Auf der UTM muss im Menü USP bei Unified Security Console & VPN-Konfiguration die Option UTM-Profile aus der USC erlauben aktiv Ja sein, damit USC-Profile auf UTMs angewendet werden können.
Ab der UTM-Version 12.6.2
Im UTM-Menu USP ➊ die Option UTM-Profile aus der USC erlauben aktivieren ➋
Profile ermöglichen mehreren UTMs bestimmte Ereignisse zuzuweisen. Zu Beginn gibt es die Möglichkeit, ein automatisches Update durchführen zu lassen, wenn eine neue Version auf der UTM vorhanden ist.
Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
Es wird jeweils nur das Profil mit der höchsten Priorität angewendet!
Mandantenübergreifendes Profil
Bleibt bei lokalen Profilen deaktiviert
UTMs
UTMS hinzufügen
In der Klickbox können verfügbare UTMs ausgewählt werden
Bei der Zuordnung einer primären Cluster-UTM notempty
(möglich ab Portal-Version 2.1)
ist eine manuelle Synchronisation der anderen Cluster-UTM notwendig, um Inkonsistenzen zu vermeiden. Hier sollte nur die primäre UTM eines Clusters zugewiesen werden.
notempty
Auf UTMs ab Version 14.1.0 kann die Berechtigung zum Setzen bestimmter Werte über die Profile entzogen werden. In diesem Fall werden Einstellungen aus den Profilen nicht auf der UTM umgesetzt.
Tags
Tags hinzufügen
Das Profil wird allen UTMs zugewiesen, die über mindestens eines dieser Tags verfügen notempty
Auf UTMs ab Version 14.1.0 kann die Berechtigung zum Setzen bestimmter Werte über die Profile entzogen werden. In diesem Fall werden Einstellungen aus den Profilen nicht auf der UTM umgesetzt.
Kommentar
Kommentar
Kommentarfeld für weitere Beschreibungen
Mandantenübergreifende Profile
Allgemein - Mandantenübergreifende Profile
Mandantenübergreifende Profile werden in der Übersicht als ebensolche gekennzeichnet. In den Mandanten selbst wird eine Kopie dieser Profile mit dem Merkmal Generiert angezeigt. Die Kopie kann nicht bearbeitet werden. Eine Bearbeitung ist nur in dem Profil möglich, in dem es erstellt wurde.
Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
Es wird jeweils nur das Profil mit der höchsten Priorität angewendet!
Mandantenübergreifendes Profil
Dieses Profil wirkt auf den aktiven Tenant (Reseller oder übergeordnete Firma) und alle anschließend ausgewählten Mandanten
Mandanten
Mandanten auswählen
Mandanten, auf die das Profil zusätzlich zum eigenen Tenant angewendet werden soll
Alle auswählen
Fügt alle Mandanten hinzu
Tags
Tags hinzufügen
Das Profil wird Mandantenübergreifend auf alle UTMs mit diesem Tag angewendet
Per Default besitzen alle UTMs den Tag utms
notempty
Auf UTMs ab Version 14.1.0 kann die Berechtigung zum Setzen bestimmter Werte über die Profile entzogen werden. In diesem Fall werden Einstellungen aus den Profilen nicht auf der UTM umgesetzt.
Kommentar
Kommentar
Kommentarfeld für weitere Beschreibungen
Cloud-Backup
Cloud-Backup
Beschriftung
Wert
Beschreibung
Cloud-Backup verwalten
Erlaubt bei Aktivierung die Konfiguration der Cloud-Backup-Einstellungen
Aktiviere Cloud-Backup auf der UTM
Bei Aktivierung kann ein Zeitraum angegeben werden, in dem die Boot-Konfiguration der UTM auf einem Securepoint-Cloud-Server gesichert wird. notempty
Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Täglich ab: xx Uhr
00:00
Einstellung der Uhrzeit, bei der das Cloud-Backup startet.
Passwort
Passwort
Passwort, das für die Wiederherstellung des Backups erforderlich ist
Servereinstellungen
Servereinstellungen
notempty
Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Firewall
Beschriftung
Wert
Beschreibung
Firewall verwalten
Erlaubt bei Aktivierung die Konfiguration der Firewall-Einstellungen
Globaler Ansprechpartner
In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse
An diese hinterlegte E-Mail Adresse werden wichtige Systemmeldungen verschickt. Die angegebene E-Mail Adresse muss korrekt sein.
Sprache der Berichte
German
Die wichtigen Systemmeldungen werden in dieser Sprache versendet. Alternativ kann auch English ausgewählt werden.
DNS-Server
Beschriftung
Wert
Beschreibung
DNS-Server verwalten
Erlaubt bei Aktivierung die Konfiguration der DNS-Server-Einstellungen
Nameserver vor lokalem Cache prüfen
Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1 als primärer Nameserver. Bei Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
Primärer Nameserver
IPv4/IPv6
An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind.
notempty
Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Sekundärer Nameserver
IPv4/IPv6
An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind.
notempty
Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Zeiteinstellungen
Beschriftung
Wert
Beschreibung
Zeit verwalten
Erlaubt bei Aktivierung die Konfiguration der Zeit-Einstellungen
NTP-Server
NTP-Server hinzufügen
Die gewünschten NTP-Server können hier eintragen werden.
Das Eintragen einer IP-Adresse kann Probleme mit DNS over TLS und DNSSEC vermeiden.
Zeitzone
Europe/Berlin
Die Zeitzone, in der sich die UTM befindet.
Administration
Beschriftung
Wert
Beschreibung
Administrations verwalten
Erlaubt bei Aktivierung die Konfiguration der Administrations-Einstellungen
Administrativen Zugang freigeben für:
Administratoren hinzufügen
Für die Administration können Hostnamen, IP Adressen und Netzwerke freigeschaltet werden. Das Netzwerk mit der Zone "internal" ist immer freigeschaltet.
Globale GeoIP
Globale GeoIP
Beschriftung
Wert
Beschreibung
GeoIP verwalten
Erlaubt bei Aktivierung die Konfiguration der GeoIP-Einstellungen notempty
Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Aktiviere Quellen-GeoIP-Blocking
Bei Aktivierung ist das Ablehnen von IP-Adressen als Quellen erlaubt
Quellen
Systemweit abgelehnte Quellen
IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden
Hier hinterlegte Länder sind aktiv für das Quellen-GeoIP-Blocking
Eine An-/Abwahl aller Länder ist über die entsprechenden Schaltflächen möglich notempty
Neu ab: 2.5
Alle auswählen Alle abwählen
Ausnahmen
IPv4/IPv6
Hier hinterlegte IPs werden vom Quellen-GeoIP-Blocking ausgenommen.
Aktiviere Ziel-GeoIP-Blocking
Bei Aktivierung ist die GeoIP Einstellungen für abgelehnte Ziele aktiv
Ziele
Systemweit abgelehnte Ziele
IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden
Hier hinterlegte Länder sind aktiv für das Ziel-GeoIP-Blocking
Eine An-/Abwahl aller Länder ist über die entsprechenden Schaltflächen möglich notempty
Neu ab: 2.5
Alle auswählen Alle abwählen
Ausnahmen
IPv4/IPv6
Hier hinterlegte IPs werden vom Ziel-GeoIP-Blocking ausgenommen.
Globale VPN-Einstellungen
Globale VPN-Einstellungen
Beschriftung
Wert
Beschreibung
Globale-VPN verwalten
Erlaubt bei Aktivierung die Konfiguration der globalen VPN-Einstellungen notempty
Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Primärer Nameserver
IPv4/IPv6
Primärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird.
Sekundärer Nameserver
IPv4/IPv6
Sekundärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird.
Firmware-Updates
Firmware-Updates
Beschriftung
Wert
Beschreibung
Reiter Automatische Aktualisierungen
Firmware Update verwalten
Bei Aktivierung können die Firmware-Updates-Einstellungen definiert werden.
Automatische Updates auf der UTM aktivieren
Bei Aktivierung kann ein Zeitraum vorgegeben werden, in dem automatisch Updates durchführt werden.
Die UTM sucht selbständig nach Updates und lädt diese bei Verfügbarkeit herunter
Updates werden i.d.R. über einen Zeitraum von 1-2 Wochen verteilt Es ist möglich, daß eine UTM bereits über ein Update verfügt, während eine andere UTM im gleichen Netzwerk noch keines erhalten hat.
Die Updates werden im Regelfall nicht automatisch aktiviert. Mit der Funktion im USC-Portal wird ein Job im Portal erzeugt, der ein zeitgesteuertes Update auslöst.
Der Update-Job führt folgende Per SSH erreicht man das CLI mit dem Befehl spcli aus:
system upgrade dryrun
system upgrade confirm privacy
system upgrade confirm eula
system upgrade finalize
notempty
Während des Update-Vorgangs wird ein Neustart der UTM durchgeführt. Dabei werden alle Verbindungen zur UTM (z.B. VPN, SSH) unterbrochen.
notempty
Das Update wird durch den Job im Portal finalisiert. Das Update bleibt auch bei einem späteren Neustart erhalten.
Zeitraum
MoDiMiDoFrSaSo
Auswahl der Wochentage, an denen eine Aktualisierung durchgeführt werden kann notempty
Die Option 1x im Monat steht auf der UTM nicht zur Verfügung und wird hier daher nicht mehr angezeigt. Wurde die Option zuvor verwendet, wird sie weiter angewendet, bis im Portal oder auf der UTM ab v12.6.2 eine Änderung im Firmware-Update Bereich vorgenommen wird.
Ab 00:00 (UTC)
Zeitraum innerhalb dessen eine Aktualisierung ggf. durchgeführt werden soll
Das Update wird durch das Portal ausgelöst. Zur besseren Lastverteilung kann nur eine Stunde ausgewählt werden, innerhalb der der Prozess ausgelöst werden soll.
Die Uhrzeit wird in UTC angegeben. UTC verwendet keine Zeitzone!
Zusätzlicher Prüfungs-Endpunkt
notempty
Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Beschriftung
Wert
Beschreibung
URL
URL
Bevor ein Dryrun gestartet wird und auch nachdem ein Update installiert und gestartet worden ist (aber noch bevor das Update finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann. Hier kann ein weiterer Endpunkt (Hostnamen oder IP-Adresse und Port) angeben werden, dessen Erreichbarkeit ebenfalls getestet wird.
Es wird ein TCP Handshake zu einem Dienst auf dem angegebenen Server geprüft.
Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt (ggf. indem ein Rollback auf die vorherige Version durchgeführt wird).
Port
443
Cyber Defense Cloud
Cyber Defense Cloud
notempty
Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
Beschriftung
Wert
Beschreibung
Threat Intelligence Filter
Erlaubt bei Aktivierung die Konfiguration der Threat-Intelligence-Filter-Einstellungen
Verbindung protokolieren
Bei Aktivierung wird die Verbindung im Syslog protokoliert aber zugelassen
Verbindung protokolieren und blockieren
Bei Aktivierung wird die Verbindung im Syslog protokoliert und blockiert
Datenschutz
Datenschutz
notempty
Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
Beschriftung
Wert
Beschreibung
Reiter Datenschutz
Datenschutzeinstellungen verwalten
Erlaubt bei Aktivierung die Konfiguration der Datenschutzeinstellungen
Für alle Anwendungen aktivieren
Aktiviert die Anonymisierung des Logs für alle Anwendungen auf der UTM
Für jede Anwendung kann einzeln die Anonymisierung der Logs aktiviert werden.
Mögliche Anwendungen:
Authentifizierung Webinterface
Clientless VPN
DHCP-Server & -Relay
HTTP-Proxy
IPS Sperrungen
IPSEC
L2TP VPN
Mailfilter
Mailrelay
Paketfilter
Reverse-Proxy
SSH-Server
SSL-VPN
Securepoint UTM maintenance console
WLAN-Server
Fail2Ban
Fail2Ban
notempty
Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
Beschriftung
Wert
Beschreibung
Reiter Fail2Ban
Fail2Ban-Einstellungen verwalten
Erlaubt bei Aktivierung die Konfiguration der Fail2Ban-Einstellungen.
Der Fail2Ban Schutz bedeutet hierbei, dass IP-Adressen temporär gesperrt werden, wenn eine bestimmte Anzahl an fehlgeschlagenen Anmeldeversuchen überschritten wurde. Die Anzahl kann auf der UTM unter Anwendungen IDS/IPS konfiguriert werden.
SMTP
Bei Aktivierung wird der Schutz vor Brute-Force-Angriffen für den SMTP-Dienst aktiviert
SSH
Bei Aktivierung wird der Schutz vor Brute-Force-Angriffen für den SSH-Dienst aktiviert
Admin-Interface
Bei Aktivierung wird der Schutz vor Brute-Force-Angriffen für das Administrations-Webinterface aktiviert
User-Interface
Bei Aktivierung wird der Schutz vor Brute-Force-Angriffen für das Benutzer-Webinterface aktiviert
Cloud Shield
Cloud Shield
notempty
Neu ab: 2.8.6
notempty
Mit Securepoint Cloud Shield wird sichergestellt, dass Zugriffe auf potentiell gefährliche oder unerwünschte Webseiten blockiert werden.
Cloud Shield leitet alle DNS-Anfragen der Geräte über eigene, sichere Server, die verdächtige oder schädliche Domains anhand von regelmäßig aktualisierten Filterlisten blockieren.
notempty
Diese Einstellungen können nur auf UTMs ab Version 14.1 angewendet werden.
notempty
Wenn Cloud Shield auf der UTM aktiviert ist, werden alle direkt dort konfigurierten DNS- und DoT-Forwarder der UTM ignoriert.
Beschriftung
Wert
Beschreibung
Cloud Shield aktivieren
Wenn Cloud Shield aktiviert ist , kann ein Cloud Shield-Profil zugewiesen und über die Protokollierung der Gerätenamen entschieden werden.
Zusätzlich gibt es die Möglichkeit ein Fallback DNS zu erlauben.
Profil
Profil auswählen
Das Cloud Shield-Profil, das für die Cloud Shield-Konfiguration verwendet werden soll.
Das Profil muss vorab im Menüpunkt Unified Security Console Cloud Shield , siehe folgenden Wiki-Artikel, angelegt werden.
Das bedeutet, dass das Gerät in den Statistiken und Logs nicht identifiziert werden kann.
Geräte-Hostname
Verwendet den Hostnamen als Gerätenamen
Geräte-Alias
Verwendet den Geräte-Alias als Gerätenamen
Geräte ID
Verwendet die Geräte-ID als Gerätenamen
Fallback DNS erlauben
Default
Erlaubt bei Aktivierung im Falle eines Ausfalls des DNS-Servers die Nutzung der unverschlüsselten DNS-Auflösung ohne die Inanspruchnahme der Cloud Shield-Server
In diesem Fall erfolgt keine Filterung der Anfragen, sodass jeder Request zugelassen wird
Ist diese Option deaktiviert , kann im Falle eines Fehlers der gesamte Internetzugriff ausfallen.
Falls Fallback DNS erlauben deaktiviert ist und diese Einstellung über Speichern abgespeichert wird, öffnet sich ein Dialogfenster mit einem Warnhinweis (siehe obigen Punkt), indem dieser Vorgang mit dieser deaktivierten Einstellung bestätigt werden soll
Angezeigt bei bestehenden Profilen
Cloud Scheduler Log
Cloud Scheduler Log
Sobald sich eine UTM ein automatisches Update herunter geladen hat, meldet sie dieses an das Portal
Im Portal wird ein Job erstellt, der zur vorgegebenen Zeit das Update startet
Reiter Jobs
Ausgeführter Job mit Log
Veröffentlichungsstatus
Veröffentlichungsstatus
Log über den Status der Veröffentlichung des Profils auf die zugewiesenen UTMs.
Beschriftung
Wert
Beschreibung
Zeit
Zeigt das Datum und die Uhrzeit an, beidem das Profil veröffentlicht wird
Typ
Zeigt den Typ an, welcher ausgeführt wird
UTM
Zeigt die UTM an, an dem das Profil angewendet wird
Richtung
Zeigt die Richtung der Kommunikation an
In Nachricht vom Gerät zum Server
out Nachricht vom Server zum Gerät
Status
Zeigt den Status des ausgeführten Jobs an
Gesendet der übermittelte Job wurde an das Gerät gesendet oder das übermittelte UTM-Profil wurde gesendet
Erhalten das Gerät hat den übermittelten Job fehlerfrei erhalten
Bestätigt der übermittelte Job oder das übermittelte UTM-Profil wurde angewendet
Offline das Gerät ist offline
Ausstehend der übermittelte Job wurde noch nicht gesendet
Fehler in der Spalte Info wird der Fehler beschrieben
Im UTM-Menu ➊ die Option UTM-Profile aus der USC erlauben aktivieren ➋
