SSL-VPN Roadwarrior

Konfiguration von SSL-VPN Roadwarrior-Verbindungen

Letzte Anpassung zur Version: 12.7.3

Neu:

Neue Benutzerauthentisierung: Local OTP

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.6.2 12.5.1 12.4 12.2.2 12.2 11.8.7 11.7.1 11.7 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.

notempty

Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.

Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate

Vorbereitungen

Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt.
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.

Auflösung interner Hostnamen im SSL-VPN

Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:

DNS/WINS übermitteln

Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

UTM v12.6 SSL-VPN Roadwarrior Globale VPN-Einstellungen.png

IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen

UTM v12.6 SSL-VPN Roadwarrior DNS-WINS aktiviert.png

Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

Search Domain

Wenn vorhanden, Domain eingeben.

Search Domain vorgeben

Block Outside DNS

Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS

Roadwarrior Konfiguration

Einrichtungsassistent

Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit VPN SSL-VPN Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.

Schritt 1

Einrichtung Schritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
Es stehen folgende Verbindungen zur Verfügung.

Roadwarrior Server
Site to Site Server
Site to Site Client

Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

Schritt 2

Einrichtung Schritt 2

Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.

Schritt 3

Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.

Beschriftung	Wert	Beschreibung
Name:	RW-Securepoint	Eindeutige Bezeichnung, frei wählbar
Protokoll:	UDP	Gewünschtes Protokoll
Port:	1194	Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat: Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar	CS-RW-Securepoint-Server	Auswahl des Zertifikates, mit dem der Server sich Authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche Zertifikat hinzufügen. Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden. Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben	»192.168.175.0/24	Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.

UTM v12.6 SSL-VPN Roadwarrior Schritt3.png

Einrichtung Schritt 3

Schritt 4

Einrichtung Schritt 4

Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

Die IP-Adressen werden aufsteigend (beginnend mit .2)

Fehler in der Beschreibung der Reihenfolge korrigiert

an die Clients vergeben

Sollen Clients feste IP-Adressen zugewiesen werden, sollten diese absteigend mit .254 beginnen

Das Netz für den Pool muss ausreichend groß gewählt werden, um alle Clients mit einer Tunnel-IP versorgen und eine Überschneidung (feste IP-Adressen von unten und dynamische Vergabe von oben) ausschließen zu können

Schritt 5

Einrichtung Schritt 5

Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
Danach kann der Einrichtungsassistent abgeschlossen werden.

None = Authentifizierung nur über die Zertifikate
Local = Lokale Benutzer und AD Gruppen
Radius = Radius Server
Local OTP = Lokale Benutzer und AD Gruppen mit verpflichtendem OTP für diesen Tunnel notempty
Neu ab v12.7.3

Abschluss

UTM v12.6 SSL-VPN Roadwarrior Schritt6.png

Einrichtung Abschluss

In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten

Dabei werden alle SSL-VPN-Tunnel unterbrochen!

Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!

Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

Verbindung bearbeiten

Allgemein Allgemein
Beschriftung	Wert	Beschreibung	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Name:	RW Securepoint	Name der SSL-Verbindung
Schnittstelle:	tun1	Verwendete Schnittstelle
Modus:	Server	Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt)
Protokoll:	UDP (Default) TCP	Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
Port:	1194	Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Authentifizierung:	NONE LOCAL (Default) RADIUS	Passende Authentifizierungsmethode wählen
Zertifikat:	CS-RW-Securepoint-Server	Das verwendete Zertifikat kann hier geändert werden
Statischer SSL-VPN Schlüsseltyp:	Aus tls-authtls-crypt	Die Aktivierung von tls-auth bewirkt eine zusätzliche Authentifizierung des Kontrollkanals tls-crypt bewirkt eine zusätzliche Authentifizierung und Verschlüsselung des Kontrollkanals
Statischer SSL-VPN Schlüssel: notempty Neu ab v12.6.1	SSL-VPN RW-Securepoint	Absicherung der Verbindung mit tls-auth. Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.
Cipher für Datenverbindungen:	AES-128-CBC	Standardmäßig wird AES-128-CBC verwendet. Sämtliche Gegenstellen müssen denselben Cipher benutzen!
Cipher für Datenverbindungen:	Default BF-CBC DES-EDE-CBC DES-EDE3-CBC CAST5-CBC AES-192-CBC AES-256-CBC AES-128-GCM AES-192-GCM AES-256-GCM
Hash für Datenverbindung:	SHA256	Standardmäßig wird SHA256 verwendet. Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen!
Hash für Datenverbindung:	Default SHA1 SHA224 SHA384 SHA512 whirlpool
Erlaubte Cipher für automatische Aushandlung (NCP):		Es lassen sich gezielt einzelne Cipher aus einer Liste auswählen
IPv4 Pool:	192.168.192.0/24	Pool-Adresse eintragen
IPv6 Pool:	/64	Pool-Adresse eintragen
Servernetzwerke freigeben:		Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
Search Domain:		Wenn vorhanden, Domain eingeben.
Renegotiation:	nie 1 Stunde (Default) 2 Stunden 4 Stunden 8 Stunden 12 Stunden	Zeitraum, ab dem die Verbindung erneut vermittelt wird.
Die Einstellungen können mit gespeichert werden.

Erweitert Erweitert
MTU:	1500	Maximale Übertragungseinheit des größten Pakets (Byte)	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Maximale Clients:	1024	Maximale Anzahl an Clients Wird kein Wert festgelegt, gilt der Default-Wert von 1024
Doppelte Clients erlauben:	Nein	Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden. Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde Konfiguration unter Authentifizierung Benutzer Bereich Benutzer Schaltfläche Reiter VPN Abschnitt SSL-VPN
DNS übermitteln:	Nein	Erlaubt die DNS-Übermittlung
WINS übermitteln:	Nein	Erlaubt die WINS-Übermittlung
Multihome:	Ein	Erlaubt die Nutzung von mehrere Default-Routen
LZO:	Aus	LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:	Nein
Pass TOS:	Aus	Übergibt dem Tunnelpaket den ursprünglichen Type of Service-Header des Datenpaketes
Ping Intervall:	10 Sekunden	Intervall der Ping-Anfragen
Ping Wartezeit:	120 Sekunden
Ausgehende Puffergröße:	65536 Bytes	Steuert die Größe des Puffers für den Socket Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
Eingehende Puffergröße:	65536 Bytes	s.o.
Replay window Sequenzgröße:	64	Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
Replay window Wartezeit:	15 Sekunden	Zeitfenster, in dem die Sequenzgröße maximal angewendet wird
Die Einstellungen können mit gespeichert werden.

Regelwerk

Implizite Regeln

Unter Firewall Implizite Regeln Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

Im Beispiel Ein SSL-VPN UDP ➊

Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal ➋

UTM v12.6 SSL-VPN Roadwarrior Implizite Regeln.png

Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.

Netzwerkobjekte

Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	SSL-VPN-RW-Network	Eindeutige Bezeichnung, frei wählbar
Typ:	VPN-Netzwerk	Passenden Typen wählen
Adresse:	192.168.192.0/24	Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
Zone:	vpn-ssl-RW-Securepoint	Die Zone, über die das Tunnel-Netzwerk angesprochen wird.
Gruppen:		Optionale Zuordnung zu Netzwerkgruppen
Die Einstellungen können mit gespeichert werden.

Paketfilter Regel

Menü Firewall Paketfilter Schaltfläche Regel hinzufügen Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Allgemein
Quelle	SSL-VPN-RW-Network	Eingehende Regel
Ziel	internal-network	Als Ziel muss internal-network angegeben werden
Dienst	ms-rdp	Es sollten nur tatsächlich benötigte Dienste freigegeben werden!
Aktion	ACCEPT

Benutzer und Gruppen anlegen

Gruppe

Berechtigungen

Unter Bereich Gruppe Schaltfläche + Gruppe hinzufügen klicken.

Folgende Berichtigungen müssen erteilt werden:

Ein Userinterface
Ein SSL-VPN

SSL-VPN
Client im Userinterface herunterladbar:	Ja	Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar	SSL-VPN Einstellungen für die Gruppe
SSL-VPN Verbindung:	RW-Securepoint	Soeben angelegte Verbindung wählen
Clientzertifikat:	Clientzertifikat	Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde. Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
Remote Gateway:	192.0.2.192	Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Redirect Gateway:	Aus	Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM.
Im Portfilter verfügbar:	Ja	Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN

Benutzer

Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Abschnitt Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.

Bereich Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .

Allgemein
Gruppen:	RW-SSL-VPN	Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
SSL-VPN			Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen für die Benutzer
Einstellungen aus der Gruppe verwenden:	Ein	Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
Installer Portable Client Konfiguration	Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.

Der SSL-VPN Client

Herunterladen des SSL-VPN Clients im Userinterface

Userinterface SSL-VPN

Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:

Zum Download gelangt man über den Menüpunkt SSL-VPN .
Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.

Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter Bereich VPN Option Ein User Interface Portal aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

Der Client wird angeboten als:

SSL-VPN Client Installer

Die Installation muss mit Administrator-Rechten durchgeführt werden.

- Erforderliche Prozessorarchitektur: x86 / x64

SSL-VPN Portable Client
- Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.

Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.

- Erforderliche Prozessorarchitektur: x86 / x64

Konfiguration und Zertifikat
- Zur Verwendung in anderen SSL-VPN-Clients

Die komprimierten Ordner enthalten neben dem SSL-VPN Client

- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
- Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

notempty

Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden

Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client

SSL-VPN Verbindung als Client herstellen

Aktive SSL-VPN-Verbindung

Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf

Mehrere VPN-Server als Ziele für eine Verbindung

In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.

Rechter Mausklick auf die Verbindung
Kontextmenü Einstelungen

Schaltfläche Erweitert

IP: utm1.anyideas.de
Port: 1194

Eingabe von Hostnamen oder IP und verwendeten Port
Angaben mit Hinzufügen übernehmen
Fenster mit OK schließen

UAC Benutzerkonten Meldung bestätigen.

Mehrere VPN-Profile nutzen

Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen

Linksklick auf das Zahnradsymbol im Client-Fenster
Kontextmenü Importieren

Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren

SSL-VPN Client Einstellungen Allgemein.png

Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
- Linksklick auf das Zahnradsymbol
- Menü Client Einstellungen
- Reiter Allgemein → Schaltfläche TAP hinzufügen

Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren

Hinweise

Verschlüsselung

Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

notempty

Anpassung der default Cipher ab v12.2.2

notempty

Ab v12.2.2 ist in der Einstellung der Cipher für Datenverbindung nicht mehr Blowfish-CBC enthalten.
Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.
Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.
Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Abschnitt Allgemein im Feld Cipher für Datenverbindung.

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default.png

Cipher und Hash mit Default-Einstellungen
notempty

Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish.png

Cipher mit Blowfish-kompatiblen Einstellungen notempty

Nicht empfohlen

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128.png

notempty

Empfohlene Einstellung
Muss auch auf der Gegenstelle konfiguriert sein

notempty

Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

Hashverfahren

Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.

notempty

Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

QoS

Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

notempty

Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.

IPv6 für eingehende Verbindungen

In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

Troubleshooting

Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)

Connection Rate Limit

Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

notempty

Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

Die Funktion soll helfen Angriffe abzuwehren.
SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.

Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
Dabei gelten folgende Bedingungen:

Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
Danach werden die Verbindungen limitiert:
- Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
- Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
- 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
Andere Ports können weiterhin erreicht werden.
Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
Bei Updates muss die Funktion manuell aktiviert werden

extc-Variable	Default	Beschreibung
CONNECTION_RATE_LIMIT_TCP	0	Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port 0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
CONNECTION_RATE_LIMIT_TCP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden. Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
CONNECTION_RATE_LIMIT_UDP	20 / 0 Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.	Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
CONNECTION_RATE_LIMIT_UDP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!). Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

Konfiguration mit CLI-Befehlen

CLI-Befehl	Funktion
extc value get application securepoint_firewall Alternativ als root-User: spcli extc value get application securepoint_firewall \| grep RATE	Listet alle Variablen der Anwendung securepoint_firewall auf. Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen. application \|variable \|value --------------------+-------------------------------+----- securepoint_firewall \|… \|… \|CONNECTION_RATE_LIMIT_TCP \|0 \|CONNECTION_RATE_LIMIT_TCP_PORTS\| \|CONNECTION_RATE_LIMIT_UDP \|20 \|CONNECTION_RATE_LIMIT_UDP_PORTS\|
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule	Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule	Deaktiviert die Überwachung von TCP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule	Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule	Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule	Deaktiviert die Überwachung von UDP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule	Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195. (Beispielhaft für 2 angelegte SSL-VPN Tunnel.) Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule notempty Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.	Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.