Wechseln zu:Navigation, Suche
Wiki
































De.png
En.png
Fr.png






Cloud-Backups verwalten und zur Wiederherstellung nutzen
Letzte Anpassung: 12.4
Neu:
Zuletzt aktualisiert:
09.2023
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2 11.8.8 11.7 11.6.11

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Konfiguration →KonfigurationsverwaltungReiter Cloud-Backup

Redundante Warnung

  • In diesem Artikel wird mehrfach eindringlich darauf hingewiesen, daß das Kennwort, mit dem das Backup verschlüsselt wird, sorgfältig aufbewahrt werden muss.
    Die Erfahrung lehrt uns, daß dies leider immer wieder nicht sorgfältig genug bedacht wird und dann eine Wiederherstellung scheitert.
    Die Mitarbeiter im Support kennen das Problem - können das aber nicht lösen: Es gibt keine Backdoor in unserem System.


  • Einleitung

    Zusätzlich zu einer lokalen Sicherung der Konfiguration oder über die Unified Security Console, gibt es in der UTM die Möglichkeit, ein Backup der Boot-Konfiguration auf unseren Cloud-Servern zu speichern.

  • Die Kommunikation zu unseren Servern erfolgt über eine TLS-verschlüsselte Verbindung.
  • Die Cloud-Backups sind nur mit der zugehörigen Lizenz verfügbar und werden mit einem individuellen Kennwort verschlüsselt.
    Ohne dieses Kennwort ist das Backup nicht nutzbar.
    Securepoint hat keinerlei Möglichkeiten, das Backup zu entschlüsseln.
  • Cloud-Backups können alle 22 Stunden erstellt werden

  • Voraussetzungen
    • Installierte und lizensierte UTM
    • Internetzugriff


    Meldung nach Update

    UTM v11.8.8 cloud-passwort.png

    Bei einem Update von einer Version ≤11.8.7.x auf eine Version ≥ 11.8.8 wird nach einem Passwort für Cloud-Backups gefragt (falls diese aktiviert sind.)


  • Das Passwort muss sicher und wiederauffindbar notiert werden.
    Ohne Kenntnis des Passworts ist das Entschlüsseln des Cloud-Backups nicht möglich!

    • Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115)
      • Wurde vorher der Installationsassistent durchlaufen, muss die nun korrekte IP-Adresse verwendet werden
      • Port des Admininterfaces ist im Default-Zustand 11115
    • Konfiguration des Cloud-Backups im Menü → Konfiguration →KonfigurationsverwaltungReiter Cloud-Backup.


    Cloud-Backup Konfiguration

    Beschriftung Beschreibung UTM v12.4 Konfigurationsverwaltung Cloud Backup mit Version.png
    Cloud-Backup
    Startkonfiguration sichern Sichert die aktuelle Boot-Konfiguration der Appliance.
    Passwort setzen Ermöglicht das Setzen/Ändern eines individuellen Kennworts für das zu erstellende Backup.
    Das setzen eines Passwortes ist obligatorisch.

    notempty

    Das Backup wird mit diesem Passwort verschlüsselt und ist ausschließlich mit dem Passwort zu entschlüsseln, das zum Zeitpunkt der Erstellung des jeweiligen Cloud-Backups gesetzt war.

    notempty

    Die Securepoint GmbH hat keine Möglichkeit, dieses Backup ohne Kennwort zu entschlüsseln!

    notempty

    Das Kennwort für das Cloud-Backup ist nicht Bestandteil der Konfiguration. Wird ein Cloud-Kennwort gesetzt und anschließend eine Konfiguration importiert (egal ob aus lokaler Datei oder aus der Cloud), so werden neue Cloud-Backups mit dem zuvor gesetzten Cloud-Kennwort verschlüsselt.

    notempty

    Das Passwort muss sicher und wiederauffindbar notiert werden.
    Ohne Kenntnis des Passworts ist das Entschlüsseln des Cloud-Backups nicht möglich!

    Version notempty
    Neu ab 12.4
    12.4.0 Zeigt die Firmware-Version an, mit der das Backup erstellt wurde.
    Beim Hovern wird zusätzlich die aktuell verwendete lokale Firmware-Version angezeigt:Cloud-Backup-Version: 12.4.0
    Lokale Version: 12.4.0
    Regelmäßiges Cloud-Backup
    Regelmäßiges Cloud-Backup: Ein Per Default aktiviert
    Täglich ab: 07 Uhr Uhrzeit der täglichen Sicherung
    Konfiguration einspielen Lädt das ausgewählte Backup in die lokale Konfigurations-Verwaltung unter dem Namen backup-YYYY-DD-MM_HH:ii:ss , wobei der Zeitpunkt der Sicherung im Namen enthalten ist.
    Backup-Plan

    Die Server halten nur eine bestimmte Anzahl Konfigurationen vor. Die Rotation erfolgt nach folgendem Schema:

    • die neuesten 7 Backups werden behalten (First In, First Out)
    • danach werden 4 wöchentliche Backups behalten
    • danach werden 12 monatliche Backups behalten


    Diese Rotation erfolgt für jeden Lizenzskey separat.

  • Backups, die älter als 12 Monate sind, werden gelöscht
  • Löschen Löscht das gewählte Backup aus der Konfigurationsverwaltung
    Speichern Speichert die aktuelle Einstellung (Aktivierung und Uhrzeit des Backups, nicht das Backup selbst!)


    Ansicht im Resellerportal

    RSP Lizenz Anyideas-utm.png

    Im Securepoint Reseller Portal besteht die Möglichkeit, eine Auflistung der verfügbaren Backups für eine bestimmte Lizenz anzusehen. Die Information befindet sich auf der Detailseite der Lizenz (Spalte "Lizenznehmer", wenn man auf der Profilseite ist).
    Ein Download der Konfiguration ist jedoch nur möglich

    Die dafür in Frage kommende(n) Lizenz(en) befinden sich in der Spalte "Seriennummern" (siehe nebenstehende Abbildung).



    Restore nach Werkseinstellungen mit Cloud-Backup

    Um die Konfiguration eines Cloud-Backups nach einem Zurücksetzen auf Werkseinstellungen einzuspielen sind folgende Schritte notwendig:

  • Ein vorhergehender Download der Konfigurationsdatei ist nicht erforderlich, die UTM benötigt jedoch Zugang zum Internet, um auf die Cloud-Backups zugreifen zu können.
    • Anmelden auf dem Admin-Interface der UTM (IP-Adresse der UTM mitPortangabe, für gewöhnlich 11115
      Beispiel https://192.168.175.1:11115
    • Aktualisieren des Firwallnamens
    • Einspielen einer Lizenzdatei
    • Einrichten einer Internetverbindung
    • Die Cloud-Backups werden über die Lizenz zugeordnet.
      Sobald die UTM eine Verbindung zum Securepoint Lizenzserver aufbauen konnte, können im Menü → Konfiguration →KonfigurationsverwaltungReiter Cloud-Backup bestehende Sicherungen auf die UTM eingespielt werden.
    • Mit der Schaltfläche kann die zurückgespielte Version als zukünftige Startversion festgelegt werden
    • lädt die Konfiguration als aktuell verwendete Version.


    Restore auf neuer Hardware mit Cloud-Backup

    • UTM im Netzwerk erreichbar machen, Admin-Interface aufrufen und Grundeinrichtung durchführen






























    Einbindung in das lokale Netzwerk

    IP-Adressen der UTM per CLI anpassen

    Wenn die Administration über das CLI keine Hindernis darstellt, kann die UTM direkt mit den erforderlichen IP-Adressen per CLI versehen werden
    Monitor und Tastatur direkt an der UTM anschliessen.
    Die Anmeldung erfolgt direkt auf der Konsole.


    1. Anschließen von Tastatur und Bildschirm direkt an der UTM
    2. Anmelden an der UTM: Username admin / Passwort: insecure
    3. es erscheint das Command Line Interface
    4. Netzwerkkonfiguration ändern:
      1. Ermitteln der vorhandenen Schnittstellen: interface get
      2. Ermitteln der ID der IP-Adressen: interface address get
        eth0 / A1 / LAN2 (je nach verwendeter Hard- und Software) entspricht der internen Schnittstelle, über die das Admin-Interface erreichbar ist.
        Die ID wird für eine Änderung der IP-Adresse im nächsten Schritt benötigt.
      3. Ändern der Schnittstellen-IPs: interface address set id 1 address 192.168.12.1/24
        system update interface
        (gewünschte IP des internen Netzes mit Subnetzmaske)
      4. Aktivieren einer Schnittstelle: interface address new device A0 address 192.168.x.y/24
        system update interface
    5. Administrationszugang einrichten:
      In den Werkseinstellungen ist der Zugang zum Admin-Interface der UTM ausschließlich über die interne Schnittstelle (
      A1 / eth1 / LAN2 - je nach verwendeter Hard- und Software
        ) möglich. Soll das Admin-Interface über eine andere Schnittstelle erreichbar sein, muss die IP des Hosts (oder eine Netz-IP mit Subnetzmaske) freigegeben werden:
      manager new hostlist 192.168.168.0/24
      system update rule
      Hier: Alle Hosts im Netz 192.168.168.0 (egal an welcher Schnittstelle) können auf das Admin-Interface zugreifen
      Achtung: Liegt z.B: die IP 192.168.175.1 an der externen Schnittstelle (
      A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software
        ) an und soll von dort das Admin-Interface aufgerufen werden, muss trotzdem die IP 192.168.175.x extra freigegeben werden.
    IP-Adresse des eigenen Rechners anpassen
    Die IP-Adresse des eigenen Rechners wird vorübergehend an das Default-Netz der internen Schnittstelle der UTM angepasst.

    Anschließend wird der eigene Rechner an die Schnittstelle A1 (das internal interface) der UTM angeschlossen.

    So geht's

    IP-Adresse unter Windows ändern
    • Anzeige der Netzwerkverbindungen:
       r  ncpa.cpl
    • Status der Ethernetverbindung mit Doppelklick anzeigen
    • Eigenschaften der Schnittstelle anzeigen
    • Eigenschaften der TCP/IPv4-Verbindung anzeigen
    • IP-Adresse festlegen:
      • IP-Adresse:192.168.175.2
      • Subnetzmaske:255.255.255.0
      • Standardgateway:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)
    Step-by-step.png
    IP-change Win Adapter.png
    Anzeige der Netzwerkschnittstelle:
    • Aufruf über Desktopanzeige:
      • Klick auf das Netzwerksymbol in der Taskleiste neben der Uhr
      • Klick auf Netzwerk- und Interneteinstellungen
      • Klick auf Adapteroptionen ändern
    • Aufruf per Befehl:
      • Windowstaste  r  ncpa.cpl
    • Mit Doppelklick auf die verwendete Schnittstelle den Status der Ethernetverbindung anzeigen lassen
    IP-change Win Status Ethernet.png
    • Im Status Schaltfläche Eigenschaften anklicken
    IP-change Win Eigenschaften.png
    • In den Eigenschaften den Eintrag Internetprotokoll, Version 4 (TCP/IPv4) auswählen
    • Schaltfläche Eigenschaften anklicken
    IP-change Win IP statisch.png
    • Eintrag Folgende IP-Adresse verwenden: auswählen
    • IP-Adresse festlegen:
      • IP-Adresse:192.168.175.2
      • Subnetzmaske:255.255.255.0
      • Standardgateway:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)











    IP-Adresse unter Linux ändern
    Bitte die entsprechende Dokumentation der verwendeten Distributation beachten.

    Beispiel für Ubunutu:

    • Aufruf des Terminals
    • Namen der Schnittstelle identifizieren: ip a
    • IP Adresse Ändern: (Im Beispiel ist enp0s3 die verwendete Schnittstelle: sudo ip address add 192.168.175.2/24 dev enp0s3
    IP-Adresse auf einem MAC ändern
    IP-Adresse auf einem MAC ändern
    IP-Adresse aendern mac.png
    • Menü Systemeinstellungen / Netzwerk
    • IPv4 konfigurieren: ManuellLink= im Dropdownmenü auswählen
    • IP-Adresse:192.168.175.2
    • Teilnetzmaske:255.255.255.0
    • Router:192.168.175.1 (=Default-Adresse der internen Schnittstelle der UTM)
    • Schaltfläche:Anwenden
    notempty
    Nach Abschluss des Installationsassistenten und Reboot befindet sich die UTM dann in einem anderen Netz.
    Zur weiteren Konfiguration muss die IP-Adresse des eigenen Rechners dann erneut geändert werden.

    Einstellen der ursprünglichen IP Adresse:

    • Feste IP Adressen: Wie oben beschrieben eintragen
    • DHCP aktivieren:
      • Windows: Eigenschaften Internetprotokoll Version 4 (TCPIPv4)IP-Adresse automatisch beziehen wählen
      • Linux: Beispiel für Ubuntu: sudo ip address del 192.168.175.2/24 dev enp0s3
        sudo dhclient enp0s3

        Ggf. die Dokumentation der verwendeten Distributation beachten.
      • MAC:: Systemeinstellungen / Netzwerk / IPv4 konfigurieren: Im Dropdownmenü DHCP auswählen

    Erster Aufruf

    Sofern noch nicht geschehen, müssen jetzt folgende Verbindungen physisch hergestellt werden:

    • Schnittstelle für das external interface (
      A0 / eth0 / LAN1 - je nach verwendeter Hard- und Software
        ) in Richtung Internet verbinden (Modem, Router etc.).
    • Schnittstelle für das internal interface (
      A1 / eth1 / LAN2 - je nach verwendeter Hard- und Software
        )
      • mit dem eigenen Rechner verbinden, falls auf diesem die IP-Adresse angepasst wurde.
      • mit dem Netzwerk verbinden, von dem aus die UTM administriert werden soll, falls die IP-Adresse der UTM angepasst wurde.

  • Das Admin-Interface ist über den Port 11115 erreichbar. Aufruf z.B. mit:
    https://192.168.175.1:11115 (Default) oder
    https://172.16.0.1:11115 wenn die IP-Adresse der UTM auf 172.16.0.1 geändert wurde
  • Beim ersten Aufruf des Admin-Interfaces erscheint im Browser eine Zertifikatswarnung.
    Da der Browser das Zertifikat der UTM nicht kennen kann, wird eine Sicherheitswarnung ausgegeben.
    Diese Warnung muss übergangen werden.

    UTM v12 Zertifikat-Firefox.png
    Meldung im Firefox: Warnung: Mögliches Sicherheitsrisiko erkannt
    Schaltfläche Erweitert / Risiko akzeptieren und fortfahren
    UTM v12 Zertifikat-Chromium.png
    Meldung im Chrome / Chromium: Dies ist keine sichere Verbindung. Am Ende auf Weiter zu IP-Adresse (unsicher) klicken.
    UTM v12 Zertifikat-Edge.png
    Meldung im Edge: Ihre Verbindung ist nicht privat. Am Ende auf Weiter zu IP-Adresse (unsicher) klicken.
    UTM v12 Zertifikat-Safari.png
    Meldung im Safari: Diese Verbindung ist nicht privat
    Schaltfläche Details einblenden / Link Öffne diese Website













    Erste Anmeldung

    Beschriftung Wert Beschreibung UTM v12 Admin Login unlicensed.png
    Login, UTM noch nicht lizensiert
    Benutzer admin Anmeldung mit den Zugangsdaten der Werkseinstellungen: admin
    Passwort insecure Anmeldung mit den Zugangsdaten der Werkseinstellungen: insecure
     Anmelden (Admin)
    Lizenzvereinbarung und Datenschutzerklärung zustimmen
    Akzeptieren Die Lizenzvereinbarung und die Datenschutzerklärung müssen mit Klick auf die Schaltfläche angenommen werden. DAT... UTM Ablehnen Akzeptieren UTM v12.6.2 ErsteSchritteAnmeldung Datenschutzerklaerung.pngDer Datenschutzerklärung muss zugestimmt werden. LIZ... UTM Ablehnen Akzeptieren UTM v12.6.2 ErsteSchritteAnmeldung Lizenzvereinbarung.pngDer Lizenzvereinbarung muss zugestimmt werden.
    Grundlegende Einstellungen
    Firewallname firewall.ttt-point.local Es muss ein individueller Firewallname vergeben werden.
  • Der Name sollte einem FQDN entsprechen.
  • Grundlegende Einstellungen UTMbenutzer@firewall.name.fqdn Lizenzvereinbarung Abmelden UTM v12.6.2 Grundlegende Einstellungen.png
    Grundlegende Einstellungen
    Die angezeigten Felder können variieren, je nachdem welche Informationen bereits auf der UTM vorliegen
    Systemzeit yyyy-mm-dd hh-m--ss Die Systemzeit sollte korrekt sein. Sie wird z.B. zur Anwenderauthentifizierung (Kerberos, OTP etc.) mit anderen Servern abgeglichen. Bei zu großer Abweichung wird z.B. keine Anmeldung möglich sein.
    Lizenzschlüssel Durchsuchen... Gültige Lizenz einspielen.
  • Jeder Lizenzschlüssel darf nur einmal verwendet werden. Die UTM wird darüber identifiziert und verschiedene Dienste und Konfigurationen werden über den Lizenzschlüssel zugeordnet.
  • Globale E-Mail Adresse: notempty
    Neu ab v12.4.4
    admin@ttt-point.de Erforderliche Angabe z.B. für den Mailconnector und den Proxy. Dient auch als Postmasteradresse für das Mailrelay
    Authentifizierungsmethode: notempty
    Neu ab v12.5.1
    PIN (empfohlen)Loginmaske Authentifizierungsmethode für Websessions über die USC
    Der Webession-PIN sichert auch die Benutzung der folgenden Aktionen im Rahmen der USC ab:
    • Neustarten
    • Herunterfahren
    • Werkseinstellungen
    • Einspielen von Cloud-Backups

    Wenn der PIN nicht genutzt wird, sind diese Aktionen nicht aus dem Unified Security Portal aufrufbar.

    PIN: notempty
    Neu ab v12.5.1
        PIN als zusätzliche Absicherung für Websessions
    Es sind keine Zahlenfolgen oder Doppelungen zulässig
      
    Erstellt eine sichere PIN
    Lizenzvereinbarung Zeigt die Lizenzvereinbarung an
    Datenschutzerklärung Zeigt die Datenschutzerklärung an
    Abmelden Meldet sich wieder ab.
    Es werden keine Einstellungen gespeichert!
    Abschließen Schließt den Anmeldevorgang ab und öffnet das Willkommens-Fenster.
    Willkommen
    Mit dem Willkommensdialog sind grundlegenden Einstellungen abgeschlossen. Willkommen UTMbenutzer@firewall.name.fqdn Installationsassistent Rundgang starten UTM v12.6.2 ErsteSchritteAnmeldung Willkommen Dialog.pngWillkommen-Dialog
    Installationsassistent Startet den Installationsassistenten.
    Rundgang starten Startet einen Rundgang, der in 15 Schritten die Adminoberfläche und die Menüs erklärt.
    • Den Willkommensdialog schließen mit × in der Titelzeile, ohne den Rundgang oder den Installationsassistenten zu starten
    • Zwischen Fertigung einer UTM und ihrem Einsatz können bereits neue Firmware-Versionen erschienen sein.
      Es ist möglich, daß ein Cloud-Backup mit einer neueren Version erstellt wurde, als auf einer neu eingesetzten Hardware vorhanden ist. Bevor ein Cloudbackup auf neuer Hardware eingespielt wird, sollte daher ein Firmware-Update durchgeführt werden. Menü → Extras →Firmware Updates
    • Anschließend wird wie bei einem Restore nach Werkseinstellungen verfahren.



    Hinweise

    Hinweise
  • Ohne das passende Kennwort ist eine Wiederherstellung der gesicherten Konfiguration nicht möglich.
  • Das Kennwort kann ohne Probleme im laufenden Betrieb geändert werden, allerdings muss dann selber nachvollzogen werden, welche Konfiguration mit welchem Kennwort gesichert wurde.
  • Ein Zugriff auf die gesicherte Konfiguration ist nur mit genau diesem Lizenzkey und dessen Verlängerungen und dem dazugehörigen Passwort möglich.