen, die von den Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke
in das Feld Ziele ein, das nach Auswahl der Bedingung geffnet wird.
zu.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
4. Aktivieren Sie die Ausnahme.
Die neue Ausnahme ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie
auf den Schieberegler umdie Ausnahme zu aktivieren.
Die Ausnahme ist jetzt aktiv (Schieberegler ist grn).
flchen.
Hinweis Wenn Sie Intrusion Prevention fr Pakete mit der Zieladresse des Gateways aus-
schalten wollen, wird die Wahl Any imFeld Ziele nicht den gewnschten Effekt haben. Whlen
Sie stattdessen eine Schnittstellendefinition des Gateways, die die IP-Adresse des Gateways
enthlt, z.B. Internal (Address), wenn Sie Intrusion Prevention fr die interne Adresse des
Gateways ausschalten mchten.
292 UTM9 WebAdmin
8.4.6 Erweitert
Mustersatzopti mi erung
Dateibezogene Muster aktivieren: Muster gegen dateibasierte Angriffe sind stan-
dardmig deaktiviert, da der Schutz vor solchen Bedrohungen blicherweise von der Anti-
virus-Engine bernommen wird. Die Standardeinstellung (deaktiviert) maximiert die Leistung,
bei aktivierter Option wird die Erkennungsrate maximiert. Die Aktivierung dateibezogener Mus-
ter kann sinnvoll sein, wenn kein anderer Virenschutz verfgbar ist, da z.B. Web Protection aus-
geschaltet oder kein Client-Antiviren-Programminstalliert ist.
Manuelle Regelmodi fi zi erung
In diesemBereich knnen Sie IPS-Regeln manuell modifizieren. Dabei wird die Stan-
dardrichtlinie, die aus den Gruppen unter Angriffsmuster stammt, fr die jeweilige Regel ber-
schrieben. Solche nderungen sollten nur erfahrene Benutzer vornehmen.
Umeine modifizierte IPS-Regel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie imFeld Genderte Regeln auf das Plussymbol.
Das Dialogfenster Regel ndern wird geffnet.
Regel-ID: Geben Sie die IDder IPS-Regel ein, die Sie ndern wollen. Die Regel-IDs fin-
den Sie in der IPS-Regelliste auf der Sophos-Website. (In demOrdner finden Sie Datei-
en mit IPS-rules imDateinamen, verfgbar fr verschiedene UTM- und Mus-
terversionen, sowohl imHTML- als auch imXML-Format.) Die IDs knnen auerdem
auch mit Hilfe des IPS-Protokolls oder des IPS-Berichts identifiziert werden.
Diese Regel deaktivieren: Wenn Sie diese Option whlen, wird die IPS-Regel mit der
entsprechenden IDausgeschaltet.
Wenn Sie diese Option nicht auswhlen, stehen die folgenden zwei Optionen zur Ver-
fgung:
l Benachrichtigungen ausschalten: Wenn Sie diese Option whlen, werden kei-
ne Benachrichtigungen versendet, wenn diese Regel angewendet wird.
l Aktion: Hierbei handelt es sich umdie Aktionen, die ausgefhrt werden, wenn
eine Regel zutrifft. Sie knnen zwischen den folgenden Aktionen whlen:
l Verwerfen: Wenn ein vermeintlicher Angriff festgestellt wird, werden die
betroffenen Datenpakete verworfen.
UTM9 WebAdmin 293
8.5 Server-Lastverteilung 8 Network Protection
l Warnung: ImGegensatz zu Verwerfen wird das kritische Datenpaket
durch das Gateway gelassen, aber es wird eine Warnmeldung in das IPS-
Protokoll geschrieben.
Die Regel wird imFeld Genderte Regeln angezeigt. Bitte beachten Sie, dass Sie auer-
demunten auf der Seite auf bernehmen klicken mssen, damit die nderungen wirk-
samwerden.
Hinweis Wenn Sie eine Regel-IDzumFeld Genderte Regeln hinzufgen und die Aktion
zumBeispiel auf Warnung setzen, wird die nderung nur dann wirksam, wenn die Gruppe, zu
der diese Regel gehrt, auf der Registerkarte Angriffsmuster aktiv ist. Sollte diese Angriffs-
mustergruppe deaktiviert sein, haben nderungen an einzelnen Regeln keine Auswirkung.
Lei stungsstei gerung
Umdie Leistung des Angriffsschutzsystems zu verbessern und die Anzahl falscher Alarme zu
minimieren, knnen Sie hier den Bereich der IPS-Regeln auf einzelne Ihrer internen Server
begrenzen. Beispiel: Auf der Registerkarte Angriffsmuster ist die Gruppe HTTP-Server ein-
geschaltet und hier ist ein bestimmter HTTP-Server eingestellt. Wenn nun das Angriffs-
schutzsystemeinen Angriff auf einen HTTP-Server feststellt, dann wird die eingestellte Aktion
(Verwerfen oder Warnung) nur ausgefhrt, wenn die IP-Adresse des betroffenen Servers mit
der IP-Adresse des hier eingestellten HTTP-Servers bereinstimmt.
Der Einsatzbereich der IPS-Regeln kann fr die folgenden Servertypen begrenzt werden:
l HTTP: Alle Untergruppen in der Angriffsmustergruppe HTTP-Server
l DNS: Die Angriffsmustergruppe DNS
l SMTP: Die Angriffsmustergruppen Exchange und Sendmail
l SQL: Alle Untergruppen in der Angriffsmustergruppe Database Servers
8.5 Server-Lastverteilung
Mit der Server-Lastverteilung-Funktion (server load balancing) knnen Sie eingehende Ver-
bindungen (z.B. SMTP- oder HTTP-Verkehr) auf verschiedene Server hinter demGateway
verteilen. Die Verteilung basiert auf der Quell-IP-Adresse mit einer Bindungsdauer von einer
Stunde. Falls das Intervall zwischen zwei Anfragen derselben Quell-IP-Adresse diesen Zeit-
294 UTM9 WebAdmin
raumberschreitet, wird die Verteilung neu ausgehandelt. Die Verteilung des Datenverkehrs
basiert auf einemeinfachen Round-Robin-Algorithmus.
Alle Server des Serverpools werden entweder durch ICMP-Ping, TCP-Verbindungsaufbau
oder HTTP/S-Anfragen berwacht. Bei einemAusfall wird der betroffene Server nicht weiter
verwendet, wobei jede eventuelle Quell-IP-Bindungsdauer aufgehoben wird.
Hinweis Der Rckgabewert einer HTTP/S-Anfrage muss entweder 1xx
Informational, 2xx Success, 3xx Redirectionoder 4xx Client Error sein. Alle
anderen Rckgabewerte werden als Fehler gewertet.
8.5.1 Verteilungsregeln
Auf der Registerkarte Network Protection >Server-Lastverteilung >Verteilungsregeln knnen
Sie Lastverteilungsregeln fr die Sophos UTM-Software festlegen. NachdemSie eine Regel
erstellt haben, knnen Sie zustzlich die Gewichtung der Lastverteilung zwischen den Servern
und die Schnittstellenbindung festlegen.
Umeine Lastverteilungsregel anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verteilungsregeln auf Neue Last-
verteilungsregel.
Das Dialogfeld Neue Lastverteilungsregel erstellen wird geffnet.
Dienst: Whlen Sie den Netzwerkdienst aus, dessen Last Sie verteilen wollen.
Virtueller Server: Der ursprngliche Zielhost des eingehenden Datenverkehrs. bli-
cherweise entspricht die Adresse der externen Adresse des Gateways.
Echte Server: Die Hosts, die abwechselnd den Datenverkehr fr diesen Dienst akzep-
tieren.
Prfmethode: Whlen Sie entweder
l TCP(TCP-Verbindungsaufbau),
l UDP(UDP-Verbindungsaufbau),
UTM9 WebAdmin 295
8 Network Protection 8.5 Server-Lastverteilung
8.5 Server-Lastverteilung 8 Network Protection
l Ping (ICMP-Ping),
l HTTPHost (HTTP-Anfragen),
l oder HTTPSHosts (HTTPS-Anfragen).
Wenn Sie UDPverwenden, wird zunchst eine Ping-Anfrage versendet. Ist diese
erfolgreich, folgt ein UDP-Paketmit der Payload 0. Ist der Ping erfolglos oder der
ICMP-Port nicht erreichbar, gilt der Server als ausgefallen. Fr HTTP- und
HTTPS-Anfragen knnen Sie eine URL angeben, welche einen Hostnamen ent-
halten kann, aber nicht muss, z.B. index.htmloder
http://www.beispiel.de/index.html.
Intervall: Geben Sie einen Prfintervall in Sekunden ein. Das Standardintervall betrgt
15Sekunden, d.h. alle 15 Sekunden werden alle echten Server auf ihre Funk-
tionsfhigkeit berprft.
Zeitberschreitung:Geben Sie eine maximale Zeitspanne in Sekunden ein, in der ech-
te Server antworten mssen. Wenn ein Server in diesemZeitraumnicht antwortet, gilt er
als tot.
Automatische Firewallregeln (optional): Whlen Sie diese Option, umautomatisch
Firewallregeln anlegen zu lassen. Diese Regeln erlauben die Weiterleitung von Daten-
verkehr von beliebigen Hosts zu den echten Servern.
Virtuelle Serverddresse abschalten (optional): Sie knnen diese Option nur akti-
vieren, wenn Sie eine zustzliche Adresse als virtuellen Server fr Lastverteilung ver-
wenden (siehe Kapitel Schnittstellen >Zustzliche Adressen). Sollten alle echten Server
unerreichbar werden, schaltet sich diese zustzliche Adressenschnittstelle automatisch
ab.
zu.
Die neue Regel wird in der Liste Verteilungsregeln angezeigt.
4. Aktivieren Sie die Lastverteilungsregel.
296 UTM9 WebAdmin
flchen.
Angenommen, Sie besitzen in Ihrer DMZ zwei HTTP-Server mit den IP-Adressen
192.168.66.10und 192.168.66.20. Nun wollen Sie den HTTP-Verkehr, der auf der exter-
nen Schnittstelle des Gateways ankommt, gleichmig auf beide Server verteilen. Umeine
Lastverteilungsregel zu erstellen, whlen Sie eine Hostdefinition oder legen Sie eine Host-
definition fr jeden Server an. Sie knnten sie http_server_1 und http_server_2 nennen. Wh-
len Sie dann imDialogfeld Neue Lastverteilungsregel erstellenHTTPals Dienst aus. Whlen
Sie auerdemdie externe Adresse des Gateways als Virtuellen Server aus und fgen Sie
zuletzt die Hostdefinitionen zumFeld Echte Server hinzu.
Gewichtung der Lastverteilung und Schnittstellenbindung
Zur Gewichtung der Lastverteilungs-Server und/oder zur Einstellung ihrer Schnitt-
stellenbindung gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten einer Lastverteilungsregel.
Das Dialogfeld Lastverteilungsregel bearbeiten wird geffnet.
2. Klicken Sie auf die Planer-Schaltflche in der Kopfzeile des Feldes Echte Ser-
ver.
Das Dialogfenster Planer bearbeiten wird geffnet.
Gewichtung: Fr die Gewichtung kann ein Wert zwischen 0 und 100 gewhlt werden.
Sie legen damit fest, wie viel Datenverkehr ein Server imVerhltnis zu allen anderen Ser-
vern verarbeitet. Hierfr wird ein gewichteter Round-Robin-Algorithmus verwendet, d.h.
ein hherer Wert bedeutet, dass mehr Datenverkehr an den jeweiligen Server geroutet
wird. Die Werte werden imVerhltnis zueinander bewertet, daher muss ihre Summe
nicht 100 ergeben. Stattdessen knnen Sie zumBeispiel eine Konfiguration vornehmen,
in der Server 1 den Wert 100, Server 2 den Wert 50 und Server 3 den Wert 0 hat. In die-
semFall verarbeitet Server 2 halb so viel Datenverkehr wie Server 1, whrend Server 3
nur beansprucht wird, wenn die anderen Server beide nicht verfgbar sind. Der Wert 0
bedeutet in diesemFall, dass, falls verfgbar, immer ein Server mit einemhheren Wert
ausgewhlt wird.
Bindung: Schnittstellenbindung (Interface Persistence) ist eine Methode, die sicher-
stellt, dass nachfolgende Verbindungen von einemClient immer ber dieselbe Uplink-
Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschrnkung von einer Stunde.
Sie knnen die Schnittstellenbindung fr diese Lastverteilungsregel auch deaktivieren.
UTM9 WebAdmin 297
8 Network Protection 8.5 Server-Lastverteilung
8.6 VoIP 8 Network Protection
Das Dialogfenster Planer bearbeiten wird geschlossen und Ihre Einstellungen werden
gespeichert.
Das Dialogfeld Lastverteilungsregel bearbeiten wird geschlossen.
8.6 VoIP
Voice over Internet Protocol (VoIP) ist der Sammelbegriff fr das Routing von gesprochenen
Konversationen ber das Internet oder jedes andere IP-basierte Netzwerk. Sophos UTMunter-
sttzt die amhufigsten eingesetzten Protokolle, umSprachsignale ber das IP-Netzwerk zu
transportieren:
l SIP
l H.323
8.6.1 SIP
Das Session Initiation Protocol (SIP, dt. Sitzungsinitialisierungsprotokoll) ist ein Signa-
lisierungsprotokoll zumAufbau, zur Modifikation und zumBeenden von Sitzungen zwischen
zwei oder mehreren Kommunikationspartnern. Das Protokoll wird hauptschlich zumAufbau
und zumBeenden von Audio- oder Videotelefonieverbindungen eingesetzt. UmSIPzu nutzen,
mssen Sie zuerst IhreIP-Adresse und URLs bei IhremISPregistrieren. SIPnutzt UDPoder
TCPauf Port 5060, umauszuhandeln, welche IP-Adressenund Portnummern fr den Aus-
tausch von Mediadaten (Video oder Sprache)zwischen den Endpoints verwendet werden sol-
len. Da durch das ffnen des gesamten Port-Bereichs eine Sicherheitslcke entstehen wrde,
ist das Gateway in der Lage, den SIP-Datenverkehr intelligentzu steuern. Dies wird durch
einen speziellen Helfer fr die Verbindungsverfolgung (engl. Connection Tracking Helper)
erreicht, welcher durch berwachung des Steuerkanals feststellt, welche dynamischen Ports
fr die Verbindung genutzt werden, und daraufhin nur diese Ports fr den Datenverkehr
zulsst, wenn der Steuerkanal beschftigt ist. Zu diesemZweck mssen Sie sowohl einen SIP-
Serverals auch ein SIP-Clientnetzwerk angeben, umdie entsprechenden Firewallregeln anzu-
legen, die die Kommunikation ber das SIP-Protokoll ermglichen.
Umdie Untersttzung fr das SIP-Protokoll zu aktivieren, gehen Sie folgendermaen vor:
298 UTM9 WebAdmin
1. Aktivieren Sie die SIP-Protokoll-Untersttzung auf der Registerkarte SIP.
Der Schieberegler wird gelb und der Abschnitt Allgemeine SIP-Einstellungen kann nun
bearbeitet werden.
SIP-Servernetzwerke: Hier knnen Sie die SIP-Server (die von IhremISPbereitgestellt
werden) hinzufgen oder auswhlen, mit denen sich die SIP-Clients verbinden drfen
sollen. Whlen Sie aus Sicherheitsgrnden nicht Any aus.Das Hinzufgen einer Defi-
nition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netz-
SIP-Clientnetzwerke: Whlen Sie die Hosts oder Netzwerke der SIP-Clients aus,
denen gestattet ist, eine SIP-Kommunikation zu beginnen oder anzunehmen, bzw.
fgen Sie sie hinzu. Ein SIP-Client ist ein Endpunkt imLAN, der an einer Zweiwege-Kom-
munikation in Echtzeit mit einemanderen SIP-Client teilnimmt.Das Hinzufgen einer Defi-
Erwartungsmodus: Whlen Sie aus, wie streng der Verbindungsaufbau gehandhabt
werden soll:
l Strikt: Eingehende Anrufe sind nur vomRegistrar des ISPs erlaubt, d. h. von
derIP-Adresse, an die die Nachricht REGISTERSIP gesendet wurde. Auer-
demakzeptiert UTMnur Mediadatensitzungen (Sprache oder Video) von signa-
lisierenden Endpoints, d.h. von den Gerten, die die SIP-Nachrichtausgetauscht
haben. Manche Provider senden Mediadaten von einer anderenIP-Adresse als
dieSIP-Nachricht, was von UTMabgelehnt wird.
l Client-/Servernetzwerke: Eingehende Anrufe sind von allen Clients der defi-
nierten SIP-Server- undSIP-Client-Netzwerke erlaubt. Mediadaten werden auch
von einer anderenIP-Adresse akzeptiert als der, die dieSIP-Nachricht geschickt
hat, vorausgesetzt sie gehrt zu einemder definiertenSIP-Server- oder SIP-Cli-
ent-Netzwerke.
l Beliebig: Sowohl eingehende Anrufe als auch Mediadaten sind von berall
erlaubt.
UTM9 WebAdmin 299
8 Network Protection 8.6 VoIP
8.6 VoIP 8 Network Protection
8.6.2 H.323
Das Protokoll H.323 ist ein internationaler Multimedia-Kommunikationsstandard, der von der
Internationalen Fernmeldeunion (engl. International Telecommunication Union, ITU-T) ver-
ffentlicht wurde. Es legt die Protokolle fest, mit denen audiovisuelle Kommunikationssitzungen
auf jedemNetzwerk, das Pakete bermittelt, ermglicht werden. H.323 wird blicherweise fr
Voice over IP(VoIP) und IP-basierte Videokonferenzen genutzt.
H.323 nutzt standardmig TCPauf Port 1720, umwhrend des Telefonverbindungsaufbaus
den dynamischen Port-Bereich zwischen den beiden Endpoints auszuhandeln. Da durch das
ffnen des gesamten Port-Bereichs eine Sicherheitslcke entstehen wrde, ist das Gateway in
der Lage, den H.323-Datenverkehr intelligentzu steuern. Dies wird durch einen speziellen
Helfer fr die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher
durch berwachung des Steuerkanals feststellt, welche dynamischen Ports fr die Verbindung
genutzt werden, und daraufhin nur diese Ports fr den Datenverkehr zulsst, wenn der Steu-
erkanal beschftigt ist. Zu diesemZweck mssen Sie sowohl einen H.323-Gatekeeper als auch
eine Client-Netzwerkdefinition angeben, umdie entsprechenden Firewallregeln anzulegen, die
die Kommunikation ber das H.323-Protokoll ermglichen.
Umdie Untersttzung fr das H.323-Protokoll zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die H.323-Protokoll-Untersttzung auf der Registerkarte H.323.
Der Schieberegler wird gelb und der Abschnitt Allgemeine H.323-Einstellungen kann
H.323-Gatekeeper: Whlen Sie einen H.323-Gatekeeper aus. Ein H.323-Gatekeeper
kontrolliert alle H.323-Clients (Endpoints wie z.B. Microsoft NetMeeting) in seiner Zone.
Genauer gesagt agiert er als berwachungsinstanz aller H.323-Anrufe innerhalb seiner
Zone imLAN. Seine wichtigste Aufgabe besteht darin, zwischen den symbolischen Alias-
Adressen und IP-Adressen zu bersetzen.Das Hinzufgen einer Definition wird auf der
Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
H.323-Client: Hier knnen Sie den Host oder das Netzwerk hinzufgen oder aus-
whlen, zu demund von demaus H.323-Verbindungen aufgebaut werden. Ein H.323-
Client ist ein Endpunkt imLAN, der an einer Zweiwege-Kommunikation in Echtzeit mit
300 UTM9 WebAdmin
einemanderen H.323-Client teilnimmt.Das Hinzufgen einer Definition wird auf der Sei-
8.7 Erweitert
ImMen Network Protection >Erweitert knnen Sie zustzliche Funktionen fr die Netz-
werksicherheit konfigurieren: einen generischen Proxy, einen SOCKS-Proxy und einen
IDENT-Reverse-Proxy.
8.7.1 Generischer Proxy
Der generische Proxy, auch bekannt als Port Forwarder, ist eine Kombination von DNAT und
Maskierung (engl. masquerading) und leitet allen eingehenden Datenverkehr fr einen
bestimmten Dienst weiter zu einembeliebigen Server. Der Unterschied zumnormalen DNAT
ist jedoch, dass der generische Proxy auch die Quelladresse eines Anfragepakets mit der IP-
Adresse der Schnittstelle fr ausgehenden Datenverkehr ersetzt. Zustzlich kann noch der
Ziel-Port umgeschrieben werden.
Umeine Regel fr den generischen Proxy anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Generischer Proxy auf Neue Generischer-
Proxy-Regel.
Das Dialogfeld Neue Generischer-Proxy-Regel erstellen wird geffnet.
Schnittstelle: Whlen Sie die Schnittstelle fr den eingehenden Datenverkehr aus.
Dienst: Fgen Sie die Dienstdefinition fr den Verkehr hinzu, der weitergeleitet werden
soll, oder whlen Sie sie aus.
Host: Fgen Sie den Zielhost hinzu, zu demder Datenverkehr weitergeleitet werden
soll, oder whlen Sie ihn aus.
Dienst: Fgen Sie den Zieldienst fr den Verkehr hinzu, der weitergeleitet werden soll,
oder whlen Sie ihn aus.
UTM9 WebAdmin 301
8 Network Protection 8.7 Erweitert
8.7 Erweitert 8 Network Protection
Zugelassene Netzwerke: Fgen Sie die Netzwerke hinzu, zu denen die Weiterleitung
erfolgen soll, oder whlen Sie sie aus.
zu.
Die neue Regel wird in der Liste Generischer Proxy angezeigt.
4. Aktivieren Sie die Generischer-Proxy-Regel.
flchen.
8.7.2 SOCKS-Proxy
SOCKSist ein universelles Internet-Protokoll, durch das Client-Server-Anwendungen trans-
parent die Dienste der Netzwerk-Firewall nutzen knnen. Der Proxy wird von vielen Client-
Anwendungen hinter einer Firewall genutzt, ummit Hosts imInternet zu kommunizieren. Einige
Beispiele dafr sind IRC-/Instant-Messaging-Clients, FTP-Clients und Windows SSH-/Telnet-
Clients. Clients hinter einer Firewall, die auf einen externen Server zugreifen wollen, verbinden
sich stattdessen mit einemSOCKS-Proxy-Server. Dieser Proxy-Server berprft dann die
Berechtigung des Clients, eine Verbindung zu demexternen Server aufzubauen, und leitet die
Anfrage zu demServer weiter. Ihre Client-Anwendung muss explizit die Protokollversion
SOCKS4 oder SOCKS5 untersttzen.
Der Standardport von SOCKSist 1080. Fast alle Clients verfgen ber die Implementierung
dieses Standardports, deshalb muss er normalerweise nicht konfiguriert werden. Die Unter-
schiede zwischen SOCKSund NAT sind, dass SOCKSauch bind-Anfragen erlaubt (imAuf-
trag des Clients auf einemPort lauschen eine Funktion, die nur sehr wenige Clients unter-
sttzen) und dass SOCKS5 Benutzerauthentifizierung zulsst.
302 UTM9 WebAdmin
Wenn der SOCKS-Proxy eingeschaltet wird, muss mindestens ein Netzwerk ausgewhlt wer-
den, das Zugang zumProxy hat. Fr eine Benutzerauthentifizierung knnen auch die ent-
sprechenden Benutzer oder Gruppen ausgewhlt werden.
Hinweis Ohne Benutzerauthentifizierung kann der SOCKS-Proxy sowohl mit dem
SOCKS-4- als auch mit demSOCKS-5-Protokoll genutzt werden. Fr Benut-
zerauthentifizierung wird das Protokoll SOCKS5 bentigt. Damit der Proxy imSOCKS-5-
Modus Hostnamen auflst, mssen Sie auch den DNS-Proxy einschalten. Andernfalls schlgt
die DNS-Auflsung fehl.
Umden SOCKS-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den SOCKS-Proxy auf der Registerkarte SOCKS-Proxy.
Der Schieberegler wird gelb und der Bereich SOCKS-Proxy-Optionen kann nun bear-
beitet werden.
Zugelassene Netzwerke: Fgen Sie die Netzwerke hinzu, die den SOCKS-Proxy ver-
wenden drfen, oder whlen Sie sie aus.Das Hinzufgen einer Definition wird auf der
Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlutert.
Benutzerauthentifizierung aktivieren: Wenn Sie diese Option whlen, mssen
Benutzer einen Benutzernamen und ein Kennwort angeben, umsich amSOCKS-Proxy
anmelden zu knnen. Da Benutzerauthentifizierung nur vomProtokoll SOCKS5 unter-
sttzt wird, wird SOCKS4 automatisch ausgeschaltet.
Zugelassene Benutzer: Whlen Sie die Benutzer oder Gruppen aus, die Zugriff auf
den SOCKS-Proxy haben sollen, oder fgen Sie die neuen Benutzer hinzu.Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &Grup-
pen >Benutzer erlutert.
8.7.3 IDENT-Reverse-Proxy
Das IDENT-Protokoll wird von einigen Remote-Servern zur einfachen Identittsprfung der
auf sie zugreifenden Clients verwendet. Obwohl dieses IDENT-Protokoll unverschlsselt ist
UTM9 WebAdmin 303
8 Network Protection 8.7 Erweitert
8.7 Erweitert 8 Network Protection
und leicht manipuliert werden kann, verwenden es noch viele Dienste und setzen es manchmal
sogar voraus.
Umden IDENT-Reverse-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die IDENT-Weiterleitung auf der Registerkarte IDENT-Reverse-
Proxy.
Der Schieberegler wird grn und der Bereich Allgemeine Einstellungen kann nun bear-
beitet werden.
An interne Hosts weiterleiten (optional): Da IDENT-Anfragen von der Ver-
bindungsverfolgung des Gateways nicht verarbeitet werden, bleiben sie stecken, wenn
Maskierung (engl. masquerading) verwendet wird. Whlen Sie die Option An interne
Hosts weiterleiten aus, umIDENT-Anfragen an maskierte Hosts hinter demGateway
weiterzuleiten. Beachten Sie dabei, dass die aktuelle IP-Verbindung nicht bergeben
wird. Stattdessen wird das Gateway beiminternen Client nach einer IDENT-Antwort fra-
gen und diese Zeichenfolge an den anfragenden Server weiterleiten. Dieses Vorgehen
wird von den meisten Mini-IDENT-Servern untersttzt, die meist Bestandteil der heute
gngigen IRC- und FTP-Clients sind.
Standardantwort: Das Gateway bietet Untersttzung fr die Beantwortung von
IDENT-Anfragen, wenn Sie die IDENT-Weiterleitung aktivieren. Das Systemwird dann
immer mit der Zeichenfolge antworten, die Sie imFeld Standardantwort eingegeben
haben, ungeachtet des lokalen Dienstes, der die Verbindung initiiert hat.
304 UTM9 WebAdmin
9 Web Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Web-Protection-Funktionen
von Sophos UTMkonfigurieren.
l Webfilter
l Webfilter-Profile
l Filteroptionen
l Richtlinientest
l Application Control
l FTP
Die Seite Web-Protection-Statistik imWebAdmin enthlt eine bersicht mit den ammeisten
genutzten Anwendungen und Anwendungskategorien, den meistaufgerufenen Domnen hin-
sichtlich Zeit und Verkehr sowie den Top-Internet-Nutzern. Des Weiteren werden die meist-
blockierten Kategorien fr die Websites angezeigt. In jedemAbschnitt befindet sich ein Link auf
die Details. Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des
WebAdmin weiter, wo Sie weitere statistische Informationen finden knnen.
Hinweis Detaillierte Informationen ber die Erfassung der Internetnutzungsdaten und die
Berechnung der Statistiken finden Sie auf der Seite Protokolle &Berichte >Web Protection >
Internetnutzung.
Wenn Sie imBereich Hufigste Anwendungen mit demMauszeiger ber eine Anwendung fah-
ren, werden ein oder zwei Symbole mit zustzlichen Funktionen angezeigt:
l Klicken Sie auf das Symbol Blockieren, umdie Anwendung ab diesemMoment zu blo-
ckieren. Auf der Seite Application-Control-Regeln wird dann eine Regel erstellt. Diese
Option ist nicht fr Anwendungen verfgbar, die fr einen reibungslosen Betrieb von
Sophos UTMrelevant sind. So kann beispielsweise WebAdmin-Datenverkehr nicht blo-
ckiert werden, da dies dazu fhren knnte, dass Sie nicht mehr auf den WebAdmin
zugreifen knnen. Auch nicht klassifizierter Datenverkehr kann nicht blockiert werden.
l Klicken Sie auf das Symbol Regeln, umTraffic Shaping fr die entsprechende Anwen-
dung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Regeleinstellungen
9.1 Webfilter 9 Web Protection
vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind. Dies erstellt jeweils
eine Regel auf den Seiten Verkehrskennzeichner und Bandbreiten-Pools.
Traffic-Shaping ist nicht verfgbar, wenn Sie eine Flow-Monitor-Ansicht mit allen Schnitt-
stellen ausgewhlt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.
l Klicken Sie auf das Symbol Throttle umDownload-Drosselung fr die entsprechende
Anwendung zu aktivieren. Ein Dialogfenster wird geffnet, in demSie die Rege-
leinstellungen vornehmen knnen. Klicken Sie auf Speichern, wenn Sie fertig sind. Hier-
mit wird jeweils eine Regel auf den Seiten Verkehrskennzeichner und Download-
Drosselung hinzugefgt. Download-Drosselung ist nicht verfgbar, wenn Sie eine Flow-
Monitor-Ansicht mit allen Schnittstellen ausgewhlt haben, da Download-Drosselung
schnittstellenbasiert funktioniert.
9.1 Webfilter
Mit den Registerkarten des Mens Web Protection >Webfilter knnen Sie Sophos UTM-Soft-
ware als HTTP/S-Caching-Proxy konfigurieren. Das beinhaltet Antivirus-Scanning imein-
gehende und ausgehende Netzverkehr, der Schutz gegen Spyware und das Erkennung bs-
williger Websites. Es kann auch den Zugang zu den Webseiten der verschiedenen Kategorien
kontrollieren, so dass ein Administrator die Richtlinien in Bezug auf Zugang zu den Dingen, wie
Glcksspiel, Pornografie, oder Shopping, einschlielich der Sperrung dieser Seiten oder die
Bereitstellung eines wegklickbaren Warnseite durchzusetzen kann.
In Verbindung mit der Sophos-Endpoint-Software kann Sophos UTMdieselben Web-Richt-
linien auf Endpoint-Gerten in externen Netzwerken erzwingen und berwachen. Benutzer
knnen einen Laptop mit nach Hause oder umdie ganze Welt nehmen und es gelten die glei-
chen Bedingungen. Wie Sie Endpoint Web Control aktivieren, erfahren Sie unter Endpoint Pro-
tection >Web Control.
Sie knnen Ihre Filteraktionen auch auf der Registerkarte Webfilterprofile >Filteraktionen ver-
walten. Dort knnen Sie Filteraktionen hinzufgen, bearbeiten, klonen oder lschen. Jetzt aber
knnen Sie zudemden Assistenten Filteraktion hinzufgen/bearbeiten auf der Registerkarte
Webfilter >Richtlinien zumErstellen, Bearbeiten und Zuweisen von Filteraktionen verwenden.
9.1.1 Webfilter-nderungen
Ab Version 9.2 umfasst Sophos UTMeine neue, vereinfachte Benutzeroberflche zumErstel-
len und Verwalten von Webfilterrichtlinien. Die Benutzeroberflche hat sich zwar sehr gen-
dert, die Funktionalitt blieb jedoch unverndert. Alle Ihrer vorhandenen Einstellungen wurden
306 UTM9 WebAdmin
beibehalten und wenn Sie keine nderungen vornehmen, verhlt sich das Systemgenau
gleich.
Bisher mussten fr komplexe Webrichtlinien Webfilter-Profile angelegt werden. Diese bestan-
den aus Filteraktionen, die auf der Registerkarte Filteraktionen angelegt wurden und dann
ber Filterzuweisungen auf der Registerkarte Filterzuweisungen Benutzern und Gruppen
zugewiesen wurden. Auf der Registerkarte Proxy-Profile wurden sie konfiguriert. Ab sofort kn-
nen Sie alle Aspekte Ihrer Webfilter-Richtlinien, einschlielich der Standardkonfiguration und
erweiterter Filterprofile, auf der Registerkarte Webfilter >Richtlinien konfigurieren.
Hinweis Nehmen Sie sich Zeit, umsich mit der neuen Benutzeroberflche vertraut zu
machen, und lesen Sie die folgende bersicht. Auch wenn sich die aktuelle Version damit von
lteren Versionen unterscheidet, sollte die Erstellung und Verwaltung komplexer Webricht-
linien nun sehr viel einfacher sein.
9.1.1.1 Wichtige Unterschiede
l Viele Registerkarten, die frher unter Web Protection >Webfilter zu finden waren, sind
jetzt unter Web Protection >Filteroptionen verfgbar.
l Die neue UTM-Benutzeroberflche beschreibt Webfilter-Regeln mittels Richtlinien. Eine
Richtlinie ist das, was in vorherigen Versionen eine zugewiesene Filteraktion war.
l In Version 9.1 und lteren Versionen hatte das Standardprofil nur eine einzige Fil-
terzuweisung (die Standardzuweisung genannt wurde). Ab Version 9.2 kann das Stan-
dardprofil mehrere Richtlinien umfassen.
l Die Ersatzaktion aus frheren Versionen wird jetzt als Basisrichtlinie bezeichnet. Ihre
Funktion bleibt unverndert. Die Basisrichtlinie enthlt die Filteraktion, die verwendet
wird, wenn keine anderen Richtlinien zutreffen.
l Das Anlegen von Filteraktionen erfolgt nun ber ein Dialogfeld mit mehreren Regis-
terkarten den Filteraktionsassistenten.
l Proxy-Profile heien jetzt Filterprofile und knnen ber die Registerkarte Webfilter-Pro-
file >Filterprofile verwaltet werden. Die einemFilterprofil zugeordneten Richtlinien wer-
den auf der Registerkarte Richtlinien in den Dialogfeldern Profil bearbeiten und Profil hin-
zufgen angezeigt.
l In 9.1 und frheren Versionen konnte eine einzelne Filterzuweisung in mehreren Proxy-
Profilen verwendet werden. Ab Version 9.2 gehrt eine Richtlinie zu einemeinzigen
Filterprofil.
UTM9 WebAdmin 307
9 Web Protection 9.1 Webfilter
9.1.1.2 Hufige Aufgaben
Es folgt ein kurzer berblick ber hufige Aufgaben und ihre Durchfhrung in 9.2 und spteren
Versionen imVergleich zur Benutzeroberflche von Version 9.1.
Wie... 9.1 9.2
... bearbeite ich die
Standardrichtlinie?
Konfigurieren Sie die ver-
schiedenen Registerkarten
unter Webfilter:
l Webfilter >Anti-
virus/Schadsoftware
l Webfilter >URL-Fil-
terung
l Webfilter >Erweitert
Webfilter >Richtlinien
... erstelle oder
bearbeite ich ein
Proxy-Profil?
Webfilter-Profile >Proxy-Pro-
file
Webfilter >Webfilter-Profile
...weise ich einem
Proxy-Profil eine
Filterzuweisung
zu?
1. Legen Sie unter Web-
filter-Profile >Fil-
teraktionen eine
Filteraktion an
2. Erstellen Sie unter Web-
filter-Profile >Fil-
terzuweisungen eine
Filterzuweisung
3. Bearbeiten oder ergn-
zen Sie unter Webfilter-
Profile >Proxy-Profile
1. Klicken Sie unter Web-
filterprofile >Filterprofile auf
ein Filterprofil oder erstellen
Sie ein Filterprofil indemSie
auf das grne Plussymbol kli-
cken.
2. Klicken Sie in der Regis-
terkarte Richtlinien auf das gr-
ne Plussymbol umeine
Richtlinie hinzuzufgen.
3. Whlen Sie eine Filteraktion
oder klicken Sie auf das grne
Plussymbol umeine zu erstel-
len.
308 UTM9 WebAdmin
...fgen ich eine
Website auf eine
Blacklist in meine
Standard-Fil-
teraktion ein?
Webfilterprofile >Fil-
teraktionen
Klicken Sie auf der Registerkarte
Webfilter >Richtlinien zumBear-
beiten oder Hinzufgen einer Richt-
linie auf das grne Plussymbol neben
Filteraktion.
... erstelle ich eine
neue Filteraktion
fr meine Fil-
terzuweisung?
Web Filtering >URL Filtering
und auf das grne Plussymbol
neben Zustzliche URLs/Sites
zu blockieren klicken.
1. Webfilter >Richtlinien
2. Whlen Sie die Standard-Fil-
teraktion
3. Auf der Registerkarte Web-
sites, klicken Sie auf das grne
Plussymbol neben Diese Web-
seiten blockieren
... passe ich erwei-
terte Einstellungen
an?
Webfilter >Erweitert Filteroptionen >Sonstiges
... verwalte ich
HTTPSCAs?
Webfilter >HTTPSCAs Filteroptionen >HTTPSCAs
9.1.1.3 Migration
Bei der Aktualisierung auf Version 9.2 bleiben Ihre bestehenden Konfigurationen und Ein-
stellungen erhalten und Ihr Systemwird sich wie zuvor verhalten. Da sich jedoch die Benut-
zeroberflche deutlich verndert hat, befinden sich einige Funktionen nicht mehr amgewohn-
ten Ort. Das Men Webfilter beinhaltet alle Einstellungen die Sie bentigen, umeine
Zusammenstellung von Richtlinen und Aktionen erlaubten Netzwerken zuzuweisen. Das Men
Webfilterprofile enthlt alle zugehrigen Einstellungen und erlaubt es Ihnen, vielfltige Profile
anzulegen, umdamit verschiedenen Netzwerken unterschiedliche Einstellungen zuzuweisen.
Alle allgemeinen Einstellungen finden Sie nun in den Registerkarten des Mens Filteroptionen.
Einige Objekte wurden umbenannt. ZumBeispiel heit Proxy-Profile nun Filterprofile und Fil-
terzuweisungen heien nun Richtlinien. Die Rckfallaktion heit nun Basisrichtlinie, da sie die
Richtlinie/Aktion ist, die eintritt, wenn keine andere Richtlinie angewendet werden kann. Die
Zugehrigkeiten sind nun sehr viel klarer, seitdemdie Richtlinien in einer Registerkarte der Pro-
file gelistet sind. Die Filteraktion kann mit Hilfe eines Pop-up-Dialogs hinzugefgt oder gendert
werden. Der Dialog enthlt alle Konfigurationsmglichkeiten einer Aktion.
Eine der Einschrnkungen von 9.1 ist, dass man demStandardprofil nur eine Benutzergruppe
zuweisen kann. Dies wurde zu der sogenannten Standard-Webfilterprofil-Richtlinie
UTM9 WebAdmin 309
zusammengefasst und mit der sogenannten Standard-Filteraktion migriert. Wenn Sie andere
Filterzuweisungen erstellt hatten, erscheinen diese nun als deaktivierte Richtlinien in demProfil.
Wenn Sie in 9.1 Profile erstellt haben, ummehrfache Zuweisungen zu machen, knnen Sie die
Konfiguration nun vereinfachen, indemSie diese Richtlinien imStandardprofil der ersten Men-
option aktivieren. Stellen Sie zunchst sicher, dass die Einstellungen unter zugelassene Netz-
werke korrekt sind. Lschen Sie dann die nun nicht mehr ntigen zustzlichen Profile.
9.1.2 Allgemein
Auf der Registerkarte Web Protection >Webfilter >Allgemein knnen Sie die Grund-
einstellungen fr den Webfilter vornehmen.
Umden Webfilter zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den Webfilter auf der Registerkarte Allgemein.
Der Schieberegler wird grn und der Bereich Primres Webfilterprofil kann nun bear-
beitet werden.
Whlen Sie die Netzwerke aus, die den Webfilter verwenden drfen. Der Webfilter war-
tet standardmig auf Anfragen an TCP-Port 8080und lsst jeden Client zu, der sich in
einemNetzwerk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist.
Warnung Whlen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre
Appliance einemhohen Risiko fr Angriffe aus demInternet aussetzen wrden.
3. HTTPS-Verkehr (SSL):
UmSSL-Verkehr zu scannen whlen Sie aus den folgenden Optionen aus:
l Nicht scannen: Diese Option ist nur imTransparenzmodus verfgbar Wenn die-
se Option ausgewhlt ist geht kein HTTPS-Verkehr durch den Proxy und wird
nicht gescannt.
l Nur URL-Filterung: Prfungen werden basierend auf der URL durchgefhrt,
der tatschliche HTTPS-Datenverkehr wird jedoch nicht gescannt.
l Entschlsseln und scannen: Der Inhalt des HTTPS-Verkehrs wird vollstndig
entschlsselt und gescannt.
310 UTM9 WebAdmin
4. Whlen Sie einen Betriebsmodus aus.
Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung whlen, sollten Sie auch die
Benutzer und Gruppen angeben, die auf den Webfilter zugreifen drfen. Die folgenden
Betriebsmodi sind mglich:
l Standardmodus : ImStandardmodus wartet der Webfilter standardmig auf
Client-Anfragen auf Port 8080 und lsst jeden Client zu, der sich in einemNetz-
werk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist. In diesem
Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-
Proxy angegeben sein.
Whlen Sie die Standard-Authentifizierungsmethode aus.
l Keine: Whlen Sie diese Option, wenn keine Authentifizierung verwendet
werden soll.
l Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell
auf demComputer angemeldet ist als Benutzer des Proxies zu authen-
tifizieren (Single-Sign-On). If the currently logged in user is a valid ADuser
with permission to use the proxy, the authentication should occur with no
user interaction. Whlen Sie diese Option, wenn Sie Active Directory Single
Sign-On (SSO) auf der Registerkarte Definitionen &Benutzer >Authen-
tifizierungsdienste >Server konfiguriert haben. Clients knnen mit NTLM
oder Kerberos authentifiziert werden.
l Agent:Whlen Sie diese Option, umden Sophos Authentication Agent
(SAA) zu verwenden. Umden Webfilter verwenden zu knnen, mssen
Benutzer zunchst den Agent ausfhren und sich authentifizieren. The
agent can be downloaded fromthe User Portal. Siehe: Benutzerportall.
l Apple OpenDirectory SSO: Whlen Sie diese Option, wenn Sie LDAP
auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit
der Proxy richtig funktioniert, mssen Sie zustzlich eine MACOSXSingle
Sign-On Kerberos-Schlsseldatei auf der Registerkarte Web Protection >
Filteroptionen >Sonstiges hochladen. In diesemModus muss der Webfilter
in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben
sein. Beachten Sie, dass der Safari-Browser SSOnicht untersttzt.
l Einfache Benutzerauthentifizierung: In diesemModus muss sich jeder
Client gegenber demProxy authentifizieren, bevor er ihn verwendet. Wei-
tere Informationen zu den untersttzten Authentifizierungsmethoden fin-
den Sie unter Definitionen &Benutzer >Authentifizierungsdienste. In
UTM9 WebAdmin 311
diesemModus muss der Webfilter in der Browser-Konfiguration jedes Cli-
ents als HTTP-Proxy angegeben sein.
l Browser: Wenn Sie diese Funktion whlen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, ber das sie sich beim
Webfilter authentifizieren knnen. Dieser Modus ermglicht die Benut-
zernamen-basierte Verfolgung (engl. tracking), Berichterstellung und Sur-
fen ohne Client-seitige Browserkonfiguration. Darber hinaus knnen Sie
Nutzungsbedingungen einrichten, die dann zustzlich auf der Anmeldeseite
angezeigt werden und von den Benutzern akzeptiert werden mssen,
bevor sie fortfahren knnen. Weitere Informationen zu Nut-
zungsbedingungen finden Sie imKapitel Verwaltung >Anpassungen >
Web-Meldungen.
l eDirectory SSO: Whlen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server
konfiguriert haben.
Hinweis Fr eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter
die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fnfzehn
Minuten; fr Apple OpenDirectory und Active Directory SSOspeichert nur die
Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den
Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fnfzehn Minu-
ten dauern kann, bis nderungen an Benutzern, Gruppen oder demAnmel-
destatus der zugreifenden Benutzer vomWebfilter bercksichtigt werden.
Wenn Sie einen Authentifizierungsmodus verwenden, der Benut-
zerauthentifizierung erfordert, whlen Sie Zugriff bei fehlgeschlagener Authen-
tifizierung blockieren aus, umden Benutzern mit fehlgeschlagener Authen-
tifizierung den Zugriff zu verweigern.
l Transparenzmodus: ImTransparenzmodus werden alle Verbindungen von Cli-
ent-Browseranwendungen auf Port 80(bzw. Port 443, wenn SSL aktiviert ist)
abgefangen und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet.
Der Client merkt dabei vomWebfilter nichts. Der Vorteil dieses Modus ist, dass kei-
ne zustzliche Verwaltung oder Client-seitige Konfiguration ntig ist; der Nachteil
ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden knnen. Deshalb wer-
den die Proxy-Einstellungen imClient-Browser unwirksam, wenn Sie den Trans-
parenzmodus whlen.
312 UTM9 WebAdmin
Hinweis ImTransparenzmodus entfernt der Webfilter NTLM-Authen-
tifizierungsheader von HTTP-Anfragen. Darber hinaus kann der Webfilter kei-
ne FTP-Anfragen in diesemModus verarbeiten. Wenn Ihre Clients auf solche
Dienste zugreifen wollen, mssen Sie den Port (21) in der Firewall ffnen.
Beachten Sie auch, dass manche Webserver einige Daten ber einen anderen
Port als Port 80 bermitteln, insbesondere Streaming-Video- und -Audiodaten.
Diese Anfragen werden nicht beachtet, wenn der Webfilter imTrans-
parenzmodus arbeitet. Umsolchen Verkehr zu untersttzen, mssen Sie ent-
weder einen anderen Modus whlen oder eine explizite Firewallregel anlegen,
die diesen Verkehr erlaubt.
werden soll.
l Active Directory SSO: This mode will attempt to authenticate the user
that is currently logged into the computer as the user of the proxy (single
sign on). If the currently logged in user is a valid ADuser with permission to
use the proxy, the authentication should occur with no user interaction. Wh-
len Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf
der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben. Clients knnen mit NTLMauthentifiziert werden
(bei Mac mit Kerberos).
Hinweis Wenn Sie eine Active-Directory-Benutzergruppe anlegen,
empfehlen wir dringend, imFeld Active-Directory-Gruppen die Namen
der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben,
statt die LDAP-Stringszu verwenden. Beispiel: Statt eines LDAP-Strings
CN=ads_group1,CN=Users,DC=example,DC=comgeben Sie einfach
den Namen ads_group1ein.
Hinweis Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-
Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benut-
zereintrge.
l Agent:SophosWhlen Sie diese Option, umden Authentication Agent
Benutzer zunchst den Agent ausfhren und sich authentifizieren.
UTM9 WebAdmin 313
bevor sie fortfahren knnen. For more information on the disclaimer, please
refer to chapter Management >Customization >Web Messages.
l Volltransparent (optional): Whlen Sie die Option, umdie Quell-IPder Clients zu
erhalten, anstatt sie durch die IPdes Gateways zu ersetzen. Das ist ntzlich, wenn
Ihre Clients ffentliche IP-Adressen verwenden, die nicht durch den Webfilter ver-
schleiert werden sollen. The option is only available when running in bridged
mode.
Fr Volltransparent stehen dieselben Authentifizierungsmodi zur Verfgung wie
fr Transparent. Siehe oben.
5. Wenn Sie Authentifizierung verwenden, knnen Sie die Option Zugriff bei fehl-
geschlagener Authentifizierung blockieren auswhlen. Wenn Sie ADSSOverwenden
und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehl-
geschlagene SSOAuthentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage
erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehl-
geschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zustz-
licher Link fr ein Gste-Login bereitgestellt, umnicht authentifizierten Zugriff zu
erlauben.
6. Aktivieren Sie die gertespezifische Authentifizierung.
Umdie Authentifizierungsmethode fr bestimmte Gerte zu konfigurieren, aktivieren Sie
das Auswahlkstchen Gertespezifische Authentifizierung aktivieren. Anschlieend kn-
nen Sie auf das grne Plussymbol klicken und Gertetypen sowie die Authen-
tifizierungsmethode auswhlen.
Wichtiger Hinweis Wenn SSL-Scanning zusammen mit demTransparenzmodus aktiviert
ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um
SSL-VPN-Verbindungen zu ermglichen, fgen Sie den entsprechenden Zielhost zur Liste
314 UTM9 WebAdmin
Transparenzmodus-Ausnahmen hinzu (siehe Web Protection >Filteroptionen >Sonstiges).
Umdarber hinaus Zugang zu Hosts mit einemselbstsignierten Zertifikat zu haben, mssen
Sie eine Ausnahme fr diese Hosts anlegen und die Option Zertifikat-Vertrauensprfung aus-
whlen. Der Proxy wird deren Zertifikate dann nicht berprfen.
Li ve-Protokoll
Das Webfilter-Live-Protokoll stellt Informationen zu Webanfragen bereit. Klicken Sie auf die
Schaltflche Live-Protokoll ffnen, umdas Webfilter-Live-Protokoll in einemneuen Fenster zu
ffnen.
9.1.3 Richtlinien
Verwenden Sie zur Erstellung und Verwaltung von Webfilter-Richtlinienzuweisungen die Regis-
terkarte Web Protection >Webfilter >Richtlinien. Richtlinien werden verwendet, umver-
schiedene Filteraktionen auf bestimmte Benutzer, Gruppen oder Zeitrume gelten zu machen.
Diese Richtlinien zugehrigen erlaubten Netzwerke, befinden sich auf der Registerkarte All-
gemein. Die erste Richtlinie, die den Benutzer und die Zeit anpasst, wird mit der Basisrichtlinie
angewendet, wenn keine andere passen. Alle Profile haben eine Basisrichtlinie, die immer
Bestndig ist und sich nicht deaktiviert lsst.
Umeine neue Richtlinie zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol in der rechten oberen Ecke.
Das Dialogfeld Richtlinie hinzufgen wird angezeigt.
Name: Geben Sie einen aussagekrftigen Namen fr diese Richtlinie ein.
Benutzer/Gruppen: Whlen Sie Benutzer oder Benutzergruppen aus oder fgen Sie
neue Benutzer hinzu, die der Richtlinie zugewiesen werden sollen. Sie knnen auch
einen neuen Benutzer oder eine neue Gruppe anlegen. Das Hinzufgen eines Benut-
zers wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.
Zeit-Ereignis:Die Richtlinie gilt fr den von Ihnen ausgewhlten Zeitraum. Whlen Sie
Immer, damit die Richtlinie jederzeit aktiv ist. Sie knnen auch auf das grne Plussymbol
klicken umein Zeit-Ereignis anzulegen. Zeitraumdefinitionen werden auf der Regis-
terkarte Definitionen &Benutzer >Zeitraumdefinitionen verwaltet.
UTM9 WebAdmin 315
Filteraktion: Whlen Sie eine vorhandene Filteraktion aus, die die Sicher-
heitsmerkmale beschreiben, die Sie in einer Richtlinie anwenden mchten. Sie knnen
auch auf das grne Plussymbol klicken umeine neue Filteraktion mit Hilfe des Fil-
teraktionsassistents. Filteraktionen knnen auerdemauf der Registerkarte Web-
filterprofile >Filteraktionen verwaltet werden.
zu.
Erweiterte Einstellungen: Weisen Sie diese Richtlinie Anfragen zu, die aufgrund einer
Ausnahme die Authentifizierung bersprungen haben: Ausnahmen knnen Sie auf der
Seite Filteroptionen >Ausnahmen erstellen, umzumBeispiel die Authentifizierung fr
automatische Updates zu berspringen, die die Authentifizierung nicht verwenden kn-
nen. Wenn das Kontrollkstchen ausgewhlt ist, wird die Richtlinie auf Anfragen ange-
wendet, die die Authentifizierung bersprungen haben.
Die neue Richtlinie wird ganz oben in der Liste Richtlinien angezeigt.
4. Aktivieren Sie die Richtlinie.
Die neue Richtlinie ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie auf
den Schieberegler, umdie Richtlinie zu aktivieren. Die Richtlinie ist jetzt aktiv (Schie-
beregler ist grn).
l ZumBearbeiten einer Richtlinie klicken Sie auf ihren Namen.
l Umdie Reihenfolge zu ndern, in der Richtlinien ausgefhrt werden, bewegen Sie Richt-
linien in der Liste mithilfe des Aufwrts- oder Abwrtspfeils auf der rechten Seite nach
oben oder unten.
l ZumBearbeiten einer Filteraktion klicken Sie auf den Namen der Filteraktion, umden
Assistenten Filteraktion bearbeiten anzuzeigen, oder wechseln Sie zur Registerkarte
Webfilter-Profile >Filteraktionen.
9.1.3.1 Filteraktionsassistent
Der Assistent Filteraktion hinzufgen/bearbeiten dient zumErstellen oder Bearbeiten von Fil-
teraktionen zur Verwendung in Ihren Web-Richtlinien. Sie knnen den Assistenten ber die Dia-
logfelder Richtlinie hinzufgen oder Richtlinie bearbeiten starten oder indemSie auf den
Namen einer vorhandenen Filteraktion auf der Registerkarte Webfilter >Richtlinien klicken.
Sie knnen Ihre Filteraktionen auch auf der Registerkarte Webfilterprofile >Filteraktionen ver-
walten. Dort knnen Sie Filteraktionen hinzufgen, bearbeiten, klonen oder lschen. Jetzt aber
316 UTM9 WebAdmin
knnen Sie zudemden Assistenten Filteraktion hinzufgen/bearbeiten auf der Registerkarte
Webfilter >Richtlinien zumErstellen, Bearbeiten und Zuweisen von Filteraktionen verwenden.
9.1.3.2 Kategorien
Konfigurieren Sie Standardeinstellungen, umden Zugriff auf bestimmte Arten von Websites zu
steuern.
Name: Geben Sie einen aussagekrftigen Namen fr diese Filteraktion ein.
Zulassen/Blockieren-Auswahl: Legen Sie fest, ob Ihre Auswahl von Website-Kategorien
zugelassen oder blockiert werden soll. Die folgenden Aktionen sind mglich:
l Inhalt zulassen, der die unten stehenden Kriterien nicht erfllt:
l Blockieren Sie nur die Kategorien, die Sie ausgewhlt haben.
Wenn Sie Inhalt Zulassen, der die unten stehenden Kriterien nicht erfllt auswhlen, werden
alle Kategoriegruppen standardmig auf Zugelassen eingestellt und knnen auf Warnen
oder Blockieren umgestellt werden. Wenn Kategorien hier als Teil einer Kategoriegruppe nicht
angezeigt werden, werden sie ebenfalls auf Zugelassen gestellt. Wenn eine Website mehreren
Kategorien angehrt und eine Kategorie wird blockiert, ist die Website blockiert.
Wenn Sie Inhalt zulassen, der die unten stehenden Kriterien nicht erfllt auswhlen, werden
alle Kategoriegruppen standardmig auf Zugelassen eingestellt und knnen auf Warnen
oder Blockieren umgestellt werden. Wenn Kategorien hier als Teil einer Kategoriegruppe nicht
angezeigt werden, werden sie ebenfalls auf Blockieren gestellt. Wenn eine Website mehreren
Kategorien angehrt und eine Kategorie wird zugelassen, ist die Website zugelassen.
Spyware-Infizierung und -Kommunikation blockieren: Ausgewhlt blockiert diese Option
Spyware-Kategorien. Wenn Sie Inhalt blockieren whlen, ist es immer ausgewhlt.
Hinweis Advanced Threat Detection erkennt und blockiert zustzliche Maleware-Kom-
munikation. Das kann unter Network Protection >Advanced Threat Protection >Allgemein
eingestellt werden.
Kategorien: Sie knnen einstellen ob die von Benutzern besuchte Webseiten jeder Kategorie
erlaubt, geblockt oder gewarnt werden. Wenn Sie Warnen auswhlen, bekommen die Benut-
zer einer Website dieser Kategorie eine Warnung angezeigt, knnen aber whlen ob sie zur
Webseite weitergeleitet werden wollen.
UTM9 WebAdmin 317
Hinweis Es gibt 107 Kategorien die standardmig in 18 "Filter Kategorien" zusammen
gefasst werden. Das kann unter Web Protection >Filteroptionen >URL-Filterkategorien ein-
gestellt werden. Der Filteraktion Assistent zeigt alle Filter Kategorien an die eingestellt wur-
den.
Unkategorisierte Websites: Sie knnen unkategorisierte Websites auf Zulassen, Warnen
oder Blockieren einstellen.
Websites blockieren, deren Ruf schlechter als dieser Schwellenwert ist: Websites kn-
nen in folgende Kategorien unterteilt werden: vertrauenswrdig, neutral, unberprft, ver-
dchtig oder schdlich, wobei letztere nicht aufgefhrt wird. Unklassifizierte Websites werden
als unberprft eingestuft. Sie knnen whlen, welchen Ruf eine Website haben muss, umfr
Ihr Netzwerk erreichbar zu sein. Websites unterhalb des gewhlten Schwellenwerts werden
blockiert. Beachten Sie, dass diese Option nur verfgbar ist, wenn die erste Option auf dieser
Seite auf Zulassen gestellt ist. Weitere Informationen zumRuf von Websites finden Sie unter htt-
p://www.trustedsource.org.
Klicken Sie auf Weiter, umzur nchsten Konfigurationsseite zu wechseln, auf Speichern, um
Ihre Konfiguration zu speichern, oder auf Abbrechen, umalle nderungen zu verwerfen und
das Konfigurationsdialogfeld zu schlieen.
9.1.3.3 Websites
Diese Websites blockieren:Wenn Sie eine bestimmte URLoder Website blockieren mch-
ten, oder eine Auswahl von Webseiten einer bestimmten Domne, unabhngig von ihrer Kate-
gorie, legen Sie diese hier fest. Das bewirkt, dass hier definierte Websites blockiert werden kn-
nen, selbst wenn sie zu einer Kategorie gehren, die Sie zulassen.
1. Klicken Sie auf das Plussymbol umdas Dialogfenster Whitelist-/Blacklist-
Objekt zu ffnen.
l Name: Geben Sie einen aussagekrftigen Namen fr das Whitelist-/Blacklist-
Objekt ein.
l Basis fr URL-Abgleich: Domnen: Geben Sie die Domnen ein, fr die Sie
bestimmte Webseiten blockieren mchten. Wenn Sie Subdomnen einschlieen
auswhlen, werden Subdomnen ebenfalls bercksichtigt (z.B. beispiel.de wird
www.beispiel.de und mail.beispiel.de bercksichtigen). Wenn Sie Subdomnen
318 UTM9 WebAdmin
einschlieen nicht auswhlen, wird genau der angegebene Domnenname
bercksichtigt.
l Basis fr URL-Abgleich: Regulrer Ausdruck: Geben Sie die regulren Aus-
drcke ein, die Sie fr die gesamte URL verbieten mchten. Wenn Sie Abgleich
nur fr diese Domnen durchfhren auswhlen knnen Sie die Liste der Dom-
nen angeben, die zutreffen muss, bevor der regulre Ausdruck zugewiesen wird.
Es ist ntzlich regulre Ausdrcke zu verwenden, wenn Sie einen bestimmten
Pfad verbieten mssen.
Querverweis Detaillierte Informationen zur Verwendung von regulren Aus-
drcken finden Sie in der Sophos-Knowledgebase.
Hinweis Die Eintrge mssen korrekte regulre Ausdrcke sein. Nicht gltig
ist zumBeispiel *.beispiel.de. Wenn Sie einen Domnennamen erfassen mch-
ten, versuchen Sie .* nicht zu verwenden, da dies Einfluss auf den Pfad haben
kann. Beispielsweise der regulre Ausdruck http://.*beispiel\.de bercksichtigt
auch http://www.google.de/suche?www.beispiel.de
l Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
Diese Websites zulassen: Wenn Sie eine bestimmte URL oder Website oder eine Auswahl
von Webseiten einer bestimmten Domne, unabhngig von ihrer Kategorie, zulassen mch-
ten, legen Sie diese hier fest. Das bewirkt, dass hier definierte Websites zugelassen werden
knnen, selbst wenn sie zu einer Kategorie gehren, die Sie blockieren mchten.
1. Klicken Sie auf das Plussymbol, umdas Dialogfenster Regulrer-Ausdruck-
Objekt hinzufgen zu ffnen.
l Name: Geben Sie einen aussagekrftigen Namen fr das Whitelist-/Blacklist-
Objekt ein.
l Basis fr URL-Abgleich: Domnen: Geben Sie die Domnen ein, fr die Sie
bestimmte Webseiten blockieren mchten. Wenn Sie Subdomnen einschlieen
auswhlen, werden Subdomnen ebenfalls bercksichtigt (z.B. beispiel.de wird
www.beispiel.de und mail.beispiel.de bercksichtigen). Wenn Sie Subdomnen
UTM9 WebAdmin 319
einschlieen nicht auswhlen, wird genau der angegebene Domnenname
bercksichtigt.
l Basis fr URL-Abgleich: Regulrer Ausdruck: Geben Sie die regulren Aus-
drcke ein, die Sie fr die gesamte URL verbieten mchten. Wenn Sie Abgleich
nur fr diese Domnen durchfhren auswhlen knnen Sie die Liste der Dom-
nen angeben, die zutreffen muss, bevor der regulre Ausdruck zugewiesen wird.
Es ist ntzlich regulre Ausdrcke zu verwenden, wenn Sie einen bestimmten
Pfad verbieten mssen.
Hinweis Die Eintrge mssen korrekte regulre Ausdrcke sein. Nicht gltig
ist zumBeispiel *.beispiel.de. Wenn Sie einen Domnennamen erfassen mch-
ten, versuchen Sie .* nicht zu verwenden, da dies Einfluss auf den Pfad haben
kann. Beispielsweise der regulre Ausdruck http://.*beispiel\.de bercksichtigt
auch http://www.google.de/suche?www.beispiel.de
l Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
9.1.3.4 Downloads
Konfigurieren Sie, welche Datei- und MIME-Typen blockiert oder gewarnt werden sollen.
Dateierweiterungen mit Warnung: Wenn der Benutzer versucht eine Datei mit einer Datei-
endung von der Liste Dateierweiterungen mit Warnung herunter zu laden, bekommt er eine
Warnung angezeigt. Umeine Dateierweiterung hinzuzufgen, klicken Sie auf das Plussymbol
imFeld Dateierweiterungen mit Warnung und geben die Dateierweiterung ein, bei der gewarnt
werden soll, zumBeispiel exe. Dateiendungen ohne voranstehenden Punkt.
Blockierte Dateierweiterungen: Wenn der Benutzer versucht eine Datei mit einer Datei-
endung von der Liste Blockierte Dateierweiterungen herunter zu laden, wird er blockiert. Um
eine Dateierweiterung hinzuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte Datei-
erweiterungen und geben die Dateierweiterung ein, bei der gewarnt werden soll, zumBeispiel
exe. Dateiendungen ohne voranstehenden Punkt.
320 UTM9 WebAdmin
Hinweis In Archiven (z.B. zip-Dateien) gespeicherte Dateien knnen nicht nach blo-
ckierten Dateitypen, blockierten Erweiterungen oder blockierten MIME-Typen durchsucht
werden. Wenn Sie Ihr Netzwerk vor diesen in Archiven gespeicherten Dateien schtzen
mchten, sollten Sie Dateitypen wie zip, rar usw. generell blockieren.
MIME-Typen mit Warnung: Wenn der Benutzer versucht eine Datei des Typs MIMEvon der
Liste MIME-Typen mit Warnung herunter zu laden, bekommt er eine Warnung angezeigt. Um
einen MIME-Typ hinzuzufgen, klicken Sie auf das Plussymbol imFeld MIME-Typen mit War-
nung und geben den MIME-Typ ein. Sie knnen in der Liste MIME-Typen mit Warnung Platz-
halter (*) verwenden, z.B. audio/*.
Blockierte MIME-Typen: Wenn der Benutzer versucht eine Datei des Typs MIMEvon der Lis-
te Blockierte MIME-Typen herunter zu laden, wird er blockiert. Umeinen MIME-Typ hin-
zuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte MIME-Typen und geben den
MIME-Typ ein. Sie knnen in der Liste Blockierte MIME-Typen Platzhalter (*) verwenden, z.B.
audio/*.
Downloads ab dieser Gre blockieren: Whlen Sie diese Option, umBenutzer daran zu
hindern, Dateien herunterzuladen, die grer sind als die festgelegte Gre (in MB).
9.1.3.5 Antivirus
Anti vi rus
Antiviren-Scan verwenden: Whlen Sie diese Option, umeingehenden und ausgehenden
Internetverkehr auf Viren zu scannen. Sophos UTMbietet mehrere Antiviren-Mechanismen:
l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte
Systemeinstellungen >Scan-Einstellungen festgelegte Engine wird verwendet.
l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von
zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit
einemBasicGuard-Abonnement nicht verfgbar ist.
l Potenziell unerwnschte Anwendungen (PUA) blockieren: PUAsind Pro-
gramme, die nicht schdlich, in einer Geschftsumgebung aber unerwnscht sind. Diese
Funktion ist nur bei Verwendung der Sophos Antivirus-Engine verfgbar. Umbestimmte
UTM9 WebAdmin 321
PUAbei aktiver Blockierung dennoch zuzulassen, fgen Sie unter Web Protection >Fil-
teroptionen >PUAs.
Dateien nicht scannen, die grer sind als: Legen Sie die Maximalgre von Dateien
fest, die von den Antiviren-Engines gescannt werden sollen. Dateien, die grer sind, werden
nicht gescannt.
Tipp Umzu verhindern, dass Dateien mit einer Dateigre ber der maximalen Scan-
gre heruntergeladen werden, legen Sie den Wert Downloads ab dieser Gre blockieren
auf der Seite Downloads entsprechend fest.
Entfernen von akti vem Inhalt
ImAbschnitt Entfernen von aktivemInhalt knnen Sie einstellen, dass spezifischer Inter-
netinhalt, wie auf Webseiten eingebettete Objekte, automatisch entfernt wird. Sie knnen die fol-
genden Einstellungen konfigurieren:
l Javascript deaktivieren: Mit dieser Funktion werden alle <SCRIPT>-Tags aus HTML-
Seiten entfernt, wodurch Funktionen deaktiviert werden, die in HTML-Seiten eingebettet
oder eingebunden sind.
l Eingebettete Objekte entfernen (ActiveX/Java/Flash): Durch diese Funktion wer-
den alle <OBJECT>-Tags aus HTML-Seiten entfernt, wodurch dynamische Inhalte wie
ActiveX, Flash oder Java aus demeingehenden HTTP-Verkehr gelscht werden.
9.1.3.6 Zustzliche Optionen
Websi te-Si cherhei tsfunkti onen erzwi ngen
SafeSearch: Manche Suchmaschinenanbieter haben eine SafeSearch-Funktion, die Erwach-
seneninhalte aus den Suchergebnissen entfernt. Sie knnen die Nutzung von SafeSearch fr
Google, Bing und Yahoo erzwingen. Wenn diese Option aktiviert ist, wird SafeSearch fr diesen
Anbieter erzwungen und kann von Webfilter-Benutzern weder deaktiviert noch umgangen wer-
den. Umdie Funktion zu konfigurieren, whlen Sie den Anbieter aus, fr den SafeSearch
erzwungen werden soll.
YouTube fr Schulen: Wenn diese Option aktiviert ist, knnen Benutzer nur auf YouTube-
Videos aus demBereich YouTube EDUoder solche, die ber Ihr Schulkonto hochgeladen
322 UTM9 WebAdmin
wurden, zugreifen. Dazu mssen Sie sich beimProgrammYouTube fr Schulenanmelden.
Sie erhalten dann eine Schul-ID, die Sie unten eingeben mssen.
Hinweis Auf der Sophos UTMmssen Sie sicherstellen, dass die Top-Level-Domnen
youtube.comund ytimg.comsowie Videos imAllgemeinen nicht blockiert werden. Wenn
Sie YouTube fr Schulen aktiviert haben, mssen Sie die Schul-IDoder den Code eingeben,
den Sie von YouTube erhalten haben.
Zulssige Domnen fr Google Apps erzwingen: Google Apps kann Benutzern den
Zugriff auf bestimmte Dienste verwehren, wenn ihr Google-Konto kein Mitglied der Google
Apps-Domne ist. Wenn diese Option ausgewhlt wird, ist die Funktion aktiviert und kann von
Webfilterbenutzern nicht ausgeschaltet oder umgangen werden. Whlen Sie Zulssige Dom-
nen fr Google Apps erzwingen aus, umdie Funktion zu konfigurieren. Klicken Sie dann oben
imFeld Domnen auf das Plus- oder das Aktionssymbol, umGoogle Apps-Domnen hin-
zuzufgen oder zu importieren.
Akti vi ttsprotokolli erung
Sie knnen festlegen, welche Aktivitten protokolliert werden:
l Besuchte Seiten protokollieren: Mit dieser Funktion werden Informationen ber alle
Seiten protokolliert, die ber UTMbesucht wurden.
l Blockierte Seiten protokollieren: Mit dieser Funktion werden Informationen ber Sei-
ten protokolliert, fr die der Zugriff blockiert wurde.
Netzwerkkonfi gurati on
Sie knnen bergeordnete Proxies konfigurieren (sowohl global als auch profilbasiert; siehe
Web Protection >Filteroptionen >bergeordnete Proxies).
Hinweis HTTPS-Anfragen imTransparenzmodus sind mit aktivierten bergeordneten Pro-
xies nicht mglich,wenn SSL-Scanning aktiviert ist.
Umeinen bergeordneten Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Plussymbol ber der Liste bergeordneter Proxies.
Das Dialogfeld bergeordneten Proxy hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den bergeordneten Proxy ein.
UTM9 WebAdmin 323
9.2 Webfilter-Profile 9 Web Protection
zu.
Proxy fr diese Hosts verwenden: Fgen Sie Hosts zu diesemFeld hinzu, fr die ein
bergeordneter Proxy verwendet werden soll, z.B.*.wikipedia.org. Sie knnen hier
musterbasierte Suchausdrcke (Pattern Matching) verwenden. Regulre Ausdrcke
sind hingegen nicht zugelassen. Wenn Sie das Feld leer lassen, wird, sobald Sie Spei-
chern klicken, automatisch ein Asterisk (*) hinzugefgt, der alle Hosts umfasst. Eine sol-
che Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn kei-
ner der anderen eventuell vorhandenen Proxies die Bedingungen erfllt.
bergeordneter Proxy: Whlen Sie die Netzwerkdefinition des bergeordneten Proxy
aus oder fgen Sie sie hinzu.
Port: Der Standardport fr die Verbindung zumbergeordneten Proxy ist 8080. Wenn
Ihr bergeordneter Proxy einen anderen Port erfordert, knnen Sie diesen hier ndern.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung
erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
Der neue bergeordnete Proxy wird in der Liste bergeordnete Proxies und auf der Sei-
te Web Protection >Filteroptionen >bergeordnete Proxies angezeigt.
Umeinen bergeordneten Proxy zu bearbeiten oder zu lschen, klicken Sie auf den Namen
des Proxys.
Klicken Sie auf Speichern, umIhre Konfiguration zu speichern, oder auf Abbrechen, umalle
nderungen zu verwerfen und das Konfigurationsdialogfeld zu schlieen.
9.2 Webfilter-Profile
Webfilter-Profile knnen verwendet werden, umverschiedene Content-Filter-Richtlinien erstel-
len, so dass Sie verschiedene Richtlinien an verschiedene Adressen der Netzwerk hinzufgen
knnen. Wenn Sie die gleichen Richtlinien fr jedes Netzwerk in der Firma hinzufgen mch-
ten, knnen sie das unter Web Protection >Webfilter einrichten Zustzlich kann jedemFilter-
profil seine eigene Methode zur Benutzerauthentifizierung zugewiesen werden.
Mehrere Filter-Profile erlauben Ihnen die Authentifizierung und Web-Inhalte fr verschiedene
Netze zu kontrollieren. ZumBeispiel knnen Sie eine Reihe von Richtlinien fr Ihre Unter-
324 UTM9 WebAdmin
nehmens Computern mit ADSSOund eine andere Authentifizierungsmethode erstellen sowie
Richtlinien fr einen Gast imWireless Network.
9.2.1 Filterprofile
Wenn Sie verschiedener Inhaltsfilter-Richtlinien oder Authentifizierungsarten in mehreren Netz-
werken einrichten wollen, knnen Sie mehrere Filterprofile erstellen. Beispielsweise fr kabel-
gebundene Netzwerk Sie nur Unternehmens Computer verwenden, die mit ADintegriert sind
und sich ein Standardmodus mit einer expliziten Proxy und ADSSOwnschen. Das Draht-
losnetzwerk kann ein Browser-Login-Portal fr die Mitarbeiter haben umihre AD-Anmeld-
einformationen einzugeben, sowie ein Gast-Login, welcher begrenzten Zugang hat.
Profile knnen unter Web Filter Profiles >Filter Profiles angelegt werden. Wenn ein Web-
Antrag gestellt wird, wird die UTMdie Quell-IPkontrollieren und das erste Profil hinzufgen,
das eine bereinstimmung mit Zugelassene Netzwerke und Betriebsmodus hat. Das Stan-
dard-Webfilterprofil wird auf der Seite Web Protection >Webfilter eingestellt. Es wird hier auf-
gefhrt, umzu zeigen, dass es das letzte Profil bereinstimmt. Sobald ein Profil ausgewhlt ist,
wird die UTMAuthentifizierung und Richtlinien anhand dieses Profils durchfhren.
Umein Filterprofil anzulegen, gehen Sie folgendermaen vor:
Der Assistent Profil hinzufgen wird geffnet.
2. Geben Sie einen Namen und einen Kommentar ein.
Whlen Sie die Netzwerke aus, die den Webfilter verwenden drfen. Der Webfilter war-
tet standardmig auf Anfragen an TCP-Port 8080und lsst jeden Client zu, der sich in
einemNetzwerk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist.
4. Whlen Sie die zugelassenen Endpoint-Gruppen aus.
Wenn Endpoint Web Control aktiviert ist, whlen Sie die Endpoint-Gruppen aus, die den
Webfilter verwenden knnen sollen.
5. HTTPS-Verkehr (SSL):
UmSSL-Verkehr zu scannen whlen Sie aus den folgenden Optionen aus:
l Nicht scannen: Diese Option ist nur imTransparenzmodus verfgbar Wenn die-
se Option ausgewhlt ist geht kein HTTPS-Verkehr durch den Proxy und wird
nicht gescannt.
UTM9 WebAdmin 325
9 Web Protection 9.2 Webfilter-Profile
l Nur URL-Filterung: Prfungen werden basierend auf der URL durchgefhrt,
der tatschliche HTTPS-Datenverkehr wird jedoch nicht gescannt.
l Entschlsseln und scannen: Der Inhalt des HTTPS-Verkehrs wird vollstndig
entschlsselt und gescannt.
Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung whlen, sollten Sie auch die
Benutzer und Gruppen angeben, die auf den Webfilter zugreifen drfen. Die folgenden
Betriebsmodi sind mglich:
l Standardmodus : ImStandardmodus wartet der Webfilter standardmig auf
Client-Anfragen auf Port 8080 und lsst jeden Client zu, der sich in einemNetz-
werk befindet, das imFeld Zugelassene Netzwerke aufgefhrt ist. In diesem
Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-
Proxy angegeben sein.
Whlen Sie die Standard-Authentifizierungsmethode aus.
werden soll.
l Active Directory SSO: Dieser Modus versucht, den Benutzer, der aktuell
auf demComputer angemeldet ist als Benutzer des Proxies zu authen-
tifizieren (Single-Sign-On). If the currently logged in user is a valid ADuser
with permission to use the proxy, the authentication should occur with no
user interaction. Whlen Sie diese Option, wenn Sie Active Directory Single
Sign-On (SSO) auf der Registerkarte Definitionen &Benutzer >Authen-
tifizierungsdienste >Server konfiguriert haben. Clients knnen mit NTLM
oder Kerberos authentifiziert werden.
l Agent:Whlen Sie diese Option, umden Sophos Authentication Agent
Benutzer zunchst den Agent ausfhren und sich authentifizieren. The
agent can be downloaded fromthe User Portal. Siehe: Benutzerportall.
l Apple OpenDirectory SSO: Whlen Sie diese Option, wenn Sie LDAP
auf der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben und Sie Apple OpenDirectory verwenden. Damit
der Proxy richtig funktioniert, mssen Sie zustzlich eine MACOSXSingle
Sign-On Kerberos-Schlsseldatei auf der Registerkarte Web Protection >
Filteroptionen >Sonstiges hochladen. In diesemModus muss der Webfilter
in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben
sein. Beachten Sie, dass der Safari-Browser SSOnicht untersttzt.
326 UTM9 WebAdmin
l Einfache Benutzerauthentifizierung: In diesemModus muss sich jeder
Client gegenber demProxy authentifizieren, bevor er ihn verwendet. Wei-
tere Informationen zu den untersttzten Authentifizierungsmethoden fin-
den Sie unter Definitionen &Benutzer >Authentifizierungsdienste. In
diesemModus muss der Webfilter in der Browser-Konfiguration jedes Cli-
ents als HTTP-Proxy angegeben sein.
bevor sie fortfahren knnen. Weitere Informationen zu Nut-
zungsbedingungen finden Sie imKapitel Verwaltung >Anpassungen >
Web-Meldungen.
l eDirectory SSO: Whlen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >Server
konfiguriert haben.
Hinweis Fr eDirectory Single-Sign-On (SSO) Modi speichert der Webfilter
die IP-Adressen und Zugangsdaten der anfragenden Clients bis zu fnfzehn
Minuten; fr Apple OpenDirectory und Active Directory SSOspeichert nur die
Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den
Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fnfzehn Minu-
ten dauern kann, bis nderungen an Benutzern, Gruppen oder demAnmel-
destatus der zugreifenden Benutzer vomWebfilter bercksichtigt werden.
Wenn Sie einen Authentifizierungsmodus verwenden, der Benut-
zerauthentifizierung erfordert, whlen Sie Zugriff bei fehlgeschlagener Authen-
tifizierung blockieren aus, umden Benutzern mit fehlgeschlagener Authen-
tifizierung den Zugriff zu verweigern.
l Transparenzmodus: ImTransparenzmodus werden alle Verbindungen von Cli-
ent-Browseranwendungen auf Port 80(bzw. Port 443, wenn SSL aktiviert ist)
abgefangen und ohne Client-seitige Konfiguration an den Webfilter weitergeleitet.
Der Client merkt dabei vomWebfilter nichts. Der Vorteil dieses Modus ist, dass
UTM9 WebAdmin 327
keine zustzliche Verwaltung oder Client-seitige Konfiguration ntig ist; der Nach-
teil ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden knnen. Deshalb
werden die Proxy-Einstellungen imClient-Browser unwirksam, wenn Sie den
Transparenzmodus whlen.
Hinweis ImTransparenzmodus entfernt der Webfilter NTLM-Authen-
tifizierungsheader von HTTP-Anfragen. Darber hinaus kann der Webfilter kei-
ne FTP-Anfragen in diesemModus verarbeiten. Wenn Ihre Clients auf solche
Dienste zugreifen wollen, mssen Sie den Port (21) in der Firewall ffnen.
Beachten Sie auch, dass manche Webserver einige Daten ber einen anderen
Port als Port 80 bermitteln, insbesondere Streaming-Video- und -Audiodaten.
Diese Anfragen werden nicht beachtet, wenn der Webfilter imTrans-
parenzmodus arbeitet. Umsolchen Verkehr zu untersttzen, mssen Sie ent-
weder einen anderen Modus whlen oder eine explizite Firewallregel anlegen,
die diesen Verkehr erlaubt.
werden soll.
l Active Directory SSO: This mode will attempt to authenticate the user
that is currently logged into the computer as the user of the proxy (single
sign on). If the currently logged in user is a valid ADuser with permission to
use the proxy, the authentication should occur with no user interaction. Wh-
len Sie diese Option, wenn Sie Active Directory Single Sign-On (SSO) auf
der Registerkarte Definitionen &Benutzer >Authentifizierungsdienste >
Server konfiguriert haben. Clients knnen mit NTLMauthentifiziert werden
(bei Mac mit Kerberos).
Hinweis Wenn Sie eine Active-Directory-Benutzergruppe anlegen,
empfehlen wir dringend, imFeld Active-Directory-Gruppen die Namen
der Active-Directory-Gruppen oder Benutzer direkt manuell einzugeben,
statt die LDAP-Stringszu verwenden. Beispiel: Statt eines LDAP-Strings
CN=ads_group1,CN=Users,DC=example,DC=comgeben Sie einfach
den Namen ads_group1ein.
328 UTM9 WebAdmin
Hinweis Wenn Sie Kerberos verwenden, geben Sie in das Feld Active-
Directory-Gruppen nur Gruppen ein. Der Webfilter akzeptiert keine Benut-
zereintrge.
l Agent:SophosWhlen Sie diese Option, umden Authentication Agent
Benutzer zunchst den Agent ausfhren und sich authentifizieren.
bevor sie fortfahren knnen. For more information on the disclaimer, please
refer to chapter Management >Customization >Web Messages.
l Volltransparent (optional): Whlen Sie die Option, umdie Quell-IPder Clients zu
erhalten, anstatt sie durch die IPdes Gateways zu ersetzen. Das ist ntzlich, wenn
Ihre Clients ffentliche IP-Adressen verwenden, die nicht durch den Webfilter ver-
schleiert werden sollen. The option is only available when running in bridged
mode.
Fr Volltransparent stehen dieselben Authentifizierungsmodi zur Verfgung wie
fr Transparent. Siehe oben.
7. Wenn Sie Authentifizierung verwenden, knnen Sie die Option Zugriff bei fehl-
geschlagener Authentifizierung blockieren auswhlen. Wenn Sie ADSSOverwenden
und den Zugriff bei fehlgeschlagener Authentifizierung nicht blockieren, wird eine fehl-
geschlagene SSOAuthentifizierung nicht authentifizierten Zugriff ohne Benutzerabfrage
erlauben. Wenn Sie die Browser-Authentifizierung verwenden und den Zugriff bei fehl-
geschlagener Authentifizierung nicht blockieren, wird auf der Anmeldeseite ein zustz-
licher Link fr ein Gste-Login bereitgestellt, umnicht authentifizierten Zugriff zu
erlauben.
8. Aktivieren Sie die gertespezifische Authentifizierung.
Umdie Authentifizierungsmethode fr bestimmte Gerte zu konfigurieren, aktivieren Sie
das Auswahlkstchen Gertespezifische Authentifizierung aktivieren. Anschlieend kn-
UTM9 WebAdmin 329
nen Sie auf das grne Plussymbol klicken und Gertetypen sowie die Authen-
tifizierungsmethode auswhlen.
9. Klicken Sie auf Weiter oder whlen Sie Richtlinien imoberen Bereich des
Assistenten.
10. Prfen und erstellen Sie Richtlinien fr Ihr Filterprofi.
Umeine neue Richtlinie zu erstellen, gehen Sie folgendermaen vor:
Das Dialogfeld Richtlinie hinzufgen wird angezeigt.
Benutzer/Gruppen: Whlen Sie Benutzer oder Benutzergruppen aus oder
fgen Sie neue Benutzer hinzu, die der Richtlinie zugewiesen werden sollen. Sie
knnen auch einen neuen Benutzer oder eine neue Gruppe anlegen. Das Hin-
zufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer &
Gruppen >Benutzer erlutert.
Zeit-Ereignis:Die Richtlinie gilt fr den von Ihnen ausgewhlten Zeitraum. Wh-
len Sie Immer, damit die Richtlinie jederzeit aktiv ist. Sie knnen auch auf das gr-
ne Plussymbol klicken umein Zeit-Ereignis anzulegen. Zeitraumdefinitionen wer-
den auf der Registerkarte Definitionen &Benutzer >Zeitraumdefinitionen
verwaltet.
Filteraktion: Whlen Sie eine vorhandene Filteraktion aus, die die Sicher-
heitsmerkmale beschreiben, die Sie in einer Richtlinie anwenden mchten. Sie
knnen auch auf das grne Plussymbol klicken umeine neue Filteraktion mit Hilfe
des Filteraktionsassistents. Filteraktionen knnen auerdemauf der Regis-
terkarte Webfilterprofile >Filteraktionen verwaltet werden.
Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Infor-
mationen hinzu.
Erweiterte Einstellungen: Weisen Sie diese Richtlinie Anfragen zu, die auf-
grund einer Ausnahme die Authentifizierung bersprungen haben: Ausnahmen
knnen Sie auf der Seite Filteroptionen >Ausnahmen erstellen, umzumBeispiel
die Authentifizierung fr automatische Updates zu berspringen, die die Authen-
tifizierung nicht verwenden knnen. Wenn das Kontrollkstchen ausgewhlt ist,
wird die Richtlinie auf Anfragen angewendet, die die Authentifizierung ber-
sprungen haben.
330 UTM9 WebAdmin
Die neue Richtlinie wird ganz oben in der Liste Richtlinien angezeigt.
4. Aktivieren Sie die Richtlinie.
Die neue Richtlinie ist standardmig deaktiviert (Schieberegler ist grau). Klicken
Sie auf den Schieberegler, umdie Richtlinie zu aktivieren. Die Richtlinie ist jetzt
aktiv (Schieberegler ist grn).
Das neue Profil wird in der Liste Filterprofile angezeigt.
Wichtiger Hinweis Wenn SSL-Scanning zusammen mit demTransparenzmodus aktiviert
ist, werden einige SSL-Verbindungen nicht zustande kommen, z.B. SSL-VPN-Tunnel. Um
SSL-VPN-Verbindungen zu ermglichen, fgen Sie den entsprechenden Zielhost zur Liste
Transparenzmodus-Ausnahmen hinzu (siehe Web Protection >Filteroptionen >Sonstiges).
Umdarber hinaus Zugang zu Hosts mit einemselbstsignierten Zertifikat zu haben, mssen
Sie eine Ausnahme fr diese Hosts anlegen und die Option Zertifikat-Vertrauensprfung aus-
whlen. Der Proxy wird deren Zertifikate dann nicht berprfen.
ZumBearbeiten oder Lschen eines Filterprofils klicken Sie auf den Namen des Profils in der
Liste.
9.2.2 Filteraktionen
Auf der Registerkarte Webfilter-Profile >Filteraktionen knnen Sie eine Auswahl von Kon-
figurationseinstellungen zu Web Protection anlegen und bearbeiten, mit der verschiedene
Schutzarten und Schutzstufen angepasst werden knnen. Filteraktionen knnen ver-
schiedenen Benutzern und Benutzergruppen zugewiesen werden und bieten einen flexiblen
Weg, den Internetzugriff zu kontrollieren.
Sie knnen eine neue Filteraktion erstellen, indemSie auf die Schaltflche Neue Filteraktion kli-
cken, oder eine vorhandene Filteraktion bearbeiten, indemSie auf die entsprechende Schalt-
flche Bearbeiten klicken. Durch die Ausfhrung einer dieser beiden Aktionen wird der Fil-
teraktionsassistent gestartet. Weitere Informationen erhalten Sie unter Web Protection >
Webfilter >Richtlinien >Filteraktionen-Assistent.
Auf der Seite Web Protection >Webfilterprofile >Filteraktionen knnen Sie die Liste der vor-
handenen Filteraktionen auch durchsuchen, klonen oder lschen.
UTM9 WebAdmin 331
9.2.3 bergeordnete Proxies
Einige Netzwerktopologien erfordern einen Upstream-Web-Proxy-Server. Auf der Regis-
terkarte Web Protection >Webfilter-Profile >bergeordnete Proxies knnen Sie einen ber-
geordneten Proxy konfigurieren.
Umeinen bergeordneten Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neuer bergeordneter Proxy.
Das Dialogfeld Neuen bergeordneten Proxy anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diesen bergeordneten Proxy ein.
zu.
Proxy fr diese Hosts verwenden: Fgen Sie Hosts zu diesemFeld hinzu, fr die ein
bergeordneter Proxy verwendet werden soll, z.B.*.wikipedia.org. Sie knnen hier
musterbasierte Suchausdrcke (Pattern Matching) verwenden. Regulre Ausdrcke
sind hingegen nicht zugelassen. Wenn Sie das Feld leer lassen, wird, sobald Sie Spei-
chern klicken, automatisch ein Asterisk (*) hinzugefgt, der alle Hosts umfasst. Eine sol-
che Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn kei-
ner der anderen eventuell vorhandenen Proxies die Bedingungen erfllt.
bergeordneter Proxy: Whlen Sie die Netzwerkdefinition des bergeordneten Proxy
aus oder fgen Sie sie hinzu.
Port: Der Standardport fr die Verbindung zumbergeordneten Proxy ist 8080. Wenn
Ihr bergeordneter Proxy einen anderen Port erfordert, knnen Sie diesen hier ndern.
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung
erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
Der neue bergeordnete Proxy wird in der Liste bergeordnete Proxies angezeigt.
Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.
Umeinen bergeordneten Proxy zu bearbeiten oder zu lschen, klicken Sie auf die ent-
332 UTM9 WebAdmin
9.3 Filteroptionen
Auf der Seite Web Protection >Filteroptionen knnen Sie verschiedene Optionen zumWeb-
filter konfigurieren. Auf den Registerkarten, die von dieser Seite aus zugnglich sind, knnen
Sie u.a. Ausnahmen fr Filter, Benutzer, die Filter umgehen knnen, Filterkategorien sowie
HTTPS-Zertifikate und -Instanzen konfigurieren.
9.3.1 Ausnahmen
Auf der Registerkarte Web Protection >Filteroptionen >Ausnahmen knnen Sie Netzwerke,
Benutzer/Gruppen und Domnen definieren, die nicht gefiltert/blockiert werden sollen, d.h. auf
der Whitelist (Positivliste) stehen. Alle Eintrge in den Listen auf dieser Seite sind von bestimm-
ten Web-Protection-Diensten ausgenommen.
zu.
l Authentifizierung: Wenn der Webfilter imAuthentifizierungsmodus luft, kn-
nen Sie die Authentifizierung fr Quellhosts/-netzwerke oder Zieldomnen aus-
setzen.
l Zwischenspeichern: Whlen Sie diese Option, umdie Zwischenspeicherung
fr spezifische Domnen oder Quellhosts/-netzwerke zu deaktivieren.
l Nach Download-Gre blockieren: Whlen Sie diese Option, umdie Blo-
ckierung von Inhalt nach Download-Gre zu deaktivieren.
l Antivirus: Whlen Sie diese Option, umdie Virenscanfunktion zu deaktivieren,
die Nachrichten nach unerwnschten Inhalten wie Viren, Trojanern und hn-
lichemdurchsucht.
UTM9 WebAdmin 333
9 Web Protection 9.3 Filteroptionen
9.3 Filteroptionen 9 Web Protection
l Dateierweiterungen: Whlen Sie diese Option, umden Dateierweiterungenfilter
zu deaktivieren, der Inhalte blockiert, wenn sie bestimmte Dateierweiterungen ent-
halten.
l MIME-Typ: Whlen Sie diese Option, umden MIME-Typ-Filter zu deaktivieren.
Dieser blockiert Inhalte, die einen bestimmten MIME-Typ haben.
l URL-Filter: Whlen Sie diese Option, umden URL-Filter zu deaktivieren, der den
Zugriff auf bestimmte Websites kontrolliert.
l Inhaltsentfernung: Whlen Sie diese Option, umdie Entfernung von bestimm-
ten Inhalten, wie eingebettete Objekte (z.B. Multimedia-Dateien) oder JavaScript,
auf Webseiten auszulassen.
l SSL-Scan: Whlen Sie diese Option, umdas SSL-Scannen der angeforderten
Webseite auszulassen. Das ist bei Online-Banking-Websites oder bei Websites
sinnvoll, die nicht mit SSL-berwachung umgehen knnen. Aus technischen Grn-
den funktioniert diese Option nicht in Verbindung mit transparenten Webfilter-
Modi. Nutzen Sie imtransparenten Modus stattdessen die Transparenzmodus-
Ausnahmen (siehe Registerkarte Filteroptionen >Sonstiges). ImStandard-
Modus knnen Ausnahmen nur basierend auf demZielhost oder der IP-Adresse
gemacht werden, abhngig davon, was der Client bermittelt. Bei Ausnahmen,
die auf Kategorien basieren, wird anstelle der ganzen URL nur der Hostname klas-
sifiziert.
l Zertifikat-Vertrauensprfung (Trust Check): Whlen Sie diese Option, um
die Vertrauensprfung fr das HTTPS-Server-Zertifikat auszulassen. Beachten
Sie, dass das Auslassen der Vertrauensprfung fr das Zertifikat basierend auf
einer bereinstimmung bei Benutzern/Gruppen (Fr alle von diesen Benut-
zern/Gruppen kommenden Anfragen) technisch unmglich ist, wenn der Webfilter
imTransparenzmodus mit Authentifizierung arbeitet.
l Zertifikatsdatumsprfung: Whlen Sie diese Option, umdie berprfung des
Zertifikatsdatums auf Gltigkeit auszulassen.
Die beiden folgenden Optionen sind ntzlich, wenn es Personen oder Mitglieder z.B. des
Betriebsrates gibt, deren Aktivitten keinesfalls protokolliert werden drfen:
l Besuchte Seiten: Whlen Sie diese Option, umbesuchte Seiten nicht zu pro-
tokollieren. Diese Seitenanfragen werden auch von der Berichterstellung aus-
genommen.
334 UTM9 WebAdmin
l Blockierte Seiten: Whlen Sie diese Option, umSeiten, die blockiert wurden,
nicht zu protokollieren. Diese Seitenanfragen werden auch von der Berichter-
stellung ausgenommen.
Fr alle Anfragen: Whlen Sie mindestens eine Bedingung, fr die die Sicher-
heitsprfungen ausgesetzt werden sollen. Sie knnen mehrere Bedingungen logisch mit-
einander verknpfen, indemSie entweder Und oder Oder aus der Auswahlliste vor einer
Bedingung auswhlen. Die folgenden Bedingungen knnen gesetzt werden:
l Aus diesen Quellnetzwerken kommend: Whlen Sie diese Option, umQuell-
hosts/-netzwerke hinzuzufgen, die von Sicherheitsprfungen dieser Aus-
nahmeregel ausgenommen werden sollen. Geben Sie die entsprechenden Hosts
oder Netzwerke in das Feld Hosts/Netzwerke ein, das nach Auswahl der Bedin-
gung geffnet wird.
l Von diesen Quell-Endpointgruppen: Whlen Sie diese Option, umCom-
putergruppen hinzuzufgen (siehe Registerkarte Endpoint Protection >Com-
puterverwaltung >Grupen verwalten, die von Sicherheitsprfungen dieser
Ausnahmeregel ausgenommen werden sollen. Tragen Sie die entsprechenden
Gruppen in das Feld Quell-Endpointgruppen ein, das nach Auswahl der Bedin-
gung geffnet wird.
l Diese URLs betreffend: Whlen Sie diese Option, umZieldomnen hin-
zuzufgen, die von den Sicherheitsprfungen dieser Ausnahmeregel aus-
genommen werden sollen. Fgen Sie die entsprechenden Domnen zumFeld
Zieldomnen hinzu, das nach Auswahl der Bedingung geffnet wird. Hier sind
regulre Ausdrcke erlaubt. Beispiel: ^https?://[^.]*\.domain.comdeckt
HTTP(S)-Verbindungen zu allen Subdomnen dieser Domne ab.
Hinweis Wenn Sie den Transparenzmodus verwenden und SSL-Scan akti-
viert ist, mssen Sie die Zieldomne(n) als IP-Adresse(n) angeben. Andernfalls
wird die Ausnahme aus technischen Grnden fehlschlagen.
l Von diesen Benutzern/Gruppen kommend: Whlen Sie diese Option, um
Benutzer oder Benutzergruppen hinzufgen, die von den Sicherheitsprfungen
dieser Ausnahmeregel ausgenommen werden sollen. Tragen Sie die
UTM9 WebAdmin 335
entsprechenden Benutzer oder Gruppen in das Feld Benutzer/Gruppen ein, das
nach Auswahl der Bedingung geffnet wird. ImStandardmodus funktioniert im
brigen der Abgleich basierend auf bestimmten Benutzern/Gruppen nicht, weil
die Authentifizierung entfllt.
l Zu diesen Website-Kategorien gehend: Whlen Sie diese Option, umSicher-
heitsprfungen fr bestimmte Kategorien auszunehmen. Whlen Sie dann die
Kategorien aus der Liste aus, die sich nach Auswahl der Bedingung ffnet.
flchen.
9.3.2 Websites
Auf der Registerkarte Web Protection >Filteroptionen >Websites knnen Sie Site-Listen ver-
walten, fr die Sie die Standardkategorie oder den Ruf bergehen mchten.
So fgen Sie einen Eintrag zu Lokale Site-Liste hinzu:
1. Klicken Sie auf die Schaltflche Site hinzufgen.
2. Geben Sie die Sites fr die bergehung ein.
ImTextfeld imDialogfeld Lokale Site(s) hinzufgen knnen URLs, Domnen, IP-Adres-
sen oder CIDR-Bereiche eingegeben werden.
3. Aktivieren Sie optional das Kontrollkstchen Subdomnen einschlieen.
Wenn Sie dieses Kontrollkstchen aktivieren, werden die bergehungen auf alle Sub-
domnen angewendet. Beispiel: Wenn Sie beispiel.de hinzufgen und das Kon-
trollkstchen Subdomnen einschlieen aktivieren, wird auch mail.beispiel.de ber-
gangen.
4. Whlen Sie eine Kategorie oder einen Ruf aus, die/der bergangen werden
soll.
Sie knnen entweder Kategorie, Ruf oder beides bergehen. Sites, die in Lokale Site-Lis-
te definiert sind, werden durch Filteraktionen anhand dieser bergangenen Werte ver-
arbeitet.
5. Fgen Sie optional einen Kommentar hinzu.
Bei groen Site-Listen knnen Sie mit den Symbolen Weiter und Zurck oben auf der Regis-
terkarte durch die Eintrge blttern oder mit demSuchtextfeld nach Elementen suchen. Zum
336 UTM9 WebAdmin
Lschen eines Eintrags klicken Sie auf das Lschen-Symbol neben dembetreffenden Eintrag.
Oder whlen Sie mehrere Elemente aus und klicken Sie auf das Lschen-Symbol ber der Lis-
te.
9.3.3 Benutzer umgehen
Auf der Seite Web Protection >Filteroptionen >Bypass Users knnen Sie Benutzer kon-
figurieren, die Blockierungen umgehen drfen.
So fgen Sie eine vorhandene Gruppe oder einen vorhandenen Benutzer hinzu:
1. Klicken Sie auf Benutzer/Gruppen, die Blockierungen umgehen drfen.
Die Liste der vorhandenen Benutzer und Gruppen wird imlinken Navigationsbereich
angezeigt.
2. Whlen Sie den Benutzer oder die Gruppe aus und ziehen Sie ihn bzw. sie in
das Feld Benutzer/Gruppen, die Blockierungen umgehen drfen.
Das Element wird nun auf der Registerkarte Benutzer umgehen aufgefhrt.
So fgen Sie einen neuen Benutzer hinzu:
1. Klicken Sie auf das grne Plussymbol neben Benutzer/Gruppen, die Blo-
ckierungen umgehen drfen.
Das Dialogfeld Benutzer hinzufgen wird angezeigt.
2. Geben Sie die Benutzerinformationen imDialogfeld Benutzer hinzufgen ein.
Das Hinzufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benutzer
&Gruppen >Benutzer erlutert.
9.3.4 Potenziell unerwnschte Anwendungen
Auf der Registerkarte Web Protection >Filteroptionen >PUAs knnen Sie Listen autorisierter
potenziell unerwnschter Anwendungen (PUAs) verwalten. Ihre UTMkann Anwendungen, die
in einer Geschftsumgebung potenziell unerwnscht sind, identifizieren und blockieren. Umbei
aktiver Blockierung bestimmte PUAs zuzulassen, fgen Sie den Namen als gemeldet auf der
Blockierungsseite oder in den Protokollen hinzu.
So fgen Sie einen Eintrag zu Lokale Site-Liste hinzu:
UTM9 WebAdmin 337
1. Klicken Sie auf das Plussymbol in der Liste Autorisierte PUA.
2. Geben Sie die PUA-Definition ein.
PUA-Definitionen finden Sie, indemSie Protokolle &Berichte >Web Protection >Inter-
netnutzung aufrufen und dann in der Auswahlliste Verfgbare Berichte PUA-Downloads
auswhlen.
Klicken Sie auf das Mensymbol Aktionen ffnen neben demgrnen Plus-Symbol, umeine
Textliste von PUAs zu importieren oder exportieren und die Liste Autorisierte PUAzu lschen.
9.3.5 Kategorien
Auf der Registerkarte Web Protection >Filteroptionen >Kategorien knnen Sie die Zuordnung
zwischen Website-Kategorien und Kategoriengruppen anpassen, die auf der Registerkarte Fil-
teraktionen oder auf der Seite Website-Filter ausgewhlt werden knnen. Sophos UTMkann
unterschiedliche Kategorien von Websites identifizieren und den Zugriff auf sie blockieren.
URL-Klassifizierungsmethoden stellen die Genauigkeit und Vollstndigkeit bei der Ein-
schtzung fragwrdiger Websites sicher. Wenn ein Benutzer eine Webseite aufruft, die nicht in
der Datenbank vorliegt, wird die URL an Webcrawler gesendet und automatisch klassifiziert.
Hinweis Wenn Sie der Meinung sind, dass eine Website falsch kategorisiert ist, knnen Sie
dieses URL-Meldeformular verwenden, umneue Kategorien vorzuschlagen.
UmWebsite-Kategorien einer Kategoriengruppe zuzuordnen, gehen Sie folgendermaen vor:
1. Klicken Sie in der Kategoriengruppe, die Sie ndern wollen, auf Bearbeiten.
Das Dialogfeld Filterkategorie bearbeiten wird geffnet.
2. Whlen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkstchen von Unterkategorien, die Sie hinzufgen wollen,
oder entfernen Sie die Markierung von Unterkategorien, die Sie aus der Gruppe ent-
fernen wollen.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Alternativ knnen Sie auch eine neue Filterkategorie anlegen. Gehen Sie folgendermaen vor:
338 UTM9 WebAdmin
1. Klicken Sie oben auf der Seite auf die Schaltflche Neue Filterkategorie.
Das Dialogfeld Filterkategorie erstellen wird geffnet.
2. Geben Sie einen Namen ein.
Geben Sie einen aussagekrftigen Namen fr die neue Filterkategorie ein.
3. Whlen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkstchen von Unterkategorien, die Sie zur Gruppe hin-
zufgen wollen.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Umeine Kategorie zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
9.3.6 HTTPS-CAs
Auf der Registerkarte Web Protection >Webfilter >HTTPS-CAs knnen Sie die Signierungs-
und Verifizierungs-Zertifizierungsstellen (CAs) fr HTTPS-Verbindungen verwalten.
Si gni erungs-CA
In diesemAbschnitt knnen Sie Ihr Signierungs-CA-Zertifikat hochladen, das Signierungs-CA-
Zertifikat neu erstellen oder das vorhandene Signierungs-CA-Zertifikat herunterladen. Stan-
dardmig wird das Signierungs-CA-Zertifikat anhand der Informationen erstellt, die bei der
Einrichtung angegeben wurden, d. h. , dass sie den Informationen auf der Registerkarte Ver-
waltung >Systemeinstellungen >Organisatorisches entsprechen, sofern in der Zwischenzeit
keine nderungen vorgenommen wurden.
Umein neues Signierungs-CA-Zertifikat hochzuladen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Hochladen.
Das Dialogfenster PKCS#12-Zertifikatsdatei hochladen wird geffnet.
2. Navigieren Sie zu der Datei, die Sie hochladen wollen.
Klicken Sie auf das Ordnersymbol neben demFeld Datei, klicken Sie imDialogfenster
Datei hochladen auf Durchsuchen, whlen Sie das hochzuladende Zertifikat aus und kli-
cken Sie auf Hochladen starten.
Sie knnen nur Zertifikate imPKCS#12-Format hochladen, die kennwortgeschtzt sind.
UTM9 WebAdmin 339
3. Geben Sie das Kennwort ein.
Geben Sie das Kennwort zweimal in die entsprechenden Felder ein und klicken Sie auf
Speichern.
Das neue Signierungs-CA-Zertifikat wird installiert.
UmIhr Signierungs-CA-Zertifikat neu zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neu erstellen.
Das Dialogfeld Neue Signierungs-CAerstellen wird geffnet.
2. ndern Sie die Informationen.
ndern Sie die angegebenen Informationen gem Ihren Bedrfnissen und klicken Sie
auf Speichern.
Das neue Signierungs-CA-Zertifikat wird erstellt. Die Informationen zur Signierungs-CA
imAbschnitt Signierungs-CAndern sich entsprechend.
Umdas Signierungs-CA-Zertifikat herunterzuladen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Herunterladen.
Das Dialogfenster Zertifikatdatei herunterladen wird geffnet.
2. Whlen Sie das Dateiformat aus, das Sie herunterladen wollen.
Sie knnen zwischen zwei verschiedenen Formaten whlen:
l PKCS#12: Dieses Format ist verschlsselt, geben Sie deshalb ein Kennwort fr
den Export ein.
l PEM: Dieses Format ist unverschlsselt.
3. Klicken Sie auf Herunterladen.
Die Datei wird heruntergeladen.
Wenn Sie fr Ihre internen Webserver Zertifikate verwenden, die von einer eigenen CAsigniert
sind, ist es ratsam, dieses CA-Zertifikat in den WebAdmin als vertrauenswrdige Zer-
tifizierungsstelle (Trusted Certificate Authority) hochzuladen. Andernfalls wird Benutzern eine
Fehlermeldung vomWebfilter angezeigt, die ihnen mitteilt, dass das Serverzertifikat nicht ver-
trauenswrdig ist.
Umdie Ausstattung der Clients mit demProxy-CA-Zertifikat zu vereinfachen, knnen Benutzer
das Zertifikat selbst ber http://passthrough.fw-notify.net herunterladen und es in ihremBrow-
ser installieren. Die Website-Anfrage wird direkt vomProxy akzeptiert und verarbeitet. Deshalb
ist es notwendig, zunchst den Webfilter auf der Registerkarte Webfilter >Allgemein zu akti-
vieren.
340 UTM9 WebAdmin
Hinweis Falls der Proxy nicht imTransparenzmodus arbeitet, muss der Proxy imBrowser
des Benutzers aktiviert werden. Sonst kann auf den Download-Link nicht zugegriffen werden.
Wenn das Benutzerportal aktiviert ist, knnen Benutzer alternativ das Proxy-CA-Zertifikat auch
aus demBenutzerportal, Registerkarte HTTPS-Proxy, herunterladen.
HTTPS-Problemen vorbeugen
Wenn Sie HTTPSverwenden, sind Windows-Systemprogramme wie Windows Update und
Windows Defender nicht in der Lage, Verbindungen aufzubauen, weil sie mit
Systembenutzer-Rechten laufen. Dieser Benutzer vertraut aber standardmig der Proxy-
CAnicht. Deshalb ist es notwendig, das HTTPS-Proxy-CA-Zertifikat fr den Systembenutzer
zu importieren. Gehen Sie folgendermaen vor:
1. ffnen Sie unter Windows die Microsoft Management Console (mmc).
2. Klicken Sie imMen auf Datei und dann auf Snap-In hinzufgen/entfernen.
Das Dialogfenster Snap-In hinzufgen/entfernen wird geffnet.
3. Klicken Sie unten imFenster auf Hinzufgen.
Das Dialogfenster Eigenstndiges Snap-In hinzufgen wird geffnet.
4. Whlen Sie aus der Liste Zertifikate und klicken Sie auf Hinzufgen.
Ein Assistent wird geffnet.
5. Whlen Sie Computerkonto und klicken Sie auf Weiter.
6. Stellen Sie sicher, dass Lokaler Computer ausgewhlt ist, und klicken Sie auf
Fertigstellen und dann auf Schlieen.
Das erste Dialogfenster enthlt nun das Objekt Zertifikate (Lokaler Computer).
7. Klicken Sie auf OK.
Das Dialogfenster wird geschlossen und der Konsolenstammenthlt nun das Objekt Zer-
tifikate (Lokaler Computer).
8. ffnen Sie imKonsolenstammlinks Zertifikate > Vertrauenswrdige Stamm-
zertifizierungsinstanzen, klicken Sie mit der rechten Maustaste auf Zertifikate
und whlen Sie Alle Aufgaben > Importieren aus demKontextmen.
Der Import-Assistent wird geffnet.
9. Klicken Sie auf Weiter.
Der nchste Schritt wird angezeigt.
UTM9 WebAdmin 341
10. Wechseln Sie zu demzuvor heruntergeladenen HTTPS-Proxy-CA-Zertifikat, kli-
cken Sie auf ffnen und dann auf Weiter.
Der nchste Schritt wird angezeigt.
11. Stellen Sie sicher, dass Alle Zertifikate in folgendemSpeicher speichern aus-
gewhlt ist, und klicken Sie dann auf Weiter und auf Schlieen.
Der Import-Assistent meldet, dass der Import erfolgreich war.
12. Besttigen Sie die Meldung des Import-Assistenten.
Das Proxy-CA-Zertifikat wird nun unter den vertrauenswrdigen Zertifikaten aufgefhrt.
13. Speichern Sie die nderungen.
Klicken Sie imMen auf Datei und dann auf Speichern, umdie nderungen amKon-
solenstammzu speichern.
Nach diesemImportvorgang wird der CAsystemweit vertraut und es sollten keine Ver-
bindungsprobleme aufgrund des HTTPS-Proxys mehr auftreten.
Veri fi zi erungs-CAs
In diesemBereich knnen Sie Ihre Verifizierungs-CAs verwalten. Das sind Zer-
tifizierungsstellen, denen Sie generell vertrauen, d.h. Websites, die gltige Zertifikate vor-
weisen, welche von diesen CAs signiert sind, werden vomHTTPS-Proxy als vertrauenswrdig
eingestuft.
Lokale Verifizierungs-CAs: Sie knnen weitere Verifizierungs-CAs zur untenstehenden CA-
Liste hinzufgen. Gehen Sie folgendermaen vor:
1. Klicken Sie auf das Ordnersymbol neben demFeld Lokale CA hochladen.
2. Whlen Sie das Zertifikat aus, das Sie hochladen wollen.
Klicken Sie auf Durchsuchen und whlen Sie das CA-Zertifikat aus, das Sie hochladen
wollen. Nur PEM-Dateierweiterungen werden fr Zertifikate untersttzt.
3. Laden Sie das Zertifikat hoch.
Klicken Sie auf Hochladen starten, umdas gewhlte Zertifikat hochzuladen.
Das Zertifikat wird installiert und imAbschnitt Lokale Verifizierungs-CAs angezeigt.
Globale Verifizierungs-CAs: Die Liste der hier aufgefhrten Verifizierungs-CAs ist identisch
mit den Verifizierungs-CAs, die in Mozilla Firefox vorinstalliert sind. Sie knnen jedoch einen
oder alle Verifizierungs-CAs auf der Liste deaktivieren, wenn Sie sie nicht fr vertrauenswrdig
halten. Umdas Zertifikat zurckzuziehen (engl. revoke), klicken Sie auf seinen Schieberegler.
342 UTM9 WebAdmin
Der Schieberegler wird daraufhin grau und der HTTP-Proxy akzeptiert nun keine Websites
mehr, die von dieser CAsigniert sind.
Tipp Klicken Sie auf das blaue Infosymbol, umden Fingerabdruck der CAzu sehen.
Der HTTPS-Proxy zeigt Clients eine Fehlerseite mit demHinweis Blocked Content, wenn die
CAunbekannt oder deaktiviert ist. Sie knnen jedoch eine Ausnahme fr solche Seiten erstel-
len: entweder ber den Link Ausnahme anlegen auf der Fehlerseite des Webfilters oder ber
die Registerkarte Web Protection >Filteroptionen >Ausnahmen.
Hinweis Wenn Sie auf den Link Ausnahme anlegen auf der Fehlerseite des Webfilters kli-
cken, wird ein Anmeldedialogfeld angezeigt. Nur Benutzer mit Admin-Rechten knnen Aus-
nahmen anlegen.
9.3.7 Sonstiges
Die Registerkarte Web Protection >Filteroptionen >Sonstiges bietet zustzliche Kon-
figurationsoptionen fr den Webfilter, z.B. Zwischenspeicherung (Caching), Streaming oder
Porteinstellungen.
Sonsti ge Ei nstellungen
Webfilter-Port: In diesemEingabefeld wird die Portnummer fr Client-Anfragen an den Web-
filter festgelegt. Standardmig ist der Port 8080eingetragen.
Hinweis Die Option ist nur gltig, wenn der Proxy nicht imTransparenzmodus arbeitet.
MIME-Blockierung untersucht HTTP-Body: Nicht nur der HTTP-Header wird auf blo-
ckierte MIME-Typen berprft, sondern auch der HTTP-Body. Beachten Sie, dass sich das Ein-
schalten dieser Funktion negativ auf die Leistung des Systems auswirken kann.
Unscannbare und verschlsselte Dateien blockieren: Whlen Sie diese Option, um
Dateien zu blockieren, die nicht gescannt werden konnten. Der Grund hierfr kann unter ande-
remsein, dass Dateien verschlsselt oder beschdigt sind.
Zugelassene Zieldienste: Whlen Sie aus demFeld Zugelassene Zieldienste die Dienste
aus, auf die der Webfilter zugreifen darf. Standardmig sind bereits die Dienste mit Ports ent-
halten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutzt wer-
den: HTTP(Port 80), HTTPS(Port 443), FTP(Port 21), LDAP(Port 389), LDAP-SSL (Port
UTM9 WebAdmin 343
636), Webfilter (Port 8080), UTMSpamRelease (Ports 38404840) und UTMWebAdmin (Port
4444).
Standardzeichensatz: Diese Option wirkt sich darauf aus, wie der Proxy Dateinamen imFens-
ter Download-Verwaltung anzeigt. URLs (und Dateinamen, auf die sie vielleicht verweisen), die
in auslndischen Zeichenstzen codiert sind, werden von UTF-8 in den hier definierten Zei-
chensatz umgewandelt, es sei denn, der Server bermittelt einen anderen Zeichensatz. Wenn
Sie sich in einemLand oder einer Region befinden, die einen Zwei-Byte-Zeichensatz ver-
wendet, sollten Sie diese Option auf den nativenZeichensatz fr dieses Land/diese Region
setzen.
Suchdomne: Sie knnen hier eine zustzliche Domne angeben, die durchsucht wird, wenn
der erste DNS-Lookup kein Ergebnis liefert (NXDOMAIN). Dann wird eine zweite DNS-Anfra-
ge gestartet, die die hier angegebene Domne an den ursprnglichen Hostnamen anhngt.
Ein Benutzer gibt http://wikiein und meint damit wiki.intranet.beispiel.de. Die URL kann
jedoch nur aufgelst werden, wenn Sie intranet.beispiel.dein das Feld Suchdomne ein-
tragen.
Authentifizierungs-Zeitberschreitung: Mit dieser Einstellung knnen Sie festlegen, wie
lange (in Sekunden) ein Benutzer nach demAnmelden mit der Authentifizierung imBrow-
sermodus browsen kann. Wenn der Benutzer eine Abmelderegisterkarte geffnet hat, kann er
weiter browsen, ohne sich neu authentifizieren zu mssen, bis diese Registerkarte geschlossen
wird, zuzglich Authentifizierungs-Zeitberschreitung.
Mit dieser Einstellung knnen Sie zudemeinstellen, wie lange (in Sekunden) eine Blo-
ckierungsumgehung oder ein Fortfahren bei Warnung dauert.
Authentifizierungsbereich: Der Authentifizierungsbereich (engl. authentication realm) ist
der Name der Quelle, die ein Browser zusammen mit der Authentifzierungsanfrage anzeigt,
wenn der Proxy imModus Einfache Benutzerauthentifizierung arbeitet. Er legt den geschtzten
Bereich entsprechend der Spezifikation RFC2617 fest. Sie knnen hier einen beliebigen Aus-
druck eingeben.
Transparenzmodus-Ausnahmen
Diese Option ist nur von Bedeutung, wenn der Webfilter imTransparenzmodus arbeitet. Hosts
und Netzwerke, die in den Feldern Hosts/Netze vomTransparenzmodus ausnehmen auf-
gefhrt sind, werden vomHTTP-Proxy nicht transparent berwacht. Es gibt ein Feld fr Quell-
und eines fr Zielhosts/-netzwerke. Umdennoch HTTP-Datenverkehr (ohne Proxy) fr alle die-
se Hosts und Netzwerke zu erlauben, whlen Sie die Option HTTP-Verkehr fr aufgefhrte
344 UTM9 WebAdmin
Hosts/Netze zulassen. Wenn Sie diese Option nicht whlen, mssen Sie spezielle Fire-
wallregeln fr die hier aufgefhrten Hosts und Netzwerke anlegen.
Automati sche Proxy-Konfi gurati on (Proxy Auto Confi gurati on)
The proxy auto configuration is a feature that enables you to centrally provide a proxy auto con-
figuration file (PACfile) which can be fetched by browsers. The browsers will in turn configure
their proxy settings according to the details outlined in the PACfile.
Die PAC-Datei heit wpad.dat, hat den MIME-Typ application/x-ns-proxy-autoconfig
and will be provided by the UTM. Sie enthlt die Informationen, die Sie in das Textfeld ein-
geben, z.B.:
function FindProxyForURL(url, host)
{ return "PROXY proxy.example.com:8080; DIRECT"; }
Die obige Funktion weist den Browser an, alle Seitenanfragen an den Proxy-Server
proxy.beispiel.deauf Port 8080. If the proxy is not reachable, a direct connection to the
Internet will be established.
Der Hostname kann auch als Variable ${asg_hostname}. This is especially useful when you
want to deploy the same PACfile to several Sophos UTMappliances using Sophos UTMMana-
ger. The variable will then be instantiated with the hostname of the respective UTM. Using the
variable in the example above would look like the following:
function FindProxyForURL(url, host)
{ return "PROXY ${asg_hostname}:8080; DIRECT"; }
Umeine PAC-Datei fr Ihr Netzwerk bereitzustellen, haben Sie die folgenden Mglichkeiten:
l Bereitstellung ber Browserkonfiguration: Wenn Sie die Option Automatische Proxy-Kon-
figuration aktivieren auswhlen, steht die PAC-Datei unter folgender URL ber den
UTM-Webfilter zur Verfgung: http://IP-of-UTM:8080/wpad.dat. Umdiese Datei
zu verwenden, geben Sie ihre URL in der automatischen Proxy-Kon-
figurationseinstellung jener Browser an, die den Proxy verwenden sollen.
l Bereitstellung ber DHCP: Sie knnen dafr sorgen, dass Ihr DHCP-Server die URL
der PAC-Datei zusammen mit der Client-IP-Adresse vergibt. Whlen Sie dazu die Opti-
on Automatische Proxy-Konfiguration aktivieren in Ihrer DHCP-Serverkonfiguration aus
(siehe Kapitel Netzwerkdienste >DHCP). Ein Browser holt sich dann automatisch die
PAC-Datei ab und konfiguriert seine Einstellungen entsprechend.
UTM9 WebAdmin 345
Hinweis Die Bereitstellung ber DHCPfunktioniert ausschlielich mit demMicrosoft
Internet Explorer. Bei allen anderen Browsern mssen Sie die PAC-Datei manuell
bereitstellen.
bergeordneter Proxy fr URL-Kategori si erung
Geben Sie einen Proxy-Server fr die URL-Kategorisierungssuche ein, wenn Sie keinen direk-
ten Internetzugriff haben. Diese Option ist nur verfgbar, wenn bei Ihnen Endpoint Protection
aktiviert ist oder wenn Sie lokale Suchanfragen durchfhren. Bei lokalen Suchanfragen legen
Sie mit dieser Option den Proxy fest, der zumHerunterladen von Kate-
gorisierungsaktualisierungen in die UTMverwendet wird.
Webfi lter-Zwi schenspei cherung
Zwischenspeichern aktivieren: Wenn diese Option aktiviert ist, hlt der Webfilter einen Zwi-
schenspeicher auf Festplatte vor, umAnfragen zu hufig besuchten Webseiten schneller beant-
worten zu knnen.
l SSL-Inhalte zwischenspeichern: Whlen Sie diese Option, umSSL-verschlsselte
Daten ebenfalls unverschlsselt auf der Festplatte zu speichern.
l Inhalte mit Cookies zwischenspeichern: Cookies werden oft fr Authen-
tifizierungszwecke verwendet. Wenn diese Option aktiviert ist, werden HTTP-Antworten,
die Cookies enthalten, ebenfalls zwischengespeichert. Dieses Vorgehen kann aber zu
Datenschutz-Problemen fhren, da Benutzer, die auf die gleiche Seite zugreifen wollen,
sehr wahrscheinlich die Seite aus demCache erhalten, welche dann den Cookie eines
anderen Benutzers enthlt.
Wichtiger Hinweis Das Zwischenspeichern von SSL- und/oder Cookie-Inhalten
stellt ein wichtiges Sicherheitsproblemdar, da die Inhalte von jedemBenutzer mit
SuperAdmin-Rechten eingesehen werden knnen.
l Zwischenspeichern fr Sophos-Endpoint-Aktualisierungen erzwingen:Wenn
die Option aktiviert ist, werden bestimmte Daten, die imZusammenhang mit Endpoint-
Anfragen an Sophos-Auto-Update (SAU) stehen, zwischengespeichert. Wir empfehlen,
diese Funktion zu aktivieren, wenn Sie Endpoint Protection verwenden. Ist die Option
deaktiviert, werden diese Daten nicht zwischengespeichert. Dies kann zu Uplink-Eng-
pssen fhren, wenn viele Endpoints gleichzeitig versuchen, Daten von den Update-Ser-
vern imInternet herunterzuladen.
346 UTM9 WebAdmin
Zwischenspeicher leeren: Sie knnen alle zwischengespeicherten Seiten lschen, indem
Sie auf Zwischenspeicher leeren klicken.
Streami ng-Ei nstellungen:
Streaming-Inhalte nicht scannen: Wenn diese Option aktiviert ist, werden typische Audio-
und Video-Streaming-Inhalte nicht auf ihren Inhalt hin gescannt. Das Abschalten dieser Option
wird die meisten Mediastreams praktisch deaktivieren, da sie nicht in vertretbarer Zeit gescannt
werden knnen. Daher wird empfohlen, diese Option eingeschaltet zu lassen.
Apple OpenDi rectory Si ngle Si gn-On
Wenn Sie Apple OpenDirectory SSOals Authentifizierungsmethode nutzen, mssen Sie eine
MACOSXSingle Sign-On Kerberos-Schlsseldatei hochladen, damit die Authentifizierung
funktioniert. Generieren Sie die Schlsseldatei und laden Sie sie durch einen Klick auf das Ord-
nersymbol hoch. Weitere Informationen dazu, wie Sie die Schlsseldatei generieren knnen,
finden Sie in der Kerberos-Dokumentation.
Zerti fi kat fr Endbenutzersei ten
Die UTMverwendet HTTPSfr Benutzerbenachrichtigungen, zur Browserauthentifizierung
und anderen sicheren Benutzerinteraktionen. Standardmig verwendet die UTMein auto-
matisch generiertes Zertifikat fr diese HTTPS-Verbindungen. Sie knnen mit dieser Option
ein benutzerdefiniertes Zertifikat fr HTTPS-Seiten verwenden, die demEndbenutzer ange-
zeigt werden. Umein eigenes, benutzerdefiniertes Zertifikat fr diese HTTPS-Verbindungen
zu verwenden, laden Sie es zunchst ber Fernzugriff >Zertifikatverwaltung >Zertifikate hoch
und whlen Sie es dann aus und aktualisieren Sie Ihre Einstellungen hier.
Hinweis Der angegebene Hostname: ist die Basisdomne fr das Zertifikat, das Sie ver-
wenden. Die UTMhngt dann das Prfix passthrough. oder passthrough6. fr diese Dom-
ne an. Das Zertifikat muss fr passthrough (und passthough6) als Common Name, Subject
Alternate Name oder, was amhufigsten vorkommt, als Platzhalterzertifikat gltig sein,
sodass Sie jeden Host als Prfix an die Domne anhngen knnen. Auerdemmssen Sie
als DNSfr passthrough und passthrough6 bestimmte IP-Adressen einstellen. Wenn Sie die
UTMals DNS-Server verwenden, erfolgt dies automatisch. Wenn Sie einen anderen DNS-
Server verwenden, mssen Sie diese Eintrge dort erstellen.
UTM9 WebAdmin 347
9.4 Richtlinientest 9 Web Protection
9.4 Richtlinientest
Auf der Seite Web Protection >Richtlinientest knnen Sie URLs mit Ihren vorhandenen Web-
filter-Profilen testen. Umeine URL mit Ihrer aktuellen Richtlinie zu testen, gehen Sie wie folgt
vor:
1. Geben Sie die URL ein, die Sie testen mchten.
2. Geben Sie die Quell-IP-Adresse ein.
Unterschiedliche Quellnetzwerke weisen mglicherweise unterschiedliche Webfilter-Pro-
file auf. Wenn das Netzwerk mehr als ein Profil enthlt, wird das Profil mit der hchsten
Prioritt vomRichtlinientester verwendet.
3. Geben Sie optional einen Benutzer ein, unter dessen Identitt Sie die Anfrage
testen mchten.
Benutzer knnen unter unterschiedliche Webfilter-Profile fallen.
4. Geben Sie optional einen Zeitpunkt fr die Anfrage ein.
Webfilter-Profile knnen mit tageszeitbasierten Regeln konfiguriert werden.
5. Klicken Sie auf Test.
Die Ergebnisse Ihrer Testparameter werden imFeld Richtlinientestergebnisse angezeigt.
Hinweis Wenn Sie eine URL mir Ihren Webfilter-Profilen testen, ldt die Seite Web Pro-
tection >Richtlinientest keine Inhalte herunter und fhrt keine berprfungen auf Schad-
software, MIME-Typen oder Dateierweiterungen durch. Das tatschliche Filterverhalten
kann je nach den von der URL gehosteten Inhalten abweichen.
Hinweis Der korrekte Authentifizierungsserver muss auf der Seite Definitionen &Benutzer
>Authentifizierungsdienste >Server hinzugefgt werden, damit der Test funktioniert.
9.5 Application Control
Die Application-Control-Funktion von UTMermglicht Ihnen Traffic Shaping und Blockieren
von Netzwerkverkehr basierend auf der Art des Verkehrs. ImGegensatz zur Webfilter-Funk-
tion von UTM(siehe Kapitel Webfilter) unterscheidet der Klassifizierungsmechanismus von App-
lication Control Netzwerkverkehr nicht nur nach Protokoll oder URL, sondern nimmt
348 UTM9 WebAdmin
detailliertere Unterscheidungen vor. Besonders bei Internetverkehr ist dies ntzlich: Verkehr zu
Websites erfolgt normalerweise ber das HTTP-Protokoll auf Port 80 oder das HTTPS-Pro-
tokoll auf Port 443. Wenn Sie Verkehr zu einer bestimmten Website, z.B. facebook.com, blo-
ckieren mchten, knnen Sie das auf Grundlage der URL der Website (Webfilter) kon-
figurieren. Sie knnen Verkehr zu Facebook auch unabhngig von einer URL ber eine
Klassifizierung des Netzwerkverkehrs blockieren.
Die Klassifizierungsengine von UTMnutzt Layer-7-Packet-Inspection fr die Klassifizierung von
Netzwerkverkehr.
Application Control kann auf zweifache Weise genutzt werden. In einemersten Schritt mssen
Sie Application Control auf der Seite Netzwerksichtbarkeit generell aktivieren, sodass Anwen-
dungen in gewisser Hinsicht sichtbarwerden. Jetzt knnen Sie die Einstellung so bestehen las-
sen (beispielsweise fr einen bestimmten Zeitraum), umzu sehen, welche Anwendungen von
den Benutzern genutzt werden (z.B. imFlow-Monitor, in der Protokollierung, in der Berichter-
stellung). In einemzweiten Schritt knnen Sie bestimmte Anwendungen blockieren und andere
zulassen. Dies erreichen Sie mit Hilfe von Regeln, die auf der Seite Application-Control-Regeln
erstellt werden knnen. Zudemknnen Sie festlegen, dass Datenverkehr bestimmter Anwen-
dungen bevorzugt behandelt wird. Die Konfiguration erfolgt ber die Dienstqualitt-Funktion
(QoS) von Sophos.
9.5.1 Netzwerksichtbarkeit
Auf der Seite Web Protection >Application Control >Netzwerksichtbarkeit knnen Sie App-
lication Control aktivieren und deaktivieren.
Wenn Application Control aktiviert ist, wird der gesamte Netzwerkverkehr klassifiziert und ent-
sprechend seiner Klassifizierung protokolliert. Aktueller Netzwerkverkehr kann ber den Flow-
Monitor mit detaillierten Angaben zur Art des Datenverkehrs angezeigt werden (siehe Kapitel
Flow-Monitor). So werden beispielsweise Daten zumHTTP-Verkehr detailliert auf-
geschlsselt, sodass die zugrunde liegenden Anwendungen (z.B. Twitter, Facebook usw.)
ersichtlich sind. Umden Flow-Monitor zu ffnen, whlen Sie die gewnschte Schnittstelle im
Bereich Flow-Monitor und klicken Sie auf Flow-Monitor ffnen.
Fr Protokollierung und Berichterstellung sind umfangreiche Daten zu Netzwerkverkehr und
Klassifizierung sowie Daten zu Clients und Servern verfgbar, die die Anwendungen nutzen.
Weitere Informationen zu Protokollierung und Berichterstellung finden Sie imKapitel Pro-
tokollierung &Berichterstellung. Lesen Sie den Abschnitt Protokolldatei-Ansicht fr die Pro-
UTM9 WebAdmin 349
9 Web Protection 9.5 Application Control
9.5 Application Control 9 Web Protection
tokollierung und den Abschnitt Netzwerknutzung >Bandbreitennutzung und Web Protection >
Application Control fr die Berichterstellung.
9.5.2 Application-Control-Regeln
Auf der Seite Web Protection >Application Control >Application-Control-Regeln knnen Sie
Regeln erstellen, die auf einer Klassifizierung des Netzwerkverkehrs basieren und Anwen-
dungen definieren, deren Datenverkehr fr Ihr Netzwerk blockiert oder ausdrcklich zuge-
lassen werden soll.
Standardmig wird smtlicher Netzwerkverkehr zugelassen, wenn Application Control akti-
viert ist.
Application-Control-Regeln knnen entweder auf dieser Seite oder ber den Flow-Monitor
erstellt werden. Letzteres ist eventuell bequemer, doch so knnen Sie nur Regeln fr den aktu-
ell imNetzwerk auftretenden Datenverkehr erstellen.
Umeine Application-Control-Regel zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Application-Control-Regeln auf Neue Regel.
Das Dialogfeld Neue Regel anlegen wird geffnet.
Name (optional): Sie knnen einen Namen fr die Regel eingeben. Wenn Sie das Feld
leer lassen, generiert das Systemeinen Namen fr die Regel.
glichen.
Aktion: Whlen Sie aus, ob der Datenverkehr blockiert oder zugelassen werden soll.
Kontrollieren durch: Whlen Sie aus, ob der Datenverkehr nach Anwendungsart
oder durch einen dynamischen Filter kontrolliert werden soll, der unterschiedliche Kate-
gorien bercksichtigt.
350 UTM9 WebAdmin
l Anwendungen: Der Verkehr wird anwendungsbasiert reguliert. Whlen Sie im
Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l Dynamischer Filter: Der Datenverkehr wird basierend auf Kategorien kon-
trolliert. Whlen Sie imFeld Diese Kategorien kontrollieren eine oder mehrere
Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Klicken Sie auf das Ordnersymbol,
umAnwendungen/Kategorien auszuwhlen. Ein Dialogfenster wird geffnet, das im
nchsten Abschnitt detailliert beschrieben wird.
Hinweis Einige Anwendungen knnen nicht blockiert werden. Dies ist fr einen rei-
bungslosen Betrieb von Sophos UTMerforderlich. Bei diesen Anwendungen wird in
der Anwendungstabelle des Dialogfensters Anwendung auswhlen kein Aus-
wahlkstchen angezeigt. Dies trifft u.a. fr den WebAdmin, Teredo, SixXs (fr IPv6-
Verkehr) und Portal (fr Benutzerportal-Verkehr) zu.Auch bei der Verwendung dyna-
mischer Filter wird das Blockieren dieser Anwendungen automatisch verhindert.
Produktivitt (nur mit Dynamischer Filter): Gibt den von Ihnen gewhlten Pro-
duktivittswert wieder.
Risiko (nur mit Dynamischer Filter): Gibt den von Ihnen gewhlten Risikowert wieder.
Fr: Whlen Sie in diesemFeld Netzwerke oder Hosts aus, deren Netzwerkverkehr von
der Regel kontrolliert werden soll. Dies gilt nur fr Quellhosts/-netzwerke. Das Hin-
Protokollieren: Diese Option ist standardmig ausgewhlt und ermglicht das Pro-
tokollieren von Datenverkehr, auf den die Regel zutrifft.
zu.
Die neue Regel wird in der Liste Application-Control-Regeln angezeigt.
Das Di alogfenster zur Auswahl von Anwendungen oder Kate-
gori en
BeimErstellen von Application-Control-Regeln mssen Sie Anwendungen oder Anwen-
dungskategorien aus demDialogfenster Whlen Sie eine oder mehrere
UTM9 WebAdmin 351
9 Web Protection 9.5 Application Control
9.5 Application Control 9 Web Protection
Anwendungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle imunteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die
auswhlbar sind oder zu einer definierten Kategorie gehren. Standardmig werden alle
Anwendungen angezeigt.
Imoberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschrnkt werden kann:
l Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst
alle verfgbaren Kategorien. Standardmig sind alle Kategorien ausgewhlt; d.h. alle
verfgbaren Anwendungen werden unten in der Tabelle gelistet. Mchten Sie die ange-
zeigten Anwendungen auf bestimmte Kategorien beschrnken, klicken Sie in die Liste
mit den Kategorien und whlen Sie nur die gewnschte(n) Kategorie(n) aus.
l Produktivitt: Die Anwendungen werden zudemnach ihrer Auswirkung auf die Pro-
duktivitt klassifiziert, d.h., wie stark sie die Produktivitt beeinflussen. Beispiel: Sales-
force, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung der
Anwendung trgt somit zur Produktivitt bei. ImGegensatz dazu ist das Onlinespiel Farm-
ville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNSbesitzt die
Bewertung 3 er wirkt sich neutral auf die Produktivitt aus.
l Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je hher die Bewertung, desto hher das
Risiko.
Tipp Jede Anwendung verfgt ber ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie knnen die Tabelle mit Hilfe des Fil-
terfelds in der Kopfzeile durchsuchen.
Abhngig davon, welchen Kontrolltyp Sie imDialogfeld Neue Regel anlegen ausgewhlt
haben, gehen Sie folgendermaen vor:
l Kontrolle durch dynamischen Filter: Whlen Sie imFeld Kategorie die Kategorien aus
und klicken Sie auf bernehmen, umdie ausgewhlten Kategorien fr die Regel zu ber-
nehmen.
l Kontrollieren durch Anwendungen: Whlen Sie die zu kontrollierenden Anwendungen in
der Tabelle aus, indemSie auf die Auswahlkstchen klicken, die vor den Anwendungen
angezeigt werden. Klicken Sie auf bernehmen, umdie ausgewhlten Anwendungen
fr die Regel zu bernehmen.
352 UTM9 WebAdmin
NachdemSie auf bernehmen geklickt haben, wird das Dialogfenster geschlossen und Sie kn-
nen die Einstellungen der Anwendungsregel weiter bearbeiten.
9.5.3 Erweitert
Auf der Seite Web Protection >Application Control >Erweitert knnen Sie erweiterte Optionen
fr Application Control konfigurieren.
Appli cati on-Control-Ausnahmen
In diesemFeld aufgefhrte Hosts und Netzwerke werden nicht von Application Control ber-
wacht und knnen deshalb weder von Application Control noch von der Quality-of-Service-Aus-
wahl kontrolliert werden. Das gilt sowohl fr Quell- als auch fr Zielhosts/-netzwerke.
9.6 FTP
Auf der Registerkarte Web Protection >FTPknnen Sie den FTP-Proxy konfigurieren. Das
File Transfer Protocol (FTP) ist ein weit verbreitetes Netzwerkprotokoll, umDateien ber das
Internet auszutauschen. Sophos UTMbietet einen Proxydienst, der als Zwischenstation fr
allen FTP-Verkehr in IhremNetzwerk agiert. Dabei bietet der FTP-Proxy ntzliche Funktionen
wie das Scannen von FTP-Verkehr auf Viren oder das Blockieren von bestimmten Dateitypen,
die ber das FTP-Protokoll bertragen werden.
Der FTP-Proxy kann transparent arbeiten, das heit, alle FTP-Clients in IhremNetzwerk bau-
en eine Verbindung mit demProxy auf anstatt mit demwirklichen Zielhost. Der Proxy initiiert
dann anhand der Anfrage eine neue Netzwerkverbindung, die fr den Client unsichtbar bleibt.
Der Vorteil dieses Modus ist, dass keine zustzliche Verwaltung oder clientseitige Konfiguration
ntig ist.
9.6.1 Allgemein
Auf der Registerkarte Web Protection >FTP>Allgemein knnen Sie die Grundeinstellungen
fr den FTP-Proxy vornehmen.
Umden FTP-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den FTP-Proxy auf der Registerkarte Allgemein.
UTM9 WebAdmin 353
9 Web Protection 9.6 FTP
9.6 FTP 9 Web Protection
Der Schieberegler wird gelb und der Bereich FTP-Einstellungen kann bearbeitet wer-
den.
Whlen Sie die Netzwerke aus, die den FTP-Proxy verwenden drfen.
Whlen Sie einen Betriebsmodus fr den FTP-Proxy aus. Die folgenden Modi sind mg-
lich:
l Transparent: Der Proxy leitet die Clientanfragen an den Zielserver weiter und
scannt den Inhalt. Es ist keine Konfiguration auf Clientseite notwendig.
l Nicht transparent: Fr diesen Modus mssen Sie die FTP-Clients kon-
figurieren. Verwenden Sie die IP-Adresse des Gateways und Port 2121.
l Beide: Dieser Modus ermglicht Ihnen, fr einige Clients den transparenten
Modus zu verwenden und fr andere den nicht transparenten Modus. Kon-
figurieren Sie fr die FTP-Clients, die imnicht transparenten Modus betrieben wer-
den sollen, die Verwendung eines Proxy mit der IP-Adresse des Gateways und
Port 2121.
Hinweis Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory
als Authentifizierungsmethode verwenden. UmFTP-Clients zu ermglichen, sich mit einem
solchen FTP-Server zu verbinden, fgen Sie den FTP-Server zu den FTP-Proxy-Aus-
nahmen auf der Registerkarte Erweitert hinzu.
9.6.2 Antivirus
Die Registerkarte Web Protection >FTP>Antivirus enthlt alle Manahmen gegen schd-
lichen oder gefhrlichen Inhalt wie Viren, Wrmer oder andere Schadsoftware, die fr FTP-
Verkehr eingesetzt werden knnen.
Antiviren-Scan verwenden: Wenn Sie diese Option aktivieren, wird der FTP-Datenverkehr
gescannt. Sophos UTMbietet mehrere Antiviren-Mechanismen fr hchste Sicherheit.
354 UTM9 WebAdmin
Max. Scangre: Legen Sie die Maximalgre von Dateien fest, die von den Antiviren-Engi-
nes gescannt werden sollen. Dateien, die grer sind, werden nicht gescannt.
Hinweis In Archiven (z.B. zip-Dateien) gespeicherte Dateien knnen nicht nach blo-
ckierten Dateitypen, blockierten Erweiterungen oder blockierten MIME-Typen durchsucht
werden. Wenn Sie Ihr Netzwerk vor diesen in Archiven gespeicherten Dateien schtzen
mchten, sollten Sie Dateitypen wie zip, rar usw. generell blockieren.
Datei erwei terungenfi lter
Diese Funktion filtert bestimmte FTP-Transfers basierend auf den bermittelten Datei-
erweiterungen (z.B. ausfhrbare Binrdateien) aus demInternetverkehr heraus, wenn diese
eine Dateierweiterung besitzen, die in der Liste Blockierte Erweiterungen aufgefhrt ist. Sie kn-
nen weitere Dateierweiterungen hinzufgen oder solche Erweiterungen aus der Liste lschen,
die nicht blockiert werden sollen. Umeine Dateierweiterung hinzuzufgen, klicken Sie auf das
Plussymbol imFeld Blockierte Erweiterungen und geben Sie die Dateierweiterung ein, die blo-
ckiert werden soll, zumBeispiel exe(ohne den Punkt als Trennzeichen).Klicken Sie auf ber-
9.6.3 Ausnahmen
Auf der Registerkarte FTP>Ausnahmen knnen Sie Hosts/Netzwerke definieren, die von
bestimmten Sicherheitsoptionen, die der FTP-Proxy bietet, ausgenommen werden sollen.
UTM9 WebAdmin 355
9.6 FTP 9 Web Protection
l Antivirenprfung: Whlen Sie diese Option, umdie Virenscanfunktion zu deak-
tivieren, die Datenverkehr nach unerwnschten Inhalten wie Viren, Trojanischen
Pferden und hnlichemdurchsucht.
l Dateierweiterungen: Whlen Sie diese Option, umden Dateierweiterungenfilter
zu deaktivieren, der verwendet werden kann, umDateibertragungen basierend
auf Dateierweiterungen zu blockieren.
l Zugelassene Server: Whlen Sie diese Option, umdie Prfung auf zugelassene
Server zu deaktivieren, die auf der Registerkarte Erweitert angegeben werden
knnen. Wenn diese Option ausgewhlt ist, knnen die gewhlten Clienthosts/-
netzwerke auf alle FTP-Server zugreifen und die gewhlten Serverhosts/-netz-
werke sind fr alle Clients erlaubt.
Fr diese Clienthosts/-netzwerke: Wenn Sie diese Option whlen, wird das Feld Cli-
enthosts/-netzwerke geffnet. Whlen Sie die Clienthosts/-netzwerke aus, die von den
Sicherheitsprfungen dieser Ausnahmenregel ausgenommen werden sollen.
ODERFr diese Serverhosts/-netzwerke: Wenn Sie diese Option whlen, wird das
Feld Serverhosts/-netzwerke geffnet. Whlen Sie die Serverhosts/-netzwerke aus, die
von den Sicherheitsprfungen dieser Ausnahmenregel ausgenommen werden sollen.
zu.
flchen.
9.6.4 Erweitert
Auf der Registerkarte FTP>Erweitert knnen Sie Hosts und Netzwerke angeben, die nicht mit
demTransparenzmodus des FTP-Proxy berwacht werden sollen. Auerdemknnen Sie fest-
legen, auf welche FTP-Server zugegriffen werden darf.
FTP-Proxy-Ausnahmen
Hier aufgefhrte Hosts und Netzwerke (sowohl FTP-Clients als auch FTP-Server) sind von der
transparenten berwachung des FTP-Verkehrs ausgenommen. Umjedoch FTP-Verkehr fr
diese Hosts und Netzwerke zuzulassen, whlen Sie die Option FTP-Verkehr fr aufgefhrte
356 UTM9 WebAdmin
Hosts/Netze zulassen. Wenn Sie diese Option nicht whlen, mssen Sie spezielle Fire-
wallregeln fr die hier aufgefhrten Hosts und Netzwerke anlegen.
Hinweis Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory
als Authentifizierungsmethode verwenden. Damit sich FTP-Clients mit einemsolchen FTP-
Server verbinden knnen, fgen Sie den Server zu den FTP-Proxy-Ausnahmen hinzu.
FTP-Server
Whlen Sie FTP-Server aus oder fgen Sie FTP-Server hinzu, auf die von Ihren Hosts/Ihrem
Netzwerk aus zugegriffen werden darf. Sie knnen Ausnahmen fr einige FTP-Clients oder
FTP-Server auf der Registerkarte Ausnahmen anlegen, umdiese Liste zu umgehen.
UTM9 WebAdmin 357
10 Email Protection
In diesemKapitel wird beschrieben, wie Sie die grundlegenden Email-Protection-Funktionen
von Sophos UTMkonfigurieren. Die Seite Email-Protection-Statistik imWebAdmin gibt einen
berblick ber die zehn aktivsten E-Mail-Versender, E-Mail-Empfnger, Spam-Versender
(nach Land), erkannte Schadsoftware und gleichzeitige Verbindungen des aktuellen Datums.
In jedemAbschnitt befindet sich ein Link auf die Details. Ein Klick auf den Link leitet Sie zur ent-
sprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie weitere statistische
Informationen finden knnen.
l SMTP
l SMTP-Profiles
l POP3
l Encryption
l SPXEncryption
l Quarantnebericht
l Mail-Manager
10.1 SMTP
ImMen Email Protection >SMTPknnen Sie den SMTP-Proxy konfigurieren. SMTPist die
Abkrzung fr Simple Mail Transfer Protocol, ein Protokoll, das zumAusliefern von E-Mails an
einen Mailserver verwendet wird. Sophos UTMbesitzt ein Gateway auf Anwendungsebene fr
SMTP, das dazu genutzt werden kann, Ihren internen Mailserver vor Angriffen aus demInter-
net zu schtzen. Auerdembietet es effektive Antivirenscan- und E-Mail-Filterungs-Dienste.
Hinweis Damit der SMTP-Proxy korrekt funktioniert, muss ein gltiger Namensserver
(DNS) konfiguriert sein.
10.1 SMTP 10 Email Protection
10.1.1 Allgemein
Auf der Registerkarte Email Protection >SMTP>Allgemein knnen Sie festlegen, ob Sie fr die
Konfiguration von SMTPden Einfachen Modus oder den Profilmodus verwenden wollen.
1. Aktivieren Sie SMTP.
Der Schieberegler wird grn und der Abschnitt Konfigurationsmodus kann nun bear-
beitet werden.
2. Whlen Sie einen Konfigurationsmodus.
Einfacher Modus: Verwenden Sie diesen Modus, falls alle Domnen dieselben Ein-
stellungen teilen. Dennoch knnen Sie Ausnahmen definieren, die auf Domnennamen,
E-Mail-Adressen und Hosts basieren. Es besteht keine Einschrnkung in der Funk-
tionalitt imVergleich zumProfilmodus.
Profilmodus: (nicht verfgbar mit demBasicGuard-Abonnement): In diesemModus
knnen Sie globale Einstellungen, z.B. fr Antispamoder Antivirus, fr individuelle Dom-
nen oder Domnengruppen berschreiben oder erweitern, indemSie fr diese imMen
SMTP-Profile Profile anlegen. Die Einstellungen imMen SMTPgelten weiterhin fr die
ihnen zugeteilten Domnen, zustzlich dienen die als Standardeinstellungen fr die Pro-
file. Wenn Sie den Profilmodus whlen, finden Sie zu einigen Einstellungen zustzliche
Hinweise mit Empfehlungen bezglich des Profilmodus und zumVerhalten der UTM.
Der gewhlte Modus wird aktiviert.
Globale SPX-Vorlage
Dieser Bereich ist verfgbar, wenn die SPX-Verschlsselung aktiviert ist. Whlen Sie aus der
Auswahlliste die SPX-Vorlage aus, die global verwendet werden soll. Wenn Sie fr SMTPden
einfachen Modus verwenden, wird diese Vorlage fr alle SMTP-Benutzer verwendet. Wenn
Sie fr SMTPden Profilmodus verwenden, wird diese Vorlage fr alle SMTP-Profile ver-
wendet, fr die keine eigene SPX-Vorlage ausgewhlt ist.
Li ve-Protokoll
ImSMTP-Live-Protokoll werden die Aktivitten von SMTPprotokolliert. Klicken Sie auf die
Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
360 UTM9 WebAdmin
10.1.2 Routing
Auf der Registerkarte Routing knnen Sie Domnen- und Routingziele fr den SMTP-Proxy
konfigurieren.
Umdas SMTP-Proxy-Routing zu konfigurieren, gehen Sie folgendermaen vor:
1. Geben Sie Ihre interne(n) Domne(n) ein.
UmE-Mail-Domnen einzugeben, klicken Sie auf das Plussymbol imFeld Domnen.
Geben Sie imangezeigten Textfeld die Domne in der Formbeispiel.deein und kli-
cken Sie auf bernehmen. Wiederholen Sie diesen Schritt bis alle Domnen aufgefhrt
sind. Sie knnen Wildcards auf unterschiedliche Weisen verwenden. ZumBeispiel
*.ich.meinefirma.de, *.meinefirma.de, *.ich.meinefirma.*e,
**.meinefirma.*. Es ist nicht erlaubt, nur "*" zu verwenden.
ImProfilmodus: Geben Sie nur Domnen ein, die globale Einstellungen verwenden. Alle
anderen Domnen sollten in ihren jeweiligen Profilen aufgefhrt sein.
2. Geben Sie den internen Server an.
Whlen Sie aus der Auswahlliste Routen nach den Host aus, zu demE-Mails fr die oben
aufgefhrten Domnen weitergeleitet werden sollen. Ein blicher Zielhost wre der
Microsoft Exchange Server in Ihremlokalen Netzwerk. Sie knnen zwischen ver-
schiedenen Servertypen whlen:
l Statische Hostliste: Whlen Sie eine Hostdefinition der Zielroute aus demFeld
Hostliste. Beachten Sie, dass Sie mehrere Hostdefinitionen whlen knnen, um
ein einfaches Failover gewhrleisten zu knnen. Wenn die Zustellung an den ers-
ten Host fehlschlgt, werden die Mails zumnchsten Host geroutet. Die (sta-
tische) Reihenfolge der Hosts kann in der aktuellen Version von Sophos UTM
jedoch nicht festgelegt werden und ist etwas zufllig. Umdie Zustellung zufllig auf
eine Gruppe von Hosts zu verteilen und dadurch zustzlich einen einfachen Last-
ausgleich zu erlangen, verwenden Sie den Routentyp DNS-Hostname und geben
Sie einen Hostnamen an, der mehrere A-Eintrge (engl. ARecord) besitzt (ein A-
Eintrag oder Address Resource Record bildet imDNSeinen Hostnamen auf eine
IP-Adresse ab).
l DNS-Hostname: Geben Sie den vollstndigen Domnennamen (FQDN, fully
qualified domain name) Ihrer Zielroute an (z. B. exchange.beispiel.de).
Beachten Sie, wenn Sie einen DNS-Namen mit mehreren A-Eintrgen (engl. A
Record) auswhlen, werden die Mails an jeden Server beliebig verteilt. Wenn ein
UTM9 WebAdmin 361
10 Email Protection 10.1 SMTP
Server ausfllt, werden darber hinaus alle Mails automatisch zu den ver-
bleibenden Servern geroutet.
l MX-Eintrge: Sie knnen Mails auch ber MX-Eintrge (engl. MXRecords) zu
Ihre(r/n) Domne(n) routen. Wenn Sie diesen Routentyp whlen, wird der Mail-
Transfer-Agent von Sophos UTMeine DNS-Anfrage starten, umden MX-Eintrag
vomDomnennamen des Empfngers zu erfragen. Das ist der Teil der E-Mail-
Adresse, die nach dem@-Zeichen steht. Stellen Sie sicher, dass das Gateway
nicht der primre MX-Server fr die oben angegebene Domne ist, da er Mails
nicht sich selbst zustellen wird.
Empfngerveri fi zi erung
Empfnger verifizieren: Hier knnen Sie festlegen, ob und wie E-Mail-Empfnger verifiziert
werden.
l Mit Serveranfrage: Es wird eine Anfrage an den Server geschickt, umden Empfnger
zu verifizieren.
l In Active-Directory: Es wird eine Anfrage an den Active-Directory-Server geschickt,
umden Empfnger zu verifizieren. UmActive Directory benutzen zu knnen, muss ein
Active-Directory-Server unter Definitionen &Benutzer >Authentifizierungsdienste >Ser-
ver angegeben worden sein. Geben Sie einen BaseDNimFeld Alternativer BaseDNein.
Hinweis Die Verwendung der Active-Directory-Empfngerverifizierung kann dazu
fhren, dass Nachrichten abgelehnt werden, wenn der Server nicht antwortet.
l Aus: Sie knnen die Empfngerverifizierung vollstndig ausschalten, aber das ist nicht
empfehlenswert, da es zu einemhheren Spam-Aufkommen und Wrterbuchangriffen
fhrt. Dadurch erhhen Sie die Wahrscheinlichkeit, dass Ihre Quarantne mit uner-
wnschten Nachrichten berflutetwird.
10.1.3 Antivirus
Die Registerkarte Antivirus bietet verschiedene Manahmen gegen E-Mails, die schdlichen
oder gefhrlichen Inhalt haben wie Viren, Wrmer oder andere Schadsoftware.
362 UTM9 WebAdmin
Hinweis Ausgehende E-Mails werden gescannt, wenn das Auswahlkstchen Relay-Nach-
richten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.
Whrend SMTP-bermi ttlung scannen
Whlen Sie die Option Schadsoftware whrend SMTP-bermittlung ablehnen, wenn Nach-
richten bereits whrend der SMTP-bermittlung gescannt werden und abgelehnt werden sol-
len, wenn sie Schadsoftware enthalten.
ImProfilmodus: Diese Einstellung kann nicht fr einzelne Profile gendert werden. Bei Nach-
richten mit mehr als einemEmpfnger wird diese Funktion ausgesetzt, wenn bei einemder
Empfngerprofile Antiviren-Scan ausgeschaltet ist. Das bedeutet, dass es sinnvoll ist, die regu-
lre Antiviren-Einstellung unten auf entweder Verwerfen oder Quarantne gestellt zu lassen.
Anti vi ren-Scan
Wenn Sie diese Option whlen, werden E-Mails nach unerwnschtemInhalt gescannt wie z.B.
Viren, Trojanischen Pferden oder verdchtigen Dateitypen. Nachrichten mit schdlichemInhalt
werden blockiert oder in der E-Mail-Quarantne gespeichert. Benutzer knnen ihre unter Qua-
rantne stehenden E-Mails ansehen und freigeben, entweder ber das SophosBenutzerportal
oder den tglichen Quarantnebericht. Nachrichten, die schdlichen Inhalt enthalten, knnen
jedoch nur vomAdministrator ber den Mail-Manager aus der Quarantne freigegeben wer-
den.
Antivirus: Hier knnen Sie festlegen, wie mit Nachrichten verfahren wird, die schdlichen
Inhalt besitzen. Die folgenden Aktionen sind mglich:
l Aus: Es werden keine Antiviren-Scans durchgefhrt.
l Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelscht. Aus-
gehende Nachrichten werden nie verworfen, umunbeabsichtigten E-Mailverlust zu ver-
hindern. Stattdessen werden sie in die Quarantne verschoben.
l Quarantne: Die Nachricht wird blockiert und in die E-Mail-Quarantne verschoben.
Nachrichten in Quarantne knnen entweder ber das Benutzerportal oder den tg-
lichen Quarantnebericht eingesehen werden. Beachten Sie, dass Nachrichten mit
schdlichemInhalt nur vomAdministrator aus der Quarantne freigegeben werden kn-
nen.
Sophos UTMbietet mehrere Antiviren-Mechanismen fr hchste Sicherheit:
UTM9 WebAdmin 363
Unscannbaren und verschlsselten Inhalt in Quarantne: Whlen Sie diese Option, um
E-Mails unter Quarantne zu stellen, deren Inhalt nicht gescannt werden konnte. Uns-
cannbarer Inhalt knnen verschlsselte Archive oder sehr groe Inhalte sein, oder es kann ein
technischer Grund vorliegen wie z.B. der Ausfall eines Scanners.
MIME-Typ-Fi lter
Der MIME-Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie knnen festlegen, wie mit den
verschiedenen MIME-Typen umgegangen werden soll.
l Audioinhalte in Quarantne (z. B. mp3): Wenn Sie diese Option whlen, werden
Audioinhalte wie mp3- oder wav-Dateien unter Quarantne gestellt.
l Videoinhalte in Quarantne (z. B. mpg): Wenn Sie diese Option whlen, werden
Videoinhalte wie mpg- oder mov-Dateien unter Quarantne gestellt.
l Ausfhrbare Inhalte in Quarantne (z. B. exe): Wenn Sie diese Option whlen, wer-
den ausfhrbare Inhalte wie exe-Dateien unter Quarantne gestellt.
Weitere Typen in Quarantne: Umeinen anderen MIME-Typ als die obigen hinzuzufgen,
der unter Quarantne gestellt werden soll, klicken Sie auf das Plussymbol imFeld Weitere
Typen in Quarantne und geben Sie den MIME-Typ an (z.B. image/gif). Sie knnen Platz-
halter (*) auf der rechten Seite des Schrgstriches verwenden, z.B. application/*.
Inhaltstypen auf Whitelist: Sie knnen in dieses Feld MIME-Typen eintragen, die generell
zugelassen sein sollen. Umeinen MIME-Typ hinzuzufgen, klicken Sie auf das Plussymbol im
Feld Inhaltstypen auf Whitelist und geben Sie den MIME-Typ ein. Klicken Sie auf bernehmen,
umIhre Einstellungen zu speichern.
MIME-Typ MIME-Typ-Klasse
audio/* Audiodateien
video/* Videodateien
364 UTM9 WebAdmin
MIME-Typ MIME-Typ-Klasse
application/x-dosexec
Anwendungen
application/x-msdownload
application/exe
application/x-exe
application/dos-exe
vms/exe
application/x-winexe
application/msdos-windows
application/x-msdos-program
Table 2: MIME-Typen, die dem MIME-Typ-Filter bekannt sind
Mit dieser Funktion knnen Sie E-Mails unter Quarantne stellen (mit Warnung), die bestimmte
Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z.B. ausfhrbare Dateien). Um
Dateierweiterungen hinzuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte Erwei-
terungen und geben Sie eine kritische Dateierweiterung ein, die gesperrt werden soll, z.B. exe
oder jar(ohne den Punkt als Trennzeichen). Klicken Sie auf bernehmen, umIhre Ein-
stellungen zu speichern.
Hinweis Archive knnen nicht auf verbotene Dateierweiterungen gescannt werden. Um
Ihr Netzwerk vor Schadsoftware aus Archivdateien zu schtzen, sollten Sie in Betracht zie-
hen, die entsprechenden Archivdateierweiterungen gnzlich zu blockieren.
Fuzei le ber Anti vi renprfung
Jeder ausgehenden Nachricht knnen Sie eine spezielle Fuzeile hinzufgen bezie-
hungsweise anpassen, die Benutzer darber informiert, dass die E-Mail auf schdliche Inhalte
gescannt wurde. Die Fuzeile wird jedoch nur hinzugefgt, wenn das Auswahlkstchen Relay-
Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist. Darber hinaus
wird die Antivirenprfungsfuzeile nicht an die E-Mail angehngt, wenn es sich bei der E-Mail
umeine Antwort handelt (d.h. sie besitzt den Header In-Reply-To) oder wenn die Inhaltsart der
E-Mail nicht bestimmt werden konnte. Aktivieren Sie die Funktion Text unten als Fuzeile
UTM9 WebAdmin 365
verwenden und geben Sie den gewnschten Fuzeilentext an.Klicken Sie auf bernehmen,
Hinweis Das Hinzufgen einer Fuzeile durch ein E-Mail-Programm(z.B. Microsoft Out-
look oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlsselt sind, zer-
strt die Signatur der E-Mails und macht sie damit ungltig. Wenn Sie digitale Zertifikate Cli-
ent-seitig erzeugen wollen, deaktivieren Sie die Fuzeile der Antivirenprfung. Wenn Sie
jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten
mchten und dennoch eine allgemeine Fuzeile fr die Antivirenprfung verwenden wollen,
sollten Sie die integrierte Email-Encryption-Funktion von Sophos UTMeinsetzen. Bei der
Email Encryption auf demGateway wird die Fuzeile vor der digitalen Signierung zur Nach-
richt hinzugefgt, wodurch die Signatur intakt bleibt.
10.1.4 Antispam
Sophos UTMkann so konfiguriert werden, dass es unerwnschte Spam-E-Mails entdeckt und
Spam-bermittlungen von bekannten oder verdchtigten Spam-Versendern identifiziert. Die
Konfigurationsoptionen auf der Registerkarte Antispamermglichen die Konfiguration von
SMTP-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor demEmpfang von
unerwnschten kommerziellen E-Mails zu schtzen.
Hinweis Ausgehende E-Mails werden gescannt, wenn das Auswahlkstchen Relay-Nach-
richten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.
Hinweis Einige der Funktionen auf dieser Registerkarte stehen mit demBasicGuard-Abon-
nement nicht zur Verfgung.
Spam-Erkennung whrend SMTP-bermi ttlung
Sie haben die Mglichkeit, Spambereits zumZeitpunkt der SMTP-bermittlung abzulehnen.
Whlen Sie eine der folgenden Einstellungen fr die Option Whrend SMTP-bermittlung
ablehnen:
l Aus: Spam-Erkennung ist ausgeschaltet und es werden keine E-Mails aufgrund von
Spamverdacht abgelehnt.
l Besttigten Spam: Nur besttigter Spamwird abgelehnt.
366 UTM9 WebAdmin
l Spam: Alle E-Mails, die das Systemfr Spamhlt, werden abgelehnt. Beachten Sie,
dass hierbei die Rate der Fehlfunde (engl. false positives) steigen kann, da mg-
licherweise auch E-Mails wie beispielsweise Newsletter als Spambetrachtet werden.
E-Mails, die nicht whrend der SMTP-bermittlung abgelehnt werden, werden entsprechend
Ihrer Einstellungen imBereich Spamfilter unten behandelt.
ImProfilmodus: Diese Einstellung kann nicht fr einzelne Profile gendert werden. Nachrichten
mit mehr als einemEmpfnger lassen diese Funktion aus, wenn bei einemder Emp-
fngerprofile der Spam-Scan ausgeschaltet ist. Das bedeutet, dass es sinnvoll ist, die regulre
Einstellung zur Spam-Erkennung entweder auf Spamoder Besttigten Spameingestellt zu las-
sen.
RBLs (Echtzei t-Blackhole-Li sten)
Echtzeit-Blackhole-Listen (Realtime Blackhole Lists, RBL) sind eine Methode, mit der Websites
eine Liste von IP-Adressen bekannt geben, die mit Spam-Versand in Verbindung gebracht wer-
den.
Empfohlene RBLs verwenden: Die Wahl dieser Option sorgt dafr, dass externe Daten-
banken nach bekannten Spam-Versendern (sogenannten Echtzeit-Blackhole-Listen) abge-
fragt werden. Nachrichten, die von einer Domne gesendet werden, die in einer oder meh-
rerer dieser Listen aufgefhrt ist, knnen einfach abgelehnt werden. Es sind einige Dienste
dieser Art imInternet verfgbar. Diese Funktion ist eine enorme Hilfe bei der Reduzierung des
Spam-Aufkommens.
Standardmig werden die folgenden RBLs abgefragt:
l Commtouch IPReputation (ctipd.org)
l cbl.abuseat.org
Hinweis Die RBLs, die von Sophos UTMabgefragt werden, knnen sich ohne Ankn-
digung ndern. Sophos bernimmt keine Gewhr fr den Inhalt dieser Datenbanken.
Sie knnen zustzliche RBL-Sites hinzufgen, umdie Antispam-Fhigkeiten von Sophos UTM
zu verbessern. Klicken Sie dazu auf das Plussymbol imFeld Extra-RBL-Zonen. Geben Sie die
RBL-Zone in das angezeigte Textfeld ein.
UTM9 WebAdmin 367
Spamfi lter
Sophos UTMbietet eine heuristische Prfung von E-Mails auf Spam-Eigenschaften. Sie
benutzt dafr SMTP-Envelope-Informationen (envelope =Umschlag) und eine interne Daten-
bank mit heuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nachrichten
basierend auf ihremInhalt und SMTP-Envelope-Informationen. Hhere Werte deuten auf eine
hhere Spam-Wahrscheinlichkeit hin.
Mit den folgenden beiden Optionen knnen Sie festlegen, was mit Nachrichten geschehen soll,
denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dass potenzielle
Spam-E-Mails vomGateway anders behandelt werden.
l Spam-Aktion: Hier knnen Sie festlegen, was mit Nachrichten geschieht, die als mg-
licher Spameingestuft wurden. Beachten Sie, dass es Fehlfunde geben kann, z.B.
Newsletter, und daher durch Verwerfen E-Mails verloren gehen knnen.
l Aktion bei besttigtemSpam: Hier knnen Sie festlegen, was mit Nachrichten
geschieht, die sicher Spamsind.
Sie knnen zwischen verschiedenen Aktionen fr diese beiden Arten von Spamwhlen:
l Aus: Es werden keine Nachrichten als Spammarkiert oder ausgefiltert.
l Warnen: Es werden keine Nachrichten herausgefiltert. Stattdessen wird bei ein-
gehenden Nachrichten eine Spam-Markierung (Flag) zumHeader der Nachricht hin-
zugefgt und der Betreff der Nachricht erhlt eine Spam-Kennzeichnung. Auf
ausgehende Nachrichten wird keine Aktion angewendet.
l Quarantne: Die Nachrichten werden blockiert und in die E-Mail-Quarantne ver-
schoben. Nachrichten in Quarantne knnen entweder ber das Benutzerportal oder
den tglichen Quarantnebericht eingesehen werden.
l Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelscht. Aus-
gehende Nachrichten werden nie verworfen, umunbeabsichtigten E-Mail-Verlust zu ver-
hindern. Stattdessen werden sie in die Quarantne verschoben.
Spam-Kennzeichnung: Mit dieser Option knnen Sie eine Kennzeichnung fr Spam-Nach-
richten festlegen, d.h., dass eine Zeichenkette zur Betreffzeile der Nachricht hinzugefgt wird,
die es einfach macht, Spam-Nachrichten schnell als solche zu erkennen. Standardmig wird
die Zeichenkette *SPAM*benutzt, umNachrichten als Spamzu kennzeichnen.
368 UTM9 WebAdmin
Absender-Blackli st
Der Envelope-Absender eingehender SMTP-Sitzungen wird mit den Adressen auf dieser
Blacklist (Negativliste) verglichen. Wenn der Envelope-Absender auf der Blacklist gefunden
wird, wird die Nachricht verworfen.
Umein neues Adress-Pattern zur Blacklist hinzuzufgen, klicken Sie auf das Plussymbol im
Feld Adress-Patterns auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und kli-
cken Sie auf bernehmen. Sie knnen einen Asterisk (*) als Platzhalter verwenden, z.B.
*@abbeybnknational.com.
Tipp Endbenutzer knnen imBenutzerportal ihre eigenen Black- und Whitelisten anlegen.
Ausdruckfi lter
Der Ausdruckfilter prft den Inhalt von Nachrichten, die den SMTP-Proxy passieren, auf
bestimmte Ausdrcke. Verdchtige E-Mails werden blockiert. Ausdrcke knnen in Formvon
Perl Compatible Regular Expressions (Perl-kompatiblen regulren Ausdrcken) eingegeben
werden. Einfache Zeichenfolgen wie Online Datingwerden ohne Bercksichtigung der Gro-
/Kleinschreibung interpretiert. Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
Querverweis Detaillierte Informationen zur Verwendung von regulren Ausdrcken im
Ausdruckfilter finden Sie in der Sophos-Knowledgebase.
Erwei terte Anti spam-Funkti onen
Dieser Abschnitt enthlt weitere Optionen, die die Antispam-Fhigkeiten von Sophos UTMver-
bessern.
Ungltige HELO/fehlende RDNS ablehnen: Whlen Sie diese Option, wenn Sie Hosts
ablehnen wollen, die ungltige HELO-Eintrge senden oder bei denen RDNS-Eintrge fehlen.
Wenn Sie Hosts von dieser Prfung ausnehmen wollen, benutzen Sie die entsprechende Opti-
on auf der Registerkarte Ausnahmen.
Strikte RDNS-Prfung durchfhren:Whlen Sie diese Option, wenn Sie zustzlich
E-Mails von Hosts mit ungltigen RDNS-Eintrgen ablehnen wollen. Ein RDNS-Eintrag
ist ungltig, wenn der gefundene Hostname sich nicht zurck zur ursprnglichen IP-
Adresse auflsen lsst.
UTM9 WebAdmin 369
Greylisting verwenden: Greylisting (dt. Verwendung grauer Listen) bedeutet, dass E-Mails
fr einen gewissen Zeitraumabgelehnt werden. Ein Mailserver, der Greylisting verwendet, spei-
chert blicherweise die folgenden Informationen von allen eingehenden Nachrichten:
l Absenderadresse
l IP-Adresse des Hosts, der die Nachricht verschickt hat
l Empfngeradresse
l Betreff der Nachricht
Diese Daten werden mit der internen Datenbank des SMTP-Proxy verglichen. Wenn die Daten
noch nicht vorhanden sind, wird ein Eintrag in die Datenbank geschrieben, zusammen mit
einemspeziellen Zeitstempel, der die Daten beschreibt. Dieser Datensatz bewirkt, dass die E-
Mail fr einen Zeitraumvon fnf Minuten abgelehnt wird. Nach diesemZeitraumist der Daten-
satz demProxy bekannt und die Nachricht wird beimnchsten Zustellversuch akzeptiert.
Beachten Sie, dass der Datensatz nach einer Woche verfllt, wenn er innerhalb dieses Zeit-
raums nicht aktualisiert wird.
Greylisting nutzt die Tatsache, dass die meisten Versender von Spam-Mails Software ver-
wenden, die nach der Fire-and-Forget-Methode arbeiten: Versuche die E-Mail zuzustellen
und wenn es nicht klappt, vergiss es! Das heit, dass die Versender solcher Spam-Mails nicht
wie RFC-konforme Mailserver versuchen, die Mail bei einemvorbergehenden Fehlschlag
nochmals zu versenden. Da in der RFC-Spezifikation vorgesehen ist, dass die E-Mail-Zustel-
lung vorbergehend fehlschlagen kann, geht Greylisting davon aus, dass ein legitimer Server
es noch einmal versuchen wird und der Zielhost dann die E-Mails annimmt.
BATV verwenden:BATV(Bounce Address Tag Validation) ist ein Entwurf des Stan-
dardisierungsgremiums Internet Engineering Task Force (IETF), bei demder Versuch unter-
nommen wird, die legitime Benutzung von E-Mail-Adressen von unautorisierter Benutzung zu
unterscheiden. BATVbietet eine Methode, den Envelope-Sender von ausgehenden Mails zu
signieren, indemein einfacher geteilter Schlssel hinzugefgt wird, der einen Hash der Adres-
se und zeitvariante Informationen sowie einige zufllige Daten codiert. Prinzipiell wird es dazu
benutzt, Ablehnungsnachrichten (engl. bounce messages) abzuweisen, die nicht von Ihnen ver-
sendet wurden. Durch BATVknnen Sie nun herausfinden, ob Ablehnungsnachrichten, die Sie
erhalten, wirklich durch eine von Ihnen versendete Mail ausgelst wurden oder nicht durch
einen Spam-Versender, der eine E-Mail mit Ihrer Adresse geflscht hat. Wenn eine Ableh-
nungsnachricht eintrifft und die E-Mail ist nicht nach BATVsigniert, wird der SMTP-Proxy die
Nachricht nicht annehmen. Beachten Sie, dass die BATV-Signatur nach sieben Tagen abluft.
Umden Schlssel (auch BATV-Secret genannt) zu ndern, der fr die Verschlsselung des
370 UTM9 WebAdmin
Hashes der Envelope-Adresse MAIL FROMverwendet wird, gehen Sie zur Registerkarte Email
Protection >SMTP>Erweitert.
Hinweis Einige Mail-Transfer-Programme (Mail Transfer Agents, MTA) knnten E-Mails
zurckweisen, deren Envelope-Absenderadresse mittels BATVverndert wurde. In diesem
Fall mssen Sie fr die betroffenen Absenderadressen, Empfngeradressen oder Domnen
eine entsprechende Ausnahmeregel definieren.
SPF-Prfung durchfhren: SPF (Sender Policy Framework) ist ein Systembei demDom-
neninhaber Informationen ber ihre Mailserver fr ausgehende Mails verffentlichen knnen.
Domnen benutzen ffentliche Eintrge, umAnfragen nach verschiedenen Diensten (Web, E-
Mail, usw.) an jene Hosts weiterzuleiten, die diese Dienste anbieten. Alle Domnen ver-
ffentlichen MX-Eintrge fr E-Mail-bezogene Dienste, damit andere wissen, welche Hosts E-
Mails fr die Domne entgegennehmen. SPF funktioniert durch Domnen, die zustzlich eine
Art Rckwrts-MXverffentlichen, umder Welt mitzuteilen, welche Hosts E-Mails von wel-
cher Domne versenden. Wenn der Empfnger eine Nachricht von einer bestimmten Domne
erhlt, kann er diese Eintrge berprfen, umsicherzustellen, dass die E-Mail wirklich daher
kommt, woher sie kommen soll.
Querverweis Weitere Informationen erhalten Sie auf der Internetseite zu Sender Policy
Framework.
Als zustzliche Antispam-Funktion vergleicht der SMTP-Proxy stillschweigend jede Emp-
fngeradresse, die er erhlt, mit IhremBackend-Mailserver, bevor er die Mail fr diese Adresse
annimmt. E-Mails fr ungltige Empfngeradressen werden nicht angenommen. Damit die
Funktion greift, muss/mssen Ihr(e) Backend-Mailserver E-Mails von unbekannten Emp-
fngern zur SMTP-Zeit ablehnen. Die Grundregel lautet: Wenn Ihr Backend-Server eine Nach-
richt ablehnt, lehnt sie der SMTP-Proxy ebenfalls ab.
Beachten Sie jedoch, dass die Empfngerberprfung nicht fr vertrauenswrdige (authen-
tifizierte) Hosts oder Relay-Hosts durchgefhrt wird, da manche Benutzerprogramme (User
Agents) ein Problemdamit haben, wenn Empfnger whrend der SMTP-bertragung abge-
lehnt werden. Gewhnlich (der Backend-Mailserver lehnt unbekannte Empfnger whrend
der SMTP-bertragung ab) wird Sophos UTME-Mails nur in den folgenden Fllen ablehnen
(bounce):
l Wenn eine vertrauenswrdige Quelle oder ein Relay-Host eine Nachricht zu einemnicht
verfgbaren Empfnger sendet.
UTM9 WebAdmin 371
l Wenn der Backend-Mailserver nicht erreichbar war, sodass Sophos UTMden Emp-
fnger nicht verifizieren konnte.
Jedoch hindert Sophos UTMIhre(n) Backend-Mailserver nicht daran, NDRs (non-delivery
reports, Berichte ber Nicht-Auslieferung) oder Ablehnungsnachrichten (bounces) zu ver-
senden. Zudemspeichert Sophos UTMCallout-Antworten des Mailservers zwischen: positive
Antworten 24 Stunden lang und negative zwei Stunden.
10.1.5 Datenschutz
Auf der Registerkarte SMTP>Datenschutz ermglicht die Funktion Data Protectioneine
Reduzierung des zuflligen Datenverlusts von Workstations, indemdie bertragung von Datei-
en, die vertrauliche Daten enthalten, berwacht und eingeschrnkt wird. Zuflliger Daten-
verlust wird hufig durch Mitarbeiter verursacht, die nicht richtig mit vertraulichen Daten umge-
hen. Beispiel: Ein Benutzer schickt sich eine Datei mit vertraulichen Informationen per E-Mail
(SMTP) nach Hause. Datenschutz scannt ausgehende E-Mails einschlielich Betreffzeile, Text-
krper und Anhngen auf vertrauliche Informationen. Je nach Ergebnis kann die E-Mail mithilfe
von SPX-Verschlsselung verschlsselt oder die E-Mail kann abgelehnt oder gesendet wer-
den.
Legen Sie die Einstellungen in den folgenden Abschnitten fest, umden Datenschutz zu kon-
figurieren. Solange keine Sophos-Inhaltssteuerregel ausgewhlt ist und keine benut-
zerdefinierte Regel festgelegt wurde, ist diese Funktion deaktiviert.
Datenschutzri chtli ni e
Anhnge scannen: Bei Auswahl dieser Option werden die Anhnge zustzlich zur Nachricht
selbst auf vertrauliche Daten gescannt.
Aktion bei Regelbereinstimmung:Whlen Sie aus, wie eine E-Mail bei Auslsung der
Richtlinie behandelt wird:
Ablehnen: Eine E-Mail, welche die Richtlinie auslst, wird nicht gesendet.
MitSPX-Verschlsselung senden: Eine E-Mail, welche die Richtlinie auslst, wird
automatisch mit SPX-Verschlsselung gesendet(siehe Registerkarte Email Protection
>SPX-Verschlsselung). Falls SMTPimeinfachen Modus verwendet wird, wird
dieSPX-Vorlage, die auf der Registerkarte SMTP>Allgemein ausgewhlt ist, fr
dieSPX-Verschlsselung verwendet. Falls SMTPimProfilmodus verwendet wird, hngt
die verwendeteSPX-Vorlage vomSMTP-Profil ab, das der Domne des Absenders
zugewiesen wurde (siehe Registerkarte SMTP-Profile). Falls die Domne des
372 UTM9 WebAdmin
Absenders keinemProfil zugewiesen ist, wird die Standardvorlage verwendet, die unter
der Registerkarte SMTP>Allgemein ausgewhlt wurde.
Zulassen: Eine E-Mail, welche die Richtlinie auslst, wird trotzdemgesendet.
Bei bereinstimmung benachrichtigen:Whlen Sie aus, ob Sie:
l den Absender der E-Mail,
l den Administrator,
l andere,
l der alle benachrichtigen mchten.
Fr die Benachrichtigung sonstiger Personen mssen Sie die entsprechende E-Mail-
Adresse angeben. Der Text der E-Mail-Benachrichtigung kann ber die Registerkarte
Verwaltung >Anpassungen >E-Mail-Mitteilungen angepasst werden.
Sophos-Inhaltssteuerungsregeln
Art: WWhlen Sie einen Eintrag aus der Auswahlliste, umdie Anzahl der angezeigten Regeln
entsprechend zu verringern.
Region: Whlen Sie einen Eintrag aus der Auswahlliste, umdie Anzahl der angezeigten
Regeln entsprechend zu verringern
Nur ausgewhlte anzeigen: Bei Aktivierung dieser Option werden nur ausgewhlte Regeln
in der Liste angezeigt.
Regeln: Whlen Sie die Regeln aus, die Sie fr die Funktion Data Protection verwenden mch-
ten. Wenn Sie mit demMauszeiger ber einen Eintrag fahren, wird ein Tooltip mit zustzlichen
Informationen zur Regel angezeigt.
Benutzerdefi ni erte Regeln
Benutzerdefinierte Ausdrcke:Geben Sie die Ausdrcke ein, die Data Protection zustzlich
zu den oben ausgewhlten Regeln verwenden soll. Sie knnen regulre Ausdrcke hin-
zufgen.
Querverweis Detaillierte Informationen zur Verwendung von regulren Ausdrcken finden
Sie hier, siehe Sophos Knowledgebase.
UTM9 WebAdmin 373
10.1.6 Ausnahmen
Auf der Registerkarte SMTP>Ausnahmen knnen Sie vertrauenswrdige Hosts, Netzwerke,
Absender und Empfnger definieren, die dann von Antivirus-, Antispam- und anderen Sicher-
heitsprfungen ausgenommen werden.
Hinweis Da E-Mails mehrere Empfnger haben knnen und Sophos UTMden Scan fr
das SMTP-Protokoll inline ausfhrt, wird die berprfung einer E-Mail gnzlich ausgesetzt,
sobald einer der Empfnger der E-Mail imFeld Empfnger aufgefhrt ist.
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen aus, die nicht
durchgefhrt werden sollen. Weitere Informationen finden Sie unter Email Protection >
SMTP>Antivirus, Antispamund Datenschutz.
Fr diese Quellhosts/-netzwerke: Whlen Sie die Quellhosts/-netzwerke (d. h. die
Hosts oder Netzwerke, die Nachrichten senden), die gem dieser Ausnahmeregel von
den Sicherheitsprfungen ausgenommen werden sollen, oder fgen Sie sie hinzu. Das
Hinweis Fr Localhost muss keine Ausnahmeregel angelegt werden, da lokale
Nachrichten standardmig nicht gescannt werden.
Wenn Sie diese Option whlen, wird das Feld Hosts/Netzwerke geffnet. Hier knnen
Sie einen Host oder ein Netzwerk eingeben, indemSie auf das Plussymbol oder das Ord-
nersymbol klicken.
ODER diese Absenderadressen: Whlen Sie die Absenderadressen, die von den
gewhlten Sicherheitsprfungen ausgenommen werden sollen.
Wenn Sie diese Option whlen, wird das Feld Absender geffnet. Sie knnen entweder
374 UTM9 WebAdmin
eine vollstndige, gltige E-Mail-Adresse eingeben (z. B. hmustermann@beispiel.de)
oder alle E-Mail-Adressen einer bestimmten Domne, wobei Sie einen Asterisk (*) als
Platzhalter verwenden (z. B. *@beispiel.de).
Hinweis Verwenden Sie die Absender-Option mit Vorsicht, da Absenderadressen
leicht geflscht werden knnen.
ODER diese Empfngeradressen: Whlen Sie die Empfngeradressen, die von den
Wenn Sie diese Option whlen, wird das Feld Empfnger geffnet. Sie knnen entweder
zu.
flchen.
10.1.7 Relaying
Der SMTP-Proxy kann als Mail-Relay konfiguriert werden. Ein Mail-Relay ist ein SMTP-Server,
der so konfiguriert ist, dass er bestimmten Benutzern, Benutzergruppen oder Hosts erlaubt, E-
Mails durch ihn an Domnen hindurchzuleiten, die lokal nicht erreichbar sind.
Hinweis Einige der Funktionen auf dieser Registerkarte stehen mit demBasicGuard-Abon-
nement nicht zur Verfgung.
Upstream-Host-Li ste
Ein Upstream-Host ist ein Host, der E-Mails an Sie weiterleitet, z. B. Ihr ISPoder externer MX.
Wenn Sie eingehende E-Mails von statischen Upstream-Hosts erhalten, ist es ntig, dass Sie
diese Hosts hier eintragen. Andernfalls wird der Spamschutz nicht richtig funktionieren.
UTM9 WebAdmin 375
Umeinen Upstream-Host hinzuzufgen, klicken Sie entweder auf das Plussymbol oder auf das
Ordnersymbol, umHosts direkt aus der Netzwerke-Objektleiste zu ziehen. Das Hinzufgen
werkdefinitionen erlutert.Wenn Sie ausschlielich Upstream-Hosts zulassen mchten, wh-
len Sie die Option Nur Upstream/Relay-Hosts zulassen. Der SMTP-Zugriff wird dann auf die
definierten Upstream-Hosts begrenzt. Upstream-Hosts knnen sich authentifizieren, umRelay-
ing-Rechte zu erhalten. Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Authenti fi zi ertes Relay
SMTP-Clients knnen sich authentifizieren, umRelaying-Rechte zu erlangen. Whlen Sie die
Option Authentifiziertes Relaying zulassen und geben Sie die Benutzer oder Benutzergruppen
an, die diese Funktion verwenden drfen.Das Hinzufgen eines Benutzers wird auf der Seite
Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.Klicken Sie auf ber-
Hinweis Wenn das Auswahlkstchen Nur Upstream/Relay-Hosts zulassen markiert ist,
funktioniert Authentifiziertes Relay nur, wenn der sendende Host als Upstream- oder Relay-
Host konfiguriert ist.
Hostbasi ertes Relay
Mail-Relaying kann auch hostbasiert ablaufen. Wenn Ihr lokaler Mailserver oder Ihre Mail-Cli-
ents in der Lage sein sollen, den SMTP-Proxy als Mail-Relay zu verwenden, mssen Sie die
Netzwerke und Hosts, die E-Mails ber das Relay versenden drfen, zumFeld Zugelassene
Hosts/Netzwerke hinzufgen. Die aufgefhrten Netzwerke und Hosts drfen Nachrichten an
beliebige Adressen versenden.Das Hinzufgen einer Definition wird auf der Seite Definitionen
Warnung Whlen Sie imFeld Zugelassene Hosts/Netzwerke niemals Any aus, denn das
wrde zu einemoffenen Mail-Relay fhren, welches es jedemaus demInternet gestattet,
Nachrichten ber den SMTP-Proxy zu senden. Spam-Versender werden das schnell her-
ausfinden und das wird zu einemerheblichen E-Mail-Aufkommen fhren. Imschlimmsten Fall
werden Sie auf Spam-Versender-Negativlisten (Blacklists) Dritter gefhrt. In den meisten
Konfigurationen sind die einzigen Hosts, die als Mail-Relay agieren drfen, die Mailserver in
IhremNetzwerk.
376 UTM9 WebAdmin
Host-/ Netzwerk-Blackli st
Hier knnen Sie Hosts und Netzwerke bestimmen, die vomSMTP-Proxy blockiert werden sol-
len.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Inhaltsscan fr (ausgehende) Relay-Nachri chten
Wenn diese Option gewhlt ist, werden auch Nachrichten auf schdlichen Inhalt gescannt, die
von authentifizierten oder hostbasierten Relays gesendet werden. BeimVersand vieler aus-
gehender Nachrichten kann das Ausschalten dieser Option ggf. die Leistung ver-
bessern.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Beachten Sie, dass die globalen Antiviren- und Antispam-Einstellungen auch fr ausgehende
Nachrichten gelten. Unabhngig von diesen Einstellungen werden infizierte oder Spam-Nach-
richten niemals verworfen, sondern unter Quarantne gestellt, umden unbeabsichtigten Ver-
lust von E-Mails zu vermeiden.
10.1.8 Erweitert
Auf der Registerkarte SMTP>Erweitert knnen Sie zustzliche Sicherheitsoptionen fr den
SMTP-Proxy konfigurieren, unter anderemSmarthost-Einstellungen oder Trans-
parenzmodus-Ausnahmen.
bergeordneter Proxy
Ein bergeordneter Proxy (auch Parent oder UpstreamProxy) wird in Lndern bentigt, in
denen der Zugang zumInternet nur ber einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung eines bergeordneten Proxys erforderlich
machen, so knnen Sie diesen hier durch Angabe einer Hostdefinition und eines Ports kon-
figurieren.
bergeordneten Proxy verwenden:
1. Whlen Sie diese Option, umeinen bergeordneten Proxy zu verwenden.
2. Whlen Sie den Host oder fgen Sie einen neuen Host hinzu.
3. Geben Sie den Port des Proxies an.
UTM9 WebAdmin 377
Proxy erfordert Authentifizierung: Falls der bergeordnete Proxy Authentifizierung erfor-
dert, geben Sie den Benutzernamen und das Kennwort hier ein.
Transparenzmodus
Umden Transparenzmodus fr SMTPzu aktivieren, markieren Sie das Auswahlkstchen und
klicken Sie auf bernehmen.
Hosts und Netzwerke, die imFeld Hosts/Netze vomTransparenzmodus ausnehmen auf-
gefhrt sind, werden vomSMTP-Proxy nicht transparent berwacht. Umjedoch SMTP-Ver-
kehr fr diese Hosts und Netzwerke zuzulassen, whlen Sie die Option SMTP-Verkehr fr auf-
gefhrte Hosts/Netze zulassen. Wenn Sie diese Option nicht whlen, mssen Sie spezielle
Firewallregeln fr die hier aufgefhrten Hosts und Netzwerke anlegen. Klicken Sie auf ber-
TLS-Ei nstellungen
TLS-Zertifikat: Whlen Sie aus der Auswahlliste ein Zertifikat zumAushandeln der TLS-Ver-
schlsselung mit allen Gegenstellen aus, die TLSuntersttzen. Sie knnen Zertifikate auf der
Registerkarte Site-to-Site VPN>Zertifikatverwaltung >Zertifikate hinzufgen und hochladen.
Hosts/Netze, die TLS-Aushandlung erfordern: Fgen Sie hier Hosts oder Netze hinzu,
die fr die E-Mail-Kommunikation immer TLS-Verschlsselung erfordern. Die UTMhlt dann
E-Mails zurck, wenn fr diese Hosts/Netze keine TLS-Verschlsselung zur Verfgung steht.
Diese Nachrichten bleiben in der Mail-Warteschlange, bis TLSwieder verfgbar ist. Bleibt TLS
ber einen bestimmten Zeitraumnicht verfgbar, werden keine weiteren Versuche mehr unter-
nommen, die E-Mail zu versenden, und der Benutzer erhlt eine Benachrichtigung darber,
dass seine Nachricht nicht zugestellt werden konnte.
Absenderdomnen, die TLS-Aushandlung erfordern: Geben Sie hier die Domnen an,
fr die Sie eine TLS-Verschlsselung fr eingehende E-Mails erzwingen mchten. Von diesen
Domnen versendete E-Mails ohne TLSwerden umgehend zurckgewiesen.
Kein TLS fr diese Hosts/Netze: Falls ein bestimmter Host oder ein Netzwerk Probleme mit
TLS-Verschlsselung hat, knnen Sie diesen/dieses imFeld angeben und das entsprechende
TLS-Zertifikat aus der Auswahlliste auswhlen. Dadurch nimmt die UTMden entsprechenden
Host oder das entsprechende Netzwerk von der TLS-Aushandlung aus. Klicken Sie auf ber-
Domai nKeys Identi fi ed Mai l (DKIM)
DKIMist eine Methode, umausgehende Nachrichten kryptografisch zu signieren. UmDKIM-
Signierung zu verwenden, geben Sie Ihren privaten RSA-Schlssel und den dazugehrigen
378 UTM9 WebAdmin
Schlsselselektor (key selector), den Schlsselnamen, in die entsprechenden Felder ein.
Fgen Sie dann die Domnen, fr die Sie E-Mails signieren wollen, zumFeld DKIM-Domnen
hinzu. Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Vertrauli chkei tsfuzei le
Sie knnen jeder ausgehenden E-Mail eine Vertraulichkeitsfuzeile hinzufgen und anpassen,
die Benutzer zumBeispiel darber informiert, dass die E-Mail vertrauliche oder schutzwrdige
Informationen enthalten kann. Die Vertraulichkeitsfuzeile wird jedoch nicht an die E-Mail ange-
hngt, wenn es sich bei der E-Mail umeine Antwort handelt (d.h. sie besitzt den Header In-Rep-
ly-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden konnte.
Erwei terte Ei nstellungen
Hier knnen Sie unter anderemden SMTP-Hostnamen und die Postmaster-Adresse ein-
stellen.
SMTP-Hostname: Wenn ein SMTP-Hostname definiert ist, wird der SMTP-Proxy diesen
Namen in HELO- und in SMTP-Banner-Nachrichten verwenden. Standardmig ist der Host-
name des Systems angegeben.
Postmaster-Adresse: Tragen Sie die E-Mail-Adresse des Postmasters, des E-Mail-Verant-
wortlichen, fr die UTMein, an den die Nachrichten weitergeleitet werden, die in der Form
postmaster@[192.168.16.8]gesendet werden, wobei die IP-Adresse eine der IP-Adres-
sen der UTMist. Die Annahme solcher Nachrichten ist eine RFC-Anforderung.
BATV-Schlssel: Hier knnen Sie den automatisch generierten BATV-Schlssel (engl.
BATVsecret) ndern, der vomSMTP-Proxy benutzt wird. Der BATV-Schlssel ist ein verteilter
Schlssel, der verwendet wird, umdie Envelope-Adresse (dt. Umschlagadresse) MailFrom
einer E-Mail zu signieren, wodurch die Erkennung ungltiger Absenderadressen von Ableh-
UTM9 WebAdmin 379
nungsnachrichten mglich wird. Wenn Sie mehrere MXs fr Ihre Domnen verwenden, kn-
nen Sie den BATV-Schlssel ndern, damit er auf allen Systemen gleich ist.
Max. Nachrichtengre: Die maximale Gre der E-Mails, die vomProxy akzeptiert wird.
Diese Einstellung bezieht sich sowohl auf eingehende als auch auf ausgehende E-Mails. Falls
Ihr Backend-Server eine Begrenzung in Bezug auf die Gre von E-Mails hat, dann sollten Sie
hier denselben oder einen niedrigeren Wert einstellen.
Max. Verbindungen: Die maximale Anzahl gleichzeitiger Verbindungen, die der Proxy
zulsst. Der Standardwert ist 20.
Max. Verb./Host: Die maximale Anzahl an Verbindungen pro Host, die der Proxy zulsst. Der
Standardwert ist 10.
Max. Mails/Verbindung: Max. Verbindungen: Die maximale Anzahl gleichzeitiger Ver-
bindungen, die der Proxy zulsst. Der Standardwert ist 1000.
Max. Empf./Mail: Die maximale Anzahl an Empfngern pro Mail, die der Proxy zulsst. Der
Standardwert ist 100.
Fuzeilen-Modus: Hier knnen Sie bestimmen, wie Fuzeilen zu E-Mails hinzugefgt wer-
den. MIME-Teil fgt die Fuzeile als Extra-MIME-Teil hinzu. Bereits vorhandene Teil-Enco-
dierungen werden nicht gendert und sprachspezifische Sonderzeichen bleiben erhalten. Die
andere Methode ist Inline, bei der die Fuzeile von der eigentlichen Mail durch das Trenn-
zeichen --getrennt ist. Bei diesemModus knnen Sie whlen, ob die Fuzeile nach Unicode
(UTF-8) konvertiert wird oder nicht. Eine Unicode-Umwandlung verndert die Nachricht dahin-
gehend, dass sprachspezifische Sonderzeichen in der Fuzeile erhalten bleiben.
Smarthost-Ei nstellungen
Ein Smarthost ist eine Art Mail-Relay-Server, der es einemSMTP-Server erlaubt, Mails an
einen Upstream-Mailserver zu routen statt direkt an den Server des Empfngers. So ein Smar-
thost verlangt meistens, dass der Absender sich authentifiziert, umsicherzustellen, dass der
Absender auch die Berechtigung besitzt, Mails durch den Smarthost weiterzuleiten.
Smarthost verwenden: Wenn Sie einen Smarthost fr den Mailversand verwenden wollen,
markieren Sie dieses Auswahlkstchen. In diesemFall wird der Proxy Mails nie selbst zustellen,
sondern diese immer an den Smarthost senden.
l Smarthost: Whlen Sie ein Smarthost-Objekt aus oder fgen Sie eins hinzu. Das Hin-
380 UTM9 WebAdmin
l Smarthost-Port: Der Standardport fr die Smarthost-Verbindung ist 25. Falls not-
wendig, knnen Sie diesen Port ndern.
l Dieser Smarthost erfordert Authentifizierung: Whlen Sie diese Option, wenn der
Smarthost Authentifizierung erfordert. Als Authentifizierungsmethode wird sowohl Plain
als auch Login untersttzt. Geben Sie einen Benutzernamen und ein Kennwort in die ent-
sprechenden Textfelder ein.
10.2 SMTP-Profile
Der SMTP-Proxy von Sophos UTMermglicht es Ihnen, alternative SMTP-Profile fr ver-
schiedene Domnen anzulegen. Auf diese Weise knnen Sie Domnen bestimmen, die ein
anderes Profil verwenden sollen als das Standardprofil, das unter Email Protection >SMTPkon-
figuriert ist. Die Reihenfolge der Funktionen, die in Formvon Registerkarten dargestellt sind,
spiegelt die Abfolge einzelner Schritte whrend der SMTP-Zeit wider.
Umein SMTP-Profil anzulegen, gehen Sie folgendermaen vor:
1. Aktivieren Sie den SMTP-Profilmodus.
Whlen Sie auf der Registerkarte Email Protection >SMTP>Allgemein die Option Pro-
filmodus und klicken Sie auf bernehmen.
Das Anlegen von SMTP-Profilen imMen Email Protection >SMTP-Profile ist aktiviert.
2. Klicken Sie auf der Registerkarte SMTP-Profile auf Neues Profil.
Ein Dialogfeld wird geffnet.
3. Geben Sie einen aussagekrftigen Namen fr das Profil an.
4. Fgen Sie eine oder mehrere Domnen hinzu.
Geben Sie imFeld Domnen eine oder mehrere Domnen an.
Die Einstellungen dieses Profils gelten fr diese Domnen.
Sie brauchen nur die Einstellungen fr jene Funktionen vorzunehmen, die Sie ver-
wenden wollen. Fr jede der folgenden Funktionen knnen Sie entscheiden, ob die hier
vorgenommenen individuellen Einstellungen verwendet werden sollen oder die globalen
Einstellungen von Email Protection >SMTP. Standardmig ist die in den globalen Ein-
stellungen gewhlte Option ausgewhlt. Die individuellen Einstellungen fr jede Funktion
sind unten beschrieben.
UTM9 WebAdmin 381
10 Email Protection 10.2 SMTP-Profile
10.2 SMTP-Profile 10 Email Protection
Hinweis Verschlsselte E-Mails, deren Absenderadresse einen Domnennamen
enthlt, der hier konfiguriert ist, knnen nicht entschlsselt werden, wenn Sie die E-
Mail-Encryption-/Decryption-Funktion von Sophos UTMverwenden. Aus diesem
Grund sollten Sie keine Profile fr externe E-Mail-Domnen anlegen.
Alle Einstellungen, die Sie hier vornehmen knnen, knnen unter Email Protection >
SMTPauch global vorgenommen werden. Deshalb werden hier nur eine Liste der Ein-
stellungsmglichkeiten und die Unterschiede zu den globalen Einstellungen aufgefhrt,
mit Querverweisen zu den entsprechenden detaillierten Beschreibungen der globalen
Einstellungen.
Die folgenden Einstellungen knnen vorgenommen werden:
l Routing: Auf der Registerkarte Routing knnen Sie Domnen- und Routingziele
fr den SMTP-Proxy konfigurieren. Auerdemknnen Sie festlegen, wie Emp-
fnger verifiziert werden sollen.
l Statische Hostliste
l DNS-Hostname
l MX-Eintrge
Weitere Informationen finden Sie unter Email Protection >SMTP>Routing.
l Empfngerverifizierung
Empfnger verifizieren: Hier knnen Sie festlegen, ob und wie E-Mail-Emp-
fnger verifiziert werden.
l Mit Serveranfrage: Es wird eine Anfrage an den Server geschickt, umden
Empfnger zu verifizieren.
l In Active-Directory: Es wird eine Anfrage an den Active-Directory-Server
geschickt, umden Empfnger zu verifizieren. UmActive Directory benutzen
zu knnen, muss ein Active-Directory-Server unter Definitionen &Benutzer
>Authentifizierungsdienste >Server angegeben worden sein. Geben Sie
einen BaseDNimFeld Alternativer BaseDNein.
Hinweis Die Verwendung der Active-Directory-Empfngerverifizierung
kann dazu fhren, dass Nachrichten abgelehnt werden, wenn der Server
nicht antwortet.
382 UTM9 WebAdmin
l Aus: Sie knnen die Empfngerverifizierung vollstndig ausschalten, aber
das ist nicht empfehlenswert, da es zu einemhheren Spam-Aufkommen
und Wrterbuchangriffen fhrt. Dadurch erhhen Sie die Wahr-
scheinlichkeit, dass Ihre Quarantne mit unerwnschten Nachrichten ber-
flutetwird.
Weitere Informationen finden Sie unter Email Protection >SMTP>Routing.
l Sophos UTM RBLs: Hier knnen Sie IP-Adressen blockieren, die mit Spam-
versand in Verbindung gebracht werden.
l Empfohlene RBLs
verwenden
Weitere Informationen finden Sie unter Email Protection >SMTP>Antispam.
l Extra-RBLs: Sie knnen zustzliche RBL-Sites hinzufgen, umdie Antispam-
Fhigkeiten von Sophos UTMzu erweitern. Weitere Informationen finden Sie
unter Email Protection >SMTP>Antispam. Beachten Sie, dass Sie als dritte Opti-
on die globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufgen
knnen.
l BATV/RDNS/HELO/SPF/Greylisting: Auf dieser Registerkarte sind ver-
schiedene erweiterte Optionen vereint, die die Antispam-Fhigkeiten von Sophos
UTMergnzen.
l Ungltige HELO/fehlende RDNSablehnen
l Greylisting verwenden
l BATVverwenden
l SPF-Prfung durchfhren
l Antiviren-Scan: Hier knnen Sie festlegen, wie mit Nachrichten verfahren wird,
die schdlichen Inhalt besitzen. Die folgenden Aktionen sind mglich:
l Aus
l Quarantne
l Verwerfen
Sie knnen zwischen den folgenden Antiviren-Scan-Optionen whlen:
l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der
Registerkarte Systemeinstellungen >Scan-Einstellungen festgelegte Engi-
ne wird verwendet.
UTM9 WebAdmin 383
10.2 SMTP-Profile 10 Email Protection
l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende
Verkehr von zwei verschiedenen Virenscannern gescannt wird. Beachten
Sie, dass Zweifachscan mit einemBasicGuard-Abonnement nicht ver-
fgbar ist.
Unscannbaren und verschlsselten Inhalt in Quarantne: Whlen Sie die-
se Option, umE-Mails unter Quarantne zu stellen, deren Inhalt nicht gescannt
werden konnte. Unscannbarer Inhalt knnen verschlsselte Archive oder sehr
groe Inhalte sein, oder es kann ein technischer Grund vorliegen wie z.B. der Aus-
fall eines Scanners.
Weitere Informationen finden Sie unter Email Protection >SMTP>Antivirus.
l AntiSpam-Scanning: Hier knnen Sie konfigurieren, wie mit unerwnschten
kommerziellen E-Mails verfahren werden soll. Sowohl fr Spamals auch fr best-
tigten Spamknnen Sie zwischen den folgenden Optionen whlen:
l Aus
l Warnen
l Quarantne
l Verwerfen
l Absender-Blacklist: Der Envelope-Absender eingehender SMTP-Sitzungen
wird mit den Adressen auf dieser Blacklist (Negativliste) verglichen. Wenn der
Envelope-Absender auf der Blacklist gefunden wird, wird die Nachricht verworfen.
Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu Ihren indi-
viduellen Einstellungen hier hinzufgen knnen.
l Blockierung von MIME Audio/Video/Ausfhrbaren Dateien: Der MIME-
Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie knnen whlen, welche
Inhaltsarten Sie unter Quarantne stellen wollen:
l Audioinhalte
l Videoinhalte
l Ausfhrbare Inhalte
Weitere Informationen finden Sie unter Email Protection >SMTP>Antivirus.
l MIME-Typ-Blacklist: Hier knnen Sie zustzliche MIME-Typen hinzufgen, die
unter Quarantne gestellt werden sollen. Weitere Informationen finden Sie unter
384 UTM9 WebAdmin
Email Protection >SMTP>Antivirus. Beachten Sie, dass Sie als dritte Option die
globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufgen kn-
nen.
l MIME-Typ-Whitelist: Hier knnen Sie MIME-Typen hinzufgen, die nicht unter
Quarantne gestellt werden sollen. Weitere Informationen finden Sie unter Email
Protection >SMTP>Antivirus. Beachten Sie, dass Sie als dritte Option die glo-
balen Einstellungen zu Ihren individuellen Einstellungen hier hinzufgen knnen.
l Blockierte Dateierweiterungen: Mit demDateierweiterungenfilter knnen Sie
E-Mails unter Quarantne stellen (mit Warnung), die bestimmte Dateitypen ent-
halten, basierend auf ihren Dateierweiterungen (z. B. ausfhrbare Dateien). Wei-
tere Informationen finden Sie unter Email Protection >SMTP>Antivirus.
Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu Ihren indi-
viduellen Einstellungen hier hinzufgen knnen.
l Blockierte Ausdrcke: Der Ausdruckfilter prft den Inhalt von Nachrichten, die
den SMTP-Proxy passieren, auf bestimmte Ausdrcke. Verdchtige E-Mails wer-
den blockiert. Weitere Informationen finden Sie unter Email Protection >SMTP>
Antispam. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu
Ihren individuellen Einstellungen hier hinzufgen knnen.
l Vertraulichkeitsfunote: Sie knnen jeder ausgehenden E-Mail eine Ver-
traulichkeitsfuzeile hinzufgen und anpassen, die Benutzer zumBeispiel darber
informiert, dass die E-Mail vertrauliche oder schutzwrdige Informationen ent-
halten kann. Die Vertraulichkeitsfuzeile wird jedoch nicht an die E-Mail ange-
hngt, wenn es sich bei der E-Mail umeine Antwort handelt (d.h. sie besitzt den
Header In-Reply-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden
konnte. Beachten Sie, dass die Fuzeile abhngig von der Absenderdomne
angehngt wird. Umeine Fuzeile zu verwenden, markieren Sie das Aus-
wahlkstchen und geben Sie den Text fr die Fuzeile ein.
l SPX-Vorlagenauswahl: Die SPX-Vorlage wird fr SPX-Verschlsselung ver-
wendet. Sie definiert, wie verschlsselte E-Mails an die Empfnger versendet wer-
den. Weitere Informationen finden Sie unter Email Protection >SPXEncryption >
SPX-Vorlagen.
l Konfiguration von Data Protection: Hier knnen Sie Anhnge zur Scanliste
hinzufgen, Benachrichtigungen festlegen und die Elemente der SophosLabs-
Inhaltssteuerungslisten auswhlen.
Weitere Informationen finden Sie unter SMTP>Datenschutz.
UTM9 WebAdmin 385
10.3 POP3 10 Email Protection
Ihre Einstellungen werden gespeichert.Das neue Profil wird in der Liste SMTP-Profile
angezeigt.
Hinweis Wenn Sie die Option Globale Einstellungen verwenden fr eine Einstellung ver-
wenden und auf bernehmen klicken, wechselt das Symbol der Funktion zumSymbol fr glo-
bale Einstellungen. Dadurch erhalten Sie leicht einen berblick darber, fr welche Funk-
tionen Sie die globalen Einstellungen verwenden und fr welche Funktionen die individuellen
Einstellungen.
Umein Profil umzubenennen, zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen oben unter der Auswahlliste der Profile.
10.3 POP3
ImMen Email Protection >POP3 knnen Sie den POP3-Proxy fr eingehende E-Mails kon-
figurieren. Das Post Office Protocol 3 ist ein Internet-Standardprotokoll auf Anwen-
dungsebene, das es ermglicht, E-Mails von einementfernten Server abzuholen. Der POP3-
Proxy arbeitet imTransparenzmodus, das heit, alle POP3-Anfragen, die ber Port 110(und
995, wenn das Scannen von TLS-verschlsseltemVerkehr aktiviert ist)aus deminternen Netz-
werk kommen, werden abgefangen und, unsichtbar fr den Client, durch den Proxy geleitet.
Der Vorteil dieses Modus ist, dass keine zustzliche Verwaltung oder clientseitige Konfiguration
ntig ist.
Hinweis Es kann ntig sein, die Einstellungen fr die Server-Zeitberschreitung in der E-
Mail-Client-Konfiguration zu erhhen. Meistens ist die Voreinstellung von einer Minute oder
weniger zu gering, insbesondere wenn groe E-Mails abgeholt werden.
Das POP3-Protokoll verfolgt auf der Serverseite nicht, welche E-Mails bereits abgeholt wur-
den. ImAllgemeinen holt ein Mail-Client eine E-Mail ab und lscht sie danach auf demServer.
Wenn der Client jedoch so eingestellt ist, dass er keine E-Mails lscht, dann wird auch auf Ser-
verseite nicht gelscht und der Client bernimmt die Aufgabe, nachzuvollziehen, welche E-
Mails bereits abgeholt wurden.
386 UTM9 WebAdmin
10.3.1 Allgemein
Auf der Registerkarte Email Protection >POP3 >Allgemein knnen Sie Grundeinstellungen fr
den POP3-Proxy vornehmen.
Umden POP3-Proxy zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie den POP3-Proxy.
Der Schieberegler wird gelb und der Bereich POP3-Einstellungen kann bearbeitet wer-
den.
Fgen Sie die Netzwerke hinzu oder whlen Sie die Netzwerke aus, deren POP3-Ver-
kehr ber den Proxy laufen soll. Standardmig ist das interne Netzwerk voreingestellt.
Warnung Whlen Sie niemals das Netzwerkobjekt Any aus, weil Sie dadurch Ihre
Appliance einemhohen Risiko fr Angriffe aus demInternet aussetzen wrden.
Li ve-Protokoll
ImPOP3-Live-Protokoll werden die Aktivitten des POP3-Proxy protokolliert. Alle eingehenden
E-Mails werden darin aufgefhrt. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in
einemneuen Fenster zu ffnen.
10.3.2 Antivirus
Die Registerkarte Antivirus bietet verschiedene Manahmen gegen E-Mails, die schdlichen
oder gefhrlichen Inhalt haben wie Viren, Wrmer oder andere Schadsoftware.
UTM9 WebAdmin 387
10 Email Protection 10.3 POP3
Anti vi ren-Scan
Wenn Sie diese Option whlen, werden E-Mails nach unerwnschtemInhalt gescannt wie z.B.
Viren, Trojanischen Pferden oder verdchtigen Dateitypen. Nachrichten mit schdlichemInhalt
werden blockiert oder in der E-Mail-Quarantne gespeichert. Benutzer knnen ihre unter Qua-
rantne stehenden E-Mails ansehen und freigeben, entweder ber das SophosBenutzerportal
oder den tglichen Quarantnebericht. Nachrichten, die schdlichen Inhalt enthalten, knnen
jedoch nur vomAdministrator ber den Mail-Manager aus der Quarantne freigegeben wer-
den.
Sophos UTMbietet mehrere Antiviren-Mechanismen fr hchste Sicherheit.
Unscannbaren und verschlsselten Inhalt in Quarantne: Whlen Sie diese Option, um
E-Mails unter Quarantne zu stellen, deren Inhalt nicht gescannt werden konnte. Uns-
cannbarer Inhalt knnen verschlsselte Archive oder sehr groe Inhalte sein, oder es kann ein
technischer Grund vorliegen wie z.B. der Ausfall eines Scanners.
Max. Scangre: Legen Sie die Maximalgre von Dateien fest, die von den Antiviren-Engi-
nes gescannt werden sollen. Dateien, die grer sind, werden nicht gescannt.
Mit dieser Funktion knnen Sie E-Mails unter Quarantne stellen (mit Warnung), die bestimmte
Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z.B. ausfhrbare Dateien). Um
Dateierweiterungen hinzuzufgen, klicken Sie auf das Plussymbol imFeld Blockierte Erwei-
terungen und geben Sie eine kritische Dateierweiterung ein, die gesperrt werden soll, z.B. exe
oder jar(ohne den Punkt als Trennzeichen). Klicken Sie auf bernehmen, umIhre Ein-
Hinweis Archive knnen nicht auf verbotene Dateierweiterungen gescannt werden. Um
Ihr Netzwerk vor Schadsoftware aus Archivdateien zu schtzen, sollten Sie in Betracht zie-
hen, die entsprechenden Archivdateierweiterungen gnzlich zu blockieren.
388 UTM9 WebAdmin
10.3.3 Antispam
Sophos UTMkann so konfiguriert werden, dass es unerwnschte Spam-E-Mails entdeckt und
Spam-bermittlungen von bekannten oder verdchtigten Spam-Versendern identifiziert. Die
Konfigurationsoptionen auf der Registerkarte Antispamermglichen die Konfiguration von
POP3-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor demEmpfang von
unerbetenen kommerziellen E-Mails zu schtzen.
Spamfi lter
Sophos UTMbietet eine heuristische Prfung eingehender E-Mails auf Spam-Eigenschaften.
Es benutzt dafr SMTP-Envelope-Informationen (envelope =Umschlag) und eine interne
Datenbank mit heuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nach-
richten basierend auf ihremInhalt und SMTP-Envelope-Informationen. Hhere Werte deuten
auf eine hhere Spam-Wahrscheinlichkeit hin.
Mit den folgenden beiden Optionen knnen Sie festlegen, was mit Nachrichten geschehen soll,
denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dass potenzielle
Spam-E-Mails vomGateway anders behandelt werden.
l Spam-Aktion: Hier knnen Sie festlegen, was mit Nachrichten geschieht, die als mg-
licher Spameingestuft wurden.
l Aktion bei besttigtemSpam: Hier knnen Sie festlegen, was mit Nachrichten
geschieht, die sicher Spamsind.
Sie knnen zwischen verschiedenen Aktionen fr diese beiden Arten von Spamwhlen:
l Aus: Es werden keine Nachrichten als Spammarkiert oder ausgefiltert.
l Warnen: Es werden keine Nachrichten herausgefiltert. Stattdessen wird eine Spam-
Markierung (Flag) zumHeader der Nachricht hinzugefgt und der Betreff der Nach-
richt erhlt eine Spam-Kennzeichnung.
l Quarantne: Die Nachricht wird blockiert und in die E-Mail-Quarantne verschoben.
Nachrichten in Quarantne knnen entweder ber das Benutzerportal oder den tg-
lichen Quarantnebericht eingesehen werden.
Spam-Kennzeichnung: Mit dieser Option knnen Sie eine Kennzeichnung fr Spam-Nach-
richten festlegen, d.h., dass eine Zeichenkette zur Betreffzeile der Nachricht hinzugefgt wird,
die es einfach macht, Spam-Nachrichten schnell als solche zu erkennen. Standardmig wird
die Zeichenkette *SPAM*benutzt, umNachrichten als Spamzu kennzeichnen.
UTM9 WebAdmin 389
Ausdruckfi lter
Der Ausdruckfilter scannt den Betreff und Inhalt von Nachrichten auf spezifische Ausdrcke. E-
Mails, die einen der hier aufgefhrten Ausdrcke enthalten, werden blockiert. Wenn jedoch auf
der Registerkarte Email Protection >POP3 >Erweitert die Vorabholung eingeschaltet ist, wird
die E-Mail unter Quarantne gestellt. Ausdrcke knnen in Formvon Perl Compatible Regular
Expressions (Perl-kompatible regulre Ausdrcke) eingegeben werden. Einfache Zei-
chenfolgen wie Online Datingwerden ohne Bercksichtigung der Gro-/Kleinschreibung
interpretiert.
Querverweis Detaillierte Informationen zur Verwendung von regulren Ausdrcken im
Ausdruckfilter finden Sie in der Sophos-Knowledgebase.
Absender-Blackli st
Der Envelope-Absender eingehender POP3-Sitzungen wird mit den Adressen auf dieser Black-
list (Negativliste) verglichen. Wenn der Envelope-Sender auf der Blacklist gefunden wird, wird
die Nachricht unter Quarantne gestellt und mit Other in der Betreffzeile markiert.
Umein neues Adressmuster zur Blacklist hinzuzufgen, klicken Sie auf das Plussymbol imFeld
Adressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klicken Sie
bernehmen. Sie knnen einen Asterisk (*) als Platzhalter verwenden, z.B.
*@abbeybnknational.com.
Tipp End-Benutzer knnen imBenutzerportal ihre eigenen Black- und Whitelisten anlegen.
10.3.4 Ausnahmen
Auf der Registerkarte POP3 >Ausnahmen knnen Sie Clienthosts/-Netzwerke und Absen-
deradressen festlegen, die von verschiedenen Sicherheitsmanahmen ausgenommen wer-
den sollen.
390 UTM9 WebAdmin
Diese Prfungen auslassen: Whlen Sie die Sicherheitsprfungen aus, die nicht
durchgefhrt werden sollen. Weitere Informationen finden Sie unter Email Protection >
POP3 >Antivirus und Antispam.
Fr diese Clienthosts/-Netzwerke: Fgen Sie die Quellhosts/-Netzwerke (d.h. die
Hosts oder Netzwerke, die Nachrichten senden) hinzu bzw. whlen Sie die Quellhosts/-
Netzwerke aus, die von den Sicherheitsprfungen ausgenommen werden sollen. Das
Hinweis Fr Localhost muss keine Ausnahmeregel angelegt werden, da lokale
Nachrichten standardmig nicht gescannt werden.
Wenn Sie diese Option whlen, wird das Feld Clienthosts/-netzwerke geffnet. Hier kn-
nen Sie einen Host oder ein Netzwerk eingeben, indemSie auf das Plussymbol oder das
Ordnersymbol klicken.
ODER diese Absenderadressen: Whlen Sie die Absenderadressen, die von den
Wenn Sie diese Option whlen, wird das Feld Absender geffnet. Sie knnen entweder
Hinweis Verwenden Sie die Absender-Option mit Vorsicht, da Absenderadressen
leicht geflscht werden knnen.
zu.
flchen.
UTM9 WebAdmin 391
10.3.5 Erweitert
Auf der Registerkarte POP3 >Erweitert knnen Sie Hosts und Netzwerke bestimmen, die vom
Transparenzmodus des POP3-Proxy ausgenommen sein sollen. Des Weiteren beinhaltet die
Registerkarte die POP3-Option zumVorabholen (engl. prefetch), welche es ermglicht, Nach-
richten von einemPOP3-Server imVoraus zu holen und sie in einer Datenbank zu speichern.
Transparenzmodus-Ausnahmen
Hosts und Netzwerke, die imFeld Auszunehmende Hosts/Netze aufgefhrt sind, werden vom
POP3-Proxy nicht transparent berwacht. Umjedoch POP3-Verkehr fr diese Hosts und Netz-
werke zuzulassen, whlen Sie die Option POP3-Verkehr fr aufgefhrte Hosts/Netze zulassen.
Wenn Sie diese Option nicht whlen, mssen Sie spezielle Firewallregeln fr die hier auf-
gefhrten Hosts und Netzwerke anlegen.
POP3-Server und Vorabholen
Sie knnen hier einen oder mehrere POP3-Server eintragen, die in IhremNetzwerk oder von
Ihren Endbenutzern verwendet werden und demProxy bekannt sein sollen. Zustzlich knnen
Sie das Vorabholen (engl. prefetching) aktivieren.
Umeinen POP3-Server anzulegen, gehen Sie folgendermaen vor:
1. Geben Sie den DNS-Namen des oder der POP3-Server ein.
Klicken Sie imFeld POP3-Server auf das Plussymbol. Geben Sie imDialogfenster Ser-
ver hinzufgen den DNS-Namen ein und klicken Sie auf Speichern.
Ein neuer Eintrag mit demDNS-Namen und demZusatz Servers wird imFeld ange-
zeigt. Die UTMlegt automatisch eine DNS-Gruppe mit demfestgelegten DNS-Namen
an und verknpft ihn mit demneuen POP3-Server-Eintrag.
2. Legen Sie die Eigenschaften des POP3-Servers fest.
Klicken Sie imFeld POP3-Server auf das Bearbeiten-Symbol vor demPOP3-Server.
Das Dialogfenster Server bearbeiten wird geffnet. Nehmen Sie die folgenden Ein-
stellungen vor:
Name: ndern Sie bei Bedarf den Namen des POP3-Servers.
Hosts: Das Feld enthlt automatisch eineDNS-Gruppe mit demoben festgelegten
DNS-Namen. Fgen Sie zustzliche Hosts oderDNS-Gruppen hinzu oder whlen Sie
sie aus. Stellen Sie sicher, dass Sie nurHosts und DNS-Gruppen hinzufgen, die
392 UTM9 WebAdmin
dieselben POP3-Accounts bedienen. Das Hinzufgen einer Definition wird auf der Seite
TLS-Zertifikat: Whlen Sie aus der Auswahlliste ein Zertifikat zumAushandeln der
TLS-Verschlsselung mit allen Gegenstellen aus, die TLSuntersttzen. Sie knnen Zer-
tifikate auf der Registerkarte Site-to-Site VPN>Zertifikatverwaltung >Zertifikate hin-
zufgen und hochladen.
Hinweis Damit die TLS-Verschlsselung funktioniert, muss die Option TLS-ver-
schlsselten POP3-Verkehr scannen imBereich TLS-Einstellungen aktiviert werden.
Fr POP3-Server, die hier nicht festgelegt sind oder die kein TLS-Zertifikat besitzen,
knnen Sie imBereich TLS-Einstellungen ein Standard-TLS-Zertifikat festlegen.
zu.
Der POP3-Server ist angelegt.
Wenn kein POP3-Server angegeben wird und E-Mails vomProxy abgefangen werden, ersetzt
der Proxy die E-Mails sofort mit einer Benachrichtigung an den Empfnger, die ihn davon in
Kenntnis setzt, dass die E-Mails unter Quarantne gestellt wurden. E-Mails in Quarantne kn-
nen imMail-Manager eingesehen werden, aber da sie nicht mit einemServer oder einemKon-
to in Verbindung gebracht werden knnen, knnen sie bei einer spteren Verbindung nicht frei-
gegeben werden. Die Freigabe von E-Mails ist berhaupt nur mglich fr E-Mails, die im
Voraus abgeholt wurden (prefetching).
Es gibt zwei Szenarien:
l Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen deaktiviert ist,
behlt der Proxy die bersicht darber, welche E-Mails in Quarantne zu welchemSer-
ver oder Konto gehren. Dadurch knnen E-Mails in Quarantne freigegeben werden,
wenn der Client die Mailbox das nchste Mal abfragt. Damit das funktioniert, muss der
Proxy sicher feststellen, welche IP-Adresse zu welchemServer gehrt (ber deren
FQDN, die Sie in IhremMail-Client angegeben haben).
l Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen aktiviert ist, ber-
prft der POP3-Proxy die POP3-Server periodisch auf neue Nachrichten. Wenn eine
neue Nachricht angekommen ist, wird sie zumPOP3-Proxy kopiert, gescannt und in
einer Datenbank auf der UTMgespeichert. Die Nachricht bleibt auf demPOP3-Server.
UTM9 WebAdmin 393
Wenn ein Client versucht, neue Nachrichten abzuholen, kommuniziert er stattdessen mit
demPOP3-Proxy und holt nur die Nachrichten aus der Datenbank.
Ein POP3-Proxy, der das Vorabholen untersttzt, hat unter anderemfolgende Vorteile:
l Keine Zeitberschreitungsprobleme zwischen Client und Proxy oder umgekehrt.
l Die Zustellung der Nachrichten erfolgt sehr viel schneller, da die E-Mails bereits vorab
gescannt wurden.
l Blockierte Nachrichten knnen vomBenutzerportal aus freigegeben werden sie wer-
den beimnchsten Abrufen der E-Mails mit abgeholt.
Wenn eine Nachricht blockiert wurde, weil sie schdlichen Inhalt enthlt oder als Spamein-
gestuft wurde, wird sie nicht an den Client ausgeliefert. Stattdessen wird sie unter Quarantne
gestellt. Eine Nachricht, die unter Quarantne gestellt ist, wird imBereich Mail-Manager im
Benutzerportal gespeichert, von wo sie gelscht oder freigegeben werden kann.
Vorabholen verwenden: Umden Vorabholenmodus zu aktivieren, markieren Sie das Aus-
wahlkstchen und fgen Sie einen oder mehrere POP3-Server zumFeld POP3-Server hinzu.
Vorabholenintervall: Whlen Sie das Zeitintervall, in demder POP3-Proxy den POP3-
Server kontaktiert, umNachrichten vorab zu holen.
Hinweis Das Intervall, in demMail-Clients den POP3-Server kontaktieren drfen,
variiert von Server zu Server. Das Vorabholenintervall sollte deshalb nicht krzer ein-
gestellt werden als der POP3-Server es zulsst, sonst schlgt das Herunterladen der
POP3-Nachrichten fehl, da der Zugang zumPOP3-Server nicht gestattet ist.
Beachten Sie auch, dass mehrere Clients das gleiche POP3-Konto abfragen knnen.
Jedes Mal, wenn Nachrichten erfolgreich vomPOP3-Server abgerufen wurden,
beginnt die Zeiterfassung von vorne, bis eine erneute Abfrage mglich ist. Wenn aus
diesemGrund der POP3-Proxy den POP3-Server viermal hintereinander nicht errei-
chen kann (Standardeinstellung ist alle 15 Minuten), wird das Kontokennwort aus der
Proxy-Mail-Datenbank gelscht, und es werden dann solange keine E-Mails mehr
abgeholt, bis ein Mail-Client das Kennwort an den POP3-Server schickt und sich wie-
der erfolgreich anmeldet.
Quarantne-Nachrichten vomServer lschen: Wenn Sie diese Option whlen, wer-
den Nachrichten in Quarantne sofort vomPOP3-Server gelscht. Das ist ntzlich, um
zu verhindern, dass Benutzer Spam- oder mit Viren infizierte Nachrichten erhalten,
wenn sie sich mit demPOP3-Server nicht ber die UTM, sondern beispielsweise ber
das Webportal des POP3-Servers verbinden.
394 UTM9 WebAdmin
Wenn der E-Mail-Client so konfiguriert ist, dass er Nachrichten vomServer lscht, nachdemer
sie abgeholt hat, wird diese Information auch in der Datenbank abgespeichert. Das nchste
Mal, wenn der Proxy Nachrichten fr dieses POP3-Konto vorab holt, wird er die Nachrichten
vomServer lschen. Das bedeutet, so lange kein Client Nachrichten von Sophos UTMabruft
und kein Lschbefehl konfiguriert ist, werden keine Nachrichten auf demPOP3-Server
gelscht. Dadurch knnen sie weiterhin gelesen werden, zumBeispiel ber das Webportal des
E-Mail-Anbieters.
Quarantne-Nachrichten werden in folgenden Fllen vomPOP3-Server gelscht:
l Die Nachrichten werden manuell ber den Mail-Manager gelscht.
l Die Nachrichten werden manuell ber das Benutzerportal gelscht.
l Die Nachricht wurde freigegeben (entweder ber den Quarantnebericht oder das
Benutzerportal) und der E-Mail-Client des Benutzers ist so konfiguriert, dass er Nach-
richten nach der Zustellung lscht.
l Die Benachrichtigungs-E-Mail wurde gelscht.
l Die Aufbewahrungsfrist ist abgelaufen (siehe Abschnitt Konfiguration imKapitel Mail-
Manager).
ImVorabholenmodus knnen Nachrichten unter Quarantne nicht direkt durch einen Client-
Befehl vomPOP3-Server gelscht werden.
Hinweis Der E-Mail-Client muss sich mindestens einmal erfolgreich mit demPOP3-Server
verbunden haben, bevor das Vorabholen funktioniert. Das liegt daran, dass Sophos UTM
den Namen des POP3-Servers, den Benutzernamen und das Benutzerkennwort in einer
Datenbank speichern muss, umPOP3-Nachrichten anstelle des Benutzers abholen zu kn-
nen. Das kann jedoch nicht dadurch erreicht werden, dass die POP3-Kontozugangsdaten im
Sophos Benutzerportal eingerichtet werden. Die POP3-Kontozugangsdaten imBenut-
zerportal werden bentigt, damit die vorab geholten Nachrichten imBenutzerportal und im
tglichen Quarantnebericht des entsprechenden Benutzers erscheinen.
Hinweis fr Benutzer von Fetchmail: Die TOP-Methode wird aus Sicherheitsgrnden nicht unter-
sttzt, umE-Mails vomMailserver herunterzuladen Nachrichten, die ber TOPempfangen
wurden, knnen nicht gescannt werden. Es funktioniert aber, wenn Sie die Option fetchall
angeben (-aauf der Kommandozeile). Umweitere Informationen zu erhalten, lesen Sie bitte
das Kapitel RETRor TOPimFetchmail-Handbuch.
UTM9 WebAdmin 395
Bevorzugter Zei chensatz
In diesemAbschnitt knnen Sie einen anderen Zeichensatz als UTF-8 whlen, der fr jene
Mail-Header verwendet werden soll, die irgendwie von der UTMverndert wurden (z.B. durch
BATV). Das ist ntzlich, wenn Ihre Benutzer Mail-Clients verwenden, die mit UTF-8 nicht umge-
hen knnen. ImAllgemeinen ist der voreingestellte Zeichensatz eine gute Wahl, unabhngig
von Ihrer Region. Deshalb sollten Sie diese Einstellung nur ndern, wenn Sie sicher sind, dass
es das ist, was Sie wollen. Wenn Sie Zweifel haben, sollten Sie UTF-8 beibehalten.
TLS-Ei nstellungen
TLS-verschlsselten POP3-Verkehr scannen:Wenn diese Option aktiviert ist, scannt die
UTMTLS-verschlsselten POP3-Verkehr. Damit dies funktioniert, mssen TLS-Zertifikate fr
die POP3-Server, auf die die POP3-Clients zugreifen, definiert werden (siehe Abschnitt POP3-
Server und Vorabholen oben und Option TLS-Zertifikat unten).
Wenn die Option deaktiviert ist und ein POP3-Client versucht, ber TLSauf einen POP3-Server
zuzugreifen, wird die Verbindung nicht hergestellt.
TLS-Zertifikat: Whlen Sie ein Zertifikat aus der Auswahlliste. Dieses wird verwendet fr die
TLS-Verschlsselung mit allen POP3-Clients, die TLSuntersttzen und versuchen, auf einen
POP3-Server zuzugreifen, der entweder nicht imFeld POP3-Server oben enthalten ist oder
kein passendesTLS-Zertifikat besitzt. Das gewhlte Zertifikat wird demPOP3-Client ange-
boten. POP3-Clients verifizieren normalerweise, dass das vomPOP3-Server
angeboteneTLS-Zertifikat mit demkonfigurierten POP3-Servernamen bereinstimmt. Aus die-
semGrund werden die meisten POP3-Clients eine Warnung ausgeben, dass der Hostname
des Zertifikats nicht mit demerwarteten konfigurierten POP3-Servernamen bereinstimmt.
Der Benutzer kann diese Warnung jedoch ignorieren und sich trotzdemverbinden. Umdiese
Warnung zu verhindern mssen Sie alle verwendeten POP3-Server in das Feld POP3-Server
oben eingeben und fr jeden der Server ein passendes TLS-Zertifikat konfigurieren.
Wenn hier kein Zertifikat ausgewhlt ist und ein POP3-Client versucht, ber TLSeinen POP3-
Server zu erreichen, der nicht imFeld POP3-Server enthalten ist oder kein passendes TLS-Zer-
tifikat besitzt, wird die Verbindung nicht aufgebaut.
Tipp Sie knnen Zertifikate auf der Registerkarte Site-to-Site VPN>Zertifikatverwaltung
>Zertifikate hinzufgen und hochladen.
396 UTM9 WebAdmin
10.4 Encryption
SeitdemE-Mails imprivaten und geschftlichen Bereich das primre elektronische Kom-
munikationsmittel geworden sind, sind verstndliche Bedenken ber Privatsphre und Authen-
tifizierung aufgekommen. Einfach formuliert: Das E-Mail-Format wird in Klartext bermittelt,
hnlich einer Postkarte, die jeder lesen kann. Da es darber hinaus sehr einfach ist, falsche
Identitten anzunehmen, muss der Empfnger feststellen knnen, ob der Absender auch der
ist, fr den er sich ausgibt.
Die Lsung dieser Probleme ist typischerweise die Verwendung von E-Mail-Verschlsselung
und digitalen Zertifikaten E-Mails werden dabei elektronisch signiert und kryptografisch ver-
schlsselt. Dies stellt sicher, dass ausschlielich der Nachrichtenempfnger diese ffnen, den
Inhalt der Nachricht anzeigen (Privatsphre) und die Identitt des Absenders feststellen kann
(Authentifizierung). Anders ausgedrckt: Dieser Prozess vereitelt die Idee, eine E-Postkarte
zugeschickt zu bekommen, und fhrt einen Prozess ein, der registrierten oder zertifizierten E-
Mails hnelt.
In der modernen Kryptografie gibt es zwei Verfahren fr die Verschlsselung von E-Mails: sym-
metrische und asymmetrische. Beide Verfahren haben sich als Standards etabliert und werden
in verschiedenen Anwendungen eingesetzt. Bei der symmetrischen Verschlsselung teilen sich
Absender und Empfnger den gleichen Schlssel.
Bei der asymmetrischen Verschlsselung hingegen (auch bekannt als Public-Key-Kryp-
tografie) besitzt jeder Benutzer ein Schlsselpaar einen ffentlichen Schlssel (Public Key) fr
die Verschlsselung der E-Mail und einen korrespondierenden privaten bzw. geheimen Schls-
sel (Private Key) zur Entschlsselung. Der ffentliche Schlssel wird frei verteilt, whrend der
private Schlssel vomBenutzer geheimgehalten wird.
Ein Nachteil der symmetrischen Verschlsselung ist, dass sich die beiden Beteiligten fr eine
sichere Kommunikation ber den Schlssel abstimmen und sicherstellen mssen, dass nur
ihnen der Schlssel bekannt ist. Wenn sie sich an unterschiedlichen Standorten befinden, ms-
sen sie sicherstellen, dass der Schlssel bei der bermittlung geheimbleibt. Das grte Pro-
blembei der symmetrischen Verschlsselung ist daher die bermittlung der Schlssel: Wie sen-
de ich den Schlssel an den Empfnger, ohne dass ihn jemand abfngt? Die Public-Key-
Kryptografie wurde entwickelt, umgenau diese Sicherheitslcke zu schlieen. Mit dieser Ver-
schlsselungsmethode knnen zwei Parteien ber eine unsichere Verbindung auf sichere Wei-
se miteinander kommunizieren, ohne dass zuvor ein gemeinsamer Schlssel festgelegt wer-
den muss.
UTM9 WebAdmin 397
10 Email Protection 10.4 Encryption
10.4 Encryption 10 Email Protection
Der Bedarf an E-Mail-Verschlsselung hat eine Reihe von Standards fr die Public-Key-Kryp-
tografie hervorgebracht, vor allemS/MIMEund OpenPGP. Sophos UTMuntersttzt beide
Standards. S/MIME(Secure Multipurpose Internet Mail Extensions) ist ein Standard fr asym-
metrische Verschlsselung und das Signieren von MIME-strukturierten E-Mails. Dieses Pro-
tokoll wird blicherweise innerhalb einer Public-Key-Infrastruktur (PKI) eingesetzt und basiert
auf einer hierarchischen Struktur aus digitalen Zertifikaten, wobei es eine vertrauenswrdige
Instanz als Zertifizierungsstelle (CA) bentigt. Die CAstellt ein Zertifikat aus, bei demsie eine
Identitt an ein Paar elektronischer Schlssel bindet. Dieser Vorgang kann als digitales Gegen-
stck zu herkmmlichen Identittsdokumenten wie einemReisepass angesehen werden. Aus
technischer Sicht stellt die CAein Zertifikat aus, indemsie einen ffentlichen Schlssel an einen
bestimmten Distinguished Name imX.500-Standard oder an einen Alternative Name wie z.B.
eine E-Mail-Adresse bindet.
Ein digitales Zertifikat ermglicht es festzustellen, ob jemand die Berechtigung hat, einen ange-
gebenen Schlssel zu verwenden. Der Gedanke dahinter ist, dass man sicher sein kann, dass
jemandemder fragliche ffentliche Schlssel gehrt, wenn dieser einer CAvertraut und nach-
weisen kann, dass der ffentliche Schlssel von dieser CAsigniert wurde.
OpenPGP(Pretty Good Privacy), der andere Standard, nutzt eine asymmetrische Ver-
schlsselung, die blicherweise in einemsogenannten Web of Trust (WOT, Netz des Ver-
trauens) eingesetzt wird. Das bedeutet, dass ffentliche Schlssel digital von anderen Benut-
zern signiert werden, welche durch diese Handlung die Zusammengehrigkeit von Schlssel
und Benutzer besttigen.
Hinweis Beachten Sie, dass die beiden Standards S/MIME und OpenPGP, obwohl
sie hnliche Dienste anbieten, sehr unterschiedliche Formate aufweisen. Das
bedeutet, dass Benutzer des einen Protokolls nicht mit Benutzern des anderen Protokolls
kommunizieren knnen. Des Weiteren knnen Authentifizierungszertifikate nicht fr beide
Protokolle verwendet werden.
Wenn zumBeispiel S/MIME, OpenPGPund SPX-Verschlsselung aktiviert sind, sind die Prio-
ritten standardmig: S/MIME, OpenPGPund dann SPX-Verschlsselung.
Die gesamte E-Mail-Verschlsselung ist fr den Benutzer transparent, sodass keine zustz-
liche Verschlsselungs-Software auf demClient installiert werden muss. Einfach gesagt heit
das, dass zur Verschlsselung der E-Mails das Zertifikat der Zielpartei oder der ffentliche
Schlssel bentigt wird. Nachfolgend sind die unterschiedlichen Funktionsweisen fr einund
ausgehende Nachrichten beschrieben:
398 UTM9 WebAdmin
l Ausgehende Nachrichten von internen Benutzern werden standardmig gescannt,
automatisch signiert und verschlsselt. Fr die Signierung und die Verschlsselung wird
entweder das Zertifikat (S/MIME) oder der ffentliche Schlssel (OpenPGP) des Emp-
fngers verwendet. Das Zertifikat oder der ffentliche Schlssel mssen dafr auf UTM
vorhanden sein.
l Verschlsselte eingehende Nachrichten von externen Benutzern, deren S/MIME-Zer-
tifikat oder ffentlicher OpenPGP-Schlssel UTMbekannt ist, werden automatisch ent-
schlsselt und auf Viren berprft. Umdie Nachricht zu entschlsseln, muss der
S/MIME-Schlssel oder der private OpenPGP-Schlssel des internen Benutzers auf
UTMinstalliert sein.
l Verschlsselte eingehende Nachrichten von externen Benutzern oder fr interne, der
UTMunbekannte Benutzer werden zugestellt, obwohl sie nicht entschlsselt und des-
halb nicht auf Viren oder Spamgescannt werden knnen. Es liegt dann in der Verant-
wortung des Empfngers (interner Benutzer), sicherzustellen, dass die E-Mail keine
Schadsoftware enthlt, beispielsweise durch die Benutzung einer eigenen Firewall.
l Ausgehende Nachrichten, die bereits clientseitig verschlsselt wurden, werden direkt an
den Empfnger weitergeleitet, wenn das entsprechende Zertifikat (S/MIME) oder der
ffentliche Schlssel (OpenPGP) nicht bekannt ist. Falls jedoch das S/MIME-Zertifikat
oder der ffentliche OpenPGP-Schlssel des Empfngers vorhanden ist, werden die
Nachrichten ein zweites Mal verschlsselt. Beachten Sie, dass imVoraus verschlsselte
Nachrichten nicht auf schdlichen Inhalt gescannt werden knnen.
l Entschlsselung wird nur bei eingehenden E-Mails durchgefhrt, wobei mit eingehend
gemeint ist, dass der Domnenname der Absenderadresse nicht Bestandteil eines
SMTP-Profils ist. Beispiel: Damit die Nachricht von der Adresse
max.mustermann@beispiel.deentschlsselt wird, darf die Domne
beispiel.denicht in den Routing-Einstellungen oder in irgendeinemSMTP-Profil ange-
geben sein.
l In die Betreffzeile jeder E-Mail wird eine Zusammenfassung des Signatur-/Ver-
schlsselungsergebnisses eingefgt. Beispiel: Einer E-Mail, die mit S/MIMEkorrekt
signiert und verschlsselt wurde, wird die Information (S/MIME: signiert und ver-
schlsselt)" in die Betreffzeile hinzugefgt.
UTM9 WebAdmin 399
10.4.1 Allgemein
Auf der Registerkarte Email Protection >Email Encryption >Allgemein knnen Sie die Grund-
einstellungen fr die Email Encryption (E-Mail-Verschlsselung) vornehmen.
Hinweis Verschlsselung funktioniert nur bei SMTP, nicht bei POP3.
Bevor Sie E-Mail-Verschlsselung verwenden knnen, mssen Sie zunchst eine Zer-
tifizierungsstelle (CA, Certificate Authority) erstellen. Diese CAbesteht aus einemCA-Zertifikat
und einemCA-Schlssel. Das CA-Zertifikat kann heruntergeladen und lokal gespeichert wer-
den. Es kann auerdemals externe CA(S/MIME-Instanz) in anderen Gerten installiert wer-
den (siehe Diagramm), umeine transparente E-Mail-Verschlsselung zwischen zwei Sophos
UTM-Gerten zu ermglichen.
Figure 19 E-Mail-Verschlsselung: mit zwei Sophos UTMs.
UmE-Mail-Verschlsselung zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die Email Encryption auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Abschnitt Zertifizierungsstelle (CA) fr Email
Encryption kann nun bearbeitet werden.
400 UTM9 WebAdmin
2. Erstellen Sie eine Zertifizierungsstelle (CA).
Fllen Sie das Formular Zertifizierungsstelle (CA) fr E-Mail-Verschlsselung aus. Stan-
dardmig ist das Formular mit den Werten von der Registerkarte Verwaltung >Sys-
temeinstellungen >Organisatorisches vorausgefllt.
Der Schieberegler wird grn und die folgenden Zertifikate bzw. Schlssel werden gene-
riert:
l S/MIME-CA-Zertifikat
l ffnen Sie den PGP-Postmaster-Schlssel.
Beachten Sie, dass der Generierungsprozess einige Minuten dauern kann. Falls die Fin-
gerabdrcke des S/MIME-CA-Zertifikats und des OpenPGP-Postmaster-Schlssels
nach einigen Minuten nicht anzeigt werden, klicken Sie auf die Schaltflche Aktualisieren
in der rechten oberen Ecke von WebAdmin. Das Zertifikat und der Schlssel knnen her-
untergeladen und lokal gespeichert werden.
Verwenden Sie die Schaltflche Email-Encryption-Systemjetzt zurcksetzen, umalle Ein-
stellungen imMen Encryption in den Auslieferungszustand zurckzusetzen.
10.4.2 Optionen
Auf der Registerkarte Email Encryption >Optionen knnen Sie die Standardrichtlinie fr die
Public-Key-Verschlsselung von Sophos UTMfestlegen.
Standardrichtlinie: Legen Sie die Standardrichtlinie bezglich der E-Mail-Verschlsselung
fest. Diese Einstellungen knnen allerdings durch benutzerspezifische Einstellungen ber-
schrieben werden.
Die folgenden Aktionen sind mglich:
l Ausgehende E-Mails signieren
l Ausgehende E-Mails verschlsseln
l Eingehende E-Mails verifizieren
l Eingehende E-Mails entschlsseln
UTM9 WebAdmin 401
Hinweis Damit die Verschlsselung funktioniert, muss der Absender in der Liste Interne
Benutzer aufgefhrt sein. Ausgehende E-Mails fr Empfnger, deren S/MIME-Zertifikat oder
ffentlicher OpenPGP-Schlssel auf demGateway installiert ist, werden standardmig ver-
schlsselt. Wenn Sie Verschlsselung fr diese Empfnger deaktivieren wollen, lschen Sie
deren S/MIME-Zertifikate oder ffentliche OpenPGP-Schlssel. Wenn UTMZertifikate oder
ffentliche Schlssel unbekannt sind, werden diese E-Mails unverschlsselt versendet.
Automati sche Extrakti on von S/ MIME-Zerti fi katen
Wenn diese Option gewhlt ist, werden die an eingehende E-Mails angehngten S/MIME-Zer-
tifikate automatisch extrahiert. Voraussetzung hierfr ist, dass dieses Zertifikat von einer ver-
trauenswrdigen Zertifizierungsstelle (CA) signiert wurde, d.h. von einer CA, die auf dem
Gert vorhanden ist und deshalb unter Email Protection >Encryption >S/MIMEAuthorities
angezeigt wird. Auerdemmssen Datumund Zeitpunkt von Sophos UTMinnerhalb des Gl-
tigkeitszeitraums des Zertifikats liegen, damit die automatische Extrahierung von Zertifikaten
funktioniert. Erfolgreich extrahierte Zertifikate werden auf der Registerkarte Email Protection >
Email Encryption >S/MIME-Zertifikate angezeigt. Beachten Sie, dass dieser Vorgang ca. fnf
bis zehn Minuten dauern kann. Klicken Sie auf bernehmen, umIhre Einstellungen zu spei-
chern.
OpenPGP-Schlsselserver
OpenPGP-Schlsselserver sind die Hosts fr ffentliche PGP-Schlssel. Sie knnen hier einen
OpenPGP-Schlsselserver angeben. Bei verschlsselten eingehenden E-Mails oder bei aus-
gehenden E-Mails, die verschlsselt werden sollen, versucht UTM, den ffentlichen Schlssel
vomangegebenen Server zu holen, wenn der entsprechende Schlssel der UTMnoch unbe-
kannt ist.
10.4.3 Interne Benutzer
Fr die Signierung und Verschlsselung von E-Mails muss entweder der S/MIME-Schlssel
oder der private OpenPGP-Schlssel auf der UTMvorhanden sein. Auf der Registerkarte
Email Encryption >Interne Benutzer knnen Sie fr die Benutzer, fr die E-Mail-Ver-
schlsselung aktiviert werden soll, sowohl ein individuelles S/MIME-Schlssel/Zertifikat-Paar
als auch ein OpenPGP-Schlsselpaar erstellen.
Umeinen internen E-Mail-Benutzer hinzuzufgen, gehen Sie folgendermaen vor:
402 UTM9 WebAdmin
1. Klicken Sie auf der Registerkarte Interne Benutzer auf Neuer Email-Encryp-
tion-Benutzer.
Das Dialogfeld Neuen Benutzer erstellen wird geffnet.
E-Mail-Adresse: Geben Sie die E-Mail-Adresse des Benutzers ein.
Vor- und Nachname: Geben Sie den Namen des Benutzers ein.
Signieren: Fr die Signierung stehen die folgenden Optionen zur Auswahl:
l Standardrichtlinie verwenden: Die auf der Registerkarte Optionen festgelegte
Richtlinie wird verwendet.
l Ein: E-Mails werden mit demZertifikat des Benutzers signiert.
l Aus: E-Mails werden nicht signiert.
Verschlsseln: Fr die Verschlsselung stehen die folgenden Optionen zur Auswahl:
l Ein: E-Mails werden mit demffentlichen Schlssel des Empfngers verschlsselt.
l Aus: E-Mails werden nicht verschlsselt.
Verifizieren: Fr die Verifizierung stehen die folgenden Optionen zur Auswahl:
l Ein: E-Mails werden mit demffentlichen Schlssel des Absenders verifiziert.
l Aus: E-Mails werden nicht verifiziert.
Entschlsseln: Fr die Entschlsselung stehen die folgenden Optionen zur Auswahl:
l Ein: E-Mails werden mit demZertifikat des Benutzers entschlsselt.
l Aus: E-Mails werden nicht entschlsselt.
S/MIME: Sie knnen whlen, ob das S/MIME-Zertifikat und der Schlssel automatisch
vomSystemgeneriert werden sollen oder ob Sie ein Zertifikat imFormat PKCS#12hoch-
laden wollen. Wenn Sie das Zertifikat hochladen, mssen Sie das Kennwort kennen, mit
UTM9 WebAdmin 403
demdie PKCS#12-Datei geschtzt ist. Beachten Sie, dass die PKCS#12-Datei sowohl den
S/MIME-Schlssel als auch das Zertifikat enthalten muss. Ein CA-Zertifikat, das even-
tuell zustzlich in der PKCS#12-Datei enthalten ist, wird ignoriert.
OpenPGP: Sie knnen whlen, ob das OpenPGP-Schlsselpaar, das aus einempri-
vaten und einemffentlichen Schlssel besteht, vomSystemautomatisch generiert wer-
den soll oder ob Sie das Schlsselpaar imASCII-Format hochladen wollen. Beachten
Sie, dass der private und der ffentliche Schlssel in einer einzigen Datei enthalten sein
mssen und dass die Datei kein Kennwort enthalten darf.
Hinweis Falls Sie fr einen Benutzer S/MIMEund OpenPGPkonfigurieren, werden
die von ihmgesendeten E-Mails mittels S/MIMEsigniert.
zu.
Der neue Benutzer wird in der Liste Interne Benutzer angezeigt.
Verwenden Sie den Schieberegler, umdie Benutzung von einemoder beiden Schlsseln abzu-
schalten, ohne die Schlssel lschen zu mssen.
Hinweis The files offered for download contain the S/MIMEcertificate and the S/MIMEkey.
Das OpenPGP-Zertifikat stellt den globalen Schlssel zur Verfgung. Wenn Sie den privaten
OpenPGP-Schlssel erhalten mchten, klicken Sie auf Herunterladen und aktivieren Sie Pri-
vaten Schlssel einbeziehen.
10.4.4 S/MIME Authorities
Auf der Registerkarte Encryption >S/MIMEAuthorities knnen Sie die Zertifizierungsstellen
(CA) fr die Email-Verschlsselung verwalten. Zustzlich zu den vorinstallierten CAs knnen
Sie Zertifikate externer Zertifizierungsstellen hochladen. Allen eingehenden E-Mails, deren Zer-
tifikate von einer der hier aufgelisteten aktiven CAs signiert sind, wird automatisch vertraut.
Hinweis Wenn Sie die Option Automatische Extraktion von S/MIME-Zertifikaten auf der
Registerkarte Email Protection >Encryption >Optionen ausgewhlt haben, werden die Zer-
404 UTM9 WebAdmin
tifikate der hier aufgelisteten aktiven CAs automatisch extrahiert und auf der Registerkarte
Email Protection >Encryption >S/MIME-Zertifikate angezeigt.
Lokale S/ MIME Authori ti es
Sie knnen Zertifikate (d.h. den ffentlichen Schlssel) einer vertrauenswrdigen externen CA
importieren. Auf diese Weise sind alle eingehenden E-Mails, deren Zertifikate von dieser CA
signiert wurden, ebenfalls vertrauenswrdig. Sie knnen beispielsweise die CAeines anderen
Sophos UTM-Gerts installieren. Dadurch ermglichen Sie eine transparente E-Mail-Ver-
schlsselung zwischen beiden Sophos UTM.
Umeine externe S/MIME-CAzu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf das Ordnersymbol neben demFeld Lokale CA hochladen.
2. Whlen Sie das Zertifikat aus, das Sie hochladen wollen.
Klicken Sie auf Durchsuchen und whlen Sie das CA-Zertifikat aus, das Sie hochladen
wollen. Folgende Dateierweiterungen werden fr Zertifikate untersttzt:
l cer, crt, oder der: Diese binren Zertifikattypen gleichen sich weitgehend.
l pem: Base64-codierte DER-Zertifikate.
3. Laden Sie das Zertifikat hoch.
Klicken Sie auf Hochladen starten, umdas gewhlte Zertifikat hochzuladen.
Das Zertifikat wird installiert und imBereich Lokale S/MIME-CAs angezeigt.
Sie knnen ein S/MIME-CA-Zertifikat lschen oder deaktivieren, wenn Sie es nicht mehr als ver-
trauenswrdig erachten. Umein S/MIME-CA-Zertifikat zurckzuziehen, klicken Sie auf seinen
Schieberegler. Der Schieberegler wird grau und der SMTP-Proxy akzeptiert ab jetzt keine E-
Mails mehr, die von dieser S/MIME-CAsigniert sind. Umein Zertifikat zu lschen, klicken Sie auf
das Leeren-Symbol.
Tipp Klicken Sie auf das blaue Infosymbol, umden Fingerabdruck der CAzu sehen.
Globale S/ MIME Authori ti es
Die hier dargestellte Liste der S/MIME-CAs ist identisch mit den von Mozilla Firefox vor-
installierten S/MIME-CAs. Dies erleichtert die E-Mail-Verschlsselung zwischen IhremUnter-
nehmen und Ihren Kommunikationspartnern, die eine PKI (Public-Key-Infrastruktur) unter-
halten, welche auf diesen CAs basiert. Sie knnen jedoch ein S/MIME-CA-Zertifikat
UTM9 WebAdmin 405
deaktivieren, wenn Sie die CAnicht als vertrauenswrdig erachten. Umein S/MIME-CA-Zer-
tifikat zurckzuziehen, klicken Sie auf seinen Schieberegler. Der Schieberegler wird grau und
der SMTP-Proxy akzeptiert ab jetzt keine E-Mails mehr, die von dieser S/MIME-CAsigniert
sind.
Nachfolgend sind einige URLs zu bekannten Zertifizierungsanbietern aufgefhrt:
l Trustcenter
l S-TRUST
l Thawte
l VeriSign
l GeoTrust
10.4.5 S/MIME-Zertifikate
Auf der Registerkarte Email Encryption >S/MIME-Zertifikate knnen Sie externe S/MIME-Zer-
tifikate importieren. E-Mails an Empfnger, deren Zertifikate auf dieser Registerkarte auf-
gefhrt sind, werden automatisch verschlsselt. Wenn fr einen bestimmten Empfnger die E-
Mails nicht verschlsselt werden sollen, lschen Sie einfach das entsprechende Zertifikat aus
der Liste.
Hinweis Wenn fr einen Empfnger neben demS/MIME-Zertifikat auch ein OpenPGP-
Schlssel importiert wurde, werden die E-Mails mit OpenPGPverschlsselt.
Hinweis Wenn Sie ein S/MIME-Zertifikat manuell hochladen, wird Nachrichten von E-Mail-
Adressen, die mit diesemZertifikat verknpft sind, immer vertraut selbst wenn kein CA-Zer-
tifikat verfgbar ist, mit demdie Identitt der Person auf demZertifikat berprft werden knn-
te. Das bedeutet also, dass manuell hochgeladene S/MIME-Zertifikate immer als ver-
trauenswrdig gelten.
Umein externes S/MIME-Zertifikat zu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte S/MIME-Zertifikate auf Neues externes
S/MIME-Zertifikat.
Das Dialogfeld S/MIME-Zertifikat hinzufgen wird geffnet.
406 UTM9 WebAdmin
Format: Whlen Sie das Format des Zertifikats. Sie knnen zwischen den folgenden
Formaten whlen:
l der(binr)
l pem(ASCII)
Hinweis Microsoft-Windows-Betriebssysteme nutzen die Dateierweiterung cerfr
beide Formate, derund pem. Daher mssen Sie imVoraus wissen, ob es sich bei dem
Zertifikat, das Sie hochladen wollen, umein Binr- oder ASCII-Format handelt. Wh-
len Sie dann aus der Auswahlliste das entsprechende Format aus.
Zertifikat: Klicken Sie auf das Ordnersymbol, umdas Dialogfenster Datei hochladen zu
ffnen. Whlen Sie die Datei aus und klicken Sie auf Hochladen starten.
zu.
Das neue S/MIME-Zertifikat wird in der Liste S/MIME-Zertifikate angezeigt.
10.4.6 OpenPGP-Schlssel
Auf der Registerkarte Email Encryption >OpenPGP-Schlssel knnen Sie ffentliche
OpenPGP-Schlssel installieren. Die Dateien mssen im.asc-Format vorliegen. Sie knnen
auch ganze Schlsselbunde (Keyrings) hochladen.
Hinweis Importieren Sie keine Schlsselbunddateien, die durch ein Kennwort geschtzt
sind.
Alle ffentlichen Schlssel aus demSchlsselbund werden importiert und knnen dazu ver-
wendet werden, Nachrichten zu verschlsseln. E-Mails an Empfnger, deren ffentliche Schls-
sel auf dieser Registerkarte aufgefhrt sind, werden automatisch verschlsselt. Wenn fr einen
bestimmten Empfnger die E-Mails nicht verschlsselt werden sollen, lschen Sie einfach den
entsprechenden ffentlichen Schlssel aus der Liste.
UTM9 WebAdmin 407
10.5 SPX-Verschlsselung 10 Email Protection
Hinweis Pro Schlssel wird nur eine E-Mail-Adresse untersttzt. Falls einemSchlssel
mehrere E-Mail-Adressen zugeordnet sind, wird nur die erste E-Mail-Adresse verwendet
(die Reihenfolge kann von der Sortierung durch OpenPGPabhngen). Wenn Sie einen
Schlssel importieren mchten, der ber mehrere E-Mail-Adressen verfgt, so mssen Sie
vorher die unerwnschten Adressen mit OpenPGPoder einemanderen Programment-
fernen, bevor Sie den Schlssel in Sophos UTMimportieren.
Umeinen ffentlichen OpenPGP-Schlssel zu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte OpenPGP-Schlssel auf Schlsselbund
importieren.
Das Dialogfeld OpenPGP-Schlsselbund importieren wird geffnet.
2. Laden Sie den/die OpenPGP-Schlssel hoch.
Klicken Sie auf das Ordnersymbol, umdas Dialogfenster Datei hochladen zu ffnen.
Whlen Sie die Datei aus und klicken Sie auf Hochladen starten.
Der Schlssel oder (wenn die Datei mehrere Schlssel enthlt) die Liste von Schlsseln
wird angezeigt.
3. Whlen Sie einen oder mehrere Schlssel aus und klicken Sie auf Gewhlte
Schlssel importieren.
Der/die Schlssel werden in der Liste OpenPGP-Schlssel angezeigt.
Hinweis DemSchlssel muss eine E-Mail-Adresse zugeordnet sein. Ansonsten schlgt die
Installation fehl.
10.5 SPX-Verschlsselung
Bei der SPX-Verschlsselung (Secure PDF Exchange) handelt es sich umdie nchste Gene-
ration der E-Mail-Verschlsselung. Sie ist clientlos und lsst sich sehr einfach einrichten und an
eine beliebige Umgebung anpassen. Mithilfe von SPX-Verschlsselung werden unver-
schlsselte E-Mail-Nachrichten und Anhnge, die an die UTMgesendet werden, in ein PDF-
Dokument umgewandelt, das dann mit einemKennwort verschlsselt wird. Sie knnen die
UTMso konfigurieren, dass Absender Kennwrter fr die Empfnger auswhlen knnen oder
der Server das Kennwort fr den Empfnger generiert und fr ihn aufbewahrt. Alternativ kann
der Server einmalige Kennwrter fr die Empfnger generieren.
408 UTM9 WebAdmin
Bei aktivierter SPX-Verschlsselung knnen E-Mails auf zwei verschiedene Arten SPX-ver-
schlsselt werden:
l Der Administrator kann ein Plug-in fr Microsoft Outlook herunterladen (siehe Kapitel
Email Protection >SPXEncryption >Sophos Outlook Add-in). Nach der Installation wird
auf der Benutzeroberflche von Microsoft Outlook die Schaltflche Verschlsseln ange-
zeigt. Fr die Verschlsselung einer einzelnen Nachricht muss der Benutzer die Schalt-
flche Verschlsseln aktivieren und anschlieend die Nachricht verfassen und
abschicken. Eine Benachrichtigung wird nur gesendet (falls diese konfiguriert wurde),
wenn beimVersand etwas schief geht, zumBeispiel wenn der Absender kein gltiges
Kennwort eingibt.
Hinweis Wenn Sie Outlook nicht verwenden, knnen Sie die SPX-Verschlsselung
auch auslsen, indemSie die Einstellung imHeader-Feld X-Sophos-SPX-Ver-
schlsselung auf ja setzen.
l In der Funktion Data Protection knnen Sie festlegen, dass E-Mails mit vertraulichem
Inhalt automatisch via SPXverschlsselt werden (siehe Registerkarte SMTP>Daten-
schutz).
Die verschlsselte Nachricht wird daraufhin an den E-Mail-Server des Empfngers gesendet.
Mithilfe von Adobe Reader kann der Empfnger die Nachricht entschlsseln. Dazu ist das Kenn-
wort erforderlich, das zumVerschlsseln der PDF verwendet wurde. SPX-verschlsselte E-
Mail-Nachrichten knnen auf allen gngigen Smartphone-Plattformen, unter anderemBlack-
berry und Windows Mobile, mit nativer oder ber Drittanbieter ermglichter Untersttzung fr
PDF-Dateien abgerufen werden.
Mithilfe des SPX-Antwortportals kann der Empfnger sicher auf die E-Mail antworten. Es ist
mglich, Ablaufzeiten fr die sichere Antwort und nicht verwendete Kennwrter festzulegen
(siehe Kapitel Email Protection >SPXEncryption >SPX-Konfiguration).
Die SPX-Verschlsselung kann in beiden SMTP-Konfigurationsmodi aktiviert werden, imein-
fachen Modus und imProfilmodus. Bei Nutzung des einfachen Modus kann eine globale SPX-
Vorlage ausgewhlt werden. Die SPX-Vorlage legt das Layout der PDF-Datei, die Kenn-
worteinstellungen, die Empfngeranweisungen und die Einstellungen fr das SPX-Ant-
wortportal fest. ImProfilmodus knnen Sie verschiedene SPX-Vorlagen fr unterschiedliche
SMTP-Profile definieren. Wenn Sie also mehrere Kundendomnen verwalten, lassen sich
benutzerdefinierte SPX-Vorlagen zuweisen, die beispielsweise unterschiedliche Unter-
nehmenslogos und Texte enthalten knnen.
UTM9 WebAdmin 409
10 Email Protection 10.5 SPX-Verschlsselung
10.5.1 SPX-Konfiguration
Auf der Registerkarte SPXEncryption >SPX-Konfiguration knnen Sie dieSPX-Ver-
schlsselung aktivieren und allgemeine Einstellungen fr alleSMTP-Benutzer konfigurieren.
UmSPX-Verschlsselung zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die SPX-Verschlsselung.
2. Legen Sie in den folgenden Abschnitten dieser Registerkarte die erfor-
derlichen allgemeinen Einstellungen fest.
3. Bearbeiten Sie auf der Registerkarte SPX-Vorlagen die vorhandene Stan-
dardvorlage von Sophos und/oder fgen Sie neue SPX-Vorlagen hinzu.
4. Whlen Sie auf der Registerkarte SMTP > Allgemein die globale SPX-Vorlage
aus.
5. Optional whlen Sie bei Verwendung des SMTP-Profilmodus die gewnschten
SPX-Vorlagen fr die entsprechenden SMTP-Profile aus.
6. Wenn Sie mchten, dass Benutzer E-Mail-Nachrichten mit Hilfe von SPX via
Microsoft Outlook-Plugin verschlsseln, achten Sie darauf, dass diese Benut-
zer Zugriff auf die Registerkarte Email Protection > SPX Encryption > Sophos
Outlook Add-in haben. Wenn Sie einen anderen E-Mail-Messenger ver-
wenden, mssen Sie den Header selbst manuell erstellen.
SPX-Verschlsselung Pri ori tt
SPX-Verschlsselung bevorzugen: Wenn diese Option aktiviert ist und S/MIMEund/oder
OpenPGPaktiviert sind, hat die SPX-Verschlsselung Vorrang vor S/MIMEund OpenPGP.
SPX-Kennwortei nstellungen
Mindestlnge: Die Mindestlnge der fr ein Kennwort zulssigen Zeichen wird vomAbsender
festgelegt.
Erfordern Sonderzeichen: Bei Aktivierung dieser Option muss das vomAbsender fest-
gelegte Kennwort mindestens ein Sonderzeichen enthalten (nicht-alphanumerische Zeichen
und Leerzeichen werden ebenfalls als Sonderzeichen behandelt).
410 UTM9 WebAdmin
SPX-Kennwortzurcksetzung
Kennwort zurcksetzen fr: Hier knnen Sie das Kennwort eines Benutzers lschen.
Geben Sie die E-Mail-Adresse des Empfngers ein und klicken Sie auf bernehmen.
SPX-Portalei nstellungen
Fr SPX-Antwortportalverwendete Schnittstelle: Whlen Sie die Schnittstelle fr
dasSPX-Antwortportal aus. Diese Webschnittstelle ermglicht es den EmpfngernSPX-ver-
schlsselter Nachrichten, demAbsender sicher zu antworten. In vielen Konfigurationen wre
dies die externe Schnittstelle.
Port: Geben Sie den Port an, den dasSPX-Antwortportal berwachen soll.
Ei nstellungen fr SPX-Portal und Kennwortablauf
Sichere Antwort zulassen fr: Geben Sie an, wie lange der Empfnger einer SPX-
verschlsseltenNachricht eine Antwort ber dasSPX-Antwortportal versenden kann.
Nicht verwendetes Kennwort behalten fr: Geben Sie die Ablaufzeit eines Kennworts ein,
das zwischenzeitlich nicht verwendet wurde.
Hinweis Wenn zumBeispiel Nicht verwendetes Kennwort behalten fr auf 3 Tage ein-
gestellt ist, luft das Kennwort um0 Uhr aus, wenn fr einen bestimmten Empfnger keine
SPX-verschlsselte Meldunge verschickt wurde.
Hinweis Wenn Nicht verwendetes Kennwort behalten auf 0 Tage gesetzt ist, wird es
gespeichert und um0 Uhr ungltig.
SPX-Benachri chti gungsei nstellungen
Bei Fehler Benachrichtigung senden an: Legen Sie fest, wer beimAuftreten einesSPX-
Fehlers benachrichtigt werden soll. Sie knnen die Benachrichtigung an den Administrator, den
Absender oder an beide versenden oder keine Benachrichtigung verschicken. Feh-
lermeldungen werden immer imSMTP-Protokollaufgelistet.
UTM9 WebAdmin 411
Tipp SPX-Fehlermeldungen knnen ber die Registerkarte Verwaltung >Anpassungen
>E-Mail-Nachrichten angepasst werden.
10.5.2 SPX-Vorlagen
Auf der Registerkarte SPXEncryption >SPXTemplates knnen Sie die vorhandene Stan-
dardvorlage von Sophos bearbeiten und neue SPX-Vorlagen definieren. Bei Nutzung von
SMTPimeinfachen Modus kann fr alle SMTP-Benutzer auf der Registerkarte SMTP>All-
gemein eine globale SPX-Vorlage ausgewhlt werden. Bei Nutzung von SMTPimProfilmodus
knnen Sie verschiedene SPX-Vorlagen unterschiedlichen SMTP-Profilen auf der Regis-
terkarte SMTP-Profile zuweisen.
UmSPX-Verschlsselung zu konfigurieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf Neue Vorlage.
Das Dialogfenster SPX-Vorlage erstellen wird geffnet.
Tipp In der Standardvorlage von Sophos sind ntzliche Einstellungen und Bei-
spieltexte enthalten. Aus diesemGrund empfiehlt es sich, die vorhandene Vorlage mit-
hilfe der Schaltflche Klonen zu klonen, anstatt eine eigene Vorlage von Grund auf neu
zu erstellen.
Hinweis BeimBenachrichtigungsabsender handelt es sich umdie E-Mail-Adresse,
die unter Verwaltung >Benachrichtigungen >Absender konfiguriert wurde.
Vorlagenname: Geben Sie einen aussagekrftigen Namen fr die Vorlage ein.
3. Nehmen Sie die folgenden Grundeinstellungen vor:
zu.
Unternehmensname: Der Unternehmensname wird in den Benachrichtigungen zu
SPXaufgefhrt, die je nach den vorgenommenen Einstellungen an den Administrator
oder Absender der E-Mail versendet werden.
412 UTM9 WebAdmin
PDF-Titelseite: Whlen Sie aus, ob der verschlsselten PDF-Datei eine zustzliche ers-
te Seite hinzugefgt werden soll. Sie knnen die Standardseite oder eine benut-
zerdefinierte Seite verwenden. Wenn Sie eine benutzerdefinierte Seite verwenden
mchten, laden Sie eine einseitige PDF-Datei mithilfe des Ordner-Symbols hoch.
PDF-Verschlsselung: Whlen Sie den Verschlsselungsmodus der PDF-Datei aus.
Beachten Sie, dass manche PDF-Viewer AES/256-verschlsselte PDF-Dateien nicht
lesen knnen.
Bezeichnungssprachen: Whlen Sie die Anzeigesprache der Bezeichnungen fr die
an den Empfnger weitergeleitete E-Mail aus. Die E-Mail enthlt Felder wie bei-
spielsweise Von, An, Absender, oder Betreff.
Seitenformat: Whlen Sie das Seitenformat der PDF-Datei aus.
Sophos-Logos entfernen: Aktivieren Sie diese Option, umdas Sophos-Standardlogo
durch das Logo Ihres Unternehmens zu ersetzen, das auf der Registerkarte Verwaltung
>Anpassungen >Allgemein festgelegt wurde. Das Logo wird an zwei verschiedenen
Stellen angezeigt: in der Fuzeile der an den Empfnger versandten verschlsselten E-
Mail und in der Fuzeile der Antwortnachricht, die ber die Schaltflche Antworten in der
PDF-Datei generiert wird.
4. Nehmen Sie die folgenden Kennworteinstellungen vor:
Kennworttyp: Whlen Sie aus, wie Sie das Kennwort fr den Zugriff auf die ver-
schlsselte E-Mail-Nachricht generieren mchten. Unabhngig von der Auswahl muss
der Absender immer dafr sorgen, dass das Kennwort sicher an den Empfnger ber-
tragen wird.
l Von Absender festgelegt: Whlen Sie diese Option, wenn der Absender der E-
Mail das Kennwort selbst generieren soll. In diesemFall muss der Absender das
Kennwort in das Feld Betreff eingeben und dazu das folgende Format ver-
wenden: [secure:<Kennwort>]<Text der Betreffzeile>, wobei
<Kennwort>das Kennwort zumffnen der verschlsselten PDF-Datei ist und
<Text der Betreffzeile>der gewnschte Betreff ist. Selbstverstndlich wird
das Kennwort von der UTMentfernt, bevor die E-Mail an den Empfnger gesen-
det wird.
Hinweis Eine Vorlage mit dieser Option sollte nicht in Verbindung mit Data Pro-
tection verwendet werden. Bei Data Protection wei der Absender nicht im
UTM9 WebAdmin 413
Voraus, dass eine E-Mail verschlsselt wird, und gibt deshalb das Kennwort
nicht in das Feld Betreff ein. Wenn die UTMversucht, eine E-Mail mithilfe von
SPXzu verschlsseln, ohne dass ein Kennwort angegeben wurde, erhlt der
Absender eine Fehlermeldung zumfehlenden Kennwort.
l Generiert und fr Empfnger gespeichert: Die UTMerstellt automatisch ein
empfngerspezifisches Kennwort, wenn die erste E-Mail an einen Empfnger
gesendet wird. Dieses Kennwort wird an den Absender gesendet. Bei der nchs-
ten E-Mail wird dasselbe Kennwort automatisch verwendet. Das Kennwort luft
ab, wenn es ber einen bestimmten Zeitraumnicht verwendet wird, und kann vom
Administrator zurckgesetzt werden, siehe Registerkarte SPX-Konfiguration.
l Einmaliges Kennwort (OTP) fr jede E-Mail generiert: Die UTMerstellt fr
jede betroffene E-Mail automatisch ein neues Kennwort. Dieses Kennwort wird an
den Absender gesendet.
Betreff der Benachrichtigung (nicht mit der Option Von Absender festgelegt): der
Betreff der E-Mail, die von der UTMan den E-Mail-Absender versendet wird, mit dem
Kennwort. An dieser Stelle knnen Sie Variablen verwenden, z. B. %%ENVELOPE_TO%%
fr den Namen des Empfngers.
Benachrichtigungstext (nicht mit der Option Von Absender festgelegt): Text der E-
Mail die von UTMan den E-Mail-Absender gesendet wird und das Kennwort enthlt.
Hier knnen Sie Variablen verwenden, z. B. %%GENERATED_PASSWORD%%, fr das Kenn-
wort.
Tipp Die Standard-SPX-Vorlage von Sophos auf dieser Registerkarte enthlt alle
verfgbaren Variablen und ist ein hilfreiches Beispiel fr Empfngeranweisungen.
5. Nehmen Sie die folgenden Einstellungen fr die Empfngeranweisungen vor:
Anweisungen fr Empfnger: der Text der E-Mail, die von der UTMan den E-Mail-
Empfnger versendet wird, mit Anweisungen in Bezug auf die verschlsselte E-Mail. Ein-
fache HTML-Befehle und Hyperlinks sind gestattet. Sie knnen auch Variablen ver-
wenden, z. B. %%ORGANIZATION_NAME%%.
Tipp Die Standard-SPX-Vorlage von Sophos auf dieser Registerkarte enthlt alle
verfgbaren Variablen und ist ein hilfreiches Beispiel fr Empfngeranweisungen.
414 UTM9 WebAdmin
Bild fr Kopfzeile/Bild fr Fuzeile: Whlen Sie diese Option, wenn fr die E-Mail
von der UTMan den E-Mail-Empfnger ein Bild fr die Kopf- und/oder Fuzeile ver-
wendet werden soll. Sie knnen das Standardbild verwenden (ein orangefarbener
Umschlag mit geeignetemText) oder ein benutzerdefiniertes Bild auswhlen. Wenn Sie
ein benutzerdefiniertes Bild verwenden mchten, laden Sie eine JPG-, GIF- oder PNG-
Datei mithilfe des Ordner-Symbols hoch. Die empfohlene Gre betrgt 752 x 69 Pixel.
6. Nehmen Sie die folgenden SPX-Portaleinstellungen vor:
SPX-Antwortportal aktivieren: Bei Aktivierung enthlt die an den Empfnger ver-
sendete, verschlsselte PDF-Datei die Schaltflche Antworten. Mithilfe dieser Schalt-
flche kann der Empfnger das SPX-Antwortportal aufrufen und eine verschlsselte E-
Mail-Antwort an den Absender verschicken.
Originaltext in Antwort bernehmen: Bei Aktivierung enthlt die Antwort des Emp-
fngers automatisch den Text der ursprnglichen E-Mail.
Bild fr Portal-Header/Bild fr Portal-Fuzeile: Whlen Sie aus, ob fr das SPX-
Antwortportal ein Bild fr die Kopf und/oder Fuzeile angezeigt werden soll. Sie knnen
das Standardbild verwenden (ein orangefarbener Umschlag mit geeignetemText) oder
ein benutzerdefiniertes Bild auswhlen. Wenn Sie ein benutzerdefiniertes Bild ver-
wenden mchten, laden Sie eine JPG-, GIF- oder PNG-Datei mithilfe des Ordner-Sym-
bols hoch. Die empfohlene Gre betrgt 752 x 69 Pixel.
Die SPX-Vorlage wird erstellt und in der Liste SPX-Vorlagen angezeigt.
Umeine SPX-Vorlage zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
10.5.3 SophosOutlook Add-in
Auf der Registerkarte Email Protection >SPXEncryption >Sophos Outlook Add-in knnen Sie
zur Website von Sophos navigieren und mithilfe Ihrer Anmeldeinformationen fr MySophos das
Sophos Outlook Add-in herunterladen.
Das Outlook-Add-in vereinfacht die Verschlsselung von Nachrichten, die vertrauliche Inhalte
enthalten und von IhremUnternehmen verschickt werden. Das Add-in und die Instal-
lationsdokumentation knnen Sie auf der Sophos Website herunterladen.
Fhren Sie das Installationsprogrammmit folgenden Parametern aus: msiexec /qr /i
SophosOutlookAddInSetup.msi T=1 EC=3 C=1 I=1
UTM9 WebAdmin 415
10.6 Quarantnebericht 10 Email Protection
10.6 Quarantnebericht
Sophos UTMbesitzt eine E-Mail-Quarantne, die alle Nachrichten enthlt (SMTPund POP3),
die aus verschiedenen Grnden blockiert und unter Quarantne gestellt wurden. Das schliet
Nachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten, die mit schdlicher
Software infiziert sind, verdchtige Anhnge enthalten, als Spamidentifiziert wurden oder ein-
fach unerwnschte Ausdrcke enthalten.
Umdas Risiko zu minimieren, dass Nachrichten irrtmlicherweise zurckgehalten werden
(sogenannte Fehlfunde), Sophos UTMsendet an jeden Benutzer tglich einen Qua-
rantnebericht, der ber Nachrichten informiert, die sich in Quarantne befinden. Benutzer mit
mehreren E-Mail-Adressen erhalten einen individuellen Quarantnebericht fr jede kon-
figurierte E-Mail-Adresse. Das gilt auch fr zustzliche POP3-Konten, die ein Benutzer im
Benutzerportal konfiguriert hat, vorausgesetzt der POP3-Proxy der Sophos UTMbefindet sich
imVorabholenmodus. ImVorabholenmodus werden die E-Mails vomPOP3-Server vorab
abgerufen und in einer lokalen Datenbank abgelegt. ImQuarantnebericht kann der Benutzer
auf eine Spam-E-Mail klicken, umdiese Nachricht aus der Quarantne freizugeben, oder er
kann den Absender fr zuknftige Nachrichten einer Whitelist (Positivliste) hinzufgen.
Die folgende Liste enthlt weitere Informationen zumQuarantnebericht:
l Quarantneberichte werden nur an Benutzer geschickt, deren E-Mail-Adresse zu einer
Domne gehrt, die in einemSMTP-Profil enthalten ist. Dies beinhaltet sowohl die Anga-
ben imFeld Domnen in auf der Registerkarte SMTP>Routing als auch die Angaben im
Feld Domnen aller SMTP-Profile.
l Wenn die POP3-Option Vorabholen ausgeschaltet ist, werden Nachrichten in Qua-
rantne, die an dieses Konto geschickt wurden, nicht imQuarantnebericht aufgefhrt.
Stattdessen wird demBenutzer die typische Sophos-Benachrichtigung ber blockierte
POP3-Nachrichten geschickt. Dadurch ist es dann nicht wie ber den Qua-
rantnebericht oder das Benutzerportal mglich, die E-Mails freizugeben. Diese E-
Mails knnen nur vomAdministrator ber den Mail-Manager imzip-Format her-
untergeladen werden.
l Auf der Registerkarte Erweitert legt der Administrator fest, welche Typen von Qua-
rantne-E-Mails von den Benutzern freigegeben werden knnen. Standardmig kn-
nen nur Spam-E-Mails aus der Quarantne freigegeben werden. Nachrichten, die sich
aus anderen Grnden in Quarantne befinden, z.B. weil sie Viren oder verdchtige Datei-
anhnge enthalten, knnen nur vomAdministrator ber den Mail-Manager von Sophos
416 UTM9 WebAdmin
UTMfreigegeben werden. Auerdemknnen Benutzer all ihre Nachrichten in Qua-
rantne ber das Benutzerportal von Sophos einsehen.
l Wenn eine Spam-E-Mail mehrere Empfnger hat, wie es oft bei Verteilerlisten (auch
engl. mailing list) der Fall ist, und einer der Empfnger die E-Mail freigibt, wird die E-Mail
nur fr diesen Empfnger freigegeben, vorausgesetzt die E-Mail-Adresse der Ver-
teilerliste ist auf demSystemkonfiguriert. Andernfalls wird die E-Mail an alle Empfnger
gleichzeitig geschickt. Weitere Informationen finden Sie unter der Option Interne Ver-
teilerlisten definieren auf der Registerkarte Email Protection >Quarantnebericht >Aus-
nahmen.
l E-Mails, die an eine SMTP-E-Mail-Adresse geschickt wurden, fr die kein Benutzer auf
Sophos UTMkonfiguriert ist, knnen vomAdministrator ber den Quarantnebericht
oder den Mail-Manager freigegeben (aber nicht auf die Whitelist gesetzt) werden. Da
der Benutzer nicht konfiguriert ist, ist jedoch kein Zugriff ber das Benutzerportal mg-
lich.
l An Verteilerlisten geschickte Spam-Mails knnen grundstzlich nicht einer Whitelist hin-
zugefgt werden.
l Einige E-Mail-Programme codieren den Header einer E-Mail nicht korrekt, was zu einer
etwas merkwrdigen Darstellung dieser E-Mails imQuarantnebericht fhren kann.
10.6.1 Allgemein
Auf der Registerkarte Quarantnebericht >Allgemein knnen Sie festlegen, zu welcher Zeit
der tgliche Quarantnebericht versendet werden soll. Zustzlich knnen Sie eine Nachricht
schreiben, die an die Quarantneberichte angehngt wird.
Umdie Einstellungen fr den Quarantnebericht zu bearbeiten, aktivieren Sie den Qua-
rantnebericht.Klicken Sie auf den Schieberegler.
Zei tpunkt fr den Beri chtversand
Hier knnen Sie festlegen, wann der tgliche Quarantnebericht versendet werden soll. Wh-
len Sie die Zeit mit Hilfe der Auswahlliste aus und klicken Sie auf bernehmen.
Sie knnen auch einen zustzlichen Bericht versenden. Whlen Sie dazu die Option Zusatz-
bericht senden, stellen Sie die Zeit ein und klicken Sie auf bernehmen.
UTM9 WebAdmin 417
10 Email Protection 10.6 Quarantnebericht
10.6 Quarantnebericht 10 Email Protection
Anpassbarer Nachri chtentext
Hier knnen Sie den Text anpassen, der als Einleitung des Quarantneberichts dient. ndern
Sie den Nachrichtentext nach Ihren Wnschen und klicken Sie auf bernehmen.
Hinweis Es ist nicht mglich, HTML-Tags imFeld fr den Nachrichtentext zu verwenden.
Hinweis Anpassungen sind nicht mglich, wenn Sie eine Home-Use-Lizenz verwenden.
Hinweis BeimBenachrichtigungsabsender handelt es sich umdie E-Mail-Adresse, die
unter Verwaltung >Benachrichtigungen >Absender konfiguriert wurde.
10.6.2 Ausnahmen
Auf der Registerkarte Quarantnebericht >Ausnahmen knnen Sie Ausnahmenlisten fr E-
Mail-Adressen definieren, umdiese von den tglichen Quarantneberichten auszunehmen.
Von Quarantneberi chten ausnehmen
Hier knnen Sie interne E-Mail-Adressen definieren, fr die keine Quarantneberichte ver-
sendet werden sollen. Benutzer, deren E-Mail-Adressen hier aufgefhrt sind, erhalten keine
tglichen Quarantneberichte. Sie knnen vollstndige E-Mail-Adressen eingeben oder einen
Asterisk (*) als Platzhalter verwenden, z.B. *@beispiel.de.
Hinweis Diese Ausnahmen gelten nur fr den SMTP-Quarantnebericht. Wenn fr
einen Benutzer ein POP3-Konto angelegt ist, wird der POP3-Quarantnebericht trotzdem
versendet.
Interne Vertei lerli sten defi ni eren
Wenn die E-Mail-Adresse einer Verteilerliste imFeld Adress-Patterns von Verteilerlisten kon-
figuriert ist (z.B. newsletter@beispiel.de) und eine Spam-E-Mail, die an diese Verteilerliste
gesendet wurde, entdeckt und unter Quarantne gestellt wurde, dann wird der Qua-
rantnebericht aller Empfnger dieser Verteilerliste einen Link zu dieser Spam-E-Mail ent-
halten. Dadurch kann jeder Empfnger die Spam-E-Mail fr sich freigeben, indemer seine E-
Mail-Adresse in das Dialogfenster eingibt, das angezeigt wird, wenn er auf den Freigeben-Link
imQuarantnebericht geklickt hat.
418 UTM9 WebAdmin
Hinweis Verteilerlisten knnen nicht ber den Quarantnebericht oder das Benutzerportal
auf die Whitelist (Positivliste) gesetzt werden.
Alternativ knnten Sie die E-Mail-Adresse dieser Verteilerliste einemlokalen Benutzer als
zustzliche E-Mail-Adresse in dessen Profil eintragen, wodurch dieser Benutzer zu einer Art
Mail-Verwalter werden wrde. Nur der Quarantnebericht dieses Benutzers besitzt dann
einen Link zu der Spam-E-Mail, die an die Verteilerliste geschickt wurde. Ein Klick auf den Frei-
geben-Link wrde dann die Spam-E-Mail an alle Empfnger der Verteilerliste auf einmal ver-
senden.
Hinweis Wenn die E-Mail-Adresse einer Verteilerliste als zustzliche E-Mail-Adresse bei
einemBenutzerprofil eingetragen ist, wird den brigen Empfngern dieser Verteilerliste kein
Freigeben-Link bei Spam-E-Mails angezeigt, die an diese Liste gesendet wurden.
Wenn die E-Mail-Adresse der Verteilerliste allerdings in einemBenutzerkonto als zustzliche
Adresse und gleichzeitig imFeld Adress-Patterns von Verteilerlisten eingetragen ist, dann wird
imQuarantnebericht mit der Aktion Freigeben eine Eingabeaufforderung geffnet. Der Benut-
zer kann dann bestimmen, wemdie Spam-Mail zugestellt wird, indemer die entsprechende(n)
E-Mail-Adresse(n) manuell in die Eingabeaufforderung eintrgt.
Letztlich, wenn die E-Mail-Adresse der Verteilerliste weder als zustzliche Adresse eines Benut-
zerkontos noch als Verteilerlisten-Adressmuster eingetragen ist, dann wird eine an diese Ver-
teilerliste gesendete Spam-E-Mail wie eine normale E-Mail behandelt, d.h. wenn einer der Emp-
fnger der Verteilerliste die Spam-E-Mail aus der Quarantne freigibt, wird diese gleichzeitig
auch an alle anderen Empfnger der Verteilerlisten geschickt.
Zusammenfassend gesagt, wann immer die E-Mail-Adresse einer Verteilerliste als Ver-
teilerlisten-Adressmuster konfiguriert ist, erhlt jeder Benutzer, der einen Freigabe-Link fr die
Spam-E-Mail in seinemQuarantnebericht hat, eine Eingabeaufforderung, in die er eine E-
Mail-Adresse eingeben muss, an welche die Spam-E-Mail gesendet werden soll.
10.6.3 Erweitert
Auf der Registerkarte Quarantnebericht >Erweitert knnen Sie eine(n) alternative(n) Host-
namen und Portnummer fr die Freigeben-Links imQuarantnebericht definieren. Zustzlich
knnen Sie die Freigabeoptionen fr Spam-E-Mails ndern.
UTM9 WebAdmin 419
10 Email Protection 10.6 Quarantnebericht
10.7 Mail-Manager 10 Email Protection
Erwei terte Opti onen des Quarantneberi chts
Hostname: Standardmig ist der Hostname des Gateways voreingestellt, wie er auf der
Registerkarte Verwaltung >Systemeinstellungen >Hostname angegeben ist. Der Qua-
rantnebericht, der tglich vomGateway verschickt wird, enthlt Hyperlinks, auf die der Benut-
zer klicken kann, umeine Nachricht aus der Quarantne freizugeben. Standardmig zeigen
diese Links auf den hier angegebenen Hostnamen. Wenn Sie jedoch ermglichen wollen, dass
Benutzer ihre E-Mails ber das Internet freigeben knnen, kann es notwendig sein, einen alter-
nativen Hostnamen anzugeben, der ffentlich aufgelst werden kann.
Port: Standardmig ist der Port 3840eingestellt. Sie knnen den Port jedoch auf einen belie-
bigen Wert zwischen 1024und 65535ndern.
Zugelassene Netzwerke: Sie knnen auch Netzwerke angeben, denen gestattet ist, sich mit
demFreigabedienst zu verbinden. Standardmig ist nur das interne Netzwerk ausgewhlt.
Frei gabeopti onen
Hier knnen Sie auswhlen, welche Arten von Nachrichten in Quarantne durch Benutzer frei-
gegeben werden drfen. Sie knnen zwischen den folgenden Optionen whlen:
l Schadsoftware
l Spam
l Ausdruck
l Dateierweiterung
l Unscannbar
l MIME-Typ
l Andere
10.7 Mail-Manager
Der Mail-Manager ist ein administratives Werkzeug, mit demalle E-Mails verwaltet und orga-
nisiert werden, die derzeit auf demSystemgespeichert sind. Das schliet sowohl Nachrichten
ein, die auf ihre Zustellung warten, als auch Nachrichten in Quarantne, die mit schdlicher
420 UTM9 WebAdmin
Software infiziert sind, verdchtige Anhnge enthalten, als Spamidentifiziert wurden oder ein-
fach unerwnschte Ausdrcke enthalten. Sie knnen den Mail-Manager dazu verwenden, alle
Nachrichten einzusehen, bevor Sie sie herunterladen, freigeben oder lschen. Der Mail-Mana-
ger untersttzt UTF-8.
10.7.1 Mail-Manager-Fenster
Figure 20 Mail-Manager von Sophos UTM
Umdas Fenster mit demMail-Manager zu ffnen, klicken Sie auf die Schaltflche Mail-Mana-
ger in neuemFenster ffnen auf der Registerkarte Email Protection >Mail-Manager >All-
gemein. Der Mail-Manager ist in fnf Registerkarten unterteilt:
l SMTP Quarantine: Die SMTP-Quarantne zeigt alle Nachrichten an, die momentan
unter Quarantne stehen.
l SMTP Spool: SMTP-Spool zeigt alle Nachrichten an, die sich momentan in
/var/spoolbefinden. Dies kann der Fall sein, wenn sie auf ihre Zustellung warten oder
aufgrund eines Fehlers.
l SMTP Log: Das SMTP-Protokoll zeigt das Zustellungsprotokoll fr alle Nachrichten, die
ber SMTPverarbeitet wurden.
UTM9 WebAdmin 421
10 Email Protection 10.7 Mail-Manager
l POP3 Quarantine: Die POP3-Quarantne zeigt alle Nachrichten an, die ber POP3
geholt wurden und momentan unter Quarantne stehen.
l Close: Klicken Sie hier, umdas Mail-Manager-Fenster zu schlieen.
10.7.1.1 SMTP-/POP3-Quarantne
Nachrichten in der SMTP- und POP3-Quarantne knnen so angezeigt werden, dass der
Grund fr ihren Quarantneaufenthalt deutlich wird:
l Schadsoftware
l Spam
l Ausdruck
l Dateierweiterung
l MIME-Typ (nur SMTP)
l Unscannbar
l Andere
Verwenden Sie die Auswahlkstchen, umdie Quarantneursache auszuwhlen. Dop-
pelklicken Sie auf das Auswahlkstchen einer Ursache, umausschlielich diese Ursache aus-
zuwhlen.
Tipp Doppelklicken Sie auf eine Nachricht, umsie anzuschauen.
Profil/Domne: Whlen Sie ein Profil oder eine Domne aus, umnur dessen/deren Nach-
richten zu sehen.
Abs./Empf./Betr.-Teilausdruck: Hier knnen Sie einen Absender, Empfnger oder Betreff
eingeben (oder einen Wortteil davon), nach demin den Nachrichten gesucht werden soll.
Eingangsdatum: Umnur Nachrichten anzuzeigen, die whrend eines bestimmten Zeitraums
eingegangen sind, geben Sie ein Datumein oder whlen Sie ein Datumber das Kalen-
dersymbol.
Sortiere nach: Standardmig wird die Liste nach Eingangsdatumsortiert. Nachrichten kn-
nen nach Datum, Betreff, Absenderadresse und Nachrichtengre sortiert werden.
und zeige: Sie knnen whlen, ob 20, 50, 100, 250, 500 oder 1000 Eintrge pro Seite ange-
zeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das Anzeigen
aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
422 UTM9 WebAdmin
Verwenden Sie die Auswahlkstchen vor den Nachrichten oder klicken Sie auf Nachrichten um
sie auszuwhlen, und fhren Sie dann Aktionen fr die gewhlten Nachrichten aus. Die fol-
genden Aktionen sind mglich:
l Anzeigen (nur fr einzelne Meldungen verfgbar): ffnet ein Fenster mit demE-Mail-
Inhalt.
l Herunterladen: Die gewhlten Nachrichten werden heruntergeladen.
l Lschen: Die gewhlten Nachrichten werden unwiderruflich gelscht.
l Freigeben: Die gewhlten Nachrichten werden aus der Quarantne freigegeben.
l Freigeben und als Fehlfund melden: Die gewhlten Nachrichten werden aus der
Quarantne freigegeben und als Fehlfund (false positive) an das Spam-Scan-Pro-
grammgemeldet.
Beachten Sie, dass nur der Administrator alle Nachrichten aus der Quarantne freigeben kann.
Benutzer, die ihre Nachrichten imSophos Benutzerportal einsehen, knnen nur Nachrichten
freigeben, fr die ihnen das explizit gestattet ist. Die Autorisierungseinstellungen dafr finden
Sie auf der Registerkarte Email Protection >Quarantnebericht >Erweitert.
Globale Aufrumaktion whlen: Hier finden Sie einige Lschoptionen, die auf alle Nach-
richten global angewendet werden, das heit, unabhngig davon, ob sie ausgewhlt sind
und/oder angezeigt werden oder nicht.
Warnung Gelschte Nachrichten knnen nicht wiederhergestellt werden.
10.7.1.2 SMTP-Spool
Hier sehen Sie Nachrichten, die entweder darauf warten, zugestellt zu werden, oder einen Feh-
ler verursacht haben. Das Zustellungsprotokoll ist auch Teil des Headers einer Nachricht. Ver-
wenden Sie die folgenden Auswahlkstchen, umnur eine Sorte von Nachrichten zur Ansicht
auszuwhlen:
l Ausstehend: Nachrichten, deren Zustellung noch aussteht.
l Fehler: Nachrichten, die einen Fehler verursacht haben. Wenn eine Nachricht mehr als
einmal einen Fehler verursacht, melden Sie den Fall bitte IhremSophos Partner oder
demSophos Support-Team.
Tipp Doppelklicken Sie auf eine Nachricht, umsie anzuschauen.
UTM9 WebAdmin 423
richten zu sehen.
Abs./Empf./Betr.-Teilausdruck: Hier knnen Sie einen Absender, Empfnger oder Betreff
eingeben (oder einen Wortteil davon), nach demin den Nachrichten gesucht werden soll.
dersymbol.
Sortiere nach: Standardmig wird die Liste nach Eingangsdatumsortiert. Nachrichten kn-
nen nach Datum, Betreff, Absenderadresse und Nachrichtengre sortiert werden.
Verwenden Sie die Auswahlkstchen vor den Nachrichten oder klicken Sie auf Nachrichten um
sie auszuwhlen, und fhren Sie dann Aktionen fr die gewhlten Nachrichten aus. Die fol-
genden Aktionen sind mglich:
l Herunterladen: Die gewhlten Nachrichten werden heruntergeladen.
l Erneut versuchen: Es wird sofort erneut versucht, die gewhlten Nachrichten zuzu-
stellen.
l Zurckweisen: Die gewhlten Nachrichten werden zurckgewiesen, das heit, der
Absender erhlt eine Nachricht, dass die Zustellung seiner Nachricht abgebrochen wur-
de, weil sie unzustellbar war.
Globale Aufrumaktion whlen: Hier finden Sie eine Wiederholungsoption sowie einige
Lschoptionen, die auf alle Nachrichten global angewendet werden, das heit, unabhngig
davon, ob sie ausgewhlt sind und/oder angezeigt werden oder nicht.
Warnung Gelschte Nachrichten knnen nicht wiederhergestellt werden.
10.7.1.3 SMTP-Protokoll
Das SMTP-Protokoll (SMTPLog) zeigt die Protokollmeldungen fr alle ber SMTPver-
arbeiteten Nachrichten.
424 UTM9 WebAdmin
Ergebnisfilter: Whlen Sie aus, welche Arten von Nachrichten angezeigt werden, indemSie
die entsprechenden Auswahlkstchen markieren.
l Zugestellt: Erfolgreich zugestellte Nachrichten.
l Abgelehnt: Nachrichten, die von der UTMabgelehnt wurden.
l In Quarantne: Nachrichten, die unter Quarantne gestellt wurden.
l Verworfen: Nachrichten, die ohne Benachrichtigung gelscht wurden.
l Abgebrochen: Nachrichten, deren Zustellung manuell unter SMTPSpool abge-
brochen wurde.
l Zurckgewiesen: Nachrichten, die nicht zugestellt werden konnten, aufgrund von z.B.
falschen Routing-Einstellungen.
l Gelscht: Manuell gelschte Nachrichten.
l Unbekannt: Nachrichten, deren Status unbekannt ist.
Verwenden Sie die Auswahlkstchen, umErgebnisfilter-Optionen an- oder abzuwhlen. Dop-
pelklicken Sie eine Option, umausschlielich diese Option auszuwhlen.
Ursachenfilter: Verwenden Sie die Auswahlkstchen, umdas Nachrichtenprotokoll weiter zu
filtern.
Hinweis Doppelklicken Sie ein Nachrichtenprotokoll, umes anzuschauen. Klicken Sie auf
das Serversymbol einer Nachricht, umdie IP-Adresse aufzulsen. Ein Asterisk (*) kenn-
zeichnet einen erfolgreichen Reverse-DNS-Lookup.
richten zu sehen.
IP/Netz/Adresse/Betr. -Teilausdruck: Hier knnen Sie eine IP-Adresse, Netzwerkadresse
oder einen Betreff eingeben, umdanach in den SMTP-Protokollmeldungen zu suchen.
dersymbol.
Sortieren nach: Standardmig wird die Liste nach Ereignisdatumsortiert. Nachrichten kn-
nen nach Ereignisdatum, Absenderadresse und Nachrichtengre sortiert werden.
UTM9 WebAdmin 425
10.7.2 Allgemein
Imoberen Bereich der Registerkarte Mail-Manager >Allgemein knnen Sie den Mail-Manager
ffnen, indemSie auf die Schaltflche Mail-Manager in neuemFenster ffnen klicken.
Imunteren Bereich bietet der Abschnitt Statistischer berblick eine bersicht ber alle Nach-
richten, die augenblicklich auf demSystemgespeichert sind. Die Daten sind unterteilt in Nach-
richten, die ber SMTPund solche, die ber POP3 zugestellt wurden. Fr beide Arten werden
die folgenden Informationen angezeigt:
l Warten auf Auslieferung (Spooled) (nur SMTP): Mails, die sich in Spool befinden,
z.B. weil sie gescannt wurden und bis jetzt noch nicht ausgeliefert werden konnten.
l Legitime Nachrichten insgesamt (nur POP3): Mails, die vomSystemvorab geholt
und bisher noch nicht von einemClient/Benutzer abgeholt wurden.
l Schadsoftware in Quarantne: Die Anzahl an Nachrichten, die Schadsoftware ent-
halten, wie z.B. Viren oder anderen schdlichen Inhalt.
l Spamin Quarantne: Die Anzahl an Nachrichten, die als Spamidentifiziert und des-
halb unter Quarantne gestellt wurden.
l Ausdruck in Quarantne: Die Anzahl an Nachrichten, die unter Quarantne gestellt
wurden, weil sie unerwnschte Ausdrcke enthalten.
l Dateierweiterung in Quarantne: Die Anzahl an Nachrichten, die unter Quarantne
stehen, weil sie verdchtige Dateianhnge (die ber ihre Dateierweiterung identifiziert
wurden) enthalten.
l Unscannbarer Inhalt in Quarantne: Die Anzahl an Nachrichten, die unter Qua-
rantne stehen, weil sie nicht gescannt werden konnten.
l MIME-Typ in Quarantne (nur SMTP): Die Anzahl an Nachrichten, die unter Qua-
rantne stehen, weil sie einen MIME-Typ haben, der laut den SMTP-Einstellungen gefil-
tert werden soll.
l In Quarantne insgesamt: Die Gesamtzahl an Nachrichten, die unter Quarantne ste-
hen.
426 UTM9 WebAdmin
Hinweis Die Zahlen fr Warten auf Auslieferung geben einen Echtzeit-Ausschnitt der
SMTP-Nachrichten wieder. Fr POP3-Nachrichten hingegen beschreiben die Zahlen die
Daten, die seit demletzten Vorabholen aufgelaufen sind.
Unten sehen Sie eine kurze Statistik ber die SMTP-Quarantne und die Ablehnungen der letz-
ten 24 Stunden:
l Schadsoftware in Quarantne/abgelehnt: Nachrichten, die unter Quarantne
gestellt oder abgelehnt wurden, weil sie schdlichen Inhalt besitzen.
l Spamin Quarantne/abgelehnt: Nachrichten, die unter Quarantne gestellt oder
abgelehnt wurden, weil sie als Spamidentifiziert wurden.
l Ablehnungen durch Blacklist: Nachrichten, die abgelehnt wurden, weil ihr Absender
auf der Negativliste gefhrt wird.
l Ablehnungen nach Adressberprfung: Nachrichten, die abgelehnt wurden, weil
ihre Absenderadresse nicht verifiziert werden konnte.
l Ablehnungen durch SPF: Nachrichten, die abgelehnt wurden, weil der sie sendende
Host nicht zugelassen ist.
l Ablehnung durch RBL: Nachrichten, die abgelehnt wurden, weil der Absender auf
einer Echtzeit-Blackhole-Liste gefhrt wird.
l Ablehnungen durch BATV: Nachrichten, die abgelehnt wurden, weil das BATV-Tag
ungltig war.
l Ablehnungen durch RDNS/HELO: Nachrichten, die abgelehnt wurden, weil das
HELOungltig war oder RDNS-Eintrge fehlten.
Ob es berhaupt Ablehnungen gibt, hngt von Ihren Einstellungen unter Email Protection >
SMTPab.
Auf der Registerkarte Mail-Manager >Konfiguration wird definiert, nach wie vielen Tagen das
Datenbankprotokoll geleert beziehungsweise die unter Quarantne gestellten E-Mails gelscht
werden. Alle Protokolle und E-Mails, die lter sind als die hier eingestellte Anzahl an Tagen, wer-
den automatisch gelscht.
Die Voreinstellungen sehen folgendermaen aus:
UTM9 WebAdmin 427
l Das Datenbankprotokoll wird nach drei Tagen geleert. Die maximal erlaubte Anzahl an
Tagen betrgt 30 Tage.
l Nachrichten in Quarantne werden nach 14 Tagen gelscht. Die maximal erlaubte
Anzahl an Tagen betrgt 999 Tage.
Die minimal erlaubte Anzahl an Tagen fr sowohl das Datenbankprotokoll als auch die Qua-
rantne betrgt einen Tag.
Datenbankprotokoll leeren
Diese Option ist ntzlich, wenn sich imDatenbankprotokoll eine enorme Menge an Daten ange-
sammelt hat und Sie das Protokoll sofort leeren mchten. Auf diese Weise mssen Sie nicht
warten, bis die normale Aufrumaktion durchgefhrt wird.
428 UTM9 WebAdmin
11 Endpoint Protection
ber das Men Endpoint Protection knnen Sie den Schutz der Endpoints in IhremNetzwerk
verwalten, z.B. von Desktop-Computern, Servern und Laptops. UTMist die Stelle, an der Sie
Endpoint Protection konfigurieren; hier laden Sie die Software fr Endpoints herunter, ver-
schaffen sich einen berblick ber die geschtzten Endpoints, richten Antiviren- und Device-
Control-Richtlinien ein, gruppieren Endpoints und ordnen die definierten Richtlinien den End-
point-Gruppen zu.
Endpoint Protection nutzt den zentralen Dienst Sophos LiveConnect. Dieser Cloud-basierte
Dienst wird automatisch fr die Verwendung mit der UTMkonfiguriert, wenn Sie Endpoint Pro-
tection aktivieren. LiveConnect ermglicht Ihnen jederzeit die Verwaltung von Endpoints in
Ihremlokalen Netzwerk, an entfernten Standorten oder bei mobilen Benutzern. Der
LiveConnect-Dienst umfasst Folgendes:
l Ein vorkonfiguriertes Installationspaket fr den Endpoint-Agent
l Richtlinienumsetzung und Aktualisierungen fr Endpoints
l Sicherheitsaktualisierungen und Definitionen fr Endpoints
l Zentrale Protokoll- und Berichtsdaten zur zentralen berwachung von Endpoints ber
den WebAdmin
Da es sich bei LiveConnect umeinen Cloud-basierten Dienst handelt, bentigen Sie eine aktive
Internetverbindung, umden Dienst nutzen zu knnen. Verwaltete Endpoints bentigen eben-
falls eine Internetverbindung, umRichtlinien- und Sicherheitsaktualisierungen empfangen zu
knnen.
Die Abbildung unten zeigt ein Beispiel fr die Implementierung von Sophos UTMEndpoint Pro-
tection mit Nutzung des LiveConnect-Diensts.
11 Endpoint Protection
Figure 21 Endpoint Protection: bersicht
l Computerverwaltung
l Antivirus
l Device Control
l Web Control
Wenn Endpoint Protection aktiviert ist, werden auf der bersichtsseite allgemeine Infor-
mationen zu registrierten Computern und deren Status angezeigt. Sie knnen diese Liste sor-
tieren und durchsuchen. Wenn der Status eines Endpoints nicht Ok lautet, knnen Sie den Sta-
tus anklicken, umein Fenster mit weiteren Informationen zu ffnen. Der Status Keine
bereinstimmung weist darauf hin, dass die Gerteeinstellungen derzeit nicht mit der Kon-
figuration der UTMbereinstimmen. Umdieses Problemzu beheben, mssen Sie ber einen
Link imFenster die aktuellen Endpoint-Einstellungen an den Endpoint senden. Fr andere Sta-
tus knnen Sie die Informationen besttigen und entscheiden, welche Manahmen erfor-
derlich sind.
430 UTM9 WebAdmin
Endpoi nt Protecti on Li ve-Protokoll ffnen
Das Live-Protokoll von Endpoint Protection stellt Informationen ber die Verbindungen zwi-
schen den Endpoints, LiveConnect und der UTMsowie Sicherheitsinformationen ber die End-
points bereit. Klicken Sie auf die Schaltflche Endpoint-Protection-Live-Protokoll ffnen, um
das Live-Protokoll in einemneuen Fenster zu ffnen.
11.1 Computerverwaltung
Auf den Seiten Endpoint Protection >Computerverwaltung knnen Sie den Schutz fr einzelne
Computer, die mit Ihrer Sophos UTMverbunden sind, aktivieren und verwalten.
Sie knnen nach einer Installationsdatei fr Endpoints suchen und diese verwenden und sich
einen berblick ber alle Computer verschaffen, auf denen Endpoint Protection installiert ist.
Sie knnen Computergruppen mit abweichenden Schutzeinstellungen definieren.
11.1.1 Allgemein
Auf der Registerkarte Endpoint Protection >Computerverwaltung >Allgemein knnen Sie End-
point Protection aktivieren und deaktivieren.
UmEndpoint Protection zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und einige Felder mit Details zu Ihrer Organisation werden
angezeigt.
2. Geben Sie Informationen zu Ihrer Organisation ein.
Standardmig werden die Einstellungen von der Registerkarte Verwaltung >Sys-
temeinstellungen >Organisatorisches verwendet.
3. Optional knnen Sie einen bergeordneten Proxy konfigurieren:
Wenn Ihr UTMkeinen direkten HTTP-Internetzugang hat, kann Endpoint Protection
einen Proxy-Server verwenden, umSophos LiveConnect zu erreichen. Whlen Sie
bergeordneten Proxy verwenden und geben Sie gegebenenfalls den Host und den
Port ein.
4. Klicken Sie auf Endpoint Protection aktivieren.
Der Schieberegler wird grn und Endpoint Protection wird aktiviert.
UTM9 WebAdmin 431
11 Endpoint Protection 11.1 Computerverwaltung
11.1 Computerverwaltung 11 Endpoint Protection
Auf der Seite Agent installieren knnen Sie nun imnchsten Schritt den zu berwachenden
Computern ein Endpoint-Protection-Installationspaket zur Verfgung stellen.
Hinweis Wenn Sie Endpoint Protection verwenden, empfehlen wir Ihnen, die Option Zwi-
schenspeichern fr Sophos-Endpoint-Aktualisierung erzwingen auf der Registerkarte Web
Protection >Filtering Options >Misc, Bereich Webfilter-Zwischenspeicherung, zu aktivieren,
umUplink-Engpsse zu vermeiden, wenn Endpoints Daten von den Update-Servern imInter-
net herunterladen.
Hinweis Der Administrator kann Alarmmeldungen fr die Endpoint-Viruserkennung auf
der Registerkarte Verwaltung >Benachrichtigungen >Benachrichtigungen, Bereich End-
point konfigurieren.
Hinweis Wenn der Webfilter imTransparenzmodus aktiv ist, sind zustzliche Einstellungen
erforderlich, umsicherzustellen, dass Endpoint Protection wie vorgesehen an den Endpoints
eingesetzt werden kann: Sobald Endpoint Protection aktiviert ist, erstellt UTMautomatisch die
DNS-Gruppe Sophos LiveConnect. Fgen Sie diese DNS-Gruppe imFeld Zielhosts/-netze
vomTransparenzmodus ausnehmen auf der Registerkarte Web Protection >Filteroptionen
>Sonstiges hinzu.
UmEndpoint Protection zu deaktivieren, gehen Sie folgendermaen vor:
1. Deaktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und zwei Optionen werden angezeigt.
2. Entscheiden Sie, ob Sie Ihre Endpoint-Daten lschen mchten.
ALLE Daten beibehalten: Whlen Sie diese Option, wenn Sie Endpoint Protection vor-
bergehend deaktivieren mchten. Ihre Endpoint-Einstellungen werden gespeichert.
Wenn Sie die Funktion erneut aktivieren, wird automatisch eine Verbindung mit den
bereits installierten Endpoints hergestellt und alle festgelegten Richtlinien stehen zur Ver-
fgung.
ALLE Daten lschen:Whlen Sie diese Option, wenn Sie alle Endpoint-Einstellungen
zurcksetzen und von vorne beginnen mchten. Alle Verbindungen mit Endpoints und
alle Richtlinieneinstellungen werden gelscht. NachdemSie die Funktion erneut aktiviert
432 UTM9 WebAdmin
haben, installieren Sie neue Installationspakete an den Endpoints, damit die neuen Regis-
trierungsdaten dort verfgbar sind (siehe Abschnitt Computerverwaltung >Erweitert).
3. Klicken Sie auf Endpoint Protection deaktivieren.
Der Schieberegler wird grau und Endpoint Protection wird deaktiviert.
11.1.2 Agent installieren
Auf der Registerkarte Endpoint Protection >Computerverwaltung >Agent installieren knnen
Sie die Installationsdateien fr die Computer, die von Endpoint Protection berwacht werden
sollen, herunterladen.
Die beiden Pakete bieten zwei verschiedene Mglichkeiten, Endpoint Protection an Endpoints
zu installieren:
l Klicken Sie zumHerunterladen und Speichern des Installationspakets auf die Schalt-
flche Download Endpoint Installation Package Now. Geben Sie dann den Endpoint-
Benutzern Zugriff auf das Paket.
l Kopieren Sie die URL aus demgrauen Feld und senden Sie sie an die Endpoint-Benut-
zer. ber diese URL knnen die Endpoint-Benutzer das Installationspaket selbst her-
unterladen und installieren.
Hinweis Der Name der Installationspakete darf nicht gendert werden. Whrend der Instal-
lation vergleicht LiveConnect den Paketnamen mit den aktuellen Registrierungsdaten der
UTM. Wenn die Informationen nicht bereinstimmen, wird der Installationsvorgang abge-
brochen.
Nach der Installation amEndpoint wird der jeweilige Computer auf der Registerkarte Com-
puter verwalten angezeigt. Auerdemwird er der Computergruppe, die auf der Registerkarte
Erweitert festgelegt wurde, automatisch zugewiesen.
Hinweis Das Installationspaket kann mit Hilfe der Schaltflche Registrierungstoken zurck-
setzen auf der Registerkarte Erweitert ungltig gemacht werden.
11.1.3 Computer verwalten
Auf der Registerkarte Endpoint Protection >Computerverwaltung >Computer verwalten erhal-
ten Sie einen berblick ber die Computer, auf denen Endpoint Protection fr Ihre UTM
UTM9 WebAdmin 433
installiert ist. Die Computer werden automatisch zur Liste hinzugefgt. Sie knnen einen Com-
puter einer Gruppe zuweisen, weitere Informationen hinzufgen, den Manipulationsschutz
eines Computers ndern oder einen Computer aus der Liste lschen.
Umdie Einstellungen eines Computer auf der Liste zu ndern, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten des betreffenden Computers.
Das Dialogfeld Computer bearbeiten wird geffnet.
Computergruppe:Whlen Sie die Computergruppe aus, der Sie den Computer zuwei-
sen mchten. Der Computer erhlt die Schutzeinstellungen der Gruppe, der er zuge-
wiesen ist.
Typ: Whlen Sie einen Computertyp, also Desktop, Laptop oder Server. Die Zuweisung
eines Typs ist bei der Filterung der Liste hilfreich.
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, knnen die
Schutzeinstellungen eines Computers lokal nur durch Eingabe eines Kennworts gen-
dert werden. Das Kennwort wird auf der Registerkarte Erweitert festgelegt. Wenn diese
Funktion deaktiviert ist, kann der Endpoint-Benutzer die Schutzeinstellungen ohne Ein-
gabe eines Kennworts ndern. Standardmig stimmen die Einstellungen mit den Ein-
stellungen der Gruppe berein, der der Computer zugeordnet ist.
Bestandsnr. (optional): Geben Sie die Bestandsnummer des Computers ein.
zu.
Umeinen Computer aus der Liste zu entfernen, klicken Sie auf Lschen.
Hinweis Wenn Sie einen Computer aus der Liste lschen, wird er nicht mehr von der UTM
berwacht. Die installierte Endpoint-Software wird jedoch nicht automatisch deinstalliert und
die zuletzt angewandten Richtlinien bleiben aktiv.
11.1.4 Gruppen verwalten
Auf der Registerkarte Endpoint Protection >Computerverwaltung >Gruppen verwalten kn-
nen Sie die geschtzten Computer zu Gruppen zusammenfassen und gruppenweite
434 UTM9 WebAdmin
EndpointProtection-Einstellungen festlegen. Alle Computer, die einer Gruppe angehren, ver-
fgen ber die gleichen Antiviren- und Gerte-Richtlinien.
Hinweis Jeder Computer ist genau einer Gruppe zugeordnet. Anfangs sind alle Computer
der Standardgruppe zugeordnet. NachdemSie Gruppen hinzugefgt haben, knnen Sie auf
der Registerkarte Erweitert festlegen, welche Gruppe Sie als Standardgruppe verwenden
mchten, d.h. welcher Gruppe neu installierte Computer automatisch zugeordnet werden.
Umeine Computergruppe anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Computergruppe hinzufgen.
Das Dialogfeld Computergruppe hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Gruppe ein.
Antiviren-Richtlinie: Whlen Sie die Antivirus-Richtlinie, die fr diese Gruppe gelten
soll. Die Richtlinien sind auf der Registerkarte Antivirus >Richtlinien definiert. Beachten
Sie, dass Sie auf der Registerkarte Antivirus >Ausnahmen gruppenspezifische Aus-
nahmen von dieser Richtlinie festlegen knnen.
Gerterichtlinie: Whlen Sie die Gerterichtlinie, die fr diese Gruppe gelten soll. Die
Richtlinien sind auf der Registerkarte Device Control >Richtlinien definiert. Beachten
Sie, dass Sie auf der Registerkarte Device Control >Ausnahmen gruppenspezifische
Ausnahmen von dieser Richtlinie festlegen knnen.
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, knnen die
Schutzeinstellungen der jeweiligen Endpoints lokal nur durch Eingabe eines Kennworts
gendert werden. Das Kennwort wird auf der Registerkarte Erweitert festgelegt. Wenn
diese Funktion deaktiviert ist, kann der Endpoint-Benutzer die Schutzeinstellungen ohne
Eingabe eines Kennworts ndern. Beachten Sie, dass Sie die Schutzeinstellungen fr
einzelne Computer auf der Registerkarte Computer verwalten ndern knnen.
Web Control: Wenn diese Option aktiv ist, knnen Endpoints dieser Gruppe Web-
filterrichtlinien erzwingen und ber diese berichten, selbst wenn sie sich nicht in einem
Sophos UTM-Netzwerk befinden. Endpoint-Web-Control aktivieren Sie auf der Regis-
terkarte Endpoint Protection >Web Control.
Proxy fr AutoUpdate verwenden:Ist diese Option aktiviert, werden die darunter
festgelegten Proxy-Attribute an die Endpoints dieser Gruppe gesendet. Die Endpoints
verbinden sich mit Hilfe dieser Proxy-Daten mit demInternet.
UTM9 WebAdmin 435
Hinweis Stellen Sie sicher, dass Sie die korrekten Daten eingeben. Wenn die End-
points falsche Proxy-Daten erhalten, knnen sie sich nicht mehr mit demInternet und
mit der UTMverbinden. In diesemFall mssen Sie die Konfiguration auf jedembetrof-
fenen Endpoint manuell anpassen.
Adresse: Geben Sie die IP-Adresse des Proxys ein.
Port: Geben Sie die Port-Nummer des Proxys ein.
Benutzer: Geben Sie bei Bedarf den Benutzernamen des Proxys ein.
Kennword: Geben Sie bei Bedarf das Kennwort des Proxys ein.
Computer:Fgen Sie die Computer hinzu, die zur Gruppe gehren sollen.
zu.
Die Gruppe wird erstellt und in der Liste Gruppen verwalten angezeigt. Bitte beachten
Sie, dass es bis zu 15 Minuten dauern kann, bis alle Computer neu konfiguriert sind.
Umeine Gruppe zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
11.1.5 Erweitert
Auf der Registerkarte Endpoint Protection >Computerverwaltung >Erweitert knnen die fol-
genden Optionen konfiguriert werden:
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, knnen Schutzein-
stellungen an Endpoints nur mit diesemKennwort gendert werden.
Standard-Computergruppe: Whlen Sie die Computergruppe, der ein Computer direkt
nach der Installation von Endpoint Protection automatisch zugewiesen wird.
Sophos LiveConnect Registrierung: Dieser Abschnitt enthlt Informationen zur Regis-
trierung von Endpoint Protection Die Informationen werden unter anderemzur Identifikation
von Installationspaketen und fr Supportzwecke verwendet.
436 UTM9 WebAdmin
Wenn Sie Sophos Enterprise Console zur Verwaltung von Endpoints verwenden, knnen Sie
dieses UTMzur Bereitstellung ihrer Web Control-Richtlinie verwenden. Kopieren Sie unter
SEC-Informationen den Hostname und den Geteilten Schlssel in den Web Control-Richt-
linieneditor in Sophos Enterprise Console.
l Registrierungstoken zurcksetzen: Klicken Sie auf diese Schaltflche, umzu ver-
hindern, dass Endpoints mit einemzuvor verbreiteten Installationspaket installiert wer-
den. Dies erfolgt typischerweise zumAbschluss eines Rollouts. Wenn Sie mchten, dass
neue Endpoints installiert werden knnen, stellen Sie ein neues Installationspaket ber
die Registerkarte Agent installieren zur Verfgung.
bergeordneter Proxy: Verwenden Sie einen bergeordneten Proxy, wenn Ihre UTMkei-
nen direkten Internetzugriff bietet.
11.2 Antivirus
Auf den Seiten Endpoint Protection >Antivirus legen Sie die Antiviren-Einstellungen fr End-
point Protection fest. Sie knnen Antiviren-Richtlinien, also bestimmte Zusammenstellungen
von Antiviren-Einstellungen, erstellen und diese auf Ihre Computergruppen anwenden, die von
Endpoint Protection berwacht werden. Sie knnen auch Ausnahmen von den Antiviren-Funk-
tionen definieren, die nur fr bestimmte Computergruppen gelten.
11.2.1 Richtlinien
Auf der Registerkarte Endpoint Protection >Antivirus >Richtlinien knnen Sie verschiedene
Antivirus-Einstellungen verwalten und auf die von Endpoint Protection berwachten Com-
putergruppen anwenden.
Die Antiviren-Standardrichtlinie Basic protection bietet die beste Balance aus Sicherheit fr
Ihren Computer und allgemeiner Systemleistung. Sie kann nicht angepasst werden.
Umeine neue Antiviren-Richtlinie hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Richtlinie hinzufgen.
Das Dialogfeld Richtlinie hinzufgen wird geffnet.
Name:Geben Sie einen aussagekrftigen Namen fr diese Richtlinie ein.
UTM9 WebAdmin 437
11 Endpoint Protection 11.2 Antivirus
11.2 Antivirus 11 Endpoint Protection
Zugriffsscan:Aktivieren Sie diese Option, wenn Dateien bei jedemKopieren, Ver-
schieben oder ffnen gescannt werden sollen. Der Zugriff auf Dateien wird nur gewhrt,
wenn sie keine Gefahr darstellen oder sie zur Verwendung autorisiert wurden.
l PUA-Scan: Aktivieren Sie diese Option, umbeimZugriffsscan auch nach poten-
ziell unerwnschten Anwendungen (PUAs) zu suchen.
Automatische Bereinigung: Aktivieren Sie diese Option, uminfizierte Dateien oder
Spyware automatisch zu bereinigen. Dateien mit Schadsoftware werden gelscht, infi-
zierte Dateien werden gesubert. Die so bereinigten Dateien sind irreparabel besch-
digt, da der Virenscanner den ursprnglichen Zustand der Datei vor ihrer Infektion nicht
wiederherstellen kann.
Sophos Live Protection:Wenn der Antiviren-Scan auf einemEndpoint-Computer
eine verdchtige Datei erkennt, anhand der auf demComputer gespeicherten Sophos-
Definitionsdateien (IDE) aber nicht entscheiden kann, ob die Datei sauber oder infiziert
ist, werden bestimmte Dateiinformationen (wie die Prfsumme und andere Attribute) an
Sophos gesendet, umdie weitere Analyse zu ermglichen.
Bei dieser Cloud-basierten berprfung wird die SophosLabs-Datenbank nach Infor-
mationen ber die verdchtige Datei durchsucht. Wenn die Datei als sauber oder infiziert
erkannt wird, wird diese Information an den Computer gesendet und der Status der
Datei wird aktualisiert.
l Beispieldatei senden: Kann eine als verdchtig eingestufte Datei nicht alleine
anhand der Dateiinformationen als schdlich identifiziert werden, knnen Sie
Sophos erlauben, das Senden einer Beispieldatei anzufordern. Wenn diese Opti-
on aktiviert ist und Sophos nicht bereits ber ein Muster dieser Datei verfgt, wird
die betreffende Datei automatisch gesendet. Durch das Einsenden von Bei-
spieldateien kann Sophos die Schadsoftware-Erkennung kontinuierlich ver-
bessern und Fehlfunde vermeiden.
Verdchtiges Verhalten (HIPS):Aktivieren Sie diese Option, umalle Systemprozesse
auf Zeichen aktiver Schadsoftware hin zu berwachen. Dazu gehren verdchtige Ein-
trge in das Registry, Dateikopiervorgnge oder Pufferberlauf-Techniken. Verdchtige
Prozesse werden blockiert.
Web Protection:Aktivieren Sie diese Option, umWebsite-URLs in der Online-Daten-
bank der infizierten Websites von Sophos nachzuschlagen.
438 UTM9 WebAdmin
l Schdliche Inhalte blockieren: Aktivieren Sie diese Option, umWebsites mit
schdlichen Inhalten zu blockieren.
l Download-Scan: Aktivieren Sie diese Option, umDaten whrend des Her-
unterladens nach Viren zu scannen. Infizierte Dateien werden blockiert.
Geplanter Scan: Aktivieren Sie diese Option, umden Scan zu einembestimmten Zeit-
punkt auszufhren.
l Rootkit-Scan: Aktivieren Sie diese Option, umbei jedemgeplanten Scan den
Computer nach Rootkits zu durchsuchen.
l Scan mit niedriger Prioritt: Aktivieren Sie diese Option, umOn-Demand-
Scans mit einer niedrigeren Prioritt durchzufhren. Beachten Sie, dass dies erst
ab Windows Vista Servicepack 2 mglich ist.
l Zeitereignis: Geben Sie hier an, wann der Computer gescannt werden soll.
Beachten Sie dabei die Zeitzone des Endpoints.
zu.
Die neue Richtlinie wird in der Liste der Antiviren-Richtlinien angezeigt. Beachten Sie,
dass nderungen an den Einstellungen erst nach 15 Minuten auf allen Computern wirk-
samwerden.
Umeine Richtlinie zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
11.2.2 Ausnahmen
Auf der Registerkarte Endpoint Protection >Antivirus >Ausnahmen knnen Sie Com-
putergruppen-spezifische Ausnahmen von den Antiviren-Einstellungen von Endpoint Pro-
tection erstellen. Eine Ausnahme legt fest, welche Objekte von demin einer Antiviren-Richt-
linieneinstellung definierten Scanvorgang ausgenommen werden.
Umeine Ausnahme hinzuzufgen, gehen Sie folgendermaen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Ausnahme hinzufgen.
Das Dialogfeld Ausnahme hinzufgen wird geffnet.
UTM9 WebAdmin 439
11 Endpoint Protection 11.2 Antivirus
11.2 Antivirus 11 Endpoint Protection
Typ:Whlen Sie den Typ der Objekte aus, die vomZugriffs- und On-Demand-Scan aus-
genommen sein sollen.
l Adware und PUA: Whlen Sie diese Option, wenn bestimmte Adware oder PUA
(Potenziell Unerwnschte Anwendungen) nicht gescannt oder blockiert werden
soll. Adware zeigt unerwnschte Werbung an (zumBeispiel in Pop-up-Fenstern)
und kann die Benutzerproduktivitt und Systemeffizienz beeintrchtigen. PUAs
richten keinen Schaden an, haben aber in geschftlich genutzten Netzwerken
nichts zu suchen. Geben Sie unter Dateiname den Namen der Adware oder PUA
ein, z.B. beispiel.zeug.
l Dateien/Ordner:Whlen Sie diese Option, umeine Datei, einen Ordner oder ein
Netzlaufwerk vomAntiviren-Scan auszuschlieen. Unter Datei/Pfad geben Sie
eine Datei, einen Ordner oder ein Netzlaufwerk an, z.B. C:\Dokumente\oder
\\Server\Benutzer\Dokumente\Lebenslauf.doc.
l Dateierweiterungen: Wenn diese Funktion ausgewhlt ist, knnen Sie Datei-
erweiterungen hinzufgen, die dann vomAntivirus-Scan gescannt werden.
Geben Sie die Erweiterung in das Feld Erweiterung ein, z.B. html.
l Pufferberlauf: Whlen Sie diese Option, umzu verhindern, dass die Ver-
haltensberwachung eine Anwendung blockiert, die Pufferberlauf-Techniken
nutzt. Geben Sie optional den Namen der Anwendungsdatei in das Feld
Dateiname ein und laden Sie die Datei ber das Feld Hochladen hoch.
l Verdchtige Dateien: Whlen Sie diese Option, umzu verhindern, dass der Anti-
viren-Scan eine verdchtige Datei blockiert. Laden Sie die Datei ber das Feld
Hochladen hoch. UTMgeneriert die MD5-Prfsummer der Datei. Der Name der
hochgeladenen Datei wird automatisch fr das Feld Dateiname verwendet.
ndern Sie optional den Dateinamen. Wenn eine Datei mit demfestgelegten
Dateinamen und der gespeicherten MD5-Prfsumme auf demClient gefunden
wird, wird sie nicht durch Antiviren-Scanning blockiert.
l Verdchtiges Verhalten:Whlen Sie diese Option, umzu verhindern, dass eine
Datei von der Verhaltensberwachung blockiert wird. Geben Sie optional den
Namen der Datei in das Feld Dateiname ein und laden Sie die Datei ber das Feld
Hochladen hoch.
l Websites: Whlen Sie diese Option, umWebsites, die den Attributen imFeld
Webformat entsprechen, vomAntiviren-Scan auszunehmen.
440 UTM9 WebAdmin
Webformat:Geben Sie hier die Servermit den Websites an, deren Besuch zuls-
sig sein soll.
l Domnenname:Geben Sie in das Feld Website den Namen der Domne
ein, die Sie zulassen mchten.
l IP-Adresse mit Subnetzmaske: Geben Sie hier die IPv4-Adresse und die
Netzmaske der Computer ein, die Sie zulassen mchten.
l IP-Adresse: Geben Sie hier die IPv4-Adresse des Computers ein, den Sie
zulassen mchten.
Hochladen (nur verfgbar bei den Typen Pufferberlauf, Verdchtige Dateien und Ver-
dchtiges Verhalten): Laden Sie hier die Datei hoch, die vomAntiviren-Scan aus-
genommen sein soll.
Computergruppen: Whlen Sie die Computergruppen aus, fr die diese Ausnahme
gelten soll.
zu.
flchen.
11.3 Device Control
Auf den Seiten Endpoint Protection >Device Control knnen Sie Gerte kontrollieren, die an
die Computer, die mit Endpoint Protection berwacht werden, angeschlossen sind. In einer
Gerterichtlinie legen Sie imPrinzip fest, welche Gertetypen fr die Computergruppen, denen
die Richtlinie zugewiesen ist, zulssig sind oder blockiert werden. Sobald ein Gert gefunden
wird, prft Endpoint Protection, ob es gem der Gerterichtlinie, die der Computergruppe des
betreffenden Computers zugewiesen ist, zulssig ist. Wenn es laut Gerterichtlinie blockiert
oder eingeschrnkt ist, wird es auf der Registerkarte Ausnahmen angezeigt, auf der Sie eine
Ausnahme fr das Gert hinzufgen knnen.
UTM9 WebAdmin 441
11 Endpoint Protection 11.3 Device Control
11.3 Device Control 11 Endpoint Protection
11.3.1 Richtlinien
Auf der Registerkarte Endpoint Protection >Device Control >Richtlinien knnen Sie ver-
schiedene zusammengefasste Einstellungen fr Device Control verwalten, die daraufhin auf
die von Endpoint Protection berwachten Computergruppen angewandt werden knnen. Die-
se zusammengefassten Einstellungen werden als Richtlinien bezeichnet.
Standardmig stehen zwei Gerterichtlinien zur Verfgung:Alle blockieren verbietet jegliche
Nutzung von Gerten, whrend Vollstndiger Zugriff alle Berechtigungen fr smtliche Gerte
zulsst. Diese Richtlinien knnen nicht gendert werden.
Umeine neue Richtlinie hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Richtlinie hinzufgen.
Das Dialogfeld Richtlinie hinzufgen wird geffnet.
Name:Geben Sie einen aussagekrftigen Namen fr diese Richtlinie ein.
Speichergerte:Sie knnen fr verschiedene Arten von Speichergerten kon-
figurieren, ob sie Zugelassen oder Blockiert sein sollen. Gegebenenfalls ist auch der Ein-
trag Lesezugriff verfgbar.
Netzwerkgerte:Sie knnen fr Modems und WLAN-Netzwerke konfigurieren, ob sie
Zugelassen, Blockiert wenn bridged oder Blockiert sein sollen.
Short Range Devices:Sie knnen fr Bluetooth- und Infrarotgerte konfigurieren, ob
sie Zugelassen oder Blockiert sein sollen.
3. Kommentar (optional): Fgen Sie eine Beschreibung oder sonstige Informationen hin-
zu.
Die neue Richtlinie wird in der Liste der Device-Control-Richtlinien angezeigt. Sie kann
nun auf eine Computergruppe angewendet werden. Beachten Sie, dass nderungen
an den Einstellungen erst nach 15 Minuten auf allen Computern wirksamwerden.
flchen.
442 UTM9 WebAdmin
11.3.2 Ausnahmen
Auf der Registerkarte Endpoint Protection >Device Control >Ausnahmen knnen Sie fr
bestimmte Gerte Schutzausnahmen festlegen. Durch eine Ausnahme wird etwas zugelassen,
das laut Gerterichtlinie, die einer Computergruppe zugewiesen ist, verboten ist. Ausnahmen
werden fr Computergruppen angelegt, daher gilt eine Ausnahme immer fr alle Computer
der gewhlten Gruppe(n).
Die Liste Ausnahmen zeigt automatisch alle erkannten Gerte, die durch die angewendeten
Device-Control-Richtlinien blockiert sind oder auf die nur eingeschrnkt zugegriffen werden
kann. Wenn mehrere Diskettenlaufwerke angeschlossen sind, wird, da Diskettenlaufwerke
technisch nicht unterschieden werden knnen, nur ein Eintrag angezeigt, welcher alle Dis-
kettenlaufwerke reprsentiert.
Umfr ein Gert eine Ausnahme hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Bearbeiten eines Gertes.
Das Dialogfeld Gert bearbeiten wird geffnet.
Zugelassen: Fgen Sie die Computergruppen hinzu, fr die das Gert zugelassen sein
soll.
Lesezugriff oder gebridged:Fgen Sie die Computergruppen hinzu, fr die dieses
Gert nur mit Lesezugriff (gilt fr Speichergerte)oder imModus Bridged(gilt fr Netz-
werkgerte) zugelassen sein soll.
Auf alle anwenden: Ist diese Option ausgewhlt, werden die aktuellen Einstellungen
auf alle Gerte mit der gleichen Gerte-IDangewendet. Dies ist beispielsweise dann hilf-
reich, wenn Sie die gleiche, generische Ausnahme auf mehrere USB-Sticks des gleichen
Typs anwenden wollen.
Modus:Diese Option ist nur verfgbar, wenn Sie das Auswahlkstchen Auf alle anwen-
den deaktivieren. In diesemFall mssen Sie festlegen, was mit anderen Gerten gesche-
hen soll, die ber die gleiche generische Ausnahme verfgen. Wenn Sie die generische
Ausnahme fr die betreffenden Gerte beibehalten mchten, whlen Sie Fr andere bei-
behalten. Wenn Sie die generische Ausnahme lschen mchten, whlen Sie Fr andere
lschen.
UTM9 WebAdmin 443
11.3 Device Control 11 Endpoint Protection
Tipp Weitere Informationen und Beispiele zu generischen Ausnahmen finden Sie im
Abschnitt Mit generellen Ausnahmen arbeiten unten.
zu.
Die Computergruppen und ihre Ausnahmen werden mit dembearbeiteten Gert ange-
zeigt.
Hinweis Sobald ein Gert auf der Liste Ausnahmen aufgefhrt wird, bleibt es so lange auf
dieser Liste, bis Sie es mit der Schaltflche Lschen entfernen. Typischerweise wrden Sie
ein Gert lschen, nachdemdie entsprechende Hardware endgltig entfernt wurde (z.B.: ein
CD-Laufwerk existiert nicht mehr) oder nachdemSie Ihre Device-Richtlinien gendert haben
(z.B.: WLAN-Netzwerkadapter sind jetzt generell erlaubt). Wenn Sie ein Gert lschen, das
noch verwendet wird, wird eine Meldung angezeigt, die Sie mit OKbesttigen mssen.
Anschlieend wird das Gert von der Liste gelscht. Wenn fr dieses Gert eine Ausnahme
besteht, wird diese automatisch ungltig, d.h. die aktuelle Device-Richtlinie wird auf das Gert
angewendet.
Mit generischen Ausnahmen arbeiten
Eine generische Device-Ausnahme ist eine Ausnahme, die automatisch allen Gerten zuge-
ordnet wird, die die gleiche Gerte-IDbesitzen.
Generi sche Ausnahme anlegen
1. Klicken Sie auf die Schaltflche Bearbeiten eines Gertes, das ber keine generische
Ausnahme verfgt, d.h. dessen Auswahlkstchen Auf alle anwenden nicht ausgewhlt
ist.
2. Definieren Sie die Ausnahme und aktivieren Sie das Auswahlkstchen Auf alle anwen-
den.
3. Speichern Sie die Ausnahme.
Die Ausnahme wird auf alle Gerte angewendet, die dieselbe Gerte-IDbesitzen.
444 UTM9 WebAdmin
Gert von ei ner generi schen Ausnahme ausschli een
1. Klicken Sie auf die Schaltflche Bearbeiten des Gertes, das Sie von einer vorhandenen
generischen Ausnahme ausschlieen mchten.
2. Definieren Sie die individuelle Ausnahme und deaktivieren Sie das Auswahlkstchen Auf
alle anwenden.
3. Whlen Sie in der Auswahlliste Modus den Eintrag Fr andere beibehalten.
Das bearbeitete Gert verfgt jetzt ber eine individuelle Ausnahme, whrend die ande-
ren Gerte weiterhin ber die generische Ausnahme verfgen.
Ei nstellungen fr alle Gerte ei ner generi schen Ausnahme
ndern
1. Klicken Sie auf die Schaltflche Bearbeiten eines der Gerte mit der generischen Aus-
nahme.
2. Bearbeiten Sie die Ausnahme und lassen Sie das Auswahlkstchen Auf alle anwenden
ausgewhlt.
Die Einstellungen aller Gerte mit derselben Gerte-ID, bei denen das Auswahlkstchen
Auf alle anwenden ausgewhlt ist, werden entsprechend gendert.
Generi sche Ausnahme lschen
1. Klicken Sie auf die Schaltflche Bearbeiten eines der Gerte mit der generischen Aus-
nahme.
2. Deaktivieren Sie das Auswahlkstchen Auf alle anwenden.
3. Whlen Sie in der Auswahlliste Modus den Eintrag Fr andere lschen.
Die Ausnahmen aller Gerte mit derselben Gerte-ID, bei denen das Auswahlkstchen
Auf alle anwenden ausgewhlt war, werden gelscht. Nur das bearbeitete Gert besitzt
noch eine, jetzt individuelle, Ausnahme.
UTM9 WebAdmin 445
11.4 Endpoint Web Control 11 Endpoint Protection
11.4 Endpoint Web Control
Whrend die Sophos UTMSicherheit und Produktivittsschutz fr Systeme bietet, die vom
Unternehmensnetzwerk aus imInternet surfen, dehnt Endpoint Web Control diesen Schutz auf
die Computer der Benutzer aus. Es bietet Schutz, Kontrolle und Berichtsfunktionen fr End-
point-Computer, die sich auerhalb Ihres Unternehmensnetzwerks befinden. Wenn Endpoint
Web Control aktiv ist, werden alle Richtlinien, die unter Web Protection >Webfilter und Web Pro-
tection >Webfilterprofile >bergeordnete Proxies festgelegt sind, durchgesetzt, selbst wenn
sich ein Computer nicht imUTM-Netzwerk befindet. Sophos UTMund Sophos-Endpoints kom-
munizieren ber LiveConnect, einen Cloud-Dienst, der Richtlinien und Berichtsdaten stndig
aktuell hlt, indemer die Sophos UTMund portable Sophos-Endpoints nahtlos verbindet. Ein
portables Laptop wird beispielsweise auch zu Hause oder in einemCaf die Web-Control-Richt-
linien umsetzen, und die Sophos UTMerhlt Protokollinformationen von demLaptop.
11.4.1 Allgemein
Auf der Registerkarte Endpoint Protection >Web Control >Allgemein knnen Sie Endpoint
Web Control aktivieren und deaktivieren. UmFilterrichtlinien fr Endpoint Web Control zu kon-
figurieren, mssen Sie Web Control fr die entsprechende Computergruppe auf der Seite End-
point Protection >Computerverwaltung >Gruppen verwalten aktivieren und die Gruppe auf
der Registerkarte Web Protection >Webfilterprofile >bergeordnete Proxies in einemProxy-
Profil auswhlen.
11.4.2 Erweitert
Auf der Registerkarte Endpoint Protection >Web Control >Erweitert knnen Sie Verkehr auf
Gateway und auf Endpoint scannen auswhlen. Standardmig scannt die Sophos UTMInter-
netverkehr nicht fr Endpoints, auf denen Web Control aktiv ist. Wenn diese Option ausgewhlt
ist, filtern sowohl der Endpoint als auch die Sophos UTMden Internetverkehr. Umdie Sicher-
heit zu erhhen, whlen Sie auf Web Protection >Webfilter >Richtlinien >Antivirus die Ein-
stellung Zweifachscan (max. Sicherheit), oder whlen Sie alternativ auf der Registerkarte Ver-
waltung >Systemeinstellungen >Scan-Einstellungen einen anderen
Virenerkennungsmechanismus. Durch beide Mglichkeiten wird auf der Sophos UTMein ande-
rer Antiviren-Mechanismus verwendet als auf demEndpoint, was die Sicherheit erhht.
446 UTM9 WebAdmin
11.4.3 Nicht untersttzte Funktionen
Whrend es viele Vorteil hat, Web Control auf den Endpoint auszudehnen, stehen einige Funk-
tionen dennoch nur von einemSophos UTM-Netzwerk aus zur Verfgung. Die folgenden Funk-
tionen werden zwar von der Sophos UTM, jedoch nicht von Endpoint Web Control untersttzt:
l HTTPS-(SSL)-Verkehr scannen: HTTPS-Verkehr kann nicht vomEndpoint gescannt
werden. Wenn der Endpoint die UTMals Proxy verwendet und diese Funktion aktiv ist,
wird der Verkehr durch die UTMgescannt.
l Authentifizierungsmodus: Der Endpoint verwendet immer den aktuell eingeloggten
Benutzer (SSO). Der Endpoint kann keine Authentifizierung durchfhren, da er, wenn er
mobil verwendet wird, nicht in der Lage ist, zumZwecke der Authentifizierung mit der
UTMzu kommunizieren.
l Antivirus/Schadsoftware: Sophos-Endpoint-Antiviruseinstellungen werden auf der
Seite Endpoint Protection >Antivirus festgelegt. Wenn Web Protection (Download-Scan-
ning) eingeschaltet ist, fhrt es fr das gesamte Internetangebot immer einen Antiviren-
Einzelscan durch. Zweifachscan und maximale Scangre werden nicht untersttzt.
l Entfernen von aktivemInhalt
l YouTube fr Schulen:
l Streaming Settings: Der Sophos-Endpoint scannt Streaming-Inhalte immer auf Viren.
l Unscannbare und verschlsselte Dateien blockieren
l Nach Download-Gre blockieren
l Zugelassene Zieldienste: Diese Funktion steht nur auf der Sophos UTMzur Ver-
fgung.
l Webfilter-Zwischenspeicherung: Diese Funktion steht nur auf der Sophos UTMzur
Verfgung.
UTM9 WebAdmin 447
11 Endpoint Protection 11.4 Endpoint Web Control
12 Wireless Protection
ber das Men Wireless Protection knnen Sie WLAN-Access-Points fr Sophos UTM, die
zugehrigen WLAN-Netzwerke und die Clients, die WLAN-Zugang nutzen, konfigurieren und
verwalten. Die Access Points werden automatisch auf der UTMkonfiguriert, Sie mssen sie
also nicht einzeln konfigurieren. Die Kommunikation zwischen der UTMund demAccess Point,
die der Konfiguration des Access Points sowie demAustausch von Statusinformationen dient,
wird mittels AESverschlsselt.
Wichtiger Hinweis Wenn die Lichter an IhremAccess Point schnell blinken, trennen Sie
ihn nicht vomStrom! Schnell blinkende Lichter bedeuten, dass gerade ein Firmware-Flash
durchgefhrt wird. Ein Firmware-Flash erfolgt beispielsweise nach einer Sys-
temaktualisierung der UTM, die mit einer Aktualisierung von Wireless Protection einhergeht.
l Allgemeine Einstellungen
l WLAN-Netzwerke
l Mesh-Netzwerke
l Access Points
l WLAN-Clients
l Hotspots
Die bersichtsseite von Wireless Protection bietet allgemeine Informationen zu verbundenen
Access Points, deren Status, verbundenen Clients, WLAN-Netzwerken, Mesh-Netzwerken
und Mesh-Peer-Links.
ImBereich Momentan verbunden knnen Sie die Eintrge nach SSIDoder Access Point sor-
tieren, und Sie knnen einzelne Eintrge mit Hilfe des Reduzieren-Symbols aus- und ein-
klappen.
Li ve-Protokoll
Sie knnen auf die Schaltflche Wireless-Protection-Live-Protokoll ffnen klicken, umdetail-
lierte Verbindungs- und Fehlersuche-Informationen ber die Access Points und Clients zu
erhalten, die versuchen, eine Verbindung herzustellen.
12.1 Allgemeine Einstellungen 12 Wireless Protection
12.1 Allgemeine Einstellungen
Auf den Seiten Wireless Protection >Allgemeine Einstellungen knnen Sie Wireless Protection
aktivieren und die Netzwerkschnittstellen fr Wireless Protection sowie die WPA/WPA2-Enter-
prise-Authentifizierung konfigurieren.
12.1.1 Allgemein
Auf der Registerkarte Wireless Protection >Allgemeine Einstellungen >Allgemein knnen Sie
Wireless Protection aktivieren oder deaktivieren.
UmWireless Protection zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Wireless Protection auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Bereich Zugangskontrolle kann bearbeitet werden.
Bei der erstmaligen Aktivierung von Wireless Protection wird der Abschnitt Erstein-
richtung angezeigt. Dieser Abschnitt enthlt die Konfiguration, die erzeugt wird: ein eigen-
stndiges WLAN-Gast-Netzwerk mit WPA2-Personal-Verschlsselung und DHCPfr
WLAN-Clients. Die WLAN-Clients knnen DNSauf der UTMund den Web-Surfing-
Dienst verwenden. Der vorverteilte Schlssel wird automatisch generiert und nur in die-
semAbschnitt angezeigt. Diese Erstkonfiguration soll als Vorlage dienen. Sie knnen die
Einstellungen jederzeit auf der Seite Wireless Protection >WLAN-Netzwerke bear-
beiten.
Automatische Konfiguration nicht durchfhren: Whlen Sie diese Option, wenn
keine Ersteinrichtung durchgefhrt werden soll. Dann mssen Sie die Einstellungen fr
Wireless Protection manuell durchfhren.
2. Whlen Sie eine Netzwerkschnittstelle fr den Access Point.
Klicken Sie auf das Ordnersymbol imAbschnitt Zugelassene Schnittstellen, umeine kon-
figurierte Schnittstelle auszuwhlen, an die der Access Point angeschlossen wird. Stellen
Sie sicher, dass die Schnittstelle von einemDHCP-Server verwaltet wird.
Ihre Einstellungen werden gespeichert. Der Schieberegler wird grn und zeigt dadurch
an, dass Wireless Protection aktiv ist.
450 UTM9 WebAdmin
Sie knnen nun fortfahren, indemSie den Access Point an die konfigurierte Netz-
werkschnittstelle anschlieen. Wenn Sie die automatische Konfiguration bersprungen
haben, fahren Sie mit der Konfiguration auf der Seite WLAN-Netzwerke fort.
Sobald Sie einen Access Point anschlieen, wird er sich automatisch mit demSystemver-
binden. Neu angeschlossene, unkonfigurierte Access Points werden auf der Seite Access
Points >bersicht als Ausstehende Access Points angezeigt.
12.1.2 Erweitert
Auf der Registerkarte Wireless Protection >Allgemeine Einstellungen >Erweitert knnen Sie
Ihre Access Points so konfigurieren, dass sie WPA/WPA2-Enterprise-Authentifizierung ver-
wenden.
Die Enterprise-Authentifizierung erfordert einige Angaben zu IhremRADIUS-Server. Beach-
ten Sie, dass die APs nicht selbst mit demRADIUS-Server fr die Authentifizierung kom-
munizieren, sondern nur die UTM. Port 414wird fr die RADIUS-Kommunikation zwischen der
UTMund dem/den AP(s) verwendet.
UmWPA/WPA2-Enterprise-Authentifizierung zu verwenden, nehmen Sie die folgenden Ein-
stellungen vor:
RADIUS-Server: Whlen Sie einen Server (oder legen Sie einen an), ber den sich Clients
selbst authentifizieren sollen, z.B. Ihren Active-Directory-Server.
RADIUS-Port (optional): Der RADIUS-Standardport 1812 ist vorausgewhlt. Falls notwendig,
knnen Sie diesen Port ndern.
RADIUS-Kennwort: Geben Sie das RADIUS-Kennwort ein, das von den Access Points ben-
tigt wird, ummit demRADIUS-Server kommunizieren zu knnen.
Testeinstellungen: Klicken Sie auf die Schaltflche umzu testen, ob die RADIUS-Server-Ver-
bindung erfolgreich aufgebaut werden kann.
UTM9 WebAdmin 451
12 Wireless Protection 12.1 Allgemeine Einstellungen
12.2 WLAN-Netzwerke 12 Wireless Protection
12.2 WLAN-Netzwerke
Auf der Seite Wireless Protection >WLAN-Netzwerke knnen Sie Ihre WLAN-Netzwerke defi-
nieren, z.B. ihre SSIDund Verschlsselungsmethode. Darber hinaus knnen Sie festlegen,
ob das WLAN-Netzwerk einen eigenstndigen IP-Adressbereich oder eine Bridge in dasLAN
des Access Points haben soll.
Umein neues WLAN-Netzwerk anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite WLAN-Netzwerke auf WLAN-Netzwerk hinzufgen.
Das Dialogfeld WLAN-Netzwerk hinzufgen wird geffnet.
Netzwerkname: Geben Sie einen aussagekrftigen Namen fr das Netzwerk ein.
Netzwerk-SSID: Geben Sie den Service Set Identifier (SSID) fr das Netzwerk ein, der
von den Clients registriert wird und zur Identifizierung des WLAN-Netzwerks dient. Die
SSIDkann aus 1 bis 32 druckbaren ASCII-Zeichen bestehen
1
. Sie darf kein Komma ent-
halten und nicht mit einemLeerzeichen beginnen oder enden.
Verschlsselungsmethode: Whlen Sie eine Verschlsselungsmethode aus der Aus-
wahlliste. Standardmig ist WPA2 Personal eingestellt. Wir empfehlen WPA2 statt
WPA, wenn mglich. Aus Sicherheitsgrnden wird davon abgeraten, WEPzu ver-
wenden, es sei denn, Ihr WLAN-Netzwerk wird von Clients genutzt, die keine andere
Methode untersttzen. Wenn Sie eine Enterprise-Authentifizierungsmethode ver-
wenden, mssen Sie auch einen RADIUS-Server auf der Registerkarte Allgemeine Ein-
stellungen >Erweitert konfigurieren. Geben Sie als NAS-IDdes RADIUS-Servers den
Namen des WLAN-Netzwerks ein.
Kennwort/PSK: Nur verfgbar bei der Verschlsselungsmethode WPA/WPA2 Per-
sonal. Geben Sie das Kennwort ein, das das WLAN-Netzwerk vor unautorisiertem
Zugriff schtzen soll und wiederholen Sie es imnchsten Feld. Das Kennwort darf aus 8
bis 63 druckbaren ASCII-Zeichen bestehen.
1
http://de.wikipedia.org/wiki/ASCII#ASCII_printable_characters
452 UTM9 WebAdmin
128-bit WEP-Schlssel: Nur bei der Verschlsselungsmethode WEPverfgbar.
Geben Sie hier einen WEP-Schlssel ein, der aus genau 26 hexadezimalen Zeichen
besteht.
Client-Verkehr: Whlen Sie eine Methode, wie Ihr kabelloses Netzwerk in Ihr lokales
Netzwerk integriert werden soll.
l Getrennte Zone (Standard): Das WLAN-Netzwerk wird als eigenstndige Zone
behandelt und hat einen eigenen IP-Adressbereich. Wenn Sie diese Option nut-
zen, mssen Sie, nachdemSie das WLAN-Netzwerk hinzugefgt haben, mit der
Einrichtung wie imAbschnitt unten (Nchste Schritte fr Netzwerke in getrennter
Zone) beschrieben fortfahren.
Hinweis Wenn Sie ein Netzwerk der Art Getrennte Zone zu einemNetzwerk
der Art In AP-LANbridgen oder In VLANbridgen ndern, werden bereits kon-
figurierte WLAN-Schnittstellen auf der UTMdeaktiviert und das Schnitt-
stellenobjekt erhlt den Status nicht zugewiesen. Sie knnen demSchnitt-
stellenobjekt jedoch eine neue Hardware-Schnittstelle zuweisen, indemSie es
bearbeiten und dadurch wieder aktivieren.
l In AP-LAN bridgen: Sie knnen das WLAN-Netzwerk auch in das Netzwerk des
Access Points bridgen. Das heit, dass die WLAN-Clients einen gemeinsamen IP-
Adressbereich besitzen.
Hinweis Wenn VLANaktiviert ist, werden die WLAN-Clients in das VLAN-
Netzwerk des Access Points gebridged.
l In VLAN bridgen: Sie knnen den Verkehr dieses WLAN-Netzwerks in ein
VLANIhrer Wahl bridgen. Das ist ntzlich, wenn Sie wollen, dass die Access
Points in einemgemeinsamen Netzwerk getrennt von den WLAN-Clients sind.
In VLAN-ID bridgen: Geben Sie die VLAN-IDdes Netzwerks ein, zu demdie
WLAN-Clients gehren sollen.
Client-VLAN-ID(nur mit einer Enterprise-Verschlsselungsmethode verfgbar):
Whlen Sie, wie die VLAN-IDdefiniert ist:
l Statisch: Die VLAN-ID, die imFeld In VLAN-IDbridgen definiert ist, wird
verwendet.
UTM9 WebAdmin 453
12 Wireless Protection 12.2 WLAN-Netzwerke
12.2 WLAN-Netzwerke 12 Wireless Protection
l RADIUS & Statisch: Die VLAN-IDIhres RADIUS-Servers wird ver-
wendet: Wenn ein Benutzer eine Verbindung mit einemIhrer WLAN-Netz-
werke herstellt und sich an IhremRADIUS-Server authentifiziert, teilt der
RADIUS-Server demAccess Point mit, welche VLAN-IDfr diesen Benut-
zer verwendet werden soll. Wenn Sie mehrere WLAN-Netzwerke ver-
wenden, knnen Sie den Zugriff auf interne Netzwerke daher nach
Benutzer festlegen. Wenn einemBenutzer kein VLAN-ID-Attribut zuge-
wiesen wurde, wird die VLAN-ID, die imFeld In VLAN-IDbridgendefiniert
ist, verwendet.
zu.
Algorithmus (nur verfgbar bei der Verschlsselungsmethode WPA/WPA2): Whlen
Sie einen Verschlsselungsalgorithmus: entweder AESoder TKIP&AES. Aus Sicher-
heitsgrnden empfehlen wir, AESzu verwenden.
Frequenzband:Die Access Points, die diesemWLAN-Netzwerk zugewiesen sind, wer-
den auf demausgewhlten Frequenzband bertragen. Das 5-GHz-Bandweist imAll-
gemeinen eine hhere Leistung, eine geringere Latenz und weniger Strungen auf.
Daher sollte es z.B. bei VoIP-Kommunikation gewhlt werden. Beachten Sie, dass nur
AP50 auf dem5-GHz-Band senden kann.
Zeitbasierter Zugriff: Whlen Sie diese Option, wenn Sie das WLAN-Netzwerk auto-
matisch gem eines Zeitplans aktivieren und deaktivieren mchten.
Aktive Zeiten auswhlen: Whlen Sie die Zeitraumdefinitionen, die festlegen,
wann das WLAN-Netzwerk aktiv ist. Sie knnen eine neue Zeitraumdefinition hin-
zufgen, indemSie auf das Plussymbol klicken.
Client-Isolation: Clients innerhalb eines Netzwerks knnen normalerweise mit-
einander kommunizieren. Wenn Sie das verhindern wollen, beispielsweise in einemGast-
netzwerk, whlen Sie Aktiviert aus der Auswahlliste.
SSID verstecken: Manchmal mchten Sie Ihre SSIDnicht anzeigen. Whlen Sie dazu
Ja aus der Auswahlliste. Bitte beachten Sie, dass es sich hierbei nicht umeine Sicher-
heitsfunktion handelt.
MAC-Filter-Typ:Umdie MAC-Adressen einzuschrnken, die sich mit diesemWLAN-
Netzwerk verbinden drfen, whlen Sie Blacklist oder Whitelist.Mit Blacklist sind alle
454 UTM9 WebAdmin
MAC-Adressen erlaubt, auer denen, die auf der unten ausgewhlten MAC-Adressliste
stehen. Mit Whitelist sind alle MAC-Adressen verboten, auer denen, die auf der unten
ausgewhlten MAC-Adressliste stehen.
MAC-Adressen: Die Liste der MAC-Adressen, die fr die Beschrnkung des
WLAN-Netzwerks verwendet wird. MAC-Adresslisten knnen auf der Regis-
terkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adress-
definitionen erstellt werden. Hinweis: Es sind maximal 200 MAC-Adressen zuls-
sig.
Ihre Einstellungen werden gespeichert. Das WLAN-Netzwerk wird in der Liste WLAN-
Netzwerke angezeigt.
Nchste Schritte fr Netzwerke in getrennter Zone
Wenn Sie ein WLAN-Netzwerk mit der Option Getrennte Zone erstellen, wird automatisch eine
entsprechende neue virtuelle Hardwareschnittstelle erstellt, z.B. wlan0. Umdas WLAN-Netz-
werk nutzen zu knnen, sind einige weitere manuelle Konfigurationen erforderlich. Gehen Sie
folgendermaen vor:
1. Konfigurieren Sie eine neue Netzwerkschnittstelle.
Erstellen Sie auf der Registerkarte Schnittstellen &Routing >Schnittstellen >Schnitt-
stellen eine neue Schnittstelle und whlen Sie Ihre WLAN-Schnittstelle (z.B. wlan0) als
Hardware. Stellen Sie sicher, dass Sie Ethernetals Art gewhlt haben und geben Sie
die IP-Adresse und Netzmaske Ihres WLAN-Netzwerks an.
2. Aktivieren Sie DHCPfr die WLAN-Clients.
Damit Ihre Clients eine Verbindung zu UTMherstellen knnen, mssen Sie ihnen eine
IP-Adresse und ein Standardgateway zuweisen. Richten Sie hierzu auf der Regis-
terkarte Netzwerkdienste >DHCP>Server einen DHCP-Server fr die Schnittstelle ein.
3. Aktivieren Sie DNSfr die WLAN-Clients.
Damit Ihre Clients DNS-Namen auflsen knnen, bentigen Sie Zugriff auf DNS-Ser-
ver. Fgen Sie auf der Registerkarte Netzwerkdienste >DNS>Allgemein die Schnitt-
stelle zur Liste der zugelassenen Netzwerke hinzu.
4. Erstellen Sie eine NAT-Regel, umdas WLAN-Netzwerk zu maskieren.
UTM9 WebAdmin 455
12 Wireless Protection 12.2 WLAN-Netzwerke
12.3 Access Points 12 Wireless Protection
Wie bei jedemanderen Netzwerk mssen Sie auch hier die Adressen des WLAN-Netz-
werks in die Adresse der Uplink-Schnittstelle bersetzen. Erstellen Sie eine NAT-Regel
auf der Registerkarte Network Protection >NAT >Maskierung.
5. Erstellen Sie eine oder mehrere Paketfilterregeln, umVerkehr vomWLAN-Netz-
werk bzw. dorthin zuzulassen.
Wie bei jedemanderen Netzwerk mssen Sie auch hier eine oder mehrere Paket-
filterregeln erstellen, damit der Verkehr UTMpassieren kann, z.B. Web-Surfing-Ver-
kehr. Paketfilterregeln erstellen Sie auf der Registerkarte Network Protection >Firewall
>Regeln.
12.3 Access Points
Die Seiten Wireless Protection >Access Points geben einen berblick ber die Access Points
(AP), die demSystembekannt sind. Sie knnen AP-Eigenschaften bearbeiten, APs lschen
oder gruppieren und APs oder AP-Gruppen WLAN-Netzwerke zuweisen.
Hinweis Mit demBasicGuard-Abonnement kann nur ein Access Point mit der UTMver-
bunden sein. Fr alle UTM-Appliances ist die Anzahl an Access Points auf maximal 223
begrenzt.
Arten von Access Points
Momentan bietet Sophos vier verschiedene Access Points an:
l AP5: Standards 802.11b/g/n, Frequenzband 2,4 GHz
Er kann nur mit einemREDRev2 oder Rev3 mit USB-Anschluss verbunden werden und
untersttzt genau eine SSIDmit WLAN-Typ In AP-LANbridgen und maximal 7 WLAN-
Clients.
l AP50: Standards 802.11a/b/g/n, Frequenzbnder 2,4/5 GHz Dualband/Dualfunk
Es gibt zwei verschiedene AP-50-Modelle, bei denen sich die verfgbaren Kanle unter-
scheiden:
l FCC-regulierte Gebiete (hauptschlich USA): Kanle 1-11, 36, 40, 44, 48
l ETSI-regulierte Gebiete (hauptschlich Europa): Kanle 1-13, 36, 40, 44, 48
456 UTM9 WebAdmin
Beachten Sie, dass die Lndereinstellung eines APreguliert, welche Kanle zur Ver-
fgung stehen, umder rtlichen Gesetzeslage zu entsprechen.
Querverweis Detaillierte Informationen ber Access Points finden Sie in den Hinweisen
zumBetrieb imSophos UTMSophos UTMResource-Center.
12.3.1 bersicht
Die Seite Wireless Protection >Access Points >bersicht liefert einen berblick ber die
Access Points (APs), die demSystembekannt sind. Die Sophos UTMunterscheidet zwischen
aktiven, inaktiven und ausstehenden APs. Umsicherzustellen, dass sich nur originale APs mit
IhremNetzwerk verbinden, mssen die APs zunchst autorisiert werden.
Hinweis Wenn Sie vorhaben, einen AP5 zu verwenden, mssen Sie zuerst die RED-Ver-
waltung aktivieren und ein REDeinrichten. Fgen Sie die RED-Schnittstelle anschlieend auf
der Seite Wireless Protection >Allgemeine Einstellungen zur Liste der zugelassenen Schnitt-
stellen hinzu. NachdemSie den AP5 mit demREDverbunden haben, sollte der AP5 unter
Ausstehende Access Points angezeigt werden.
Access Points knnen auf der Registerkarte Gruppierung zeitweise deaktiviert werden. Wenn
ein APphysikalisch von IhremNetzwerk getrennt wird, knnen Sie ihn hier durch einen Klick auf
die Schaltflche Lschenentfernen. Solange der APmit IhremNetzwerk verbunden bleibt, wird
er nach demLschen automatisch wieder mit demStatus Ausstehend angezeigt.
Tipp Jeder Abschnitt auf dieser Seite kann mit Hilfe des Reduzieren-Symbols in der
Abschnitts-berschrift rechts auf- und zugeklappt werden.
Akti ve Access Poi nts
Hier werden alle APs aufgefhrt, die verbunden, konfiguriert und momentan in Betrieb sind.
Umeinen APzu bearbeiten, klicken Sie auf die Schaltflche Bearbeiten (siehe Einen Access
Point bearbeiten unten).
Inakti ve Access Poi nts
Hier werden alle APs aufgefhrt, die bereits einmal konfiguriert wurden, aber momentan nicht
mit der UTMverbunden sind. Wenn ein APlnger als fnf Minuten in diesemStatus bleibt, ber-
prfen Sie bitte die Netzwerkverbindung des APund Ihre Systemkonfiguration. Bei einem
UTM9 WebAdmin 457
12 Wireless Protection 12.3 Access Points
Neustart des Dienstes Wireless Protection werden die Zeitstempel fr Zuletzt gesehen
gelscht. Umeinen APzu bearbeiten, klicken Sie auf die Schaltflche Bearbeiten (siehe Einen
Access Point bearbeiten unten).
Ausstehende Access Poi nts
Hier werden alle APs aufgefhrt, die mit demSystemverbunden, aber noch nicht autorisiert
sind. Umeinen Access Point zu autorisieren, klicken Sie auf die Schaltflche Akzeptieren (siehe
Einen Access Point bearbeiten unten).
Nachdemein Access Point seine Konfiguration erhalten hat, ist er autorisiert und wird sofort in
einemder oberen Bereiche angezeigt, je nachdem, ob er imMoment aktiv ist oder nicht.
Einen Access Point bearbeiten
1. Klicken Sie auf die Schaltflche Bearbeiten bzw. Annehmen des ent-
sprechenden Access Points.
Das Dialogfenster Access Point bearbeiten ffnet sich.
Label (optional): Geben Sie eine Bezeichnung ein, umden APin IhremNetzwerk ein-
fach identifizieren zu knnen.
Land: Geben Sie das Land an, in demsich der APbefindet.
Wichtiger Hinweis Der Lndercode reguliert, welche Kanle fr die bermittlung
zur Verfgung stehen. Umnicht gegen nationale Gesetze zu verstoen, sollten Sie
immer das richtige Land auswhlen (siehe Kapitel Access Points).
Gruppe (optional): Sie knnen APs in Gruppen organisieren. Falls bereits eine Gruppe
angelegt wurde, knnen Sie diese in der Auswahlliste auswhlen. Andernfalls whlen
Sie <<Neue Gruppe >>und geben Sie in das angezeigte Textfeld Name einen Namen
fr die Gruppe ein. Gruppen knnen Sie auf der Registerkarte Gruppieren verwalten.
3. Nehmen Sie imBereich WLAN-Netzwerke die folgenden Einstellungen vor:
Auswahl von WLAN-Netzwerken (nur wenn keine Gruppe oder eine neue Gruppe
ausgewhlt ist): Whlen Sie die WLAN-Netzwerke, die der Access Point ausstrahlen soll.
Dies ist beispielsweise ntzlich, wenn Sie ein Firmen-WLAN-Netzwerk haben, das nur in
firmeneigenen Bros ausgestrahlt werden soll, sowie ein WLAN-Netzwerk fr Gste,
458 UTM9 WebAdmin
das nur in den ffentlichen Bereichen des Gebudes verfgbar sein soll. Sie knnen die
Liste der WLAN-Netzwerke mit Hilfe des Filterfelds in der Listenberschrift durchsuchen.
Hinweis Damit ein Access Point ein WLAN-Netzwerk ausstrahlen kann, mssen eini-
ge Bedingungen erfllt sein. Diese werden imAbschnitt Regeln fr das Zuweisen von
Netzwerken zu APs erlutert.
4. Nehmen Sie optional imBereich Mesh-Netzwerke die folgenden Einstellungen
vor (nur verfgbar mit AP50 und nur, wenn auf der Registerkarte Mesh-Netzwerke ein
Mesh-Netzwerk definiert ist):
Mesh-Rollen: Klicken Sie auf das Plussymbol, umMesh-Netzwerke auszuwhlen, die
von demAccess Point ausgestrahlt werden sollen. Ein Dialogfenster ffnet sich.
l Mesh: Whlen Sie das Mesh-Netzwerk.
l Rolle:Definieren Sie die Rolle des Access Points fr das gewhlte Mesh-Netz-
werk. Ein Root-Access-Point ist direkt mit der UTMverbunden. Ein Mesh-Access-
Point wird sich, nachdemer seine initiale Konfiguration erhalten hat und von der
UTMgetrennt ist, ber das Mesh-Netzwerk mit einemRoot-Access-Point ver-
binden. Beachten Sie, dass ein Access Point nur fr ein einziges Mesh-Netzwerk
Mesh-Access-Point sein kann.
Nach demSpeichern wird die Rolle des Access Points durch das Access-Point-Symbol in
der Liste Mesh-Rollen angezeigt. ber die Funktions-Symbole knnen Sie eine Mesh-
Rolle bearbeiten oder aus der Liste lschen.
Wichtiger Hinweis Wenn Sie eine Mesh-Rolle aus der Liste Mesh-Rollen lschen,
mssen Sie den Access Point wieder mit IhremEthernet verbinden, damit er seine initia-
le Konfiguration erhlt. Umdas Mesh-Netzwerk zu ndern ohne den Access Point wie-
der mit demEthernet verbinden zu mssen, lschen Sie die Mesh-Rolle nicht, sondern
klicken Sie stattdessen auf das Bearbeiten-Symbol der Mesh-Rolle und whlen Sie das
gewnschte Mesh-Netzwerk.
2,4-GHz-Kanal: Sie knnen die Standardeinstellung Auto beibehalten, mit der auto-
matisch der amwenigsten verwendete Kanal zur bertragung verwendet wird. Alter-
nativ knnen Sie einen festen Kanal auswhlen.
UTM9 WebAdmin 459
5-GHz-Kanal (nur bei AP50): Sie knnen die Standardeinstellung Auto beibehalten, mit
der automatisch der amwenigsten verwendete Kanal zur bertragung verwendet wird.
Alternativ knnen Sie einen festen Kanal auswhlen.
Tip When you select Auto, the currently used channel will be announced in the
access point entry.
TX power 2.4 GHz: You can keep the default setting 100 %for the access point to send
with maximumpower. Or you can down-regulate the power to reduce the operating
distance, e.g., to minimize interference.
TX power 5 GHz (only available with AP50): For AP50 you can down-regulate the
power output for the 5 GHz band separately.
STP:To enable Spanning Tree Protocol, select Enabled fromthe drop-down list. This
network protocol detects and prevents bridge loops. STPis mandatory if the access point
broadcasts a mesh network.
VLAN tagging: VLANtagging is disabled by default. If you want to connect the APwith
an existing VLANEthernet interface, you need to enable VLANtagging by selecting the
checkbox. Make sure that the VLANEthernet interface is added to the Allowed interfaces
box on the Global Settings >Global Settings page.
Note To introduce the usage of VLANfor your access points in your network, take
the following steps: Connect the APto the UTMusing standard LANfor at least a minu-
te. This is necessary for the APto get its configuration. Connecting it via VLANfromthe
beginning, the APwould not knowof being in a VLANand therefore would not be able
to connect to the UTMto get its configuration. When the APis displayed, enable VLAN
tagging and enter the VLANID. Then connect the APto its intended VLAN, e.g., a
switch.
Note VLANtagging is not possible with AP5.
AP VLAN ID: When VLANtagging is enabled, enter the VLANtag of the VLANthe
access point should use to connect to the UTM. Do not use the VLANtags 0and 1as they
usually have a special meaning on networking hardware like switches, and 4095is reser-
ved by convention.
460 UTM9 WebAdmin
Note When VLANtagging is configured, the APwill try DHCPon the configured
VLANfor 60 seconds. If no IPaddress is received during that time, the APwill try DHCP
on the regular LANas a fallback.
The access point receives its configuration or configuration update, respectively.
Note Aconfiguration change needs approximately 15 seconds until all interfaces are
reconfigured.
If VLANtagging is configured but the APcannot contact the UTMvia VLAN, the APwill
reboot itself and try again after receiving the configuration.
Rules for Assigning Networks to APs
An accesspoint can only be assigned to a wireless network if the Client traffic option of the wire-
less network and the VLANtagging option of the access point fit together. The following rules
apply:
l Wireless network with client traffic Separate Zone:VLANtagging of the access point can
be enabled or disabled.
l Wireless network with client traffic Bridge to APLAN:VLANtagging of the access point
has to be disabled.
l Wireless network with client traffic Bridge to VLAN:VLANtagging of the access point has
to be enabled. The respective wireless clients will use the Bridge to VLANIDspecified for
the wireless network, or they will receive their VLANIDfromthe RADIUSserver, if spe-
cified.
Note An AP5 can only be assigned one single wireless network with the Client traffic option
Bridge to APLAN.
Reflash Bricked APs
The main reason for returned Access Points are bricked devices with a broken firmware. The-
refore you can download a tool to reflash Sophos Access Points. The tool is available here.
If you are running the tool on Windows 8, you may have to disable the Windows Firewall first.
UTM9 WebAdmin 461
To reflash a Sophos Access Point, proceed as follows:
1. Download the AP reflash utility.
2. Extract the downloaded files.
3. Run the exe-file as Administrator to start the reflash utility.
4. Follow the instructions to flash the AP device.
The power-LEDwill flash very fast.
The process is completed if the power-LEDflashs every second.
Reflash Bricked RED devices
You can download a tool to reflash Sophos RED10 devices. The tool is available here.
If you are running the tool on Windows 8, you may have to disable the Windows Firewall first.
To reflash a Sophos REDs, proceed as follows:
1. Download the reflash utility.
2. Extract the downloaded files.
3. Run the exe-file as Administrator to start the reflash utility.
4. Follow the instructions to reflash the RED device.
Flashing will take about two minutes.
12.3.2 Gruppierung
Auf der Seite Wireless Protection >Access Points >Gruppierung knnen Sie Access Points in
Gruppen organisieren. Die Liste bietet einen berblick ber alle Access-Point-Gruppen und
alle Access Points, die keiner Gruppe zugehren. Access Points und Gruppen knnen durch ihr
jeweiliges Symbol unterschieden werden.
Umeine Access-Point-Gruppe anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Gruppierung auf Neue Gruppe.
Das Dialogfeld Neue Access-Point-Gruppe ffnet sich.
Name: Geben Sie einen aussagekrftigen Namen fr diese Access-Point-Gruppe ein.
462 UTM9 WebAdmin
VLAN-Taggen: VLAN-Taggen ist standardmig ausgeschaltet. Wenn Sie den APmit
einer vorhandenen VLAN-Ethernet-Schnittstelle verbinden mchten, mssen Sie das
Auswahlkstchen auswhlen, umVLAN-Taggen zu aktivieren. Stellen Sie sicher, dass
die VLAN-Ethernet-Schnittstelle imFeld Zugelassene Schnittstellen auf der Seite All-
gemeine Einstellungen >Allgemeine Einstellungen hinzugefgt ist.
l AP VLAN-ID: Geben Sie das VLAN-Tag ein, der von dieser AP-Gruppe zur Ver-
bindung mit der verwendet werden soll UTM. Verwenden Sie nicht die VLAN-
Tags 0und 1, da diese gewhnlich eine spezielle Bedeutung fr Netzwerk-Hard-
ware wie Switches haben. 4095ist zudemper Konvention reserviert.
Auswahl von Access Points: Whlen Sie die Access Points aus, die Sie zur Gruppe
hinzufgen mchten. Es werden nur Access Points angezeigt, die keiner Gruppe ange-
hren.
Auswahl von WLAN-Netzwerken: Whlen Sie die WLAN-Netzwerke, die von den
Access Points dieser Gruppe ausgestrahlt werden sollen.
Hinweis Damit ein Access Point ein WLAN-Netzwerk ausstrahlen kann, mssen eini-
ge Bedingungen erfllt sein. Sie sind imKapitel Access Points >bersicht, Abschnitt
Regeln fr das Zuweisen von Netzwerken zu APs, beschrieben.
Die neue Access-Point-Gruppe wird in der Liste Gruppierung angezeigt.
Umeine Access-Point-Gruppe zu bearbeiten oder zu lschen, klicken Sie auf die ent-
sprechenden Schaltflchen einer Gruppe.
Umeinen Access Point zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen eines Access Points. Mehr Informationen zumBearbeiten und Lschen von
Access Points finden Sie imKapitel Access Points >bersicht.
12.4 Mesh-Netzwerke
Auf der Seite Wireless Protection >Mesh-Netzwerke knnen Sie vermaschte Netzwerke (engl.
Mesh Networks) definieren und ihnen die Access Points zuordnen, die sie bertragen. In einem
Mesh-Netzwerk kommunizieren generell mehrere Access Points miteinander, die das gleiche
WLAN-Netzwerk ausstrahlen. Zumeinen knnen Access Points, die durch ein Mesh-Netzwerk
verbunden sind, das gleiche WLAN-Netzwerk an Clients bertragen und so wie ein einzelner
UTM9 WebAdmin 463
12 Wireless Protection 12.4 Mesh-Netzwerke
12.4 Mesh-Netzwerke 12 Wireless Protection
Access Point arbeiten, und dabei ein greres Gebiet abdecken. Zumanderen kann ein Mesh-
Netzwerk dazu verwendet werden, Ethernet-Netzwerke kabellos zu bridgen.
In Mesh-Netzwerken verwendete Access Points knnen eine von zwei Rollen spielen:Root-
Access-Point oder Mesh-Access-Point. Beide bertragen das Mesh-Netzwerk, wodurch sich
die Anzahl anderer WLAN-Netzwerke, die sie bertragen knnen, umeins reduziert.
l Root-Access-Point: Dieser besitzt eine Kabelverbindung zur UTMund stellt ein
Mesh-Netzwerk zur Verfgung. Ein Access Point kann fr mehrere Mesh-Netzwerke
Root-Access-Point sein.
l Mesh-Access-Point: Dieser bentigt ein Mesh-Netzwerk, umsich ber einen Root-
Access-Point mit der UTMzu verbinden. Ein Access Point kann nur fr ein einziges
Mesh-Netzwerk Mesh-Access-Point sein.
Fr Mesh-Netzwerke gibt es zwei wesentliche Einsatzzwecke: WLAN-Bridge und WLAN-
Repeater.
l WLAN-Bridge:Mithilfe von zwei Access Points knnen Sie eine kabellose Verbindung
zwischen zwei Ethernet-Segmenten einrichten. Eine WLAN-Bridge ist hilfreich, wenn es
nicht mglich ist, diese Netzwerksegmente durch ein Kabel zu verbinden. Das erste
Ethernet-Segment, in demsich die UTMbefindet, ist mit der Ethernet-Schnittstelle des
Root-Access-Points verbunden, whrend das zweite Ethernet-Segment mit der Ether-
net-Schnittstelle des Mesh-Access-Points verbunden sein muss. Mit Hilfe mehrerer
Mesh-Access-Points knnen Sie auch mehrere Ethernet-Segmente miteinander ver-
binden.
Figure 22 Mesh-Netzwerk, eingesetzt als WLAN-Bridge
l WLAN-Repeater:Ihr Ethernet mit der UTMist mit der Ethernet-Schnittstelle des Root-
Access-Points verbunden. Der Root-Access-Points besitzt ber das Mesh-Netzwerk
eine WLAN-Verbindung mit demMesh-Access-Point, der WLAN-Netzwerke an WLAN-
Clients bertrgt.
464 UTM9 WebAdmin
Figure 23 Mesh-Netzwerk, eingesetzt als WLAN-Repeater
Umein Mesh-Netzwerk anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Seite Mesh-Netzwerke auf Mesh-Netzwerk hinzufgen.
Das Dialogfeld Mesh-Netzwerk hinzufgen wird geffnet.
Mesh-ID: Geben Sie einen eindeutigen Bezeichner fr das Mesh-Netzwerk ein.
Frequenzband:Access Points, die diesemNetzwerk zugeordnet sind, bertragen das
Mesh-Netzwerk auf demgewhlten Frequenzband. Generell ist es sinnvoll, fr das
Mesh-Netzwerk ein anderes Frequenzband zu whlen als fr die ausgestrahlten WLAN-
Netzwerke.
zu.
Access Points:Klicken Sie auf das Plussymbol und whlen Sie die Access Points aus,
die das Mesh-Netzwerk ausstrahlen sollen. Das Dialogfenster Mesh-Rolle hinzufgen
ffnet sich:
l AP: Whlen Sie einen Access Point. Beachten Sie, dass zurzeit nur AP-50-
Access-Points Mesh-Netzwerke bertragen knnen.
l Rolle:Definieren Sie die Rolle des Access Points fr das gewhlte Mesh-Netz-
werk. Ein Root-Access-Point ist direkt mit der UTMverbunden. Ein Mesh-Access-
Point wird sich, nachdemer seine initiale Konfiguration erhalten hat und von der
UTMgetrennt ist, ber das Mesh-Netzwerk mit einemRoot-Access-Point ver-
binden. Beachten Sie, dass ein Access Point nur fr ein einziges Mesh-Netzwerk
Mesh-Access-Point sein kann.
UTM9 WebAdmin 465
12 Wireless Protection 12.4 Mesh-Netzwerke
12.5 WLAN-Clients 12 Wireless Protection
Hinweis Fr die initiale Konfiguration des Mesh-Access-Points ist es entscheidend,
dass er, wie jeder andere Access Point auch, mit einemder Ethernet-Segmente ver-
bunden ist, die auf der Registerkarte Allgemeine Einstellungen imFeld Zugelassene
Schnittstellen ausgewhlt sind.
Verwenden Sie das Lschen-Symbol in der Liste Access Points, umeinen Access Point
von der Liste zu lschen.
Wichtiger Hinweis Wenn Sie einen Mesh-Access-Point von der Liste Access Points
lschen, mssen Sie ihn wieder mit IhremEthernet verbinden, damit er seine initiale
Konfiguration erhlt. Umein anderes Mesh-Netzwerk auszuwhlen, ohne den Access
Point wieder mit demEthernet verbinden zu mssen, lschen Sie den Access Point
nicht, sondern gehen Sie folgendermaen vor: Klicken Sie auf der Registerkarte
Access Points >bersicht auf die Schaltflche Bearbeiten des Access Points, klicken
Sie imBereich Mesh-Netzwerke auf das Bearbeiten-Symbol und whlen Sie das
gewnschte Mesh-Netzwerk aus.
Das Symbol eines Access Points zeigt die Rolle des Access Points an. Mit Hilfe des Fil-
terfeldes in der Listenberschrift knnen Sie in der Access-Point-Liste suchen.
Ihre Einstellungen werden gespeichert.Das Mesh-Netzwerk wird in der Liste Mesh-Netz-
werke angezeigt.
12.5 WLAN-Clients
Die Seite Wireless Protection >WLAN-Clients gibt Ihnen einen berblick ber die Clients, die
momentan mit einemAccess Point verbunden sind oder in der Vergangenheit verbunden
waren.
Da nicht alle Clients ihren Namen bermitteln, knnen Sie ihnen hier einen Namen geben,
damit Sie bekannte Clients in der bersicht leichter auseinanderhalten knnen. Falls Clients
ihren NetBIOS-Namen whrend der DHCP-Anfrage bermitteln, wird ihr Name in der Tabelle
angezeigt. Andernfalls werden sie als [unknown] aufgefhrt. Sie knnen den Namen von (unbe-
kannten) Clients ndern, indemSie auf das Schlsselsymbol vor demNamen klicken. Geben
Sie dann einen Namen ein und klicken Sie auf Speichern. Es dauert ein paar Sekunden, bis die
466 UTM9 WebAdmin
nderung sichtbar wird. Klicken Sie auf das Aktualisieren-Symbol in der rechten oberen Ecke
des WebAdmin, umden Namen des Clients zu sehen.
Sie knnen Clients auch aus der Tabelle lschen, indemSie auf das Leeren-Symbol in der ers-
ten Spalte klicken.
Bei einemNeustart des Dienstes Wireless Protection werden die Zeitstempel fr Zuletzt gese-
hen gelscht.
Hinweis IP-Adressen, die Clients zugewiesen sind, knnen nur angezeigt werden, wenn
die UTMals DHCP-Server fr das entsprechende WLAN-Netzwerk fungiert. Auerdemwird
fr statische DHCP-Zuweisungen momentan die IP-Adresse 0.0.0.0angezeigt.
12.6 Hotspots
Auf den Seiten Wireless Protection >Hotspots verwalten Sie den Zugang zumHotspotportal.
Die Hotspot-Funktion ermglicht es, in Gaststtten, Hotels, Unternehmen usw. Gsten einen
zeit- und volumenbeschrnkten Internetzugang bereitzustellen. Die Funktion ist Teil des Wire-
less-Abonnements, funktioniert aber auch in LAN-Netzwerken.
Hinweis Technisch gesehen beschrnkt die Hotspot-Funktion Datenverkehr, der von der
Firewall freigegeben ist. Sie mssen daher eine Firewallregel erstellen, die den Datenverkehr
ber die Hotspots regelt. Testen Sie den Zugang erst einmal ohne die Hotspot-Funktion.
Wenn alles funktioniert, aktivieren Sie die Hotspots.
Hinweis Wenn die Hotspot-Funktion in Kombination mit einemaktiv-aktiv-Cluster-Aufbau
verwendet wird, lsst sich der betreffende Verkehr nicht auf Master und Workers aufteilen.
Der gesamte Verkehr von und zu den Hotspot-Schnittstellen wird ber den Master geleitet.
Erstellen von Hotspots
In einemersten Schritt erstellt und aktiviert der Administrator einen Hotspot fr einen bestimm-
ten Zugangstyp. Die folgenden Typen sind verfgbar:
l Annahme der Nutzungsbedingungen: DemGast werden Nutzungsbedingungen
angezeigt, die er akzeptieren muss, umZugang zu erhalten. Die Bedingungen sind frei
definierbar.
UTM9 WebAdmin 467
12 Wireless Protection 12.6 Hotspots
12.6 Hotspots 12 Wireless Protection
l Tages-Kennwort: Der Gast muss ein Zugangskennwort eingeben. Das Kennwort wird
tglich gendert.
l Voucher: Der Gast erhlt einen Voucher mit einemZugangscode, den er eingeben
muss. Der Voucher kann auf eine bestimmte Anzahl Gerte, einen Zeitraumoder ein
Datenvolumen beschrnkt sein.
Verteilung der Zugangsdaten an Gste
Bei den Typen Tages-Kennwort und Voucher mssen die Zugangsdaten den Gsten aus-
gehndigt werden. Sie knnen festlegen, welche Benutzer die Zugangsdaten verwalten und
verteilen drfen. Diese Benutzer greifen ber die Benutzerportal-Registerkarte Hotspot auf die
Daten zu und knnen sie von dort aus auch verteilen:
l Tages-Kennwort: Benutzer finden das Kennwort imBenutzerportal. Das Kennwort
kann per E-Mail versendet werden. Benutzer leiten das Kennwort an die Gste weiter.
Sie knnen ein neues Kennwort eingeben oder generieren. In diesemFall wird das vor-
hergehende Kennwort sofort ungltig. Alle laufenden Sitzungen werden beendet. Je
nach Konfiguration werden auch andere Benutzer ber das neue Kennwort in Kenntnis
gesetzt, entweder per E-Mail oder ber das Benutzerportal.
l Voucher:ImBenutzerportal knnen Benutzer Voucher mit einmaligen Zugangscodes
erstellen. Der Administrator kann verschiedene Voucher-Typen definieren und bereit-
stellen. Sie knnen Voucher ausdrucken, exportieren und den Gsten aushndigen. Die
Liste der erstellten Voucher liefert einen berblick ber ihre Nutzung und erleichtert ihre
Verwaltung.
Rechtliche Hinweise
In vielen Lndern unterliegt der Betrieb eines ffentlichen WLANgesetzlichen Regelungen,
dazu gehren unter anderemZugriffsbeschrnkungen auf Websites mit bestimmten Inhalten
(z.B. File-Sharing-Seiten, Seiten mit extremistischemHintergrund usw.). Sie knnen diese
Anforderungen erfllen, indemSie den Hotspot mit den Web-Protection-Funktionen von
Sophos UTMkombinieren, umden Webzugriff auf ganze Websites oder bis hinunter auf die
Ebene einzelner URLs zu blockieren oder zuzulassen. Mit UTMhaben Sie volle Kontrolle dar-
ber, wer wann auf welche Seiten zugreifen kann. So ist es auch mglich, fr den Hotspot
besonders strikte Regeln festzulegen, wenn staatliche oder unternehmensinterne Auflagen
dies erfordern.
468 UTM9 WebAdmin
Der integrierte HTTP-Proxy von Sophos UTMbietet zustzlich leistungsfhige Protokoll- und
Berichtsfunktionen. Sie knnen zumBeispiel verfolgen, welche Personen wann und wie oft auf
welche Websites zugreifen und so leicht eine unangemessene Nutzung identifizieren, wenn Sie
einen Hotspot ohne jegliche Zugangsbeschrnkungen betreiben.
In bestimmten Fllen kann es mglich sein, dass Sie Ihren Hotspot bei der staatlichen Regu-
lierungsbehrde anmelden mssen.
12.6.1 Allgemein
Auf der Registerkarte Wireless Protection >Hotspots >Allgemein knnen Sie die Hotspots-
Funktion einschalten und angeben, welche Benutzer die Hotspot-Zugangsdaten anzeigen und
verteilen knnen.
UmHotspots zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Hotspots auf der Registerkarte Allgemein.
Der Schieberegler wird grn und der Abschnitt Allgemeine Hotspot-Einstellungen kann
2. Whlen Sie die zugelassenen Benutzer aus.
Whlen Sie die Benutzer oder Gruppen aus, die Zugriff auf das Benutzerportal haben sol-
len, oder fgen Sie neue Benutzer hinzu. Die hier ausgewhlten Benutzer knnen das
Tages-Kennwort anzeigen und Hotspot-Voucher erstellen. Das Hinzufgen eines Benut-
zers wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.
Li ve-Protokoll
Das Live-Protokoll liefert Informationen ber die Hotspot-Nutzung. Klicken Sie auf Live-Pro-
tokoll ffnen, umdas Hotspots-Live-Protokoll in einemneuen Fenster zu ffnen.
Vorlagen herunterladen
Hier knnen Sie die Hotspot-Anmeldungsvorlage und die Voucher-Vorlage herunterladen, die
beimHinzufgen eines neuen Hotspots standardmig verwendet werden. Sie knnen die
Standardvorlagen bearbeiten, umIhre Hotspot-Anmeldeseite oder das Voucher-Design anzu-
UTM9 WebAdmin 469
passen, ohne sie von Grund auf neu erstellen zu mssen. Sie knnen die angepasste HTML-
und PDF-Vorlage auf der Registerkarte Wireless Protection >Hotspots >Hotspots hochladen.
1. Klicken Sie auf das blaue Download-Symbol
Das Dialogfenster Zertifikatdatei herunterladen wird geffnet.
2. Speichern Sie die Datei.
Die Datei wird heruntergeladen.
12.6.2 Hotspots
Auf der Registerkarte Wireless Protection >Hotspots >Hotspots verwalten Sie Ihre Hotspots.
Hinweis Ein Hotspot muss einer existierenden Schnittstelle zugewiesen sein; in der Regel
wird das eine WLAN-Schnittstelle sein. Alle Hosts, die diese Schnittstelle verwenden, unter-
liegen automatisch den Beschrnkungen dieses Hotspots. Bevor Sie einen Hotspot erstellen,
legen Sie daher blicherweise zuerst ein WLAN-Netzwerk mit der Option Getrennte Zone
und danach eine Schnittstelle fr die entsprechende WLAN-Schnittstellenhardware an. Wei-
tere Informationen hierzu finden Sie unter Wireless Protection >WLAN-Netzwerke.
Umeinen Hotspot anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Hotspot hinzufgen.
Das Dialogfeld Hotspot hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diesen Hotspot ein.
Schnittstellen: Fgen Sie die Schnittstellen hinzu, fr die die Zugriffsbeschrnkungen
des Hotspots gelten sollen. Fr die ausgewhlten Schnittstellen muss eine Firewallregel
existieren, die den gewnschten Datenverkehr zulsst. Eine Schnittstelle kann immer
nur von einemHotspot verwendet werden.
Warnung Sie sollten hier keine Uplink-Schnittstelle auswhlen, da anschlieend Ver-
kehr ins Internet komplett blockiert ist. Auerdemraten wir dringend davon ab, Schnitt-
stellen zu verwenden, die von Servern benutzt werden, die essenzielle Dienste wie
Authentifizierung zur Verfgung stellen. Sie knnen sich dadurch unwiderruflich vom
WebAdmin ausschlieen!
Hotspot-Typ: Whlen Sie den Hotspot-Typ fr die ausgewhlten Schnittstellen.
470 UTM9 WebAdmin
l Tages-Kennwort: Einmal amTag wird automatisch ein neues Kennwort erstellt.
Dieses Kennwort kann imBenutzerportal auf der Registerkarte Hotspots von allen
auf der Registerkarte Allgemein festgelegten Benutzern eingesehen werden.
Auerdemwird das Kennwort an die angegebenen E-Mail-Adressen gesendet.
l Voucher (nicht verfgbar mit BasicGuard-Abonnement): Whlen Sie diesen Hots-
pot-Typ, umimBenutzerportal zeit- oder volumenbeschrnkte Gutscheine mit
benutzerdefinierten Eigenschaften zu erstellen, die sich ausdrucken und an Kun-
den verteilen lassen. Nach Eingabe des Codes erhalten die Kunden Zugang zum
Internet.
l Annahme der Nutzungsbedingungen: Kunden erhalten erst nach Annahme
der Nutzungsbedingungen Zugang zumInternet.
l Backend-Authentifizierung: Bei diesemHotspot-Typ knnen sich Benutzer
ber einen beliebigen untersttzten Backend-Mechanismus authentifizieren (sie-
he Definitionen &Benutzer >Authentifizierungsdienste). Bei diesemTyp werden
die Benutzerzugangsdaten gespeichert, umperiodisch zu berprfen, ob der
Benutzer noch autorisiert ist.
Hinweis Wenn Sie Backend-Authentifizierung auswhlen, wird imAnmeldeformular
ein neues Eingabefeld fr OTP-Token angezeigt (falls Hotspot als OTP-Einrichtung
konfiguriert ist).
Kennwort erstellt um(nur bei Hotspot-Typ Tages-Kennwort): Die Tageszeit, zu der
das neue Kennwort erstellt wird. Zu dieser Uhrzeit wird das bisherige Kennwort ungltig.
Alle laufenden Sitzungen werden beendet.
Kennwort per E-Mail senden an (nur bei Hotspot-Typ Tages-Kennwort): Geben Sie
die E-Mail-Adressen ein, an die das Kennwort gesendet werden soll.
Voucher-Definitionen (nur bei Hotspot-Typ Voucher): Fgen Sie die Voucher-Defi-
nitionen fr Ihren Hotspot hinzu oder whlen Sie sie aus. Das Hinzufgen einer Voucher-
Definition wird auf der Seite Voucher-Definitionen erlutert.
Gerte pro Voucher (nur bei Hotspot-Typ Voucher): Geben Sie an, wie viele Gerte
sich maximal mit einemVoucher whrend seines Gltigkeitszeitraums einloggen knnen.
Die Option unbegrenzt wird nicht empfohlen.
Hotspot-Benutzer (nur bei Hotspot-Typ Backend-Authentifizierung): Whlen Sie die
Benutzer oder Benutzergruppen aus, die ber Backend-Authentifizierung Zugriff auf
UTM9 WebAdmin 471
den Hotspot haben sollen, oder fgen Sie die Benutzer hinzu. Normalerweise handelt es
sich dabei umeine Backend-Benutzergruppe.
Ablauf der Sitzung (nur bei Hotspot-Typ Annahme der Nutzungsbedingungen oder
Backend-Authentifizierung): Geben Sie hier einen Zeitraumfr die Gltigkeit des Inter-
netzugangs an. Nach Ablauf dieses Zeitraums mssen Benutzer beimHotspot-Typ
Annahme der Nutzungsbedingungen die Nutzungsbedingungen erneut akzeptieren, um
sich wieder einloggen zu knnen. BeimHotspot-Typ Backend-Authentifizierung mssen
sich die Benutzer wieder authentifizieren.
Benutzer mssen die Nutzungsbedingungen annehmen (auer beimHotspot-
Typ Annahme der Nutzungsbedingungen): Whlen Sie diese Option, wenn die Hotspot-
Nutzer Ihre Nutzungsbedingungen akzeptieren mssen, umZugang zumInternet zu
erhalten.
l Nutzungsbedingungen: Geben Sie hier den Text fr die Nut-
zungsbedingungen ein. Einfache HTML-Befehle und Hyperlinks sind gestattet.
Nach demLogin zu URL weiterleiten: Whlen Sie diese Option, wenn die Nutzer
nach Eingabe des Kennworts oder der Voucher-Daten automatisch zu einer bestimmten
URL, beispielsweise Ihrer Hotel-Website oder einer Webseite mit Ihren Portal-Richt-
linien, weitergeleitet werden sollen.
l URL: URL, zu der die Nutzer weitergeleitet werden.
zu.
3. Optional knnen Sie die folgenden Hotspot-Einstellungen vornehmen:
Standardmig wird demBenutzer eine Anmeldeseite mit demSophos-Logo angezeigt.
Sie knnen eine angepasste HTML-Datei mit eigenen Bildern und Stylesheets ver-
wenden. Auerdemknnen Sie das Voucher-Layout anpassen.
Anpassungstyp:Whlen Sie den Anpassungstyp aus. Die folgenden Typen sind ver-
fgbar:
l Grundlegend:Verwenden Sie die Standard-Anmeldeseitenvorlage. Passen Sie
bei Bedarf Logo, Titel und Text an.
Logo: Laden Sie ein Logo fr die Anmeldeseite hoch. Es werden Bilddateien der
Formate jpg, png und gif untersttzt. Das Bild sollte nicht breiter als 300 Pixel und
hher als 100 Pixel sein (abhngig von der Lnge des Titels). Verwenden Sie die
472 UTM9 WebAdmin
Schaltflche Standard wiederherstellen, umwieder das Standardlogo von
Sophos auszuwhlen.
Logo auf empfohlene Gre skalieren: Wenn diese Option ausgewhlt wird,
werden Logos, deren Breite oder Hhe die empfohlenen Werte berschreitet, ska-
liert und in der empfohlenen Gre angezeigt. Wird sie nicht ausgewhlt, wird das
Logo in der ursprnglichen Gre angezeigt.
Titel: Geben Sie hier einen Titel fr die Anmeldeseite ein. Einfache HTML-Befeh-
le und Hyperlinks sind gestattet.
Benutzerdefinierter Text: Geben Sie hier zustzlichen Text fr die Anmel-
deseite ein. Sie knnen zumBeispiel die SSIDdes WLAN-Netzwerks eingeben.
Einfache HTML-Befehle und Hyperlinks sind gestattet.
l Komplett:Whlen Sie eine individuelle HTML-Anmeldeseite aus.
Anmeldeseitenvorlage: Whlen Sie die HTML-Vorlage aus, die Sie fr Ihre indi-
viduelle Anmeldeseite verwenden mchten. Klicken Sie auf das Ordnersymbol,
umein Fenster zu ffnen, in demSie die Datei auswhlen und hochladen knnen.
Verwenden Sie die Schaltflche Standard wiederherstellen, umwieder die Stan-
dard-HTML-Vorlage von Sophos auszuwhlen. In dieser Vorlage knnen Sie
Variablen verwenden, mit denen sich dynamisch Informationen fr jeden Hotspot
einfgen lassen. Beispielsweise knnen Sie den Firmennamen und Admi-
nistratorinformationen, die Nutzungsbedingungen und das Anmeldeformular hin-
zufgen. Detaillierte Informationen finden Sie unter Verwendung von Variablen in
der Anmeldeseitenvorlage. Sie knnen die Standard-HTML-Vorlage auf der
Registerkarte Wireless Protection >Hotspots >Allgemein herunterladen.
Bilder/Stylesheets: Fgen Sie Dateien hinzu, auf die in Ihrer Anmel-
deseitenvorlage verwiesen wird, z. B. Bilder, Stylesheets oder JavaScript-Datei-
en. Klicken Sie auf das Ordnersymbol, umein Fenster zu ffnen, in demSie die
Dateien auswhlen und hochladen knnen.
Voucher-Vorlage (nur bei Hotspot-Typ Voucher): Klicken Sie auf das Ordnersymbol,
umein Fenster zu ffnen, in demSie die PDF-Datei mit demVoucher-Layout auswhlen
und hochladen knnen. Standardmig wird eine Standardvorlage verwendet. Klicken
Sie auf die Schaltflche Standard wiederherstellen, umden Standard wie-
derherzustellen. Die Voucher-PDF-Datei muss der PDF-Version PDF1.5 oder
UTM9 WebAdmin 473
niedriger entsprechen. Ihr Seitenformat und ihre Formatierung knnen beliebig sein
beide werden whrend der Voucher-Erstellung imBenutzerportal angepasst, abhngig
vomSeitenformat und der Zahl der Voucher pro Seite, die dort festgelegt sind. Sie kn-
nen die Standard-PDF-Vorlage auf der Registerkarte Wireless Protection >Hotspots >
Allgemein herunterladen.
DiePDF-Datei kann die folgenden Variablen enthalten, die whrend der Voucher-Erstel-
lung imBenutzerportal mit den entsprechenden Werten ersetzt werden:
l Name des WLAN-Netzwerks (SSID): <?ssid0?>(sowie <?ssid1?>, <?ssid2?>
usw., wenn das WLANmehr als einen SSIDaufweist)
l Kennwort des WLAN-Netzwerks: <?psk0?>(sowie <?psk1?>, <?psk2?>usw.,
wenn das WLANmehr als einen SSIDaufweist)
l Voucher-Code: <?code?>
l Voucher-Gltigkeitsdauer: <?validity?>
l Voucher-Datenlimit: <?datalimit?>
l Voucher-Zeitlimit: <?timelimit?>
l QR-Code mit codierten Hotspot-Zugangsdaten:<?qrX?>. Die obere linke Ecke
des QR-Codes wird auf der unteren linken Ecke der Variable platziert.
Hinweis Bei Verwendung von Variablen muss die PDF-Datei die gesamten
Zeichenstze der verwendeten Schriftarten enthalten. Wenn eine Variable
durch ihren Wert ersetzt wird und eines der Ersatzzeichen nicht zur Verfgung steht,
wird der Wert falsch angezeigt. Wir empfehlen Ihnen, den String
<?abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789?>
zu Ihrer PDF-Datei hinzuzufgen. Er wird whrend der Voucher-Erstellung auto-
matisch entfernt. Auerdemempfiehlt es sich, fr die Variablen eine separate Zeile zu
verwenden, da das Layout beschdigt werden knnte, wenn der ersetzte Text zu lang
ist.
Der Hotspot wird erstellt und in der Liste Hotspots angezeigt.
474 UTM9 WebAdmin
Tipp NachdemSie den Hotspot gespeichert haben, knnen Sie eine Vorschau der Anmel-
deseite anzeigen. Klicken Sie dazu beimbetreffenden Hotspot in der Liste Hotspots auf die
Schaltflche Vorschau der Anmeldeseite.
Umeinen Hotspot zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Verwendung von Variablen in der Anmeldeseitenvorlage
Die HTML-Vorlage fr die Anmeldeseite kann verschiedene Variablen enthalten, mit denen
sich dynamisch Informationen fr die Hotspot-Anmeldeseite einfgen lassen. Wenn UTMeine
Vorlage verarbeitet, umeine Anmeldeseite anzuzeigen, ersetzt es Vorlagenvariablen mit den
entsprechenden Werten. Folgende Variablen sind gltig:
l Allgemeine Variablen
<?company_text?>: Angepasster Unternehmenstext, wie unter Verwaltung >Anpas-
sungen >Allgemein definiert
<?company_logo?>: Company logo as defined on Management >Customization >Glo-
bal. Die Variable wird durch den Pfad der Logodatei ersetzt. Beispiel: <img
src="<?company_logo?>">
<?admin_contact?>: Name oder Adresse des Administrators, wie unter Verwaltung >
Anpassungen >Web-Meldungen definiert
<?admin_message?>: Administratorinformation, wie unter Verwaltung>Anpassungen >
Web-Meldungen definiert (Standard:Ihr Cache-Administrator ist:)
<?error?>: Fehlermeldung, die beimVersuch, sich anzumelden, angezeigt wird.
l Variablen, die fr alle Hotspot-Typen verwendet werden
<?terms?>: Nutzungsbedingungen (wie auf der Seite Hotspots definiert)
<?redirect_host?>: Zur URLweiterleiten, die fr den Hotspot angegeben ist (wie auf
der Seite Hotspots definiert)
<?location?>: URL die der Benutzer angefordert hat
<?location_host?>: Hostnameder URL die der Benutzer angefordert hat
UTM9 WebAdmin 475
<?login_form?>: Anmeldeformular fr den entsprechenden Hotspot-Typ: Kennwort
Textfeld, Token Textfeld, Benutzername und Kennwort Textfelder, oder Akzeptieren
Auswahlkstchen, und Anmelden Schaltflche. Informationen zumErstellen ange-
passter Anmeldeformulare finden Sie unter Benutzerspezifisches Anmeldeformular.
<?asset_path?>(wichtig fr benutzerspezifischen Modus Komplett): Hotspot-spe-
zifischer Speicherort von Bildern und Stylesheets (z.B.: <img src="<?asset_
path?>/logo.png">)
l Variablen, die nur fr Hotspots des Typs Voucherverwendet werden
<?maclimit?>Zahl der zulssigen Gerte pro Voucher fr diesen Hotspot (wie auf der
Seite Hotspots definiert)
<?numdevices?>: Zahl der fr diesen Voucher verwendeten Gerte
<?timeend?>: Ende des Gltigkeitszeitraums (wie auf der Seite Voucher-Definitionen
definiert)
<?time_total?>: nsgesamt zulssiges Zeitkontingent (wie auf der Seite Voucher-Defi-
nitionen definiert)
<?time_used?>: ufgebrauchtes Zeitkontingent (wie auf der Seite Voucher-Definitionen
definiert)
<?traffic_total?>: nsgesamt zulssiges Datenvolumen (wie auf der Seite Voucher-
Definitionen definiert)
<?traffic_used?>: Aufgebrauchtes Datenvolumen (wie auf der Seite Voucher-Defi-
nitionen definiert)
Vorlagen knnen if-Variablen enthalten, die Abschnitte wie die unten gezeigten bilden. Jeder
Abschnitt verfgt ber eine ffnende und eine schlieende Variable. Der Inhalt eines if-
Abschnitts wird nur unter einer bestimmten Bedingung angezeigt.
If-Abschnitt Bedeutung
<?if_log-
gedin?>
<?if_loggedin_
end?>
Abschnitt wird angezeigt, wenn sich der Benutzer erfolgreich angemeldet
hat.
476 UTM9 WebAdmin
<?if_not-
loggedin?>
<?if_not-
loggedin_
end?>
Abschnitt wird angezeigt, wenn sich der Benutzer noch nicht angemeldet
hat, beispielsweise, weil die Nutzungsbedingungen noch angenommen wer-
den mssen oder ein Fehler aufgetreten ist.
<?if_authtype_
password?>
<?if_authtype_
password_
end?>
Abschnitt wird angezeigt, wenn der Hotspot-Typ Tages-Kennwort ist.
<?if_authtype_
disclaimer?>
<?if_authtype_
disclaimer_
end?>
Abschnitt wird angezeigt, wenn der Hotspot-Typ Annahme der Nut-
zungsbedingungen ist.
<?if_authtype_
token?>
<?if_authtype_
token_end?>
Abschnitt wird angezeigt, wenn der Hotspot-Typ Voucher ist.
<?if_authtype_
backend?>
<?if_authtype_
backendtoken_
end?>
Abschnitt wird angezeigt, wenn der Hotspot-Typ Backend-Authentifizierung
ist.
<?if_location?>
<?if_location_
end?>
Abschnitt wird angezeigt, wenn der Benutzer umgeleitet wurde.
<?if_redirect_
url?>
<?if_redirect_
url_end?>
Abschnitt wird angezeigt, wenn das Kontrollkstchen Nach demLogin zu
URL weiterleiten aktiviert ist.
<?if_not_redi-
rect_url?>
<?if_not_redi-
rect_url_end?>
Abschnitt wird angezeigt, wenn das Kontrollkstchen Nach demLogin zu
URL weiterleiten deaktiviert ist.
UTM9 WebAdmin 477
<?if_time-
limit?>
<?if_timelimit_
end?>
Abschnitt wird angezeigt, wenn fr einen Voucher ein Gltigkeitszeitraum
festgelegt ist.
<?if_traf-
ficlimit?>
<?if_traf-
ficlimit_end?>
Abschnitt wird angezeigt, wenn fr einen Voucher ein Datenvolumen fest-
gelegt ist.
<?if_time-
quota?>
<?if_time-
quota_end?>
Abschnitt wird angezeigt, wenn fr einen Voucher ein Zeitkontingent fest-
gelegt ist.
<?if_macli-
mit?>
<?if_maclimit_
end?>
Abschnitt wird angezeigt, wenn ein Wert fr Gerte pro Voucher festgelegt
ist.
<?if_terms?>
<?if_terms_
end?>
Abschnitt wird angezeigt, wenn Nutzungsbedingungen definiert und aktiviert
sind.
<?if_error?>
<?if_error_
end?>
Abschnitt wird angezeigt, wenn beimAnmelden ein Fehler aufgetreten ist.
Benutzerspezifisches Anmeldeformular
Wenn Sie ein eigenes Anmeldeformular erstellen mchten, anstatt die vordefinierte Variable
<?login_form?>zu verwenden, beachten Sie dabei Folgendes:
l Schlieen Sie das Formular in folgende Tags ein:
<form action="?action=login" method="POST">... </form>
l Fr einen Hotspot zur Annahme der Nutzungsbedingungen fgen Sie ein Kon-
trollkstchen namens "accept" ein:
<input type="checkbox" name="accept">
l Fr Tages-Kennwort- oder Voucher-Hotspots fgen Sie ein Textfeld namens "token"
ein:
<input type="text" name="token">
478 UTM9 WebAdmin
l Fr einen Backend-Authentication-Hotspot fgen Sie zwei Textfelder namens "user-
name" und "password" ein:
<input type="text" name="username">
<input type="password" name="password">
l Fgen Sie eine Funktion zumSenden des Formulars hinzu, z. B. eine Anmelde-Schalt-
flche:
<input type="submit" name="login" value="Login">
12.6.3 Voucher-Definitionen
Auf der Registerkarte Wireless Protection >Hotspots >Voucher-Definitionen verwalten Sie die
Definitionen fr den Hotspot-Typ Voucher.
Umeine Voucher-Definition anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf Voucher-Definition hinzufgen.
Das Dialogfeld Voucher-Definition hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Voucher-Definition ein.
Gltigkeitszeitraum:Geben Sie an, wie lange ein Voucher mit dieser Definition gltig
sein soll. Gezhlt wird ab der ersten Anmeldung. Die Angabe eines Gltigkeitszeitraums
wird empfohlen.
Hinweis Der maximale Zeitraumfr den Gltigkeitszeitraumbetrgt zwei Jahre.
Zeitkontingent: Geben Sie hier die erlaubte Online-Zeit ein. Geben Sie die maximale
Online-Zeit ein, nach deren Erreichen ein Voucher mit dieser Definition abluft. Gezhlt
wird von der Anmeldung bis zur Abmeldung. Auerdemwird die Zhlung nach 5 Minu-
ten Inaktivitt angehalten.
Hinweis Der maximale Zeitraumfr den Gltigkeitszeitraumbetrgt zwei Jahre.
Datenmenge:Hier knnen Sie das Datenvolumen beschrnken. Geben Sie eine maxi-
male Datenmenge an, die mit dieser Voucher-Definition bertragen werden kann.
Hinweis Das maximale Datenvolumen betrgt 100 GB.
UTM9 WebAdmin 479
zu.
Die Voucher-Definition wird erstellt. Sie steht jetzt zur Erstellung eines Hotspots vomTyp
Voucherzur Verfgung.
Umeine Voucher-Definition zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
12.6.4 Erweitert
Allgemei ne Voucher-Opti onen
Hier knnen Sie einen Zeitraumangeben, nach demnicht mehr gltige Voucher aus der Daten-
bank gelscht werden. ImHotspot-Protokoll bleiben die Informationen ber die gelschten Vou-
cher erhalten.
Ei ngeschrnkter Zugang zum Internet
Hier knnen Sie einzelne Hosts oder Netzwerke hinzufgen oder auswhlen, auf die alle Benut-
zer ohne Eingabe eines Kennworts oder Voucher-Codes unbeschrnkten Zugriff haben. Das
Hinzufgen einer Definition wird auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >
480 UTM9 WebAdmin
13 Webserver Protection
In diesemKapitel wird beschrieben, wie Sie die Web Application Firewall von Sophos UTMkon-
figurieren, die Ihre Webserver vor Angriffen und schdigendemVerhalten schtzt.
l Web Application Firewall
l Umkehrauthentifizierung
l Zertifikatverwaltung
13.1 Web Application Firewall
Mit der Web Application Firewall (WAF), auch bekannt als Reverse Proxy, knnen Sie dank
Sophos UTMIhre Webserver vor Angriffen und schdigendemVerhalten wie Cross-Site-Scrip-
ting (XSS), SQL-Injection, Directory-Traversal und anderen gefhrlichen Angriffen schtzen.
Sie knnen externe Adressen (virtuelle Server) definieren, die in die echtenServer bersetzt
werden, anstatt die DNAT-Regel(n) zu verwenden. Dies ermglicht es auch, die Server mit Hil-
fe verschiedener Muster und Erkennungsmethoden zu schtzen. Einfach ausgedrckt ermg-
licht dieser Bereich der UTMdie Anwendung von Bedingungen auf Anfragen, die der Webser-
ver erhlt und versendet. Darber hinaus bietet er Lastausgleich zwischen mehreren Zielen.
13.1.1 Virtuelle Webserver
Auf der Registerkarte Web Application Firewall >Virtuelle Webserver knnen Sie virtuelle
Webserver anlegen. Als Teil von UTMbilden diese Webserver die Firewall zwischen demInter-
net und Ihren Webservern. Darumwird diese Art der Intervention auch Reverse Proxy
genannt. UTMnimmt die Anfragen fr die Webserver entgegen und schtzt die echten Webser-
ver vor diversen Angriffen. Jeder virtuelle Server entspricht einemechten Webserver und legt
die Sicherheitsstufe fest, die angewendet werden soll. Sie knnen auch mehr als einen echten
Webserver in einer virtuellen Webserver-Definition verwenden. Auf diese Weise erzielen Sie
einen Lastausgleich fr Ihre echten Webserver.
Umeinen virtuellen Webserver hinzuzufgen, gehen Sie folgendermaen vor:
13.1 Web Application Firewall 13 Webserver Protection
1. Klicken Sie auf die Schaltflche Neuer virtueller Webserver.
Das Dialogfeld Virtuellen Webserver anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den virtuellen Webserver ein.
Schnittstelle: Whlen Sie aus der Auswahlliste eine Schnittstelle, ber die Zugriff auf
den Webserver mglich ist.
Hinweis Wenn eine Schnittstelle mit einer IPv4-Adresse und einer IPv6 Link-Local-
Adresse als Frontend-Schnittstelle definiert ist, ist der virtuelle Webserver nur auf der
IPv4-Adresse erreichbar. Schnittstellen fr die nur eine IPv6 Link-Local-Adresse defi-
niert ist knnen nicht als Frontend-Schnittstelle fr einen virtuellen Webserver definiert
werden.
Art: Legen Sie fr die Kommunikation zwischen demClient und demvirtuellen Webser-
ver Verschlsselt (HTTPS) oder Reiner Text (HTTP) fest. Wenn Sie Umkehr-
authentifizierung verwenden mchten, empfehlen wir dringend, aus Sicherheitsgrnden
Verschlsselt (HTTPS) auszuwhlen.
Port: Geben Sie eine Portnummer an, ber die der virtuelle Webserver von auen
erreicht werden kann. Der Standard ist Port 80 bei Reiner Text (HTTP) und Port 443 bei
Verschlsselt (HTTPS).
Von HTTP auf HTTPS umleiten (nur bei Verschlsselt (HTTPS)): Wenn diese Funk-
tion aktiviert ist, werden Benutzer, die die URLohne https://eingeben, automatisch
an den virtuellen Webserver weitergeleitet.
Zertifikat (nur bei Verschlsselt (HTTPS)): Whlen Sie das Zertifikat des Webservers
aus der Auswahlliste. Das Zertifikat muss vorher auf demWebserver angelegt und auf
der Registerkarte Zertifikatverwaltung >Zertifikate hochgeladen worden sein.
482 UTM9 WebAdmin
Domne: Dieses Feld enthlt den Hostnamen, fr den das Zertifikat erstellt wur-
de.
Domnen (nur bei SAN-Zertifikaten): WAF untersttzt Subject Alternative
Name-(SAN-)Zertifikate. Alle Hostnamen, die durch ein Zertifikat abgedeckt
sind, werden in diesemFeld aufgelistet. Sie knnen einen oder mehrere Host-
namen auswhlen, indemSie das Auswahlkstchen vor einemHostnamen mar-
kieren.
Domnen (nur bei Reiner Text (HTTP) oder Verschlsselt (HTTPS) mit Platz-
halterzertifikat): Geben Sie die Domnen, fr die der Webserver verantwortlich ist, als
FQDNein, z.B.shop.beispiel.de, oder verwenden Sie das Aktionssymbol, umeine
Liste von Domnennamen zu importieren. Sie knnen fr das Prfix der Domne einen
Asterisk als Platzhalter (*) verwenden. Beispiel: *.meinedomne.de. Domnen mit Platz-
haltern werden als Ersatzeinstellungen angesehen:Der virtuelle Webserver mit der
Platzhalterdomne wird nur verwendet, wenn kein anderer virtueller Webserver mit
einemspezifischeren Domnennamen konfiguriert ist. Beispiel: Eine Client-Anfrage
nach a.b.cwird als Erstes a.b.czugeordnet, dann *.b.cund dann *.c.
Echte Webserver: Erstellen Sie einen neuen echten Webserver oder markieren Sie
das Auswahlkstchen vor demWebserver, demSie das Firewall-Profil zuweisen wollen.
Wenn Ihre Webserver gespiegelt sind, knnen Sie auch mehr als einen Webserver aus-
whlen. Auf diese Weise erzielen Sie standardmig einen Lastausgleich zwischen den
ausgewhlten Webservern. Der verwendete Anfrageerfassungsalgorithmus ordnet
automatisch jede neue Anfrage demjenigen Webserver zu, der aktuell die kleinste
Anzahl an aktiven Anfragen besitzt. Auf der Registerkarte Site-Path-Routing knnen Sie
detaillierte Verteilungsregeln festlegen.
Firewall-Profil: Whlen Sie aus der Auswahlliste ein Firewall-Profil aus. Dieses Profil
wird angewendet, umdie gewhlten Webserver zu schtzen. Sie knnen auch Kein Pro-
fil auswhlen, umkein Firewall-Profil zu verwenden.
zu.
UTM9 WebAdmin 483
13 Webserver Protection 13.1 Web Application Firewall
Komprimierungsuntersttzung deaktivieren (optional): Standardmig ist dieses
Kontrollkstchen deaktiviert und der Inhalt wird komprimiert gesendet, wenn der Client
komprimierte Daten anfordert und der echte Webserver eines der angefragten Kom-
primierungsschemas untersttzt. Komprimierung erhht die bertragungsrate und redu-
ziert die Seitenladezeit. Wenn Websites jedoch falsch angezeigt werden oder bei Benut-
zern, die auf Ihre Webserver zugreifen, Inhaltsverschlsselungsfehler auftreten, kann es
erforderlich sein, die Komprimierungsuntersttzung zu deaktivieren. Wenn das Kon-
trollkstchen aktiviert ist, fordert die WAFunkomprimierte Daten von den echten Webser-
vern diese virtuellen Webservers an und sendet sie unkomprimiert an den Client (unab-
hngig vomVerschlsselungsparameter der HTTP-Anfrage).
HTML umschreiben (optional): Whlen Sie diese Option, damit UTMdie Links der
zurckgegebenen Webseiten umschreibt, sodass die Links weiterhin funktionieren.
Example: One of your real webserver instances has the hostname yourcompany.local
but the virtual server's hostname on the UTMis yourcompany.com. Daher funktionieren
absolute Links wie <a href="http://ihrefirma.local/">nicht mehr, wenn der
Link vor Weitergabe an den Client nicht in <a href="http://ihrefirma.com/">
umgeschrieben wird. Sie brauchen diese Option jedoch nicht zu aktivieren, wenn
ihrefirma.comauf IhremWebserver konfiguriert ist oder wenn interne Links auf Ihren
Websites immer als relative Links geschrieben sind. It is recommended to use the option
with Microsoft's Outlook Web Access and/or Sharepoint Portal Server.
Hinweis Es ist wahrscheinlich, dass einige Links nicht korrekt umge-
schrieben werden knnen und dadurch nicht funktionieren. Bitten Sie den/die
Autor(en) Ihrer Website, Links einheitlich zu formatieren.
Die Funktion HTML-Umschreibung schreibt nicht nur URLs um, sie korrigiert auch feh-
lerhafte HTML-Syntax, zumBeispiel:
o
<title>tags are moved in DOMtree fromnode html > titleto correct html
> head > title
484 UTM9 WebAdmin
o
Anfhrungszeichen umHTML-Attributwerte werden korrigiert (z.B. wird aus
name="value""name="value")
Hinweis HTML-Umschreibung wird auf alle Dateien mit HTTP-
Inhaltstyp text/* oder*xml* angewandt (* dient als Platzhalter). Stellen Sie
sicher, dass andere Dateitypen, z.B. Binrdateien, den richtigen HTTP-Inhaltstyp auf-
weisen, da sie sonst durch die HTML-Umschreibung beschdigt werden knnen.
Cross Reference Please see the libxml documentation for further information (htt-
p://xmlsoft.org/html/libxml-HTMLparser.html).
Rewrite Cookie (optional, only visible if Rewrite HTMLis enabled): Select this option to
have the UTMrewrite cookies of the returned webpages.
Note If Rewrite HTMLis disabled the Rewrite Cookie option will be also disabled.
Pass host header (optional): When you select this option, the host header as reques-
ted by the client will be preserved and forwarded along with the web request to the
webserver. Ob die Durchreichung des Host-Headers in Ihrer Umgebung notwendig ist,
hngt jedoch von der Konfiguration Ihres Webservers ab.
Der Server wird der Liste Virtuelle Webserver hinzugefgt.
5. Enable the Virtual Webserver.
Der neue virtuelle Webserver ist standardmig deaktiviert (Schieberegler ist grau). Kli-
cken Sie auf den Schieberegler umden virtuellen Webserver zu aktivieren.
UTM9 WebAdmin 485
Der virtuelle Webserver ist nun aktiviert (Schieberegler zeigt Grn).
In der Liste Virtuelle Webserver wird fr jeden echten Webserver, der einemvirtuellen Webser-
ver zugeordnet ist, eine Statusampel angezeigt. Die Statusampel eines echten Webservers ist
rot, wenn der echte Webserver nicht aktiviert wurde. It is amber when the real webserver is
down or unavailable and green if everything is working.
13.1.2 Echte Webserver
Auf der Registerkarte Web Application Firewall >Echte Webserver knnen Sie die Webserver
hinzufgen, die durch die WAF geschtzt werden sollen.
Umeinen Webserver hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche New Real Webserver.
Das Dialogfeld Echten Webserver anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den Webserver ein.
Host: Whlen Sie einen Host des Typs Host oder DNS-Host aus oder fgen Sie ihn hin-
zu. Es ist sehr empfehlenswert, hier den DNS-Hostnamen zu verwenden, weil Hosts, die
mit ihrer IP-Adresse aufgefhrt sind, leere Host-Header bermitteln, was bei manchen
Browsern zu Problemen fhren kann. Das Hinzufgen einer Definition wird auf der Seite
Typ: Legen Sie fr die Kommunikation zwischen UTMund demWebserver Ver-
schlsselt(HTTPS) oder Reiner Text (HTTP) fest.
Port: Geben Sie eine Portnummer fr die Kommunikation zwischen der UTMund dem
Webserver ein. Der Standard ist Port 80 bei Reiner Text (HTTP) und Port 443 bei Ver-
schlsselt (HTTPS).
zu.
486 UTM9 WebAdmin
HTTP-Keep-Alive: Standardmig verwendet die WAF HTTP-Keep-Alive, d.h.,
HTTP-persistente Verbindungen, wodurch Prozessor- und Speichernutzung reduziert
werden. In den seltenen Fllen, in denen ein echter Webserver HTTP-Keep-Alive nicht
korrekt untersttzt, kann diese Funktion Lesefehler oder Zeitberschreitungen auslsen
und sollte dann fr den betreffenden Webserver ausgeschaltet werden. Wenn einemvir-
tuellen Webserver zumindest ein echter Webserver zugeordnet ist, bei demHTTP-
Keep-Alive ausgeschaltet ist, wird die Funktion automatisch auch fr alle anderen echten
Webserver, die diesemvirtuellen Webserver zugeordnet sind, ausgeschaltet.
Der Server wird der Liste Echte Webserver hinzugefgt.
Den vorhandenen Webservern knnen Sie jetzt auf der Registerkarte Virtuelle Webserver Fire-
wall-Profile zuweisen.
13.1.3 Firewall-Profile
Auf der Registerkarte Web Application Firewall >Firewall-Profile knnen Sie WAF-Profile anle-
gen, die die Sicherheitsmodi und -ebenen fr Ihre Webserver festlegen.
Umein WAF-Profil anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neues Firewall-Profil.
Das Dialogfeld Firewall-Profil anlegen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr das Profil ein.
Outlook Anywhere durchlassen: Erlaubt externen Microsoft-Outlook-Clients den
Zugriff auf den Microsoft Exchange Server ber die WAF. Microsoft-Outlook-Verkehr
wird nicht durch die WAFberprft oder geschtzt.
Modus: Whlen Sie einen Modus aus der Auswahlliste:
l berwachen: HTTP-Anfragen werden berwacht und protokolliert.
l Ablehnen: HTTP-Anfragen werden abgelehnt.
Der gewhlte Modus wird angewendet, sobald eine der unten gewhlten Bedingungen
auf eine HTTP-Anfrage zutrifft.
UTM9 WebAdmin 487
Filter fr allgemeine Bedrohungen: Bei Aktivierung knnen Sie Ihre Webserver vor
verschiedenen Bedrohungen schtzen. Sie knnen die zu verwendenden Bedro-
hungsfilterkategorien unten imAbschnitt Bedrohungsfilterkategorien festlegen. Alle
Anfragen werden gem den Regelwerken der ausgewhlten Kategorien berprft.
Abhngig vomErgebnis der berprfung wird ein Hinweis oder eine Warnung imLive-
Protokoll angezeigt oder die Anfrage wird direkt blockiert.
Strenge Filterung: Bei Aktivierung werden verschiedene der ausgewhlten
Regeln verschrft. Dies kann zu Falschmeldungen fhren.
Filterregeln bergehen: Manche der ausgewhlten Bedrohungskategorien
knnen Regeln enthalten, die zu Falschmeldungen fhren. Umdas Anzeigen von
Falschmeldungen, die von einer bestimmten Regel generiert werden, zu ver-
meiden, fgen Sie die Nummer der zu berspringenden Regel in dieses Feld ein.
Die WAF-Regel-Nummern knnen Sie beispielsweise auf der Seite Pro-
tokollierung &Berichte >Webserver Protection >Details mithilfe des Filters Hu-
figste Regeln abrufen.
Cookie-Signierung: Schtzt einen Webserver vor manipulierten Cookies. Wenn der
Webserver einen Cookie setzt, wird ein zweiter Cookie zumersten Cookie hinzugefgt,
welcher einen Hash enthlt, der aus demNamen und demWert des ersten Cookies und
einemSchlssel besteht, wobei dieser Schlssel nur der WAF bekannt ist. Wenn eine
Anfrage nicht das richtige Cookie-Paar vorweisen kann, fand irgendeine Manipulation
statt und der Cookie wird verworfen.
URL-Hardening: Schtzt vor URL-Umschreibung. Dafr werden alle URLs einer Web-
site signiert, sobald ein Client diese Website anfordert. Die Vorgehensweise bei der
Signierung hnelt derjenigen bei der Cookie-Signierung. Darber hinaus wird die Ant-
wort des Webservers imHinblick darauf analysiert, welche Links als nchstes gltig ange-
fordert werden knnen. Derartig gefestigteURLs knnen des Weiteren als Lese-
zeichen abgespeichert und spter besucht werden. Whlen Sie eine der folgenden
Methoden, umEinstiegs-URLs zu definieren:
l Manuell definierte Einstiegs-URLs: Geben Sie URLs an, die als Einstiegs-
URLs fr eine Website dienen und dadurch nicht signiert werden mssen. Die Syn-
tax muss einemder folgenden Beispiele entsprechen:
http://shop.beispiel.de/produkte/,
https://shop.beispiel.de/produkte/oder /produkte/.
488 UTM9 WebAdmin
l Einstiegs-URLs von hochgeladener Google-Sitemap-Datei: Sie knnen
hier eine Sitemap-Datei hochladen, die Informationen zur Struktur Ihrer Website
enthlt. Sitemap-Dateien knnen imXML- oder Nur-Text-Format hochgeladen
werden. Letzteres enthlt lediglich eine URL-Liste. Sobald das Profil gespeichert
ist, wird die Sitemap-Datei von der WAF geparst.
l Einstiegs-URLs von Google-Sitemap-URL: Sie knnen UTMeine Sitemap-
Datei von einer vorgegebenen URL herunterladen lassen, die Informationen zur
Struktur Ihrer Website enthlt. Diese Datei kann regelmig auf Aktualisierungen
berprft werden. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von
der WAF heruntergeladen und geparst.
URL: Geben Sie den Pfad zur Sitemap als absolute URL ein.
Aktualisierung: Whlen Sie ein Aktualisierungsintervall aus dieser Auswahlliste.
Wenn Sie Manuell whlen, wird die Sitemap nur aktualisiert, wenn Sie das Profil
erneut speichern.
Hinweis Wenn Sie die Umkehrauthentifizierung mit demFrontend-Modus
Formular fr den konfigurierten Pfad verwenden, ist es nicht ntig, eine Ein-
stiegs-URL fr die Anmeldung und den Pfad anzugeben. Wie man den Pfad kon-
figuriert ist auf der Seite Webserver Protection >Web Application Firewall >Site
Path Routing beschrieben.
Hinweis URL-Hardening wird auf alle Dateien mit HTTP-Inhalt des
Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher,
dass andere Dateitypen, z.B. Binrdateien, den richtigenHTTP-Inhaltstyp aufweisen,
da sie sonst durch das URL-Hardening beschdigt werden knnen.
FormHardening: Schtzt vor Umschreibung von Webformularen. Das Form-Har-
dening speichert die ursprngliche Struktur eines Webformulars und fgt eine Signatur
hinzu. Daher lehnt der Server die Anfrage ab, wenn sich die Struktur eines Formulars,
das an den Server bermittelt wird, gendert hat.
Hinweis Form-Hardening wird auf alle Dateien mitHTTP-Inhalt des Typs text/*
oder *xml*angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere Datei-
UTM9 WebAdmin 489
typen, z.B. Binrdateien, den richtigenHTTP-Inhaltstyp aufweisen, da sie sonst durch
das Form-Hardening beschdigt werden knnen.
Antivirus: Whlen Sie diese Option, umeinen Webserver vor Viren zu schtzen.
Modus:Sophos UTMbietet mehrere Antiviren-Mechanismen fr hchste Sicher-
heit.
l Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der
Registerkarte Systemeinstellungen >Scan-Einstellungen festgelegte Engi-
ne wird verwendet.
l Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende
Verkehr von zwei verschiedenen Virenscannern gescannt wird. Beachten
Sie, dass Zweifachscan mit einemBasicGuard-Abonnement nicht ver-
fgbar ist.
Richtung: Whlen Sie aus der Auswahlliste, ob nur Up- oder Downloads
gescannt werden sollen oder beides.
Unscannbaren Inhalt blockieren: Whlen Sie diese Option, umDateien zu blo-
ckieren, die nicht gescannt werden knnen. Der Grund hierfr kann unter ande-
remsein, dass Dateien verschlsselt oder beschdigt sind.
Clients mit schlechtemRuf blockieren: Anhand von GeoIP- und RBL-Infor-
mationen knnen Sie Clients blockieren, die laut ihrer Klassifizierung einen schlechten
Ruf haben. Sophos verwendet folgende Klassifizierungsanbieter:
RBL-Quellen:
l Commtouch IPReputation (ctipd.org)
l dnsbl.proxybl.org
l http.dnsbl.sorbs.net
Die GeoIP-Quelle ist Maxmind. Die WAF blockiert Clients, die in eine der fol-
genden Maxmind-Kategorien fallen:
l A1: Anonyme Proxies oder VPN-Dienste, die Clients nutzen, umihre IP-Adres-
sen oder ihren ursprnglichen geografischen Standort zu verschleiern.
490 UTM9 WebAdmin
l A2: Satellitenanbieter sind ISPs, die Benutzern auf der ganzen Welt Inter-
netzugang ber Satellit zur Verfgung stellen, oftmals von Hochrisiko-Ln-
dern aus.
Keine Fern-Abfragen fr Clients mit schlechtemRuf: Da Ruf-Anfragen an
entfernte Klassifizierungsanbieter gesendet werden mssen, kann die Ver-
wendung von rufbasiertemBlockieren zu Leistungseinbuen Ihres Systems fh-
ren. Whlen Sie diese Option, umnur GeoIP-basierte Klassifizierung zu ver-
wenden, bei der zwischengespeicherte Informationen zumEinsatz kommen, was
die Geschwindigkeit deutlich erhht.
zu.
3. Whlen Sie optional die folgenden Bedrohungsfilterkategorien aus (nur ver-
fgbar, wenn Filter fr allgemeine Bedrohungen aktiviert ist):
Protokollverletzungen:Erzwingt Erfllung der RFC-Standard-Spezifikation des
HTTP-Protokolls. Eine Verletzung dieser Standards ist blicherweise ein Hinweis auf
schdliche Inhalte.
Protokollanomalien: Sucht nach hufigen Nutzungsmustern. Das Fehlen solcher Mus-
ter weist hufig auf schdliche Anfragen hin. Zu solchen Mustern gehren z.B. HTTP-
Header wie Hostoder User-Agent.
Grenzwerte anfragen: Erzwingt angemessene Grenzwerte fr die Anzahl und den
Bereich von Anfrageargumenten. Ein berladen von Anfrageargumenten ist ein typi-
scher Angriffsvektor.
HTTP-Richtlinie: Schrnkt die zulssige Nutzung des HTTP-Protokolls ein. Web-
browser nutzen normalerweise nur eine begrenzte Untermenge aller mglichen HTTP-
Optionen. Eine Untersagung der selten verwendeten Optionen schtzt vor Angreifern,
die auf solche oft weniger gut untersttzten Mglichkeiten abzielen.
Schdliche Roboter: Prft auf Nutzungsmuster, wie sie fr Bots und Crawler cha-
rakteristisch sind. Durch die Zugriffsverweigerung ist es unwahrscheinlicher, dass poten-
zielle Schwachstellen Ihrer Webserver entdeckt werden.
Generische Angriffe: Sucht nach versuchten Befehlsausfhrungen, welche die meis-
ten Angriffe kennzeichnen. Nach einer Sicherheitsverletzung eines Webservers versucht
ein Angreifer blicherweise, auf demServer Befehle auszufhren, wie z.B. Berech-
tigungen zu erweitern oder Datenspeicher zu manipulieren. Durch die Suche nach
UTM9 WebAdmin 491
diesen Ausfhrungsversuchen, die nach einer Sicherheitsverletzung auftreten, knnen
Angriffe erkannt werden, die anderenfalls mglicherweise unentdeckt geblieben wren,
weil sie z.B. mit berechtigtemZugriff einen verwundbaren Dienst anvisieren.
SQL-Injection-Angriffe: Sucht nach eingebetteten SQL-Befehlen und Escape-Zei-
chen in Anfrageargumenten. Die meisten Angriffe auf Webserver zielen auf Ein-
gabefelder ab, die dazu verwendet werden knnen, eingebettete SQL-Befehle an die
Datenbank zu richten.
(XSS-)Angriffe: Sucht nach eingebetteten Skripttags und Code in Anfra-
geargumenten. Mit Cross-Site-Scripting-Angriffen wird blicherweise versucht, Skript-
code in Eingabefeldern auf einemZiel-Webserver zu platzieren, hufig auf legitime Wei-
se.
Hohe Sicherheit: Fhrt strikte Sicherheitsprfungen fr Anfragen durch, z.B. Pr-
fungen auf verbotene Pfad-Traversal-Versuche.
Trojaner: Prft auf Nutzungsmuster, wie sie fr Trojaner typisch sind, und sucht damit
nach Anfragen, die eine Trojaneraktivitt nahelegen. Die Funktion verhindert jedoch
nicht die Installation solcher Trojaner; dafr sind die Antiviren-Scanner zustndig.
Ausgehend: Verhindert, dass Webserver Informationen an den Client durchlassen.
Dazu gehren z.B. Fehlermeldungen, die von Servern gesendet werden und die Angrei-
fer nutzen knnen, umvertrauliche Informationen zu erhalten oder bestimmte Schwach-
stellen zu erkennen.
Das WAF-Profil wird der Liste Firewall-Profile hinzugefgt.
Weitere Informationen zu URL-Hardening und Form-Har-
dening
Ambesten wre es, jederzeit sowohl URL-Hardening als auch Form-Hardening zu nutzen, da
sich beide Funktionen gegenseitig ergnzen. Insbesondere verhindern Sie dadurch Probleme,
die auftreten knnen, wenn Sie nur eine Option nutzen.
l Nur Form-Hardening ist aktiviert: Wenn eine Webseite Hyperlinks enthlt, denen Anfra-
gen angehngt sind (was bei bestimmten CMSder Fall ist), z.B.
http://beispiel.de/?view=article&id=1, werden solche Seitenabfragen durch
Form-Hardening blockiert, da die Signatur fehlt.
492 UTM9 WebAdmin
l Nur URL-Hardening ist aktiviert: Wenn ein Webbrowser Formulardaten an die Aktions-
URL des form-Tags eines Webformulars anhngt (was bei GET-Anfragen der Fall ist),
werden die Formulardaten in die Anfrage-URL integriert, die an den Webserver gesen-
det wird. Dadurch wird die URL-Signatur ungltig.
Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server die Anfra-
ge akzeptiert, wenn entweder Form-Hardening oder URL-Hardening die Anfrage fr gltig
befindet.
Outlook Web Access
Die Konfiguration der WAF fr Outlook Web Access (OWA) ist etwas heikel, da OWAAnfragen
von einer ffentlichen IPanders behandelt als interne Anfragen von einer internen LAN-IPan
die OWA-Website. Es gibt Umleitungen (engl. redirects), die an die OWA-URLs angehngt wer-
den, wobei bei externemZugriff die externe FQDNverwendet wird, bei internen Anfragen hin-
gegen die interne Server-IP-Adresse.
Zur Lsung muss das OWA-Verzeichnis als Einstiegs-URL imWAF-Profil Ihres OWA-Webser-
vers eingetragen werden (z.B. http://webserver/owa/). Zustzlich mssen Sie eine Aus-
nahme anlegen, die URL-Hardening fr den Pfad /owa/*ausnimmt, und Sie mssen die Coo-
kie-Signierung fr den virtuellen Server komplett ausschalten.
13.1.4 Ausnahmen
Auf der Registerkarte Web Application Firewall >Ausnahmen knnen Sie Webanfragen oder
Quellnetzwerke definieren, die von bestimmten Prfungen ausgenommen sein sollen.
Name: Geben Sie einen aussagekrftigen Namen fr die Ausnahme ein.
Diese Prfungen ausnehmen: Whlen Sie die Sicherheitsprfungen aus, die nicht
durchgefhrt werden sollen. Beschreibungenfinden Sie unter Firewall-Profile.
Diese Kategorien berspringen: Whlen Sie die Bedrohungsfilterkategorien aus, die
aufgehoben werden sollen. Beschreibungenfinden Sie unter Firewall-Profile.
Virtuelle Webserver: Whlen Sie die virtuellen Webserver aus, die von den aus-
gewhlten Prfungen ausgenommen werden sollen.
UTM9 WebAdmin 493
Fr alle Anfragen: Whlen Sie aus der Auswahlliste eine Anfragedefinition aus. Beach-
ten Sie, dass Sie zwei Anfragedefinitionen durch entweder undoder oderlogisch
kombinieren knnen.
Netzwerke: Whlen Sie die Quellnetzwerke, aus denen die Client-Anfragen stam-
men und die von den gewhlten Prfungen ausgenommen werden sollen, aus
oder fgen Sie sie hinzu.Das Hinzufgen einer Definition wird auf der Seite Defi-
Pfade: Fgen Sie die Pfade, die von den gewhlten Prfungen ausgenommen
werden sollen, z.B. in der Form/produkte/bilder/*hinzu.
zu.
HTML whrend URL-Hardening oder Form-Hardening nie ndern: Wenn diese
Option ausgewhlt ist, werden keine Daten, die mit den festgelegten Aus-
nahmeeinstellungen bereinstimmen, von der WAF-Engine gendert. Mit dieser Option
werden beispielsweise Binrdaten, die vomechten Webserver flschlicherweise mit dem
Inhaltstyp text/html bereitgestellt wurden, nicht beschdigt. Andererseits knnen Weban-
fragen blockiert werden, wenn URL-Hardening, HTML-Umschreibung oder Form-Har-
dening aktiviert ist. Diese drei Funktionen nutzen einen HTML-Parser und hngen daher
bis zu einemgewissen Grad von der nderung von Webseiten-Inhalten ab. Umuner-
wnschtes Blockieren zu vermeiden, berspringen Sie URL- bzw. Form-Hardening bei
Anfragen, die von der Blockade betroffen sind. Mglicherweise mssen Sie dies auf-
grund von Abhngigkeiten zwischen Webservern bzw. Webseiten in einer wei-
teren/neuen Ausnahme umsetzen.
5. Aktivieren Sie die Ausnahme.
Die neue Ausnahme ist standardmig deaktiviert (Schieberegler ist grau). Klicken Sie
auf den Schieberegler umdie Ausnahme zu aktivieren.
Die Ausnahme ist jetzt aktiv (Schieberegler ist grn).
flchen.
494 UTM9 WebAdmin
13.1.5 Site-Path-Routing
Auf der Registerkarte Web Application Firewall >Site-Path-Routing knnen Sie festlegen, an
welche echten Webserver empfangene Anfragen weitergeleitet werden sollen. Sie knnen bei-
spielsweise festlegen, dass alle URLs mit einembestimmten Pfad, z.B. /productsan einen
bestimmten Webserver weitergeleitet werden. Sie knnen auch mehr als einen Webserver fr
eine bestimmte Anfrage konfigurieren und anhand von Regeln festlegen, wie die Anfragen an
die Server verteilt werden sollen. Sie knnen beispielsweise auch festlegen, dass jede Sitzung
whrend ihrer gesamten Dauer an einen bestimmten Webserver gebunden ist (permanente
Sitzung, engl. sticky session). Dies ist beispielsweise erforderlich, wenn Sie einen Online-Shop
betreiben und sicherstellen mchten, dass ein Kunde whrend eines Einkaufs immer mit dem-
selben Server verbunden ist. Sie knnen auch einstellen, dass alle Anfragen an einen Webser-
ver gesendet werden und die anderen nur als Backup dienen.
Fr jeden virtuellen Webserver wird automatisch eine Standard-Site-Path-Route (mit Pfad /)
erstellt. UTMwendet die Site-Path-Regeln automatisch in logischer Reihenfolge an: vom
strengsten, d.h. lngsten Pfad, bis hin zumStandard-Pfad, der nur verwendet wird, wenn kein
anderer, spezifischerer Site-Path auf die erhaltene Anfrage zutrifft. Die Reihenfolge der Site-
Path-Routen in der Liste spielt keine Rolle. Wenn keine Route auf eine erhaltene Anfrage
zutrifft, z.B. weil die Standard-Route gelscht wurde, wird die Anfrage abgelehnt.
Hinweis Der Zugriff auf die Registerkarte Site-Path-Routing ist erst mglich, wenn min-
destens ein echter und ein virtueller Webserver erstellt wurden.
Umeine Site-Path-Route anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf die Schaltflche Neue Site-Path-Route.
Das Dialogfeld Site-Path-Route erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Site-Path-Route ein.
Virtueller Webserver: Whlen Sie den ursprnglichen Zielhost des eingehenden
Datenverkehrs.
Pfad: Geben Sie den Pfad ein, fr den Sie die Site-Pfad-Route erstellen mchten, z. B.
/products.
UTM9 WebAdmin 495
Umkehrauthentifizierung: Whlen Sie das Authentifizierungsprofil mit den Benutzern
oder Gruppen aus, die Zugang zu dieser Site-Path-Route haben sollen. Wenn kein Profil
ausgewhlt ist, ist keine Authentifizierung erforderlich.
Achtung Bei Verwendung eines Umkehrauthentifizierungsprofils auf einemvir-
tuellen Webserver, der imKlartextmodus ausgefhrt wird, sind die Benutzer-
zugangsdaten offen sichtbar. BeimFortfahren bertrgt die Web Application Firewall
Benutzerzugangsdaten auf unsichere Weise.
Achtung Ein Authentifizierungsprofil mit demFrontend-Modus Formular kann nur
einmal auf einembestimmten virtuellen Webserver implementiert werden.
Real Webservers: Aktivieren Sie die Auswahlkstchen vor den echten Webservern, die
demjeweiligen Pfad zugeordnet sind. Die Reihenfolge der ausgewhlten Server ist nur
fr die Option Hot-Standby-Modus aktivieren relevant. Mit den Sortiersymbolen knnen
Sie die Reihenfolge ndern.
zu.
Permanenten Sitzungscookie aktivieren: Whlen Sie diese Option, umsicher-
zustellen, dass jede Sitzung an einen echten Webserver gebunden ist. Wenn diese Opti-
on ausgewhlt ist, wird ein Cookie imBrowser des Benutzers abgelegt. Daraufhin leitet
UTMalle Anfragen von diesemBrowser an denselben echten Webserver weiter. Wenn
der Server nicht verfgbar ist, wird das Cookie aktualisiert und die Sitzung wechselt auf
einen anderen Webserver.
Hot-Standby-Modus aktivieren: Whlen Sie diese Option aus, wenn alle Anfragen an
den ersten ausgewhlten echten Webserver gesendet werden und die anderen Webser-
ver nur als Backup dienen sollen. Die Backup-Server kommen nur zumEinsatz, wenn
der Hauptserver ausfllt. Sobald der Hauptserver wieder in Betrieb ist, wechseln die Sit-
zungen wieder zumHauptserver, es sei denn, Sie haben die Option Permanenten Sit-
zungscookie aktivieren ausgewhlt.
Die Site-Path-Route wird zur Liste Site-Path-Routing hinzugefgt.
Umeine Site-Path-Route zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
496 UTM9 WebAdmin
13.1.6 Erweitert
Auf der Registerkarte Web Application Firewall >Erweitert knnen Sie die Schlssel definieren,
die fr die Cookie-Signierung und das URL-Hardening verwendet werden.
Cooki e-Si gni erung
Hier knnen Sie einen eigenen Schlssel angeben, der als Signaturschlssel fr die Cookie-
Signierung verwendet wird.
URL-Hardeni ng
Hier knnen Sie einen eigenen Schlssel angeben, der als Signaturschlssel fr das URL-Har-
dening verwendet wird.
Form-Hardeni ng
Hier knnen Sie einen eigenen Schlssel angeben, der als Verschlsselungsschlssel fr das
Form-Hardening-Token verwendet wird. Der Schlssel muss aus mindestens acht Zeichen
bestehen.
13.2 Umkehrauthentifizierung
Auf den Seiten Webserver Protection >Umkehrauthentifizierung knnen Sie definieren, wie die
Web Application Firewallverwendet wird, umBenutzer direkt zu authentifizieren, anstatt die
Authentifizierung den echten Webservern zu berlassen. ber Authentifizierungsprofile kann
die Umkehrauthentifizierung verwendet werden, umbestimmte Authen-
tifizierungseinstellungen jeder Site-Path-Route zuzuweisen.
Ein Authentifizierungsprofil wird imWesentlichen durch zwei Authentifizierungsmodi definiert:
der Authentifizierungsmodus, der zwischen demBenutzer und der WAF verwendet wird, und
der Authentifizierungsmodus, der zwischen der WAFund den echten Webservern verwendet
wird. Wenn ein echter Webserver keine Authentifizierung untersttzt, kann die WAFdaher die
Authentifizierung der Benutzer erzwingen. Auf der anderen Seite stellt die Umkehr-
authentifizierung sicher, dass sich ein Benutzer nur einmal authentifizieren muss, selbst wenn
demjeweiligen virtuellen Webserver mehr als ein echter Webserver zugewiesen ist.
Wenn Sie Formulare fr die Benutzerauthentifizierung verwenden, knnen sie unter-
nehmensspezifische Formularvorlagen verwenden.
UTM9 WebAdmin 497
13 Webserver Protection 13.2 Umkehrauthentifizierung
13.2 Umkehrauthentifizierung 13 Webserver Protection
13.2.1 Profile
Auf der Registerkarte Webserver Protection >Umkehrauthentifizierung >Profile legen Sie die
Authentifizierungsprofile fr die Web Application Firewall fest. Mit Profilen knnen Sie unter-
schiedlichen Benutzern oder Benutzergruppen unterschiedliche Authen-
tifizierungseinstellungen zuweisen. Nach Festlegung der Authentifizierungsprofile knnen Sie
diese den Site-Path-Routen auf der Registerkarte Web Application Firewall >Site Path Routing
zuweisen.
Umein Authentifizierungsprofil hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Profile auf Neues Authentifizierungsprofil.
Das Dialogfeld Authentifizierungsprofil erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr das Profil ein.
Frontend-Modus: Whlen Sie die Authentifizierungsmethode der Benutzer fr die
Web Application Firewall aus.
Einfach:Die Authentifizierung erfolgt mittels einfacher HTTP-Authen-
tifizierung mit Eingabe von Benutzernamen und Kennwort. Da die
Zugangsdaten in diesemModus unverschlsselt bertragen werden, sollte er in
Verbindung mit HTTPSgenutzt werden. In diesemModus werden keine Sit-
zungs-Cookies generiert und eine dedizierte Abmeldung ist nicht mglich.
Formularvorlage:Benutzern wird ein Formular angezeigt, in das sie ihre
Zugangsdaten eingeben mssen. In diesemModus werden Sitzungs-Cookies
generiert und eine dedizierte Abmeldung ist mglich. Die zu verwendende For-
mularvorlage knnen Sie ber die Auswahlliste Formularvorlage auswhlen.
Neben der Standardformularvorlage sind die Formulare aufgelistet, die auf der
Registerkarte Formularvorlagen definiert wurden.
Frontend-Bereich:Der Bereich ist eine eindeutige Zeichenfolge, die zur Definition des
Pfads zumURL-Authentifizierungsformular. Es ist wichtig, eine Zeichenfolge ein-
zugeben, die nicht als Pfad auf demzugehrigen echten Webserver verwendet wird.
Andernfalls knnen die Benutzer nicht auf den Pfad des echten Webservers zugreifen.
498 UTM9 WebAdmin
Hinweis Diese Zeichen sind fr den Frontend-Bereich zulssig: A-Z a-z 0-9 , ; . : - _ '
+=) (&%$! ^ <>| @
Formularvorlage:Whlen Sie die Vorlage, die den Benutzern fr die Authentifizierung
angezeigt wird. Formularvorlagen werden auf der Seite Formularvorlagen definiert.
Backend-Modus: Whlen Sie die Authentifizierungsart der Web Application Firewall
fr echte Webserver aus. Der Backend-Modus muss mit den Authen-
tifizierungseinstellungen des echten Webservers bereinstimmen.
Einfach:Die Authentifizierung erfolgt mittels einfacher HTTP-Authentifizierung
mit Eingabe von Benutzernamen und Kennwort.
Keine:Es erfolgt keine Authentifizierung zwischen der WAFund den echten
Webservern. Beachten Sie, dass die Benutzerauthentifizierung imFrontend-
Modus erfolgt, wenn Ihre echten Webserver keine Authentifizierung untersttzen.
Benutzer/Gruppen: Whlen Sie die Benutzer oder Benutzergruppen aus, die diesem
Authentifizierungsprofil zugewiesen werden sollen. Nachdemdieses Profil einer Site-
Path-Route zugewiesen wurde, haben diese Benutzer Zugriff auf den Site-Path mit den
Authentifizierungseinstellungen, die in diesemProfil definiert sind. Normalerweise han-
delt es sich dabei umeine Backend-Benutzergruppe. Das Hinzufgen eines Benutzers
wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlu-
tert.Das Hinzufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benut-
zer &Gruppen >Benutzer erlutert.
Hinweis - In einigen Fllen sollte es Benutzern mglich sein, die User-Principal-Name-
Notation "Benutzer@Domne" zu verwenden, wenn Sie ihre Daten angeben. ZumBei-
spiel wenn Exchange-Server in Kombination mit Active Directory-Servern verwendet
werden. Nhere Informationen zur Verwendung der Notation finden Sie unter Defi-
nitionen &Benutzer >Authentifizierungsdienste >Server imBereich Active Directory.
zu.
Sitzungs-Zeitberschreitung aktivieren: Whlen Sie diese Option, umeine Zeit-
beschrnkung fr die Benutzersitzung zu aktivieren. Dadurch mssen die
UTM9 WebAdmin 499
Benutzerzugangsdaten durch erneutes Anmelden besttigt werden, wenn Benutzer auf
demvirtuellen Webserver lngere Zeit keine Aktionen durchfhren.
Sitzungs-Zeitberschreitung: Legen Sie ein Intervall fr die Sitzungs-Zeit-
berschreitung fest.
Zeitberschreitung in: Legen Sie die Einheit in Tagen,Stunden oder Minuten
fest.
Sitzungsdauer beschrnken: Whlen Sie diese Option, umeine feste Beschrnkung
der Zeitdauer zu bestimmen, die Benutzer unabhngig von den durchgefhrten Akti-
vitten angemeldet bleiben drfen.
Sitzungsdauer: Legen Sie ein Intervall fr die Beschrnkung der Sitzungsdauer
fest.
Sitzungsdauer in: Legen Sie die Einheit in Tagen,Stunden oder Minuten fest.
Cookie-Verschlsselungschlssel: zur Festlegung des Schlssels fr die Cookie-
Verschlsselung.
Hinweis Der Cookie-Verschlsselungsschlssel ist nur verfgbar, wenn imAuthen-
tifizierungsprofil fr den Frontend-Modus die Option Formular festgelegt wurde.
Einfache Authentifizierung entfernen: zur Weiterleitung des Authentication Header
Authorize fr die einfache Authentifizierung, damit doppelschichtige HTTP-Authen-
tifizierung verwendet werden kann. Aktivieren Sie das Auswahlkstchen umdie Basis-
authentifizierung zu berspringen.
Hinweis Einfache Authentifizierung entfernen ist nur verfgbar, wenn der Backend-
Modus imAuthentifizierungsprofil auf keine steht.
Achtung Bei Verwendung von Umkehrauthentifizierung in Verbindung mit OTPwer-
den die OTP-Token nur einmal bei der Einrichtung einer Benutzersitzung berprft.
Nach der Einrichtung der Sitzung erfolgt bei darauffolgenden Anmeldungen desselben
Benutzers keine berprfung der OTP-Token. Dies erfolgt aus demGrund, dass bs-
willige Benutzer mglicherweise die OTP-Konfiguration mit unzhligen Authen-
tifizierungsanforderungen fr die geschtzten Pfade berfluten knnen. Dadurch wr-
den OTP-Prfungen erzeugt und auf den Authentifizierungs-Daemon ein erfolgreicher
500 UTM9 WebAdmin
DoS-Angriff gestartet. Kennwrter und andere Anforderungsaspekte werden aber
weiterhin fr den Abgleich der Konfiguration berprft.
Das neue Profil wird in der Liste Profile angezeigt.
Umein Profil zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schaltflchen.
Umkehrauthentifizierung: Benutzer/Gruppen:
In einigen Fllen sollte es Benutzern mglich sein, die User-Principal-Name-Notation "Benut-
zer@Domne" zu verwenden, wenn Sie ihre Daten angeben. ZumBeispiel wenn Exchange-
Server in Kombination mit Active Directory-Servern verwendet werden. In diesemFall mssen
folgende Schritte nacheinander ausgefhrt werden:
1. Klicken Sie auf Definitionen & Benutzer
Die Seite Definitionenbersicht wird geffnet.
2. Klicken Sie auf Authentifizierungsdienste.
Die Seite Authentifizierungsdienste wird geffnet.
3. Navigieren Sie in den Bereich Server und klicken Sie beimgewnschten Acti-
ve-Directory-Server auf Klonen.
Ein neuer Server wird erstellt.
4. ndern Sie das Feld Backend nach LDAP.
5. ndern Sie das Feld Benutzerattribut auf >
6. Geben Sie 'userPrincipalname' in das Feld Angepasst ein.
Sofern noch nicht verfgbar, wird eine Benutzergruppe LDAPUsers angelegt, die Sie anstelle
der Gruppe Active Directory Users verwenden mssen.
Hinweis Das Format "Domne\Benutzer" wird nicht untersttzt. Verwenden Sie statt-
dessen das Format "Benutzer@Domne".
13.2.2 Formularvorlagen
Auf der Registerkarte Webserver Protection >Umkehrauthentifizierung >Formularvorlagen
knnen Sie HTML-Formulare fr die Umkehrauthentifizierung hochladen. Eine
UTM9 WebAdmin 501
Formularvorlage kann mit demFrontend-Modus Formular einemAuthentifizierungsprofil zuge-
wiesen werden. Das jeweilige Formular wird prsentiert, wenn ein Benutzer versucht, auf
einen Site-Path zuzugreifen, demdas Authentifizierungsprofil zugewiesen ist.
Umeine Formularvorlage hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Formularvorlagen auf Neue
Formularvorlage.
Das Dialogfenster Neue Formularvorlage erstellen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr die Formularvorlage ein.
Dateiname: Klicken Sie auf das Ordnersymbol, umdie HTML-Vorlage auszuwhlen
und hochzuladen.
Bilder/Stylesheets:Whlen Sie die Bilder, Stylesheets oder JavaScript-Dateien, die
von der ausgewhlten Formularvorlage verwendet werden aus und laden Sie sie hoch.
zu.
Die neue Formularvorlage wird in der Liste Formularvorlagen angezeigt.
Umeine Formularvorlage zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Variablen fr die Anmelde-Formularvorlage
l Erforderlich:
Ein <form>-Element dessen Methode auf "Post" und die Aktion auf <?login_path?>
gesetzt ist, z.B. <form action="<?login_path?>" method="POST"> ...</form>
Ein <input>-Element innerhalb des oben erwhnten Formulars mit demName "httpd_
username", z.B. <input name="httpd_username" type="text">
Ein <input>-Element innerhalb des oben erwhnten Formulars mit demName "httpd_
password", z.B. <input name="httpd_password" type="password">
502 UTM9 WebAdmin
Hinweis Es ist zwingend erforderlich, dass jede Formularvorlage diesen drei Bedin-
gungen entspricht, damit es korrekt analysiert werden kann (lediglich <?login_
path?>wird aktuell ersetzt).
l Optional:
<?assets_path?>wird mit demPfad ersetzt, der alle Anlagen enthlt, die parallel zur
Formularvorlage hochgeladen wurden. Dies erlaubt sauberen Formularvorlagen Sty-
lesheets, Bilder, etc. auerhalb der aktuellen Formularvorlage zu platzieren, z.B. <link
rel="stylesheet" type="text/css" href="<?assets_
path?>/stylesheet.css">
<?company_text?>und <?admin_contact?>werden mit der Meldung ersetzt, die
unter Verwaltung >Anpassungen definiert ist, z.B. <p>Sollten Probleme oder
Fragen auftreten, kontaktieren Sie uns unter <b><?admin_
contact?></b>.</p>
<?company_logo?>wird mit demPfad ersetzt, der zumBild fhrt, das unter Verwaltung
>Anpassungen hochgeladen wurde, z.B. <img src="<?company_logo?>" alt="">
Seit dem9.2-Release enthlt Sophos UTMeine Standardformularvorlage umdie initiale
Umkehrauthentifizierungskonfiguration und Entwicklung zu vereinfachen. Dies ist das For-
mular, das in der Standardformularvorlage enthalten ist:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<link rel="stylesheet" type="text/css" href="<?assets_path?>/-
default_stylesheet.css">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Login</title>
</head>
<body>
<div id="container">
<div class="info"> <img src="<?company_logo?>" alt=""> <p><?company_
text?></p></div>
<form action="<?login_path?>" method="POST"> <p><label for="httpd_
username">Username:</label> <inputname="httpd_username" type-
e="text"></p> <p><label for="httpd_password">Password:</label>
UTM9 WebAdmin 503
13.3 Zertifikatverwaltung 13 Webserver Protection
<inputname="httpd_password" type="password"></p> <p><input type-
e="submit" value="Login"></p></form>
<div class="note"> If you encounter any problems or questions, plea-
se contact <b><?admin_contact?></b>.</div>
</div>
</body>
</html>
13.3 Zertifikatverwaltung
ber das Men Webserver Protection >Zertifikatverwaltung, das dieselben Kon-
figurationsoptionen enthlt wie das Men Site-to-Site-VPN>Zertifikatverwaltung, knnen Sie
alle zertifikatsbezogenen Vorgnge von Sophos UTMverwalten. Das beinhaltet unter ande-
remdas Anlegen und Importieren von X.509-Zertifikaten ebenso wie das Hochladen soge-
nannter Zertifikatsperrlisten (CRLs).
13.3.1 Zertifikate
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Zertifikate.
13.3.2 CA
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >CA.
13.3.3 Sperrlisten (CRLs)
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Sperrlisten (CRLs).
13.3.4 Erweitert
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Erweitert.
504 UTM9 WebAdmin
14 RED-Verwaltung
In diesemKapitel wird beschrieben, wie Sie Sophos REDkonfigurieren. REDist die Abkrzung
fr Remote Ethernet Device (entferntes Ethernet-Gert) und bezeichnet eine Methode, rum-
lich getrennte Zweigniederlassungen und dergleichen mit Ihrer Hauptniederlassung zu ver-
binden, so als ob die Zweigniederlassung Teil Ihres lokalen Netzwerks sei.
Der Aufbau besteht aus einer Sophos UTMin Ihrer Hauptniederlassung und einemRemote
Ethernet Device (RED) in Ihrer Zweigniederlassung. Die Herstellung einer Verbindung zwi-
schen den beiden ist ausgesprochen einfach, da die RED-Appliance selbst nicht konfiguriert
werden muss. Sobald die RED-Appliance mit Ihrer UTMverbunden ist, verhlt sie sich wie
jedes andere Ethernet-Gert auf Ihrer UTM. Aller Verkehr Ihrer Zweigstelle wird sicher ber
Ihre UTMgeroutet, das bedeutet, dass Ihre Zweigniederlassung so gesichert ist wie Ihr lokales
Netzwerk.
Aktuell stehen zwei Typen von RED-Appliances zur Verfgung:
l RED10: RED-Lsung fr kleine Zweigniederlassungen
l RED50: RED-Lsung mit zwei Uplink-Schnittstellen fr grere Zweigniederlassungen
l bersicht
l Allgemeine Einstellungen
l Clientverwaltung
l Einrichtungshilfe
l Tunnelverwaltung
14.1 bersicht 14 RED-Verwaltung
Figure 24 RED: Aufbaukonzept
Der Aufbau einer RED-Umgebung umfasst die folgenden Schritte:
1. Aktivierung der RED-Untersttzung.
2. Konfiguration der RED-Appliance auf Ihrer UTM.
3. Verbindung der RED-Appliance mit demInternet amentfernten Standort.
Hinweis Die bersichtsseite von REDzeigt allgemeine Informationen zur RED-Archi-
tektur, solange noch keine RED-Appliance konfiguriert ist. Wenn eine RED-Appliance kon-
figuriert wurde, zeigt die Seite Informationen zumStatus von RED.
14.1 bersicht
Die Seite bersicht bietet allgemeine Informationen darber, wofr REDgedacht ist, wie es
funktioniert und wie ein typischer Einsatz von REDaussieht.
Querverweis Weitere Informationen ber RED-Appliances finden Sie in den Quick-Start-
Guides und Operating Instructions imSophos UTMResource-Center. Die LED-Blink-Codes
der RED-10-Appliances sind in der Sophos-Knowledgebase beschrieben.
RED-Li ve-Protokoll ffnen
Sie knnen das Live-Protokoll verwenden, umdie Verbindung zwischen Ihrer Sophos UTM
und der RED-Appliance zu berwachen. Klicken Sie auf die Schaltflche RED-Live-Protokoll
ffnen, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
506 UTM9 WebAdmin
14.2 Allgemein
Auf der Registerkarte Allgemeine Einstellungen knnen Sie die Untersttzung fr REDein-
oder ausschalten, das heit, ob Ihre UTMals RED-Hub agiert. Sie mssen die RED-Unter-
sttzung einschalten, bevor eine RED-Appliance eine Verbindung mit der UTMherstellen
kann.
RED-Konfi gurati on
Umdie RED-Untersttzung zu aktivieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die RED-Untersttzung auf der Registerkarte Allgemeine Ein-
stellungen.
Der Schieberegler wird gelb und der Abschnitt RED-Hub-Konfiguration kann nun bear-
beitet werden.
2. Geben Sie Informationen zu Ihrer Organisation ein.
Standardmig werden die Einstellungen von der Registerkarte Verwaltung >Sys-
temeinstellungen >Organisatorisches verwendet.
3. Klicken Sie auf RED aktivieren.
Der Schieberegler wird grn und die RED-Untersttzung ist aktiv. Ihre UTMregistriert
sich nun beimREDProvisioning Service (RPS) von Sophos, umals RED-Hub zu agie-
ren.
Sie knnen nun fortfahren, indemSie ein oder mehrere RED-Appliances auf der Seite
Clientverwaltung hinzufgen oder den Assistenten auf der Seite Einrichtungshelfer ver-
wenden.
Appli ances automati sch Autori si erung entzi ehen
Wenn die RED-Untersttzung aktiv ist, knnen Sie festlegen, ob nicht verbundenen RED-App-
liances automatisch nach einer bestimmten Zeitspanne die Autorisierung entzogen werden
soll. Mit Hilfe dieser Funktion knnen Sie verhindern, dass sich gestohlene RED-Appliances mit
der UTMverbinden knnen.
UTM9 WebAdmin 507
14 RED-Verwaltung 14.2 Allgemein
14.3 Clintverwaltung 14 RED-Verwaltung
Hinweis Die Option Appliances automatisch Autorisierung entziehen funktioniert nicht fr
RED-Tunnel zwischen 2 UTMs.
1. Aktivieren Sie die Funktion zur automatischen Entziehung der Autorisierung.
Whlen Sie das Auswahlkstchen Enable Automatic Device Deauthorization.
2. Legen Sie eine Zeitspanne fest, nach der der RED-Appliance automatisch die
Autorisierung entzogen wird.
Geben Sie den gewnschten Wert in das Feld Deauthorize After ein. Die kleinste mg-
liche Zeitspanne betrgt 5 Minuten.
Die Funktion Automatisch Autorisierung entziehenist jetzt aktiv.
Wenn sich eine RED-Appliance wieder verbinden mchte, nachdemsie lnger als die definierte
Zeitspanne nicht verbunden war, wird sie automatisch deaktiviert. Dies ist an den Schie-
bereglern auf der Seite Clientverwaltung zu erkennen. Auf der Seite bersicht wird auch eine
entsprechende Warnung angezeigt. Umeiner RED-Appliance, deren Autorisierung entzogen
wurde, die Verbindung wieder zu erlauben, aktivieren Sie sie auf der Seite Clientverwaltung.
14.3 Clintverwaltung
Auf der Seite RED-Verwaltung >Clientverwaltung knnen Sie die Verbindung von entfernten
UTMs mit Ihrer UTMber einen Remote Ethernet Device (RED)-Tunnel aktivieren. Die ent-
fernten UTMs fungieren dann einfach als RED-Appliances. Darber hinaus knnen Sie RED-
Appliances manuell konfigurieren (Expertenmodus), anstatt die Einrichtungshilfe zu ver-
wenden. Die Einrichtungshilfe ist ein bequemerer Weg, RED-Appliances zu konfigurieren, und
befindet sich auf der nchsten WebAdmin-Seite.
Jede RED-Appliance oder jede UTM, die hier konfiguriert ist, kann eine Verbindung zu Ihrer
UTMherstellen.
Die Markierung [Server] vor demSeitennamen gibt an, dass diese Seite nur konfiguriert wer-
den muss, wenn die UTMals Server (RED-Hub) fungieren soll.
Hinweis Damit sich RED-Appliances verbinden knnen, mssen Sie zunchst die RED-
Untersttzung auf der Seite Allgemeine Einstellungen aktivieren.
508 UTM9 WebAdmin
Einrichten eines RED-Tunnelszwischen zwei UTMs
Damit eine weitere UTMber einen RED-Tunnel eine Verbindung mit Ihrer lokalen UTMher-
stellen kann, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufgen.
Das Dialogfenster REDhinzufgen wird geffnet.
Zweigstellenname: Geben Sie einen Namen fr die Zweigstelle ein, in der sich die Cli-
ent-UTMbefindet, z.B. Bro Mnchen.
Clint-Typ: Whlen Sie UTMaus der Auswahlliste aus.
Tunnel-ID:Standardmig ist Automatisch ausgewhlt. Tunnel werden durch-
nummeriert. Sie mssen sicherstellen, dass die Tunnel-IDbeider UTMs eindeutig ist. In
diesemFall kann es erforderlich sein, eine andere IDaus der Auswahlliste auszuwhlen.
Das UTM-Objekt wird erstellt.
4. Laden Sie die Bereitstellungsdatei herunter.
Umder entfernten (Client-) UTMdie Konfigurationsdaten bereitzustellen, laden Sie die
Bereitstellungsdatei mit Hilfe der Schaltflche Download herunter und bertragen Sie
die Datei auf sichere Weise zur entferntenUTM.
Konfiguration einer RED-Appliance
Umeine RED-Appliance mit Ihrer lokalen UTMzu verbinden, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufgen.
Das Dialogfenster REDhinzufgen wird geffnet.
Zweigstellenname: Geben Sie einen Namen fr die Zweigstelle ein, in der sich die Cli-
ent- befindet, z.B. Bro Mnchen.
Client-Typ: Whlen Sie RED10 oder RED50 aus der Auswahlliste, je nachdem, mit
welchemRED-TypSie eine Verbindung herstellen mchten.
UTM9 WebAdmin 509
14 RED-Verwaltung 14.3 Clintverwaltung
Hinweis Die RED50-Appliance verfgt ber ein LCD-Display. Sie knnen sie ver-
wenden, umwichtige Informationen zumGert anzuzeigen. Mit der Schaltflche Nach
linksknnen Sie das Men aufrufen. Navigieren Sie mit den Schaltflchen Nach
obenbzw. Nach untenund verwenden Sie die Schaltflche Nach rechtsals Ein-
gabetaste. Weitere Informationen finden Sie in den Hinweisen zumBetrieb.
RED-ID: Geben Sie die IDdes RED-Gerts ein, das Sie gerade konfigurieren. Diese ID
finden Sie auf der Rckseite der RED-Appliance und auf deren Verpackung.
Tunnel-ID: Standardmig ist Automatisch ausgewhlt. Tunnel werden durch-
nummeriert. Wenn Sie IDs haben, die miteinander in Konflikt stehen, whlen Sie eine
andere IDaus der Auswahlliste aus.
Entsperrcode (optional): Lassen Sie dieses Feld bei der ersten Einrichtung einer RED-
Appliance leer. In demFall, dass die RED-Appliance, die Sie konfigurieren wollen, zuvor
bereits einmal eingerichtet wurde, bentigen Sie deren Entsperrcode. Der Entsperrcode
wird whrend der Einrichtung einer RED-Appliance erzeugt und sofort zu der Adresse
gesendet, die auf der Registerkarte Allgemeine Einstellungen festgelegt ist. Dabei han-
delt es sich umeine Sicherheitsfunktion, die dafr sorgt, dass eine RED-Appliance nicht
einfach entfernt und woanders installiert werden kann.
Hinweis Fr die manuelle Einrichtung ber USB-Stick und die automatische Ein-
richtung mittels REDProvisioning Service (siehe unten) werden zwei verschiedene Ent-
sperrcodes erzeugt. Wenn Sie ein RED-Gert von einer Bereitstellungsmethode zu
einer anderen wechseln, mssen Sie den entsprechenden Entsperrcode verwenden:
Fr eine manuelle Bereitstellung, verwenden Sie den Entsperrcode der letzten manu-
ellen Bereitstellung; fr die automatische Bereitstellung, verwenden Sie den Ent-
sperrcode der letzten automatischen Bereitstellung.
Wenn Sie nicht imBesitz des Entsperrcodes sind, ist der einzige Weg, die RED-App-
liance zu entsperren, den Sophos-Support zu kontaktieren. Der Support kann Ihnen
jedoch nur dann helfen, wenn Sie die automatische RED-Einrichtung ber den Sophos-
RED-Provisioning-Service verwendet haben.
Tipp Der Entsperrcode ist auch in Backup-Dateien der enthalten, mit der das UTM
REDverbunden war, wenn das Backup hostspezifische Daten enthlt.
510 UTM9 WebAdmin
UTM-Hostname: Sie mssen eine ffentliche IP-Adresse oder einen Hostnamen ein-
geben, ber den der Zugriff auf Ihre UTMmglich ist.
2. UTM-Hostname: Fr RED50-Appliances knnen Sie eine weitere ffentliche IP-
Adresse oder einen anderen Hostnamen derselben UTMeingeben. Beachten Sie, dass
Sie keine IP-Adressen oder Hostnamen einer anderen UTMeingeben knnen.
Verwende 2. Hostname fr (nur mit RED50, siehe Bilder unten): Sie knnen ein-
stellen, fr was der zweite Hostname verwendet werden soll.
l Failover: Whlen Sie diese Option, wenn Sie den zweiten Hostnamen nur fr den
Fall verwenden mchten, dass der erste Hostname ausfllt.
l Lastverteilung: Whlen Sie diese Option, umaktive Lastverteilung zwischen den
beiden Hostnamen zu aktivieren. Dies ist sinnvoll, wenn die beiden Uplinks, mit
denen die Hostnamen korrelieren, in Latenz und Durchsatz gleichwertig sind.
Uplink-Modus/2. Uplink-Modus: Sie knnen festlegen, wie das RED-Gert eine IP-
Adresse erhlt, entweder ber DHCPoder indemSie ihmdirekt eine statische IP-Adres-
se zuweisen. Fr RED50-Appliances legen Sie den Uplink-Modus jedes RED-Uplink-
Ethernet-Anschlusses separat fest.
l DHCP-Client: Die RED-Appliance bezieht eine IP-Adresse von einemDHCP-
Server.
l Statische Adresse: Geben Sie eine IPv4-Adresse, eine entsprechende Netz-
maske, ein Standardgateway und einen DNS-Server ein.
Hinweis Es existiert keine eindeutige Zuordnung zwischen UTM-Hostnamen und
RED-Uplink-Ethernet-Anschlssen. Jeder RED-Anschluss versucht, eine Verbindung
mit jedemdefinierten UTM-Hostnamen herzustellen.
Verwende 2. Hostname fr (nur mit RED50, siehe Bilder unten): Sie knnen ein-
stellen, fr was der zweite Uplink verwendet werden soll.
l Failover: Whlen Sie diese Option, wenn Sie den zweiten Uplink nur fr den Fall
verwenden mchten, dass der erste Uplink ausfllt.
l Lastverteilung: Whlen Sie diese Option, umaktive Lastverteilung zwischen den
beiden Uplinks zu aktivieren. Dies ist sinnvoll, wenn die beiden Uplinks der RED
50-Appliance in Latenz und Durchsatz gleichwertig sind.
UTM9 WebAdmin 511
Betriebsmodus: Sie knnen festlegen, wie das entfernte Netzwerk in Ihr lokales Netz-
werk integriert werden soll.
l Standard/Vereint: Die UTMkontrolliert den Netzwerkverkehr des entfernten
Netzwerks vollstndig. Darber hinaus agiert sie als DHCP-Server und als Stan-
dardgateway. Das Routing des gesamten Netzwerkverkehrs des entfernten Netz-
werks erfolgt ber die UTM.
l Standard/Getrennt: Die UTMkontrolliert den Netzwerkverkehr des entfernten
Netzwerks vollstndig. Darber hinaus agiert sie als DHCP-Server und als Stan-
dardgateway. ImGegensatz zumvereinten Modus wird nur bestimmter Verkehr
ber die UTMgeroutet. Legen Sie unten imFeld Getrennte Netzwerke lokale
Netzwerke fest, auf die entfernte Clients Zugriff haben sollen.
Hinweis VLAN-getaggte Datenframes knnen mit diesemBetriebsmodus
nicht bearbeitet werden. Wenn Sie hinter Ihrer RED-Appliance ein VLANver-
wenden, benutzen Sie stattdessen den Standard-Modus.
l Transparent/Getrennt: Die UTMkontrolliert weder den Netzwerkverkehr des
entfernten Netzwerks, noch fungiert sie als DHCP-Server oder als Stan-
dardgateway. ImGegenteil, sie bezieht eine IP-Adresse vomDHCP-Server des
entfernten Netzwerks, umTeil von jenemNetzwerk zu werden. Dennoch knnen
Sie entfernten Clients Zugriff auf Ihr lokales Netzwerk geben. Dafr mssen Sie
Getrennte Netzwerke festlegen, auf die vomentfernten Netzwerk aus zugegriffen
werden darf. Darber hinaus knnen Sie eine oder mehrere Getrennte Domnen
festlegen, die zugnglich sein sollen. Falls Ihre lokalen Domnen nicht ffentlich
auflsbar sind, mssen Sie einen Getrennten DNS-Server angeben, der Anfra-
gen von den entfernten Clients entgegennimmt.
Hinweis VLAN-getaggte Datenframes knnen mit diesemBetriebsmodus
nicht bearbeitet werden. Wenn Sie hinter Ihrer RED-Appliance ein VLANver-
wenden, benutzen Sie stattdessen den Standard-Modus.
Beispiele zu diesen Betriebsmodi finden Sie auf der Registerkarte Einrichtungshilfe.
3. Nehmen Sie fr RED50 optional folgende Switch-Port-Kon-
figurationseinstellungen vor:
LAN-Port-Modus: RED50 bietet vier LAN-Ports, die entweder als einfache Switches
oder fr eine intelligente VLAN-Nutzung konfiguriert werden knnen. Wenn Switch
512 UTM9 WebAdmin
konfiguriert ist, wird smtlicher Verkehr imPrinzip an alle Ports gesendet. Wenn VLAN
konfiguriert ist, kann Verkehr gem den VLAN-Tags der Ethernet-Frames gefiltert wer-
den. Dadurch kann mehr als ein Netzwerk durch den RED-Tunnel gefhrt werden.
LAN-Modi: Wenn Sie Ports als VLAN-Switches konfigurieren, knnen Sie jeden LAN-
Port separat konfigurieren. Fr jeden LAN-Port sind die folgenden Optionen verfgbar:
Ohne Tags: Ethernet-Frames mit den imFeld LANVID(s) unten angegebenen
VLAN-IDs werden an diesen Port gesendet. Die Frames werden ohne Tags
gesendet. Daher mssen die Endgerte VLANnicht unbedingt untersttzen. Fr
diesen Port ist nur eine einzige VLAN-IDzulssig.
Figure 25 LAN-Modus: Ohne Tags
Ohne Tags, mit Tags verwerfen: Ethernet-Frames mit den imFeld LANVID(s)
unten angegebenen VLAN-IDs werden nicht an diesen Port gesendet. Die Fra-
mes werden ohne Tags gesendet. Daher mssen die Endgerte VLANnicht unbe-
dingt untersttzen.
Figure 26 LAN-Modus: Ohne Tags, mit Tags verwerfen
Mit Tags: Ethernet-Frames mit den imFeld LANVID(s) unten angegebenen
VLAN-IDs werden an diesen Port gesendet. Die Frames werden mit Tags gesen-
det. Daher mssen die Endgerte VLANuntersttzen. Frames ohne VLAN-IDs
UTM9 WebAdmin 513
werden nicht an diesen Port gesendet. Fr diesen Port sind bis zu 64 ver-
schiedene, durch Komma getrennte VLAN-IDs zulssig.
Figure 27 LAN-Modus: Mit Tags
Nicht verwendet: Dieser Port ist geschlossen. Keine Frames mit den oder ohne
die imFeld LANVID(s) angegebenen VLAN-IDs werden an diesen Port gesen-
det.
Figure 28 LAN-Modus: Nicht verwendet
Hinweis Die LAN-Modi haben in der Cisco/HPDokumentation andere Namen.
Ohne Tags wird "Hybrid Port" genannt, ohne Tags, mit Tags verwerfen wird "Access
Port" genannt, mit Tags wird "Trunk Port" genannt.
MAC-Filter-Typ:Umdie MAC-Adressen einzuschrnken, die sich mit dieser RED-App-
liance verbinden drfen, whlen Sie Blacklist oder Whitelist.Mit Blacklist sind alle MAC-
Adressen erlaubt, auer denen, die auf der unten ausgewhlten MAC-Adressliste ste-
hen. Mit Whitelist sind alle MAC-Adressen verboten, auer denen, die auf der unten aus-
gewhlten MAC-Adressliste stehen.
MAC-Adressen: Liste der MAC-Adressen, die dazu verwendet wird, den
Zugang zur RED-Appliance einzuschrnken. MAC-Adresslisten knnen auf der
514 UTM9 WebAdmin
Registerkarte Definitionen &Benutzer >Netzwerkdefinitionen >MAC-Adress-
definitionen erstellt werden. Beachten Sie, dass fr RED10 maximal 200MAC-
Adressen zulssig sind, wohingegen die Liste fr RED50 bis zu 400 MAC-Adres-
sen enthalten kann.
Hinweis MAC-Filterung wird nur fr REDRev. 2 oder neuer untersttzt.
RED einrichten: Whlen Sie aus, wie Sie die ntigen Konfigurationseinstellungen fr
das REDvornehmen mchten. Standardmig stellt die UTMdie Konfigurationsdaten
desREDautomatisch ber den Sophos REDProvisioning Service zur Verfgung. In die-
semFall erhlt das REDseine Konfiguration ber das Internet. Wenn Ihr
REDbeispielsweise ber keine Internetverbindung verfgt, knnen Sie die Konfiguration
manuell, ber USB-Stick, vornehmen.
Hinweis Wenn Sie ein RED-Gert offline eingesetzt haben, mssen Sie es zunchst
online mit demRED-Provisioning-Service verbinden, bevor Sie es wieder online ver-
wenden knnen. Die manuelle Einrichtung funktioniert nur bei RED-Appliances mit
Firmware-Version 9.1 oder hher.
Warnung Wenn Sie die manuelle Einrichtung whlen, ist es extremwichtig, den Ent-
sperrcode aufzubewahren, der per E-Mail zugesendet wird. Wenn Sie den Ent-
sperrcode verlieren, knnen Sie die RED-Appliance nie mehr mit einer anderen UTM
verbinden.
Datenkomprimierung: Wenn die Datenkomprimierung aktiviert ist, wird smtlicher
Datenverkehr, der durch den RED-Tunnel geleitet wird, komprimiert. Durch die Daten-
komprimierung kann sich der Durchsatz durch die RED-Appliance in Bereichen mit sehr
langsamer Internetverbindung wie 12 Mbit/s erhhen. Leistungsverbesserungen hn-
gen jedoch hauptschlich von der Entropie der gesendeten Daten ab (z. B. knnen
bereits komprimierte Daten wie HTTPSoder SSHnicht noch weiter komprimiert wer-
den). Unter gewissen Umstnden ist es daher mglich, dass sich bei der Aktivierung der
Datenkomprimierung der Durchsatz durch die RED-Appliance tatschlich reduziert.
Deaktivieren Sie in einemsolchen Fall die Datenkomprimierung.
Hinweis Datenkomprimierung ist fr RED10 Rev.1 nicht verfgbar.
UTM9 WebAdmin 515
3G/UMTS-Failover: Seit REDRev. 2 besitzt die RED-Appliance einen USB-Port, in den
Sie einen 3G/UMTS-USB-Stick stecken knnen. Wenn diese Option ausgewhlt ist,
kann dieserStick bei einemAusfall der WAN-Schnittstelle als Internet-Uplink-Failover
verwendet werden. Die ntigen Einstellungen entnehmen Sie bitte demDatenblatt Ihres
Internetproviders.
l Benutzername/Kennwort (optional): Geben Sie, sofern erforderlich, einen
Benutzernamen und ein Kennwort fr das Mobilfunknetz ein.
l PIN(optional): Geben Sie die PINder SIM-Karte ein, falls eine PINkonfiguriert ist.
Hinweis Wenn Sie eine falsche PINeingeben, kann bei einemAusfall der
WAN-Schnittstelle die Verbindung ber 3G/UMTSnicht aufgebaut werden.
Stattdessen wird die Auswahl der Option 3G/UMTS-Failover der RED-App-
liance automatisch aufgehoben. Auf diese Weise wird die falsche PINnur einmal
verwendet. Wenn die WAN-Schnittstelle wieder funktioniert, wird fr die RED-
Appliance eine Warnung angezeigt:Eine falsche PINwurde fr den 3G/UMTS-
Failover-Uplink eingegeben. Bitte ndern Sie die Zugangsdaten. Wenn Sie das
Dialogfeld REDbearbeiten ffnen, wird eine Meldung angezeigt, die Ihnen mit-
teilt, dass die Auswahl von 3G/UMTS-Failover automatisch aufgehoben wurde.
Korrigieren Sie die PIN, bevor Sie die Option wieder aktivieren. Beachten Sie bit-
te, dass nach drei Verbindungsversuchen mit einer falschen PINdie SIM-Karte
gesperrt wird. Das Entsperren der SIM-Karte ist ber die RED-Appliance oder
die UTMnicht mglich. Die Signalstrke fr die meisten untersttzen 3G/UMTS-
USB-Sticks wird imLive-Protokoll und auf der LCD-Anzeige des RED50 ange-
zeigt.
l Mobilfunknetz: Whlen Sie den Typ des Mobilfunknetzes aus (entweder GSM
oder CDMA).
l APN:Geben Sie den Access-Point-NameIhres Providers ein.
l Einwahlkennung (optional): Sollte Ihr Dienstanbieter eine spezifische Ein-
wahlkennung verwenden, mssen Sie diese hier eingeben. Der Standard ist *99#.
Hinweis Die folgenden Konfigurationen mssen Sie immer manuell vornehmen: 1)
Das Anlegen der notwendigen Firewall-Regeln (Network Protection >Firewall >
516 UTM9 WebAdmin
Regeln). 2) Das Anlegen der notwendigen Maskierungsregeln (Network Protection >
NAT >Maskierung).
Die RED-Appliance wird angelegt und in der Liste REDangezeigt.
Mit der automatischen RED-Einrichtung ruft das REDdirekt nach demBooten seine Kon-
figuration vomSophosREDProvisioning Service (RPS) ab. Danach wird die Verbindung zwi-
schen Ihrer UTMund der RED-Appliance aufgebaut.
Wenn Sie die manuelle RED-Einrichtung nutzen, verfgt der neue Eintrag in der Liste
REDber eine Download-Schaltflche. Laden Sie die Konfigurationsdatei herunter und spei-
chern Sie sie imWurzelverzeichnis eines USB-Sticks. Stecken Sie den USB-Stick dann in die
RED-Appliance, bevor Sie sie einschalten. Das REDruft seine Konfiguration vomUSB-Stick
ab. Danach wird die Verbindung zwischen IhrUTMer und der RED-Appliance aufgebaut.
Warnung Es ist uerst wichtig, dass Sie sich den Entsperrcode aufschreiben, der, nach-
demdie RED-Appliance ihre Konfiguration erhalten hat, sofort an die E-Mail-Adresse gesen-
det wird, die auf der Registerkarte Allgemeine Einstellungen angegeben ist. (Falls Sie zwi-
schen manueller und automatischer RED-Einrichtung wechseln, mssen Sie sicherstellen,
dass Sie sich beide Entsperrcodes merken.)Sie bentigen den Entsperrcode, wenn Sie die
RED-Appliance mit einer anderen UTMverwenden wollen. Wenn Sie dann den Ent-
sperrcode nicht parat haben, ist der einzige Weg, die RED-Appliance zu entsperren, den
Sophos-Support zu kontaktieren. Der Support kann Ihnen jedoch nur dann helfen, wenn Sie
die automatische RED-Einrichtung ber den Sophos-RED-Provisioning-Service verwendet
haben.
Umeine RED-Appliance zu bearbeiten, klicken Sie auf die entsprechende Schaltflche. Sie kn-
nen den Gertestatus aller konfigurierten RED-Appliances auf der RED-bersichtsseite des
WebAdmin verfolgen.
Die folgenden Abbildungen geben einen berblick ber die vier mglichen Kombinationen von
Lastverteilung und Failover, die RED50 bietet. Durchgezogene Linien reprsentieren Last-
verteilung, gepunktete Linien Failover-Verhalten:
UTM9 WebAdmin 517
14.4 Einrichtungshilfe 14 RED-Verwaltung
Figure 29 RED50: Hostnamen- und Uplink-Lastverteilung (trkis) und Hostnamen- und
Uplink-Failover (rot)
Figure 30 RED50: Hostnamen-Lastverteilung und Uplink-Failover (grn) sowie Hostnamen-
Failover und Uplink-Lastverteilung (blau)
Lschen einer RED-Appliance
Umeine RED-Appliance zu lschen, klicken Sie auf die Schaltflche Lschen neben dem
Namen der Appliance.
Sie werden einen Warnhinweis sehen, dass das RED-Objekt Abhngigkeiten hat. Beachten
Sie, dass beimLschen einer RED-Appliance dazugehrige Schnittstellen und deren Abhn-
gigkeiten nicht gelscht werden. Dieses Verhalten ist bewusst so gewhlt, da es Ihnen ermg-
licht, eine Schnittstelle von einer RED-Appliance zu einer anderen zu verschieben.
Wenn Sie eine RED-Konfiguration vollstndig entfernen wollen, mssen Sie eventuelle Schnitt-
stellen und andere Definitionen manuell lschen.
14.4 Einrichtungshilfe
Die Registerkarte RED-Verwaltung >Einrichtungshilfe verfgt ber einen Assistenten, der das
Einrichten und die Integration einer RED-Umgebung erleichtert. Der Assistent ist als einfache
Alternative zur normalen Konfiguration auf der Registerkarte Clientverwaltung gedacht. Sie
mssen lediglich die erforderlichen Felder ausfllen, falls notwendig auch Felder, die als optio-
nal gekennzeichnet sind, und dann auf die Schaltflche REDeinrichten klicken.
518 UTM9 WebAdmin
Die Markierung [Server] vor demSeitennamen gibt an, dass diese Seite nur konfiguriert wer-
den muss, wenn die UTMals Server (RED-Hub) fungieren soll.
Hinweis Der Einfachheit halber erstellt die Einrichtungshilfe in den Modi Standard und Stan-
dard/Getrennt imGegensatz zur Registerkarte Clientverwaltung folgende Objekte auto-
matisch: eine lokale Schnittstelle mit der festgelegten IP-Adresse; einen DHCP-Server fr
das entfernte Netzwerk, der die Hlfte des verfgbaren IP-Adressbereichs abdeckt;Zugriff
auf die lokale DNS-Auflsung. Fr den Modus Transparent/Getrennt legt die Ein-
richtungshilfe nur eine DHCP-Client-Schnittstelle an (Ethernet-DHCP).
Die Einrichtungshilfe bietet eine Kurzbeschreibung zu jeder Option und eine schematische Dar-
stellung fr jeden der drei Betriebsmodi, die mit der RED-Technologie mglich sind.
Unten finden Sie eine Beschreibung und Anwendungsflle fr die drei Betriebsmodi von RED.
Standard/Vereint
Die UTMverwaltet das gesamte entfernte Netzwerk. Sie fungiert als DHCP-Server und als
Standardgateway.
Beispiel: Sie haben eine Zweigstelle und mchten aus Sicherheitsgrnden, dass smtlicher Ver-
kehr der Zweigstelle ber die imHauptsitz befindliche UTMgeleitet wird. Auf diese Weise wird
die Zweigstelle Teil Ihres lokalen Netzwerks, als ob sie ber LANverbunden wre.
Standard/Getrennt
Hinweis VLAN-getaggte Datenframes knnen mit diesemBetriebsmodus nicht bearbeitet
werden. Wenn Sie hinter Ihrer RED-Appliance ein VLANverwenden, benutzen Sie statt-
dessen den Standard-Modus.
Wie imModus Standard verwaltet die UTMdas gesamte entfernte Netzwerk. Sie fungiert als
DHCP-Server und als Standardgateway. Der Unterschied besteht darin, dass nur Netz-
werkverkehr, der an Netzwerke gerichtet ist, die imFeld Getrennte Netzwerke aufgefhrt sind,
zu Ihrer lokalen UTMumgeleitet wird. Verkehr, der nicht an die definierten getrennten Netz-
werke gerichtet ist, wird direkt ins Internet geroutet.
Beispiel: Sie haben eine Zweigstelle und mchten fr sie Zugriff auf Ihr lokales Intranet ein-
richten oder den Datenverkehr des entfernten Netzwerks aus Sicherheitsgrnden ber Ihre
UTM9 WebAdmin 519
14 RED-Verwaltung 14.4 Einrichtungshilfe
14.4 Einrichtungshilfe 14 RED-Verwaltung
UTMleiten, z.B. umdie Daten auf Viren zu berprfen oder umeinen HTTP-Proxy ein-
zusetzen.
Transparent/Getrennt
Hinweis VLAN-getaggte Datenframes knnen mit diesemBetriebsmodus nicht bearbeitet
werden. Wenn Sie hinter Ihrer RED-Appliance ein VLANverwenden, benutzen Sie statt-
dessen den Standard-Modus.
Das entfernte Netzwerk bleibt unabhngig, die UTMist Teil dieses Netzwerks, da sie eine IP-
Adresse vomentfernten DHCP-Server erhlt. Nur bestimmter Verkehr des entfernten Netz-
werks hat Zugriff auf bestimmte Netzwerke oder lokale Domnen von Ihnen. Da UTMkeine
Kontrolle ber das entfernte Netzwerk hat, knnen lokale Domnen, die nicht ffentlich auf-
gelst werden knnen, nicht vomentfernten Router aufgelst werden. Zu diesemZweck ms-
sen Sie einen Getrennten DNS-Server definieren. Das ist ein lokaler DNS-Server von Ihnen,
der Anfragen von den entfernten Clients entgegennimmt.
Technisch ausgedrckt besteht eine Bridge zwischen der lokalen Schnittstelle der RED-App-
liance und deren Uplink-Schnittstelle zu Ihrer lokalen UTMsowie eine Bridge zumentfernten
Router. (Bei RED50-Appliances sind die LAN-Ports nur mit WAN1 gebridged.)Da UTMnur
ein Client des entfernten Netzwerks ist, ist es nicht mglich, die getrennten Netzwerke auf die
gleiche Weise zu routen wie in den anderen Modi. Daher liest die RED-Appliance allen Verkehr
mit: Verkehr, der fr ein Netzwerk bestimmt ist, das imFeld Split Networks aufgefhrt ist, oder
zu einer Domne geht, die imFeld Split Domains aufgefhrt ist, wird zur Schnittstelle von UTM
umgeleitet. Dies wird erreicht, indemdie MAC-Adresse des Standardgateways in den betref-
fenden Datenpaketen durch die MAC-Adresse von UTMersetzt wird.
Beispiel: Sie haben einen Partner oder einen Dienstleister, der Zugang zu IhremIntranet oder
einembestimmten Server in Ihremlokalen Netzwerk haben soll. Durch die Verwendung einer
RED-Appliance bleibt das Netzwerk Ihres Partners vollstndig unabhngig von IhremNetz-
werk, aber er kann auf einen festgelegten Teil Ihres Netzwerks zu bestimmten Zwecken zugrei-
fen, so als wre er ber LANverbunden.
Hinweis Bei Verwendung der Einrichtungshilfe ist der Uplink-Modus der RED-Appliance in
jedemBetriebsmodus DHCP-Client. Wenn es notwendig ist, stattdessen eine statische IP-
Adresse zu benutzen, mssen Sie die RED-Appliance ber die Registerkarte Cli-
entverwaltung konfigurieren.
520 UTM9 WebAdmin
14.5 Tunnelverwaltung
Auf der Seite RED-Verwaltung >Tunnelverwaltung knnen Sie Ihre UTMso konfigurieren,
dass sie sich wie eineRED-Appliance verhlt, umso einenRED-Tunnel zu einer anderen UTM
aufbauen zu knnen. Die entfernte Host-UTMdient dann als RED-Hub fr Ihre UTM.
Die Markierung [Client] vor demSeitennamen gibt an, dass diese Seite nur konfiguriert werden
muss, wenn die UTMals RED-Client fungieren soll.
UmIhre UTMmit der Host-UTMzu verbinden, bentigen Sie eine Bereitstellungsdatei. Diese
Datei muss auf der Host-UTMgeneriert werden (siehe Clientverwaltung).
UmIhre UTMmit der Host-UTMzu verbinden, gehen Sie folgendermaen vor:
1. Fgen Sie auf der Host-UTM Ihre lokale UTM zur Liste Clientverwaltung hin-
zu.
2. Laden Sie auf der Host-UTM die Bereitstellungsdatei fr Ihre UTM herunter.
3. Klicken Sie auf Ihrer lokalen UTM auf Tunnel hinzufgen.
Das Dialogfeld Tunnel hinzufgen wird geffnet.
Tunnelname: Geben Sie einen aussagekrftigen Namen fr diesen Tunnel ein.
UTM-Host: Whlen Sie den entfernten UTM-Host.
Provis.- Datei: Klicken Sie auf das Ordnersymbol, whlen Sie die Bereitstellungsdatei
(provisioning file) aus, die Sie hochladen wollen, und klicken Sie auf Hochladen starten.
zu.
Der RED-Tunnel wird aufgebaut und in der Liste Tunnelverwaltung angezeigt.
UTM9 WebAdmin 521
14 RED-Verwaltung 14.5 Tunnelverwaltung
15 Site-to-Site-VPN
In diesemKapitel wird die Konfiguration der Site-to-Site-VPN-Einstellungen von Sophos UTM
beschrieben. Site-to-Site-VPNs werden in Sophos UTMber sogenannte Virtual Private Net-
works (VPNs, dt. virtuelle private Netzwerke) realisiert. Diese sind ein kostengnstiger und
sicherer Weg fr rumlich getrennte Netzwerke, ummiteinander ber ein ffentliches Netz-
werk wie das Internet vertraulich zu kommunizieren. Sie verwenden das kryptografische Tun-
nelprotokoll IPsec, umVertraulichkeit und Datenschutz fr die bertragenen Daten zu gewhr-
leisten.
Querverweis Weitere Informationen zur Konfiguration von Site-to-Site-VPN-Ver-
bindungen finden Sie in der Sophos-Knowledgebase.
l Amazon VPC
l IPsec
l SSL
Die Site-to-Site-VPN-bersichtsseite imWebAdmin zeigt alle konfigurierten Amazon-VPC-,
IPsec- und SSL-Verbindungen sowie deren augenblicklichen Zustand. Der Zustand einer Ver-
bindung wird durch die Farbe ihrer Statusampel wiedergegeben. Es gibt zwei Arten von Sta-
tusampeln. Die greren neben demVerbindungsnamen informieren Sie ber den Gesamt-
zustand einer Verbindung. Die verschiedenen Farben bedeuten Folgendes:
l Grn Alle SAs (Security Association, dt. Sicherheitsverbindung) wurden hergestellt.
Die Verbindung ist voll funktionsfhig.
l Gelb Nicht alle SAs wurden hergestellt. Die Verbindung ist nur eingeschrnkt funk-
tionsfhig.
l Rot Keine SAs wurden hergestellt. Die Verbindung ist nicht funktionsfhig.
Die kleineren Statusampeln neben der Information zumTunnel geben den Zustand des Tun-
nels wieder. Hier bedeuten die Farben Folgendes:
15.1 Amazon VPC 15 Site-to-Site-VPN
l Grn Alle SAs wurden hergestellt. Der Tunnel ist voll funktionsfhig.
l Gelb Die IPsec-SAwurde hergestellt, die ISAKMP-SA(Internet Security Association
and Key Management Protocol) hingegen wurde nicht hergestellt. Der Tunnel ist voll
funktionsfhig.
l Rot Keine SAs wurden hergestellt. Die Verbindung ist nicht funktionsfhig.
15.1 Amazon VPC
Die Amazon Virtual Private Cloud (VPC) ist ein kommerzieller Cloud-Computing-Dienst. Ein
Benutzer kann virtuelle private Clouds anlegen, welche danach mit einemlokalen Netzwerk ver-
bunden und zentral ber IPsec-Tunnel verwaltet werden knnen.
Sie knnen Ihre Amazon VPCmit Ihrer Sophos UTMverbinden, falls die UTMeine statische
ffentliche IP-Adresse besitzt. Die gesamte Konfiguration der VPN-Verbindungen muss in der
Amazon-Umgebung durchgefhrt werden. Danach knnen Sie die Verbindungsdaten einfach
mit Hilfe Ihrer Amazon-Zugangsdaten oder einer Konfigurationsdatei importieren.
15.1.1 Status
Auf der Seite Site-to-Site-VPN>Amazon VPC>Status wird eine Liste mit allen Verbindungen
zu Ihren Amazon VPCs angezeigt.
Hier knnen Sie die Verbindungen aktivieren und deaktivieren.
UmVerbindungen zur Amazon VPCzu aktivieren, gehen Sie folgendermaen vor:
1. Whlen Sie auf der Seite Einrichtung mindestens eine VPC-Verbindung.
2. Aktivieren Sie Amazon VPC auf der Status-Seite.
Der Schieberegler zeigt Grn und die importierten VPC-Verbindungen werden ange-
zeigt.
3. Aktivieren Sie die gewnschte Verbindung.
Klicken Sie auf den Schieberegler der Verbindung, die Sie aktivieren wollen.
Der Schieberegler zeigt Grn und die beiden Tunnel der VPC-Verbindung werden ange-
zeigt.
524 UTM9 WebAdmin
Hinweis Aus Redundanzgrnden besteht jede Verbindung aus zwei Tunneln: einem
aktiven und einemErsatztunnel (Backup). Aktive Tunnel knnen anhand des Vor-
handenseins einer Netzmaske amEnde Ihrer BGP-Zeile erkannt werden. Die Sta-
tusampeln der Tunnel werden lediglich zur berwachung der Tunnel angezeigt Sie
knnen Tunnel darber nicht aktivieren oder deaktivieren.
Umalle Amazon-VPC-Verbindungen zu deaktivieren, klicken Sie auf den obersten Schie-
beregler. Umeine einzelne Verbindung zu deaktivieren, klicken Sie auf den Schieberegler der
jeweiligen Verbindung.
Umeine Verbindung zu schlieen oder aus der Liste zu lschen, klicken Sie auf das rote
Lschen-Symbol der jeweiligen Verbindung.
Hinweis Da die Verbindungen auf der Amazon-VPC-Seite konfiguriert werden, knnen
Sie eine gelschte Verbindung in Sophos UTMmit den ursprnglichen Daten neu impor-
tieren.
Weitere Informationen zu Amazon VPCfinden Sie imAmazon Benutzerhandbuch.
15.1.2 Einrichtung
Auf der Seite Site-to-Site-VPN>Amazon VPC>Einrichtung knnen Sie Verbindungen zu Ihrer
Amazon Virtual Private Cloud (VPC) hinzufgen. Sie knnen entweder alle Verbindungen
importieren, die gemeinsamin einemAmazon-Web-Service-(AWS)-Konto konfiguriert wurden
und die IP-Adresse Ihrer Sophos UTMals Customer Gateway (Amazon-Ausdruck fr Ihren
Endpunkt einer VPC-VPN-Verbindung) verwenden. Oder Sie knnen Verbindungen nach-
einander hinzufgen, indemSie die Konfigurationsdatei verwenden, die Sie von Amazon her-
unterladen knnen.
Import ber Amazon-Zugangsdaten
Sie knnen alle Verbindungen auf einmal importieren, die mit einemeinzigen AWS-Konto kon-
figuriert wurden und die IP-Adresse Ihrer Sophos UTMals Customer Gateway verwenden.
Geben Sie einfach die AWS-Zugangsdaten ein, die Sie erhalten haben, als Sie Ihr Amazon-
Web-Service-Konto eingerichtet haben.
UTM9 WebAdmin 525
15 Site-to-Site-VPN 15.1 Amazon VPC
15.1 Amazon VPC 15 Site-to-Site-VPN
Hinweis Alle vorhandenen Verbindungen, die auf der Registerkarte Status aufgefhrt sind,
werden whrend des Imports gelscht.
UmVerbindungen zu importieren, gehen Sie folgendermaen vor:
Access Key: Geben Sie die Amazon Access-Key-IDein. Dabei handelt es sich umeine
Folge von 20 alphanumerischen Zeichen.
Secret Key: Geben Sie den Secret Access Key ein. Dabei handelt es sich umeine Folge
von 40 Zeichen.
Die Verbindungen werden importiert und danach auf der Seite Status angezeigt.
Import ber Amazon-VPC-Konfi gurati on
Umeine einzelne Verbindung zu einer vorhandenen Liste an Verbindungen hinzuzufgen, ms-
sen Sie die Konfigurationsdatei der entsprechenden Verbindung hochladen.
Umeine einzelne Verbindung zu importieren, gehen Sie folgendermaen vor:
1. Laden Sie die Konfigurationsdatei Ihrer Amazon-VPC-Verbindung herunter.
Stellen Sie imDownload-Dialogfenster von Amazon sicher, dass Sie Sophos aus der Aus-
wahlliste Vendor auswhlen.
Klicken Sie auf das Ordnersymbol neben demFeld VPC-Konfigdatei.
3. Whlen Sie die Konfigurationsdatei aus und laden Sie sie hoch.
Umdie gewhlte Datei hochzuladen, klicken Sie auf die Schaltflche Hochladen starten.
Der Dateiname wird imFeld VPC-Konfigdatei angezeigt.
4. Wenn Sie statisches Routing verwenden, geben Sie das entfernte Netzwerk
ein.
Das entfernte Netzwerk ist nicht Bestandteil der Konfigurationsdatei. Daher mssen Sie
es getrennt in das Feld Entferntes Netzwerk eingeben, z.B. 10.0.0.0/8. Dieses Feld ist
nur dann wichtig, wenn Sie in Amazon VPCfestgelegt haben, dass statisches Routing
statt dynamischemRouting verwendet wird.
Die Verbindung wird importiert und danach auf der Seite Status angezeigt.
526 UTM9 WebAdmin
Routenbertragung
Sie knnen Netzwerke konfigurieren, die in Routing-Tabellen in Amazon VPCbertragen wer-
den, fr die Routenbertragung aktiviert ist.
Whlen Sie lokale Netzwerke folgendermaen aus:
1. Fgen Sie lokale Netzwerke hinzu.
Fgen Sie ein lokales Netzwerk hinzu oder whlen Sie ein lokales Netzwerk aus, auf das
die Routenbertragung angewendet werden soll. Das Hinzufgen einer Definition wird
auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen
erlutert.
Die Netzwerke fr die Routenbertragung werden bernommen.
15.2 IPsec
IPSecurity (IPsec) ist ein Standard fr die Sicherung von Internet-Protocol-(IP-)Kom-
munikationen durch Verschlsselung und/oder Authentifizierung aller IP-Pakete.
Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle:
l Transportmodus (engl. Transport Mode)
l Tunnelmodus (engl. Tunnel Mode)
l Authentication Header (AH): Protokoll fr Authentifizierung
l Encapsulated Security Payload (ESP): Protokoll fr Verschlsselung (und Authen-
tifizierung)
Des Weiteren bietet IPsec Methoden fr die manuelle und die automatische Verwaltung von
Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlsselverteilung. Alle
diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.
IPsec-Modi
IPsec kann entweder imTransportmodus oder imTunnelmodus arbeiten. Eine Host-zu-Host-
Verbindung kann grundstzlich jeden Modus verwenden. Wenn es sich bei einemder beiden
Tunnelendpunkte jedoch umeine Firewall handelt, muss der Tunnelmodus verwendet wer-
den. Die IPsec-VPN-Verbindungen auf der UTMarbeiten immer imTunnelmodus.
UTM9 WebAdmin 527
15 Site-to-Site-VPN 15.2 IPsec
15.2 IPsec 15 Site-to-Site-VPN
ImTransportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket ein-
gepackt. Der ursprngliche IP-Header wird beibehalten und das brige Paket wird entweder in
Klartext (AH) oder verschlsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit
AHauthentifiziert oder die Payload mit Hilfe von ESPverschlsselt und authentifiziert werden.
In beiden Fllen wird der Original-Header in Klartext ber das WANgeschickt.
ImTunnelmodus wird das komplette Paket Header und Payload in ein neues IP-Paket
gekapselt. Ein IP-Header wird vorne an das IP-Paket angehngt, wobei die Zieladresse auf
den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes
bleiben unverndert. Das Originalpaket kann dann mit AHauthentifiziert oder mit ESPauthen-
tifiziert und verschlsselt werden.
IPsec-Protokolle
IPsec verwendet fr die sichere Kommunikation auf IP-Ebene zwei Protokolle:
l Authentication Header (AH): Ein Protokoll fr die Authentifizierung von Absendern
eines Pakets sowie zur berprfung der Integritt des Paketinhalts.
l Encapsulating Security Payload (ESP): Ein Protokoll fr die Verschlsselung des
gesamten Pakets sowie fr die Authentifizierung seines Inhalts.
Das Authentication-Header-Protokoll (AH) berprft die Authentizitt und die Integritt des
Paketinhalts. Des Weiteren berprft es, ob die Sender- und Empfnger-IP-Adressen wh-
rend der bertragung gendert wurden. Die Authentifizierung des Pakets erfolgt anhand einer
Prfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in Ver-
bindung mit einemSchlssel und einemHash-Algorithmus berechnet wurde. Einer der fol-
genden Hash-Algorithmen wird verwendet:
l Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht
mit beliebiger Lnge eine 128-Bit-lange Prfsumme. Diese Prfsumme ist wie ein Fin-
gerabdruck des Paketinhalts und ndert sich, wenn die Nachricht verndert wird. Dieser
Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeich-
net.
l The Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zumMD5 einen 160-
Bit-langen Hash-Wert. SHA-1 ist aufgrund des lngeren Schlssels sicherer als MD5.
Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist imVergleich zumMD5-Algo-
rithmus etwas hher. Die Berechnungsgeschwindigkeit hngt natrlich von der Pro-
zessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf der Sophos
UTMverwendet werden.
528 UTM9 WebAdmin
Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zustzlich zur Verschlsselung
auch die Mglichkeit, den Absender zu authentifizieren und den Paketinhalt zu verifizieren.
Wenn ESPimTunnelmodus verwendet wird, wird das komplette IP-Paket (Header und Pay-
load) verschlsselt. Zu diesemverschlsselten Paket wird ein neuer unverschlsselter IP- und
ESP-Header hinzugefgt: Der neue IP-Header beinhaltet die Adresse des Empfnger-Gate-
ways und die Adresse des Absender-Gateways. Diese IP-Adressen entsprechen denen des
VPN-Tunnels.
Fr ESPmit Verschlsselung werden blicherweise die folgenden Algorithmen verwendet:
l Triple Data Encryption Standard (3DES)
l Advanced Encryption Standard (AES)
Von diesen bietet AESden hchsten Sicherheitsstandard. Die effektiven Schlssellngen, die
mit AESverwendet werden knnen, sind 128, 192 oder 256 Bit. Sophos UTMuntersttzt meh-
rere Verschlsselungs-Algorithmen. Fr die Authentifizierung kann der MD5- oder der SHA-1-
Algorithmus verwendet werden.
NAT-Traversal (NAT-T)
NAT-Traversal ist ein Verfahren, umzwischen Hosts in TCP/IP-Netzwerken Verbindungen
ber NAT-Gerte aufzubauen. Dies wird erreicht, indemUDP-Verkapselung der ESP-Pakete
genutzt wird, umIPsec-Tunnel ber NAT-Gerte aufzubauen. Die UDP-Verkapselung wird
nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls wer-
den normale ESP-Pakete verwendet.
Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway
oder ein Road Warrior hinter einemNAT-Router befindet. Wenn Sie diese Funktion nutzen wol-
len, mssen allerdings beide IPsec-Endpunkte NAT-Traversal untersttzen das wird auto-
matisch ausgehandelt. Zustzlich muss auf demNAT-Gert der IPsec-Passthrough (IPsec-
Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeintrchtigen kann.
Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes Benut-
zerobjekt imWebAdmin eine statische Fernzugriffs-IP-Adresse (RAS, engl. remote static IP
address) besitzen (siehe auch Statische Fernzugriffs-IPverwenden auf der Seite Benutzer im
WebAdmin).
Umzu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten bermittelt werden, sen-
det NAT-Traversal standardmig in einemIntervall von 60 Sekunden ein Signal zur Auf-
UTM9 WebAdmin 529
rechterhaltung (engl. keep alive). Durch dieses Aufrechterhaltungssignal wird sichergestellt,
dass der NAT-Router die Statusinformation der Sitzung behlt, damit der Tunnel offen bleibt.
TOS
Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags imIP-Header. Die Bits werden Type-of-
Service-Bits genannt, da sie es der bertragenden Anwendung ermglichen, demNetzwerk
mitzuteilen, welche Art von Dienstqualitt bentigt wird.
Bei der IPsec-Implementierung von Sophos UTMwird der TOS-Wert immer kopiert.
15.2.1 Verbindungen
Auf der Registerkarte Site-to-Site-VPN>IPsec >Verbindungen knnen Sie IPsec-Ver-
bindungen anlegen und bearbeiten.
Umeine IPsec-Verbindung zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Verbindung.
Das Dialogfeld IPsec-Verbindung hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese Verbindung ein.
Entferntes Gateway: Whlen Sie eine Gateway-Definition fr das entfernte Gateway.
Entfernte Gateways werden auf der Registerkarte Site-to-Site-VPN>IPsec >Entfernte
Gateways definiert.
Lokale Schnittstelle: Whlen Sie den Namen der Schnittstelle aus, die als lokaler End-
punkt fr den IPsec-Tunnel dienen soll.
Richtlinie: Whlen Sie die IPsec-Richtlinie fr diese IPsec-Verbindung aus. IPsec-Richt-
linien knnen auf der Registerkarte Site-to-Site-VPN>IPsec >Richtlinien definiert wer-
den.
Lokale Netzwerke: Whlen Sie die lokalen Netzwerke aus, die ber den VPN-Tunnel
erreichbar sein sollen, oder fgen Sie sie hinzu. Das Hinzufgen einer Definition wird auf
der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlu-
tert.
Automatische Firewallregeln:Whlen Sie diese Option, umautomatisch Fire-
wallregeln hinzuzufgen, die Datenverkehr fr diese Verbindung zulassen. Die Regeln
530 UTM9 WebAdmin
werden hinzugefgt, sobald die Verbindung aktiviert wird und sie werden entfernt, wenn
die Verbindung deaktiviert wird. Wenn Sie eine striktere IPsec-Verbindung wnschen,
deaktivieren Sie die Option Automatische Firewallregeln und verwenden Sie stattdessen
IPsec-Objekte imFirewallregelwerk.
Striktes Routing: Wenn diese Funktion eingeschaltet ist, erfolgt das VPN-Routing
nicht nur anhand der Zieladresse, sondern anhand von Quell- und Zieladresse. Auf die-
se Weise werden nur Datenpakete durch den VPN-Tunnel geleitet, die mit der Tun-
neldefinition exakt bereinstimmen. Als Folge davon knnen Sie kein SNAT verwenden,
umNetzwerke oder Hosts zumVPN-Tunnel hinzuzufgen, die nicht von vornherein Teil
der Tunneldefinition sind. Andererseits knnen Sie, wenn striktes Routing ausgeschaltet
ist, keine gemischte unverschlsselte/verschlsselte Konfiguration fr dasselbe Netz-
werk je nach Quelladresse haben.
Tunnel an lokale Schnittstelle binden:Standardmig ist diese Option deaktiviert
und der gesamte Verkehr aus den gewhlten lokalen Netzwerken in die festgelegten ent-
fernten Netzwerke wird immer durch diesen IPsec-Tunnel geschickt. Mehrere identische
Tunnel auf verschiedenen Schnittstellen sind nicht mglich, da sich der IPsec-Verkehr
nicht unterscheiden lsst. Ist die Option jedoch aktiv, wird die hier definierte IPsec-Aus-
wahl an die gewhlte lokale Schnittstelle gebunden. Auf diese Weise ist es mglich, bei-
spielsweise IPsec-Richtlinien mit statischen Routen zu umgehen oder redundante IPsec-
Tunnel ber verschiedene Uplinks zu definieren und dann den Verkehr mit Hilfe von Mul-
tipathregeln ber die verfgbaren Schnittstellen und ihre IPsec-Tunnel auszugleichen.
Mgliche Anwendungsflle sind beispielsweise:
l Umgehen von IPsec-Richtlinien fr lokale Hosts, die zu dementfernten Netzwerk
gehren, mit Hilfe von statischen Routen.
l Ausgleichen von Verkehr auf Layer 3 und Layer 4 mit Multipathregeln ber meh-
rere IPsec-Tunnel oder MPLS-Linksmit automatischemFailover.
Hinweis Diese Option kann nicht zusammen mit einer Schnittstellengruppe ver-
wendet werden.
zu.
Die neue Verbindung wird in der IPsec-Liste Verbindungen angezeigt.
UTM9 WebAdmin 531
Umeine Verbindung zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
Live-Protokoll ffnen: Das IPsec-VPN-Live-Protokoll dient zur berwachung der auf-
gebauten IPsec-Verbindungen. Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einem
neuen Fenster zu ffnen.
15.2.2 Entfernte Gateways
Auf der Registerkarte Site-to-Site-VPN>IPsec >Entfernte Gateways knnen Sie die ent-
fernten Gateways (engl. remote gateways) fr Ihre Site-to-Site-VPN-Tunnel definieren. Diese
Remote-Netzwerk-Definitionen stehen dann fr die Konfiguration der IPsec-Verbindungen auf
der Registerkarte IPsec >Verbindungen zur Verfgung.
Umein entferntes Gateway hinzuzufgen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Entfernte Gateways auf Neues entferntes
Gateway.
Das Dialogfeld Entferntes Gateway hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr das entfernte Gateway ein.
Gateway-Typ: Whlen Sie den Gateway-Typ aus. Die folgenden Typen sind verfgbar:
l Verbindung initiieren: Whlen Sie diesen Typ aus, wenn der entfernte End-
point eine statische IP-Adresse besitzt, sodass das Gateway eine Verbindung zum
entfernten Gateway initiieren kann. Wenn Sie diese Option gewhlt haben, geben
Sie imFeld Gateway das entfernte Gateway an. Beachten Sie, dass Sie diesen
Typ auch whlen knnen, wenn das entfernte Gateway ber DynDNSaufgelst
werden kann.
l Nur antworten: Whlen Sie diesen Typ aus, wenn die IP-Adresse des entfernten
Endpoints unbekannt ist oder nicht ber DynDNSaufgelst werden kann. Das
Gateway ist nicht in der Lage, eine Verbindung zu dementfernten Gateway auf-
zubauen und wartet deshalb auf eingehende Verbindungen, auf die es lediglich
antworten muss.
Authentifizierungsmethode: Whlen Sie die Authentifizierungsmethode fr diese
Definition des entfernten Gateways aus. Die folgenden Typen sind verfgbar:
l Verteilter Schlssel: Authentifizierung mit Verteilten Schlsseln (PSK, engl.
Preshared Keys) verwendet geheime Kennwrter als Schlssel. Diese
532 UTM9 WebAdmin
Kennwrter mssen an die Endpunkte verteilt werden, bevor eine Verbindung auf-
gebaut wird. Wenn ein neuer VPN-Tunnel aufgebaut ist, berprft jede Seite, ob
die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hngt von
der Qualitt der verwendeten Kennwrter ab: Normale Wrter und Ausdrcke fal-
len schnell Wrterbuchangriffen zumOpfer. Permanente oder lngerfristige
IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.
l RSA-Schlssel: Authentifizierung mit RSA-Schlsseln ist technisch ausgefeilter.
Bei dieser Methode erzeugt jede Seite der Verbindung ein Schlsselpaar, das aus
einemffentlichen (engl. public key) und einemprivaten Schlssel (engl. private
key) besteht. Der private Schlssel wird zur Verschlsselung und Authen-
tifizierung whrend des Schlsselaustauschs bentigt. Beide Endpoints einer
IPsec-VPN-Verbindung bentigen bei dieser Authentifizierungsmethode ihr eige-
nes Schlsselpaar. Kopieren Sie den ffentlichen RSA-Schlssel der Gegenstelle
(Site-to-Site-VPN>IPsec >Lokaler RSA-Schlssel) in das Feld ffentlicher
Schlssel auf demlokalen Systemund andersherum. Geben Sie darber hinaus
die VPN-ID-Typen und die VPN-IDs an, die zu den entsprechenden RSA-Schls-
seln gehren.
l Lokales X.509-Zertifikat: Das X.509-Zertifikat basiert hnlich wie die Authen-
tifizierung mit RSA-Schlsseln auf ffentlichen Schlsseln und privaten Schls-
seln. Ein X.509-Zertifikat enthlt den ffentlichen Schlssel zusammen mit
zustzlichen Informationen ber den Besitzer des Schlssels. Solche Zertifikate
sind von einer CA(Zertifizierungsstelle, engl. Certificate Authority) signiert und
ausgestellt, der der Besitzer vertraut. Whrend des Schlsselaustauschs werden
die Zertifikate ausgetauscht und mit Hilfe lokal gespeicherter CA-Zertifikate
authentifiziert. Whlen Sie diese Authentifizierungsmethode aus, wenn das
X.509-Zertifikat des entfernten VPN-Gateways auf demlokalen Systemgespei-
chert ist.
l Entferntes X.509-Zertifikat: Whlen Sie diese Authentifizierungsmethode aus,
wenn das X.509-Zertifikat des entfernten VPN-Gateways nicht auf demlokalen
Systemgespeichert ist. In diesemFall mssen Sie den VPN-ID-Typ und die VPN-
IDdes Zertifikats angeben, das auf dementfernten VPN-Gateway genutzt wird,
d.h. das Zertifikat, das imBereich Lokales X.509-Zertifikat auf der Registerkarte
Site-to-Site-VPN>IPsec >Erweitert ausgewhlt ist.
VPN-ID-Typ: Abhngig von der ausgewhlten Authentifizierungsmethode mssen Sie
einen VPN-ID-Typ und eine VPN-IDangeben. Die hier angegebene VPN-IDmuss mit
demWert auf der Gegenstelle bereinstimmen. Angenommen, Sie verwenden zwei
UTM9 WebAdmin 533
UTM-Appliances, umeinen Site-to-Site-VPN-Tunnel aufzubauen. Wenn Sie dann als
Authentifizierungsmethode RSA-Schlssel auf demlokalen Systemauswhlen, mssen
der VPN-ID-Typ und die VPN-IDmit dembereinstimmen, was auf der Registerkarte
Site-to-Site-VPN>IPsec >Lokaler RSA-Schlssel der Gegenstelle konfiguriert ist. Sie
knnen zwischen den folgenden VPN-ID-Typen whlen:
l IP-Adresse
l Hostname
l E-Mail-Adresse
l Distinguished name: Nur bei der Authentifizierungsmethode Entferntes X.509-
Zertifikat verfgbar.
l Any: Standard beimGateway-Typ Nur antworten.
Entfernte Netzwerke: Whlen Sie die entfernten Netzwerke aus, die ber das ent-
fernte Gateway erreichbar sein sollen.
zu.
3. Nehmen Sie gegebenenfalls erweiterte Einstellungen vor.
Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen die Aus-
wirkungen bekannt sind:
Pfad-MTU-Ermittlung untersttzen: PMTU(Path MaximumTransmission Unit)
bezeichnet die Gre der bermittelten Datenpakete. Die gesendeten IP-Datenpakete
sollten so gro sein, dass sie gerade noch ohne Fragmentierung entlang der Strecke
zumZiel transportiert werden knnen. Zu groe Datenpakete werden von den Routern
auf der Strecke verworfen, wenn diese Pakete ohne Fragmentierung nicht weitergeleitet
werden knnen. An die Absender werden dann ICMP-Pakete mit der Nachricht ICMP
Destination Unreachable (dt. ICMP-Ziel nicht erreichbar) sowie einemCode gesendet,
der Fragmentierung bentigt und DF gesetztbedeutet. Aufgrund dieser Nachricht
setzt der Quellhost seinen angenommenen PMTU-Wert fr die Strecke herab.
Wenn Sie diese Option aktivieren, aktiviert die UTMPMTU, wenn dies auf Serverseite
aktiviert ist.
berlastkontrolle (ECN) untersttzen: ECN(Explicit Congestion Notification) ist
eine Erweiterung des Internetprotokolls und ermglicht End-to-End-Benach-
richtigungen ber Netzwerkberlastungen, ohne dass Pakete verworfen werden.
534 UTM9 WebAdmin
Whlen Sie diese Option, wenn Sie ECN-Daten aus demursprnglichen IP-Paket-Hea-
der in den IPsec-Paket-Header kopieren mchten. Beachten Sie, dass der entfernte
Endpoint ECNebenso untersttzen muss wie das zugrunde liegende Netzwerk und die
beteiligten Router.
XAUTH-Client-Modus aktivieren: XAUTHist eine Erweiterung von IPsec-IKE, um
Benutzer ber Benutzername und Kennwort auf einemVPN-Gateway zu authen-
tifizieren. UmXAUTHfr die Authentifizierung auf diesementfernten Gateway zu ver-
wenden, whlen Sie die Option aus und geben Sie den Benutzernamen und das Kenn-
wort (zweimal) an, das vomentfernten Gateway erwartet wird.
Die Gateway-Definition wird in der Liste Entfernte Gateways angezeigt.
Umeine Definition eines entfernten Gateways zu bearbeiten oder zu lschen, klicken Sie auf
die entsprechenden Schaltflchen.
15.2.3 Richtlinien
Auf der Registerkarte IPsec >Richtlinien knnen Sie die Parameter fr IPsec-Verbindungen
definieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinie legt die Inter-
net-Schlsselaustausch-Methode (IKE, Internet Key Exchange) und die IPsec-Antragspa-
rameter fr eine IPsec-Verbindung fest. Jede IPsec-Verbindung bentigt eine IPsec-Richtlinie.
Hinweis Sophos UTMuntersttzt den Hauptmodus nur in IKE-Phase 1. Der aggressive
Modus (engl. aggressive mode) wird nicht untersttzt.
Umeine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.
Das Dialogfeld IPsec-Richtlinie hinzufgen wird geffnet.
IKE-Verschlsselungsalgorithmus: Der Verschlsselungsalgorithmus legt den Algo-
rithmus fest, der fr die Verschlsselung der IKE-Nachrichten verwendet wird. Die fol-
genden Algorithmen werden untersttzt:
UTM9 WebAdmin 535
l DES(56 Bit)
l 3DES(168 Bit)
l AES128 (128 Bit)
l AES192 (192 Bit)
l AES256 (256 Bit)
l Blowfish (128 Bit)
l Twofish (128 Bit)
l Serpent (128 Bit)
Sicherheitshinweis Es wird dringend davon abgeraten, DESzu verwenden, da die-
ser schwache Algorithmus eine potentielle Schwachstelle darstellt.
IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest, wel-
cher Algorithmus verwendet wird, umdie Intaktheit der IKE-Nachrichten zu prfen. Die
folgenden Algorithmen werden untersttzt:
l MD5 (128 Bit)
l SHA1 (160 Bit)
l SHA2 256 (256 Bit)
l SHA2 384 (384 Bit)
l SHA2 512 (512 Bit)
IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, fr die die
IKE-SA(Security Association, dt. Sicherheitsverbindung) gltig ist und wann die nchste
Schlsselerneuerung stattfindet. Gltige Werte liegen zwischen 60 und 28800 Sekunden
(8 Std.). Als Standardwert sind 7800 Sekunden voreingestellt.
IKE-DH-Gruppe: Whrend der Aushandlung einer Verbindung gleichen die beiden
Gegenstellen auch die aktuellen Schlssel fr die Datenverschlsselung ab. Fr die
Generierung des Sitzungsschlssels (session key) nutzt IKEden Diffie-Hellman-(DH-)
Algorithmus. Dieser Algorithmus generiert den Schlssel per Zufallsprinzip basierend
auf sogenannten Pool Bits. Die IKE-Gruppe gibt hauptschlich Aufschluss ber die
Anzahl der Pool Bits. Je mehr Pool Bits, umso lnger ist die zufllige Zahlenkette je gr-
er die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmus geknackt
536 UTM9 WebAdmin
werden. Folglich bedeuten mehr Pool Bits hhere Sicherheit, was allerdings auch bedeu-
tet, dass mehr CPU-Leistung fr die Generierung bentigt wird. Momentan werden die
folgenden Diffie-Hellman-Gruppen untersttzt:
l Gruppe 1: MODP768
l Gruppe 2: MODP1024
Sicherheitshinweis Gruppe 1 (MODP768) wird allgemein als sehr schwach ein-
gestuft und wird hier nur aus Kompatibilittsgrnden untersttzt. Wir raten dringend
davon ab, sie zu verwenden, da sie eine potenzielle Schwachstelle darstellt.
IPsec-Verschlsselungsalgorithmus: Die gleichen Verschlsselungsalgorithmen
wie fr IKE. Zustzlich gibt es folgende Eintrge:
l Keine Verschlsselung (null)
l AES128 CTR(128 Bit)
l AES128 GCM(96 Bit)
Sicherheitshinweis Wir raten dringend davon ab, keine Verschlsselung oder
DESzu verwenden, da beides eine potenzielle Schwachstelle darstellt.
UTM9 WebAdmin 537
IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmen
wie fr IKE. Zustzlich werden noch folgende Algorithmen untersttzt:
l SHA2 256 (96 Bit)
l SHA2 384 (96 Bit)
l SHA2 512 (96 Bit)
Diese sind fr die Kompatibilitt mit Tunnelendpunkten verfgbar, die nicht RFC4868
entsprechen, beispielsweise frhere UTM-Versionen (d.h. ASG-Versionen) als V8, und
deshalb keine abgeschnittenen Prfsummen lnger als 96 Bit untersttzen.
IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, fr die
die IPsec-SA(Security Association, dt. Sicherheitsverbindung) gltig ist und wann die
nchste Schlsselerneuerung stattfindet. Gltige Werte liegen zwischen 60 und 86400
Sekunden (1 Tag). Als Standardwert sind 3600 Sekunden voreingestellt.
IPsec-PFS-Gruppe: Perfect Forward Secrecy (PFS) ist eine Eigenschaft von Ver-
schlsselungsverfahren, die sicherstellt, dass aus einemgeknackten Schlssel nicht auf
vorhergehende oder nachfolgende Sitzungsschlssel einer Kommunikationsverbindung
geschlossen werden kann. Damit PFSbesteht, darf der zumSchutz der IPsec-SA-Ver-
bindung genutzte Schlssel nicht von demselben zufllig erzeugten Ver-
schlsselungsmaterial hergeleitet worden sein wie die Schlssel fr die IKE-SA-Ver-
bindung. Daher initiiert PFSeinen zweiten Diffie-Hellman-Schlsselaustausch mit der
Absicht, der ausgewhlten DH-Gruppe fr die IPsec-Verbindung einen neuen zufllig
erzeugten Schlssel zu bergeben. Es werden die gleichen DH-Gruppen wie bei IKE
untersttzt.
Die Aktivierung von PFSwird als sicherer eingestuft, aber es bentigt auch mehr Zeit bei
der Aushandlung. Es wird davon abgeraten, PFSauf langsamer Hardware einzusetzen.
Hinweis PFSist nicht immer gnzlich kompatibel mit den verschiedenen Herstellern.
Wenn Sie Probleme whrend der Aushandlung feststellen, schalten Sie diese Funktion
aus.
Strikte Richtlinie: Wenn ein IPsec-Gateway eine Anfrage hinsichtlich eines Ver-
schlsselungsalgorithmus und der Verschlsselungsstrke unternimmt, kann es vor-
kommen, dass das Gateway des Empfngers diese Anfrage akzeptiert, obwohl das nicht
mit der entsprechenden IPsec-Richtlinie bereinstimmt. Wenn Sie diese Option whlen
und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameter
538 UTM9 WebAdmin
verwenden will, kommt keine IPsec-Verbindung zustande. Angenommen, die IPsec-
Richtlinie Ihrer UTMverlangt AES-256-Verschlsselung, wohingegen ein Road Warrior
mit SSH-Sentinel sich mit AES-128 verbinden will wenn die Option fr die strikte Richt-
linie aktiviert ist, wird die Verbindung abgewiesen.
Hinweis Die Komprimierungseinstellung wird durch Aktivierung der Option Strikte
Richtlinie nicht erzwungen.
Komprimierung: Diese Option legt fest, ob IP-Pakete vor der Verschlsselung mit dem
IPPayload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert die
Gre von IP-Paketen, indemes sie komprimiert, umdie allgemeine Kom-
munikationsleistung zwischen einemPaar von kommunizierenden Hosts oder Gateways
zu erhhen. Komprimierung ist standardmig ausgeschaltet.
zu.
Die neue Richtlinie wird in der Liste Richtlinien angezeigt.
flchen.
15.2.4 Lokaler RSA-Schlssel
Bei der RSA-Authentifizierung werden zur Authentifizierung der VPN-Endpunkte RSA-Schls-
sel verwendet. Die ffentlichen Schlssel der Endpunkte werden manuell ausgetauscht, bevor
die Verbindung aufgebaut wird. Wenn Sie diese Authentifizierungsmethode verwenden mch-
ten, mssen Sie eine VPN-IDdefinieren und einen lokalen RSA-Schlssel generieren. Der
ffentliche RSA-Schlssel des Gateways muss anschlieend den IPsec-Gerten der Gegen-
stelle zugnglich gemacht werden, die IPsec-RSA-Authentifizierung fr Sophos UTMver-
wenden.
Aktueller lokaler ffentli cher RSA-Schlssel
In diesemFeld wird der ffentliche Teil des aktuell installierten RSA-Schlsselpaares ange-
zeigt. Umden Schlssel in die Zwischenablage zu kopieren, klicken Sie in das Feld, drcken Sie
STRG-Aund anschlieend STRG-C.
UTM9 WebAdmin 539
VPN-Opti onen fr lokalen RSA-Schlssel
Whlen Sie den VPN-ID-Typ entsprechend Ihren Anforderungen aus. Standardmig ist der
Hostname des Gateways als VPN-IDvoreingestellt. Wenn Sie eine statische IP-Adresse als
VPN-Endpunkt haben, whlen Sie IP-Adresse. Verwenden Sie alternativ eine E-Mail-Adresse
als VPN-IDfr mobile IPsec-Road-Warriors.
l Hostname: Standardeinstellung; der Hostname des Gateways. Sie knnen jedoch auch
einen anderen Hostnamen eingeben.
l E-Mail-Adresse: Standardmig ist die E-Mail-Adresse des Admin-Kontos des Gate-
ways voreingestellt. Sie knnen aber eine beliebige andere E-Mail-Adresse eingeben.
l IP-Adresse: Die IP-Adresse der externen Schnittstelle des Gateways.
Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern. nderungen haben keine
Auswirkungen auf den RSA-Schlssel.
Lokalen RSA-Schlssel neu erstellen
Umeinen neuen RSA-Schlssel zu generieren, whlen Sie die gewnschte Schlssellnge aus
und klicken auf die Schaltflche bernehmen. Anschlieend wird der Generierungsprozess
gestartet, der abhngig von der Schlssellnge und der verwendeten Hardware zwischen
ein paar Minuten und zwei Stunden bentigen kann. Die Schlssellnge ist ein Ma fr die
Anzahl der Schlssel, die bei einer Chiffre mglich sind. Die Lnge wird blicherweise in Bit
angegeben. Die folgenden Schlssellngen werden untersttzt:
l 1024 Bit
l 2048 Bit
l 4096 Bit
Sobald der neue RSA-Schlssel generiert wurde, wird der zugehrige ffentliche Schlssel im
Feld Aktueller lokaler ffentlicher RSA-Schlssel angezeigt. Die Generierung eines neuen
RSA-Schlssels berschreibt den alten Schlssel.
15.2.5 Erweitert
Auf der Registerkarte Site-to-Site-VPN>IPsec >Erweitert knnen Sie die erweiterten Ein-
stellungen fr IPsec-VPNvornehmen. Abhngig von Ihrer bevorzugten Authen-
tifizierungsmethode knnen Sie unter anderemdas lokale Zertifikat (fr X.509-Authen-
540 UTM9 WebAdmin
tifizierung) und den lokalen RSA-Schlssel (fr RSA-Authentifizierung) festlegen. Diese Ein-
stellungen sollten nur von erfahrenen Benutzern durchgefhrt werden.
Lokales X. 509-Zerti fi kat
Bei der X.509-Authentifizierung werden Zertifikate verwendet, umdie ffentlichen Schlssel
der VPN-Endpunkte zu berprfen. Wenn Sie diese Authentifizierungsmethode verwenden
wollen, mssen Sie imAbschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der Aus-
wahlliste whlen. Das ausgewhlte Zertifikat bzw. der Schlssel wird anschlieend dafr
genutzt, das Gateway gegenber Gegenstellen zu authentifizieren, falls X.509-Authen-
tifizierung ausgewhlt ist.
Sie knnen nur Zertifikate auswhlen, fr die auch der zugehrige private Schlssel vorhanden
ist, andere Zertifikate sind in der Auswahlliste nicht verfgbar.
Wenn keine Zertifikate zur Auswahl angezeigt werden, mssen Sie zunchst eines imMen
Zertifikatverwaltung hinzufgen, entweder indemSie ein neues erzeugen oder indemSie eines
ber die Hochladen-Funktion importieren.
NachdemSie das Zertifikat ausgewhlt haben, geben Sie das Kennwort ein, mit demder pri-
vate Schlssel geschtzt ist. Whrend des Speichervorgangs wird das Kennwort verifiziert und
eine Fehlermeldung angezeigt, falls das Kennwort nicht zumverschlsselten Schlssel passt.
Sobald ein aktiver Schlssel oder ein Zertifikat ausgewhlt ist, wird er/es imAbschnitt Lokales
X.509-Zertifikat angezeigt.
Dead Peer Detecti on (DPD)
Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenn
das VPN-Gateway oder der Client auf der Gegenseite nicht erreichbar ist. Bei Verbindungen
mit statischen Endpunkten wird der Tunnel nach einemAusfall automatisch neu ausgehandelt.
Fr Verbindungen mit dynamischen Endpunkten wird fr eine neue Aushandlung des Tunnels
die Anfrage seitens der Gegenstelle bentigt. In der Regel ist diese Funktion betriebssicher und
kann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob die Gegen-
stelle Dead Peer Detection untersttzt oder nicht, und verwenden den normalen Modus, falls
ntig.
NAT-Traversal verwenden: Whlen Sie diese Option, umzu ermglichen, dass IPsec-Ver-
kehr Upstream-Systeme passieren kann, die Network Address Translation (NAT, dt. Netz-
werkadressumsetzung) verwenden. Zustzlich knnen Sie das Intervall fr die Auf-
UTM9 WebAdmin 541
rechterhaltung (engl. keep-alive) fr NAT-Traversal festlegen.Klicken Sie auf bernehmen,
CRL-Handhabung
Es sind Situationen denkbar, in denen ein Zertifikataussteller noch whrend der Gl-
tigkeitsdauer eines Zertifikats die darin gegebene Besttigung fr ungltig erklren mchte,
z.B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vomZertifikatnehmer unter Anga-
be falscher Daten (Name usw.) erschlichen wurde oder weil der zumzertifizierten ffentlichen
Schlssel gehrende private Schlssel einemAngreifer in die Hnde gefallen ist. Zu diesem
Zweck werden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate Revocation Lists) ver-
wendet. Diese enthalten blicherweise die Seriennummern derjenigen Zertifikate einer Zer-
tifizierungsinstanz, die fr ungltig erklrt werden und deren regulrer Gltigkeitszeitraumnoch
nicht abgelaufen ist.
Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedemFall keine Gltigkeit mehr und
muss daher auch nicht weiter auf der Zertifikatsperrliste gefhrt werden.
Automatische Abholung: Mit dieser Funktion wird die CRL automatisch ber die URL abge-
holt, die imPartnerzertifikat angegeben ist, via HTTP, anonymes FTP(Anonymous FTP) oder
LDAPVersion 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert und aktualisiert
werden, sobald der Gltigkeitszeitraumabgelaufen ist. Wenn Sie diese Funktion nutzen
(jedoch nicht ber Port 80 oder 443), achten Sie darauf, dass die Firewallregeln so gesetzt
sind, dass auf den CRL-Distributionsserver zugegriffen werden kann.
Strikte Richtlinie: Wenn Sie diese Option auswhlen, werden alle Partnerzertifikate ohne
eine zugehrige CRL zurckgewiesen.
Probi ng von vertei lten Schlsseln
Fr IPsec-Verbindungen, die imNur-Antworten-Modus (engl. respond-only) arbeiten, knnen
Sie festlegen, dass mehrere verteilte Schlssel (PSK, engl. preshared keys) fr jede IPsec-Ver-
bindung zugelassen sind.
Probing von verteilten Schlsseln aktivieren: Markieren Sie das Auswahlkstchen, um
die Funktion zu aktivieren. Diese Option betrifft L2TP-ber-IPsec-, IPsec-Fernzugriff- und
IPsec-Site-to-Site-Verbindungen.
542 UTM9 WebAdmin
15.2.6 Fehlersuche
IKE-Fehlersuche
ImAbschnitt IKE-Fehlersuche knnen Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe der Aus-
wahlkstchen legen Sie fest, fr welche Arten von IKE-Nachrichten oder -Kommunikation
zustzliche Informationen in das Fehlerprotokoll geschrieben werden.
Hinweis Der Abschnitt IKE-Fehlersuche ist fr die Registerkarten Fehlersuche der Mens
Site-to-Site-VPNIPsec, Fernzugriff IPsec, L2TPber IPsec und Cisco VPNClient identisch.
Die folgenden Flags knnen protokolliert werden:
l Kontrollverlauf: Kontrollnachrichten zumIKE-Status
l Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten
l Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten
l Kernel-Messaging: Kommunikationsnachrichten mit demKernel
l Hochverfgbarkeit: Kommunikation mit anderen Hochverfgbarkeitsknoten
15.3 SSL
Site-to-Site-VPN-Tunnel knnen ber eine SSL-Verbindung aufgebaut werden. SSL-VPN-
Verbindungen benutzen dabei eindeutige Rollen. Die Tunnelendpunkte agieren entweder als
Client oder als Server. Es ist stets der Client, der die Verbindung initiiert, whrend der Server
auf Client-Anfragen antwortet. Denken Sie daran, dass hierin der Unterschied zu IPsec liegt,
wo normalerweise beide Endpunkte eine Verbindung initiieren knnen.
Hinweis Wenn Sie Probleme haben, eine Verbindung aufzubauen, berprfen Sie, ob
SSL-Scannen aktiviert ist whrend der Webfilter imTransparenzmodus arbeitet. Wenn das
der Fall ist, stellen Sie sicher, dass der Zielhost der VPN-Verbindung zu den Trans-
parenzmodus-Ausnahmen unter Web Protection >Filteroptionen >Sonstiges hinzugefgt
wurde.
UTM9 WebAdmin 543
15 Site-to-Site-VPN 15.3 SSL
15.3 SSL 15 Site-to-Site-VPN
15.3.1 Verbindungen
Umeinen SSL-VPN-Site-to-Site-Tunnel anzulegen, ist es entscheidend, zuerst die Ser-
verkonfiguration anzulegen. Die Konfiguration des Clients muss immer erst der zweite Schritt
sein.
Umeine Serverkonfiguration anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfeld SSL-Verbindung hinzufgen wird geffnet.
Verbindungstyp: Whlen Sie Server aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekrftigen Namen fr die Verbindung ein.
Statische virtuelle IP-Adresse verwenden (optional): Whlen Sie diese Option nur,
wenn der IP-Adressenpool nicht mit der Netzwerkumgebung des Clients kompatibel ist:
Standardmig erhalten Clients eine IP-Adresse aus demVirtuellen IP-Pool (kon-
figurierbar auf der Registerkarte Einstellungen). In Ausnahmefllen kann es passieren,
dass eine solche IP-Adresse auf demHost des Clients bereits in Benutzung ist. Geben
Sie in diesemFall eine passende IP-Adresse in das Feld Statische Peer-IPein, welche
daraufhin demClient whrend des Tunnelaufbaus zugewiesen wird.
Lokale Netzwerke: Whlen Sie eines oder mehrere lokale Netzwerke aus, die fr den
Fernzugriff zugelassen sein sollen bzw. fgen Sie es/sie hinzu.Das Hinzufgen einer Defi-
Entfernte Netzwerke: Whlen Sie eines oder mehrere Netzwerke der Gegenstelle
aus, die sich mit dem/den lokalen Netzwerk(en) verbinden drfen, bzw. fgen Sie es/sie
hinzu.
Hinweis Sie knnen die lokalen Netzwerke und die entfernten Netzwerke auch sp-
ter noch konfigurieren, ohne dass Sie den Client neu konfigurieren mssten.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, gewhrt die
UTMautomatisch Zugriff auf die gewhlten lokalen Netzwerke fr alle SSL-VPN-Clients.
544 UTM9 WebAdmin
zu.
Die neue SSL-Serververbindung wird in der Liste Verbindungen angezeigt.
4. Laden Sie die Konfigurationsdatei herunter.
Klicken Sie auf die Schaltflche Download, die sich imFeld der neuen SSL-Ser-
ververbindung befindet, umdie Client-Konfigurationsdatei fr diese Verbindung her-
unterzuladen.
Konfigurationsdatei verschlsseln (optional): Es wird empfohlen, die Kon-
figurationsdatei aus Sicherheitsgrnden zu verschlsseln. Geben Sie ein Kennwort zwei-
mal ein.
Klicken Sie auf Peer-Konfig. herunterladen, umdie Datei zu speichern.
Diese Datei wird vomAdministrator der Client-Seite bentigt, umin der Lage zu sein,
den Client-Endpunkt des Tunnels zu konfigurieren.
Der nchste Schritt ist die Client-Konfiguration, die Client-seitig und nicht Server-seitig erfolgen
muss. Stellen Sie sicher, dass die Client-Konfigurationsdatei bereitliegt.
Umeine Client-Konfiguration anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfeld SSL-Verbindung hinzufgen wird geffnet.
Verbindungstyp: Whlen Sie Client aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekrftigen Namen fr die Verbindung ein.
Konfigurationsdatei: Klicken Sie auf das Ordnersymbol, wechseln Sie zur Client-Kon-
figurationsdatei und klicken Sie auf Hochladen starten.
Kennwort (optional): Wenn die Datei verschlsselt ist, geben Sie das Kennwort ein.
HTTP-Proxy-Server verwenden (optional): Whlen Sie diese Option, wenn sich der Cli-
ent hinter einemProxy befindet, und geben Sie die Einstellungen fr den Proxy ein.
Proxy erfordert Authentifizierung (optional): Whlen Sie diese Option, wenn
sich der Client amProxy authentifizieren muss, und geben Sie Benutzername und
Kennwort ein.
UTM9 WebAdmin 545
Peer-Hostnamen bergehen (optional): Whlen Sie diese Option und geben Sie
einen Hostnamen ein, wenn der regulre Hostname des Serversystems (oder sein
DynDNS-Hostname) nicht vomClienthost aufgelst werden kann.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, lsst die UTM-
automatisch Verkehr zwischen Hosts der zumTunnel gehrenden lokalen und ent-
fernten Netzwerke zu.
zu.
Die neue SSL-VPN-Clientverbindung wird in der Liste Verbindungen angezeigt.
Umeine Client-Verbindung zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
Klicken Sie auf den Menpunkt Site-to-Site-VPN, umden Status der SSL-VPN-Verbindung auf
der bersichtsseite zu sehen. Die Statusampel dort wird grn, wenn die Verbindung aufgebaut
ist. Dann werden auch Informationen zu den miteinander verbundenen Subnetzen beider Sei-
ten des Tunnels angezeigt.
15.3.2 Einstellungen
Auf der Registerkarte SSL >Einstellungen knnen Sie die Grundeinstellungen fr SSL-VPN-
Serververbindungen konfigurieren.
Hinweis Diese Registerkarte ist identisch fr Site-to-Site-VPN>SSL und Fernzugriff >
SSL. Hier vorgenommene nderungen wirken sich auf beide SSL-Konfigurationen aus.
Serverei nstellungen
Sie knnen die folgenden Einstellungen fr die SSL-VPN-Verbindung vornehmen:
l Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application
Firewall verwenden, mssen Sie fr diesen Dienst eine bestimmte Schnittstellenadresse
angeben, die auf SSL-Verbindungen lauscht. Das ist fr die Site-to-Site/Fernzugriff-
SSL-Verbindungsverwaltung und die Web Application Firewall notwendig, damit diese
die eingehenden SSL-Verbindungen auseinanderhalten knnen.
l Protokoll: Whlen Sie das Protokoll aus, das verwendet werden soll. Sie knnen ent-
weder TCPoder UDPauswhlen.
546 UTM9 WebAdmin
l Port: Sie knnen den Port ndern. Der Standardport ist 443. Sie knnen jedoch nicht
den Port 10443, den SUM-Gateway-Manager-Port 4422oder den Port der WebAdmin-
Schnittstelle verwenden.
l Hostnamen bergehen: Der Wert imFeld Hostnamen bergehen wird als Ziel-
hostname fr Client-VPN-Verbindungen verwendet und ist standardmig der Host-
name des Gateways. ndern Sie den voreingestellten Wert nur, wenn der regulre
Hostname (oder DynDNS-Hostname) nicht unter diesemNamen aus demInternet
erreichbar ist.
Vi rtueller IP-Pool
Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, umIP-Adressen
aus einembestimmten IP-Adressbereich SSL-Clients zuzuweisen. Standardmig ist VPN
Pool (SSL) ausgewhlt. Falls Sie einen anderen Adressenpool auswhlen, darf die Netzmaske
nicht grer als 29 Bits sein, da OpenVPNnicht mit Adressenpools umgehen kann, deren Netz-
maske /30, /31oder /32ist. Beachten Sie, dass die Netzwerkmaske auf ein Minimumvon 16
beschrnkt ist.
Doppelte CN
Whlen Sie Mehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassen
wollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen aus ver-
binden knnen. Wenn diese Option deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-Ver-
bindung pro Benutzer erlaubt.
15.3.3 Erweitert
Auf der Registerkarte SSL >Erweitert knnen Sie diverse erweiterte Serveroptionen kon-
figurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zur Fehlersuche.
Kryptografi sche Ei nstellungen
Diese Einstellungen kontrollieren die Verschlsselungsparameter fr alle SSL-VPN-Fern-
zugriff-Clients:
l Verschlsselungsalgorithmus: Der Verschlsselungsalgorithmus legt den Algo-
rithmus fest, der fr die Verschlsselung der Daten verwendet wird, die durch den VPN-
UTM9 WebAdmin 547
Tunnel gesendet werden. Die folgenden Algorithmen werden untersttzt, welche alle im
CBC-Modus (Cipher Block Chaining) sind:
l DES-EDE3-CBC
l AES-128-CBC(128 Bit)
l BF-CBC(Blowfish (128 Bit))
l Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt den Algo-
rithmus fest, der fr die Integrittsprfung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden. Die folgenden Algorithmen werden untersttzt:
l MD5 (128 Bit)
l SHA-1 (160 Bit)
l SHA2 256 (256 Bit)
l SHA2 384 (384 Bit)
l SHA2 512 (512 Bit)
l Schlssellnge: Die Schlssellnge ist die Lnge des Diffie-Hellman-Schls-
selaustauschs. Je lnger der Schlssel ist, desto sicherer sind die symmetrischen Schls-
sel. Die Lnge wird in Bits angegeben. Sie knnen zwischen einer Schlssellnge von
1024 und 2048 Bits whlen.
l Serverzertifikat: Whlen Sie ein lokales SSL-Zertifikat, das der SSL-VPN-Server ver-
wenden soll, umsich gegenber Clients zu identifizieren.
l Schlsselgltigkeit: Geben Sie einen Zeitrauman, nach demder Schlssel abluft.
Standardmig sind 28.800 Sekunden voreingestellt.
Kompri mi erungsei nstellungen
SSL-VPN-Verkehr komprimieren: Wenn diese Option aktiviert ist, werden alle Daten, die
durch SSL-VPN-Tunnel geschickt werden, vor der Verschlsselung komprimiert.
Fehlersuche-Modus aktivieren: Wenn Sie den Fehlersuche-Modus aktivieren, enthlt die
SSL-VPN-Protokolldatei zustzliche Informationen, die ntzlich fr die Fehlersuche sind.
548 UTM9 WebAdmin
Das Men Site-to-Site-VPN>Zertifikatverwaltung ist der zentrale Ort, an demalle zer-
tifikatbezogenen Vorgnge verwaltet werden, die bei der Sophos UTMauftreten. Das bein-
haltet unter anderemdas Anlegen und Importieren von X.509-Zertifikaten ebenso wie das
Hochladen sogenannter Zertifikatsperrlisten (CRLs).
15.4.1 Zertifikate
Auf der Registerkarte Site-to-Site-VPN>Zertifikatverwaltung >Zertifikate knnen Sie ffent-
liche Schlssel-Zertifikate imX.509-Standard erstellen oder importieren. Solche Zertifikate sind
digital signierte Bescheinigungen, die blicherweise von einer Zertifizierungsstelle (CA, Cer-
tificate Authority) ausgestellt werden und einen ffentlichen Schlssel mit einembestimmten
Distinguished Name (DN) in X.500-Schreibweise verknpfen.
Alle Zertifikate, die Sie auf dieser Registerkarte erzeugen, enthalten einen RSA-Schlssel. Sie
sind von der selbst signierten Zertifizierungsstelle (CA) VPNSigning CAsigniert, die auto-
matisch mit den Informationen erstellt wurde, die Sie whrend der ersten Anmeldung am
WebAdmin angegeben haben.
Umein Zertifikat neu zu generieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfeld Zertifikat hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr dieses Zertifikat ein.
Methode: Umein Zertifikat zu erstellen, whlen Sie Generieren aus (weitere Infor-
mationen zumHochladen von Zertifikaten finden Sie weiter unten).
Schlssellnge:Die Lnge des RSA-Schlssels. Je lnger der Schlssel, desto siche-
rer ist er. Sie knnen zwischen den Schlssellngen 1024, 2048 oder 4096 Bit whlen.
Verwenden Sie die grtmgliche Schlssellnge, die mit Ihren Anwendungen und Ihrer
Hardware kompatibel ist. Solange mit demlngeren Schlssel keine kritischen Leis-
tungsprobleme fr Ihre spezifischen Zwecke auftreten, sollten Sie auf keinen Fall die
Schlssellnge reduzieren, umdie Leistung zu optimieren.
UTM9 WebAdmin 549
15 Site-to-Site-VPN 15.4 Zertifikatverwaltung
15.4 Zertifikatverwaltung 15 Site-to-Site-VPN
VPN-ID-Typ: Legen Sie eine einzigartige Identifikation (engl. identifier) fr das Zertifikat
fest. Die folgenden Identifikationsarten sind verfgbar:
l E-Mail-Adresse
l Hostname
l IP-Adresse
l Distinguished name
VPN ID: Tragen Sie abhngig von der gewhlten Identifikationsart (VPN-ID) den pas-
senden Wert in das Feld ein. Beispiel: Wenn Sie in der Auswahlliste VPN-ID-TypIP-
Adresse gewhlt haben, geben Sie eine IP-Adresse in dieses Textfeld ein. Beachten Sie,
dass dieses Textfeld verborgen ist, wenn Sie in der Auswahlliste VPN-ID-TypDis-
tinguished Name gewhlt haben.
Verwenden Sie die Auswahllisten und Textfelder Land bis E-Mail, umdie Informationen
zumZertifikatsinhaber einzutragen. Diese Informationen werden dazu verwendet, den
Distinguished Name zu erstellen, d.h. den Namen der Instanz, deren ffentlichen Schls-
sel das Zertifikat identifiziert. Dieser Name enthlt viele persnliche Informationen im
X.500-Standard, weswegen davon ausgegangen wird, dass dieser Name imgesamten
Internet einzigartig ist. Falls das Zertifikat fr eine Road-Warrior-Verbindung verwendet
wird, geben Sie den Namen des Benutzers in das Feld Allgemeiner Name ein. Wenn das
Zertifikat fr einen Host ist, geben Sie einen Hostnamen ein.
zu.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Umein Zertifikat zu lschen, klicken Sie auf die Schaltflche Lschen des entsprechenden Zer-
tifikats.
Umalternativ ein Zertifikat hochzuladen (zu importieren), gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfeld Zertifikat hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr dieses Zertifikat ein.
550 UTM9 WebAdmin
Methode: Umein Zertifikat zu importieren, whlen Sie Hochladen aus.
Dateityp: Whlen Sie den Dateityp des Zertifikats aus. Sie knnen Zertifikate der fol-
genden Dateitypen hochladen: Sie knnen Zertifikate der folgenden Dateitypen hoch-
laden:
l PKCS#12 (Zert+CA): PKCSbezieht sich auf eine Gruppe von Public Key Cryp-
tography Standards (dt. etwa Standards fr die Kryptografie ffentlicher Schls-
sel), die von den RSALaboratories entwickelt und verffentlicht wurden. Das
Dateiformat PKCS#12wird gemeinhin dafr benutzt, private Schlssel mit dem
zugehrigen ffentlichen Schlsselzertifikat zu speichern und mit einemKennwort
zu schtzen. Sie mssen dieses Container-Kennwort kennen, umDateien in die-
semFormat hochladen zu knnen.
l PEM (nur Zert.): Ein Base64-kodiertes Format (Privacy Enhanced Mail, PEM),
das kein Kennwort erfordert.
Datei: Klicken Sie auf das Ordnersymbol neben demFeld Datei und whlen Sie das Zer-
tifikat aus, das hochgeladen werden soll.
zu.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Umein Zertifikat zu lschen, klicken Sie auf die Schaltflche Lschen des entsprechenden Zer-
tifikats.
Sie knnen das Zertifikat entweder imPKCS#12- oder PEM-Format herunterladen. Die PEM-
Datei enthlt nur das Zertifikat selbst, wohingegen die PKCS#12-Datei auch noch den privaten
Schlssel sowie das CA-Zertifikat enthlt, mit demdas Zertifikat signiert wurde.
15.4.2 CA
Auf der Registerkarte Site-to-site VPN>Zertifikatverwaltung >CAknnen Sie neue Zer-
tifizierungsinstanzen importieren. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine
Organisation, die digitale Zertifikate fr die Benutzung durch andere Parteien ausstellt. Eine CA
attestiert, dass der imZertifikat enthaltene ffentliche Schlssel zur Person oder Organisation,
zumHost oder einer anderen Instanz gehrt, die/der imZertifikat aufgefhrt ist. Dies wird
erreicht, indembei der Signierungsanfrage das Zertifikat mit demprivaten Schlssel des CA-
UTM9 WebAdmin 551
Signierungs-CAbezeichnet.
Auf der UTMwurde die Signierungs-CAUTMautomatisch whrend der ersten Anmeldung an
der generiert, wobei die angegebenen Informationen verwendet wurden. Dadurch sind alle
Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das
bedeutet, dass Aussteller und Inhaber identisch sind. Alternativ knnen Sie jedoch eine Signie-
rungs-CAeines Drittanbieters importieren. Darber hinaus knnen Sie auch andere CA-Zer-
tifikate verwenden, deren private Schlssel unbekannt sind, umdie Authentizitt eines Hosts
oder Benutzers zu berprfen, der versucht, sich ber IPsec zu verbinden. Diese CA-Zer-
tifikate wiederumwerden als Verifizierungs-CAs bezeichnet und knnen auch auf dieser Regis-
terkarte importiert werden.
Wichtiger Hinweis Auf IhremSystemknnen mehrere Verifizierungs-CAs vorhanden
sein, allerdings nur eine Signierungs-CA. Wenn Sie also eine neue Signierungs-CAhoch-
laden, wird die zuvor installierte Signierungs-CAautomatisch in eine Verifizierungs-CAumge-
wandelt.
Umeine CAzu importieren, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte CA auf CA importieren.
Das Dialogfeld CAimportieren wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese CAein.
Typ: Whlen Sie den CA-Typ, den Sie importieren werden. Sie knnen zwischen Veri-
fizierungs-CAund Signierungs-CAwhlen. Eine Verifizierungs-CAmuss imPEM-Format
vorliegen, wohingegen eine Signierungs-CAimPKCS#12-Format vorliegen muss.
CA-Zertifikat: Klicken Sie auf das Ordner-Symbol neben demFeld CA-Zertifikat und
whlen Sie die zu importierende Datei aus. Wenn Sie eine neue Signierungs-CAhoch-
laden, beachten Sie, dass Sie das Kennwort eingeben mssen, mit demder PKCS#12-
Container gesichert wurde.
zu.
Das neue CA-Zertifikat wird in der Liste CAangezeigt.
Umeine CAzu lschen, klicken Sie auf die Schaltflche Lschen der entsprechenden CA.
552 UTM9 WebAdmin
Die Signierungs-CAkann imPKCS#12-Format heruntergeladen werden. Sie werden daraufhin
aufgefordert, ein Kennwort einzugeben, das zur Sicherung des PKCS#12-Containers benutzt
wird. Auerdemknnen Sie Verifizierungs-CAs imPEM-Format herunterladen.
Eine Zertifikatsperrliste (CRL, Certificate Revocation List; auch Widerrufsliste) ist eine Liste von
Zertifikaten (genauer: ihren Seriennummern), die widerrufen wurden, d.h. nicht mehr gltig
und aus diesemGrund nicht vertrauenswrdig sind. Auf der Registerkarte Site-to-Site-VPN>
Zertifikatverwaltung >Sperrlisten (CRLs) knnen Sie eine Zertifikatsperrliste importieren, die
sich auf Ihre Public-Key-Infrastruktur (PKI, dt. Infrastruktur fr ffentliche Schlssel) bezieht.
Umeine Zertifikatsperrliste (CRL) hochzuladen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Sperrlisten (CRLs) auf CRL hochladen.
Das Dialogfeld CRL hochladen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr diese CRL ein.
CRL-Datei: Klicken Sie auf das Ordner-Symbol neben demFeld CRL-Datei und whlen
Sie die zu importierende Datei aus.
zu.
Die neue CRL wird in der Liste der Sperrlisten angezeigt.
Umeine Sperrliste zu lschen, klicken Sie auf die Schaltflche Lschen der entsprechenden
Sperrliste.
15.4.4 Erweitert
Auf der Registerkarte Site-to-Site-VPN>Zertifikatverwaltung >Erweitert knnen Sie die
VPN-Signierungs-CAneu generieren, die whrend der ersten Anmeldung amSicher-
heitssystemautomatisch generiert wurde. Mit der VPN-Signierungs-CAwerden die Zertifikate
fr die Fernzugriffs- und Site-to-Site-VPN-Verbindungen digital signiert. Die alte VPN-Signie-
rungs-CAwird als Verifizierungs-CAbeibehalten.
UTM9 WebAdmin 553
Si gni erungs-CA neu erstellen
Sie knnen alle Benutzerzertifikate mit der aktuellen Signierungs-CAerneuern. Das wird dann
notwendig, wenn Sie eine alternative VPN-Signierungs-CAauf der Registerkarte CAinstalliert
haben.
Warnung Die UTM- und alle Benutzerzertifikate werden mit der neuen Signierungs-CA
neu generiert. Dies unterbricht zertifikatbasierte Site-to-Site- und Fernzugriffsverbindungen.
554 UTM9 WebAdmin
16 Fernzugriff
In diesemKapitel wird beschrieben, wie Sie den Fernzugriff (Remote Access) fr die Sophos
UTMkonfigurieren. Der Fernzugriff wird in Sophos UTMmittels virtuellen privaten Netzwerken
(Virtual Private Networks (VPNs)), realisiert. Diese sind ein kostengnstiger und sicherer Weg,
entfernten Benutzern wie Angestellten, die von unterwegs und von zu Hause aus arbeiten, den
Zugang zumFirmennetzwerk zu ermglichen. VPNs verwenden kryptografische Tun-
nelprotokolle wie IPsec und PPTP, umVertraulichkeit und Datenschutz fr die bertragenen
Daten zu gewhrleisten.
Querverweis Weitere Informationen zur Konfiguration von Fernzugriff-VPN-Ver-
bindungen finden Sie in der Sophos-Knowledgebase.
Die UTMgeneriert automatisch die notwendigen Installations- und Konfigurationsdateien fr
die jeweilige Verbindungsart des Fernzugriffs. Diese Dateien knnen direkt ber das Benut-
zerportal heruntergeladen werden. Fr jeden Benutzer sind jedoch nur diejenigen Dateien ver-
fgbar, die den fr ihn aktivierten Verbindungsarten entsprechen. Beispiel: Ein Benutzer, fr
den der SSL-Fernzugriff aktiviert ist, findet nur eine SSL-Installationsdatei vor.
Hinweis Sie knnen die Konfigurationsdateien fr den Fernzugriff fr alle oder aus-
gewhlte Benutzer ber die Registerkarte Definitionen &Benutzer >Benutzer &Gruppen >
Benutzer herunterladen.
Die Seite Fernzugriffsstatus enthlt eine bersicht mit allen Online-Benutzern.
l SSL
l PPTP
l L2TPber IPsec
l IPsec
l HTML5-VPN-Portal
l Cisco VPNClient
16.1 SSL 16 Fernzugriff
l Erweitert
16.1 SSL
Die Fernzugriff-SSL-Funktion von Sophos UTMwird durch OpenVPNrealisiert, einer umfas-
senden SSL-VPN-Lsung. Sie bietet die Mglichkeit, zwischen entfernten Mitarbeitern und
demUnternehmensnetzwerk Punkt-zu-Punkt-verschlsselte Tunnel aufzubauen, wobei SSL-
Zertifikate und eine Benutzer-Kennwort-Kombination bentigt werden, umsich fr den Zugriff
auf interne Ressourcen zu authentifizieren. Zustzlich bietet es ein sicheres Benutzerportal,
das von jedemautorisierten Benutzer erreicht werden kann, umein mageschneidertes SSL-
VPN-Client-Software-Paket herunterzuladen. Dieses Paket beinhaltet einen kostenlosen SSL-
VPN-Client, SSL-Zertifikate und eine Konfiguration, die sich ber ein einfaches Instal-
lationsverfahren mit nur einemMausklick durchfhren lsst. Der SSL-VPN-Client untersttzt
die gngigsten Geschftsanwendungen wie natives Outlook, native Windows-Dateifreigabe
und viele weitere.
Querverweis Weitere Informationen zur Nutzung des SSL-VPN-Clients finden Sie in der
Sophos-Knowledgebase.
16.1.1 Profile
Auf der Registerkarte Fernzugriff >SSL >Profile knnen Sie fr Fernzugriffbenutzer ver-
schiedene Profile mit den Grundeinstellungen fr denSSL-VPN-Zugang anlegen.
Umein SSL-VPN-Profil anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Profile auf Neues Fernzugriffsprofil.
Das Dialogfeld Neues Fernzugriffsprofil wird geffnet.
Profilname: Geben Sie einen aussagekrftigen Namen fr das Profil ein.
Benutzer und Gruppen: Whlen Sie die fr den SSL-VPN-Fernzugriff mit diesemPro-
fil zugelassenen Benutzer und Benutzergruppen aus oder fgen Sie neue Benutzer und
Benutzergruppen hinzu.Das Hinzufgen eines Benutzers wird auf der Seite Definitionen
&Benutzer >Benutzer &Gruppen >Benutzer erlutert.
556 UTM9 WebAdmin
Lokale Netzwerke: Legen Sie die lokalen Netzwerke fest, die fr die ausgewhlten
SSL-VPN-Clients ber den VPN-SSL-Tunnel erreichbar sein sollen.Das Hinzufgen
Hinweis Standardmig setzt die SSL-VPN-Lsung von Sophos UTMsogenanntes
Split Tunneling (dt. etwa geteiltes Tunneln) ein. Das bedeutet, dass ein entfernter
VPN-Benutzer Zugang zu einemffentlichen Netzwerk (z. B. demInternet) hat und
gleichzeitig auf Ressourcen imVPNzugreifen kann. Split Tunneling kann jedoch auch
umgangen werden, indemSie imFeld Lokale Netzwerke die Option Any auswhlen.
Dadurch wird der gesamte Verkehr durch den VPN-SSL-Tunnel geroutet. Ob Benut-
zer dann noch auf ein ffentliches Netzwerk zugreifen drfen oder nicht, hngt von
Ihren Firewall-Einstellungen ab.
Automatische Firewallregeln: Whlen Sie diese Option, umautomatisch Fire-
wallregeln hinzuzufgen, die Verkehr fr dieses Profil erlauben. Die Regeln werden hin-
zugefgt, sobald das Profil aktiv ist, und sie werden gelscht, wenn das Profil deaktiviert
wird. Wenn Sie diese Option nicht auswhlen, mssen Sie entsprechende Firewallregeln
manuell anlegen.
zu.
Das neue Profil wird in der Liste Profile angezeigt.
Umein Profil zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schaltflchen.
Hinweis Das Men Fernzugriff imBenutzerportal ist nur fr Benutzer verfgbar, die im
Feld Benutzer und Gruppen ausgewhlt wurden und fr die eine Benutzerdefinition auf der
UTMexistiert (siehe Definitionen &Benutzer >Benutzer &Gruppen >Benutzer). Autorisierte
Benutzer finden nach demEinloggen in das Benutzerportal das SSL-VPN-Client-Soft-
warepaket sowie einen Link zu einer Installationsanleitung in der Sophos-Knowledgebase.
Das Herunterladen kann mit einigen Browsern auf Android fehlschlagen, wenn das CA-Zer-
tifikat nicht installiert ist oder wenn der Hostname nicht mit demallgemeinen Namen (engl.
common name)imPortal-Zertifikat bereinstimmt. In diesemFall muss der Benutzer das CA-
Zertifikatinstallieren oder einen anderen Browser verwenden.
UTM9 WebAdmin 557
16 Fernzugriff 16.1 SSL
16.1 SSL 16 Fernzugriff
Li ve-Protokoll ffnen
ImOpenVPN-Live-Protokoll werden die Fernzugriff-Aktivitten protokolliert. Klicken Sie auf die
Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
Auf der Registerkarte SSL >Einstellungen knnen Sie die Grundeinstellungen fr SSL-VPN-
Serververbindungen konfigurieren.
Serverei nstellungen
Sie knnen die folgenden Einstellungen fr die SSL-VPN-Verbindung vornehmen:
l Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application
Firewall verwenden, mssen Sie fr diesen Dienst eine bestimmte Schnittstellenadresse
angeben, die auf SSL-Verbindungen lauscht. Das ist fr die Site-to-Site/Fernzugriff-
SSL-Verbindungsverwaltung und die Web Application Firewall notwendig, damit diese
die eingehenden SSL-Verbindungen auseinanderhalten knnen.
l Protokoll: Whlen Sie das Protokoll aus, das verwendet werden soll. Sie knnen ent-
weder TCPoder UDPauswhlen.
l Port: Sie knnen den Port ndern. Der Standardport ist 443. Sie knnen jedoch nicht
den Port 10443, den SUM-Gateway-Manager-Port 4422oder den Port der WebAdmin-
Schnittstelle verwenden.
l Hostnamen bergehen: Der Wert imFeld Hostnamen bergehen wird als Ziel-
hostname fr Client-VPN-Verbindungen verwendet und ist standardmig der Host-
name des Gateways. ndern Sie den voreingestellten Wert nur, wenn der regulre
Hostname (oder DynDNS-Hostname) nicht unter diesemNamen aus demInternet
erreichbar ist.
Vi rtueller IP-Pool
Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, umIP-Adressen
aus einembestimmten IP-Adressbereich SSL-Clients zuzuweisen. Standardmig ist VPN
Pool (SSL) ausgewhlt. Falls Sie einen anderen Adressenpool auswhlen, darf die Netzmaske
nicht grer als 29 Bits sein, da OpenVPNnicht mit Adressenpools umgehen kann, deren
558 UTM9 WebAdmin
Netzmaske /30, /31oder /32ist. Beachten Sie, dass die Netzwerkmaske auf ein Minimumvon
16 beschrnkt ist.
Doppelte CN
Whlen Sie Mehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassen
wollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen aus ver-
binden knnen. Wenn diese Option deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-Ver-
bindung pro Benutzer erlaubt.
16.1.3 Erweitert
Auf der Registerkarte SSL >Erweitert knnen Sie diverse erweiterte Serveroptionen kon-
figurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zur Fehlersuche.
Kryptografi sche Ei nstellungen
Diese Einstellungen kontrollieren die Verschlsselungsparameter fr alle SSL-VPN-Fern-
zugriff-Clients:
l Verschlsselungsalgorithmus: Der Verschlsselungsalgorithmus legt den Algo-
rithmus fest, der fr die Verschlsselung der Daten verwendet wird, die durch den VPN-
Tunnel gesendet werden. Die folgenden Algorithmen werden untersttzt, welche alle im
CBC-Modus (Cipher Block Chaining) sind:
l DES-EDE3-CBC
l BF-CBC(Blowfish (128 Bit))
l Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt den Algo-
rithmus fest, der fr die Integrittsprfung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden. Die folgenden Algorithmen werden untersttzt:
l MD5 (128 Bit)
l SHA-1 (160 Bit)
UTM9 WebAdmin 559
16 Fernzugriff 16.1 SSL
16.2 PPTP 16 Fernzugriff
l SHA2 256 (256 Bit)
l SHA2 384 (384 Bit)
l SHA2 512 (512 Bit)
l Schlssellnge: Die Schlssellnge ist die Lnge des Diffie-Hellman-Schls-
selaustauschs. Je lnger der Schlssel ist, desto sicherer sind die symmetrischen Schls-
sel. Die Lnge wird in Bits angegeben. Sie knnen zwischen einer Schlssellnge von
1024 und 2048 Bits whlen.
l Serverzertifikat: Whlen Sie ein lokales SSL-Zertifikat, das der SSL-VPN-Server ver-
wenden soll, umsich gegenber Clients zu identifizieren.
l Schlsselgltigkeit: Geben Sie einen Zeitrauman, nach demder Schlssel abluft.
Standardmig sind 28.800 Sekunden voreingestellt.
Kompri mi erungsei nstellungen
SSL-VPN-Verkehr komprimieren: Wenn diese Option aktiviert ist, werden alle Daten, die
durch SSL-VPN-Tunnel geschickt werden, vor der Verschlsselung komprimiert.
Fehlersuche-Modus aktivieren: Wenn Sie den Fehlersuche-Modus aktivieren, enthlt die
SSL-VPN-Protokolldatei zustzliche Informationen, die ntzlich fr die Fehlersuche sind.
16.2 PPTP
PPTP(Point-to-Point Tunneling Protocol) ermglicht einzelnen Hosts mit Hilfe eines ver-
schlsselten Tunnels den Zugriff ber das Internet auf interne Netzwerkdienste. PPTPist ein-
fach einzurichten und bentigt auf Microsoft Windows-Systemen keine spezielle Software.
PPTPist in Microsoft Windows ab Version 95 enthalten. UmPPTPmit Sophos UTMver-
wenden zu knnen, muss der Client das MSCHAPv2-Authentifizierungsprotokoll untersttzen.
Benutzer von Windows 95 und 98 mssen ein Update aufspielen, damit dieses Protokoll unter-
sttzt wird.
16.2.1 Allgemein
Umdie allgemeinen Optionen fr PPTPzu konfigurieren, gehen Sie folgendermaen vor:
560 UTM9 WebAdmin
1. Aktivieren Sie den PPTP-Fernzugriff auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Bereich Haupteinstellungen kann bearbeitet wer-
den.
Authentifizierung ber: Whlen Sie die Authentifizierungsmethode. PPTP-Fern-
zugriff untersttzt nur die lokale und die RADIUS-Authentifizierung.
l Lokal: Wenn Sie Lokal whlen, geben Sie die Benutzer und Benutzergruppen an,
die sich per PPTP-Fernzugriff verbinden drfen. Es ist nicht mglich, Backend-
Benutzergruppen in das Feld zu ziehen. Solange kein Benutzerkonto ausgewhlt
ist, kann der PPTP-Fernzugriff nicht eingeschaltet werden.
Hinweis Benutzername und Kennwort der gewhlten Benutzer drfen nur
druckbare ASCII-Zeichen enthalten
1
Hinweis hnlich wie bei SSL-VPNsteht das Men Fernzugriff des Benut-
zerportals nur Benutzern zur Verfgung, die imFeld Benutzer und Gruppen aus-
gewhlt sind und fr die in der eine Benutzerdefinition existiertUTM. Autorisierte
Benutzer, die sich erfolgreich amBenutzerportal angemeldet haben, finden
einen Link zu einer Installationsanleitung in der Sophos-Knowledgebase.
l RADIUS: RADIUSkann nur ausgewhlt werden, wenn zuvor ein RADIUS-Ser-
ver konfiguriert wurde. Bei dieser Authentifizierungsmethode werden Benutzer an
einemexternen RADIUS-Server authentifiziert, welcher auf der Registerkarte
Definitionen &Benutzer >Authentifizierungsdienste >Server konfiguriert werden
kann. Das Dialogfeld Benutzer und Gruppen wird dann ausgegraut; seine Ein-
stellungen knnen zwar noch gendert werden, haben aber keinen Effekt mehr.
Der RADIUS-Server muss MSCHAPv2-Challenge-Response-Authentifizierung
untersttzen. Der Server kann Parameter wie die Client-IP-Adresse und die
DNS/WINS-Serveradressen zurckgeben. Das PPTP-Modul sendet die folgende
NAS-IDan den RADIUS-Server: pptp.Wenn RADIUS-Authentifizierung
gewhlt ist, beachten Sie, dass lokale Benutzer nicht lnger mit PPTPauthen-
1
http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange.
UTM9 WebAdmin 561
16 Fernzugriff 16.2 PPTP
16.2 PPTP 16 Fernzugriff
tifiziert werden knnen. Des Weiteren mssen auch Clients die MSCHAPv2-
Authentifizierung untersttzen.
IP-Zuweisung durch: IP-Adressen knnen Sie entweder aus einemfestgelegen IP-
Adressenpool zuweisen oder von einemDHCP-Server verteilen lassen:
l IP-Adressenpool: Whlen Sie diese Option aus, wenn Sie den Clients, die sich
per Fernzugriff ber PPTPverbinden, IP-Adressen aus einembestimmten IP-
Adressbereich zuweisen wollen. Standardmig werden Adressen aus dempri-
vaten IP-Raum10.242.1.0/24zugewiesen. Diese Netzwerkdefinition heit
VPNPool (PPTP) und kann in allen Netzwerk-spezifischen Kon-
figurationsoptionen verwendet werden. Wenn Sie ein anderes Netzwerk ver-
wenden mchten, ndern Sie einfach die Definition von VPNPool (PPTP) auf der
Seite Definitionen &Benutzer >Netzwerkdefinitionen. Alternativ knnen Sie auch
einen anderen IP-Adressenpool anlegen, indemSie auf das Plussymbol neben
demTextfeld Pool-Netzwerk klicken. Beachten Sie, dass die Netzwerkmaske auf
ein Minimumvon 16 beschrnkt ist.
l DHCP-Server: Wenn Sie DHCP-Server auswhlen, geben Sie auch die Netz-
werkschnittstelle an, ber die der DHCP-Server erreichbar ist. Der DHCP-Server
muss nicht direkt mit der Schnittstelle verbunden sein der Zugriff ist auch ber
einen Router mglich. Beachten Sie, dass der lokale DHCP-Server nicht unter-
sttzt wird; der hier gewhlte DHCP-Server muss auf einemphysikalisch anderen
Systemlaufen.
Li ve-Protokoll
ImPPTP-Daemon-Live-Protokoll werden die Aktivitten des PPTP-Fernzugriffs protokolliert.
Klicken Sie auf die Schaltflche, umdas Live-Protokoll in einemneuen Fenster zu ffnen.
16.2.2 iOS-Gerte
Sie knnen ermglichen, dass Benutzern von iOS-Gerten eine automatische PPTP-Kon-
figuration imBenutzerportal angeboten wird.
Allerdings werden nur Benutzer, die imFeld Benutzer und Gruppen auf der Registerkarte All-
gemein aufgefhrt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden. Der
iOS-Gerte-Status ist standardmig aktiviert.
562 UTM9 WebAdmin
Verbindungsname: Geben Sie einen aussagekrftigen Namen fr die PPTP-Verbindung
ein, sodass iOS-Benutzer die Verbindung identifizieren knnen, die sie imBegriff sind auf-
zubauen. Der Name Ihrer Firma gefolgt vomProtokoll PPTPist voreingestellt.
Hinweis Der Verbindungsname muss fr alle iOS-Verbindungseinstellungen (PPTP, L2TP
over IPsec, Cisco VPNClient) einzigartig sein.
Hostnamen bergehen: ImFalle, dass der Systemhostname vomClient nicht ffentlich auf-
gelst werden kann, knnen Sie hier einen Server-Hostnamen eingeben, der die interne Pr-
ferenz bergeht, bei der der DynDNS-Hostname demSystem-DNS-Hostnamen vorgezogen
wird.
Umdie automatische iOS-Gerte-Konfiguration zu deaktivieren, klicken Sie auf den Schie-
beregler.
Der Schieberegler wird grau.
16.2.3 Erweitert
Auf der Registerkarte Fernzugriff >PPTP>Erweitert knnen Sie die Verschlsselungsstrke
und die Menge an Fehlersuchemeldungen fr PPTP-Fernzugriff konfigurieren. Die erwei-
terten PPTP-Einstellungen knnen nur konfiguriert werden, wenn PPTPauf der Registerkarte
Allgemein aktiviert ist.
Verschlsselungsstrke
Sie knnen zwischen einer starken (128 Bit) und einer schwachen (40 Bit) Tunnel-Ver-
schlsselung (MPPE) whlen. Verwenden Sie nach Mglichkeit nicht die schwache Ver-
schlsselung, auer Sie haben Gegenstellen, die die 128-Bit-Verschlsselung nicht unter-
sttzen.
Fehlersuche-Modus
Fehlersuche-Modus aktivieren: Diese Option kontrolliert die Menge an Feh-
lersuchemeldungen, die imPPTP-Protokoll erzeugt wird. Aktivieren Sie diese Option, wenn Sie
Verbindungsprobleme haben und detaillierte Informationen ber beispielsweise die Aus-
handlung der Client-Parameter bentigen.
UTM9 WebAdmin 563
16 Fernzugriff 16.2 PPTP
16.3 L2TPber IPsec 16 Fernzugriff
16.3 L2TP ber IPsec
L2TPist die Kurzformfr Layer 2 Tunneling Protocol und ist ein Datenlink-Ebene-Protokoll
(Ebene 2 des OSI-Modells) fr das Tunneln von Netzwerkverkehr zwischen zwei Peers ber
ein existierendes Netzwerk (meistens das Internet), auch bekannt als Virtuelles Privates Netz-
werk (Virtual Private Network, VPN). Da das L2TP-Protokoll allein keine Vertraulichkeit mit-
bringt, wird es oft mit IPsec kombiniert, das Vertraulichkeit, Authentifizierung und Integritt bie-
tet. Die Kombination dieser beiden Protokolle ist auch als L2TPber IPsec bekannt (engl. L2TP
over IPsec). Mit L2TPber IPsec knnen Sie mit der gleichen Funktionalitt wie PPTPein-
zelnen Hosts ber einen verschlsselten IPsec-Tunnel den Zugang zumUnter-
nehmensnetzwerk ermglichen.
16.3.1 Allgemein
Auf der Registerkarte L2TP-over-IPsec >Allgemein knnen Sie die grundlegenden Optionen
fr den Fernzugriff ber L2TP-over-IPsec konfigurieren.
UmL2TPber IPsec zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie L2TP ber IPsec auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Abschnitt Servereinstellungen und IP-Adr-
essenzuweisung kann nun bearbeitet werden.
Schnittstelle: Whlen Sie die Netzwerkschnittstelle, die fr den L2TP-VPNClosed-
Zugang verwendet werden soll.
Auth.-Methode: Sie knnen zwischen den folgenden Authentifizierungsmethoden wh-
len:
l Verteilter Schlssel: Geben Sie ein Kennwort ein, das als verteilter Schlssel
dient. Die Authentifizierung mit verteilten Schlsseln (PSK, engl. preshared keys)
erfolgt durch Schlssel mit einemgeheimen Kennwort, die vor der eigentlichen
Verbindung unter den Beteiligten ausgetauscht werden. Umzu kommunizieren,
weisen beide Gegenstellen nach, dass sie den vereinbarten Schlssel kennen.
Der vereinbarte Schlssel ist ein Kennwort, das dazu benutzt wird, den
564 UTM9 WebAdmin
Datenverkehr mit demVerschlsselungsalgorithmus von L2TPzu verschlsseln.
Umdie hchstmgliche Sicherheit zu gewhrleisten, sollten Sie sich an den gn-
gigen Mastben fr die Strke des Kennwortes orientieren. Wie sicher solche
vereinbarten Schlssel sind, hngt davon ab, wie sicher das Kennwort gewhlt
wurde und wie sicher es bertragen wurde. Kennwrter, die aus allgemeinen Wr-
tern bestehen, sind sehr anfllig fr Wrterbuchangriffe. Daher sollte ein Kenn-
wort ziemlich lang sein und eine Reihe von Buchstaben, Grobuchstaben und Zah-
len enthalten. Folglich sollte ein verteilter Schlssel auch nicht als
Authentifizierungsmethode verwendet, sondern durch Zertifikate ersetzt werden,
wo immer dies mglich ist.
Hinweis Wenn Sie den Zugang fr iOS-Gerte ermglichen wollen, mssen
Sie Verteilter Schlssel whlen, da iOS-Gerte nur PSK-Authentifizierung unter-
sttzen.
l X.509-CA-Prfung: Die Authentifizierung durch X.509-Zertifikate erleichtert den
Austausch des ffentlichen Schlssels in groen VPN-Installationen mit vielen Teil-
nehmern. ine sogenannte CA(engl. Certificate Authority, Zertifizierungsstelle)
erfasst und berprft die ffentlichen Schlssel der VPN-Endpoints und stellt fr
jeden Teilnehmer ein Zertifikat aus. Dieses Zertifikat enthlt Informationen zur
Identitt des Teilnehmers und den zugehrigen ffentlichen Schlssel. Da das Zer-
tifikat digital signiert ist, kann niemand anderes ein geflschtes Zertifikat verteilen,
ohne entdeckt zu werden.
Whrend des Schlsselaustauschs werden die X.509-Zertifikate ausgetauscht
und mit Hilfe der lokal installierten CAs beglaubigt. Die eigentliche Authen-
tifizierung der VPN-Endpoints wird dann durch die ffentlichen und privaten
Schlssel durchgefhrt. Wenn Sie diese Authentifizierungsmethode verwenden
wollen, whlen Sie ein X.509-Zertifikat.
Beachten Sie, dass Sie fr die X.509-Authentifizierungsmethode auf der Regis-
terkarte Fernzugriff >Zertifikatverwaltung >Zertifizierungsstelle eine gltige CA
konfiguriert haben mssen.
IP-Zuweisung durch: IP-Adressen knnen Sie entweder aus einemfestgelegen IP-
Adressenpool zuweisen oder von einemDHCP-Server verteilen lassen:
l Pool-Netzwerk: Standardmig ist IP-Adressenpool fr die IP-Adr-
essenzuweisung ausgewhlt, wobei die Netzwerkdefinition VPNPool (L2TP) als
Pool-Netzwerk voreingestellt ist. Der VPNPool (L2TP) ist ein zufllig generiertes
UTM9 WebAdmin 565
16 Fernzugriff 16.3 L2TPber IPsec
Netzwerk aus demIP-Adressbereich 10.x.x.xfr private Netzwerke, fr das ein
Klasse-C-Subnetz verwendet wird. Normalerweise ist es nicht notwendig, das zu
ndern, da es sicherstellt, dass die Benutzer einen bestimmten Adressenpool
haben, von demaus sie Verbindungen aufbauen knnen. Wenn Sie ein anderes
Netzwerk verwenden wollen, knnen Sie einfach die Definition des VPNPools
(L2TP) ndern oder hier ein anderes Netzwerk als IP-Adressenpool angeben.
Beachten Sie, dass die Netzwerkmaske auf ein Minimumvon 16 beschrnkt ist.
Hinweis Wenn Sie private IP-Adressen fr Ihren L2TP-VPN-Pool verwenden
und wollen, dass IPsec-Hosts auf das Internet zugreifen drfen, legen Sie ent-
sprechende Maskierungs- oder NAT-Regeln fr den IP-Adressenpool an.
l DHCP-Server: Wenn Sie DHCP-Server auswhlen, geben Sie auch die Netz-
werkschnittstelle an, ber die der DHCP-Server erreichbar ist. Der DHCP-Server
muss nicht direkt mit der Schnittstelle verbunden sein der Zugriff ist auch ber
einen Router mglich. Beachten Sie, dass der lokale DHCP-Server nicht unter-
sttzt wird; der hier gewhlte DHCP-Server muss auf einemphysikalisch anderen
Systemlaufen.
Zugri ffskontrolle
Authentifizierung ber: L2TP-Fernzugriff untersttzt nur die lokale und RADIUS-Authen-
tifizierung.
l Lokal: Wenn Sie Lokal whlen, geben Sie die Benutzer und Benutzergruppen an, die
sich per L2TP-Fernzugriff verbinden drfen. Es ist nicht mglich, Backend-Benut-
zergruppen in das Feld zu ziehen. Lokale Benutzer mssen Sie auf demherkmmlichen
Weg hinzufgen und L2TPfr sie aktivieren. Wenn keine Benutzer oder Gruppen aus-
gewhlt sind, wird L2TP-Fernzugriff ausgeschaltet.Das Hinzufgen eines Benutzers
wird auf der Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
566 UTM9 WebAdmin
Hinweis Benutzername und Kennwort der gewhlten Benutzer drfen nur druck-
bare ASCII-Zeichen enthalten
1
.
Hinweis hnlich wie bei SSL-VPNsteht das Men Fernzugriff des Benutzerportals
nur Benutzern zur Verfgung, die imFeld Benutzer und Gruppen ausgewhlt sind und
fr die in der UTMeine Benutzerdefinition existiert. In Abhngigkeit von der Authen-
tifizierungsmethode liegt fr autorisierte Benutzer, die sich erfolgreich amBenut-
zerportal angemeldet haben, der verteilte Schlssel fr IPsec (Authen-
tifizierungsmethode Verteilter Schlssel) oder die Datei PKCS#12
(Authentifizierungsmethode X.509-CA-Prfung) sowie ein Link zur Instal-
lationsanleitung bereit, die in der Sophos-Knowledgebase zur Verfgung steht.
l RADIUS: Wenn Sie RADIUSauswhlen, werden die Authentifizierungsanfragen an
den RADIUS-Server weitergeleitet. Das L2TP-Modul sendet folgende Zeichenfolge als
NAS-IDan den RADIUS-Server: l2tp.
Der Authentifizierungsalgorithmus wird automatisch zwischen demClient und demServer aus-
gehandelt. Fr lokale Benutzer untersttzt Sophos UTMdie folgenden Authen-
tifizierungsprotokolle:
l MSCHAPv2
l PAP
Standardmig handelt ein Windows-Client MSCHAPv2 aus.
Fr RADIUS-Benutzer untersttzt Sophos UTMfolgende Authentifizierungsprotokolle:
l MSCHAPv2
l MSCHAP
l CHAP
l PAP
1
UTM9 WebAdmin 567
16 Fernzugriff 16.3 L2TPber IPsec
16.3.2 iOS-Gerte
Sie knnen ermglichen, dass Benutzern von iOS-Gerten eine automatische L2TP-ber-
IPsec-Konfiguration imBenutzerportal angeboten wird.
Verbindungsname: Geben Sie einen aussagekrftigen Namen fr die L2TP-ber-IPsec-Ver-
bindung ein, sodass iOS-Benutzer die Verbindung identifizieren knnen, die sie imBegriff sind
aufzubauen. Der Name Ihrer Firma gefolgt vomProtokoll L2TPber IPsec ist voreingestellt.
wird.
beregler.
16.3.3 Fehlersuche
IKE-Fehlersuche
568 UTM9 WebAdmin
L2TP-Fehlersuche
Wenn die Option Fehlersuche-Modus aktivieren ausgewhlt ist, enthlt die Protokolldatei
IPsec-VPNweitere Informationen zur Aushandlung von L2TP- oder PPP-Verbindungen.
16.4 IPsec
IPSecurity (IPsec) ist ein Standard fr die Sicherung von Internet-Protocol-(IP-)Kom-
munikationen durch Verschlsselung und/oder Authentifizierung aller IP-Pakete.
Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle:
l Transportmodus (engl. Transport Mode)
l Tunnelmodus (engl. Tunnel Mode)
l Authentication Header (AH): Protokoll fr Authentifizierung
l Encapsulated Security Payload (ESP): Protokoll fr Verschlsselung (und Authen-
tifizierung)
Des Weiteren bietet IPsec Methoden fr die manuelle und die automatische Verwaltung von
Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlsselverteilung. Alle
diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.
IPsec-Modi
IPsec kann entweder imTransportmodus oder imTunnelmodus arbeiten. Eine Host-zu-Host-
Verbindung kann grundstzlich jeden Modus verwenden. Wenn es sich bei einemder beiden
Tunnelendpunkte jedoch umeine Firewall handelt, muss der Tunnelmodus verwendet wer-
den. Die IPsec-VPN-Verbindungen auf der UTMarbeiten immer imTunnelmodus.
ImTransportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket ein-
gepackt. Der ursprngliche IP-Header wird beibehalten und das brige Paket wird entweder in
UTM9 WebAdmin 569
16 Fernzugriff 16.4 IPsec
16.4 IPsec 16 Fernzugriff
Klartext (AH) oder verschlsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit
AHauthentifiziert oder die Payload mit Hilfe von ESPverschlsselt und authentifiziert werden.
In beiden Fllen wird der Original-Header in Klartext ber das WANgeschickt.
ImTunnelmodus wird das komplette Paket Header und Payload in ein neues IP-Paket
gekapselt. Ein IP-Header wird vorne an das IP-Paket angehngt, wobei die Zieladresse auf
den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes
bleiben unverndert. Das Originalpaket kann dann mit AHauthentifiziert oder mit ESPauthen-
tifiziert und verschlsselt werden.
IPsec-Protokolle
IPsec verwendet fr die sichere Kommunikation auf IP-Ebene zwei Protokolle:
l Authentication Header (AH): Ein Protokoll fr die Authentifizierung von Absendern
eines Pakets sowie zur berprfung der Integritt des Paketinhalts.
l Encapsulating Security Payload (ESP): Ein Protokoll fr die Verschlsselung des
gesamten Pakets sowie fr die Authentifizierung seines Inhalts.
Das Authentication-Header-Protokoll (AH) berprft die Authentizitt und die Integritt des
Paketinhalts. Des Weiteren berprft es, ob die Sender- und Empfnger-IP-Adressen wh-
rend der bertragung gendert wurden. Die Authentifizierung des Pakets erfolgt anhand einer
Prfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in Ver-
bindung mit einemSchlssel und einemHash-Algorithmus berechnet wurde. Einer der fol-
genden Hash-Algorithmen wird verwendet:
l Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht
mit beliebiger Lnge eine 128-Bit-lange Prfsumme. Diese Prfsumme ist wie ein Fin-
gerabdruck des Paketinhalts und ndert sich, wenn die Nachricht verndert wird. Dieser
Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeich-
net.
l The Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zumMD5 einen 160-
Bit-langen Hash-Wert. SHA-1 ist aufgrund des lngeren Schlssels sicherer als MD5.
Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist imVergleich zumMD5-Algo-
rithmus etwas hher. Die Berechnungsgeschwindigkeit hngt natrlich von der Pro-
zessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf der Sophos
UTMverwendet werden.
570 UTM9 WebAdmin
Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zustzlich zur Verschlsselung
auch die Mglichkeit, den Absender zu authentifizieren und den Paketinhalt zu verifizieren.
Wenn ESPimTunnelmodus verwendet wird, wird das komplette IP-Paket (Header und Pay-
load) verschlsselt. Zu diesemverschlsselten Paket wird ein neuer unverschlsselter IP- und
ESP-Header hinzugefgt: Der neue IP-Header beinhaltet die Adresse des Empfnger-Gate-
ways und die Adresse des Absender-Gateways. Diese IP-Adressen entsprechen denen des
VPN-Tunnels.
Fr ESPmit Verschlsselung werden blicherweise die folgenden Algorithmen verwendet:
l Triple Data Encryption Standard (3DES)
l Advanced Encryption Standard (AES)
Von diesen bietet AESden hchsten Sicherheitsstandard. Die effektiven Schlssellngen, die
mit AESverwendet werden knnen, sind 128, 192 oder 256 Bit. Sophos UTMuntersttzt meh-
rere Verschlsselungs-Algorithmen. Fr die Authentifizierung kann der MD5- oder der SHA-1-
Algorithmus verwendet werden.
NAT-Traversal ist ein Verfahren, umzwischen Hosts in TCP/IP-Netzwerken Verbindungen
ber NAT-Gerte aufzubauen. Dies wird erreicht, indemUDP-Verkapselung der ESP-Pakete
genutzt wird, umIPsec-Tunnel ber NAT-Gerte aufzubauen. Die UDP-Verkapselung wird
nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls wer-
den normale ESP-Pakete verwendet.
Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway
oder ein Road Warrior hinter einemNAT-Router befindet. Wenn Sie diese Funktion nutzen wol-
len, mssen allerdings beide IPsec-Endpunkte NAT-Traversal untersttzen das wird auto-
matisch ausgehandelt. Zustzlich muss auf demNAT-Gert der IPsec-Passthrough (IPsec-
Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeintrchtigen kann.
Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes Benut-
zerobjekt imWebAdmin eine statische Fernzugriffs-IP-Adresse (RAS, engl. remote static IP
address) besitzen (siehe auch Statische Fernzugriffs-IPverwenden auf der Seite Benutzer im
WebAdmin).
Umzu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten bermittelt werden, sen-
det NAT-Traversal standardmig in einemIntervall von 60 Sekunden ein Signal zur Auf-
UTM9 WebAdmin 571
rechterhaltung (engl. keep alive). Durch dieses Aufrechterhaltungssignal wird sichergestellt,
dass der NAT-Router die Statusinformation der Sitzung behlt, damit der Tunnel offen bleibt.
TOS
Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags imIP-Header. Die Bits werden Type-of-
Service-Bits genannt, da sie es der bertragenden Anwendung ermglichen, demNetzwerk
mitzuteilen, welche Art von Dienstqualitt bentigt wird.
Bei der IPsec-Implementierung von Sophos UTMwird der TOS-Wert immer kopiert.
16.4.1 Verbindungen
Auf der Registerkarte IPsec >Verbindungen knnen Sie IPsec-Verbindungen anlegen und
bearbeiten.
Umeine IPsec-Verbindung zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Fern-
zugriffsregel.
Das Dialogfeld IPsec-Fernzugriffsregel hinzufgen wird geffnet.
Schnittstelle: Whlen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt fr
den IPsec-Tunnel dienen soll.
erreichbar sein sollen, oder fgen Sie sie hinzu. Das Hinzufgen einer Definition wird auf
der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen erlu-
tert.
Virtueller IP-Pool: Dies ist der IP-Adressenpool, aus demdie Clients eine IP-Adresse
erhalten, falls sie keine statische IP-Adresse haben. Der Standardpool ist VPNPool
(IPsec), der den privaten IP-Bereich 10.242.4.0/24umfasst. Sie knnen jedoch auch
einen anderen IP-Adressenpool auswhlen. Beachten Sie, dass die Netzwerkmaske auf
ein Minimumvon 16 beschrnkt ist.Das Hinzufgen einer Definition wird auf der Seite
572 UTM9 WebAdmin
Richtlinie: Whlen Sie die IPsec-Richtlinie fr diese IPsec-Verbindung aus. IPsec-Richt-
linien knnen auf der Registerkarte Fernzugriff >IPsec >Richtlinien definiert werden.
Authentifizierungsmethode: Whlen Sie die Authentifizierungsmethode fr diese
Definition des entfernten Gateways aus. Die folgenden Typen sind verfgbar:
l Verteilter Schlssel: Authentifizierung mit Verteilten Schlsseln (PSK, engl.
Preshared Keys) verwendet geheime Kennwrter als Schlssel. Diese Kenn-
wrter mssen an die Endpunkte verteilt werden, bevor eine Verbindung auf-
gebaut wird. Wenn ein neuer VPN-Tunnel aufgebaut ist, berprft jede Seite, ob
die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hngt von
der Qualitt der verwendeten Kennwrter ab: Normale Wrter und Ausdrcke fal-
len schnell Wrterbuchangriffen zumOpfer. Permanente oder lngerfristige
IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.
l X.509-Zertifikat: Das X.509-Zertifikat basiert auf ffentlichen Schlsseln und pri-
vaten Schlsseln. Ein X.509-Zertifikat enthlt den ffentlichen Schlssel zusam-
men mit zustzlichen Informationen ber den Besitzer des Schlssels. Solche
Zertifikate sind von einer CA(Zertifizierungsstelle, engl. Certificate Authority)
signiert und ausgestellt, der der Besitzer vertraut. Wenn Sie diese Authen-
tifizierungsmethode whlen, geben Sie die Benutzer an, die diese IPsec-Ver-
bindung benutzen drfen. Wenn Sie die Option Automatische Firewallregeln nicht
auswhlen, mssen Sie entsprechende Firewallregeln manuell imMen Network
Protection anlegen.
Hinweis Auf das Benutzerportal kann nur von Benutzern zugegriffen werden,
die imFeld Zugelassene Benutzer ausgewhlt sind und fr die eine Benut-
zerdefinition auf der UTMexistiert. Autorisierte Benutzer, die sich erfolgreich am
Benutzerportal angemeldet haben, finden den SophosIPsec-Client (SIC), des-
sen Konfigurationsdatei, die PKCS#12-Dateisowie einen Link zur Instal-
lationsanleitung vor, die in der -SophosKnowledgebase zur Verfgung steht.
l CA-DN-Vergleich: Bei dieser Authentifizierungsmethode (engl. CADNMatch)
wird ein Vergleich des Distinguished Name (DN) der CA-Zertifikate gemacht, um
die Schlssel der VPN-Endpoints zu verifizieren. Wenn Sie diese Authen-
tifizierungsmethode whlen, whlen Sie eine CAund eine DN-Maske, die zu den
DNs der Fernzugriff-Clients passt. Whlen Sie danach einen Peer-Sub-
netzbereich aus oder fgen Sie einen hinzu. Clients ist es nur gestattet sich zu ver-
binden, wenn die DN-Maske zu derjenigen in ihremZertifikat passt.
UTM9 WebAdmin 573
XAUTH aktivieren (optional): XAUTH, erweiterte Authentifizierung (engl. extended
authentication), sollte aktiviert werden, umvon Benutzern eine Authentifizierung gegen
konfigurierte Backends zu verlangen.
Automatische Firewallregeln (optional): Diese Funktion steht nur bei der Authen-
tifizierungsmethode X.509-Zertifikat zur Verfgung.Whlen Sie diese Option, umauto-
matisch Firewallregeln hinzuzufgen, die Datenverkehr fr diese Verbindung zulassen.
Die Regeln werden hinzugefgt, sobald die Verbindung aktiviert wird und sie werden ent-
fernt, wenn die Verbindung deaktiviert wird.
zu.
Die neue Fernzugriffsregel wird in der Liste Verbindungen angezeigt.
Umeine Fernzugriffsregel zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden
Schaltflchen.
16.4.2 Richtlinien
Auf der Registerkarte Fernzugriff >IPsec >Richtlinien knnen Sie die Parameter fr IPsec-Ver-
bindungen definieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinie
legt die Internet-Schlsselaustausch-Methode (IKE, Internet Key Exchange) und die IPsec-
Antragsparameter fr eine IPsec-Verbindung fest. Jede IPsec-Verbindung bentigt eine
IPsec-Richtlinie.
Hinweis Sophos UTMuntersttzt den Hauptmodus nur in IKE-Phase 1. Der aggressive
Modus (engl. aggressive mode) wird nicht untersttzt.
Umeine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.
Das Dialogfeld IPsec-Richtlinie hinzufgen wird geffnet.
574 UTM9 WebAdmin
IKE-Verschlsselungsalgorithmus: Der Verschlsselungsalgorithmus legt den Algo-
rithmus fest, der fr die Verschlsselung der IKE-Nachrichten verwendet wird. Die fol-
genden Algorithmen werden untersttzt:
l DES(56 Bit)
l 3DES(168 Bit)
l AES128 (128 Bit)
l AES192 (192 Bit)
l AES256 (256 Bit)
l Blowfish (128 Bit)
l Twofish (128 Bit)
l Serpent (128 Bit)
Sicherheitshinweis Es wird dringend davon abgeraten, DESzu verwenden, da die-
ser schwache Algorithmus eine potentielle Schwachstelle darstellt.
IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest, wel-
cher Algorithmus verwendet wird, umdie Intaktheit der IKE-Nachrichten zu prfen. Die
folgenden Algorithmen werden untersttzt:
l MD5 (128 Bit)
l SHA1 (160 Bit)
l SHA2 256 (256 Bit)
l SHA2 384 (384 Bit)
l SHA2 512 (512 Bit)
IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, fr die die
IKE-SA(Security Association, dt. Sicherheitsverbindung) gltig ist und wann die nchste
Schlsselerneuerung stattfindet. Gltige Werte liegen zwischen 60 und 28800 Sekunden
(8 Std.). Als Standardwert sind 7800 Sekunden voreingestellt.
IKE-DH-Gruppe: Whrend der Aushandlung einer Verbindung gleichen die beiden
Gegenstellen auch die aktuellen Schlssel fr die Datenverschlsselung ab. Fr die
Generierung des Sitzungsschlssels (session key) nutzt IKEden Diffie-Hellman-(DH-)
UTM9 WebAdmin 575
Algorithmus. Dieser Algorithmus generiert den Schlssel per Zufallsprinzip basierend
auf sogenannten Pool Bits. Die IKE-Gruppe gibt hauptschlich Aufschluss ber die
Anzahl der Pool Bits. Je mehr Pool Bits, umso lnger ist die zufllige Zahlenkette je gr-
er die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmus geknackt wer-
den. Folglich bedeuten mehr Pool Bits hhere Sicherheit, was allerdings auch bedeutet,
dass mehr CPU-Leistung fr die Generierung bentigt wird. Momentan werden die fol-
genden Diffie-Hellman-Gruppen untersttzt:
l Gruppe 1: MODP768
Sicherheitshinweis Gruppe 1 (MODP768) wird allgemein als sehr schwach ein-
gestuft und wird hier nur aus Kompatibilittsgrnden untersttzt. Wir raten dringend
davon ab, sie zu verwenden, da sie eine potenzielle Schwachstelle darstellt.
IPsec-Verschlsselungsalgorithmus: Die gleichen Verschlsselungsalgorithmen
wie fr IKE. Zustzlich gibt es folgende Eintrge:
l Keine Verschlsselung (null)
576 UTM9 WebAdmin
Sicherheitshinweis Wir raten dringend davon ab, keine Verschlsselung oder
DESzu verwenden, da beides eine potenzielle Schwachstelle darstellt.
IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmen
wie fr IKE. Zustzlich werden noch folgende Algorithmen untersttzt:
l SHA2 256 (96 Bit)
l SHA2 384 (96 Bit)
l SHA2 512 (96 Bit)
Diese sind fr die Kompatibilitt mit Tunnelendpunkten verfgbar, die nicht RFC4868
entsprechen, beispielsweise frhere UTM-Versionen (d.h. ASG-Versionen) als V8, und
deshalb keine abgeschnittenen Prfsummen lnger als 96 Bit untersttzen.
IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, fr die
die IPsec-SA(Security Association, dt. Sicherheitsverbindung) gltig ist und wann die
nchste Schlsselerneuerung stattfindet. Gltige Werte liegen zwischen 60 und 86400
Sekunden (1 Tag). Als Standardwert sind 3600 Sekunden voreingestellt.
IPsec-PFS-Gruppe: Perfect Forward Secrecy (PFS) ist eine Eigenschaft von Ver-
schlsselungsverfahren, die sicherstellt, dass aus einemgeknackten Schlssel nicht auf
vorhergehende oder nachfolgende Sitzungsschlssel einer Kommunikationsverbindung
geschlossen werden kann. Damit PFSbesteht, darf der zumSchutz der IPsec-SA-Ver-
bindung genutzte Schlssel nicht von demselben zufllig erzeugten Ver-
schlsselungsmaterial hergeleitet worden sein wie die Schlssel fr die IKE-SA-Ver-
bindung. Daher initiiert PFSeinen zweiten Diffie-Hellman-Schlsselaustausch mit der
Absicht, der ausgewhlten DH-Gruppe fr die IPsec-Verbindung einen neuen zufllig
erzeugten Schlssel zu bergeben. Es werden die gleichen DH-Gruppen wie bei IKE
untersttzt.
Die Aktivierung von PFSwird als sicherer eingestuft, aber es bentigt auch mehr Zeit bei
der Aushandlung. Es wird davon abgeraten, PFSauf langsamer Hardware einzusetzen.
Hinweis PFSist nicht immer gnzlich kompatibel mit den verschiedenen Herstellern.
Wenn Sie Probleme whrend der Aushandlung feststellen, schalten Sie diese Funktion
aus.
UTM9 WebAdmin 577
Strikte Richtlinie: Wenn ein IPsec-Gateway eine Anfrage hinsichtlich eines Ver-
schlsselungsalgorithmus und der Verschlsselungsstrke unternimmt, kann es vor-
kommen, dass das Gateway des Empfngers diese Anfrage akzeptiert, obwohl das nicht
mit der entsprechenden IPsec-Richtlinie bereinstimmt. Wenn Sie diese Option whlen
und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameter ver-
wenden will, kommt keine IPsec-Verbindung zustande. Angenommen, die IPsec-Richt-
linie Ihrer UTMverlangt AES-256-Verschlsselung, wohingegen ein Road Warrior mit
SSH-Sentinel sich mit AES-128 verbinden will wenn die Option fr die strikte Richtlinie
aktiviert ist, wird die Verbindung abgewiesen.
Hinweis Die Komprimierungseinstellung wird durch Aktivierung der Option Strikte
Richtlinie nicht erzwungen.
Komprimierung: Diese Option legt fest, ob IP-Pakete vor der Verschlsselung mit dem
IPPayload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert die
Gre von IP-Paketen, indemes sie komprimiert, umdie allgemeine Kom-
munikationsleistung zwischen einemPaar von kommunizierenden Hosts oder Gateways
zu erhhen. Komprimierung ist standardmig ausgeschaltet.
zu.
Die neue Richtlinie wird in der Liste Richtlinien angezeigt.
flchen.
16.4.3 Erweitert
Auf der Registerkarte Fernzugriff >IPsec >Erweitert knnen Sie die erweiterten Einstellungen
fr IPsec-VPNvornehmen. Abhngig von Ihrer bevorzugten Authentifizierungsmethode kn-
nen Sie unter anderemdas lokale Zertifikat (fr X.509-Authentifizierung) und den lokalen RSA-
Schlssel (fr RSA-Authentifizierung) festlegen. Diese Einstellungen sollten nur von erfah-
renen Benutzern durchgefhrt werden.
578 UTM9 WebAdmin
Lokales X. 509-Zerti fi kat
Bei der X.509-Authentifizierung werden Zertifikate verwendet, umdie ffentlichen Schlssel
der VPN-Endpunkte zu berprfen. Wenn Sie diese Authentifizierungsmethode verwenden
wollen, mssen Sie imAbschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der Aus-
wahlliste whlen. Das ausgewhlte Zertifikat bzw. der Schlssel wird anschlieend dafr
genutzt, das Gateway gegenber Gegenstellen zu authentifizieren, falls X.509-Authen-
tifizierung ausgewhlt ist.
Sie knnen nur Zertifikate auswhlen, fr die auch der zugehrige private Schlssel vorhanden
ist, andere Zertifikate sind in der Auswahlliste nicht verfgbar.
Wenn keine Zertifikate zur Auswahl angezeigt werden, mssen Sie zunchst eines imMen
Zertifikatverwaltung hinzufgen, entweder indemSie ein neues erzeugen oder indemSie eines
ber die Hochladen-Funktion importieren.
NachdemSie das Zertifikat ausgewhlt haben, geben Sie das Kennwort ein, mit demder pri-
vate Schlssel geschtzt ist. Whrend des Speichervorgangs wird das Kennwort verifiziert und
eine Fehlermeldung angezeigt, falls das Kennwort nicht zumverschlsselten Schlssel passt.
Sobald ein aktiver Schlssel oder ein Zertifikat ausgewhlt ist, wird er/es imAbschnitt Lokales
X.509-Zertifikat angezeigt.
Dead Peer Detecti on (DPD)
Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenn
das VPN-Gateway oder der Client auf der Gegenseite nicht erreichbar ist. Bei Verbindungen
mit statischen Endpunkten wird der Tunnel nach einemAusfall automatisch neu ausgehandelt.
Fr Verbindungen mit dynamischen Endpunkten wird fr eine neue Aushandlung des Tunnels
die Anfrage seitens der Gegenstelle bentigt. In der Regel ist diese Funktion betriebssicher und
kann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob die Gegen-
stelle Dead Peer Detection untersttzt oder nicht, und verwenden den normalen Modus, falls
ntig.
NAT-Traversal verwenden: Whlen Sie diese Option, umzu ermglichen, dass IPsec-Ver-
kehr Upstream-Systeme passieren kann, die Network Address Translation (NAT, dt. Netz-
werkadressumsetzung) verwenden. Zustzlich knnen Sie das Intervall fr die Auf-
rechterhaltung (engl. keep-alive) fr NAT-Traversal festlegen.Klicken Sie auf bernehmen,
UTM9 WebAdmin 579
CRL-Handhabung
Es sind Situationen denkbar, in denen ein Zertifikataussteller noch whrend der Gl-
tigkeitsdauer eines Zertifikats die darin gegebene Besttigung fr ungltig erklren mchte,
z.B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vomZertifikatnehmer unter Anga-
be falscher Daten (Name usw.) erschlichen wurde oder weil der zumzertifizierten ffentlichen
Schlssel gehrende private Schlssel einemAngreifer in die Hnde gefallen ist. Zu diesem
Zweck werden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate Revocation Lists) ver-
wendet. Diese enthalten blicherweise die Seriennummern derjenigen Zertifikate einer Zer-
tifizierungsinstanz, die fr ungltig erklrt werden und deren regulrer Gltigkeitszeitraumnoch
nicht abgelaufen ist.
Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedemFall keine Gltigkeit mehr und
muss daher auch nicht weiter auf der Zertifikatsperrliste gefhrt werden.
Automatische Abholung: Mit dieser Funktion wird die CRL automatisch ber die URL abge-
holt, die imPartnerzertifikat angegeben ist, via HTTP, anonymes FTP(Anonymous FTP) oder
LDAPVersion 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert und aktualisiert
werden, sobald der Gltigkeitszeitraumabgelaufen ist. Wenn Sie diese Funktion nutzen
(jedoch nicht ber Port 80 oder 443), achten Sie darauf, dass die Firewallregeln so gesetzt
sind, dass auf den CRL-Distributionsserver zugegriffen werden kann.
Strikte Richtlinie: Wenn Sie diese Option auswhlen, werden alle Partnerzertifikate ohne
eine zugehrige CRL zurckgewiesen.
Probi ng von vertei lten Schlsseln
Fr IPsec-Verbindungen, die imNur-Antworten-Modus (engl. respond-only) arbeiten, knnen
Sie festlegen, dass mehrere verteilte Schlssel (PSK, engl. preshared keys) fr jede IPsec-Ver-
bindung zugelassen sind.
Probing von verteilten Schlsseln aktivieren: Markieren Sie das Auswahlkstchen, um
die Funktion zu aktivieren. Diese Option betrifft L2TP-ber-IPsec-, IPsec-Fernzugriff- und
IPsec-Site-to-Site-Verbindungen.
16.4.4 Fehlersuche
IKE-Fehlersuche
580 UTM9 WebAdmin
16.5 HTML5-VPN-Portal
Das HTML5-VPN-Portal ermglicht Benutzern in externen Netzwerken den Zugriff auf interne
Ressourcen ber vorkonfigurierte Verbindungstypen und einen normalen Webbrowser ohne
zustzliche Plug-ins. Der Benutzer meldet sich dafr amBenutzerportal von UTMan. Auf der
Registerkarte HTML5-VPN-Portal wird eine Liste aller Verbindungen angezeigt, die fr diesen
Benutzer definiert sind. Wenn der Benutzer auf die Schaltflche Verbinden klickt, wird eine Ver-
bindung zur festgelegten internen Ressource hergestellt. Als Administrator mssen Sie diese
Verbindungen vorher erstellen und die zugelassenen Benutzer, den Verbindungstyp und ande-
re Einstellungen festlegen. Der Zugriff auf interne Ressourcen kann ber verschiedene Ver-
bindungstypen erfolgen: Remote Desktop Protocol (RDP) oder Virtual Network Computing
(VNC) fr den Zugriff auf entfernte Computer, ein Browser fr Webanwendungen
(HTTP/HTTPS) oder Telnet/Secure Shell (SSH) fr Terminal-Sitzungen. ber das HTML5-
VPN-Portal knnen jedoch keine Inhalte, z.B. ber HTTP, auf den lokalen Rechner des Benut-
zers heruntergeladen werden.
Mit dieser Funktion knnen Sie mehreren Benutzern Zugriff auf interne Ressourcen geben,
auch wenn diese von sich aus keinen Mehrbenutzerzugriff untersttzen (z.B. Netz-
werkhardware wie Switches). Auch lsst sich damit der Zugriff auf einen bestimmten Dienst
beschrnken, anstatt Vollzugriff auf ganze Systeme oder Netzwerke zu gewhren.
Beispiele:
UTM9 WebAdmin 581
16 Fernzugriff 16.5 HTML5-VPN-Portal
16.5 HTML5-VPN-Portal 16 Fernzugriff
l Geben Sie einemTelekommunikationsanbieter beschrnkten Zugriff, damit er Ihre Tele-
foninfrastruktur warten kann.
l Erlauben Sie den Zugriff auf eine bestimmte interne Website, z.B. das Intranet.
Hinweis Der Browser des Benutzers muss HTML5 untersttzen. Die folgenden Browser
untersttzen die HTML5-VPN-Funktion: Firefox ab Version 6.0, Internet Explorer ab Version
10, Chrome, Safari ab Version 5 (nicht beimBetriebssystemWindows).
16.5.1 Allgemein
Auf der Registerkarte Fernzugriff >HTML5-VPN-Portal >Allgemein knnen Sie das HTML5-
VPN-Portal einschalten und die VPN-Portal-Verbindungen verwalten. Beachten Sie, dass die
Zahl der Verbindungen auf 100 begrenzt ist. Zugelassene Benutzer knnen auf der Regis-
terkarte HTML5-VPN-Portal imBenutzerportal auf die fr sie freigegebenen Verbindungen
zugreifen.
Umdas HTML5-VPN-Portal zu aktivieren und eine neue HTML5-VPN-Verbindung zu erstel-
len, gehen Sie folgendermaen vor:
1. Aktivieren Sie das HTML5-VPN-Portal.
Der Schieberegler wird grn und die Elemente auf der Seite knnen bearbeitet werden.
Jetzt knnen zugelassene Benutzer alle vorhandenen, fr sie freigegebenen Ver-
bindungen imBenutzerportal sehen.
2. Klicken Sie auf die Schaltflche Neue HTML5-VPN-Portal-Verbindung.
Das Dialogfeld HTML5-VPN-Portal-Verbindung hinzufgen wird geffnet.
Verbindungstyp: Whlen Sie den Verbindungstyp aus. Je nachdem, welchen Ver-
bindungstyp Sie auswhlen, werden unterschiedliche Parameter angezeigt. Die fol-
genden Typen sind verfgbar:
l Remotedesktop: Fernzugriff ber Remote Desktop Protocol (RDP), z.B. fr
eine Remotedesktopsitzung auf einemWindows-Host.
l Webapp (HTTP): Browserbasierter Zugriff auf Webanwendungen ber HTTP.
582 UTM9 WebAdmin
l Webapp (HTTPS): Browserbasierter Zugriff auf Webanwendungen ber
HTTPS.
Hinweis Die fr dieHTTP/HTTPS-Verbindung verwendete URL setzt sich
aus den Verbindungsoptionen Ziel, Port und Pfad zusammen. Die Weban-
wendung muss mit Mozilla Firefox (ab Version 6.0) kompatibel sein.
l Telnet: Terminalzugriff ber das Telnet-Protokoll, z.B. fr den Zugriff auf einen
Switch oder einen Drucker.
l SSH: Terminalzugriff ber SSH.
l VNC: Fernzugriff ber Virtual Network Computing (VNC), z.B. fr eine Remo-
tedesktopverbindung mit einemLinux/Unix-Host.
Hinweis ImMoment wird nur die klassischeVNC-Authentifizierung
(nurKennwort) untersttzt. Stellen Sie sicher, dass Ihr Server entsprechend ein-
gerichtet ist.
Ziel: Whlen Sie hier den Host aus, mit demsich zugelassene Benutzer verbinden dr-
fen, oder fgen Sie ihn hinzu.Das Hinzufgen einer Definition wird auf der Seite Defi-
Hinweis Wenn der ausgewhlte Zielhost ein selbstsigniertes Zertifikat bereitstellt,
muss der CN(Common Name) des Zertifikats mit demNamen Ihres Zielhosts ber-
einstimmen. Andernfalls wird demBenutzer imPortal-Browser ein Warnhinweis ange-
zeigt. Wenn Sie zumBeispiel den DNS-Host www.meinedomaene.de verwenden,
muss dieser Name imselbstsignierten Zertifikat enthalten sein. Wenn Sie anstelle eines
DNS-Hosts einen Host verwenden, muss das selbstsignierte Zertifikat die IP-Adresse
des Hosts als Subject Alternative Name enthalten.
Pfad (nur bei den Webapp-Verbindungstypen): Geben Sie den Pfad ein, mit demsich
zugelassene Benutzer verbinden drfen.
Benutzername (nur beimVerbindungstyp SSH): Geben Sie den Benutzernamen ein,
den der Benutzer fr die Verbindung verwenden soll.
UTM9 WebAdmin 583
16.5 HTML5-VPN-Portal 16 Fernzugriff
Automatisch anmelden/Automatisch anmelden (einfache Auth.): Wenn aktiviert,
knnen sich Benutzer ohne Kenntnis der Authentifizierungsdaten anmelden. In diesem
Fall mssen Sie die Authentifizierungsdaten bereitstellen. Je nach Verbindungstyp wer-
den unterschiedliche Optionen angezeigt:
l Benutzername: Geben Sie den Benutzernamen ein, den Benutzer fr die Ver-
bindung verwenden sollen.
l Kennwort: Geben Sie das Kennwort ein, das Benutzer fr die Verbindung ver-
wenden sollen.
Hinweis Wenn Sie den Verbindungstyp Telnet verwenden, funktioniert die
automatische Anmeldung aus Sicherheitsgrnden nur dann, wenn die Lnge
des Banners, das vomTelnet-Server gesendet wird, 4.096 Zeichen (inklusive
Kennwort-Aufforderung) nicht berschreitet. Wenn das Banner lnger ist,
schlgt die Anmeldung fehl. Reduzieren Sie in diesemFall die Bannerlnge oder
schalten Sie auf manuelle Anmeldung um.
l Authentifizierungsmethode (nur beimVerbindungstyp SSH): Whlen Sie die
SSH-Authentifizierungsmethode. Sie knnen entweder das Kennwort fr den aus-
gewhlten Benutzernamen angeben oder den Privaten SSH-Schlssel fr die
SSH-Verbindung.
SSL-Hostzertifikat (nur beimVerbindungstyp HTTPS): Fgen Sie das SSL-Host-
Sicherheitszertifikat hinzu, mit demder Zielhost identifiziert wird.
l SSL-Zertifikat:Klicken Sie auf die Schaltflche Abrufen, umdas Zertifikat auto-
matisch zumausgewhlten Zielhost hinzuzufgen.
ffentlicher Host-Schlssel (nur beimVerbindungstyp SSH):Fgen Sie den ffent-
lichen Schlssel desSSH-Hosts hinzu.
l ffentlicher SSH-Schlssel: Klicken Sie auf die Schaltflche Abrufen, umden
ffentlichen SSH-Schlssel des ausgewhlten Zielhosts automatisch abzurufen.
Zugelassene Benutzer (Benutzerportal): Select the users or groups or add the new
users that should be allowed to use the VPNPortal connection. Standardmig kann
eine Verbindung immer nur von einemBenutzer gleichzeitig verwendet werden. Wenn
Sie mchten, dass eine Verbindung von mehreren Benutzern gleichzeitig verwendet wer-
den kann, aktivieren Sie das Auswahlkstchen Gemeinsame Sitzung imAbschnitt Erwei-
584 UTM9 WebAdmin
tert.Das Hinzufgen eines Benutzers wird auf der Seite Definitionen &Benutzer >Benut-
zer &Gruppen >Benutzer erlutert.
Hinweis Wenn Sie eine Gruppe mit Backend-Mitgliedschaft hinzufgen, muss diese
Gruppe fr das Benutzerportal zugelassen sein. Auf der Registerkarte Verwaltung >
Benutzerportal >Allgemein whlen Sie dafr entweder Alle Benutzer zulassen oder
Nur bestimmte Benutzer zulassen und fgen Sie die fragliche Gruppe explizit hinzu.
Wenn Sie nur einzelne Gruppenmitglieder fr das Benutzerportal zulassen, erhalten
diese keinen Zugriff auf die Verbindungen, die fr die Gruppe zugelassen sind.
zu.
Port: Geben Sie eine Portnummer fr die Verbindung ein. Standardmig ist dies der
Standardport des ausgewhlten Verbindungstyps.
Protokollsicherheit (nur beimVerbindungstyp Remotedesktop): Whlen Sie das
Sicherheitsprotokoll fr die Remotedesktopsitzung. Sie knnen zwischen RDP, TLSund
NLA(Network Level Authentication) whlen. Ihre Einstellung muss mit der auf demSer-
ver bereinstimmen. Fr NLAmssen Sie oben Automatisch anmelden auswhlen.
Gemeinsame Sitzung:Whlen Sie diese Option, damit eine Verbindung von mehreren
Benutzern gleichzeitig verwendet werden kann. Den Benutzern wird derselbe Bildschirm
angezeigt.
Externe Ressourcen erlauben (nur bei den Verbindungstypen Webapp (HTTP/S)):
Geben Sie zustzliche Ressourcen an, auf die ber diese Verbindung zugegriffen wer-
den darf. Dies ist beispielsweise ntzlich, wenn Bilder oder andere Ressourcen auf
einemanderen Server gespeichert sind als die Webseite selbst. Fr die ausgewhlten
Hosts oder Netzwerkbereiche sind die Ports 80 und 443 erlaubt.
Die neue Verbindung wird in der Liste Verbindungen angezeigt.
6. Aktivieren Sie die Verbindung.
Klicken Sie auf den Schieberegler, umdie Verbindung zu aktivieren.
Die Verbindung kann jetzt von den zugelassenen Benutzern verwendet werden. Sie fin-
den sie auf der Registerkarte HTML5-VPN-Portal des Benutzerportals.
UTM9 WebAdmin 585
16.6 Cisco VPNClient 16 Fernzugriff
Umeine Verbindung zu bearbeiten oder zu lschen, klicken Sie auf die entsprechenden Schalt-
flchen.
16.6 Cisco VPNClient
Sophos UTMuntersttzt IPsec-Fernzugriff ber Cisco VPNClient. Der Cisco VPNClient ist ein
ausfhrbares Programmvon Cisco Systems, das es ermglicht, entfernte Computer auf siche-
re Weise mit einemvirtuellen privaten Netzwerk (VPN, Virtual Private Network) zu verbinden.
16.6.1 Allgemein
Auf der Registerkarte Fernzugriff >Cisco VPNClient >Allgemein knnen Sie die grund-
legenden Optionen fr den Fernzugriff ber Cisco VPNClient konfigurieren.
Umdie Sophos UTMso zu konfigurieren, dass Cisco-VPN-Client-Verbindungen zulssig sind,
gehen Sie folgendermaen vor:
1. Aktivieren Sie Cisco VPN Client auf der Registerkarte Allgemein.
Der Schieberegler wird gelb und der Bereich Servereinstellungen kann bearbeitet wer-
den.
Schnittstelle: Whlen Sie eine Schnittstelle, die fr Cisco-VPN-Client-Verbindungen
verwendet werden soll.
Serverzertifikat: Whlen Sie das Zertifikat, mit demsich der Server gegenber demCli-
ent identifizieren soll.
Pool-Netzwerk: Whlen Sie einen Netzwerk-Pool, dessen virtuelle Netzwerkadressen
den Clients zugewiesen werden sollen, wenn sie sich verbinden. VPNPool (Cisco) ist vor-
ausgewhlt.
erreichbar sein sollen oder fgen Sie welche hinzu. Das Hinzufgen einer Definition wird
auf der Seite Definitionen &Benutzer >Netzwerkdefinitionen >Netzwerkdefinitionen
erlutert.
586 UTM9 WebAdmin
Benutzer und Gruppen: Whlen Sie Benutzer und/oder Gruppen, die sich mit UTM
ber Cisco VPNClient verbinden drfen. Das Hinzufgen eines Benutzers wird auf der
Seite Definitionen &Benutzer >Benutzer &Gruppen >Benutzer erlutert.
Automatische Firewallregeln (optional): Whlen Sie diese Option, umautomatisch
Firewallregeln hinzuzufgen, die Datenverkehr fr diese Verbindung zulassen. Die
Regeln werden hinzugefgt, sobald die Verbindung aktiviert wird und sie werden ent-
fernt, wenn die Verbindung deaktiviert wird.
Li ve-Protokoll
Verwenden Sie das Live-Protokoll, umdie Verbindungs-Protokolleintrge des IPsec-IKE-Dae-
mon-Protokolls zu verfolgen. Es zeigt Informationen zumAufbau, der Aufrechterhaltung und
der Beendigung von Verbindungen an.
16.6.2 iOS-Gerte
Sie knnen ermglichen, dass Benutzern von iOS-Gerten eine automatische Cisco-IPsec-
Konfiguration imBenutzerportal angeboten wird.
Verbindungsname: Geben Sie einen aussagekrftigen Namen fr die Cisco IPsec-Ver-
bindung ein, sodass iOS-Benutzer die Verbindung identifizieren knnen, die sie imBegriff sind
aufzubauen. Der Name Ihrer Firma gefolgt vomProtokoll Cisco IPsec ist voreingestellt.
wird.
UTM9 WebAdmin 587
16 Fernzugriff 16.6 Cisco VPNClient
16.6 Cisco VPNClient 16 Fernzugriff
VPN-Verbindung bei Bedarf aufbauen: Whlen Sie diese Option, umautomatisch eine
VPN-Verbindung aufzubauen, sobald es eine bereinstimmung mit einemder Hostnamen
oder einer der Domnen gibt.
l bereinstimmung mit Domne oder Host: Geben Sie die Domnen und Host-
namen ein, fr die Sie bei Bedarf VPN-Verbindungen aufbauen wollen. Das knnte bei-
spielsweise Ihr lokales Intranet sein.
l Nur aufbauen, wenn DNS-Lookup fehlschlgt:Standardmig wird die VPN-Ver-
bindung nur aufgebaut, nachdemein DNS-Lookup fehlgeschlagen ist. Ist die Option
nicht ausgewhlt, wird die VPN-Verbindung aufgebaut, unabhngig davon ob der Host-
name aufgelst werden kann oder nicht.
Beachten Sie, dass iOS-Gerten, die sich verbinden, das Serverzertifikat gezeigt wird, das auf
der Registerkarte Allgemein definiert ist. Das iOS-Gert berprft dann, ob die VPN-IDdieses
Zertifikats mit demServer-Hostnamen bereinstimmt, und lehnt die Verbindung ab, wenn es
keine bereinstimmung gibt. Wenn das Serverzertifikat einen Distinguished Name als VPN-ID
verwendet, vergleicht das iOS-Gert den Server-Hostnamen stattdessen mit demFeld All-
gemeiner Name (Common Name). Sie mssen sicherstellen, dass das Server-Zertifikat diese
Bedingungen erfllt.
beregler.
16.6.3 Fehlersuche
IKE-Fehlersuche
588 UTM9 WebAdmin
16.7 Erweitert
Auf der Seite Fernzugriff >Erweitert knnen Sie die erweiterten Einstellungen fr die Fern-
zugriff-Clients durchfhren. Die IP-Adressen der DNS- und WINS-Server, die Sie hier ange-
ben, werden fr die Nutzung durch Fernzugriff-Clients whrend des Verbindungsaufbaus mit
demGateway zur Verfgung gestellt, wodurch eine vollstndige Namensauflsung fr Ihre
Domne gewhrleistet wird.
DNS-Server: Sie knnen bis zu zwei DNS-Server fr Ihr Unternehmen definieren.
WINS-Server: Sie knnen bis zu zwei WINS-Server fr Ihr Unternehmen definieren. Windows
Internet Naming Service (WINS, dt. Windows Internet Namensdienst) ist Microsofts Imple-
mentierung des NetBIOSName Servers (NBNS) fr Windows-Betriebssysteme. ImPrinzip
fhrt WINSfr NetBIOS-Namen das durch, was DNSfr Domnennamen durchfhrt: einen
zentralen Abgleich zwischen Hostnamen und IP-Adressen.
Domnenname: Geben Sie den Hostnamen Ihrer UTMals Fully Qualified Domain Name
(FQDN) an. Der Fully Qualified Domain Name ist ein eindeutiger Domnenname, der in einer
DNS-Baumstruktur die absolute Position des Knotens spezifiziert, z.B. utm.beispiel.de. Ein
Hostname darf aus alphanumerischen Zeichen, Punkten und Bindestrichen bestehen. Am
Ende des Hostnamens muss ein spezieller Bezeichner wie z. B. com, orgoder destehen. Der
Hostname wird u. a. in Benachrichtigungs-E-Mails verwendet, umdie UTMzu identifizieren.
Hinweis Bei PPTPund L2TPber IPsec kann der Domnenname nicht automatisch ver-
teilt werden er muss auf demClient manuell konfiguriert werden.
Bei iOS-Gerten, die Cisco VPNClient verwenden, wird der oben angegebene DNS-Server
nur dazu verwendet, Hosts aufzulsen, die zu der definierten Domne gehren.
ber das Men Fernzugriff >Zertifikatverwaltung, das dieselben Konfigurationsoptionen ent-
hlt wie das Men Site-to-Site-VPN>Zertifikatverwaltung, knnen Sie alle zertifikatbezogenen
UTM9 WebAdmin 589
16 Fernzugriff 16.7 Erweitert
16.8 Zertifikatverwaltung 16 Fernzugriff
Vorgnge von Sophos UTMverwalten. Das beinhaltet unter anderemdas Anlegen und Impor-
tieren von X.509-Zertifikaten ebenso wie das Hochladen sogenannter Zertifikatsperrlisten
(CRLs).
16.8.1 Zertifikate
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Zertifikate.
16.8.2 CA
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >CA.
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Sperrlisten (CRLs).
16.8.4 Erweitert
Gehen Sie zu Site-to-Site-VPN>Zertifikatverwaltung >Erweitert.
590 UTM9 WebAdmin
17 Protokolle & Berichte
Dieses Kapitel beschreibt die Protokoll- und Berichtsfunktionen von Sophos UTM.
Sophos UTMbietet umfangreiche Protokollfunktionen, indemes die verschiedenen Ereignisse
betreffend den Schutz des Systems und des Netzwerks ununterbrochen aufzeichnet. Die detail-
lierten Protokollaufzeichnungen ermglichen sowohl rckblickende als auch aktuelle Analysen
der verschiedenen Netzwerkaktivitten, durch die potenzielle Sicherheitsbedrohungen iden-
tifiziert oder aufkommende Probleme verhindert werden knnen.
Die Berichtsfunktion von Sophos UTMbietet System- und Netzwerkinformationen in Echtzeit.
Dafr werden die Informationen aus den Protokolldateien gesammelt und in grafischer Form
dargestellt.
Die Seite Protokollpartitionsstatus imWebAdmin zeigt den aktuellen Status der Pro-
tokollpartition auf Sophos UTMan, einschlielich Informationen ber verbleibenden Spei-
cherplatz und Zuwachsrate sowie ein Histogrammber die Nutzung der Protokollpartition in
den letzten vier Wochen. Fr die Berechnung der durchschnittlichen Zuwachsrate wird das
aktuelle Datenvolumen durch die verstrichene Zeit dividiert die Angaben sind daher zu Beginn
etwas ungenau.
l Protokollansicht
l Hardware
l Netzwerknutzung
l Network Protection
l Web Protection
l Email Protection
l Fernzugriff
l Gesamtberich
l Protokolleinstellungen
l Berichteinstellungen
17 Protokolle & Berichte
Berichtsdaten-Diagramme
Sophos UTMzeigt Berichtsdaten als Linien- und Tortendiagramme an. Die Interaktivitt dieser
Diagramme ermglicht einen feingranularen Zugang zu den Daten.
Liniendiagramme
Die Interaktion mit Liniendiagrammen ist einfach:Wenn Sie mit demMauszeiger ber das Dia-
grammfahren, wird ein Punkt angezeigt, der Ihnen detaillierte Informationen zu diesemTeil
des Diagramms liefert. Der Punkt haftet an der Linie des Diagramms. Er folgt den Bewegungen
des Mauszeigers. Wenn ein Diagrammmehrere Linien hat, wechselt der Punkt zwischen
ihnen, je nachdem, wohin Sie den Mauszeiger bewegen. Darber hinaus ndert der Punkt sei-
ne Farbe in Abhngigkeit davon, auf welche Linie sich seine Informationen beziehen. Das ist
besonders ntzlich, wenn Linien eng nebeneinander liegen.
Figure 31 Berichte: Beispiel eines Liniendiagramms
Tortendiagramme
Mit den Tortendiagrammen knnen Sie wie mit den Liniendiagrammen interagieren: Fahren
Sie mit demMauszeiger ber ein Stck eines Tortendiagramms. Dieses Stck wird sofort vom
Rest des Tortendiagramms hervorgehoben und der Tooltip zeigt Informationen zumher-
vorgehobenen Stck.
Figure 32 Berichte: Beispiel eines Tortendiagramms
592 UTM9 WebAdmin
17.1 Protokollansicht
ImMen Protokolle &Berichte >Protokollansicht knnen die verschiedenen Protokolldateien
angesehen und durchsucht werden.
17.1.1 Heutige Protokolldateien
Auf der Registerkarte Protokolle &Berichte >Protokollansicht >Heutige Protokolldateien kn-
nen Sie auf alle aktuellen Protokolldateien zugreifen.
Diese Registerkarte bietet auerdemeinige Aktionen, die auf alle Protokolldateien ange-
wendet werden knnen. Die folgenden Aktionen sind mglich:
l Live-Protokoll: Ein Klick auf diese Schaltflche ffnet ein neues Fenster, in demSie
das Protokoll in Echtzeit mitverfolgen knnen. Neue Zeilen werden der Protokolldatei in
Echtzeit hinzugefgt. Wenn Sie Autoscroll auswhlen, luft der Text imFenster mit,
sodass immer die aktuellsten Eintrge angezeigt werden. Des Weiteren knnen Sie mit
der Filterfunktion die Anzeige neuer Protokolleintrge einschrnken, sodass nur jene Ein-
trge angezeigt werden, die mit demAusdruck imFilter bereinstimmen.
l Anschauen: Ein Pop-Up-Fenster wird geffnet, in demder aktuelle Stand der Pro-
tokolldatei angezeigt wird.
l Lschen: Lscht den Inhalt der Protokolldatei.
Mit der Auswahlliste unterhalb der Tabelle knnen Sie vorher ausgewhlte Protokolldateien
entweder als zip-Datei herunterladen oder den Inhalt der Dateien auf einmal lschen.
17.1.2 Archivierte Protokolldateien
Auf der Registerkarte Protokolle &Berichte >Protokollansicht >Archivierte Protokolldateien
knnen Sie das Protokollarchiv verwalten. Alle Protokolldateien werden tglich archiviert. Um
auf eine archivierte Protokolldatei zuzugreifen, whlen Sie das Teilsystemvon Sophos UTM
aus, fr das die Protokolle erstellt werden, sowie ein Jahr und einen Monat.
Alle verfgbaren Protokolldateien, die Ihrer Auswahl entsprechen, werden in chronologischer
Reihenfolge angezeigt. Sie knnen die archivierten Protokolldateien entweder anzeigen oder
imzip-Format herunterladen.
UTM9 WebAdmin 593
17 Protokolle & Berichte 17.1 Protokollansicht
17.2 Hardware 17 Protokolle & Berichte
Mit der Auswahlliste unterhalb der Tabelle knnen Sie vorher ausgewhlte Protokolldateien
entweder als zip-Datei herunterladen oder alle auf einmal lschen.
17.1.3 Protokolldateien durchsuchen
Auf der Registerkarte Protokolle &Berichte >Protokollansicht >Protokolldateien durchsuchen
knnen Sie Ihre lokalen Protokolldateien nach bestimmten Zeitrumen durchsuchen. Whlen
Sie zunchst eine Protokolldatei, die Sie durchsuchen wollen. Geben Sie dann einen Such-
begriff ein und whlen Sie einen Zeitraum. Wenn Sie Benutzerdefinierter Zeitraumunter Zeit-
raumauswhlen, knnen Sie ein Start- und Enddatumangeben. NachdemSie auf Suche star-
ten geklickt haben, wird ein neues Fenster geffnet, in demdie Ergebnisse Ihrer Suche
angezeigt werden. Je nach Browser kann es ntig sein, Pop-Up-Fenster fr WebAdmin zu
erlauben.
Wenn Sie Webfilter oder Endpoint Web Protection aus der Liste der zumDurchsuchen aus-
gewhlten Protokolldateien auswhlen, sind drei weitere Filterkategorien verfgbar. Sie kn-
nen nach einemspezifischen Benutzer, einer spezifischen URL und einer spezifischen Aktion
suchen.
l Benutzer: Sucht in den Protokolldateien nach demvollstndigen Benutzernamen.
l URL: Sucht nach einemTeilausdruck einer URL.
l Aktion: Auswahlliste mit verschiedenen Aktionen.
Hinweis Wenn Sie das Kontrollkstchen unter demSuchbegriff auswhlen, knnen Sie
optional dieselbe Suche fr Webfilter und Endpoint Protection gleichzeitig ausfhren.
17.2 Hardware
Das Men Protokolle &Berichte >Hardware bietet einen statistischen berblick ber die Ver-
wendung der Hardware-Komponenten fr unterschiedliche Zeitrume.
17.2.1 Tglich
Die Registerkarte Hardware >Tglich bietet umfangreiche statistische Informationen zu den fol-
genden Hardware-Komponenten fr die letzten 24 Stunden:
594 UTM9 WebAdmin
l CPUUsage: CPU-Auslastung
l Speichernutzung: Speicher- bzw. Swap-Auslastung
l Partitionsnutzung: Speicherplatzbelegung der verschiedenen Partitionen
CPU Usage: Das Diagrammzeigt die aktuelle Auslastung des Prozessors in Prozent an.
Speichernutzung: Das Diagrammzeigt die Auslastung von Speicher und Swap in Prozent
an. Die Swap-Auslastung hngt stark von Ihrer Systemkonfiguration ab. Die Aktivierung von
Systemdiensten wie Intrusion Prevention oder den Proxy-Servern fhrt zu einer hheren Spei-
cherauslastung. Wenn kein freier Hauptspeicher mehr zur Verfgung steht, erfolgt der Zugriff
auf den virtuellen Speicher (Swap), wodurch sich die gesamte Leistungsfhigkeit des Systems
verschlechtert. Die Nutzung von Swap sollte so gering wie mglich sein. Umdas zu erreichen,
sollten Sie den verfgbaren Hauptspeicher erhhen.
Partitionsnutzung: Die Diagramme zeigen die Auslastung ausgewhlter Partitionen in Pro-
zent an, wobei jede Partition durch einen eigenen Graph dargestellt wird:
l Root: Die Root-Partition ist die Partition, in der sich das Root-Verzeichnis der Sophos
UTMbefindet. Hier werden auch die Aktualisierungspakete und Backups gespeichert.
l Log: Die Log-Partition ist die Partition, in der Protokolldateien und Berichtsdaten gespei-
chert werden. Wenn auf dieser Partition der freie Speicherplatz zur Neige geht, passen
Sie unter Protokolle &Berichte >Protokolleinstellungen >Lokale Protokollierung die Ein-
stellungen an.
l Storage: Die Speicherpartition ist die Partition, in der Proxy-Dienste ihre Daten spei-
chern, z.B. Bilder fr den Webfilter, Meldungen fr den SMTP-Proxy, E-Mails in Qua-
rantne usw. Darber hinaus befinden sich hier die Datenbank, temporre Daten und
Konfigurationsdateien.
17.2.2 Wchentlich
Die Registerkarte Hardware >Wchentlich bietet umfangreiche statistische Informationen zu
ausgewhlten Hardware-Komponenten fr die letzten sieben Tage. Die Histogramme werden
unter Tglich beschrieben.
17.2.3 Monatlich
Die Registerkarte Hardware >Monatlich bietet umfangreiche statistische Informationen zu aus-
gewhlten Hardware-Komponenten fr die letzten vier Wochen. Die Histogramme werden
UTM9 WebAdmin 595
17 Protokolle & Berichte 17.2 Hardware
17.3 Netzwerknutzung 17 Protokolle & Berichte
17.2.4 Jhrlich
Die Registerkarte Hardware >Jhrlich bietet umfangreiche statistische Informationen zu aus-
gewhlten Hardware-Komponenten fr die letzten zwlf Monate. Die Histogramme werden
17.3 Netzwerknutzung
Das Men Protokolle &Berichte >Netzwerknutzung bietet einen statistischen berblick ber
den Datenverkehr, der jede Schnittstelle der Sophos UTMpassiert, fr verschiedene Zeitru-
me. Zur Darstellung werden die folgenden Maeinheiten verwendet:
l u (Micro, 10
-6
)
l m(Milli, 10
-3
)
l k (Kilo, 10
3
)
l M(Mega, 10
6
)
l G(Giga, 10
9
)
Beachten Sie, dass die Skalierung zwischen 10
-18
bis 10
8
variiert.
17.3.1 Tglich
Die Registerkarte Netzwerknutzung >Tglich bietet umfangreiche statistische Informationen
zumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten 24 Stunden.
Jedes Diagrammenthlt zwei grafische Darstellungen:
l Inbound: Eingehender Datenverkehr auf dieser Schnittstelle in Bits pro Sekunde.
l Outbound: Ausgehender Datenverkehr auf dieser Schnittstelle in Bits pro Sekunde.
Das DiagrammGleichzeitige Verbindungen zeigt die Anzahl der gleichzeitigen Verbindungen.
596 UTM9 WebAdmin
17.3.2 Wchentlich
Die Registerkarte Netzwerknutzung >Wchentlich bietet umfangreiche statistische Infor-
mationen zumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten sieben Tagen.
Die Histogramme werden unter Tglich beschrieben.
17.3.3 Monatlich
Die Registerkarte Netzwerknutzung >Monatlich bietet umfangreiche statistische Informationen
zumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten vier Wochen. Die Histo-
gramme werden unter Tglich beschrieben.
17.3.4 Jhrlich
Die Registerkarte Netzwerknutzung >Jhrlich bietet umfangreiche statistische Informationen
zumDatendurchsatz jeder konfigurierten Schnittstelle in den letzten zwlf Monaten. Die Histo-
gramme werden unter Tglich beschrieben.
17.3.5 Bandbreitennutzung
Die Registerkarte Netzwerknutzung >Bandbreitennutzung bietet umfangreiche statistische
Informationen zu Datenverkehr, der an, von und durch das Systemgesendet wurde.
Whlen Sie in der ersten Auswahlliste die Art der Daten, die Sie anzeigen mchten, z.B. Hu-
figste Clients oder Hufigste Dienste nach Client.Whlen Sie den gewnschten Eintrag und,
falls ein zustzliches Feld angezeigt wird, geben Sie das entsprechende Filterkriteriumein. Sie
knnen die Daten zustzlich mit Hilfe der Auswahlliste darunter nach Zeit filtern. Klicken Sie
immer auf Aktualisieren, umden Filter anzuwenden.
In den Ansichten Nach Client und Nach Server knnen Sie manuell eine IP, ein Netzwerk oder
einen Netzwerkbereich (z.B. 192.168.1.0/24oder 10/8) eingeben. Bei den Ansichten nach
Dienst knnen Sie ein Protokoll und einen Dienst, getrennt durch ein Komma, angeben (z.B.
TCP,SMTP, UDP,6000). Ohne Angabe des Protokolls wird automatisch von TCPaus-
gegangen (HTTPist z.B. auch gltig).
Wenn Sie in den Ansichten Hufigste Clients und Hufigste Server auf eine IPoder einen Host-
namen in der Ergebnistabelle klicken, wird diese(r) automatisch als Filter fr die Ansicht Hu-
figste Dienste nach Client oder Hufigste Dienste nach Server verwendet. Wenn Sie in den
UTM9 WebAdmin 597
17 Protokolle & Berichte 17.3 Netzwerknutzung
17.4 Network Protection 17 Protokolle & Berichte
Ansichten Hufigste Dienste, Hufigste Anwendungen und Hufigste Anwendungskategorien
auf einen Dienst, eine Anwendung oder eine Anwendungskategorie in der Ergebnistabelle kli-
cken, wird diese(r) automatisch als Filter fr die Ansicht Hufigste Clients nach Dienst, Hu-
figste Clients nach Anwendung oder Hufigste Clients nach Kategorie verwendet.
Hufigste Anwendungen/Hufigste Anwendungskategorien: Ist Application Control
deaktiviert, wird der Netzwerkverkehr als nicht klassifiziertangezeigt. Ist Application Control
aktiviert, wird der Netzwerkverkehr nach Typ angezeigt, z.B. WebAdmin, NTP, facebook
usw. Weitere Informationen zu Application Control finden Sie imKapitel Web Protection >App-
lication Control.
Bitte beachten Sie, dass die Bezeichnungen EINund AUSfr Datenverkehr je nach Betrach-
tungsweise variieren knnen. Wenn der Proxy eingeschaltet ist, verbinden sich die Clients auf
Port 8080mit der UTM(auch imTransparenzmodus), sodass Daten, die von den Clients
gesendet werden (die Anfrage), auf der internen Netzwerkschnittstelle als eingehender Ver-
kehr, und Daten, die an den Client gesendet werden (die Antwort), als ausgehender Verkehr
angesehen werden.
Standardmig werden 20 Eintrge pro Seite angezeigt. Wenn es mehr Daten gibt, knnen
Sie mit Hilfe der Vorwrts- und Rckwrts-Symbole durch die Daten navigieren. Mit Hilfe der
Auswahlliste Zeilen pro Seite knnen Sie die Anzahl der Eintrge pro Seite erhhen.
Sie knnen die Daten sortieren, indemSie auf eine Spaltenberschrift der Tabelle klicken.Um
beispielsweise alle Hosts nach demeingehenden Verkehr zu sortieren, klicken Sie in der Tabel-
lenberschrift auf EIN. Der Host mit demmeisten Datenverkehr wird dann ganz oben ange-
zeigt. Beachten Sie, dass die Informationen fr den Datenverkehr in Kibibyte (KiB) und Mebi-
byte (MiB), beides Computerspeicher-Einheiten mit der Basis 2, angegeben sind (z.
B. 1 Kibibyte
= 2
10 Byte =1024 Byte).
Sie knnen die Daten imPDF- oder Excel-Format herunterladen, indemSie auf das ent-
sprechende Symbol in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus
der aktuell gewhlten Ansicht generiert. Zustzlich knnen Sie ein Tortendiagrammanzeigen
lassen, indemSie auf das Tortendiagramm-Symbol falls vorhanden klicken.
17.4 Network Protection
Die Registerkarten des Mens Protokolle &Berichte >Network Protection bieten einen sta-
tistischen berblick ber Ereignisse imAngriffschutzsystemdes Netzwerks, die von Sophos
UTMregistriert wurden.
598 UTM9 WebAdmin
17.4.1 Tglich
Die Registerkarte Network Protection >Tglich bietet umfangreiche statistische Informationen
zu den folgenden Ereignissen der letzten 24 Stunden:
l Firewallverste
l Intrusion-Prevention-Ereignisse
Firewallverste (Firewall Violations): Jedes verworfene oder abgelehnte Datenpaket wird
als Versto gegen die Firewallregeln gewertet. Die Anzahl der Firewallverste wird ber
einen Zeitraumvon fnf Minuten errechnet.
Intrusion-Prevention-Statistik (Angriffschutz-Statistik): Alle Diagramme enthalten zwei Lini-
en:
l Alarme (Alert Events): Die Anzahl der Datenpakete, die einen Angriff-Alarmausgelst
haben.
l Verwrfe (Drop Events): Die Anzahl der Datenpakete, die durch das Angriff-
schutzsystemverworfen wurden.
17.4.2 Wchentlich
Auf der Registerkarte Network Protection >Wchentlich erhalten Sie einen statistischen ber-
blick ber Firewallverste und Ereignisse imAngriffschutzsystemder letzten sieben Tage.
Die Histogramme werden unter Tglich beschrieben.
17.4.3 Monatlich
Auf der Registerkarte Network Protection >Monatlich erhalten Sie einen statistischen berblick
ber Firewallverste und Ereignisse imAngriffschutzsystemder letzten vier Wochen. Die
Histogramme werden unter Tglich beschrieben.
17.4.4 Jhrlich
Auf der Registerkarte Network Protection >Jhrlich erhalten Sie einen statistischen berblick
ber Firewallverste und Ereignisse imAngriffschutzsystemder letzten zwlf Monate. Die
Histogramme werden unter Tglich beschrieben.
UTM9 WebAdmin 599
17 Protokolle & Berichte 17.4 Network Protection
17.4 Network Protection 17 Protokolle & Berichte
17.4.5 Firewall
Die Registerkarte Network Protection >Firewall stellt umfassende Daten ber die Firewall-Akti-
vitten, aufgeschlsselt nach Quell-IP, Quellhosts, Anzahl empfangener Pakete und Anzahl von
Diensten, bereit.
Hinweis Pakete mit einer TTL kleiner oder gleich eins werden verworfen, ohne protokolliert
zu werden.
figste Quellhosts oder Hufigste Dienste nach Ziel.Whlen Sie den gewnschten Eintrag und,
In den Ansichten Nach Quelle und Nach Ziel knnen Sie manuell eine IP, ein Netzwerk oder
einen Netzwerkbereich (z.B. 192.168.1.0/24oder 10/8) eingeben. In den Ansichten nach
TCP,SMTPoder UDP,6000).
Wenn Sie in den Ansichten Hufigste Quellhosts und Hufigste Zielhosts auf eine IPoder einen
Hostnamen in der Ergebnistabelle klicken, wird diese(r) automatisch als Filter fr die Ansicht
Hufigste Dienste nach Quelle oder Hufigste Dienste nach Ziel verwendet. Wenn Sie in der
Ansicht Hufigste Dienste auf einen Dienst in der Ergebnistabelle klicken, wird dieser auto-
matisch als Filter fr die Ansicht Hufigste Quellhosts nach Diensten verwendet.
Sie knnen die Daten sortieren, indemSie auf eine Spaltenberschrift der Tabelle klicken.
600 UTM9 WebAdmin
17.4.6 Advanced Threat Protection
Auf der Registerkarte Network Protection >Advanced Threat Protection finden Sie umfas-
sende Daten zu komplexen Bedrohungen in IhremNetzwerk.
Whlen Sie in der ersten Auswahlliste die Art der Daten, die Sie anzeigen mchten, z. B. Neues-
te Infektionen oder Neueste Infektionen nach Host.Whlen Sie den gewnschten Eintrag und,
In den Ansichten Neueste von Schadsoftware Infizierte und Neueste Infektionen nach Schad-
software knnen Sie manuell nach konkreten Bedrohungen filtern. In den Ansichten Neueste
Infektionen nach Host knnen Sie manuell nach einemkonkreten Host filtern.
17.4.7 IPS
Die Registerkarte Network Protection >IPSbietet umfangreiche Daten zu Intrusion-Pre-
vention- (dt. Angriffsschutz-)Aktivitten in IhremNetzwerk.
figste Quellhosts oder Hufigste Ziele nach Quelle.Whlen Sie den gewnschten Eintrag und,
einen Netzwerkbereich (z.B. 192.168.1.0/24oder 10/8) eingeben. Wenn Sie in den Ansich-
ten Hufigste Quellhosts und Hufigste Zielhosts auf eine IPin der Ergebnistabelle klicken, wird
UTM9 WebAdmin 601
17 Protokolle & Berichte 17.4 Network Protection
17.5 Web Protection 17 Protokolle & Berichte
diese(r) automatisch als Filter fr die Ansicht Hufigste Ziele nach Quelle oder Hufigste Quel-
len nach Ziel verwendet.
17.5 Web Protection
Das Men Protokolle &Berichte >Web Protection bietet einen statistischen berblick ber die
aktivsten Internetnutzer und die amhufigsten aufgerufenen Websites.
17.5.1 Internetnutzung
Die Seite Protokolle &Berichte >Web Protection >Internetnutzung bietet Ihnen vielseitige Funk-
tionen, mit denen Sie sich gezielt ber Ihren Netzwerkverkehr und die Nutzung des Internets
durch Ihre Benutzer informieren knnen. Auf den ersten Blick wirkt die Seite kompliziert, ihre
Verwendung erschliet sich jedoch problemlos durch Ausprobieren.
Web-Surfing-Datenstatistik
Die Erfassung der Web-Surf-Daten erfolgt sitzungsbasiert. UTMunterscheidet zwischen Sit-
zungen pro Benutzer (Wie lange ist dieser Benutzer imInternet gesurft?)und Sitzungen pro
Benutzer und Domne (Wie lange ist dieser Benutzer in dieser Domne gesurft?), wobei es
sich bei der Domne umdie Top-Level-Domne plus einer weiteren wichtigen Ebene handelt.
Umaussagekrftige Nherungswerte zu bekommen, werden alle Daten folgendermaen
erfasst: Jede Web-Anfrage wird anhand des Datenvolumens und der Zeitspanne zwischen
Anfragen protokolliert. Wenn fr eine Dauer von fnf Minuten keine Anfrage erfasst wurde, gilt
die Sitzung als beendet. Damit imNherungswert bercksichtigt wird, dass der Benutzer die
Internetseite eventuell angeschaut hat, auch wenn die Verbindung inaktiv war, wird jeweils eine
Minute beimWert der Verweildauer hinzugefgt. Die Berichtsdaten werden alle 15 Minuten
aktualisiert.
602 UTM9 WebAdmin
Das heit, wenn ein Benutzer z.B. 10 Minuten lang zwischen zwei Domnen wechselt, werden
fr den Benutzer insgesamt 10 Minuten erfasst; fr die Domnen, auf denen der Benutzer
gesurft ist, werden jedoch 20 Minuten aufgezeichnet. Wenn der Benutzer verschiedene Tabs
oder Browser zumSurfen auf einund derselben Domne verwendet, so hat dies keinen Ein-
fluss auf das Ergebnis.
Wenn Clients versuchen, ungltige URLs anzufragen, werden diese vomWebfilter pro-
tokolliert, aber es kann keine Verbindung mit diesen Seiten hergestellt werden. Die Links wer-
den als Fehler gezhlt. Dies sind allerdings keine Fehler der Berichtsfunktion oder des Web-
filters; in den meisten Fllen treten diese Fehler auf, wenn auf einer Internetseite ungltige
oder unvollstndige Links enthalten sind.
Seitenaufbau
Kopfzei le
Zunchst gibt es die Kopfzeile mit folgenden Elementen:
l Startseite: Mithilfe dieses Symbols gelangen Sie zurck zumAnfang, frei von smtlichen
Klicks und Filtern.
l Vorwrts/Rckwrts: Mit Hilfe dieser Symbole knnen Sie imVerlauf Ihrer nde-
rungen und Einstellungen vor- und zurckblttern. Die Funktion hnelt der eines Web-
browsers.
l Verfgbare Berichte: Diese Auswahlliste enthlt alle verfgbaren Berichtstypen, ein-
schlielich (falls vorhanden) Ihrer eigenen gespeicherten Berichte. Sie ist stan-
dardmig auf Sites eingestellt. Der Inhalt der Ergebnistabelle auf der Seite
Internetnutzung hngt unmittelbar von dieser Berichtstyp-Einstellung ab.
Hinweis Wenn Sie Filter verwenden und anschlieend die Berichte durchgehen,
sehen Sie, dass die Einstellung Verfgbare Berichte automatisch gendert wurde. Sie
zeigt stets die jeweils aktuelle Berichtsgrundlage an.
Standard: Es stehen mehrere Berichtstypen zur Verfgung; ausfhrlichere Infor-
mationen hierzu finden Sie weiter unten.
Gespeicherte Webberichte: Hier knnen Sie gespeicherte Webberichte auswhlen,
die Sie bereits erstellt haben.
UTM9 WebAdmin 603
17 Protokolle & Berichte 17.5 Web Protection
l Lschen: Klicken Sie auf dieses Symbol, umeinen gespeicherten Webbericht zu
lschen. Standardberichte knnen nicht gelscht werden.
l Speichern: Klicken Sie auf dieses Symbol, umeine aktuelle Ansicht zu speichern und sie
spter erneut aufrufen zu knnen. Sie wird in der Auswahlliste Verfgbare Berichte
gespeichert.
Fi lterlei ste
In der Filterleiste befinden sich folgende Elemente:
l Plus: Klicken Sie auf dieses Symbol, umzustzliche Filter zu erstellen; ausfhrlichere
Informationen hierzu finden Sie weiter unten.
l Anzahl: Verwenden Sie die Auswahlliste, umdie Anzahl der Ergebnisse in der Tabelle
zu reduzieren. Sie knnen jeweils die ersten 10, die ersten 50 oder die ersten 100 Ergeb-
nisse anzeigen.
l Zeit: Verwenden Sie die Auswahlliste, umdie Ergebnisse in der Tabelle auf bestimmte
Zeitrume einzugrenzen oder zu erweitern. Der BerichtszeitraumAngepasst ermglicht
es Ihnen, eigene Zeitrume festzulegen.
l Abteilungen: Verwenden Sie die Auswahlliste, umdie Ergebnisse in der Tabelle auf
bestimmte Abteilungen einzugrenzen. Auf der Seite Abteilungen knnen Sie Abteilungen
erstellen.
sprechende Symbol auf der rechten Seite der Filterleiste klicken. Der Bericht wird aus der aktu-
ell gewhlten Ansicht generiert. Zustzlich knnen Sie ein Tortendiagrammanzeigen lassen,
indemSie auf das Tortendiagramm-Symbol oberhalb der Tabelle klicken. Wenn Sie auf das
Senden-Symbol klicken, wird ein Dialogfenster geffnet, in das Sie einen oder mehrere Emp-
fnger eingeben knnen, an die dieser Bericht per E-Mail gesendet werden soll. Sie knnen
einen Betreff und einen Nachrichtentext eingeben. Sie knnen selbst auch regelmig gespei-
cherte Berichte empfangen; weitere Informationen hierzu finden Sie imAbschnitt Geplante
Berichte.
Ergebni stabelle
Ganz unten befindet sich die Ergebnistabelle. Was darin angezeigt wird, hngt erstens vomaus-
gewhlten Berichtstyp (die jeweils aktuelle Einstellung wird in der Liste Verfgbare Berichte
angezeigt) und zweitens von gegebenenfalls definierten Filtern ab.
604 UTM9 WebAdmin
Hinweis Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-
Adresse, sondern nummeriert angezeigt.
Je nach ausgewhltemBerichtstyp enthlt die Tabelle verschiedene Informationen:
Benutzer Kategorien Sites Domnen URLs Blockierungs-
Umgehungen
(engl. over-
rides)
#
Verkehr
%
Dauer
Seiten
Anfragen
Benutzer
Site
Kategorien*
Aktion*
Ursache*
Info*
* =Diese Zellen knnen angeklickt werden, umweitere, detailliertere Informationen anzu-
zeigen.
#: Platzierung imHinblick auf das Datenverkehrsaufkommen.
Verkehr: Umfang des Datenverkehrsaufkommens.
%: Anteil amGesamtdatenverkehr in Prozent.
Dauer: Benutzerberichtstyp: Verweildauer nach Benutzer(n). Site-
Berichtstyp:Gesamtverweildauer (Summe aller Benutzer) auf der/den Website(s).
UTM9 WebAdmin 605
Seiten: Zahl der angefragten Seiten (d. h. alle Anfragen, die mit Code 200 und Inhaltstyp-Tex-
t/html beantwortet wurden).
Anfragen: Anzahl der Web-Anfragen pro Kategorie, Site, Domne oder URL.
Benutzer: Name des Benutzers, der die Blockierung umgangen hat. Falls Anonymisierung
aktiv ist, wird user_# angezeigt.
Site: Website, fr die Blockierung umgangen wurde.
Kategorien: Zeigt alle Kategorien an, denen eine URL angehrt. Bei mehreren Kategorien
wird durch Anklicken der Kategorie ein kleines Dialogfeld geffnet. Aus diesemknnen Sie
anschlieend eine Kategorie auswhlen, auf deren Basis dann ein Filter erstellt wird.
Aktion: Zeigt an, ob die Website an den Client bermittelt wurde (zugelassen bzw. engl. pas-
sed), ob sie durch eine Application-Control-Regel blockiert wurde (engl. blocked), oder ob sie
von einemBenutzer mit Hilfe der Blockierungs-Umgehung (engl. bypass blocking) geffnet wur-
de (engl. overridden).
Ursache: Zeigt an, warumeine Website-Anfrage blockiert wurde oder warumdie Blockierung
umgangen wurde. Beispiel: Ein Benutzer versucht, eine msi-Datei herunterzuladen. Es exis-
tiert jedoch eine Application-Control-Regel, die Dateibertragungen verhindert. In diesemFall
wird in der Zelle msi als Ursache angezeigt. Bei umgangenen Blockierungen wird der Grund
angezeigt, der vomBenutzer angegeben wurde.
Info: Diese Zelle enthlt (falls verfgbar) zustzliche Informationen darber, warumeine Web-
site-Anfrage blockiert wurde. Wurde z.B. der Download einer Datei aufgrund ihrer Erweiterung
blockiert, enthlt die Zelle das Wort Erweiterung.
Definition von Filtern
Filter werden verwendet, umin der Ergebnistabelle Informationen mit bestimmten Eigen-
schaften anzuzeigen. Fr die Definition von Filtern stehen zwei Mglichkeiten zur Verfgung:
Anklicken des Plussymbols in der Filterleiste oder Klicken in die Tabelle.
Definition ber das Plussymbol: Nach Anklicken des grnen Plus-Symbols in der Filterleiste
wird ein kleines Filterdialogfeld mit zwei Feldern angezeigt. Imersten Feld, einer Auswahlliste,
knnen Sie einen Berichtstyp auswhlen, zumBeispiel Kategorie. Imzweiten Feld knnen Sie
dann einen Wert fr den ausgewhlten Berichtstyp whlen oder eingeben, z.B. Erwach-
seneninhalte, wenn Kategorie ausgewhlt ist. Klicken Sie auf Speichern, umden Filter zu spei-
chern und gleichzeitig auf die Ergebnistabelle anzuwenden.
606 UTM9 WebAdmin
Definition ber die Tabelle: Durch Klicken in die Tabelle ffnet sich das Dialogfenster Berichtauf-
schlsselung, wenn fr den von Ihnen angeklickten Eintrag mehr als ein Berichtstyp zur Ver-
fgung steht. Sie mssen eine der angezeigten Filteroptionen auswhlen. Anschlieend wird
das Fenster Berichtaufschlsselung geschlossen, der jeweilige Filter erstellt und in der Fil-
terleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisse
angezeigt.
Beispiel: Auf der Seite Internetnutzung wird standardmig der Bericht Sites angezeigt. Kli-
cken Sie in der Ergebnistabelle in eine beliebige Zeile (z.B. amazon.com). Das Dialogfenster
Berichtaufschlsselung wird geffnet. Sie knnen drei verschiedene Optionen auswhlen: Sie
knnen fr die jeweilige Site entweder Informationen ber Domnen, Benutzer, welche die Site
besucht haben, oder Kategorien, denen die Site angehrt, anzeigen. Sie sehen, dass zahl-
reiche Benutzer amazon.combesucht haben und mchten mehr ber diese Website erfahren,
also aktivieren Sie das Feld Benutzer. Das Fenster wird geschlossen. Sie sehen in der Kopf-
leiste, dass der Berichtstyp in Benutzer gendert wurde, und in der Filterleiste, dass die Infor-
mationen in der Ergebnistabelle fr Benutzer nach der von Ihnen ausgewhlten Website (ama-
zon.com) gefiltert sind. Die Tabelle zeigt nun alle Benutzer an, die diese Website besucht
haben, sowie zustzliche Informationen ber ihre Sitzungen.
Hinweis Manchmal kommt es darauf an, in welche Tabellenzeile Sie klicken, da bestimmte
Zellen ber eigene Filter verfgen (weitere Informationen hierzu finden Sie bei den Eintrgen
mit Asterisk (*) oben imAbschnitt Ergebnistabelle).
17.5.2 Suchmaschinen
Die Seite Protokolle &Berichte >Web Protection >Suchmaschinen enthlt Informationen ber
die Suchmaschinen, die Ihre Benutzer verwenden, und die Recherchen, die sie damit durch-
fhren. Auf den ersten Blick wirkt die Seite kompliziert, ihre Verwendung erschliet sich jedoch
problemlos durch Ausprobieren.
Seitenaufbau
Kopfzei le
Zunchst gibt es die Kopfzeile mit folgenden Elementen:
l Startseite: Mithilfe dieses Symbols gelangen Sie zurck zumAnfang, frei von smtlichen
Klicks und Filtern.
UTM9 WebAdmin 607
l Vorwrts/Rckwrts: Mit Hilfe dieser Symbole knnen Sie imVerlauf Ihrer nde-
rungen und Einstellungen vor- und zurckblttern. Die Funktion hnelt der eines Web-
browsers.
l Verfgbare Berichte: Diese Auswahlliste enthlt alle verfgbaren Berichtstypen, ein-
schlielich (falls vorhanden) Ihrer eigenen gespeicherten Berichte. Sie ist stan-
dardmig auf Recherchen eingestellt. Der Inhalt der Ergebnistabelle auf der Seite
Suchmaschinen hngt unmittelbar von dieser Berichtstyp-Einstellung ab.
Hinweis Wenn Sie Filter verwenden und anschlieend die Berichte durchgehen,
sehen Sie, dass die Einstellung Verfgbare Berichte automatisch gendert wurde. Sie
zeigt stets die jeweils aktuelle Berichtsgrundlage an.
Standard: Es stehen mehrere Berichtstypen zur Verfgung; ausfhrlichere Infor-
mationen hierzu finden Sie weiter unten.
Gespeicherte Suchmaschinenberichte: Hier knnen Sie gespeicherte Such-
maschinenberichte auswhlen, die Sie bereits erstellt haben.
l Lschen: Klicken Sie auf dieses Symbol, umeinen gespeicherten Such-
maschinenbericht zu lschen. Standardberichte knnen nicht gelscht werden.
l Speichern: Klicken Sie auf dieses Symbol, umeine aktuelle Ansicht zu speichern und sie
spter erneut aufrufen zu knnen. Sie wird in der Auswahlliste Verfgbare Berichte
gespeichert.
Fi lterlei ste
In der Filterleiste befinden sich folgende Elemente:
l Plus: Klicken Sie auf dieses Symbol, umzustzliche Filter zu erstellen; ausfhrlichere
Informationen hierzu finden Sie weiter unten.
l Anzahl: Verwenden Sie die Auswahlliste, umdie Anzahl der Ergebnisse in der Tabelle
zu reduzieren. Sie knnen jeweils die ersten 10, die ersten 50 oder die ersten 100 Ergeb-
nisse anzeigen.
l Zeit: Verwenden Sie die Auswahlliste, umdie Ergebnisse in der Tabelle auf bestimmte
Zeitrume einzugrenzen oder zu erweitern. Der BerichtszeitraumAngepasst ermglicht
es Ihnen, eigene Zeitrume festzulegen.
l Abteilungen: Verwenden Sie die Auswahlliste, umdie Ergebnisse in der Tabelle auf
bestimmte Abteilungen einzugrenzen. Auf der Seite Abteilungen knnen Sie Abteilungen
erstellen.
608 UTM9 WebAdmin
sprechende Symbol auf der rechten Seite der Filterleiste klicken. Der Bericht wird aus der aktu-
ell gewhlten Ansicht generiert. Zustzlich knnen Sie ein Tortendiagrammanzeigen lassen,
indemSie auf das Tortendiagramm-Symbol oberhalb der Tabelle klicken. Wenn Sie auf das
Senden-Symbol klicken, wird ein Dialogfenster geffnet, in das Sie einen oder mehrere Emp-
fnger eingeben knnen, an die dieser Bericht per E-Mail gesendet werden soll. Sie knnen
einen Betreff und einen Nachrichtentext eingeben. Sie knnen selbst auch regelmig gespei-
cherte Berichte empfangen; weitere Informationen hierzu finden Sie imAbschnitt Geplante
Berichte.
Ergebni stabelle
Ganz unten befindet sich die Ergebnistabelle. Was darin angezeigt wird, hngt erstens vomaus-
gewhlten Berichtstyp (die jeweils aktuelle Einstellung wird in der Liste Verfgbare Berichte
angezeigt) und zweitens von gegebenenfalls definierten Filtern ab. Die folgenden Bericht-
stypen sind verfgbar:
l Recherchen: Zeigt die Suchbegriffe an, die Ihre Benutzer verwendet haben.
l Suchmaschinen: Zeigt die Suchmaschinen an, die Ihre Benutzer verwendet haben.
l Recherche-Benutzer: Zeigt die Benutzer an, die Recherchen durchgefhrt haben.
Hinweis Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-
Adresse, sondern nummeriert angezeigt.
Die Tabelle enthlt die folgenden Informationen ber jeden Berichtstyp:
#: Platzierung imHinblick auf die Hufigkeit.
Anfragen: Anzahl der Anfragen pro Suchbegriff, Suchmaschine oder Benutzer.
%: Anteil an der Gesamtzahl der Recherchen in Prozent.
Definition von Filtern
Filter werden verwendet, umin der Ergebnistabelle Informationen mit bestimmten Eigen-
schaften anzuzeigen. Fr die Definition von Filtern stehen zwei Mglichkeiten zur Verfgung:
Anklicken des Plussymbols in der Filterleiste oder Klicken in die Tabelle.
Definition ber das Plussymbol: Nach Anklicken des grnen Plus-Symbols in der Filterleiste
wird ein kleines Filterdialogfeld mit zwei Feldern angezeigt. Imersten Feld, einer Auswahlliste,
knnen Sie einen Berichtstyp auswhlen, zumBeispiel Suchmaschine. Imzweiten Feld knnen
UTM9 WebAdmin 609
Sie einen Wert fr den ausgewhlten Berichtstyp whlen oder eingeben, z.B. Google (goo-
gle.com), wenn Suchmaschine ausgewhlt ist. Klicken Sie auf Speichern, umden Filter zu spei-
chern und gleichzeitig auf die Ergebnistabelle anzuwenden. Beachten Sie bei der Eingabe von
Suchbegriffen die Gro- und Kleinschreibung; Platzhalter werden untersttzt: '*' fr die Suche
nach null oder mehr Zeichen und '?' fr die Suche nach einemZeichen.
Definition ber die Tabelle: Durch Klicken in die Tabelle ffnet sich das Dialogfenster Berichtauf-
schlsselung, wenn fr den von Ihnen angeklickten Eintrag mehr als ein Berichtstyp zur Ver-
fgung steht. Sie mssen eine der angezeigten Filteroptionen auswhlen. Anschlieend wird
das Fenster Berichtaufschlsselung geschlossen, der jeweilige Filter erstellt und in der Fil-
terleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisse
angezeigt.
Beispiel: Auf der Seite Suchmaschinen wird standardmig der Bericht Recherchen angezeigt.
Klicken Sie in der Ergebnistabelle in eine beliebige Zeile (z.B. Wetter). Das Dialogfenster
Berichtaufschlsselung wird geffnet. Sie knnen zwischen zwei Optionen whlen. Sie knnen
Informationen ber die fr die Recherche verwendeten Suchmaschinen (Suchmaschinen)
oder ber die Benutzer, welche diesen Suchbegriff verwendet haben (Recherche-Benutzer),
anzeigen. Sie sehen, dass zahlreiche Benutzer den Suchbegriff Wetterverwendet haben und
mchten mehr darber erfahren, also aktivieren Sie das Feld Recherche-Benutzer. Das Fens-
ter wird geschlossen. Sie sehen in der Kopfleiste, dass der Berichtstyp in Recherche-Benutzer
gendert wurde, und in der Filterleiste, dass die Informationen in der Ergebnistabelle fr
Recherche-Benutzer nach demvon Ihnen ausgewhlten Suchbegriff (Wetter) gefiltert sind.
Die Tabelle zeigt nun alle Benutzer an, die den Suchbegriff Wetterverwendet haben sowie
zustzliche Informationen ber ihre Recherchen.
17.5.3 Abteilungen
Auf der Seite Protokolle &Berichte >Web Protection >Abteilungen knnen Sie Benutzer oder
Hosts und Netzwerke in virtuelle Abteilungen gruppieren. Diese Abteilungen knnen dann zum
Filtern von Internetnutzungs- oder Suchmaschinenberichten verwendet werden.
Umeine Abteilung anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Abteilungen auf Abteilung hinzufgen.
Das Dialogfeld Neue Abteilung hinzufgen wird geffnet.
2. Geben Sie einen Namen ein.
Geben Sie in das Feld Name einen aussagekrftigen Namen fr die Abteilung ein.
610 UTM9 WebAdmin
3. Fgen Sie Benutzer oder Hosts/Netzwerke hinzu.
Eine Abteilungsdefinition kann immer nur entweder Benutzer oder Hosts/Netzwerke ent-
halten, nicht beide gleichzeitig.
l Benutzer: Fgen Sie einen oder mehrere Benutzer zumFeld hinzu, die dieser
Abteilung angehren sollen.
l Hosts/Netzwerke: Fgen Sie einen oder mehrere Hosts oder Netzwerke zum
Feld hinzu, die dieser Abteilung angehren sollen.
zu.
Die neue Abteilung wird in der Liste Abteilungen angezeigt.
Umeine Abteilung zu bearbeiten, zu lschen oder zu klonen, klicken Sie auf die ent-
Weitere Informationen zur Verwendung von Abteilungen finden Sie in den Abschnitten Inter-
netnutzung und Suchmaschinen.
17.5.4 Geplante Berichte
Auf der Seite Protokolle &Berichte >Web Protection >Geplante Berichte knnen Sie festlegen,
welche Ihrer gespeicherten Berichte regelmig per E-Mail versendet werden sollen. Bevor
Sie einen geplanten Bericht erstellen knnen, mssen Sie ber mindestens einen gespei-
cherten Bericht verfgen (weitere Informationen zumSpeichern von Berichten finden Sie in
den Abschnitten Internetnutzung oder Suchmaschinen).
Umeinen geplanten Bericht anzulegen, gehen Sie folgendermaen vor:
1. Klicken Sie auf der Registerkarte Geplante Berichte auf Geplanten Bericht hin-
zufgen.
Das Dialogfeld Neuen geplanten Bericht hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den geplanten Bericht ein.
Intervall: Whlen Sie aus der Auswahlliste ein Zeitintervall zumVersenden der Berichte.
UTM9 WebAdmin 611
Berichte: Alle gespeicherten Berichte sind hier aufgefhrt. Markieren Sie das Aus-
wahlkstchen vor jedemBericht, der imausgewhlten Zeitintervall versendet werden
soll.
Empfnger: Fgen Sie alle Empfnger in das Feld ein, die den/die ausgewhlte(n)
Bericht(e) erhalten sollen. Beachten Sie, dass Sie mit Hilfe der Importschaltflche auch
eine ganze Liste an Empfngern hinzufgen knnen.
zu.
Der neue geplante Bericht wird in der Liste Geplante Berichte angezeigt.
Umeinen geplanten Bericht zu bearbeiten, zu lschen oder zu klonen, klicken Sie auf die ent-
sprechenden Schaltflchen. Verwenden Sie den Schieberegler eines Berichts, umden Ver-
sand von Berichten zu deaktivieren, ohne den Bericht selbst zu lschen.
17.5.5 Application Control
Die Seite Protokolle &Berichte >Web Protection >Application Control bietet umfangreiche sta-
tistische Informationen zu den aktivsten Quellen, den amhufigsten aufgerufenen Zielen und
den beliebtesten Anwendungen fr verschiedene Zeitrume.
figste Quellen oder Hufigste Anwendungen.Whlen Sie den gewnschten Eintrag und, falls
ein zustzliches Feld angezeigt wird, geben Sie das entsprechende Filterkriteriumein. Sie kn-
nen die Daten zustzlich mit Hilfe der Auswahlliste darunter nach Zeit filtern. Klicken Sie immer
auf Aktualisieren, umden Filter anzuwenden.
einen Netzwerkbereich (z.B. 192.168.1.0/24oder 10/8) eingeben. In den Ansichten nach
TCP,SMTPoder UDP,6000).
Wenn Sie in der Ansicht Hufigste Quellen auf eine IPoder einen Hostnamen in der Ergeb-
nistabelle klicken, wird diese(r) automatisch als Filter fr die Ansicht Hufigste Anwendungen
nach Quelle verwendet. Wenn Sie in den Ansichten Hufigste Anwendungen und Hufigste
Anwendungskategorien auf eine Anwendung oder Anwendungskategorie in der Ergeb-
nistabelle klicken, wird diese automatisch als Filter fr die Ansicht Hufigste Quellen nach
Anwendung oder Hufigste Quellen nach Anwendungskategorie verwendet.
612 UTM9 WebAdmin
Die aktivsten Quellen werden nicht sofort in der bersicht angezeigt, sondern erst nachdem
eine Sitzungs-Zeitberschreitung stattgefunden hat. Dies ist der Fall, wenn ein bestimmter Cli-
ent (Benutzername oder IP-Adresse) fr fnf Minuten das Surfen imInternet unterbricht. UTM
erklrt diese Verbindung fr totund sendet die Information an eine Datenbank, bevor sie in
die Liste der aktivsten Quellen aufgenommen wird.
17.5.6 Entanonymisierung
Auf die Registerkarte Web Protection >Entanonymisierung kann nur zugegriffen werden,
wenn Anonymisierung aktiviert ist (siehe Logging &Reporting >Berichteinstellungen >Anony-
misierung).
Hier ist es mglich, die Anonymisierung fr bestimmte Benutzer imHinblick auf Web-Pro-
tection-Berichte auszusetzen. Gehen Sie folgendermaen vor:
1. Geben Sie beide Kennwrter ein.
Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der Anony-
misierung angegeben wurden.
2. Fgen Sie Benutzer hinzu, die entanonymisiert werden sollen.
Fgen Sie zumFeld Benutzer entanonymisieren die Benutzernamen von jenen Benut-
zern hinzu, die Sie entanonymisieren wollen.
17.6 Email Protection
Die Registerkarten des Mens Protokolle &Berichte >Email Protection bieten einen sta-
tistischen berblick ber den E-Mail-Verkehr, die E-Mail-Nutzung und die E-Mail-Sicherheit.
UTM9 WebAdmin 613
17 Protokolle & Berichte 17.6 Email Protection
17.6 Email Protection 17 Protokolle & Berichte
17.6.1 Nutzungsdiagramme
Die Registerkarte Email Protection >Nutzungsdiagramme bietet einen statistischen berblick
ber den E-Mail-Verkehr auf der UTMfr verschiedene Zeitrume:
l Tglich
l Wchentlich
l Monatlich
l Jhrlich
17.6.2 Mail-Nutzung
Die Registerkarte Email Protection >Mail-Nutzung bietet umfangreiche statistische Infor-
mationen zu den amhufigsten genutzten E-Mail-Adressen und Adressdomnen fr ver-
schiedene Zeitrume.
Whlen Sie in der ersten Auswahlliste die Art der Daten aus, die Sie anzeigen mchten, z.B.
Hufigste Absender oder Hufigste Domnen.Whlen Sie den gewnschten Eintrag und, falls
ein zustzliches Feld angezeigt wird, geben Sie das entsprechende Filterkriteriumein. Sie kn-
nen die Daten zustzlich mit Hilfe der Auswahlliste darunter nach Zeit filtern. Klicken Sie immer
auf Aktualisieren, umden Filter anzuwenden.
In den Ansichten nach Domne und nach Adresse knnen Sie manuell eine Domne bzw. eine
Adresse angeben. Beachten Sie, dass Sie beimAngeben von Domnen das Prozentzeichen
(%) als Platzhalter verwenden knnen. Wenn Sie ein Prozentzeichen nach IhremSuchbegriff
einfgen, sucht Sophos UTMnach genauen Treffern und teilweisen bereinstimmungen.
Beachten Sie, dass das Filterfeld zwischen Gro- und Kleinschreibung unterscheidet.
Wenn Sie in den Ansichten Hufigste Adressen und Hufigste Domnen auf eine Adresse oder
eine Domne in der Ergebnistabelle klicken, wird diese automatisch als Filter fr die Ansicht
Hufigste Adressen nach Domne oder Hufigste Peers nach Adresse verwendet.
614 UTM9 WebAdmin
17.6.3 Blockierte Mails
Die Registerkarte Email Protection >Blockierte Mails bietet umfangreiche statistische Infor-
mationen zu allen blockierten E-Mail-Anfragen, die auf Antivirus und Antispambasieren.
figster Grund blockierter Spams oder Hufigste blockierte Schadsoftware. Whlen Sie den
gewnschten Eintrag und, falls ein zustzliches Feld angezeigt wird, geben Sie das ent-
sprechende Filterkriteriumein. Sie knnen die Daten zustzlich mit Hilfe der Auswahlliste dar-
unter nach Zeit filtern. Klicken Sie immer auf Aktualisieren, umden Filter anzuwenden.
Wenn Sie in der Ansicht Hufigste blockierte Domne auf eine Domne in der Ergebnistabelle
klicken, wird diese automatisch als Filter fr die Ansicht Hufigste blockierte Adressen nach
Domne verwendet. In der Ansicht nach Domne knnen Sie manuell eine Domne angeben.
Beachten Sie, dass Sie das Prozentzeichen (%) als Platzhalter verwenden knnen. Wenn Sie
ein Prozentzeichen nach IhremSuchbegriff einfgen, sucht Sophos UTMnach genauen Tref-
fern und teilweisen bereinstimmungen. Beachten Sie, dass das Filterfeld zwischen Gro- und
Kleinschreibung unterscheidet.
17.6.4 Entanonymisierung
Auf die Registerkarte Email Protection >Entanonymisierung kann nur zugegriffen werden,
wenn Anonymisierung aktiviert ist (siehe Protokolle &Berichte >Berichteinstellungen >Anony-
misierung).
UTM9 WebAdmin 615
17 Protokolle & Berichte 17.6 Email Protection
17.7 Wireless Protection 17 Protokolle & Berichte
Hier ist es mglich, die Anonymisierung fr bestimmte E-Mail-Adressen und/oder -Domnen im
Hinblick auf Email-Protection-Berichte auszusetzen. Gehen Sie folgendermaen vor:
Adressen entanonymisieren: Sie knnen E-Mail-Adressen hinzufgen, die Sie entan-
onymisieren wollen.
Domnen entanonymisieren: Sie knnen Domnen hinzufgen, die Sie entan-
onymisieren wollen.
Die angegebenen E-Mail-Adressen und Domnen sind in Berichten nun lesbar.
17.7 Wireless Protection
Die Registerkarten des Mens Protokolle &Berichte >Wireless Protection bieten einen sta-
tistischen berblick ber Wireless-Protection-Ereignisse des Netzwerks, die von der Sophos
UTMregistriert wurden.
17.7.1 Tglich
Die Registerkarte Wireless Protection >Tglich bietet einen statistischen berblick ber die
WLAN-Netzwerke und Access Points in den letzten 24 Stunden.
SSID-basi erter Beri cht
Fr jedes WLAN-Netzwerk gibt es ein Diagramm. Jedes Diagrammzeigt zwei Kurven:
l Verbundene Clients: Die Anzahl der Clients, die mit demWLAN-Netzwerk verbunden
sind.
l Fehlgeschlagene Verbindungsversuche: Die Anzahl der fehlgeschlagenen Ver-
bindungsversuche an demWLAN-Netzwerk.
616 UTM9 WebAdmin
AP-basi erter Beri cht
Fr jeden Access Point zeigt die Tabelle die maximale und durchschnittliche Anzahl an ver-
bundenen Benutzern, die Verfgbarkeit (die aufsummierte Zeitdauer, in der der APwhrend
der letzten 24 Stunden verfgbar war) und die Anzahl der Wiedereinwahlen.
17.7.2 Wchentlich
Die Registerkarte Wireless Protection >Wchentlich bietet einen statistischen berblick ber
die WLAN-Netzwerke und Access Points in den letzten sieben Tagen. Die Histogramme wer-
den unter Tglich beschrieben.
17.7.3 Monatlich
Die Registerkarte Wireless Protection >Monatlich bietet einen statistischen berblick ber die
WLAN-Netzwerke und Access Points in den letzten vier Wochen. Die Histogramme werden
17.7.4 Jhrlich
Die Registerkarte Wireless Protection >Jhrlich bietet einen statistischen berblick ber die
WLAN-Netzwerke und Access Points in den letzten zwlf Monate. Die Histogramme werden
17.8 Fernzugriff
Die Registerkarten des Mens Protokolle &Berichte >Fernzugriff bieten einen statistischen
berblick ber Fernzugriff-Aktivitten und Informationen zu Sitzungen.
17.8.1 Aktivitt
Die Registerkarte Fernzugriff >Aktivitt bietet umfangreiche statistische Informationen zu den
Fernzugriff-Aktivitten auf der UTMfr IPsec, SSL-VPN, PPTPund L2TPber verschiedene
Zeitrume:
UTM9 WebAdmin 617
17 Protokolle & Berichte 17.8 Fernzugriff
17.8 Fernzugriff 17 Protokolle & Berichte
l Tglich
l Wchentlich
l Monatlich
l Jhrlich
Zeitraumauswhlen: Verwenden Sie die Auswahlliste, umeinen Berichtszeitraumaus-
zuwhlen. Die Seite wird automatisch aktualisiert.
17.8.2 Sitzung
Die Registerkarte Fernzugriff >Sitzung bietet umfangreiche statistische Informationen zu abge-
schlossenen Sitzungen, fehlgeschlagenen Anmeldungen und momentanen Benutzern fr ver-
schiedene Zeitrume.
Hinweis Die Spalten Hoch und Herunter zeigen Nutzungsdaten der Fern-
zugriffsverbindungen. Die Erfassung der Nutzungsdaten ist standardmig deaktiviert, da
dies die Systemlast erhhen kann. Sie knnen die Erfassung der Nutzungsdaten auf der
Registerkarte Berichteinstellungen >Einstellungen imBereich Fernzugriffs-Nutzungsstatistik
aktivieren.
Whlen Sie in der ersten Auswahlliste die Art der Daten, die Sie anzeigen mchten: Aktuelle
Benutzer, Abgeschlossene Verbindungen oder Fehlgeschlagene Anmeldeversuche. Klicken
Sie auf Aktualisieren, umden Filter anzuwenden.
Mit der zweiten Auswahlliste knnen Sie die Ergebnisse weiter filtern. Abhngig von der gewhl-
ten Art von Sitzungen stehen verschiedene Filter zur Verfgung, z.B. Nach Dienst oder Nach
Quell-IP-Adresse. Fr einige Filter mssen Sie ein Filterkriteriumeingeben oder auswhlen.
Mit der dritten Auswahlliste knnen Sie die Ergebnisse nach Zeit filtern. Klicken Sie immer auf
Aktualisieren, umdie Filter anzuwenden.
618 UTM9 WebAdmin
17.9 Webserver Protection
Die Registerkarten des Mens Protokolle &Berichte >Webserver Protection bieten einen sta-
tistischen berblick ber Webserver-Anfragen, Warnhinweise und Alarme.
17.9.1 Nutzungsdiagramme
Die Registerkarte Webserver Protection >Nutzungsdiagramme bietet einen statistischen ber-
blick ber Webserver-Anfragen, Warnhinweise und Alarme auf der UTMfr verschiedene
Zeitrume:
l Tglich
l Wchentlich
l Monatlich
l Jhrlich
17.9.2 Details
Die Registerkarte Webserver Protection >Details bietet umfangreiche statistische Infor-
mationen zu den aktivsten Clients, virtuellen Hosts, Backends, Antwort-Codes und ver-
schiedenen Angriffen ber verschiedene Zeitrume.
figste Clients oder Hufigste Angreifer nach virtuellemHost.Whlen Sie den gewnschten Ein-
trag und, falls ein zustzliches Feld angezeigt wird, geben Sie das entsprechende Fil-
terkriteriumein. Sie knnen die Daten zustzlich mit Hilfe der Auswahlliste darunter nach Zeit
filtern. Klicken Sie immer auf Aktualisieren, umden Filter anzuwenden.
In den Ansichten Nach Client und Nach Angreifer knnen Sie manuell eine IP, ein Netzwerk
oder einen Netzwerkbereich (z.B. 192.168.1.0/24oder 10/8) angeben. In der Ansicht Nach
virtuellemHost knnen Sie manuell eine Domne angeben. Beachten Sie, dass Sie das Pro-
zentzeichen (%) als Platzhalter verwenden knnen. Wenn Sie ein Prozentzeichen nach Ihrem
Suchbegriff einfgen, sucht Sophos UTMnach genauen Treffern und teilweisen ber-
UTM9 WebAdmin 619
17 Protokolle & Berichte 17.9 Webserver Protection
17.10 Gesamtbericht 17 Protokolle & Berichte
einstimmungen. Beachten Sie, dass das Filterfeld zwischen Gro- und Kleinschreibung unter-
scheidet.
Wenn Sie in den Ansichten Hufigste Clients oder Hufigste Angreifer auf eine IPin der Ergeb-
nistabelle klicken, wird diese automatisch als Filter fr die Ansicht Hufigste Antwort-Codes
nach Client oder Hufigste Regeln nach Angreifer verwendet.
17.10 Gesamtbericht
ImMen Protokolle &Berichte >Gesamtbericht knnen Sie eine Zusammenstellung der wich-
tigsten Berichtsdaten erstellen, die in grafischer Formdie Netzwerknutzung fr eine Reihe von
Diensten anzeigt.
17.10.1 Bericht anzeigen
Auf der Registerkarte Protokolle &Berichte >Gesamtbericht >Bericht anzeigen knnen Sie
einen kompletten Gesamtbericht erstellen, der aus den einzelnen Berichten auf den Regis-
terkarten und Seiten des Mens Berichte zusammengestellt wird. Klicken Sie auf die Schalt-
flche Bericht jetzt erstellen, umden Gesamtbericht in einemneuen Fenster zu ffnen.
17.10.2 Archivierte Gesamtberichte
Die Registerkarte Gesamtbericht >Archivierte Gesamtberichte bietet einen berblick ber alle
archivierten Gesamtberichte. Es werden nur Gesamtberichte archiviert, fr die auf der Regis-
terkarte Konfiguration die Archivierung aktiv ist.
620 UTM9 WebAdmin
Auf der Registerkarte Gesamtbericht >Konfiguration knnen Sie die Einstellungen fr die
Gesamtberichte vornehmen.
Tgli cher Gesamtberi cht
Tglicher Gesamtbericht: Ist die Option aktiv, wird ein tglicher Gesamtbericht erstellt.
PDF-Berichtearchivieren: Ist die Option ausgewhlt, wird der tgliche Gesamtbericht als
PDF-Datei archiviert. Archivierte Gesamtberichte stehen auf der Registerkarte Archivierte
Gesamtberichte zur Verfgung.
Bericht als PDF statt als HTML senden:Ist die Option ausgewhlt, wird der Gesamtbericht
als PDF-Datei an die E-Mail angehngt. Ist sie nicht ausgewhlt, wird er als HTML-Datei ver-
sendet.
E-Mail-Adressen:Geben Sie die E-Mail-Adressen der Empfnger ein, die den Gesamt-
bericht erhalten sollen.
Wchentli cher Gesamtberi cht
Die meisten der Einstellungen sind imAbschnitt Tglicher Gesamtbericht beschrieben.
Sie knnen zustzlich den Wochentag auswhlen, an demjeweils die Datensammlung fr den
Gesamtbericht startet.
Monatli cher Gesamtberi cht
Die Einstellungen sind imAbschnitt Tglicher Gesamtbericht beschrieben.
17.11 Protokolleinstellungen
ImMen Protokolle &Berichte >Protokolleinstellungen knnen Sie die Grundeinstellungen fr
die lokale und die ausgelagerte Protokollierung festlegen.
17.11.1 Lokale Protokollierung
Auf der Registerkarte Protokolle &Berichte >Protokolleinstellungen >Lokale Protokollierung
werden die Einstellungen fr die lokale Protokollierung vorgenommen. Die lokale Pro-
tokollierung ist standardmig eingeschaltet.
UTM9 WebAdmin 621
17 Protokolle & Berichte 17.11 Protokolleinstellungen
17.11 Protokolleinstellungen 17 Protokolle & Berichte
Falls sie deaktiviert wurde, knnen Sie sie folgendermaen wieder einschalten:
1. Aktivieren Sie die lokale Protokollierung auf der Registerkarte Lokale Pro-
tokollierung.
Der Schieberegler wird grn und die Berichte auf dieser Registerkarte knnen bear-
beitet werden.
2. Whlen Sie einen Zeitraum, nach demdie Protokolldateien automatisch
gelscht werden sollen.
Whlen Sie aus der Auswahlliste eine Aktion, die automatisch auf die Protokolldateien
angewendet werden soll. Protokolldateien nie lschen ist voreingestellt.
Schwellenwerte
Hier knnen Sie Schwellenwerte fr die lokale Protokollierung festlegen. Diese Schwellenwerte
sind an bestimmte Aktionen gekoppelt, welche ausgefhrt werden, wenn ein Schwellenwert
erreicht ist. Die folgenden Aktionen sind mglich:
l Nichts: Es werden keine Aktionen gestartet.
l Benachrichtigung senden: Es wird eine Benachrichtigung an den Administrator
gesendet, umihmmitzuteilen, dass der Schwellenwert erreicht wurde.
l lteste Protokolldateien lschen: Die ltesten Protokolldateien werden automatisch
gelscht, bis die Datenmenge entweder unterhalb des eingestellten Schwellenwerts liegt
oder die Protokollpartition leer ist. Zustzlich erhlt der Administrator eine Benach-
richtigung ber das Ereignis.
l Systemherunterfahren: Das Systemfhrt automatisch herunter. Der Administrator
erhlt eine Benachrichtigung ber das Ereignis.
Falls das Systemheruntergefahren wird, muss der Administrator die Konfiguration fr
die lokale Protokollierung ndern, die Lschung von Protokolldateien konfigurieren oder
Protokolldateien manuell verschieben beziehungsweise lschen. Wenn die Ursache fr
das Herunterfahren des Systems weiterhin besteht, wird sich das Systemwieder her-
unterfahren, sobald der Prozess der Protokollberprfung das nchste Mal luft. Dieser
Prozess findet tglich um0.00 Uhr statt.
622 UTM9 WebAdmin
17.11.2 Remote-Syslog-Server
Auf der Registerkarte Protokolle &Berichte >Protokolleinstellungen >Remote-Syslog-Server
werden die Einstellungen fr eine ausgelagerte Protokollierung vorgenommen. Diese Funktion
ermglicht es, Protokollmeldungen von der UTMan andere Hosts weiterzuleiten. Das ist ins-
besondere in Netzwerken ntzlich, die einen dedizierten Host besitzen, der die Pro-
tokollinformationen von mehreren UTMsammelt. Auf demausgewhlten Host muss in diesem
Fall ein Protokollierungs-Daemon in Betrieb sein, der mit demSyslog-Protokoll kompatibel ist.
Umeinen Remote-Syslog-Server zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie Remote-Syslog auf der Registerkarte Remote-Syslog-Server.
Der Schieberegler wird gelb und der Abschnitt Remote-Syslog-Einstellungen kann nun
bearbeitet werden.
2. Klicken Sie auf das Plussymbol imFeld Syslog-Server, umeinen Server anzu-
legen.
Das Dialogfenster Syslog-Server hinzufgen wird geffnet.
Name: Geben Sie einen aussagekrftigen Namen fr den Remote-Syslog-Server ein.
Server: Whlen Sie den Host oder fgen Sie einen Host hinzu, der die Protokolldaten
von der UTMentgegennehmen soll. Das Hinzufgen einer Definition wird auf der Seite
Warnung Whlen Sie keine Netzwerkschnittstelle der UTMaus, umsie als Remote-
Syslog-Host zu verwenden das wrde zu einer Protokollierungsschleife fhren.
Port: Whlen Sie eine Dienstdefinition oder fgen Sie eine Dienstdefinition hinzu, die fr
die Verbindung verwendet werden soll. Das Hinzufgen einer Definition wird auf der Sei-
Remote-Syslog-Puffer
In diesemAbschnitt knnen Sie die Puffergre des Remote-Syslogs ndern. Die Puffergre
ist die Anzahl der Protokollzeilen, die imPuffer vorgehalten werden. Der Standardwert ist 1000.
UTM9 WebAdmin 623
17.11 Protokolleinstellungen 17 Protokolle & Berichte
Remote-Syslog-Protokollauswahl
Dieser Abschnitt kann nur bearbeitet werden, wenn Remote-Syslog aktiviert ist. Markieren Sie
die Auswahlkstchen von den Protokollen, die an den Syslog-Server geschickt werden sollen.
ber die Option Alle auswhlen knnen Sie alle Protokolle auf einmal auswhlen. Klicken Sie
auf bernehmen, umIhre Einstellungen zu speichern.
17.11.3 Ausgelagerte Protokollarchive
Auf der Registerkarte Protokolle &Berichte >Protokolleinstellungen >Ausgelagerte Pro-
tokollarchive werden die Einstellungen fr eine ausgelagerte Archivierung der Protokolldaten
vorgenommen. Wenn die ausgelagerte Protokolldatei-Archivierung aktiviert ist, werden die Pro-
tokolldateien des Vortages in einer Datei zusammengepackt und komprimiert und dann an den
entfernten Protokollarchiv-Host gesendet. ber die Auswahlliste knnen Sie Ihre bevorzugte
bertragungsmethode whlen.
Umein ausgelagertes Protokollarchiv zu konfigurieren, gehen Sie folgendermaen vor:
1. Aktivieren Sie die Funktion Ausgelagerte Protokollarchive.
Der Schieberegler wird gelb und der Abschnitt Ausgelagertes Protokollarchiv kann nun
bearbeitet werden.
2. Whlen Sie die Archivierungsmethode.
Whlen Sie aus der Auswahlliste Ihre bevorzugte Archivierungsmethode aus. Abhngig
von Ihrer Wahl werden unten die zugehrigen Konfigurationsoptionen angezeigt. Sie
knnen zwischen den folgenden Archivierungsmethoden whlen:
l FTP-Server: Fr das File Transfer Protocol (FTP, Dateibertragungsprotokoll)
mssen die folgenden Parameter gesetzt werden:
l Host: Hostdefinition fr den FTP-Server.
l Dienst: TCP-Port, auf demder Server lauscht.
l Benutzername: Geben Sie den Benutzernamen fr das FTP-Ser-
verkonto ein.
l Kennwort: Geben Sie das Kennwort fr das FTP-Serverkonto ein.
624 UTM9 WebAdmin
l Pfad: Geben Sie den relativen Pfad zumFTP-Server sein.
l SMB-(CIFS)-Freigabe: Fr die SMB-Methode mssen die folgenden Para-
meter gesetzt werden:
l Host: Whlen Sie die Hostdefinition fr den SMB-Server aus.
l Benutzername: Geben Sie den Benutzernamen fr das SMB-Konto ein.
l Kennwort: Geben Sie das Kennwort fr das SMB-Konto ein.
Sicherheitshinweis Das Kennwort wird in Klartext in der Kon-
figurationsdatei gespeichert. Daher wird empfohlen, eine Benutzer-/Kenn-
wortkombination anzulegen, die ausschlielich fr Pro-
tokollierungszwecke verwendet wird.
l Freigabe: SMB-Freigabename. Geben Sie den Pfad oder die Infor-
mationen zumfreigegebenen Netzwerk ein, an das die Protokolldateien
bertragen werden, z.B. /logs/log_file_archive.
l Arbeitsgruppe/Domne: Geben Sie die Arbeitsgruppe oder Domne an,
zu der das Protokollarchiv gehrt.
l Secure Copy (SSH-Server): Fr die SCP-Methode muss der ffentliche SSH-
DSA-Schlssel zu den autorisierten Schlsseln des SCP-Servers hinzugefgt wer-
den. In einemLinux-Systemknnen Sie den SSH-DSA-Schlssel einfach ber die
Zwischenablage in die Datei ~/.ssh/authorized_keysdes dafr konfigurierten
Benutzerkontos kopieren. Whrend der Installation erstellt die Sophos UTMeinen
neuen SSH-DSA-Schlssel. Aus Sicherheitsgrnden wird der SSH-DSA-Schls-
sel nicht in Backups gespeichert. Nach einer Neuinstallation oder der Installation
eines Backups mssen Sie daher den neuen SSH-DSA-Schssel auf den ent-
fernten Server kopieren, damit die Protokolldateiarchive auf den SCP-Server
kopiert werden knnen.
Fr die SCP-Methode mssen die folgenden Einstellungen vorgenommen wer-
den:
UTM9 WebAdmin 625
17.12 Berichteinstellungen 17 Protokolle & Berichte
l Host: Hostdefinition fr den SCP-Server.
l Benutzername: Geben Sie den Benutzernamen fr das SCP-Ser-
verkonto ein.
l Pfad: Geben Sie den vollstndigen Pfad ein, in demdie Protokolldateien
gespeichert werden sollen.
l ffentlicher DSA-Schlssel: Fgen Sie den ffentlichen DSA-Schls-
sel zur Liste der autorisierten Schlssel auf dementfernten Speicher-Rech-
ner hinzu.
l Per E-Mail senden: Damit die Protokollarchive per E-Mail versendet werden,
geben Sie eine gltige E-Mail-Adresse ein.
Wenn die Datenbertragung fehlschlgt, verbleibt die Archivdatei auf der UTM. Die UTMver-
sucht bei jeder Protokollberprfung, alle verbliebenen Archivdateien zu bertragen.
17.12 Berichteinstellungen
ImMen Protokolle &Berichte >Berichteinstellungen knnen Sie die Einstellungen fr Berichts-
funktionen vornehmen, wie das Ein- und Ausschalten bestimmter Berichtsfunktionen, das
Bestimmen von Zeitrumen und der Menge zu speichernder Daten. Des Weiteren knnen Sie
Daten anonymisieren, umden Datenschutz zu verbessern.
Die Registerkarte Einstellungen ermglicht Ihnen, den Umgang mit Berichtsdaten zu regeln
und festzulegen, wie lange Berichtsdaten auf demSystemgespeichert werden, bevor sie auto-
matisch gelscht werden. Einstellungen fr die folgenden Themenbereiche knnen vor-
genommen werden:
l Application Control
l Authentifizierung
626 UTM9 WebAdmin
l Email Protection
l Firewall
l IPS
l Netzwerknutzung
l Fernzugriff
l Web Protection
Verwenden Sie die Auswahlkstchen auf der linken Seite, umdie Berichtsfunktion fr einen
bestimmten Themenbereich ein- oder auszuschalten. Standardmig ist die Berichtsfunktion
fr alle Themenbereiche eingeschaltet.
Verwenden Sie die Auswahllisten auf der rechten Seite, umfestzulegen, wie lange die Berichts-
daten aufbewahrt werden sollen.
Hinweis Das Ausschalten unntiger Berichtsfunktionen senkt die Grundlast des Systems
und reduziert Leistungsengpsse. Versuchen Sie, die Zeitrume so kurz wie mglich zu hal-
ten, da groe Mengen gespeicherter Daten eine hhere Grundlast fr das Systembedeuten
und lngere Antwortzeiten auf den dynamischen Berichtsseiten verursachen.
Die Einstellungen auf dieser Registerkarte wirken sich nicht auf die Protokolldateiarchive aus.
Detai lgrad der Web-Protecti on-Beri chte
In diesemBereich knnen Sie den Detailgrad fr Ihre Web-Protection-Berichte festlegen.
Beachten Sie, dass ein hherer Detailgrad eine sprbare Erhhung der Speicherauslastung
und Systemlast verursacht, deshalb sollten Sie den Detailgrad nur erhhen, wenn es not-
wendig ist.
Die folgenden Detailgrade sind verfgbar:
l Nur Domne: Die Berichte zeigen die Top-Level-Domne und die Second-Level-Dom-
ne einer URL an, z.B. beispiel.de. Third-Level-Domnen werden angezeigt, wenn
sie erzwungen sind, z.B. example.co.uk.
l Komplette Domne: Die Berichte zeigen die komplette Domne an, z.B.
www.beispiel.deoder shop.example.com
UTM9 WebAdmin 627
17 Protokolle & Berichte 17.12 Berichteinstellungen
l 1 URL-Ebene: Die Berichte zeigen zustzlich das erste (virtuelle) Verzeichnis einer
URL an, z.B. www.beispiel.de/de/.
l 2 URL-Ebenen: Die Berichte zeigen zustzlich die ersten beiden (virtuellen) Ver-
zeichnisse einer URL an, z.B. www.beispiel.de/de/produkte/.
l 3 URL-Ebenen: Die Berichte zeigen zustzlich die ersten drei (virtuellen) Verzeichnisse
einer URL an, z.B. www.beispiel.de/de/produkte/neu/.
Ei nstellungen fr Gesamtberi cht
In diesemAbschnitt knnen Sie jeweils die Anzahl an Gesamtberichten festlegen, die auf-
bewahrt werden soll:
l Tagesberichte: maximal 60
l Wochenberichte: maximal 52
l Monatsberichte: maximal 12
Weitere Informationen zumGesamtbericht und seinen Optionen finden Sie unter Protokolle &
Berichte >Gesamtbericht.
PDF-Papi erei nstellungen
Das voreingestellte Papierformat fr den PDF-Gesamtbericht ist A4. Sie knnen die Aus-
wahlliste verwenden, umalternativ Letter oder legal zu whlen. Klicken Sie auf bernehmen,
Fernzugri ffs-Nutzungsstati sti k
Hier knnen Sie die Erfassung von Nutzungsdaten ber Fernzugriffsverbindungen aktivieren
und deaktivieren. Ist die Option ausgewhlt, werden Daten ber Fernzugriffsverbindungen
gespeichert und auf der Registerkarte Protokolle &Berichte >Fernzugriff >Sitzung in den Spal-
ten Hoch und Herunter angezeigt. Ist die Option deaktiviert, werden keine entsprechenden
Daten erfasst. Beachten Sie, dass sich die Systemlast erhhen kann, wenn die Option aktiv ist.
Ei nstellungen fr CSV-Trennzei chen
An dieser Stelle knnen Sie festlegen, welches Trennzeichen beimExport von Berichtsdaten in
das CSV-Format verwendet wird. Beachten Sie, dass unter Windows das Trennzeichen mit
den regionalen Einstellungen Ihres Systems bereinstimmen sollte, damit die exportierten
Daten korrekt in einemTabellenkalkulationsprogrammwie beispielsweise Excel angezeigt wer-
den.
628 UTM9 WebAdmin
IPFIX-Accounti ng
Mithilfe von IPFIXlassen sich Informationen zumIPv4-Datenfluss der UTMan den Dien-
stanbieter weiterleiten, z.B. zwecks berwachung, Berichterstattung, Accounting und Rech-
nungsstellung.
Bei IPFIX(Internet Protocol FlowInformation Export) handelt es sich umein nach-
richtenbasiertes Protokoll fr den universellen Export von Netzwerkverkehrsinformationen. Die
Netzwerkverkehrsinformationen werden zunchst von einemexporter gesammelt und
anschlieend zu einemcollector weitergesendet. Typische Netzwerkverkehrsinformationen
des IPv4-Datenfluss sind Quell- und Zieladresse, Quell- und Zielport, Bytes, Pakete und Klas-
sifizierungsdaten des Netzwerkverkehrs.
Wenn die Funktion aktiv ist, fungiert die UTMals exporter:Sie exportiert die IPFIX-Accounting-
Daten. Der collector befindet sich imAllgemeinen bei einemDienstanbieter, der die Netz-
werkverkehrsdaten einer oder mehrerer Ihrer UTMs sammelt und analysiert. Whrend der
Systemkonfiguration bei IhremDienstanbieter erhalten Sie den Hostnamen, und Sie mssen
pro exporter, also pro UTM, eine OID(Observation Domain ID) festlegen. Geben Sie diese
Daten in die entsprechenden Felder ein.
Der Datenexport erfolgt ber den UDP-Port 4739. Eine einzelne Netzwerkverbindung nutzt
zwei IPFIX-Datenstrme einen fr den Export, den anderen fr die Antwort.
Sicherheitshinweis Beachten Sie, dass die Netzwerkverkehrsdaten bei IPFIXunver-
schlsselt bertragen werden. Deshalb wird empfohlen, die Daten lediglich ber private Netz-
werke zu versenden.
17.12.2 Ausnahmen
Auf der Registerkarte Berichteinstellungen >Ausnahmen knnen Sie bestimmte Domnen und
Adressen von der Berichterstellung ausnehmen. Das betrifft sowohl den Gesamtbericht als
auch die jeweiligen Abschnitte des Mens Protokolle &Berichte und die entsprechenden sta-
tistischen Informationen.
Hinweis Vorgenommene nderungen sind nicht umgehend auf den Seiten fr die
Tagesstatistik sichtbar, da die Aktualisierung nur alle 10 bis 15Minuten
UTM9 WebAdmin 629
vorgenommen wird. Beachten Sie auerdemdie Import-Funktion, mit der Sie mehrere Ein-
trge auf einmal definieren knnen.
Beri chtsausnahmen: Web
In diesemAbschnitt knnen Sie die Domnen festlegen, die von den Web-Protection-Berichten
ausgenommen werden. Die Domnennamen mssen genau so eingegeben werden, wie sie
imBericht Domnen auf der Registerkarte Protokolle &Berichte >Web Protection >Inter-
netnutzung aufgelistet sind.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
Beri chtsausnahmen: Mai l
In diesen beiden Abschnitten knnen Sie Domnen und E-Mail-Adressen festlegen, die von
allen Email-Protection-Berichten ausgenommen werden,
ber das Feld Domnen lassen sich alle E-Mail-Adressen einer bestimmten Domne aus-
schlieen. Geben Sie lediglich den Teil der E-Mail-Adresse an, der die Domne beschriebt, z.B.
sophos.com. ber das Feld Adressen lassen sich bestimmte E-Mail-Adressen von den Berich-
ten ausschlieen.Klicken Sie auf bernehmen, umIhre Einstellungen zu speichern.
E-Mails mit den festgelegten Domnennamen oder Adressen als Sender oder Empfnger wer-
den von den Email-Protection-Berichten ausgenommen.
Beri chtsausnahmen: Network Protecti on
In diesemAbschnitt knnen Sie die IPv4- und IPv6-Adressen festlegen, die von den Network-
Protection-Berichten ausgenommen werden.Klicken Sie auf bernehmen, umIhre Ein-
Ausnahmen fr Beri cht: Netzwerkverkehr
In diesemAbschnitt knnen Sie IPv4- und IPv6-Adressen festlegen, die von allen Netz-
werknutzungsberichten ausgenommen werden.Klicken Sie auf bernehmen, umIhre Ein-
17.12.3 Anonymisierung
Die Registerkarte Berichtseinstellungen >Anonymisierung ermglicht Ihnen, Daten basie-
rend auf demVier-Augen-Prinzip zu anonymisieren. Das bedeutet, dass eine Enta-
nonymisierung nur mglich ist, wenn zwei verschiedene Leute dieses Vorgehen beschlieen.
Anonymisierung stellt sicher, dass Benutzerdaten geheimbleiben, wenn Protokoll- und
630 UTM9 WebAdmin
Berichtsdaten eingesehen werden. Dadurch knnen Aktionen (z.B. Surfverhalten) nicht auf
eine bestimmte Person zurckverfolgt werden.
UmAnonymisierung zu verwenden, gehen Sie folgendermaen vor:
1. Aktivieren Sie die Anonymisierung auf der Registerkarte Anonymisierung.
Der Schieberegler wird gelb und der Bereich Anonymisierungs-Einstellungen kann bear-
beitet werden.
2. Geben Sie zwei Sicherheitskennwrter ein.
Das Vier-Augen-Prinzip ist nur gewhrleistet, wenn zwei verschiedene Personen ein
Kennwort eingeben, das der jeweils anderen Person unbekannt ist.
UmAnonymisierung (global) wieder zu deaktivieren, sind beide Kennwrter erforderlich.
1. Klicken Sie auf der Registerkarte Anonymisierung auf den Schieberegler.
Der Schieberegler wird gelb und der Bereich Anonymisierungs-Einstellungen kann bear-
beitet werden.
Falls ntig, kann die Anonymisierung fr einzelne Benutzer aufgehoben werden. Weitere Infor-
mationen hierzu finden Sie unter Protokolle &Berichte >Web Protection und Protokolle &
Berichte >Email Protection.
UTM9 WebAdmin 631
18 Support
Dieses Kapitel beschreibt die Support-Tools, die fr die Sophos UTMzur Verfgung stehen.
Die Seiten des Mens Support enthalten viele Funktionen, die den Benutzer untersttzen, von
Weblinks ber Kontaktinformationen bis hin zu ntzlichen Netzwerk-Tools zur Bestimmung
wichtiger Netzwerkeigenschaften, ohne dass auf die Kommandozeilen-Schnittstelle der UTM
zugegriffen werden muss.
l Dokumentation
l Druckbare Konfiguration
l Support kontaktieren
l Tools
l Erweitert
Darber hinaus enthlt die Hauptseite des Mens Support Weblinks zu den folgenden Res-
sourcen:
l Knowledgebase (KB): Die offizielle Wissensdatenbank von Sophos NSGstellt zahl-
reiche Informationen zur Konfiguration von Sophos UTMbereit.
l Liste bekannter Probleme: (engl. Known Issues List) Die beschriebenen Probleme
knnen entweder nicht behoben werden oder es sind Workarounds verfgbar, die zur
Lsung fhren.
l Hardwarekompatibilittsliste: Eine Liste mit kompatibler Hardware fr Sophos UTM
(engl. hardware compatibility list, HCL).
l Up2Date-Informationen: Der Sophos NSGNSGUp2Date-Blog informiert ber Pro-
duktverbesserungen und Firmware-Updates.
18.1 Dokumentation
Onli nehi lfe
Dieser Abschnitt beschreibt, wie Sie die Onlinehilfe ffnen und nutzen knnen.
18.2 Druckbare Konfiguration 18 Support
Handbuch herunterladen
Sie knnen das aktuelle Administration Guide imPDF-Format herunterladen. Whlen Sie die
Sprache des Handbuchs aus und klicken Sie auf Herunterladen. Umdie PDF-Datei zu ffnen,
bentigen Sie ein spezielles Programmwie Adobe Reader oder Xpdf.
Querverweis Administrationshandbcher frherer UTM-Versionen und andere Doku-
mentationen knnen Sie von der Sophos Knowledgebase herunterladen.
18.2 Druckbare Konfiguration
Auf der Seite Support >Druckbare Konfiguration knnen Sie einen detaillierten Bericht der
aktuellen WebAdmin-Konfiguration erzeugen.
Hinweis Die druckbare Konfiguration wird in einemneuen Fenster geffnet. Je nach Brow-
ser kann es ntig sein, Pop-Up-Fenster fr WebAdmin zu erlauben.
Die Gliederung der druckbaren Konfiguration entspricht der Menstruktur von WebAdmin, um
das Auffinden der entsprechenden Konfigurationsoptionen imWebAdmin zu erleichtern.
Die Browser-Seite der druckbaren Konfiguration besteht aus einer bersichtsseite, genannt
Index, und mehreren Unterseiten. Links zu Unterseiten sind blau hervorgehoben. Unterseiten
enthalten detaillierte Informationen zu demjeweiligen Thema. Durch einen Klick auf den Link
Back to the index unten auf einer Unterseite knnen Sie jederzeit von einer Unterseite zum
Index zurckkehren.
Es gibt zwei weitere Ansichtsoptionen fr die druckbare Konfiguration:
l WebAdmin format (WebAdmin-Format)
l Confd format (Confd-Format)
Die Links zu diesen Ansichtsoptionen finden Sie unten auf der Indexseite.
18.3 Support kontaktieren
Sophos bietet fr seine Sicherheitslsungen umfangreichen Kundensupport an. Je nach Sup-
port-/Wartungsvertrag gibt es verschiedene Kategorien. Diese unterscheiden sich hinsichtlich
634 UTM9 WebAdmin
der Art des Kontakts zumSupport und der zugesicherten Reaktionszeit durch die Sophos-Ser-
vice-Abteilung und/oder Sophos NSG-zertifizierte Partner.
Alle Supportflle, die Sophos UTMbetreffen, werden ber das MyUT-Portal abgewickelt. Sie
knnen ber das Webformular einen Supportfall ffnen, indemSie auf die Schaltflche Sup-
port-Ticket in neuemFenster ffnen klicken. Weitere Informationen finden Sie imMyUTM-
Benutzerhandbuch.
18.4 Tools
Die Registerkarten des Mens Support >Tools enthalten ntzliche Netzwerk-Tools, mit denen
wichtige Netzwerkeigenschaften ermittelt werden knnen, ohne dass auf die Kom-
mandozeilen-Schnittstelle der UTMzugegriffen werden muss. Die Ausgabe der folgenden
Tools kann eingesehen werden:
l Ping-Prfung
l Traceroute
l DNS-Lookup
18.4.1 Ping-Prfung
Das ProgrammPing ist ein Computer-Netzwerk-Tool mit demman testen kann, ob ein
bestimmter Host ber ein IP-Netzwerk erreichbar ist. Ping sendet ICMP-Echo-Anfrage-Pakete
an den Zielhost und lauscht auf Antworten in Formvon ICMP-Echo-Antwort-Paketen. Aus Zei-
tintervallen und Antworthufigkeiten schtzt Ping die Dauer des Paketumlaufs und die Paket-
verlustrate zwischen den Hosts.
Umeine Ping-Prfung durchzufhren, gehen Sie folgendermaen vor:
1. Whlen Sie den Ping-Host.
Whlen Sie den Host, den Sie anpingenmchten. ImFeld Ping-Host knnen Sie einen
Host auswhlen, fr den eine Hostdefinition existiert. Alternativ knnen Sie auch Benut-
zerdefinierte(r) Hostname/IP-Adresse whlen und imFeld darunter einen benut-
zerdefinierten Hostnamen oder eine benutzerdefinierte IP-Adresse angeben.
2. Whlen Sie die IP-Version (nur verfgbar, wenn IPv6 global aktiv ist).
Whlen Sie in der Auswahlliste IP-Version einen der Eintrge IPv4 oder IPv6.
Die Ausgabe der Ping-Prfung wird imAbschnitt Ping-Prfungsergebnis angezeigt.
UTM9 WebAdmin 635
18 Support 18.4 Tools
18.4 Tools 18 Support
18.4.2 Traceroute
Das ProgrammTraceroute ist ein Computer-Netzwerk-Tool zur Bestimmung der Route, die
von Paketen in einemIP-Netzwerk genommen werden. Es listet die IP-Adressen der Router
auf, ber die das versendete Paket transportiert wurde. Sollte der Pfad der Datenpakete kurz-
fristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt. Nach einer
bestimmten Zahl an Fehlversuchen wird die berprfung abgebrochen. Der Abbruch einer
berprfung kann viele Grnde haben, der wahrscheinlichste ist jedoch, dass eine Firewall im
Netzwerkpfad Traceroute-Pakete blockiert.
Umeine Route nachzuvollziehen, gehen Sie folgendermaen vor:
1. Legen Sie den Traceroute-Host fest.
Whlen Sie den Host, fr den Sie die Route bestimmen wollen. ImFeld Traceroute-Host
knnen Sie einen Host auswhlen, fr den eine Hostdefinition existiert. Alternativ knnen
Sie auch Benutzerdefinierte(r) Hostname/IP-Adresse whlen und imFeld darunter
einen benutzerdefinierten Hostnamen oder eine benutzerdefinierte IP-Adresse ange-
ben.
2. Whlen Sie die IP-Version (nur verfgbar, wenn IPv6 global aktiv ist).
Whlen Sie in der Auswahlliste IP-Version einen der Eintrge IPv4 oder IPv6.
3. Hop-Adressen (Abschnitte) numerisch statt symbolisch und numerisch aus-
geben (optional).
Wenn Sie diese Option whlen, wird fr jedes Gateway imPfad eine Adresse-zu-Name-
Auflsung durch einen Namensserver durchgefhrt und gespeichert.
Die Ausgabe von Traceroute wird imAbschnitt Traceroute-Ergebnis angezeigt.
18.4.3 DNS-Lookup
Das ProgrammHost ist ein Netzwerk-Tool zur Abfrage von DNS-Namensservern. Es fhrt
DNS-Lookups durch und zeigt die Antworten an, die von den befragten Namensservern zurck-
kommen.
Umein DNS-Lookup durchzufhren, gehen Sie folgendermaen vor:
636 UTM9 WebAdmin
1. Geben Sie den Hostnamen oder die IP-Adresse ein.
Geben Sie den Hostnamen oder die IP-Adresse eines Hosts ein, fr den Sie DNS-Infor-
mationen erhalten wollen.
2. Whlen Sie Ausfhrliche Ausgabe aktivieren (optional).
Whlen Sie diese Option, damit in der Ausgabe ausfhrlichere Informationen auf-
tauchen.
Die Ausgabe von dig wird imAbschnitt DNS-Suchergebnis angezeigt.
18.5 Erweitert
Das Men Support >Erweitert bietet weitere Informationen zu Ihrer UTMund gewhrt Zugriff
auf erweiterte Funktionen. Es bietet einen berblick ber laufende Prozesse und lokale Netz-
werkverbindungen und Sie erhalten Einblick in die Routing-Tabelle und die Netz-
werkschnittstellen-Tabelle. Darber hinaus knnen Sie ein Support-Paket herunterladen, das
Ihnen bei der Fehlersuche und Wiederherstellung hilft sowie Hintergrundinformationen zu inter-
nen Konfigurationsreferenzen bietet, welche Ihnen in Protokolldateien begegnen knnen.
18.5.1 Prozesse
Das Programmps stellt eine Kopfzeile dar gefolgt von Zeilen, die Informationen ber die lau-
fenden Prozesse auf demSystementhalten. Diese Informationen sind nach ihremControlling
Terminal(dt. Steuerkonsole) und dann nach ihrer Prozess-IDsortiert.
18.5.2 LAN-Verbindungen
Das Programmnetstat (Abkrzung fr Network Statistics, dt. Netzwerkstatistiken) ist ein Netz-
werk-Tool, das alle augenblicklich aktiven, sowohl eingehenden als auch ausgehenden, Inter-
netverbindungen eines Computers anzeigt.
18.5.3 Routen
Das Programmip ist ein Netzwerk-Tool, das zur Kontrolle des TCP/IP-Netzwerk- und Daten-
verkehrs dient. Mit demParameter route show table allwerden die Inhalte aller Routing-
Tabellen der UTMangezeigt.
UTM9 WebAdmin 637
18 Support 18.5 Erweitert
18.5 Erweitert 18 Support
Die Tabelle zeigt alle konfigurierten Schnittstellen von Sophos UTM, sowohl Netzwerkkarten
als auch virtuelle Schnittstellen. Die Daten werden vomProgrammip durch den Parameter
addrerzeugt. Schnittstellen und deren Eigenschaften werden angezeigt.
18.5.5 Konfigurations-Abbild
Fr die Fehlersuche und fr Wiederherstellungszwecke ist es ntzlich, ber die Installation von
Sophos UTMso viele Informationen wie mglich zu sammeln. Auf der Registerkarte Support >
Erweitert >Konfigurations-Abbild kann das Support-Paket heruntergeladen werden, das
genau diese Funktion bietet. Die zip-Datei enthlt Folgendes:
l Das komplette Abbild der UTM-Konfiguration (storage.abf). Beachten Sie, dass es
sich dabei nicht umeine echte Backup-Datei handelt einige Informationen, z.B. die
Kennwrter, sind nicht in dieser Datei enthalten. Sie kann daher nur zur Feh-
lerbehebung genutzt werden.
l Informationen ber die gegenwrtig genutzte Hardware (hwinfo).
l Informationen ber die installierten Software-Pakete (swinfo).
18.5.6 REF auflsen
Zur Fehlerbehebung knnen vomSystemgenutzte Configuration References (Kon-
figurationsreferenzen) aufgelst werden. Wenn Sie irgendwo in den Protokollen (Logs) auf sol-
che References stoen, knnen Sie die Zeichenfolge (z.B. REF_DefaultSuperAdmin) in das
Eingabefeld kopieren. Auf der Registerkarte wird anschlieend ein Auszug aus der Daten-
struktur des Konfigurations-Daemons angezeigt.
638 UTM9 WebAdmin
19 Abmelden
Sie knnen sich vomUTMdurch einen Klick auf den Menpunkt Abmelden abmelden. Wenn
Sie sich nicht richtig vomWebAdmin abmelden oder der Browser mit einer offenen Sitzung
geschlossen wird, kann es passieren, dass Sie sich fr die folgenden 30 Sekunden nicht anmel-
den knnen.
Hinweis Beachten Sie, dass Sie abgemeldet werden, wenn Sie whrend einer Sitzung zu
einer anderen Internetseite wechseln. In diesemFall mssen Sie sich neu anmelden.
20 Benutzerportal
Dieses Kapitel enthlt Informationen ber die Funktionsweise des Benutzerportals und die
Dienste, die es den Endbenutzern bereitstellt.
Das Benutzerportal von Sophos UTMist eine Browser-basierte Anwendung, die autorisierten
Benutzern unter anderempersonalisierte E-Mail-Dienste und Dienste fr den Fernzugriff zur
Verfgung stellt. Der Zugriff ist ber die URL von Sophos UTMmglich, zumBeispiel
https://192.168.2.100(beachten Sie das HTTPS-Protokoll).
Benutzer knnen auf der Anmeldeseite eine Sprache aus der Auswahlliste auswhlen, die sich
rechts in der Kopfleiste befindet.
Abhngig von den imWebAdmin vomAdministrator aktivierten Diensten und Funktionen kn-
nen Benutzer auf folgende Dienste zugreifen:
l Mail-Quarantne
l Mail-Protokoll
l POP3-Konten
l Absender-Whitelist:
l Absender-Blacklist
l Hotspots
l Client-Authentifizierung
l OTP-Token
l Fernzugriff
l HTML5-VPN-Portal
l Kennwort ndern
l HTTPS-Proxy
Wenn die Funktion fr einmalige Kennwrter (OTP) aktiviert ist, wird nach demAnmel-
deversuch unter bestimmten Bedingungen eine Anmeldeseite mit einemoder mehreren QR-
Codesangezeigt. Die Anmeldeseite wird nur dann angezeigt, wenn die Funktion OTP-
Tokenautomatisch fr Benutzer erstellen aktiviert wurde und der Benutzer nur mit seinem
benutzerspezifischen Kennwort angemeldet ist (d. h. kein einmaliges Kennwort wird angefgt)
und fr den Benutzer ein unbenutztes OTP-Tokenverfgbar ist. Auf der Seite werden
20.1 Benutzerportal: Mail-Quarantne 20 Benutzerportal
Anweisungen zur Konfiguration eines Mobilgerts fr die Generierung einmaliger Kennwrter
angezeigt. Nach der Konfiguration des Mobilgerts kann sich der Benutzer erneut anmelden.
Dazu kann er jetzt das UTMKennwort und direkt danach das einmalige Kennwort eingeben.
Beispiel:Wenn Ihr UTMKennwort 1z58.xaist und das einmalige Kennwort lautet 123456,
geben Sie zur Anmeldung 1z58.xa123456ein.
20.1 Benutzerportal: Mail-Quarantne
Auf dieser Registerkarte knnen Benutzer Nachrichten in Quarantne anzeigen und gege-
benenfalls freigeben.
Hinweis Die Registerkarte Mail-Quarantne wird angezeigt, wenn POP3 oder SMTPim
WebAdmin aktiviert ist und der Benutzer fr diese Dienste konfiguriert wurde. Erhlt der
Benutzer E-Mails sowohl ber SMTPals auch ber POP3, werden die Nachrichten auf zwei
Registerkarten verteilt: POP3-Quarantne und SMTP-Quarantne, mit den gleichen Funk-
tionen.
Die Registerkarte Mail-Quarantne zeigt eine bersicht aller an den Benutzer adressierten E-
Mails, die von der Sophos UTMblockiert und unter Quarantne gestellt wurden. Damit POP3-
Quarantne-E-Mails angezeigt werden, muss der Benutzer auf der Registerkarte POP3-Kon-
ten seine POP3-Zugangsdaten eingeben.
Quarantne-E-Mails sortieren und filtern
Standardmig werden alle E-Mails angezeigt. Enthlt die Liste mehr als zwanzig E-Mails, wird
sie in mehrere Seiten unterteilt, durch die Sie mit den Schaltflchen Vorwrts (>) und Rck-
wrts (<) navigieren knnen.
Benutzer knnen die Anzeige anpassen:
Sortiere nach: Standardmig wird die Liste nach Eingangsdatumsortiert. Nach-
richten knnen nach Datum, Betreff, Absenderadresse und Nachrichtengre sortiert
werden.
und zeige: Sie knnen whlen, ob 20, 50, 100, 250, 500 oder 1000 Eintrge pro Seite
angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das
Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
Verschiedene Elemente auf der Seite ermglichen das Filtern von E-Mails:
642 UTM9 WebAdmin
l Anzahl der Nachrichten in Quarantne:Ganz oben auf der Seite befinden sich meh-
rere Auswahlkstchen, mit denen die E-Mail-Anzeige nach demGrund fr die Qua-
rantne (Schadsoftware, Spam, bereinstimmender Ausdruck, Dateierweiterung,
MIME-Typ, unscannbar, andere) gefiltert werden kann.
l Adressen oder Konten: Ermglicht es, Nachrichten nach Empfngeradresse (SMTP)
oder Konto (POP3) zu filtern.
l Abs./Empf./Betr.-Teilausdruck: Hier knnen Benutzer einen Absender, Empfnger
(nur mit POP3) oder Betreff eingeben, nach demin den Quarantne-Nachrichten
gesucht werden soll.
l Eingangsdatum: Umnur Nachrichten anzuzeigen, die whrend eines bestimmten Zeit-
raums eingegangen sind, geben Benutzer hier ein Datumein oder whlen ein Datum
ber das Kalendersymbol.
Quarantne-E-Mails verwalten
Benutzer knnen Aktionen fr eine Nachricht mithilfe der Auswahlliste vor der Nachricht aus-
fhren. Eine Aktion kann auch fr mehrere ausgewhlte Nachrichten durchgefhrt werden.
Verwenden Sie die Auswahlkstchen vor den Nachrichten oder klicken Sie auf Nachrichten, um
sie auszuwhlen. Whlen Sie dann eine der verfgbaren Aktionen in der Auswahlliste unter der
Tabelle. Die folgenden Aktionen sind mglich:
l Anzeigen (nur fr einzelne Meldungen verfgbar): ffnet ein Fenster mit demE-Mail-
Inhalt.
l Herunterladen: Die gewhlten Nachrichten werden imEML-Format heruntergeladen.
l Absender auf Whitelist (nur fr einzelne Meldungen verfgbar): Verschiebt die E-Mail
in Ihr Postfach und fgt den Absender zur Positivliste (Registerkarte Absender-Whitelist)
hinzu. Nachfolgende E-Mails von diesemAbsender werden nicht mehr unter Qua-
rantne gestellt. Beachten Sie, dass E-Mails mit schdlichemInhalt immer unter Qua-
rantne gestellt werden, auch wenn der Absender auf der Whitelist steht.
l Freigeben: Die gewhlten Nachrichten werden aus der Quarantne freigegeben.
l Freigeben und als Fehlfund melden: Die gewhlten Nachrichten werden aus der
Quarantne freigegeben und als Fehlfund (false positive) an das Spam-Scan-Pro-
grammgemeldet.
UTM9 WebAdmin 643
20 Benutzerportal 20.1 Benutzerportal: Mail-Quarantne
20.2 Benutzerportal: Mail-Protokoll 20 Benutzerportal
Hinweis Welche Aktionen verfgbar sind, hngt vomQuarantnegrund und von den
WebAdmin-Einstellungen ab. Benutzer knnen nur Nachrichten freigeben, fr die sie explizit
die Erlaubnis haben. Nur der Administrator kann alle Nachrichten aus der Quarantne frei-
geben.
Globale Aufrumaktion whlen: Hier finden Sie einige Lschoptionen, die auf alle Nach-
richten global angewendet werden, das heit, unabhngig davon, ob sie ausgewhlt sind
und/oder angezeigt werden oder nicht.
20.2 Benutzerportal: Mail-Protokoll
Auf dieser Registerkarte knnen Endbenutzer ein Protokoll ihres ber SMTPgesendeten E-
Mail-Verkehrs anzeigen.
Hinweis Die Registerkarte Mail-Protokoll fhrt nur E-Mail-Adressen der Domne auf, die
der SMTP-Proxy von Sophos UTMberwacht. Benutzer knnen die Registerkarte nur
sehen, wenn ihnen der Administrator entsprechende Rechte zugewiesen hat. Wenn fr
einen Benutzer sowohl SMTPals auch POP3 aktiviert wurden, heit diese Registerkarte
SMTP-Protokoll.
Die Registerkarte Mail-Protokoll enthlt Protokolleintrge ber den gesamten E-Mail-Verkehr
fr alle E-Mail-Adressen des Benutzers. Fr E-Mails, die nicht zugestellt werden konnten, ent-
halten die Protokolleintrge Informationen ber die jeweilige Ursache. Durch einen Doppelklick
auf einen Protokolleintrag wird ein Fenster mit weiterfhrenden Informationen angezeigt.
Standardmig werden alle E-Mails angezeigt. Enthlt die Liste mehr als zwanzig E-Mails, wird
sie in mehrere Seiten unterteilt, durch die Sie mit den Schaltflchen Vorwrts (>) und Rck-
wrts (<) navigieren knnen.
Benutzer knnen die Anzeige anpassen:
Sortiere nach: Standardmig wird die Liste nach Eingangsdatumsortiert. Nach-
richten knnen nach Datum, Betreff, Absenderadresse und Nachrichtengre sortiert
werden.
644 UTM9 WebAdmin
und zeige: Sie knnen whlen, ob 20, 50, 100, 250, 500 oder 1000 Eintrge pro Seite
angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das
Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
Verschiedene Elemente auf der Seite ermglichen das Filtern von E-Mails:
l # Protokollereignisse in Datei:Ganz oben auf der Seite befinden sich mehrere Aus-
wahlfelder, mit denen E-Mails abhngig von ihremStatus eingeblendet und aus-
geblendet werden knnen.
l Adressen: Ermglicht es, E-Mails nach Absenderadresse zu filtern.
l Absender/Betreff-Teilausdruck: Hier knnen Benutzer einen Absender oder Betreff
eingeben (oder einen Wortteil davon), nach demin den Quarantne-Nachrichten
gesucht werden soll.
l Eingangsdatum: Umnur Nachrichten anzuzeigen, die whrend eines bestimmten Zeit-
raums eingegangen sind, geben Benutzer hier ein Datumein oder whlen ein Datum
ber das Kalendersymbol.
20.3 Benutzerportal: POP3-Konten
Auf dieser Registerkarte knnen sich Endbenutzer ausweisen, umihre POP3-E-Mails in Qua-
rantne ansehen und freigeben und Quarantneberichte erhalten zu knnen.
Hinweis Die Registerkarte POP3-Konten ist nur verfgbar, wenn der Administrator POP3
aktiviert und einen POP3-Server hinzugefgt hat.
Auf dieser Seite mssen Benutzer die Zugangsdaten zu den POP3-Konten eingeben, die sie
benutzen. Es werden nur Spam-E-Mails, fr die POP3-Kontozugangsdaten hinterlegt sind, im
Benutzerportal angezeigt. Benutzer, fr die POP3-Kontozugangsdaten gespeichert sind, erhal-
ten fr jede E-Mail-Adresse einen eigenstndigen Quarantnebericht.
20.4 Benutzerportal: Absender-Whitelist
Auf dieser Registerkarte knnen Benutzer E-Mail-Absender auf die Positivliste (Whitelist) set-
zen, damit die Nachrichten dieser Absender niemals als Spambehandelt werden. E-Mails mit
Viren oder unscannbare E-Mails werden jedoch stets unter Quarantne gestellt.
UTM9 WebAdmin 645
20 Benutzerportal 20.3 Benutzerportal: POP3-Konten
20.5 Benutzerportal: Absender-Blacklist 20 Benutzerportal
Hinweis Die Registerkarte Absender-Whitelist ist nur dann verfgbar, wenn die E-Mail-
Adresse des Benutzers demNetzwerk oder der Domne angehrt, die von Sophos UTM
berwacht wird, und wenn demBenutzer vomAdministrator die Zugriffsrechte fr diese Funk-
tion gewhrt wurden.
Absender knnen auf die Whitelist gesetzt werden, indemdas Plussymbol angeklickt, eine
Adresse eingegeben und auf das Hkchensymbol geklickt wird, umden Eintrag zu speichern.
Benutzer knnen sowohl einzelne gltige E-Mail-Adressen (z.B. mmustermann@beispiel.de)
als auch Adressen einer spezifischen Domne eintragen, wobei ein Asterisk als Platzhalter
dient (z.B. *@beispiel.de). Absender-Whitelist und Absender-Blacklist knnen gemeinsam
verwendet werden: Der Benutzer kann zumBeispiel eine ganze Domne (z.B. *@hot-
mail.com) auf die Blacklist setzen, whrend er einzelne E-Mail-Adressen dieser Domne (z.B.
meinkollege@hotmail.com) auf die Whitelist setzt und damit freigibt. Das funktioniert auch
andersherum. Wenn genau dieselbe E-Mail-Adresse in beiden Listen vorhanden ist, gilt die
Blacklist.
20.5 Benutzerportal: Absender-Blacklist
Auf dieser Registerkarte knnen Benutzer E-Mail-Absender auf die schwarze Liste (Blacklist)
setzen, damit die Nachrichten dieser Absender immer als Spambehandelt werden.
Hinweis Die Registerkarte Absender-Blacklist ist nur dann verfgbar, wenn die E-Mail-
Adresse des Benutzers demNetzwerk oder der Domne angehrt, die von der Sophos UTM
berwacht wird, und vomAdministrator die Zugriffsrechte fr diese Funktion gewhrt wur-
den.
Die Blacklist wird sowohl auf SMTP- als auch auf POP3-E-Mails angewendet, wenn diese auf
demSystemaktiviert sind. Absender knnen auf die Blacklist gesetzt werden, indemman auf
das Plussymbol klickt, die Adresse eingibt und zumSpeichern auf das Hkchen klickt. Benutzer
knnen sowohl einzelne gltige E-Mail-Adressen (z.B. mmustermann@beispiel.de) als auch
Adressen einer spezifischen Domne eintragen, wobei ein Asterisk als Platzhalter dient (z.B.
*@beispiel.de). Absender-Whitelist und Absender-Blacklist knnen gemeinsamverwendet
werden: Der Benutzer kann zumBeispiel eine ganze Domne (z.B. *@hotmail.com) auf die
Blacklist setzen, whrend er einzelne E-Mail-Adressen dieser Domne (z.B.
meinkollege@hotmail.com) auf die Whitelist setzt und damit freigibt. Das funktioniert auch
646 UTM9 WebAdmin
andersherum. Wenn genau dieselbe E-Mail-Adresse in beiden Listen vorhanden ist, gilt die
Blacklist.
20.6 Benutzerportal:Hotspots
Die Hotspot-Funktion ermglicht es, in Gaststtten, Hotels, Unternehmen usw. Gsten einen
zeit- und volumenbeschrnkten Internetzugang bereitzustellen.
Hinweis Die Registerkarte Hotspots wird imBenutzerportal nur dann angezeigt, wenn der
Administrator einen Hotspot vomTyp Kennwort oder Voucher erstellt hat und den betref-
fenden Benutzer in die Liste der zugelassenen Benutzer aufgenommen hat.
Auf dieser Registerkarte knnen Benutzer die Hotspot-Zugangsdaten an WLAN-Gste ver-
teilen. Welche Funktionen verfgbar sind, hngt von demgewhlten Hotspot-Typ ab: Ent-
weder sie verteilen ein allgemeingltiges Kennwort oder Voucher.
Hotspot-Typ:Tages-Kennwort
Das Feld Kennwort enthlt das aktuelle Kennwort. Dieses Kennwort wird einmal amTag gen-
dert. Benutzer haben aber auch die Mglichkeit, das Kennwort manuell zu ndern. Das vor-
hergehende Kennwort wird sofort ungltig. Alle laufenden Sitzungen werden beendet.
Umdas Kennwort zu ndern, gehen Benutzer folgendermaen vor:
1. Sie ffnen imBenutzerportal die Registerkarte Hotspots.
2. Sie whlen einen Hotspot aus, dessen Zugangsinformationen sie bearbeiten
mchten.
Sie whlen aus der Auswahlliste Hotspot den Hotspot aus, dessen Kennwort sie ndern
mchten.
3. Sie erstellen das neue Kennwort.
Dazu geben sie das neue Kennwort in das Feld Kennwort ein oder klicken auf die Schalt-
flche Erstellen, umautomatisch ein neues Kennwort zu erzeugen.
4. Benutzer knnen die neuen Kennwrter per E-Mail versenden, indemsie das
Auswahlkstchen E-Mail senden aktivieren.
UTM9 WebAdmin 647
20 Benutzerportal 20.6 Benutzerportal:Hotspots
20.6 Benutzerportal:Hotspots 20 Benutzerportal
Das Kennwort wird an die vomAdministrator spezifizierten E-Mail-Empfnger gesendet.
Wenn der Administrator keine E-Mail-Adresse festgelegt hat, wird das Auswahlkstchen
nicht angezeigt.
5. Sie klicken auf Speichern.
Die Kennwortnderung tritt sofort in Kraft.
Hotspot-Typ:Voucher
Benutzer knnen Voucher mit einmaligen Zugangscodes erstellen. Sie knnen die Voucher dru-
cken und ihren Gsten aushndigen. Die Liste der erstellten Voucher liefert einen berblick
ber ihre Nutzung und erleichtert ihre Verwaltung.
UmVoucher zu erstellen, gehen Benutzer folgendermaen vor:
1. Sie ffnen imBenutzerportal die Registerkarte Hotspots.
2. Sie mssen die folgenden Einstellungen festlegen:
Hotspot: Sie mssen den Hotspot auswhlen, fr den sie einen Voucher erstellen mch-
ten.
Voucher-Definition:Der Administrator legt die verfgbaren Voucher-Typen fest. Das
Unternehmen legt fest, welcher Voucher-Typ fr welchen Zweck verwendet wird.
Anzahl: Die Benutzer mssen angeben, wie viele Voucher dieses Typs erstellt werden
sollen.
Kommentar: Optional knnen sie Anmerkungen eingeben. Die Anmerkungen werden
in der Voucher-Liste des Benutzers angezeigt.
Druck: Benutzer knnen die Voucher auch sofort ausdrucken, indemsie diese Option
auswhlen.
Seitenformat:Sie mssen das Seitenformat fr den Druck auswhlen.
Voucher pro Seite: Sie legen fest, wie viele Voucher auf eine Seite gedruckt werden
sollen. UTMrichtet die Voucher automatisch auf der Seite aus.
QR-Code hinzufgen: Benutzer knnen festlegen, dass der gedruckte Voucher
neben den Voucher-Textdaten auch einen QR-Code enthalten soll. Ein QR-Code ist ein
quadratisches Bild, das codierte Daten enthlt. Es lsst sich mit Mobilgerten scannen,
umdie Hotspot-Anmeldeseite aufzurufen, auf der die Felder mit den erforderlichen
Daten vorausgefllt sind.
648 UTM9 WebAdmin
3. Sie klicken auf die Schaltflche Voucher erstellen.
Die Voucher werden generiert. Die Voucher werden sofort in der Voucher-Liste ange-
zeigt. Jeder Voucher entspricht einer neuen Zeile. Wenn zuvor ausgewhlt, werden die
Voucher direkt ausgedruckt. Jeder Voucher hat einen einmaligen Code.
Hinweis Inhalt, Gre und Layout der Voucher werden vomAdministrator festgelegt.
In der Voucher-Liste knnen Benutzer die Voucher verwalten. Sie knnen die Liste sortieren
und filtern, einen Kommentar eingeben oder ndern und sie knnen Voucher drucken, lschen
oder exportieren.
l ZumSortieren der Liste whlen sie in der Auswahlliste Sortieren nach ein Sor-
tierkriteriumaus. Mit der Auswahlliste auf der rechten Seite legen Benutzer fest, wie viele
Voucher pro Seite angezeigt werden.
l Mit den Feldern Status, Code oder Kommentar kann die Liste gefiltert werden. Die
Benutzer whlen das gewnschte Attribut aus oder geben es ein, umdie Liste zu filtern.
Die Liste wird bereits whrend der Eingabe gefiltert. Umden Filter zurckzusetzen, wh-
len sie den Statuseintrag Alle und lschen den eingegebenen Text in den Textfeldern
Code bzw. Kommentar.
l Umeinen Kommentar einzugeben oder zu bearbeiten, klicken sie in der Kommentar-
Spalte des jeweiligen Vouchers auf das Notizbuch-Symbol. Ein Textfeld wird angezeigt.
Benutzer knnen Text eingeben oder bearbeiten. Mit der Eingabetaste oder einemKlick
auf das Hkchen werden die nderungen gespeichert.
l Wenn sie Voucher drucken oder lschen mchten, aktivieren Benutzer das Aus-
wahlkstchen vor den jeweiligen Vouchern und klicken unten auf die entsprechende
Schaltflche.
Hinweis Der Administrator kann festlegen, dass Voucher nach einembestimmten
Zeitraumautomatisch gelscht werden.
l UmVoucher zu exportieren, gehen Benutzer folgendermaen vor:Sie aktivieren das
Auswahlkstchen vor den jeweiligen Vouchern und klicken unterhalb der Liste auf die
Schaltflche CSVexportieren. In einemneu angezeigten Fenster knnen sie anschlie-
end auswhlen, ob die CSV-Datei gespeichert oder direkt geffnet werden soll. Die
ausgewhlten Voucher werden gemeinsamin einer CSV-Datei gespeichert. Benutzer
mssen beimffnen dieser Datei darauf achten, dass sie das korrekte Trennzeichen fr
die Spaltentrennung auswhlen.
UTM9 WebAdmin 649
20 Benutzerportal 20.6 Benutzerportal:Hotspots
20.7 Benutzerportal: Client-Authentifizierung 20 Benutzerportal
20.7 Benutzerportal: Client-
Authentifizierung
Auf dieser Registerkarte knnen Endbenutzer die Setup-Datei des Sophos Authentication
Agents (SAA) herunterladen. Der SAAkann als Authentifizierungsmethode fr den Webfilter
genutzt werden.
Hinweis Die Registerkarte Client-Authentifizierung ist nur verfgbar, wenn Client-Authen-
tifizierung vomAdministrator aktiviert wurde.
20.8 Benutzerportal: OTP-Token
Auf dieser Registerkarte haben Endbenutzer Zugriff auf die QR-Codes und Daten fr die Instal-
lation der OTP-Konfiguration auf ihren Mobilgerten.
OTP-Token mit Google Authenticator konfigurieren
1. Installieren Sie Google Authenticator auf IhremMobilgert.
2. Scannen Sie den QR-Code.
3. ffnen Sie die App.
Sie zeigt das einmalige Kennwort an, das sich alle 30Sekunden ndert.
4. ffnen Sie die Funktion, fr die Sie das einmalige Kennwort nutzen mchten.
Der Administrator hat die Dienste konfiguriert, fr die Sie das einmalige Kennwort ein-
geben mssen, zumBeispiel fr eine Verbindung per Fernzugriff, fr die Web App-
lication Firewall oder fr das Benutzerportal selbst.
5. Geben Sie Ihren Benutzernamen und Ihr Kennwort fr UTM ein und direkt
danach das aktuelle einmalige Kennwort.Klicken Sie dann auf die Schalt-
flche Anmelden.
Nun haben Sie Zugriff auf die Funktion.
650 UTM9 WebAdmin
Verwenden anderer Software
1. Installieren Sie die Software auf IhremMobilgert.
2. ffnen Sie die App.
3. Konfigurieren sie die App mithilfe der Daten neben demQR-Code.
Die App generiert nun die einmaligen Kennwrter.
4. ffnen Sie die Funktion, fr die Sie das einmalige Kennwort nutzen mchten.
Der Administrator hat die Dienste konfiguriert, fr die Sie das einmalige Kennwort ein-
geben mssen, zumBeispiel fr eine Verbindung per Fernzugriff, fr die Web App-
lication Firewall oder fr das Benutzerportal selbst.
5. Geben Sie Ihren Benutzernamen und Ihr Kennwort fr UTM ein und direkt
danach das aktuelle einmalige Kennwort.Klicken Sie dann auf die Schalt-
flche Anmelden.
Nun haben Sie Zugriff auf die Funktion.
20.9 Benutzerportal: Fernzugriff
Auf dieser Registerkarte knnen Endbenutzer Client-Software fr den Fernzugriff sowie fr sie
bereitgestellte Konfigurationsdateien herunterladen. Diese werden entsprechend den WebAd-
min-Einstellungen des Administrators automatisch erstellt und bereitgestellt.
Hinweis Die Registerkarte Fernzugriff ist nur zu sehen, wenn fr den jeweiligen Benutzer
der Fernzugriff aktiviert wurde.
Es sind jedoch nur jene Fernzugriffdaten fr einen Benutzer verfgbar, die mit den Ver-
bindungsarten bereinstimmen, die fr ihn vomAdministrator aktiviert wurden. Beispiel: Ein
Benutzer, fr den der SSL-VPN-Fernzugriff aktiviert ist, findet einen Abschnitt SSL-VPNvor.
Jede Verbindungsart wird in einemseparaten Abschnitt angezeigt. Abhngig von der Ver-
bindungsart sind Informationen und/oder Schaltflchen zumHerunterladen der ent-
sprechenden Software verfgbar. Sofern zutreffend, finden Benutzer ber den Abschnitten
einen Link Installationsanleitung in neuemFenster ffnen, ber den sie eine detaillierte Instal-
lationsdokumentation ffnen knnen.
UTM9 WebAdmin 651
20 Benutzerportal 20.9 Benutzerportal: Fernzugriff
20.10 Benutzerportal: HTML5-VPN-Portal 20 Benutzerportal
20.10 Benutzerportal: HTML5-VPN-Portal
Das HTML5-VPN-Portal ermglicht Benutzern von externen Netzwerken aus den Zugriff auf
interne Ressourcen ber vorkonfigurierte Verbindungstypen und einen normalen Web-
browser.
Hinweis Die Registerkarte HTML5-VPN-Portal wird ausschlielich Benutzern angezeigt,
fr die der Administrator VPN-Verbindungen eingerichtet hat und die zur Gruppe der zuge-
lassenen Benutzer gehren.
Hinweis Der Browser des Benutzers muss HTML5 untersttzen. Die folgenden Browser
untersttzen die HTML5-VPN-Funktion: Firefox ab Version 6.0, Internet Explorer ab Version
10, Chrome, Safari ab Version 5 (nicht beimBetriebssystemWindows).
Auf der Registerkarte HTML5-VPN-Portal sind die zugelassenen Verbindungen aufgefhrt.
Die Symbole weisen auf den Verbindungstyp hin.
Umeine Verbindung zu verwenden, gehen Benutzer folgendermaen vor:
1. Sie klicken auf die jeweilige Verbinden-Schaltflche.
Ein neues Browser-Fenster wird geffnet. Inhalt und Aussehen dieses Fensters hngen
vomVerbindungstyp ab. Wenn der Benutzer zumBeispiel eineHTTP- oderHTTPS-Ver-
bindung aufgebaut hat, wird eine Website angezeigt. Bei SSH-Verbindungen wird eine
Kommandozeile angezeigt.
2. Imneuen VPN-Fenster arbeiten.
Fr einige Aufgaben bietet das VPN-Fenster eine fr den Verbindungstyp spezifische
Menleiste, die eingeblendet wird, wenn der Mauszeiger auf den oberen Rand des Fens-
ters zeigt:
l Funktionstasten oder Tastenkombinationen verwenden: Wenn Benutzer
spezielle Befehle, wie Funktionstasten oder STRG-ALT-ENTFverwenden wollen,
mssen sie den entsprechenden Eintrag imMen Keyboard auswhlen.
l Vomlokalen Rechner kopieren und in das VPN-Fenster einfgen: Benut-
zer mssen auf demlokalen Rechner den entsprechenden Text in die Zwi-
schenablage kopieren. ImVerbindungsfenster mssen sie das Clipboard-Men
auswhlen. Mit STRG-Vfgen sie den Text in das Textfeld ein. Dann mssen sie
652 UTM9 WebAdmin
auf die Schaltflche An Server senden klicken: Mit SSH- und Telnet-Ver-
bindungen wird der Text direkt an der Cursor-Position eingefgt. BeiRDP-
oderVNC-Verbindungen wird der Text in die Zwischenablage des Servers kopiert
und kann dann wie gewhnlich eingefgt werden.
Hinweis Kopieren und Einfgen (Copy &Paste) ist bei Webapp-Ver-
bindungen nicht mglich.
l ImVPN-Fenster kopieren und in ein anderes Fenster einfgen: Mit SSH-
und Telnet-Verbindungen knnen Benutzer Texte kopieren und einfgen wie bei
lokalen Fenstern. Bei RDP- undVNC-Verbindungen mssen die Benutzer im
VPN-Fenster den entsprechenden Text in die Zwischenablage kopieren. Dann
whlen sie das Men Clipboard. Der kopierte Text wird imTextfeld angezeigt. Die
Benutzer mssen den Text markieren und STRG-Cdrcken. Jetzt ist er in der loka-
len Zwischenablage und kann wie gewhnlich eingefgt werden.
l Tastaturbelegungeiner Remotedesktop-Verbindung ndern:Benutzer
knnen fr Remotedesktop-Verbindungen mit einemWindows-Rechner die
Tastatur-Spracheinstellung des VPN-Fensters ndern. Besonders fr die Win-
dows-Anmeldung gilt, dass die ausgewhlte Sprache mit der Spracheinstellung in
Windows bereinstimmen sollte, umeine korrekte Kennworteingabe zu ermg-
lichen. Die Benutzer mssen die gewnschte Sprache imMen Keyboard >Key-
board Layout auswhlen. Das ausgewhlte Tastatur-Layout wird in einemCookie
gespeichert.
l In einer Webapp-Verbindung zur Startseite zurckkehren: Umzur Stan-
dardseite einer Webapp-Verbindung zurckzukehren, whlen Sie das Men Navi-
gation >Home.
3. Nach getaner Arbeit wird die Verbindung geschlossen.
l Mit demBefehl Stop Session imMen Connection oder durch Schlieen des Brow-
ser-Fensters (x-Symbol in der Titelleiste) wird die Verbindung geschlossen. Durch
erneutes Anklicken der Verbinden-Schaltflche wird eine neue Sitzung gestartet.
l Mit demBefehl Suspend Session imMen Connection wird die Sitzung beendet.
Der Sitzungsstatus wird fr die Dauer von fnf Minuten gespeichert. Meldet sich
der Benutzer whrend dieses Zeitraums wieder an, kann er die letzte Sitzung fort-
setzen.
UTM9 WebAdmin 653
20 Benutzerportal 20.10 Benutzerportal: HTML5-VPN-Portal
20.11 Benutzerportal: Passwort ndern 20 Benutzerportal
20.11 Benutzerportal: Passwort ndern
Auf dieser Registerkarte knnen Endbenutzer ihr Kennwort fr den Zugriff auf das Benut-
zerportal und, sofern verfgbar, fr den Fernzugriff ber PPTPndern.
20.12 Benutzerportal: HTTPS-Proxy
Auf dieser Registerkarte knnen Benutzer das HTTP/S-Proxy-CA-Zertifikat importieren, damit
keine Fehlermeldungen mehr angezeigt werden, wenn sie sichere Websites besuchen.
Hinweis Die Registerkarte HTTPS-Proxy des Benutzerportals wird nur angezeigt, wenn
der Administrator global ein HTTP/S-Proxy-Zertifikat bereitgestellt hat.
Nach Klicken auf die Schaltflche Proxy-CA-Zertifikat importieren wird der Benutzer von sei-
nemBrowser gefragt, ob er der CAfr verschiedene Zwecke vertraut.
654 UTM9 WebAdmin
Glossar
3
3DES
Triple Data Encryption Standard
A
ACC
Astaro Command Center
ACPI
Advanced Conguration and Power
Interface
AD
Active Directory
Address Resolution Protocol
Used to determine the Ethernet MAC
address of a host when only its IP
address is known.
ADSL
Asymmetric Digital Subscriber Line
Advanced Configuration and Power
Interface
The ACPI specification is a power mana-
gement standard that allows the ope-
rating systemto control the amount of
power distributed to the computer's devi-
ces.
Advanced Programmable Interrupt
Controller
Architecture for dealing with interrupts
in multi-processor computer systems.
AES
Advanced Encryption Standard
AFC
Astaro FlowClassifier
AH
Authentication Header
AMG
Astaro Mail Gateway
APIC
Advanced Programmable Interrupt
Controller
ARP
Address Resolution Protocol
AS
Autonomous System
ASCII
American Standard Code for Infor-
mation Interchange
ASG
Astaro Security Gateway
Astaro Command Center
Software for monitoring and admi-
nistering multiple Astaro gateway units
by means of a single interface. Starting
with version 4, the software was ren-
amed Sophos UTMManager (SUM).
Astaro Security Gateway
Software for unified threat mana-
gement, including mail and web secu-
rity. Starting with version 9, the software
was renamed Unified Threat Mana-
gement (UTM).
Glossar
Authentication Header
IPsec protocol that provides for anti-
replay and verifies that the contents of
the packet have not been modified in
transit.
Autonomous System
Collection of IPnetworks and routers
under the control of one entity that pres-
ents a common routing policy to the
Internet.
AWG
Astaro Web Gateway
AWS
Amazon Web Services
B
BATV
Bounce Address Tag Validation
BGP
Border Gateway Protocol
Bounce Address Tag Validation
Name of a method designed for deter-
mining whether the return address spe-
cified in an email message is valid. It is
designed to reject bounce messages to
forged return addresses.
Broadcast
The address used by a computer to
send a message to all other computers
on the network at the same time. For
example, a network with IPaddress
192.168.2.0 and network mask
255.255.255.0 would have a broadcast
address of 192.168.2.255.
C
CA
Certificate Authority
CBC
Cipher Block Chaining
CDMA
Code Division Multiple Access
Certificate Authority
Entity or organization that issues digital
certificates for use by other parties.
CHAP
Challenge-Handshake Authentication
Protocol
Cipher Block Chaining
Refers in cryptography to a mode of
operation where each block of plaintext
is "XORed" with the previous ciphertext
block before being encrypted. This way,
each ciphertext block is dependent on
all plaintext blocks up to that point.
Cluster
Group of linked computers, working
together closely so that in many
respects they forma single computer.
CMS
Content Management System
CPU
Central Processing Unit
CRL
Certificate Revocation List
656 UTM9 WebAdmin
CSS
Cascading Style Sheets
D
DC
Domain Controller
DCC
Direct Client Connection
DDoS
Distributed Denial of Service
DER
Distinguished Encoding Rules
Destination Network Address Trans-
lation
Special case of NAT where the des-
tination addresses of data packets are
rewritten.
Device tree
Located belowthe main menu. Grants
access to all gateway units registered
with the SUM.
DHCP
Dynamic Host Configuration Protocol
Digital Signature Algorithm
Standard propagated by the United Sta-
tes Federal Government (FIPS) for digi-
tal signatures.
Digital Subscriber Line
Family of technologies that provides digi-
tal data transmission over the wires of a
local telephone network.
Distinguished Encoding Rules
Method for encoding a data object, such
as an X.509 certificate, to be digitally
signed or to have its signature verified.
DKIM
Domain Keys Identified Mail
DMZ
Demilitarized Zone
DN
Distinguished Name
DNAT
Destination Network Address Trans-
lation
DNS
Domain Name Service
DOI
Domain of Interpretation
Domain Name Service
Translates the underlying IPaddresses
of computers connected through the
Internet into more human-friendly
names or aliases.
DoS
Denial of Service
DSA
Digital Signature Algorithm
DSCP
Differentiated Services Code Point
DSL
Digital Subscriber Line
UTM9 WebAdmin 657
Glossar
Glossar
DUID
DHCPUnique Identifier
Dynamic Host Configuration Pro-
tocol
Protocol used by networked devices to
obtain IPaddresses.
E
eBGP
Exterior Border Gateway Protocol
ECN
Explicit Congestion Notification
Encapsulating Security Payload
IPsec protocol that provides data con-
fidentiality (encryption), anti-replay, and
authentication.
ESP
Encapsulating Security Payload
Explicit Congestion Notification
Explicit Congestion Notification (ECN) is
an extension to the Internet Protocol
and allows end-to-end notifications of
network congestion without dropping
packets. ECNonly works if both end-
points of a connection successfully nego-
tiate to use it.
F
FAT
File Allocation Table
File Transfer Protocol
Protocol for exchanging files over
packet-swichted networks.
FQHN
Fully Qualified HostName
FTP
File Transfer Protocol
G
Generic Routing Encapsulation
Tunneling protocol designed for encap-
sulation of arbitrary kinds of network
layer packets inside arbitrary kinds of
network layer packets.
GeoIP
Technique to locate devices worldwide
by means of satellite imagery.
GRE
Generic Routing Encapsulation
GSM
Global Systemfor Mobile Com-
munications
H
H.323
Protocol providing audio-visual com-
munication sessions on packet-swit-
ched networks.
HA
High Availability
HCL
Hardware Compatibility List
HELO
Acommand in the Simple Mail Transfer
Protocol (SMTP) with which the client
658 UTM9 WebAdmin
responds to the initial greeting of the ser-
ver.
High Availability
Systemdesign protocol that ensures a
certain absolute degree of operational
continuity.
HIPS
Host-based Intrusion Prevention Sys-
tem
HMAC
Hash-based Message Authentication
Code
HTML
Hypertext Transfer Markup Language
HTTP
Hypertext Transfer Protocol
HTTP/S
Hypertext Transfer Protocol Secure
HTTPS
Hypertext Transfer Protocol Secure
Hypertext Transfer Protocol
Protocol for the transfer of information
on the Internet.
Hypertext Transfer Protocol over
Secure Socket Layer
Protocol to allowmore secure HTTP
communication.
I
IANA
Internet Assigned Numbers Authority
iBGP
Interior Border Gateway Protocol
ICMP
Internet Control Message Protocol
ID
Identity
IDE
Intelligent Drive Electronics
IDENT
Standard protocol that helps identify the
user of a particular TCPconnection.
IDN
International Domain Name
IE
Internet Explorer
IKE
Internet Key Exchange
IM
Instant Messaging
Internet Control Message Protocol
Special kind of IPprotocol used to send
and receive information about the net-
work's status and other control infor-
mation.
Internet Protocol
Data-oriented protocol used for com-
municating data across a packet-swit-
ched network.
Internet Relay Chat
Open protocol enabling the instant com-
munication over the Internet.
UTM9 WebAdmin 659
Glossar
Glossar
Internet service provider
Business or organization that sells to
consumers access to the Internet and
related services.
IP
Internet Protocol
IP Address
Unique number that devices use in
order to identify and communicate with
each other on a computer network uti-
lizing the Internet Protocol standard.
IPS
Intrusion Prevention System
IPsec
Internet Protocol Security
IRC
Internet Relay Chat
ISP
Internet Service Provider
L
L2TP
Layer Two (2) Tunneling Protocol
LAG
Link Aggregation Group
LAN
Local Area Network
LDAP
Lightweight Directory Access Protocol
Link-state advertisement
Basic communication means of the
OSPF routing protocol for IP.
LSA
Link-state advertisement
LTE
3GPPLong TermEvolution
M
MAC
Media Access Control
MAC Address
Unique code assigned to most forms of
networking hardware.
Managed Security Service Provider
Provides security services for com-
panies.
Management Information Base
Type of database used to manage the
devices in a communications network. It
comprises a collection of objects in a (vir-
tual) database used to manage entities
(such as routers and switches) in a net-
work.
Masquerading
Technology based on NAT that allows
an entire LANto use one public IP
address to communicate with the rest of
the Internet.
MD5
Message-Digest algorithm5
660 UTM9 WebAdmin
Message-Digest algorithm5
Cryptographic hash function with a 128-
bit hash value.
MIB
Management Information Base
MIME
Multipurpose Internet Mail Extensions
MPLS
Multiprotocol Label Switching
MPPE
Microsoft Point-to-Point Encryption
MSCHAP
Microsoft Challenge Handshake
Authentication Protocol
MSCHAPv2
Microsoft Challenge Handshake
Authentication Protocol Version 2
MSP
Managed Service Provider
MSSP
Managed Security Service Provider
MTU
MaximumTansmission Unit
Multipurpose Internet Mail Exten-
sions
Internet Standard that extends the for-
mat of email to support text in character
sets other than US-ASCII, non-text
attachments, multi-part message
bodies, and header information in non-
ASCII character sets.
MX record
Type of resource record in the Domain
Name System(DNS) specifying how
emails should be routed through the
Internet.
N
NAS
Network Access Server
NAT
Network Address Translation
NAT-T
NAT Traversal
Network Address Translation
Systemfor reusing IPaddresses.
Network Time Protocol
Protocol for synchronizing the clocks of
computer systems over packet-swit-
ched networks.
NIC
Network Interface Card
Not-so-stubby area
In the OSPF protocol, a type of stub
area that can import autonomous sys-
tem(AS) external routes and send
themto the backbone, but cannot
receive ASexternal routes fromthe
backbone or other areas.
NSSA
Not-so-stubby area
NTLM
NT LANManager (Microsoft Windows)
UTM9 WebAdmin 661
Glossar
Glossar
NTP
Network Time Protocol
O
Open Shortest Path First
Link-state, hierarchical interior gateway
protocol (IGP) for network routing.
OpenPGP
Protocol combining strong public-key
and symmetric cryptography to provide
security services for electronic com-
munications and data storage.
OSI
Open Source Initiative
OSPF
Open Shortest Path First
OU
Organisational Unit
P
PAC
Proxy Auto Configuration
PAP
Password Authentication Protocol
PCI
Peripheral Component Interconnect
PEM
Privacy Enhanced Mail
PGP
Pretty Good Privacy
PKCS
Public Key Cryptography Standards
PKI
Public Key Infrastructure
PMTU
Path MaximumTransmission Unit
POP3
Post Office Protocol version 3
Port
Virtual data connection that can be used
by programs to exchange data directly.
More specifically, a port is an additional
identifierin the cases of TCPand
UDP, a number between 0 and 65535
that allows a computer to distinguish bet-
ween multiple concurrent connections
between the same two computers.
Portscan
Action of searching a network host for
open ports.
Post Office Protocol version 3
Protocol for delivery of emails across
packet-switched networks.
PPP
Point-to-Point Protocol
PPPoA
PPPover ATMProtocol
PPTP
Point to Point Tunneling Protocol
Privacy Enhanced Mail
Early IETF proposal for securing email
using public key cryptography.
662 UTM9 WebAdmin
Protocol
Well-defined and standardized set of
rules that controls or enables the
connection, communication, and data
transfer between two computing end-
points.
Proxy
Computer that offers a computer net-
work service to allowclients to make indi-
rect network connections to other
network services.
PSK
Preshared Key
Q
QoS
Quality of Service
R
RADIUS
Remote Authentication Dial In User Ser-
vice
RAID
Redundant Array of Independent Disks
RAM
RandomAccess Memory
RAS
Remote Access Server
RBL
Realtime Blackhole List
RDN
Relative Distinguished Name
RDNS
Reverse Domain Name Service
RDP
Remote Desktop Protocol
Real-time Blackhole List
Means by which an Internet site may
publish a list of IPaddresses linked to
spamming. Most mail transport agent
(mail server) software can be con-
figured to reject or flag messages which
have been sent froma site listed on one
or more such lists. For webservers as
well it is possible to reject clients listed on
an RBL.
RED
Remote Ethernet Device
Redundant Array of Independent
Disks
Refers to a data storage scheme using
multiple hard drives to share or replicate
data among the drives.
Remote Authentication Dial In User
Service
Protocol designed to allownetwork devi-
ces such as routers to authenticate
users against a central database.
RFC
Request for Comment
Router
Network device that is designed to for-
ward packets to their destination along
the most efficient path.
RPS
REDProvisioning Service
UTM9 WebAdmin 663
Glossar
Glossar
RSA
Rivest, Shamir, &Adleman (public key
encryption technology)
S
S/MIME
Secure/Multipurpose Internet Mail
Extensions
SA
Security Associations
SAA
Sophos Authentication Agent
SCP
Secure Copy (fromthe SSHsuite of
computer applications for secure com-
munication)
SCSI
Small Computer SystemInterface
Secure Shell
Protocol that allows establishing a
secure channel between a local and a
remote computer across packet-swit-
ched networks.
Secure Sockets Layer
Cryptographic protocol that provides
secure communications on the Internet,
predecessor of the Transport LayerSe-
curity (TLS).
Secure/Multipurpose Internet Mail
Extensions
Standard for public key encryption and
signing of email encapsulated in MIME.
Security Parameter Index
Identification tag added to the header
while using IPsec for tunneling the IP
traffic.
Sender Policy Framework
Extension to the Simple Mail Transfer
Protocol (SMTP). SPF allows software
to identify and reject forged addresses
in the SMTPMAIL FROM(Return-
Path), a typical annoyance of email
spam.
Session Initiation Protocol
Signalization protocol for the setup,
modification and termination of sessions
between two or several communication
partners. The text-oriented protocol is
based on HTTPand can transmit signa-
lization data through TCPor UDPvia IP
networks. Thus, it is the base among
others for Voice-over-IPvideo-
telephony (VoIP) and multimedia ser-
vices in real time.
SFQ
Stochastic Fairness Queuing
Shared Secret
Password or passphrase shared bet-
ween two entities for secure com-
munication.
SIM
Subscriber Identification Module
Simple Mail Transfer Protocol
Protocol used to send and receive email
across packet-switched networks.
664 UTM9 WebAdmin
Single sign-on
Formof authentication that enables a
user to authenticate once and gain
access to multiple applications and sys-
tems using a single password.
SIP
Session Initiation Protocol
SLAAC
Stateless Address Autoconfiguration
SMB
Server Message Block
SMP
Symmetric Multiprocessing
SMTP
Simple Mail Transfer Protocol
SNAT
Source Network Address Translation
SNMP
Simple Network Message Protocol
SOCKetS
Internet protocol that allows client-ser-
ver applications to transparently use the
services of a network firewall. SOCKS,
often called the Firewall Traversal Pro-
tocol, is currently at version 5 and must
be implemented in the client-side pro-
gramin order to function correctly.
SOCKS
SOCKetS
Sophos UTM Manager
Software for monitoring and admi-
nistering multiple UTMunits by means
of a single interface. Formerly known as
Astaro Command Center.
Source Network Address Translation
Special case of NAT. With SNAT, the IP
address of the computer which initiated
the connection is rewritten.
Spanning Tree Protocol
Network protocol to detect and prevent
bridge loops
SPF
Sender Policy Framework
SPI
Security Parameter Index
SPX
Secure PDFExchange
SSH
Secure Shell
SSID
Service Set Identifier
SSL
Secure Sockets Layer
SSO
Single sign-on
STP
Spanning Tree Protocol
SUA
Sophos User Authentication
Subnet mask
The subnet mask (also called netmask)
of a network, together with the network
UTM9 WebAdmin 665
Glossar
Glossar
address, defines which addresses are
part of the local network and which are
not. Individual computers will be assi-
gned to a network on the basis of the
definition.
SUM
Sophos UTMManager
Symmetric Multiprocessing
The use of more than one CPU.
SYN
Synchronous
T
TACACS
Terminal Access Controller Access Con-
trol System
TCP
Transmission Control Protocol
TFTP
Trivial File Transfer Protocol
Time-to-live
8-bit field in the Internet Protocol (IP)
header stating the maximumamount of
time a packet is allowed to propagate
through the network before it is dis-
carded.
TKIP
Temporal Key Integrity Protocol
TLS
Transport Layer Security
TOS
Type of Service
Transmission Control Protocol
Protocol of the Internet protocol suite
allowing applications on networked com-
puters to create connections to one ano-
ther. The protocol guarantees reliable
and in-order delivery of data fromsen-
der to receiver.
Transport Layer Security
Cryptographic protocol that provides
secure communications on the Internet,
successor of the Secure Sockets Layer
(SSL).
TTL
Time-to-live
U
UDP
User DatagramProtocol
UMTS
Universal Mobile Telecommunications
System
Unified Threat Management
Software for unified threat mana-
gement, including mail and web secu-
rity. Formerly known as Astaro Security
Gateway.
UniformResource Locator
String that specifies the location of a
resource on the Internet.
Uninterruptible power supply
Device which maintains a continuous
supply of electric power to connected
equipment by supplying power froma
separate source when utility power is
not available.
666 UTM9 WebAdmin
Up2Date
Service that allows downloading rele-
vant update packages fromthe Sophos
server.
UPS
Uninterruptible Power Supply
URL
UniformResource Locator
USB
Universal Serial Bus
User DatagramProtocol
Protocol allowing applications on net-
worked computers to send short mes-
sages sometimes known as datagrams
to one another.
UTC
Coordinated Universal Time
UTM
Unified Threat Management
V
VDSL
Very High Speed Digital Subscriber
Line
Virtual Private Network
Private data network that makes use of
the public telecommunication infra-
structure, maintaining privacy through
the use of a tunneling protocol such as
PPTPor IPsec.
VLAN
Virtual LAN
VNC
Virtual Network Computing
Voice over IP
Routing of voice conversations over the
Internet or through any other IP-based
network.
VoIP
Voice over IP
VPC
Virtual Private Cloud
VPN
Virtual Private Network
W
WAF
Web Application Firewall
WAN
Wide Area Network
W-CDMA
Wideband Code Division Multiple
Access
WebAdmin
Web-based graphical user interface of
Sophos/Astaro products such as UTM,
SUM, ACC, ASG, AWG, and AMG.
WEP
Wired Equivalent Privacy
Windows Internet Naming Service
Microsoft's implementation of NetBIOS
Name Server (NBNS) on Windows, a
name server and service for NetBIOS
computer names.
UTM9 WebAdmin 667
Glossar
Glossar
WINS
Windows Internet Naming Service
WLAN
Wireless Local Area Network
WPA
Wi-Fi Protected Access
X
X.509
Specification for digital certificates publis-
hed by the ITU-T (International Tele-
communications Union
Telecommunication). It specifies infor-
mation and attributes required for the
identification of a person or a computer
system.
XSS
Cross-site scripting
668 UTM9 WebAdmin
Abbildungsverzeichnis
Figure 1 WebAdmin: Initiale Anmeldeseite 24
Figure 2 WebAdmin: Regulre Anmeldeseite 25
Figure 3 WebAdmin: Dashboard 28
Figure 4 WebAdmin: bersicht 32
Figure 5 WebAdmin: Beispiel einer Liste 35
Figure 6 WebAdmin: Beispiel eines Dialogfelds 37
Figure 7 Ziehen eines Objekts aus der Objektliste Networks 41
Figure 8 MyUTM-Portal 68
Figure 9 Lizenzen: Abonnement-Warnhinweis 72
Figure 10 Up2Date: Fortschrittsfenster 76
Figure 11 Benutzerportal: Begrungsseite 85
Figure 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren
Elemente 92
Figure 13 Anpassungen: HTTP-Download-Seite Schritt 1 von 3: Datei herunterladen 96
Figure 14 Anpassungen: HTTP-Download-Seite Schritt 2 von 3: Virenscan 96
Figure 15 Anpassungen: HTTP-Download-Seite Schritt 3 von 3: Datei komplett her-
untergeladen 97
Figure 16 Anpassungen: Blockierte POP3-Proxy-Nachricht 99
Figure 17 Gruppen: eDirectory-Browser von Sophos UTM 144
Figure 18 Authentifizierung: Microsoft Management-Konsole 146
Figure 19 E-Mail-Verschlsselung: mit zwei Sophos UTMs. 400
Figure 20 Mail-Manager von Sophos UTM 421
Figure 21 Endpoint Protection: bersicht 430
Figure 22 Mesh-Netzwerk, eingesetzt als WLAN-Bridge 464
Figure 23 Mesh-Netzwerk, eingesetzt als WLAN-Repeater 465
Figure 24 RED: Aufbaukonzept 506
Figure 25 LAN-Modus: Ohne Tags 513
Figure 26 LAN-Modus: Ohne Tags, mit Tags verwerfen 513
Figure 27 LAN-Modus: Mit Tags 514
Figure 28 LAN-Modus: Nicht verwendet 514
Figure 29 RED50: Hostnamen- und Uplink-Lastverteilung (trkis) und Hostnamen- und
Uplink-Failover (rot) 518
Abbildungsverzeichnis
Figure 30 RED50: Hostnamen-Lastverteilung und Uplink-Failover (grn) sowie Host-
namen-Failover und Uplink-Lastverteilung (blau) 518
Figure 31 Berichte: Beispiel eines Liniendiagramms 592
Figure 32 Berichte: Beispiel eines Tortendiagramms 592
670 UTM9 WebAdmin

Utm9202 Manual de 01

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Utm9202 Manual de 01

Enviado por

Direitos autorais:

Formatos disponíveis

Sophos UTM

Você também pode gostar