Einstellungen und Berechtigungen der UTM für den Unified Security Report
Der Unified Security Report bietet eine gute Übersicht über alle Geräte direkt im Unified Security Portal, damit eine UTM dort berücksichtigt wird, muss die Funktion auf der UTM aktiviert werden. Um den Unified Security Report auf einer UTM aktivieren zu können, muss zunächst für die gewählte Lizenz der USR aktiviert werden. Genauere Informationen dazu sind im Artikel zum Unified Security Reporting zu finden.
Dazu müssen im Resellerportal zwei Lizenzen herunter geladen werden. Sollte im Resellerportal keine Lizenz als xynnnnn-SPARE gekennzeichnet sein (zusammengehörige Lizenzen haben am linken Tabellenrand eine identische Farbmarkierung) bitte eine E-Mail an lizenzen@securepoint.de senden mit Kundennamen, Kundennummer und den Seriennummern der Geräte bzw. bei VMs mit der Lizenz ID.
Der Zugriff über die Unified Security Console muss zunächst in der UTM im Menü USP selbst freigeschaltet werden. Die UTM meldet sich nach dem Update beim Lizenzserver. Erst hier wird die Verfügbarkeit des Dienstes signalisiert und anschließend das Menü freigeschaltet.
notempty
Achtung: In der Regel dauert es wenige Minuten, in ungünstigen Fällen bis zu einer Stunde, bevor das Menü das erste Mal angezeigt wird.
Der Vorgang kann verkürzt werden, indem nach einigen Minuten Laufzeit (die UTM muss die Gelegenheit gehabt haben, sich beim Lizenzserver zu melden!) auf dem CLI der Befehl system restrictions update ausgeführt wird.
Hiermit wird die Unified Security Console - und damit die Anzeige, Konfiguration und der Zugriff über das Securepoint Unified Security Portal aktiviert.
UTM-Profile aus der USC erlauben:notempty
Umbenannt von USC-Profile anwenden
Ja
Erst bei einer Aktivierung können USC-Profile für diese UTM angewendet werden.
VPN-Konfigurations-Profile aus der USC erlauben:
notempty
Ab der UTM Version 14.0 und dem USC-Portal 2.0 ist es möglich, aus dem Portal heraus VPN-Konfigurationen auf eine UTM zu übertragen.
Ja
Erst bei einer Aktivierung können VPN-Konfigurationen für diese UTM angewendet werden.
Alle VPN-Konfigurationen löschen
Löschen aller VPN-Konfigurationen, die durch die USC verwaltet werden
Authentifizierungsmethode:
PIN (empfohlen)Loginmaske
Authentifizierungsmethode für eine Websession
PIN:
••••••••
Als Authentifizierung für eine Websession kann eine 6-stellige PIN statt der Loginmaske mit Zugangsdaten gewählt werden.
Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5"
) fehlerhaften Eingaben in Folge wird der Zugang per PIN gesperrt. Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden.
Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
UTM bis v12.4.4.1 Ein Update auf die aktuellste Version wird empfohlen
Die UTM ist über ein lokales Netz direkt erreichbar
Zugangsdaten (Benutzername und Kennwort) werden benötigt oder
Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
UTM v12.5.0
Die UTM ist über ein lokales Netz direkt erreichbar
Zugangsdaten (Benutzername und Kennwort) werden benötigt oder
Steht keine öffentliche IPv4 zur Verfügung, weil die UTM hinter einem NAT-Router steht, kann per IPv6 Prefix Delegation eine öffentliche IPv6 zugewiesen werden.
Beispielkonfiguration einer öffentlichen IPv6 anhand einer Fritzbox
Hinweis
Dieser Abschnitt beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite. Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden. Alle Angaben ohne Gewähr.
Anmeldung auf der Konfigurationsoberfläche (in den Standardeinstellungen unter https://192.168.178.1)
In den Netzwerkeinstellungen für IPv6 muss die Option DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren ausgewählt werden
Unteroption DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen wählen
Portfreigabe in der Fritzbox für den Admin Webinterface Port der UTM (Menü Internet / Freigaben /Reiter Portfreigaben Schaltfläche Gerät für Freigaben hinzufügen
am Ende der Seite Dropdownmenü: weitere Einstellungen ➍
Abschnitt IP Adressen / Schaltfläche IPv6 Einstellungen➎ (nicht im Bild) oder auch IPv6 Konfiguration
Abb.3
Abschnitt Weitere IPv6-Router im Heimnetz Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben ➏
Abschnitt DHCPv6-Server im Heimnetz DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:➐
DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen➑ aktivieren
Angaben mit Schaltfläche OK ➒ speichern
Abb.4
Erforderlich, wenn die UTM und ggf. weitere Geräte im lokalen Netz von außen per IPv6 erreichbar sein sollen
Menü Internet → Freigaben→ Reiter Portfreigaben/ Schaltfläche Gerät für Freigaben hinzufügen
Gerät aus Dropdownmenü auswählen ➓ IP-Adresse manuell eingeben wählen, falls diese nicht per DHCP zugeteilt wird
Falls gewünscht: Ping für IPv6 aktivieren ⓫
Option Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen aktivieren ⓬
Schaltfläche Neue Freigabe anklicken ⓭ Es öffnet sich ein weitere Dialog
Abb.5
Option Portfreigabe wählen
AnwendungAndere Anwendung
BezeichnungAussagekräftiger Name
ProtokollTCP
Port an Gerät11115 bis Port 11115 Port ggf. anpassen, wenn unter Netzwerk Servereinstellungen Bereich Servereinstellungen Abschnitt WebserverAdministration Webinterface Port: ein anderer Port konfiguriert wurde
Im Abschnitt Freigabe aktivieren die Option Internetzugriff über IPv6 wählen
Eingabe abschließen mit OK
In der Übersicht Eingaben bestätigen mit OK (siehe Abb.4 Nr. ⓮)
Z.B. A1, LAN2 oder eth1 - je nach verwendeter Hardware
(muss für alle internen Schnittstellen konfiguriert werden, die eine öffentliche IPv6-Adresse an Clients verteilen sollen (und damit auch selber eine erhalten).
Damit die IPv6-Adressen geroutet werden können, muss unter Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche Default-Route hinzufügen eine Default-Route hinzugefügt werden. Speichern
Die UTM ist jetzt über eine öffentliche IPv6 erreichbar. Nach einigen Minuten wird diese Adresse in der Auswahlbox für IP-Adressen in der USC angezeigt.
UTM ab v.12.5.1:
Die UTM ist über ein lokales Netz direkt erreichbar
Zugangsdaten (Benutzername und Kennwort) werden benötigt oder
Eine Websession aus entfernten Netzen ist auch möglich, wenn die UTM über keine öffentliche IP verfügt
Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
Ein Update auf die aktuellste Version wird empfohlen
IP-Adresse
Es werden alle Schnittstellen mit IP-Adressen auf der UTM im Dropdownmenü angeboten. Es wird zusätzlich angegeben, ob es sich um öffentliche oder private, lokale IP-Adressen handelt
Schnittstelle mit öffentlicher IP-Adresse
203.0.113.203 (A0) [Public]
Es ist eine Websession PIN erforderlich (s.u.)
Erfolgt die erste Anmeldung nach dem erstmaligen Update der UTM auf eine Version 12.5.x über eine Websession, gilt die initiale PIN 000000. Bei der ersten Anmeldung muss die PIN geändert werden.
Schnittstelle mit privater IP-Adresse
192.168.12.50 (A1) [Local]
Es wird ein Link zum lokalen Administrations-Webinterface bereitgestellt
Es werden Benutzerdaten mit Administratorrechten für die UTM benötigt
Die eigene IP muss als Manager-IP auf der UTM registriert sein
Es wird eine Verbindung im lokalen Netzwerk zur UTM benötigt
Websession mit PIN (UTM bis v12.5.0)
Port
11115
Port, über den das Admin-Interface der UTM erreichbar ist (wird aus den Einstellungen der UTM unter Netzwerk Servereinstellungen ausgelesen)
PIN:
••••••••
Websession PIN (Konfiguriert auf der UTM im Menü USC im Abschnitt Unified Security Console
Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5"
) fehlerhaften Eingaben in Folge wird der Zugang per PIN gesperrt. Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden.
Version
Version
Aktuell verwendete Firmware Version
Neue Websession starten PIN
Öffnet das Admin-Interface der UTM in einem neuen Tab des verwendeten Browsers
Ggf. müssen für portal.securepoint.cloud im verwendeten Browser Pop-ups erlaubt sein!
Websession mit PIN
notempty
Websession mit PIN (UTM ab v12.5.1)
Die Verbindung wird über die Schnittstelle hergestellt, auf der die Default-Route der UTM eingerichtet ist.
admin
Gibt es keinen Benutzer mit dem Namen admin, kann hier ein Benutzer mit Adminrechten ausgewählt werden, mit dem die Websession Verbindung gestartet werden soll.
Websession mit PIN (UTM ab v12.5.1)
______
Websession PIN (Konfiguriert auf der UTM im Menü USC im Abschnitt Unified Security Console Nach Eingabe der PIN kann per ↵ Enter die Websession direkt gestartet werden.
notempty
Neu ab: 1.27
Zeigt die Websession PIN an
PIN für die aktuelle Sitzung merken notempty
Neu ab 1.30
In diesem Dialogfenstern ist es möglich die PIN für diese Sitzung zu merken. Wird dies aktiviert , wird die PIN automatisch bei anderen Dialogen eingetragen und der Schieberegler wird nicht mehr angezeigt. Wird die PIN dabei falsch eingetragen, erfolgt keine Speicherung.
Wert im CLI veränderbar mit der extc-Variable SESSIONAUTH_MAXRETRY extc value set application "spcloudpuppet" variable "SESSIONAUTH_MAXRETRY" value "5"
) fehlerhaften Eingaben in Folge wird der Zugang per PIN gesperrt. Bei einem Login auf der UTM selbst kann die PIN wieder entsperrt werden.
