USC/Profile: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 13. März 2024, 10:41 Uhr

Profile für UTMs in der Unified Security Console

Letzte Anpassung zur Version: 1.23.1

Neu:

Hinweis, dass ab UTM-Version 12.6.2 die Nutzung von USC-Profilen erlaubt werden muss
Neue Einstellungen in den Profilen:
Automatische Aktualisierungen in Firmware-Updates umbenannt

Zuletzt aktualisiert:

03.2024

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

Funktionsbeschreibung

notempty Auf der UTM muss im Menü USP bei Unified Security Console & VPN-Konfiguration die Option UTM-Profile aus der USC erlauben aktiv Ja sein, damit USC-Profile auf UTMs angewendet werden können. Ab der UTM-Version 12.6.2	Video laden Vimeo Vimeo sammelt möglicherweise persönliche Daten. Datenschutzrichtlinie
Profile ermöglichen mehreren UTMs bestimmte Ereignisse zuzuweisen. Zu Beginn gibt es die Möglichkeit, ein automatisches Update durchführen zu lassen, wenn eine neue Version auf der UTM vorhanden ist.

Profile

Profil hinzufügen	Legt ein neues Profil an. Bestehende Profile können mit Klick auf die Profilkachel bearbeitet werden.
Allgemein Allgemein - Lokale Profile Lokale Profile
Beschriftung		Beschreibung	Profil Details
	Attribut auswählen	Auswahl des Attributs, das als Gerätename verwendet werden soll, um die Geräte in den Cloud Shield-Statistiken und Protokollen zu identifizieren
Priorität	5Default	Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
Mandantenübergreifendes Profil		Bleibt bei lokalen Profilen deaktiviert
	TTT-Point AG I TTT-Point AG II	In der Klickbox können verfügbare UTMs ausgewählt werden
		Das Profil wird allen UTMs zugewiesen, die über mindestens eines dieser Tags verfügen
Kommentar		Kommentarfeld für weitere Beschreibungen

Mandantenübergreifende Profile Allgemein - Mandantenübergreifende Profile Mandantenübergreifende Profile werden in der Übersicht als ebensolche gekennzeichnet. In den Mandanten selbst wird eine Kopie dieser Profile mit dem Merkmal Generiert angezeigt. Die Kopie kann nicht bearbeitet werden. Eine Bearbeitung ist nur in dem Profil möglich, in dem es erstellt wurde.
Beschriftung	Wert	Beschreibung	Mandantenübergreifendes Profil
	Attribut auswählen	Auswahl des Attributs, das als Gerätename verwendet werden soll, um die Geräte in den Cloud Shield-Statistiken und Protokollen zu identifizieren
Priorität	5Default	Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
Mandantenübergreifendes Profil		Dieses Profil wirkt auf den aktiven Tenant (Reseller oder übergeordnete Firma) und alle anschließend ausgewählten Mandanten
Mandanten	TTT-Point AG Westernhagen GmbH	Mandanten, auf die das Profil zusätzlich zum eigenen Tenant angewendet werden soll
Mandanten	Alle auswählen	Fügt alle Mandanten hinzu
	utms	Das Profil wird Mandantenübergreifend auf alle UTMs mit diesem Tag angewendet Per Default besitzen alle UTMs den Tag utms
Kommentar		Kommentarfeld für weitere Beschreibungen

notempty Neu ab: 1.23.1
	Bei Aktivierung kann ein Zeitraum angegeben werden, in dem die Boot-Konfiguration der UTM auf einem Securepoint-Cloud-Server gesichert wird. notempty Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Täglich ab: xx Uhr	00:00	Einstellung der Uhrzeit, bei der das Cloud-Backup startet.
Passwort	Passwort	Passwort, das für die Wiederherstellung des Backups erforderlich ist

Servereinstellungen Servereinstellungen notempty Neu ab: 1.23.1
notempty Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Firewall
Globaler Ansprechpartner		In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse		An diese hinterlegte E-Mail Adresse werden wichtige Systemmeldungen verschickt. Die angegebene E-Mail Adresse muss korrekt sein.
Sprache der Berichte	German	Die wichtigen Systemmeldungen werden in dieser Sprache versendet. Alternativ kann auch English ausgewählt werden.
DNS-Server
Nameserver vor lokalem Cache prüfen		Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1 als primärer Nameserver. Bei Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
Primärer Nameserver		An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll. Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind. notempty Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Sekundärer Nameserver		An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll. Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind. notempty Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
Zeiteinstellungen
		Die gewünschten NTP-Server können hier eintragen werden.
Zeitzone	Europe/Berlin	Die Zeitzone, in der sich die UTM befindet.

Administrativen Zugang freigeben für:		Für die Administration können Hostnamen, IP Adressen und Netzwerke freigeschaltet werden. Das Netzwerk mit der Zone "internal" ist immer freigeschaltet.

Globale GeoIP Globale GeoIP notempty Neu ab: 1.23.1
	Bei Aktivierung ist das Ablehnen von IP-Adressen als Quellen erlaubt notempty Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Quellen
Systemweit abgelehnte Quellen		IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden Hier hinterlegte Länder sind aktiv für das Quellen-GeoIP-Blocking Eine An-/Abwahl aller Länder ist über die entsprechenden Schaltflächen möglich notempty Neu ab: 2.5
Ausnahmen		Hier hinterlegte IPs werden vom Quellen-GeoIP-Blocking ausgenommen.
Ziele
Systemweit abgelehnte Ziele		IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden Hier hinterlegte Länder sind aktiv für das Ziel-GeoIP-Blocking Eine An-/Abwahl aller Länder ist über die entsprechenden Schaltflächen möglich notempty Neu ab: 2.5
Ausnahmen		Hier hinterlegte IPs werden vom Ziel-GeoIP-Blocking ausgenommen.

Globale VPN-Einstellungen Globale VPN-Einstellungen notempty Neu ab: 1.23.1
notempty Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
Primärer Nameserver		Primärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird.
Sekundärer Nameserver		Sekundärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird.


Firmware Update verwalten	Bei Aktivierung können die Firmware-Updates-Einstellungen definiert werden. notempty Ab UTM-Version 12.6.2 wird durch die Profile die Einstellung für automatische Updates auf der UTM konfiguriert. Für diese UTM-Versionen besteht die Möglichkeit einzustellen, dass ein zusätzlicher Endpunkt erreichbar sein muss, bevor die neue UTM-Version nach dem Probelauf finalisiert wird. notempty Für UTMs mit einer älteren Version wird das Update über die Unified Security Console angestoßen. Bei dieser Art der Aktualisierung kann kein zusätzlicher Prüfungsendpunkt für die Finalisierung angegeben werden. Die UTM wird nach dem Probelauf und dem Aufbau der Cloud-Verbindung automatisch finalisiert.		Reiter Automatische Aktualisierungen
Automatische Updates auf der UTM aktivieren	Bei Aktivierung kann ein Zeitraum vorgegeben werden, in dem automatisch Updates durchführt werden. Die UTM sucht selbständig nach Updates und lädt diese bei Verfügbarkeit herunter Updates werden i.d.R. über einen Zeitraum von 1-2 Wochen verteilt Es ist möglich, daß eine UTM bereits über ein Update verfügt, während eine andere UTM im gleichen Netzwerk noch keines erhalten hat. Die Updates werden im Regelfall nicht automatisch aktiviert. Mit der Funktion im USC-Portal wird ein Job im Portal erzeugt, der ein zeitgesteuertes Update auslöst. Der Update-Job führt folgende Per SSH erreicht man das CLI mit dem Befehl spcli aus: system upgrade dryrun system upgrade confirm privacy system upgrade confirm eula system upgrade finalize notempty Während des Update-Vorgangs wird ein Neustart der UTM durchgeführt. Dabei werden alle Verbindungen zur UTM (z.B. VPN, SSH) unterbrochen. notempty Das Update wird durch den Job im Portal finalisiert. Das Update bleibt auch bei einem späteren Neustart erhalten.
Zeitraum	Mo Di Mi Do Fr Sa So	Auswahl der Wochentage, an denen eine Aktualisierung durchgeführt werden kann notempty Die Option 1x im Monat steht auf der UTM nicht zur Verfügung und wird hier daher nicht mehr angezeigt. Wurde die Option zuvor verwendet, wird sie weiter angewendet, bis im Portal oder auf der UTM ab v12.6.2 eine Änderung im Firmware-Update Bereich vorgenommen wird.
Zeitraum	von 00:00 (UTC)	Zeitraum innerhalb dessen eine Aktualisierung ggf. durchgeführt werden soll Das Update wird durch das Portal ausgelöst. Zur besseren Lastverteilung kann nur eine Stunde ausgewählt werden, innerhalb der der Prozess ausgelöst werden soll. Die Uhrzeit wird in UTC angegeben. UTC verwendet keine Zeitzone!

Zusätzlicher Prüfungs-Endpunkt Zusätzlicher Prüfungs-Endpunkt notempty Neu ab: 1.23.1
notempty Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
URL	URL	Bevor ein Dryrun gestartet wird und auch nachdem ein Update installiert und gestartet worden ist (aber noch bevor das Update finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann. Hier kann ein weiterer Endpunkt (Hostnamen oder IP-Adresse und Port) angeben werden, dessen Erreichbarkeit ebenfalls getestet wird. Es wird ein TCP Handshake zu einem Dienst auf dem angegebenen Server geprüft. Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt (ggf. indem ein Rollback auf die vorherige Version durchgeführt wird).
Port	443

Cloud Scheduler Log Cloud Scheduler Log
Der Reiter Cloud Scheduler Log (früher: Jobs)wird nur bei bestehenden Profilen angezeigt Sobald sich eine UTM ein automatisches Update herunter geladen hat, meldet sie dieses an das Portal Im Portal wird ein Job erstellt, der zur vorgegebenen Zeit das Update startet		Reiter Jobs Ausgeführter Job mit Log

Speichern	Speichert die Angaben und schließt den Dialog
Schließen	Schließt den Dialog ohne die Angaben zu speichern

@@ Zeile 54: / Zeile 54: @@
 |-
 ! {{#var:cap}} !! {{#var:cal}} !! {{#var:desc}}
-| class="Bild" rowspan="7" | {{Bild |  {{#var:Profile--Bild}}|{{#var:Profile--cap}} }}
+| class="Bild" rowspan="8" | {{Bild |  {{#var:Profile--Bild}}|{{#var:Profile--cap}} }}
 |-
 | {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available }} || {{#var:Name--desc}}
+|-
+| {{b|{{#var:Priorität}} }} || {{ic|5|class=available}}<small>'''Default'''</small> || {{#var:Priorität--desc}}
 |-
 | {{b|{{#var:Mandantenübergreifendes Profil }} }} || {{ButtonAus}} || {{#var:Lokale Profile--desc}}
@@ Zeile 71: / Zeile 73: @@
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="8" | {{Bild |  {{#var:Mandantenübergreifendes Profil--Bild}}|{{#var:Mandantenübergreifendes Profil--cap}} }}
+| class="Bild" rowspan="9" | {{Bild |  {{#var:Mandantenübergreifendes Profil--Bild}}|{{#var:Mandantenübergreifendes Profil--cap}} }}
 |-
 | {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available }} || {{#var:Name--desc}}
+|-
+| {{b|{{#var:Priorität}} }} || {{ic|5|class=available}}<small>'''Default'''</small> || {{#var:Priorität--desc}}
 |-
 | {{b|{{#var:Mandantenübergreifendes Profil }} }} || {{ButtonAn}} || {{#var:Mandantenübergreifendes Profil--desc}}

Version vom 13. März 2024, 10:41 Uhr

Funktionsbeschreibung

Profile

Allgemein

Lokale Profile

Mandantenübergreifende Profile

Servereinstellungen

Firewall

DNS-Server

Zeiteinstellungen

Globale GeoIP

Globale VPN-Einstellungen

Zusätzlicher Prüfungs-Endpunkt

Cloud Scheduler Log