KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt) | |||
| Zeile 65: | Zeile 65: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Einblenden| {{#var:Endkundenlogin für USC konfigurieren}} | {{#var:hide}} |bigdezent}} | {{Einblenden| {{#var:Endkundenlogin für USC konfigurieren}} | {{#var:hide}} |bigdezent}} | ||
{{:MS/Login-Endkunden}} | {{:MS/Login-Endkunden|TOC=TOC4}} | ||
<br clear=all> | <br clear=all> | ||
</div></div><span | </div></div><span> | ||
Aktuelle Version vom 19. September 2025, 08:34 Uhr
UTM über die Unified Security Console konfigurieren
Letzte Anpassung zur Version: 2.7
Neu:
- Neuer Abschnitt: Detaillierte Berechtigungen
- Neues Label in den Status Anzeigen: Cloud Shield
- Rollback erfordert die Websession PIN
- Abschnitt Vorbereitungen aktualisiert
- Bemerkung, dass UTMs mit abgelaufenen Lizenzen nicht angezeigt werden
Dieser Artikel bezieht sich auf eine Beta-Version
Voraussetzungen
- Hardware und VM: Es wird mindestens die Version 12.2 benötigt, außerdem muss eine aktuelle Lizenz vorliegen.
- Es wird ein Benutzerzugang aus dem Resellerportal benötigt.
Um auch Änderungen vornehmen zu können, ist es erforderlich, den Benutzerzugang bei der ersten Anmeldung im Unified Security Portal zu verknüpfen.
- Die Lizenz muss einer UTM eindeutig zuzuordnen sein
- Cluster Lizenzen müssen neu aus dem Resellerportal geladen und dem Master bzw. der Spare separat zugewiesen werden, damit diese in der USC eindeutig sind.
- Die UTM muss Zugriff per https auf die Unified Security Infrastruktur haben
(Ausnahme: Die Funktion Security Scan)
Es wird keine Verbindung von Außen zur UTM aufgebaut
Die UTM meldet sich selber im Unified Security Portal und ruft Konfigurationsänderungen und Befehle ab.
Die Einstellungen im Portal werden daher nicht in Echtzeit, sondern mit einer kleinen Verzögerung ausgeführt.
Vorbereitungen
Einstellungen und Berechtigungen der UTM für die Unified Security Console
|
notempty Hinweis für Cluster-Lizenzen Damit beide Clustermitglieder einander zugeordnet werden können, müssen auf beiden Geräten spezielle, neue Lizenzen registriert werden. Menü Schaltfläche Dazu müssen im Resellerportal zwei Lizenzen herunter geladen werden. Sollte im Resellerportal keine Lizenz als xynnnnn-SPARE gekennzeichnet sein (zusammengehörige Lizenzen haben am linken Tabellenrand eine identische Farbmarkierung) bitte eine E-Mail an lizenzen@securepoint.de senden mit Kundennamen, Kundennummer und den Seriennummern der Geräte bzw. bei VMs mit der Lizenz ID. Der Zugriff über die Unified Security Console muss zunächst in der UTM im Menü selbst freigeschaltet werden. Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird. Der Vorgang kann verkürzt werden, indem nach einigen Minuten Laufzeit (die UTM muss die Gelegenheit gehabt haben, sich beim Lizenzserver zu melden!) auf dem CLI der Befehl system restrictions update ausgeführt wird. |
UTMbenutzer@firewall.name.fqdn 
| ||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Datenschutzerklärung: | Ja | Der Datenschutzerklärung muss zugestimmt werden | |
| Aktiviert: | Ja | Hiermit wird die Unified Security Console - und damit die Anzeige, Konfiguration und der Zugriff über das Securepoint Unified Security Portal aktiviert. | |
| Authentifizierungsmethode: | Authentifizierungsmethode für eine Websession | ||
| PIN: | •••••••• | Als Authentifizierung für eine Websession kann eine 6-stellige PIN statt der Loginmaske mit Zugangsdaten gewählt werden.
| |
| Zeigt die Websession PIN an | |||
| Erstellt eine neue PIN | |||
| Die eingegebene PIN ist falsch | Nach 5 (Default-Wert Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5" Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden. | ||
Aktionen, die nur mit PIN ausführbar sind:
| |||
Detaillierte Berechtigungen
| Auf der UTM unter Berechtigungen können detailliert die Berechtigungen der Unified Security Console für die UTM aktiviert Ein oder deaktiviert Aus werden: | ||
| USC Berechtigung | Beschreibung |  |
|---|---|---|
| Status | Einsicht in System- und Speicherauslastung über die USC zulassen | |
| PIN-geschützte Aktionen | PIN-geschützte Aktionen aus der USC zulassen. Dazu gehören:
| |
| Einmaliges Update | Konfiguration von einmaligen Updates aus der USC zulassen | |
| Websession | Öffnen einer Websession zum Zugriff auf die UTM-Konfigurationsoberfläche aus der USC zulassen | |
| Security Scan | Security Scan zur Aufdeckung von Fehlkonfigurationen aus der USC zulassen | |
| UTM-Profile | Anwendung von UTM-Profilen aus der USC zulassen. Kann durch die folgenden Berechtigungen präziser Konfiguriert werden: | |
| Öffnen | Mittels dieses Icons neben UTM-Profile werden die einzelnen UTM-Profilreiter eingeblendet, die dann individuell aktiviert
Ein oder deaktiviert Aus werden können
| |
| Cloud-Backup | Konfiguration von Cloud-Backups über die USC zulassen | |
| Systemmeldungen | Festlegung des Empfängers von Systemmeldungen über die USC zulassen | |
| DNS-Server | Konfiguration der externen DNS-Server über die USC zulassen | |
| Zeit-Einstellungen | Einstellung von NTP-Server und Zeitzone über die USC zulassen | |
| Administration | Konfiguration der administrativen Zugriffe über die USC zulassen Hostname, IP-Adressen oder Netzwerke von denen aus das Adminstations-Interface der UTM aufgerufen werden darf. Konfiguration auf der UTM im Menü Bereich Adminstration | |
| Systemweite GeoIP Sperrungen | Blockierung von IPs auf Länderbasis über die USC zulassen | |
| Firmware-Updates | Konfiguration von regelmäßigen automatischen Updates über die USC zulassen | |
| TIF (Cyber Defense Cloud) | IP-Zugriffe auf potentiell gefährliche Gegenstelle protokollieren oder blocken über die USC zulassen | |
| Datenschutz | Konfiguration der Anonymisierung von UTM-Anwendungen über die USC zulassen | |
| Fail2Ban | Konfiguration von Fail2Ban über die USC zulassen | |
| Cloud Shield | Konfiguration von Cloud Shield über die USC zulassen | |
Löscht die lokale Cloud Shield-Konfiguration Die Konfiguration erfolgt normalerweise über die USC, um die Synchronität sicherzustellen, und sollte nur in Ausnahmefällen an dieser Stelle vorgenommen werden. Wenn Cloud Shield wieder aktiviert weden soll, muss sichergestellt sein, dass die Berechtigung auf UTM-Seite gesetzt ist. Im USC muss dann durch eine Änderung des Cloud Shield- oder UTM-Profils eine erneute Übertragung der Konfiguration an die UTM ausgelöst werden. | ||
| VPN-Konfiguration (ASC) | Anwendung von VPN-Konfigurations-Profilen aus der USC zulassen | |
| Mithilfe dieser Schaltfläche können alle VPN Konfigurationen für diese UTM gelöscht werden. | ||
USC im Portal
Hinweis zur Zwei-Faktor-Authentifizierung
USP-Administratoren sind verpflichtet, die Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsmaßnahme zu verwenden.
Ist die Zwei-Faktor-Authentifizierung in Ihrem Benutzerkonto nicht aktiviert, ist der Login in das USP bis zur Aktivierung der Zwei-Faktor-Authentifizierung gesperrt.
Ist die Zwei-Faktor-Authentifizierung in Ihrem Benutzerkonto nicht aktiviert, ist der Login in das USP bis zur Aktivierung der Zwei-Faktor-Authentifizierung gesperrt.
Aktivierung der Zwei-Faktor-Authentifizierung
Die Aktivierung der Zwei-Faktor-Authentifizierung ist abhängig von der Art des Benutzerkontos:
- Ist das Benutzerkonto mit dem Resellerportal verknüpft, das Label RSP ist beim Benutzerkonto zu sehen, wird die Zwei-Faktor-Authentifizierung über das Resellerportal aktiviert
- Der Wiki-Artikel Reseller Portal Benutzerverwaltung beschreibt den Aktivierungsvorgang der Zwei-Faktor-Authentifizierung TOTP
- Ist das Benutzerkonto nur im Portal vorhanden, erfolgt die Aktivierung über die Benutzer-Option Passwort zurücksetzen
- Eine Weiterleitung zur notwendigen 2FA-Aktivierung findet über die Schaltfläche 2FA aktivieren im Informationsdialog statt
Abb.1
- Folgende E-Mail erhält der Benutzer
- Dort auf den Link hier klicken
Abb.2
Abb.3
Anmeldung am Portal
Mit einem Reseller-Konto anmelden
| ||
Über die Schaltfläche Anmelden ist es möglich sich mit einem Resellerportal-Konto in das Unified Security Portal USP anzumelden
|
 | |
| Ist das angemeldete RSP-Konto noch nicht im USP als Benutzer vorhanden, so öffnet sich ein Dialogfenster, indem es möglich ist den RSP-Benutzer im USP als Benutzer hinzuzufügen
notempty Für RSP-Nutzer mit den Rollen Reseller und Endkunde notempty Neu ab: 2.10
| ||
Mit Securepoint Unified Security Konto anmelden | ||
| Damit Endkunden sich im Portal anmelden können sind nur wenige Schritte notwendig: | ||
| ||
| zu finden im URL als Nummer hinter dem Begriff tenant. https://portal.securepoint.cloud/…-tenant-123456.sms-… → 123456.sms | ||
| Passwort vergessen? | Über diesen Link wird ein Dialog geöffnet, über dem es möglich ist, das Passwort zurückzusetzen. Es wird dabei eine Passwort-Reset-Email dem Benutzer zugesendet. | |
Es sind keine Angaben zu anderen Kunden des Resellers einsehbar. | ||
Zwei-Faktor-Authentifizierung | ||
| Nach erfolgreicher Eingabe der Anmeldedaten erscheint ein Eingabedialog des TOTP der Zwei-Faktor-Authentifizierung. Nach korrekter Eingabe des TOTP erfolgt automatisch die Anmeldung auf dem Portal. |
 | |
USC aufrufen
Der Aufruf der Unified Security Console erfolgt über das Securepoint Unified Security Portal unter https://portal.securepoint.cloud
Ein Klick auf die Gerätekachel öffnet die Geräte-Details.
Securepoint empfiehlt einen eindeutigen Namen nach einer klaren Struktur zu vergeben.
Status Anzeigen
Status Anzeigen in Kachelübersicht:
| Status | Beschreibung |
|---|---|
| Verbunden | Die UTM kann das USC-Portal erreichen |
| Getrennt | Das Portal erhält keine Meldung von der UTM |
| USC aktiv | Ist aktiv, wenn auf der UTM im Menü der Dienst Unified Security Console aktiviert ist. |
| USR aktiv | Unified Security Report ist konfiguriert und wird versendet |
| Update verfügbar | Es liegt ein Update auf der UTM vor, das installiert werden kann |
| Update dringend empfohlen! | Es liegt ein Sicherheits-Update vor das umgehend installiert werden sollte! |
| Cluster a1b2 | Gerät gehört zu einer Cluster-Lizenz. Über die ID lassen sich zusammengehörige Cluster-Lizenzen eindeutig identifizieren. Die Hex-Zahl entspricht den ersten 4 Stellen der license_cluster_id, zu finden mit dem CLI-Befehl system info |
| VPN | Die UTM befindet sich in der VPN-Konfiguration (Adaptive Secure Connect ASC) |
| Cloud Shield | Für die UTM ist Cloud Shield konfiguriert |
Detail-Anzeige
Die Detailanzeige ermöglicht einen Überblick über die wichtigsten Zustände und Meldungen zur UTM:
- Hard- und Software der UTM
- Meldungen des Unified Security Reports (falls diese Option im Resellerportal gebucht wurde)
- Eine Übersicht mit Angaben zum Hardware-Status:
- Arbeitsspeichernutzung
- CPU Auslastung
- Verwendeter Festplattenspeicher
- Angaben zu Upgrade- / Rollbackmöglichkeiten
- Anzeige des Gerätestandortes in einer Karte (manuelle Erfassung, keine Ortung)
- Informationen zur Lizenz
- Angaben aus dem Resellerportal zum Unternehmen, das der Lizenz zugeordnet ist
Operationen Operationen | |||||||||||||||
| Gerät | |||||||||||||||
| Aktion | Beschreibung | 
| |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Neustarten PIN erforderlich | Führt einen Neustart der UTM aus | ||||||||||||||
| Herunterfahren PIN erforderlich | Fährt die UTM herunter | ||||||||||||||
| Firmware | |||||||||||||||
| Werkseinstellungen wiederherstellen PIN erforderlich | Stellt die Werkseinstellungen wieder her | ||||||||||||||
| Rollback zu der Version 12.x.y PIN erforderlich notempty Neu ab UTM Version 14.1.0 |
Führt ein Rollback auf die zuvor installierte Version aus. Ist USC aktiv, wird die PIN abgefragt. | ||||||||||||||
| Einmaliges Update planen | Ein einmaliges Firmware-Update lässt sich planen
Einmalige Updates über die USC lassen sich auf der UTM verbieten im Menü Bereich USC Permissions Eintrag Einmaliges Update Spalte Aktivieren Schaltfläche Nein Regelmäßige Updates lassen sich in den UTM-Profilen konfigurieren. Dieser Wiki-Artikel beschreibt diese Konfiguration. | ||||||||||||||
| PIN für die aktuelle Sitzung merken Verfügbar in Neustarten Herunterfahren Werkseinstellungen wiederherstellen |
In diesem Dialogfenstern ist es möglich die PIN für diese Sitzung zu merken. Wird dies aktiviert , wird die PIN automatisch bei anderen Dialogen eingetragen und der Schieberegler wird nicht mehr angezeigt. Wird die PIN dabei falsch eingetragen, erfolgt keine Speicherung. | ||||||||||||||
Cluster Cluster | |||||||||||||||
| Angaben zum Cluster: Cluster-UUID, Status, Cluster-Version (Firmware-Version des Cluster-Partners), Synchronisations-Status und Lizenz-Seriennummer Mit Klick auf Zur anderen Cluster UTM gehen gelangt man zum jeweils anderen Cluster-Partner. Damit beide Clustermitglieder einander zugeordnet werden können, müssen auf beiden Geräten spezielle, neue Lizenzen registriert werden. Menü Schaltfläche Dazu müssen im Resellerportal zwei Lizenzen herunter geladen werden. Sollte im Resellerportal keine Lizenz als xynnnnn-SPARE gekennzeichnet sein (zusammengehörige Lizenzen haben am linken Tabellenrand eine identische Farbmarkierung) bitte eine E-Mail an lizenzen@securepoint.de senden mit Kundennamen, Kundennummer und den Seriennummern der Geräte bzw. bei VMs mit der Lizenz ID. |
 | ||||||||||||||
Websession Websession | |||||||||||||||
| Neue Websession starten | Öffnet den Dialog , um die administrative Weboberfläche der UTM zu starten |  | |||||||||||||
Websession mit PINnotemptyWebsession mit PIN (UTM ab v12.5.1) | |||||||||||||||
| admin | Gibt es keinen Benutzer mit dem Namen admin, kann hier ein Benutzer mit Adminrechten ausgewählt werden, mit dem die Websession Verbindung gestartet werden soll. |  | |||||||||||||
| _ _ _ _ _ _ | Websession PIN (Konfiguriert auf der UTM im Menü im Abschnitt Unified Security Console Nach Eingabe der PIN kann per ↵ Enter die Websession direkt gestartet werden. | ||||||||||||||
| notempty Neu ab: 1.27 | |||||||||||||||
| PIN für die aktuelle Sitzung merken notempty Neu ab 1.30 |
In diesem Dialogfenstern ist es möglich die PIN für diese Sitzung zu merken. Wird dies aktiviert , wird die PIN automatisch bei anderen Dialogen eingetragen und der Schieberegler wird nicht mehr angezeigt. Wird die PIN dabei falsch eingetragen, erfolgt keine Speicherung. | ||||||||||||||
| Die eingegebene PIN ist falsch | Nach 5 (Default-Wert Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5" Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden. | ||||||||||||||
| Neue Websession starten | Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers | ||||||||||||||
Websession mit LoginmaskenotemptyWebsession mit Loginmaske (UTM ab v12.5.1) | |||||||||||||||
| Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist. |  | ||||||||||||||
| Da die Websession-PIN deaktiviert ist, kann keine automatische Anmeldung erfolgen. Es sind Zugangsdaten (Benutzername und Passwort) erforderlich. | |||||||||||||||
| Neue Websession starten | Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers | ||||||||||||||
Websession mit UTM bis v12.5.0notempty Ein Update auf die aktuellste Version wird empfohlen
| |||||||||||||||
Cloud-Backup Cloud-Backup | |||||||||||||||
Angabe folgender Werte:
|
 | ||||||||||||||
| Herunterladen | Lädt das Backup lokal herunter | ||||||||||||||
| Wiederherstellen PIN erforderlich | Stellt die ausgewählte Konfiguration wieder her. In der Konfigurationsverwaltung im Admin-Interface der UTM kann diese anschließend als aktive bzw. als Start-Konfiguration gesetzt werden. | ||||||||||||||
| Löschen | Löscht das Konfigurations-Backup | ||||||||||||||
| Operationen | |||||||||||||||
| Öffnet einen Dialog zum Erstellen eines neuen Passwortes | |||||||||||||||
| Erstellt ein Konfigurationsbackup | |||||||||||||||
Operationen Log Operationen Log | |||||||||||||||
| Log der Kommunikation zwischen UTM und der Unified Security Infrastruktur Der Status der übermittelten UTM-Profile wird hier ebenfalls geloggt |
 | ||||||||||||||
| Zeit | Zeigt das Datum und die Uhrzeit an, beidem der Job ausgeführt wird | ||||||||||||||
| Job | Zeigt den Job an, welcher ausgeführt wird Der angezeigte Job wird detaillierter beschrieben | ||||||||||||||
| Profil | Zeigt das UTM-Profil an, an dem der Job durchgeführt wird | ||||||||||||||
| Richtung | Zeigt die Richtung der Kommunikation an
| ||||||||||||||
| Status | Zeigt den Status des ausgeführten Jobs an
| ||||||||||||||
| Info | Zeigt weitere Informationen zum übermittelten Job an. Sollte ein Fehler aufgetreten sein, wird hier die Art des Fehlers beschrieben. | ||||||||||||||
| Aktionen | Hier angezeigte Aktionen können ausgeführt werden | ||||||||||||||
Anwendungen Anwendungen | |||||||||||||||
| Zeigt den Status der Anwendungen auf der UTM mit möglichen Aktionen. Die Tabelle lässt sich mit Klick auf die jeweilige Spalte nach Anwendungsname oder Status sortieren. | |||||||||||||||
| Status DOWN | Die Anwendung ist nicht aktiv |  | |||||||||||||
| Status UP | Die Anwendung ist aktiv | ||||||||||||||
| Status N/A | Die Anwendung ist auf dieser UTM nicht verfügbar | ||||||||||||||
| Start | Startet die Anwendung | ||||||||||||||
| Neustart | Stoppt die Anwendung und führt einen Neustart durch | ||||||||||||||
| Stop | Stoppt die Anwendung | ||||||||||||||
Status Status | |||||||||||||||
Zeigt Auslastung und Verbrauch im zeitlichen Verlauf für
|
 | ||||||||||||||
Security Scan Security Scan | |||||||||||||||
| Neuen Scan starten | Startet den Dialog zum Port-Scan |   | |||||||||||||
| IP-Adresse | 192.0.2.192 Öffentliche IP-Adresse, die gescannt werden soll. Werden mehrere Schnittstellen mit öffentlichen IP-Adressen identifiziert, die von Außen erreichbar sind, kann für jede Schnittstelle ein separates Ergebnis angezeigt werden. | ||||||||||||||
| Profil Securepoint TOP 100 (TCP) |
Ein Klick auf den Profileintrag zeigt die Liste der Ports, die gescannt werden mit Anwendungen und Diensten, die diesen Port für gewöhnlich verwenden. | ||||||||||||||
| Details anzeigen | Zeigt offene Ports an sowie Anwendungen und Dienste, die diese für gewöhnlich nutzen. | ||||||||||||||
Inventar Inventar | |||||||||||||||
Hier lassen sich Angaben zum Gerät und (für Geräte mit SIM-Karte) zum Vertrag speichern:
|
 | ||||||||||||||
Fehlermeldung / Troubleshooting
| Fehler | Lösung |
|---|---|
| UTM wird nicht in der USC angezeigt |
|