USC - Unified Security Console

UTM über die Unified Security Console konfigurieren

Letzte Anpassung: 09.2023

Neu:

Websessions werden zusätzlich mit einer PIN abgesichert

Vorherige Versionen: -

Voraussetzungen

Hardware und VM: Es wird mindestens die Version 12.2 benötigt
Es wird ein Benutzerzugang aus dem Resellerportal benötigt.
Um auch Änderungen vornehmen zu können, ist es erforderlich, den Benutzerzugang bei der ersten Anmeldung im Unified Security Portal zu verknüpfen.
Die Lizenz muss einer UTM eindeutig zuzuordnen sein
Die UTM muss Zugriff per https auf die Unified Security Infrastruktur haben

Die UTM muss nicht, kann aber von außen erreichbar sein
(Ausnahme: Die Funktionen Websession und Security Scan)
Es wird keine Verbindung von Außen zur UTM aufgebaut
Die UTM meldet sich selber im Unified Security Portal und ruft Konfigurationsänderungen und Befehle ab.
Die Einstellungen im Portal werden daher nicht in Echtzeit, sondern mit einer kleinen Verzögerung ausgeführt.

Zur Zeit nicht für Cluster Lizenzen nutzbar!

Zur Zeit noch nicht mit allen Wortmann/Terra Lizenzen nutzbar!

Vorbereitungen

Aktivieren der Steuerung über die Unified Security Console

Nach einem Update auf Version ≥ 12.2 lässt sich die UTM über die Unified Security Console im Securepoint Unified Security Portal steuern.
Diese Funktion muss zunächst in der UTM im neuen Menü → USC selbst freigeschaltet werden.
Die UTM meldet sich nach dem Update beim Lizenzserver. Erst hier wird die Verfügbarkeit des Dienstes signalisiert und anschließend das Menü freigeschaltet.
Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird. Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird. Der Vorgang kann verkürzt werden, indem nach einigen Minuten Laufzeit (die UTM muss die Gelegenheit gehabt haben, sich beim Lizenzserver zu melden!) auf dem CLI der Befehl system restrictions update ausgeführt wird.

Beschriftung	Wert	Beschreibung
Datenschutzerklärung:	Ja	Der Datenschutzerklärung muss zugestimmt werden
Aktiviert:	Ja	Hiermit wird die Unified Security Console - und damit die Anzeige, Konfiguration und der Zugriff über das Securepoint Unified Security Portal aktiviert.
Authentifizierungsmethode: Neu ab v12.5 Neu ab v12.5	PIN (empfohlen)Loginmaske	Authentifizierungsmethode für eine Websession
PIN: Neu ab v12.5 Neu ab v12.5	••••••••	Als Authentifizierung für eine Websession kann eine 6-stellige PIN statt der Loginmaske mit Zugangsdaten gewählt werden. Die Pin darf nicht aus gleichen Zahlen bestehen Die Pin darf nicht aus Zahlenreihen bestehen (123456, 876543 etc.) Pins, die einem Datum ähneln (230508) oder sehr einfache Zahlenkombinationen enthalten werden als »sehr schwach« markiert
		Zeigt die Websession PIN an
		Erstellt eine neue PIN

USC im Portal

Damit Endkunden sich im Portal anmelden können sind nur wenige Schritte notwendig:

Benutzer im Tenant des Kunden die Rolle × admin zuweisen, die Berechtigungen werden dann automatisch zugewiesen.
Ggf. Benutzer neu anlegen wie in der Benutzerverwaltung beschrieben
Aufruf der Login-Seite für das Securepoint Mobile Security Portal
Auswahl der Option Mit Securepoint Unified Security Konto anmelden
Anmeldung mit

Tenant Domäne	zu finden im URL als Nummer hinter dem Begriff tenant. https://portal.securepoint.cloud/…-tenant-123456.sms-… → 123456.sms
Benutzername
Kennwort

Die Anmeldung erfolgt nun ausschließlich im Tenant des zugeordneten Kunden.
Es sind keine Angaben zu anderen Kunden des Resellers einsehbar.

USC aufrufen

Der Aufruf der Unified Security Console erfolgt über das Securepoint Unified Security Portal unter https://portal.securepoint.cloud

Ein Klick auf die Gerätekachel öffnet die Geräte-Details.

Mit der Schaltfläche sollte der vorgegeben Name in der Gerätekachel geändert werden.
Securepoint empfiehlt einen eindeutigen Namen nach einer klaren Struktur zu vergeben.

Status Anzeigen

Status Anzeigen in Kachelübersicht:

Status	Beschreibung
Verbunden	Die UTM kann das USC-Portal erreichen
Getrennt	Das Portal erhält keine Meldung von der UTM
USC aktiv	Ist aktiv, wenn auf der UTM im Menü Unified Security Console der Dienst Unified Security Console aktiviert ist.
USR aktiv	Unified Security Report ist konfiguriert und wird versendet
Update verfügbar	Es liegt ein Update auf der UTM vor, das installiert werden kann
Update dringend empfohlen	Es liegt ein Sicherheits-Update vor das umgehend installiert werden sollte!

Detail-Anzeige

Die Detailanzeige ermöglicht einen Überblick über die wichtigsten Zustände und Meldungen zur UTM:

Hard- und Software der UTM
Meldungen des Unified Security Reports (falls diese Option im Resellerportal gebucht wurde)
Eine Übersicht mit Angaben zum Hardware-Status:
- Arbeitsspeichernutzung
- CPU Auslastung
- Verwendeter Festplattenspeicher
Angaben zu Upgrade- / Rollbackmöglichkeiten
Anzeige des Gerätestandortes in einer Karte (manuelle Erfassung, keine Ortung)
Informationen zur Lizenz
Angaben aus dem Resellerportal zum Unternehmen, das der Lizenz zugeordnet ist

Operationen Operationen UTM Upgrade
Aktion	Beschreibung	Nach Klick auf die Schaltfläche Dryrun xy muss man eine Sicherheitsabfrage Bestätigen Das Update wird gestartet Meldung: Update could be finalized (wird kurz eingeblendet oder Aufruf über in der Titelleiste) Nach erfolgreichem Reboot lässt sich die neue Version finalisieren und damit auch als zukünftige Bootversion festlegen Nach Klick auf die Schaltfläche Finalisiere die neue Version xy erscheint eine weitere Sicherheitsabfrage Meldung: Rollback finalisiert (wird kurz eingeblendet oder Aufruf über in der Titelleiste) Das Update ist damit vollständig durchgeführt neu im Wikineu im Wiki Nach Klick auf die Schaltfläche Rollback zu xy erscheint eine Sicherheitsabfrage Der Vorgang wird gestartet Nach erfolgreichem Reboot lässt sich die Rollback-Version finalisieren und damit auch als zukünftige Bootversion festlegen Nach Klick auf die Schaltfläche Finalisiere die neue Version xy erscheint eine weitere Sicherheitsabfrage Meldung: Rollback finalisiert (wird kurz eingeblendet oder Aufruf über in der Titelleiste) neu im Wikineu im Wiki
Datenschutzbestimmungen akzeptieren	Bevor ein Update oder Rollback möglich ist, müssen die Datenschutzbestimmungen akzeptiert werden
Dryrun der neuen Version 12.x.2	Die neue Version wird zunächst im Probelauf aktiviert Sollte dieser nicht erfolgreich sein, kann die alte Version wieder aktiviert werden bzw. ein Neustart des Gerätes ausgelöst werden. Ohne Finalisierung bootet die UTM nach einem Neustart wieder mit der vorhergehenden Version.
Finalisieren der neuen Version 12.x.2	Die neue Version wird auch bei einem Neustart verwendet
Rollback zu der Version 12.x.1	Führt ein Rollback auf die zuvor installierte Version aus

UTM System
Neustarten	Führt einen Neustart der UTM aus
Herunterfahren	Fährt die UTM herunter Ein starten der UTM in ausgeschaltetem Zustand ist über die USC nicht möglich! Hierzu ist physischer Zugang zum Gerät erforderlich.
Werkseinstellungen wiederherstellen	zur Zeit nicht verfügbar
Websession Websession
Neue Websession starten	Öffnet den Dialog , um die administrative Weboberfläche der UTM zu starten

Websession mit UTM bis v12.5.0 Websession mit UTM bis v12.5.0Websession mit UTM bis v12.5.0
IP-Adresse	Es werden alle Schnittstellen mit IP-Adressen auf der UTM im Dropdownmenü angeboten. Es wird zusätzlich angegeben, ob es sich um öffentliche oder private, lokale IP-Adressen handelt Schnittstelle mit öffentlicher IP-Adresse 203.0.113.203 (A0) [Public] Es ist eine Websession PIN erforderlich (s.u.) Neu ab UTM v12.5.0Neu ab UTM v12.5.0 Erfolgt die erste Anmeldung nach dem erstmaligen Update der UTM auf eine Version 12.5.x über eine Websession, gilt die initiale PIN 000000. Bei der ersten Anmeldung muss die PIN geändert werden. Neu ab UTM v12.5.0Neu ab UTM v12.5.0 Schnittstelle mit privater IP-Adresse 192.168.12.50 (A1) [Local] Es wird ein Link zum lokalen Administrations-Webinterface bereitgestellt Es werden Benutzerdaten mit Administratorrechten für die UTM benötigt Die eigene IP muss als Manager-IP auf der UTM registriert sein Es wird eine Verbindung im lokalen Netzwerk zur UTM benötigt	Websession mit PIN (UTM bis v12.5.0)
Port	11115 Port, über den das Admin-Interface der UTM erreichbar ist (wird aus den Einstellungen der UTM unter → Netzwerk →Servereinstellungen ausgelesen)
PIN: Neu ab v12.5.0Neu ab v12.5.0	•••••••• Websession PIN (Konfiguriert auf der UTM im Menü → USC im Abschnitt Unified Security Console
Version	Version Aktuell verwendete Firmware Version
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers

Websession mit PIN Websession mit PIN (UTM ab v12.5.1)Websession mit PIN (UTM ab v12.5.1) Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
Benutzer	admin Gibt es keinen Benutzer mit dem Namen admin, kann hier ein Benutzer mit Adminrechten ausgewählt werden, mit dem die Websession Verbindung gestartet werden soll.	Websession mit PIN UTM ab v12.5.1)
PIN:	•••••••• Websession PIN (Konfiguriert auf der UTM im Menü → USC im Abschnitt Unified Security Console
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers

Websession mit Loginmaske Websession mit Loginmaske (UTM ab v12.5.1)Websession mit Loginmaske (UTM ab v12.5.1) Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.		Websession mit Loginmaske (ab UTM v12.5.1)
Da die Websession-PIN deaktiviert ist, kann keine automatische Anmeldung erfolgen. Es sind Zugangsdaten (Benutzername und Passwort) erforderlich.
Neue Websession starten	Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers

Cloud-Backup Cloud-Backup
Angabe folgender Werte: Uhrzeit der regelmäßigen Backup Erstellung Exakter Zeitpunkt der gespeicherten Backups Name der gespeicherten Backups UTM-Version der gespeicherten Backups
Herunterladen	Lädt das Backup lokal herunter
Wiederherstellen	Stellt die ausgewählte Konfiguration wieder her. In der Konfigurationsverwaltung im Admin-Interface der UTM kann diese anschließend als aktive bzw. als Start-Konfiguration gesetzt werden.
Löschen	Löscht das Konfigurations-Backup
Operationen
Neues Passwort setzen	Öffnet einen Dialog zum Erstellen eines neuen Passwortes Bestehende Konfigurationsbackups bleiben mit dem alten Passwort verschlüsselt!
Neues Backup erstellen	Erstellt ein Konfigurationsbackup

Anwendungen Anwendungen Zeigt den Status der Anwendungen auf der UTM mit möglichen Aktionen. Die Tabelle lässt sich mit Klick auf die jeweilige Spalte nach Anwendungsname oder Status sortieren.
Status DOWN	Die Anwendung ist nicht aktiv
Status UP	Die Anwendung ist aktiv
Status N/A	Die Anwendung ist auf dieser UTM nicht verfügbar
Start	Startet die Anwendung
Neustart	Stoppt die Anwendung und führt einen Neustart durch
Stop	Stoppt die Anwendung

Status Status
Zeigt Auslastung und Verbrauch im zeitlichen Verlauf für CPU Load Memory Data Disk
Operationen log Operationen log
Log der Kommunikation zwischen UTM und der Unified Security Infrastruktur Die Befehle der Unified Security Console and die UTM werden mit Benutzerdaten im Auditlog des Unified Security Portals gespeichert: Auditlog
Security Scan Security Scan
Für diese Funktion, muss die UTM über eine öffentliche IP verfügen, damit sie von Außen erreichbar ist!
Neuen Scan starten	Startet den Dialog zum Port-Scan
IP-Adresse	192.0.2.192 Öffentliche IP-Adresse, die gescannt werden soll. Werden mehrere Schnittstellen mit öffentlichen IP-Adressen identifiziert, die von Außen erreichbar sind, kann für jede Schnittstelle ein separates Ergebnis angezeigt werden.
Profil Securepoint TOP 100 (TCP)	Ein Klick auf den Profileintrag zeigt die Liste der Ports, die gescannt werden mit Anwendungen und Diensten, die diesen Port für gewöhnlich verwenden.
Details anzeigen	Zeigt offene Ports an sowie Anwendungen und Dienste, die diese für gewöhnlich nutzen.

Inventar Inventar
Hier lassen sich Angaben zum Gerät und (für Geräte mit SIM-Karte) zum Vertrag speichern: Inventar: Rechnungsnummer Datum der Rechnung Garantie beginnt am Garantie läuft ab am Externer Inventar-Link Beschreibung Vertrag: Anbieter Tarif Kundennummer Vertragsnummer Vertragsbeginn Vertragslaufzeit Übergabedatum