Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE: Identity-Based Firewall (IBF)}}
{{DISPLAYTITLE: Identity-Based Firewall (IBF)}}
{{TOC}}
'''Einrichtung Identity-Based Firewall (IBF) für SSL-VPN'''
'''Einrichtung Identity-Based Firewall (IBF) für SSL-VPN'''
<p>{{ Hinweis | Neue Funktion in 11.8 | 11.8 }} </p>
<p>{{ td | Bemerkung | {{ Hinweis | Neue Funktion in 11.8 | 11.8 }}
Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.<br>
* Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.<br>
Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.
* Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.|w=80px}} </p>
 
----
===Einführung===
===Einführung===
Bisher mussten unter {{Menu | Firewall | Portfilter }} {{Reiter | Netzwerkobjekte }} einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte }} angelegt werden und konnten dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt werden.
Bisher mussten unter {{Menu | Firewall | Portfilter }} {{Reiter | Netzwerkobjekte }} einzelne Hosts oder Netzwerke mit IP-Adresse als {{KastenGrau | Netzwerkobjekte }} angelegt werden und konnten dann zu {{KastenGrau | Netzwerkgruppen}} zusammengefügt werden.
Zeile 13: Zeile 14:
{{pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }}Dies erfolgt unter {{Menu | Authentifizierung | Benutzer }} {{ Reiter | Gruppen }}<br>
{{pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }}Dies erfolgt unter {{Menu | Authentifizierung | Benutzer }} {{ Reiter | Gruppen }}<br>
<p>Entweder wird eine neu Gruppe erstellt {{Button | + Gruppe hinzufügen }} oder eine bestehende Gruppe wird {{ Button ||w}} bearbeitet.</p>
<p>Entweder wird eine neu Gruppe erstellt {{Button | + Gruppe hinzufügen }} oder eine bestehende Gruppe wird {{ Button ||w}} bearbeitet.</p>
{{h5 | {{ Reiter | Berechtigungen}} |  {{ Reiter | Berechtigungen}} }}<p></p>
{{h5 | Berechtigungen |  {{ Reiter | Berechtigungen}} }}<p></p>
<p>{{ b |  Gruppenname: }} <code>Road-Warrior</code> Eingabe eines aussagekräftigen Namens</p>
<p>{{ b |  Gruppenname: }} <code>Road-Warrior</code> Eingabe eines aussagekräftigen Namens</p>
{{ td
{{ td
Zeile 25: Zeile 26:
<br clear=all>
<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_SSL-VPN.png | Konfiguration SSL-VPN }}{{ h5 | {{ Reiter | SSL-VPN }} | {{ Reiter | SSL-VPN }} }}<p></p>
{{:UTM/AUTH/Benutzerverwaltung-Gruppen-SSL-VPN}}
{{ b | Client im Userinterface herunterladbar: }}  {{ButtonAn |Ja}} {{a |0}}
{{ td || Wenn der Client nicht anderweitig verteilt wird. | m=5px }}
{{ td | {{ b | SSL-VPN Verbindung:  }} | {{ MenuD | Auswahl der gewünschten Verbindung }} {{a | 4}} {{ kl | Angelegt unter {{ Menu | VPN | SSL-VPN }} }} | m=5px  }}
{{ td | {{ b | Client-Zertifikat:  }} | {{ MenuD | Auswahl des Zertifikats für diese Gruppe }} <br>{{a|4}}{{ kl | Angelegt unter {{ Menu | Authentifizierung | Zertifikate }} {{Reiter | Zertifikate }} }} | m=5px  }}
{{ td | {{ b | Remote Gateway:  }} | <code>IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen.</code> <br>Eine mögliche Auswahl ist per {{ MenuD | Dropdown }} erreichbar | m=5px  }}
{{ td | {{ b | Redirect Gateway:  }} |  {{ ButtonAus |Aus}} Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons {{ ButtonAn |Ein}} wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.  Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client. | m=5px  }}
{{ td | {{ b | Im Portfilter verfügbar:  }} <br> {{ Hinweis | Neue Funktion in 11.8 | 11.8 }} | {{ ButtonAn |Ja}} Durch Aktivierung dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden. <br>Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser, über SSL-VPN verbundenen Gruppe sind, steuern. | m=5px  }}


<br clear=all>
<br clear=all>
Zeile 43: Zeile 37:
{{ td | {{ b | Quelle }} | [[Datei:UTM_v11-8_Firewall_Portfilter_SSL-VPN-Netzwerkobjekt.png | x20px | Link=]] Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | w=90px  | m=5px }}
{{ td | {{ b | Quelle }} | [[Datei:UTM_v11-8_Firewall_Portfilter_SSL-VPN-Netzwerkobjekt.png | x20px | Link=]] Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | w=90px  | m=5px }}
{{ td | {{ b | Ziel }} | <code>Zielnetzwerkobjekt</code> | w=90px  | m=5px }}
{{ td | {{ b | Ziel }} | <code>Zielnetzwerkobjekt</code> | w=90px  | m=5px }}
{{ td | {{ b | Dienst }} | <code>Auswahl des benötigten Dienstes oder einer Dienstegruppe</code>  | w=90px  | m=5px }}
{{ td | {{ b | Dienst }} | <code>Auswahl des benötigten Dienstes oder einer Dienstgruppe</code>  | w=90px  | m=5px }}
<p>{{ Button | Hinzufügen und schließen }}</p>
<p>{{ Button | Hinzufügen und schließen }}</p>
<p>{{ Button | ‣ Regeln aktualisieren}}</p>
<p>{{ Button | ‣ Regeln aktualisieren}}</p>

Version vom 17. Februar 2020, 12:53 Uhr

Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Bemerkung
Neue Funktion in 11.8
  • Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
  • Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.


Einführung

Bisher mussten unter → Firewall →Portfilter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt werden und konnten dann zu  Netzwerkgruppen  zusammengefügt werden. Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.


Gruppen konfigurieren

Gruppen hinzufügen

Dies erfolgt unter → Authentifizierung →Benutzer Gruppen

Entweder wird eine neu Gruppe erstellt + Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.

Berechtigungen
Berechtigungen

Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens

Ein
Userinterface
Ein
SSL-VPN































De.png
En.png
Fr.png



Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.

Beschriftung: Wert Beschreibung: Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Gruppe SSL-VPN.png SSL-VPN Einstellungen der Gruppe
Client im Userinterface herunterladbar: Nein Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
SSL-VPN Verbindung: RW-Securepoint Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
Client-Zertifikat: cs-sslvpn-rw(1) Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate  Bereich Zertifikate)
Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway: 192.168.175.1 IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
Redirect Gateway: Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.
Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Paketfilter verfügbar: Nein Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden.
Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.


Portfilter mit SSL-VPN-Gruppe

Portfilter konfigurieren

Portfilter konfigurieren

→ Firewall →Portfilter + Regel hinzufügen

Aktiv
Ein
Aktion
Accept (Default)
Logging
gewünschte Loggingstufe
Gruppe
gewünschte Regel-Gruppe auswählen
Quelle
Link= Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
Ziel
Zielnetzwerkobjekt
Dienst
Auswahl des benötigten Dienstes oder einer Dienstgruppe

Hinzufügen und schließen

‣ Regeln aktualisieren


Ergebnis

Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.