Wechseln zu:Navigation, Suche
Wiki






























De.png
En.png
Fr.png









Securepoint UTM Fehleranalyse

Letzte Anpassung: 02.2024

Neu:
  • Allgemeine Layoutanpassung
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

Einleitung

Im Fehlerfall sind folgende Schritte notwendig, damit eine korrekte Fehleranalyse von unserem Support durchgeführt werden kann.


Hinweise

Um einen ordnungsgemäßen Betrieb sicherzustellen, darf das UTM-System nicht ohne ordentliches Herunterfahren stromlos gemacht werden. Ansonsten kann es zu Beschädigungen oder Beeinträchtigungen kommen. Die UTM kann wie folgt ordnungsgemäß heruntergefahren werden.

  • Über das Webinterface (Konfiguration -> Herunterfahren)
  • Über die Powertaste am Gerät
  • Via SPCLI (system poweroff)
  • Via SSH (poweroff)
  • Ein steht für die Eingabe-Taste
  • Auf Terra-Cloud Firewalls kann kein Benutzer "root" erstellt werden, hierfür muss der Support kontaktiert werden.
  • Der Befehl spcli ruft über den root-Benutzer die Securepoint CLI der UTM auf. Dieser Befehl muss nicht verwendet werden wenn diese bereits geöffnet ist. Verlassen wird die Securepoint CLI mit dem Befehl: exit. Außerdem kann der Befehl auch einem Befehl direkt vorangestellt werden: spcli interface address get.


  • Vorbereitung

    Ein Benutzer mit Root-Berechtigungen wird benötigt. Hierzu wird dringend empfohlen einen Support Benutzer zu verwenden, da dieser immer ein Ablaufdatum hatn und ein permanenter root-Benutzer ein Sicherheitsrisiko darstellt.


    Erhöhen der Syslog-Einträge

    Mit den folgenden Befehlen kann die maximale Anzahl an Syslog-Einträgen erhöht werden, dies ist sinnvoll bei der Fehleranalyse, da so ein längerer Zeitraum analysiert werden kann.
    spcli syslog backlog set type messages limit 100000
    spcli system config save


    Freigabe der Securepoint IP

    Für eine externe Fehleranalyse muss die IP von Securepoint für das Admin Interface freigegeben werden:
    spcli manager new hostlist securepoint.de
    Anschließend die SSH-Verbindung trennen.

    notempty
    Es muss sichergestellt werden, dass die Ports 11115 und 22 von einem davorstehenden Router auf die UTM weitergeleitet werden.


    Fehleranalyse

    Im Fehlerfall bitte folgendes testen und dokumentieren.

    • Pingtest auf die IP der UTM (eth1)
    • Traceroute auf die IP der UTM (eth1)
    • Login UTM via SSH
    • Login UTM via Webbrowser (Bitte mit mindestens zwei Browsern testen)
    • Login UTM via Monitor und Tastatur an der UTM

    Wenn der Login via SSH oder Monitor und Tastatur klappen sollte, bitte Folgendes durchführen.


    Prüfen der Schnittstellen

    Um die Schnittstellen zu überprüfen kann der Befehl ip a genutzt werden. Die Ausgabe von diesem sollte ähnlich (IP-Adressen, Interfaces und MAC-Adressen können abweichen) wie die folgende Aussehen. Besonders darauf geachtet werden sollte, ob die Ports NO-CARRIER, DOWN oder UP anzeigen.

    root@firewall:~# ip a 5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff inet 10.10.10.2/24 scope global eth0 valid_lft forever preferred_lft forever 7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 21:22:23:24:24:26 brd ff:ff:ff:ff:ff:ff inet 192.168.175.1/24 scope global eth1 valid_lft forever preferred_lft forever 8: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000 link/ether 31:32:33:34:35:36 brd ff:ff:ff:ff:ff:ff


    Prüfen der Interface Adressen

    Mit den folgenden Befehlen können die Interface Adressen überprüft werden:
    spcli interface address get
    Die Ausgabe sollte ähnlich (IP-Adressen und Interfaces können abweichen) wie die folgende aussehen. Besonders darauf geachtet werden sollte, dass die Interfaces ONLINE sind.
    firewall.foo.local> interface address get id|flags |device|address –+——-+——+——- 16|ONLINE |eth0 |10.10.10.2/24 5 |ONLINE |eth1 |192.168.175.1/24


    PING-Test ins Internet

    Wenn die Securepoint CLI (spcli) geöffnet ist muss diese nun mit exit geschlossen werden.

    Anschließend kann mit Befehl tcpdump -i A1 -nnp proto 1 ein Ping auf die IP "9.9.9.9" von einem Gerät, welches sich hinter eth1 befindet und die UTM als Gateway eingetragen hat, durchgeführt werden.

    Hier sollten folgende Informationen angezeigt werden, wobei die IPs abweichen können. Hier bitte prüfen, ob der ICMP echo request und der ICMP echo reply an der Schnittstelle ankommt.
    root@firewall:~# tcpdump -i eth1 -nnp proto 1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 08:32:43.051837 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 9, length 64 08:32:43.070499 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 9, length 64 08:32:44.051886 IP 192.168.175.101 > 9.9.9.9: ICMP echo request, id 36620, seq 10, length 64 08:32:44.070340 IP 9.9.9.9 > 192.168.175.101: ICMP echo reply, id 36620, seq 10, length 64



    Dokumentation

    Die Ergebnisse müssen dokumentiert werden, auch wenn diese fehlschlagen sollten. Ebenfalls ist es wichtig, dass Meldungen die möglicherweise beim Login auf der UTM angezeigt, auch dokumentiert werden.

    Anschließend bitte ein Supportticket über das Resellerportal erstellen und das Protokoll bereithalten.