Wechseln zu:Navigation, Suche
Wiki

Servereinstellungen

Version vom 7. Mai 2024, 13:03 Uhr von Lauritzl (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki






























































De.png
En.png
Fr.png








Globale Eigenschaften der UTM
Letzte Anpassung zur Version: 12.6.0
Neu:
Zuletzt aktualisiert: 
    04.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2 11.6.12 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Netzwerk Servereinstellungen  Bereich Servereinstellungen
Beschriftung Wert Beschreibung Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Servereinstellungen Uebersicht.pngServereinstellungen

Firewall

Firewall
Firewallname:     Full Qualified Domain Name-Konformer Firewallname.
Hier wird festgelegt, wie sich die UTM gegenüber Anfragen meldet.
 Wenn das Mailrelay genutzt werden soll, kann es sinnvoll sein, hier den FQDN des Mail-Exchange (MX) einzutragen, damit andere Mailserver diesen über die Rückwärtsauflösung des PTR Resource Record (PTR) abgleichen können.

Auslesen:
extc global get variable "GLOB_HOSTNAME"
Setzen:
extc global set variable "GLOB_HOSTNAME" value "utm.firma.local"

Globaler Ansprechpartner:     In diesem Feld wird der Name des Administrators oder der Organisation eingetragen, der später in den UTM Fehlermeldungen für Rückfragen angegeben wird.
Globale E-Mail Adresse:     Hier wird eine E-Mail-Adresse eingetragen, an die Mails gesendet werden können, die ansonsten nicht zustellbar sind.
Andernfalls verbleiben nicht zustellbare Mails auf dem Festplattenspeicher, was dazu führen kann, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden können.
Ab Version v12.4.2 muss hier eine E-Mail Adresse hinterlegt sein.
Andernfalls starten Mailconnector und Proxy nicht!
Beim Login wird ggf. eine globale E-Mail-Adresse verlangt.

notempty

Die Globale E-Mail Adresse ist ebenfalls die Postmasteradresse für das Mailrelay.

Auslesen:
extc global get variable "GLOB_ADMIN_EMAIL"
Setzen:
extc global set variable "GLOB_ADMIN_EMAIL" value "utm-admin@ttt-point.de"

Sprache der Berichte: Deutsch Sprache, in der Berichte der UTM versendet werden.
Alternativ zur Auswahl: Englisch

DNS-Server

DNS-Server
Nameserver vor lokalem Cache prüfen: Aus (Default) Der lokale Chache der UTM beantwortet zunächst die DNS-Anfragen (entspricht 127.0.0.1 als primärer Nameserver.
Bei Ein Aktivierung werden die hier eingetragenen Nameserver die Namensauflösung vor dem lokalem Cache der UTM prüfen.
Primärer Nameserver:

Sekundärer Nameserver:		    

   		 An dieser Stelle können die IP-Adressen zweier externer Nameserver eingetragen werden, an welche die UTM die DNS-Anfragen weiterleiten soll.
  • Hier sollten DNS-Server eingetragen werden, die über die externe Schnittstelle erreichbar sind.
    • notempty
    Bitte keinen DNS-Server aus dem eigenen internen Netzwerk eintragen.

    Zeiteinstellungen

    Zeiteinstellungen
    Aktuelles Datum: 2020-20-32 25:00:20 Die aktuelle Uhrzeit kann auch von Hand eingetragen werden.
    Aktualisiert die Anzeige.
  • Im Zusammenspiel von Servern, VPN-Verbindungen und im Besonderen bei der OTP-Authentifizierung ist es wichtig, dass alle Komponenten zeitlich synchronisiert sind.
    • NTP-Server: ntp.securepoint.de Der gewünschte NTP-Server kann hier eintragen werden.
    Zeitzone: Europe/Berlin Korrekte Zeitzone

    Webserver

    Webserver







  • Wird der Port für das Admin oder das User-Interface auf einen Well-Known Port gelegt (Ports 0-1023) kann der Zugriff durch den Browser gesperrt werden!
    Ein Zugriff kann trotzdem möglich sein:
    • Der Start von z.B. Google Chrome oder Edge erfolgt mit dem Start-Parameter --explicitly-allowed-ports=xyz
    • Für Firefox wird in der Konfiguration (about:config in der Adresszeile) unter network.security.ports.banned.override eine String-Variable mit dem Wert des freizugebenden Ports angelegt.
    • Es ist möglich für chromiumbasierte Browser eine zeitlich befristete Richtlinie zu erstellen, die die Verwendung ermöglicht.
      Hiervon wird aus Sicherheitsgründen dringend abgeraten!
  • Fehlermeldung in Chome / Edge: ERR_UNSAFE_PORT
  • Fehlermeldung im Firefox: Fehler: Port aus Sicherheitsgründen blockiert
    • Administration Webinterface Port: 11115Link= Port zum erreichen des Administrations-Interfaces (das z.B. verwendet um die im Bild gezeigte Webseite anzuzeigen. Im Auslieferungszustand: 192.168.175.1:11115
    User Webinterface Port: 443Link= Port zum erreichen des User-Interfaces. Hierüber erfolgt z.B. der Zugang zu gefilterten Mails und VPN-Konfigurationen.
    notempty
    Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) für den Reverse-Proxy genutzt wird.

    notempty
    Der User-Interface Port muss geändert werden, wenn der Port 443 (HTTPS) weitergeleitet wird.
    Zertifikat:     Ohne ein dediziert ausgewähltes Zertifikat wird das Default-Zertifikat der UTM verwendet, das von der Default-CA ausgestellt wurde: firewall.foo.local
    Soll die UTM vom Browser mit einem gültigen Zertifikat erkannt werden, ist folgendermaßen vorzugehen:
    1. Eine CA erstellen ( Authentifizierung Zertifikate  Bereich CA Schaltfläche CA hinzufügen)
    2. Den öffentlichen Teil der CA exportieren
    3. Zertifikat erstellen Bereich Zertifikate
      1. Als CA die CA wählen, die in Schritt 2 exportiert wurde
      2. Alias DNS FQDN - Name der UTM , wie unter Netzwerk Firewall  Bereich Servereinstellungen Abschnitt
        Firewall
         Feld Firewallname: eingetragen
        Es sind jeweils mehrere Einträge möglich!
      3. Alias IP IP-Adresse IP-Adresse unter der UTM erreicht werden kann.
        Es sind jeweils mehrere Einträge möglich!
    4. Das soeben erstellte Zertifikat unter Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt
      Webserver
       Zertifikat: auswählen
    5. Die exportierte CA im Browser als Zertifizierungsstelle importieren
  • Es können auch ACME-Zertifikate genutzt werden.

    • Erweiterte Einstellungen

    Erweiterte Einstellungen
    Maximale aktive Verbindungen: 32000Link= Maximale Anzahl aktiver Verbindungen zur UTM.
    Dazu zählen unter anderem:
    • Webinterface
    • SMTP
    • SSH
    Last-Rule-Logging: SHORT -Drei Einträge pro Minute protokollieren Die Last-Rule-Logging Einstellung regelt die Anzahl der Meldungen, die im Syslog geschrieben werden.
    • NONE - nicht protokollieren
    • SHORT -Drei Einträge pro Minute protokollieren
    Es werden nur die ersten drei Logmeldungen je Minute angezeigt.
    • LONG - Alles protokollieren
    notempty
    Wir empfehlen, die Einstellung auf short zu lassen.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Servereinstellungen&oldid=91047