Securepoint Wiki - Benutzerbeiträge [de]

UTM/NET/6in4 v11.7

2013-01-22T12:45:24Z

Carstenc: /* 6in4 Tunnel anlegen */

{{v11}}

==Einleitung==

Ein 6in4 Tunnel ist ein Übergangsmechanismus von IPv4 auf IPv6. Hierbei werden die IPv6 Datenpakete über ein IPv4 Netzwerk zu einem Knotenpunkt übertragen. Dieses geschieht mit der Hilfe eines Tunnelbrokers wie zum Beispiel von [http://www.tunnelbroker.net Hurricane Electric ] oder [http://www.sixxs.net SixXS].

==Konfiguration des Tunnelbrokers==

Als Beispiel wird der Tunnelbroker von [http://www.tunnelbroker.net Hurricane Electric] verwendet.

====Account bei Hurricane Electric erstellen====

*Rufen Sie in Ihrem Webbrowser die Seite [http://www.tunnelbroker.net www.tunnelbroker.net] auf.
*Klicken Sie in oben links auf "Register"
[[Datei:Registrierung1.jpg|100px|thumb|none|Tunnelbroker Registrierung]]
*Füllen Sie alle Felder aus und klicken Sie auf "Register"
[[Datei:registrierung2.jpg|500px|thumb|none|]]
*Das Passwort für den Account wird Ihnen an die angegebene E-Mail Adresse geschickt.

====Anlegen des 6in4 Tunnel====

*Melden Sie sich mit Ihren Benutzerdaten auf der Seite an.
*Klicken Sie auf der linken Seite unter "User Functions" auf "Create Regular Tunnel"
[[Datei:tunnelanlegen1.jpg|600px|thumb|none|Neuen Tunnel beim Tunnelbroker anlegen]]
*Tragen Sie dort Ihre IPv4 Adresse ein und wählen Sie einen Tunnel Server. In diesem Beispiel wird der Tunnel Server in Berlin verwendet. Nachdem Sie auf "Create Tunnel" geklickt haben, dauert es einen kleinen Augenblick, es erscheint eine Seite mit den Tunnel Details.
*Ihr Tunnel ist jetzt fertig angelegt.

[[Datei:Tunnelanlegen2.jpg|none|400px|thumb|IPv4 Adresse angeben und Tunnel Server auswählen]]

==Konfiguration der Securepoint Appliance==

====Mit der Appliance verbinden====

*Öffnen Sie einen Webbrowser und rufen Sie das Administrations-Webinterface der Securepoint Appliance auf. Die Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Haben Sie die Grundeinstellungen beibehalten, lautet die Adresse:
:<nowiki>https://192.168.175.1:11115</nowiki>
:Beachten Sie, dass Sie das Protokoll HTTPS verwenden müssen.
*Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, werden Sie von Ihrem Webbrowser gefragt, ob Sie den Ladevorgang fortsetzen möchten.
:Bestätigen Sie diese Sicherheitsabfrage.
*Loggen Sie sich auf der Startseite mit Ihrem Benutzernamen und Ihrem Kennwort ein.
:Werkseinstellung:
::Benutzername: admin
::Kennwort: insecure

[[Datei:Loginv11.jpg|200px|thumb|none|Login Dialog]]

====6in4 Tunnel anlegen====

*Klicken Sie in der Navigationsleiste auf den Punkt Netzwerk und im Dropdownmenü auf den Punkt Netzwerk Konfiguration.
:Um einen 6in4 Tunnel anzulegen klicken Sie unten in der Leiste auf den [[Datei:6in4_button.jpg]] -Button.

*Im ersten Dialog Fenster tragen Sie Ihre IPv6 Adresse und Ihre öffentliche IPv4 Adresse ein.
'''! Achtung !''' Wenn Sie eine dynamische IPv4 Adresse haben, lassen Sie das Feld ''Lokale IPv4 Adresse'' leer. Dann teilt die Firewall dem Tunnelbroker automatisch mit, wenn sich Ihre IP - Adresse geändert hat.
[[Datei:client_ips.jpg|none|300px|thumb|Lokale IPv4 und IPv6 Adresse eintragen]]
*Klicken Sie auf Weiter

*Im nächsten Dialog Fenster tragen Sie die IPv6 und die IPv4 Adresse des Tunnel-Servers ein.
*Setzen Sie den Harken bei ''Als default route benutzen"
*Als Type wählen Sie "Hurricane Electric Dynamic", anschließend füllen Sie die Felder aus und klicken auf Weiter
[[Datei:benutzerdaten.jpg|none|300px|thumb|Tunnel Server IP Adressen und Benutzerdaten hinterlegen]]

*Im letzten Schritt wählen Sie die Zonen aus

*Legen Sie die Zonen external_v6 und firewall-external_v6 auf das Interface und klicken auf Fertig
[[Datei:zonen_six.jpg|none|300px|thumb|Zonen auf das 6in4 Interface binden]]

==Portfilter==

Damit sich der 6in4 Tunnel aufbaut muss noch die IP - Adresse vom Tunnelbroker Server freigeschaltet werden. Dieser Testet erst mit einem Ping ob der angegebene Tunnelendpunkt überhaupt existiert und auch erreichbar ist.

=== Netzwerkobjekt erstellen===

*Sie gehen auf ''Firewall=>Portfilter=> Netzwerkobjekte''
*Sie erstellen ein neues Netzwerkobject
*Geben Sie dem Object einen Namen (in diesem Beispiel Hurricane)
*Typ ist ''Host''
*Bei Adresse geben Sie die IP ''66.220.2.74'' ein
*Als Zone wählen Sie ''external''
*Gruppe können Sie leer lassen

[[Datei:netzwerkobject_hurricane.jpg]]

===Firewallregel===

*Wechseln Sie zurück in den Portfilter
*Erstellen Sie eine neue Regel
*Quelle ist das angelegte Netzwerkobjekt vom Hurricane Server
*Ziel ist das ''externe Interface'' der Firewall
*Als Dienst wählen Sie ''icmp-echo-req''
*Klicken Sie auf Speichern

[[Datei:portfilter_hurricane.jpg]]

==Tunnel ID und IP-Adressen der Tunnel Server==

*Die ID Ihres 6in4 Tunnels sowie die IP-Adressen der Tunnel Server finden Sie in den Tunnel Details

[[Datei:tunneldetails.jpg|none|400px|thumb|Tunnel Details]]

UTM/APP/Webfilter-v11.5

2013-01-10T12:55:24Z

Carstenc:

==Einleitung==

Mit einem Content filter kann man bestimmte Inhalte auf einer Webseite für ein Netzwerk oder für gewisse Benutzer verbieten.
Dadurch ist es zum Beispiel möglich, in öffentlich/provaten Einichtungen anstößige oder jugendgefährdende Webseiten zu sperren.

==Was sind die Ziele in diesem Howtos?==

Diese Anleitung zeigt Ihnen, wie Sie den Webfilter der UTM v11 im Zusammenhang mit mehreren Benutzergruppen konfigurieren können.

In unserem Beispiel haben wir 3 Benutzergruppen:
*1. Die Geschäftsführung, welche alle Seiten aufrufen darf, bis auf welche mit pornografischen Inhalt.
*2. Die Technik darf keine Soziale Netzwerke und Seiten mit pornografischen Inhalt aufrufen.
*3. Der Vertrieb darf nur Firmenwebseiten aufrufen.
: Des Weiteren dürfen um die Mittagszeit von 12:00 Uhr bis 13:00 Uhr die Mitarbeiter frei surfen, bis auf Seiten die zur Kategorie Porno und Erotik gehören.

In diesem Beispiel ist die UTM an ein Active Directory angebunden, welches ein Windows 2008 R2 Standard Server ist. Wie Sie die Firewall an ein AD anbinden, finden Sie [[Benutzergruppen_Anbindung-AD|hier]].

==Webfilter Konfigurieren==

===Benuztergruppen mit dem AD verknüpfen===

* Gehen Sie auf ''Authentifizierung -> Benutzer -> Gruppen''
* Fügen Sie für jede Abteilung eine separate Gruppe hinzu
-> Unter ''Berechtigungen'' setzen Sie den Haken ''Http Proxy'' 
-> Unter ''Active Directory'' wählen Sie die entsprechende AD Gruppe aus.

===Filterregeln für den Webfilter erstellen===

*Um die Regelsätze für den Webfilter einzustellen, öffnen Sie die Http Proxy Einstellungen, klicken auf den Reiter ''Webfilter'' und wechseln dort zu dem Punkt ''Regelsätze''.

* Klicken Sie auf ''Regelsatz hinzufügen''
* Geben Sie dem Regelsatz einen Namen
-> In unserem Beispiel heißen die Regelsätze:
# filter_Geschaetfsfuehrung
# filter_Technik
# filter_Vertrieb
# filter_mittag

*Die Regelsätze ''filter_ruleset'' und ''deny_access'' werden von der Firewall automatisch angelegt.

====Filter: Geschaetfsfuehrung====
*Klicken Sie auf das Schraubenschlüsselsymbol um den Filter zu editieren.
*Bei ''Aktion'' wählen Sie ''blacklist-cat'' aus und dann bei der ''Kategorie'' ''Porno und Erotik'' und klicken auf das ''+ Symbol''
*Klicken Sie auf speichern. Das Fenster für diesen Filter schließt sich danach automatisch.
[[Datei:filter_geschauftsfuehrung.jpg|400px|thumb|none|]]

====Filter: Technik====
*Editieren Sie den Filter für die Technik Gruppe
*Bei der ''blacklist-cat'' wählen Sie ''Erotik und Porno'' und ''Soziale Netzwerke'' aus
*Klicken Sie auf speichern.
[[Datei:filter_technik.jpg|400px|thumb|none|]]

====Filter: Vertrieb====
Als nächtes editieren Sie den Filter für den Vertrieb. Dieser darf nur auf Firmenwebseiten zugreifen.

*Als ''Aktion'' wählen Sie ''whitelist-url'' und tippen dann die entsprechende Domain ein.
:In unserem Beispiel darf der Vertrieb auf Seiten die zu Securepoint, Medical-IT, Wortmann und D-Link gehören zugreifen.
[[Datei:filter_vertrieb.jpg|400px|thumb|none|]]

====Filter: Mittag====
Zuletzt kommt der Regelsatz der, um die Mittagszeit, alles freigibt, bis auf "Porno und Erotik".

*Bei ''Aktion'' wählen Sie wieder ''Porno und Erotik'' als ''blackilist-cat'' aus.
*Bei Punkt ''Zeit'' setzen wir einen Haken bei ''Aktivieren''
*Die ''Startzeit'' ist 12:00 Uhr
*Die ''End Time'' ist 13:00 Uhr
*Nun klicken wir noch die Checkboxen an, an welchen Tagen diese Filterregel greifen soll. In unserem Beispiel soll er an allen 5 Werktagen um die Mittagszeit das surfen freigeben.
[[Datei:filter_mittag.jpg|400px|thumb|none|]]

===Profile für den Webfilter einstellen===

*Um die Regelsätze den Benutzergruppen zu zuweisen, klicken Sie auf Profile
*Dort klicken Sie auf Profil hinzufügen
*Als Netzwerk- oder Benutzergruppe wählen Sie die entsprechende Benutzergruppe.(Geschäftsführung, Technik oder Vertrieb) Bei regelsatz wählen Sie den entsprechenden Regelsatz/Regelsätze der für diese Gruppe gelten soll und klicken auf das "+ Symbol".

====Profil Geschäftsführung====

====Profil Technik====

====Profil Vertrieb====

===Proxy Einstellungen und Webfilter aktivieren===

*Deaktivieren Sie den transparenten Proxy und stellen Sie die Authentifizierungsmethode auf NTLM.
*Gehen Sie in die Webfilter Einstellungen und setzen den Hacken bei Webfilter aktivieren.

UTM/APP/Nameserver

2013-01-10T12:03:02Z

Carstenc: /* Einleitung */

== Einleitung ==
Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das Verfahren, das es ermöglicht, Namen von Rechnern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: securepoint.de in 62.116.166.66). Des Weiteren kann in der V11 eine Namensauflösung an einen anderen Nameserver weitergeleitet werden oder aus einer IP Adresse auf einen bestimmten Namen geschlossen werden (Reverse Lookup). Zusätzlich gibt es die Funktion "DNS Forwarding" die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.

Um die Einstellungen die der Nameserver der V11 bietet, besser verstehen zu können, folgt nun eine "Typ Beschreibung", der Typen die bei der Einrichtung auswählbar sind:

* Beschreibung der Typen

- NS
- A
- AAAA
- TXT
- PTR
- MX
- CNAME

Im weiteren Verlauf wird genauer auf die Einrichtung folgender Punkte der V11 eingegangen:

* Anlegen einer Forward-Zone
* Anlegen einer Reverse-Zone
* Anlegen einer Relay-Zone
* Anlegen eines DNS Forwardings

=== Beschreibung der Typen ===
==== NS ====
Ein NS oder besser gesagt, NS-RR (Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:

* Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
* Er verkettet Zonen zu einem Zonen-Baum (Delegation).

In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.

==== A ====
Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.

==== AAAA ====
Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.

==== TXT ====
Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.

==== PTR ====
PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(s) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

* in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
* in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
* in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.

==== MX ====
Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.

==== CNAME ====
Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden.

Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

=== Forward-Zone ===
Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain erklärt. Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.

Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== A-RR anlegen ====
Im nächsten Schritt wird der A-RR angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Forward-Zone hinzufügen.
#Tragen Sie im Step 1 die gewünschte Domain in das Feld Zonenname ein.
#Tragen Sie im Step 2 unter Nameserver Hostname "localhost" ein.
#Der Step 3 kann durch klicken auf den Button Fertig übersprungen werden.
#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name" die gewünschte Domain ein. An die Domain wird ein Punkt "." angehängt!
#Als Typ wählen Sie "A".
#In das Feld Wert tragen Sie die interne IP des Servers ein auf den die Domain verweisen soll.
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step_1_A-RR.jpg‎|800px|thumb|center|Step 1 ]]
[[Datei:Step2.jpg|800px|thumb|center|Step 2]]
[[Datei:A-RR_anlegen.jpg|800px|thumb|center|Anlegen des A-RR]]

*Nun ist das Anlegen des A-RR fertig und die Firewall setzt auf Anfrage die Domain auf die gewünschte Private IP um!

==== A-RR testen ====
Um das Umsetzten des zuvor angelegten A-RR zu testen können sie von extern eine DNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "A" aus.
#Tragen Sie im Feld Hostname ihre Domain ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:A-RR_testen.jpg|800px|thumb|center|A-RR testen]]

*Im unteren Fenster löst er, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse auf.

=== Reverse-Zone ===
Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll. Als RR-Typen sind nur PTR Resource Records zulässig. Bei einem PTR-RR steht links eine IP-Adresse und rechts ein Name – im Gegensatz zum A Resource Record, wo links ein Name und rechts eine IP-Adresse steht.

Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern. Viele Spam-Mails werden von Fake-Domainen versendet. Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== PTR-RR anlegen ====
Im nächsten Schritt wird der PTR-RR angelegt.

Zum Verständnis hier eine kurze Beschreibung:

Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).
Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).

Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Reverse-Zone hinzufügen.
#Tragen Sie im Step 1 das gewünschte Subnetz ein, indem sich die IP-Adresse zu der gewünschten Domain befindet.
#Tragen Sie im Step 2 unter Nameserver "localhost" ein und klicken sie auf Fertig.

Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.

#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name", die letzte Zahl der Host-IP ein, die zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
#Als Typ wählen Sie "PTR".
#In das Feld Wert tragen Sie die Domain ein auf die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step1-PTR.jpg |800px|thumb|center|Step 1]]
[[Datei:Step2-PTR.jpg|800px|thumb|center|Step 2]]
[[Datei:PTR-anlegen.jpg|800px|thumb|center|PTR anlegen]]

*Nun ist das Anlegen des PTR-RR fertig und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!

==== PTR-RR testen ====
Um das Umsetzten des zuvor angelegten PTR-RR zu testen, können Sie von extern eine rDNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "PTR" aus.
#Tragen Sie im Feld Hostname die IP ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:PTR-testen.jpg|800px|thumb|center|PTR-RR testen]]

*Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, zu der IP-Adresse die richtige Domain aufgelöst.

=== Relay-Zone ===
Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig. Hierzu ein Beispiel.:

Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet. Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung zuständig ist. Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.test.local) wird diese DNS-Anfrage an die Firewall gestellt. Durch eine Weiterleitung aller Anfragen auf "test.local" an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden. Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== Relay anlegen ====
Im nächsten Schritt wird das Relay angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Relay-Zone hinzufügen.
#Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen die in das Feld IP-Adresse die Adresse des entfernten Nameservers ein.
#Klicken Sie auf Speichern.

[[Datei:Relayzone.jpg|800px|thumb|center|Anlegen der Relay-Zone]]

*Nun ist das Anlegen de Relay-Zone fertig und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!

=== DNS Forwarding ===
Ein DNS Forwarding wird dazu Verwendet um ALLE DNS Anfragen die an den Nameserver der Firewall gestellt werden an eine andere IP weiterzuleiten.

==== Domainweiterleitung anlegen ====
Anlegen einer Domainweiterleitung

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Tab DNS Forwarding.
#Klicken sie auf Domainweiterleitung hinzufügen.
#Tragen sie die gewünschte IP-Adresse ein, an den die DNS Anfragen geschickt werden sollen.
#Klicken Sie auf Speichern.

[[Datei:DNSWeiterleitung.jpg|800px|thumb|center|Anlegen eines DNS Forwardings]]

*Die Domainweiterleitung ist nun angelegt und die DNS Anfragen werden an die gewünschte IP weitergeleitet.

UTM/VPN/IPSec Arten

2012-12-21T09:43:29Z

Carstenc: /* Aufbaumöglichkeit 1: feste IP feste IP */

=IPSec Aufbaumöglichkeiten=

== Einleitung ==
IPSec bitete Ihnen die Möglichkeit eine gesicherte Verbindung, über ein unsicheres Medium (Internet) aufzubauen. Damit einen Verbindung dauerhaft bestehen bleibt, gibt es vorab einige Dinge zu beachten.
==Ziel==
Dieses Howto soll einen Einblick in die verschiedenen Aufbaumöglichkeiten und Konfigurationen von IPSec bieten. Dabei wird zwischen den unteschiedlichen Internetanbindungen der Geräte unterschieden, es ergeben sich damit die folgenden Möglichkeiten:

* Aufbaumöglichkeit 1: feste IP <-> feste IP
* Aufbaumöglichkeit 2: dynamische IP <-> feste IP
* Aufbaumöglichkeit 3: dynamische IP <-> dynamische IP
* Aufbaumöglichkeit 4: private IP hinter NAT-Router <-> dynamische IP
* Aufbaumöglichkeit 5: private IP hinter NAT-Router <-> private IP hinter NAT-Router

Bevor Sie also einen Tunnel versuchen aufzubauen, werfen Sie einen Blick in die für Sie gültige Konfiguration. Beachten sie vor allem die:

* IDs
* Authentifizierungsmethode (PSK, RSA, Cert)

=== Aufbaumöglichkeit 1: feste IP <-> feste IP ===
Beide Geräte verfügen über eine feste öffentlich IP, die einfachste und zuverlässigste Möglichkeit.

* IDs = öffentlich IP
* Auth = PSK

[[Datei:static-to-static.png|800px||center|feste IP <-> feste IP]]

2012-11-26T10:09:31Z

Carstenc:

2012-11-15T09:15:20Z

Carstenc:

2012-11-07T10:14:15Z

2012-10-31T13:36:24Z

Carstenc: /* Vorraussetzungen */

{{v11}}
=Einleitung=

Das Clientless-VPN bietet die Möglichkeit sich über den Browser auf einen RDP- oder VNC-Server im Firmennetz zu verbinden. Der Benutzer meldet sich am Userinterface an, und erhält dann die Möglichkeit sich auf einen vorgegeben Server zu verbinden. Damit dies funktioniert, muss der Browser HTML5 und Websockets verstehen, Java oder ähnliches ist nicht nötig.

===Besonderheiten der Browser===
Bei der Verwendung von Chrome und Firefox wird eine native Websocket Verbindung verwendet.
Beim Firefox muss das Webserver Zertifikat auch für die RDP und VNC Verbindung einmal manuell
bestätigt werden. Dafür am einfachsten eine Verbindung zu dem entsprechenden Port aufrufen:

Für VNC: https://FirewallIP:2107

Für RDP: https://FirewallIP:2907

Beim Chrome und Internet Explorer ist das nicht nötig, da reicht die Bestätigung des Zertifikats
über den normalen https Port.

Der Internet Explorer braucht das Flashplugin um die Websockets zu emulieren. Native Websockets
werden vom Internet Explorer nicht unterstützt.

Im Safari, unter Mac OSX, muss das Zertifikat des Webservers im Zertifikatsspeicher abgespeichert
werden, damit der Websocket Verbindung vertraut werden kann.

= Einrichtung der FW=
==Vorraussetzungen==
Wir setzten für dieses Howto voraus, dass Sie eine Benutzergruppe bereits angelegt haben und diese über die Rechte "ClientlessVPN" und "Userintreface" verfügen. Wie Sie die Benutzer aus dem AD auslesen können, erfahren Sie [http://wiki.securepoint.de/index.php/Benutzergruppen_Anbindung-AD ''hier.'']

== Clientless Host hinzufügen==
Gehen Sie im Menü auf "VPN" -> "ClientlessVPN" und fügen Sie hier, die Server ein, die Sie den Benutzern verfügbar machen wollen.

[[Datei:Utm-v11-clientlessvpn1.png|center]]

== Zuweisen der Gruppe==
Nun können wir den Host der entsprechenden Benutzergruppe zuweisen. Klicken Sie auf "Authentifizierung" -> "Benutzer" -> "Reiter:Gruppen" und editieren diese. Fügen Sie nun die Server hinzu.

[[Datei:Utm-v11-clientlessvpn2.png|center]]

==Zugriff erlauben==
Stellen Sie nun sicher ob sich der Benutzer auch am Userinterface anmelden darf. Dies kann entweder durch impliziete Regeln oder aber durch eine entsprechende Regel auf das Interface geschehen. Es müssen die Ports des Userinterfaces 443 (veränderbar) sowie die Socketports 2107/2907 freigegeben werden.
[[Datei:Utm-v11-clientlessvpn3.png|center]]

=Anmelden=
Melden Sie sich am Userinterface der FW, geben Sie dazu im Browser die URL https://IP_DER_FW an, wenn das Userinterface noch auf dem Standartport läuft.

In der Fußleiste erhalten Sie nun die Funktionen die Ihren Account zugewiesen wurden.
[[Datei:Utm-v11-clientlessvpn4.png|center]]

Ein Klick auf Clientless-CPN öffnet den folgenden Dialog. Denken Sie bei Firefox daran, das Sie vorerst einmal das Zetifikat auf dem Port akzeptieren.
[[Datei:Utm-v11-clientlessvpn5.png|center]]

Wählen Sie den entsprechenden Server aus. Eine Verbindung kann nun aufgebaut werden.
[[Datei:Utm-v11-clientlessvpn6.png|center]]