Wechseln zu:Navigation, Suche
Wiki

Profile für UTMs im USC Portal

Aus Securepoint Wiki





































































































































De.png
En.png
Fr.png









Profile für UTMs in der Unified Security Console

Letzte Anpassung zur Version: 2.2(02.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: portal.securepoint.cloud  Unified Security Console Profile


Funktionsbeschreibung

notempty
Ab der UTM-Version 12.6.2 muss auf der UTM im Menü USC bei Unified Security Console die Option USC-Profile anwenden aktiv Ja sein, damit USC-Profile auf UTMs angewendet werden können.

Thumbnail for

Video laden
Vimeo
Video: UTM Update Management
Profile ermöglichen mehreren UTMs bestimmte Ereignisse zuzuweisen.
Zu Beginn gibt es die Möglichkeit, ein automatisches Update durchführen zu lassen, wenn eine neue Version auf der UTM vorhanden ist.


Profile

 Profil hinzufügen Legt ein neues Profil an.
Bestehende Profile können mit Klick auf die Profilkachel bearbeitet werden.

Allgemein

Allgemein  - Lokale Profile
Lokale Profile
Beschriftung Wert Beschreibung USC v2.1 UTM-Profile Allgemein.png
Profil Details
Name Update Werktags 5 Uhr Aussagekräftiger Name, der in der Profilkachel angezeigt wird
Priorität 5Default Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
Mandantenübergreifendes Profil    Bleibt bei lokalen Profilen deaktiviert
UTMs
TTT-Point AG I TTT-Point AG II In der Klickbox können verfügbare UTMs ausgewählt werden
  • Bei der Zuordnung einer primären Cluster-UTM notempty
    (möglich ab Portal-Version 2.1)
    ist eine manuelle Synchronisation der anderen Cluster-UTM notwendig, um Inkonsistenzen zu vermeiden. Hier sollte nur die primäre UTM eines Clusters zugewiesen werden.
    • Tags     Das Profil wird allen UTMs zugewiesen, die über mindestens eines dieser Tags verfügen
    Kommentar     Kommentarfeld für weitere Beschreibungen
    Mandantenübergreifende Profile
    Allgemein  - Mandantenübergreifende Profile

  • Mandantenübergreifende Profile werden in der Übersicht als ebensolche gekennzeichnet.
    In den Mandanten selbst wird eine Kopie dieser Profile mit dem Merkmal Generiert angezeigt. Die Kopie kann nicht bearbeitet werden. Eine Bearbeitung ist nur in dem Profil möglich, in dem es erstellt wurde.
    • Beschriftung Wert Beschreibung USC v1.28 Profile Allgemein Cross-Tenant.png
    Mandantenübergreifendes Profil
    Name Update Werktags 5 Uhr Aussagekräftiger Name, der in der Profilkachel angezeigt wird
    Priorität 5 Je höher die Nummer, desto höher ist die Priorität. Diese wird nur genutzt, wenn ein Gerät mehreren Profilen zugewiesen ist.
    Mandantenübergreifendes Profil    Dieses Profil wirkt auf den aktiven Tenant (Reseller oder übergeordnete Firma) und alle anschließend ausgewählten Mandanten
    Mandanten TTT-Point AG Westernhagen GmbH Mandanten, auf die das Profil zusätzlich zum eigenen Tenant angewendet werden soll
     Alle auswählen Fügt alle Mandanten hinzu
    Tags utms Das Profil wird Mandantenübergreifend auf alle UTMs mit diesem Tag angewendet
  • Per Default besitzen alle UTMs den Tag utms
    • Kommentar     Kommentarfeld für weitere Beschreibungen

    Cloud-Backup

    Cloud-Backup
    Cloud-Backup verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der Cloud-Backup-Einstellungen
    Beschriftung Wert Beschreibung USC v1.28 Profile Cloud-Backup.png
    Aktiviere Cloud-Backup auf der UTM    Bei Aktivierung kann ein Zeitraum angegeben werden, in dem die Boot-Konfiguration der UTM auf einem Securepoint-Cloud-Server gesichert wird. notempty
    Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
    Täglich ab: xx Uhr 00:00 Einstellung der Uhrzeit, bei der das Cloud-Backup startet.
    Passwort Passwort Passwort, das für die Wiederherstellung des Backups erforderlich ist

    Servereinstellungen

    Servereinstellungen
    notempty
    Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
    Firewall
    Firewall verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der Firewall-Einstellungen
    Beschriftung Wert Beschreibung USC v2.2 UTM-Profile Servereinstellungen Firewall.png
    Globaler Ansprechpartner     In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
    Globale E-Mail Adresse     An diese hinterlegte E-Mail Adresse werden wichtige Systemmeldungen verschickt. Die angegebene E-Mail Adresse muss korrekt sein.
    Sprache der Berichte German Die wichtigen Systemmeldungen werden in dieser Sprache versendet.
    Alternativ kann auch English ausgewählt werden.

    DNS-Server
    DNS-Server verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der DNS-Server-Einstellungen
    Beschriftung Wert Beschreibung USC v2.2 UTM-Profile Servereinstellungen DNS.png
    Nameserver vor lokalem Cache prüfen    Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1 als primärer Nameserver.
    Bei Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
    Primärer Nameserver     An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
  • Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind.
    • notempty
    Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.
    Sekundärer Nameserver     An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
  • Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind.
    • notempty
    Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.

    Zeiteinstellungen
    Zeit verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der Zeit-Einstellungen
    Beschriftung Wert Beschreibung USC v2.2 UTM-Profile Servereinstellungen NTP.png
    NTP-Server
    		Die gewünschten NTP-Server können hier eintragen werden.
  • Das Eintragen einer IP-Adresse kann Probleme mit DNS over TLS und DNSSEC vermeiden.
    • Zeitzone Europe/Berlin Die Zeitzone, in der sich die UTM befindet.

    Administration
    Administrations verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der Administrations-Einstellungen
    Beschriftung Wert Beschreibung USC v2.2 UTM-Profile Servereinstellungen Administration.png
    Administrativen Zugang freigeben für: Für die Administration können Hostnamen, IP Adressen und Netzwerke freigeschaltet werden. Das Netzwerk mit der Zone "internal" ist immer freigeschaltet.

    Globale GeoIP

    Globale GeoIP
    GeoIP verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der GeoIP-Einstellungen notempty
    Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
         		USC v1.28 Profile Globale-GeoIP.png
    Aktiviere Quellen-GeoIP-Blocking
          		 Aktiviert das Ablehnen von IP-Adressen als Quellen
    Quellen
    Quellen
    Systemweit abgelehnte Quellen     IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden. Hier hinterlegte Länder sind aktiv für das Quellen-GeoIP-Blocking.
    Ausnahmen     Hier hinterlegte IPs werden vom Quellen-GeoIP-Blocking ausgenommen.

    Aktiviere Ziel-GeoIP-Blocking
      
    Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
    Ziele
    Ziele
    Systemweit abgelehnte Ziele     IP-Adressen können über die zugehörigen IP-Netze, den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden. Hier hinterlegte Länder sind aktiv für das Ziel-GeoIP-Blocking.
    Ausnahmen     Hier hinterlegte IPs werden vom Ziel-GeoIP-Blocking ausgenommen.

    Globale VPN-Einstellungen

    Globale VPN-Einstellungen
    Globale-VPN verwalten
           		Erlaubt bei Aktivierung    die Konfiguration der globalen VPN-Einstellungen notempty
    Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
    Primärer Nameserver     Primärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird. USC v1.28 Profile Globale-VPN-Einstellungen.png
    Sekundärer Nameserver     Sekundärer Nameserver welcher für die VPN-Tunnel-Clients benutzt wird.

    Firmware-Updates

    Firmware-Updates
    Firmware Update verwalten   
    		 Bei Aktivierung können die Firmware-Updates-Einstellungen definiert werden. USC v1.28 Profile Firmware-Updates.png
    Reiter Automatische Aktualisierungen
    Automatische Updates auf der UTM aktivieren Bei Aktivierung    kann ein Zeitraum vorgegeben werden, in dem automatisch Updates durchführt werden.
    • Die UTM sucht selbständig nach Updates und lädt diese bei Verfügbarkeit herunter
  • Updates werden i.d.R. über einen Zeitraum von 1-2 Wochen verteilt
    Es ist möglich, daß eine UTM bereits über ein Update verfügt, während eine andere UTM im gleichen Netzwerk noch keines erhalten hat.
    • Die Updates werden im Regelfall nicht automatisch aktiviert.
      Mit der Funktion im USC-Portal wird ein Job im Portal erzeugt, der ein zeitgesteuertes Update auslöst.
    • Der Update-Job führt folgende Per SSH erreicht man das CLI mit dem Befehl spcli aus:
      • system upgrade dryrun
      • system upgrade confirm privacy
      • system upgrade confirm eula
      • system upgrade finalize

        notempty

        Während des Update-Vorgangs wird ein Neustart der UTM durchgeführt.
        Dabei werden alle Verbindungen zur UTM (z.B. VPN, SSH) unterbrochen.
        notempty
        Das Update wird durch den Job im Portal finalisiert.
        Das Update bleibt auch bei einem späteren Neustart erhalten.

    Zeitraum Mo Di Mi Do Fr Sa So Auswahl der Wochentage, an denen eine Aktualisierung durchgeführt werden kann notempty
    Die Option 1x im Monat steht auf der UTM nicht zur Verfügung und wird hier daher nicht mehr angezeigt. Wurde die Option zuvor verwendet, wird sie weiter angewendet, bis im Portal oder auf der UTM ab v12.6.2 eine Änderung im Firmware-Update Bereich vorgenommen wird.
    von 00:00 (UTC) Zeitraum innerhalb dessen eine Aktualisierung ggf. durchgeführt werden soll
    Das Update wird durch das Portal ausgelöst.
    Zur besseren Lastverteilung kann nur eine Stunde ausgewählt werden, innerhalb der der Prozess ausgelöst werden soll.
  • Die Uhrzeit wird in UTC angegeben. UTC verwendet keine Zeitzone!
    • Zusätzlicher Prüfungs-Endpunkt
    Zusätzlicher Prüfungs-Endpunkt
    notempty
    Diese Einstellungen können nur auf UTMs ab Version 12.6.2 angewendet werden.
    URL URL Bevor ein Dryrun gestartet wird und auch nachdem ein Update installiert und gestartet worden ist (aber noch bevor das Update finalisiert wird), wird die Appliance testen, ob der Securepoint Update-Server erreicht werden kann.
    Hier kann ein weiterer Endpunkt (Hostnamen oder IP-Adresse und Port) angeben werden, dessen Erreichbarkeit ebenfalls getestet wird.
    Es wird ein TCP Handshake zu einem Dienst auf dem angegebenen Server geprüft.

    Sollte ein Test fehlschlagen, wird kein Firmware Update ausgeführt (ggf. indem ein Rollback auf die vorherige Version durchgeführt wird).

    		USC v1.28 Profile Firmware-Updates Zusätzlicher-Prüfungs-Endpunkt.png
    Port 443

    Cyber Defense Cloud

    Cyber Defense Cloud

    notempty
    Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
    Threat Intelligence Filter   
    		Erlaubt bei Aktivierung    die Konfiguration der Threat-Intelligence-Filter-Einstellungen
    Verbindung protokolieren    Bei Aktivierung    wird die Verbindung im Syslog protokoliert aber zugelassen USC v2.1 UTM-Profile CDC.png
    Verbindung protokolieren und blockieren    Bei Aktivierung    wird die Verbindung im Syslog protokoliert und blockiert

    Datenschutz

    Datenschutz

    notempty
    Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
    Datenschutzeinstellungen verwalten   
    		Erlaubt bei Aktivierung    die Konfiguration der Datenschutzeinstellungen
    Für alle Anwendungen aktivieren    Aktiviert die Anonymisierung des Logs für alle Anwendungen auf der UTM
    Datum Dienst Nachricht
    30.2.2019 13:45:01 ulogd DROP: (DEFAULT DROP) X.X.X.X:8612 ⮕eth0⮕ X.X.X.X:8612 UDP
    		USC v2.1 UTM-Profile Datenschutz.png
    Reiter Datenschutz
    Anwendungen
    Anwendungsname    Für jede Anwendung kann einzeln die Anonymisierung der Logs aktiviert werden.

    Mögliche Anwendungen:

    • Authentifizierung Webinterface
    • Clientless VPN
    • DHCP-Server & -Relay
    • HTTP-Proxy
    • IPS Sperrungen
    • IPSEC
    • L2TP VPN
    • Mailfilter
    • Mailrelay
    • Paketfilter
    • Reverse-Proxy
    • SSH-Server
    • SSL-VPN
    • Securepoint UTM maintenance console
    • WLAN-Server

    Fail2Ban

    Fail2Ban

    notempty
    Diese Einstellungen können nur auf UTMs ab Version 14.0 - Luna angewendet werden.
    Fail2Ban-Einstellungen verwalten   
    		Erlaubt bei Aktivierung    die Konfiguration der Fail2Ban-Einstellungen.

    Der Fail2Ban Schutz bedeutet hierbei, dass IP-Adressen temporär gesperrt werden, wenn eine bestimmte Anzahl an fehlgeschlagenen Anmeldeversuchen überschritten wurde. Die Anzahl kann auf der UTM unter Anwendungen IDS/IPS konfiguriert werden.

    SMTP    Bei Aktivierung    wird der Schutz vor Brute-Force-Angriffen für den SMTP-Dienst aktiviert USC v2.1 UTM-Profile Fail2Ban.png
    Reiter Fail2Ban
    SSH    Bei Aktivierung    wird der Schutz vor Brute-Force-Angriffen für den SSH-Dienst aktiviert
    Admin-Interface    Bei Aktivierung    wird der Schutz vor Brute-Force-Angriffen für das Administrations-Webinterface aktiviert
    User-Interface    Bei Aktivierung    wird der Schutz vor Brute-Force-Angriffen für das Benutzer-Webinterface aktiviert

    Cloud Scheduler Log

    Cloud Scheduler Log
  • Der Reiter Cloud Scheduler Log (früher: Jobs)wird nur bei bestehenden Profilen angezeigt
    • Sobald sich eine UTM ein automatisches Update herunter geladen hat, meldet sie dieses an das Portal
    • Im Portal wird ein Job erstellt, der zur vorgegebenen Zeit das Update startet
    		 USC 1.28 Profile Jobs.png
    Reiter Jobs
    USC 1.28 Profile Jobs Verlauf-anzeigen.png
    Ausgeführter Job mit Log

    Veröffentlichungsstatus

    Veröffentlichungsstatus
    Der Reiter Veröffentlichungsstatus wird nur bei bestehenden Profilen angezeigt
    Log über den Status der Veröffentlichung des Profils auf die zugewiesenen UTMs.
    Zeit Zeigt das Datum und die Uhrzeit an, beidem das Profil veröffentlicht wird USC 1.28 Profile Veröffentlichungsstatus.png
    Typ Zeigt den Typ an, welcher ausgeführt wird
    UTM Zeigt die UTM an, an dem das Profil angewendet wird
    Richtung Zeigt die Richtung der Kommunikation an
    •  In Nachricht vom Gerät zum Server
    •  out Nachricht vom Server zum Gerät
    Status Zeigt den Status des ausgeführten Jobs an
    •  Gesendet der übermittelte Job wurde an das Gerät gesendet oder das übermittelte UTM-Profil wurde gesendet
    •  Erhalten das Gerät hat den übermittelten Job fehlerfrei erhalten
    •  Bestätigt der übermittelte Job oder das übermittelte UTM-Profil wurde angewendet
    •  Offline das Gerät ist offline
    •  Ausstehend der übermittelte Job wurde noch nicht gesendet
    •  Fehler in der Spalte Info wird der Fehler beschrieben
      Speichern Speichert die Angaben und schließt den Dialog
    Schließen Schließt den Dialog ohne die Angaben zu speichern
    Abgerufen von „https://wiki.securepoint.de/index.php?title=USC/Profile&oldid=94667