Wechseln zu:Navigation, Suche
Wiki

UTM/RULE/ibf v11.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
K (Lauritzl verschob die Seite Spielwiese/UTM/APP/Portfilter Identity nach Spielwiese/UTM/AUTH/Portfilter Identity: Falscher Pfad)
KKeine Bearbeitungszusammenfassung
 
(18 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Identitätsbasierte Portfilterregeln}}
{{Archivhinweis|UTM/RULE/ibf}}
'''Einrichtung Identitätsbasierter Portfilter-Regeln für SSL-VPN'''
{{DISPLAYTITLE: Identity-Based Firewall (IBF)}}
<p>{{ Box | Neue Funktion in 11.8 | 11.8 }} </p>
{{TOC}}
Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.<br>
'''Einrichtung Identity-Based Firewall (IBF) für SSL-VPN'''
Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.
<p>{{ td | Bemerkung | {{ Hinweis | Neue Funktion in 11.8 | 11.8 }}
 
* Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.<br>
* Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.|w=80px}} </p>
----
===Einführung===
===Einführung===
Bisher mussten unter {{Menu | Firewall | Portfilter }} {{Reiter | Netzwerkobjekte }} einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte }} angelegt werden und konnten dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt werden.
Bisher mussten unter {{Menu | Firewall | Portfilter }} {{Reiter | Netzwerkobjekte }} einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte }} angelegt werden und konnten dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt werden.
Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen.<br>
Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.<br>
Wenn die Benutzer durch ein AD oder LDAP authentifizert werden, wird der Verwaltungsaufwand deutlich reduziert.<br>
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.<br>
<br><br>
<br><br>
====Gruppen konfigurieren====
====Gruppen konfigurieren====
{{pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }}Dies erfolgt unter {{Menu | Authentifizierung | Benutzer }} {{ Reiter | Gruppen }}<br>
{{pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }}Dies erfolgt unter {{Menu | Authentifizierung | Benutzer }} {{ Reiter | Gruppen }}<br>
<p>Entweder wird eine neu Gruppe erstellt {{Button | + Gruppe hinzufügen }} oder eine bestehende Gruppe wird bearbeitet.</p>
<p>Entweder wird eine neu Gruppe erstellt {{Button | + Gruppe hinzufügen }} oder eine bestehende Gruppe wird {{ Button ||w}} bearbeitet.</p>
{{h5 | {{ Reiter | Berechtigungen}} |  {{ Reiter | Berechtigungen}} }}<p></p>
{{h5 | Berechtigungen |  {{ Reiter | Berechtigungen}} }}<p></p>
<p>{{ b |  Gruppenname: }} <code>Road-Warrior</code> Eingabe eines aussagekräftigen Namens</p>
<p>{{ b |  Gruppenname: }} <code>Road-Warrior</code> Eingabe eines aussagekräftigen Namens</p>
{{ td
{{ td
Zeile 25: Zeile 27:
<br clear=all>
<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_SSL-VPN.png | Konfiguration SSL-VPN }}{{ h5 | {{ Reiter | SSL-VPN }} | {{ Reiter | SSL-VPN }} }}<p></p>
{{:UTM/AUTH/Benutzerverwaltung-Gruppen-SSL-VPN}}
{{ b | Client im Userinterface herunterladbar: }}  {{ButtonAn |Ja}} {{a |0}}
{{ td || Wenn der Client nicht anderweitig verteilt wird. | m=5px }}
{{ td | {{ b | SSL-VPN Verbindung:  }} | {{ MenuD | Auswahl der gewünschten Verbindung }} {{a | 4}} {{ kl | Angelegt unter {{ Menu | VPN | SSL-VPN }} }} | m=5px  }}
{{ td | {{ b | Client-Zertifikat:  }} | {{ MenuD | Auswahl des Zertifikats für diese Gruppe }} <br>{{a|4}}{{ kl | Angelegt unter {{ Menu | Authentifizierung | Zertifikate }} {{Reiter | Zertifikate }} }} | m=5px  }}
{{ td | {{ b | Remote Gateway:  }} | <code>IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen.</code> <br>Eine mögliche Auswahl ist per {{ MenuD | Dropdown }} erreichbar | m=5px  }}
{{ td | {{ b | Redirect Gateway:  }} | {{r | Ja?}} | m=5px  }}
{{ td | {{ b | Im Portfilter verfügbar:  }} <br> {{ Box | Neue Funktion in 11.8 | 11.8 }} | {{ ButtonAn |Ja}} Durch Aktivierung dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden. <br>Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser, über SSL-VPN verbundenen Gruppe sind, steuern. | m=5px  }}


<br clear=all>
<br clear=all>
Zeile 40: Zeile 35:
{{ td | {{ Kasten | Aktion}} | {{ MenuD | Accept }} (Default)  | w=90px  | m=5px }}
{{ td | {{ Kasten | Aktion}} | {{ MenuD | Accept }} (Default)  | w=90px  | m=5px }}
{{ td | {{ Kasten | Logging}} | {{ MenuD | gewünschte Loggingstufe }}  | w=90px  | m=5px }}
{{ td | {{ Kasten | Logging}} | {{ MenuD | gewünschte Loggingstufe }}  | w=90px  | m=5px }}
{{ td | {{ Kasten | Gruppe}} | {{ MenuD | gewünschte Gruppe auswählen }}  | w=90px  | m=5px }}
{{ td | {{ Kasten | Gruppe}} | {{ MenuD | gewünschte Regel-Gruppe auswählen }}  | w=90px  | m=5px }}
{{ td | {{ b | Quelle }} | [[Datei:UTM_v11-8_Firewall_Portfilter_SSL-VPN-Netzwerkobjekt.png | x20px | Link=]] Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | w=90px  | m=5px }}
{{ td | {{ b | Quelle }} | [[Datei:UTM_v11-8_Firewall_Portfilter_SSL-VPN-Netzwerkobjekt.png | x20px | Link=]] Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | w=90px  | m=5px }}
{{ td | {{ b | Ziel }} | <code>Zielnetzwerkobjekt</code> | w=90px  | m=5px }}
{{ td | {{ b | Ziel }} | <code>Zielnetzwerkobjekt</code> | w=90px  | m=5px }}
{{ td | {{ b | Dienst }} | <code>Auswahl des benötigten Dienstes oder einer Dienstegruppe</code>  | w=90px  | m=5px }}
{{ td | {{ b | Dienst }} | <code>Auswahl des benötigten Dienstes oder einer Dienstgruppe</code>  | w=90px  | m=5px }}
<p>{{ Button | Hinzufügen und schließen }}</p>
<p>{{ Button | Hinzufügen und schließen }}</p>
<p>{{ Button | ‣ Regeln aktualisieren}}</p>
<p>{{ Button | ‣ Regeln aktualisieren}}</p>


<br clear=all>
<br clear=all>
===Ergebnis===
===Ergebnis===
<p>Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrier befinden.</p>
<p>Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.</p>

Aktuelle Version vom 6. Juli 2022, 16:29 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht


Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Bemerkung
Neue Funktion in 11.8
  • Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
  • Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.

Einführung

Bisher mussten unter → Firewall →Portfilter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt werden und konnten dann zu  Netzwerkgruppen  zusammengefügt werden. Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.


Gruppen konfigurieren

Gruppen hinzufügen

Dies erfolgt unter → Authentifizierung →Benutzer Gruppen

Entweder wird eine neu Gruppe erstellt + Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.

Berechtigungen
Berechtigungen

Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens

Ein
Userinterface
Ein
SSL-VPN













































De.png
En.png
Fr.png



Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.

Beschriftung: Wert Beschreibung: Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Gruppe SSL-VPN.png SSL-VPN Einstellungen der Gruppe
Client im Userinterface herunterladbar: Nein Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
SSL-VPN Verbindung: RW-Securepoint Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
Client-Zertifikat: cs-sslvpn-rw(1) Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate  Bereich Zertifikate)
Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway: 192.168.175.1 IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
Redirect Gateway: Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.
Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Paketfilter verfügbar: Nein Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden.
Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.


Portfilter mit SSL-VPN-Gruppe

Portfilter konfigurieren

Portfilter konfigurieren

→ Firewall →Portfilter + Regel hinzufügen

Aktiv
Ein
Aktion
Accept (Default)
Logging
gewünschte Loggingstufe
Gruppe
gewünschte Regel-Gruppe auswählen
Quelle
Link= Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
Ziel
Zielnetzwerkobjekt
Dienst
Auswahl des benötigten Dienstes oder einer Dienstgruppe

Hinzufügen und schließen

‣ Regeln aktualisieren


Ergebnis

Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/RULE/ibf_v11.8&oldid=82444