Panda GateDefender Referenzhandbuch
Inhaltsverzeichnis
Einführung ........................................................................................................................ 1 Erste Schritte.............................................................................................................. 1 Dokumentkonventionen ........................................................................................ 1 Die Zonen ................................................................................................................ 2 Die Verwaltungsoberfläche der Panda GateDefender-Appliance.................. 3 Zugriff auf die Panda GateDefender-Appliance ............................................... 9 Menü „System“ .............................................................................................................. 11 Menü „System“......................................................................................................... 11 Übersicht ............................................................................................................... 11 Netzwerkkonfiguration ....................................................................................... 14 Ereignisbenachrichtigungen ............................................................................... 21 Aktualisierungen .................................................................................................. 23 Support .................................................................................................................. 23 Panda Perimetral Management Console .......................................................... 24 Passwörter............................................................................................................. 25 Web-Konsole ......................................................................................................... 26 SSH-Zugang............................................................................................................ 26 GUI-Einstellungen ................................................................................................ 27 Datensicherung..................................................................................................... 28 Herunterfahren .................................................................................................... 31 Lizenzbestimmungen........................................................................................... 31 Menü „Status“ ................................................................................................................ 33 Menü „Status“ .......................................................................................................... 33
Systemstatus......................................................................................................... 33 Netzwerkstatus .................................................................................................... 34 Systemdiagramme................................................................................................ 35 Netzwerkdiagramme ........................................................................................... 36 Proxydiagramme .................................................................................................. 36 Verbindungen........................................................................................................ 36 VPN Verbindungen ............................................................................................... 37 SMTP Mailstatistik ................................................................................................ 38 Mail queue............................................................................................................. 38 Menü „Netzwerk“........................................................................................................... 39 Menü „Netzwerk“ .................................................................................................... 39 Hosts bearbeiten.................................................................................................. 39 Routing................................................................................................................... 40 Schnittstellen ....................................................................................................... 43 Menü „Dienste“ .............................................................................................................. 47 DHCP Server.......................................................................................................... 47 Dynamischer DNS ................................................................................................. 50 Antivirus-Engine ................................................................................................... 52 Zeitserver .............................................................................................................. 54 E-Mail-Quarantäne ............................................................................................... 54 Spam Training....................................................................................................... 56 Intrusion Prevention............................................................................................ 57 Hochverfügbarkeit ............................................................................................... 59 Netzwerkmonitoring............................................................................................ 62 SNMP-Server.......................................................................................................... 62
Quality of Service ................................................................................................ 62 Menü „Firewall“ ............................................................................................................. 67 Menü „Firewall“ ....................................................................................................... 67 Gemeinsame Konfigurationselemente ............................................................. 67 Portweiterleitung / NAT..................................................................................... 69 Ausgehender Datenverkehr ................................................................................ 71 Inter-Zone-Datenverkehr.................................................................................... 73 VPN-Datenverkehr ............................................................................................... 73 Systemzugriff........................................................................................................ 74 Firewalldiagramme.............................................................................................. 74 Menü „Proxy“................................................................................................................. 77 Menü „Proxy“ ........................................................................................................... 77 HTTP....................................................................................................................... 78 POP3....................................................................................................................... 88 FTP ......................................................................................................................... 90 SMTP....................................................................................................................... 91 DNS ....................................................................................................................... 103 Menü „VPN“ ................................................................................................................ 106 Menü „VPN“ ............................................................................................................ 106 OpenVPN-Server..................................................................................................... 106 Serverkonfiguration ........................................................................................... 107 OpenVPN-Client (Gw2Gw) .................................................................................... 111 IPsec ......................................................................................................................... 114 IPsec ..................................................................................................................... 114 L2TP ..................................................................................................................... 119
Authentifizierung ................................................................................................... 120 Benutzer .............................................................................................................. 120 Gruppen ............................................................................................................... 123 Einstellungen ...................................................................................................... 124 Zertifikate ............................................................................................................... 125 Zertifikate ........................................................................................................... 125 Zertifizierungsstelle .......................................................................................... 127 Gesperrte Zertifikate ........................................................................................ 128 Zertifikatssperrliste........................................................................................... 128 Menü „Hotspot“............................................................................................................ 131 Menü „Hotspot“ ..................................................................................................... 131 Hotspot-Einstellungen........................................................................................... 132 Administrationsschnittstelle ................................................................................ 137 Konten...................................................................................................................... 137 Liste...................................................................................................................... 137 CSV Datei importieren ...................................................................................... 142 Als CSV-Datei exportieren ................................................................................ 143 Account Generator ............................................................................................ 143 Tickets ..................................................................................................................... 145 Tarife ................................................................................................................... 146 Quick-Ticket ....................................................................................................... 148 Ticket-Generator ............................................................................................... 149 Berichte ................................................................................................................... 150 Verbindungen...................................................................................................... 150 Kontostand .......................................................................................................... 150
Verbindungsprotokolle ...................................................................................... 153 Verbindungsprotokolle als CSV-Datei exportieren....................................... 153 SmartConnect-Transaktionen .......................................................................... 153 Einstellungen .......................................................................................................... 154 Haupteinstellungen ........................................................................................... 154 SmartConnect ..................................................................................................... 158 API ........................................................................................................................ 161 Sprache ................................................................................................................ 162 Hotspot-Benutzer................................................................................................... 167 Benutzerzugriff auf den Hotspot ........................................................................ 168 Menü „Protokolle und Berichte“ .................................................................................. 173 Menü „Protokolle und Berichte“ ......................................................................... 173 Übersicht ............................................................................................................. 173 Netzwerkmonitoring.......................................................................................... 176 Live....................................................................................................................... 179 Gemeinsame Aktionen ...................................................................................... 180 Zusammenfassung.............................................................................................. 181 System.................................................................................................................. 182 Dienst ................................................................................................................... 182 Firewall................................................................................................................ 182 Proxy .................................................................................................................... 183 Einstellungen ...................................................................................................... 183 Gesicherte Zeitstempel .................................................................................... 184 Glossar .......................................................................................................................... 187 Glossar ..................................................................................................................... 187
Printed Documentation Quicksheet – Wo finde ich die folgenden Optionen?................................................... 189 Quicksheet – Wo finde ich die folgenden Optionen? ....................................... 189 Hotspot ................................................................................................................ 189 Netzwerk ............................................................................................................. 189 Verschiedenes..................................................................................................... 189 GNU-Lizenz für freie Dokumentation ......................................................................... 191 GNU-Lizenz für freie Dokumentation ................................................................. 191
viii
Einführung Erste Schritte Das Referenzhandbuch der Panda GateDefender-Appliance ist in Abschnitte gegliedert, die der Struktur der Anwendungsmodule entsprechen.
Nachfolgend finden Sie einige grundlegende Informationen zum vorliegenden Handbuch, Erläuterungen zur erstmaligen Verwendung der Panda GateDefender-Appliance und einigen wichtigen Konzepten sowie Beschreibungen der wichtigsten Bestandteile der GUI.
Dokumentkonventionen Zur Verbesserung der Lesbarkeit und Übersichtlichkeit dieses Dokuments werden verschiedene Konventionen angewandt:
Ein Tooltip wird angezeigt, wenn Sie die Maus über bestimmte Begriffe bewegen.
Dies ist ein Beispielfeld.
Dieses Feld enthält einen kurzes Beispiel für die schnelle Einrichtung einiger Funktionen und Dienste, die im Hauptdokument beschrieben werden.
Kursivschrift wird verwendet, um nicht-interaktive Objekte oder Beschriftungen innerhalb der Weboberfläche (GUI) zu kennzeichnen. Wörter mit gestrichelter Unterstreichung kennzeichnen interaktive Objekte, z. B. Schaltflächen oder Hyperlinks.
Warnhinweise werden verwendet, um Elemente, Aktionen oder Aufgaben zu markieren, die besonderer Aufmerksamkeit bedürfen:
Warnung
Eine Änderung dieses Werts bewirkt einen Neustart des Dienstes!
Hinweis
Sie können die Änderung auch später vornehmen.
Tipp
Tipps zur Konfiguration von Optionen
Ein relevantes Thema oder Beispiel
Felder wie dieses („Thema“) enthalten Erläuterungen zu Themen, die ausführlicher behandelt werden sollen und für den betreffenden Abschnitt oder für bestimmte Konfigurationseinstellungen von Bedeutung sind. Zudem finden Sie darin einige Kurzanleitungen und Beispiele. Am unteren Ende können ein oder mehrere Links zu Online-Ressourcen aufgeführt sein.
Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ Systemregeln anzeigen müssen Sie auf jedes Element einzeln klicken, um zu einer speziellen Seite bzw. einem speziellen Konfigurationselement zu gelangen. Dieses Beispiel zeigt, wie Sie zur Seite gelangen, auf der die Konfiguration der Systemregeln des DNAT der Firewall angezeigt wird.
Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ [Regelliste] ‣ bearbeiten bedeutet [...] alternativ, dass eine große Anzahl von Objekten vorhanden ist (in diesem Fall eine Liste mit Firewall-Regeln), von denen eine zum Durchführen einer Aktion (Bearbeiten) ausgewählt werden muss.
Diese Sequenzen finden Sie auch in den Referenzfeldern („Siehe auch“) unterhalb eines Hyperlinks wie dem folgenden:
Siehe auch
Netzwerkkonfiguration Menüleiste ‣ System ‣ Netzwerkkonfiguration
Über den Hyperlink gelangen Sie direkt zur Dokumentation. Die Sequenz unter dem Hyperlink erläutert, wie Sie von der Homepage zur Seite gelangen, auf der diese Funktion konfiguriert werden kann.
Einige im vorliegenden Handbuch verwendeten Begriffe sind im Glossar aufgeführt.
Die Zonen Eines der wichtigsten Konzepte der Panda GateDefender-Appliance ist das Konzept der Zonen. Es beruht auf der Idee der LinuxDistribution IPCop, erreichbare Netzwerke zu schützen, indem man sie in verschiedene Segmente – in Zonen – zusammenfasst und Datenverkehr zwischen diesen Segmenten ausschließlich in bestimmte Richtungen erlaubt. Die vier Hauptzonen sind farblich gekennzeichnet und können mehrere zweckverwandte Server einer Workstation umfassen.
ROT: das so genannte nicht vertrauenswürdige Segment – das WAN. Es umfasst alle Netzwerke außerhalb der Panda GateDefender-Appliance – vereinfacht gesagt das Internet – und ist die Quelle aller eingehenden Verbindungen. Dies ist die einzige Zone, die nicht verwaltet werden kann. Sie haben lediglich die Möglichkeit, den Zugriff von innen und außen zu bewilligen bzw. einzugrenzen.
GRÜN: das interne Netzwerk – das LAN. Dies ist die am stärksten geschützte Zone. Die GRÜNE Zone ist für Workstations vorgesehen. Ein direkter Zugriff aus der ROTEN Zone sollte stets vermieden werden. Sie ist außerdem die einzige Zone, die standardmäßig auf die Verwaltungsoberfläche zugreifen kann.
ORANGE, die DMZ: Diese Zone sollte die Server enthalten, die zur Bereitstellung von Diensten (SMTP/POP, SVN, HTTP usw.) auf das Internet zugreifen müssen. Es empfiehlt sich, direkte Zugriffe aus der ROTEN Zone ausschließlich auf die ORANGE Zone zu beschränken. Sollte ein Angriffsversuch auf einen der Server gelingen, wird der Angriff innerhalb der DMZ gestoppt und der Zugriff auf die GRÜNE Zone verhindert. So bleiben sensible Informationen lokaler Maschinen innerhalb der GRÜNEN Zone geschützt.
BLAU: die WiFi-Zone, die von drahtlosen Clients für den Internetzugriff genutzt werden sollte. Drahtlose Netzwerke sind oft nicht geschützt. Daher sollten sämtliche drahtlos verbundenen Clients in der für sie vorgesehenen Zone betrieben und der Zugriff auf andere Zonen – ausgenommen der ROTEN Zone – untersagt werden.
Für die korrekte Funktion der Panda GateDefender-Appliance ist die Konfiguration der ORANGEN und BLAUEN Zone nicht notwendig. Tatsächlich genügt es die GRÜNE Zone zu definieren, da auch die ROTE Zone in einigen Fällen nicht konfiguriert werden muss.
Die vordefinierten Firewall-Regeln der Panda GateDefender-Appliance verbieten den Netzwerkverkehr zwischen manchen Zonen. Zusätzlich zu den vier Hauptzonen gibt es zwei weitere Zonen, die jedoch nur bei einer komplexen Konfiguration verwendet werden: Die Zone „OpenVPN Client“ (auch VIOLETTE Zone genannt) und die HV-Zone. Diese speziellen Zonen werden als Netzwerke für OpenVPNRemote-Benutzer verwendet, die eine Verbindung zur Panda GateDefender-Appliance möchten, sowie für den HV-Dienst. Standardmäßig werden hierfür die Netzwerke
192.168.15.0/24
bzw.
192.168.177.0/24
genutzt. Diese
Netzwerkbereiche sollten nicht in den Hauptzonen verwendet werden, besonders wenn Sie einen dieser Dienste nutzen möchten. Tatsächlich würden sich solche Netzwerke überschneiden, was zu möglichen unerwünschten Effekten führen kann. Sie können jedoch die IP-Bereiche dieser beiden Zonen bei der Einrichtung des OpenVPN- bzw. HV-Dienstes ändern.
Jeder Zone ist eine (Netzwerk-)Schnittstelle und eine IP-Adresse zugeordnet. Die Schnittstelle ist der (Ethernet- oder drahtlose) Port, über den der Netzwerkverkehr in die Zone gelangt. Die ROTE Schnittstelle ist somit der Port, über den Sie in die ROTE Zone und das Internet gelangen. Die IP-Adresse der Schnittstelle entspricht der -IP. Das werksseitig definierte Netzwerk für die GRÜNE Zone lautet beispielsweise
192.168.0.15/24.
Demnach ist der GRÜNEN Schnittstelle die IP-Adresse
192.168.0.15
–
auch GRÜNE IP-Adresse genannt – zugeordnet.
Siehe auch
Hochverfügbarkeit für eine Beschreibung der Hochverfügbarkeit.
VPN für eine Beschreibung von OpenVPN
Die Verwaltungsoberfläche der Panda GateDefender-Appliance Die GUI der Panda GateDefender-Appliance wurde für einen einfachen Gebrauch konzipiert und besteht aus fünf Hauptteilen: Den Header, die Hauptmenüleiste, das Untermenü, den Hauptbereich und den Seitenfuß. Unten wird ein beispielhafter Screenshot des Moduls Dienst angezeigt.
Der Header
Die Kopfzeile dieser Seite enthält das Panda-Logo und links die Version der Panda GateDefender-Appliance, während rechts zwei Links angezeigt werden: einer zur Abmeldung von der GUI und einer für die Online-Dokumentation, die kontextabhängig ist (d. h. für jede Seite wird die entsprechende Hilfe angezeigt). Dieser Teil ist fest und wird nicht modifiziert.
Der Seitenfuß
Der Seitenfuß befindet sich ganz unten auf der Seite. Sie besteht aus zwei Textzeilen mit einigen Informationen zur laufenden Panda GateDefender-Appliance. In der oberen Zeile (Status:) wird angezeigt, ob ein Uplink verbunden ist und welcher (falls mehrere Uplinks definiert wurden), sowie die verstrichene Zeit (Betriebszeit:) seit der letzten Verbindungsherstellung und die Betriebszeit des Computers. Dies entspricht der Ausgabe des Befehls uptime, d. h. dem Zeitraum seit dem letzten Start, der Benutzerzahl und der durchschnittlichen Last. Die Informationen werden bei einem Seitenwechsel aktualisiert. Die untere Zeile enthält die Versionsnummer der Anwendung zusammen mit dem Deployset, Copyright-Informationen und einem Link zur Panda Website.
Die Hauptnavigationsleiste
Die Hauptnavigationsleiste ist eine Menüleiste direkt unter der Kopfzeile mit einem schwarzen Hintergrund und einer blauen Fußzeile, in der alle verfügbaren Bereiche der Panda GateDefender-Appliance angezeigt werden. Wenn Sie auf eines der Module (z. B. Dienste)
klicken, wird der Hintergrund blau, um das momentan geöffnete Modul anzuzeigen. Beim Klicken auf ein Menüelement ändern sich das Untermenü auf der linken Seite und der Titel oben im Hauptbereich. Standardmäßig wird die GUI über das Menü System geöffnet.
Das Untermenü
Das Untermenü befindet sich auf der linken Seite der GUI und ändert sich je nach dem in der Menüleiste ausgewählten Bereich. Es wird als eine vertikale Liste von Elementen angezeigt, die angeklickt werden können, um den Inhalt des Hauptbereichs zu ändern, und auf alle Funktionen einschließlich der Module der Panda GateDefender-Appliance zuzugreifen.
Der Hauptbereich
Der Hauptbereich enthält sämtliche Informationen und Einstellungen der aktuellen Menü-/Untermenüauswahl. Einige der Seiten (z. B. die Übersicht oder Teile der Module Dienst und Protokolle) sind lediglich informativ und zeigen den aktuellen Status der Panda GateDefender-Appliance entweder grafisch oder in Textform an. Im zweiten Fall wird die Ausgabe von Linux-Befehlen auf den Bildschirm übermittelt. Auf den meisten Seiten wird eine Tabelle mit Informationen zu den aktuell konfigurierten Einstellungen angezeigt. Sie haben die Möglichkeit, diese Einstellungen zu ändern bzw. zu löschen oder neue Einstellungen hinzuzufügen. Besonders komplexe Dienste wie HTTP-Proxy oder die Firewall enthalten eine solch hohe Anzahl an Konfigurationsoptionen, dass eine einzelne Seite für deren Darstellung nicht ausreicht. Deshalb sind die verfügbaren Einstellungen gruppiert und auf Registerkarten organisiert.
Innerhalb von Registerkarten werden Konfigurationsoptionen häufig in einem oder mehreren Feldern zusammengefasst, in denen Einstellungen gesammelt werden, die sich auf einen gemeinsamen Teil der Gesamtkonfiguration beziehen.
Die Hotspot-Administrationsoberfläche
Die einzige Ausnahme im Layout der GUI der Panda GateDefender-Appliance ist die Hotspot-Administrationsoberfläche, die im unteren Screenshot dargestellt ist, keine Fußzeile besitzt, das Untermenü unter der Hauptmenüleiste platziert und ganz rechts von der Menüleiste einen Link Hauptmenü enthält, um zum Hauptmenü zurückzukehren.
Beachten Sie, dass bei Elementen der „Hotspot-Administrationsoberfläche“ die ursprüngliche Menüleiste in der Regel nicht angezeigt wird.
Die Symbole
Auf den Seiten der Panda GateDefender-Appliance werden viele Symbole verwendet, um entweder einen Vorgang darzustellen, der schnell ausgeführt werden kann, oder um die Bedeutung einiger angezeigter Einstellungen zu verdeutlichen.
Schalter Schalter werden verwendet, um Dienste zu aktivieren bzw. zu deaktivieren. Sie befinden sich im oberen Teil des Hauptbereichs. Ein grauer Schalter gibt an, dass der Dienst deaktiviert und inaktiv ist. In diesem Fall werden im Hauptbereich keine Einstellungen bzw. Konfigurationsoptionen angezeigt. Durch Klicken auf den Schalter werden der Dienst sowie die für ein reibungsloses Funktionieren des Dienstes erforderlichen Daemons gestartet. Nach wenigen Sekunden wechselt der Schalter auf blau. Sämtliche verfügbaren Konfigurationsoptionen werden angezeigt. Um den Dienst zu deaktivieren, klicken Sie erneut auf den Schalter. Dadurch werden alle Daemons gestoppt, der Schalter wird grau und die Einstellungen werden ausgeblendet.
Richtlinien
Diese Symbole finden sich bei Diensten, die gewisse Richtlinien oder Kontrollen für den Datenverkehr vorschreiben, beispielsweise Firewall-Regeln oder Proxy-Spezifikationen. Wenn ein Paket einer bestimmten Regel entspricht, wird die für diese Regel festgelegte Richtlinie angewandt. Die Regel ermittelt anschließend, ob und wie das Paket weitergeleitet wird.
Zugriff ohne Einschränkungen erlauben.
Zugriff nach erfolgreicher Prüfung durch das IPS erlauben. Diese Richtlinie gilt nur bei Firewall-Regeln.
Pakete blockieren und entfernen.
Pakete blockieren, aber Benachrichtigung an Quelle senden.
Regeln teilweise akzeptieren. Dieses Symbol wird in der Überschrift von Richtlinienlisten angezeigt und illustriert, dass einige der Richtlinien aus der Liste akzeptiert, andere hingegen abgelehnt werden, wie beispielsweise unter Menüleiste ‣ Proxy ‣ HTTP ‣ Inhaltsfilter.
Zusätzliche Symbole Weitere Symbole in der Panda GateDefender-Appliance:
erweitert ein Feld und zeigt dessen Inhalt an.
schließt ein Feld und blendet dessen Inhalt aus.
Navigationsleiste Stellenweise enthalten Bereiche mit längeren Elementlisten eine Navigationsleiste, welche die Auflistung der Elemente erleichtert. Diese Navigationsleiste setzt sich aus mehreren Zellen zusammen: links die Zellen Erste Seite und Vorherige Seite, rechts die Zellen Nächste Seite und Letzte Seite. Sie enthalten jeweils eine variable Menge an Seitenzahlen. Durch Klicken auf die verschiedenen Zellen gelangen Sie entweder zur Seite mit der angegebenen Seitenzahl, zur ersten oder letzten bzw. zur vorherigen oder nächsten Seite.
Gemeinsame Aktionen und Aufgaben
Es gibt zwei Arten von Aktionen, die innerhalb der GUI durchgeführt werden können: Aktionen für ein einzelnes Element in einer Liste von Konfigurationseinstellungen (d. h. eine Firewall-Regel), und „globale“ Aktionen zum Speichern und Anwenden der Einstellungen in einer Liste, einem Feld oder auf einer Seite.
Aktionen und Symbole Diese Symbole befinden sich rechts in der Spalte Aktionen neben den diversen Tabellen, die auf den Seiten angezeigt werden. Sie stellen in der Regel eine Liste der festgelegten Elemente dar, beispielsweise Firewall-Regeln oder OpenVPN-Benutzer. Die Aktionssymbole erlauben die Durchführung einer Aufgabe an einem entsprechenden Element aus der Liste. Einige Aktionen stehen nur für bestimmte Arten von Listen zur Verfügung:
und
geben den Status eines Elements an (aktiviert bzw. deaktiviert). Sie können den Status ändern, indem Sie auf das
Symbol klicken. Anschließend werden Sie möglicherweise aufgefordert, den Dienst – falls erforderlich – neu zu starten, die Konfiguration mithilfe der Daemons neu zu laden und die Änderungen zu aktivieren.
und
stehen nur bei Listen zur Verfügung, bei denen die Reihenfolge von Bedeutung ist, beispielsweise bei Firewall-Regeln.
Die Symbole ermöglichen die Änderung der Reihenfolge durch Verschieben der Elemente nach oben
oder unten
.
erlaubt die Modifizierung des ausgewählten Elements. Wenn Sie auf dieses Symbol klicken, wird der passende Editor für das Element geöffnet.
entfernt das ausgewählte Element aus der Liste und der Konfiguration. Bevor das Element endgültig gelöscht wird, müssen Sie den Löschvorgang bestätigen.
erlaubt das Herunterladen des Elements (in der Regel ein Archiv).
wird in manchen Umgebungen verwendet, beispielsweise in Menüleiste ‣ Dienste ‣ Spam-Training, um die Verbindung zwischen einem Element und einem Remote-Server zu prüfen.
und
werden im IPS angezeigt (Menüleiste ‣ Dienste ‣ Intrusion Prevention) und erlauben die Protokollierung von Paketen, die
nach Übereinstimmung mit einer Regel weitergeleitet oder blockiert werden.
„Globale“ Aktionen Am Ende jeder Seite, welche die Anpassung mindestens einer Option erlaubt, können Sie die neue Konfiguration mithilfe von Speichern auf der Festplatte speichern oder vorgenommene Änderungen mithilfe von Abbrechen verwerfen. In letzterem Fall ist keine weitere Aktion erforderlich, da die Konfiguration nicht geändert wurde. Im ersten Fall ist möglicherweise ein Neustart des soeben modifizierten Dienstes erforderlich sowie ein Neustart einiger zugehöriger bzw. abhängiger Dienste, damit die neuen Einstellungen geladen und in der laufenden Konfiguration verwendet werden können. Wenn diese Aktion erforderlich ist, wird nach Speichern der Einstellungen ein Textfeld mit der Schaltfläche Übernehmen angezeigt, auf die Sie klicken müssen, um den Dienst neu zu starten.
Wenn ein Mehrfachauswahlfeld verwendet wird (z. B. unter Menüleiste ‣ Hotspot Einstellungen), kann Alle hinzufügen und Alle entfernen als Verknüpfung angeklickt werden, um alle ausgewählten und aktiven Elemente oder alle verfügbaren Einträge einer Liste hinzuzufügen oder von dieser zu entfernen.
Mehrfacheinträge in einer einzelnen Konfigurationsoption Sie können an etlichen Stellen mehrere Werte für ein einzelnes Konfigurationselement eingeben, beispielsweise für Quelle oder Ziel einer Firewall-Regel. In solchen Fällen wird entweder ein Textbereich oder ein Dropdown-Menü angezeigt. In ersterem Fall können Sie in der Regel einen Wert pro Zeile eingeben, sei es eine MAC-Adresse, ein Netzwerkbereich (in CIDR-Notation) oder ein OpenVPN-Benutzer. In letzterem Fall ist die Auswahl auf eine begrenzte Zahl vordefinierter Werte beschränkt. Diese Werte können Sie auswählen, indem Sie auf der Tastatur die
STRG-Taste
gedrückt halten und
anschließend auf die Werte klicken, die Sie auswählen möchten.
IPv4 und CIDR-Notation:
Eine IPv4 ist ein Netzwerkadresse mit einer Länge von 32 Bit, die in vier 8-Bit-Oktette aufgeteilt ist. Dezimal kann jedes Oktett einen Wert zwischen 0 und 255 annehmen (28 = 256).
Beim Festlegen eines Netzwerkbereichs wird die IP-Adresse des ersten Hosts im Netzwerk zusammen mit der Subnetzmaske, kurz Netzmaske, vorgegeben. Hierdurch wird die Anzahl der in diesem Netzwerk verfügbaren Hosts festgelegt. Das Subnetz ist definiert als die Länge des Netzwerkpräfixes, d. h. der Teil der Adresse, die von allen Hosts im Netzwerk geteilt wird.
Es gibt zwei Möglichkeiten, ein Netzwerk/Netzmasken-Paar zu bezeichnen:
Explizit heißt das, dass . beide in punktierter Quadrupelnotation angegeben werden. Zum Beispiel:
Netzwerk 192.168.0.0 Netzmaske 255.255.255.0 Dies ist ein Netzwerk, das mit der Adresse 192.168.0.0 beginnt und 256 mögliche Hosts besitzt, d. h. die Netzwerkreichweite ist von 192.168.0.0 bis 192.168.0.255. Die ersten drei Oktette der Netzmaske enthalten die Zahlenfolge 255. Das bedeutet, dass es keinen
verfügbaren Host gibt (bzw. dass dieser Teil der IP-Adresse dem Netzpräfix entspricht). An vierter Stelle steht die Ziffer 0, was bedeutet, dass sämtliche Hosts (256–0 = 0) verfügbar sind.
in CIDR-Notation wird der Netzwerkbereich kürzer gefasst: Anstelle der freien Hosts werden die freien Bits angegeben. Der oben erwähnte Netzwerkbereich wird dann folgendermaßen dargestellt:
192.168.0.0/24 Diese Notation zeigt die Länge des gemeinsam genutzten Teils der IP-Adresse in Bits an. 24 bedeutet, dass die ersten drei Oktette (jedes besteht aus 8 Bits) gleich sind, während das vierte Oktett frei ist, was einer Anzahl von 32 - 24 = 8 Bits freier Hosts (also 256 Hosts) entspricht.
Selbiges gilt für IPv6-Adressen, mit dem Unterschied, dass diese 128 Bits lang sind.
Zugriff auf die Panda GateDefender-Appliance Es gibt mehrere Möglichkeiten für den Zugriff auf die Panda GateDefender-Appliance: Die intuitivste und gradlinigste Weise ist der Zugriff über die webbasierte GUI. Auch ein konsolenbasierter Zugriff über SSH und die serielle Konsole ist möglich. Diese Option ist jedoch nur für fortgeschrittene Benutzer geeignet.
Die Weboberfläche (GUI) der Panda GateDefender-Appliance Tipp
Die standardmäßige IP-Adresse der Panda GateDefender-Appliance ist 192.168.0.15.
Der empfohlene Zugriff auf die GUI der Panda GateDefender-Appliance ist sehr einfach: Öffnen Sie den Browser, und geben Sie bei jedem Start der Panda GateDefender-Appliance die IP-Adresse der GRÜNEN Schnittstelle (GRÜNE IP-Adresse) ein.
Der Browser wird auf eine sichere HTTPS-Verbindung über Port 10443 umgeleitet. Da die Panda GateDefender-Appliance ein selbstsigniertes HTTPS-Zertifikat verwendet, fordert Sie der Browser beim ersten Verbinden evtl. zum Akzeptieren des Zertifikats auf. Anschließend werden Sie vom System zur Eingabe des Benutzernamens und Passworts aufgefordert. Geben Sie als Benutzernamen „admin“ und das Passwort ein, das Sie von Ihrem Händler erhalten haben. Falls Sie die Panda GateDefender-Appliance bereits angepasst haben, geben Sie das Passwort ein, das bei der Installation verwendet wurde.
Die Übersicht der GUI der Panda GateDefender-Appliance sollte nun angezeigt werden. Es ist möglich sofort mit dem Durchsuchen der verfügbaren Informationen auf dieser Schnittstelle zu beginnen oder die Appliance weiter zu durchsuchen und zu konfigurieren. Die weiteren Abschnitte dieses Handbuchs orientieren sich am Layout der Hauptnavigationsleiste: Jedes Element der Hauptmenüleiste stellt einen anderen Abschnitt der Panda GateDefender-Appliance dar und wird als separater Abschnitt mit Untermenüelementen und Registerkarten dargestellt, die Unter- bzw. Unterunterabschnitte besitzen.
Konsolenbasierter Zugriff Der konsolenbasierte Zugriff auf die Panda GateDefender-Appliance wird nur für Benutzer empfohlen, die mit der Linux-Befehlszeile vertraut sind.
Es gibt zwei Möglichkeiten, zur Befehlszeilenschnittstelle CLI zu gelangen: über SSH oder die serielle Konsole. Der Zugriff über SSH ist standardmäßig deaktiviert. Sie können ihn jedoch unter Menüleiste ‣ System ‣ SSH Zugang aktivieren. Der Zugriff über die serielle Konsole hingegen ist standardmäßig für alle Anwendungen mit folgenden Parametern aktiviert:
Port: ttyS0 Bit, Paritätsbit, Stoppbit: 8, N, 1 Geschwindigkeit: 115200 Baud
Printed Documentation Für eine Verbindung über die serielle Konsole sind folgende Voraussetzungen erforderlich:
Terminalsoftware wie minicom für Unix/Linux-Felder oder puTTY für MS Windows Workstation mit serieller Schnittstelle Nullmodemkabel, um Ihre Workstation mit der Appliance zu verbinden
oder
Terminalsoftware Netzwerkadapter mit Seriell-zu-Ethernet-Anbindung Kabel für Seriell-zu-Ethernet-Anbindungen für die Verbindung zwischen Appliance und Adapter
Hinweis
Wenn das Netzwerk nicht ordnungsgemäß konfiguriert ist, kann die Konsole der einzige Weg sein, um auf die Panda GateDefenderAppliance zuzugreifen.
014.
10
Menü „System“ Menü „System“ Im Menü „System“ werden verschiedene Informationen zur Panda GateDefender-Appliance und zu ihrem Status bereitgestellt. Außerdem können die Einrichtung des Netzwerks sowie einige Zugriffsmodalitäten (z. B. Zugriff über SSH oder Zugriff für den PandaSupport) definiert werden.
Das Untermenü auf der linken Seite enthält die folgenden Elemente für grundlegende Verwaltungsaufgaben und zur Überwachung ausgeführter Aktivitäten der Panda GateDefender-Appliance:
Übersicht: Übersicht des Systems und des Verbindungsstatus Netzwerkkonfiguration: Konfigurieren von Netzwerk und Netzwerkschnittstelle Ereignisbenachrichtigungen: Einrichten von E-Mail- oder SMS-Benachrichtigungen Updates: Verwalten von Systemupdates Support – Support-Anfrageformular Panda-Netzwerk: Registrierungsinformationen zur Panda Perimetral Management Console Passwörter: Einrichten von Systempasswörtern Web Konsole: Konsolenshell für den Browser SSH Zugang: Aktivieren und Konfigurieren von SSH-Zugriff auf die Panda GateDefender-Appliance GUI Einstellungen: Spracheinstellungen für die Weboberfläche Datensicherung: Sichern und Wiederherstellen von Einstellungen der Panda GateDefender-Appliance sowie Zurücksetzen auf die Werkseinstellungen
Herunterfahren: Herunterfahren und Neustarten der Panda GateDefender-Appliance Lizenzbestimmungen: Lizenzbestimmungen für Benutzer
Im weiteren Teil dieses Abschnitts werden die verschiedenen Komponenten dieser Menüelemente beschrieben.
Übersicht Bei der Übersicht handelt es sich um die Startseite, die bei jeder Anmeldung angezeigt wird. Sie umfasst mehrere Bereiche („Plugins“), die in zwei Spalten angeordnet sind und eine vollständige Übersicht des ausgeführten Systems und seiner Integrität zeigen. Oben in den Bereichen wird jeweils der Bereichsname genannt. Die Übersicht wurde mit Blick auf ihre Benutzerfreundlichkeit in letzter Zeit überarbeitet, und es wurden neue Funktionen zur Verbesserung der Benutzerinteraktion implementiert. Die angezeigten Informationen werden in regelmäßigen Abständen aktualisiert.
Die verfügbaren Plugins und die von ihnen angezeigten Informationen werden im Folgenden beschrieben.
System Information Plugin
Von diesem Plugin werden verschiedene Informationen zum installierten System angezeigt. Der Titel enthält in der Regel den Hostnamen und den Domänennamen der Panda GateDefender-Appliance.
Appliance: Der Typ der Appliance.
Version: Die Version der Firmware.
Kernel: Der aktuell ausgeführte Kernel.
Betriebszeit: Der seit dem letzten Neustart vergangene Zeitraum.
Updatestatus: Eine vom Status der Panda GateDefender-Appliance abhängige Nachricht:
„aktuell“: Keine Aktualisierungen verfügbar. „Update wird benötigt“: Neue Pakete können installiert werden. Durch Klicken auf die Nachricht wird die Seite Updates geöffnet, auf der Sie die Liste neuer Pakete anzeigen können.
„Registrieren für Unternehmen“: Das System wurde noch nicht in der Panda Perimetral Management Console registriert: Durch Klicken auf die Nachricht wird die Seite Panda Perimetral Management Console geöffnet, auf der ein Formular zum Abschließen der Registrierung ausgefüllt werden kann.
Wartung: Der verbleibende Gültigkeitszeitraum für die Wartungsvereinbarung in Tagen.
Supportzugang: Ob das Supportteam auf die Panda GateDefender-Appliance zugreifen kann oder nicht. Im erstgenannten Fall wird ebenfalls das Datum angezeigt, bis zu dem der Zugang gewährt wird.
Das Plugin zeigt ebenfalls die verbleibenden Tage der Gültigkeit der Zusatzmodule Panda Antivirus und Commtouch an, falls erworben.
Hardware Information Plugin
Von diesem Plugin werden die wichtigsten Hardwareinformationen der Panda GateDefender-Appliance und die Ressourcenverfügbarkeit angezeigt. Alle Informationen sind mit den absoluten Werten (grafisch durch einen kleinen Balken und numerisch am Zeilenende) und den Prozentwerten der Verwendung dargestellt. Die einzige Ausnahme bildet die CPU-Auslastung, für die grafisch und numerisch nur der Prozentwert angezeigt wird.
CPU x: Die Auslastung der CPU. Wobei x für die Nummer der CPU steht, wenn die Appliance über mehrere CPUs verfügt.
Speicher: Die Größe des verwendeten Arbeitsspeichers (RAM).
Swap: Die Größe des Auslagerungsbereichs auf der Festplatte. Ein hoher Prozentwert an dieser Stelle weist in der Regel auf eine Fehlfunktion hin.
Hauptfestplatte: Die Verwendung der Root-Partition.
Temp: Der verwendete Speicherplatz in der Partition /tmp.
Datenfestplatte: Die Verwendung der Partition /var.
Konfigurationsplatte: Der Speicherplatz, der durch die Partition belegt ist, die alle Dienste und Einstellungen der Panda GateDefender-Appliance enthält.
Protokollplatte: Der Speicherplatz, der von der Partition verwendet wird, welche die Protokolle enthält.
Die letztgenannten Werte zur Speicherplatzverfügbarkeit können je nach Appliance variieren, da sich die Daten-, Systemund Protokollpartitionen möglicherweise an verschiedenen Orten befinden.
Warnung
Die Nutzung einer Festplattenpartition (z. B. Hauptfestplatte, Datenfestplatte, Temp, „/var/efw“ oder „/var/log“) darf 95 % nicht überschreiten, weil dadurch Fehlfunktionen und Datenverluste auftreten können.
Service Information Plugin
Von diesem Plugin werden Informationen zu den wichtigsten installierten Diensten der Panda GateDefender-Appliance und deren gegenwärtigen Status angezeigt. Für jeden Dienst werden der Aktivierungsstatus und eine Zusammenfassung der Aufgaben angezeigt, die in der letzten Stunde und in den letzten Tagen abgeschlossen wurden. Durch Klicken auf den Namen eines Dienstes werden zusätzliche Informationen über die vom Dienst ausgeführten Aufgaben angezeigt oder ausgeblendet. Für ausgeführte Dienste können in einem neuen Fenster die entsprechenden Live-Protokolle geöffnet werden. Dadurch können die Protokolle überprüft und nach nützlichen Informationen durchsucht werden, wenn die Zusammenfassungen einen Wert enthalten, der ungewöhnlich wirkt (z. B. doppelte Anzahl
abgelehnter E-Mails) oder auf eine Abweichung von normalen Aktivitäten (z. B. von der IDS wurde ein Angriff erkannt) hinweist. Die folgenden Dienste werden derzeit von dem Plugin unterstützt:
Eindringlingserkennung: Die Anzahl der von Snort protokollierten Angriffe.
SMTP Proxy: Statistiken zu den verarbeiteten E-Mails. Die aktuelle Anzahl der E-Mails in der Postfix-Warteschlange, die Anzahl der empfangenen, der unbedenklichen und der blockierten E-Mails sowie die Anzahl der gefundenen Viren.
HTTP Proxy: Die Anzahl der Treffer und Nichttreffer für den Zwischenspeicher von Squid sowie die Anzahl der gefundenen Viren.
POP3 Proxy: Statistiken zu den empfangenen, blockierten, und virenbehafteten E-Mails, die den POP3-Proxy passiert haben.
Tipp
Inaktive Dienste sind mit einer roten AUS-Meldung markiert.
Network Information Plugin
Von diesem Plugin werden Informationen zu den Netzwerkschnittstellen der Firewall und zum Datenverkehr angezeigt. Der obere Teil des Plugins enthält einige Daten zu den Netzwerkschnittstellen der Panda GateDefender-Appliance: Ihr Name, Typ, Verbindungsstatus (Ein für eine bestehende Verbindung und Aus für keine Verbindung) und Aktivierungsstatus (Ein für das aktivierte Gerät und Aus für das nicht aktivierte Gerät) sowie den ein- und ausgehenden Datenverkehr. Die beiden letztgenannten Daten werden in Echtzeit aktualisiert. Durch Aktivieren des Kontrollkästchens neben dem jeweiligen Gerätenamen wird das Gerät in den Grafiken darunter angezeigt. Der Name der Geräte ist entsprechend der Zone, für die sie arbeiten, farblich gekennzeichnet.
Der untere Teil des Plugins enthält zwei Diagramme: vom ersten wird für jede ausgewählte Schnittstelle der eingehende Datenverkehr und vom zweiten der ausgehende Datenverkehr dargestellt. Der Datenverkehr der Schnittstellen wird in der Farbe der jeweils zugehörigen Zone angezeigt. Unterschiedliche Schnittstellen, die zur selben Zone gehören, werden in verschiedenen farblichen Abstufungen dargestellt. Für ein Gerät erstellte Bridges werden in der Farbe des entsprechenden Geräts angezeigt. Wie der Datenverkehr im oberen Teil werden beide Diagramme in Echtzeit aktualisiert.
Tipp
Es können bis zu sechs Schnittstellen ausgewählt und in den Diagrammen dargestellt werden.
Signatures Information Plugin
Dieses Plugin zeigt Informationen über den aktuellen Status dieser Dienste, die das Herunterladen von Signaturen erfordern, die wiederum auf der Panda GateDefender-Appliance installiert und aktiviert werden. Falls keine Signatur heruntergeladen und noch kein Dienst aktiviert wurde, wird die Meldung Keine aktuellen Signaturaktualisierungen gefunden angezeigt. Anderenfalls wird von diesem Plugin eine Übersicht der Signaturen angezeigt, die für die verschiedenen Daemons installiert sind, sowie der Zeitstempel (Datum und Uhrzeit) des letzten Downloads. Die Liste enthält Signaturen für die Dienste Anti-Spyware, Antivirus, Inhaltsfilter und Intrusion Prevention.
Uplink Information Plugin
Durch dieses Plugin wird eine Tabelle mit dem jeweiligen Verbindungsstatus der Uplinks angezeigt. Sie enthält den Namen, die IPAdresse, den Status, die Betriebszeit, den Aktivierungs„manuell“
oder Deaktivierungsstatus
) jedes definierten Uplinks. Durch Klicken auf den kreisförmigen Pfeil
und den Modus („verwaltet“
kann eine Verbindung zum entsprechenden
Uplink unmittelbar neu hergestellt werden. Von besonderem Interesse ist das Feld Status der einzelnen Uplinks:
Gestoppt: Nicht verbunden.
Inaktiv: Nicht verbunden.
Baue Verbindung auf: Noch nicht verbunden, aber eine Verbindung wird hergestellt.
oder
Verbunden oder EIN: Die Verbindung wurde hergestellt und ist voll funktionsfähig.
Verbindung wird getrennt: Die Verbindung wird vom Uplink getrennt. Das Gateway wird von der Panda GateDefenderAppliance fortlaufend gepingt. Es erfolgt eine Benachrichtigung, sobald es wieder verfügbar ist.
Fehler: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten.
Fehler, Verbindung wird neu hergestellt: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten. Von der Panda GateDefender-Appliance wird aber zurzeit ein Neuversuch ausgeführt.
Verbindung unterbrochen: Vom Uplink wurde eine Verbindung hergestellt, aber die in der Uplink-Konfigurationsoption definierten Hosts (Menüleiste ‣ Netzwerk ‣ Schnittstellen, Option Erreichbarkeit dieser Hosts überprüfen im Uplinkeditor) für das Überprüfen der Verbindung konnten nicht erreicht werden. Der Uplink ist also nicht funktionsfähig.
Verwaltete und manuelle Uplinks
Die einzelnen Uplinks können entweder im verwalteten Modus (Standardeinstellung) oder im manuellen Modus betrieben werden. Im verwalteten Modus wird ein Uplink von der Panda GateDefender-Appliance überwacht und bei Bedarf automatisch neu gestartet. Ist der verwaltete Modus deaktiviert, muss ein Uplink manuell aktiviert und deaktiviert werden. Wird die Verbindung unterbrochen, wird also kein automatischer Wiederverbindungsversuch ausgeführt. Stattdessen muss der nicht funktionsfähige Uplink durch Klicken auf wieder verbinden neu gestartet werden. Der Verwaltungsmodus eines Uplinks kann unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ausgewählt werden.
Uplinks sollten stets verwaltet werden, damit bei Verbindungsabbrüchen eine zügige Wiederverbindung erfolgen kann. Der manuelle Modus ist nützlich für die Fehlerbehebung und zum Testen von Verbindungen, bevor sie tatsächlich hergestellt werden.
Netzwerkkonfiguration Die Konfiguration der Netzwerke und der Netzwerkschnittstellen für die Zonen kann mithilfe dieses Assistenten schnell und bequem in acht Schritten durchgeführt werden. Mit den Schaltflächen > ist es möglich, frei zwischen den Schritten zu wechseln. Bereits ausgeführte Aktionen können jederzeit aufgehoben werden. Die neuen Einstellungen werden erst beim letzten Schritt bestätigt, woraufhin alle vorgenommenen Änderungen übernommen werden. Beim Übernehmen der Einstellungen kann es vorkommen, dass die Weboberfläche für kurze Zeit nicht reagiert.
Der Uplink-Tarnmodus:
Der Uplink-Tarnmodus ist eine neue Möglichkeit, die Panda GateDefender Appliance nahtlos in eine vorhandene Netzwerkinfrastruktur einzubinden, ohne dabei die existierenden Routing- oder Firewall-Regeln ändern zu müssen.
Der Uplink-Tarnmodus erfordert eine Panda GateDefender Appliance mit mindestens zwei NIC, welche die gleiche Zone bedienen (entweder GRÜN, ORANGE oder BLAU). Eine dieser Schnittstellen leitet den gesamten Verkehr von der Zone zu einem Gateway und stellt in der Praxis den „Uplink“ für die Panda GateDefender Appliance dar.
Das Vorhandensein einer expliziten Schnittstelle als designierter „Uplink“ ermöglicht die Unterscheidung einer Richtung für den Verkehr außerhalb einer Zone, die vom Uplink-Tarnmodus bedient wird, und die Filterung mithilfe einer ausgehenden Firewall. Das ist der Hauptunterschied zum Modus ohne Uplink (zuvor bekannt als Gateway-Modus), bei dem es keine Möglichkeit zur Filterung des ausgehenden Verkehrs gab. Deshalb war die Anwendungssteuerung nicht einsetzbar.
Der Uplink-Tarnmodus erfordert eine bestimmte Einrichtung der Firewall in der Panda GateDefender Appliance.
Die Systemzugriffsregeln werden normal gehandhabt. Portweiterleitungs- und Destination NAT-Regeln können ebenfalls normal konfiguriert werden. Da es sich jedoch um die ausgehende Schnittstelle in der gleichen Zone wie das interne Netzwerk handelt, werden die Regeln auf beide Seiten der Zone angewendet.
Source NAT wird nicht auf ausgehende Verbindungen in dieser Konfiguration angewendet, da ansonsten das Verhalten nicht mehr transparent wäre.
Die ausgehende Firewall wird für den gesamten Verkehr verwendet, der von der durch den Uplink-Tarnmodus bedienten Zone durch den als Uplink designierten NIC verläuft, wodurch die Funktionen der Anwendungssteuerung genutzt werden können.
Die Zwischenzonen-Firewall wird auf den gesamten verbleibenden Verkehr zwischen den anderen Zonen (falls definiert) angewendet. Wenn die Uplink-Tarn-Bridge aus drei oder mehr Schnittstellen besteht, und dadurch zwei oder mehr der entsprechenden Zone dienen, kann der Verkehr zwischen diesen und den anderen Zonen durch die Zwischenzonen-Firewall gefiltert werden.
Aufgrund der Verfügbarkeit dieses Uplink-Modus hat sich auch die grafische Benutzeroberfläche des Netzwerkkonfigurationsassistenten geändert. Dies gilt vor allem für die Startseite, um die Unterschiede zwischen den verschiedenen Uplinks und den für sie verfügbaren Konfigurationsoptionen zu erläutern.
Im Folgenden werden die acht Schritte des Assistenten einzeln behandelt:
1/8 – Netzwerkmodus und Uplink-Typ auswählen Die Startseite des Netzwerkkonfigurationsassistenten enthält zwei Felder: Netzwerkmodi, in dem der Betriebsmodus für den Uplink ausgewählt werden kann, und Uplink-Typ, in dem der Uplink ausgewählt werden kann.
Netzwerkmodi Im ersten Feld können Sie den Betriebsmodus des von der Panda GateDefender Appliance verwendeten Uplinks aus drei sich ausschließenden Optionen auswählen. Indem Sie eine der Optionen auswählen oder mit der Maus darauf zeigen, wird eine kurze Beschreibung angezeigt.
Geroutet: Diese Option entspricht den klassischen Uplinks der Panda GateDefender Appliance mit Ausnahme des Gateway-Modus. Gebridget: Der neue Uplink-Tarnmodus. Keine Uplink: Diese Option entspricht dem Modus, der zuvor als Gateway-Modus bekannt war.
Hinweis
Im Modus Kein Uplink werden Regeln, die in der ausgehenden Firewall konfiguriert sind und den Verkehr von der Panda GateDefender Appliance durch den Uplink filtern, nicht berücksichtigt.
Das nächste Feld wird nur durch Auswahl der Option Geroutet angezeigt, da in anderen Fällen der Modus automatisch die ROTE Schnittstelle bestimmt.
Uplink-Typ (ROTE Zone) Während der Installation erhält die Panda GateDefender-Appliance eine Standard-IP-Adresse für GRÜN. Auf dieser Seite kann der Typ der ROTEN Schnittstelle (d. h. die Art des Uplinks) ausgewählt werden. Die folgenden Typen werden von der Panda GateDefenderAppliance unterstützt:
ETHERNET STATIC Die ROTE Schnittstelle befindet sich in einem LAN mit fester IP-Adresse und Netzwerkmaske, z. B. wenn die ROTE Schnittstelle mit einem einfachen Router verbunden wird, jedoch mit dem Vorteil, dass die Panda GateDefender-Appliance stets unter derselben IP-Adresse erreichbar ist.
ETHERNET DHCP Die ROTE Schnittstelle bezieht ihre Netzwerkkonfiguration von einem lokalen Server, Router oder Modem dynamisch über DHCP, d. h. die ROTE Schnittstelle ist mit einem einfachen Router verbunden, aber ohne dass für sie eine feste Adresse erforderlich ist.
PPPoE
Die ROTE Schnittstelle ist mit einem ADSL-Modem verbunden. Diese Option wird nur benötigt, wenn vom Modem der Bridging-Modus verwendet und PPPoE benötigt wird, um eine Verbindung mit dem Provider herstellen zu können. Die Option darf nicht mit den Optionen ETHERNET STATIC und ETHERNET DHCP verwechselt werden. Diese werden für Verbindungen mit ADSL-Routern verwendet, von denen das PPPoE selbst übernommen wird.
ADSL (USB, PCI) Von der ROTEN Schnittstelle wird die Verbindung mit einem ADSL-Modem nicht über ein Ethernetkabel, sondern über ein USB- oder PCI-Kabel hergestellt.
ISDN Bei der ROTEN Schnittstelle handelt es sich um eine ISDN-Verbindung.
ANALOG/UMTS Modem Bei der ROTEN Schnittstelle handelt es sich um ein analoges Modem (Einwahlmodem) oder ein UMTS-Modem (Mobiltelefon).
In einem kleinen Feld rechts neben den Optionen wird die Anzahl der Netzwerkschnittstellen angezeigt, die auf dem System verfügbar sind. Die vollständige Konfiguration der ROTEN Schnittstelle erfolgt in Schritt 4.
2/8 – Netzwerkzonen auswählen Die verbundenen Netzwerke werden von der Panda GateDefender-Appliance in vier grundlegende Zonen getrennt, wie es in diesem Abschnitt beschrieben wird. Die beiden wichtigsten Zonen – GRÜN und ROT – wurden im Laufe der Installation bereits erkannt: In diesem Schritt können Sie eine oder zwei zusätzliche Zonen aktivieren, abhängig von den Diensten, die von der Panda GateDefenderAppliance bereitgestellt werden sollen: ORANGE – als DMZ-Netzwerkteil – und BLAU – als Segment für drahtlose Clients. Ihre vollständige Konfiguration kann im nächsten Schritt durchgeführt werden.
Hinweis
In der Panda GateDefender-Appliance ist eine Netzwerkschnittstelle der GRÜNEN Zone vorbehalten. Eine weitere wurde ggf. bereits der ROTEN Zone zugewiesen, sofern für die ROTE Schnittstelle eine Netzwerkkarte erforderlich ist. Dadurch kann die Auswahl an dieser Stelle eingeschränkt sein, so dass die ORANGE und die BLAUE Zone mangels weiterer Netzwerkschnittstellen nicht aktiviert werden können.
3/8 – Netzwerkeinstellungen Dieser Schritt betrifft die Konfiguration der GRÜNEN Zone, falls erforderlich, sowie der Zonen, die im vorherigen Schritt ausgewählt wurden. Für jede aktivierte Zone können die folgenden Optionen konfiguriert werden:
IP-Adresse Die IP-Adresse der Schnittstelle (z. B. 192.168.0.1). Diese sollte innerhalb des Netzwerks nicht bereits verwendet werden.
Tipp
Es wird empfohlen, für das letzte Oktett die 1 zu wählen, da von der Schnittstelle der Datenverkehr des gesamten Subnetzes gebündelt wird.
Bedenken
Sie,
dass
durch
eine
Änderung
der
IP-Adressen
einer
Panda
GateDefender-Appliance
insbesondere
in
Produktionsumgebungen ggf. weitere Einstellungen an anderen Stellen angepasst werden müssen, z. B. in der HTTPProxykonfiguration der Workstations, da Webbrowser anderenfalls nicht korrekt arbeiten.
Warnung
Bei der Konfiguration der Schnittstellen für die GRÜNE Zone muss ein Aussperren aus der Weboberfläche unbedingt vermieden werden. Eine solche Situation kann entstehen, wenn die GRÜNE IP-Adresse in eine IP-Adresse geändert wird, die aus dem aktuellen
GRÜNEN Segment nicht erreichbar ist, und die Einstellungen dann gespeichert werden. In diesem Fall kann auf die Panda GateDefender-Appliance nur über die serielle Konsole zugegriffen werden.
Netzwerkmaske Auswählen der Netzwerkmaske aus einem Dropdown-Menü, das die möglichen Masken enthält (z. B. /24 - 255.255.255.0).
Tipp
Alle Geräte im selben Subnetz müssen dieselbe Netzmaske besitzen, um ordnungsgemäß zu kommunizieren.
Zusätzliche Adressen hinzufügen Hinzufügen zusätzlicher IP-Adressen für unterschiedliche Subnetze zur Schnittstelle.
Schnittstellen Weisen Sie eine Netzwerkschnittstelle einer Zone entsprechend der folgenden Regeln zu:
1.
Eine Schnittstelle kann jeweils nur einer Zone zugeordnet werden, und jede Zone muss über mindestens eine Schnittstelle verfügen.
2.
Falls einer Zone mehrere Schnittstellen zugeordnet sind, werden diese Schnittstellen gebridget und verhalten sich wie ein Teil eines Switches.
Für jede verfügbare Schnittstelle werden diese Informationen angezeigt:
Ein farbiges Kontrollkästchen, das anzeigt, zu welcher Zone die Schnittstelle gehört. Keine Farbe bedeutet, dass die Schnittstelle keiner Zone zugeordnet ist.
Port: die Nummer des Ports.
Link: Zeigt den aktuellen Status mittels Symbolen an:
– der Link ist aktiv,
– kein Link oder kein Kabel angeschlossen,
– keine Informationen vom Treiber.
Beschreibung: die PCI-Identifikationszeichenfolge der Schnittstelle wie von lspci zurückgegeben. Die Zeichenfolge ist gekürzt, sie kann jedoch durch bewegen der Maus auf das ? angezeigt werden.
MAC: die MAC-Adresse der Schnittstelle. Gerät: der logische Name des Geräts.
Hinweis
Von der Panda GateDefender-Appliance werden unabhängig von der Anzahl der zugewiesenen Schnittstellen intern alle Zonen als Bridges behandelt. Der Linux-Name der Schnittstellen lautet daher
brX und nicht ethX.
Abschließend können in den beiden Textfeldern unten der Hostname und der Domänenname des Systems festgelegt werden.
Private IP-Adressen
Es wird empfohlen, den in RFC 1918 beschriebenen Standard zu befolgen (der kürzlich durch RFC 6761 aktualisiert wurde), und beim Einrichten der Zonen nur IP-Adressen innerhalb der Netzwerksegmente zu verwenden, die von der IANA zur privaten Nutzung reserviert wurden. Diese sind:
10.0.0.0 bis 10.255.255.255 (10.0.0.0/8, 16.777.216 Adressen) 172.16.0.0 bis 172.31.255.255 (172.16.0.0/12, 1.048.576 Adressen) 192.168.0.0 bis 192.168.255.255 (192.168.0.0/16, 65.536 Adressen) Durch diese Auswahl werden Fehler bei der DNS-Auflösung vermieden, da IP-Adressen, die außerhalb dieser Bereiche liegen, oft von anderen Organisationen als öffentliche IP-Adressen reserviert wurden. Darüber hinaus müssen für die Schnittstellen unterschiedliche IPAdressbereiche in den unterschiedlichen Netzwerksegmenten verwendet werden, z. B.:
IP = 192.168.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für GRÜN IP = 192.168.10.1 und Netzwerkmaske = /24 - 255.255.255.0 für ORANGE IP = 10.0.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für BLAU Es muss auch beachtet werden, dass die erste und die letzte IP-Adresse eines Netzwerksegments (in der Regel .0 und .255) als Netzwerkadresse bzw. Broadcastadresse reserviert sind und keinem Gerät zugewiesen werden dürfen.
4/8 – Internetverbindungseinstellungen In diesem Schritt kann die ROTE Schnittstelle konfiguriert werden, die in Schritt 1 ausgewählt wurde. Über die ROTE Schnittstelle wird die Verbindung mit dem Internet oder mit einem anderen nicht vertrauenswürdigen Netzwerk hergestellt, das sich außerhalb der Panda GateDefender-Appliance befindet.
Hinweis
Falls in Schritt 1/8 der Modus Geroutet ausgewählt wurde, kann hier der Standardgateway ausgewählt werden.
Abhängig vom Typ der ausgewählten ROTEN Schnittstelle sind unterschiedliche, für den jeweiligen Schnittstellentyp erforderliche Konfigurationsoptionen verfügbar. Unten auf der Seite werden zwei gemeinsam verfügbare Optionen angezeigt nämlich MTU und Verwende diese MAC Adresse, die weiter unten beschrieben werden. Die Auswahl des DNS, die für fast alle Schnittstellentypen verfügbar ist, erfolgt immer zwischen Dynamisch oder Manuell. Wird die letztgenannte Option ausgewählt, muss im darauf folgenden Schritt eine gültige IP-Adresse eines DNS-Servers manuell angegeben werden. Die weiteren Konfigurationsoptionen sind:
ETHERNET STATIC Die IP-Adresse und Netzwerkmaske der ROTEN Schnittstelle sowie die IP-Adresse des Standardgateways, d. h. die IPAdresse des Gateways, von dem die Verbindung zwischen Panda GateDefender-Appliance und dem Internet oder einem anderen nicht vertrauenswürdigen Netzwerk hergestellt wird. Optional kann die Ethernet-Hardware-Adresse (MAC-Adresse) der Schnittstelle angegeben werden.
ETHERNET DHCP Auswählen des DNS als einzige verfügbare Option.
PPPoE Zur Konfiguration von PPPoE durch Eingeben des vom Provider zugewiesenen Benutzernamens und Passworts in das Formular und Angeben der Authentifizierungsmethode. Optional können der Dienstname und der Name des Konzentrators des Providers konfiguriert werden. Dies ist aber in der Regel nicht erforderlich.
Tipp
Wenn Sie nicht sicher sind, ob Sie die PAP oder CHAP-Authentifizierung verwenden möchten, sollte die Standardoption beibehalten werden.
ADSL (USB, PCI) Für diese Auswahl sind drei Unterseiten vorhanden:
1. 2.
Auf der ersten wird aus den Treibern, die in einem Dropdown-Menü zur Auswahl stehen, der passende für das Modem ausgewählt. Auf der zweiten wird aus einem Dropdown-Menü eine der vier Optionen für ADSL Typ ausgewählt: „PPPoA“, „PPPoE“, „Statische IP Adresse“ oder „DHCP“.
3.
Abschließend sind je nach Auswahl in den beiden vorherigen Schritten einige der folgenden Einstellungen erforderlich, die beim ADSL-Provider in Erfahrung gebracht werden können:
o o
die VPI-Nummer und VCI-Nummer sowie der Kapselungstyp der vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden)
o o
die IP-Adresse und die Netzwerkmaske der ROTEN Schnittstelle die IP-Adresse des Standardgateways (nur bei statischer IP-Adresse erforderlich)
Hinweis
Wurde bei Punkt 2 die Option „PPPoE“ ausgewählt, wird die Konfiguration auf dieselbe Weise durchgeführt, die im vorherigen Absatz PPPoE beschrieben wurde.
ISDN Konfigurieren der ISDN-Verbindung, des Modemtreibers, der Telefonnummern (die Nummer des Providers und die externe Rufnummer), des vom Provider zugewiesenen Benutzernamens und Passworts sowie der Authentifizierungsmethode (im Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden). Es muss auch angegeben werden, ob die IPAdresse des DNS automatisch zugewiesen oder manuell festgelegt werden soll.
ANALOG/UMTS Modem Auch wenn Panda GateDefender-Appliance die meisten modernen UMTS-Modems unterstützt, müssen einige Dinge beachtet werden. Manche neuere UMTS-Modems sind zugleich USB-Massenspeichergeräte und werden in der Regel als zwei Geräte registriert (z. B.
/dev/ttyUSB0 und /dev/ttyUSB1): In diesem Fall ist das erste Gerät /dev/ttyUSB0 das Modem und das zweite das Speichergerät. Durch Modems dieser Art können Probleme beim Neustart der Firewall verursacht werden, da von der Panda GateDefender-Appliance versucht wird, vom USB-Massenspeichergerät zu starten. Auf der anderen Seite benötigen einige SIM-Karten eine private Authentifizierungsnummer (PIN), um zu funktionieren. Dies wird nicht unterstützt. Die PIN-Nummer sollte von der SIM-Karte entfernt werden, damit sie mit der Panda GateDefender-Appliance funktioniert.
Für diese Auswahl sind zwei Unterseiten vorhanden:
1.
Auf der ersten wird angegeben, mit welchem seriellen Anschluss das Modem verbunden ist und ob es sich um ein analoges Modem oder ein UMTS/HSDPA-Modem handelt.
Tipp
Das Gerät
/dev/ttyS0 ist als serielle Konsole reserviert und daher nicht als serieller Anschluss für
Modems verfügbar.
2.
Auf der zweiten Unterseite wird die Bitrate des Modems, die externe Rufnummer oder der Accesspoint-Name, der vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden) konfiguriert. Für UMTS-Modems muss der Accesspoint-Name angegeben werden.
Gateway Die IP-Adresse des Standardgateways, d. h. die IP-Adresse des Gateways, von dem die Verbindung zwischen Panda GateDefender-Appliance und dem Internet oder einem anderen nicht vertrauenswürdigen Netzwerk hergestellt wird.
Folgende gemeinsame Optionen sind verfügbar:
MTU Die MTU-Größe der Pakete, die über das Netzwerk gesendet werden.
Verwende diese MAC Adresse Angeben einer benutzerdefinierten MAC-Adresse für die ROTE Schnittstelle. Diese Einstellung ist für das einwandfreie Failover von Slavegeräten in einer HA-Konfiguration erforderlich. Weitere Informationen zur ROTEN Adresse in HAKonfigurationen können unter Hochverfügbarkeit gefunden werden.
MTU-Größe
Obwohl von der Mehrheit der ISPs ein Standardwert von 1.500 Byte verwendet wird, ist in manchen Fällen die Standard-MTU-Größe zu groß. Dies macht sich in der Folge durch ungewöhnliches Netzwerkverhalten bemerkbar, z. B. durch immer wieder unterbrochene Downloads oder Verbindungen, die gar nicht funktionieren.
Wird vom ISP keine Standard-MTU-Größe verwendet, kann die korrekte Größe auf einfache Art ermittelt werden. Dafür werden spezielle ICMP-Pakete mit einem spezifischen Wert gesendet, der so lange kontinuierlich abgesenkt wird, bis keine Fehler mehr auftreten: An diesem Punkt ist die korrekte MTU-Größe erreicht, und der entsprechende Wert sollte in den Konfigurationsoptionen eingegeben werden.
Die ICMP-Pakete werden auf folgende Weise gesendet:
Nach Anmeldung bei der EFW wird ein Host ausgewählt, der auch tatsächlich erreichbar ist (z. B. sollte der DNS des ISP immer erreichbar sein), und mit folgendem Befehl gepingt:
ping -c1 -M do -s 1460 (Weitere Informationen können auf der Manpage zu ping(8) gefunden werden.)
Wenn die MTU-Größe von 1460 korrekt ist, werden Ping-Antworten wie die folgende empfangen:
PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes of data. 1468 bytes from 10.10.10.10: icmp_seq=1 ttl=49 time=75.2 ms
Ist die aktuelle MTU-Größe für Pakete mit einer Größe von 1460 aber noch zu groß, wird eine Fehlermeldung wie die folgende angezeigt:
PING 10.10.10.10 (62.116.64.82) 1461(1489) bytes of data. ping: sendmsg: Message too long
Der Vorgang wird mit unterschiedlichen Paketgrößen (der Wert hinter der Option „-s“) so lange wiederholt, bis die korrekte Größe gefunden ist und kein Fehler mehr angezeigt wird. Bei dem Wert, der in der Ausgabe des ping-Befehls in Klammern angegeben ist, handelt es sich um die MTU-Größe. In diesem Beispiel lautet die Ausgabe „1460(1488)“. Der Wert, der für die MTU-Größe gewählt werden muss, beträgt also 1488.
Durch einen MTU-Wert, der weniger als 1500 beträgt, können auch Probleme beim Einrichten von OpenVPN verursacht werden, so dass dort ggf. einige Einstellungen angepasst werden müssen.
5/8 – DNS-Resolver konfigurieren In diesem Schritt können bis zu zwei IP-Adressen für den DNS-Server angegeben werden. Erfolgt diese Zuweisung automatisch, können keine Konfigurationsoptionen festgelegt werden und Sie können sicher mit dem nächsten Schritt fortfahren. Wenn nur ein DNS-Server verwendet werden soll, muss die entsprechende IP-Adresse zweimal eingegeben werden. Angegebene DNS-IP-Adressen müssen für die Panda GateDefender-Appliance erreichbar sein, da sonst die Auflösung von URLs und Domänen nicht funktioniert.
Siehe auch
Änderungen an der ROTEN Schnittstelle, d. h. dem Uplink, und dem DNS-Server können später bearbeitet werden, getrennt von der restlichen Netzwerkkonfiguration:
Uplink Editor Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ [Uplink bearbeiten]
6/8 – Standardmäßige E-Mail-Adresse des Administrators In diesem Schritt wird eine globale Administrator-E-Mail-Adresse konfiguriert, die von allen Diensten zum Senden von E-Mails verwendet wird. Sie dient dann bei Problemen oder Notfällen für entsprechende Benachrichtigungen.Diese E-Mail-Adressen werden anschließend von den Ereignisbenachrichtigungen verwendet.
Die folgenden drei Felder können konfiguriert werden:
Administrator Emailadresse
Eine gültige E-Mail-Adresse, an die die System-E-Mails gesendet werden sollen.
Absender Emailadresse Eine gültige E-Mail-Adresse, die als Absenderadresse angezeigt wird. Eine benutzerdefinierte Absenderadresse ist nützlich, wenn die Nachrichten von der Panda GateDefender-Appliance beim Empfänger gefiltert werden sollen.
Adresse des Smarthosts Der SMTP-Server, über den die E-Mails gesendet werden sollen.
Tipp
Obwohl alle Felder leer gelassen werden können, empfiehlt es sich, zumindest eine gültige Administrator-E-Mail-Adresse anzugeben.
7/8 – Konfiguration übernehmen In diesem Schritt wird mitgeteilt, dass die Netzwerkkonfiguration abgeschlossen ist und alle neuen Einstellungen gespeichert wurden. Durch Klicken auf die Schaltfläche OK, Konfiguration übernehmen werden die Einstellungen gespeichert und die Konfiguration wird angewendet, indem alle erforderlichen Dienste und Daemons neu gestartet werden.
8/8 – Beenden Im letzten Schritt werden alle Konfigurationsdateien auf den Datenträger geschrieben und alle Geräte neu konfiguriert. Außerdem werden die netzwerkabhängigen Dienste und Daemons (z. B. die Firewall und ntpd) bei Bedarf neu gestartet. Der Vorgang kann insgesamt bis zu 20 Sekunden dauern. In dieser Zeit sind ggf. keine Verbindungen mit der Administrationsoberfläche und über die Panda GateDefender-Appliance möglich.
Anschließend wird automatisch die Administrationsoberfläche neu geladen. Wurde die GRÜNE IP-Adresse geändert, wird die GUI unter der geänderten Adresse geladen. Wenn dies der Fall ist oder der Hostname geändert wurde, wird ein neues SSL-Zertifikat zum Identifizieren des neuen Hosts generiert.
Bemerkung
Bei einzelnen Änderungen der Netzwerkkonfigurationseinstellungen (z. B. Ändern des Hostnamens oder des Netzwerkbereichs einer Zone) genügt es später, die Netzwerkkonfiguration zu starten, direkt zum relevanten Schritt zu navigieren, die entsprechenden Werte zu bearbeiten und dann zum letzten Schritt zu wechseln und zu speichern.
Ereignisbenachrichtigungen Bei einem wichtigen Ereignis auf der Panda GateDefender-Appliance (z. B. wenn eine Partition bald ausgelastet ist oder Updates verfügbar sind) kann eine sofortige Benachrichtigung per E-Mail erfolgen, damit im Bedarfsfall umgehend Maßnahmen zur Problemlösung ergriffen werden können.
Systeme, die den Hotspot unterstützen, verwenden außerdem SMS zur Aktivierung neuer Konten oder für den Erwerb neuer Tickets. Die Seite enthält die folgenden drei Registerkarten: Einstellungen, SMS-Benachrichtigungen und Ereignisse.
Einstellungen Die Standardregisterkarte dient zur Konfiguration der E-Mail-Benachrichtigungen:
Benachrichtigungen mailen
Auswahl aus einem Dropdown-Menü, wie das Benachrichtigungssystem verwendet werden soll. Folgende Optionen sind verfügbar:
Es wird die Standard-Administrator-E-Mail-Adresse verwendet, die im Installations-Assistenten oder in Schritt 6 unter Menüleiste –> System –> Netzwerkkonfiguration angegeben wurde.
Benachrichtigung an eine benutzerdefinierte Emailadresse: Es wird eine alternative E-Mail-Adresse für die E-MailBenachrichtigungen verwendet. In diesem Fall müssen drei weitere Optionen konfiguriert werden, nämlich:
Absender Mailadresse
Die E-Mail Adresse, die als Absenderadresse angezeigt wird.
Empfänger Mailadresse
Die E-Mail Adresse, an welche die E-Mail-Nachricht geschickt wird.
Mail Smarthost
Der zum Versenden der E-Mail verwendete SMTP-Server.
nicht benachrichtigen: Es werden keine Benachrichtigungen versendet.
SMS SMS-Benachrichtigungen werden vom Hotspot verwendet, um Konten oder Tickets zu aktivieren.
Das Feld ist in zwei Teile gegliedert: im oberen Teil ist es möglich SMS-Pakete hinzuzufügen, während im unteren Teil Informationen über das SMS-Kontingent angezeigt werden.
Geben Sie den Activation Code ein ... Zum Hinzufügen eines neuen SMS-Pakets muss dieses zunächst über die Panda Perimetral Management Console erworben werden, wodurch ein Aktivierungscode generiert wird. Dieser Aktivierungscode muss in dieses Textfeld eingegeben werden.
Aktivieren Nachdem Sie einen gültigen Aktivierungscode eingegeben haben, klicken Sie auf diese Schaltfläche, um ein SMS-Kontingent hinzuzufügen, das für den Versand der Benachrichtigungen verwendet wird.
Verfügbare SMS Die Anzahl der verfügbaren SMS.
Reservierte SMS Die Anzahl der SMS, die bereits verwendet, aber noch nicht an den Empfänger zugestellt wurden. Dieser Fall kann beispielsweise eintreten, wenn der Empfänger nicht erreichbar war.
Ereignisse Auf dieser Registerkarte wird eine Liste aller Ereignisse angezeigt, durch die eine Benachrichtigung ausgelöst werden kann. Außerdem können die Aktionen konfiguriert werden, die bei den Ereignissen jeweils ausgeführt werden sollen. Direkt über der Liste befindet sich eine kleine Navigationsleiste sowie ein Suchfeld für das Filtern relevanter Elemente.
Die Liste enthält die folgenden drei Spalten:
ID Der aus acht Ziffern bestehende ID-Code ABBCCCCD des Ereignisses. Dieser ist folgendermaßen aufgebaut:
A stellt die Schichtnummer dar, die angibt, in welcher Systemkomponente das Ereignis aufgetreten ist: 1 bedeutet Kernel, 2 das System selbst, 3 Dienste, 4 Konfigurationsebene und 5 die GUI.
BB ist die Modulnummer. CCCC ist eine sequenzielle Nummer, die mit dem Ereignis verbunden ist. D ist der Schweregrad des Ereignisses: Je niedriger der Wert ist, desto ungünstiger ist es: 0 ist ein kritisches Ereignis, 4–5 sind neutral und 9 ist ein positives Ereignis.
Beschreibung Eine Kurzbeschreibung des Ereignisses.
Aktionen Die Aktionen, die für jedes Ereignis ausgeführt werden können. Alle E-Mail-Benachrichtigungen sind standardmäßig aktiviert (symbolisiert durch
), können aber durch Klicken auf das E-Mail-Symbol in der entsprechenden Zeile für einzelne
Ereignisse deaktiviert werden (dadurch ändert sich das Symbol zu
). Durch nochmaliges Klicken auf das Symbol werden
die Benachrichtigungen erneut aktiviert. Nachdem Sie eine Aktion geändert haben, denken Sie daran, auf die Schaltfläche Übernehmen zu klicken, die innerhalb des grünen Textfeldes über der Ereignisliste angezeigt wird.
Aktualisierungen An dieser Stelle werden die Softwareupdates verwaltet. Es kann jederzeit manuell nach verfügbaren aktualisierten Paketen gesucht oder eine regelmäßige Überprüfung festgelegt werden.
Auf dieser Seite befinden sich zwei Felder: In einem wird der derzeitige Status des Systems angezeigt, und in dem anderen kann eine regelmäßige Prüfung auf Updates definiert werden.
Status
Das Feld Status zeigt an, ob der Computer Aktualisierungen benötigt oder nicht. Ist dies der Fall, wird eine Liste verfügbarer Pakete angezeigt. Falls nicht, wird die Meldung „Ihre Panda GateDefender-Appliance ist auf dem aktuellen Stand!” angezeigt. Außerdem informieren zusätzliche Meldungen über das Datum und die Uhrzeit der letzten Prüfung auf Aktualisierungen, und wann das letzte Upgrade durchgeführt wurde. Folgende Optionen stehen zur Auswahl:
Prüfe auf neue Aktualisierungen! Es wird eine manuelle Überprüfung auf aktualisierte Pakete gestartet, und gefundene Pakete werden aufgeführt. Einzelne Pakete können zur Installation aus der Liste ausgewählt werden.
Beginne Aktualisierung JETZT! Der Aktualisierungsvorgang wird gestartet: Vom System werden die aktualisierten Pakete heruntergeladen und installiert, wobei die älteren Pakete ersetzt werden.
Bemerkung
Für die Überprüfung auf Updates ist eine gültige Wartungsvereinbarung erforderlich. Andernfalls werden auch verfügbare Updates nicht angezeigt.
Terminplan zum Runterladen der Liste der vorhandenen Updates
Im Feld Terminplan kann ein regelmäßiger Job eingerichtet werden, durch den die Liste der aktualisierten Pakete abgerufen wird. Dieser Job wird vom Cron-Daemon geregelt. Dieser kann entweder stündlich, täglich, wöchentlich oder monatlich ausgeführt werden. Wird der Mauszeiger über das kleine ? neben einer Option geführt, wird der genaue Zeitpunkt des Jobs als Tooltip angezeigt.
Support
Auf dieser Seite können Sie die Anfragen an den Panda Support senden, wenn Sie Hilfe benötigen.
Bemerkung
Um eine Anfrage an den Support zu übermitteln, muss Ihr System in der Panda Perimetral Management Console registriert sein. Falls nicht, wird die Meldung „Derzeit ist kein laufender Wartungsvertrag verfügbar.” angezeigt.
Die Seite ist in zwei Bereiche unterteilt: Der erste Bereich enthält einen Link, um die Homepage des Supports zu öffnen und im zweiten es ist möglich, den SSH-Zugriff für den Support zu ermöglichen.
Support-Portal besuchen
Dieses Feld beinhaltet nur den Link zur Homepage des Supports.
Bitte besuchen Sie unser Support-Portal Durch Klicken auf diesen Link öffnet sich im Browser eine neue Registerkarte, in der Sie Anweisungen dazu finden, wie Sie eine Anfrage an den Support übermitteln können.
Zugang zum Panda Support-Team
Optional können Sie den Zugriff auf die Firewall über SSH gewähren, eine sichere, verschlüsselte Verbindung, mit der sich ein Mitglied des Supports in die Panda GateDefender-Appliance einloggen und herauszufinden kann, wo das Problem liegt. Das Feld enthält eine informative Meldung, den Zugriffsstatus, der entweder NICHT ERLAUBT oder ERLAUBT ist. Wenn der Status NICHT ERLAUBT ist, wird eine Schaltfläche am unteren Rand des Feldes angezeigt:
Zugriff erlauben
Durch Klicken auf diese Schaltfläche erhält das Supportteam 4 Tage Zugriff auf die Panda GateDefenderAppliance. Wenn der Support-Zugriff erlaubt ist, wird eine neue Meldung unter der Statusmeldung angezeigt: Zugriff erlaubt bis: gefolgt von Datum und Uhrzeit, zu dem/der der Zugriff auf die Panda GateDefender-Appliance widerrufen wird. Zusätzlich werden am unteren Rand des Feldes zwei Schaltflächen angezeigt.
Zugriff verweigern Damit widerrufen Sie unverzüglich den gestatteten Zugriff auf die Panda GateDefender-Appliance.
Zugriff für vier weitere Tage verlängern Wenn der technische Support mehr Zeit für die Untersuchung des Panda GateDefender-Appliance benötigt, gestattet ein Klick auf diese Schaltfläche den Zugriff für weitere vier Tage.
Bemerkung
Wenn diese Option aktiviert ist, wird der öffentliche SSH-Schlüssel des technischen Supports in das System kopiert und der Zugriff wird über diesen Schlüssel gestattet. Das technische Support-Team wird sich nicht mit Benutzername/Kennwort auf der Panda GateDefender-Appliance authentifizieren. Das Root-Kennwort der Panda GateDefender-Appliance wird dem Support-Team niemals mitgeteilt.
Panda Perimetral Management Console Bei der Panda Perimetral Management Console, oder kurz „Perimetral Console“, handelt es sich um eine Lösung von Panda, mit der alle registrierten Panda GateDefender-Appliance-Systeme mit nur wenigen Klicks zentral und bequem überwacht, verwaltet und aktualisiert werden können.
Die Seite ist in zwei Registerkarten unterteilt: Abonnements und Fernzugriff.
Abonnement Wenn die Firewall noch nicht bei der Panda Perimetral Management Console registriert wurde, wird das Registrierungsformular angezeigt. Dieses kann vor Absenden der Registrierungsanfrage ausgefüllt werden. Nach Abschluss der Registrierung werden auf der Registerkarte „Abonnements“ die folgenden drei Felder angezeigt:
Systeminformationen
In diesem Feld werden Basisdaten zur Panda GateDefender Appliance angezeigt: die Seriennummer, der Aktivierungscode, das Appliance-Modell sowie das ausgewählte Wartungspaket.
Registrierungsstatus
In diesem Feld wird eine Zusammenfassung des Support-Status der Panda Perimetral Management Console angezeigt: der Systemname, die Organisation, für die die Panda GateDefender-Appliance registriert ist, die System-ID und das Datum des letzten Updates.
Ihre Aktivierungsschlüssel
Für das Empfangen von Updates und die Nutzung der Panda Perimetral Management Console ist mindestens ein gültiger (d. h. ein nicht bereits abgelaufener) Aktivierungsschlüssel erforderlich. Für jeden Supportkanal wird ein Schlüssel mit dem Gültigkeitszeitraum und den verbleibenden Tagen der Wartungsvereinbarung angezeigt. In der Regel handelt es sich aber jeweils um denselben Schlüssel. Ein abgelaufener Schlüssel wird durch einen durchgestrichenen Kanalnamen und die Zeichenfolge abgelaufen in der entsprechenden Spalte Tage verbleibend angezeigt.
Fernzugriff Auf der Registerkarte „Fernzugriff“ kann ausgewählt werden, ob und ggf. mithilfe welches Protokolls die Panda GateDefender-Appliance über die Panda Perimetral Management Console erreichbar ist. Durch Klicken auf den grauen Schalter
oben auf der Seite
wird der Zugriff erlaubt. Der Schalter wird daraufhin blau und die beiden folgenden Zugriffsoptionen können durch Aktivieren des entsprechenden Kontrollkästchens ausgewählt werden:
Aktiviere HTTPS Zugang Die Panda GateDefender-Appliance ist über die Weboberfläche erreichbar.
Aktiviere SSH Zugriff Die Anmeldung bei der Panda GateDefender-Appliance über eine sichere Shell ist erlaubt. Durch Aktivieren dieser Option wird automatisch der SSH Zugang aktiviert.
Passwörter Auf dieser Seite können die Passwörter der drei Standardbenutzer geändert werden. Dafür wird ein Passwort zweimal eingegeben und anschließend auf die Schaltfläche Passwort ändern geklickt:
Admin Der Benutzer, der zur Verwaltung die Weboberfläche verwenden kann.
Einwahl Ein spezieller Benutzer, dessen Zugriff auf die Oberfläche eingeschränkt ist und der nur Uplinks verwalten kann.
Root
Der Benutzer, der sich zur Verwaltung bei der Shell anmelden kann. Die Anmeldung kann entweder über die serielle Konsole oder mithilfe eines Remote-SSH-Clients erfolgen.
Tipp
Passwörter müssen mindestens 6 Zeichen lang sein.
Web-Konsole Von der Webkonsole wird ein Terminal als Applet im Browserfenster bereitgestellt, das als CLI zum Ausführen von Verwaltungsaufgaben dient.
Die Funktionen der Webkonsole sind identisch mit denen, die bei Anmeldung über die serielle Konsole oder SSH vorhanden sind. Links unten im Applet wird der Konsolenstatus angezeigt: Verbunden oder Getrennt. Sie können die Konsole jederzeit durch Eingeben von exit und Drücken der Taste Eingabe auf der Tastatur wie bei jeder normalen Konsole beenden.
Ist die Konsole getrennt, kann sie durch nochmaliges Klicken auf den Untermenüpunkt Web Konsole wieder verbunden werden. Rechts unten im Applet werden zwei Links angezeigt:
Virtuelle Tastatur einschalten: Durch Klicken auf diesen Link wird ein Tastatur-Applet unterhalb der Konsole angezeigt, das verwendet werden kann, um Befehle durch Klicken mit der Maus auf die verschiedenen Tasten einzugeben und auszuführen.
Hinweis
Wenn die Webkonsole getrennt ist, kommuniziert dieses Applet nicht mit der Konsole.
Eingabe deaktivieren Dieser Link ermöglicht ein Umschalten der Möglichkeit, Eingaben von der Tastatur an die Webkonsole zu senden.
Tipp
Diese Option hat keine Auswirkungen auf die virtuelle Tastatur.
SSH-Zugang Auf dieser Seite kann der Remote-SSH-Zugang für die Panda GateDefender-Appliance aktiviert werden. Standardmäßig ist dieser deaktiviert (empfohlen). Auf der Seite befinden sich zwei Felder: Secure Shell Zugangseinstellungen und SSH Host Schlüssel.
Secure Shell Zugangseinstellungen
Durch Klicken auf den grauen Schalter wird der SSH-Zugang aktiviert. Der SHH-Dienst wird gestartet, und einige Sekunden später werden die folgenden Konfigurationsoptionen angezeigt:
Beispiel SYS-1 – Tunneln von Datenverkehr über SSH:
Für dieses Beispiel wird davon ausgegangen, dass ein Dienst wie z. B. Telnet (oder ein anderer Dienst, der über SSH getunnelt werden kann) auf einem Computer innerhalb der GRÜNEN Zone ausgeführt wird. Der verwendete Port ist Port 23, der Hostname ist myhost, und die IP-Adresse lautet 10.0.0.20. Es soll ein SSH-Tunnel über die Panda GateDefender-Appliance eingerichtet werden, um von außerhalb des LAN, d. h. aus der ROTEN Zone, sicher auf den Dienst zugreifen zu können. Obwohl ein Zugriff auf GRÜN von der ROTEN Schnittstelle im Allgemeinen nicht empfohlen wird, kann es in einigen Fällen, z. B. während der Testphase eines Diensts, nützlich sein:
1.
Aktivieren Sie SSH und ermöglichen Sie den Zugriff auf den Host, indem Sie unter Menüleiste ‣ Firewall ‣ Systemzugriff die Firewall so konfigurieren, dass myhost von außerhalb erreichbar ist.
2.
Stellen Sie von einem externen System eine Verbindung mit der Panda GateDefender-Appliance her, indem Sie den Befehl ssh -N -f -L 12345:10.0.0.20:23 root@appliance verwenden. Durch -N wird SSH angewiesen, keine Befehle auszuführen, sondern lediglich den Datenverkehr weiterzuleiten. Durch
-f
wird SSH im Hintergrund ausgeführt, und durch
-L
12345:10.0.0.20:23 wird der Port 12345 des externen Systems dem Port 23 von myhost zugeordnet, wie er für die Panda GateDefender-Appliance sichtbar ist. 3.
Der SSH-Tunnel zwischen Port 12345 des externen Systems und Port 23 von myhost ist nun eingerichtet. Um myhost zu erreichen, muss nun auf dem externen System nur noch Port 12345 des Localhost per Telnet angesprochen werden.
Version 1 des SSH-Protokolls Diese Option wird nur für ältere SSH-Clients benötigt, von denen neuere Versionen des SSH-Protokolls nicht unterstützt werden.
Warnung
Von der Aktivierung von SSH Version 1 wird dringend abgeraten, da diese veraltet ist und nicht mehr gepflegt wird. Sie enthält bekannte Sicherheitsrisiken, die durch böswillige Benutzer ausgenutzt werden können. SSH-Clients sollten heutzutage stets Version 2 von SSH verwenden, die sicherer und zuverlässiger ist.
Erlaube TCP Weiterleitung Durch Aktivieren dieser Option werden andere Protokolle über SSH getunnelt. Siehe Beispiel SYS-1 für einen Anwendungsfall.
Passwortbasierte Authentifizierung zulassen Zulassen der Anmeldung mithilfe von Passwortauthentifizierung.
Authentifizierung auf Basis öffentlicher Schlüssel zulassen Zulassen der Anmeldung mithilfe öffentlicher Schlüssel. Die öffentlichen Schlüssel der Clients, die sich per Authentifizierung mit Schlüssel anmelden können, müssen der Datei
/root/.ssh/authorized_keys hinzugefügt
werden.geprüft werden. Speichern Klicken Sie im unteren Seitenbereich auf diese Schaltfläche, um die Einstellungen der vier vorherigen Optionen zu speichern.
Bemerkung
Der SSH-Zugang wird automatisch aktiviert, wenn mindestens eine der folgenden Optionen festgelegt wurde:
Der Zugriff für das Panda Supportteam wurde unter Menüleiste ‣ System ‣ Support zugelassen.
Die Hochverfügbarkeit wurde unter Menüleiste ‣ Dienste ‣ Hochverfügbarkeit aktiviert.
Der SSH-Zugang wurde unter Menüleiste ‣ System ‣ Perimetral Console ‣ Fernzugriff zugelassen.
SSH Host Schlüssel
In einem Feld unten auf der Seite werden die öffentlichen SSH-Host-Schlüssel der Panda GateDefender-Appliance, die beim ersten Starten des openSSH-Servers generiert wurden, mit ihrem jeweiligen Fingerabdruck und der Größe in Bits angezeigt.
GUI-Einstellungen An dieser Stelle sind zwei Konfigurationsoptionen für die GUI vorhanden. Die erste Option ist die Auswahl der Sprache, die für die Namen der Abschnitte, die Beschriftungen und alle sonstigen Texte der Weboberfläche verwendet wird. Sie erfolgt aus einem Dropdown-
Menü. Die momentan unterstützten Sprachen sind: Englisch, Deutsch, Italienisch, Chinesisch (vereinfacht), Japanisch, Portugiesisch, Russisch, Spanisch und Türkisch.
Mit der zweiten Option kann durch Aktivieren des Kontrollkästchens Hostname im Fenstertitel anzeigen der Hostname der Panda GateDefender-Appliance im Fenstertitel des Browsers angezeigt werden.
Datensicherung In diesem Abschnitt werden die Datensicherungen verwaltet: Erstellen von Sicherungen der aktuellen Panda GateDefender-ApplianceKonfiguration und erforderlichenfalls Zurücksetzen des Systems auf eine dieser Sicherungen. Datensicherungen können lokal auf dem Panda GateDefender-Appliance-Host, auf einem USB-Stick oder durch Herunterladen auf eine Workstation gespeichert werden.
Außerdem ist es möglich, die Konfiguration auf die Werkseinstellungen zurückzusetzen, vollständig automatisierte Sicherungen zu erstellen und zahlreiche weitere Verwaltungsaufgaben für Datensicherungen auszuführen.
Der Abschnitt ist in zwei Registerkarten unterteilt: Datensicherung und geplante Datensicherungen. Die erste dient dem Verwalten manueller Datensicherungen und die zweite dem Einrichten automatischer, geplanter Datensicherungen.
Datensicherung Auf der Registerkarte Datensicherung befinden sich vier Felder, in denen die manuellen Datensicherungen verwaltet werden können.
Datensicherungssätze
Das erste Feld enthält eine Liste der manuellen und geplanten Datensicherungen, die auf der Panda GateDefender-Appliance gespeichert sind, eine Option zum Erstellen einer neuen Datensicherung und die Legende zu den begleitenden Symbolen. Wenn ein USB-Stick an die Panda GateDefender-Appliance angeschlossen ist und erkannt wurde, werden auch darauf gespeicherte Datensicherungen angezeigt.
Beim Klicken auf die Schaltfläche Neue Datensicherung durchführen wird ein Dialogfeld geöffnet, in dem die zu sichernden Daten ausgewählt werden:
Aktuelle Konfiguration Die Datensicherung umfasst alle Konfigurationseinstellungen einschließlich aller bisherigen Änderungen und Anpassungen, d. h. den vollständigen Inhalt des Verzeichnisses /var/efw.
Konfiguration und Datenbankinhalt einschließen Der Inhalt der Datenbank wird ebenfalls gesichert.
Warnung
Die Datenbank kann sensible Daten enthalten. Daher muss eine Datensicherung, die den Datenbankinhalt umfasst, unbedingt an einem sicheren Ort gespeichert werden.
Logs aufnehmen Einschließen der aktuellen Protokolldateien (z. B.
/var/log/messages).
Protokolldateien der vorherigen Tage
werden nicht eingeschlossen.
Log Archive aufnehmen Zusätzliches Einschließen älterer, rotierter Protokolldateien (z. B.
/var/log/messages.YYYYMMDD.gz).
Nach einiger Zeit können Datensicherungen, die mit dieser Option erstellt werden, sehr umfangreich sein.
Anmerkung Ein Kommentar zu der Datensicherung, der in der Tabellenspalte Anmerkung angezeigt wird. Er sollte daher aussagekräftig genug sein, um ihren Inhalt in Erinnerung zu rufen.
Zum Erstellen einer neuen Datensicherung muss mindestens eines der Kontrollkästchen aktiviert sein.
Format und Name der Sicherungsdateien:
Sicherungsdateien werden als Archive im Format tar.gz mithilfe der standardmäßigen Linux-Tools tar und gzip erstellt. Die im Archiv gespeicherten Dateien können entweder mithilfe von tar zxf archivname.tar.gz oder tar vzxf archivname.tar.gz extrahiert werden, um alle verarbeiteten Dateien und einige Informationen auf dem Bildschirm anzuzeigen. Die Option v bedeutet hierbei ausführlich. Der Name der Sicherungsdatei ist eindeutig und beinhaltet die maximale Informationsmenge über den Inhalt. Daher kann es zu sehr lange Zeichenfolgen
kommen,
z. B.
backup-20130208093337-myappliance.mydomain-settings-db-logs-logarchive.tar.gz,
wobei
20130208093337 dem Zeitstempel bei Erstellung der Sicherung im Format JJJJMMTTHHMMSS entspricht – in diesem Beispiel: 8. Februar 2013 um 09:33:37 Uhr. Durch diese Auswahl werden die Sicherungen lexikografisch von der ältesten zur neuesten geordnet. myappliance.mydomain bezeichnet den Hostnamen und Domänennamen der Panda GateDefender-Appliance, wie sie in Schritt 3 der Netzwerkkonfiguration (Menüleiste ‣ System ‣ Netzwerkkonfiguration) festgelegt wurden. settings-db-logs-logarchive bezeichnet den Inhalt der Sicherung. In diesem Fall handelt es sich um eine vollständige Sicherung, da alle vier Bestandteile im Namen angezeigt werden. Eine Sicherung, die nur Einstellungen und Protokolle enthält, wird beispielsweise durch die Zeichenfolge settings-logs identifiziert.
Zum Erstellen einer Datensicherung auf einem externen USB-Laufwerk (USB-Stick), muss ein USB-Laufwerk mit der Panda GateDefender-Appliance verbunden sein. Es wird empfohlen, als Dateisystem FAT32/VFAT zu verwenden, da dadurch die Übertragbarkeit auf andere Systeme verbessert wird. Wenn der USB-Stick erkannt wurde, werden auf der rechten Seite des Felds die Meldung USB Stick gefunden und die neue Option Backup auf USB Stick erstellen angezeigt. Zum Speichern der Datensicherung auf dem USB-Stick muss das Kontrollkästchen neben dieser Option aktiviert sein.
Durch Klicken auf die Schaltfläche Backup erzeugen wird die Datensicherung erstellt. Nach einer kurzen Zeit für das Zusammentragen und Archivieren der erforderlichen Dateien wird die neue Datensicherung in der Liste angezeigt. Nach Abschluss des Sicherungsvorgangs wird ein gelber Hinweis oberhalb des Feldes mit der Meldung Datensicherung erfolgreich abgeschlossen angezeigt.
In der zunächst leeren Liste der verfügbaren Datensicherungen werden jeweils das Erstellungsdatum, der Inhalt anhand eines Buchstabenschlüssels, die Anmerkung und die Liste der Aktionen angezeigt, die für die Datensicherungsdatei verfügbar sind. Automatische Datensicherungen werden mit der Zeichenfolge Automatische Datensicherung vor Upgrade markiert.
Der Inhalt einer Datensicherung wird gemäß den Optionen, die während der Erstellung ausgewählt wurden, durch mindestens eines der folgenden Zeichen angegeben:
A: Archiv. Die Datensicherung enthält archivierte Protokolldateien.
C: Cron. Die Datensicherung wurde durch einen geplanten Datensicherungsjob automatisch erstellt.
D: Datenbankinhalt. Die Datensicherung enthält den Datenbankinhalt.
E: Verschlüsselt. Die Datensicherungsdatei ist verschlüsselt.
L: Protokolldateien. Die Datensicherung enthält die heutigen Protokolldateien.
S: Einstellungen. Die Datensicherung enthält die Konfigurationen und Einstellungen.
U: USB. Die Datensicherung wurde auf einem USB-Stick gespeichert.
!: Fehler. Etwas ist beim Senden der Sicherungsdatei per E-Mail fehlgeschlagen.
Die verfügbaren Aktionen sind: Exportieren eines Archivs auf die lokale Workstation Wiederherstellen eines Archivs
auf der Panda GateDefender-Appliance.
, Löschen eines Archivs
und
Datensicherungsarchive verschlüsseln
Im zweiten Feld können alle Datensicherungen mit einem öffentlichen GPG-Schlüssel verschlüsselt werden. Wählen Sie den GPGSchlüssel durch Klicken auf die Schaltfläche Datei auswählen, um die Schlüsseldatei vom lokalen Dateisystem hochzuladen. Wenn das Kontrollkästchen Datensicherungsarchive verschlüsseln aktiviert ist, wird die Auswahl durch Klicken auf Speichern bestätigt und die Schlüsseldatei hochgeladen.
Tipp
Verschlüsseln Sie Sicherungsarchive, wenn Sicherungsdateien empfindliche Daten enthalten wie z. B. Passwörter von Benutzern, die in der Datenbank gespeichert sind, Benutzerdaten für den Hotspot oder Rechnungsinformationen.
Datensicherungsarchiv importieren
Im dritten Feld kann ein zuvor gespeichertes Datensicherungsarchiv in die Panda GateDefender-Appliance hochgeladen werden. Dieses wird durch Klicken auf die Schaltfläche Datei auswählen und Auswählen der entsprechenden Datei im lokalen Dateisystem angegeben. Im Feld Anmerkung kann optional eine Notiz zu der Datensicherung eingegeben werden. Durch Klicken auf die Schaltfläche Importieren wird die Datensicherung schließlich hochgeladen. Nach kurzer Zeit wird sie in der Liste der Datensicherungen oben auf der Seite angezeigt und kann durch Klicken auf das Symbol
wiederhergestellt werden.
Hinweis
In die Panda GateDefender-Appliance können keine verschlüsselten Datensicherungen importiert werden. Diese müssen vor dem Hochladen entschlüsselt werden.
Konfiguration auf Werkseinstellungen zurücksetzen und dann neu starten
Im vierten Feld können alle bisherigen Konfigurationen und Einstellungen gelöscht werden, indem das System mit der Standardkonfiguration neu gestartet wird. Dies geschieht durch Klicken auf die Schaltfläche Werkseinstellungen: Nachdem eine automatische Sicherungskopie der aktuellen Einstellungen gespeichert wurde, wird die Konfiguration auf die Werkseinstellungen zurückgesetzt und die Panda GateDefender-Appliance umgehend neu gestartet.
Geplante Datensicherungen Auf der Registerkarte Geplante Datensicherungen können automatische Datensicherungen des Systems aktiviert und konfiguriert werden. Die Registerkarte enthält zwei Felder:
Zeitgesteuerte automatische Datensicherung
Im ersten Feld werden automatische Datensicherungen aktiviert und konfiguriert. Sind sie aktiviert, können die Elemente der Panda GateDefender-Appliance, die in die Datensicherung eingeschlossen werden sollen, wie bereits im Feld Datensicherungssätze der anderen Registerkarte ausgewählt werden. Der einzige Unterschied besteht darin, dass bei geplanten Sicherungen keine Möglichkeit besteht, Anmerkungen zu machen. Zusätzliche Optionen sind:
Aktiviert Geplante Sicherungen aktivieren
Anzahl Archive in Aufbewahrung Wählen Sie aus dem Dropdown-Menü, wie viele Sicherungen auf der Panda GateDefender-Appliance gehalten werden sollen (2 bis 10, diese können jedoch exportiert werden, um Speicherplatz zu sparen).
Zeitplan für automatische Datensicherungen Die Häufigkeit von Sicherungen: stündlich, täglich, wöchentlich oder monatlich.
Menü „System“ Schicke Datensicherung als Mail
Im zweiten Feld kann konfiguriert werden, ob das System die Datensicherungen per E-Mail senden soll. Folgende Optionen stehen zur Verfügung:
Aktiviert Ermöglicht das Senden von Sicherungen via E-Mail.
Emailadresse des Empfängers Die E-Mail-Adresse, an welche die E-Mail mit der Sicherung gesendet wird.
Emailadresse des Absenders Die als Absender angezeigte E-Mail-Adresse. Dies ist hilfreich, wenn bei Sicherungen angezeigt werden soll, ob diese von einer bestimmten Adresse stammen (z. B.
[email protected]). Sie muss angegeben werden, wenn die Domäne oder der Hostname nicht vom DNS aufgelöst werden kann.
Adresse die als Smarthost verwendet werden soll Die Adresse eines Smarthost zum Versenden der E-Mails ist erforderlich, wenn die ausgehenden E-Mails über einen SMTPServer (z. B. den des Unternehmens) anstatt direkt von der Panda GateDefender-Appliance geleitet werden sollen.
Tipp
Die explizite Adresse eines Smarthost ist erforderlich, wenn der SMTP-Proxy (Menüleiste -> Proxy -> SMTP) deaktiviert ist.
Datensicherungsarchiv jetzt senden Mithilfe dieser Schaltfläche werden die Einstellungen gespeichert, und es wird ein sofortiger Versuch unternommen, eine EMail mit der angehängten Datensicherungsdatei zu senden. Auf diese Weise kann gleichzeitig die Korrektheit der Daten überprüft werden.
Herunterfahren Auf dieser Seite kann die Panda GateDefender-Appliance durch Klicken auf die Schaltfläche Herunterfahren bzw. Neustart heruntergefahren oder neu gestartet werden.
Warnung
Das Herunterfahren oder der Neustart wird durch Klicken auf die entsprechenden Schaltflächen ohne weitere Bestätigungsaufforderung sofort gestartet.
Nach einem Neustart ist es möglich, die Benutzeroberfläche ohne Authentifizierung zu nutzen.
Lizenzbestimmungen In diesem Abschnitt wird die Lizenzvereinbarung zwischen Panda und dem Besitzer der Panda GateDefender-Appliance angezeigt.
Bemerkung
Ändert sich nach einem Upgrade die Lizenzvereinbarung, muss bei der ersten Anmeldung die neue Lizenzvereinbarung angenommen werden, bevor auf das aktualisierte System zugegriffen wird und die Panda GateDefender-Appliance verwendet werden kann.
31
Menü „Status“ Menü „Status“ Das Menü „Status“ bietet eine Reihe von Seiten mit Informationen in grafischer bzw. in Textform zu verschiedenen Daemons, die auf der Panda GateDefender-Appliance ausgeführt werden. In diesem Modul sind keine Konfigurationsoptionen verfügbar. Es wird nur der aktuelle Status der Panda GateDefender-Appliance angezeigt.
Über die folgenden Elemente im Untermenü links im Bildschirm werden detaillierte Informationen zu einigen Funktionen der Panda GateDefender-Appliance zur Verfügung gestellt:
Systemstatus – Dienste, Ressourcen, Betriebszeit, Kernel Netzwerkstatus – Konfiguration von Netzwerkschnittstellen, Routingtabellen, ARP-Cache Systemdiagramme – Diagramme zum Ressourcenverbrauch Netzwerkdiagramme – Diagramme zur Bandbreitennutzung Proxydiagramme – Diagramm der HTTP-Proxy-Zugriffsstatistiken der letzten 24 Stunden (Woche, Monat und Jahr) Verbindungen – Liste der offenen TCP/IP-Verbindungen OpenVPN-Verbindungen – Liste der OpenVPN-Verbindungen SMTP Mailstatistik – Diagramm zum SMTP-Dienst. Mail Queue – E-Mail-Warteschlange der SMTP-Server
Systemstatus Durch Klicken auf Menüleiste ‣ Status wird die Seite Systemstatus angezeigt. Sie bietet in verschiedenen Feldern einen kurzen Überblick zu folgenden Komponenten: laufende Dienste, Speicher, Festplattenbelegung, Betriebszeit und Benutzer, geladene Module und KernelVersion. Im oberen Seitenbereich befinden sich Hyperlinks zu den einzelnen Feldern. Die entsprechenden Informationen werden in den einzelnen Feldern weiter ausgeführt, wobei es sich in der Regel um die Ausgabe bestimmter Linux-Befehle handelt.
Dienste
Der Status (Angehalten oder Läuft – markiert durch ein grünes bzw. rotes Quadrat) der auf der Panda GateDefender-Appliance installierten Dienste wird hier angezeigt. Ein Dienst kann unter dem Status ANGEHALTEN angezeigt werden, wenn der entsprechende Daemon bzw. das entsprechende Skript nicht aktiviert ist.
Speicher
Die Ausgabe des Linux-Befehls free liefert die hier angezeigten Daten. Sämtliche Daten werden mit ihrer tatsächlichen Datenmenge in Kilobyte angegeben. Ein Balken illustriert die Speichernutzung. Die erste Zeile zeigt den gesamten verwendeten Arbeitsspeicher an, wobei ein Wert nahe 100 % bei einem System mit langer Betriebsdauer normal ist, da der Linux-Kernel sämtlichen verfügbaren RAM als Zwischenspeicher für die Festplatte nutzt, um Lese- und Schreibvorgänge zu beschleunigen. In der zweiten Zeile wird der momentan von Prozessen genutzte Speicher angezeigt: Idealerweise sollte dieser Wert unter 80 % liegen, um verfügbaren Speicher zum Zwischenspeichern für die Festplatte freizuhalten. Wenn sich dieser Wert der 100-%-Marke annähert, wird das System verlangsamt, da aktive Prozesse auf die Festplatte ausgelagert werden müssen. Wenn die Speicherauslastung längere Zeit über 80 % liegt, sollte RAM hinzugefügt werden, um die Leistung zu steigern. Der dritte Balken veranschaulicht die Nutzung der Swap-Partition. Für ein System mit langer Betriebsdauer ist eine moderate Nutzung der Swap-Partition normal (der Wert sollte unter 20 % liegen), insbesondere wenn nicht alle Dienste gleichzeitig laufen.
Festplattenbelegung
Die Ausgabe des Linux-Befehls df zeigt die Festplattengeräte – physische Laufwerke und Partitionen, deren Bereitstellungspunkt und den Speicherplatz jeder Partition. Abhängig vom Typ der Panda GateDefender-Appliance unterscheiden sich die in diesem Feld angezeigten Daten. In der Regel sind dies:
Die Hauptfestplatte /dev/hda1,
Die Datenfestplatte /dev/mapper/local-var,
Die Konfigurationsplatte
/dev/mapper/local-config,
auf der sämtliche Einstellungen der Panda
GateDefender-Appliance gespeichert sind,
Die Protokollplatte /dev/mapper/local-log,
Der gemeinsame Speicher, /dev/shm/.
Hinweis
Die Daten- und Protokollplatte wachsen mit der Zeit, daher sollte genug Speicherplatz für diese reserviert sein – besonders für die Protokollplatte. Beachten Sie außerdem, dass Festplatten nie zu mehr als 95 % belegt sein sollten, da dies das korrekte Arbeiten des Systems behindern kann.
Betriebszeit und Benutzer
In diesem Feld wird die Ausgabe des Linux-Befehls w angezeigt. Folgende Informationen werden hier angegeben: aktuelle Zeit, Betriebszeit des Systems seit dem letzten Neustart, Zahl der momentan beim System angemeldeten Konsolenbenutzer (normalerweise sollte diese Zahl bei Null liegen) und die durchschnittliche Systembelastung während der letzten Minute sowie den letzten 5 und 15 Minuten. Falls ein Konsolenbenutzer auf dem System angemeldet ist, werden zusätzlich einige Informationen über den Benutzer angezeigt (wie z. B. der Remote-Host, von dem aus dieser angemeldet ist, oder was dieser ausführt). Weitere Informationen finden Sie auf Seite w(1) des Handbuchs.
Geladene Module
Die Ausgabe des Linux-Befehls lsmod: Zeigt die aktuell im Arbeitsspeicher geladenen Kernel-Module an. Diese Informationen sind nur für fortgeschrittene Benutzer von Nutzen.
Kernelversion
Die Ausgabe des Linux-Befehls uname -r zeigt die aktuelle Kernelversion an.
Netzwerkstatus Diese Seite enthält verschiedene Informationen zum Betriebszustand der Netzwerkschnittstellen. Vier Felder sind auf dieser Seite vorhanden, und wie für den Systemstatus werden für den Schnellzugriff Hyperlinks am oberen Rand der Seite bereitgestellt. Die folgenden Informationen in den Feldern repräsentieren die Ausgabe verschiedener Shell-Befehle.
Schnittstellen
Im ersten Feld wird die Ausgabe des Befehls ip addr show angezeigt. Diese beinhaltet die zu jeder Netzwerkschnittstelle gehörende MAC- bzw. IP-Adresse sowie zusätzliche Kommunikationsparameter. Die aktiven Schnittstellen werden in der Farbe der ihnen zugeordneten Zone markiert. Bei diesen Schnittstellen kann es sich um Ethernet-Schnittstellen, Brücken oder virtuelle Geräte handeln.
NIC status
An dieser Stelle werden die aktuell ausgeführten Konfigurationen und Kapazitäten der angezeigten Netzwerkkarten (NIC) dargestellt. Jede Schnittstelle wird in der Farbe der ihr zugeordneten Zone markiert. Mit der Bezeichnung [Link OK] wird angezeigt, dass die Schnittstelle in Betrieb ist. Schnittstellen, die nicht verwendet werden, erhalten die Bezeichnung ‚[NO Link]‘. Der Befehl für die Ausgabe lautet ip link show.
Routingtabelleneinträge
Die vom Befehl route -n bereitgestellte Kernel-Routingtabelle. In der Regel sollte eine Zeile pro aktiver Schnittstelle zur Verfügung stehen, die den Datenverkehr in den von der Panda GateDefender-Appliance unterstützten Zonen ordnungsgemäß leitet, sowie eine Standardroute (zu erkennen am Feld „0.0.0.0 Destination“), die dem Datenverkehr den Zugang zum Internet ermöglicht.
ARP Tabelleneinträge
Im letzten Feld wird die Ausgabe des Befehls arp -n und die Tabelle ARP angezeigt. Diese beinhaltet die zu jeder bekannten IP-Adresse im lokalen Netzwerk gehörende MAC-Adresse.
Systemdiagramme Die auf dieser Seite angezeigten Diagramme veranschaulichen die Ressourcennutzung während der letzten 24 Stunden: CPU, Speicher, Swap und Festplattenbelegung. Zu allen Ressourcen wird eine Legende mit den im Diagramm enthaltenen Daten bereitgestellt. Außerdem erhalten Sie Informationen zur farblichen Zuordnung und eine Zusammenfassung des maximalen, durchschnittlichen und aktuellen Nutzungsprozentsatzes. Darüber hinaus wird eine Meldung angezeigt, die Sie über den Zeitpunkt und das Datum der letzten Aktualisierung der Diagramme informiert, was dem letzten Zugriff auf diese Seite entspricht.
Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Nutzungsdiagramme vom letzten Tag, der letzten Woche sowie des letzten Monats und Jahres geöffnet. Klicken Sie auf diesen Seiten auf die Schaltfläche ZURÜCK, um zur vorherigen Seite zurückzukehren.
Hinweis
Die Zeichenfolge nan (kurz für „Not a Number“), die in den Zusammenfassungen angezeigt werden kann, gibt an, dass es nicht genügend Daten zum Berechnen der Nutzung der ausgewählten Ressource gibt. Sie kann z. B. in „Verwendung pro Jahr“ auftreten, wenn die Panda GateDefender-Appliance nur für einige Wochen benutzt wurde.
CPU Diagramm:
In diesem Feld wird die tägliche CPU-Verwendung der Panda GateDefender-Appliance angezeigt, gemessen in Prozent der verwendeten CPU-Zeit durch die verschiedenen Prozesse. Die Ausgabe wird durch den Befehl top bereitgestellt. Verschiedene Farben zeigen den Typ der laufenden Prozesse an:
Weiß – im Leerlauf befindlich, d. h. die CPU wird von keinem Prozess verwendet Grün – normale Prozesse, d. h. Benutzerprozesse, die ihre Standardpriorität geändert haben Blau – Benutzerprozesse mit Standardpriorität Orange – Zeit, welche die CPU auf die Fertigstellung von Lese- und Schreibvorgängen gewartet hat Rot – Systemprozesse (Kernel) Pink – softirq, d. h. die für Softwareinterrupts aufgewendete Zeit Braun – Interrupt, d. h. die für Hardwareinterrupts aufgewendete Zeit Schwarz – Nur von Bedeutung, wenn als virtuelle Maschine ausgeführt. Die vom Hypervisor aufgewendete Zeit für das Ausführen der VM.
Speicherdiagramm:
Das Diagramm zeigt die Speicherauslastung der letzten 24 Stunden. Verschiedene Farben zeigen den Speichertyp an:
Grün – verfügbarer Speicher, der neuen Prozessen zugewiesen werden kann Blau – Zwischenspeicher, d. h. eine Kopie der aktuell von Prozessen verwendeten Daten Orange – Pufferspeicher, d. h. ein temporärer Speicher, der Daten speichert, die von oder zu externen Geräten gesendet werden
Rot – Belegter Speicher
Auslagerungsdiagramm
Die Nutzung des Auslagerungsbereichs auf der Festplatte wird in diesem Feld angezeigt.
Grün – freier Auslagerungsbereich
Blau – zwischengespeicherter Auslagerungsbereich Rot – belegter Auslagerungsbereich
Festplattenbelegungsdiagramme
Diese Diagramme zeigen die Belegung der Festplatte an und sind in vier Felder aufgeteilt, wobei jedes die Belegung einer Partition zeigt. In jedem Diagramm zeigt die grüne Farbe den freien Speicherplatz, während die rote Farbe den belegten Speicher anzeigt.
Netzwerkdiagramme Diese Seite enthält die Netzwerkdiagramme der letzten 24 Stunden, eingeteilt n Zonen. Demnach enthält diese Seite – abhängig von den aktivierten und konfigurierten Zonen – 2, 3 oder 4 Felder, jeweils mit Diagrammen. Wie in Systemdiagrammen gibt es für die Diagramme eine Legende der angezeigten Daten:
Grün – ausgehender Datenverkehr Blau – eingehender Datenverkehr
Unterhalb der Diagramme werden der Durchschnittswert und das Maximum der momentan gesendeten und empfangenen Daten angezeigt und in Echtzeit aktualisiert.
Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Datenströme durch die Panda GateDefenderAppliance vom letzten Tag, der letzten Woche sowie des letzten Monats und Jahres geöffnet. Die angezeigten Daten sind in allen Diagrammen identisch: Der eingehende und ausgehende Datenverkehr wird in blauer bzw. grüner Farbe dargestellt. Eingehend
Tipp
Klicken Sie am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Seite mit allen Zonendiagrammen zu gelangen.
Proxydiagramme An dieser Stelle werden die Zugriffsstatistiken für den HTTP-Proxy während der letzten 24 Stunden angezeigt. Diagramme werden nur angezeigt, wenn der HTTP-Proxy-Dienst aktiviert ist. Selbst wenn der Dienst nur für einen kurzen Zeitraum um vorangegangen Jahr ausgeführt wurde, können Sie auf alte Daten zugreifen, indem Sie auf das Diagramm klicken. Ähnlich wie bei den anderen Diagrammen werden auch hier ältere Statistiken für den letzten Tag, die letzte Woche, den letzten Monat und das letzte Jahr angezeigt. Klicken Sie am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Hauptseite zu gelangen.
Hinweis
Um die Proxydiagramme anzuzeigen, müssen Sie die Protokollierungsfunktion für HTTP-Proxys unter Proxy ‣ HTTP ‣ Konfiguration ‣ Log-Einstellungen durch Auswahl des Kontrollkästchens Protokollierung aktivieren aktivieren. Mithilfe der Optionen Suchbegriffe und Benutzeragents können detailliertere Protokolle und Diagramme erstellt werden.
Nachdem der HTTP-Proxy aktiviert wurde, enthalten die vier Felder die folgenden Daten:
Gesamter Datenverkehr pro Tag: Die gesamte Datenmenge, die über den Proxy-Dienst der Panda GateDefender-Appliance geleitet wurde. Der ausgehende Datenverkehr wird in Grün angezeigt, der eingehende in Blau.
Gesamtzugriffe pro Tag: Die Anzahl der HTTP-Anfragen, die von der Panda GateDefender-Appliance empfangen werden, dargestellt in Blau.
Cachetreffer pro Tag: Die Anzahl angeforderter Cachedaten. Cache-Trefferverhältnis über 5 Minuten pro Tag: Die Anzahl angeforderter Cachedaten während eines fünfminütigen Zeitraums.
Verbindungen
Auf dieser Seite wird eine Tabelle mit den Listeneinträgen zu den aktuellen Verbindungen von, zu oder über die Panda GateDefenderAppliance angezeigt. Die hier gezeigten Daten stammen aus der Tabelle „kernel conntrack“. Die folgenden Farben werden in der Tabelle als Hintergrund für die Zellen verwendet, um die Quelle und das Ziel der Verbindung darzustellen.
Grün, Rot, Orange und Blau sind die von der Panda GateDefender-Appliance verwalteten Zonen. Schwarz wird für Verbindungen verwendet, welche die Firewall nutzen, einschließlich Daemons und Dienste wie SSH oder Webzugriffe.
Violett zeigt Verbindungen über VPN oder IPsec an.
Die in der Tabelle angezeigten Daten sind die folgenden.
Quell-IP-Adresse Die IP, von der die Verbindung stammt
Quell Port Der Port, von dem die Verbindung stammt
Ziel IP Adresse Die IP, zu der die Verbindung geleitet wird
Ziel Port Der Port, zu dem die Verbindung geleitet wird
Protokoll Das Protokoll der Verbindung (typischerweise TCP oder UDP)
Status Der aktuelle Status der Verbindung (nur bei TCP-Verbindungen sinnvoll) Diese sind in RFC 793 definiert; signifikante Zustände sind AUFGEBAUT (Verbindung ist aktiv) und BEENDET (keine Verbindung).
Verfallsdatum Dauer eines bestimmten Verbindungsstatus
Tipp
Die Seite wird automatisch alle 5 Sekunden aktualisiert.
Durch Klicken auf die einzelnen IP-Adressen und IP-Ports in der Tabelle erhalten Sie nützliche Informationen. Durch Klicken auf die IPAdresse wird die Whois-Anfrage mit Informationen zum Besitzer und Standort der IP-Adresse gestartet. Durch Klicken auf die Portnummer wird die Webseite Internet Storm Center geöffnet. Auf dieser Seite werden Sie über den Port (d. h. seinen Zweck) informiert und erhalten Informationen darüber, welche Dienste bzw. Malware (z. B. Trojaner, Viren) den Port benutzen könnten und wie viele Angriffe auf diese Ports von verschiedenen Servern weltweit gemeldet wurden.
VPN Verbindungen Auf der Panda GateDefender-Appliance werden OpenVPN- und IPsec-Server ausgeführt. Diese Seite zeigt die verbundenen Benutzer zusammen mit dem Dienst, den sie für die Verbindung verwenden (OpenVPN, L2TP, IPsec oder XAuth), den Zeitstempel seit Verbindungsaufbau und die ausführbaren Aktionen. Momentan nur zur Trennung des Benutzers.
Printed Documentation SMTP Mailstatistik Auf dieser Seite werden vier Felder angezeigt, die Diagramme über die vom lokalen SMTP-Server auf der Panda GateDefenderAppliance gesendeten E-Mails anzeigen (für den aktuellen Tag, die Woche, den Monat und das Jahr).
Tipp
Es werden keine Informationen angezeigt, wenn der SMTP-Server deaktiviert ist.
Jedes Feld enthält zwei Diagramme, wobei jeweils auf der y-Achse die Zahl der E-Mails pro Minute und auf der x-Achse die Zeit dargestellt werden. Die Zeiteinheit der x-Achse ändert sich entsprechend des Diagrammtyps: Zwei Stunden in täglichen Diagrammen, einen Tag in wöchentlichen Diagrammen, eine Woche in monatlichen Diagrammen und einen Monat in jährlichen Diagrammen.
Das Diagramm am oberen Rand zeigt eine Zusammenfassung der durch die Panda GateDefender-Appliance pro Minute gesendeten (grün) oder empfangenen (blau) Nachrichten. Das Diagramm am unteren Rand kann als feiner unterteilte Version des anderen Diagramms verstanden werden, da es die E-Mails anzeigt, die zurückgewiesen wurden (rot) oder abgeprallt sind (schwarz), die wegen Viren abgefangenen wurden (gelb), und die als Spam erkannte wurden (grau).
Unter jedem Diagramm befinden sich außerdem Informationen in Textform zu jeder E-Mail-Kategorie (gesendet, empfangen, zurückgewiesen, abgeprallt, Virus und Spam), wobei die Gesamtzahl, der Durchschnitt und der höchste Wert verarbeiteter E-Mails (msgs) sowie der Zeitstempel (Datum und Zeit) der letzten Seitenaktualisierung angegeben sind.
Mail queue Ist der SMTP-Proxy aktiviert, wird auf dieser Seite die aktuelle E-Mail-Warteschlange angezeigt. Ist die E-Mail-Warteschlange leer, so wird die Meldung Mail Queue ist leer angezeigt. Anderenfalls ist es möglich, die Warteschlange durch Klicken auf die Schaltfläche Flush Mailqueue zu leeren. Ist der SMTP-Proxy deaktiviert, wird lediglich eine Meldung angezeigt, die Sie über den deaktivierten Status des Proxy informiert.
38
Menü „Netzwerk“ Menü „Netzwerk“ Zudem können Uplinks konfiguriert und VLANs hinzugefügt werden. Das Menü darf nicht mit dem Netzwerkkonfiguration-Assistenten unter Menüleiste ‣ System ‣ Netzwerkkonfiguration verwechselt werden, über den Schnittstellen und Zonen konfiguriert sowie Uplinks definiert werden können. Viele Einstellungen und Konfigurationsoptionen – insbesondere die nachfolgend unter Schnittstellen dargestellten – sind jedoch mit denen unter Netzwerkkonfiguration identisch, wo Sie auch ausführlichere Informationen dazu finden.
Das Untermenü auf der linken Seite enthält die folgenden Elemente, unter denen jeweils mehrere Konfigurationsoptionen zusammengefasst sind:
Hosts bearbeiten: Definieren von Hosts für die Auflösung lokaler Domainnamen Routing: Einrichten von statischem und richtlinienbasiertem Routing Schnittstellen: Bearbeiten der Uplinks und Erstellen von VLANs
Hosts bearbeiten Die Seite enthält die Liste der zuvor definierten Hosts. In jeder Zeile werden eine IP-Adresse, der zugeordnete Hostname und, sofern angegeben, der Domänenname angezeigt. Für jeden Eintrag können jeweils zwei Aktionen ausgeführt werden: den Eintrag bearbeiten oder den Eintrag löschen.
Warnung
Das Löschen eines Hosteintrags durch Klicken auf das kleine Symbol erfordert keine zusätzliche Bestätigung und kann nicht rückgängig gemacht werden. Wurde ein Eintrag versehentlich gelöscht, muss dieser manuell erneut hinzugefügt werden.
Ein neuer Eintrag kann durch Klicken auf den über der Tabelle angezeigten Link Host hinzufügen hinzugefügt werden. Ein einfaches Formular wird die Tabelle ersetzen, in dem die folgenden Optionen angegeben werden:
IP-Adresse Die IP-Adresse des Remote-Hosts.
Hostname Der Hostname und die IP-Adresse des BDC.
Domainname Ein optionaler Domainname.
Hinweis
Im Gegensatz zur Datei
/etc/hosts
(siehe unten) entspricht jede hier hinzugefügte IP-Adresse einem Hostnamen oder
umgedreht. Fügen Sie zum Hinzufügen von zwei Hostnamen zu einer IP-Adresse zwei Einträge mit der gleichen IP-Adresse hinzu.
Durch Klicken auf die Schaltfläche Host hinzufügen wird die Auswahl bestätigt. Weitere Hostnamen für dieselbe IP-Adresse können zugeordnet werden, indem die IP-Adresse nochmals auf die gleiche Weise mit einem anderen Namen eingefügt wird.
Hostverwaltung, dnsmasq und /etc/hosts:
Die Anwendung „dnsmasq“ wird in kleinen Netzwerken als DNS-Server für lokale Hosts und als DNS-Weiterleitung und Caching-Server für weltweite DNS-Server verwendet. Die Panda GateDefender Appliance verwendet dnsmasq zur korrekten Lösung und Beantwortung
von DNS-Anfragen der GRÜNEN, ORANGEFARBENEN und BLAUEN Zone. In manchen Fällen ist es wünschenswert (z. B. für Testzwecke auf einer Remote-Website), einige Einträge in dnsmasq zu überschreiben oder dem Cache von dnsmasq einen lokalen Server hinzuzufügen, damit sich lokale Clients damit verbinden können.
Die auf dieser Seite hinzugefügten Hosts werden in der Einstellungsdatei von dnsmasq gespeichert und bei jedem Daemon-Neustart mit der Datei
/etc/hosts zusammengeführt. Zu diesen Dateien direkt über CLI hinzugefügte Hosts bleiben nach einem Neustart der
Panda GateDefender Appliance oder einem Neustart von dnsmasq nicht bestehen.
Die Datei /etc/hosts enthält die sogenannte statische Lookup-Tabelle, die das folgende Format aufweist:
IP1 hostname1 [hostname2] IP2 hostname3 [hostname4] [hostname5] IP1 und IP2 stehen dabei für eindeutige (numerische) IP-Adressen, während hostname1, hostname2, hostname3, hostname4 und hostname5 für benutzerdefinierte Namen dieser IP-Adressen stehen. Die Namen in eckigen Klammern sind optional: Jeder IP-Adresse können also Namen bekannter Hosts zugeordnet werden. Es ist möglich, zur Datei benutzerdefinierte Hosteinträge hinzuzufügen, die dann für alle Clients, die über die Panda GateDefender-Appliance eine Verbindung herstellen, entsprechend aufgelöst werden. Auf einer typischen Panda GateDefender Appliance enthält die Datei /etc/hosts mindestens die folgenden Einträge:
127.0.0.1 localhost.localhost localhost 172.20.0.21 myappliance.localdomain myappliance 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.localdomain wpad Hierbei ist 127.0.0.1 die IP-Adresse des Loopback-Geräts, localhost ein Pflichteintrag für den korrekten Arbeitslink eines Linux-Systems und 172.20.0.21 die IP-Adresse der GRÜNEN Schnittstelle. Die für diese IP-Adresse ausgeführten Einträge haben die folgende Bedeutung und den folgenden Zweck:
myappliance.localdomain Der Hostname und Domänenname der Panda GateDefender-Appliance, wie sie in der Netzwerkkonfiguration eingerichtet sind.
spam.spam spam und ham.ham ham Diese beiden Einträge werden kombiniert für das Anlernen des E-Mail-Filters „spamassassin“ verwendet.
wpad.localdomain wpad Eine Einrichtung für einige Browser, um Proxyeinstellungen automatisch und ohne Eingreifen des Benutzers zu erkennen, wenn der Proxy nicht transparent ist.
Routing Als Ergänzung zur Standardroutingtabelle unter Menüleiste ‣ Status ‣ Netzwerkstatus kann das Routing auf der Panda GateDefender Appliance mit den statischen und richtlinienbasierten Routingregeln optimiert werden. Auf dieser Seite wird eine Tabelle mit allen benutzerdefinierten Routings angezeigt. Neue Regeln werden jedoch von zwei unterschiedlichen Registerkarten auf dieser Seite hinzugefügt. Dabei erfordern statische und richtlinienbasierte Regeln leicht voneinander abweichende Einstellungen. Die Tabelle enthält jeweils eine Zusammenfassung der Regel mit Quelle und Ziel für Netzwerke bzw. Zonen, dem Gateway, einer Anmerkung und der Liste der verfügbaren Aktionen: Regel aktivieren oder deaktivieren, Regel bearbeiten und Regel löschen.
Bei jeder Änderung an der Routingtabelle müssen die Änderungen gespeichert und der Dienst neu gestartet werden.
Statisches Routing
Mithilfe von statischen Routen können bestimmte Quell- und Zielnetzwerke festgelegten Gateways oder Uplinks zugeordnet werden. Neue Routen werden durch Klicken auf den Link Eine neue Route hinzufügen über der Tabelle erstellt. In dem daraufhin angezeigten Formular müssen die folgenden Felder definiert werden:
Quell Netzwerk Angabe des Quellnetzwerks in CIDR-Notation.
Ziel Netzwerk Angabe des Zielnetzwerks in CIDR-Notation.
Route über Für die Durchleitung des Datenverkehrs stehen vier Optionen zur Auswahl: Statisches Gateway, Uplink, OpenVPN User und L2TP Benutzer. Wird Statisches Gateway ausgewählt, muss in dem Textfeld rechts daneben die IP-Adresse eines Gateways angegeben werden. In jedem anderen Fall wird ein Dropdown-Menü mit der entsprechenden Auswahl verfügbarer Uplinks, OpenVPN-Benutzer oder L2TP-Benutzer angezeigt.
Aktiviert Ein aktiviertes Kontrollkästchen steht für eine aktivierte Regel (Standardeinstellung). Wird das Kontrollkästchen deaktiviert, wird die Regel zunächst nur erstellt und kann später jederzeit aktiviert werden.
Anmerkung Anmerkung oder Kommentar zum Zweck dieser Regel.
Durch Klicken auf eines der Symbole wird für das entsprechende Element eine Aktion ausgelöst:
– Den Status des Elements umschalten: aktiviert oder deaktiviert. – Die Eigenschaften des Elements ändern. – Das Element entfernen.
Richtlinienbasiertes Routing Mithilfe von richtlinienbasierten Routen können bestimmte Netzwerkadressen, Zonen oder Dienste (ausgedrückt als Port und Protokoll) einem festgelegten Uplink zugeordnet werden.
Die Tabelle enthält alle bereits definierten Regeln für das statische und richtlinienbasierte Routing mit einigen Eigenschaften: Quelle, Ziel, TOS, Gateway, Dienst, Anmerkung und verfügbare Aktionen:
– Eine Regel verschieben. – Den Status des Elements umschalten: aktiviert oder deaktiviert. – Die Eigenschaften des Elements ändern. – Das Element entfernen.
Tipp
Die Spalte TOS wird nur angezeigt, wenn mindestens eine Regel mit diesem Feld definiert wurde.
Regeln im oberen Bereich der Tabelle haben eine höhere Priorität.
Richtlinienbasiertes Routing, HTTP-Proxy und Uplink:
Die Interaktion zwischen diesen drei Komponenten der Panda GateDefender Appliance kann zu einem seltsamen oder sogar falschen Verhalten führen, wenn Clients in den Zonen versuchen, auf das Internet zuzugreifen. Für ein korrektes Verständnis sind drei Schritte erforderlich, um hervorzuheben, wie der Datenfluss zum Internet erfolgt, wenn sowohl HTTP-Proxy aktiviert als auch richtlinienbasierte Regeln definiert sind:
1.
Ein HTTP-Proxy verwendet den Haupt-Uplink (d. h. er greift auf die ROTE Zone und das Internet mithilfe des Haupt-Uplinks zu).
2.
Ein HTTP-Proxy „unterteilt“ eine Verbindung von einem Client zu einem Remote-Server in zwei Verbindungen: Eine vom Client zur Panda GateDefender Appliance und eine von der Panda GateDefender Appliance zum Remote-Server.
3.
Richtlinienbasierte Routingregeln werden berücksichtigt, nachdem der Datenverkehr durch das HTTP-Proxy gelaufen ist.
Beim Klicken auf den Link Erstelle eine Richtlinienroutingregel wird ein Formular geöffnet, das zunächst komplexer als das für statische Routen erscheint und dem Firewall-Regeleditor sehr ähnlich sieht. Der Richtlinien-Regeleditor entspricht insgesamt dem zuvor beschriebenen Formular, erlaubt aber eine detailliertere Regeldefinition. Das Einrichten der Regel wird zusätzlich durch mehrere Dropdown-Menüs unterstützt, um das Eingeben von Daten in den folgenden Feldern zu erleichtern:
Quelle Mithilfe des ersten Dropdown-Menüs wird die Quelle des Verkehrs ausgewählt. Es sind mehrere Einträge zulässig, die jeweils in einer eigenen Zeile stehen und demselben Typ angehören müssen: Zone oder Schnittstelle, OpenVPN- oder L2TPBenutzer, IP-Adressen oder Netzwerke, oder MAC-Adressen. Je nach Auswahl müssen unterschiedliche Werte angegeben werden. Durch Auswahl von wird die Regel auf alle Quellen angewendet.
Ziel Mithilfe des zweiten Dropdown-Menüs werden die Verkehrsziele als Liste von IP-Adressen, Netzwerken oder OpenVPN- bzw. L2TP-Benutzern ausgewählt. Durch Auswahl von trifft die Regel wiederum auf alle Ziele zu.
Service/Port Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige vordefinierte Dienst/Protokoll/Port- Kombinationen vorhanden, z. B. HTTP/TCP/80, /TCP+UDP/0:65535 und , wobei Letzteres für alle Dienste, Protokolle und Ports steht. Mithilfe von Benutzerdefiniert können ein benutzerdefiniertes Protokoll und zu blockierende Ports angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.
Protokoll Die Art des Datenverkehrs, auf den sich die Regel bezieht: TCP, UDP, TCP+UDP, ESP, GRE oder ICMP. Am häufigsten werden TCP und UDP verwendet. GRE wird von Tunneln, ESP von IPsec und ICMP von den Befehlen ping und traceroute verwendet.
Route über
Wie der Datenverkehr für diese Regel weitergeleitet werden sollen. Folgende Optionen stehen zur Auswahl:
1.
Statisches Gateway: In diesem Fall muss eine IP-Adresse angegeben werden.
2.
Uplink: Der Uplink, der für die Regel verwendet werden soll. Optional kann das Routing bei Nichtverfügbarkeit des ausgewählten Uplinks auf den entsprechenden Backup-Link übertragen werden. Diese Option wird durch Aktivieren des Kontrollkästchens neben dem Dropdown-Menü aktiviert.
3.
OpenVPN-Benutzer: Ein OpenVPN-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.
4.
L2TP-Benutzer: Ein L2TP-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.
Diensttyp Hiermit wird der ToS (Type of Service, Diensttyp) ausgewählt. Dabei können je nachdem, was die wichtigste Eigenschaft des Verkehrs für dieses Regel ist, vier Werte ausgewählt werden: Standard, Kurze Verzögerung, Zuverlässigkeit oder Durchsatz.
Anmerkung Anmerkung oder Kommentar zum Zweck dieser Regel.
Position Die Position, an der die Regel eingefügt werden soll (relative Position in der Liste der Regeln).
Aktiviert Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert (Standardeinstellung). Wird das Kontrollkästchen deaktiviert, wird die Regel zwar erstellt, aber nicht aktiviert. Eine Regel kann auch zu einem späteren Zeitpunkt aktiviert werden.
Alle akzeptierten Pakete loggen Dieses Kontrollkästchen muss aktiviert sein, wenn alle von der Regel betroffenen Pakete protokolliert werden sollen.
Warnung
Durch die Aktivierung dieser Option kann sich die Größe der Protokolldateien drastisch erhöhen.
Schnittstellen Mithilfe des Uplinkmanagers können verschiedene Aufgaben im Hinblick auf den Uplink und die Schnittstellen ausgeführt und insbesondere benutzerdefinierte VLANs an den Netzwerkschnittstellen definiert werden.
Uplink Editor Durch Klicken auf die letzte Spalte Aktionen werden standardmäßig die im Uplink-Editor erstellten verfügbaren Uplinks und die Aktionen angezeigt, die für jeden Uplink ausgeführt werden können:
– Den Status des Elements umschalten: aktiviert oder deaktiviert. – Die Eigenschaften des Elements ändern. – Das Element entfernen.
Tipp
Der Haupt-Uplink kann nicht gelöscht werden.
Weitere Uplinks können durch Klicken auf den Link Uplink erstellen über der Uplink-Liste erstellt werden. Daraufhin wird eine umfangreiche Seite mit zahlreichen Konfigurationsoptionen angezeigt, auf der geeignete Werte angegeben werden müssen, die denen in der Netzwerkkonfiguration sehr ähnlich sind. Die verfügbaren Einstellungen unterscheiden sich je nach Typ des ausgewählten Uplinks.
Hinweis
Hier werden nicht alle verfügbaren Optionen beschrieben: Sie entsprechen den Optionen im Netzwerkkonfigurationsassistenten und hängen vom Typ des ausgewählten Uplinks ab. Vollständige Erläuterungen zu den Optionen können dem entsprechenden Abschnitt entnommen werden.
Beschreibung Eine Beschreibung des Uplinks
Typ
Die Auswahl des ROTEN Verbindungstyps umfasst ein Protokoll mehr als die im Assistenten für die Netzwerkkonfiguration verfügbaren Optionen: PPTP: PPTP kann durch Auswahl des entsprechenden Werts im Dropdown-Menü „PPTP Methode“ für den statischen Modus oder den DHCP-Modus konfiguriert werden. Bei Auswahl der statischen Methode müssen IP-Adresse und Netzwerkmaske in den entsprechenden Textfeldern angegeben werden. In diesem Fall können auch zusätzliche Kombinationen von IP/Netzwerkmaske oder IP/CIDR im Feld darunter hinzugefügt werden, sofern das Kontrollkästchen aktiviert ist. Telefonnummer, Benutzername und Passwort sind nicht erforderlich, werden aber abhängig von den Einstellungen des Providers unter Umständen für das Funktionieren einiger Konfigurationen benötigt. Als Authentifizierungsmethode kann entweder PAP oder CHAP verwendet werden. Im Zweifelsfall wird empfohlen, den Standardwert „PAP oder CHAP“ beizubehalten.
Uplink ist aktiviert Durch Aktivieren dieses Kontrollkästchens wird der Uplink aktiviert.
Uplink beim Starten aktivieren Durch dieses Kontrollkästchen wird angegeben, ob ein Uplink beim Starten aktiviert werden soll oder nicht. Die Option ist für Backup- Uplinks nützlich, die zwar verwaltet, aber während des Startvorgangs nicht aktiviert werden müssen.
Uplink ist verwaltet Durch Aktivieren dieses Kontrollkästchens wird der Uplink verwaltet. Eine Erörterung zum verwalteten und zum manuellen Modus kann unter Uplink Information Plugin gefunden werden, das über Menüleiste ‣ System ‣ Übersicht aufgerufen wird.
Wenn dieser Uplink fehlschlägt aktiviere Wenn diese Option aktiviert ist, kann aus einem Dropdown-Menü eine alternative Verbindung ausgewählt werden, die bei Fehlschlagen des Uplinks aktiviert wird.
Erreichbarkeit dieser Hosts überprüfen Durch Aktivieren dieser Option kann eine Liste von IP-Adressen oder Hostnamen eingegeben werden, die bei Fehlschlagen des Uplinks ge pingt werden, um das erfolgreiche Wiederverbinden zu überprüfen.
Tipp
Einer dieser Hosts könnte der DNS-Server oder Gateway des Anbieters sein.
Im Bereich „Erweiterte Einstellungen“ können zwei weitere Optionen angepasst werden:
Wiederverbindungs Timeout Das Zeitintervall in Sekunden, nach dem von einem fehlgeschlagenen Uplink ein erneuter Verbindungsversuch unternommen wird. Dieser Wert ist von den Einstellungen des Providers abhängig. Das Feld sollte im Zweifelsfall leer gelassen werden.
MTU Ein benutzerdefinierter Wert für die MTU-Größe. Mögliche Gründe für ein Ändern des Standardwerts werden hier erörtert.
Siehe auch
Netzwerkkonfiguration: Schritte 1, 4 und 5 Menüleiste ‣ System ‣ Netzwerkkonfiguration
VLANs
Menü „Netzwerk“ VLAN wird von der Panda GateDefender-Appliance unterstützt, um beliebige Zuordnungen von VLAN-IDs zu Firewallzonen und eine zusätzliche Trennungsebene zwischen Zonen zu ermöglichen. Vorhandene VLANs werden in der Tabelle angezeigt, sofern bereits welche erstellt wurden. Die einzig verfügbare Aktion ist:
– Das VLAN entfernen. Ein Popup-Fenster wird geöffnet, in dem Sie den Löschvorgang bestätigen müssen.
Ein neues VLAN kann durch Klicken auf den Link Neues VLAN hinzufügen über der Liste der VLANs definiert werden. Im daraufhin angezeigten Formular wird durch Angabe einiger Werte eine Zuordnung zwischen einer Schnittstelle und einem VLAN erstellt:
Schnittstelle Die physische Schnittstelle, mit der das VLAN verbunden ist. Nur die verfügbaren Schnittstellen können aus dem DropdownMenü ausgewählt werden. Im Menü wird auch der Verbindungsstatus der Schnittstelle angezeigt.
VLAN ID Die VLAN-ID, bei der es sich um eine ganze Zahl zwischen 0 und 4095 handeln muss.
Zone Die Zone, der das VLAN zugeordnet ist. Es können nur die Zonen ausgewählt werden, die im Assistenten für die Netzwerkkonfiguration definiert wurden. Die Option „Keine“ kann ausgewählt werden, wenn die Schnittstelle als Management Port für Hochverfügbarkeit verwendet wird.
Warnung
Ein VLAN für eine bestimmte Zone (z. B. ein VLAN für BLAU) kann nicht an einer Schnittstelle definiert werden, die bereits für eine andere Zone (z. B. eth1 für GRÜN) verwendet wird. Bei dem Versuch wird das Formular geschlossen und ein roter Hinweis angezeigt, dass das VLAN nicht erstellt werden kann.
Bei der Erstellung eines virtuellen LAN wird eine neue Schnittstelle mit dem Namen ethX.y erstellt (wobei X für die Nummer der Schnittstelle und y für die VLAN-ID steht) und dann der ausgewählten Zone zugeordnet. Danach wird die Schnittstelle in den verschiedenen Abschnitten mit Netzwerkinformationen, z. B. unter Menüleiste ‣ Status ‣ Netzwerkkonfiguration oder in der Übersicht, als reguläre Schnittstelle angezeigt und kann zur Darstellung im Diagramm ausgewählt werden.
ärz 2014.
45
Menü „Dienste“ Die Panda GateDefender-Appliance umfasst viele nützliche Dienste zum Schutz vor Bedrohungen sowie zur Überwachung von Netzwerken und Daemons. Die Aktivierung und Einrichtung dieser Dienste wird in diesem Abschnitt erläutert. Besonderes Augenmerk gilt hierbei den verschiedenen Proxy-Diensten wie der Antivirus Engine, dem Intrusion Detection System, der Hochverfügbarkeit und Traffic Monitoring. Die verfügbaren Dienste sind im Untermenü auf der linken Seite des Bildschirms aufgelistet.
DHCP Server – DHCP-Server für die automatische Zuweisung von IP-Adressen Dynamischer DNS – Client für Dynamic DNS-Provider wie DynDNS (für den Einsatz zu Hause oder in kleinen Büros) Antivirus Engine – Konfiguration der für die E-Mail-, Internet-, POP- und FTP-Proxys verwendeten Antivirus-Engine Zeitserver – Aktivierung und Konfiguration der NTP-Zeitserver, Festlegung der Zeitzone oder manuelle Aktualisierung der Zeit Mail Quarantäne – E-Mails in Quarantäne verwalten Spam Training – Training des von den E-Mail-Proxys verwendeten Anti-Spam-Filters Intrusion Prevention – Konfiguration von SNORT, dem Intrusion Detection System (IPS) Hochverfügbarkeit – Konfiguration der Panda GateDefender-Appliance im Hochverfügbarkeitsmodus Traffic Monitoring – Aktivierung bzw. Deaktivierung der Datenverkehrsüberwachung mithilfe von ntop SNMP Server – Unterstützung für SNMP (Simple Network Management Protocol) Quality of Service – Priorisierung des IP-Verkehrs.
DHCP Server Der DHCP-Server wird von den Clients (Workstations und Server) in den von der Panda GateDefender-Appliance gesteuerten Zonen verwendet, um IP-Adressen zu erhalten („leasen“), und ermöglicht die zentrale Steuerung der IP-Adresszuweisung. Kunden können zwei Arten von Leases zugewiesen werden: dynamisch und statisch. Die Seite „DHCP Server“ ist in zwei bzw. drei Felder unterteilt: das Feld DHCP, in dem Sie den DHCP-Server konfigurieren können; das Feld Aktuelle statische Zuordnungen, das die statischen IP-Adressen anzeigt; und gegebenenfalls das Feld Aktuelle dynamische Zuordnungen, das nur angezeigt wird, wenn mindestens einem Client eine dynamische IP-Adresse zugeordnet wurde. Dynamische IP-Adressen werden auf Netzwerkbasis innerhalb eines festgelegten Bereichs zugewiesen und im ersten Feld konfiguriert. Statische IP-Adressen hingegen werden auf Host-Basis zugewiesen und im zweiten Feld konfiguriert.
DHCP
Wenn ein Client (beispielsweise ein Host oder ein Gerät wie etwa ein Netzwerkdrucker) sich mit dem Netzwerk verbindet, erhält er vom DHCP-Dienst automatisch aus einer Reihe von IP-Adressen und anderen Parametern eine gültige Adresse. Der Client muss für die Verwendung
von
DHCP
konfiguriert
sein.
Die
entsprechende
Einstellung
wird
manchmal
als
„automatische
Netzwerkkonfiguration“ bezeichnet und ist für die meisten Workstations standardmäßig aktiviert. Die dynamische IP-Adressvergabe wird zonenbasiert konfiguriert: Zum Beispiel ist es möglich, diese nur für Clients in der GRÜNEN Zone zu aktivieren, während die anderen aktiven Zonen nur statische IP-Adressen erhalten.
Es ist jedoch auch möglich, Geräten in der ORANGEN (DMZ) oder BLAUEN (WLAN) Zone dynamische IP-Adressen zuzuordnen.
Hinweis
Wenn die BLAUE Zone aktiviert ist, aber vom Hotspot verwaltet wird, wird die Meldung DHCP Konfiguration wird vom Hotspot verwaltet angezeigt und eine Konfiguration an dieser Stelle verhindert.
Um die DHCP-Parameter für die einzelnen Zonen anzupassen, klicken Sie auf das kleine Symbol Folgende Optionen stehen zur Auswahl:
Aktiviert Aktiviert den DHCP-Server in der Zone.
Anfangsadresse, Endadresse
neben der Aufschrift Einstellungen.
Der für die Clients vorgesehene IP-Adressbereich. Diese Adressen müssen sich innerhalb des Subnetzes befinden, das der entsprechenden Zone zugewiesen wurde. Sollten einige Hosts eine statische IP-Adresse erhalten (siehe unten), stellen Sie sicher, dass ihre IP-Adressen weder in diesem Bereich noch im Bereich des OpenVPN-Adresspools vorhanden sind (siehe Menüleiste ‣ VPN
‣ OpenVPN-Server), um Konflikte zu vermeiden.
Das Leerlassen dieser zwei Felder ermöglicht die Verwendung des gesamten IP-Bereichs der Zone für die dynamische Zuweisung.
Nur fixe Leases erlauben Aktivieren Sie dieses Kontrollkästchen, um nur statische IP-Adressen zu verwenden. Es werden keine dynamischen IPAdressen zugewiesen.
Standard Lease Zeit, Maximale Lease Zeit (Min) Die standardmäßig definierte bzw. maximale Zuweisungszeit in Minuten vor Ablauf der Zuweisung und der erneuten Beantragung einer IP-Adresse vom DHCP-Server.
Domain-Name-Suffix Das Suffix des Domänennamens, das an die Clients weitergegeben und für die lokale Suche nach Domänen verwendet wird.
Standardgateway Das Standardgateway, das die Clients in der Zone verwenden. Bei Leerlassen des Feldes ist die Panda GateDefenderAppliance selbst das Standardgateway.
Primärer DNS, Sekundärer DNS Der von den Clients verwendete Domain Name Server (DNS). Da die Panda GateDefender-Appliance einen zwischenspeichernden DNS-Server enthält, ist der Standardwert die eigene IP-Adresse der Firewall in der entsprechenden Zone, auch wenn ein zweiter Server oder sogar der primäre Wert geändert werden können.
Erster NTP Server, Zweiter NTP Server Die von den Clients zur Synchronisierung der Systemuhren verwendeten NTP-Server.
Erste WINS Server, Zweiter WINS Server Die von den Clients verwendeten WINS-Server. Diese Option ist nur bei Netzwerken von Microsoft Windows notwendig, die WINS verwenden.
Erfahrene Benutzer können individuelle Einstellungen zur Datei
dhcpd.conf
hinzufügen (z. B. benutzerdefinierte Routen zu
Subnetzen), indem diese in den Textbereich am unteren Rand geschrieben werden, der mit Benutzerdefinierte Konfigurationszeilen markiert ist.
Warnung
Es erfolgt keine Syntaxüberprüfung dieser Zeilen: Sie werden an die Konfigurationsdatei angehangen. Jegliche Fehler an dieser Stelle können den Start des DHCP-Servers verhindern!
Beispiel SRV-1 – Booten mit PXE und Konfiguration von dhcpd.conf:
Die Anpassung des DHCP-Servers hat sich bei abweichenden Netzwerkkonfigurationen als nützlich erwiesen.
Eine weitere typische Anwendung ist für VoIP-Telefone, die ihre Konfigurationsdateien von einem HTTP-Server beim Start abrufen müssen. In diesem Fall können sich die Dateien auch auf der Panda GateDefender-Appliance befinden. Dadurch kann die Konfiguration des TFTP-Servers als zusätzliche Zeilen wie folgt übertragen werden:
option tftp-server-name "http://$GREEN_ADDRESS"; option bootfile-name "download/voip/{mac}.html";
Hinweis: $GREEN_ADDRESS ist ein Makro, das in der Datei
dhcpd.conf
durch die GRÜNE IP-Adresse der Panda
GateDefender-Appliance ersetzt wird.
Aktuelle statische Zuordnungen
Es ist manchmal erforderlich oder wünschenswert, dass bestimmte Geräte stets dieselbe IP-Adresse verwenden, obwohl DHCP verwendet wird. Dies gilt z. B. bei Servern, die Dienste wie eine VoIP Box, ein SVN-Repository oder Dateiserver bereitstellen, oder bei Geräten wie Druckern und Scannern. Fixe Leases werden in der Regel als statische IP-Adressen bezeichnet, da ein Gerät bei Anforderung eines Lease vom DHCP-Server stets dieselbe IP-Adresse erhält.
In diesem Feld werden sämtliche statische IP-Adressen, die derzeit im lokalen Netzwerk aktiv sind, zusammen mit verschiedenen Informationen zu den entsprechenden Adressen aufgelistet. Durch Klicken auf den Link Fixe Lease hinzufügen können Sie Geräten neue statische IP-Adressen zuweisen sowie sämtliche Informationen hinzufügen, die in der Liste angezeigt werden sollen. Die Geräte werden anhand ihrer MAC-Adressen identifiziert.
Hinweis
Die Zuweisung einer statischen IP-Adresse von einem DHCP-Server unterscheidet sich erheblich von der manuellen Einrichtung der IPAdresse auf einem Gerät. Im letzteren Fall wird das Gerät den DHCP-Server auch weiterhin kontaktieren, um eine IP-Adresse zu erhalten und seine Präsenz im Netzwerk anzumelden. Wenn die vom Gerät angeforderte IP-Adresse bereits zugewiesen wurde, erhält das Gerät eine dynamische IP-Adresse.
Folgende Parameter können bei statischen IP-Adressen definiert werden:
MAC Adresse Die MAC-Adresse des Clients.
IP Adresse Die IP-Adresse, die dem Client grundsätzlich zugeordnet wird.
Beschreibung Eine optionale Beschreibung des Geräts, dem die IP-Adresse zugewiesen wird.
Nächste Adresse Die Adresse des TFTP-Servers. Diese und die folgenden zwei Optionen sind nur in wenigen Fällen nützlich (weiter unten finden Sie ein Beispiel).
Dateiname Der Dateiname des Start-Image. Diese Option ist nur bei Thin Clients oder Netzwerkstarts erforderlich.
Rootpfad Der Pfad der Start-Image-Datei.
Aktiviert
Wenn dieses Kontrollkästchen aktiviert ist, wird die statische IP-Adresse gespeichert, jedoch nicht in die Datei
dhcpd.conf aufgenommen. Die für jede statische IP-Adresse verfügbaren Aktionen sind:
– Status der Adresse: aktiviert oder deaktiviert
– Eigenschaften der Adresse ändern
– Adresse entfernen
Anwendungsfall für statische IP-Adressen
Ein Anwendungsfall, der die Nützlichkeit einer statischen IP-Adresse zeigt, sind Thin Clients oder laufwerkslose Workstations im Netzwerk, die PXE verwenden, d. h. das Betriebssystem wird von einem Abbild auf einem TFTP-Server im Netzwerk bereitgestellt. Wenn sich der TFTP-Server auf demselben Server wie das DHCP befindet, erhält der Thin Client sowohl die IP-Adresse als auch das Abbild vom selben Server. Es kommt jedoch öfter vor, dass sich der TFTP-Server auf einem anderen Server im Netzwerk befindet. Daher muss der Client vom DHCP-Server zu diesem Server umgeleitet werden. Dies ist ein Vorgang, der leicht durch Hinzufügen einer statischen IPAdresse auf dem DHCP-Server für den Thin Client ausgeführt werden kann, indem eine Next-Adresse und der Dateiname des Abbildes dem Boot-Vorgang hinzugefügt werden.
Neben den Informationen, die während der Erstellung der statischen IP-Adresse angegeben werden, ermöglicht die Liste jede Adresse zu aktivieren oder deaktivieren (durch Aktivieren des Kontrollkästchens) und zu bearbeiten oder zu löschen, indem die Symbole in der Spalte Aktionen angeklickt werden. Für das Bearbeiten einer Adresse wird das gleiche Formular wie für die Erstellung einer neuen Adresse geöffnet, während die Adresse beim Löschen sofort aus der Konfiguration entfernt wird.
Hinweis
Alle vom DHCP zugewiesenen Adresse werden standardmäßig in der Datei
/var/lib/dhcp/dhcpd.leases
gespeichert. Obwohl der DHCP-Daemon die Bereinigung dieser Datei übernimmt, kann es vorkommen, dass die Datei Adressen speichert, die bereits abgelaufen und relativ alt sind. Dies ist kein Problem und beeinträchtigt nicht die Funktion des DHCP-Servers. Ein typischer Eintrag in dieser Datei lautet:
lease 192.168.58.157 { starts 2 2013/06/11 13:00:21; ends 5 2013/06/14 01:00:21; binding state active; next binding state free; hardware ethernet 00:14:22:b1:09:9b; } Aktuelle dynamische Zuordnungen
Wenn der DHCP-Server aktiv ist und mindestens einem Client eine (dynamische) IP-Adresse zugewiesen wurde, wird unten auf der Seite ein drittes Feld angezeigt, das die Liste der aktuell zugewiesenen dynamischen IP-Adressen enthält. In dieser Liste werden IPAdresse, MAC-Adresse, Hostname und Ablaufdatum der IP-Adressen angegeben, die den einzelnen Clients zugeordnet sind.
Dynamischer DNS
Ein DNS-Server ermöglicht die Auflösung der (numerischen) IP-Adresse eines Hosts auf Basis seines Hostnamens und umgekehrt. Dieser Vorgang eignet sich besonders für Hosts mit statischen IP-Adressen und Hostnamen.
DDNS-Provider wie DynDNS oder No-IP bieten einen ähnlichen Dienst für dynamische IP-Adressen. Dies ist in der Regel bei lokalen ADSL-Verbindungen der Fall: Jeder Domänenname kann registriert und einem Server mit dynamischer IP-Adresse zugeordnet werden. So wird jede an einer IP-Adresse vorgenommene Änderung dem DDNS-Provider übermittelt. Um die Kompatibilität und Integration mit den DNS-Stammservern zu gewährleisten, muss bei jeder Änderung der IP-Adresse die Aktualisierung aktiv durch den DDNS-Provider propagiert werden.
Die Panda GateDefender-Appliance enthält einen dynamischen DNS-Client für 14 verschiedene Anbieter. Wenn dieser aktiviert ist, verbindet er sich automatisch mit dem dynamischen DNS-Anbieter, um die neue IP-Adresse mitzuteilen, wenn sich diese ändert.
Hinweis
Wenn kein dynamisches DNS-Konto eingerichtet wurde, stehen auf der Website der Anbieter detaillierte Anweisungen zur Registrierung eines neuen Kontos detaillierte Online-Hilfen und Anleitungen bereit.
Diese Seite zeigt die Liste der dynamischen DNS-Konten an. Sie können mehrere DDNS-Provider nutzen. Für jedes Konto werden in der Liste Informationen zum verwendeten Dienst und zum registrierten Host-/Domänennamen sowie die verfügbaren Aktionen bereitgestellt. Zudem wird angezeigt, ob der anonyme Proxy-Server und die Platzhalter aktiviert sind.
– Status der Adresse: aktiviert oder deaktiviert
– Eigenschaften der Adresse ändern
– Adresse entfernen
Sie können neue Konten erstellen, indem Sie auf den Link Host hinzufügen klicken. Folgende Parameter werden daraufhin angezeigt:
Dienst Zeigt die verfügbaren DDNS-Provider im Dropdown-Menü an.
Hinter einem Proxy Diese Option wird nur beim Provider „no-ip.com“ angewandt. Das Kontrollkästchen muss aktiviert sein, wenn sich die Panda GateDefender-Appliance über einen Proxy mit dem Internet verbindet.
Wildcards erlauben Einige Anbieter von dynamischen DNS ermöglichen, dass alle Subdomänen einer Domäne auf dieselbe IP-Adresse verweisen. In diesem Fall sind zwei Hosts – beispielsweise www.example.myddns.org und second.example.myddns.org – derselben IP-Adresse zugeordnet. Bei Aktivierung dieses Kontrollkästchens werden alle möglichen Subdomänen an dieselbe IP-Adresse umgeleitet. Die Funktion muss auch im Konto des DDNS-Providers konfiguriert sein (falls verfügbar).
Hostname und Domäne Der Hostname und die Domäne werden mit dem DDNS-Anbieter registriert, z. B. „beispiel“ und „meinddns.org“.
Benutzername und Passwort Die vom Anbieter des dynamischen DNS vergebenen Anmeldeinformationen, um auf den Dienst zuzugreifen.
Hinter einem Router (NAT) Aktivieren Sie diese Option, falls die Panda GateDefender-Appliance nicht direkt mit dem Internet verbunden ist, d. h. das vor dem Internetzugriff ein weiterer Router oder ein Gateway liegt. In diesem Fall können Sie den Dienst unter http://checkip.dyndns.org nutzen, um die IP-Adresse des Routers zu ermitteln.
Aktiviert Durch Aktivieren dieses Kontrollkästchens wird das Konto aktiviert. Dies ist die Standardeinstellung.
Hinweis
Es ist immer noch erforderlich, einen Dienst in die ROTE Zone zu exportieren, um mithilfe der dynamischen IP-Adresse den Domänennamen für die Verbindung mit der Panda GateDefender-Appliance vom Internet aus zu verwenden, da der Anbieter des dynamischen DNS nur den Domänennamen auflöst, nicht jedoch zugehörige Dienste. Das Exportieren eines Dienstes setzt normalerweise die Einrichtung einer Portweiterleitung voraus (siehe Menüleiste ‣ Firewall ‣ Portweiterleitung/NAT).
Nachdem Sie eine Änderung in der Konfiguration ausgeführt haben oder Sie den dynamischen DNS sofort für alle definierten Konten aktualisieren möchten, klicken Sie auf die Schaltfläche Update durchführen. Dies ist insbesondere dann nützlich, wenn beispielsweise der Uplink getrennt wurde und sich die REDIP geändert hat. In diesem Fall ist es erforderlich, sämtliche DDNS-Konten zu aktualisieren. Anderenfalls ist die Erreichbarkeit der über DDNS angebotenen Dienste nicht mehr gegeben.
Antivirus-Engine Die Anti-Virus-Engine der Panda GateDefender-Appliance ist Panda, welche für die Suche nach Viren und Malware innerhalb von Dateien und Dokumenten verwendet wird. Sie passiert die Panda GateDefender-Appliance über einen der laufenden Proxy-Dienste. Es gibt nur eine Registerkarte auf dieser Seite: Panda Antivirus
Archivbombe und DoS.
Archivbomben sind Archive, die eine Reihe von Tricks verwenden, um die Virenschutz-Software bis zu einem Punkt zu überladen, ab dem die meisten Ressourcen des Hostcomputers in Beschlag genommen sind. Dieser Vorgang heißt DoS-Angriff. Diese Tricks beinhalten: Kleine Archive, die aus großen Dateien mit sich wiederholendem Inhalt bestehen (beispielsweise eine Datei von 1 GB, die nur Nullen enthält, und mit Zip auf eine Größe von nur 1 MB komprimiert wurde), ineinander verschachtelte Archive (d. h. Zip-Dateien in Zip-Dateien), Archive, die eine große Anzahl leerer Dateien enthalten usw. Das Dekomprimieren solcher Archivdateien stellt eine ernste Belastung für die normalen Aktivitäten eines Servers oder einer Workstation dar, da viele Ressourcen (besonders RAM und CPU) benötigt werden und der Benutzerverfügbarkeit entzogen wird.
Panda Antivirus Die Panda GateDefender-Appliance nutzt die Anti-Virus-Engine von Panda, um interne Netzwerke vor Viren und Malware zu schützen.
Die erste verfügbare Option ist die Auswahl der Aktualisierungszyklus der Anti-Virus-Signaturen. Dies sind: stündlich, täglich, wöchentlich oder monatlich.
Die konfigurierbaren Scanoptionen sind in drei Bereiche unterteilt:
Dateien-Inhaltsanalyse
Die folgende Option bezieht sich auf die Suche nach und den Scan auf verschiedenen Typen von Malware, welche die Workstations und Server hinter der Panda GateDefender-Appliance infizieren könnten.
Infizierte Dateien säubern Aktivieren Sie das Kontrollkästchen für die Aktivierung der automatischen Dateibereinigung während des Malware-Scans. Bei Deaktivierung dieser Option wird die infizierte Datei gelöscht, ohne einen Versuch sie zu retten.
Scanne nach bekannten Jokes Aktiviert den Scan auf Malware-Jokes, d. h. kleine Programmen, die Panik beim Benutzer auslösen, ohne die Workstation des Benutzers zu beschädigen.
Scanne nach bekannten Einwahlprogrammen
Aktiviert den Scan auf Malware-Dialer, also Programme, die versuchen, Telefonnummern ohne Ihre Zustimmung zu wählen.
Scanne nach bekannter Spyware/Adware Aktiviert die Suche nach Spyware und Adware.
Scanne nach bekannten Hackertools Aktivieren Sie dieses Kontrollkästchen, um die Suche nach Hackertools zu aktivieren.
Scanne nach bekannten Sicherheitsrisiken Aktiviert den Scan nach Malware, die als Sicherheitsrisiken bekannt sind.
Scanne nach bekannten MIME Sicherheitslücken Aktivieren Sie das Kontrollkästchen, um die Suche nach MIME-Schwachstellen zu aktivieren.
Heuristische Analyse aktivieren Sie können die heuristische Analyse für Malware verwenden, um neue Malware-Typen zu erkennen, die evtl. noch nicht in den Signaturen enthalten ist.
Heuristik-Stufe Wählen Sie die gewünschte Empfindlichkeit der heuristischen Analyse aus den drei verfügbaren Optionen aus: niedrig, mittel und hoch.
Gepackte und/oder komprimierte Dateien
Diese Optionen betreffen das Verhalten des Virenschutzes beim Umgang mit komprimierten Dateien. Weitere Informationen zu diesem Thema finden Sie hier.
Analysiere komprimierte/gepackte Dateien Aktivieren Sie das Kontrollkästchen, um die Analyse komprimierter Dateien zu aktivieren.
Maximale Rekursionsebene Die maximale Rekursionsebene innerhalb komprimierter Dateien.
Kontrolliere Größe bei Dekomprimierung Aktivieren Sie das Kontrollkästchen, um die Steuerung der Größe komprimierter Dateien zu aktivieren.
Maximale Größe bei Dekomprimierung Die maximale Größe dekomprimierter Dateien in Kilobyte für nicht komprimierte Elemente
Maximale Verschachtelungstiefe Die maximale Verschachtelungstiefe für komprimierte Dateien
Dateierweiterungen
Whitelist-Erweiterungen
Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan durch die Anti-Virus-Engine geleitet.
Erweiterungen verbieten Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan von der Anti-VirusEngine blockiert.
Zeitserver Die Panda GateDefender-Appliance nutzt das Network Time Protocol NTP, um die Systemzeit mit Zeitservern im Internet zu synchronisieren. Die verfügbaren Einstellungen werden in zwei Feldern zusammengefasst.
Netzwerk-Timeserver verwenden
Eine Reihe von Zeitserver-Hosts im Internet sind vorkonfiguriert und werden vom System genutzt. Sie haben jedoch die Möglichkeit, benutzerdefinierte Zeitserver festzulegen, nachdem Sie das Kontrollkästchen Standard NTP Server überschreiben aktiviert haben. Dies kann sich als notwendig erweisen, wenn eine Einrichtung ausgeführt wird, bei der die Panda GateDefender-Appliance nicht auf das Internet zugreifen kann. Es können mehrere Adressen von Zeitservern (eine pro Zeile) im angezeigten Kurzformular angegeben werden.
In diesem Feld wird die aktuelle Einstellung für die Zeitzone angezeigt. Die Einstellung kann im Dropdown-Menü geändert werden. Sie können eine sofortige Synchronisation durchführen, indem Sie auf die Schaltfläche Jetzt synchronisieren klicken.
Manuell anpassen
Im zweiten Feld haben Sie die Möglichkeit, die Systemzeit manuell zu ändern. Obwohl davon abgeraten wird, kann diese Aktion nützlich sein, wenn die Zeitangabe auf der Systemuhr der Panda GateDefender-Appliance stark abweicht und eine sofortige Korrektur der Systemzeit erforderlich ist.
Eine automatische Synchronisation mithilfe von Zeitservern wird nicht unverzüglich durchgeführt. Die Systemuhr wird zur Wiederherstellung und Anpassung an die korrekte Zeit ein Stück weit „verlangsamt“ oder „beschleunigt“. Bei einem System, dessen Zeitangabe signifikant abweicht, wird möglicherweise ein längerer Zeitraum benötigt, um den Zeitfehler zu korrigieren. In solchen Fällen stellt die manuelle Synchronisation eine drastische, aber sofortige Lösung dar.
E-Mail-Quarantäne Die E-Mail-Quarantäne ist ein besonderer Ort auf der Festplatte der Panda GateDefender-Appliance. Hier werden durch den SMTPProxy erkannte E-Mails gespeichert, die Spam, Malware, Viren oder verdächtige Anhänge enthalten, anstatt sie zuzustellen. Hier können solche E-Mails sicher analysiert und Aktionen zu deren Verwaltung durchgeführt werden. So aktivieren Sie die E-Mail-Quarantäne: Gehen Sie zu Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration. Wählen Sie in den Feldern für Spam-, Viren- und Dateieinstellungen aus den Dropdown-Menüs die Option „In die Standard-Quarantäne verschieben“ aus.
Die Seite „E-Mail-Quarantäne“ enthält eine Tabelle mit einer Liste aller E-Mails in der Quarantäne. Darüber befindet sich eine Navigationsleiste, um die E-Mails zu durchsuchen.
Die Tabelle enthält die folgenden Informationen über die in der Quarantäne gespeicherten E-Mails.
Auswählen Ein Kontrollkästchen, mit dem Sie eine oder mehrere Nachrichten gleichzeitig auswählen und eine Aktion mit diesen ausführen können.
Grund Der Grund, warum die Zustellung der E-Mail blockiert wurde: Malware – die E-Mail enthält Viren oder andere Arten von Bedrohungen, Spam – die E-Mail enthält Spam, Gesperrt – Die E-Mail weist einen Anhang auf, der nicht gesendet werden kann, und Ungültiger Header – die Informationen im Header sind ungültig.
Datum Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.
Größe Die Größe der E-Mail.
Von Der Absender der E-Mail.
Betreff Der Betreff der E-Mail.
Anhang Die Anzahl der Anhänge der E-Mail.
Aktionen
Die vier Symbole in dieser Spalte stellen die verfügbaren Aktionen dar: herunterladen,
Nachricht anzeigen,
Nachricht freigeben und an den ursprünglichen Empfänger senden sowie
Nachricht E-Mail löschen.
Ausführlichere Informationen erhalten Sie im nachfolgenden Abschnitt.
Zwei Schaltflächen unterhalb der Tabelle ermöglichen es, Aktionen durchzuführen, wenn in der Tabelle mehr als eine Nachricht ausgewählt ist.
Freigeben Gibt die ausgewählten Nachrichten zur sofortigen Zustellung frei.
Löschen Entfernt die ausgewählten E-Mails dauerhaft.
Beim Klicken auf das Symbol Nachricht anzeigen wird die E-Mail-Liste durch eine Seite mit drei Feldern ersetzt, auf der verschiedene Details zur ausgewählten E-Mail angezeigt werden.
Mail in Quarantäne
Dieses Feld zeigt eine detailliertere Ansicht der E-Mail-Daten aus der E-Mail-Liste: Der Grund, warum die E-Mail in die Quarantäne verschoben wurde, Absender und Empfänger mit Cc, Betreff, Datum und Uhrzeit des Empfangs sowie die Größe der E-Mail.
Header
Der vollständige, ursprüngliche Header der E-Mail, der nützliche Informationen enthalten kann, beispielsweise den Pfad, dem die E-Mail gefolgt ist.
Payload
Hier werden die Anhänge der E-Mail (falls vorhanden) mit ihren Details angezeigt. Darüber hinaus wird jeder HTML-Anhang mit seinem vollständigen Quellcode angezeigt.
Im unteren Bereich ist folgende Option verfügbar:
Nach Freigabe aus der Quarantäne entfernen Die E-Mail wird aus der Quarantäne entfernt, nachdem sie für den ursprünglichen Empfänger freigegeben wurde.
Spam Training Die Panda GateDefender-Appliance beinhaltet die Engine „SpamAssasin“ zum Finden und Bekämpfen von Spam-E-Mails. Auch wenn sich SpamAssassin in vielen Fällen bewährt hat, müssen die Fähigkeiten der Engine optimiert werden, um Spam-Mails effektiv abzufangen. Sie können das Training der Anti-Spam-Engine auf dieser Seite konfigurieren: SpamAssassin lernt automatisch, welche EMails als Spam klassifiziert werden und welche nicht (die so genannten „Ham“-Mails). Für die Ausführung des Trainings wird eine Verbindung zu einem IMAP-Host benötigt, um die Spam- und Ham-Mails in den vordefinierten Ordnern zu prüfen.
Ein Feld enthält die für den Lernmodus verwendete Liste der IMAP-Hosts, die auf verschiedenen Ebenen verwaltet werden können. Im anderen Feld können Sie die geplanten Updates ändern.
Aktuelle Spam Trainingsquellen
Im ersten Feld können die Trainingsressourcen mithilfe von zwei Links konfiguriert werden. Wenn Sie auf diese Links klicken, werden zwei Abschnitte angezeigt, in denen Sie die verschiedenen Konfigurationswerte angeben können. Die Standardkonfiguration ist zu Beginn nicht definiert und wird nicht für das Training verwendet. Es werden nur Werte bereitgestellt, die anschließend tatsächlich in die Trainingsressourcen übernommen werden. Diese können Sie im Folgenden hinzufügen. Sie können diese Einstellung konfigurieren, indem Sie auf den Link Standardkonfiguration bearbeiten klicken:
Standard IMAP Host Der IMAP-Host, der die Trainingsordner enthält.
Standard Benutzername Der Benutzername für den IMAP-Host.
Standard Passwort Das Benutzerpasswort
Standard-Hamordner Der Name eines Ordners, der ausschließlich Ham-Nachrichten enthält. Dabei kann es sich beispielsweise um einen speziell hierfür vorgesehenen Ordner handeln, in dem ausschließlich „saubere“ Nachrichten gespeichert werden, oder sogar um den Posteingang.
Standard Spamordner Der Name eines Ordners, der ausschließlich Spam-Nachrichten enthält.
Für automatisches Spamfilter-Training vormerken Das Zeitintervall zwischen zwei aufeinander folgenden Prüfungen – stündlich, täglich, wöchentlich oder monatlich. Diese Option kann deaktiviert werden. Wenn Sie den Mauszeiger über die Fragezeichen bewegen, wird der genaue planmäßige Zeitpunkt angezeigt. Wenn diese Option deaktiviert ist, muss die Antispam-Engine manuell trainiert werden.
Weitere Quellen für das Spam-Training können im Abschnitt hinzugefügt werden, der nach Klicken auf den Link IMAP Spam Trainingsquelle hinzufügen angezeigt wird. Die Optionen für die zusätzlichen für das Training verwendeten Hosts entsprechen den Optionen für die Standardkonfiguration. Eine Ausnahme bilden der Zeitplan (hier wird stets die Standardkonfiguration übernommen) und die folgenden drei neu verfügbaren Optionen:
Aktiviert
Die Trainingsquelle wird jedes Mal verwendet, wenn SpamAssassin trainiert wird. Wenn diese Option deaktiviert ist, wird die Quelle nur beim manuellen, jedoch nicht beim automatischen Training verwendet.
Anmerkung Ein Kommentar zu dieser Quelle.
Bearbeitete Mails löschen Mithilfe dieser Option wird festgelegt, ob verarbeitete E-Mails gelöscht werden sollen.
Die anderen Optionen können wie in der Standardkonfiguration definiert werden und überschreiben, wenn angegeben, die Standardwerte. Nachdem alle gewünschten Werte festgelegt wurden, klicken Sie auf die Schaltfläche Trainingsquelle hinzufügen, um die Konfiguration einer Quelle zu speichern. Mithilfe einer Trainingsquelle können mehrere Aktionen durchgeführt werden:
– Status des IMAP-Hosts: aktiviert oder deaktiviert
– Eigenschaften des IMAP-Hosts ändern
– IMAP-Host entfernen
– Verbindung zum IMAP-Host prüfen
Durch Klicken auf das entsprechende Symbol können Sie die Quelle aktivieren, deaktivieren, bearbeiten, entfernen oder die Verbindung zur Quelle überprüfen.
Zwei weitere Aktionen sind verfügbar und werden auf sämtliche Verbindungen angewendet, wenn Sie auf eine der Schaltflächen rechts oben im Feld klicken.
Alle Verbindungen testen Gleichzeitige Überprüfung aller Verbindungen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, wenn eine große Anzahl an Trainingsquellen definiert wurde oder die Verbindung zum IMAP-Server langsam ist.
Training jetzt starten Training wird umgehend gestartet. Beachten Sie, dass das Training längere Zeit in Anspruch nehmen kann. Dies hängt von verschiedenen Faktoren ab: der Anzahl der Quellen, der Verbindungsgeschwindigkeit und insbesondere von der Zahl der heruntergeladenen E-Mails.
Hinweis
Die Antispam-Engine kann auch auf andere Weise trainiert werden, wenn der SMTP-Proxy sowohl für eingehende als auch ausgehende E-Mails aktiviert ist. Dies geschieht durch das Senden von Spam-E-Mails an
[email protected] und Ham-E-Mails an
[email protected]. Die Hostnamen spam.spam und ham.ham werden der Netzwerkkonfiguration nach der Netzwerkeinrichtung hinzugefügt und sind Aliase des Localhost. Falls diese zwei Adressen nicht vorhanden sind, können sie der Hostkonfiguration auf der Panda GateDefenderAppliance unter Menüleiste ‣ Netzwerk ‣ Hosts bearbeiten ‣ Host hinzufügen hinzugefügt werden.
Zeitplan für SpamAssassin Regelupdates
In diesem Feld können Sie eine der vier folgenden Optionen für den automatischen Download von SpamAssassin-Signaturen festlegen: Stündlich, täglich, wöchentlich und monatlich.
Intrusion Prevention Die Panda GateDefender-Appliance enthält das bekannte System snort zur Einbruchserkennung (IDS) und -verhinderung (IPS), das direkt in iptables integriert ist, um Verbindungen von unerwünschten oder nicht vertrauenswürdigen Quellen abzufangen und zu verwerfen.
Die Seite enthält drei Registerkarten: Intrusion Prevention System, Regeln und Editor.
Intrusion Prevention System Ist SNORT nicht aktiviert, wird auf der Seite neben der Bezeichnung Intrusion Prevention System aktivieren ein grauer Schalter angezeigt, über den Sie den Dienst starten können. Sie werden in einer Nachricht darüber informiert, dass ein Neustart des Dienstes durchgeführt wird. Kurze Zeit später werden im Feld einige Optionen zur Konfiguration des Dienstes angezeigt.
SNORT Regeln automatisch herunterladen Durch Aktivieren dieses Feldes lädt die Panda GateDefender-Appliance automatisch die snort-Regeln von der Panda Perimetral Management Console herunter.
Hinweis
Wenn
die
Panda
GateDefender-Appliance
nicht
registriert
ist,
werden
die
Regeln
von
der
Webseite
„Emerging
Threats“ heruntergeladen. Außerdem wird eine informative Meldung am unteren Rand der Seite angezeigt.
Updateintervall wählen Die für die Regeln festgelegte Download-Häufigkeit: Mithilfe eines Dropdown-Menüs können Sie die einzelnen Optionen – stündlich, täglich, wöchentlich oder monatlich – auswählen. Diese Option ist nur verfügbar, wenn die vorherige Option aktiviert wurde.
Benutzerdefinierte SNORT Regeln Datei mit benutzerdefinierten SNORT-Regeln, die hochgeladen werden sollen. Wählen Sie aus dem Fenster, das nach Klicken auf die Schaltfläche Durchsuchen angezeigt wird, eine Datei aus, und laden Sie sie hoch, indem Sie auf die Schaltfläche Benutzerdefinierte Regeln hochladen klicken.
Regeln Auf der Registerkarte Regeln wird eine Liste von Regelsätzen angezeigt, die auf der Panda GateDefender-Appliance gespeichert werden. Dazu werden die Anzahl der darin enthaltenen Regeln und den Aktionen aufgeführt, die damit ausgeführt werden können:
– Status des Regelsatzes: aktiviert oder deaktiviert
– Die auf Pakete angewendete Richtlinie: durchlassen oder blockieren
– Eigenschaften des Regelsatzes ändern
– Regelsatz entfernen
Hinweis
Wenn Sie auf der Registerkarte Regeln bestimmte Regeln bearbeiten, werden diese beim Öffnen der Seite Editor (siehe unten) automatisch angezeigt.
Alle Aktionen außer „Bearbeiten“ können für mehrere Regelsätze gleichzeitig ausgeführt werden. Wählen Sie dazu die Regelsätze (durch Aktivieren des Kontrollkästchens links neben dem Dateinamen) aus, und klicken Sie auf die Schaltfläche unterhalb der Liste.
Die Richtlinie Alarm ist für alle Regelsätze standardmäßig aktiviert. Sie können diese Einstellung ändern, indem Sie auf das Alarmsymbol klicken. Für die Richtlinie ist nun die Einstellung Blockieren konfiguriert, und das Alarmsymbol wird als rotes Schildsymbol angezeigt. Nach Klicken auf die Schaltfläche Übernehmen wird durch die betreffende Regel kein Alarm mehr ausgelöst. Der gesamte von der Regel betroffene Datenverkehr wird blockiert.
Sie können Regeln löschen, indem Sie auf das Papierkorbsymbol klicken. Wenn Sie auf das Stiftsymbol klicken, werden Sie hingegen zur Editor-Seite umgeleitet, auf der Sie die Regeln unabhängig voneinander bearbeiten können.
Editor Im oberen Bereich der Seite Editor werden die Regelsätze angezeigt, die Sie bearbeiten können. Sie können mehrere Regelsätze gleichzeitig auswählen, indem Sie während des Anklickens der Regeln die Taste STRG gedrückt halten.
Nachdem Sie die Regelsätze ausgewählt und auf die Schaltfläche Bearbeiten geklickt haben, werden in einer Liste die ausgewählten Regeln angezeigt. Sie können die Liste durch Eingabe einiger Begriffe im Textfeld neben der Bezeichnung Suche einschränken. Wie auf der Seite Regeln können auch hier die Richtlinien zu den einzelnen Einträgen geändert werden.
Warnung
Wenn Sie das IPS-System aktivieren, wird SNORT zwar ausgeführt, aber der Datenverkehr wird noch nicht gefiltert. Damit snort Pakete filtert, muss die Filterrichtlinie Mit IPS erlauben für die auf den verschiedenen Konfigurationsseiten der Firewall definierten Regeln ausgewählt werden.
Hochverfügbarkeit Die Panda GateDefender-Appliance kann im HV-Modus ausgeführt werden. Für dessen unkomplizierte Einrichtung werden mindestens zwei Panda GateDefender-Appliances benötigt, von denen eine die Rolle der aktiven (Master) Firewall übernimmt. Die restlichen Firewalls (Slaves) sind im Standby-Betrieb.
Wenn die Master-Firewall ausfällt, wird eine der Slave-Firewalls als neue Master-Firewall ausgewählt. So wird ein transparentes Failover gewährleistet. Wenn jedoch nur ein Slave vorhanden ist, werden sofort die Aufgaben des Masters übernommen, und es wird im Fall eines Hardwareausfalls der primären Appliance ein nahtloser Failover-Übergang auf die zweite Panda GateDefender-Appliance ermöglicht. Dies gewährleistet eine beispiellose Verfügbarkeit und Redundanz der Hardware, die für kritische Netzwerkvorgänge und für die Sicherheit unerlässlich ist.
Zum Starten des HV-Dienstes müssen mindestens eine Panda GateDefender-Appliance als Master und eine als Slave entsprechend den folgenden Richtlinien konfiguriert sein.
Hinweis
Das Hochverfügbarkeitsmodul erfordert mindestens zwei identische Panda GateDefender-Appliances.
Achten Sie darauf, dass beim Einrichten des Hochverfügbarkeitsmoduls für jede Verbindung zur Panda-Appliance eine Duplizierung ermöglicht werden muss. Jede Verbindung auf der primären Einheit (beispielsweise WAN, LAN usw.) muss auf den einzelnen StandbyEinheiten repliziert werden, um eine vollständige Replikation gewährleisten zu können.
In diesem Szenario ist jedes Netzwerk auf der Panda GateDefender-Appliance (WAN, LAN usw.) mit einem extern verwalteten Switch verbunden, der für jedes zugewiesene Netzwerk ein eindeutiges VLAN besitzt. Bei dieser Bereitstellungsoption werden am wenigsten Netzwerkports benötigt, wodurch höhere Erweiterungskapazitäten vorhanden sind. Eine andere Möglichkeit besteht darin, einen zentral verwalteten (VLAN-fähigen) Switch durch kleinere, separate Switches für die einzelnen Netzwerke (WAN, LAN usw.) zu ersetzen. Diese Einrichtung könnte jedoch nicht kosteneffizient und weniger verlässlich sein, da ein Ausfall auf einem beliebigen Switch zu einem teilweisen oder vollständigen Failover führen kann.
Warnung
Der Hochverfügbarkeitsdienst wird automatisch über das GRÜNE Netzwerk ausgeführt. Sie können die Einstellung jedoch so konfigurieren, dass der Dienst über die Switch-Verbindung ausgeführt wird. Alternativ können Sie dem GRÜNEN Netzwerk auch einen Ethernet-Port zuweisen, um das Master-Gerät direkt mit der Slave-Einheit zu verbinden. Der Vorteil einer direkten Verbindung besteht darin, dass der Switch nicht mehr für den Failover benötigt wird. Mögliche Problemquellen werden somit beseitigt, was zu einer höheren Zuverlässigkeit führt. Die Wahl dieser Option hängt größtenteils von der Zuverlässigkeit des verwalteten Switches ab (doppelte Stromversorgung, Ausfallrate der Ports, Garantiebestimmungen usw.). Je zuverlässiger/redundanter die Switch-Konfiguration ist, desto unbedenklicher wird die Verwendung einer direkten Verbindung sein.
Auf dieser Seite wird nur ein Feld angezeigt, in dem zunächst eine Option verfügbar ist:
Hohe Verfügbarkeit (HA) aktivieren Aktivierung des HV-Dienstes auf der Panda GateDefender-Appliance. Der Dienst ist standardmäßig deaktiviert.
Nach Aktivierung wird ein zweites Dropdown-Menü mit der Bezeichnung Hochverfügbarkeit Seite angezeigt. Hier können Sie die Panda GateDefender-Appliance als Master oder Slave konfigurieren. Je nach Auswahl sind unterschiedliche Konfigurationsoptionen verfügbar. Für die Konfiguration einer Slave-Einheit wird eine bereits eingerichtete Master-Einheit benötigt.
Die folgenden Optionen sind für die Master-Seite verfügbar:
Management Netzwerk Spezielles Subnetz, mit dem alle Panda GateDefender-Appliances verbunden werden müssen, die am eingerichteten Hochverfügbarkeitsdienst beteiligt sind. Die Standardkonfiguration des Subnetzes lautet
192.168.177.0/24.
Sofern dieses Subnetz nicht bereits für andere Zwecke verwendet wird, muss es nicht modifiziert werden.
IP-Adresse des Primärrechners Erste IP-Adresse des Management-Netzwerks. Sie ist automatisch mit 1 auf dem ausgewählten Netzwerk eingerichtet und nimmt standardmäßig den Wert 192.168.177.1 an.
Benachrichtigung: Emailadresse des Empfängers, Benachrichtigung: Absender Emailadresse, Benachrichtigung: EMail-Betreff, Hinweis: zu verwendender SMTP-Server Diese Optionsfelder können ausgefüllt werden, um per E-Mail über Ausfälle benachrichtigt zu werden. Diese Optionen werden auf dieselbe Weise konfiguriert wie die Optionen für andere Ereignisbenachrichtigungen unter Menüleiste ‣ System ‣ Ereignisbenachrichtigung. Folgende Angaben werden für den E-Mail-Versand benötigt: ein benutzerdefinierter Absender, Empfänger, E-Mail-Betreff und ein SMTP-Smarthost.
STP aktivieren Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Diese Option und die nachfolgende sind wichtig, wenn die Panda GateDefender-Appliance im Gateway-Modus ausgeführt wird.
STP Bridge Priorität Die Priorität der Bridge. Sie muss 1 auf der Seite des Masters sein.
Nach Aktivierung des Hochverfügbarkeitsdienstes wird ein weiteres Feld mit einer Liste der Slaves und der zugehörigen IP-Adressen angezeigt. Des Weiteren haben Sie hier die Möglichkeit, über einen Link auf die entsprechende Management-GUI zuzugreifen und Slaves zu entfernen.
Management-Netzwerk des Hochverfügbarkeitsdienstes:
Die Panda GateDefender-Appliance verwendet ein spezielles Netzwerk, um die Master- und Slave-Einheit(en) zu verbinden: 192.168.177.0/24. Wenn dieses Netzwerk bereits in anderen Zonen verwendet wurde, wird keines der bereits definierten Netzwerke gelöscht und es ist keine Modifizierung der Netzwerke erforderlich. Weisen Sie in diesem Fall dem HV-Management-Netzwerk einfach einen anderen IP-Adressbereich zu, beispielsweise 172.19.253.0/24 oder 10.123.234.0/28. Es ist wichtig zu beachten, dass die einzige Voraussetzung des Verwaltungsnetzwerks seine Größe ist. Es muss groß genug sein, um den Master und alle Slaves unterzubringen. Daher sollte im Falle nur eines Master- und Slave-Geräts auch ein Netzwerk mit einer Größe von 192.168.177.0/29 ausreichend sein. Das Management-Netzwerk wird als Schnittstelle im GRÜNEN Netzwerk eingerichtet, und wird auf dem Gerät bzw. beim Anzeigen des Netzwerkstatus als solche angezeigt.
Warnung
Stellen Sie sicher, dass das Management-Netzwerk über das aktuelle LAN erreichbar ist. Anderenfalls ist eine Anmeldung bei der Master-Einheit nicht möglich!
Nach Konfiguration der Master-Einheit können Sie die zweite Panda GateDefender-Appliance einrichten, die als Slave genutzt wird. Auf dieselbe Weise werden alle weiteren Slave-Einheiten konfiguriert.
Warnung
Es wird dringend empfohlen, vor der Konfiguration ein Backup der Slave-Einheit zu erstellen und an einem sicheren Ort zu speichern, da es nützlich sein kann, um eine Slave-Einheit wiederherzustellen, nachdem diese aus ihrer Rolle entfernt wurde.
Für die Slave-Einheiten sind folgende Optionen verfügbar:
IP-Adresse des Primärrechners Die IP-Adresse der Master-Einheit ist standardmäßig
192.168.177.1/24, wenn das Verwaltungsnetzwerk nicht
geändert wurde. Dieser Wert muss mit dem Wert übereinstimmen, der auf der Master-Einheit unter IP-Adresse des Primärrechners angezeigt wird.
Master Rootpasswort Das Passwort root-Benutzers der Konsole (nicht der grafischen Administrationsoberfläche) auf der Master-Einheit.
Diese Daten werden von der Slave-Einheit verwendet, um alle erforderlichen Daten von der Master-Einheit abzurufen und die Synchronisation zu gewährleisten.
STP aktivieren Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Auf der Seite des Slaves muss diese Option denselben Wert wie auf der Master-Seite haben.
STP Bridge Priorität Die Priorität der Bridge. Auf der Seite des Slave muss dies eine Ziffer oder Zahl größer als die auf der Master-Seite sein.
Nach Speichern der Einstellungen wird im Laufe der Erstellung des Management-Netzwerks die Verbindung zum Gerät vorübergehend unterbrochen. Anschließend werden beide Geräte (die Master- und aktuell definierte Slave-Einheit) synchronisiert.
Nach Abschluss des Synchronisationsvorgangs ist die Slave-Einheit nicht mehr über die alte IP-Adresse (die werksseitig eingestellte oder vorherige GRÜNE IP-Adresse) erreichbar, da sich die Einheit nun im Standby-Modus befindet und nur über das ManagementNetzwerk mit der Master-Einheit verbunden ist. Alle Änderungen an der primären Einheit (wie das Aktivieren von Diensten, Ändern von Einstellungen, Löschen eines VPN-Benutzers usw.) werden automatisch an die Slave-Einheit(en) übermittelt – mit Ausnahme von Updates, Upgrades oder Datensicherungen (diese müssen manuell auf der Slave-Einheit durchgeführt werden).
Zudem wird die Slave-Einheit der Panda-Appliance automatisch in der Slave-Liste der Master-Einheit angezeigt und nur noch als informative Weboberfläche verwendet, auf die Sie von der Master-Einheit über den Link Zur Management-GUI wechseln neben den einzelnen Einträgen in der Slave-Liste zugreifen können.
Die ROTE MAC-Adresse
Während des HV-Failovers wird die MAC-Adresse der ROTEN Schnittstelle auf der Slave-Einheit nicht repliziert. Dies kann ein Problem darstellen, wenn der Internetdienstanbieter die Einstellungen für die statische IP-Adresse benötigt. In diesem Fall wird die vom Internetdienstanbieter zugewiesene IP-Adresse von der MAC-Adresse der Client-Netzwerkschnittstelle bestimmt, ähnlich wie bei einer statischen IP-Adresse, die von einem DHCP-Server an den Client vergeben wird. Es könnte nicht möglich sein, sich erneut mit der Slave-Einheit zu verbinden. Zur Vermeidung dieser Situation ist es notwendig, die Funktion für gefälschte MAC-Adressen auf der ROTEN Schnittstelle zu verwenden, damit HV korrekt funktioniert. Um diese Situation zu vermeiden, müssen Sie für ein ordnungsgemäßes Funktionieren des Hochverfügbarkeitsdienstes für die ROTE Schnittstelle eine gespoofte MAC-Adresse verwenden. Dies kann auf dem Slave vor der Aktivierung durch Auswahl der Option Verwende benutzerdefinierte MAC Adresse unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ Main Uplink bearbeiten ‣ Erweiterte Einstellungen erreicht werden. Alternativ können Sie in Schritt 4 des Netzwerkinstallationsassistenten im Optionsfeld Verwende diese MAC Adresse die MAC-Adresse der Master-Einheit eingeben.
Netzwerkmonitoring Der Dienst Traffic Monitoring wird von ntopng ausgeführt und kann durch Betätigen des Hauptschalters auf dieser Seite aktiviert bzw. deaktiviert werden. Sobald die Überwachung des Datenverkehrs aktiviert ist, wird im unteren Abschnitt der Seite ein Link zu einer neuen Administrationsoberfläche angezeigt. Der Verkehr kann durch den Host, das Protokoll, die lokale Netzwerkschnittstelle und viele andere Informationstypen visualisiert und analysiert werden: Alle diese Vorgänge können direkt vom Modul Netzwerkmonitoring im Menü „Protokolle und Berichte“ ausgeführt werden.
SNMP-Server Der SNMP-Dienst dient der Überwachung von mit dem Netzwerk verbundenen Geräten. Er wird unter anderem zur Überprüfung des Status der internen Infrastruktur verwendet.
Um den SNMP-Server zu aktivieren, müssen Sie nur auf den grauen Schalter neben der Option Aktiviere SNMP Server klicken. Daraufhin werden im Feld Einstellungen verschiedene Optionen angezeigt.
Community String Schlüssel zum Lesen von Daten mithilfe des SNMP-Clients.
Standort Eine Zeichenfolge, die auf einen beliebigen Wert gesetzt werden kann. Es ist jedoch ratsam, dass sie den Ort der Panda GateDefender-Appliance beschreibt.
Überschreibe globale Benachrichtigunsemailadresse Der SNMP-Server muss eine E-Mail-Adresse als Kontaktstelle mit dem System konfigurieren. Standardmäßig wird die im Laufe der Installation bereitgestellte globale E-Mail-Adresse verwendet. Um eine benutzerdefinierte E-Mail-Adresse zu verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie im direkt unterhalb aktivierten Feld System Kontakt Emailadresse die benutzerdefinierte E-Mail-Adresse ein.
Quality of Service Der Zweck des QoS-Moduls ist es, den IP-Verkehr zu priorisieren, der dienstabhängig durch die Panda GateDefender-Appliance strömt. Mithilfe von QoS lässt sich ein Teil der verfügbaren (eingehenden und ausgehenden) Bandbreite für einen spezifischen Dienst bequem reservieren. Anwendungen, die für gewöhnlich höher als der übliche Datenverkehr priorisiert werden müssen, sind interaktive Dienste wie SSH oder VoIP.
Die Konfigurationsoptionen des Moduls sind in drei Registerkarten angeordnet: Geräte, Klassen und Regeln.
Geräte Die Registerkarte Geräte ist gleichzeitig die Startseite des Moduls und zu Beginn leer. Nach der Eingabe von Daten wird eine Tabelle mit der Liste sämtlicher definierter Geräte angezeigt. Für jedes Gerät werden einige Parameter sowie die verfügbaren Aktionen dargestellt.
Sie können neue QoS-Geräte hinzufügen, indem Sie über der Liste auf den Link QoS Gerät hinzufügen klicken und einige Optionen konfigurieren.
Zielgerät Die Netzwerkschnittstelle, die von diesem Gerät verwendet wird. Sie können im Dropdown-Menü aus verschiedenen, auf dem System aktivierten Netzwerkschnittstellen oder Zonen auswählen.
Downstream Bandbreite (kbit/s) Die Downstream-Geschwindigkeit der Schnittstelle.
Upstream Bandbreite (kbit/s) Die Upstream-Geschwindigkeit der Schnittstelle.
Aktiviert Aktivierung des QoS (Standard).
Die möglichen Aktionen für das Gerät sind:
– Das Gerät aktivieren oder deaktivieren
– Eigenschaften des Geräts ändern
– Gerät entfernen
Beim Bearbeiten eines Geräts wird das gleiche Formular geöffnet wie beim Hinzufügen eines neuen Geräts. In diesem Formular können Sie die aktuellen Parameter des Geräts ändern.
Für jedes Gerät, das neu hinzugefügt wird, werden auf der Registerkarte Klassen vier Elemente angezeigt: Drei Symbole stehen für hohe, mittlere und niedrige Priorität, das letzte Symbol für den übrigen Verkehr (siehe unten).
Klassen Auf dieser Registerkarte wird eine Liste mit sämtlichen Dienstqualitätsklassen angezeigt, die erstellt wurden (falls vorhanden). Zu jedem Eintrag werden verschiedene Daten angezeigt. Sie können neue Elemente hinzufügen, indem Sie über der Klassenliste auf den Link Quality of Service Klasse hinzufügen klicken. Die zu konfigurierenden Parameter sind die gleichen wie in der Liste:
Name Name der QoS-Klasse.
QOS Gerät Das Dropdown-Menü ermöglicht die Auswahl des QoS-Geräts, für das die Klasse erstellt wurde.
Tipp
Es muss mindestens ein QoS-Gerät erstellt werden, bevor Sie eine QoS-Klasse definieren können.
Reserviert Prozentsatz der Bandbreite, der von der gesamten verfügbaren Bandbreite des Geräts für diese Klasse reserviert wurde.
Limit Maximaler Prozentsatz der Bandbreite, die von dieser Klasse genutzt werden kann.
Priorität Die Priorität der Klasse von 0 (niedrig) bis 10 (hoch), auswählbar in einem Dropdown-Menü.
Hinweis
Die Summe der reservierten Prozentsätze pro Gerät kann nicht größer als 100 sein. Zudem kann die reservierte Bandbreite nicht höher sein als die begrenzte Bandbreite.
Die verfügbaren Aktionen sind: *
– Ändern der Geräteeigenschaften, *
– Verschieben der Klasse in die Liste, *
– Gerät
entfernen.
Klassen können in der Liste nach oben oder unten verschoben werden: Elemente weiter oben auf der Liste werden zuerst verarbeitet, wenn die Bandbreite nicht für den gesamten Datenverkehr ausreicht und die Panda GateDefender-Appliance entscheiden muss, welcher Datenverkehr priorisiert wird.
Regeln Auf der dritten Registerkarte wird eine Liste der bereits definierten Dienstqualitätsregeln angezeigt. Hier können Sie bestimmen, welche Arten von Datenverkehr welcher Klasse zugeordnet werden sollen. Klicken Sie auf den Link Quality of Service Regel hinzufügen, um eine neue Regel hinzuzufügen. Im daraufhin angezeigten Formular, das dem Formular zur Definition der Firewall-Regeln ähnelt, müssen verschiedene Werte konfiguriert werden. Eine Reihe von Dropdown-Menüs soll die Auswahl und den Konfigurationsprozess erleichtern.
Quelle Wählen Sie aus dem Dropdown-Menü die Quelle für den Datenverkehr aus: Zone, Schnittstelle, Netzwerk, IP- oder MAC Adresse. Je nach Auswahl können unterschiedliche Werte angegeben werden: eine der verfügbaren Zonen oder Schnittstellen, die angezeigt werden; eine oder mehrere IP- bzw. MAC- Adressen oder ein bzw. mehrere Netzwerke.
Zielgerät/Datenverkehrsklasse Wählen Sie das Gerät/die Klasse aus dem Dropdown-Menü aus. Tragen Sie anschließend die Ziel-IP-Adresse oder die Netzwerke in das Textfeld auf der rechten Seite ein.
Service/Port, Protokoll Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei Auswahl der Protokolle „TCP“, „UDP“ oder „TCP und UDP“ wird zusätzlich ein Zielport angegeben. Es sind auch einige vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, /TCP+UDP/0:65535 und , wobei Letzteres für alle Dienste, Protokolle und Ports steht. Unter Ziel Port können eine oder mehrere Portnummern bereitgestellt werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.
TOS/DSCP Mithilfe dieser Option wird der passende TOS- oder DSCP-Wert ausgewählt.
Wert bei Datenverkehr anwenden Durch Auswahl von TOS oder der DSCP-Klasse im vorherigen Dropdown-Menü kann nun aus einem anderen DropdownMenü ein geeigneter Wert für den passenden Datenverkehr ausgewählt werden. Wurde DSCP-Wert ausgewählt, kann ein benutzerdefinierter Wert eingegeben werden, welcher der Regel entspricht.
Aktiviert Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert.
Kommentar Kommentar zur Identifizierung dieser Regel
Hinweis
Wenn mehr als ein Dienst für eine Dienstqualitätsklasse verfügbar ist, wird die reservierte Bandbreite auf alle Dienste aufgeteilt.
Die für die Regeln verfügbaren Aktionen sind:
Menü „Dienste“
– Die Regel aktivieren oder deaktivieren
– Eigenschaften der Regel ändern
– Regel entfernen
am 31. Januar 2014.
65
Menü „Firewall“ Menü „Firewall“ Auf dieser Seite finden Sie:
Gemeinsame Konfigurationselemente Portweiterleitung / NAT
o o o
Portweiterleitung / Destination NAT Source NAT Eingehender gerouteter Datenverkehr
Ausgehender Datenverkehr Inter-Zone-Datenverkehr VPN-Datenverkehr Systemzugriff Firewalldiagramme
In diesem Abschnitt wird das Einrichten von Regeln beschrieben, mit denen die Durchleitung des Netzwerkdatenverkehrs in der Panda GateDefender-Appliance gesteuert wird. Die Firewall der Panda GateDefender-Appliance ist in verschiedene Module unterteilt. Über diese werden die verschiedenen Datenverkehrstypen überwacht, zugelassen oder blockiert. Die folgenden Module sind verfügbar:
Portweiterleitung / NAT: Portweiterleitung und abbr:NAT (Network Address Translation) (Network Address Translation) Ausgehender Datenverkehr: Datenverkehr in Richtung der ROTEN Schnittstelle Inter-Zone Datenverkehr: Datenverkehr zwischen den einzelnen Zonen VPN Datenverkehr: Datenverkehr von VPN-Benutzern Systemzugriff: Gewähren von Zugriff auf den Panda GateDefender-Appliance-Host Firewalldiagramme: Grafische Darstellung des von den jeweiligen Firewalltypen unterbrochenen Datenverkehrs
In den Untermenüs, in denen jeweils alle vorhandenen Regeln aufgeführt sind, können für jeden Diensttyp bzw. für alle Port/ProtokollKombinationen benutzerdefinierte Regeln hinzugefügt werden. Die verschiedenen Komponenten der Firewall sind für unterschiedliche Typen von Datenverkehr zuständig (z. B. OpenVPN für den Datenverkehr von VPN- Benutzern und Inter-Zone für den Datenverkehr zwischen Zonen). Sie sind so konzipiert, dass Regelüberschneidungen und -konflikte vermieden werden. Es ist somit ausgeschlossen, dass zwei Regeln in zwei unterschiedlichen Firewallmodulen erstellt werden, deren Zusammenwirken ein unerwünschtes Blockieren oder Erlauben von Paketen zur Folge hat.
Durch die Trennung der von der Panda GateDefender-Appliance gesteuerten Netzwerke wird auch die Verwaltung der Firewall vereinfacht, deren Konfiguration sehr komplex werden kann. Tatsächlich sollten die Module als eigenständige Firewalls betrachtet werden, durch deren Zusammenwirken alle durch die Panda GateDefender-Appliance geleiteten Paketströme abgedeckt werden.
Für jedes der oben aufgeführten Module existieren unter Umständen Regeln, die weder deaktiviert noch entfernt werden können. Diese sogenannten Regeln der Systemdienste (oder auch Systemregeln) dienen der Interoperabilität der auf der Panda GateDefenderAppliance ausgeführten Dienste mit der Infrastruktur der Panda Perimetral Management Console.
Die hier definierten Regeln werden in Befehle für iptables (Standard-Firewalltool von Linux ab Kernel 2.4) umgewandelt und in Tabellen, Ketten und Regeln gegliedert. Ausführlichere Beschreibungen der verschiedenen Firewall-Komponenten sowie Informationen zur Feinabstimmung und Verwaltung komplexer Firewalls können auf der Manpage zu iptables(8) auf jedem Linux-System oder in den zahlreichen Online-Ressourcen und Tutorials im Internet gefunden werden.
Gemeinsame Konfigurationselemente Da alle Werte mithilfe von iptables eingerichtet werden, sind die meisten Werte, die beim Hinzufügen einer Regel in den verschiedenen Modulen konfiguriert werden müssen, desselben Typs (z. B. die Quell- und Zielschnittstellen). Daher werden aus Gründen der
Lesefreundlichkeit alle gemeinsamen Konfigurationselemente der Firewallmodule an dieser Stelle nur einmal dargestellt. Zusätzliche Erläuterungen werden nur dann bereitgestellt, wenn wesentliche Unterschiede zu den hier aufgeführten Beschreibungen bestehen.
Quelle oder Eingehende IP: Mit dieser Einstellung wird, meist aus einem Dropdown-Menü, die entsprechende Art der Quelle bzw. eingehenden Verbindung ausgewählt. Je nach Auswahl können in dem kleinen Feld darunter Verbindungen ausgewählt werden, auf die die Regel angewendet werden soll: Zone/VPN/Uplink für die Quellzone, den VPN-Client oder den Uplink, Netzwerk/IP/Bereich für die IP-Adresse, den IP-Adressbereich oder die Netzwerkadressen und OpenVPN User und L2TP Benutzer für die OpenVPN- bzw. L2TP-Benutzer.
Ziel: Mit dieser Einstellung wird über ein Dropdown-Menü das entsprechende Ziel ausgewählt. Die drei verfügbaren Optionen sind grundsätzlich mit denen im Dropdown-Menü Quelle identisch: Zone/VPN/Uplink, Netzwerk/IP, OpenVPN User und L2TP Benutzer. Es bestehen jedoch geringfügige Unterschiede: So sind z. B. OpenVPN- oder L2TP-Benutzer für manche Regeltypen als Ziel nicht zulässig.
Dienst, Port und Protokoll: Ein Dienst ist in der Regel als Kombination aus Port und Protokoll definiert. So wird beispielsweise der SSHDienst standardmäßig über Port 22 mithilfe des TCP- Protokolls ausgeführt. Mithilfe dieser drei Optionen werden Port und Protokoll bestimmt, auf die die Regel angewendet werden soll. Über die zwei Dropdown-Menüs wird entweder ein vordefinierter Dienst ausgewählt, wodurch auch Protokoll und Portbereich in das Textfeld eingetragen werden, oder ein Protokoll und optional ein Port oder Portbereich. Folgende Protokolle sind verfügbar: die am häufigsten verwendeten Protokolle TCP und UDP, das von Tunneln verwendete GRE, das von IPsec verwendete ESP und das von den Befehlen ping und traceroute verwendete ICMP.
Hinweis
Die Dropdown-Menüs enthalten eine große Auswahl vordefinierter Dienste, wodurch der Internetzugriff der am häufigsten verwendeten Dienste ermöglicht werden sollte. Benutzerdefinierte Kombinationen aus Port und Protokoll sollten nur verwendet werden, wenn Dienste nicht über ihre Standardports ausgeführt werden (z. B. ein SSH-Server mit Port 2345 oder ein Webserver mit Port 7981) oder ein ganz bestimmter Port benötigt wird (z. B. für Multiplayerspiele über das Internet).
Untergeordnete Regel „Zugriff von“‘: Nahezu jede Regel kann mithilfe verschiedener „Zugriff von“-Regeln näher spezifiziert werden. So können Sie beispielsweise für einen Client verschiedene Zugriffsbeschränkungen je nach Zone einrichten, von der eine Verbindung mit der Panda GateDefender-Appliance hergestellt wird. „Zugriff von“-Regeln können im erweiterten Modus konfiguriert werden (weiter unten beschrieben). Als Folge kann sich eine Regel je nach Anzahl der definierten Zugriffsrichtlinien über zwei oder noch mehr Zeilen erstrecken. Die untergeordneten „Zugriff von“-Regeln können ohne Änderung der Hauptregel einzeln gelöscht werden. Auf jede untergeordnete Regel kann hierbei sogar eine unterschiedliche Filterrichtlinie Anwendung finden.
Richtlinie und Filterrichtlinie: Die Aktion, die für die von der aktuellen Regel betroffenen Pakete ausgeführt werden soll. Im DropdownMenü stehen vier Optionen zur Auswahl: Mit der Option GESTATTEN mit IPS werden Pakete durchgelassen und mithilfe von Intrusion Prevention System analysiert. Mit GESTATTEN werden Pakete ohne Prüfung durchgelassen, und durch VERWERFEN werden sie verworfen. Durch die Option ZURÜCKWEISEN werden Pakete verworfen, und als Antwort wird ein Fehlerpaket gesendet.
Aktiviert. Erstellte Regeln sind standardmäßig aktiv, können aber durch Deaktivieren des Kontrollkästchens auch in nicht aktiviertem Zustand gespeichert werden. Sie werden dann beim Filtern der Pakete nicht angewendet. Das Deaktivieren von Regeln kann für die Fehlerbehebung bei Verbindungsproblemen nützlich sein.
Protokoll und Alle akzeptierten Pakete loggen: Standardmäßig ist das Protokollieren beim Filtern von Datenverkehr deaktiviert. Durch Aktivieren des Kontrollkästchens kann es für eine Regel aktiviert werden.
Warnung
Bei großen Mengen von Daten und zu analysierenden Paketen erreichen Protokolldateien in kurzer Zeit eine enorme Größe. Deshalb sollten Protokollverzeichnisse regelmäßig geprüft werden, um sicherzustellen, dass genügend Speicherplatz verfügbar ist.
Anmerkung: Eine Beschreibung oder Anmerkung zum Zweck der Regel. Position: Beachten Sie, dass die iptables-Regeln gemäß der Reihenfolge in der Liste verarbeitet werden, und dass manche Regeln „endgültigen“ Charakter haben, d. h. dass sie Pakete verwerfen oder ablehnen, wodurch die Verarbeitung nachfolgender Regeln entfällt. Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, an welcher Position eine Regel gespeichert werden soll.
Aktionen: Für Regeln können stets mehrere Aktionen ausgeführt werden:
o
– Regeln in der Liste nach oben oder unten verschieben.
Tipp
Beachten Sie, dass die Reihenfolge wichtig ist. Die Firewall-Regeln werden in der Reihenfolge verarbeitet, in der sie auf der Seite von oben nach unten erscheinen.
o
– Die Regel aktivieren oder deaktivieren.
o
– Die Regel bearbeiten.
o
– Die Regel entfernen.
Nach dem Speichern aller Änderungen in den Firewallregeln muss die Firewall neu gestartet werden, damit die geänderte Konfiguration geladen wird. Zur Erinnerung wird ein Hinweis mit der Schaltfläche Übernehmen angezeigt.
Portweiterleitung / NAT Das Modul „Portweiterleitung / NAT“ besteht aus drei Registerkarten: „Port forwarding / DNAT“, „Source NAT“ und „Eingehender gerouteter Datenverkehr“. Das Modul verwaltet den gesamten Uplink-Datenverkehr aus der ROTEN Zone zur Panda GateDefenderAppliance sowie den eingehenden und ausgehenden NAT-Datenverkehr.
Portweiterleitung / Destination NAT Destination NAT wird in der Regel zur Zugriffsbeschränkung für nicht vertrauenswürdige Netzwerke oder zum Umleiten von Datenverkehr aus einem solchen Netzwerk zu einem festgelegten Port oder einer festgelegten Adresse-Port-Kombination verwendet. Es kann definiert werden, welcher Port an welcher Schnittstelle zu welchem Host und Port weitergeleitet werden soll.
Die Liste der konfigurierten Regeln zeigt mehrere Informationen an: Die ID (#), die für die Reihenfolge der auf den Datenverkehr angewendeten Regeln steht, die Adresse für die Eingehende IP, der Dienst (Port und Protokoll), zu dem der Datenverkehr geleitet wird, die auf den Datenverkehr angewendete Richtlinie, die Übersetze zu-Adresse (Zielhost und -port für die Umleitung des Datenverkehrs), eine benutzerdefinierte Anmerkung, sowie die verfügbaren Aktionen.
Beim Bearbeiten einer Regel wird das gleiche Formular geöffnet wie beim Hinzufügen einer neuen Regel durch Klicken auf Neue Port forwarding / Destination NAT Regel hinzufügen. Mithilfe eines Links rechts oben auf der Formularseite kann zwischen Einfacher Modus und Erweiterter Modus gewechselt werden. Im erweiterten Modus können auch die Option Zugriff von, die Richtlinie und der Typ Übersetze zu exakt eingestellt werden.
Zusätzlich zu den gemeinsamen Optionen können folgende Einstellungen konfiguriert werden:
Übersetze zu Die Optionen in diesem Formularbereich sind davon abhängig, ob zur Bearbeitung der einfache oder der erweiterte Modus aktiviert ist. Neben dem Hinzufügen von untergeordneten Zugriff von-Regeln können im erweiterten Modus aus dem zusätzlichen Dropdown-Menü Typ vier unterschiedliche Arten von Übersetzungen ausgewählt werden:
1.
Diese entspricht der einzigen Option, die unter Einfacher Modus verfügbar ist. Hier müssen die Ziel-IP-Adresse (neben Port und NAT) sowie der Port oder Portbereich angegeben werden, zu dem die Weiterleitung erfolgt, und ob auf eingehende Pakete NAT angewendet werden soll oder nicht.
2.
OpenVPN User: Auswahl eines OpenVPN-Benutzers als Ziel für den Datenverkehr.
3.
Lastverteilung: Angabe eines IP-Adressbereichs, auf den der Datenverkehr zur Vermeidung von Engpässen oder der Überlastung einer einzelnen IP-Adresse aufgeteilt wird.
4.
Netzwerk umwandeln: Einfügen eines Subnetzwerks, in das der eingehende Datenverkehr übersetzt werden soll.
Hinweis
Durch die Übersetzung mithilfe von Netzwerk umwandeln werden die gesamten Adressen eines Netzwerks statisch in Adressen eines anderen Netzwerks umgewandelt. Dies kann für Unternehmen nützlich sein, in denen alle Niederlassungen dasselbe interne Netzwerk verwenden. In einem solchen Fall können alle Netzwerke mithilfe der Netzwerkumwandlung untereinander verbunden werden.
Beispiel:
Ursprüngliches Netzwerk 1: 192.168.0.0/24 zugeordnetes Netzwerk 1:
192.168.1.0/24 ursprüngliches Netzwerk 2: 192.168.0.0/24 zugeordnetes Netzwerk 2: 192.168.2.0/24 5.
L2TP Benutzer: Auswahl eines L2TP-Benutzers als Ziel für den Datenverkehr.
Sofern nicht die Option Netzwerk umwandeln ausgewählt wird, kann stets der Port oder Portbereich angegeben werden, zu dem die Weiterleitung des Datenverkehrs erfolgt, sowie ob auf diesen NAT angewendet werden soll oder nicht. Bei Auswahl von Kein NAT darf unter Zugriff von (im erweiterten Modus) keine Filterrichtlinie angegeben werden.
Warnung
Bei Auswahl von IP, OpenVPN User, L2TP Benutzer oder Lastverteilung erfolgt für Portbereiche keine 1:1-Umwandlung, sondern eine Verteilung nach dem Round-Robin-Verfahren. Eine Umwandlung der eingehenden Ports 137 bis 139 in die Zielports 137 bis 139 führt beispielsweise zu einer zufälligen Verwendung dieser Ports: Eingehender Datenverkehr für Port 138 kann unvorhersehbar zu Port 137, 138 oder 139 umgeleitet werden. Um dies zu vermeiden, sollte das Feld Port/Bereich für Übersetzungen leer gelassen werden.
Fehlerbehebung für die Portweiterleitung
Für eine nicht funktionierende Portweiterleitung gibt es zwei Hauptursachen:
1.
Die Panda GateDefender-Appliance befindet sich hinter einem NAT-Gerät.
In diesem Fall werden direkte eingehende Verbindungen durch ein Gerät verhindert, das sich zwischen der Panda GateDefenderAppliance und dem Internet befindet. Die Lösung des Problems besteht in der Konfiguration einer Portweiterleitung an die ROTE IPAdresse („RED IP“) der Panda GateDefender-Appliance, sofern möglich auch auf diesem Gerät.
2.
Der Standardgateway des Zielservers ist fehlerhaft.
Für den als Ziel einer Portweiterleitungsregel eingestellten Server ist ein falsches oder kein Standardgateway konfiguriert. Verbindungen werden zwar an die Ziel-IP-Adresse geleitet, aber Pakete werden aufgrund eines fehlerhaften Standardgateways nicht durch die Panda GateDefender-Appliance geleitet. Die Lösung des Problems besteht in der korrekten Konfiguration des Servergateways.
Source NAT Auf dieser Seite können Regeln definiert werden, mit denen SNAT (Source NAT) auf ausgehende Verbindungen angewendet wird. Zudem wird die Liste bereits definierter Regeln angezeigt, die für jede Regel die Quell- und Ziel-IP-Adressen, den Dienst, den NATStatus, eine benutzerdefinierte Beschreibung sowie verfügbare Aktionen enthält.
„Source NAT“ kann nützlich sein, wenn ein Server hinter der Panda GateDefender-Appliance über eine eigene externe IP-Adresse verfügt, die von ausgehenden Paketen anstelle der ROTEN IP-Adresse der Firewall verwendet werden soll. Klicken Sie zum Hinzufügen einer neuen Regel auf Neue Quell-NAT-Regel hinzufügen, und fahren Sie wie beim Hinzufügen einer Portweiterleitungsregel fort. Neben den gemeinsamen Optionen kann nur eine weitere Einstellung konfiguriert werden:
NAT Auswählen der Anwendung von NAT, Kein NAT oder Netzwerk umwandeln. Bei der Auswahl von SNAT kann die zu verwendende IP-Adresse aus den im Dropdown-Menü verfügbaren Adressen ausgewählt werden. Durch die Einträge Auto wird automatisch die IP-Adresse ausgewählt, die der ausgehenden Schnittstelle entspricht.
SNAT und SMTP-Server in der ORANGEN Zone
In bestimmten Fällen ist es empfehlenswert, für „Source NAT“ ausdrücklich Kein NAT anzugeben, beispielsweise für einen SMTPServer in der DMZ (Demilitarized Zone), der mit einer externen IP- Adresse konfiguriert wurde, aber dessen ausgehende Verbindungen die ROTE IP-Adresse als Quelle verwenden sollen. Ein SMTP-Server in der DMZ mit der IP-Adresse „123.123.123.123“ (wobei dies eine weitere IP- Adresse des Uplinks ist) kann auf folgende Weise mit „Source NAT“ konfiguriert werden:
1.
Konfigurieren Sie die ORANGE Zone mit einem beliebigen Subnetz (z. B. 192.168.100.0).
2.
Richten Sie den SMTP-Server zum Abhören von Port 25 an einer IP- Adresse in der ORANGEN Zone ein (z. B. 129.168.100.13).
3.
Fügen Sie in dem Abschnitt unter Menüleiste ‣ Netzwerk ‣ Schnittstellen der Panda GateDefender-Appliance einen statischen Ethernet-Uplink mit der IP-Adresse „123.123.123.123“ hinzu.
4.
Fügen Sie eine Source-NAT-Regel hinzu, und geben Sie die ORANGE IP-Adresse des SMTP-Servers als Quelladresse an. Stellen Sie sicher, dass NAT verwendet wird und „123.123.123.123“ als Quell- IP-Adresse für NAT eingerichtet ist.
Eingehender gerouteter Datenverkehr Mithilfe dieser Registerkarte kann durch die Panda GateDefender- Appliance gerouteter Datenverkehr umgeleitet werden. Dies ist sehr nützlich, wenn mehrere externe IP-Adressen vorhanden sind und einige der Adressen in der DMZ verwendet werden sollen, ohne dass NAT erforderlich ist. Für jede Regel werden als Listenfelder Quelle und Ziel für den Datenverkehr, der Dienst, die anzuwendende Richtlinie, eine Anmerkung sowie die verfügbaren Aktionen angezeigt.
Außer den gemeinsamen Optionen können keine weiteren Einstellungen konfiguriert werden.
Ausgehender Datenverkehr In der Panda GateDefender Appliance sind für ausgehenden Datenverkehr vordefinierte Regeln vorhanden, mit denen der Datenfluss der jeweiligen Dienste, Ports und Anwendungen von den verschiedenen Zonen zur ROTEN Schnittstelle und damit ins Internet erlaubt wird. Diese Regeln sind erforderlich, damit die am häufigsten verwendeten Dienste stets auf das Internet zugreifen und ordnungsgemäß funktionieren können. Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die ausgehende Firewall.
Hinweis
In der ausgehenden Firewall definierte Regeln werden ignoriert, wenn die Panda GateDefender Appliance im Modus Kein Uplink ist. Beim Betrieb im Uplink-Tarnmodus wird nur ein Teil des Verkehrs aus der Zone hinter der Panda GateDefender Appliance nach außen als ausgehend angesehen. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus.
Panda GateDefender Appliance und Anwendungsfirewall (Anwendungssteuerung):
Anwendungsfirewalls sind eine neue Entwicklung und Verbesserung der zustandsbehafteten Firewalls, welche die Funktionen der ersteren zur Verfolgung des Verbindungsursprungs und Pfades mit den Funktionen von Intrusion Prevention Systems zur Inhaltserkennung von Paketen zu dem Zweck kombinieren, einen besseren Schutz vor Würmern, Viren, Malware und allen Bedrohungsarten zu bieten. Das finale Ergebnis aus Sicht der Benutzerfreundlichkeit ist, dass Firewalls nicht nur den Verkehr zwischen Ports und IP-Adressen sondern auch den Verkehr blockieren können, der von einzelnen Anwendungen erzeugt wird. Dies erfordert jedoch einen größeren Firewall-Aufwand: Obwohl für den Verkehr zwischen IP-Adressen nur das erste Paket geprüft werden muss, um den gesamten Datenfluss zu blockieren oder zuzulassen und so den korrekt generierten Datenverkehr einer Anwendung zu erkennen, ist manchmal eine Analyse mehrerer Pakete erforderlich, meistens jedoch nicht mehr als 3.
Ab Version 5.50 ist jede Panda GateDefender Appliance mit nDPI ausgestattet, einer OpenSource-Bibliothek mit Deep Paket Inspection, welche die Regelbereitstellung für Anwendungsfirewalls zulässt. nDPI wird als Kernel-Modul bereitgestellt und interagiert für die Paketanalyse mit den IP-Tabellen.
Deshalb gibt es nun zwei Regelarten, die in der ausgehenden Firewall definiert werden können:
Zustandsbehaftete Firewall-Regeln, die den Verkehr zwischen IP-Adressen und Ports filtern. Anwendungsregeln, d. h. Regeln, die den von einer Anwendung generierten Verkehr filtern.
Wenn keine Anwendungsregeln definiert wurden, entspricht das Verhalten der Firewall genau der vorherigen Version. Wenn jedoch eine Anwendungsregel definiert wurde, verhalten sich die vorausgehenden zustandsbehafteten Regeln normal, während alle nachfolgenden Regeln nDPI unterliegen.
Es muss beachtet werden, dass die Verwendung von nDPI einige Feinheiten aufweist, die im folgenden Beispiel dargestellt sind und zu einigen unerwünschten Nebenwirkungen führen können.
Nehmen wir an, dass ein Unternehmen den gesamten HTTP-Verkehr zulassen möchte, mit der Ausnahme von YouTube und Gmail. Die erste in der Panda GateDefender Appliance definierte Standardregel erlaubt den gesamten HTTP-Verkehr ohne Einschränkungen. Deshalb muss diese Regel zunächst deaktiviert werden. Anschließend müssen zwei Regeln definiert werden:
1.
eine Anwendungsregel zur Blockierung der Gmail- und YouTube-Protokolle
2.
eine zustandsbehaftete Regel für den gesamten HTTP-Verkehr.
Wenn die zweite Regel eine Anwendungsregel mit dem HTTP-Protokoll wäre, würde nur der von nDPI als HTTP erkannte Verkehr zugelassen werden, aber andere Protokolle, die HTTP verwenden (wie Yahoo und Facebook) würden passieren, da nDPI sie nicht als HTTP ansieht, sondern als unabhängige Protokolle.
Aktuelle Regeln
Die folgenden Dienste und Protokolle dürfen standardmäßig aus der jeweiligen Zone auf die ROTE IP-Adresse zugreifen und werden im oberen Bereich angezeigt:
GRÜN: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ICMP; BLAU: HTTP, HTTPS, DNS, ICMP; ORANGE: DNS, ICMP Außer den Systemregeln, durch die der Zugriff auf Dienste in der Panda Perimetral Management Console ermöglicht wird, ist standardmäßig nichts weiter erlaubt. Die Systemregeln sind auch dann definiert, wenn die entsprechenden Zonen nicht aktiv sind.
Die für die Regeln möglichen Aktionen sind Aktivieren bzw. Deaktivieren, Bearbeiten und Löschen. Weitere Regeln können durch Klicken auf den Link Neue Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sollte beachtet werden, dass die Reihenfolge der Regeln wichtig ist: Unabhängig von der Anzahl der nachfolgenden zutreffenden Regeln wird durch die erste zutreffende Regel entschieden, ob ein Paket erlaubt oder abgelehnt wird. Die Reihenfolge der Regeln kann mithilfe der Nach-oben- und Nach-untenSymbole neben den Regeln geändert werden.
Folgende Einstellungen weichen vom Standard der gemeinsamen Optionen ab:
Quelle Mögliche Auswahl von einem oder mehreren der Elemente „Zone/Netzwerk-Schnittstelle“, „Netzwerk/IP“ oder „MAC Adresse“.
Ziel Mögliche Auswahl der ROTEN Zone, eines oder mehrerer Uplinks oder einer Netzwerk/Host-Adresse bzw. mehrerer Netzwerk/Host-Adressen, auf die außerhalb der ROTEN Schnittstelle zugegriffen werden kann.
Anwendung Dieses Such-Widget ermöglicht die Auswahl der Anwendungen, die Teil der Regel sein sollen. Anwendungen werden in Kategorien (z. B. Datenbank, Dateifreigabe usw.) unterteilt.
Tipp
Geben Sie mindestens einen Buchstaben ein, um alle Anwendungen mit diesem Anfangsbuchstaben anzuzeigen.
Ausgehende Firewalleinstellungen
Die ausgehende Firewall kann durch Klicken auf den Schalter Ausgehende Firewall aktivieren deaktiviert oder aktiviert werden. Bei deaktivierter ausgehender Firewall wird der gesamte ausgehende Datenverkehr erlaubt, und Pakete werden nicht gefiltert. Es wird ausdrücklich empfohlen, diese Einstellung nicht zu verwenden und die ausgehende Firewall aktiviert zu lassen.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zur ROTEN Schnittstelle protokolliert.
Proxy und ausgehende Firewall
Wird für einen bestimmten Dienst der Proxy aktiviert (z. B. für HTTP, POP, SMTP oder DNS), werden die Firewallregeln in der ausgehenden Firewall aufgrund der allgemeinen Proxyeigenschaften nicht angewendet.
Geht bei aktiviertem Proxy eine Verbindung von einem Client zum Internet aus, wird diese entweder vom Proxy der Panda GateDefender- Appliance unterbrochen (im transparenten Modus) oder direkt an die Firewall geleitet, passiert diese jedoch nie. Vom Proxy wird dann eine neue Verbindung zum tatsächlichen Ziel hergestellt, woraufhin die Daten abgerufen und an den Client gesendet werden. Verbindungen dieser Art gehen stets von der Panda GateDefender-Appliance aus, wodurch die interne IP-Adresse des Clients nicht sichtbar wird. Da es sich tatsächlich um lokale Verbindungen handelt, wird die ausgehende Firewall auch nicht von ihnen passiert.
Inter-Zone-Datenverkehr Mithilfe dieses Moduls können Regeln für den Datenverkehr zwischen den lokalen Netzwerkzonen eingerichtet werden. Datenverkehr durch die damit ausgeschlossene ROTE Zone kann unter Ausgehender Datenverkehr und Portweiterleitung / NAT gefiltert werden. Klicken Sie zur Aktivierung der Zwischenzonen-Firewall auf den grauen Schalter
. Die Seite besteht aus zwei Bereichen:
einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die Inter-Zone-Firewall.
Hinweis
Wenn die Panda GateDefender Appliance im Modus Kein Uplink konfiguriert ist, wird der gesamte Netzwerkverkehr mithilfe der Zwischenzonen-Firewall gefiltert. Wenn im Uplink-Tarnmodus mehr als eine Zone definiert ist, wird der gesamte Verkehr, der nicht über den Gateway geleitet wird, mithilfe der Zwischenzonen-Firewall gefiltert. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus .
Aktuelle Regeln
In der Panda GateDefender-Appliance sind einige einfache vordefinierte Regeln vorhanden: Datenverkehr aus der GRÜNEN Zone in eine andere Zone (ORANGE oder BLAU) sowie Datenverkehr innerhalb der einzelnen Zonen ist erlaubt, während jeder andere Datenverkehr standardmäßig verboten ist.
Wie bei der Firewall für ausgehenden Datenverkehr können Regeln mithilfe der entsprechenden Symbole auf der rechten Seite der Tabelle deaktiviert bzw. aktiviert, bearbeitet oder gelöscht werden. Neue Regeln können durch Klicken auf den Link Eine neue Inter-Zone Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sind nur die gemeinsamen Optionen konfigurierbar.
Inter-Zone Firewalleinstellungen
Die Inter-Zone-Firewall kann mithilfe des Schalters Inter-Zone Firewall aktivieren deaktiviert bzw. aktiviert werden. Bei deaktivierter InterZone-Firewall wird sämtlicher Datenverkehr zwischen den BLAUEN, GRÜNEN und ORANGEN Zonen erlaubt. Von einer Deaktivierung wird ausdrücklich abgeraten.
Akzeptierte Inter-Zone Verbindungen protokollieren Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zwischen den Zonen protokolliert.
VPN-Datenverkehr Mithilfe der Firewall für VPN-Datenverkehr können anzuwendende Firewallregeln für Benutzer und Hosts hinzugefügt werden, die über OpenVPN verbunden sind.
Die Firewall für VPN-Datenverkehr ist standardmäßig nicht aktiv. Dies bedeutet zum einen, dass Datenverkehr zwischen VPN-Hosts und Hosts in der GRÜNEN Zone uneingeschränkt erlaubt ist, und zum anderen, dass von VPN-Hosts auf alle anderen Zonen zugegriffen werden kann. VPN-Hosts sind nicht von den Firewalls für ausgehenden Datenverkehr und Inter-Zone- Datenverkehr betroffen. Die Seite
besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die VPN-Firewall.
Aktuelle Regeln
Handhabung und Definition der Regeln erfolgen genau wie bei der Firewall für ausgehenden Datenverkehr. Deshalb erhalten Sie Anleitungen für dieses Modul in dem entsprechenden Abschnitt und unter gemeinsame Optionen.
VPN Firewalleinstellungen
Die VPN-Firewall kann mithilfe des Schalters VPN-Firewall aktivieren aktiviert oder deaktiviert werden.
Akzeptierte VPN Verbindungen protokollieren Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen von VPN-Benutzern protokolliert.
Systemzugriff In diesem Bereich werden die Regeln festgelegt, durch die der Zugriff auf die Panda GateDefender-Appliance gewährt oder verweigert wird.
Es ist eine Liste vorkonfigurierter Regeln vorhanden, durch die das ordnungsgemäße Funktionieren der Firewall sichergestellt wird und die nicht geändert werden können. Für einige Dienste, die von der Panda GateDefender-Appliance bereitgestellt werden, ist es erforderlich, dass von Clients in den verschiedenen lokalen Zonen auf sie zugegriffen werden kann: Beispielsweise für DNS zum Auflösen von Remote-Hostnamen (wofür Port 53 geöffnet sein muss) oder zur Verwendung der Webschnittstelle für die Administration (die Port 10443 verwendet): Bei Aktivierung solcher Dienste werden automatisch Regeln erstellt, um die Effizienz dieser Dienste zu gewährleisten.
Die Liste der vordefinierten Regeln wird durch Klicken auf die Schaltfläche Regeln der Systemdienste anzeigen unten auf der Seite angezeigt.
Weitere Systemzugangsregeln können durch Klicken auf den Link Eine neue Systemzugangsregel hinzufügen hinzugefügt werden. Für dieses Firewallmodul sind die folgenden spezifischen Einstellungen vorhanden:
Pakete protokollieren Wenn dieses Kontrollkästchen aktiviert ist, werden alle Pakete protokolliert, von denen auf die Panda GateDefenderAppliance zugegriffen wird bzw. werden soll. Diese Option ist nützlich, um Zugriffe bzw. Zugriffsversuche auf ihren Ursprung zurückführen zu können.
Quelladresse Die MAC-Adressen von eingehenden Verbindungen.
Quellschnittstelle Die Schnittstelle, von der auf das System zugegriffen werden kann.
Hinweis
Eine Adresse für Ziel ist nicht vorhanden, da es sich um die IP-Adresse der Schnittstelle handelt, von der der Zugriff gewährt oder versucht wird.
Die verfügbaren Aktionen sind Deaktivieren bzw. Aktivieren, Bearbeiten und Löschen von Regeln in der Liste.
Firewalldiagramme
Menü „Firewall“ An dieser Stelle wird für alle auf dieser Seite beschriebenen Module jeweils ein Diagramm angezeigt, in dem der Datenverkehr zwischen den Zonen gemeinsam mit dem zuständigen Firewallmodul dargestellt ist. Durch die grünen Pfeillinien wird angezeigt, welcher Datenverkehr in welchen Richtungen in den Zonen jeweils erlaubt ist. Für VPN sind die Pfeile zur ROTEN Schnittstelle und von dieser weg mit einem roten „X“ gekennzeichnet, da Datenverkehr zwischen diesen Punkten nicht möglich ist.
Durch Klicken auf eine Abbildung wird diese in einer Galerie geöffnet, in der alle vorhandenen Abbildungen wie in einer Slideshow durchsucht werden können.
am 28. März 2014.
75
Menü „Proxy“ Menü „Proxy“ Zur Verbesserung der Online-Sicherheit verfügt die Panda GateDefender-Appliance über mehrere Dienste, deren Funktionen mit denen des Proxys kombiniert werden. Mithilfe des Untermenüs auf der linken Seite kann auf die entsprechenden Seiten und Konfigurationsoptionen zugegriffen werden. Diese sind im Folgenden zusammengefasst:
HTTP – Webproxy: Zugriffsrichtlinien, Authentifizierung, Inhaltsfilter und Virenschutz POP3 – Proxy für den E-Mail-Abruf: Spamfilter und Virenschutz FTP – über FTP heruntergeladene Dateien: Virenschutz SMTP – Proxy für den E-Mail-Abruf oder -Versand: Spamfilter und Virenschutz DNS – zwischenspeichernder DNS: Anti-Spyware
Jeder Proxydienst kann eigenständig konfiguriert, aktiviert und deaktiviert werden. Sind für eine ordnungsgemäße Funktion weitere Dienste erforderlich, werden diese gestartet. Wird beispielsweise der SMTP-Proxy konfiguriert und gestartet, wird auch der SMTP-Dienst gestartet, sofern er nicht bereits ausgeführt wird. Daher muss zunächst der SMTP-Dienst konfiguriert werden, bevor der SMTP-Proxy verwendet wird.
Mit Version 5.50 wurde die gesamte Proxy-Architektur geändert.
Die alte und neue HTTP-Proxy-Architektur
Mit der Veröffentlichung von Version 5.50 der Panda GateDefender-Appliance wurde eine leichtere aber leistungsfähigere Architektur für den HTTP-Proxy implementiert und bereitgestellt.
Die zuvor verwendete HTTP-Proxy-Architektur basierte auf dem so genannten Proxy Chaining. Hierbei fand ein Prozess aus 5 Schritten statt, wenn ein Client eine Remote-Quelle anforderte, die zuvor nicht zwischengespeichert wurde.
1.
Der HTTP-Proxy (Squid) verschickte eine GET-Anfrage zum Server und erhielt eine HTML-Seite als Antwort.
2.
Die gesamte Seite wurde zur Inhaltsfilterung (DansGuardian) an das Daemon gesendet und dort analysiert.
3.
DansGuardian wiederum leitete die Seite zur Analyse auf Viren und andere Malware zum Anti-Virus-Daemon (HAVP) weiter.
4.
Ließ sich kein Virus oder bösartiger Inhalt finden, wurde die gesamte HTML-Seite zurück zu Squid gesendet. Anderenfalls wurde die Originalseite durch eine HTML-Fehlermeldung (Fehlerseite) ersetzt.
5.
Squid speicherte die HTML-Seite (oder die Fehlerseite) für zukünftige Anfragen und lieferte diese an den Client, der sie ursprünglich angefordert hatte.
Der große Nachteil – und Engpass – dieser Architektur ist der intensive Ressourcenverbrauch. Die gesamte HTML-Seite wurde sequentiell durch die gesamte Kette geleitet, Schritt für Schritt, ohne Möglichkeit den Vorgang zu beschleunigen. Die HTML-Seite wurde von Squid abgerufen und zur Inhaltsanalyse an DansGuardian gesendet. Selbst wenn der Inhaltsfilter an diesem Punkt bösartigen Inhalt fand (die Seite also nicht an den anfordernden Client geleitet werden konnte), wurde sie weiter in der Kette an HAVP und dann zurück an Squid geleitet. Erst an diesem Punkt wurde die Fehlerseite an den ursprünglichen Client gesendet.
Daher wurde entschieden, dieses Problem anders anzugehen und einen völlig neuen Ansatz zu verwenden, der zuverlässiger und sehr viel ressourcenschonender ist. Der HTTP-Proxy wird nun durch einen ICAP-Server abgesichert. Wenngleich dies zunächst als komplexere Architektur erscheint, stellt es eine signifikante Leistungsverbesserung dar.
Kurz gesagt ist ICAP ein Protokoll, das in RFC 3507 definiert ist und es ermöglicht, den Inhalt von Webseiten zu verändern und diese dann zurück an den Client zu leiten. Diese Funktion kann unterschiedlich ausgenutzt werden. Auf der Panda GateDefender-Appliance wird sie mit C-ICAP bereitgestellt, um Inhaltsfilterungen und Anti-Virus-Scans von Remote-Quellen zu ermöglichen (HTML-Seiten, aber auch Audio-, Video-, Text- und Bilddateien).
Dank C-ICAP gibt es zwei Bereiche, deren Leistung gesteigert wurde:
1.
Von Squid zu C-ICAP:
C-ICAP erhält zwei parallele Anfragen vom HTTP-Proxy
2.
Zwischen C-ICAP und den Daemons:
Siehe auch
Weitere Informationen zum Thema „ICAP“ zusammen mit den zugehörigen Spezifikationen stehen auf der Webseite ICAP-Forum zur Verfügung.
HTTP In der Panda GateDefender-Appliance wird Squid als HTTP-Proxy verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-ProxyEinstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung, Webfilter, AD-Beitritt und HTTPS-Proxy.
Konfiguration
Der HTTP-Proxy wird durch Klicken auf den Schalter
HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das
Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die
- bzw.
-
Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.
Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:
nicht transparent Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum Einrichten der Proxyeinstellungen).
transparent Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTPDatenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den Clients bereitstellt.
Hinweis
Manche Browser, einschließlich Internet Explorer und Firefox, können Proxy-Server durch Verwendung von WPAD automatisch erkennen. Die meisten Browser unterstützen außerdem PAC über eine spezielle URL. Bei Verwendung einer Panda GateDefenderAppliance als Proxyserver sieht die URL folgendermaßen aus: http:///proxy.pac.
Zonenweises Deaktivieren des HTTP-Proxys
Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden. Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC umgehen hinzugefügt werden. Der entsprechende Wert kann unter Menüleiste ‣ Dienste ‣ DHCP Server gefunden werden.
Proxyeinstellungen
Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:
Port der vom Proxy verwendet wird
Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.
Fehlersprache Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI Einstellungen ausgewählte Sprache verwendet.
Sichtbarer Hostname des Proxy Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.
Emailadresse für Benachrichtigungen (Cache Admin) Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.
Maximale Download-Größe (eingehend in KB) Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für eine unbegrenzte Größe.
Maximale Upload-Größe (ausgehend in KB) Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht für eine unbegrenzte Größe.
Erlaubte Ports und SSL-Ports
Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:
Erlaubte Ports (vom Client) Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.
Erlaubte SSL-Ports (vom Client) Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.
Log-Einstellungen
Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:
HTTP Proxy Protokollierung Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die folgenden vier Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um Speicherplatz auf der Festplatte der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht aktiv.
Suchbegriffe protokollieren Protokollieren von URL-Parametern (z. B. ?id=123).
Benutzeragent-Protokollierung Von jedem Browser gesendeten Benutzeragenten protokollieren
Protokollierung des Inhaltsfilters Protokollieren der Inhaltsfilterung für Webseiten.
Firewall-Protokollierung (nur bei transparentem Proxy) Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese Option ist nur für transparente Proxys anwendbar.
Transparenten Proxy umgehen
In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen (Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.
Transparenten Proxy von SUBNETZ/IP/MAC umgehen Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.
Transparenten Proxy nach SUBNET/IP umgehen Die Ziele, auf die der transparente Proxy nicht angewendet wird.
Tipp
CIDR Notation verwenden, um Subnetze einzugeben
Cache-Verwaltung
Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten Objekte festgelegt:
Zwischenspeichergröße auf der Festplatte (MB) Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Zwischenspeichergröße im Speicher (MB) Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Maximale Objektgröße (KB) Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.
Minimale Objektgröße (KB) Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.
Hinweis
Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder ClientAnfrage erneut heruntergeladen.
Aktiviere Offline-Modus Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom UpstreamWebserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt werden.
Warnung
Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderte Seite zuvor zwischengespeichert wurde. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom HTTP-Proxy stets die zwischengespeicherte Seite bereitstellt wird. In diesem Fall muss für eine aktualisierte Version einer Webseite der Cache des Proxyservers gelöscht werden.
Lösche Zwischenspeicher Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.
Diese Ziele nicht zwischenspeichern Die Domänen, deren Ressourcen nicht zwischengespeichert werden sollen.
Vorgelagerter Proxy
Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Originalressource kontaktiert werden. Dieser Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem vorgelagerten Proxy:
Vorgelagerter Proxy Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei aktiviertem Kontrollkästchen wird eine Webseite, die nicht bereits vom Proxy der Panda GateDefender-Appliance zwischengespeichert wurde, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen wird.
Upstream Server Der Hostname oder die IP-Adresse des Upstream-Servers.
Upstream Port Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.
Proxy-Benutzername / Proxy-Passwort Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.
Client Benutzernamen weiterleiten Aktivieren Sie das Kontrollkästchen, um den Benutzernamen an den vorgelagerten Proxy weiterzuleiten.
Client IP Adressen weiterleiten Aktivieren Sie das Kontrollkästchen, um die IP-Adresse des Clients an den vorgelagerten Proxy weiterzuleiten.
Zugriffsrichtlinien Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs) sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzeragent, MIME-Typen, Virenscannen und Inhaltsfilterung).
Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Die Tabelle enthält die folgenden Informationen für jede dort aufgelistete Regel: Die aufsteigende Identifikationsnummer (#), den Namen (``), die Quelle und das
vorgesehene Ziel, der Authentifizierungstyp, falls erforderlich die aktiven Zeiträume, die passenden Benutzeragenten und die verfügbaren Aktionen:
– Richtlinie ändern
– Richtlinie entfernen
– Richtlinien nach oben oder unten in der Liste verschieben
– Aktivieren oder Deaktivieren der Richtlinie
Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular können für die Regel die folgenden Parameter konfiguriert werden:
Ressourcentyp Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert , eine Zone, eine Liste von Netzwerken, IP-Adressen oder MAC-Adressen handeln.
Zieltyp Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert , eine Zone oder eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.
Authentifizierung Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder Gruppen ausgewählt werden, auf welche die Richtlinie angewendet werden soll.
Tipp
Die Authentifizierung erfolgt nur lokal, weshalb auf der Registerkarte Authentifizierung mindestens ein Benutzer oder eine Gruppe erstellt werden muss, bevor diese verwendet werden kann.
Zeitbeschränkung Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. Durch Aktivieren des Kontrollkästchens werden die folgenden Optionen verfügbar:
Aktive Tage Wählen Sie einen oder mehrere Wochentage.
Tipp
Halten Sie zum Auswählen mehrerer Tage die Taste Strg gedrückt, und klicken Sie mit der Maustaste auf den Namen des Tages.
Startstunde, Stopstunde, Startminute, Stopminute Wählen Sie für eine feinere Unterteilung des Tagesintervalls, zu dem die Zugriffsrichtlinie aktiv ist, aus den Dropdown-Menüs die Start- und Endzeiten aus.
Benutzeragents Die zugelassenen Clients und Browser, wie sie durch ihren Benutzeragenten identifiziert werden, d. h. ihrer Zeichenfolge für die Identifizierung.
MIME Typen Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h. in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).
Hinweis
Die Liste der verfügbaren MIME-Typen kann in der Datei
/etc/mime.types auf jedem Linux-System, auf der offiziellen
IANA-Webseite sowie in RFC 2045 und RFC 2046 gefunden werden.
Zugriffsrichtlinie Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Falls Ablehnen eingestellt ist, wird die darüber befindliche Option MIME Typen aktiviert.
Filterprofil Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Es ermöglicht die Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Folgende Optionen sind verfügbar: keine für keine Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die Regel angewendet werden, sofern eines erstellt wurde (siehe unten).
Richtlinienstatus Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden Regeln aktiviert.
Position Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.
Die für die Regeln in der Liste verfügbaren Aktionen sind „Ändern der Priorität“, „Bearbeiten“, „Deaktivieren“ bzw. „Aktivieren“ und „Löschen“.
Authentifizierung Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem DropdownMenü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefenderAppliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen angegeben werden, die für den Zugriff auf den Server erforderlich sind.
Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.
Authentifzierungs Einstellungen
In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:
Authentication Realm Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet werden.
Tipp
Wenn der Servername
localauth
lautet, und der Domänenname
beispiel.org
ist, dann lautet der FQDN
localauth.beispiel.org. Anzahl an Authentifizierungsprozessen Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.
Authentifizierungscache TTL (in Minuten) Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.
Anzahl der unterschiedlichen IP Adressen pro Benutzer Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.
Benutzer / Ip Cache TTL (in Minuten) Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.
Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder RADIUS.
Parameter für die NCSA-Authentifizierung
NCSA Benutzerverwaltung Durch Klicken auf die Schaltfläche Benutzer verwalten wird die GUI zur Benutzerverwaltung geöffnet, die aus einer einfachen Liste evtl. vorhandener Benutzer und aus dem Link NCSA Benutzer hinzufügen zum Hinzufügen weiterer Benutzer besteht. Ein Benutzer wird hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später kann dieser bearbeitet oder gelöscht werden.
Tipp
Das Passwort muss mindestens 6 Zeichen lang sein.
NCSA Gruppenverwaltung Durch Klicken auf die Schaltfläche Gruppen verwalten wird die GUI zur Gruppenverwaltung geöffnet, die aus einer einfachen Liste der bestehenden Gruppen und ihren eventuell erstellten Mitglieder und dem Link NCSA Gruppe hinzufügen zum Hinzufügen weiterer Gruppen besteht. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt werden. Ein Benutzer kann mehreren Gruppen angehören.
Warnung
Obwohl ein Benutzer mehreren Gruppen angehören kann, muss dabei beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die Zugriffsrichtlinien konzipiert.
Min. Passwortlänge Die Mindestlänge für das Passwort eines lokalen Benutzers.
Parameter für die Windows Active Directory-Authentifizierung
Domainname des AD Servers Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.
AD Domain beitreten Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.
PDC Hostname des AD Servers und PDC IP Adresse des AD Servers Der Hostname und die IP-Adresse des PDC. Sowohl der Hostname als auch die IP-Adresse sind für die Erstellung des DNSEintrags erforderlich.
BDC Hostname des AD Servers und BDC IP Adresse des AD Servers Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IPAdresse erforderlich.
Anforderungen für das Verwenden von NTLM
Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen erfüllt sein:
Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt. Die Panda GateDefender-Appliance muss der Domäne beitreten. Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein. Als „Authentication Realm“ muss ein FQDN verwendet werden. Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.
Tipp
Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der folgende Befehl ausgeführt wird:
net time set -S IP_OF_AD_SERVER
NTLM-Authentifizierung mit Windows Vista und Windows 7
Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden. Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:
1.
Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.
2.
Öffnen Sie: Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣
3.
Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene
4.
Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn
Sicherheitsoptionen.
ausgehandelt)“ aus.
Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen ordnungsgemäß am HTTP-Proxy authentifiziert werden.
Parameter für die LDAP-Authentifizierung
LDAP-Server Die IP-Adresse oder der FQDN des LDAP-Servers.
Port des LDAP Servers Der Port, der vom Server abgehört wird. Der Standardwert ist 389.
Bind DN Einstellungen Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.
LDAP Typ Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder LDAP v3.
Bind DN Benutzername Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.
Bind DN Passwort Das Passwort des Bind-DN-Benutzers.
Objekt-Klasse der Benutzer Die Objekt-Klasse, welcher der Bind-DN-Benutzer angehören muss.
Objekt-Klasse der Gruppe Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.
Parameter für die RADIUS-Authentifizierung
RADIUS Server Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers Der Port, der vom RADIUS-Server abgehört wird.
Kennung Eine zusätzliche Kennung.
Shared Secret Das Passwort, das verwendet werden soll.
Webfilter Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL-Filterlösung von Commtouch. Von dieser werden zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.
Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode verwendet eine Kombination aus White- und Blacklist-URLs und Domänen: Alle von Clients angeforderten URLs werden in der Liste nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.
Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil ist verfügbar, das den Zugriff auf jede Webseite ermöglicht und nicht gelöscht werden darf. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.
Auf der Seite befindet sich eine Liste bestehender Profile zusammen mit einer Anmerkung und den verfügbaren Aktionen:
– Profil bearbeiten
– Profil löschen
Oberhalb der Tabelle befindet sich der Link Profil erstellen: Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können die folgenden Einstellungen definiert werden:
Profilname Der Name des Profils.
Virenscanner aktivieren Aktivieren Sie den Virenschutz im Inhaltsfilter.
Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole
und
links neben ihren Titeln erweitert oder
reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet werden.
URL-Filter
Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil Inhaltsfilter verwendet werden. Ein roter Pfeil
bedeutet, dass die Elemente der (Unter-)Kategorie für den
bedeutet, dass diese nicht verwendet werden. Das Symbol
neben dem Namen
der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.
Benutzerdefinierte Black- und Whitelists
Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden (Whitelist), oder nie an den Client weitergeleitet werden (Blacklist).
Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den Ergebnissen der Inhaltsfilteranalyse angewendet.
AD-Beitritt In diesem Bereich können Anmeldeinformationen eingegeben werden, um dem Active Directory-Server beizutreten. Dieser Vorgang ist nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.
Benutzername des ADS-Administrators Der Benutzernamen des Active Directory-Servers.
Passwort des ADS Administrators
Das Kennwort des Active Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des Kontrollkästchens rechts vom Textfeld angezeigt werden.
HTTPS-Proxy Auf dieser Seite können Sie den Proxy-Server für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein „zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden. Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.
Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPSProxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Appliance.
HTTPS-Proxy aktivieren Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.
Jedes Zertifikat akzeptieren Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren, selbst solche, die ungültig oder veraltet sind.
Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.
Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird, oder um ein neues zu generieren, das ein bereits existierendes ersetzt.
Proxy Zertifikat hochladen Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.
Erzeuge ein neues Zertifikat Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen Schritt zurückzugehen.
Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy-Zertifikat hochladen eine neue Option in Form eines Hyperlinks verfügbar:
Herunterladen Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.
POP3 Diese Seite enthält Konfigurationsoptionen für den SpamAssassin-E-Mail-Filter sowie für die Behandlung von E-Mails, die als Spam erkannt wurden.
Globale Einstellungen Auf dieser Seite können durch Aktivieren der entsprechenden Kontrollkästchen folgende globale Konfigurationseinstellungen des POP3Proxys aktiviert werden:
Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE
Aktivieren des POP3-E-Mail-Scanners für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt, wenn die entsprechende Zone aktiviert ist.
Virusscanner Aktivieren des Virenscanners.
Spam-Filter Aktivieren des Spam-Filters für E-Mails.
SSL/TLS verschlüsselte Verbindungen abfangen Wenn dieses Kontrollkästchen aktiviert ist, werden Verbindungen über SSL/TLS überwacht.
Firewall protokolliert ausgehende Verbindungen Protokollieren aller ausgehenden Verbindungen durch die Firewall.
Spam-Filter Auf dieser Seite kann konfiguriert werden, wie der POP3-Proxy beim Entdecken einer Spam-E-Mail vorgehen soll.
Hinweis
E-Mails werden auch dann dem ursprünglichen Empfänger zugestellt, wenn sie als Spam markiert wurden. Eine Nichtzustellung würde gegen RFC 2821 verstoßen, da diese besagt, dass einmal angenommene E-Mails dem Empfänger zugestellt werden müssen.
Spam Betreffzeile Das Präfix, das dem Betreff von E-Mails hinzugefügt wird, die als Spam erkannt wurden.
Spam Report in Inhalt der Mail einfügen Aktivieren Sie das Kontrollkästchen, um in jeder Spam-E-Mail den Textkörper der ursprünglichen Nachricht gegen einen Bericht des Daemons SpamAssassin auszutauschen und eine Zusammenfassung der Funde einzufügen, d. h. mit dem Grund, warum die E-Mail als Spam gemeldet wurde.
Benötigte Punktezahl Die Anzahl der Punkte, die für das Einstufen einer Nachricht als Spam erforderlich ist.
Unterstützung für japanische Emails aktivieren Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt, um die Suche nach entsprechendem Spam zu ermöglichen.
Prüfsummenbasierte Spamerkennung aktivieren (pyzor) Erkennen von Spam-E-Mails mithilfe von Pyzor. Dabei werden Spam-E-Mails in eine eindeutige Digest-Nachricht konvertiert, die zur Erkennung weiterer entsprechender Spam-E-Mails verwendet werden kann.
Warnung
Durch Aktivierung dieser Option kann der POP3-Proxy deutlich verlangsamt werden.
Whitelist
Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden nicht auf Spam überprüft.
Blacklist Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden immer als Spam markiert.
Durch Klicken auf die Schaltfläche Speichern werden die Einstellungen gespeichert.
Verschlüsselte E-Mails
E-Mails, die über eine POP3-SSL-Verbindung gesendet wurden, können von der Panda GateDefender-Appliance nicht überprüft werden, da es sich um einen verschlüsselten Kanal handelt.
Damit von Clients POP3 über SSL-Verbindungen verwendet werden kann, muss dies entsprechend konfiguriert und die Verschlüsselung zwischen Clients und der Panda GateDefender-Appliance deaktiviert werden. Die Verschlüsselung wird zwar deaktiviert (d. h. keine Verwendung von SSL), aber der Port für den POP3-Datenverkehr im Nur-Text-Format wird vom Standardport 110 auf Port 995 geändert.
Nach Abschluss dieser Konfiguration bleibt die Verbindung zwischen Clients und der Panda GateDefender-Appliance weiterhin auf „NurText“ eingestellt. Es wird jedoch Port 995 verwendet, wodurch von der Panda GateDefender-Appliance eine verschlüsselte POP3-SSLVerbindung mit dem POP3-Server eingerichtet wird.
FTP Der FTP-Proxy ist nur als transparenter Proxy in den aktivierten Zonen verfügbar. Er kann zur Virenprüfung für Dateien verwendet werden, die über FTP heruntergeladen wurden. Als FTP-Proxy der Panda GateDefender-Appliance wird „frox“ verwendet.
Hinweis
An den Proxy werden nur Verbindungen mit dem Standardport für FTP (Port 21) umgeleitet. Ist ein Client so konfiguriert, dass der HTTPProxy auch für das FTP-Protokoll verwendet wird, werden die Einstellungen für den FTP-Proxy umgangen.
Folgende Optionen können auf dieser Seite konfiguriert werden:
Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE Aktivieren des FTP-Proxys für die jeweilige Zone. Diese Option ist nur für die aktivierten Zonen verfügbar.
Firewall protokolliert ausgehende Verbindungen Protokollieren der ausgehenden Verbindungen in der Firewall.
Umgehe den transparenten Proxy von folgenden Quellen Zulassen von Quellen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.
Umgehe den transparenten Proxy für folgende Ziele Zulassen von Zielen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.
FTP-Proxy und aktiver/passiver Modus von FTP-Clients
Die Verwendung von frox als transparentem FTP-Proxy wird von der Panda GateDefender-Appliance nur bei direkter Verbindung mit dem Internet unterstützt.
Probleme können zudem auftreten, wenn sich bei aktiviertem transparenten FTP-Proxy ein NAT-Gerät zwischen der Panda GateDefender-Appliance und dem Internet befindet. Bei einer solchen Konfiguration werden FTP-Verbindungen mit einem Remote-FTPStandort blockiert und nach gewisser Zeit mit einem Timeout beendet. Die Protokolle enthalten dann Meldungen wie die folgende:
Mo, 2. März 2009, 11:32:02 frox[18450] Verbindungszeitüberschreitung beim Versuch, eine Verbindung mit herzustellen Mo, 2. März 2009, 11:32:02 frox[18450] Kontaktieren des Client-Datenports fehlgeschlagen. Zur Vermeidung solcher Probleme sollte der FTP-Client so konfiguriert werden, dass als Übertragungsmodus der passive Modus (PASV) verwendet wird. Zusätzlich muss unter Menüleiste ‣ Firewall ‣ Systemzugriff eine Regel erstellt werden, durch die der Datenverkehr über die Ports 50000 bis 50999 für das NAT-Gerät zugelassen wird. Aus Sicherheitsgründen sollten diese Ports jedoch nur bei Bedarf aktiviert werden. Zum besseren Verständnis des Zwecks einer solchen Konfiguration folgt eine ausführlichere Beschreibung der Funktionsweise von aktiven und passiven Modi und deren Zusammenspiel mit dem FTP-Proxy.
Beim aktiven Modus muss die Datenverbindung mit dem Client vom Server (in diesem Fall der FTP-Proxy) hergestellt werden. Befindet sich zwischen Client und Proxy ein NAT-Gerät, kann der Client vom Server aber nicht erreicht werden. Aus diesem Grund muss vom Client der passive Modus verwendet werden.
Beim passiven Modus muss die Verbindung mit dem Server (wieder der FTP-Proxy) vom Client hergestellt werden. Dafür wird ein dynamischer Port verwendet, der über die Steuerverbindung ausgehandelt wurde. Der entsprechende Port wird vom FTP-Proxy abgehört. Datenverkehr für diesen Port muss jedoch von der Systemzugriffsfirewall erlaubt werden.
Da Zugriffsversuche auf den FTP-Proxy durch mehrere Datenverbindungen gleichzeitig erfolgen können, müssen Verbindungen für einen gesamten Portbereich zugelassen werden. Dies bedeutet, dass alle Ports, die für passive Datenverbindungen reserviert sind (Ports 50000 bis 50999), von der Systemzugriffsfirewall erlaubt werden müssen.
SMTP Mithilfe des SMTP-Proxys kann E-Mail-Verkehr vermittelt und gefiltert werden, der von den Clients an die Mailserver gesendet wird.
Der SMTP-Proxy dient dazu, den SMTP-Datenverkehr zu steuern und zu optimieren und die lokalen Netzwerke bei der Verwendung des SMTP-Protokolls vor Bedrohungen zu schützen. SMTP wird immer dann verwendet, wenn eine E-Mail von einem lokalen E-Mail-Client an einen Remote-Mailserver gesendet wird, d. h. für den ausgehenden E-Mail-Verkehr. SMTP wird auch verwendet, wenn sich ein Mailserver im LAN (in der GRÜNEN Zone) oder in der DMZ (in der ORANGEN Zone) befindet und E-Mails von außerhalb des lokalen Netzwerks (eingehende Anforderungen) über diesen gesendet werden können, den Clients also das Senden von E-Mails von der ROTEN Schnittstelle gestattet ist.
Zum Herunterladen von E-Mails von einem Remote-Mailserver zu einem lokalen E-Mail-Client wird das POP3- oder das IMAP-Protokoll verwendet. Um auch diesen Datenverkehr zu schützen, kann der POP3-Proxy unter Menüleiste ‣ Proxy ‣ POP3 aktiviert werden.
Warnung
Das Überprüfen von IMAP-Datenverkehr wird derzeit nicht unterstützt.
Mithilfe der Funktionen des E-Mail-Proxys kann sowohl eingehender als auch ausgehender E-Mail-Verkehr auf Viren, Spam und andere Bedrohungen überprüft werden. Falls erforderlich werden E-Mails blockiert und Empfänger und Administrator darüber benachrichtigt. Da die Möglichkeit besteht, eingehende E-Mails zu überprüfen, können mithilfe des E-Mail-Proxys eingehende Verbindungen von der ROTEN Schnittstelle bearbeitet und E-Mails an interne Mailserver weitergeleitet werden. Dadurch wird ein eigener Mailserver hinter der Firewall ermöglicht, ohne dass entsprechend definierte Portweiterleitungsregeln erforderlich sind.
Die Konfiguration des SMTP-Proxys ist auf sechs Registerkarten aufgeteilt, von denen jeweils ein Aspekt des SMTP-Proxy abgedeckt wird.
Konfiguration
Hierbei handelt es sich um die Hauptseite für die Konfiguration des SMTP-Proxys. Durch Klicken auf den Schalter
kann
der SMTP-Proxy aktiviert werden. Ist der SMTP-Proxy aktiviert, kann mithilfe der folgenden Optionen für jede aktivierte Zone dessen Status ausgewählt werden:
aktiv Der SMTP-Proxy ist für diese Zone aktiviert und nimmt über Port 25 Anfragen entgegen.
transparenter Modus Ist der transparente Modus aktiviert, werden alle Anfragen mit dem Zielport 25 unterbrochen und an den SMTP-Proxy weitergeleitet, ohne dass die Konfiguration der Clients geändert werden muss. Diese Option ist für die ROTE Zone nicht verfügbar.
inaktiv Der SMTP-Proxy ist für diese Zone nicht aktiviert.
Zusätzliche Optionen sind verfügbar, die in fünf Bereiche gruppiert sind. Jeder Bereich kann durch Klicken auf das Symbol oder durch Klicken auf das Symbol
erweitert
ausgeblendet werden.
Spameinstellungen
In diesem Bereich können die von der Panda GateDefender-Appliance zur Erkennung und Filterung von Spam verwendeten Softwareanwendungen konfiguriert werden. Folgende Optionen sind konfigurierbar:
Mails auf SPAM prüfen Aktivieren des E-Mail-Spamfilters. Darunter werden weitere Optionen angezeigt, die konfiguriert werden können.
Spambehandlung auswählen Drei Aktionen können mit E-Mails durchgeführt werden, die als Spam erkannt wurden:
in die Standard-Quarantäne verschieben: Spam-E-Mails werden an den Standardspeicherort verschoben. an die Quarantäne-Emailadresse senden: Spam-E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Emailadresse für Spam Quarantäne angegeben werden, das bei Auswahl dieser Option angezeigt wird.
als Spam markieren: Die E-Mails werden vor ihrer Zustellung als Spam markiert. Email verwerfen: Die Spam-E-Mail wird sofort gelöscht.
Präfix für Betreffzeile Dem Betreff aller E-Mails, die als Spam markiert wurden, wird ein Präfix hinzugefügt.
Emailadresse zur Benachrichtigung von SPAM (SPAM Admin) Die E-Mail-Adresse, an die bei jeder verarbeiteten Spam-E-Mail eine Benachrichtigung gesendet wird.
Spam Kennzeichnungsstufe Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header X-Spam-Status und X-Spam-Level hinzugefügt.
Spam Markierungsstufe
Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header Spam subject und X-Spam-Flag hinzugefügt.
Spam Quarantäne Level E-Mails, deren Spampunktzahl über diesem Wert liegt, werden an den Quarantäneort verschoben.
Maximale SPAM Punktezahl für Senderbenachrichtigung E-Mail-Benachrichtigungen werden nur gesendet, wenn die Spampunktzahl unter diesem Wert liegt.
Spamfilterung Aktivieren Sie die Option Spam-Greylisting, um die folgende Option anzuzeigen.
Verzögerung für Greylisting (Sek) Der Wert darf zwischen 30 und 3600 liegen.
Spam-Bericht Aktivieren Sie dieses Kontrollkästchen, um dem Textkörper von E-Mails, die als Spam erkannt wurden, einen Bericht hinzuzufügen.
Japanization Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt und entsprechende SpamE-Mails gefiltert.
Hinweis
Da die einfachsten und gängigsten Spamnachrichten sowie E-Mails von bekannten Spamhosts blockiert werden, passen die Absender von Spam ihre Nachrichten fortlaufend so an, dass Spamfilter umgangen werden. Daher ist es absolut notwendig, auch den Spamfilter fortlaufend zu trainieren, damit dieser personalisiert und leistungsfähiger wird (Bayes-Filter).
Viruseinstellungen
In diesem Bereich können die folgenden Optionen zur Behandlung erkannter Viren konfiguriert werden:
Mails nach Viren durchsuchen Aktivieren Sie den Virenfilter für E-Mails, um weitere Virenfilteroptionen anzuzeigen.
Virusbehandlung auswählen Abhängig vom Typ der Panda GateDefender-Appliance können für E-Mails, bei denen Viren erkannt wurden, drei oder vier verschiedene Aktionen ausgeführt werden. Sie sind mit denen, die zuvor unter Spameinstellungen beschrieben wurden, identisch:
in die Standard-Quarantäne verschieben: Virenbehaftete E-Mails werden an den Standardspeicherort verschoben. an die Quarantäne-Emailadresse senden: Virenbehaftete E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Quarantäne Emailadresse für Viren angegeben werden, das bei Auswahl dieser Option angezeigt wird.
an den Empfänger schicken (unabhängig von schädlichen Inhalten): Virenbehaftete E-Mails werden auf normale Weise zugestellt.
Email verwerfen: Die E-Mail mit dem Virus wird sofort gelöscht.
Mailadresse zur Virus Benachrichtigung (Virus Admin)
Die E-Mail-Adresse, an die bei jeder verarbeiteten virenbehafteten E-Mail eine Benachrichtigung gesendet wird.
Dateieinstellungen
Dieser Bereich enthält Einstellungen, durch die bestimmte E-Mail-Anhänge anhand ihrer Dateierweiterungen blockiert werden. Wird bei einem Anhang eine bestimmte Dateierweiterung erkannt, wird die ausgewählte Aktion ausgeführt.
Blockiere Dateien nach Erweiterung Aktivieren des Dateierweiterungsfilters und Anzeigen der weiteren Filteroptionen.
Behandlung von blockierten Dateien auswählen Abhängig vom Typ der Panda GateDefender-Appliance können für blockierte E-Mails drei oder vier verschiedene Aktionen ausgeführt werden. (Sie sind mit denen, die zuvor unter Spameinstellungen und Viruseinstellungen beschrieben wurden, identisch):
in die Standard-Quarantäne verschieben: E-Mails mit blockierten Dateien werden an den Standardspeicherort verschoben. an die Quarantäne-Emailadresse senden: E-Mails mit blockierten Dateien werden an eine benutzerdefinierte E-MailAdresse weitergeleitet. Diese kann im Textfeld Emailadresse zur Benachrichtigung gesperrter Dateien angegeben werden, das bei Auswahl dieser Option angezeigt wird.
an den Empfänger schicken (unabhängig von blockierten Dateien): E-Mails mit blockierten Dateien werden auf normale Weise zugestellt.
Zu blockierende Dateitypen auswählen (anhand der Erweiterung) Die Erweiterungen für Dateien, die blockiert werden sollen.
Tipp
Halten Sie die Taste Strg gedrückt, und klicken Sie mit der linken Maustaste, um mehrere Erweiterungen auszuwählen.
Emailadresse zur Benachrichtigung gesperrter Dateien (Datei Admin) Die E-Mail-Adresse, an die bei jeder verarbeiteten E-Mail mit blockierten Anhängen eine Benachrichtigung gesendet wird.
Dateien mit doppelten Endungen blockieren Aktivieren der Blockierung von Dateien mit doppelten Erweiterungen.
Hinweis
Bei Dateien mit doppelten Erweiterungen handelt es sich in der Regel um böswillige Dateien, die z. B. als harmlose Bilder oder Dokumente getarnt sind. Wenn sie angeklickt werden, wird eine Anwendung ausgeführt, die eine Beschädigung des Computers oder den Diebstahl persönlicher Daten zum Ziel hat. Eine Datei mit doppelter Erweiterung entspricht einer normalen Datei, wobei der Name (z. B. image.jpg) von .com, .vbs .exe, .scr, .bat, .pif, .dll oder .cmd gefolgt ist (z. B. image.jpg.exe).
Es muss konfiguriert werden, für welche E-Mail-Domänen die lokalen Server jeweils zuständig sein sollen. Die entsprechende Liste der Zuordnungen von Domänen und SMTP-Servern kann unter Menüleiste ‣ Proxy ‣ SMTP –> Eingehende Domains definiert werden.
Quarantäneeinstellungen
In diesem Bereich ist nur eine Option verfügbar:
Speicherzeit der Quarantäne (in Tagen) Die Anzahl der Tage, die eine E-Mail in der Quarantäne auf der Panda GateDefender-Appliance gespeichert wird, bevor sie gelöscht wird.
Tipp
Die in der Quarantäne gespeicherten E-Mails können über Mail Quarantäne unter Menüleiste ‣ Dienste ‣ Mail Quarantäne verwaltet werden
Transparenten Proxy umgehen
Im letzten Bereich können folgende benutzerdefinierte Listen von Domänen definiert werden, für die der transparente Proxy deaktiviert werden soll:
Transparenten Proxy von SUBNETZ/IP/MAC umgehen Die Quellen für E-Mails, auf die der transparente Proxy nicht angewendet wird.
Transparenten Proxy nach SUBNET/IP umgehen Auf E-Mails, die an diese Ziele gesendet werden, wird der transparente Proxy nicht angewendet.
Black- & Whitelisten Auf dieser Seite befinden sich vier Bereiche: Drei Bereiche dienen der Definition verschiedener benutzerdefinierter Blacklists und Whitelists und einer der Auswahl und Verwendung vorhandener RBLs.
Beispiele für Blacklist- und Whitelist-Einträge für Absender und Empfänger
Vollständige Domänen oder Unterdomänen und einzelne Adressen können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:
Eine Domäne einschließlich ihrer Unterdomänen: example.com
Nur die Unterdomänen einer Domäne: beispiel.com
Eine einzelne Adresse:
[email protected],
[email protected]
Clients können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:
Eine Domäne oder IP-Adresse: beispiel.com, 10.10.121.101, 192.168.100.0/24
Akzeptierte Mails (Black & Whitelisten)
Im ersten Bereich kann eine beliebige Anzahl von Domänen, Unterdomänen oder einzelnen E-Mail-Adressen angegeben werden, die in eine Blacklist oder Whitelist aufgenommen werden sollen. Dazu können für die entsprechende Blacklist oder Whitelist jeweils beliebig viele Absender, Empfänger oder Clients in die folgenden Textbereiche eingegeben werden:
Whitelist Absender Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-Mail-Feld From:.
Blacklist Absender Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-Mail-Feld From:.
Whitelist Empfänger
Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das EMail-Feld To:.
Blacklist Empfänger Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das EMail-Feld To:.
Whitelist Client Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden akzeptiert.
Blacklist Client Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden abgelehnt.
Echtzeit Blacklist (RBL)
Eine gängige Methode zum Blockieren von Spam-E-Mails sind die sogenannten RBLs. Ihre Verwendung kann im zweiten Bereich konfiguriert werden. Die Listen werden von verschiedenen Organisationen erstellt, verwaltet und aktualisiert, deren Ziel das zügige Erkennen und Blockieren neuer SMTP-Server ist, die für den Spamversand verwendet werden. E-Mails von Domänen oder IP-Adressen, die in einer dieser Blacklists stehen, werden ohne jeden Hinweis abgelehnt. Die Verwendung von RBLs schont die Bandbreite, da entsprechende E-Mails nicht angenommen und wie legitime E-Mails verarbeitet, sondern sofort verworfen werden, wenn die IP-Adresse oder Domäne des Absenders in einer der Blacklists gefunden wird. Von der Panda GateDefender-Appliance werden zahlreiche IPbasierte und domänenbasierte RBLs verwendet. Die Blacklists der einzelnen Kategorien können durch Klicken auf das Symbol angezeigt werden. Gemeinsam aktiviert oder deaktiviert werden sie durch Klicken auf den roten bzw. grünen Pfeil ganz oben in der Liste. Alternativ können sie auch einzeln aktiviert oder deaktiviert werden. Wird der Name einer Liste angeklickt, wird die Homepage der Organisation aufgerufen, die diese Liste pflegt.
Warnung
Gelegentlich werden IP-Adressen oder Domänen von RBL-Betreibern irrtümlich aufgeführt. Dies kann die Kommunikation stören, da auch legitime E-Mails von entsprechenden Domänen abgelehnt werden, ohne dass sie wiederhergestellt werden können. Da es keine Möglichkeit gibt, direkten Einfluss auf die RBLs zu nehmen, müssen vor ihrer Verwendung die Richtlinien der Organisationen berücksichtigt werden, die sie verwalten. Panda ist nicht für E-Mails verantwortlich, die bei der Verwendung von RBLs verloren gehen könnten.
Folgende Blacklists sind u. a. installiert:
bl.spamcop.net Eine Blacklist, die auf Beiträgen ihrer Nutzer beruht.
zen.spamhaus.org Diese Liste ist der Nachfolger von „sbl-xbl.spamhaus.org“. Sie enthält die „Spamhaus Block List“, die „Exploits Block List“ und die „Policy Block List“ von Spamhaus.
cbl.abuseat.org Die CBL-Liste bezieht ihre Quelldaten von sehr großen Spamfallen. Es werden nur IP-Adressen aufgeführt, die spezifische Eigenschaften unterschiedlicher offener Proxys (z. B. HTTP, SOCKS, AnalogX oder WinGate) aufweisen, die für das Versenden von Spam, Würmern, Viren mit eigenem direkten E-Mail-Versand oder von manchen Arten von trojanischen Pferden oder Stealth-Spamware missbraucht wurden. Die offenen Proxys werden dabei nicht überprüft.
[name].dnsbl.sorbs.net und rhsbl.dnsbl.sorbs.net
Von dieser Organisation werden mehrere Blacklists bereitgestellt (z. B. „safe“ oder „relays“ anstelle von [name]). Sie können einzeln oder durch Aktivieren der Blacklist dsnbl.sorbs.net auch gemeinsam aktiviert werden.
uceprotect.net Listen, in denen Domänen bekannter Spamquellen für höchstens sieben Tage aufbewahrt werden. Nach Ablauf dieses Zeitraums werden sie aus den Listen ausgetragen. Bei wiederholten Verletzungen werden jedoch strengere Richtlinien angewendet.
dsn.rfc-ignorant.org Diese Liste enthält Domänen oder IP-Netzwerke, die nicht gemäß den RFC-Standards für das Internet administriert werden.
Hinweis
Die Website „rfc-ignorant.org“ hat am 30.11.2012 den Dienst eingestellt (siehe Ankündigung), aber ihre Arbeit wird unter http://www.rfcignorant.de/ fortgeführt. Diese Arbeit hat bis jetzt (November 2013) jedoch noch nicht zu funktionierenden RBLs geführt.
Die RBLs werden in zwei Feldern gruppiert. Auf der linken Seite befinden sich IP-basierte RBLs, während sich auf der rechten Seite domänenbasierte RBLs befinden. Klicken Sie zur Aktivierung aller RBLs in einem Feld auf das Symbol Feldes (das Symbol wird zu In diesem Fall wird das Symbol
). Klicken Sie zur Aktivierung einzelner RBLs auf das Symbol oder
in der Titelleiste durch das Symbol
neben der Titelleiste des
neben dem jeweiligen Namen der RBL.
ersetzt.
Greylisting für Spam
Im dritten Bereich können Whitelists für Greylisting erstellt werden, indem Empfänger, IP-Adressen oder Netzwerke in den folgenden beiden Textbereichen eingetragen werden. Auf diese wird kein Greylisting angewendet:
Whitelist Empfänger Alle E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „
[email protected]“ oder „example.com“) werden als sicher angesehen. Von dort empfangene E-Mails werden nicht auf Spam überprüft.
Whitelist Client Alle Adressen des Mailservers in diesem Textbereich werden als sicher betrachtet. E-Mails, die von dieser Serveradresse gesendet wurden, werden nicht auf Spam überprüft.
Greylisting
Greylisting ist eine von MTAs verwendete Methode, mit der die Legitimität von E-Mails überprüft wird. Dabei wird eine E-Mail zunächst abgelehnt und ihre erneute Zustellung abgewartet. Wird sie kein zweites Mal empfangen, wird der Absender als Spam-Quelle betrachtet. Beim Greylisting wird davon ausgegangen, dass für den Massenversand verwendete Spam-Bots abgelehnte E-Mails nicht noch einmal senden und nur legitime E-Mails ein zweites Mal gesendet werden.
Spam (Black- & Whitelists)
Im letzten Bereich werden die folgende Blacklist und die folgende Whitelist für den Spam-Filter explizit definiert:
Whitelist Absender Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „
[email protected]“ oder „example.com“) werden in die Whitelist aufgenommen. Sie werden nicht als Absender von Spam erkannt.
Blacklist Absender
Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „
[email protected]“ oder „example.com“) werden in die Blacklist aufgenommen. Sie werden immer als Absender von Spam klassifiziert.
Eingehende Domains Wenn eingehende E-Mails aktiviert wurden, können von Clients, die sich außerhalb der ROTEN Schnittstelle befinden, E-Mails über einen lokalen SMTP-Server gesendet werden. Sollen zu sendende E-Mails an einen Mailserver hinter der Panda GateDefenderAppliance (typischerweise in der ORANGEN Zone) weitergeleitet werden, muss angegeben werden, an welchen Mailserver die Weiterleitung der eingehenden E-Mails erfolgen soll und welche Domänen vom SMTP-Proxy akzeptiert werden. Dabei können mehrere Mailserver hinter der Panda GateDefender-Appliance für jeweils unterschiedliche Domänen angegeben werden.
Auf der Seite wird ggf. eine Liste von Domänen mit den jeweils zuständigen Mailservern angezeigt. Durch Klicken auf die Schaltfläche Eine Domain hinzufügen kann eine neue Domäne hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:
Domäne Die Domäne, für die dieser Mailserver zuständig ist.
Mailserver IP Die IP-Adresse des Mailservers.
Der neu erstellte Eintrag wird unten in der Liste angezeigt. Die für jede Domäne verfügbaren Aktionen sind:
– Eigenschaften der Domäne ändern
– Domäne entfernen
Warnung
Sie werden nach dem Klicken auf das Symbol
nicht zur Bestätigung aufgefordert. Die Domäne wird sofort entfernt.
Domainrouting Die Seite zeigt eine Liste von Domänen zusammen mit zuständigen Smarthost für die E-Mail-Zustellung an oder den E-Mail-Empfang von diesen Domänen. Die Informationen in der Liste sind dieselben, die beim Hinzufügen einer neuen Domäne bereitgestellt werden müssen. Folgende Aktionen sind verfügbar:
– Domainrouting ändern
– Domainrouting entfernen
Durch Klicken auf die Schaltfläche Eine neue Domainroute hinzufügen kann eine neue Domainroute hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:
Richtung Legen Sie fest, ob die Richtlinie für die mit dem Sender oder dem Empfänger verbundene Domäne gelten soll.
Domäne Die Domäne, für die dieser Mailserver zuständig ist.
Ausgehende Adresse
Die Schnittstelle oder IP-Adresse des Uplinks, durch den die E-Mails gesendet werden, auswählbar aus dem DropdownMenü. Wird dieses Feld leer gelassen, legt der Smarthost den zu verwendenden Uplink und die IP-Adresse fest.
Smarthost Durch Aktivieren dieses Kontrollkästchens werden eine oder mehrere Optionen zum Überschreiben des Smarthost des Systems durch einen externen Smarthost angezeigt. Die Optionen entsprechen denen unter Smarthost-Konfiguration weiter unten.
Regelpriorität
Nehmen Sie an, Sie haben zwei Regeln für das Domainrouting erstellt: Eine mit der Domäne „mydomain.com“ als Sender und dem Uplink main als Route und eine zweite mit der Domäne „example.org“ als Empfänger und dem Uplink secondary als Route. Was passiert mit einer E-Mail, die vom Server „foo.mydomain.com“ an einen Benutzer auf „bar.example.org“ gesendet wird? Die Antwort liegt in der Verarbeitung der Regeln zum Senden der E-Mails durch das MTA Postfix der Panda GateDefender-Appliance. Zunächst werden alle Regeln gelesen, welche die Quellen betreffen, dann die der Empfänger. Daher wird die von „foo.mydomain.com“ an „bar.myexample.org“ gesendete E-Mail durch den Uplink secondary geroutet.
Mailrouting Mithilfe dieser Option können BCCs von E-Mails an eine angegebene Adresse gesendet werden. Sie wird auf alle E-Mails angewendet, die entweder von einer bestimmten Absenderadresse oder an einem bestimmten Empfänger gesendet wurden. Die Liste zeigt die Richtung, die Adresse, und falls vorhanden die BCC-Adresse, sowie die verfügbaren Aktionen:
– Mailrouting ändern
– Mailrouting entfernen
Durch Klicken auf die Schaltfläche Eine Mailroute hinzufügen kann eine neue Mailroute hinzugefügt werden. Im daraufhin geöffneten Formular können die folgenden Optionen konfiguriert werden:
Richtung Auswahl aus einem Dropdown-Menü, ob die Mailroute für einen E-Mail-Absender oder E-Mail-Empfänger definiert werden soll.
Mailadresse Je nach ausgewählter Richtung die E-Mail-Adresse des Absenders oder Empfängers, auf den die Route angewendet werden soll.
BCC Adresse Die E-Mail-Adresse, an die Kopien der E-Mails gesendet werden sollen.
Warnung
Absender und Empfänger werden nicht darüber benachrichtigt, dass eine Kopie an einen Dritten gesendet wird. In den meisten Ländern ist es hochgradig illegal, private Nachrichten anderer mitzulesen. Daher darf diese Funktion nicht zweckentfremdet und keinesfalls missbraucht werden.
Erweitert Die letzte Konfigurationsseite für den SMTP-Proxy enthält Optionen für erweiterte Einstellungen. Diese sind in vier Bereichen gruppiert, die durch Klicken auf die Symbole
Smarthost Konfiguration
und
links neben den Bereichstiteln ein- oder ausgeblendet werden können.
Im ersten Bereich kann ein Smarthost aktiviert und konfiguriert werden. Verfügt der SMTP-Server über eine dynamische IP-Adresse, z. B. bei einer ISDN- oder DSL-Einwahlverbindung, können Probleme beim Senden von E-Mails an andere Mailserver auftreten. Die IPAdresse kann in einer RBL aufgeführt sein (siehe weiter oben unter Black- und Whitelists), wodurch gesendete E-Mails von RemoteMailservern möglicherweise abgelehnt werden. Dadurch wird es erforderlich, für den E-Mail-Versand einen Smarthost zu verwenden.
Smarthost für Zustellung Durch Aktivieren dieses Kontrollkästchens wird für die Zustellung von E-Mails ein Smarthost aktiviert, und es werden weitere Optionen angezeigt.
Smarthost Adresse Die IP-Adresse oder der Hostname des Smarthost
Smarthost Port Der Port, der vom Smarthost abgehört wird. Der Standardport ist 25.
Smarthost Authentifizierung Dieses Kontrollkästchen muss aktiviert werden, wenn für den Smarthost eine Authentifizierung erforderlich ist. In diesem Fall werden die drei nachfolgenden Zusatzoptionen angezeigt.
Smarthost Benutzername Der Benutzername für die Authentifizierung beim Smarthost.
Smarthost Passwort Das Passwort für die Authentifizierung beim Smarthost.
Authentifizerungsmethode auswählen Die erforderlichen Authentifizierungsmethoden für den Smarthost. Unterstützt werden PLAIN, LOGIN, CRAM-MD5 und DIGEST-MD5. Bei gedrückter Taste
STRG
kann durch Anklicken der gewünschten Methoden eine Mehrfachauswahl
getroffen werden.
Hinweis
Kurz zusammengefasst ist ein Smarthost ein Mailserver, der vom SMTP-Proxy als ausgehender SMTP-Server verwendet wird. Der Smarthost muss die E-Mails annehmen und vermittelt sie dann. In der Regel wird als Smarthost der providereigene SMTP-Server verwendet, da von diesem die E-Mails zur Vermittlung angenommen werden, was bei anderen Mailservern nicht der Fall ist.
IMAP Server für die SMTP Authentifizierung
Dieser Bereich enthält Konfigurationsoptionen für den IMAP-Server, der beim Senden von E-Mails zur Authentifizierung verwendet werden soll. Die Einstellungen sind besonders wichtig für eingehende SMTP-Verbindungen, die aus der ROTEN Zone geöffnet werden. Die folgenden Einstellungen können konfiguriert werden:
SMTP Authentifizierung Durch Aktivieren dieses Kontrollkästchens wird die IMAP-Authentifizierung aktiviert, und es werden weitere Optionen angezeigt.
Anzahl der Authentifikations Daemons wählen Die Anzahl der gleichzeitig möglichen Anmeldungen über die Panda GateDefender-Appliance.
IMAP Authentifierungsserver Die IP-Adresse des IMAP-Servers
IMAP Authentifizierungsport Der Port, der vom IMAP-Server abgehört wird. Der Standardport ist 143 (einfaches IMAP) bzw. 993 (IMAP über SSL).
Mailserver-Einstellungen
In diesem Bereich können die folgenden zusätzlichen Parameter des SMTP-Servers definiert werden:
SMTP HELO Wenn dieses Kontrollkästchen aktiviert ist, muss von Clients, von denen eine Verbindung hergestellt wird, zu Beginn einer SMTP-Sitzung ein HELO-Befehl (oder EHLO-Befehl) gesendet werden.
Ungültiger Hostname Clients, von denen eine Verbindung hergestellt wird, werden abgewiesen, wenn durch ihre HELO- oder EHLO-Parameter ein ungültiger Hostname übermittelt wird.
SMTP HELO Name Der Hostname, der mit dem HELO- oder EHLO-Befehl gesendet werden soll. Der Standardwert ist die ROTE IP-Adresse. Es kann aber auch eine benutzerdefinierte IP-Adresse oder ein benutzerdefinierter Hostname angegeben werden.
Immer BCC an Adresse Eine E-Mail-Adresse, an die BCCs aller Nachrichten gesendet werden, die den SMTP-Proxy passieren.
Sprache für die Mailvorlage auswählen Die Sprache, in der die Fehlermeldungen versendet werden sollen. Möglich sind: Englisch, Deutsch, Italienisch und Japanisch.
Empfängeradresse überprüfen Aktivieren der Überprüfung auf gültige Empfänger-Adressen vor dem Senden von Nachrichten.
Limite für schwerwiegende Fehler auswählen Die maximale Anzahl von Fehlern, die von einem Remote-SMTP-Client erzeugt werden darf, ohne dass eine E-Mail übermittelt wird. Wird dieses Limit überschritten, wird die Verbindung vom SMTP-Proxyserver getrennt. Der Standardwert beträgt 20.
Maximalgröße des Email-Inhaltes auswählen Die maximal zulässige Größe für einzelne E-Mails. Mehrere vordefinierte Werte können aus den Dropdown-Menü ausgewählt werden. Durch Auswählen der Option Benutzerdefinierte Größe des E-Mail-Inhalts wird die nächste Option angezeigt.
Benutzerdefinierte Maximalgröße des Email-Inhaltes (in KB) Die maximale E-Mail-Größe in Megabyte, die vom SMTP-Server akzeptiert wird.
DSN in Zonen aktivieren
Wählen Sie aus den verfügbaren Zonen diejenigen aus, die eine Unzustellbarkeitsnachricht (d. h. eine DSN-Nachricht) für nicht zustellbare E-Mails oder nicht korrekt versendbare E-Mails senden. Anders gesagt ist es nur möglich, Zustellungsbenachrichtigungen für E-Mails von den hier ausgewählten Zonen zu erhalten.
HELO/EHLO und Hostname
Von fast allen Mailservern wird verlangt, dass durch Clients, von denen über SMTP eine Verbindung hergestellt wird, eine entsprechende Ankündigung mit einem gültigen Hostnamen im HELO/EHLO erfolgt. Anderenfalls wird die Verbindung getrennt. Von der Panda GateDefender-Appliance wird jedoch zur Ankündigung bei fremden Mailservern ein eigener Hostname verwendet, der im globalen DNS nicht immer öffentlich gültig ist.
In einem solchen Fall kann unter Menüleiste ‣ Proxy ‣ SMTP ‣ Erweitert ‣ Mailserver Einstellungen ‣ SMTP HELO Name ein anderer benutzerdefinierter Hostname konfiguriert werden, der vom Remote-Mailserver verstanden werden kann.
Anstelle eines benutzerdefinierten Hostnamens kann auch eine numerische IP-Adresse in Klammern angegeben werden (z. B. [192.192.192.192]). Dabei sollte es sich um die ROTE IP-Adresse handeln.
Spamabwehr
Im letzten Bereich können zusätzliche Parameter für den Spam-Filter definiert werden, indem eines oder mehrere der folgenden vier Kontrollkästchen aktiviert werden:
Ungültiger Empfänger Eine Anforderung wird zurückgewiesen, wenn die Adresse für RCPT TO kein FQDN-Format aufweist, wie durch RFC 821 verlangt.
Ungültiger Absender Ein Client, von dem eine Verbindung hergestellt wird, wird zurückgewiesen, wenn es sich bei dem Hostnamen, der mit dem HELO- oder EHLO-Befehl übermittelt wird, nicht um einen FQDN handelt, wie durch RFC 821 verlangt.
Unbekannte Empfänger-Domain Eine Verbindung wird abgewiesen, wenn für die Domäne der Empfängeradresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.
unbekannter Absender Eine Verbindung wird abgewiesen, wenn für die Domäne der Absenderadresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.
Fehlerbehebung für den SMTP-Proxy
Wird in der Protokolldatei die Meldung „Mail for xxx loops back to myself“ angezeigt, deutet dies auf eine Fehlkonfiguration beim benutzerdefinierten SMTP-HELO-Namen in der Appliance hin. Dieser ist identisch mit dem Hostnamen des internen Mailservers, an den eingehende E-Mails weitergeleitet werden sollen.
In diesem Fall enthält die SMTP-Verbindung, die vom internen Mailserver empfangen wird, einen Hostnamen (den aus der HELO-Zeile der SMTP-Proxyeinstellung), der mit dem Hostnamen des internen Mailservers identisch ist. Daher wird vom internen Mailserver angenommen, dass von ihm dieselbe E-Mail gesendet und empfangen wird, wodurch diese Fehlermeldung verursacht wird.
Die folgenden Lösungen sind möglich:
Ändern des Hostnamens des internen Mailservers.
Erstellen eines neuen, öffentlich gültigen A-Eintrags in der DNS-Zone, durch den auch auf die Panda GateDefender-Appliance verwiesen wird, und Verwenden des entsprechenden Hostnamens als HELO-Zeile im SMTP-Proxy.
Verwenden der numerischen IP-Adresse des Uplinks als HELO-Zeile.
Antispam Diese Seite enthält Konfigurationseinstellungen für die Anti-Spam-Engine. Folgende Optionen können konfiguriert werden:
Commtouch aktivieren Aktiviert die Anti-Spam-Engine von Commtouch. Diese Option ist nur verfügbar, wenn Commtouch auf der Panda GateDefender-Appliance installiert ist.
Mit Spamassassin kurzschließen Durch Aktivieren dieses Kontrollkästchens wird SpamAssassin übergangen, wenn von Commtouch eine Nachricht als Spam markiert wird.
IPs/Netzwerke ignorieren Definieren von IP-Adressen und Netzwerken, die nicht von Commtouch überprüft werden sollen.
Im Abschnitt „Spam Kennzeichnungsstufe“ können die folgenden Optionen konfiguriert werden: Die gültigen Werte für jede Option liegen zwischen einschließlich -10 und 10.
BESTÄTIGT Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Spam erkannt.
BULK Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Massensendungen identifiziert.
SUSPEKT Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden unter Spamverdacht gestellt.
UNBEKANNT E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden als unbekannt eingestuft.
KEIN SPAM E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden nicht als Spam eingestuft.
DNS Beim DNS-Proxy handelt es sich um einen Proxyserver, von dem DNS-Anfragen abgefangen und beantwortet werden, ohne dass zum Auflösen einer IP-Adresse oder eines Hostnamen ein Remote-DNS-Server kontaktiert werden muss. Wenn eine Abfrage häufig wiederholt wird, kann das Zwischenspeichern der Ergebnisse die Leistung merklich steigern. Die verfügbaren Einstellungen für den DNSProxy sind auf drei Registerkarten gruppiert.
DNS-Proxy Auf dieser Seite können einige Optionen für den DNS-Proxy konfiguriert werden.
Transparent auf Grün, Transparent auf Blau, Transparent auf Orange Aktiviert dem DNS-Proxy als transparent für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt, wenn die entsprechende Zone aktiviert ist.
Bestimmte Quellen und Ziele, für die der Proxy umgangen werden soll, können durch Eingeben ihrer Werte in die zwei Textbereiche eingerichtet werden.
Quellen, die den transparenten Proxy umgehen dürfen Ermöglicht, das Quellen unter den entsprechenden Textfeldern vom DNS-Scan ausgenommen zu werden. Die Quellen können in Form von IP-Adressen, Netzwerken oder MAC-Adressen angegeben werden.
Ziele, zu welchen der transparente Proxy umgangen wird Lässt Ziele unter dem jeweiligen Textfeld zu, die nicht vom DNS-Proxy überprüft werden sollen. Die Ziele können in Form von IP-Adressen oder Netzwerken angegeben werden.
DNS-Routing Diese Seite ermöglicht die Verwaltung benutzerdefinierter Paare von Domänen und Nameservern. Kurz gesagt: Wenn eine Subdomäne von einer Domäne abgefragt wird, wird der entsprechende Nameserver in der Liste verwendet, um die Domäne in die korrekte IPAdresse aufzulösen.
Eine neue Kombination von Domäne und Nameserver kann durch Klicken auf den Link Einen neuen benutzerdefinierten Nameserver für eine Domain hinzufügen hinzugefügt werden. Dabei können Werte für die folgenden verfügbaren Optionen eingegeben werden:
Domäne Die Domäne, für die der benutzerdefinierte Nameserver verwendet werden soll.
DNS Server Die IP-Adresse des Nameservers.
Anmerkung Ein zusätzlicher Kommentar
Für jede Domäne in der Liste können folgende Aktionen ausgeführt werden:
– Regel bearbeiten
– Regel löschen
Anti-Spyware Auf dieser Seite werden Konfigurationsoptionen angezeigt, durch die bestimmt wird, wie von der Panda GateDefender-Appliance auf Anforderungen zur Namensauflösung reagiert werden soll, wenn die angeforderte Domäne als Verteiler von Spyware oder als PhishingSeite bekannt ist. Folgende Optionen können festgelegt werden:
Aktiviert Die Anforderungen werden an den Localhost umgeleitet. Der Remotestandort wird also nicht kontaktiert und ist nicht erreichbar.
Erlaubte Domains
Menü „VPN“ Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste nicht als Spyware-Ziele behandelt werden.
Blacklist Domains Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste immer als Spyware-Ziele behandelt werden.
Spyware Domainlisten Updateintervall Die Aktualisierungshäufigkeit für die Spyware-Domänenlisten. Die möglichen Optionen sind Täglich, Wöchentlich und Monatlich. Der genaue Zeitpunkt der Aktualisierung wird angezeigt, wenn der Mauszeiger über das entsprechende Fragezeichen geführt wird.
Tipp
Zum Herunterladen aktualisierter Signaturen muss Ihr System in der Panda Perimetral Management Console registriert sein.
105
Menü „VPN“ Menü „VPN“
OpenVPN Server
o
IPSec
o o
IPSec L2TP
Authentifizierung
o o o
Serverkonfiguration
OpenVPN Client (Gw2Gw)
Benutzer Gruppen Einstellungen
Zertifikate
o o o o
Zertifikate Zertifizierungsstelle Gesperrte Zertifikate Zertifikatssperrliste (CRL)
Mit VPN können zwei lokale Netzwerke über unsichere Netzwerke wie das Internet direkt miteinander verbunden werden. Der gesamte Datenverkehr über die VPN-Verbindung wird innerhalb eines verschlüsselten Tunnels übertragen und vor unerwünschtem Zugriff geschützt. Solche Konfigurationen werden Gateway-zu-Gateway-VPN oder kurz Gw2Gw-VPN genannt. Ebenso kann ein einzelner externer Computer einen VPN-Tunnel nutzen, um sich mit einem lokalen vertrauenswürdigen LAN zu verbinden. Wenn der VPN-Tunnel aktiv ist, scheint der externe Computer – auch Road Warrior genannt – direkt mit dem vertrauenswürdigen LAN verbunden zu sein.
Die Panda GateDefender-Appliance unterstützt die Erstellung von VPNs entweder basierend auf dem Protokoll IPsec, das von den meisten Betriebssystemen und Netzwerkgeräten unterstützt wird, oder über den Dienst OpenVPN.
Die Panda GateDefender-Appliance kann entweder als OpenVPN-Server oder als Client eingerichtet werden. Sie kann sogar beide Rollen zur gleichen Zeit übernehmen, um ein Netzwerk von Anwendungen zu erstellen, die über OpenVPN verbunden sind. Folgende Menüelemente stehen im Untermenü zur Verfügung:
OpenVPN-Server – Richten Sie den OpenVPN-Server so ein, dass die Clients (sowohl Road-Warriors als auch andere Panda-GateDefender-Hilfsmittel in einer Gateway-zu-Gateway-Einstellung) eine Verbindung zu einer der lokalen Zonen herstellen können.
OpenVPN Client (Gw2Gw) – Client-seitige Einrichtung eines Gateway-to-Gateway-Setups zwischen zwei oder mehr Panda GateDefender-Appliances.
IPsec/L2TP – Richten Sie IPsec-basierte VPN-Tunnel und L2TP-Verbindungen ein. Authentifizierung – Verwaltung der Benutzer von VPN-Verbindungen. Zertifikate – Verwalten der Zertifikate, die für die VPN-Verbindungen verwendet werden sollen.
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
OpenVPN-Server Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.
Beginnend mit Version 5.50 ermöglicht der auf der Panda GateDefender-Appliance bereitgestellte OpenVPN-Server die gleichzeitige Präsenz mehrerer Instanzen. Jeder Server überwacht einen anderen Port, sodass nur eingehende Verbindungen über diesen Port akzeptiert werden. Darüber hinaus kann, falls die Hardware, auf der die Panda GateDefender-Appliance installiert wird, mehrere CPUKerne besitzt, jeder Instanz mehr als eine CPU zugewiesen werden. Das resultiert in einer Erhöhung des Durchsatzes und der
Datenverarbeitung dieser Instanz. Es ist auch möglich, mehrere Instanzen von OpenVPN auf einem Gerät mit Einzelkern-CPU auszuführen, wobei diese dann jedoch die gesamte Last aller Instanzen trägt.
Serverkonfiguration Diese Seite enthält den Schalter OpenVPN Server aktivieren , der den OpenVPN-Server und alle damit verbundenen Dienste (z. B. die VPN-Firewall) durch Anklicken startet. Unterhalb befindet sich das Feld OpenVPN Einstellungen, in dem einige globale Einstellungen festgelegt werden können. Rechts unterhalb ermöglicht es ein Link, neue Serverinstanzen zu definieren, während am unteren Rand der Seite eine Liste der verfügbaren laufenden VPN-Server der Panda GateDefender-Appliance angezeigt werden, falls solche bereits definiert wurden. Die Liste enthält die folgenden Daten über jede definierte Instanz eines OpenVPN-Servers: Name, Anmerkung und Details zur Konfiguration wie: der überwachte Port, das Protokoll sowie der Geräte- und Netzwerktyp. Schließlich stehen folgende Aktionen zur Verfügung:
– Der Server ist aktiv oder angehalten.
– Ändern der Serverkonfiguration.
– Entfernen der Konfiguration und des Servers.
Hinweis
Beim ersten Start des OpenVPN-Servers werden die Root- und Hostzertifikate automatisch generiert.
OpenVPN-Einstellungen
Das Feld im oberen Bereich zeigt die aktuellen OpenVPN-Einstellungen zur Authentifizierungsmethode. Diese sind:
Authentifizierungstyp: Es gibt drei verfügbare Authentifizierungsmethoden, um Clients mit dem OpenVPN-Server zu verbinden, der auf der Panda GateDefender-Appliance ausgeführt wird:
PSK (Benutzername und Passwort): Die Verbindung wird hergestellt, nachdem ein korrekter Benutzername und ein Passwort angegeben wurden.
X.509 Zertifikat: Ein gültiges Zertifikat wird nur zur Verbindungsherstellung benötigt. X.509 Zertifikat & PSK (Zweifaktor): Neben einem gültigen Zertifikat werden Benutzername und Passwörter benötigt.
Warnung
Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen.
Die Standardmethode der Panda GateDefender-Appliance ist PSK (Benutzername/Passwort): Der Client wird anhand des Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden Methoden werden nachfolgend beschrieben.
Zertifikatskonfiguration: Dieses Dropdown-Menü wird verwendet, um die Erstellungsmethode eines neuen Zertifikats auszuwählen. Folgende Optionen sind verfügbar:
Erzeuge ein neues Zertifikat: Erstellung eines komplett neuen Zertifikats. Diese Option ist nur verfügbar, wenn noch kein Hostzertifikat generiert wurde. Ein Formular öffnet sich, in dem alle notwendigen Informationen zur Erstellung eines neuen Zertifikats angegeben werden können. Diese sind dieselben wie im Editor zur Erzeugung neuer Zertifikate mit zwei kleineren Änderungen: Trivialname wird zu Hostname des Systems, und Name der Organisational Unit wird zu Abteilungsname.
Ausgewähltes Zertifikat verwenden: Wählen Sie eines der verfügbaren Zertifikate aus, das im Dropdown-Menü auf der rechten Seite angezeigt wird. Es ist möglich, sämtliche Details des Zertifikats durch Klicken auf den Hyperlink Details anzeigen anzuzeigen.
Tipp
Der Name des ausgewählten Zertifikats wird rechts über dem Hyperlink angezeigt.
Ein bestehendes Zertifikat verwenden: In einem zweiten Dropdown-Menü auf der linken Seite können Sie ein bereits erstelltes und in der Panda GateDefender-Appliance gespeichertes Zertifikat auswählen.
Ein Zertifikat hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, ein bestehendes Zertifikat von der Workstation aus auszuwählen und hochzuladen. Das Passwort für das Zertifikat kann, falls erforderlich, in das Textfeld auf der rechten Seite eingegeben werden.
Anfrage zum Signieren eines Zertifikats (CSR) hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, eine bestehende Zertifizierungsanforderung von der Workstation auszuwählen und hochzuladen. Die Gültigkeit des Zertifikats in Tagen kann in das Textfeld auf der rechten Seite eingegeben werden.
OpenVPN Server Instanzen
Die Liste der bereits definierten OpenVPN-Instanzen wird in diesem Bereich angezeigt, über dem sich der Hyperlink Neue OpenVPN Server Instanz hinzufügen befindet. Durch Klicken auf diesen Link wird ein Editor geöffnet, in dem alle notwendigen Konfigurationswerte für die neue VPN-Instanz angegeben werden können.
Hinweis
Falls die Anzahl der OpenVPN-Instanzen größer ist als die der Kerne ist, zeigt ein gelber Hinweis an, dass die Leistung verringert sein kann.
Im Editor werden folgende Konfigurationsoptionen angezeigt:
Name Der Name der OpenVPN-Serverinstanz.
Anmerkung Ein Kommentar für diese Instanz.
Antworte nur auf Die IP-Adresse, welche die Instanz überwachen soll.
Port Der Port, auf dem die Instanz auf eingehende Verbindungen wartet.
Gerätetyp Das für die Instanz verwendete Gerät, das aus dem Dropdown-Menü ausgewählt werden kann (TUN und TAP). TUN-Geräte erfordern, dass der Datenverkehr geroutet wird. Daher ist die untere Option Gebridget nicht für TUN-Geräte verfügbar.
Protokoll Das verwendete Protokoll, das aus dem Dropdown-Menü ausgewählt werden kann (TCP und UDP).
Gebridget Aktivieren Sie diese Option, um den Server gebridget zu betreiben, d. h. innerhalb einer der vorhandenen Zonen.
Hinweis
Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw.
bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist, übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.
VPN Subnetz Diese Option ist nur verfügbar, wenn der gebridgete Modus deaktiviert ist. Mithilfe dieser Option kann der OpenVPN-Server in seinem eigenen dedizierten Subnetz ausgeführt werden, das im Textfeld festgelegt werden kann. Es sollte sich von den Subnetzen der anderen Zonen unterscheiden.
Bridge zu Die Zone, an die der OpenVPN-Server gebrigdet werden soll. Es werden nur die verfügbaren Zonen im Dropdown-Menü angezeigt.
Startadresse des dynamischen IP Pool Die erstmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.
Endadresse des dynamischen IP Pool Die letztmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.
Gerouteter und gebridgeter OpenVPN-Server, statisch und dynamisch.
Bei der Konfiguration eines Pools von IP-Adressen, die für OpenVPN-Clients reserviert sind, ist es notwendig einige Richtlinien zu beachten, die helfen, sowohl zukünftige Fehlfunktionen zu vermeiden als auch ein saubereres und einfaches Design einzurichten.
Bevor Sie mit der Konfiguration des Servers beginnen, gilt es eine goldene Regel bei der Implementierung einer Architektur mit VPNMultikern zu beachten: Unabhängig vom verwendeten gebridgeten oder gerouteten Modus für eine VPN-Serverinstanz mit Multikern erfolgt keine Reservierung statischer IP-Adressen. Mit anderen Worten: Ein Client, der sich mit diesem VPN-Server verbindet, erhält eine dynamische IP-Adresse, auch wenn diesem eine statische IP-Adresse zugewiesen wurde.
Zunächst ist festzulegen, ob der OpenVPN-Server im gerouteten oder gebridgeten Modus arbeiten soll. Im ersten Fall ist es notwendig, ein passendes VPN-Subnetz festzulegen, das IP-Adressen für die Clients bereitstellt. Der Datenverkehr über dieses Subnetz muss gegebenenfalls unter Verwendung der VPN-Firewall gefiltert werden. Im zweiten Fall betrachtet der OpenVPN-Server Clients ab der Verbindung als physisch mit dieser Zone verbunden, d. h. der Server bridget den Client zu einer der Zonen. In diesem Fall muss ein Pool von IP-Adressen innerhalb dieser Zone unter Verwendung der zwei Optionen definiert werden, die direkt vor diesem Feld angezeigt werden. Dieser Pool muss vollständig im Subnetz der Zone enthalten und kleiner als diese sein. Es ist außerdem wichtig, sich zu vergewissern, dass dieser Pool keine Konflikte mit anderen Pools verursacht, die in dieser Zone definiert sind, wie z. B. ein DHCPServer.
In einem gebridgeten OpenVPN-Server ist es möglich, einigen (oder sogar allen) Benutzern eine statische IP-Adresse zuzuweisen. In diesem Fall ist es sinnvoll, dass diese statischen IP-Adressen zu keinem definierten IP-Pool innerhalb der Zone gehören, um Adressenkonflikte und falsches Routing zu vermeiden. Der Datenverkehr mit diesem bestimmten Client kann dann unter Verwendung des VPN (oder IPsec)-Benutzers als Quelle oder Ziel des Datenverkehrs in den Firewall-Regeln gefiltert werden.
Im Feld Erweiterte Einstellungen können zusätzliche Optionen konfiguriert werden.
Anzahl der Kerne Dieses Dropdown-Menü ermöglicht es, die Anzahl der CPUs der Panda GateDefender-Appliance festzulegen, die von der Instanz verwendet werden. Daher können sich die Optionen in diesem Dropdown-Menü unterscheiden.
Mehrere Verbindungen von einem Benutzer zulassen: In der Regel kann eine Client-Verbindung jeweils nur von einem Standort aus hergestellt werden. Diese Option ermöglicht die Anmeldung mehrerer Clients von verschiedenen Standorten aus. Die VPN-Firewall-Regeln treffen nicht mehr zu, wenn für einen Client mehrere Verbindungen bestehen.
DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie dieses Kontrollkästchen, wenn DHCP-Antworten, die Konflikte mit dem lokalen DHCP-Server hervorrufen, aus dem LAN auf der anderen Seite des VPN-Tunnels empfangen werden.
Client-to-Client-Verbindungen Wählen Sie in diesem Dropdown-Menü die Modalitäten der Kommunikation zwischen den Clients und dem OpenVPN-Server aus:
Nicht erlaubt: Die Clients können nicht miteinander kommunizieren. Direkte Verbindungen zulassen: Die Clients können sich verbinden. Diese Option steht nur bei CPUs mit Einzelkern zur Verfügung.
Verbindungen in der VPN-Firewall filtern: Die Clients können miteinander kommunizieren, aber ihr Datenverkehr wird durch die VPN-Firewall geregelt.
Diese Nameserver pushen Durch Aktivieren dieses Kontrollkästchens wird der im darunter befindlichen Textfeld angegebene Nameserver beim Verbinden an die Clients gesendet.
Nameserver: Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige Kontrollkästchen aktiviert wurde.
Diese Netzwerke pushen Durch Aktivieren dieses Kontrollkästchens werden die Routen zu den im unteren Textfeld definierten Netzwerken an die verbundenen Clients gesendet.
Netzwerke Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige Kontrollkästchen aktiviert wurde.
Diese Domäne pushen: Durch Aktivieren dieses Kontrollkästchens wird die im Textfeld auf der rechten Seite festgelegte Suchdomäne zu denen der verbundenen Clients hinzugefügt.
Domäne Die Domäne, die zur Identifikation der Server und Netzwerkressourcen im VPN-Netzwerk verwendet wird (d. h. die Suchdomäne).
Hinweis
Die Optionen Diese Nameserver pushen und Diese Domäne pushen funktionieren nur bei Clients, die Microsoft Windows als Betriebssystem verwenden.
Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat für diesen OpenVPN Server erzeugt. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden sollen. Anderenfalls können die Clients nicht auf den Server zugreifen.
Nachdem der Server eingerichtet wurde, ist es möglich, Konten für die Clients zu erstellen und zu konfigurieren, die sich mit der Panda GateDefender-Appliance auf der Registerkarte Authentifizierung verbinden können.
Aktiviert Durch Aktivieren dieses Kontrollkästchens wird der Start des OpenVPN-Servers definiert.
Fehlerbehebung für VPN-Verbindungen
Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1.450 Byte, um Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1.500 Byte liegt, zu verhindern. Einige Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen werden können). Sie können diesen Wert durch Zugriff auf die Panda GateDefender-Appliance über die Kommandozeilenschnittstelle (CLI) anhand der folgenden Richtlinien ändern:
1.
Notieren Sie den vom Internetdienstanbieter verwendeten MTU-Wert (siehe untenstehenden Link).
2.
Öffnen Sie die Befehlszeilenschnittstelle entweder über eine Shell oder über Menüleiste ‣ System ‣ Web Konsole an.
3.
Bearbeiten Sie die OpenVPN-Vorlage mit einem Editor Ihrer Wahl: nano/etc/openvpn/openvpn.conf.tmpl.
4.
Suchen Sie nach der Zeichenkette mssfix 1450.
5.
Ersetzen Sie 1450 durch einen niedrigeren Wert (z. B. 1200).
6.
Starten Sie OpenVPN durch folgende Eingabe neu: jobcontrol restart openvpnjob.
Siehe auch
Weitere Informationen zum MTU-Wert:
OpenVPN-Client (Gw2Gw) Auf dieser Seite wird eine Liste der Verbindungen der Panda GateDefender-Appliance als OpenVPN-Clients angezeigt, d. h. alle getunnelten Verbindungen zu Remote-OpenVPN-Servern. Für jede Verbindung werden in der Liste folgende Informationen angezeigt: Status, Name, zusätzliche Optionen, eine Anmerkung sowie verfügbare Aktionen:
– Der Server ist aktiv oder angehalten.
– Ändern der Serverkonfiguration.
– Entfernen der Konfiguration und des Servers.
Wenn die Verbindung deaktiviert ist, wird der Status beendet angezeigt. Dahingegen wird bei aktivierter Verbindung der Status aufgebaut und Verbindung wird hergestellt... angezeigt, wenn die Verbindung aufgebaut wird. Zu den verfügbaren Aktionen gehören außer dem Aktivieren und Deaktivieren von Verbindungen auch das Bearbeiten oder Löschen von Verbindungen. Im ersteren Fall wird dasselbe Formular wie beim Hinzufügen einer Verbindung (siehe unten) geöffnet, in dem Sie die aktuellen Einstellungen anzeigen und modifizieren können. Im letzteren Fall können Sie ausschließlich die zuvor erwähnten modifizierten Einstellungen von der Panda GateDefender-Appliance löschen.
Die Erstellung neuer OpenVPN-Client-Verbindungen ist unkompliziert und kann auf zwei Arten erfolgen: Klicken Sie entweder auf die Schaltfläche Tunnelkonfiguration hinzufügen, und geben Sie die erforderlichen Informationen zum OpenVPN-Server ein, zu dem eine Verbindung hergestellt werden soll (mehrere Verbindungen sind möglich), oder importieren Sie die Client-Einstellungen vom OpenVPNZugriffsserver, indem sie auf die Schaltfläche Profil von OpenVPN Access Server importieren klicken.
Tunnelkonfiguration hinzufügen
Es gibt zwei Arten von Einstellungen, die bei jeder Tunnelkonfiguration modifiziert werden können: Die Basiskonfiguration sieht die Integration obligatorischer Optionen für den Tunnel vor. Die erweiterte Konfiguration ist optional und sollte nur vorgenommen werden, wenn der OpenVPN-Server nicht standardkonform eingerichtet wurde. Klicken Sie auf die Schaltfläche >> neben Erweiterte Tunnelkonfiguration, um zu den erweiterten Einstellungen zu gelangen. Nachfolgend werden die Grundeinstellungen aufgezählt:
Name für die Verbindung Bezeichnung zur Identifizierung der Verbindung.
Verbinden mit Der vollständig qualifizierte Domänenname (FQDN) des OpenVPN-Remote-Servers, der Port sowie das Protokoll in der folgenden Form: myefw.example.com:port:protocol. Soweit nicht anders spezifiziert, haben der Port und das Protokoll ihre jeweiligen Standardwerte 1194 bzw. UDP. Das Protokoll muss in Kleinbuchstaben angegeben werden.
Zertifikat hochladen Server-Zertifikat für die Tunnelverbindung. Sie können das lokale Dateisystem nach Dateien durchsuchen oder alternativ Pfad und Dateinamen für den Suchvorgang eingeben. Falls der Server eine PSK-Authentifizierung verwendet (Benutzername/Passwort), muss das Hostzertifikat (d. h. das auf dem Server im Abschnitt Menüleiste ‣ VPN ‣ OpenVPN Server über den Link CA Zertifikat herunterladen heruntergeladene Zertifikat) auf die Panda GateDefender-Appliance hochgeladen werden. Für eine zertifikatsbasierte Authentifizierung muss hingegen die PKCS#12-Datei des Servers (das Zertifikat, das über den Link Exportiere CA als PKCS#12 Datei in Abschnitt Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Erweitert) hochgeladen werden muss.
PKCS#12 Challenge Passwort Geben Sie hier das Challenge Passwort ein, das im Laufe der Zertifikatserstellung der Zertifizierungsstelle bereitgestellt wurde (falls verfügbar). Dies ist nur dann notwendig, wenn ein PKCS#12-Zertifikat hochgeladen wird.
Benutzername, Passwort Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) oder für die Authentifizierung auf Grundlage von Zertifikaten und Passworten konfiguriert ist, müssen an dieser Stelle der Benutzername und das Passwort des auf dem OpenVPN-Server befindlichen Kontos eingegeben werden.
Anmerkung Ein Kommentar zur Verbindung.
Erweiterte Tunnelkonfiguration
Nachdem Sie auf die Schaltfläche >> im vorherigen Feld geklickt haben, wird dieses Feld angezeigt, in dem Sie zusätzliche Optionen ändern können. Die Werte in diesem Feld sollten nur geändert werden, wenn die Serverseite nicht gemäß den Standardwerten konfiguriert wurde.
Fallback VPN Server Mindestens
ein
OpenVPN-Fallback-Server
(pro
Zeile)
in
myvpn.example.com:port:protocol.
dem
für
den
primären
Server
verwendeten
Format,
also
Wenn die Werte für Port und Protokoll nicht angegeben werden,
werden sie standardmäßig auf 1194 bzw. UDP festgelegt. Sollte die Verbindung zu den Hauptservern fehlschlagen, werden die entsprechenden Aufgaben an einen Fallback-Server übertragen.
Tipp
Das Protokoll muss in Kleinbuchstaben angegeben werden.
Gerätetyp Vom Server verwendeter Gerätetyp – entweder TAP oder TUN.
Verbindungstyp Dieses Dropdown-Menu ist nicht verfügbar, wenn TUN als Gerätetyp ausgewählt wurde, da in diesem Fall die Verbindungen immer geroutet sind. Verfügbare Optionen sind geroutet (d. h. der Client fungiert als Gateway zum Remote-LAN) oder gebridget (d. h. die Client-Firewall erscheint als Teil des Remote-LAN). Die Standardeinstellung ist geroutet.
Bridge zu Dieses Feld ist nur verfügbar, wenn TAP als Gerätetyp und gebridget als Verbindungstyp ausgewählt wurde. Wählen Sie aus diesem Dropdown-Menü die Zone aus, zu der die betreffende Client-Verbindung gebridget werden soll.
NAT Diese Option ist nur verfügbar, wenn geroutet als Verbindungstyp ausgewählt wurde. Aktivieren Sie dieses Kontrollkästchen, um die mittels dieser Panda GateDefender-Appliance verbundenen Clients hinter den VPN-IP-Adressen der Firewall zu verbergen. Diese Konfiguration verhindert Anfragen von eingehenden Verbindungen an die Clients. Anders ausgedrückt: Die Clients im lokalen Netzwerk werden vor den eingehenden Verbindungen verborgen.
DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie dieses Kontrollkästchen, um den Empfang von DHCP-Antworten aus dem LAN auf der anderen Seite des VPN-Tunnels, die Konflikte mit dem lokalen DHCP-Server hervorrufen, zu vermeiden.
LZO-Kompression verwenden Komprimierung des Datenverkehrs, der den Tunnel passiert (standardmäßig aktiviert).
Protokoll Vom Server verwendetes Protokoll: UDP (Standardeinstellung) oder TCP. Wählen Sie TCP-Protokolle nur aus, wenn ein HTTP-Proxy verwendet werden soll: In diesem Fall wird für die Konfiguration ein Formular geöffnet.
Wenn die Panda GateDefender-Appliance nur über einen vorgelagerten HTTP-Proxy auf das Internet zugreifen kann, ist es weiterhin möglich, die Appliance in einem Gateway-zu-Gateway-Szenario als OpenVPN-Client zu verwenden. Das TCP-Protokoll für OpenVPN muss allerdings für beide Seiten ausgewählt werden. Außerdem müssen die Kontoinformationen für den vorgelagerten HTTP-Proxy in den Textfeldern angegeben werden.
HTTP Proxy Der HTTP-Proxy-Host, z. B.
proxy.beispiel.com:port, wobei der Port standardmäßig 8080 ist, falls nichts
angegeben wird.
Proxy Benutzername,Proxy Passwort Die Kontoinformationen des Proxy: Benutzername und Passwort.
Proxy User-Agent vortäuschen Eine gefälschte Benutzeragent-Zeichenfolge kann in einigen Fällen verwendet werden, um die Panda GateDefenderAppliance als regulären Webbrowser zu tarnen, d. h. um den Proxy als Browser zu kontaktieren. Dieser Vorgang kann nützlich sein, wenn der Proxy nur Verbindungen bestimmter Browsertypen akzeptieren soll.
Nach Konfiguration der Verbindung wird unten auf der Seite ein neues Feld mit der Bezeichnung TLS Authentifizierung angezeigt. Hier können Sie die TLS-Schlüsseldatei hochladen, die für die Verbindung verwendet werden soll. Folgende Optionen stehen zur Auswahl:
TLS Schlüsseldatei Die hochzuladende Schlüsseldatei, nach der Sie im lokalen Dateisystem der Workstation suchen können.
MD5 Die MD5-Prüfsumme der hochgeladenen Datei, die angezeigt wird, sobald die Datei auf der Panda GateDefender-Appliance gespeichert wurde.
Richtung Der Wert ist bei Servern auf 0 und bei Clients auf 1 gesetzt.
Profil von OpenVPN Access Server importieren
Die zweite Möglichkeit, ein Konto hinzuzufügen, besteht darin, das Profil direkt von einem OpenVPN-Zugriffsserver zu importieren. In diesem Fall müssen folgende Informationen bereitgestellt werden:
Name für die Verbindung Benutzerdefinierter Name für die Verbindung.
Access Server URL Die URL des OpenVPN-Zugriffsservers.
Hinweis
Beachten Sie, dass die Panda GateDefender-Appliance nur eine XML-RPC-Konfiguration des OpenVPN Access-Servers unterstützt. Daher hat eine URL-Eingabe die Form: https:///RPC2.
Benutzername, Passwort Benutzername und Passwort auf dem Zugriffsserver.
SSL Zertifikat überprüfen Wenn dieses Kontrollkästchen aktiviert ist und der Server über eine verschlüsselte SSL-Verbindung läuft, wird das SSLZertifikat auf seine Gültigkeit hin überprüft. Sollte es sich um ein ungültiges Zertifikat handeln, wird die Verbindung umgehend getrennt. Diese Funktion kann bei Verwendung eines selbstsignierten Zertifikats deaktiviert werden.
Anmerkung Kommentar zum Sinn und Zweck der Verbindung.
IPsec Die Seite „IPsec“ enthält zwei Registerkarten (IPsec und L2TP), die es ermöglich, die IPsec-Tunnel zu konfigurieren bzw. den L2TPSupport zu aktivieren.
IPsec Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben der Aufschrift L2TP aktivieren grün sein. Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.
Auf der Registerkarte „IPsec“ befinden sich zwei Felder: Das erste beinhaltet die IPsec Einstellungen, welche die Zertifikatsauswahl und verschiedene Optionen (auch zu Debug-Zwecken) umfassen. Das zweite ist das Feld Verbindungen, das alle Verbindungen anzeigt und deren Verwaltung ermöglicht.
IPSec, L2TP und XAuth auf einen Blick
IPsec ist eine standardisierte Erweiterung des IP-Protokolls, bei der auf Schicht 3 des OSI-Modells Verschlüsselungs- und Authentifizierungsmechanismen ausgeführt werden. IPsec muss daher im IP-Stapel des Kernels implementiert sein. Auch wenn IPsec ein standardisiertes Protokoll ist, das mit den IPsec-Lösungen der meisten Anbieter kompatibel ist, kann sich die Implementierung je nach Anbieter sehr unterschiedlich gestalten und zuweilen schwerwiegende Probleme hinsichtlich der Interoperabilität hervorrufen.
Zudem könnte sich die Konfiguration und Verwaltung von IPsec aufgrund seiner Komplexität und Struktur in der Regel als schwierig. Bestimmte Aufgaben wie die Verwendung von NAT sind u. U. gar nicht möglich.
Im Vergleich zu IPsec ist die Installation, Konfiguration und Verwaltung von OpenVPN unkomplizierter. Da mobile Geräte IPsec verwenden, implementiert die Panda GateDefender-Appliance ein einfach zu bedienendes Administrationsinterface für IPsec, die verschiedene Authentifizierungsmethoden und eine zweistufige Authentifizierung unterstützt, falls sie zusammen mit L2TP oder XAuth verwendet wird.
Tatsächlich wird IPsec verwendet, um Clients (d. h. Tunnel) zu authentifizieren, aber keine Benutzer, sodass ein Tunnel nur von einem Client gleichzeitig verwendet werden kann.
L2TP und XAuth fügen eine Benutzerauthentifizierung zu IPsec hinzu. Daher können sich mehrere Clients unter Verwendung desselben verschlüsselten Tunnels mit dem Server verbinden, und jeder Client wird entweder mithilfe von L2TP oder XAuth authentifiziert.
Bei Verwendung von XAuth steht eine weitere Methode zur Verfügung, der Modus XAuth hybrid, der nur den Benutzer authentifiziert.
IPsec Einstellungen
In diesen Feld können einige globale IPsec-Optionen festgelegt werden: zwei für die Dead-Peer-Erkennung sowie zahlreiche DebugOptionen. Außerdem wird hier die Konfiguration von Zertifikaten ausgeführt, die bei mit IPsec getunnelten Verbindungen verwendet werden.
Pool der virtuellen IPs der Roadwarrior Der IP-Bereich, aus dem alle Roadwarrior-Verbindungen ihre IP-Adresse beziehen.
Ping-Verzögerung (in Sekunden) Der zeitliche Abstand in Sekunden zwischen aufeinanderfolgenden Pings zur Überprüfung, ob eine Verbindung noch aktiv ist.
Timeout-Intervall (in Sekunden) – nur IKEv1 Die maximale Dauer in Sekunden für das Austauschintervall des IKEv1-Protokolls.
Tipp
IKEv2 benötigt kein Zeitüberschreitungsintervall, da es erkennen kann, ob der andere Endpunkt nicht antwortet und welche Aktionen durchgeführt werden sollen.
Zertifikatskonfiguration: Die Zertifikatskonfiguration und -verwaltung wird genauso ausgeführt wie für den OpenVPN-Server (unter Menüleiste ‣ VPN ‣ OpenVPN Server), wo sämtliche Verwaltungsmodalitäten beschrieben sind.
Debug Optionen
Debug-Optionen sind eher fortgeschrittene Einstellungen und werden in der Regel nicht benötigt, da sie nur die Anzahl der Ereignisse und aufgezeichneten Nachrichten in der Protokolldatei erhöhen.
Verbindungen
In dieser Tabelle werden alle bereits konfigurierten IPsec-Verbindungen zusammen mit den folgenden Informationen angezeigt:
Name: Name der Verbindung Typ: Art des verwendeten Tunnels Gemeinsamer Name: Name des Zertifikats zur Verbindungsauthentifizierung
Anmerkung: Kommentar zur Verbindung Status: Der Status der Verbindung: Beendet, Verbindung wird hergestellt oder Aufgebaut. Aktionen: Die möglichen Operationen, die auf jedem Tunnel ausgeführt werden können, lauten wie folgt:
o
– Die Verbindung ist aktiv oder nicht.
o
– Änderung der Verbindungskonfiguration
o
– Neustart der Verbindung
o
– Anzeige von detaillierten Informationen über die Verbindung
o
– Trennung der Verbindung
Tipp
Wenn eine Verbindung von der Panda GateDefender-Appliance aus neu gestartet wird, ist es für den Client erforderlich, sich erneut zu verbinden.
Beim Klicken auf Neue Verbindung hinzufügenerscheint ein Fenster mit allen Optionen für die Einrichtung einer neuen IPsec-Verbindung.
Name Name der Verbindung.
Anmerkung Kommentar zur Verbindung.
Verbindungstyp Es gibt vier verschiedene Verbindungsmodalitäten, die für den IPsec-Tunnel ausgewählt werden können:
Host-to-Net: Der Client, der sich mit dem IPsec-Server auf der Panda GateDefender-Appliance verbindet, ist eine einzelne Remote-Workstation oder -Quelle bzw. ein einzelner Server.
Net-to-Net: Der Client ist ein vollständiges Subnetz. Anders gesagt wird die IPsec-Verbindung zwischen RemoteSubnetzen hergestellt.
L2TP Host-to-Net: Der Client ist ein einzelnes Gerät, das ebenfalls L2TP verwendet. XAuth Host-to-Net: Der Client ist ein einzelnes Gerät, und die Authentifizierung findet über XAuth statt.
Tipp
Linux-Benutzer können mehr über XAuth auf der Manpage Xsecuritiy(7) erfahren, die auch online verfügbar ist.
Die verfügbaren Optionen für jede Modalität sind praktisch dieselben, wobei eine weitere Option für Net-to-NetVerbindungen verfügbar ist.
Authentifizierungstyp Die aus dem Dropdown-Menü ausgewählte Option legt fest, wie die Client-Authentifizierung ausgeführt wird. Folgende Werte sind verfügbar:
Passwort (PSK): Der Client muss das Passwort angeben, das auf der rechten Seite im Textfeld Einen Pre-Shared-Key verwenden angegeben wird.
Der Peer wird durch IPV4_ADDR, FQDN, USER_FQDN oder DER_ASN1_DN im Remote-ID-Feld identifiziert. Der Client wird durch seine IP-Adresse, den Domänennamen oder andere eindeutige Informationen über den IPsec-Tunnel authentifiziert.
Ein bestehendes Zertifikat verwenden: Das aus dem Dropdown-Menü rechts ausgewählte Zertifikat soll verwendet werden.
Erzeuge ein neues Zertifikat: Es werden zusätzliche Optionen zur Erstellung eines neuen Zertifikats angezeigt. Ein Zertifikat hochladen: Wählen Sie von der lokalen Workstation das zu verwendende Zertifikat aus. Eine Zertifikatsanfrage hochladen: Wählen Sie von der lokalen Workstation eine Zertifikatsanfrage aus, um ein neues Zertifikat zu erhalten.
XAUTH Hybrid: Nur für Verbindungen vom Typ XAuth Host-to-Net verfügbar. Der Benutzer wird authentifiziert, wobei der Verschlüsselungstunnel nicht authentifiziert werden darf.
Lokale ID Eine Zeichenkette zur Identifizierung des Clients innerhalb des lokalen Netzwerks
Schnittstelle Schnittstelle, über die der Host eine Verbindung herstellt.
Lokales Subnetz Das lokale Subnetz, auf das vom Client aus zugegriffen werden kann
Hinweis
Mobile Geräte, die iOS verwenden, können sich nicht via XAuth mit der Panda GateDefender-Appliance verbinden, falls dieser Wert nicht festgelegt ist. Daher wird das spezielle Subnetz 0.0.0.0/0 automatisch hinzugefügt, wenn der Verbindungstyp auf „XAuth“ gesetzt wird.
Tipp
Nur bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen, da IKEv1 nur ein Subnetz pro Zeile unterstützt.
Entfernte ID Die ID, die den Remote-Host der Verbindung identifiziert.
Subnetz der Gegenseite Nur für Net-to-Net-Verbindungen verfügbar; gibt das Subnetz der Gegenseite an.
Tipp
Bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen.
Gegenstelle Host/IP IP oder vollständig qualifizierter Domänenname (FQDN) des Remote-Hosts.
Hinweis
Wenn ein Hostname angegeben wird, muss er der lokalen ID auf de Remote-Seite entsprechen.
Virtuelle IP des Roadwarriors Die im Textfeld angegebene IP-Adresse wird dem Remote-Client zugewiesen.
Tipp
Diese IP-Adresse muss innerhalb des unter IPsec Einstellungen definierten Pools liegen.
Hinweis
Diese Option ist weder für L2TP-Host-to-Net-Verbindungen noch für Net-to-Net-Verbindungen verfügbar, da L2TP die Änderung der IPAdresszuweisung übernimmt.
Aktion bei Dead Peer Erkennung Aktion, die bei der Verbindungstrennung von Peers durchgeführt wird. Verfügbare Optionen im Dropdown-Menü sind: Löschen, Halten oder Neustart des Peer.
Durch
Klicken
auf
die
Bezeichnung
Erweitert
werden
zusätzliche
Optionen
verfügbar,
um
verschiedene
Typen
von
Verschlüsselungsalgorithmen auszuwählen und zu konfigurieren. Für jede Option können diverse Algorithmustypen ausgewählt werden.
Hinweis
Es ist nur notwendig, den Algorithmus zu ändern, wenn ein Remote-Client einen gegebenen Algorithmus verwendet und diesen nicht ändern kann.
IKE Verschlüsselung Verschlüsselungsmethoden, die vom IKE-Protokoll unterstützt werden sollen.
IKE Integrität Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.
IKE Gruppen Typ Der IKE-Gruppentyp.
IKE Lebensdauer Gültigkeitsdauer der IKE-Pakete.
ESP Verschlüsselung Verschlüsselungsmethoden, die vom Encapsulating Security Payload-Protokoll (ESP) unterstützt werden sollen.
ESP Integrität Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.
ESP Gruppen Typ Der ESP-Gruppentyp
ESP Lebensdauer Gültigkeitsdauer der ESP-Pakete.
Payloadkompression aushandeln Aktivieren Sie das Kontrollkästchen, um eine Payload-Komprimierung zu ermöglichen.
Siehe auch
IKE ist in RFC 5996 definiert, welche die älteren RFC 2409 (IKEv1) und RFC 4306 (IKEv2) ablöst.
ESP finden Sie unter RFC 4303 (ESP) und RFC 4305 (Verschlüsselungsalgorithmen für ESP).
Erstellung von Net-To-Net-VPNs mithilfe von IPsec durch Verwendung der Zertifikatsauthentifizierung.
Szenario:
Firewall CoreFW – REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24 Firewall LocalFW – REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24
Problem: Verbinden Sie LocalFW mit CoreFW mithilfe von IPSec.
Lösung:
1.
Ausführung der folgenden Schritte auf CoreFW:
Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 100.100.100.100 ein.
2.
Sofern sie noch nicht erstellt wurden, klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen, und füllen Sie das Formular aus.
3.
Laden Sie das Hostzertifikat herunter, und speichern Sie es unter dem Namen fw_a_cert.pem.
4.
Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5.
Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 200.200.200.200 sowie 10.10.10.0/24 als Lokales Subnetz und 192.168.0.0/24 als Remote-Subnetz ein.
6.
Wählen Sie im Feld Authentifizierung die Option Erzeuge ein Zertifikat aus, und füllen Sie das Formular aus. Vergessen Sie nicht, ein Passwort festzulegen.
7.
Laden Sie nach dem Speichern die PKCS12-Datei herunter, und speichern Sie sie unter dem Namen fw_a.p12.
Folgende Schritte müssen auf LocalFW ausgeführt werden:
1.
Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 200.200.200.200 ein.
2.
Klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen. Wurden bereits Zertifikate erstellt, wählen Sie für die früheren Zertifikate die Option Zurücksetzen aus.
3.
Füllen Sie unter Root- und Host-Zertifikat erstellen im ersten Abschnitt kein Feld aus! Laden Sie stattdessen die von CoreFW gespeicherte Datei fw_a.p12 hoch, geben Sie das Passwort ein, und klicken Sie auf PKCS12 Datei hochladen.
4.
Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5.
Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 100.100.100.100 sowie 192.168.0.0/24 als Lokales Subnetz und 10.10.10.0/24 als Remote-Subnetz ein.
6.
Wählen Sie im Feld Authentifizierung die Option Ein Zertifikat hochladen aus, und laden Sie die Datei fw_a_cert.pem hoch, die auf MainFW erstellt wurden.
L2TP Das Layer 2 Tunneling Protocol (L2TP) wird unter RFC 2661 beschrieben.
Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben L2TP aktivieren grün sein. Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.
Folgende Optionen sind für das Konfigurieren von L2TP verfügbar:
Zone Zone, an welche die L2TP-Verbindungen gerichtet sind. Nur aktivierte Zonen können aus dem Dropdown-Menü ausgewählt werden.
Startadresse des L2TP IP Bereichs, Endadresse des L2TP IP Bereichs Der IP-Bereich, aus dem L2TP-Benutzer eine IP-Adresse beim Verbinden mit der Panda GateDefender-Appliance erhalten.
Debugmodus aktivieren Durch Aktivieren dieses Kontrollkästchens werden von L2TP ausführlichere Protokolle erstellt.
Authentifizierung Diese Seite enthält drei Registerkarten, welche die Verwaltung lokaler Benutzer, lokaler Gruppen und Einstellungen für die RemoteAuthentifizierung verwalten.
Benutzer Auf dieser Seite werden in der Tabelle alle Benutzer angezeigt, die ein Konto auf dem VPN-Server der Panda GateDefender-Appliance besitzen, wobei jeweils die folgenden Informationen angezeigt werden:
Name: Der Benutzername: Anmerkung: Ein Kommentar: Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte Einstellungen).
Aktionen: Die mit dem Konto ausführbare Operation. Im Fall von LDAP-Benutzern sind dies die Operationen Aktivieren/Deaktivieren und Bearbeiten, bei lokalen Benutzern außerdem die Operation Löschen. Das Bearbeiten eines LDAP-Benutzers ermöglicht nur das Ändern der lokalen Optionen, nicht jedoch anderer Daten wie Benutzername und Passwort, die vollständig vom LDAP-Server verwaltet werden.
Klicken Sie oberhalb der Tabelle auf Neuen lokalen Benutzer hinzufügen, um ein neues lokales Konto hinzuzufügen. Es wird ein Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:
Neuen lokalen Benutzer hinzufügen
Benutzername Anmeldename des Benutzers
Anmerkung Ein zusätzlicher Kommentar
Passwort, Passwort bestätigen Passwort für den Benutzer; wird zweimal eingegeben. Die Passwörter werden momentan nicht angezeigt: Aktivieren Sie die beiden Kontrollkästchen rechts von den Passwörtern, um sie anzuzeigen.
Zertifikatskonfiguration: Wählen Sie den Modus aus, um dem Benutzer ein Zertifikat zuzuweisen. Die verfügbaren Modi können aus dem DropdownMenü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum Signieren eines Zertifikats (CSR) hochladen. Nach Auswahl werden unter dem Dropdown-Menü die verfügbaren Optionen für jeden Modus angezeigt, die auf der Seite Zertifikate beschrieben werden.
Name der Organisational Unit Die Organisationseinheit, zu welcher der Benutzer gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung, die mit dem Zertifikat identifiziert wird.
Name des Unternehmens Die Organisation, welcher der neue Benutzer angehört.
Stadt Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
E-Mail Adresse Die E-Mail-Adresse des Benutzers
Gruppenmitgliedschaft In diesem Bereich ist es möglich, dem Benutzer eine oder mehrere Gruppen zuzuweisen. Mithilfe des Suchwidgets ist es möglich, bestehende Gruppen zu filtern, um passende Gruppen zu finden. Die Gruppenmitgliedschaft wird durch Klicken auf das Symbol + rechts neben dem Gruppennamen hinzugefügt. Gruppen, denen der Benutzer angehört, werden im Textfeld darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle auf einmal hinzuzufügen und mit Alle entfernen alle auf einmal zu löschen.
Überschreibe OpenVPN Optionen Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt, in dem benutzerdefinierte Optionen für das Konto angegeben werden können (siehe unten).
Überschreibe L2TP Optionen Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach diesem Schritt können VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.
Aktiviert Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPNServer auf der Panda GateDefender-Appliance zu verbinden.
OpenVPN Optionen
Den gesamten Client Datenverkehr über den VPN Server leiten
Wenn diese Option aktiviert ist, wird der gesamte Datenverkehr vom sich verbindenden Client unabhängig vom Ziel über den Uplink der Panda GateDefender Appliance geroutet. Standardmäßig wird der gesamte Datenverkehr, dessen Ziel außerhalb der internen Zonen liegt (beispielsweise Internethosts), durch den Uplink des Clients geleitet.
Schicke nur globale Optionen an den Client Nur für fortgeschrittene Benutzer. Wenn der Client eine Verbindung herstellt, werden in der Regel Tunnelrouten zu Netzwerken, auf die per VPN zugegriffen werden kann, zur Routingtabelle des Clients hinzugefügt, um die Verbindung zu verschiedenen lokalen Netzwerken zu ermöglichen, die von der Panda GateDefender-Appliance erreichbar sind. Aktivieren Sie die Option, wenn dieses Verhalten nicht gewünscht ist. Die Routingtabellen (insbesondere die Tabellen für die internen Zonen) sollten allerdings manuell geändert werden.
Route zur GRÜNEN [BLAUEN, ORANGENEN] Zone eintragen: Wenn diese Option aktiviert ist, hat der Client Zugriff auf die GRÜNE, BLAUE bzw. ORANGENE Zone. Diese Optionen haben keine Wirkung, wenn die entsprechenden Zonen nicht aktiviert sind.
Netzwerke hinter dem Client Diese Option ist nur notwendig, wenn dieses Konto als Client in einem Gateway-zu-Gateway-Szenario verwendet wird. In diesem Feld sollten die Netzwerke eingetragen werden, die hinter diesem Client liegen und zu den anderen Clients gesendet werden sollen. Nach diesem Vorgang stehen die Netzwerke auch den anderen Clients zur Verfügung.
Statische IP Adressen Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte statische IP-Adresse bei jeder Verbindung zugewiesen.
Hinweis
Wenn sich der Client mit einem Multikern-VPN-Server auf der Panda GateDefender-Appliance verbindet, wird diese Zuweisung nicht berücksichtigt.
Diese Nameserver pushen Zuweisung benutzerdefinierter Namenserver pro Client: Diese (wie auch die nächste) Einstellung kann definiert und nach Bedarf aktiviert bzw. deaktiviert werden.
Diese Domänen pushen Zuweisung benutzerdefinierter Suchdomänen pro Client:
Hinweis
Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden. Diese Option bietet verschiedene Vorteile, z. B.: automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens; vereinfachte WAN-Netzwerkeinrichtung.
L2TP Optionen
IPsec Tunnel Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, welcher der bereits definierten Tunnel vom Benutzer verwendet werden soll.
Gruppen Auf dieser Seite wird eine Tabelle mit allen Gruppen angezeigt, die entweder auf der Panda GateDefender-Appliance oder auf einem externen LDAP-Server definiert sind. Folgende Informationen werden für jede Gruppe angezeigt:
Gruppenname: Der Name der Gruppe Anmerkung: Ein Kommentar: Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte vpnauthsettings).
Aktionen: Die mit dem Konto ausführbare Operation. Bei LDAP-Servern ist die einzige Aktion das Bearbeiten der lokalen Eigenschaften, während bei lokalen Gruppen auch die Möglichkeit zum Löschen der Gruppe besteht.
Klicken Sie oberhalb der Tabelle auf Neue lokale Gruppen hinzufügen, um eine neue lokale Gruppe hinzuzufügen. Es wird ein Formular geöffnet, in dem für jede Gruppe folgende Optionen festgelegt werden können:
Gruppenname Der Name der Gruppe
Anmerkung Ein Kommentar:
Benutzer In diesem Bereich ist es möglich, Benutzer der Gruppe zuzuweisen. Mithilfe der Suchwidgets können bestehende Gruppen gefiltert werden, um passende Gruppen zu finden. Benutzer werden durch Klicken auf das Symbol + rechts neben dem Benutzernamen hinzugefügt. Benutzer der Gruppe werden im Textfeld darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle Benutzer einer Gruppe auf einmal hinzuzufügen und mit Alle entfernen alle auf einmal zu löschen.
Überschreibe OpenVPN Optionen Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt, in dem benutzerdefinierte Optionen für das Konto angegeben werden können, welche dieselben wie die für den lokalen Benutzer sind.
Überschreibe L2TP Optionen Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel aus einem DropdownMenü ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach dem Erstellen eines neuen L2TP-Tunnels ist es möglich, diesen einem Benutzer zuzuweisen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.
Aktiviert Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPNServer auf der Panda GateDefender-Appliance zu verbinden.
Warnung
Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Überschreibungsoptionen definiert werden. Betrachten Sie beispielsweise einen Benutzer, der Mitglied in zwei Gruppen ist, wobei die eine nur Zugriff auf die GRÜNE und die andere nur Zugriff auf die BLAUE Zone hat. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die GRÜNE oder BLAUE Zone erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung des Verwalters des OpenVPN-Servers.
Einstellungen Diese Seite enthält die aktuelle Konfiguration der Authentifizierungsserver, welche die Panda GateDefender-Appliance verwendet. Sie kann auf dieser Seite verwaltet werden. Derzeit werden nur lokale Server und LDAP/Active Directory unterstützt. In zukünftigen Versionen können jedoch zusätzliche Typen von Authentifizierungsservern hinzugefügt werden, z. B. RADIUS-Server.
Diese Seite enthält zwei Tabellen: Eine zeigt Informationen über die Authentifizierungsserver und die andere zeigt die Zuweisungen der Authentifizierungsserver. Im ersten Fall sind die angezeigten Informationen:
Name: Der Name des Servers Typ: Ob der Server lokal oder eine externer LDAP-Server ist Dienst: Die verfügbare Authentifizierung für diesen Server. Aktionen: Im Fall der lokalen Authentifizierung ist es möglich, den Server zu aktivieren/deaktivieren, ihn zu bearbeiten oder ihn zu löschen. Für LDAP-Server gibt es außerdem die Möglichkeit, die Verbindung zu aktualisieren, um Benutzer und Gruppen zu synchronisieren.
Die Tabelle am unteren Rand zeigt die Zusammenhänge zwischen einem Dienst (IPsec, XAuth, OpenVPN und L2TP) und dem möglichen Authentifizierungstyp. Die einzige Aktion für die Zuweisungen ist deren Bearbeitung. Durch Klicken auf Bearbeiten wird ein Formular angezeigt, in dem ausgewählt werden kann, welche Authentifizierungsbackends für diesen Dienst verwendet werden.
Durch Klicken auf den Link Neuen Authentifizierungsserver hinzufügen wird ein Formular geöffnet, in dem alle Daten zur Einrichtung eines neuen Authentifizierungsservers angegeben werden können.
Dieses Formular ersetzt die Tabellen zur Anzeige der bereits definierten Authentifizierungsserver und ermöglicht die Konfiguration eines neuen Servers, indem passende Werte für die folgenden Konfigurationsoptionen angegeben werden.
Name Der Name des Authentifizierungsservers
Aktiviert Aktivieren Sie das Kontrollkästchen, um den Server zu aktivieren.
Typ Wählen Sie aus dem Dropdown-Menü, ob der Server LDAP/Active Directory verwendet oder lokal ist. Alle weiteren Optionen, mit Ausnahme der letzten, stehen nur für die Konfiguration von LDAP-Servern zur Verfügung.
LDAP Server URI Die URI des LDAP-Servers
LDAP Servertyp Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü:Generisch, Active Directory, Novell eDirectory oder OpenLDAP.
LDAP Bind DN Benutzername
Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers, der die Berechtigung zum Lesen von Benutzerattributen besitzen muss.
LDAP Bind DN Passwort Das Passwort des Bind-DN-Benutzers.
Die folgenden Optionen hängen von der Konfiguration des Servers ab und werden verwendet, um die Benutzer und Gruppen zu identifizieren, die Zugriff auf den OpenVPN-Server der Panda GateDefender-Appliance erhalten sollen. LDAP Benutzer Basis DN, LDAP Benutzer Suchfilter, Eindeutiges LDAP Benutzer ID Attribut, LDAP Gruppen Basis DN, Eindeutiges LDAP Gruppen ID Attribut, LDAP Gruppenmitgliedsattribut und LDAP Gruppensuchfilter.
Auf ausgewählte Gruppen einschränken Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda GateDefender-Appliance verbinden können.
Zertifikate Die Seite Zertifikate ermöglicht die Verwaltung der Zertifikate, die für die verschiedenen OpenVPN-Serverinstanzen auf der Panda GateDefender-Appliance benötigt werden. Sie ist in drei Registerkarten aufgeteilt: Zertifikate, Zertifizierungsstelle und Gesperrte Zertifikate.
Zertifikate Hier können alle Zertifikate verwaltet werden, die auf der Panda GateDefender-Appliance gespeichert sind. Die Tabelle (zunächst leer) zeigt alle Zertifikate zusammen mit den folgenden Details (eins pro Spalte):
Seriennummer: Eine eindeutige Nummer zur Identifizierung des Zertifikats Name: Der Name des Zertifikats Betreff, die Informationssammlung, die das Zertifikat selbst identifiziert. Siehe die Optionen weiter unten. Ablaufdatum: Das Datum der letzten Gültigkeit des Zertifikats Aktionen: Was kann mit dem Zertifikat getan werden:
o
– Alle Details anzeigen
o
– Im PEM-Format herunterladen
o
– Im PKCS12-Format herunterladen
o
– Den dazugehörigen privaten Schlüssel löschen
o
– Das Zertifikat sperren
Oberhalb der Liste können Sie einen Link zum Hinzufügen eines neuen Zertifikats anklicken. Nach dem Anklicken wird die Seite durch ein Formular ersetzt, das es ermöglicht, alle benötigten Daten für die Generierung eines neuen Zertifikats einzugeben.
Am unteren Rand der Tabelle befindet sich links ein Navigationswidget, das es ermöglicht, durch die verschiedenen Seiten der Tabelle zu navigieren, wenn viele Zertifikate vorhanden sind. Rechts befindet sich ein Widget zum Aktualisieren der Zertifikatsliste.
Neues Zertifikat hinzufügen Es gibt drei Möglichkeiten, um ein neues Zertifikat auf der Panda GateDefender-Appliance zu speichern. Sie können aus diesem Dropdown-Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum Signieren eines Zertifikats (CSR) hochladen.
Erzeuge ein neues Zertifikat
Die erste Option ermöglicht die direkte Erstellung eines neuen Zertifikats auf der Panda GateDefender-Appliance, indem die folgenden Informationen angegeben werden. Die Großbuchstaben in Anführungszeichen zeigen das Feld des Zertifikats an, das mit dem Wert gefüllt wird und den Betreff des Zertifikats bildet.
Hinweis
Zum Erstellen von Zertifikaten ist eine Root-Zertifizierungsstelle erforderlich. Daher muss diese zuvor erstellt werden.
Gemeinsamer Name Der Common Name (CN) des Zertifikatinhabers, d. h. der Name, mit dem der Besitzer identifiziert wird.
E-Mail Adresse Die E-Mail-Adresse des Zertifikatinhabers
Name der Organisational Unit Die Organisational Unit (OU), zu welcher der Inhaber gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung, die mit dem Zertifikat identifiziert wird.
Name des Unternehmens Die Organisation (O), welcher der Inhaber angehört.
Stadt Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*) Ein alternativer Name für den Betreff, d. h. das Zertifikat.
Zertifikatstyp Der Typ des Zertifikats kann zwischen Client und Server aus dem Dropdown-Menü ausgewählt werden.
Gültigkeit (Tage) Die Anzahl an Tagen, bevor das Zertifikat abläuft.
PKCS12 Dateipasswort Das Passwort für das Zertifikat, falls erforderlich.
Passwort für PKCS12 Datei bestätigen Geben Sie zur Bestätigung das Passwort erneut ein.
Ein Zertifikat hochladen
Die nächste Möglichkeit ist das Hochladen eines bestehenden Zertifikats von der lokalen Workstation auf die Panda GateDefenderAppliance.
Zertifikat (PKCS12/PEM) Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von dem aus das Zertifikat hochgeladen werden soll.
PKCS12 Dateipasswort Das Passwort für das Zertifikat, falls erforderlich.
Anfrage zum Signieren eines Zertifikats (CSR) hochladen
Die dritte Möglichkeit ist das Hochladen einer CSR von der lokalen Workstation auf die Panda GateDefender-Appliance, d. h. eine verschlüsselte, vom Server erkannte Textdatei, die alle notwendigen Informationen zur Generierung eines neuen Zertifikats enthält.
Anfrage zum Signieren eines Zertifikats (CSR) Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von dem aus die CSR hochgeladen werden soll.
Gültigkeit (Tage) Anzahl der Tage, die das Zertifikat gültig ist.
Zertifizierungsstelle Diese Seite ermöglicht das Verwalten der CA, die für das korrekte Arbeiten einer verschlüsselten OpenVPN-Verbindung notwendig ist. Es gibt zwei Möglichkeiten, um eine CA hinzuzufügen: Entweder durch Klicken auf den Link oberhalb der Tabelle der bereits bestehenden Zertifikate, um ein neues Zertifikat zu erstellen, oder durch Hochladen eines Zertifikats mithilfe des Widgets unterhalb der Tabelle.
Sobald die Tabelle Einträge enthält, zeigt sie dieselben Informationen wie die Registerkarte Zertifikate. Lediglich die verfügbaren Aktionen unterscheiden sich:
– Alle CA-Details anzeigen
– Im PEM-Format herunterladen
– Das Zertifikat löschen
Geben Sie die folgenden Informationen an, um ein Zertifikat hochzuladen:
Name der Zertifizierungsstelle Der Name der Zertifizierungsstelle, die das Zertifikat erstellt hat
Zertifikat (PEM) Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von dem aus das Zertifikat hochgeladen werden soll.
Durch Klicken auf CA Zertifikat hochladen wird der Upload-Prozess gestartet.
Neue Root/Host Zertifikate erstellen
Dieser Vorgang kann nur einmal ausgeführt werden und generiert zwei Zertifikate: Eine Root-Zertifizierungsstelle und ein Hostzertifikat, wobei letzteres in der Liste auf der Registerkarte Zertifikate angezeigt wird. Durch Klicken auf den Link wird die Liste durch ein Formular ersetzt, auf dem die folgenden Daten eingegeben werden müssen, die für die neuen Root- und Hostzertifikate verwendet werden.
Hinweis
Die einzige Möglichkeit zum Erstellen eines neuen Root-Zertifikats ist das Löschen des bestehenden.
Hostname des Systems Der Name des Systems, der als gemeinsamer Name des Zertifikats verwendet wird.
E-Mail Adresse Die E-Mail-Adresse des Systeminhabers oder der dafür verantwortlichen Person.
Name der Organisational Unit Die Organisationseinheit (OU), der das System angehört.
Name des Unternehmens Die Organisation (O), der das System angehört.
Stadt Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*) Ein alternativer Name für den Betreff, d. h. das Zertifikat.
Gültigkeit (Tage) Die Anzahl an Tagen, bevor das Zertifikat abläuft.
Gesperrte Zertifikate Die gesperrten Zertifikate werden in einer Tabelle aufgelistet, welche die Seriennummer und den Betreff des Zertifikats enthält.
Zertifikatssperrliste herunterladen
Durch Klicken auf diesen Link kann Liste der aufgehobenen Zertifikate auf eine lokale Workstation heruntergeladen werden.
Zertifikatssperrliste Auf dieser Seite können Sie alle hochgeladenen Zertifikatssperrlisten verwalten.
Menü „VPN“ Die Tabelle enthält alle hochgeladenen Zertifikatssperrlisten, und für jedes Element in der Tabelle ist der Name des Zertifikats, der Aussteller und das Ausstellungsdatum aufgeführt. Folgende Aktionen sind verfügbar:
– Zertifikatdetails anzeigen
– Zertifikat auf die lokale Workstation herunterladen
SL. Zuletzt aktualisiert am 31. Januar 2014.
129
Menü „Hotspot“ Menü „Hotspot“
Hotspot-Einstellungen Administrationsschnittstelle Konten
o o o o
Konto-Generator
Tarife Quick-Ticket Ticket-Generator
Verbindungen Kontostand Verbindungsprotokolle Verbindungsprotokolle im CSV-Format exportieren SmartConnect-Transaktionen
Einstellungen
o o o o
Als CSV-Datei exportieren
Berichte
o o o o o
CSV-Datei importieren
Tickets
o o o
Liste
Haupteinstellungen SmartConnect API Sprache
Hotspot-Benutzer Benutzerzugriff auf den Hotspot
Der mit der Panda GateDefender-Appliance gelieferte Hotspot ist eine sehr flexible und anpassbare Lösung, um eine sichere und zuverlässige drahtlose Verbindung sowie kabelgebundene LAN-Verbindungen bereitzustellen. Die im Hotspot implementierten Schlüsselfunktionen sind u. a.:
Drei Rollen für den Hotspot: Dieser kann als eigenständiger Hotspot, sowie in einer Master-
Drei
/Satellitenkonfiguration betrieben werden oder einen externen RADIUS-Server verwenden. Arten
von
Benutzern:
Hotspot-Administratoren
(voller
Verwaltungszugriff),
Kontoeditoren
(Benutzerverwaltung) und normale Benutzer (nur Internetnavigation)
Verschiedene Ticketarten: zeitbasiert und datenbasiert sowie mit vorheriger oder anschließender Zahlung Drei verschiedene Zugriffsportale für Benutzer: normaler Modus, ohne JavaScript und mobil Eine Option zum Hinzufügen einer benutzerdefinierten Hintergrundseite, die allen Benutzern angezeigt wird Eine SmartConnect™ Option, die es Benutzern ermöglicht Zugriff per Kreditkarte zu erwerben Benutzererstellung und -aktivierung per SMS Eine Option für den Zugriff auf bestimmte Websites auch ohne Tickets
Auf der Panda GateDefender-Appliance ist die BLAUE Zone für drahtlose Geräte reserviert. Deshalb funktioniert der Hotspot nicht, wenn die BLAUE Zone deaktiviert ist. Die Verbindungen von der BLAUEN zur ROTEN Zone (Uplink, d. h. Internet) werden durch die ausgehende Firewall gesteuert. Für einen selektiv gesteuerten Zugriff auf das Internet sollten daher dort Regeln definiert werden.
Nach Eingabe des Hotspots öffnet sich eine Seite, die im Untermenü auf der linken Seite drei Elemente, den Schalter Hotspot aktivieren und die erste Konfigurationsoption enthält: Der Betriebsmodus des Hotspot
Das Menü auf der linken Seite bietet Zugriff auf verschiedene Konfigurations- und Verwaltungsoptionen für die Hotspoteinstellungen, das Administrationsinterface und die Hotspotbenutzer. Diese sind:
Hotspoteinstellungen ist die Startseite des Hotspots, d. h. die momentan aktive Seite. Sie ermöglicht die Auswahl der Modalitäten des Hotspot.
Administrationsinterface umfasst den Hauptteil des Hotspot, auf dem alle Verwaltungsaufgaben erledigt werden können.
Hotspotbenutzer ermöglicht die Verwaltung der Superuser des Hotspot.
Darüber hinaus stellt Benutzerzugriff auf den Hotspot eine Hilfe dar, die Benutzer durch den Prozess des Hotspotzugriffs und das Verbinden mit dem Internet leitet.
Hotspot-Einstellungen Der Hotspot kann durch Betätigen des Hauptschalters oben auf der Seite aktiviert bzw. deaktiviert werden. Bei Aktivierung (d. h. der Schalter ist grün ) kann eine der folgenden drei Rollen ausgewählt werden:
1. Master/eigenständiger Hotspot oder eigenständiger Hotspot
Wenn der Hotspot als Master verwendet wird, werden alle Konfigurationsdaten – auch die der Satelliten (Benutzerdatenbank, Portalkonfiguration, Einstellungen, Protokolle usw.) lokal gespeichert und die Wartungsaufgaben werden auf diesem Hotspot ausgeführt.
Für die Rolle Master ist eine Einstellung verfügbar und auch die den Satelliten zuweisbaren verfügbaren VPN-Konten werden angezeigt.
Hotspot Passwort Dies ist das Passwort des Masterhotspots. Externe Satellitensysteme benötigen es, um sich mit dem Masterhotspot zu verbinden. Bleibt dieses Feld leer, wird ein neues zufälliges Passwort generiert.
Satellitenhotspots Die Liste der verfügbaren OpenVPN-Tunnel zum Verbinden eines Remote-Satellitensystems. Aus dieser Liste können ein oder mehrere Systeme ausgewählt werden.
2. Hotspotsatellit
Ein Hotspotsatellit speichert keine Konfiguration, sondern verwendet den Master, um Benutzerdaten, Ticketverfügbarkeit und alle weiteren Einstellungen zu überprüfen. Wenn Sie diese Option auswählen, müssen die IP-Adresse und das Passwort des Masterhotspot zusammen mit dem VPN-Tunnelnamen angegeben werden (siehe unten). Folgende Optionen stehen zur Auswahl:
IP Adresse des Masterhotspots Geben Sie in diesem Feld die IP-Adresse des Masterhotspot an. Diese ist für gewöhnlich die erste verfügbare IP-Adresse im speziellen OpenVPN-Subnetz (sieheDie Zonen, wie in den OpenVPN Servereinstellungen des Masterhotspots definiert (unter Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Serverkonfiguration).
Passwort des Masterhotspots Das Passwort für den Masterhotspot. Dieses wird üblicherweise automatisch auf dem Master generiert. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
Hotspot VPN Tunnel Wählen Sie aus diesem Dropdown-Menü den zu verwendenden OpenVPN-Tunnel, um den Masterhotspot zu erreichen.
3. Externer RADIUS Server
In dieser Konfiguration verwendet der Hotspot einen externen RADIUS-Server für seine Aktivitäten (z. B. FreeRadius): Er verbindet sich, und erbittet Authentifizierung vom RADIUS-Server, der alle Daten zur Kontenverwaltung, Einstellungen, Tickets und Verbindungen speichert. Es sind verschiedene Informationen über den RADIUS-Server erforderlich, damit dieser korrekt arbeitet: IP-Adresse, Passwort, Ports und die IP-Adresse des Fallback-Servers. Darüber hinaus kann das externe Portal verwendet werden.
RADIUS Server IP Adresse Die IP-Adresse des externen RADIUS-Servers.
IP Adresse des Fallback RADIUS Servers Die IP-Adresse des externen Fallback-RADIUS-Servers.
RADIUS Server Passwort Das Passwort für den RADIUS-Server. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
RADIUS Server AUTH Port Die Portnummer des AUTH-Ports (Authentifizierung) für den RADIUS-Server.
RADIUS Server ACCT Port Die Portnummer des ACCT-Ports (Accounting) für den RADIUS-Server.
RADIUS Server COA Port Die Portnummer des COA-Ports (Change of Authorisation) für den RADIUS-Server.
Tipp
Die Standardwerte für den RADIUS-Port sind: 1812 (AUTH), 1813 (ACCT) und 3799 (COA).
Externes Portal verwenden Wird diese Option ausgewählt, kann ein externes Portal als Schnittstelle für die Anmeldung konfiguriert werden, das Benutzer sehen, wenn sie sich über den Hotspot verbinden möchten. Das externe Portal muss kompatibel sein und mit chilli kommunizieren. Die folgenden Optionen müssen konfiguriert werden, um das externe Portal zu aktivieren:
URL des externen Portals Der Ort, an dem sich das Portal befindet.
NAS ID Die Network Access Server-Kennung des RADIUS-Servers, die das Portal identifiziert.
UAM Secret Der gemeinsame UAM-Schlüssel des externen RADIUS-Servers. Obwohl es möglich ist, keinen Wert für diese Option festzulegen, sollten Sie es dennoch tun, da es die Sicherheit erhöht.
Erlaubte Seiten / Zugriff Eine Liste von Websites, auf die auch ohne Registrierung auf dem Hotspot zugegriffen werden kann.
Aktiviere AnyIP
Ermöglicht es Kunden ohne aktiven DHCP-Client, sich mit dem Hotspot zu verbinden.
Hinweis
Die Einrichtung eines RADIUS-Servers wird hier nicht beschrieben, da dies außerhalb des Aufgabenbereichs von Panda liegt und für diese Aufgabe keine Unterstützung bereitstellt wird.
Master-/Satellitenrollen und VPN
Die Master-/Satellitenrollen können sich als nützlich erweisen, wenn größere Bereiche abgedeckt werden sollen und ein Hotspot dafür nicht ausreicht. Falls eine solche Architektur verwendet wird, werden alle Verwaltungsaufgaben für Benutzer und Tickets nur auf dem Master ausgeführt. Auf den Satellitensystemen ist nur der Abschnitt Berichte (unter der Hotspot-Administrationsoberfläche) verfügbar.
Die Verbindung zwischen dem Master und seinen Satelliten wird eingerichtet, indem OpenVPN-Konten auf dem Master erstellt werden, wobei jeweils ein Konto für jeden Satelliten verwendet wird und ein VPN-Tunnel zwischen jedem Paar aus Master und Satellit erstellt wird. Viele Aufgaben müssen vor Einrichtung dieser Konfiguration sowohl auf dem Mastersystem als auch auf den Satellitensystemen abgeschlossen werden. Diese sind in zwei Teile gruppiert, die jeweils aus umfassenden Operationen bestehen, die entweder auf dem Master (gekennzeichnet mit M#) oder auf dem Satelliten (gekennzeichnet mit S#) ausgeführt werden müssen.
Wenn ein Master und einer (oder mehrere) Hotspotsatelliten bereits konfiguriert sind, ist es für einen zusätzlichen Satelliten nur erforderlich, die Schritte M3, M4 und M5 auf dem Master sowie alle Schritte auf dem Satelliten auszuführen.
M0. Legen Sie den Hotspot als eigenständig fest (dies ist optional).
M1. Richten Sie im Abschnitt Menü „VPN“ (VPN ‣ OpenVPN Server) den Hotspot als OpenVPN-Server mit einem gerouteten Verbindungstyp und einem Ad-hoc-Netzwerkbereich ein (xxx.yyy.zzz.0/24), der sich von den Subnetzen der anderen Zonen der Panda GateDefender-Appliance unterscheidet.
M2. Es wird eine neue virtuelle Schnittstelle erstellt, die den Datenverkehr der OpenVPN-Tunnel routet. Der Master erhält die IP xxx.yyy.zzz.1 (d. h. die erste verfügbare IP-Adresse im Netzwerkbereich) und fungiert als Gateway für alle OpenVPN-Tunnel.
M3. Erstellen Sie ein eindeutiges OpenVPN-Konto für jedes Remote-Satellitensystem (unter Menüleiste ‣ VPN ‣ OpenVPN Server ‣ Konten). Das OpenVPN-Konto muss mit einer statischen IP-Adresse konfiguriert werden. Die den Satelliten zugewiesenen IP-Adressen müssen innerhalb des unter Schritt M1 festgelegten Subnetzes liegen. Innerhalb des Subnetzes sind IP-Adressen, die mit 0 oder 255 enden, und die erste IP-Adresse im Subnetzbereich nicht für Satelliten verfügbar.
Tipp
Eine gute Methode ist es, jedem neuen Satelliten die jeweils niedrigste verfügbare IP-Adresse zuzuweisen, damit diese geordnet sind.
Nachdem alle erforderlichen Kundenkonten erstellt wurden, und bevor die Master-/Satellitenkonfiguration aktiviert wird, ist es notwendig die Einrichtung der OpenVPN-Verbindung auf Korrektheit zu prüfen. Daher sind auf Satellitenseite zwei Schritte erforderlich:
S1. Erstellen Sie das Konto für den OpenVPN-Client (VPN ‣ OpenVPN Client (Gw2Gw)) unter Verwendung eines der unter Schritt M3 erstellten Konten.
S2. Stellen Sie eine Verbindung mit dem Master her, und stellen Sie sicher, dass eine Verbindung besteht und Datenverkehr übertragen wird.
Jetzt ist es möglich den Master zu aktivieren und die Einrichtung abzuschließen:
M4. Öffnen Sie die Seite mit den Hotspot-Einstellungen, und aktivieren Sie das benötigte VPN-Konto in der Liste der Satellitenhotspotsysteme.
M5. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Die Einrichtung des Masters ist nun abgeschlossen. Fahren Sie daher mit der Einrichtung des Satelliten fort:
S3. Öffnen Sie das Hotspot-Menü, wählen Sie Hotspotsatellit, geben Sie die erste im VPN-Subnetz des Masters verfügbare IP-Adresse und dessen Hotspotpasswort ein, und wählen Sie aus dem Dropdown-Menü den Hotspot-VPNTunnel aus.
S4. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Öffnen Sie zur Überprüfung der korrekten Verbindung des Satellitensystems die dazugehörige Hotspot-Administrationsoberfläche. Es wird eine eingeschränkte Schnittstelle angezeigt, die nur den Abschnitt Berichte enthält. Alle Verwaltungsaufgaben werden an den Master weitergeleitet.
Die Einrichtung ist nun abgeschlossen. Sowohl der Master als auch die Satellitensysteme arbeiten korrekt.
Externe Authentifizierung verwenden
Das Festlegen der Hotspot-Rolle als Master/eigenständiger Hotspot ermöglicht es, eine externe Quelle zum Zweck der Benutzerauthentifizierung zu verwenden und gleichzeitig die Kontenverwaltung, Protokollierung, Benutzerdatenbank und alle weiteren Einstellungen in der Panda GateDefender-Appliance zu belassen. Anders gesagt: Die Benutzerdaten werden lokal vom externen Server (RADIUS oder LDAP) kopiert, wodurch es möglich wird, die Anmeldeinformationen auf dem Remote-Server bereitzustellen und den Hotspot ohne Erstellen eines neuen Kontos zu verwenden.
Zur Verbindung des Hotspots mit dem Remote-Server und der Datenabfrage gibt es eine verfügbare Option:
Externe Authentifizierung verwenden Durch Aktivieren dieses Kontrollkästchens werden die zwei möglichen Modalitäten zur Authentifizierung zusammen mit allen benötigten Optionen zur Konfiguration angezeigt.
Servertyp Dieses Dropdown-Menü ermöglicht es, einen der zwei unterstützten Server auszuwählen (LDAP oder RADIUS). Änderungen an den Konfigurationsoptionen werden entsprechend angezeigt.
Hinweis
Die zusätzlich angezeigten Konfigurationsoptionen sind denen unter Menüleiste ‣ Proxy ‣ HTTP ‣ Authentifizierung sehr ähnlich.
Beispiel HS1 – Externe Authentifizierung mit LDAP:
Die Einstellungen für den LDAP-Server können wie folgt unter Verwendung des standardmäßigen Active Directory-Formats festgelegt werden. Hierbei gilt:
DC ist der Domänencontroller OU ist die Organisationseinheit, eine Gruppe von Objekten innerhalb des DC. CN ist der gemeinsame Name des Benutzers in der OU.
Zur Autorisierung der Hotspotnutzung für Benutzer in der Organisationseinheit
Mitarbeiter innerhalb der Domäne ACME des
LDAP-Servers, der sich auf ldap.beispiel.org befindet, werden die folgenden Einstellungen benötigt:
1.
LDAP Server: ldap://ldap.beispiel.com
2.
Bind DN Einstellungenou=MITARBEITER,dc=ACME
3.
Bind DN Benutzernamecn=admin,dc=ACME
4.
Bind DN Passwort – Remote-Passwort des Benutzeradministrators
5.
Benutzer Suchfilter (&(uid=%(u)s))
Für LDAP Server sind die folgenden Konfigurationsoptionen verfügbar (siehe das Beispiel auf der rechten Seite für weitere Details):
LDAP Server Die IP-Adresse oder der Hostname des LDAP-Servers im LDAP-Format.
Tipp
Falls nötig, kann der Port nach der URL spezifiziert werden, z. B.: ldap://192.168.0.20:389/. Der Standardport 389 kann problemlos weggelassen werden.
Bind DN Einstellungen Diese Einstellungen legen den definierten Namen des LDAP-Servers fest, d. h. den Knoten auf oberster Ebene der LDAPBaumstruktur.
Bind DN Benutzername Der für DN-Abfragen verwendete Benutzername. Es ist notwendig, die Anmeldeinformationen der Hotspotbenutzer abzurufen und zu authentifizieren.
Bind DN Passwort Das Passwort für den Benutzer, das in der vorherigen Option festgelegt wurde. Durch Aktiveren des Kontrollkästchens auf der rechten Seite werden die Zeichen angezeigt.
Benutzer Suchfilter Die zur Abfrage des Remote-LDAP-Servers zu verwendende Zeichenfolge.
LDAP Backup Server Die IP-Adresse oder der Hostname des LDAP-Fallback-Servers im LDAP-Format, die verwendet werden soll, wenn der primäre Server nicht erreichbar ist.
Standardtarif Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.
Für RADIUS Server stehen die folgenden Konfigurationsoptionen zur Verfügung:
RADIUS Server Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers Der Port, der vom RADIUS-Server abgehört wird.
Kennung Eine zusätzliche Kennung.
Shared Secret Das Passwort, das verwendet werden soll.
RADIUS Backup Server
Die IP-Adresse oder URL des RADIUS-Fallback-Servers, falls der primäre Server nicht erreichbar ist.
Standardtarif Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.
Administrationsschnittstelle
Die Menüleiste für Hotspot-Administration
Dieser Abschnitt beschreibt die Kernkomponenten des Hotspots und enthält Unterseiten, die erklären, wie Konten, Tickets und Tickettarife verwaltet, Berichte erstellt und die allgemeinen Einstellungen konfiguriert werden. Obwohl die Benutzeroberfläche dasselbe Design wie die anderen Module besitzt, enthält sie eine völlig neue Menüstruktur. Die Komplexität und die zahlreichen Konfigurationsoptionen erfordern die Anwendung eines anderen Layouts. Der Hotspot wird als unabhängiges Modul der Panda GateDefender-Appliance betrachtet. Daher wird die Standardmenüleiste, die bei allen anderen Hauptabschnitten der Panda GateDefender-Appliance gleich ist, durch eine neue, zweiteilige Leiste ersetzt (siehe obige Abbildung). Der obere Teil enthält das „eigentliche“ Menü und ändert sich für die verschiedenen Teile der Administrationsschnittstelle nicht. Der untere Teil ist ein Untermenü, das sich abhängig vom ausgewählten Abschnitt der Administrationsschnittstelle ändert.
Jeder der vier Hauptbereiche ermöglicht die Verwaltung einer Hotspot-Komponente:
Konten – Benutzerkonten erstellen, verwalten, importieren und exportieren
Tickets – Tickettarife definieren und Tickets erstellen
Berichte – Zugriff auf die verschiedenen Protokolle für Kontostände, Verbindungen und Transaktionen
Einstellungen – Erscheinungsbild der Webschnittstelle ändern, SmartConnect™ einrichten, API aktivieren und alle Funktionen konfigurieren.
Ganz rechts befindet sich stets der Link Hauptmenü, um zur ersten Übersicht und zur Menüleiste zurückzukehren.
Konten Dieser Abschnitt der Schnittstelle für die Hotspot-Administration enthält vier Einträge im Untermenü (Liste, Aus CSV-Datei importieren, Als CSV-Datei exportieren und Konto-Generator), die das Erstellen, Löschen und Verwalten der Clients des Hotspots gestatten.
Liste Diese Seite enthält standardmäßig eine Liste der verfügbaren Benutzerkonten mit einigen Informationen wie: Benutzernamen/MACAdresse, Name (der vollständige Benutzername), Aktiviert (der Status des Kontos), Erstellungsdatumund Gültig bis. Einige der Optionen dienen der Anpassung der Ansicht:
Sortiere nach Benutzer können nach jedem der oben genannten Felder sortiert werden, außer nach ihrem Status.
Umgekehrte Reihenfolge Die Liste wird in aufsteigender oder absteigender Reihenfolge sortiert.
Deaktivierte Konten ausblenden Deaktivierte Benutzer, d. h. Benutzer, die existieren, aber keinen Zugang zum Hotspot haben, werden von der Liste ausgeblendet.
Suche Das Suchen nach Konten ist ebenfalls möglich. Für große Ergebnismengen steht die Paginierungsfunktion zur Verfügung.
Hinweis
Benutzer, die in diesem Abschnitt aufgeführt werden, sind Benutzer des Hotspots und werden als Kunden angesehen, die auf das Internet zugreifen und darin surfen können. Es gibt jedoch zwei weitere Arten von Benutzern: Administratoren und Konto-Editoren, deren Fähigkeiten und Aufgaben im Abschnitt Hotspot-Nutzer beschrieben werden.
Für jedes Konto sind mehrere Aktionen verfügbar, die für jedes Konto rechts neben der folgenden Tabelle angezeigt werden:
Ticket bearbeiten/hinzufügen Ein Konto kann bearbeitet oder gelöscht werden, während ihm Tickets zugewiesen werden können.
Kontostand Zeigt das Guthaben des Kontos.
Verbindungen Zeigt detaillierte Informationen über das Konto.
Löschen Entfernt das Benutzerkonto vom Hotspot.
Drucken Druckt eine informative Nachricht mit den Zugangsdaten für dieses Konto.
Tipp
Nachrichten für MAC-basierte Konten können nicht gedruckt werden, da für sie kein Benutzername oder Kennwort definiert ist.
Das Anzeigen des Kontostands und der Verbindung zusammen mit der Option für deren Verwaltung werden im Abschnitt Berichte beschrieben. Die Kontoadministration (Benutzer- und Ticketverwaltung) wird im weiteren Verlauf dieses Abschnitts beschrieben.
Ein neues Konto kann auf zwei alternative Arten erstellt werden: Entweder durch Angabe eines Benutzernamens und Kennworts oder durch Angabe einer MAC-Adresse. Beide Aktionen können durch Klicken auf den entsprechenden Link über der Kontotabelle durchgeführt werden. Die Daten jedes Kontos werden in drei Typen unterteilt: Anmeldeinformationen, Kontoinformationen und Tickets. Die Anmeldeinformationen unterscheiden sich leicht hinsichtlich des Kontotyps. Die Kontoinformationen sind gleich. Letztlich können einem Konto Tickets zugewiesen werden. Dies hängt von den bereits definierten und im Hotspot verfügbaren Tickettypen ab. Eine Beschreibung der Tickets und Einstellungen finden Sie im Abschnitt Tickets.
Konto hinzufügen Die Erstellung eines neuen Kontos erfordert die Angabe eines Benutzernamens und Passworts, die den Benutzer identifizieren, der sich mit dem Hotspot verbindet. Zusätzliche Einstellungen können abweichend von den Standardwerten unter Einstellungen vorgenommen werden. Diese sind: Ablaufdatum („gültig bis“) zeigt an, ob das Konto aktiv ist, die Sprache und die Bandbreitenbegrenzung in kbit/s. Die Sprache kann aus denen gewählt werden, die unter Hotspot ‣ Administrationsschnittstelle ‣ Einstellungen ‣ Sprache aktiviert wurden.
MAC-basiertes Konto hinzufügen Der einzige Unterschied besteht darin, dass für diese Art von Konten der Benutzername und das Passwort nicht benötigt werden. Stattdessen wird die MAC-Adresse der Netzwerkschnittstelle eines Computers angegeben, die zur Identifizierung
eines Kontos verwendet wird. Die übrigen Einstellungen sind dieselben. MAC-basierten Adressen kann jedoch auch eine statische IP-Adresse zugewiesen werden.
Mit jedem Konto können die folgenden Daten verbunden werden:
Zugangsdaten
Dieses Feld enthält Informationen, die mit dem neu erstellten Konto verbunden und für den Zugriff und die Verwendung des Hotspots notwendig sind.
Benutzername Der mit dem Konto verbundene Benutzername. Wenn das Feld leer ist, wird ein zufälliger Benutzername generiert.
Passwort Das Passwort für das neue Konto kann durch das System automatisch generiert werden, indem dieses Feld leer gelassen wird. Das Passwort wird nur angezeigt, wenn die Nachricht mit den Hotspot-Anmeldeinformationen für den Benutzer ausgedruckt wird.
MAC Adresse Die MAC-Adresse dient der Identifizierung des Kontos. Diese ist nur für MAC-basierte Konten verfügbar.
Gültig bis Das Datum, an dem das Konto abläuft. Der Standardwert von einem Jahr (365 Tage) kann unter Einstellungen geändert werden. Geben Sie zum Ändern des Werts des aktuellen Kontos entweder das neue Datum im Format DD.MM.JJJJ an, oder klicken Sie auf die Schaltfläche ..., und wählen Sie das neue Datum aus dem Kalender aus.
Aktiv? Das Kontrollkästchen gibt an, ob das Konto aktiviert ist oder nicht. Wenn das Kontrollkästchen aktiviert ist, ist das Konto aktiviert.
Sprache Die Sprache, in der die Meldungen des Hotspots angezeigt werden. Sie kann aus den verfügbaren Sprachen in einem Dropdown-Menü ausgewählt werden.
Bandbreitenbegrenzung Die Bandbreitenbegrenzung sowohl für den Upload als auch für den Download in kbit/s. Ein leeres Feld steht für keine Begrenzung, d. h. dass der Benutzer die gesamte Bandbreite nutzen kann. Benutzerdefinierte Begrenzungen können durch Aktivierung der entsprechenden Kontrollkästchen aktiviert werden.
Statische IP Adresse Diese Option ist nur für MAC-basierte Konten verfügbar, die einer hier angegebenen statischen IP-Adresse zugewiesen werden.
Warnung
Beachten Sie, dass eine Änderung der bestehenden Anmeldeinformationen (wie dem Benutzernamen) die Erstellung eines neuen Kontos bewirkt.
Kontoinformationen
Dieses Feld enthält alle persönlichen Informationen, die mit dem Besitzer des Kontos verbunden sind.
Titel Die Anrede der Person (z. B. Frau, Dr.)
Vorname Der Vorname des Benutzers
Nachname Der Nachname des Benutzers
Straße Die Straße, in welcher der Benutzer lebt.
PLZ Die Postleitzahl des Wohnortes des Benutzers
Stadt Der Wohnort des Benutzers
Land Das Land, in dem der Benutzer lebt. Es kann aus dem Dropdown-Menü ausgewählt werden.
E-Mail Adresse Die E-Mail-Adresse, die mit dem Konto verbunden wird. E-Mail-Adressen können ohne Beschränkung im Konto-Editor geändert werden. Eine bereits in Gebrauch befindliche E-Mail-Adresse kann jedoch nicht verwendet werden, um ein SmartConnect™-Konto zu registrieren.
Telefonnummer Die mit dem Konto verbundene Telefonnummer. Die Landesvorwahl kann aus dem linken Dropdown-Menü ausgewählt werden. Die Telefonnummer muss in das rechte Textfeld eingetragen werden.
Geburtsdatum Der Geburtstag des Benutzers
Geburtsort Der Ort, in dem der Benutzer geboren wurde.
Dokumenttyp Der Dokumenttyp, der zur Identifizierung des Benutzers verwendet wurde. Im Dropdown-Menü stehen vier Dokumenttypen zur Verfügung: Geburtsurkunde, Personalausweis, Reisepass und Führerschein
Dokumentnummer Die Identifikationsnummer des Dokuments, das zur Identifizierung des Benutzers verwendet wurde. Beachten Sie, dass in einigen Ländern das Sammeln von Dokumenten obligatorisch für den Zugriff auf öffentliche Hotspots sein kann.
Dokument ausgestellt von Der Aussteller des Dokuments (z. B. Musterstadt)
Beschreibung Eine zusätzliche Beschreibung des Kontos
Tickets
In diesem Feld können die mit dem aktuellen Konto verbundenen Tickets angezeigt und verwaltet werden. Folgende Optionen werden angezeigt:
Neues Ticket Das Dropdown-Menü zeigt die verfügbaren Tickettarife und ob diese zeit- oder datenbasiert sind. Es ist nicht möglich, zeitund datenbasierte Tickets zu mischen. Daher kann einem Benutzer kein datenbasiertes Ticket zugewiesen werden, wenn ihm bereits ein oder mehrere zeitbasierte Tickets zugewiesen wurden (und umgekehrt).
Gültigkeit Sobald ein Ticket ausgewählt ist, wird diese Option angezeigt und die Ticketgültigkeit kann angepasst werden. Die verfügbaren Werte sind dieselben, wie bei der Erstellung der Tickettarife und überschreiben die Standardwerte (angezeigt im Textfeld und im Dropdown-Menü darunter).
Hinzufügen Sobald das Ticket ausgewählt wurde, kann es dem aktuellen Konto durch Klicken auf diese Schaltfläche zugewiesen werden.
Hinweis
Beim Bearbeiten eines bestehenden Kontos ist es auch möglich, eine Willkommensnachricht mit den Zugangsdaten zu drucken, indem Sie auf die SchaltflächeDrucken klicken. Hierbei handelt es sich um dieselbe Aktion, die über die Liste der Konten durchgeführt werden kann.
Am unteren Rand des Feldes zeigt eine kleine Tabelle alle Tickets, die mit dem Konto verbunden sind, zusammen mit einigen Informationen. Wenn ein Ticket noch gültig ist, kann es gelöscht werden. Ist es jedoch bereits abgelaufen, bleibt es dort, da es bereits in den Kontoeinträgen für dieses Konto gespeichert ist (siehe Berichte für weitere Informationen zu Kontostand und Kontoeinträgen).
Wenn die Panda GateDefender-Appliance bereits zyklische Tickets unterstützt (eingeführt mit Version 2.5-20130516) , wird nach der Auswahl eines zyklischen Tickets aus dem Dropdown-Menü anstelle des Dropdown-Menüs Gültigkeit ein kleines Formular mit folgenden Optionen angezeigt:
Startdatum Der Tag, an dem der erste Zyklus des Tickets startet. Wenn der Ticketzeitraum Monatlich ist, kann nur der erste Gültigkeitsmonat ausgewählt werden. Für Tickets mit monatlichem Zyklus ist der Start des Zeitraums der erste Tag des Monats, wobei das Ende der letzte Tag des Monats ist.
Enddatum Der Tag, an dem der erste Zyklus des Tickets endet. Wenn der Ticketzeitraum Monatlich ist, kann nur der letzte Gültigkeitsmonat ausgewählt werden.
Unterhalb dieser Optionen zeigt eine variable Meldung die Gesamtzahl der Ticketzyklen sowie den Preis pro Zyklus an und berechnet den Gesamtpreis des Tickets. Wie bei normalen Tickets pflegt eine Tabelle die Liste der mit dem Konto verbundenen zyklischen Tickets. Diese Tabelle wird aus Gründen der Übersichtlichkeit getrennt von der anderen Tabelle gehalten.
CSV Datei importieren Beim Importieren der Kontonamen aus einer CSV-Datei ist der Dateiname nicht wichtig (exportierte Dateien haben eigene Namen, siehe nächster Abschnitt), die Datei muss jedoch über ein festes Feldformat verfügen. Folgende Optionen stehen zur Verfügung:
Datei auswählen Klicken Sie auf diese Schaltfläche, um die CSV-Datei auszuwählen, die hochgeladen werden soll. Die Datei muss eine reine Textdatei sein, d. h. ZIP-Archive, GPG-verschlüsselte Dateien und Ähnliches werden nicht akzeptiert.
Separator Das Zeichen, das als Trennzeichen verwendet werden soll; normalerweise ein Komma (,) oder ein Semikolon (;). Wenn das Trennzeichen nicht angegeben wird, versucht die Panda GateDefender-Appliance, das korrekte Zeichen zu erraten.
Tipp
Die Panda GateDefender-Appliance nutzt Kommas, um Felder zu trennen.
Die erste Zeile des CSV-Dokuments beinhaltet die Titel der Felder Aktivieren Sie das Kontrollkästchen, um die Panda GateDefender-Appliance wissen zu lassen, dass die erste Zeile der CSVDatei die Spaltentitel enthält, um diese beim Importieren zu ignorieren.
Hinweis
Dateien, die von der Panda GateDefender-Appliance nicht als CSV-Datei erkannt werden, werden zurückgewiesen, wobei folgende Meldung angezeigt wird: Die angegebene Datei scheint nicht im CSV Format zu sein.
Konten importieren Klicken Sie auf diese Schaltfläche, um die CSV-Datei zu importieren.
Nachdem das Konto importiert wurde, wird die Seite durch eine neue ersetzt, die einige Spalten enthält (abhängig davon, wie viele Konten in der Datei gefunden wurden). Die erste Spalte enthält alle verfügbaren Felder, während die zweite Spalte alle die Felder enthält, die in der CSV-Datei erkannt wurden.
Tipp
Wenn in der ersten Spalte der Hintergrund der Beschriftungen rot und in der zweiten Spalte grün ist, wurden die Daten erfolgreich importiert.
Die verbleibenden Spalten zeigen den Inhalt der Datei und die Interpretationsart der Daten in der Datei an. Alle Felder, die nicht erkannt wurden, werden gelb dargestellt: Sie können mit den verfügbaren Feldern verbunden werden, indem die roten Beschriftungen von der linken Spalte auf die gelben Felder in der zweiten Spalte gezogen werden.
Hinweis
Die Daten in diesen Spalten können nicht geändert werden. Wenn es also ein Problem damit gibt, kehren Sie zur vorherigen Seite zurück, um den Importvorgang abzubrechen und die CSV-Datei zu ändern. Anschließend können Sie den Import erneut starten.
Unter der Tabelle werden folgende Optionen angezeigt:
Wollen sie sehen welche Konten importiert werden? Aktivieren Sie das Kontrollkästchen, bevor die neuen Konten importiert und gespeichert werden. Es wird eine zweigeteilte Zusammenfassung der Konten angezeigt: Die neuen Konten werden im oberen Bereich der Seite angezeigt. Im unteren Bereich stehen die zu aktualisierenden Konten.
Konten speichern
Durch Klicken auf diese Schaltfläche wird die Speicherung der Konten in der Panda GateDefender-Appliance gestartet. Dazu gehört der Importvorgang.
Tipp
Wenn das Kontrollkästchen oben aktiviert ist, klicken Sie erneut auf diese Schaltfläche, nachdem die Zusammenfassung anzeigt wurde, um den Importvorgang abzuschließen.
Warnung
Beachten Sie, dass durch eine Änderung der Zugangsdaten des Benutzers ein neues Konto erstellt wird. Dies trifft auch dann zu, wenn Konten importiert werden, die sich nur geringfügig von den Zugangsdaten der bestehenden Konten unterscheiden. Prüfen Sie die Konten vor dem Import also, um potentielle Probleme zu vermeiden.
Als CSV-Datei exportieren Eine Liste aller vorhandenen Konten kann im CSV-Format exportiert und gespeichert werden. Beim Exportieren der Liste werden die angezeigten Felder in der exportierten Datei fixiert, sodass es nur möglich ist, die Datei zu öffnen (anzuzeigen) oder zu entscheiden, in welchem Verzeichnis sie gespeichert werden soll. Der Einfachheit halber wird der Dateiname als accounts_JJJJJMMDD_HHMM gespeichert, wobei JJJJMMTT das Jahr, den Monat und den Tag darstellt und HHMM die Stunde und Minuten, zu denen die Liste exportiert wurde. Diese Auswahl erlaubt es, die exportierten Dateien in lexikografischer Reihenfolge in dem Verzeichnis aufzulisten, in dem sie gespeichert sind. Die Dateinamen können jedoch beliebig geändert werden. Die exportierten Dateien können als Sicherung verwendet und später importiert werden.
Warnung
Beachten Sie, dass die exportierte Liste auch die Passwörter der Benutzer als Nur-Text enthält. Bewahren Sie die Liste daher an einem sicheren Ort auf.
Account Generator Die Verwendung des Account Generator kann besonders dann hilfreich sein, wenn es notwendig ist, eine Vielzahl neuer Konten mit einem bereits zugewiesenen Standardticket zu erstellen. Diese können dann beispielsweise einer Gruppe von Benutzern zugewiesen werden. Denken Sie beispielsweise an die Registrierungsphase am Anfang von Veranstaltungen, wie z. B. Konferenzen bzw. Tagungen, bei denen große Gruppen von Menschen auf den Hotspot zugreifen und ihre Zugangsdaten binnen kürzester Zeit erhalten müssen. Der Account Generator gestattet es, eine bestimmte Anzahl von Konten gleichzeitig zu erstellen, indem nur einige allgemeine Informationen angegeben werden müssen, die in drei Bereiche unterteilt sind: Benutzername, Passwort und Einstellungen (unten beschrieben). Diese Seite ist in vier Felder unterteilt: Die ersten drei Felder stellen den Account Generator dar, während das vierte Feld eine Liste der erzeugten Massenkonten enthält. Diese werden nach der Erstellung im unteren Bereich der Seite angezeigt.
Beispiel HS2 – Erstellung von mehreren Konten:
Dieses Beispiel zeigt die Unterschiede zwischen dem sequenziellen und zufälligen Generator, wobei 5 Konten mit den gleichen allgemeinen Einstellungen erstellt werden:
Präfix des Benutzernamens: user (4 Zeichen)
Länge des Benutzernamens: 8 Zeichen (also müssen 4 weitere Zeichen hinzugefügt werden)
Passwortlänge: 8 Zeichen
Zeichensätze: alle
Verwenden des sequenziellen Benutzernamengenerators, wobei die Option Sequenzstart auf resultierende Ausgabe (Benutzername / Passwort) lautet wie folgt:
10
eingestellt ist: Die daraus
user0010 / hLFE.+6C user0011 / u_4w3.N_ user0012 / h7R7p7sK user0013 / p6lGRc3T user0014 / KqUDmWiI
Da weitere Zeichen benötigt werden, um die Länge von 8 Zeichen für den Benutzernamen zu erreichen, werden mehrere
Nullen
zwischen das Präfix und die Sequenz eingefügt.
Verwenden des zufälligen Benutzernamengenerators, wobei alle Zeichensätze außer Extra akzeptiert werden. Die daraus resultierende Ausgabe (Benutzername / Passwort) lautet in etwa wie folgt:
userLI4u / p0Dch_fA userWNDS / Qhbovfb7 userrq7K / dQTlmA-u userSYE0 / BuWHuKfZ userAHEQ / -Gx1yMta Benutzername
Es gibt zwei verschiedene Arten von Benutzernamengeneratoren: Sequentiell und Zufällig, die über zwei gemeinsame Optionen verfügen:
Präfix Der erste Teil des Benutzernamens; für alle Massenkonten gleich. Ein leeres Präfixfeld wird ebenfalls akzeptiert.
Länge Die Gesamtlänge des Benutzernamens.
Der Benutzername muss länger als das Präfix sein, anderenfalls wird eine Fehlermeldung angezeigt.
Die Benutzernamen werden für die beiden Generatoren unterschiedlich vervollständigt. Für jeden Generator wird eine eigene Option angezeigt. Beim sequenziellen Generator werden aufsteigende Ziffern verwendet, die durch die folgende Option definiert werden:
Sequenzanfang Die Ziffer oder Zahl, mit der die Sequenz startet.
Tipp
Wenn neben dem Präfix und der Sequenz mehr Zeichen erforderlich sind, um die erforderliche Länge zu erreichen, werden
Nullen hinzugefügt (siehe Beispiel HS2).
Im Fall des zufälligen Generators werden Zeichen verwendet, die durch verschiedene, ausgewählte Zeichensätze definiert werden:
* Großbuchstaben (A–Z) * Kleinbuchstaben (a–z) * Ziffern (0–9) * Sonderzeichen (._-+) Passwort
Die Länge des Passworts und die verwendeten Zeichensätze zur Erstellung der zufälligen Passwörter können hier definiert werden. Die Sicherheit des Passworts wird von seiner Länge und der Anzahl der folgenden vier Zeichensätze bestimmt: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Als Faustregel gilt: Eine Länge von 8 Zeichen, wobei alle Zeichensätze verwendet werden, erzeugt 48-BitPasswörter, die für die meisten Anwendungen ausreichend sind.
Einstellungen
Zusätzliche Optionen für die generierten Konten: Die Anzahl der zu generierenden Konten, ob diese sofort aktiviert werden, ob ihnen ein Standardticket zugewiesen ist, und letztlich wie viele Tage die Konten bestehen sollen.
Klicken Sie zum Erstellen von Benutzern mit den angegebenen Einstellungen auf die Schaltfläche Konten erstellen: Ein Beispiel für die ersten fünf Benutzername-Passwort-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen erstellt. Sie können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.
Nach der ersten Erstellung von Massenkonten wird die Seite mit einer Bestätigungsmeldung neu geladen, und unter dem KontoGenerator wird eine neue Tabelle angezeigt, die Informationen über die erstellten Konten enthält. Die Tabelle enthält folgende Spalten:
Datum Das Datum, an dem die Konten erstellt wurden.
Generierte Benutzer Die Anzahl der erstellten Benutzer
Aktionen Für jede Massenerstellung stehen drei Aktionen zur Verfügung:
Einstellungen laden, um die Einstellungen für die Erstellung dieser Konten zu laden und sie bei einer neuen Massenerstellung erneut zu verwenden.
Benutzer löschen, um alle in dieser Erstellung erstellten Benutzer zu löschen. Diese Aktion löscht nur Benutzer, die noch nicht verbunden sind oder kein verbleibendes Guthaben besitzen. Mit anderen Worten: Benutzer, die bereits mit dem Hotspot verbunden sind oder Guthaben besitzen, werden nicht gelöscht.
Als CSV exportieren, um die Benutzername-Passwort-Kombination im CSV-Format zu exportieren. Dies ist nützlich, um die Daten auf Prepaid-Karten zu drucken.
Tickets In diesem Bereich können alle Ticketoptionen verwaltet werden: welcher Typ der Tickets verfügbar ist, ob sie zeit- oder datenbasiert sind, ihr Tarif, d. h. wie viel der Benutzer pro Zeit- oder Dateneinheit zahlt, und die Erstellung von erweiterbaren Tickets. Die Optionen sind in drei Kategorien gruppiert, die im Untermenü Tickets aufgeführt sind: Tarife, Quick-Ticket und Ticket-Generator.
Neuerungen in Version 2.5-20130516:Zyklische Tickets
Tarife Die Panda GateDefender-Appliance bietet die Möglichkeit, mehrere Tickettarife auf der Seite Tarife hinzufügen festzulegen, indem Sie verschiedene Zahlungsarten (Postpaid oder Prepaid) und Messarten (datenbasiert oder zeitbasiert) aus dem jeweiligen Dropdown-Menü auswählen. Abhängig von der gewählten Kombination kann der Preis pro genutzter Einheit oder für das gesamte Ticket eingestellt werden. Insbesondere bei der Zahlung im Voraus kann der Preis pro Stunde (zeitbasiert) oder pro 10 MB (datenbasiert) definiert werden. Die Zahlung im Nachhinein erlaubt dagegen die Definition eines präzisieren Preises und sogar der Einheit. In diesem Fall können sogar der Zeitraum (in Minuten, Stunden oder Tagen) oder Verkehr (in MB oder GB) sowie entweder der Ticketpreis oder der Einheitenpreis bereitgestellt werden.
Hinweis
Wenn Sie den Ticketpreis eingeben, wird der Einheitenpreis automatisch berechnet und umgekehrt. Dies ist hilfreich, um unterschiedliche Typen von Tickets mit Vorauszahlung anzubieten und beispielsweise zu prüfen, ob die Kosten für vier im Voraus bezahlte Tickets mit 15-minütiger Dauer höher sind als für ein im Voraus bezahltes Ticket mit einer Dauer von einer Stunde.
Zyklische Tickets
Neuerungen in Version 2.5-20130516:
Zyklische Tickets sind ein neuer Tickettyp, der Hotspot-Benutzern angeboten werden kann. Der Grundgedanke der Einführung ist es, einem Benutzer eine konstante Datenmenge in einem Zeitraum (Zyklus) zuzuweisen, der beliebig oft wiederholt werden kann (Zyklusdauer). Jedem Benutzer kann jeweils ein zyklisches Ticket zugewiesen werden.
Ein zyklisches Ticket besteht aus drei Teilen:
1. 2.
ein Tarif, der die Kosten pro Zeit oder MB des Datenverkehrs darstellt (genau wie bei anderen Tarifen); eine Zyklusdauer, bei der es sich um die Dauer von einem Tag, einer Woche, einem Monat oder einem Jahr handelt, während dem/der der Verkehr verbraucht werden muss;
3.
Die Anzahl von Zyklen, die anzeigt, wie oft hintereinander das Ticket verwendet werden kann. Diese Anzahl wird vom Hotspot-Administrator bestimmt und ist standardmäßig auf 1 eingestellt.
Obwohl alle Tickettypen jederzeit erworben und sofort verwendet werden können, gibt es eine Ausnahme: Zyklische Tickets, deren Zyklusdauer auf Monatlich eingestellt ist, starten den Zyklus immer am ersten Tag des Monats und laufen am letztem Tag des Monats ab. Nehmen wir ein monatliches zyklisches Ticket, das am 20. Juni gekauft wurde. Obwohl es möglich ist, es sofort zu nutzen, endet der erste Zyklus am 30. Juni. Es wird daher empfohlen, die Gültigkeit dieses Tickets am 1. Juli zu beginnen, damit der erste Zyklus am 31. Juli endet.
Zyklische Tickets können nur im Voraus bezahlt werden, d. h. sie müssen im Voraus gekauft werden. Übriggebliebene Datenmengen innerhalb eines Zyklus werden nicht dem nächsten Zyklus hinzugefügt, d. h. die Daten müssen vor Ende des Zyklus aufgebraucht werden, ansonsten gehen sie verloren. Zyklische Tarife können nicht für Quick-Tickets, SmartConnect-Tickets, den Ticket-Generator oder den Konto-Generator verwendet werden: Sie müssen explizit einem vorhandenen Benutzer oder während der Erstellung eines neuen Benutzers zugewiesen werden.
Die angebotenen Tickets können auch für SmartConnect™-Transaktionen verfügbar gemacht werden (siehe unten).
Die verfügbaren Tickettypen werden angezeigt, wenn in einer Tabelle mit mehreren Spalten die Seite Ticket geöffnet wird. Die Spalten entsprechen den Optionen, die auf der Seite Tarife hinzufügen definiert werden können. Die Tupel können nach Tarifname, Zahlungsart oder Messmethode sortiert werden. Die Sortierkriterien können umgekehrt werden, wenn das Kontrollkästchen Umgekehrte Reihenfolge aktiviert wird. Um nach einem bestimmten Tarifnamen zu suchen oder die Namen zu filtern, füllen Sie das Eingabefeld über der Tabelle mit mindestens einem Zeichen aus, und drücken Sie die Informationen:
Tarifname Der Name des Tickettarifs
Eingabetaste.
Die Spalten der Tabelle enthalten die folgenden
Ticket Code Der ASA-Code für den Tickettarif. Obwohl dies nur für das ASA-Hotelverwaltungssystem verwendet wurde, muss dieses Feld ausgefüllt werden. Falls kein ASA-Verwaltungssystem vorhanden ist, müssen Sie ein beliebiges Zeichen oder eine beliebige Zeichenfolge eintragen.
Tipp
Wenn Sie ASA nicht verwenden, nutzen Sie für den Tarifnamen und den ASA-Tarif-Code die gleiche Zeichenfolge.
SmartConnect?
Diese Spalte gibt an, ob dieser Tarif für SmartConnect™-Transaktionen verfügbar ist. In diesem Fall wird ein angezeigt. Ist dies nicht der Fall wird ein
-Symbol
-Symbol angezeigt. Durch Klicken auf das Symbol wird der Status des Tarifs
umgeschaltet.
Quick-Ticket? Ähnlich der vorhergehenden Option zeigt diese, ob dieser Tarif für die Erstellung neuer Schnelltickets verwendet werden kann. In diesem Fall wird das Symbol
in der Liste angezeigt. Anderenfalls ist das Symbol
zu sehen. Durch Klicken auf das Symbol
wird der Status des Tarifs umgeschaltet.
Neuerungen in Version 2.5-20130516:
Zahlung Diese Spalte wird angezeigt, wenn der Tarif eine Zahlung im Voraus oder im Nachhinein erfordert.
Messmethode In dieser Spalte wird angezeigt, ob der Tarif eine zeit- oder datenbasierte Messmethode verwendet.
Zyklus Die Länge des einzelnen Zyklus des Tickets
Summe Dies ist die Menge an verfügbarer Zeit oder verfügbarem Datenverkehr, wenn ein einzelnes Ticket mit diesem Tarif erstellt wird. Im Tarif-Editor wird diese Option direkt unterhalb der Messmethode angezeigt. Im Dropdown-Menü können Sie zwischen zeitbasierten und datenbasierten Tickets wählen. Für erstere Option kann die Anzahl der Minuten, Stunden oder Tage der Gültigkeit ausgewählt werden, für die letztere kann zwischen Megabytes (MB) oder Gigabytes (GB) entschieden werden.
Preis Dies zeigt den stündlichen Preis oder den Preis pro 10 MB sowie den Ticketpreis für diesen Tarif an. Im Tarif-Editor werden zwei Textfelder angezeigt. Diese rechnen den Einheitenpreis (10 MB oder eine Stunde) schnell in den Ticketpreis um, wodurch sich der durchschnittliche Einheitenpreis der definierten Tarife gut steuern lässt.
Aktionen Wählen Sie, ob Sie den Tickettarif bearbeiten oder löschen möchten.
Wenn für Tariftyp die Option Zyklisch ausgewählt wurde, ändern sich die Tarife leicht, und die folgenden Konfigurationsoptionen werden anstelle des Preises angezeigt:
Dauer des Zyklus Die Dauer eines Zyklus des Tarifs. Zur Auswahl stehen: ein Tag, eine Woche, ein Monat oder ein Jahr.
Preis pro Zyklus Die Kosten für den Zyklus.
Standardanzahl an Zyklen Die Standardanzahl an Zyklen für die Gültigkeit des Tickets. Falls nicht angegeben, wird der Wert 1 angewendet.
Beispiele zum Gesamtpreis Sobald der Preis pro Zyklus eingegeben wurde, berechnet diese Tabelle den Gesamtpreis des zyklischen Tickets für einige relevante Zykluslängen (z. B. 7 oder 14 Tage, 3 und 6 Monate usw.).
Im Tarif-Editor kann eine zusätzliche Einstellung für das Ticket angegeben werden:
Gültigkeit Diese Option definiert die Ablaufdaten für die einzelnen Tickets dieses Typs und wird nur im Tarif-Editor angezeigt. Wählen Sie einen der vier möglichen Werte aus dem Dropdown-Menü aus:
Immer steht für eine unbegrenzte Gültigkeit; Ab Ticketerstellung ermöglicht die Festlegung der Länge der Gültigkeit des Tickets; gemessen wird in Minuten, Stunden, Tage, Wochen oder Monaten ab der Erstellung.
Ab erster Ticketverwendung, wie bei der vorherigen Option, wobei die Gültigkeit beginnt, wenn das Ticket zum ersten Mal für den Zugriff auf den Hotspot verwendet wird.
Bis zum Ende des Tages, d. h. dass das Ticket am aktuellen Tag verwendet werden muss.
Diese Werte werden die Standardeinstellungen für die neue, zu erstellenden Tickets sein. Sie können auf Benutzerbasis überschrieben werden, wenn sie einem Benutzer unter Konten ‣ Liste ‣ Ticket bearbeiten/hinzufügen ‣ Ticket hinzufügen zugeordnet werden.
Warnung
Nachdem ein Tickettarif gespeichert wurde, können nur der Tarifname, der Tarif-Code oder die Verfügbarkeit von SmartConnect™Transaktionen geändert werden. Tatsächlich würde eine Änderung zu inkonsistenten Kontoinformationen führen. Um also einen Tarifpreis zu ändern, benennen Sie den bestehenden Tarif um und erstellen Sie einen neuen Tarif mit dem ursprünglichen Namen. Nehmen wir z. B. an, es gibt einen Tarif mit dem Namen Stündlich, dessen Kosten geändert werden sollen. Benennen Sie zunächst den Tarif in beispielsweise ALT-Stündlich um und erstellen Sie anschließend einen neuen Tarif mit dem ursprünglichen Namen „Stündlich“.
Quick-Ticket Diese Seite wird zur Erstellung eines neuen, einzelnen Benutzerkontos verwendet, dessen Benutzername und Passwort automatisch generiert werden. Geben Sie dazu den Vor- und Nachnamen des Benutzers an, und klicken Sie auf den gewünschten Tarif.
Tipp
Für Quick-Tickets sind nur SmartConnect™-Tarife verfügbar.
Durch Klicken auf die Schaltfläche „Tarif“ werden Benutzername, Kennwort und Tarif auf dem Bildschirm angezeigt: An dieser Stelle kann die Sprache für den Benutzer ausgewählt werden. Diese Kontoinformationen können ausgedruckt werden, indem Sie auf die Schaltfläche Informationen drucken klicken. Das neue Konto erbt alle Standardeinstellungen, die unter Hotspot ‣ Einstellungen definiert wurden und auf der Seite Konten angezeigt werden. Es handelt sich um ein normales Konto, auf dem alle Aktionen durchgeführt werden können.
Ticket-Generator Mit dem Ticket-Generator ist es möglich, eine bestimmte Anzahl von Tickets zu erstellen, die gemeinsamen Einstellungen, einschließlich eines vordefinierten Tickettarifs, teilen. Diese Option ist hilfreich, wenn Sie eine Vielzahl von Ticket-Codes mit Vorauszahlung für Kunden erstellen müssen, die diese direkt für SmartConnect™ verwenden, um auf den Hotspot zuzugreifen, oder sie als Demo oder Test-Codes verwenden. Zur Verwendung eines Tickets muss der Benutzer registriert sein. Wenn der Benutzer nicht registriert ist, muss er ein neues Konto erstellen; ein Vorgang, der sich ganz einfach vom Kunden selbst, ohne die Notwendigkeit der Interaktion des Administrators, durchführen lässt.
Die Seite „Ticket-Generator“ ist in zwei Bereiche unterteilt: Im oberen Bereich können die Eingabefelder zum schnellen Erstellen von Tickets ausgefüllt werden, während der untere Bereich eine Tabelle mit den bereits erstellten Massentickets enthält. Nachdem mindestens einige Massentickets erstellt wurden, wird der Link Erstellte Tickets anzeigen zwischen den beiden Bereichen angezeigt, über den Sie alle verfügbaren Tickets anzeigen können (siehe unten).
Im Generator gibt zwei verfügbare Optionsgruppen, um neue Tickets zu erstellen:
Ticket Code Definieren Sie den Präfixtext (Zeichenfolge) für das Erstellen von Massentickets, die Länge des Ticketnamens und die Zeichensätze für die Erstellung der zufälligen Tickets.
Einstellungen Die Anzahl der zu erstellenden Tickets und der Tarif, der den bereits unter Tarife aufgeführten Tickets zugewiesen werden soll.
Klicken Sie zur Erstellung der Massentickets mit den angegebenen Einstellungen auf die Schaltfläche Tickets erstellen: Ein Beispiel für die ersten fünf Ticket-Code-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen erstellt. Sie können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.
Unter den Einstellungen des Ticket-Generators sind alle vorher generierten Tickets in einer Tabelle mit folgenden Spalten aufgelistet:
Datum Das Datum und die Uhrzeit, an dem die Tickets generiert wurden.
Generierte Tickets Die Anzahl der bereits generierten Tickets
Aktionen Für jede Massenerstellung stehen drei Aktionen zur Verfügung:
Nutzen Sie Option Einstellungen laden, um die Einstellungen zu laden, die für die Ticketerstellung genutzt wurden, und um diese für eine neue Massenerstellung wiederzuverwenden.
Nutzen Sie Option Tickets löschen, um alle Tickets dieser Erstellung zu entfernen. Dieser Vorgang löscht nur Tickets, die noch nicht verbraucht wurden.
Nutzen Sie die Option Als CSV exportieren, um die Liste der Ticketkombinationen im CSV-Format zu exportieren.
Klicken Sie auf den Link Erstellte Tickets anzeigen, um eine Seite mit einer Tabelle aller generierten Tickets anzuzeigen. Diese können (auch in umgekehrter Reihenfolge) nach Ticket-Code oder Erstellungsdatum sortiert werden, wobei ungenutzte oder abgelaufene Tickets ausgeblendet werden können. Bestimmte Codes können auch über das Eingabeformular neben der Bezeichnung Code: gesucht werden.
Die Tabelle zeigt den Ticket-Code, welcher Benutzer gegebenenfalls ein Ticket verwendet hat oder einem Ticket zugewiesen wurde, gegebenenfalls den Tickettarif, das Erstellungsdatum des Tickets und einen optionalen Link, um entweder einen unbenutzten Ticket-
Code zu löschen oder einen gerade in Gebrauch befindlichen Ticket-Code ablaufen zu lassen. Wenn die Tabelle eine große Anzahl an Tickets enthält, kann ein Zeilenumbruch durchgeführt werden, um die Liste zu teilen.
Berichte Der Abschnitt „Berichte“ enthält verschiedene Informationen und Statistiken zu Aktivitäten, Benutzern, Tickets, Datenverkehr, Verbindungen und Kontoinformationen, die mit diesem Hotspot verbunden sind. In diesem Abschnitt sind einige Aktionen verfügbar, die eine detaillierte Ansicht der Nutzerstatistiken, Verbindungen und Verwendung des Hotspots bereitstellen.
Hinweis
Bei Satellitenhotspots ist Berichte der einzige verfügbare Menüeintrag auf der gesamten Hotspot-Administrationsoberfläche.
Verbindungen Die Standardansicht beim Öffnen der Seite Berichte enthält eine Tabelle, die alle momentan aktiven Verbindungen zum Hotspot anzeigt, einschließlich solcher auf Satelliten, falls vorhanden. Für jede Verbindung werden die folgenden Informationen angezeigt:
Satellit Der Name (d. h. der Name des OpenVPN-Kontos) des Remote-Hotspot-Satellitensystems, falls diese Panda GateDefenderAppliance der Master in einer Master/Satellit-Konfiguration ist, und der Benutzer mit einem Satelliten verbunden ist (weitere Informationen dazu finden Sie im Abschnitt Rollen auf einem Hotspot).
Benutzername Benutzername des verbundenen Kontos.
Beschreibung Beschreibung des verbundenen Kontos.
Authentifiziert Zeigt an, ob die Verbindung authentifiziert ist oder nicht.
Dauer Dauer seit Herstellung der Verbindung.
Inaktivität Die Zeit, seit der kein Datenverkehr zwischen dem Konto und dem Hotspot stattgefunden hat.
IP Adresse Die IP-Adresse des Clients, der mit dem Hotspot verbunden sind.
MAC Adresse Die MAC-Adresse der verbundenen Schnittstelle des Clients.
Aktion Jede aktive Verbindung kann geschlossen werden, indem Sie in dieser Spalte auf den Link Abmelden klicken.
Kontostand
Diese Seite enthält eine Liste der Konten mit Informationen über die Verbindungen, gefolgt von einer globalen Zusammenfassung im unteren Bereich der Seite. Es stehen zwei alternative Möglichkeiten zum Anzeigen von Kontoständen der Benutzer zur Auswahl: Zeitraumfilter und Kontoelemente, wobei die erste Möglichkeit die Standardansicht ist. Auf diese kann gemeinsam durch Klicken auf den verfügbaren Link am rechten Rand der Seite zugegriffen werden. Die tatsächlich angezeigten Daten in diesen beiden Ansichten sind unterschiedlich, stellen aber in etwa dieselben Informationen bereit:
Benutzername Der Benutzername und die MAC-Adresse des Kontos. Beim Klicken auf den Benutzernamen wird die Seite „Kontostand“ des Benutzers geöffnet (siehe unten).
Gebuchter Betrag Der von diesem Konto verwendete Betrag.
Bezahlt Der durch den Benutzer bereits bezahlte Betrag.
Dauer Die Dauer, für die der Benutzer mit dem Hotspot verbunden ist.
Datenmenge Der von diesem Konto generierte Datenverkehr.
Im oberen Bereich der Tabelle können ein Start- und Enddatum in die Felder Von und Bis eingetragen werden: Durch Klicken auf die rechte Schaltfläche Filter wird die Seite neu mit Statistiken geladen, die auf den Zeitraum zwischen diesen beiden Daten beschränkt sind. Klicken Sie zur Anzeige eines Kalenders für die leichtere Suche nach einem Datum rechts neben dem Textfeld auf die Schaltfläche .... Seitenumbrüche sind verfügbar, um lange Listen aufzuteilen.
Tipp
Das Datumsformat ist TT.MM.JJJJ, also z. B. 03.06.2013 (3. Juni 2013).
Die alternative Ansicht Posten zeigt dieselben, zuvor erwähnten Daten mit einer zusätzlichen Spalte an:
Ausständiger Betrag Der Betrag, der noch nicht von diesem Konto bezahlt wurde.
In jeder der beiden Ansichten wird durch Klicken auf den Benutzernamen oder die MAC-Adresse die Seite „Kontostand“ für das jeweilige Konto geöffnet, die detaillierte Statistiken über die Benutzertickets und Abrechnung anzeigt, gruppiert in vier Bereiche. Beachten Sie, dass Sie diese Seite auch über Konten ‣ [ Benutzerliste ] ‣ [ Aktionen ] ‣ Kontostand erreichen.
Benutzerinformationen
Alle Anmeldeinformationen des Benutzers, beispielsweise Name, Benutzername, Geburtsort und -datum, ID des Dokuments, und die Gruppe, die das Dokument erstellt.
Kontostand
Detaillierte Informationen zum Kontostand mit allen zeitbasierten Statistiken, gefolgt von allen Statistiken, die auf dem Datenverkehr basieren. In beiden Fällen werden die gesamten vor- und nachbezahlten Tickets und die gesamte verbrauchte und verfügbare Zeit oder der entsprechende Datenverkehr angezeigt.
Postpaid Bezahlung
In dieser Spalte zeigen zwei Felder den Betrag an, den der Benutzer bereits bezahlt hat, und den er oder sie noch bezahlen muss (angezeigt in der Währung, die auf der Seite Einstellungen konfiguriert wurde). Das untere Feld ist grün unterlegt, falls alles bereits bezahlt wurde, ansonsten ist es rot. Dem Benutzer kann Guthaben hinzugefügt werden (entweder, um Schulden zu begleichen, oder für Erwerb von weiterem Datenverkehr), indem ein beliebiger Betrag in das Feld unter den beiden Feldern eingegeben und anschließend auf Guthaben hinzufügen geklickt wird.
Buchungen
Diese Tabelle am unteren Ende der Seite enthält eine Liste aller Tickets, die mit dem Benutzer verbunden sind. Für jedes Ticket wird eine Reihe von Informationen angezeigt:
Ticket Name Der Name des Tickettarifs.
Summe Das Guthaben (grüner Hintergrund) oder die Schulden (roter Hintergrund) dieses Kontos.
Jedes zyklische Ticket, das vom Benutzer erworben wurde, wird in dieser Spalte mehrfach angezeigt: Zunächst sobald das Ticket mit dem Namen Zyklisch [Name] erstellt wurde; und anschließend wird am Beginn jedes Zyklus ein neues Ticket [Name] mit einem Betrag von 0,00 EUR (oder in der Währung, die auf dem Hotspot verwendet wird) den Kontoeinträgen hinzugefügt.
Datum / Uhrzeit Der Zeitstempel bei Erstellung des Tickets.
Dauer Die Dauer der Ticketnutzung
Datenmenge Der von diesem Ticket verbrauchte Datenverkehr
Bearbeitet Ob das Ticket benutzt wurde.
Versuche Diese Option wird von der ASA-Schnittstelle verwendet und zeigt, wie oft das System versucht hat, diese Einträge zu verbuchen.
Meldung Eine benutzerdefinierte Nachricht.
Für jeden Eintrag eines zyklischen Tickets enthält die Nachricht die folgenden Informationen:
ID des Zeitraums: Eine aufsteigende Nummer, die das Ticket eindeutig identifiziert. Zyklus und Nummer an Zyklen beziehen sich auf das Ticket, den Zeitraum des Tickets und die Anzahl erworbener Zyklen. Startdatum und Enddatum zeigen den ersten und letzten Tag der Gültigkeit des Tickets an.
Nachdem Sie über den Benutzerinformationen die Felder Startdatum und Enddatum ausgefüllt haben (oder auf die Schaltfläche ... klicken, um einen Pop-up-Kalender zu öffnen), und auf die Schaltfläche Filter klicken, werden nur Statistiken innerhalb dieses Zeitraums angezeigt.
Die momentan angezeigten Statistiken können durch Klicken auf die Schaltfläche >>> Drucken gedruckt werden.
Verbindungsprotokolle Diese Seite enthält eine Tabelle mit mehreren Informationen zu den aktuellen und früheren Verbindungen. Die Elemente können (umgekehrt) nach jeder Spalte angeordnet und sogar gefiltert werden, um nur die Verbindungen zwischen zwei Daten anzuzeigen. Die angezeigten Informationen sind:
Benutzername Der Benutzername, der die Verbindung herstellt.
IP Adresse Die IP-Adresse des verbundenen Clients.
MAC Adresse Die MAC-Adresse der verbundenen Client-Schnittstelle.
Verbindungsbeginn Die Startzeit der Verbindung.
Verbindungsende Der Zeitpunkt des Verbindungsendes.
Download Die Datenmenge, die bereits während dieser Verbindung heruntergeladen wurde.
Hochladen Die Datenmenge, die bereits während dieser Verbindung hochgeladen wurde.
Dauer Die Dauer der Verbindung.
Verbindungsprotokolle als CSV-Datei exportieren Die Verbindungsprotokolle, die detaillierte, relevante Informationen enthalten, können heruntergeladen und im CSV-Format gespeichert werden, indem Sie im Untermenü auf den Link Verbindungsprotokolle als CSV-Datei exportieren klicken. Der standardmäßige Dateiname für die Protokolldatei ist hotspot-JJJJMMTT-FULL.csv, wobei JJJJMMTT das Datum der Erstellung der Datei ist. FULL bedeutet, dass die Datei Details zu allen Verbindungen enthält.
Warnung
Beachten Sie, dass die Liste auch die Kennwörter der Benutzer als Nur-Text enthält. Bewahren Sie diese also an einem sicheren Ort auf.
SmartConnect-Transaktionen Auf dieser Seite wird die Liste aller SmartConnect™-Verbindungen und -Transaktionen angezeigt. Diese können (umgekehrt) angeordnet werden, entweder nach Transaktions-ID oder nach dem Zeitpunkt der Bestellung. Bestimmte Transaktionen können gesucht werden, indem etwas in das Eingabefeld neben Suchen: eingegeben wird. Die Informationen in der Tabelle sind:
Transaktions-ID Die Zeichenfolge der Transaktionsidentifizierung, nützlich für die Verwaltung oder im Fall von Problemen mit der Registrierung von Clients und Tickets. Alle Transaktionen können hier gesucht werden.
Uhrzeit des Auftrags Das Datum und die Uhrzeit der Transaktion.
Zahlung Der Status der Zahlung, ob sie erfolgreich abgeschlossen wurde, oder nicht (kostenlose Tickets werden immer als Abgeschlossen angezeigt).
Benutzer Der Benutzername des erstellten Kontos. Dies ist eine Telefonnummer im Fall von SMS-basierten SmartConnect™Transaktionen.
Telefonnummer Die bei der Kontoerstellung angegebene Telefonnummer.
SMS Die SMS mit den Anmeldeinformationen des Kontos werden über einen Hotspot mit der Panda Perimetral Management Console versendet. Falls aus irgendeinem Grund die Nachricht nicht an den Client versendet wurde, oder dieser sie nicht erhalten hat, zeigt dieses Feld Fehlgeschlagen an. Ansonsten zeigt es Erfolg an.
SMS Uhrzeit Datum und Zeitpunkt, zu dem die SMS verarbeitet wurde.
Name Der bei der Kontoerstellung angegebene Name.
Info Die bei der Kontoerstellung angegebene Adresse, Postleitzahl und die Landesinformation.
Für Tabellen mit vielen Einträgen steht die Funktion Paginierung zur Verfügung.
Siehe auch
SmartConnect Hotspot ‣ Einstellungen ‣ SmartConnect
Einstellungen In diesem Abschnitt werden die Arten aller verfügbaren Optionen, um den Hotspot zu konfigurieren, in vier Gruppen angezeigt: Haupteinstellungen, SmartConnect™, API und Sprache.
Haupteinstellungen
Diese Seite enthält alle Systemeinstellungen, die in vier Teile gegliedert sind: Im ersten Teil Portal ist es möglich, die Standardwerte für die Darstellung des Portals zu definieren; im zweiten Teil Globale Einstellungen können Sie einige Optionen festlegen, die von den verschiedenen Komponenten des Hotspots genutzt werden; im dritten Teil Konten befinden sich allgemeine Optionen für das Konto; im vierten Teil wird der Zeichensatz für generierte Passwörter ausgewählt, die in Quick-Ticket verwendet werden.
Warnung
Durch eine Änderung der Einstellungen im Portal und unter Globale Einstellungen werden alle angemeldeten Benutzer zwangsmäßig abgemeldet. Diese Einstellungen sind auf der grafischen Benutzeroberfläche mit einem roten Sternchen markiert.
Portal
Das erste Feld umfasst folgende anpassbare Option:
Homepage nach erfolgreicher Anmeldung Die URL der Webseite, die dem Benutzer nach erfolgreicher Anmeldung angezeigt wird.
Homepage im Hintergrund des Portals Die URL, die als Hintergrundbild für das Hotspot-Anmeldeportal benutzt wird.
Anmeldeformular anzeigen Wählen Sie aus einer Dropdown-Liste, wie das Anmeldeformular der Hotspot-Anmeldung angezeigt werden soll:
zeigt das Anmeldeformular sofort über der Hintergrund-Homepage an. zeigt die Hintergrund-Homepage manuell mit einer oberen Navigationsleiste, die dem Benutzer jederzeit Zugriff auf die Registrierungsseite bietet, während die Startseite ohne eine Registrierung durchsuchbar bleibt: Dies ist nützlich, um eine eigene Internetseite bekannt zu machen oder Informationen bereitzustellen. Der Zugriff auf alle anderen Seiten wird weiterhin eine Registrierung erfordern, wobei auf die in Freigeschaltete Seiten (siehe unten) aufgelisteten Seiten immer zugegriffen werden kann.
nach x Sekunden zeigt das Anmeldeformular nach einem vom Benutzer angegebenen Zeitraum in Sekunden an (der Benutzer wird über die ablaufende Zeit in der Navigationsleiste informiert).
Für Mobilgeräte das Mini-Portal verwenden Diese Option steuert, welche Portaltypen vom Hotspot bedient werden. Neben dem Standardportal gibt es noch zwei weitere: eines ohne JavaScript und eines, das auf mobile Geräte zugeschnitten ist. Wenn diese Option aktiviert ist, werden alle drei Arten von Portaltypen angezeigt. Anderenfalls wird dem Benutzer nur das Standardportal angezeigt.
Freigeschaltete Seiten Die Seiten oder IP-Adressen, die ohne Authentifizierung zugänglich sind, d. h. solche Seiten, die von allen Benutzern aufgerufen werden können. Eine Seite pro Zeile ist erlaubt, entweder in Form eines normalen Domänennamens oder einer Zeichenfolge im Format protokoll:IP[/maske]:port, z. B. pandasecurity.com oder tcp:192.168.20.0/24:443. Berücksichtigen Sie, dass wenn die Seiten Widgets, JavaScripts oder andere Komponenten von außerhalb der Liste enthalten, diese nicht ordnungsgemäß geladen werden könnten.
Globale Einstellungen
Name des Hotspots Der Name, um den Hotspot zu identifizieren.
Elemente pro Seite Der Paginierungswert, d. h. die maximale Anzahl der Elemente in der Liste oder die angezeigten Tabellen pro Seite.
Währung Die Währung, die für alle Berechnungen der Zahlungen im Hotspot verwendet wird.
Hinweis
Bestimmte Währungen werden nicht von PayPal unterstützt. Deshalb können diese nicht für SmartConnect-Tickets verwendet werden.
Oft gewählte Länder Oft gewählte Länder stehen am Anfang der Länderliste, die dem Benutzer bei der Registrierung angezeigt wird, um den Zeitaufwand für die gesamte Registrierung zu verringern.
Aktiviere AnyIP Mit dieser Option wird die AnyIP-Funktion aktiviert, die den Kunden, die nicht DHCP verwenden, den Zugriff auf den Hotspot sogar mit einer statischen IP-Adresse ermöglicht, die nicht unter das IP-Subnetz des Hotspots (BLAUE Zone) fällt.
Bandbreitenbegrenzung Die standardmäßigen Upload- und Download-Grenzen pro Benutzer in KB/s. Wenn diese Felder leer sind, wird keine Begrenzung angewendet.
Hinweis
Beachten Sie, dass 1 KB aus 8 Kilobit besteht. Stellen Sie daher sicher, die korrekten Werte in die Felder einzutragen.
DHCP dynamischer Bereich Wenn diese Option durch das Aktivieren des Kontrollkästchens ausgewählt ist, werden den mit dem Hotspot verbundenen Geräten dynamische IP-Adressen zugewiesen.
Bereich der dynamischen IPs Diese Option wird angezeigt, wenn das vorangehende Kontrollkästchen aktiviert ist, und lässt Sie einen benutzerdefinierten Bereich der IP-Adressen innerhalb der BLAUEN Zone angeben, um dem Hotspot-Kunden dynamisch zugewiesen zu werden.
Konten
Benutzeranmeldung erforderlich Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass Kunden, die Zugriff benötigen, ein gültiges Konto besitzen.
Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich Wenn diese Option ausgewählt ist, wird der Benutzer aufgefordert, die Nutzungsbedingungen unmittelbar vor der Anmeldung zu akzeptieren.
Passwort-Wiederherstellung Falls ein Benutzer seine Anmeldeinformationen verloren oder vergessen hat, kann er sie wiederherstellen. Drei Optionen können ausgewählt werden:
Deaktiviert: Es ist keine Passwort-Wiederherstellung erlaubt. Verwenden SmartConnect-Einstellungen: Die Anmeldeinformationen werden über dieselben Wege wie in SmartConnect™ gesendet.
Verwende benutzerdefinierte Einstellungen: Es können individuelle Einstellungen definiert werden (siehe das Feld unten).
Hinweis
Es ist möglich, die anonyme Anmeldung (d. h. ohne Benutzerauthentifizierung) zu erlauben, wobei alle Benutzer den Nutzungsbedingungen zustimmen müssen. Um dies zu tun, muss zuerst ein Ticket vom Typ Postpaid erstellt, die Option Benutzeranmeldung erforderlich deaktiviert und dann Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich aktiviert werden. Wenn das im Nachhinein zu bezahlende Ticket mit einer bestimmten Gültigkeit erstellt wurde, muss der Benutzer nach dessen Ablauf die Nutzungsbedingungen erneut akzeptieren.
Timeout für inaktive Benutzer Die Zeit der Inaktivität, nach der ein Benutzer abgemeldet wird (Standarddauer ist 15 Minuten, d. h. nach 15-minütiger Inaktivität wird ein Benutzer automatisch abgemeldet), sodass der Benutzer nicht zu viele seiner Tickets verschwendet.
Konto Lebensdauer (Tage) Die Anzahl von Tagen, die ein Konto gültig ist (Standardeinstellung ist 365 Tage). Nachdem diese Anzahl von Tagen vergangen ist, wird der Benutzer automatisch deaktiviert.
Erlaube das Löschen von verwendeten Konten Diese Option ermöglicht das Löschen von Benutzerkonten, die bereits Teile ihrer Tickets verbraucht haben. Falls ausgewählt, wird die nächste Option angezeigt.
Vermeide das Löschen von Benutzern, welche Tickets mit SmartConnect gekauft haben Dieses Kontrollkästchen wird angezeigt, wenn die vorherige Option ausgewählt wurde. Standardmäßig ist die Option aktiviert, so dass Benutzer, die bereits Tickets per Kreditkarte mit SmartConnect gekauft haben, nicht aus dem System gelöscht werden.
Deaktivierte Konten täglich löschen Mit dieser Option aktivieren Sie das tägliche Löschen von deaktivierten Konten.
Zeichensatz für erzeugte Passwörter
Im zweiten Teil der Haupteinstellungen können die Standardwerte für die automatisch generierten Passwörter ausgewählt werden, z. B. beim Erstellen von Massentickets. Die folgenden Werte für Passwörter können verändert werden: Die Länge, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und zusätzliche Sonderzeichen. Standardmäßig bestehen die Passwörter nur aus sechs Zeichen.
Benutzerdefinierte Einstellungen zur Passwort-Wiederherstellung:
Bei der Auswahl werden verschiedene Konfigurationsoptionen angezeigt, die zur Wiederherstellung des Passworts mit benutzerdefinierten Einstellungen benötigt werden. Die Erste enthält die Modalitäten, unter welchen die Wiederherstellung erfolgt:
Passwort-Wiederherstellung ist erfolgt Es gibt folgende drei Auswahlmöglichkeiten für diese Option: per SMS, per E-Mail oder beides. Je nachdem werden verschiedene Optionen angezeigt, um den E-Mail- oder SMS-Versand zu konfigurieren. Beachten Sie, dass alle Optionen angezeigt werden, wenn E-Mail und SMS zur Passwort-Wiederherstellung aktiviert sind.
Für den SMS-Wiederherstellungsmodus gibt es nur eine weitere Option:
Erlaubte Ländervorwahlen für die Passwort-Wiederherstellung Es ist möglich, dass das Senden von SMS nur für die Mobiltelefone erlaubt wird, die den ausgewählten Ländern angehören. Um einen neuen Länder-Code hinzuzufügen, beginnen Sie den Ländernamen oder -Code in das Auswahlfenster über der Länderliste zu schreiben, bis der Name des Landes in dem darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken
schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im rechten Feld angezeigt und können durch Klicken auf – abgewählt werden.
Für die Wiederherstellung per E-Mail stehen zwei Optionen zur Verfügung:
Mail Server Der zum Versand der Wiederherstellungs-E-Mail verwendete SMTP-Server. Sie können im Dropdown-Menü aus drei Optionen wählen.
1.
System-SMTP-Server: Um diese Option auswählen zu können, muss Menüleiste ‣ Proxy ‣ SMTP aktiviert werden.
2.
Benutzerdefinierter SMTP-Server: In diesem Fall können Sie im Textfeld den Namen des Mail-Servers eintragen.
Absender Emailadresse Es wird eine benutzerdefinierte E-Mail-Adresse als benutzerdefinierter Absender für die Wiederherstellungs-E-Mail verwendet.
Außerdem ist eine weitere Option für beide Wiederherstellungsmodi verfügbar:
Limitiere Passwort-Wiederherstellung auf Gibt das Zeitintervall an, das verstreichen muss, bevor die Passwort-Wiederherstellung erneut versucht werden kann. Nur eine von vier Optionen kann aus dem Dropdown-Menü ausgewählt werden: einmal alle 10 Minuten, einmal alle 30 Minuten, einmal in der Stunde und einmal täglich.
SmartConnect Auf dieser Seite können Sie die SmartConnect™- (Self-Service) und SmartLogin-Funktionen des Hotspots konfigurieren. Das SmartConnect™-System unterstützt die Self-Service-Ticketerstellung oder die Verwendung von kostenlosen Tickets ohne Kundenbezahlung. SmartLogin bietet dem Benutzer die Möglichkeit, eine erneute Authentifizierung am Hotspot zu vermeiden, wenn der Browser geöffnet oder geschlossen wird. Wenn es noch nicht aktiviert wurde und sich diese Seite das erste Mal öffnet, ist nur eine Option verfügbar:
SmartConnect
SmartConnect aktivieren Die SmartConnect™-Funktion ist nur aktiviert, wenn dieses Kontrollkästchen aktiviert ist.
Sobald SmartConnect™ aktiviert ist, werden weitere Optionen angezeigt, um mehr Kontrolle über diese Funktion zu erlangen:
Self-Service Benutzerregistrierung In diesem Dropdown-Menü kann die Benachrichtigungsart für die erfolgreiche Registrierung an den Benutzer ausgewählt werden. Drei sich gegenseitig ausschließende Optionen (d. h. es können nicht mehrere zur gleichen Zeit ausgewählt werden) stehen zur Verfügung: per SMS, per E-Mail und keine Benachrichtigung (deaktiviert). Je nach Auswahl sind zusätzliche Optionen verfügbar.
Deaktiviert: Es sind keine weiteren Optionen verfügbar. Es kann kein neuer Benutzer über SmartConnect™ erstellt werden. Vorhandene SmartConnect™-Benutzer können jedoch navigieren und Tickets kaufen.
SMS: Die Aktivierung dieser Option erfordert die Verfügbarkeit von SMS-Paketen, die die Bestätigung an den Benutzer senden. Dies kann unter System ‣ Ereignisbenachrichtigungen ‣ SMS-Benachrichtigungen bestätigt werden. Zusätzliche SMS-Pakete können in der Panda Perimetral Management Console erworben werden. Folgende zusätzliche Optionen sind verfügbar:
Bestätigung der Telefonnummer wird nicht benötigt
Deaktivieren Sie die Anfrage, die Telefonnummer, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage auf Smartphones erstellt wird.
Zugelassene Landesvorwahlen
Nur die Mobiltelefone, die zu den ausgewählten Ländern gehören, können sich für den SmartConnect™-Zugang registrieren. Um eine neue Ländervorwahl hinzuzufügen, beginnen Sie den Ländernamen oder die Vorwahl in das Auswahlfenster über der Länderliste zu schreiben, bis der Name des Landes in dem darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im rechten Feld angezeigt und können durch Klicken auf – abgewählt werden.
E-Mail: Es wird eine E-Mail mit den Zugangsdaten an die E-Mail-Adresse verschickt, die während der Registrierung angegeben wurde. Ein Bestätigungslink ist ebenfalls enthalten. Dieser muss vom Benutzer angeklickt werden, um den Vorgang abzuschließen und das Konto zu aktivieren. Diese Option erfordert einen Smarthost oder SMTP-Server.
Bestätigung der E-Mail Adresse wird nicht benötigt
Deaktivieren Sie die Anfrage, die E-Mail-Adresse, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage auf Smartphones erstellt wird.
Tarif für die Verifizierung der E-Mail Adresse
Dieses Dropdown-Menü ermöglicht die Auswahl einer der verfügbaren Tarife, um einem Benutzer die Verbindung für kurze Zeit zu ermöglichen, damit er die Bestätigungs-E-Mail erhalten und lesen kann.
Tipp
Die hier auswählbaren Tarife müssen als zeitbasiert und im Voraus bezahlt mit der Gültigkeit Ab der Ticketerstellung definiert werden und nicht für SmartConnect™ aktiviert sein.
Mail Server
Dieses Dropdown-Menü ermöglicht die Auswahl des Smarthost, der eine E-Mail mit den Zugangsdaten senden soll. Folgende Optionen sind verfügbar: Benutzerdefinierter Mail-Server, auf dem die URL eines angepassten Mail-Servers bereitgestellt werden kann, System-Smarthost und System-SMTP-Proxy. Die darauffolgenden Optionen sind nur verfügbar, wenn ein Smarthost und ein SMTP-Proxy konfiguriert wurden, die auf dem Gerät ausgeführt werden.
Absender Emailadresse
Eine benutzerdefinierte E-Mail-Adresse, die als Absender der Bestätigungs-E-Mail angezeigt wird.
Eingabefelder für die Benutzererstellung In diesem Auswahlfeld können Sie festlegen, welche die obligatorischen Kontoeigenschaften sein sollen, die während der Registrierung bereitgestellt werden. Eigenschaften, die dem Benutzer angezeigt werden, werden in der rechten Spalte zusammen mit der Kennzeichnung für erforderlich oder optional angezeigt. Die Gesamtzahl der optionalen oder erforderlichen Eigenschaften wird oben links angezeigt.
Hinweis
Je nach Typ der Benutzerregistrierung gibt es einige Pflichtfelder, die nicht deaktiviert werden können. Wenn Registrierung per E-Mail aktiviert ist, sind Benutzername, Passwort und E-Mail-Adresse erforderlich. Dahingegen ist für die Registrierung per SMS nur die Telefonnummer erforderlich, die als Benutzername dient.
Gratis Tickets pro Konto limitieren Die Anzahl von kostenlosen Tickets, die von jedem Konto verwendet werden kann. Die Standardeinstellung ist „unbegrenzt“, das heißt, dass neue Tickets zu jedem Augenblick erworben werden können. Jedoch gibt es die Option „Zeitlimit", die es Benutzern ermöglicht, ein neues kostenloses Ticket nur für diese Anzahl von Minuten zu erwerben.
Bezahlte Tickets aktivieren Diese Option ermöglicht es Benutzern, mit PayPal oder einer Kreditkarte für Hotspot-Tickets zu zahlen. Wenn diese Option aktiviert ist, kann ein PayPal-Konto konfiguriert werden, auf dem die Zahlungen gesammelt werden.
Warnung
Wenn diese Option aktiviert wird, während Benutzer mit dem Hotspot verbunden sind, werden sie zwangsweise abgemeldet.
Paypal-Sandbox aktivieren
Dieses Kontrollkästchen aktiviert oder deaktiviert die PayPal-Sandbox ausschließlich zu Test- und Demonstrationszwecken: Die Verwendung der Sandbox erlaubt es, die Funktion der API-Integration zu überprüfen, ohne dass tatsächlich Transaktionen mit echtem Geld ausgeführt werden.
PayPal API Benutzername
Der PayPal-API-Benutzername.
PayPal API Passwort
Das PayPal-API-Passwort.
PayPal API Signatur
Die PayPal-API-Signatur.
Hinweis
Um die SmartConnect™-Funktion des Panda Hotspots korrekt einzurichten und die Zahlungen der Kunden zu erhalten, ist es notwendig, sich anzumelden und ein PayPal-Konto zu erstellen.
SmartLogin
Die SmartLogin-Funktion bietet den Hotspot-Benutzern einen bequemen Weg, um eine erneute Authentifizierung beim erneuten Herstellen einer Verbindung mit dem Hotspot zu vermeiden. Mit anderen Worten: Wenn ein Benutzer den Browser schließt, muss er zu einem späteren Zeitpunkt nur den gleichen Browser erneut öffnen, um einen sofortigen Zugriff auf das Internet zu erhalten, ohne sich erneut authentifizieren zu müssen. Die SmartLogin-Funktion kann global für alle Hotspot-Benutzer oder einzeln für jeden Benutzer aktiviert werden. Im letzteren Fall funktioniert SmartLogin für diese Benutzer, selbst wenn es nicht global aktiviert wurde, und kann im Abschnitt Zugangsdaten des Konto-Editors aktiviert werden.
Folgende Optionen stehen zur Verfügung:
SmartLogin aktivieren Aktivieren Sie das Kontrollkästchen, um SmartLogin für jeden Benutzer zu aktivieren.
SmartLogin Cookie Lebensdauer Der Zeitraum in Tagen, innerhalb dessen der Benutzer die Möglichkeit hat, die SmartLogin-Funktion zu nutzen.
Erlaube Benutzern, das Löschen von SmartLogin Cookies beim Abmelden abzuschalten Wenn diese Option aktiviert ist, wird im Anmeldeportal des Benutzers eine neue Option angezeigt (Automatische Anmeldung deaktivieren), mit deren Verwendung die Funktion „SmartLogin“ aktiviert oder deaktiviert werden kann.
Tarif für die Verifizierung der E-Mail Adresse:
Um dem Benutzer das Lesen der Bestätigungs-E-Mail zu erlauben, sollte ihm ein schneller und kostenloser Zugriff auf das Internet ermöglicht werden, damit er die Anmeldeinformationen für das neu erstellte Konto einsehen kann. Daher muss ein geeigneter Tarif mit präzisen Eigenschaften mit dem Benutzerregistrierungsvorgang für SmartConnect™ verbunden sein. Wenn noch keine Tarife verfügbar sind, beschreibt eine Nachricht die erforderlichen Optionen für dieses Ticket, das unter Ticket ‣ Tarife erstellt werden kann. Die Tickettarife müssen im Voraus bezahlt, kostenlos, zeitbasiert und nicht für SmartConnect™ verfügbar sein. Darüber hinaus müssen sie mit einem „Ab Ticketerstellung“-Gültigkeitswert definiert werden. Es wird empfohlen, diesen Wert auf wenige Minuten zu begrenzen, um dem Benutzer darauf zu beschränken, nur seine Anmeldedaten zu empfangen.
Hilfe für die Tickettariferstellung finden Sie in der Online-Hilfe.
API Dieser Abschnitt enthält die Einstellungen für die API des Panda Hotspots, welche die Integration des Hotspots der Panda GateDefender-Appliance in ein bereits laufendes System ermöglicht. Abhängig vom ausgewählten Modus können verschiedene Parameter festgelegt werden.
Modus Version 2.5 der Panda GateDefender-Appliance bietet drei verschiedene API-Modi: Die Panda-eigene generische API/JSONSchnittstelle, die ASA jHotel-Schnittstelle und die pcs phoenix-Schnittstelle. Die ASA jHotel- und pcs-phoenix-Schnittstellen sind nur für Hotels geeignet, welche die ASA jHotel- oder die pcs-phoenix-Hotelmanagement-Software nutzen, während die generische API-Schnittstelle zur Interaktion mit anderer Software genutzt werden kann. Die drei zur Verfügung stehenden Modi können nicht gemeinsam ausgewählt werden, d. h. sie können nur einzeln aktiviert werden. Wenn eine der drei Schnittstellen aktiviert ist und eine andere wird aktiviert, dann ist immer die letztere aktiv, während die erste automatisch deaktiviert wird.
Die anderen Optionen hängen vom ausgewählten Modus ab. Im Folgenden werden die Optionen für den ASA jHotel-Modus angezeigt.
ASA jHotel Schnittstelle aktiviert Durch Aktivieren dieses Kontrollkästchens wird die ASA jHotel-Schnittstelle aktiviert.
ASA jHotel URL Die URL der Management-Oberfläche des ASA jHotels. Die Richtigkeit kann getestet werden, indem Sie auf die Schaltfläche Test rechts neben dem Eingabefeld klicken.
Tipp
Ersetzen Sie in der angegebenen Beispiel-URL die Zeichenfolge IP_ADDRESS der ASA-Installation und den Namen des Unternehmens (COMPANY).
Erlaube Gastregistrierung (Gastanmeldung / SmartConnect) Durch Aktivieren dieses Kontrollkästchens können sich Gäste selbst registrieren.
Standard Tarif für Gastzugang Wählen Sie aus dem Dropdown-Menü den Standardtarif aus, der auf die neuen Konten angewendet werden soll. Die verfügbaren Tarife sollten bereits unter Ticket ‣ Tarife definiert worden sein.
Erlaube kostenpflichtige postpaid Tickets für Gäste, die nicht eingecheckt sind Aktivieren Sie das Kontrollkästchen, um unangemeldeten Gästen das Erwerben von im Voraus zu bezahlenden Tickets zu ermöglichen.
Hotspot-Zugang mit der ASA jHotel-Management-Software:
Jeder Benutzer, der bereits ein Konto in der ASA jHotel-Management-Software besitzt, kann sich schnell mit dem Hotspot verbinden, ohne ein Konto zu erstellen, vorausgesetzt, dass der Hotspot korrekt konfiguriert ist. Die erforderlichen Schritte am Hotspot sind:
1.
Aktivieren Sie das Kontrollkästchen ASA jHotel-Schnittstelle aktiviert, und überprüfen Sie, ob der Hotspot auf die URL der ASA jhotel-Schnittstelle zugreifen kann.
2.
Erstellen Sie unter Ticket ‣ Tarife einen neuen, im Voraus zu bezahlenden Tarif. Verwenden Sie dabei den Ticket-Code und die von ASA verwendete ID, und geben Sie dem Tarif einen eindeutigen Namen (z. B. „Mein-ASA“).
3.
Gehen Sie zurück zu Einstellungen ‣ API, und wählen Sie den Modus ASA jHotel und als Standardtarif für Gästeregistrierung den Tarifnamen, der im vorherigen Schritt erstellt wurde („my-ASA“).
Für die generische API/JSON-Schnittstelle und die pcs phoenix-Schnittstelle sind drei Optionen verfügbar:
API Aktiviert Aktivieren Sie das Kontrollkästchen, um die API zu aktivieren.
Buchungs-URL Der Hotspot sendet die Kontoinformationen an diese URL, um die Benutzerdaten zu überprüfen. Lassen Sie dieses Feld leer, wenn der Hotspot keine Kontoinformationen senden soll.
Accounting URL benötigt Authentifizierung Falls die vorher bereitgestellte URL eine HTTP-Authentifizierung erfordert, aktivieren Sie dieses Kontrollkästchen. Zwei neue Textfelder werden angezeigt, um den Benutzernamen und das Passwort einzugeben.
Schließlich kann die API auf der speziellen Seite https://GREENIP:10443/admin/api/ geprüft werden, falls die generische API/JSONSchnittstelle ausgewählt wurde.
Sprache Im Sprachbereich können alle sprachabhängigen Optionen eingestellt sowie alle Zeichenfolgen in den verschiedenen Sprachen und die Portalvorlagen angepasst werden. Die Seite ist in zwei Bereiche unterteilt: Unterstützte Sprachen, Sprachen bearbeiten und abhängig von der Auswahl für Bearbeiten in der Sandbox eine dritte Option.
Unterstützte Sprachen
Im ersten Feld können Sie festlegen, welche Sprachen im Hotspot unterstützt und den Benutzern zur Verfügung gestellt werden. Die Sprachen müssen im Auswahlfeld ausgewählt und durch Klicken auf die Schaltfläche Speichern, gespeichert werden. Nur die hier ausgewählten Sprachen stehen den Benutzern während der Registrierung und der Verbindung mit dem Portal zur Verfügung.
Sprachen bearbeiten
Im zweiten Bereich ist es möglich, eine der vier Portalvorlagen oder die Zeichenfolgen der Benutzeroberfläche für jede im vorhergehenden Bereich aktivierte Sprache zu ändern. Um die Vorlagen und die Zeichenfolgen zu personalisieren, gibt es verschiedene Variablen, die verwendet werden können. Wenn eine Nachricht an einen Benutzer, z. B. bei Verlust des Kontopassworts, gesendet werden soll, wird jede Variable durch die im Hotspot gespeicherten Wert ersetzt.
Sprache Die Sprache, für welche die Übersetzungen geändert oder hinzugefügt werden sollen. Die verfügbaren Optionen hängen davon ab, welche Sprachen im Dropdown-Menü aktiviert wurden.
Bearbeiten
Das oder die zu bearbeitenden Objekte. Dies können entweder die Portalvorlagen oder die Portalzeichenfolgen sein. Wenn Sie die Portalzeichenfolgen ändern möchten, wird der Editor durch eine Liste mit englischen Wörtern und Sätzen ersetzt, die auf der grafischen Benutzeroberfläche des Hotspot und im Portal verwendet werden. Dabei besitzt jedes Wort oder jeder Satz ein Eingabefeld, in das die Übersetzung der gewählten Sprache eingetragen werden kann. Bei der Wahl der Portalvorlagen kann eine der Vorlagen in dem sich öffnenden Feld bearbeitet werden. Willkommensseite, Konto drucken, Nutzungsbedingungen, Hilfe, E-Mail Inhalt und E-Mail Inhalt für verlorene Passwörter.
Weitere Informationen zum Anpassen des Portals finden Sie unter Hotspot-Anpassung unten.
Der Inhalt jeder Vorlage kann mithilfe des vollständig unterstützten WYSIWYG-Editors geändert und personalisiert werden.
Hotspot-Anpassung
Die Portalwebsite, die Benutzern beim ersten Herstellen einer Verbindung mit dem Hotspot angezeigt wird, kann auf verschiedene Weisen angepasst werden: die Sprache des Portals, der Text auf den verschiedenen Seiten, die CSS, das Logo des Unternehmens, das
den Hotspot unterhält, und der Name des Portals. Die letzte Einstellung kann nur über die Befehlszeilenschnittstelle konfiguriert werden, während alle anderen Einstellungen über die Administrationsschnittstelle in Bereich Sprachen angepasst werden können (Hotspot ‣ Administrationsoberfläche ‣ Einstellungen ‣ Sprachen).
Verfügbare Sprachen:
Es stehen sechs Sprachen zur Auswahl, die standardmäßig aktiviert sind: en (Englisch, als Standard verwendet), de (Deutsch), it (Italienisch), ja (Japanisch), es (Spanisch) und pt (Portugiesisch). Ein Benutzer, der eine Verbindung mit dem Portal herstellt, kann jede Sprache anpassen. Es können weitere Sprachen vom Hotspot verwendet werden, indem Sie diese aus dem Mehrfachauswahlfeld auswählen.
Vorlagen:
Dies sind die Vorlagen, die geändert werden können:
Willkommens-Seite Die Seite, die Benutzern vor der Anmeldung angezeigt wird.
Konto drucken Eine Willkommensnachricht wird den Benutzern nach ihrer Registrierung ausgedruckt und zusammen mit dem Benutzernamen und dem Passwort übergeben. Diese Variablen können verwendet werden: $title, $firstname, $lastname, $username und $password.
Nutzungsbedingungen Sie werden dem Benutzer angezeigt, wenn der Link neben dem Kontrollkästchen für die AGB-Zustimmung angeklickt wird, bevor die Anmeldung möglich ist.
Hilfe Der Inhalt dieser Seite wird dem Benutzer als Hilfsnachricht angezeigt.
E-Mail Inhalt Der Text, den die E-Mail mit den Anmeldeinformationen aus der Registrierung enthalten soll, wenn Registrierung per E-Mail aktiviert wurde. Diese Variablen können verwendet werden: $hotspot_name, $activation_link, $rate_name, $username, $password, $amount, $price, $currency und $txn_id.
E-Mail Inhalt für verlorene Passwörter Der Text, den die E-Mail mit den Anmeldeinformationen enthalten soll, wenn der Benutzer diese verloren hat und die Passwort-Wiederherstellung per E-Mail ausgewählt wurde. Diese Variablen können verwendet werden: $username und $password.
Jede Vorlage kann für jede, im Hotspot verfügbare Sprache bearbeitet werden und die vordefinierten Variablen verwenden (siehe diese Tabellen).
Text und Bilder:
Der Inhalt des Portals, egal ob Bilder oder Text, kann im Editor bearbeitet werden. Dort ist es auch möglich, benutzerdefinierte Bilder, CSS-Vorlagen und andere Dateien hochzuladen. Öffnen Sie den Editor im Abschnitt Sprachen bearbeiten, wählen Sie den Eintrag Portalvorlagen aus dem Dropdown-Menü neben Bearbeiten: aus, und wählen Sie anschließend die Vorlage aus dem Dropdown-Menü mit der Bezeichnung Vorlage aus. Dabei stehen folgende Vorlagen zur Auswahl:
Willkommens-Seite: Die Seite, die allen Benutzern vor dem Herstellen einer Verbindung angezeigt wird. Konto drucken: Das zu druckende Dokument mit den Zugangsdaten, das dem Benutzer übergeben wird.
Nutzungsbedingungen: Die Regeln, die Benutzer während der Verwendung des Hotspots einhalten müssen. Hilfe: Die Seite, welche die Hilfe und Problembehandlung für den Benutzer enthält. E-Mail Inhalt: Der Text der E-Mail, die dem Benutzer als Bestätigung für die erfolgreiche Kontoerstellung zugeschickt wird. E-Mail Inhalt für verlorene Passwörter: Der Text der E-Mail, die dem Benutzer als Erinnerung der Zugangsdaten für den Zugriff auf den Hotspot zugeschickt wird.
Im Editor können im unteren Bereich der Seite Dokumente mit Text und Bildern erstellt werden. Das Hinzufügen von Bildern und benutzerdefinierten Dateien ist in der Tat sehr einfach: Setzen Sie den Cursor an den Punkt, an dem Sie ein Bild einfügen möchten, und klicken Sie auf die Schaltfläche
, um ein Popup-Fenster mit der Bezeichnung Bildeigenschaften zu öffnen. Auf der Registerkarte
Bildinfo haben Sie zwei Möglichkeiten, um ein Bild einzufügen:
1.
Geben Sie einen Hyperlink zu einem Bild im Internet in das Textfeld URL ein.
2.
Klicken Sie auf die Schaltfläche Server durchsuchen, um einen Datei-Browser zu öffnen, in dem Sie ein vorhandenes Bild auf dem Server auswählen. Oder klicken Sie auf die Schaltfläche Datei auswählen am unteren Rand der Seite, um ein Bild von der lokalen Arbeitsstation auszuwählen. Klicken Sie anschließend auf die Schaltfläche Hochladen.
Tipp
Die
hochgeladenen
Dateien
werden
auf
/home/httpd/html/userfiles/
der
Panda
GateDefender-Appliance
im
Verzeichnis
gespeichert. Benutzerdefinierte Dateien können auch direkt hochgeladen werden,
z. B. über SSH an diesem Standort.
CSS:
Benutzerdefinierte CSS-Dateien können ebenfalls verwendet werden: Laden Sie sie auf die Panda GateDefender-Appliance hoch, wobei Sie sie im Verzeichnis
/home/httpd/html/userfiles speichern. Wie Bilddateien können sie mithilfe der Schaltfläche
oder über SSH hochgeladen werden. Die Datei muss folgenden Namen erhalten:
hotspotcustom.css; das für die Administrationsschnittstelle verwendete CSS erhält den Namen portalcustom.css; und das für das Hotspot-Portal verwendete CSS erhält den Namen miniportalcustom.css, das für das Hotspot-Miniportal verwendete CSS (d. h. JavaScript ist deaktiviert), das für mobile Geräte bestimmt ist.
Tipp
Die Originale dieser Dateien befinden sich im Verzeichnis
/home/httpd/html/include
und tragen die Namen
„hotspot.css“, „portal.css“ bzw. „miniportal.css“. Sie können als Grundlage für die benutzerdefinierten Dateien verwendet werden.
Logo:
Das Logo, das dem Benutzer im Portal angezeigt wird, kann mithilfe der benutzerdefinierten CSS-Dateien portalcustom.css oder
miniportalcustom.css
/home/httpd/html/userfiles
ersetzt
Laden
Sie
das
Logo
in
das
Verzeichnis
hoch (eine Größe von ca. 80 × 20 ist zulässig), und ändern Sie anschließend die
CSS-Dateien wie folgt:
div.logo img { display: none; } div.logo { background-image: url(‚images/ihr-logo.png'); } Hotspot-Name:
werden.
Die Änderung des Domänennamens für das Portal muss manuell über die CLI erfolgen. Der Zugriff auf die Befehlszeilenschnittstelle zur Panda GateDefender-Appliance kann unter Menüleiste ‣ System ‣ SSH Zugriff (siehe Abschnitt Zugriff auf die Panda GateDefenderAppliance) aktiviert werden.
Warnung
Das manuelle Bearbeiten und Ändern einer Konfigurationsdatei in der CLI erfordert eine gewisse Vertrautheit mit der Panda GateDefender-Appliance, da eine falsche Bearbeitung ein Anhalten des Dienstes zur Folge haben kann. Es sollte vorsichtig vorgegangen werden, und es wird empfohlen, vor dem Bearbeiten eine Sicherungskopie der Datei zu speichern.
Bearbeiten
Sie
zum
Ändern
des
Hostnamens
und
des
Domänennamens
des
Hotspots
die
Datei
/var/efw/hotspot/settings mit Root-Rechten, z. B. mit dem installierten Editor nano, und suchen Sie die Zeilen, bei denen es sich um eigentliche Variablendefinitionen handelt (die hier gezeigten Werte sind nur Beispiele):
HOTSPOT_HOSTNAME=hotspot HOTSPOT_DOMAINNAME=beispiel.com Ersetzen Sie die Werte auf der rechten Seite (hotspot und example.com) mit Ihren Werten.
Da die Verbindung zum Captive-Portal verschlüsselt ist, ist außerdem eine gültige SSL-Konfiguration notwendig, die Folgendes erfordert:
ein gültiges Zertifikat (d. h. kein selbstsigniertes Zertifikat) eine private, unverschlüsselte Schlüsseldatei und eine Datei mit der SSL-Schlüsselkette für das Zertifikat.
Diese Dateien können in einem beliebigen Verzeichnis erstellt werden, wobei die beste Vorgehensweise ist, diese Dateien auch nach
/var/efw/hotspot/
zu kopieren, um sicherzustellen, dass sie Teil jeder Konfiguration einer Sicherungskopie sind.
Nachdem alle Zertifikate erstellt wurden, müssen auch die Hotspot-Engine über deren Existenz informiert und die standardmäßigen Zertifikatseinstellungen überschrieben werden. Bearbeiten Sie erneut die Datei
/var/efw/hotspot/settings,
und
fügen Sie die folgenden Variablen hinzu:
HOTSPOT_CERT=//hotspot.example.com-cert.pem HOTSPOT_KEY=//hotspot.example.com-key.pem HOTSPOT_CHAIN=//hotspot.example.com-cabundle.pem Denken Sie daran, durch den vollständigen Pfad der drei Zertifikate zu ersetzen.
Wenn keine Datei mit einer SSL-Schlüsselkette benötigt wird, kann ein leerer Wert als letzte Variable der oben genannten Konfiguration verwendet werden, z. B.:
HOTSPOT_CHAIN= Bedeutung der Variablen:
Dies ist eine vollständige Referenz für die Variablen, die bei der Anpassung der Hotspot-Portalvorlagen und -Zeichenketten verwendet werden können. Die Variablen sind hilfreich, um maßgeschneiderte Nachrichten für jeden Benutzer zu erstellen: Wann immer eine dieser Variablen in einer Vorlage steht, wird sie durch den entsprechenden Wert ersetzt, der für dieses Konto definiert ist. Die Variablen sind in
drei Tabellen gruppiert: Tabelle 1 enthält Variablen, die in allen Portalvorlagen verwendet werden können. Tabelle 2 enthält Variablen, die nur in der Vorlage zum Drucken von Kontoinformationen verwendet werden können. Und Tabelle 3 enthält die in den Portalzeichenfolgen verwendeten Variablen.
Tabelle 1: Variablen für alle Portalvorlagen:
Variable $title
Ersetzt durch Die Anrede des Kontoinhabers
$firstname Den Vornamen des Kontoinhabers $lastname
Den Nachnamen des Kontoinhabers
$username Den Benutzernamen für das Konto $password Das Passwort des Kontos $rate_name Den Namen des Hotspot-Tickettarifs $amount
Die Menge des verfügbaren Datenvolumens oder der verfügbaren Zeit
$price
Den Preis des Tickets
$currency
Die Währung, in der das Ticket bezahlt wurde
$txn_id
Die ID der Transaktion
Die Variablen der folgenden Tabelle werden im Dokument mit den Kontoinformationen durch die Werte ersetzt, die in den entsprechenden Feldern im Konto-Editor angegeben sind.
Tabelle 2: Variablen für die Portalvorlage Konto drucken:
Variable
Ersetzt durch
$language
Die Sprache des Benutzers
$birth_city
Den Geburtsort des Benutzers
$birth_date
Das Geburtsdatum des Benutzers
$document_type Das Identifikationsdokument des Benutzers $document_party $document_id
Die ID des Dokuments
$street
Die Straße, in welcher der Benutzer lebt
$country
Das Land, in dem der Benutzer lebt
$city
Die Stadt, in welcher der Benutzer lebt
$zip
Die Postleitzahl des Wohnorts des Benutzers
$description
Die Beschreibung des Kontos
$static_ip $external_id $phonenumber
Die vom Benutzer angegebene Telefonnummer
$areacode $email
Die E-Mail-Adresse des Benutzers
Variablen für die Portalzeichenfolgen:
Variable
Ersetzt durch [Zeichenfolgennr.]
%(recovery_freq)s
Die Häufigkeit, wie oft ein neues Passwort wiederhergestellt werden kann [4]
%(phonenumber)s
Die Telefonnummer des Benutzers [9 42]
%(transaction_id)s
Die Transaktions-ID [9 11 28 31 37 42 44 105 121]
%(email)s
Die E-Mail-Adresse des Benutzers [11 44 121]
%(grant_ticket_duration)s
Die Anzahl der Minuten des kostenlosen Internetzugangs [44, 121]
%(seconds)s
Die Anzahl von Sekunden, die ein Benutzer warten muss [55 113]
%(home)s
Den Link zur Hotspot-Startseite [107]
Nur wenige Portalzeichenfolgen (14 von 123) enthalten Variablen. Für diese 14 Zeichenfolgen ist es erforderlich, dass jede Variable in der ursprünglichen Zeichenfolge (z. B. Zeichenfolge #4 Sie können nur alle %(recovery_freq)s eine Anfrage stellen.) als auch in der übersetzten Zeichenfolge enthalten ist.
Die Zeichenfolgen, die einige Variablen enthalten, sind die Folgenden:
4 %(recovery_freq)s
9, 42 %(phonenumber)s und %(transaction_id)s
11 %(email)s und %(transaction_id)s
28, 31, 37, 105, %(transaction_id)s
44, 121 %(grant_ticket_duration)s, %(email)s und %(transaction_id)s
55, 113 %(seconds)s
107 %(home)s
Hotspot-Benutzer Dieser Bereich enthält eine Liste der Hotspot-Benutzer oder Hotspot-Superbenutzer, d. h. derjenigen, die verschiedene administrative Aufgaben ausführen können, aufgeteilt in zwei Gruppen: Ein Hotspot-Administrator kann die Hotspot-Schnittstelle vollständig verwalten, aber nicht auf das Hauptmenü der Panda GateDefender-Appliance zugreifen, während ein Hotspot-Konto-Editor nur HotspotBenutzerkonten durch Angabe eines bestehenden Benutzernamens bearbeiten, aktivieren und deaktivieren kann. Daher hat ein Administrator die Fähigkeiten eines Konto-Editors aber nicht andersherum.
Auf dieser Seite befindet sich eine Benutzerliste, welche die Namen, die zugehörige Gruppe und die für die Konten verfügbaren Aktionen enthält. Es existiert ein geschütztes Standardadministratorkonto Hotspot, das nie gelöscht werden kann. Verfügbare Aktionen sind das Bearbeiten und Löschen des Benutzerkontos. Durch Löschen wird der Benutzer von der Liste entfernt, während durch Bearbeiten ein Benutzereditor geöffnet wird (siehe unten). Bei der Bearbeitung des
Hotspot-Benutzers kann nur das Passwort geändert werden.
Der Name und die Gruppe sind unveränderbar.
Ein Administrator hat Zugriff auf die Seite https://GREENIP:10443/admin/ und alle darin enthaltenen Bereiche, die vollständig im Abschnitt Hotspot dieses Handbuchs beschrieben werden. Ein Konto-Editor hat hingegen Zugriff auf die Editor-Seite als einfache Webschnittstelle unter https://GREENIP:10443/admin/infoedit/, die nur begrenzte Informationen enthält. Hier kann der Konto-Editor einen bestehenden Benutzernamen einfügen, dessen zugehörige Kontoinformationen geändert werden können.
Klicken Sie zum Hinzufügen eines Benutzers einfach oberhalb der Liste auf den Link Benutzer hinzufügen. Das Feld Benutzereditor öffnet sich, in dem alle relevanten Daten für die Erstellung eines neuen Benutzers eingegeben werden können:
Benutzername Der Benutzername des neuen Kontos.
Gruppe Die Gruppe, welcher der neue Benutzer angehört. Im Dropdown-Menü können Sie zwischen den beiden verfügbaren Gruppen auswählen: Hotspot-Konto-Editor und Hotspot-Administrator.
Passwort, Passwort (bestätigen) Das Passwort für das Benutzerkonto muss zur Bestätigung zweimal eingegeben werden.
Benutzerzugriff auf den Hotspot In diesem Abschnitt wird die Hotspot-Benutzeroberfläche beschrieben, die bei einer drahtlosen Verbindung zum Hotspot angezeigt wird. Das Portaldarstellung und -einstellungen können vom Administrator unter Menüleiste ‣ Hotspot ‣ Administrationsinterface ‣ Einstellungen angepasst werden.
Um das Internet nutzen zu können, muss der Benutzer zuvor auf den Hotspot zugreifen und sich anmelden. Dafür ist keine Softwareinstallation erforderlich. Es muss lediglich eine beliebige Webseite im Browser geöffnet werden: Der Browser führt eine Weiterleitung zum Hotspot-Portal durch, wo sich der Benutzer anmelden, ein neues Hotspot-Konto erstellen bzw. sich direkt anmelden und auf das Internet zugreifen kann. Der Hotspot bietet verschiedene Arten von Portalen. Abhängig vom verwendeten Gerät wird dem Kunden das Portal für mobile Geräte, das Portal für Browser, die kein JavaScript verwenden, oder ein allgemeines Portal für alle anderen Gerätetypen angezeigt.
Hinweis
Seit Version 2.5 muss sich der Benutzer nicht authentifizieren, wenn der Hotspot für den benutzerlosen Modus konfiguriert ist.
Die Anmeldeseite ist in zwei Abschnitte unterteilt: Auf der linken Seite kann die Sprache der Benutzeroberfläche aus einem DropdownMenü ausgewählt werden. Außerdem wird eine informative Meldung angezeigt. Im rechten Abschnitt wird das Anmeldeformular angezeigt, über das sich Benutzer anmelden, ein neues Konto erstellen oder ein neues Ticket erwerben können.
Es gibt zwei verschiedene Anmeldeformulare: Ein Formular für Gastbenutzer und ein Formular für registrierte Benutzer. Ersteres ist nur verfügbar, wenn auf dem Hotspot das ASA-Programm ausgeführt wird. Es umfasst die folgenden Optionen:
Kein Gast Durch Klicken auf diese Schaltfläche wird das Anmeldeformular für registrierte Benutzer mit den unten aufgeführten Optionen angezeigt.
Nachname Der Nachname des Gastbenutzers
Vorname Der Vorname des Gastbenutzers
Geburtsdatum Das Geburtsdatum des Gastbenutzers im Format DD.MM.JJJJ. (Beispiel: 5. Februar 1980 wird zu 05.02.1980).
Anmelden Nach Eingabe der erforderlichen Daten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.
Auf dem Anmeldeformular für registrierte Benutzer werden folgende Optionen angezeigt:
Benutzername Der Benutzername des Benutzers
Passwörter Das Benutzerpasswort
Neues Konto registrieren Nicht registrierte Benutzer können ein neues Konto erstellen, um auf das Internet zuzugreifen. Dies ist nur zulässig, wenn SmartConnect™ auf dem Hotspot ausgeführt wird. Die einzelnen Schritte zum Einrichten eines neuen Kontos sind unten beschrieben.
Neues Ticket Der Benutzer kann ein Ticket erwerben. Dies ist erforderlich, um auf den Hotspot zugreifen zu können. Diese Option ist auch verfügbar, wenn SmartConnect™ aktiviert ist.
Anmelden Nach Eingabe der Zugangsdaten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.
Wenn der Hotspot so konfiguriert ist, dass die Nutzungsbedingungen akzeptiert werden müssen, klicken Sie auf die Schaltfläche Anmelden, woraufhin ein Fenster angezeigt wird, das im unteren Bereich eine Schaltfläche enthält:
Ich akzeptiere die Nutzungsbedingungen Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem die Nutzungsbedingungen angezeigt werden.
Neues Konto registrieren
Durch Klicken auf die Schaltfläche Neues Konto registrieren wird ein Assistent geöffnet, mit dem Sie in vier Schritten ein neues HotspotKonto einrichten und aktivieren können. Im ersten Schritt wird das Benutzerkonto erstellt. Für eine erfolgreiche Erstellung müssen die folgenden Daten angegeben werden:
Vorname, Nachname Der Vor-und Nachname des Benutzers
Straße, Postleitzahl, Stadt, Land Adresse, Postleitzahl, Stadt und das Land, in dem der Benutzer lebt.
Telefonnummer, unter welcher der Benutzername und das Passwort empfangen werden Die Ländervorwahl der Benutzertelefonnummer, die aus dem Dropdown-Menü ausgewählt wird, gefolgt von der eigentlichen Telefonnummer des Benutzers.
Telefonnummer bestätigen Geben Sie die Telefonnummer zur Bestätigung erneut ein.
Es ist außerdem erforderlich, das Kontrollkästchen neben dem Link Ich akzeptiere die Nutzungsbedingungen zu aktivieren, um das Konto zu erstellen. Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem Sie die Nutzungsbedingungen lesen können, bevor Sie sie akzeptieren.
Wenn Sie alle Daten eingegeben haben, klicken Sie rechts unten im Formular auf die Schaltfläche Registrieren, wodurch Sie zum zweiten Schritt gelangen. Nach der Registrierung erhalten Sie eine SMS mit Ihrem Benutzernamen und dem Passwort, das Sie zur Authentifizierung für die Anmeldung am Hotspot benötigen.
Im zweiten Schritt können Sie aus einem Dropdown-Menü ein Ticket auswählen, das dem Konto zugewiesen wird und Ihnen die Nutzung des Hotspots für einen Zugriff auf das Internet ermöglicht. Abhängig von der Einrichtung des Hotspots stehen nur kostenlose Tickets oder Tickets zur Auswahl, die im Voraus bzw. im Nachhinein bezahlt werden müssen. Es werden jeweils der Name, die Dauer und die Kosten für jedes verfügbare Ticket angezeigt. Damit diese Option funktionsfähig ist, muss SmartConnect™ im Hotspot aktiviert sein und Zahlungen über PayPal müssen eingerichtet sein.
Klicken Sie nach der Auswahl eines Tickets auf die Schaltfläche Weiter, um mit dem dritten Schritt fortzufahren.
Hinweis
Es gibt keine Begrenzung für den Kauf von Tickets, die im Voraus oder im Nachhinein bezahlt werden. Es ist jedoch nicht zulässig, zeitund datenbasierte Tickets gleichzeitig zu verwenden. Mit anderen Worten: Ein Kunde, der ein oder mehrere gültige zeitbasierte Tickets besitzt, kann datenbasierte Tickets erst dann erwerben, wenn sämtliche zeitbasierten Tickets, die dem entsprechenden Benutzerkonto zugewiesen wurden, verwendet wurden bzw. abgelaufen sind. Dasselbe gilt für datenbasierte Tickets: Sämtliche Tickets müssen bereits verwendet worden bzw. abgelaufen sein, bevor ein zeitbasiertes Ticket erworben werden kann.
Im dritten Schritt wird durch die Auswahl eines kostenpflichtigen Tickets die Website von PayPal geladen, auf der die erforderlichen Daten für die Transaktion eingegeben und der Kauf per Kreditkarte oder über ein eigenes PayPal-Konto abgeschlossen werden kann. Wenn hingegen ein kostenloses Ticket ausgewählt wurde, wird dieser Schritt übersprungen und mit dem vierten Schritt fortgefahren.
Im vierten Schritt wird eine Meldung zur erfolgreichen Registrierung angezeigt. Falls einzelne Schritte der Registrierung nicht abgeschlossen werden konnten, wird hingegen eine Fehlermeldung angezeigt. In jedem Fall wird auch die Zeichenfolge TransaktionsID gemeldet. Bewahren Sie die Transaktions-ID als künftige Referenz auf. Sie wird auch benötigt, wenn während der Registrierung oder bei einer Verbindungsherstellung Fehler auftreten. Im ersten Fall können Sie umgehend einen Hotspot-Administrator kontaktieren, um die Registrierung abzuschließen und die Zugangsdaten zu erhalten.
Anmelden
Nach der Anmeldung mit Benutzernamen und Passwort wird auf der Seite ein Feld mit Informationen zum Verbindungsstatus angezeigt. Diese Seite darf nicht geschlossen werden: Mit dem Schließen der Seite wird die Sitzung sofort beendet. In diesem Fall ist eine neue Anmeldung erforderlich, um auf den Hotspot zugreifen zu können. Folgende Informationen werden auf der Seite angezeigt:
Verbleibende Zeit Die Gesamtzeit, die noch zur Verfügung steht. Das Wort unbegrenzt wird angezeigt, wenn ein datenbasiertes Ticket verwendet wird.
Sitzungsdauer Die Dauer der aktuellen Sitzung
Verbleibender Datenverkehr Die Menge des verfügbaren Datenverkehrs für das aktuelle Ticket, angegeben in MB oder GB. Das Wort unbegrenzt wird angezeigt, wenn ein zeitbasiertes Ticket verwendet wird.
Sitzungsdatenverkehr Die Menge der während des Surfens ausgetauschten Daten. Es werden die Gesamtmenge sowie die herunter- und hochgeladen Datenmenge (in Klammern) angezeigt.
Menü „Hotspot“ Zeitüberschreitung im Leerlauf Ein Countdown, der die Leerlaufzeit des Geräts anzeigt, d. h. die Zeit, die seit der letzten Aktivität zwischen dem Gerät und dem Hotspot vergangen ist. Wenn der Countdown den Wert 0 erreicht, wird die Verbindung des Geräts automatisch getrennt.
Startzeit der Sitzung Der Zeitstempel mit der Startzeit der aktuellen Sitzung
Automatische Anmeldung deaktivieren Wenn das Kontrollkästchen aktiviert ist, muss sich der Benutzer ungeachtet der SmartLogin-Einstellungen bei einer neuen Verbindung erneut authentifizieren. Wenn das Kontrollkästchen deaktiviert ist, besteht keine Notwendigkeit für den Benutzer, sich bei einer neuen Verbindung mit dem Hotspot erneut zu authentifizieren.
Hinweis
Diese Option wird nur angezeigt, wenn die SmartLogin-Funktion durch den Hotspot-Administrator aktiviert wurde.
Unten im Bereich werden zwei Schaltflächen angezeigt.
Durchsuchen starten Wenn Sie auf diese linke Schaltfläche klicken, wird im Browser eine neue Registerkarte geöffnet, über die Sie zur Homepage des Hotspots gelangen.
Abmelden Wenn Sie auf diese Schaltfläche klicken, werden Sie umgehend vom Hotspot abgemeldet.
Neues Ticket
Vor dem Zugriff auf den Hotspot und das Internet müssen Benutzer ein gültiges Ticket erwerben. Der Kauf eines Tickets entspricht dem in Schritt 2 und Schritt 3 beschriebenen Vorgang der Registrierung.
urity SL. Zuletzt aktualisiert am 31. Januar 2014.
171
Menü „Protokolle und Berichte“ Menü „Protokolle und Berichte“ Im Protokollabschnitt der Panda GateDefender-Appliance können Protokolle umfangreich angezeigt und verwaltet werden.
Das Untermenü im linken Teil des Bildschirms enthält folgende Elemente:
Übersicht – das völlig neue Modul zur Berichterstattung Live Protokolle – Sofortansicht der neuesten Protokolleinträge Zusammenfassung – tägliche Zusammenfassung sämtlicher Protokolle System – Systemprotokolle (/var/log/messages), gefiltert nach Quelle und Datum Dienst – Protokolle aus dem Intrusion Detection System (IDS), OpenVPN und Antivirus Firewall – Protokolle von iptables-Regeln Proxy – HTTP-/SMTP-Protokolle und Protokolle aus Proxys mit Inhaltsfilterung Einstellungen – Anpassung aller Protokolloptionen Gesicherte Zeitstempel – Protokolldateien mit einem Zeitstempel versehen, um Änderungen festzustellen
Es gibt zwei Möglichkeiten, um über die GUI auf Protokolle zuzugreifen: Live und „dienstabhängig“: Im Live-Modus werden die Protokolldateien direkt nach ihrer Erstellung angezeigt. Im dienstabhängigen Modus werden nur die Protokolle angezeigt, die von einem bestimmten Daemon oder Dienst erzeugt werden.
Übersicht Die GUI zu Berichterstattung ist ein neues Modul, das mit Version 5.50 eingeführt wird, und dessen Zweck es ist, verschiedene Typen von Ereignissen im System grafisch darzustellen.
Kurz gesagt: Das Modul zur Berichterstattung zeigt Ereignisse auf der Panda GateDefender-Appliance mithilfe verschiedener Widgets und Diagramme an. Alle im System stattfindenden Ereignisse und die zugehörigen vom syslog-Daemon aufgezeichneten Informationen werden geparst und verwendet, um eine sqlite3-Datenbank aufzufüllen. Hier werden entsprechend den in der GUI angewendeten Optionen und Filtern Daten gesammelt und mithilfe der Widgets angezeigt.
Hinweis
Dieses Modul ist locker mit Ereignisbenachrichtigungen unter System ‣ Menüleiste ‣ Ereignisbenachrichtigungen verbunden. Alle dort aufgezeichneten Ereignisse und Ereignisse, für die E-Mail- oder SMS-Benachrichtigungen gesendet werden, sind ebenfalls hier ausgeführt. Umgekehrt gilt dies jedoch nicht.
Diese Seite ist in sechs Registerkarten unterteilt: Zusammenfassung, System, Web, Spam, Angriffe und Virus. Außer der ersten Registerkarte, die eine Zusammenfassung aller Ereignisse enthält, ist jede für einen bestimmten auf der Panda GateDefender-Appliance ausgeführten Dienst gedacht.
Gemeinsame Elemente Alle Registerkarten sind gleich aufgebaut: Unterhalb der Registerkarten befindet sich auf der linken Seite ein Element zur Datenauswahl und auf der rechten Seite die Schaltfläche Drucken. Außerdem sind ein Liniendiagramm mit einem horizontalen Schieberegler rechts unterhalb und oberhalb von informativen Felder (Summary Grid) und ein Kreisdiagramm vorhanden. Am unteren Ende befinden sich eine oder mehrere Tabellen, abhängig von der angezeigten Registerkarte und den Daten. Die Tabelle, welche die mit den angezeigten Ereignissen verbundenen syslog-Nachrichten enthält, wird immer angezeigt.
Es folgt eine detaillierte Beschreibung der vorhandenen Widgets im Modul zur Berichterstattung.
Datum auswählen
Auf der linken Seite der Benutzeroberfläche befindet sich ein Hyperlink, der den Zeitraum anzeigt, in dem die für die Diagramme ausgewählten Ereignisse aufgetreten sind. Durch Klicken auf diesen Link können Sie einem kleinen Bereich die Zeiträume ändern. Es gibt zwei Arten von Auswahlen: letzte ... Tage betrifft Ereignisse, die innerhalb des/der letzten Tages, Woche, Monats, Quartals oder Jahres stattgefunden haben. Im zweiten Fall werden alle Ereignisse ausgewählt, die in einem der letzten 12 Monate aufgetreten sind. Nach Auswahl eines neuen Zeitraums werden die anderen Widgets ebenfalls aktualisiert. Durch Klicken auf Abbrechen wird der angezeigte Zeitraum nicht geändert.
Drucken Durch Klicken auf diese Schaltfläche wird eine Druckvorschau der aktuellen Seite angezeigt, in der die Schaltfläche Drucken durch Zurück ersetzt ist. Außerdem wird ein Pop-up-Fenster geöffnet, in dem der Drucker ausgewählt werden kann.
Liniendiagramm und Zeitschieberegler:
Das Liniendiagramm zeigt das Ereignis zweidimensional an, das während des ausgewählten Zeitraums in der Panda GateDefenderAppliance aufgetreten ist. Die x-Achse entspricht dabei dem Zeitraum und die y-Achse zeigt die Anzahl der Vorkommnisse. Eine farbige Linie verbindet Ereignisse desselben Typs.
Tipp
Unterschiedliche Ereignistypen sind verschiedenfarbig dargestellt.
Der Zeitschieberegler unterhalb des Diagramms ermöglicht es, innerhalb des ausgewählten Zeitraums eine feinere Ansicht der hier als Histogramme dargestellten Ereignisse anzuzeigen. Die beiden grauen Ziehpunkte auf der linken und rechten Seite des Schiebereglers können angeklickt und gezogen werden, um den im Liniendiagramm angezeigten Zeitraum zu verkleinern. Bei Verkleinerung kann der Schieberegler auch bewegt werden, indem auf die Mitte geklickt wird und diese nach links oder rechts gezogen wird.
Summary Grid
Das Summary Grid erfüllt zwei Zwecke: Es dient zum einen die Anzeige der Vorkommnisse der unterschiedlichen Ereignistypen, die auf der Panda GateDefender-Appliance im ausgewählten Zeitraum aufgetreten sind und zum anderen der Filterung der Ereignistypen, die im Liniendiagramm angezeigt werden. Der Inhalt ändert sich entsprechend der Registerkarte, auf der es sich befindet, d. h. entsprechend den protokollierten Ereignistypen. Das Summary Grid ist nicht auf den Registerkarten Mail, Angriffe und Virus vorhanden, da es dort durch Tabellen mit Details zu den Ereignissen ersetzt wird.
Tortendiagramm
Das Kreisdiagramm zeigt grafisch die Anzahl der Ereignisse an, die im ausgewählten Zeitraum aufgetreten sind. Auf der Registerkarte Zusammenfassung kann jedes Segment angeklickt werden, um die entsprechende Registerkarte zu öffnen und eine detailliertere Darstellung anzuzeigen.
Syslog-Tabelle
Eine Tabelle, welche die syslog-Nachrichten anzeigt, die aus den Protokolldateien extrahiert wurden und mit den in den Diagrammen angezeigten Ereignissen verbunden sind. Wenn die Tabelle viele Nachrichten enthält, werden diese auf mehrere Seiten aufgeteilt, die mithilfe der Schaltflächen und Zahlen am unteren linken Rand durchsucht werden können. Am unteren rechten Rand befindet sich ein Symbol, das den Tabelleninhalt aktualisiert.
Zusammenfassung Die Registerkarte Zusammenfassung bietet eine Übersicht aller Ereigniskategorien, die in der Panda GateDefender-Appliance aufgezeichnet wurden. Das Summary Grid ermöglicht das Filtern nach folgenden Ereignistypen:
System (Grün): Anzahl der Anmeldungen und andere Ereignisse, die mit Systemverwaltungsaufgaben verbunden sind (Änderungen des Uplink-Status, Start und Stopp der Protokollierung usw.)
E-Mail (Dunkelgrau): Anzahl empfangener Spam-E-Mails Web (Blau): Anzahl der vom Inhaltsfilter blockierten Seiten
Virus (Rot): Anzahl gefundener Viren Einbruchsversuche (Gelb): Vom IPS aufgezeichnete Ereignisse
Jede Kategorie kann mit mehr Informationen und einer höheren Detailebene auf den anderen Registerkarten der Seite angezeigt werden. Siehe folgender Abschnitt.
System Die Registerkarte System enthält alle Ereignisse, die mit der Systemeffizienz und der Systemverwaltung zusammenhängen. Die folgenden Ereignisse werden angezeigt:
Uplink (Rot): Die Zeiten, zu denen der/die Uplink/s online oder offline gegangen sind. Status (Dunkelgrau): Änderungen im Status der Panda GateDefender-Appliance. Anmeldung (Blau): Die Anzahl erfolgreicher und fehlgeschlagener Anmeldungen. Laufwerk (Gelb): Ereignisse zum Lesen und Schreiben auf dem Laufwerk. Upgrade (Grün): Ereignisse, die sich auf ein Upgrade des Systems oder von Paketen beziehen. Support (Hellgrau): Anzahl der vom Supportteam durchgeführten Zugriffe und Operationen.
Durch Klicken auf das kleine Symbol auf der linken Seite jeder Ereigniskategorie werden die anderen Kategorien ausgeblendet, während die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.
Web Die Registerkarte Web zeigt die Anzahl der Seiten, die durch die URL-Filterengine blockiert wurden. Das Summary Grid besteht aus zwei Registerkarten: Zugriffsprotokoll und Filterprotokoll. Ersteres zeigt die blockierte URL unterteilt nach Quell-IP-Adresse, URL und Benutzer, die blockiert wurden, sowie die Gesamtzahl für jedes Element jeweils in einer Tabelle.
Die zweite Registerkarte zeigt in der ersten Tabelle die folgenden Kategorien, die im Webfilter verfügbar sind ( Siehe Menüleiste ‣ Proxy
‣ HTTP ‣ Webfilter).
Allgemeine Verwendung (Grün) Kindersicherung (Gelb) Produktivität (Blau) Sicherheit (Rot) Nicht kategorisierte Websites (Dunkelgrau)
Wie auf der Registerkarte System das kleine Symbol auf der linken Seite jeder Ereigniskategorie die anderen Kategorien aus, während die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.
Die anderen Tabellen am unteren Rand zeigen die Zähler für jedes der blockierten Objekte an: die Quell-IP-Adressen, die URLs und die Benutzer.
E-Mail Die Registerkarte E-Mail zeigt alle als Spam blockierten E-Mails an.
Es gibt kein Summary Grid auf dieser Registerkarte. Stattdessen befinden sich dort drei Tabellen mit Zählern für:
Von: den/die Absender der Spam-E-Mails An: der/die Empfänger der Spam-E-Mails Quell-IP-Adresse: die IP-Adresse, von der aus die Spam-E-Mail versendet wurde.
Einbruchsversuche
Die Registerkarte Einbruchsversuche zeigt alle vom IPS erkannten versuchten Einbrüche (siehe Menüleiste ‣
Dienste ‣
Einbruchsversuche).
Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:
Einbruchsversuche: die Kategorie, in die der jeweilige Versuch fällt, Quell-IP-Adresse: die IP-Adresse, von welcher der Angriff ausging, die Ziel-IP-Adresse, die IP-Adresse, auf die ein Angriff gestartet wurde.
Viren Die Registerkarte Viren zeigt alle von der Anti-Virus-Engine abgefangenen Viren (siehe Menüleiste ‣ Dienste ‣ Antivirus Engine).
Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:
Name des Virus: den Namen des gefundenen Virus, Quell-IP-Adresse: die IP-Adresse, unter der sich der Virus ursprünglich befand, die Ziel-IP-Adresse, die IP-Adresse, zu welcher der Virus geleitet wurde.
Verbindungen Die Registerkarte Verbindungen zeigt die durchschnittliche Anzahl von Verbindungen, die von Benutzern auf der Panda GateDefenderAppliance gestartet wurden, gruppiert nach:
lokalen Verbindungen, Zugriffen über SSH oder die Konsole, Hotspot-Benutzer: Benutzern, die auf den Hotspot zugreifen, IPsec-Benutzern, Clients, die über IPsec verbunden sind, OpenVPN-Benutzern und Clients, die über VPN verbunden sind.
Netzwerkmonitoring Die ntopng-Software ist der Nachfolger des Analysators für den ntop-Netzwerkdatenverkehr. Sie bietet eine intuitivere Benutzeroberfläche und mehr grafische Darstellungen des Datenverkehrs in der Panda GateDefender-Appliance.
Die Verwaltungsoberfläche von ntopng bietet nun mehr Benutzerfreundlichkeit und einen leichteren Zugriff von jedem Browser aus, wodurch sie fester mit der Panda GateDefender-Appliance verbunden ist als in vorherigen Versionen.
Kurzgesagt bietet ntopng folgende Funktionen:
Echtzeitüberwachung jeder Netzwerkschnittstelle der Panda GateDefender-Appliance Verwaltungsoberfläche mit Zugriff aus dem Internet Ressourcensparender als ntop Integration von nDPI (Anwendungsfirewall) Datenverkehrsanalyse nach verschiedenen Parametern (Protokoll, Quelle/Ziel) Export von Berichten in JSON-Format Speicher für Statistiken zum Datenverkehr auf dem Laufwerk
Die GUI von ntopng ist in vier Registerkarten aufgeteilt: Übersicht, Datenströme, Hosts und Schnittstellen. Darüber hinaus gibt es ein Suchfeld zur schnellen Anzeige von Informationen zu einem gegebenen Host.
In der Fußzeile jeder Registerkarte werden einige Informationen angezeigt: Neben einem Urheberrechtshinweis und einem Link zur Homepage von ntop ist ein Diagramm vorhanden, das den Netzwerkverkehr der letzten 20 Sekunden in Echtzeit anzeigt, sowie einige
numerische Daten zur momentan verbrauchten Bandbreite, der Anzahl der Hosts und Datenströme sowie der Betriebszeit der Panda GateDefender-Appliance.
Übersicht Die Übersicht zeigt alle für die Panda GateDefender-Appliance relevanten Verbindungen an. Dies sind alle hergestellten Datenströme, in welche die Panda GateDefender-Appliance involviert ist.
Die Seite ist unterteilt in verschiedene Diagramme, wobei das erste ein so genanntes Sankey-Diagramm ist, das alle Datenströme anzeigt, die sich auf der Panda GateDefender-Appliance bewegen, und in Echtzeit aktualisiert wird. Die horizontalen Datenströme zeigen den Datenverkehr zwischen zwei Hosts, während die vertikale Breite jedes Datenstroms proportional zur durch diesen Datenstrom verbrauchten Bandbreite ist, d. h. der Menge an strömenden Daten. Die Verbindungen – und damit auch die Richtung der gesendeten Daten – werden von links nach rechts angezeigt: Hosts auf der linken Seite des Diagramms senden Daten an Hosts auf der rechten Seite, und werden entweder über die IP-Adresse oder den Hostnamen identifiziert. Durch Klicken auf einen Host wird die Seite Übersicht auf der Registerkarte Hosts geöffnet, die verschiedene Informationen über diesen Host anzeigt.
Unterhalb des Sankey-Diagramms befinden sich vier rein informative Kreisdiagramme, die den Prozentsatz der Elemente anzeigen, die den meisten Datenverkehr generieren. Sie sind unterteilt in: Gesamt nach Host (oben links), Anwendungsprotokolle (oben rechts), ASNs (unten links) und Live-Datenstromsender (unten rechts).
Datenströme Die Registerkarte zu aktiven Datenströmen enthält eine große Tabelle mit verschiedenen Informationen über die aktiven Datenströme:
Info: Durch Klicken auf das Symbol wird eine neue Seite geöffnet, auf der detailliertere Informationen über diesen Datenstrom angezeigt werden.
Anwendung: Die den Datenstrom verursachende Anwendung. Zur Erkennung wird nDPI verwendet. Es kann daher notwendig sein, den Austausch einiger Pakete abzuwarten, damit die korrekte Anwendung angezeigt wird: In diesem Fall wird die Nachricht (Zu früh) anstelle des Namens der Anwendung angezeigt.
L4 Proto: Das vom Datenstrom verwendete Protokoll, das in der Regel TCP oder UDP ist. Kunde: Der Hostname und Port, der vom Datenstrom auf der Client-Seite verwendet wird. Durch Klicken auf den Hostnamen oder den Port werden auf einer neuen Seite weitere Informationen über den Netzwerkverkehr auf dem Host oder Port angezeigt.
Server: Der Hostname und Port der vom Datenstrom auf der Serverseite verwendet wird. Wie beim Client werden weitere Informationen angezeigt, wenn Sie auf den Hostnamen oder Port klicken.
Tipp
Durch Klicken auf den Hostnamen oder den Port zeigt die Tabelle detaillierte Informationen und es wird eine Unterregisterkarte auf der Registerkarte Hosts geöffnet.
Dauer: Die Dauer der Verbindung. Aufschlüsselung: Der prozentuale Wert des Datenverkehrs, der vom Client und Server generiert wird. Durchsatz: Die Datenmenge, die momentan zwischen Client (links in schwarz) und Server (rechts in grün) ausgetauscht wird. Gesamtanzahl Bytes: Die gesamte Datenmenge, die seit Verbindungsherstellung ausgetauscht wurde.
Am unteren Rand der Tabelle wird links die Gesamtanzahl der Zeilen angezeigt, während es auf der rechten Seite möglich ist, die verschiedenen Seiten zu durchsuchen, in welche die Tabelle unterteilt wird. Dies gilt, wenn die Anzahl der Zeilen größer als der Seitenumbruch ist.
Durch Klicken auf das Symbol Info werden detaillierte Informationen zu einem bestimmten Datenstrom angezeigt. Neben den bereits beschriebenen Daten werden außerdem folgende angezeigt.
Erste Sichtung: Der Zeitstempel zur Verbindungsherstellung zusammen mit der seit dem vergangenen Zeit Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit Client-zu-Server-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden Server-zu-Client-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden
TCP-Flags: Die TCP-Zustände des aktuellen Datenstroms
Durch Klicken auf den Hyperlink Datenströme links oberhalb der Tabelle wird die erste Liste der Datenströme erneut aufgerufen.
Hosts Die Registerkarte Hosts ermöglicht es, verschiedene Details über die involvierten Teilnehmer eines Datenstroms anzuzeigen: Host, Port, Anwendung, Datenströme und deren Dauer, Datenaustausch usw.
Es gibt zwei mögliche Darstellungen: Hostliste und Top-Hosts (lokal)
Die Darstellung Hostliste zeigt Informationen über alle Hosts, die in einem Datenstrom mit der Panda GateDefender-Appliance involviert sind, sowie die folgenden Daten darüber:
IP-Adresse: die IP- oder MAC-Adresse des Hosts. Letztere wird angezeigt, wenn der DHCP-Lease für diesen Host abgelaufen ist.
Standort: ob sich der Host im lokalen oder einem Remote-Netzwerk befindet. Symbolischer Name: Falls verfügbar, ist dies der Name des Hosts. Erste Sichtung: Der Zeitstempel der ersten Verbindungsherstellung ASN: Aufschlüsselung: Das Verhältnis zwischen ein- und ausgehendem Datenverkehr Datenverkehr: Die vom Host ausgetauschte Datenmenge.
Durch Klicken auf die IP-Adresse öffnet sich eine Host-Übersicht, die neben den bereits erwähnten Informationen weitere Details zum Host anzeigt:
Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit Aufschlüsselung für gesendeten und empfangenen Datenverkehr Der durch den Host generierte oder empfangene Datenverkehr
Gesendeter Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden Empfangener Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden JSON: Download-Informationen über den Host im JSON-Format. Aktivitätszuordnung: Anzahl der gesichteten Datenströme, in die der Host zu einem gegebenen Zeitstempel involviert war. Jedes Quadrat zeigt eine Minute, wobei eine dunklere Farbe mehr Datenströmen in dieser Minute entspricht.
Von hier aus können außerdem weitere informative Registerkarten über diesen Host geöffnet werden. Jede Registerkarte enthält eines oder mehrere Kreisdiagramme (bis auf die Registerkarten Kontakte und Verlauf) über einem Zusammenfassungstext der angezeigten Daten.
Datenverkehr: Das vom Host verwendete Netzwerkprotokoll (im Allgemeinen TCP, UDP und ICMP). Pakete: Die Länge in Paketen für jeden Datenstrom (Hinweis: Nur meine Vermutung). Protokolle: Das vom Host verwendete Anwendungsprotokoll Datenströme: Die Tabelle mit allen Netzwerkströmen der Hosts Sender: Das Sankey-Diagramm der Verbindungen. Dieses ist dem in der Übersicht sehr ähnlich, wobei dieses nur die aktivsten Datenströme anzeigt.
Kontakte: Diese Registerkarte unterscheidet sich leicht von den anderen. Am oberen Rand wird eine Interaktionsübersicht und am unteren Rand eine Liste der Verbindungen angezeigt, die den Host als Client oder Empfänger haben.
Verlauf: Ein interaktives Diagramm zeigt den Verlauf des
Datenverkehrs vom und zum Host innerhalb eines gegebenen Zeitraums (bis zu einem Jahr), der oberhalb des Diagramms ausgewählt werden kann.
Die Darstellung Top-Hosts (lokal) zeigt eine Echtzeitgrafik der Hosts, die aktive Verbindungen zum Host besitzen. Es werden die letzten 30 Minuten angezeigt.
Schnittstellen Die Registerkarte Schnittstellen ermöglicht es, aus den aktiven Netzwerkschnittstellen diejenige auszuwählen, deren Datenverkehr überwacht werden soll.
Hinweis
Es ist momentan nicht möglich, Datenströme und/oder Hosts von verschiedenen Schnittstellen auszuwählen.
Live Beim Aufrufen des Abschnitts Protokolle oder durch Klicken auf den Eintrag Live im Untermenü wird die Live Protokollanzeige angezeigt. Dort werden sämtliche Protokolldateien aufgelistet, die für die Echtzeitansicht zur Verfügung stehen. Sie können beliebig viele Protokolle durch Aktivieren der entsprechenden Kontrollkästchen zur Ansicht auswählen. Die Protokolle werden nach Betätigen der Schaltfläche Ausgewählte Protokolle anzeigen in einem neuen Fenster angezeigt. Um alle Protokolle gleichzeitig anzuzeigen, aktivieren Sie das Kontrollkästchen Alle auswählen direkt über der Schaltfläche Ausgewählte Protokolle anzeigen, und klicken Sie anschließend auf die letztgenannte Schaltfläche. Wenn Sie nur eine einzige Protokolldatei anzeigen möchten, klicken Sie einfach auf den Link Nur dieses Protokoll anzeigen.
Das nun angezeigte Fenster enthält zwei Felder – oben das Feld Einstellungen, unten das Feld Live Protokolle.
Warnung
Bei einer sehr hohen Zahl an Protokolleinträgen kann die Protokollliste bei gleichzeitiger Anzeige mehrerer Protokolle äußerst unübersichtlich werden (insbesondere bei der Firewall- oder Proxy-Protokollierung, bei der mehrere Protokolleinträge pro Sekunde erzeugt werden können). In solchen Fällen können Sie die Protokolle, die Sie anzeigen möchten, im Feld Einstellungen konfigurieren.
Einstellungen
In diesem Feld können Sie die Einstellungen der Protokollanzeige ändern. Sie können festlegen, welche Protokolldateien angezeigt werden sollen sowie Farbgebung und Hervorhebungsoptionen ändern. Außerdem können Sie nach bestimmten Schlüsselwörtern suchen.
Rechts im Feld werden die Liste der derzeit dargestellten Protokolle sowie die jeweilige farbliche Markierung angezeigt. Links im Feld werden einige zusätzliche Steuerelemente angezeigt, mit denen Sie die Ausgabe einschränken können:
Filter Es werden nur die Protokolleinträge angezeigt, die den festgelegten Ausdruck enthalten.
Zusätzliche Filter Funktion siehe oben; allerdings wird dieser Filter auf die Ausgabe des ersten Filters angewandt. Anders ausgedrückt: Es werden nur Protokolleinträge angezeigt, die beide Ausdrücke enthalten.
Ausgabe aussetzen Durch Betätigen dieser Schaltfläche werden neue Protokolleinträge nicht im Live-Protokoll angezeigt. Nach erneutem Betätigen der Schaltfläche werden alle neuen Einträge gleichzeitig angezeigt. Die älteren Einträge werden dabei schnell durchlaufen.
Hervorhebung
Sämtliche Protokolleinträge, die diesen Ausdruck enthalten, werden durch einen ausgewählten Farbton hervorgehoben. Der Unterschied zur Filteroption besteht darin, dass auch weiterhin sämtliche Inhalte angezeigt werden und die Protokolleinträge, die den betreffenden Ausdruck enthalten, zusätzlich farblich hervorgehoben werden.
Farbe für Hervorhebungen Durch Klicken auf das farbige Quadrat kann der zur Hervorhebung zu verwendende Farbton ausgewählt werden.
Automatisch scrollen Diese Option steht nur zur Verfügung, wenn die Option In umgekehrter chronologischer Reihenfolge sortieren im Abschnitt Menüleiste ‣ Protokolle ‣ Einstellungen deaktiviert ist. Dadurch werden alle neuen Einträge unten auf der Seite angezeigt: Wenn diese Option aktiviert ist, wird die Liste nach oben gescrollt, um die neuesten Einträge am Ende der Seite anzuzeigen. Anderenfalls werden nur die älteren Einträge angezeigt, und die Bildlaufleiste auf der rechten Seite muss zur Ansicht der neuen Protokolleinträge verwendet werden.
Um Protokolle zur Ansicht hinzuzufügen oder von der Ansicht zu entfernen, klicken Sie auf den Link Mehr anzeigen direkt unter der Liste mit den Protokolldateien (rechts oben). Die Steuerelemente werden durch eine Tabelle ersetzt, in der Sie die gewünschten Protokolldateien durch Aktivieren bzw. Deaktivieren der entsprechenden Kontrollkästchen auswählen können. Um die Farbe einer Protokolldatei zu ändern, klicken Sie für den entsprechenden Protokolltypen auf Farbpalette und wählen Sie die gewünschte Farbe aus. Um die Steuerelemente wieder anzuzeigen, klicken Sie auf einen der Links Schließen unter der Tabelle bzw. unter der Liste der angezeigten Protokolldateien.
Live Protokolle
Die zur Ansicht ausgewählten Protokolle werden in diesem Feld angezeigt, das eine Tabelle mit drei Spalten enthält.
Linke Spalte Diese Spalte enthält den Protokollnamen, d. h. den Namen des Daemons bzw. Dienstes, der den Protokolleintrag erzeugt.
Mittlere Spalte Der Zeitstempel (Datum und Uhrzeit) des aufgezeichneten Ereignisses.
Rechte Spalte Die vom Dienst bzw. Daemon erstellte und in den Protokolldateien erfasste Meldung.
Hinweis
Einige Protokollnachrichten – besonders Firewall-Einträge – umfassen mehr als eine Zeile, was durch die Schaltfläche
rechts neben
der Nachricht angezeigt wird. Klicken Sie auf diese Schaltfläche, um die gesamte Nachricht anzuzeigen.
Schließlich können Sie auch das Fenster vergrößern bzw. verkleinern, indem Sie auf die Schaltflächen Fensterhöhe vergrößern bzw. Fensterhöhe reduzieren klicken, die sich in der Feldüberschrift befinden.
Gemeinsame Aktionen In den Untermenüeinträgen System, Dienst, Firewall und Proxy werden Protokolldateien verschiedener Dienste und Daemons angezeigt, die nach ähnlichen Merkmalen gruppiert sind. Es stehen verschiedene Steuerelemente zur Verfügung, mit denen Protokolle durchsucht bzw. einzelne Protokolleinträge angezeigt werden können. Viele Steuerelemente sind für alle Dienste und Daemons identisch. Nur beim Menüelement System und der Registerkarte HTTP Report unter Proxy stehen zusätzliche Steuerelemente zur Verfügung. Die Seiten der Untermenüeinträge sind in gleicher Art und Weise in zwei Felder gegliedert: oben das Feld Einstellungen, unten das Feld Protokoll.
Filter Es werden nur die Zeilen angezeigt, die den festgelegten Ausdruck enthalten.
Gehe zu Datum Protokolleinträge ab dem angegebenen Datum werden angezeigt.
Gehe zur Seite Protokolleinträge von dieser Seite werden direkt im Resultset angezeigt. Die Anzahl der angezeigten Einträge pro Seite kann auf der Seite Menüleiste ‣ Protokolle ‣ Einstellungen geändert werden.
Aktualisieren Nach dem Vornehmen der oben genannten Einstellungen können Sie durch Betätigen dieser Schaltfläche den Seiteninhalt aktualisieren. Die Seite wird nicht automatisch aktualisiert.
Exportieren Durch Betätigen dieser Schaltfläche werden die Protokolleinträge in eine Textdatei exportiert.
Protokoll signieren Durch Betätigen dieses Links wird das aktuelle Protokoll signiert. Die Schaltfläche ist nur verfügbar, wenn Gesicherter Zeitstempel aktiviert ist.
Älter, Neuer Diese beiden Schaltflächen finden Sie im Feld Protokoll. Sie werden angezeigt, wenn die Anzahl der Einträge stark ansteigt. In diesem Fall werden die Einträge in zwei oder mehrere Teile gegliedert. Mithilfe dieser Schaltflächen können Sie ältere oder neuere Einträge aus den Suchergebnissen anzeigen.
Hinweis
Eine Meldung oben auf der Seite informiert Sie, wenn für ein bestimmtes Datum keine Protokolle verfügbar sind. Dies kann vorkommen, wenn der Daemon bzw. Dienst nicht aktiv war oder keine Nachricht erzeugt hat.
Im nachfolgenden Teil dieses Abschnitts werden sämtliche Dienste und die dazugehörigen Einstellungen beschrieben.
Zusammenfassung Diese Seite enthält Zusammenfassungen für die Protokolle, die von der Panda GateDefender-Appliance erstellt werden, getrennt nach Tagen und generiert von der Protokollüberwachungssoftware logwatch. Im Gegensatz zu den anderen Teilen des Protokollbereichs stehen hier Einstellungen zur Verfügung, mit denen Sie die Ausführlichkeit der Informationen bestimmen können. Folgende Steuerelemente sind im ersten Feld am Seitenanfang verfügbar:
Monat Wählen Sie aus diesem Dropdown-Menü den Monat aus, in dem die Protokollmeldungen erstellt wurden.
Tag Im zweiten Dropdown-Menü können Sie den Tag auswählen, an dem die Protokollmeldungen erstellt wurden.
Durchsuchen Sie den Protokollverlauf, indem Sie mithilfe der Schaltflächen die einzelnen Tage auswählen (oder abschnittsweise, wenn zu viele Meldungen am selben Tag erstellt wurden). Der Seiteninhalt wird automatisch aktualisiert.
Aktualisieren
Sofortige Aktualisierung des Seiteninhalts bei Änderung der Angaben zum Monat/Tag.
Exportieren Durch Betätigen dieser Schaltfläche wird die Zusammenfassung in Textform angezeigt und kann auf dem lokalen Dateisystem gespeichert werden.
Unterhalb des Feldes Einstellungen wird – abhängig von den ausgeführten Diensten, für die Protokolleinträge verfügbar sind – eine variable Anzahl von Feldern angezeigt. Hierbei sollte das Feld Speicherplatz möglichst sichtbar sein, da es den verfügbaren Speicherplatz zum gewählten Zeitpunkt anzeigt. Weitere Felder, die zusätzlich angezeigt werden können, sind Postfix (E-MailWarteschlange) und Firewall (akzeptierte und abgelehnte Pakete).
Beachten Sie, dass keine Zusammenfassungen für den aktuellen Tag verfügbar sind. Diese werden über Nacht aus den am Tag zuvor erzeugten Protokolldateien erstellt.
System In diesem Abschnitt wird die Protokollanzeige für die verschiedenen Systemprotokolldateien angezeigt. Im oberen Feld Einstellungen werden die Kriterien für die Ansicht der Einträge im unteren Feld festgelegt. Neben den gemeinsamen Aktionen steht ein zusätzliches Steuerelement zur Verfügung:
Abschnitt Die Protokolltypen, die angezeigt werden sollten – entweder Alle oder nur diejenigen, die sich auf einen bestimmten Dienst oder Daemon beziehen. Unter anderem sind dies Kernelmeldungen, Zugriffe über SSH, NTP usw.
Klicken Sie dem Beispiel in diesem Abschnitt entsprechend auf die Schaltfläche Aktualisieren, um die im Feld Protokoll angezeigten Protokolle am Ende der Seite zu aktualisieren. Im genannten Feld können Sie mithilfe der Schaltflächen Ältere und Neuere die Seiten durchsuchen.
Dienst In diesem Abschnitt werden die Protokolleinträge der zwei wichtigsten Dienste angezeigt, die von der Panda GateDefender-Appliance bereitgestellt werden: IDS, OpenVPN und Panda Anti-Virus. Diese Dienste verfügen jeweils über eine eigene Registerkarte. Nur die gemeinsamen Aktionen sind verfügbar.
Firewall Die Protokollanzeige der Firewall enthält die Meldungen über die Aktivitäten der Firewall. Nur die gemeinsamen Aktionen sind verfügbar.
Folgende Informationen werden in der Tabelle angezeigt:
Zeit Der Zeitstempel zur Erstellung der Nachricht
Chain: Die Chain, über die das Paket geleitet wurde
Iface: Die Schnittstelle, über die das Paket geleitet wurde
Proto: Der Prototyp des Pakets
Quelle, Quellport: Die IP-Adresse und der Port, von der/dem das Paket gekommen ist
MAC Adresse Die MAC-Adresse der Quellschnittstelle
Ziel, Zielport: Die IP-Adresse und der Port, zu der/dem das Paket geleitet wurde.
Proxy In der Protokollanzeige des Proxy werden die Protokolle für die vier Daemons angezeigt, die den Proxy verwenden. Jeder Daemon hat eine eigene Registerkarte: Squid (HTTP), DansGuardian (Inhaltsfilter), SARG (HTTP Report) und SMTPD (SMTP, E-Mail-Proxy).
HTTP- und Inhaltsfilter Zusätzlich zu den gemeinsamen Aktionen können bei der Protokollanzeige für den HTTP-Proxy und den Inhaltsfilter folgende Werte angegeben werden:
Quell-IP-Adresse Zeigt nur die Protokolleinträge mit der gewünschten Quell-IP-Adresse an, die aus einem Dropdown-Menü ausgewählt wird.
Ignorieren-Filter Ein regulärer Ausdruck, mit dem sämtliche Protokolleinträge herausgefiltert werden, die den betreffenden Ausdruck enthalten.
Ignorieren-Filter aktivieren Aktivieren Sie dieses Kontrollkästchen, um den Ignorieren-Filter vorübergehend zu deaktivieren.
Standardwerte wiederherstellen Durch Betätigen dieser Schaltfläche werden die standardmäßig eingestellten Suchparameter wiederhergestellt.
HTTP Report Die Registerkarte HTTP Report bietet lediglich eine Option: Sie können den Proxyanalysengenerator aktivieren bzw. deaktivieren, indem Sie das Kontrollkäschen Aktivieren aktivieren und anschließend auf die Schaltfläche Speichern klicken. Nach Aktivieren des Analysengenerators werden durch Klicken auf die Links Täglicher Report, Wöchentlicher Report und Monatlicher Report detaillierte HTTP-Berichte angezeigt.
SMTP Nur die gemeinsamen Aktionen sind in der Registerkarte des Postfix-Daemons verfügbar.
Einstellungen Diese Seite enthält alle allgemeinen Konfigurationselemente für die Protokollierungsfunktionen der Panda GateDefender-Appliance, die in vier Felder unterteilt sind: Sie sind in vier Felder unterteilt: Protokoll Ansichtsoptionen, Protokollübersicht, Remote logging und Firewall Log.
Protokoll Ansichtsoptionen
Anzahl der anzuzeigenden Zeilen Der Wert Paginierung, d. h. wie viele Zeilen pro Berichtseite angezeigt werden.
In umgekehrter chronologischer Reihenfolge sortieren Wenn dieses Kontrollkästchen aktiviert ist, werden die neuesten Protokolleinträge zuerst angezeigt.
Protokollübersicht
Zusammenfassungen für __ Tage aufheben Hier können Sie festlegen, wie lange die Protokollübersichten vor dem Löschen auf der Festplatte gespeichert werden sollen.
Detaillierungsgrad Die Detailstufe, die für die Protokollübersicht anzuwenden ist: je höher der Detaillierungsgrad, desto mehr Protokolleinträge werden gespeichert und angezeigt. Das Dropdown-Menü bietet drei Detaillierungsgrade: Niedrig, Mittel und Hoch.
Remote logging:
Aktiviert (Remote logging) Durch Aktivieren dieses Kästchens wird die Remote-Protokollierung aktiviert. Mithilfe der folgenden Option kann der Hostname des syslog-Servers eingegeben werden.
Syslog Server: Der Hostname des Remote-Servers, an den die Protokolle gesendet werden. Der Server muss die neuesten syslogProtokollstandards der IETF unterstützen.
Firewall Log
Pakete mit verdächtigen TCP Flags protokollieren Wenn diese Option aktiviert ist, protokolliert die Firewall Pakete mit einer fehlerhaften Konstellation der TCP-Flag (z. B. wenn alle Flags gesetzt sind).
NEUE Verbindungen ohne SYN Flag protokollieren Wenn diese Option aktiviert ist, werden alle neuen TCP-Verbindungen ohne SYN Flag protokolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren Um alle akzeptierten ausgehenden Verbindungen zu protokollieren, muss dieses Kontrollkästchen aktiviert sein.
Abgelehnte Pakete protokollieren Bei Aktivierung dieser Option werden alle abgelehnten Pakete von der Firewall protokolliert.
Gesicherte Zeitstempel Das gesicherte Zeitstempeln ist ein Prozess, dem Protokolldateien (und generell sämtliche Dokumente) unterzogen werden, um ihre Herkunft und die Übereinstimmung mit dem Original zu prüfen und zu bestätigen. Anders ausgedrückt: Durch das gesicherte Zeitstempeln kann man überprüfen und bestätigen, dass eine Protokolldatei in keinster Weise von irgendeiner Person geändert wurde, auch nicht vom ursprünglichen Verfasser. Im Falle von Protokolldateien hat sich das gesicherte Zeitstempeln zur Überprüfung der Zugriffe auf das System oder der Verbindungen von VPN-Benutzern als nützlich erwiesen, selbst im Falle unabhängiger Nachprüfungen.
Menü „Protokolle und Berichte“ Das gesicherte Zeitstempeln ist standardmäßig nicht aktiviert. Es lässt sich jedoch mit nur einem Klick auf den grauen Schalter aktivieren. Wenn der Schalter auf grün wechselt, werden einige Konfigurationsoptionen angezeigt.
URL des Servers zur Erstellung der Zeitstempel Die URL des Servers zur Erstellung der Zeitstempel (auch TSA genannt) ist zwingend erforderlich, da die Protokolldateien von diesem Server signiert werden.
Hinweis
Für das gesicherte Zeitstempeln wird eine gültige URL von einem gültigen TSA benötigt. Verschiedene Unternehmen bieten diesen Dienst an.
HTTP Authentifizierung Aktivieren Sie das Kontrollkästchen unter HTTP Authentifizierung, wenn für den zur Erstellung der Zeitstempel verwendeten Server eine Authentifizierung erforderlich ist.
Benutzername Der Benutzername, der zur Authentifizierung auf dem betroffenen Server verwendet wird.
Kennwort Das Passwort, das zur Authentifizierung auf dem betroffenen Server verwendet wird.
Öffentlicher Schlüssel des Zeitstempel-Servers Zur Erleichterung der Kommunikation und zur Erhöhung der Sicherheit kann der öffentliche Schlüssel des Servers importiert werden. Sie können die Zertifikatsdatei auf dem lokalen Computer suchen, indem Sie auf die Schaltfläche Durchsuchen... klicken, und Sie sie anschließend in der Panda GateDefender-Appliance durch Betätigen der Schaltfläche Hochladen hochladen. Nachdem das Zertifikat gespeichert wurde, wird neben der Bezeichnung Öffentlicher Schlüssel des ZeitstempelServers ein Download-Link angezeigt, der für den Erhalt des Zertifikats angeklickt werden kann, wenn dieses beispielsweise auf einer weiteren Panda GateDefender-Appliance installiert werden soll.
Nachdem Sie auf die Schaltfläche Speichern geklickt haben, werden die Einstellungen gespeichert. Am nächsten Tag wird im Abschnitt Protokolle rechts neben dem Feld Einstellungen eine neue Schaltfläche angezeigt.
Protokollsignatur überprüfen Wenn Sie auf diese Schaltfläche klicken, wird eine Meldung in einem gelben Textfeld angezeigt, die Sie über den Protokollstatus informiert.
Siehe auch
Die offizielle OpenSSL-Zeitstempeldokumentation und RFC 3161, in denen das Zeitstempelprotokoll erstmals definiert wurde.
Dokumentation für Panda GateDefender 5.50 » © Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
185
Glossar Glossar Paket Ein Feld ist ein Element einer Dienstseite, das verschiedene Konfigurationsoptionen enthält.
Client Ein Benutzer, der eine Verbindung mit dem Hotspot herstellt. Dieser wird gelegentlich auch als Hotspot-Benutzer bezeichnet.
GRÜNE IP-Adresse Die IP-Adresse der GRÜNEN Zone, also die IP-Adresse des LAN, in dem sich die Panda GateDefender-Appliance befindet.
Modul Module sind die in der Hauptnavigationsleiste angezeigten Elemente (System, Status, Protokolle usw.), die eine Menge von Funktionen gruppieren.
Mehrfachauswahlfeld Ein spezielles Feld, bei dem rechts eine Liste verfügbarer Elemente, links eine Liste „aktiver“ bzw. ausgewählter Elemente und darüber ein Suchtextfeld angezeigt wird. Bei manchen Mehrfachauswahlfeldern kann für zulässige Elemente auch ein Merkmal angegeben werden (z. B. ob das Element erforderlich oder optional ist).
Paginierung Das Aufteilen einer umfangreichen Tabelle in zwei oder mehr Teile zur getrennten Anzeige, wenn die Anzahl der Einträge den Paginierungswert überschreitet. Diese Funktion ist derzeit nur für den Hotspot und die Protokolle verfügbar. Der Wert kann unter Hotspot ‣ Einstellungen und Menüleiste ‣ Protokolle ‣ Einstellungen definiert werden. Durch Klicken auf die Links Anfang, Vor, Nächste und Ende über der Tabelle kann durch die Seiten geblättert werden.
Plugin Plugins sind die Felder in der Übersicht.
Smarthost Ein SMTP-Relayserver, von dem eine E-Mail nicht direkt an den Empfänger zugestellt, sondern an einen Zwischenserver gesendet wird, durch den die endgültige Zustellung erfolgt. Für Smarthosts ist im Gegensatz zu offenen Relayservern in der Regel eine Authentifizierung erforderlich.
Registerkarte Registerkarten sind Unterseiten eines Hauptdienstes, die verwendet werden, um alle Konfigurationsoptionen dieses Dienstes aufzuteilen und zu organisieren.
Die Zonen Jedes der vier Subnetze, die von der Panda GateDefender-Appliance verwaltet werden: GRÜN, ROT, BLAU und ORANGE.
Benutzer Eine Person, welche die Panda GateDefender-Appliance verwendet.
Printed Documentation Benutzeragent Die Zeichenkette, die von jedem Webbrowser beim Anfordern einer Webseite zu Identifizierungszwecken gesendet wird. Sie enthält verschiedene Informationen zum Browser und zum System. Zum Beispiel:
Mozilla/5.0 (X11; U; Linux i586; it; rv:5.0) Gecko/20100101 Firefox/5.0
Eine
vollständige
Liste
von
Zeichenketten
für
Benutzeragenten
kann
auf
folgender
Website
gefunden
werden:
http://www.useragentstring.com/
Widgets Ein Element einer GUI, das Informationen anzeigt und manchmal interaktiv ist, d. h. Benutzer können damit interagieren, um die darin befindlichen Informationen zu ändern.
okumentation für Panda GateDefender 5.50 » © Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
188
Quicksheet – Wo finde ich die folgenden Optionen? Quicksheet – Wo finde ich die folgenden Optionen? Hotspot
Hotspot verwalten: Menüleiste ‣ Hotspot ‣ Administrationsschnittstelle oder https://GREENIP:10443/admin/ (Anhang ‚/‘ beachten!)
Hotspot-Benutzerkonto bearbeiten: https://GREENIP:10443/admin/infoedit/ (Anhang ‚/‘ beachten!) Hotspot-Benutzerkonto hinzufügen: Menüleiste ‣ Hotspot ‣ Konten ‣ Neues Konto erstellen. SmartConnect und SmartLogin aktivieren: Menüleiste ‣
Hotspot ‣
Administrationsinterface ‣
Einstellungen ‣
SmartConnect.
Netzwerk
BLAUE/ORANGE Zone aktivieren/deaktivieren: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 2.
Host- und Domänennamen ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 3.
Domänennamen nach Zonen ändern: Menüleiste ‣ Dienste ‣ DHCP Server.
Uplink hinzufügen: Menüleiste ‣ Netzwerk ‣ Schnittstellen.
Bandbreite pro Schnittstelle begrenzen: Menüleiste ‣ Dienste ‣ Quality of Service.
VLAN hinzufügen/konfigurieren: Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ VLANs.
Anti-Spyware und -Malware konfigurieren: Menüleiste ‣ Proxy ‣ POP3 ‣ Spamfilter, Menüleiste ‣ Proxy ‣ DNS ‣ AntiSpyware.
Anti-Spam konfigurieren: Menüleiste ‣ Proxy ‣ SMTP ‣ Spameinstellungen, Menüleiste ‣ Dienste ‣ Spam-Training.
Anti-Virus konfigurieren: Menüleiste ‣ Dienste ‣ Antivirus-Engine, Menüleiste ‣ Proxy ‣ [HTTP/POP3/FTP/SMTP].
Verschiedenes
Standard-E-Mail-Adresse ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 6.
Support-Ticket öffnen: Menüleiste ‣ System ‣ Support.
Spracheinstellung für GUI ändern: Menüleiste ‣ GUI-Einstellungen
Lizenz anzeigen: Menüleiste ‣ System ‣ Lizenzbestimmungen
Erstellung gesicherter Zeitstempel konfigurieren: Menüleiste ‣ Protokolle ‣ Gesicherte Zeitstempel erstellen.
Auf Werkseinstellungen zurücksetzen: Menüleiste ‣ System ‣ Datensicherung.
Security SL. Zuletzt aktualisiert am 31. Januar 2014.
GNU-Lizenz für freie Dokumentation GNU-Lizenz für freie Dokumentation GNU-Lizenz für freie Dokumentation
Version 1.2, November 2002
Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA 02110-1301, USA Jeder darf diese Lizenzurkunde vervielfältigen und unveränderte Kopien davon verbreiten. Änderungen daran sind jedoch nicht erlaubt.
1.
PRÄAMBEL
Der Zweck dieser Lizenz ist es, ein Handbuch, Fachbuch oder ein anderes Dokument „frei“ im Sinne von Freiheit anzufertigen, d. h. jedem die Freiheit zuzusichern, es zu kopieren und mit oder ohne Änderungen sowohl kommerziell als auch nicht kommerziell weiterzuverbreiten. Weiterhin ermöglicht diese Lizenz dem Verfasser oder Herausgeber, Anerkennung für seine Arbeit zu erhalten, ohne für Änderungen, die durch Dritte vorgenommen wurden, verantwortlich gemacht zu werden.
Diese Lizenz ist eine Art „Copyleft“, was bedeutet, dass von dem Dokument abgeleitete Werke ihrerseits im selben Sinne frei sein müssen. Sie ergänzt die GNU General Public License, eine für freie Software entworfene Copyleft-Lizenz.
Diese Lizenz wurde für Handbücher für freie Software entworfen, da freie Software freie Dokumentation benötigt: Ein freies Programm sollte Handbücher bereitstellen, welche dieselben Freiheiten wie die Software selbst bieten. Diese Lizenz ist jedoch nicht auf Software-Handbücher beschränkt; sie kann für jedes textliche Werk verwendet werden, unabhängig vom Thema oder ob es als ein gedrucktes Buch veröffentlicht wird. Wir empfehlen diese Lizenz prinzipiell für Werke, die Anleitungs- oder Referenzzwecken dienen.
1.
ANWENDBARKEIT UND DEFINITIONEN
Diese Lizenz gilt – unabhängig vom verwendeten Medium – für jedes Handbuch oder sonstiges Werk, das einen vom Urheberrechtsinhaber eingefügten Hinweis enthält, dass das Werk gemäß den Bedingungen dieser Lizenz verbreitet werden darf. Ein solcher Hinweis gewährt eine weltweit gültige, gebührenfreie Lizenz von unbefristeter Dauer zur Verwendung des Werks gemäß den hierin festgelegten Bedingungen. Der Begriff „Dokument“ wird im Folgenden für all diese Handbücher und Werke verwendet. Jede Person kann Lizenznehmer sein und wird im Folgenden mit „Sie“ bezeichnet. Sie akzeptieren diese Lizenz, wenn Sie ein Dokument auf eine Art und Weise kopieren, verändern oder verteilen, für die Sie gemäß dem jeweils geltenden Urheberrecht eine Erlaubnis benötigen.
Eine „modifizierte Version“ des Dokuments bezeichnet jedes Werk, das das Dokument als Ganzes oder in Teilen enthält, entweder wortwörtlich kopiert oder mit Änderungen versehen und/oder in eine andere Sprache übersetzt.
Ein „sekundärer Abschnitt“ ist ein benannter Anhang oder ein Einleitungsabschnitt des Dokuments, der sich ausschließlich mit dem Verhältnis der Herausgeber oder Verfasser des Dokuments zum Hauptthema des Dokuments befasst (oder damit in Verbindung stehenden Sachverhalten) und nicht unmittelbar das Hauptthema behandelt. (Wenn das Dokument zu einem Fachbuch über Mathematik gehört, darf ein sekundärer Abschnitt beispielsweise kein mathematisches Thema erläutern.) Thema eines solchen Abschnitts könnte ein historischer Zusammenhang zum Hauptthema oder anderen relevanten Sachverhalten sein oder die rechtliche, kommerzielle, philosophische, ethische oder politische Position der Herausgeber bzw. Verfasser ausdrücken.
Die „unveränderlichen Abschnitte“ sind bestimmte sekundäre Abschnitte, deren Titel in dem Lizenzhinweis, der das Dokument unter diese Lizenz stellt, als unveränderliche Abschnitte aufgeführt sind. Wenn ein Abschnitt nicht der obigen Definition von „sekundär“ entspricht, dann ist es nicht erlaubt, ihn als „unveränderlich“ zu kennzeichnen. Das Dokument muss keine unveränderlichen Abschnitte enthalten. Wenn das Dokument keine unveränderlichen Abschnitte kennzeichnet, dann gibt es keine.
Die „Umschlagtexte“ sind kurze Textpassagen, die als vordere oder hintere Umschlagtexte im Lizenzhinweis aufgeführt sind. Ein vorderer Umschlagtext kann bis zu 5 Wörter enthalten, ein hinterer Umschlagtext bis zu 25 Wörter.
Eine „transparente“ Kopie des Dokumentes bezeichnet eine maschinenlesbare Kopie in einem Format, dessen Spezifikationen allgemein verfügbar und geeignet sind, das Dokument problemlos mit herkömmlichen Texteditoren oder (für aus Pixeln bestehende Bilder) herkömmlichen Bildbearbeitungsprogrammen oder (für Zeichnungen) einem weit verbreiteten Zeicheneditor zu überarbeiten, und das als Eingabe für Textformatierungsprogramme oder für die automatische Konvertierung in eine Reihe unterschiedlicher Formate verwendet werden kann, die ihrerseits als Eingabe für Textformatierungsprogramme verwendet werden können. Eine in einem ansonsten transparenten Dateiformat erstellte Kopie, dessen Markup oder fehlendes Markup eine nachträgliche Modifikation durch Leser erschweren oder verhindern soll, gilt nicht als transparent. Ein Bildformat ist nicht transparent, wenn es für eine substantielle Menge von Text verwendet wird. Eine Kopie, die nicht „transparent“ ist, wird „undurchsichtig“ genannt.
Beispiele von geeigneten Formaten für transparente Kopien sind uncodierter ASCII-Text, Texinfo, LaTeX, SGML oder XML unter Verwendung einer öffentlich zugänglichen DTD und standardkonformes einfaches HTML, PostScript oder PDF, sofern Änderungen durch andere Personen ermöglicht werden. Beispiele für transparente Bildformate beinhalten PNG, XCF
und
JPG.
Undurchsichtige
Formate
beinhalten
proprietäre
Formate,
die
nur
mit
proprietären
Textverarbeitungssystemen gelesen und bearbeitet werden können, SGML oder XML, für welche die DTD und/oder Bearbeitungswerkzeuge nicht allgemein verfügbar sind, und maschinengeneriertes HTML, PostScript oder PDF, das von manchen Textverarbeitungsprogrammen nur zu Ausgabezwecken erzeugt wird.
Mit „Titelseite“ wird in einem gedruckten Buch die Titelseite selbst sowie die darauf folgenden Seiten bezeichnet, die in lesbarer Form enthalten, was gemäß dieser Lizenz auf der Titelseite erscheinen muss. Für Werke, die in Formaten vorliegen, die keine Titelseiten haben, gilt als „Titelseite“ der Text, der der auffälligsten Darstellung des Titels des Werkes direkt folgt, aber noch vor dem Inhalt des Werkes steht.
Ein Abschnitt „Mit dem Titel XYZ“ bezeichnet eine benannte Untereinheit des Dokuments, dessen Titel entweder genau XYZ ist oder XYZ in runden Klammern an Text anschließt, welcher XYZ in eine andere Sprache übersetzt. (XYZ steht hier für
einen
bestimmten
„Acknowledgements“
Abschnittsnamen,
(„Danksagungen“),
der
im
„Dedications“
Folgenden („Widmungen“),
erwähnt
wird,
„Endorsements“
wie
zum
Beispiel
(„Billigungen“)
oder
„History“ („Verlauf“).) Den „Titel“ eines solchen Abschnitts „beizubehalten“, wenn Sie das Dokument modifizieren, bedeutet, dass dieser ein Abschnitt „Mit dem Titel XYZ“ gemäß dieser Definition bleibt.
Das Dokument kann im Anschluss an den Hinweis, der besagt, dass das Dokument unter dieser Lizenz freigegeben ist, Haftungsausschlüsse enthalten. Diese Haftungsausschlüsse sind durch ihre Erwähnung Teil dieser Lizenz, sofern sie sich ausschließlich auf den Ausschluss von Gewährleistungen beziehen: Andere Auswirkungen dieser Ausschlüsse sind nichtig und unwirksam im Sinne dieser Lizenz.
2.
WORTWÖRTLICHE VERVIELFÄLTIGUNG
Sie dürfen das Dokument auf jedem Medium sowohl kommerziell als auch nicht kommerziell kopieren und verbreiten, vorausgesetzt, dass diese Lizenz, die Urheberrechtshinweise sowie der Lizenzhinweis, der besagt, dass diese Lizenz auf das Dokument anzuwenden ist, in allen Kopien wiedergegeben wird, und dass keine weiteren Bedingungen jeglicher Art zu den Bedingungen dieser Lizenz hinzugefügt werden. Sie dürfen keine technischen Maßnahmen treffen, um das Lesen oder das weitere Kopieren von durch Sie erstellten oder verbreiteten Kopien zu erschweren oder zu kontrollieren. Allerdings dürfen Sie eine Vergütung für Kopien akzeptieren. Wenn Sie eine ausreichend große Menge von Kopien verbreiten, müssen Sie zusätzlich die Bestimmungen in Abschnitt 3 beachten.
Sie dürfen außerdem gemäß den oben aufgeführten Bedingungen Kopien verleihen oder diese öffentlich präsentieren.
3.
VERVIELFÄLTIGUNG GROSSER MENGEN
Wenn Sie gedruckte Kopien des Dokuments (oder Kopien für Medien, die üblicherweise über gedruckte Umschläge verfügen) in einer Stückzahl von mehr als 100 veröffentlichen und der Lizenzhinweis des Dokuments Umschlagtexte verlangt, müssen die Kopien in Hüllen verpackt sein, die alle diese Umschlagtexte klar und lesbar enthalten: Die vorderen Umschlagtexte auf dem vorderen Umschlag, die hinteren Umschlagtexte auf dem hinteren Umschlag. Beide Umschläge müssen außerdem klar und lesbar Sie als den Herausgeber dieser Kopien benennen. Der vordere Umschlag muss den vollständigen Titel enthalten, wobei der gesamte Wortlaut gleichermaßen sichtbar und hervorgehoben dargestellt werden muss. Sie können den Umschlägen zusätzliche Inhalte hinzufügen. Das Kopieren mit auf Umschläge begrenzten Änderungen kann, solange der Titel des Dokuments erhalten bleibt und diese Bedingungen erfüllt werden, in anderer Hinsicht als wortwörtliche Kopie behandelt werden.
Wenn der erforderliche Text für einen der Umschläge zu umfangreich ist, um lesbar abgebildet zu werden, sollten Sie den ersten der aufgelisteten Texte auf den Umschlag nehmen (so viel, wie vernünftigerweise möglich ist) und den Rest auf direkt angrenzende Seiten.
Wenn Sie mehr als 100 undurchsichtige Kopien des Dokuments veröffentlichen oder verbreiten, müssen Sie entweder jeder undurchsichtigen Kopie eine maschinenlesbare transparente Kopie beilegen oder für jede undurchsichtige Kopie eine Netzwerkadresse angeben, von der die breite Öffentlichkeit eine vollständige transparente Kopie, die keine zusätzlichen Inhalte enthält, über öffentliche Standardnetzwerkprotokolle herunterladen kann. Wenn Sie sich für die letztere Möglichkeit entscheiden, müssen Sie mit Beginn der Verbreitung der undurchsichtigen Kopien in großen Mengen zumutbare und vernünftige Schritte unternehmen, um sicherzustellen, dass die transparenten Kopien mindestens ein Jahr nach Verbreitung der letzten undurchsichtigen Kopie (direkt oder über einen Vertreter oder Händler) dieser Ausgabe an die Öffentlichkeit an der genannten Adresse verfügbar bleiben.
Auch wenn dies nicht zwingend erforderlich ist, wird empfohlen, dass Sie die Verfasser des Dokuments kontaktieren, bevor Sie zu einem späteren Zeitpunkt erneut eine große Anzahl von Kopien verteilen, um ihnen die Möglichkeit zu geben, Ihnen eine aktualisierte Version des Dokuments bereitzustellen.
4.
MODIFIKATIONEN
Gemäß den Bedingungen von Abschnitt 2 und 3 sind Sie berechtigt, modifizierte Versionen zu kopieren und zu verbreiten, sofern Sie die modifizierte Version unter dieser Lizenz herausgeben, wobei die modifizierte Version die Rolle des Dokuments einnimmt, und dadurch eine Lizenz für die weitere Modifikation und Verbreitung der modifizierten Version an jeden Besitzer einer Kopie des Dokuments vergeben. Zusätzlich müssen Sie die folgenden Dinge in der modifizierten Version beachten:
1.
Benutzen Sie auf der Titelseite (und auf Umschlägen, sofern vorhanden) einen Titel, der sich von dem Titel des Dokuments und von denen früherer Versionen unterscheidet. (Die früheren Versionen sollten, wenn es welche gibt, im Abschnitt „Verlauf“ aufgelistet werden.) Sie können den Titel einer Vorgängerversion verwenden, wenn der ursprüngliche Herausgeber damit einverstanden ist.
2.
Geben Sie auf der Titelseite als Verfasser eine oder mehrere natürliche oder juristische Personen an, die für die Modifikationen der modifizierten Version verantwortlich sind, zusammen mit mindestens fünf der ursprünglichen Verfasser des Dokuments (alle ursprünglichen Verfasser, wenn es weniger als fünf sind), sofern diese Sie nicht von diesem Erfordernis befreit haben.
3.
Geben Sie auf der Titelseite den Namen des Herausgebers der modifizierten Version als Herausgeber an.
4.
Behalten Sie alle Urheberrechtshinweise des Dokuments bei.
5.
Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen entsprechenden Urheberrechtshinweis für
6.
Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen Lizenzhinweis hinzu, der es der breiten
Ihre Modifikationen ein. Öffentlichkeit erlaubt, die modifizierte Version gemäß den Bedingungen dieser Lizenz in der im Anhang beschriebenen Art und Weise zu verwenden. 7.
Behalten Sie in diesem Lizenzhinweis die komplette Liste der unveränderlichen Abschnitte und obligatorischen
8.
Schließen Sie eine unveränderte Kopie dieser Lizenz mit ein.
9.
Erhalten Sie den Abschnitt „Verlauf“. Behalten Sie seinen Titel bei und fügen Sie einen Eintrag hinzu, der
Umschlagtexte bei, die im Lizenzhinweis des Dokuments aufgeführt sind.
mindestens den Titel, das Jahr, die neuen Verfasser und die Herausgeber, wie sie auf der Titelseite aufgeführt sind, enthält. Sollte der Abschnitt „Verlauf“ bisher noch nicht existieren, so muss dieser von Ihnen unter Angabe des auf der Titelseite vermerkten Titels, Jahres, Verfassers und Herausgebers des Dokuments erstellt werden. 10.
Erhalten Sie gegebenenfalls die Netzwerkadresse, die im Dokument angegeben wurde, um Zugang zu einer transparenten Kopie zu gewähren, sowie Netzwerkadressen für frühere Versionen, auf denen das Dokument aufbaute. Diese Angaben können in den Abschnitt „Verlauf“ verschoben werden. Sie können die Netzwerkadresse weglassen, wenn sie sich auf ein Werk bezieht, das mindestens vier Jahre vor dem Dokument selbst veröffentlicht wurde, oder wenn der ursprüngliche Herausgeber der Version, auf die sich die Adresse bezieht, seine Erlaubnis erteilt.
11.
Behalten Sie für alle Abschnitte mit dem Titel „Danksagungen“ oder „Widmungen“ den Titel sowie den gesamten Inhalt und Ton der von den Mitwirkenden hierin gemachten Danksagungen und/oder Widmungen bei.
12.
Erhalten Sie alle unveränderlichen Abschnitte unverändert in Titel und Text. Abschnittsnummern oder
13.
Löschen Sie alle Abschnitte, die mit „Billigungen“ überschrieben sind. Ein solcher Abschnitt sollte nicht in der
14.
Benennen Sie keinen Abschnitt in „Billigungen“ oder in einer Art und Weise um, dass er dem Titel eines
15.
Erhalten Sie alle Haftungsausschlüsse.
dergleichen gelten hierbei nicht als Teil der Abschnittstitel. modifizierten Version enthalten sein. unveränderlichen Abschnitts entspricht.
Wenn die modifizierte Version neue Einleitungsabschnitte oder Anhänge enthält, die als sekundäre Abschnitte gelten und kein vom Dokument kopiertes Material enthalten, können Sie nach eigenem Ermessen einige oder alle diese Abschnitte als unveränderliche Abschnitte kennzeichnen. Hierfür fügen Sie ihre Titel zur Liste der unveränderlichen Abschnitte im Lizenzhinweis der modifizierten Version hinzu. Diese Titel müssen sich von allen anderen Abschnittstiteln unterscheiden.
Sie können einen Abschnitt mit dem Titel „Billigungen“ anfügen, sofern dieser ausschließlich Billigungserklärungen anderer Parteien zur modifizierten Version enthält. Dies können beispielsweise Rezensionen oder ein Hinweis sein, dass der Text von einer Organisation als maßgebliche Definition eines Standards deklariert wurde.
Sie können eine Textpassage mit bis zu fünf Wörtern als vorderen Umschlagtext und eine mit bis zu 25 Wörtern als hinteren Umschlagtext am Ende der Liste mit den Umschlagtexten in der modifizierten Version hinzufügen. Nur je eine Textpassage für den vorderen Umschlagtext und den hinteren Umschlagtext können von einer natürlichen oder juristischen Person hinzugefügt (oder durch entsprechende Anordnung erstellt) werden. Wenn das Dokument bereits einen Umschlagtext für denselben Umschlag enthält, der bereits von Ihnen oder der juristischen Person, in deren Namen Sie tätig sind, eingefügt wurde, dürfen Sie keinen neuen hinzufügen. Sie können aber den alten ersetzen, wenn Sie die ausdrückliche Genehmigung des Herausgebers haben, der den früheren Text eingefügt hat.
Der/die Verfasser und Herausgeber des Dokumentes geben durch diese Lizenz weder implizit noch explizit die Erlaubnis, ihren Namen für Werbung für die modifizierte Version oder eine ausdrückliche oder implizierte Billigung der modifizierten Version zu benutzen.
5.
DOKUMENTE KOMBINIEREN
Sie dürfen das Dokument mit anderen nach dieser Lizenz freigegebenen Dokumenten gemäß den Bedingungen in Abschnitt 4 für modifizierte Versionen kombinieren, sofern in der Kombination alle unveränderlichen Abschnitte aller Originaldokumente enthalten sind, Sie diese als unveränderliche Abschnitte des kombinierten Dokuments im Lizenzhinweis aufführen und alle Haftungsausschlüsse beibehalten werden.
Das kombinierte Werk muss nur eine Kopie dieser Lizenz zu enthalten. Mehrere identische unveränderliche Abschnitte können durch eine einzelne Kopie ersetzt werden. Wenn es mehrere unveränderliche Abschnitte mit unterschiedlichem Inhalt, aber gleichem Namen gibt, sollten Sie einem jeden solchen Abschnitt einen eindeutigen Namen zuweisen, indem Sie an dessen Ende den Namen des ursprünglichen Verfassers oder Herausgebers (falls bekannt) in Klammern hinzufügen oder andernfalls eine eindeutige Nummer anhängen. Machen Sie dasselbe mit den Titeln der Abschnitte in der Liste der unveränderlichen Abschnitte im Lizenzhinweis des kombinierten Werkes.
In der Kombination müssen Sie alle Abschnitte mit dem Titel „Verlauf“ in den ursprünglichen Dokumenten zu einem einzelnen
Abschnitt
„Verlauf“
zusammenführen.
Verfahren
Sie
auch
entsprechend
mit
den
Abschnitten
„Danksagungen“ und „Widmungen“. Sie müssen alle Abschnitte mit dem Titel „Billigungen“ entfernen.
6.
SAMMLUNGEN VON DOKUMENTEN
Sie dürfen eine Sammlung von Dokumenten erstellen, die aus diesem Dokument und weiteren gemäß dieser Lizenz veröffentlichten Dokumenten besteht. Die einzelnen Kopien dieser Lizenz in den verschiedenen Dokumenten dürfen hierbei durch eine einzelne der Sammlung beigefügte Kopie ersetzt werden, sofern Sie für jedes der Dokumente in allen anderen Punkten die Regeln für wortwörtliches Kopieren befolgen.
Sie dürfen ein einzelnes Dokument einer solchen Sammlung entnehmen und es separat unter dieser Lizenz verbreiten, sofern Sie eine Kopie dieser Lizenz in das entnommene Dokument einfügen und in allen anderen Punkten die Regeln für wortwörtliches Kopieren befolgen.
7.
ZUSAMMENSTELLUNG MIT UNABHÄNGIGEN WERKEN
Eine Zusammenstellung des Werkes oder seiner Ableitungen mit anderen separaten, unabhängigen Dokumenten oder Werken in oder auf derselben Einheit eines Speicher- oder Verbreitungsmediums wird dann ein „Gesamtwerk“ genannt, wenn durch die aus der Zusammenstellung resultierenden Urheberrechte die Rechte der Benutzer der Zusammenstellung nicht stärker einschränken, als dies durch die Lizenzen der einzelnen Werke geschieht. Wenn das Dokument in einem Gesamtwerk enthalten ist, so gilt diese Lizenz nicht für die anderen Werke dieses Gesamtwerks, die keine Ableitung des Dokuments sind.
Wenn die Bestimmungen für die Umschlagtexte in Abschnitt 3 auf diese Kopien des Dokuments Anwendung finden, und wenn das Dokument weniger als die Hälfte des Gesamtwerks ausmacht, dann können die Umschlagtexte auf Umschlägen platziert werden, die das Dokument innerhalb des Gesamtwerks umschließen, oder auf das elektronische Äquivalent eines Umschlags, wenn das Dokument in elektronischer Form vorliegt. Anderenfalls müssen sie auf gedruckten Umschlägen erscheinen, die das gesamte Werk umschließen.
8.
ÜBERSETZUNG
GNU-Lizenz für freie Dokumentation Übersetzungen werden als eine Art von Modifikationen betrachtet. Damit dürfen Sie eine Übersetzung des Dokuments gemäß den Bestimmungen von Abschnitt 4 verbreiten. Um die unveränderlichen Abschnitte durch eine Übersetzung zu ersetzen, benötigen Sie die spezielle Erlaubnis des Urheberrechtsinhabers. Sie können allerdings Übersetzungen einiger oder aller unveränderlicher Abschnitte zu den Originalversionen der unveränderlichen Abschnitte hinzufügen. Sie können eine Übersetzung dieser Lizenz, aller Lizenzhinweise im Dokument sowie eine Übersetzung der Haftungsausschlüsse hinzufügen, sofern Sie die englische Originalversion dieser Lizenz und die Originalversionen dieser Hinweise und Ausschlüsse beifügen. Sollten die Übersetzung und die Originalversion dieser Lizenz oder eines Hinweises oder Ausschlusses voneinander abweichen, so gilt die Originalversion.
Wenn ein Abschnitt des Dokuments mit „Danksagungen“, „Widmungen“ oder „Verlauf“ überschrieben ist, so wird die Anforderung (Abschnitt 4), den Titel (Abschnitt 1) dieses Abschnitts beizubehalten, typischerweise die Änderung des tatsächlichen Titels erfordern.
9.
SCHLUSSBESTIMMUNG
Sie dürfen dieses Dokument nicht kopieren, verändern, unterlizenzieren oder verteilen, sofern Sie dies nicht ausdrücklich gemäß den Bestimmungen dieser Lizenz tun. Jeder andere Versuch, das Dokument zu kopieren, zu modifizieren, unterzulizenzieren oder zu verbreiten ist unzulässig und führt automatisch zum Entzug der durch diese Lizenz gewährten Rechte. Allerdings verlieren Parteien, die von Ihnen Kopien oder Rechte gemäß dieser Lizenz erhalten haben, nicht ihre Rechte, solange sie die Lizenzbedingungen vollständig einhalten.
10.
ZUKÜNFTIGE ÜBERARBEITUNGEN DIESER LIZENZ
Die Free Software Foundation kann jederzeit neue, überarbeitete Versionen der GNU-Lizenz für freie Dokumentation veröffentlichen. Diese neuen Versionen werden den Geist der Vorgängerversion bewahren, können sich aber in Reaktion auf neu aufgetretene Probleme und Sachverhalte in Details unterscheiden. Siehe http://www.gnu.org/copyleft/.
Jede Version dieser Lizenz erhält eine eigene Versionsnummer. Wenn das Dokument bestimmt, dass eine bestimmte nummerierte Version „oder eine spätere Version“ hierauf Anwendung findet, können Sie entweder den Bedingungen dieser bestimmten Version folgen oder einer Version, die später von der Free Software Foundation (nicht als Entwurf) veröffentlicht wurde. Wenn das Dokument keine Versionsnummer für diese Lizenz festlegt, können Sie irgendeine durch die Free Software Foundation (nicht als Entwurf) veröffentlichte Version auswählen.
ANHANG: Wie Sie diese Lizenz für Ihre Dokumente verwenden können
Um diese Lizenz in einem von Ihnen verfassten Dokument zu verwenden, müssen Sie eine Kopie der Lizenz in das Dokument aufnehmen. Platzieren Sie hierbei die folgenden Urheberrechts- und Lizenzhinweise unmittelbar im Anschluss an die Titelseite:
Copyright (C) JAHR IHR NAME. Dieses Dokument darf gemäß den Bedingungen der von der Free Software Foundation veröffentlichten GNU-Lizenz für freie Dokumentation (Version 1.2 oder höher) kopiert, verbreitet und/oder modifiziert werden; keine unveränderlichen Abschnitte, keinen vorderen oder hinteren Umschlagtexte. Eine Kopie der Lizenz ist im Abschnitt „GNU Free Documentation License“ enthalten. Sind unveränderliche Abschnitte oder vordere und hintere Umschlagtexte vorhanden, ersetzen Sie die Zeile „keine … Umschlagtexte.“ durch folgenden Text:
mit den unveränderlichen Abschnitten (AUFLISTUNG DER TITEL), mit den vorderen Umschlagtexten (AUFLISTUNG) und mit den hinteren Umschlagtexten (AUFLISTUNG). Sind unveränderliche Abschnitte ohne Umschlagtexte oder eine andere Kombination der drei vorhanden, kombinieren Sie diese zwei Alternativen entsprechend der Situation.
Wenn Ihr Dokument nicht-triviale Beispiele von Programmcode enthält, empfehlen wir, diese Beispiele parallel gemäß den Bestimmungen einer freien Softwarelizenz Ihrer Wahl, beispielsweise der GNU General Public License, freizugeben, um deren Verwendung in freier Software zu
er 5.50 »
gestatten.
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
