Jump to:navigation, search
Wiki

Identity-Based Firewall (IBF)

From Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht


Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Bemerkung
Neue Funktion in 11.8
  • Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
  • Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.

Einführung

Bisher mussten unter → Firewall →Portfilter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt werden und konnten dann zu  Netzwerkgruppen  zusammengefügt werden. Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.


Gruppen konfigurieren

Gruppen hinzufügen

Dies erfolgt unter → Authentifizierung →Benutzer Gruppen

Entweder wird eine neu Gruppe erstellt + Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.

Berechtigungen
Berechtigungen

Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens

Ein
Userinterface
Ein
SSL-VPN













































De.png
En.png
Fr.png



This is where to configure settings for the SSL VPN for an entire group.
All users share the same certificate when using the group settings!
SSL VPN settings of individual users override the group settings.

Caption: Value Description: Add Group UTMuser@firewall.name.fqdnAuthenticationUser UTM v12.6 Authentifizierung Gruppe SSL-VPN-en.png SSL VPN group settings
Client downloadable in the user interface: No If enabled, the VPN client can be downloaded in the user interface
SSL VPN connection: RW-Securepoint Select the preferred connection (created under VPN SSL-VPN )
Client certificate: cs-sslvpn-rw(1) Select the certificate for this group (created under Authentication Certificates  Area Certificates)
It is also possible to use ACME certificates.
Remote Gateway: 192.168.175.1 IP address of the gateway on which the SSL VPN clients dial in. Free input or selection via drop-down menu.
Redirect Gateway: Off Requests to destinations outside the local network (and thus also the VPN) are usually routed directly to the Internet by the VPN user's gateway. When the On button is activated, the local gateway is redirected to the UTM. This way, these packets also benefit from the protection of the UTM.
This setting changes the configuration file for the VPN client.
Use in packet filter: No By enabling Yes this option, rules for this group can be created in the packet filter.
This can be used to control access for users who are members of this group connected via SSL VPN.


Portfilter mit SSL-VPN-Gruppe

Portfilter konfigurieren

Portfilter konfigurieren

→ Firewall →Portfilter + Regel hinzufügen

Aktiv
Ein
Aktion
Accept (Default)
Logging
gewünschte Loggingstufe
Gruppe
gewünschte Regel-Gruppe auswählen
Quelle
Link= Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
Ziel
Zielnetzwerkobjekt
Dienst
Auswahl des benötigten Dienstes oder einer Dienstgruppe

Hinzufügen und schließen

‣ Regeln aktualisieren


Ergebnis

Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.

Retrieved from "https://wiki.securepoint.de/index.php?title=UTM/RULE/ibf_v11.8&oldid=82444"