Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Panda GateDefender Referenzhandbuch
Inhaltsverzeichnis
Einführung........................................................................................................................ 1
Erste Schritte.............................................................................................................. 1
Dokumentkonventionen ........................................................................................ 1
Die Zonen ................................................................................................................ 2
Die Verwaltungsoberfläche der Panda GateDefender-Appliance.................. 3
Zugriff auf die Panda GateDefender-Appliance ............................................... 9
Menü „System“ .............................................................................................................. 11
Menü „System“......................................................................................................... 11
Übersicht ............................................................................................................... 11
Netzwerkkonfiguration ....................................................................................... 14
Ereignisbenachrichtigungen ............................................................................... 21
Aktualisierungen .................................................................................................. 23
Support .................................................................................................................. 23
Panda Perimetral Management Console .......................................................... 24
Passwörter............................................................................................................. 25
Web-Konsole ......................................................................................................... 26
SSH-Zugang............................................................................................................ 26
GUI-Einstellungen ................................................................................................ 27
Datensicherung..................................................................................................... 28
Herunterfahren .................................................................................................... 31
Lizenzbestimmungen........................................................................................... 31
Menü „Status“ ................................................................................................................ 33
Menü „Status“ .......................................................................................................... 33
Systemstatus ......................................................................................................... 33
Netzwerkstatus .................................................................................................... 34
Systemdiagramme................................................................................................ 35
Netzwerkdiagramme ........................................................................................... 36
Proxydiagramme .................................................................................................. 36
Verbindungen........................................................................................................ 36
VPN Verbindungen ............................................................................................... 37
SMTP Mailstatistik ................................................................................................ 38
Mail queue............................................................................................................. 38
Menü „Netzwerk“........................................................................................................... 39
Menü „Netzwerk“ .................................................................................................... 39
Hosts bearbeiten.................................................................................................. 39
Routing................................................................................................................... 40
Schnittstellen ....................................................................................................... 43
Menü „Dienste“ .............................................................................................................. 47
DHCP Server .......................................................................................................... 47
Dynamischer DNS ................................................................................................. 50
Antivirus-Engine ................................................................................................... 52
Zeitserver .............................................................................................................. 54
E-Mail-Quarantäne ............................................................................................... 54
Spam Training....................................................................................................... 56
Intrusion Prevention ............................................................................................ 57
Hochverfügbarkeit ............................................................................................... 59
Netzwerkmonitoring ............................................................................................ 62
SNMP-Server.......................................................................................................... 62
Quality of Service ................................................................................................ 62
Menü „Firewall“ ............................................................................................................. 67
Menü „Firewall“ ....................................................................................................... 67
Gemeinsame Konfigurationselemente ............................................................. 67
Portweiterleitung / NAT ..................................................................................... 69
Ausgehender Datenverkehr ................................................................................ 71
Inter-Zone-Datenverkehr.................................................................................... 73
VPN-Datenverkehr ............................................................................................... 73
Systemzugriff ........................................................................................................ 74
Firewalldiagramme.............................................................................................. 74
Menü „Proxy“................................................................................................................. 77
Menü „Proxy“ ........................................................................................................... 77
HTTP....................................................................................................................... 78
POP3 ....................................................................................................................... 88
FTP ......................................................................................................................... 90
SMTP ....................................................................................................................... 91
DNS ....................................................................................................................... 103
Menü „VPN“ ................................................................................................................ 106
Menü „VPN“ ............................................................................................................ 106
OpenVPN-Server ..................................................................................................... 106
Serverkonfiguration ........................................................................................... 107
OpenVPN-Client (Gw2Gw) .................................................................................... 111
IPsec ......................................................................................................................... 114
IPsec ..................................................................................................................... 114
L2TP ..................................................................................................................... 119
Authentifizierung ................................................................................................... 120
Benutzer .............................................................................................................. 120
Gruppen ............................................................................................................... 123
Einstellungen ...................................................................................................... 124
Zertifikate ............................................................................................................... 125
Zertifikate ........................................................................................................... 125
Zertifizierungsstelle .......................................................................................... 127
Gesperrte Zertifikate ........................................................................................ 128
Zertifikatssperrliste........................................................................................... 128
Menü „Hotspot“............................................................................................................ 131
Menü „Hotspot“ ..................................................................................................... 131
Hotspot-Einstellungen........................................................................................... 132
Administrationsschnittstelle ................................................................................ 137
Konten...................................................................................................................... 137
Liste...................................................................................................................... 137
CSV Datei importieren ...................................................................................... 142
Als CSV-Datei exportieren ................................................................................ 143
Account Generator ............................................................................................ 143
Tickets ..................................................................................................................... 145
Tarife ................................................................................................................... 146
Quick-Ticket ....................................................................................................... 148
Ticket-Generator ............................................................................................... 149
Berichte ................................................................................................................... 150
Verbindungen...................................................................................................... 150
Kontostand .......................................................................................................... 150
Verbindungsprotokolle ...................................................................................... 153
Verbindungsprotokolle als CSV-Datei exportieren ....................................... 153
SmartConnect-Transaktionen .......................................................................... 153
Einstellungen .......................................................................................................... 154
Haupteinstellungen ........................................................................................... 154
SmartConnect ..................................................................................................... 158
API ........................................................................................................................ 161
Sprache ................................................................................................................ 162
Hotspot-Benutzer................................................................................................... 167
Benutzerzugriff auf den Hotspot ........................................................................ 168
Menü „Protokolle und Berichte“ .................................................................................. 173
Menü „Protokolle und Berichte“ ......................................................................... 173
Übersicht ............................................................................................................. 173
Netzwerkmonitoring .......................................................................................... 176
Live ....................................................................................................................... 179
Gemeinsame Aktionen ...................................................................................... 180
Zusammenfassung .............................................................................................. 181
System.................................................................................................................. 182
Dienst ................................................................................................................... 182
Firewall................................................................................................................ 182
Proxy .................................................................................................................... 183
Einstellungen ...................................................................................................... 183
Gesicherte Zeitstempel .................................................................................... 184
Glossar .......................................................................................................................... 187
Glossar ..................................................................................................................... 187
Printed Documentation
viii
Quicksheet – Wo finde ich die folgenden Optionen?................................................... 189
Quicksheet – Wo finde ich die folgenden Optionen? ....................................... 189
Hotspot ................................................................................................................ 189
Netzwerk ............................................................................................................. 189
Verschiedenes..................................................................................................... 189
GNU-Lizenz für freie Dokumentation ......................................................................... 191
GNU-Lizenz für freie Dokumentation ................................................................. 191
Einführung Erste Schritte
Das Referenzhandbuch der Panda GateDefender-Appliance ist in Abschnitte gegliedert, die der Struktur der Anwendungsmodule
entsprechen.
Nachfolgend finden Sie einige grundlegende Informationen zum vorliegenden Handbuch, Erläuterungen zur erstmaligen Verwendung der
Panda GateDefender-Appliance und einigen wichtigen Konzepten sowie Beschreibungen der wichtigsten Bestandteile der GUI.
Dokumentkonventionen
Zur Verbesserung der Lesbarkeit und Übersichtlichkeit dieses Dokuments werden verschiedene Konventionen angewandt:
Ein Tooltip wird angezeigt, wenn Sie die Maus über bestimmte Begriffe bewegen.
Dies ist ein Beispielfeld.
Dieses Feld enthält einen kurzes Beispiel für die schnelle Einrichtung einiger Funktionen und Dienste, die im Hauptdokument
beschrieben werden.
Kursivschrift wird verwendet, um nicht-interaktive Objekte oder Beschriftungen innerhalb der Weboberfläche (GUI) zu kennzeichnen.
Wörter mit gestrichelter Unterstreichung kennzeichnen interaktive Objekte, z. B. Schaltflächen oder Hyperlinks.
Warnhinweise werden verwendet, um Elemente, Aktionen oder Aufgaben zu markieren, die besonderer Aufmerksamkeit bedürfen:
Warnung
Eine Änderung dieses Werts bewirkt einen Neustart des Dienstes!
Hinweis
Sie können die Änderung auch später vornehmen.
Tipp
Tipps zur Konfiguration von Optionen
Ein relevantes Thema oder Beispiel
Felder wie dieses („Thema“) enthalten Erläuterungen zu Themen, die ausführlicher behandelt werden sollen und für den betreffenden
Abschnitt oder für bestimmte Konfigurationseinstellungen von Bedeutung sind. Zudem finden Sie darin einige Kurzanleitungen und
Beispiele. Am unteren Ende können ein oder mehrere Links zu Online-Ressourcen aufgeführt sein.
Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ Systemregeln anzeigen müssen Sie auf jedes Element einzeln
klicken, um zu einer speziellen Seite bzw. einem speziellen Konfigurationselement zu gelangen. Dieses Beispiel zeigt, wie Sie zur Seite
gelangen, auf der die Konfiguration der Systemregeln des DNAT der Firewall angezeigt wird.
Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ [Regelliste] ‣ bearbeiten bedeutet [...] alternativ, dass eine
große Anzahl von Objekten vorhanden ist (in diesem Fall eine Liste mit Firewall-Regeln), von denen eine zum Durchführen einer Aktion
(Bearbeiten) ausgewählt werden muss.
Diese Sequenzen finden Sie auch in den Referenzfeldern („Siehe auch“) unterhalb eines Hyperlinks wie dem folgenden:
Siehe auch
Netzwerkkonfiguration
Menüleiste ‣ System ‣ Netzwerkkonfiguration
Über den Hyperlink gelangen Sie direkt zur Dokumentation. Die Sequenz unter dem Hyperlink erläutert, wie Sie von der Homepage zur
Seite gelangen, auf der diese Funktion konfiguriert werden kann.
Einige im vorliegenden Handbuch verwendeten Begriffe sind im Glossar aufgeführt.
Die Zonen
Eines der wichtigsten Konzepte der Panda GateDefender-Appliance ist das Konzept der Zonen. Es beruht auf der Idee der Linux-
Distribution IPCop, erreichbare Netzwerke zu schützen, indem man sie in verschiedene Segmente – in Zonen – zusammenfasst und
Datenverkehr zwischen diesen Segmenten ausschließlich in bestimmte Richtungen erlaubt. Die vier Hauptzonen sind farblich
gekennzeichnet und können mehrere zweckverwandte Server einer Workstation umfassen.
ROT: das so genannte nicht vertrauenswürdige Segment – das WAN. Es umfasst alle Netzwerke außerhalb der Panda
GateDefender-Appliance – vereinfacht gesagt das Internet – und ist die Quelle aller eingehenden Verbindungen. Dies ist die
einzige Zone, die nicht verwaltet werden kann. Sie haben lediglich die Möglichkeit, den Zugriff von innen und außen zu
bewilligen bzw. einzugrenzen.
GRÜN: das interne Netzwerk – das LAN. Dies ist die am stärksten geschützte Zone. Die GRÜNE Zone ist für Workstations
vorgesehen. Ein direkter Zugriff aus der ROTEN Zone sollte stets vermieden werden. Sie ist außerdem die einzige Zone, die
standardmäßig auf die Verwaltungsoberfläche zugreifen kann.
ORANGE, die DMZ: Diese Zone sollte die Server enthalten, die zur Bereitstellung von Diensten (SMTP/POP, SVN, HTTP
usw.) auf das Internet zugreifen müssen. Es empfiehlt sich, direkte Zugriffe aus der ROTEN Zone ausschließlich auf die
ORANGE Zone zu beschränken. Sollte ein Angriffsversuch auf einen der Server gelingen, wird der Angriff innerhalb der DMZ
gestoppt und der Zugriff auf die GRÜNE Zone verhindert. So bleiben sensible Informationen lokaler Maschinen innerhalb der
GRÜNEN Zone geschützt.
BLAU: die WiFi-Zone, die von drahtlosen Clients für den Internetzugriff genutzt werden sollte. Drahtlose Netzwerke sind oft
nicht geschützt. Daher sollten sämtliche drahtlos verbundenen Clients in der für sie vorgesehenen Zone betrieben und der
Zugriff auf andere Zonen – ausgenommen der ROTEN Zone – untersagt werden.
Für die korrekte Funktion der Panda GateDefender-Appliance ist die Konfiguration der ORANGEN und BLAUEN Zone nicht notwendig.
Tatsächlich genügt es die GRÜNE Zone zu definieren, da auch die ROTE Zone in einigen Fällen nicht konfiguriert werden muss.
Die vordefinierten Firewall-Regeln der Panda GateDefender-Appliance verbieten den Netzwerkverkehr zwischen manchen Zonen.
Zusätzlich zu den vier Hauptzonen gibt es zwei weitere Zonen, die jedoch nur bei einer komplexen Konfiguration verwendet werden: Die
Zone „OpenVPN Client“ (auch VIOLETTE Zone genannt) und die HV-Zone. Diese speziellen Zonen werden als Netzwerke für OpenVPN-
Remote-Benutzer verwendet, die eine Verbindung zur Panda GateDefender-Appliance möchten, sowie für den HV-Dienst.
Standardmäßig werden hierfür die Netzwerke 192.168.15.0/24 bzw. 192.168.177.0/24 genutzt. Diese
Netzwerkbereiche sollten nicht in den Hauptzonen verwendet werden, besonders wenn Sie einen dieser Dienste nutzen möchten.
Tatsächlich würden sich solche Netzwerke überschneiden, was zu möglichen unerwünschten Effekten führen kann. Sie können jedoch
die IP-Bereiche dieser beiden Zonen bei der Einrichtung des OpenVPN- bzw. HV-Dienstes ändern.
Jeder Zone ist eine (Netzwerk-)Schnittstelle und eine IP-Adresse zugeordnet. Die Schnittstelle ist der (Ethernet- oder drahtlose) Port,
über den der Netzwerkverkehr in die Zone gelangt. Die ROTE Schnittstelle ist somit der Port, über den Sie in die ROTE Zone und das
Internet gelangen. Die IP-Adresse der Schnittstelle entspricht der <Zonen>-IP. Das werksseitig definierte Netzwerk für die GRÜNE Zone
lautet beispielsweise 192.168.0.15/24. Demnach ist der GRÜNEN Schnittstelle die IP-Adresse 192.168.0.15 –
auch GRÜNE IP-Adresse genannt – zugeordnet.
Siehe auch
Hochverfügbarkeit
für eine Beschreibung der Hochverfügbarkeit.
VPN
für eine Beschreibung von OpenVPN
Die Verwaltungsoberfläche der Panda GateDefender-Appliance
Die GUI der Panda GateDefender-Appliance wurde für einen einfachen Gebrauch konzipiert und besteht aus fünf Hauptteilen: Den
Header, die Hauptmenüleiste, das Untermenü, den Hauptbereich und den Seitenfuß. Unten wird ein beispielhafter Screenshot des
Moduls Dienst angezeigt.
Der Header
Die Kopfzeile dieser Seite enthält das Panda-Logo und links die Version der Panda GateDefender-Appliance, während rechts zwei Links
angezeigt werden: einer zur Abmeldung von der GUI und einer für die Online-Dokumentation, die kontextabhängig ist (d. h. für jede Seite
wird die entsprechende Hilfe angezeigt). Dieser Teil ist fest und wird nicht modifiziert.
Der Seitenfuß
Der Seitenfuß befindet sich ganz unten auf der Seite. Sie besteht aus zwei Textzeilen mit einigen Informationen zur laufenden Panda
GateDefender-Appliance. In der oberen Zeile (Status:) wird angezeigt, ob ein Uplink verbunden ist und welcher (falls mehrere Uplinks
definiert wurden), sowie die verstrichene Zeit (Betriebszeit:) seit der letzten Verbindungsherstellung und die Betriebszeit des Computers.
Dies entspricht der Ausgabe des Befehls uptime, d. h. dem Zeitraum seit dem letzten Start, der Benutzerzahl und der durchschnittlichen
Last. Die Informationen werden bei einem Seitenwechsel aktualisiert. Die untere Zeile enthält die Versionsnummer der Anwendung
zusammen mit dem Deployset, Copyright-Informationen und einem Link zur Panda Website.
Die Hauptnavigationsleiste
Die Hauptnavigationsleiste ist eine Menüleiste direkt unter der Kopfzeile mit einem schwarzen Hintergrund und einer blauen Fußzeile, in
der alle verfügbaren Bereiche der Panda GateDefender-Appliance angezeigt werden. Wenn Sie auf eines der Module (z. B. Dienste)
klicken, wird der Hintergrund blau, um das momentan geöffnete Modul anzuzeigen. Beim Klicken auf ein Menüelement ändern sich das
Untermenü auf der linken Seite und der Titel oben im Hauptbereich. Standardmäßig wird die GUI über das Menü System geöffnet.
Das Untermenü
Das Untermenü befindet sich auf der linken Seite der GUI und ändert sich je nach dem in der Menüleiste ausgewählten Bereich. Es wird
als eine vertikale Liste von Elementen angezeigt, die angeklickt werden können, um den Inhalt des Hauptbereichs zu ändern, und auf
alle Funktionen einschließlich der Module der Panda GateDefender-Appliance zuzugreifen.
Der Hauptbereich
Der Hauptbereich enthält sämtliche Informationen und Einstellungen der aktuellen Menü-/Untermenüauswahl. Einige der Seiten (z. B. die
Übersicht oder Teile der Module Dienst und Protokolle) sind lediglich informativ und zeigen den aktuellen Status der Panda
GateDefender-Appliance entweder grafisch oder in Textform an. Im zweiten Fall wird die Ausgabe von Linux-Befehlen auf den Bildschirm
übermittelt. Auf den meisten Seiten wird eine Tabelle mit Informationen zu den aktuell konfigurierten Einstellungen angezeigt. Sie haben
die Möglichkeit, diese Einstellungen zu ändern bzw. zu löschen oder neue Einstellungen hinzuzufügen. Besonders komplexe Dienste wie
HTTP-Proxy oder die Firewall enthalten eine solch hohe Anzahl an Konfigurationsoptionen, dass eine einzelne Seite für deren
Darstellung nicht ausreicht. Deshalb sind die verfügbaren Einstellungen gruppiert und auf Registerkarten organisiert.
Innerhalb von Registerkarten werden Konfigurationsoptionen häufig in einem oder mehreren Feldern zusammengefasst, in denen
Einstellungen gesammelt werden, die sich auf einen gemeinsamen Teil der Gesamtkonfiguration beziehen.
Die Hotspot-Administrationsoberfläche
Die einzige Ausnahme im Layout der GUI der Panda GateDefender-Appliance ist die Hotspot-Administrationsoberfläche, die im unteren
Screenshot dargestellt ist, keine Fußzeile besitzt, das Untermenü unter der Hauptmenüleiste platziert und ganz rechts von der
Menüleiste einen Link Hauptmenü enthält, um zum Hauptmenü zurückzukehren.
Beachten Sie, dass bei Elementen der „Hotspot-Administrationsoberfläche“ die ursprüngliche Menüleiste in der Regel nicht angezeigt
wird.
Die Symbole
Auf den Seiten der Panda GateDefender-Appliance werden viele Symbole verwendet, um entweder einen Vorgang darzustellen, der
schnell ausgeführt werden kann, oder um die Bedeutung einiger angezeigter Einstellungen zu verdeutlichen.
Schalter
Schalter werden verwendet, um Dienste zu aktivieren bzw. zu deaktivieren. Sie befinden sich im oberen Teil des
Hauptbereichs. Ein grauer Schalter gibt an, dass der Dienst deaktiviert und inaktiv ist. In diesem Fall werden im Hauptbereich
keine Einstellungen bzw. Konfigurationsoptionen angezeigt. Durch Klicken auf den Schalter werden der Dienst sowie die für
ein reibungsloses Funktionieren des Dienstes erforderlichen Daemons gestartet. Nach wenigen Sekunden wechselt der
Schalter auf blau. Sämtliche verfügbaren Konfigurationsoptionen werden angezeigt. Um den Dienst zu deaktivieren, klicken
Sie erneut auf den Schalter. Dadurch werden alle Daemons gestoppt, der Schalter wird grau und die Einstellungen werden
ausgeblendet.
Richtlinien
Diese Symbole finden sich bei Diensten, die gewisse Richtlinien oder Kontrollen für den Datenverkehr vorschreiben, beispielsweise
Firewall-Regeln oder Proxy-Spezifikationen. Wenn ein Paket einer bestimmten Regel entspricht, wird die für diese Regel festgelegte
Richtlinie angewandt. Die Regel ermittelt anschließend, ob und wie das Paket weitergeleitet wird.
Zugriff ohne Einschränkungen erlauben.
Zugriff nach erfolgreicher Prüfung durch das IPS erlauben. Diese Richtlinie gilt nur bei Firewall-Regeln.
Pakete blockieren und entfernen.
Pakete blockieren, aber Benachrichtigung an Quelle senden.
Regeln teilweise akzeptieren. Dieses Symbol wird in der Überschrift von Richtlinienlisten angezeigt und illustriert,
dass einige der Richtlinien aus der Liste akzeptiert, andere hingegen abgelehnt werden, wie beispielsweise unter
Menüleiste ‣ Proxy ‣ HTTP ‣ Inhaltsfilter.
Zusätzliche Symbole
Weitere Symbole in der Panda GateDefender-Appliance:
erweitert ein Feld und zeigt dessen Inhalt an.
schließt ein Feld und blendet dessen Inhalt aus.
Navigationsleiste
Stellenweise enthalten Bereiche mit längeren Elementlisten eine Navigationsleiste, welche die Auflistung der Elemente
erleichtert. Diese Navigationsleiste setzt sich aus mehreren Zellen zusammen: links die Zellen Erste Seite und Vorherige
Seite, rechts die Zellen Nächste Seite und Letzte Seite. Sie enthalten jeweils eine variable Menge an Seitenzahlen. Durch
Klicken auf die verschiedenen Zellen gelangen Sie entweder zur Seite mit der angegebenen Seitenzahl, zur ersten oder
letzten bzw. zur vorherigen oder nächsten Seite.
Gemeinsame Aktionen und Aufgaben
Es gibt zwei Arten von Aktionen, die innerhalb der GUI durchgeführt werden können: Aktionen für ein einzelnes Element in einer Liste
von Konfigurationseinstellungen (d. h. eine Firewall-Regel), und „globale“ Aktionen zum Speichern und Anwenden der Einstellungen in
einer Liste, einem Feld oder auf einer Seite.
Aktionen und Symbole
Diese Symbole befinden sich rechts in der Spalte Aktionen neben den diversen Tabellen, die auf den Seiten angezeigt werden. Sie
stellen in der Regel eine Liste der festgelegten Elemente dar, beispielsweise Firewall-Regeln oder OpenVPN-Benutzer. Die
Aktionssymbole erlauben die Durchführung einer Aufgabe an einem entsprechenden Element aus der Liste. Einige Aktionen stehen
nur für bestimmte Arten von Listen zur Verfügung:
und geben den Status eines Elements an (aktiviert bzw. deaktiviert). Sie können den Status ändern, indem Sie auf das
Symbol klicken. Anschließend werden Sie möglicherweise aufgefordert, den Dienst – falls erforderlich – neu zu starten, die
Konfiguration mithilfe der Daemons neu zu laden und die Änderungen zu aktivieren.
und stehen nur bei Listen zur Verfügung, bei denen die Reihenfolge von Bedeutung ist, beispielsweise bei Firewall-Regeln.
Die Symbole ermöglichen die Änderung der Reihenfolge durch Verschieben der Elemente nach oben oder unten .
erlaubt die Modifizierung des ausgewählten Elements. Wenn Sie auf dieses Symbol klicken, wird der passende Editor für das
Element geöffnet.
entfernt das ausgewählte Element aus der Liste und der Konfiguration. Bevor das Element endgültig gelöscht wird, müssen Sie
den Löschvorgang bestätigen.
erlaubt das Herunterladen des Elements (in der Regel ein Archiv).
wird in manchen Umgebungen verwendet, beispielsweise in Menüleiste ‣ Dienste ‣ Spam-Training, um die Verbindung zwischen
einem Element und einem Remote-Server zu prüfen.
und werden im IPS angezeigt (Menüleiste ‣ Dienste ‣ Intrusion Prevention) und erlauben die Protokollierung von Paketen, die
nach Übereinstimmung mit einer Regel weitergeleitet oder blockiert werden.
„Globale“ Aktionen
Am Ende jeder Seite, welche die Anpassung mindestens einer Option erlaubt, können Sie die neue Konfiguration mithilfe von
Speichern auf der Festplatte speichern oder vorgenommene Änderungen mithilfe von Abbrechen verwerfen. In letzterem Fall ist keine
weitere Aktion erforderlich, da die Konfiguration nicht geändert wurde. Im ersten Fall ist möglicherweise ein Neustart des soeben
modifizierten Dienstes erforderlich sowie ein Neustart einiger zugehöriger bzw. abhängiger Dienste, damit die neuen Einstellungen
geladen und in der laufenden Konfiguration verwendet werden können. Wenn diese Aktion erforderlich ist, wird nach Speichern der
Einstellungen ein Textfeld mit der Schaltfläche Übernehmen angezeigt, auf die Sie klicken müssen, um den Dienst neu zu starten.
Wenn ein Mehrfachauswahlfeld verwendet wird (z. B. unter Menüleiste ‣ Hotspot Einstellungen), kann Alle hinzufügen und Alle
entfernen als Verknüpfung angeklickt werden, um alle ausgewählten und aktiven Elemente oder alle verfügbaren Einträge einer Liste
hinzuzufügen oder von dieser zu entfernen.
Mehrfacheinträge in einer einzelnen Konfigurationsoption
Sie können an etlichen Stellen mehrere Werte für ein einzelnes Konfigurationselement eingeben, beispielsweise für Quelle
oder Ziel einer Firewall-Regel. In solchen Fällen wird entweder ein Textbereich oder ein Dropdown-Menü angezeigt. In
ersterem Fall können Sie in der Regel einen Wert pro Zeile eingeben, sei es eine MAC-Adresse, ein Netzwerkbereich (in
CIDR-Notation) oder ein OpenVPN-Benutzer. In letzterem Fall ist die Auswahl auf eine begrenzte Zahl vordefinierter Werte
beschränkt. Diese Werte können Sie auswählen, indem Sie auf der Tastatur die STRG-Taste gedrückt halten und
anschließend auf die Werte klicken, die Sie auswählen möchten.
IPv4 und CIDR-Notation:
Eine IPv4 ist ein Netzwerkadresse mit einer Länge von 32 Bit, die in vier 8-Bit-Oktette aufgeteilt ist. Dezimal kann jedes Oktett einen
Wert zwischen 0 und 255 annehmen (28 = 256).
Beim Festlegen eines Netzwerkbereichs wird die IP-Adresse des ersten Hosts im Netzwerk zusammen mit der Subnetzmaske, kurz
Netzmaske, vorgegeben. Hierdurch wird die Anzahl der in diesem Netzwerk verfügbaren Hosts festgelegt. Das Subnetz ist definiert als
die Länge des Netzwerkpräfixes, d. h. der Teil der Adresse, die von allen Hosts im Netzwerk geteilt wird.
Es gibt zwei Möglichkeiten, ein Netzwerk/Netzmasken-Paar zu bezeichnen:
Explizit heißt das, dass . beide in punktierter Quadrupelnotation angegeben werden. Zum Beispiel:
Netzwerk 192.168.0.0
Netzmaske 255.255.255.0
Dies ist ein Netzwerk, das mit der Adresse 192.168.0.0 beginnt und 256 mögliche Hosts besitzt, d. h. die Netzwerkreichweite ist von
192.168.0.0 bis 192.168.0.255. Die ersten drei Oktette der Netzmaske enthalten die Zahlenfolge 255. Das bedeutet, dass es keinen
verfügbaren Host gibt (bzw. dass dieser Teil der IP-Adresse dem Netzpräfix entspricht). An vierter Stelle steht die Ziffer 0, was
bedeutet, dass sämtliche Hosts (256–0 = 0) verfügbar sind.
in CIDR-Notation wird der Netzwerkbereich kürzer gefasst: Anstelle der freien Hosts werden die freien Bits angegeben. Der oben
erwähnte Netzwerkbereich wird dann folgendermaßen dargestellt:
192.168.0.0/24
Diese Notation zeigt die Länge des gemeinsam genutzten Teils der IP-Adresse in Bits an. 24 bedeutet, dass die ersten drei Oktette
(jedes besteht aus 8 Bits) gleich sind, während das vierte Oktett frei ist, was einer Anzahl von 32 - 24 = 8 Bits freier Hosts (also
256 Hosts) entspricht.
Selbiges gilt für IPv6-Adressen, mit dem Unterschied, dass diese 128 Bits lang sind.
Zugriff auf die Panda GateDefender-Appliance
Es gibt mehrere Möglichkeiten für den Zugriff auf die Panda GateDefender-Appliance: Die intuitivste und gradlinigste Weise ist der Zugriff
über die webbasierte GUI. Auch ein konsolenbasierter Zugriff über SSH und die serielle Konsole ist möglich. Diese Option ist jedoch nur
für fortgeschrittene Benutzer geeignet.
Die Weboberfläche (GUI) der Panda GateDefender-Appliance
Tipp
Die standardmäßige IP-Adresse der Panda GateDefender-Appliance ist 192.168.0.15.
Der empfohlene Zugriff auf die GUI der Panda GateDefender-Appliance ist sehr einfach: Öffnen Sie den Browser, und geben Sie bei
jedem Start der Panda GateDefender-Appliance die IP-Adresse der GRÜNEN Schnittstelle (GRÜNE IP-Adresse) ein.
Der Browser wird auf eine sichere HTTPS-Verbindung über Port 10443 umgeleitet. Da die Panda GateDefender-Appliance ein
selbstsigniertes HTTPS-Zertifikat verwendet, fordert Sie der Browser beim ersten Verbinden evtl. zum Akzeptieren des Zertifikats auf.
Anschließend werden Sie vom System zur Eingabe des Benutzernamens und Passworts aufgefordert. Geben Sie als Benutzernamen
„admin“ und das Passwort ein, das Sie von Ihrem Händler erhalten haben. Falls Sie die Panda GateDefender-Appliance bereits
angepasst haben, geben Sie das Passwort ein, das bei der Installation verwendet wurde.
Die Übersicht der GUI der Panda GateDefender-Appliance sollte nun angezeigt werden. Es ist möglich sofort mit dem Durchsuchen der
verfügbaren Informationen auf dieser Schnittstelle zu beginnen oder die Appliance weiter zu durchsuchen und zu konfigurieren. Die
weiteren Abschnitte dieses Handbuchs orientieren sich am Layout der Hauptnavigationsleiste: Jedes Element der Hauptmenüleiste stellt
einen anderen Abschnitt der Panda GateDefender-Appliance dar und wird als separater Abschnitt mit Untermenüelementen und
Registerkarten dargestellt, die Unter- bzw. Unterunterabschnitte besitzen.
Konsolenbasierter Zugriff
Der konsolenbasierte Zugriff auf die Panda GateDefender-Appliance wird nur für Benutzer empfohlen, die mit der Linux-Befehlszeile
vertraut sind.
Es gibt zwei Möglichkeiten, zur Befehlszeilenschnittstelle CLI zu gelangen: über SSH oder die serielle Konsole. Der Zugriff über SSH ist
standardmäßig deaktiviert. Sie können ihn jedoch unter Menüleiste ‣ System ‣ SSH Zugang aktivieren. Der Zugriff über die serielle
Konsole hingegen ist standardmäßig für alle Anwendungen mit folgenden Parametern aktiviert:
Port: ttyS0
Bit, Paritätsbit, Stoppbit: 8, N, 1
Geschwindigkeit: 115200 Baud
Printed Documentation
10
Für eine Verbindung über die serielle Konsole sind folgende Voraussetzungen erforderlich:
Terminalsoftware wie minicom für Unix/Linux-Felder oder puTTY für MS Windows
Workstation mit serieller Schnittstelle
Nullmodemkabel, um Ihre Workstation mit der Appliance zu verbinden
oder
Terminalsoftware
Netzwerkadapter mit Seriell-zu-Ethernet-Anbindung
Kabel für Seriell-zu-Ethernet-Anbindungen für die Verbindung zwischen Appliance und Adapter
Hinweis
Wenn das Netzwerk nicht ordnungsgemäß konfiguriert ist, kann die Konsole der einzige Weg sein, um auf die Panda GateDefender-
Appliance zuzugreifen.
014.
Menü „System“ Menü „System“
Im Menü „System“ werden verschiedene Informationen zur Panda GateDefender-Appliance und zu ihrem Status bereitgestellt.
Außerdem können die Einrichtung des Netzwerks sowie einige Zugriffsmodalitäten (z. B. Zugriff über SSH oder Zugriff für den Panda-
Support) definiert werden.
Das Untermenü auf der linken Seite enthält die folgenden Elemente für grundlegende Verwaltungsaufgaben und zur Überwachung
ausgeführter Aktivitäten der Panda GateDefender-Appliance:
Übersicht: Übersicht des Systems und des Verbindungsstatus
Netzwerkkonfiguration: Konfigurieren von Netzwerk und Netzwerkschnittstelle
Ereignisbenachrichtigungen: Einrichten von E-Mail- oder SMS-Benachrichtigungen
Updates: Verwalten von Systemupdates
Support – Support-Anfrageformular
Panda-Netzwerk: Registrierungsinformationen zur Panda Perimetral Management Console
Passwörter: Einrichten von Systempasswörtern
Web Konsole: Konsolenshell für den Browser
SSH Zugang: Aktivieren und Konfigurieren von SSH-Zugriff auf die Panda GateDefender-Appliance
GUI Einstellungen: Spracheinstellungen für die Weboberfläche
Datensicherung: Sichern und Wiederherstellen von Einstellungen der Panda GateDefender-Appliance sowie Zurücksetzen
auf die Werkseinstellungen
Herunterfahren: Herunterfahren und Neustarten der Panda GateDefender-Appliance
Lizenzbestimmungen: Lizenzbestimmungen für Benutzer
Im weiteren Teil dieses Abschnitts werden die verschiedenen Komponenten dieser Menüelemente beschrieben.
Übersicht
Bei der Übersicht handelt es sich um die Startseite, die bei jeder Anmeldung angezeigt wird. Sie umfasst mehrere Bereiche („Plugins“),
die in zwei Spalten angeordnet sind und eine vollständige Übersicht des ausgeführten Systems und seiner Integrität zeigen. Oben in den
Bereichen wird jeweils der Bereichsname genannt. Die Übersicht wurde mit Blick auf ihre Benutzerfreundlichkeit in letzter Zeit
überarbeitet, und es wurden neue Funktionen zur Verbesserung der Benutzerinteraktion implementiert. Die angezeigten Informationen
werden in regelmäßigen Abständen aktualisiert.
Die verfügbaren Plugins und die von ihnen angezeigten Informationen werden im Folgenden beschrieben.
System Information Plugin
Von diesem Plugin werden verschiedene Informationen zum installierten System angezeigt. Der Titel enthält in der Regel den
Hostnamen und den Domänennamen der Panda GateDefender-Appliance.
Appliance: Der Typ der Appliance.
Version: Die Version der Firmware.
Kernel: Der aktuell ausgeführte Kernel.
Betriebszeit: Der seit dem letzten Neustart vergangene Zeitraum.
Updatestatus: Eine vom Status der Panda GateDefender-Appliance abhängige Nachricht:
„aktuell“: Keine Aktualisierungen verfügbar.
„Update wird benötigt“: Neue Pakete können installiert werden. Durch Klicken auf die
Nachricht wird die Seite Updates geöffnet, auf der Sie die Liste neuer Pakete anzeigen
können.
„Registrieren für Unternehmen“: Das System wurde noch nicht in der Panda Perimetral
Management Console registriert: Durch Klicken auf die Nachricht wird die Seite Panda
Perimetral Management Console geöffnet, auf der ein Formular zum Abschließen der
Registrierung ausgefüllt werden kann.
Wartung: Der verbleibende Gültigkeitszeitraum für die Wartungsvereinbarung in Tagen.
Supportzugang: Ob das Supportteam auf die Panda GateDefender-Appliance zugreifen kann oder nicht. Im erstgenannten
Fall wird ebenfalls das Datum angezeigt, bis zu dem der Zugang gewährt wird.
Das Plugin zeigt ebenfalls die verbleibenden Tage der Gültigkeit der Zusatzmodule Panda Antivirus und Commtouch an, falls erworben.
Hardware Information Plugin
Von diesem Plugin werden die wichtigsten Hardwareinformationen der Panda GateDefender-Appliance und die Ressourcenverfügbarkeit
angezeigt. Alle Informationen sind mit den absoluten Werten (grafisch durch einen kleinen Balken und numerisch am Zeilenende) und
den Prozentwerten der Verwendung dargestellt. Die einzige Ausnahme bildet die CPU-Auslastung, für die grafisch und numerisch nur
der Prozentwert angezeigt wird.
CPU x: Die Auslastung der CPU. Wobei x für die Nummer der CPU steht, wenn die Appliance über mehrere CPUs verfügt.
Speicher: Die Größe des verwendeten Arbeitsspeichers (RAM).
Swap: Die Größe des Auslagerungsbereichs auf der Festplatte. Ein hoher Prozentwert an dieser Stelle weist in der Regel
auf eine Fehlfunktion hin.
Hauptfestplatte: Die Verwendung der Root-Partition.
Temp: Der verwendete Speicherplatz in der Partition /tmp.
Datenfestplatte: Die Verwendung der Partition /var.
Konfigurationsplatte: Der Speicherplatz, der durch die Partition belegt ist, die alle Dienste und Einstellungen der Panda
GateDefender-Appliance enthält.
Protokollplatte: Der Speicherplatz, der von der Partition verwendet wird, welche die Protokolle enthält.
Die letztgenannten Werte zur Speicherplatzverfügbarkeit können je nach Appliance variieren, da sich die Daten-, System-
und Protokollpartitionen möglicherweise an verschiedenen Orten befinden.
Warnung
Die Nutzung einer Festplattenpartition (z. B. Hauptfestplatte, Datenfestplatte, Temp, „/var/efw“ oder „/var/log“) darf 95 %
nicht überschreiten, weil dadurch Fehlfunktionen und Datenverluste auftreten können.
Service Information Plugin
Von diesem Plugin werden Informationen zu den wichtigsten installierten Diensten der Panda GateDefender-Appliance und deren
gegenwärtigen Status angezeigt. Für jeden Dienst werden der Aktivierungsstatus und eine Zusammenfassung der Aufgaben angezeigt,
die in der letzten Stunde und in den letzten Tagen abgeschlossen wurden. Durch Klicken auf den Namen eines Dienstes werden
zusätzliche Informationen über die vom Dienst ausgeführten Aufgaben angezeigt oder ausgeblendet. Für ausgeführte Dienste können in
einem neuen Fenster die entsprechenden Live-Protokolle geöffnet werden. Dadurch können die Protokolle überprüft und nach nützlichen
Informationen durchsucht werden, wenn die Zusammenfassungen einen Wert enthalten, der ungewöhnlich wirkt (z. B. doppelte Anzahl
abgelehnter E-Mails) oder auf eine Abweichung von normalen Aktivitäten (z. B. von der IDS wurde ein Angriff erkannt) hinweist. Die
folgenden Dienste werden derzeit von dem Plugin unterstützt:
Eindringlingserkennung: Die Anzahl der von Snort protokollierten Angriffe.
SMTP Proxy: Statistiken zu den verarbeiteten E-Mails. Die aktuelle Anzahl der E-Mails in der Postfix-Warteschlange, die
Anzahl der empfangenen, der unbedenklichen und der blockierten E-Mails sowie die Anzahl der gefundenen Viren.
HTTP Proxy: Die Anzahl der Treffer und Nichttreffer für den Zwischenspeicher von Squid sowie die Anzahl der
gefundenen Viren.
POP3 Proxy: Statistiken zu den empfangenen, blockierten, und virenbehafteten E-Mails, die den POP3-Proxy passiert
haben.
Tipp
Inaktive Dienste sind mit einer roten AUS-Meldung markiert.
Network Information Plugin
Von diesem Plugin werden Informationen zu den Netzwerkschnittstellen der Firewall und zum Datenverkehr angezeigt. Der obere Teil
des Plugins enthält einige Daten zu den Netzwerkschnittstellen der Panda GateDefender-Appliance: Ihr Name, Typ, Verbindungsstatus
(Ein für eine bestehende Verbindung und Aus für keine Verbindung) und Aktivierungsstatus (Ein für das aktivierte Gerät und Aus für das
nicht aktivierte Gerät) sowie den ein- und ausgehenden Datenverkehr. Die beiden letztgenannten Daten werden in Echtzeit aktualisiert.
Durch Aktivieren des Kontrollkästchens neben dem jeweiligen Gerätenamen wird das Gerät in den Grafiken darunter angezeigt. Der
Name der Geräte ist entsprechend der Zone, für die sie arbeiten, farblich gekennzeichnet.
Der untere Teil des Plugins enthält zwei Diagramme: vom ersten wird für jede ausgewählte Schnittstelle der eingehende Datenverkehr
und vom zweiten der ausgehende Datenverkehr dargestellt. Der Datenverkehr der Schnittstellen wird in der Farbe der jeweils
zugehörigen Zone angezeigt. Unterschiedliche Schnittstellen, die zur selben Zone gehören, werden in verschiedenen farblichen
Abstufungen dargestellt. Für ein Gerät erstellte Bridges werden in der Farbe des entsprechenden Geräts angezeigt. Wie der
Datenverkehr im oberen Teil werden beide Diagramme in Echtzeit aktualisiert.
Tipp
Es können bis zu sechs Schnittstellen ausgewählt und in den Diagrammen dargestellt werden.
Signatures Information Plugin
Dieses Plugin zeigt Informationen über den aktuellen Status dieser Dienste, die das Herunterladen von Signaturen erfordern, die
wiederum auf der Panda GateDefender-Appliance installiert und aktiviert werden. Falls keine Signatur heruntergeladen und noch kein
Dienst aktiviert wurde, wird die Meldung Keine aktuellen Signaturaktualisierungen gefunden angezeigt. Anderenfalls wird von diesem
Plugin eine Übersicht der Signaturen angezeigt, die für die verschiedenen Daemons installiert sind, sowie der Zeitstempel (Datum und
Uhrzeit) des letzten Downloads. Die Liste enthält Signaturen für die Dienste Anti-Spyware, Antivirus, Inhaltsfilter und Intrusion Prevention.
Uplink Information Plugin
Durch dieses Plugin wird eine Tabelle mit dem jeweiligen Verbindungsstatus der Uplinks angezeigt. Sie enthält den Namen, die IP-
Adresse, den Status, die Betriebszeit, den Aktivierungs- oder Deaktivierungsstatus und den Modus („verwaltet“ oder
„manuell“ ) jedes definierten Uplinks. Durch Klicken auf den kreisförmigen Pfeil kann eine Verbindung zum entsprechenden
Uplink unmittelbar neu hergestellt werden. Von besonderem Interesse ist das Feld Status der einzelnen Uplinks:
Gestoppt: Nicht verbunden.
Inaktiv: Nicht verbunden.
Baue Verbindung auf: Noch nicht verbunden, aber eine Verbindung wird hergestellt.
Verbunden oder EIN: Die Verbindung wurde hergestellt und ist voll funktionsfähig.
Verbindung wird getrennt: Die Verbindung wird vom Uplink getrennt. Das Gateway wird von der Panda GateDefender-
Appliance fortlaufend gepingt. Es erfolgt eine Benachrichtigung, sobald es wieder verfügbar ist.
Fehler: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten.
Fehler, Verbindung wird neu hergestellt: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten. Von
der Panda GateDefender-Appliance wird aber zurzeit ein Neuversuch ausgeführt.
Verbindung unterbrochen: Vom Uplink wurde eine Verbindung hergestellt, aber die in der Uplink-Konfigurationsoption
definierten Hosts (Menüleiste ‣ Netzwerk ‣ Schnittstellen, Option Erreichbarkeit dieser Hosts überprüfen im Uplinkeditor)
für das Überprüfen der Verbindung konnten nicht erreicht werden. Der Uplink ist also nicht funktionsfähig.
Verwaltete und manuelle Uplinks
Die einzelnen Uplinks können entweder im verwalteten Modus (Standardeinstellung) oder im manuellen Modus betrieben werden. Im
verwalteten Modus wird ein Uplink von der Panda GateDefender-Appliance überwacht und bei Bedarf automatisch neu gestartet. Ist der
verwaltete Modus deaktiviert, muss ein Uplink manuell aktiviert und deaktiviert werden. Wird die Verbindung unterbrochen, wird also kein
automatischer Wiederverbindungsversuch ausgeführt. Stattdessen muss der nicht funktionsfähige Uplink durch Klicken auf wieder
verbinden neu gestartet werden. Der Verwaltungsmodus eines Uplinks kann unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ausgewählt
werden.
Uplinks sollten stets verwaltet werden, damit bei Verbindungsabbrüchen eine zügige Wiederverbindung erfolgen kann. Der manuelle
Modus ist nützlich für die Fehlerbehebung und zum Testen von Verbindungen, bevor sie tatsächlich hergestellt werden.
Netzwerkkonfiguration
Die Konfiguration der Netzwerke und der Netzwerkschnittstellen für die Zonen kann mithilfe dieses Assistenten schnell und bequem in
acht Schritten durchgeführt werden. Mit den Schaltflächen <<< and >>> ist es möglich, frei zwischen den Schritten zu wechseln. Bereits
ausgeführte Aktionen können jederzeit aufgehoben werden. Die neuen Einstellungen werden erst beim letzten Schritt bestätigt,
woraufhin alle vorgenommenen Änderungen übernommen werden. Beim Übernehmen der Einstellungen kann es vorkommen, dass die
Weboberfläche für kurze Zeit nicht reagiert.
Der Uplink-Tarnmodus:
Der Uplink-Tarnmodus ist eine neue Möglichkeit, die Panda GateDefender Appliance nahtlos in eine vorhandene Netzwerkinfrastruktur
einzubinden, ohne dabei die existierenden Routing- oder Firewall-Regeln ändern zu müssen.
Der Uplink-Tarnmodus erfordert eine Panda GateDefender Appliance mit mindestens zwei NIC, welche die gleiche Zone bedienen
(entweder GRÜN, ORANGE oder BLAU). Eine dieser Schnittstellen leitet den gesamten Verkehr von der Zone zu einem Gateway und
stellt in der Praxis den „Uplink“ für die Panda GateDefender Appliance dar.
Das Vorhandensein einer expliziten Schnittstelle als designierter „Uplink“ ermöglicht die Unterscheidung einer Richtung für den Verkehr
außerhalb einer Zone, die vom Uplink-Tarnmodus bedient wird, und die Filterung mithilfe einer ausgehenden Firewall. Das ist der
Hauptunterschied zum Modus ohne Uplink (zuvor bekannt als Gateway-Modus), bei dem es keine Möglichkeit zur Filterung des
ausgehenden Verkehrs gab. Deshalb war die Anwendungssteuerung nicht einsetzbar.
Der Uplink-Tarnmodus erfordert eine bestimmte Einrichtung der Firewall in der Panda GateDefender Appliance.
Die Systemzugriffsregeln werden normal gehandhabt.
Portweiterleitungs- und Destination NAT-Regeln können ebenfalls normal konfiguriert werden. Da es sich jedoch um die
ausgehende Schnittstelle in der gleichen Zone wie das interne Netzwerk handelt, werden die Regeln auf beide Seiten der
Zone angewendet.
Source NAT wird nicht auf ausgehende Verbindungen in dieser Konfiguration angewendet, da ansonsten das Verhalten nicht
mehr transparent wäre.
Die ausgehende Firewall wird für den gesamten Verkehr verwendet, der von der durch den Uplink-Tarnmodus bedienten
Zone durch den als Uplink designierten NIC verläuft, wodurch die Funktionen der Anwendungssteuerung genutzt werden
können.
Die Zwischenzonen-Firewall wird auf den gesamten verbleibenden Verkehr zwischen den anderen Zonen (falls definiert)
angewendet. Wenn die Uplink-Tarn-Bridge aus drei oder mehr Schnittstellen besteht, und dadurch zwei oder mehr der
entsprechenden Zone dienen, kann der Verkehr zwischen diesen und den anderen Zonen durch die Zwischenzonen-Firewall
gefiltert werden.
Aufgrund der Verfügbarkeit dieses Uplink-Modus hat sich auch die grafische Benutzeroberfläche des Netzwerkkonfigurationsassistenten
geändert. Dies gilt vor allem für die Startseite, um die Unterschiede zwischen den verschiedenen Uplinks und den für sie verfügbaren
Konfigurationsoptionen zu erläutern.
Im Folgenden werden die acht Schritte des Assistenten einzeln behandelt:
1/8 – Netzwerkmodus und Uplink-Typ auswählen
Die Startseite des Netzwerkkonfigurationsassistenten enthält zwei Felder: Netzwerkmodi, in dem der Betriebsmodus für den Uplink
ausgewählt werden kann, und Uplink-Typ, in dem der Uplink ausgewählt werden kann.
Netzwerkmodi
Im ersten Feld können Sie den Betriebsmodus des von der Panda GateDefender Appliance verwendeten Uplinks aus drei sich
ausschließenden Optionen auswählen. Indem Sie eine der Optionen auswählen oder mit der Maus darauf zeigen, wird eine kurze
Beschreibung angezeigt.
Geroutet: Diese Option entspricht den klassischen Uplinks der Panda GateDefender Appliance mit Ausnahme des Gateway-Modus.
Gebridget: Der neue Uplink-Tarnmodus.
Keine Uplink: Diese Option entspricht dem Modus, der zuvor als Gateway-Modus bekannt war.
Hinweis
Im Modus Kein Uplink werden Regeln, die in der ausgehenden Firewall konfiguriert sind und den Verkehr von der Panda GateDefender
Appliance durch den Uplink filtern, nicht berücksichtigt.
Das nächste Feld wird nur durch Auswahl der Option Geroutet angezeigt, da in anderen Fällen der Modus automatisch die ROTE
Schnittstelle bestimmt.
Uplink-Typ (ROTE Zone)
Während der Installation erhält die Panda GateDefender-Appliance eine Standard-IP-Adresse für GRÜN. Auf dieser Seite kann der Typ
der ROTEN Schnittstelle (d. h. die Art des Uplinks) ausgewählt werden. Die folgenden Typen werden von der Panda GateDefender-
Appliance unterstützt:
ETHERNET STATIC
Die ROTE Schnittstelle befindet sich in einem LAN mit fester IP-Adresse und Netzwerkmaske, z. B. wenn die ROTE
Schnittstelle mit einem einfachen Router verbunden wird, jedoch mit dem Vorteil, dass die Panda GateDefender-Appliance
stets unter derselben IP-Adresse erreichbar ist.
ETHERNET DHCP
Die ROTE Schnittstelle bezieht ihre Netzwerkkonfiguration von einem lokalen Server, Router oder Modem dynamisch über
DHCP, d. h. die ROTE Schnittstelle ist mit einem einfachen Router verbunden, aber ohne dass für sie eine feste Adresse
erforderlich ist.
PPPoE
Die ROTE Schnittstelle ist mit einem ADSL-Modem verbunden. Diese Option wird nur benötigt, wenn vom Modem der
Bridging-Modus verwendet und PPPoE benötigt wird, um eine Verbindung mit dem Provider herstellen zu können. Die Option
darf nicht mit den Optionen ETHERNET STATIC und ETHERNET DHCP verwechselt werden. Diese werden für
Verbindungen mit ADSL-Routern verwendet, von denen das PPPoE selbst übernommen wird.
ADSL (USB, PCI)
Von der ROTEN Schnittstelle wird die Verbindung mit einem ADSL-Modem nicht über ein Ethernetkabel, sondern über ein
USB- oder PCI-Kabel hergestellt.
ISDN
Bei der ROTEN Schnittstelle handelt es sich um eine ISDN-Verbindung.
ANALOG/UMTS Modem
Bei der ROTEN Schnittstelle handelt es sich um ein analoges Modem (Einwahlmodem) oder ein UMTS-Modem (Mobiltelefon).
In einem kleinen Feld rechts neben den Optionen wird die Anzahl der Netzwerkschnittstellen angezeigt, die auf dem System verfügbar
sind. Die vollständige Konfiguration der ROTEN Schnittstelle erfolgt in Schritt 4.
2/8 – Netzwerkzonen auswählen
Die verbundenen Netzwerke werden von der Panda GateDefender-Appliance in vier grundlegende Zonen getrennt, wie es in diesem
Abschnitt beschrieben wird. Die beiden wichtigsten Zonen – GRÜN und ROT – wurden im Laufe der Installation bereits erkannt: In
diesem Schritt können Sie eine oder zwei zusätzliche Zonen aktivieren, abhängig von den Diensten, die von der Panda GateDefender-
Appliance bereitgestellt werden sollen: ORANGE – als DMZ-Netzwerkteil – und BLAU – als Segment für drahtlose Clients. Ihre
vollständige Konfiguration kann im nächsten Schritt durchgeführt werden.
Hinweis
In der Panda GateDefender-Appliance ist eine Netzwerkschnittstelle der GRÜNEN Zone vorbehalten. Eine weitere wurde ggf. bereits der
ROTEN Zone zugewiesen, sofern für die ROTE Schnittstelle eine Netzwerkkarte erforderlich ist. Dadurch kann die Auswahl an dieser
Stelle eingeschränkt sein, so dass die ORANGE und die BLAUE Zone mangels weiterer Netzwerkschnittstellen nicht aktiviert werden
können.
3/8 – Netzwerkeinstellungen
Dieser Schritt betrifft die Konfiguration der GRÜNEN Zone, falls erforderlich, sowie der Zonen, die im vorherigen Schritt ausgewählt
wurden. Für jede aktivierte Zone können die folgenden Optionen konfiguriert werden:
IP-Adresse
Die IP-Adresse der Schnittstelle (z. B. 192.168.0.1). Diese sollte innerhalb des Netzwerks nicht bereits verwendet werden.
Tipp
Es wird empfohlen, für das letzte Oktett die 1 zu wählen, da von der Schnittstelle der Datenverkehr des gesamten Subnetzes gebündelt
wird.
Bedenken Sie, dass durch eine Änderung der IP-Adressen einer Panda GateDefender-Appliance insbesondere in
Produktionsumgebungen ggf. weitere Einstellungen an anderen Stellen angepasst werden müssen, z. B. in der HTTP-
Proxykonfiguration der Workstations, da Webbrowser anderenfalls nicht korrekt arbeiten.
Warnung
Bei der Konfiguration der Schnittstellen für die GRÜNE Zone muss ein Aussperren aus der Weboberfläche unbedingt vermieden
werden. Eine solche Situation kann entstehen, wenn die GRÜNE IP-Adresse in eine IP-Adresse geändert wird, die aus dem aktuellen
GRÜNEN Segment nicht erreichbar ist, und die Einstellungen dann gespeichert werden. In diesem Fall kann auf die Panda
GateDefender-Appliance nur über die serielle Konsole zugegriffen werden.
Netzwerkmaske
Auswählen der Netzwerkmaske aus einem Dropdown-Menü, das die möglichen Masken enthält (z. B. /24 - 255.255.255.0).
Tipp
Alle Geräte im selben Subnetz müssen dieselbe Netzmaske besitzen, um ordnungsgemäß zu kommunizieren.
Zusätzliche Adressen hinzufügen
Hinzufügen zusätzlicher IP-Adressen für unterschiedliche Subnetze zur Schnittstelle.
Schnittstellen
Weisen Sie eine Netzwerkschnittstelle einer Zone entsprechend der folgenden Regeln zu:
1. Eine Schnittstelle kann jeweils nur einer Zone zugeordnet werden, und jede Zone muss über mindestens eine Schnittstelle
verfügen.
2. Falls einer Zone mehrere Schnittstellen zugeordnet sind, werden diese Schnittstellen gebridget und verhalten sich wie ein
Teil eines Switches.
Für jede verfügbare Schnittstelle werden diese Informationen angezeigt:
Ein farbiges Kontrollkästchen, das anzeigt, zu welcher Zone die Schnittstelle gehört. Keine Farbe bedeutet, dass die Schnittstelle
keiner Zone zugeordnet ist.
Port: die Nummer des Ports.
Link: Zeigt den aktuellen Status mittels Symbolen an: – der Link ist aktiv, – kein Link oder kein Kabel angeschlossen,
– keine Informationen vom Treiber.
Beschreibung: die PCI-Identifikationszeichenfolge der Schnittstelle wie von lspci zurückgegeben. Die Zeichenfolge ist gekürzt, sie
kann jedoch durch bewegen der Maus auf das ? angezeigt werden.
MAC: die MAC-Adresse der Schnittstelle.
Gerät: der logische Name des Geräts.
Hinweis
Von der Panda GateDefender-Appliance werden unabhängig von der Anzahl der zugewiesenen Schnittstellen intern alle Zonen als
Bridges behandelt. Der Linux-Name der Schnittstellen lautet daher brX und nicht ethX.
Abschließend können in den beiden Textfeldern unten der Hostname und der Domänenname des Systems festgelegt werden.
Private IP-Adressen
Es wird empfohlen, den in RFC 1918 beschriebenen Standard zu befolgen (der kürzlich durch RFC 6761 aktualisiert wurde), und beim
Einrichten der Zonen nur IP-Adressen innerhalb der Netzwerksegmente zu verwenden, die von der IANA zur privaten Nutzung reserviert
wurden. Diese sind:
10.0.0.0 bis 10.255.255.255 (10.0.0.0/8, 16.777.216 Adressen) 172.16.0.0 bis 172.31.255.255 (172.16.0.0/12, 1.048.576 Adressen) 192.168.0.0 bis 192.168.255.255 (192.168.0.0/16, 65.536 Adressen)
Durch diese Auswahl werden Fehler bei der DNS-Auflösung vermieden, da IP-Adressen, die außerhalb dieser Bereiche liegen, oft von
anderen Organisationen als öffentliche IP-Adressen reserviert wurden. Darüber hinaus müssen für die Schnittstellen unterschiedliche IP-
Adressbereiche in den unterschiedlichen Netzwerksegmenten verwendet werden, z. B.:
IP = 192.168.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für GRÜN IP = 192.168.10.1 und Netzwerkmaske = /24 - 255.255.255.0 für ORANGE IP = 10.0.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für BLAU
Es muss auch beachtet werden, dass die erste und die letzte IP-Adresse eines Netzwerksegments (in der Regel .0 und .255) als
Netzwerkadresse bzw. Broadcastadresse reserviert sind und keinem Gerät zugewiesen werden dürfen.
4/8 – Internetverbindungseinstellungen
In diesem Schritt kann die ROTE Schnittstelle konfiguriert werden, die in Schritt 1 ausgewählt wurde. Über die ROTE Schnittstelle wird
die Verbindung mit dem Internet oder mit einem anderen nicht vertrauenswürdigen Netzwerk hergestellt, das sich außerhalb der Panda
GateDefender-Appliance befindet.
Hinweis
Falls in Schritt 1/8 der Modus Geroutet ausgewählt wurde, kann hier der Standardgateway ausgewählt werden.
Abhängig vom Typ der ausgewählten ROTEN Schnittstelle sind unterschiedliche, für den jeweiligen Schnittstellentyp erforderliche
Konfigurationsoptionen verfügbar. Unten auf der Seite werden zwei gemeinsam verfügbare Optionen angezeigt nämlich MTU und
Verwende diese MAC Adresse, die weiter unten beschrieben werden. Die Auswahl des DNS, die für fast alle Schnittstellentypen
verfügbar ist, erfolgt immer zwischen Dynamisch oder Manuell. Wird die letztgenannte Option ausgewählt, muss im darauf folgenden
Schritt eine gültige IP-Adresse eines DNS-Servers manuell angegeben werden. Die weiteren Konfigurationsoptionen sind:
ETHERNET STATIC
Die IP-Adresse und Netzwerkmaske der ROTEN Schnittstelle sowie die IP-Adresse des Standardgateways, d. h. die IP-
Adresse des Gateways, von dem die Verbindung zwischen Panda GateDefender-Appliance und dem Internet oder einem
anderen nicht vertrauenswürdigen Netzwerk hergestellt wird. Optional kann die Ethernet-Hardware-Adresse (MAC-Adresse)
der Schnittstelle angegeben werden.
ETHERNET DHCP
Auswählen des DNS als einzige verfügbare Option.
PPPoE
Zur Konfiguration von PPPoE durch Eingeben des vom Provider zugewiesenen Benutzernamens und Passworts in das Formular und
Angeben der Authentifizierungsmethode. Optional können der Dienstname und der Name des Konzentrators des Providers konfiguriert
werden. Dies ist aber in der Regel nicht erforderlich.
Tipp
Wenn Sie nicht sicher sind, ob Sie die PAP oder CHAP-Authentifizierung verwenden möchten, sollte die Standardoption beibehalten
werden.
ADSL (USB, PCI)
Für diese Auswahl sind drei Unterseiten vorhanden:
1. Auf der ersten wird aus den Treibern, die in einem Dropdown-Menü zur Auswahl stehen, der passende für das Modem ausgewählt.
2. Auf der zweiten wird aus einem Dropdown-Menü eine der vier Optionen für ADSL Typ ausgewählt: „PPPoA“, „PPPoE“, „Statische IP
Adresse“ oder „DHCP“.
3. Abschließend sind je nach Auswahl in den beiden vorherigen Schritten einige der folgenden Einstellungen erforderlich, die beim
ADSL-Provider in Erfahrung gebracht werden können:
o die VPI-Nummer und VCI-Nummer sowie der Kapselungstyp
o der vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im
Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden)
o die IP-Adresse und die Netzwerkmaske der ROTEN Schnittstelle
o die IP-Adresse des Standardgateways (nur bei statischer IP-Adresse erforderlich)
Hinweis
Wurde bei Punkt 2 die Option „PPPoE“ ausgewählt, wird die Konfiguration auf dieselbe Weise durchgeführt, die im vorherigen
Absatz PPPoE beschrieben wurde.
ISDN
Konfigurieren der ISDN-Verbindung, des Modemtreibers, der Telefonnummern (die Nummer des Providers und die externe
Rufnummer), des vom Provider zugewiesenen Benutzernamens und Passworts sowie der Authentifizierungsmethode (im
Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden). Es muss auch angegeben werden, ob die IP-
Adresse des DNS automatisch zugewiesen oder manuell festgelegt werden soll.
ANALOG/UMTS Modem
Auch wenn Panda GateDefender-Appliance die meisten modernen UMTS-Modems unterstützt, müssen einige Dinge beachtet werden.
Manche neuere UMTS-Modems sind zugleich USB-Massenspeichergeräte und werden in der Regel als zwei Geräte registriert (z. B.
/dev/ttyUSB0 und /dev/ttyUSB1): In diesem Fall ist das erste Gerät /dev/ttyUSB0 das Modem und
das zweite das Speichergerät. Durch Modems dieser Art können Probleme beim Neustart der Firewall verursacht werden, da von der
Panda GateDefender-Appliance versucht wird, vom USB-Massenspeichergerät zu starten. Auf der anderen Seite benötigen einige
SIM-Karten eine private Authentifizierungsnummer (PIN), um zu funktionieren. Dies wird nicht unterstützt. Die PIN-Nummer sollte von
der SIM-Karte entfernt werden, damit sie mit der Panda GateDefender-Appliance funktioniert.
Für diese Auswahl sind zwei Unterseiten vorhanden:
1. Auf der ersten wird angegeben, mit welchem seriellen Anschluss das Modem verbunden ist und ob es sich um ein
analoges Modem oder ein UMTS/HSDPA-Modem handelt.
Tipp
Das Gerät /dev/ttyS0 ist als serielle Konsole reserviert und daher nicht als serieller Anschluss für
Modems verfügbar.
2. Auf der zweiten Unterseite wird die Bitrate des Modems, die externe Rufnummer oder der Accesspoint-Name, der
vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im
Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden) konfiguriert. Für UMTS-Modems muss
der Accesspoint-Name angegeben werden.
Gateway
Die IP-Adresse des Standardgateways, d. h. die IP-Adresse des Gateways, von dem die Verbindung zwischen Panda
GateDefender-Appliance und dem Internet oder einem anderen nicht vertrauenswürdigen Netzwerk hergestellt wird.
Folgende gemeinsame Optionen sind verfügbar:
MTU
Die MTU-Größe der Pakete, die über das Netzwerk gesendet werden.
Verwende diese MAC Adresse
Angeben einer benutzerdefinierten MAC-Adresse für die ROTE Schnittstelle. Diese Einstellung ist für das einwandfreie
Failover von Slavegeräten in einer HA-Konfiguration erforderlich. Weitere Informationen zur ROTEN Adresse in HA-
Konfigurationen können unter Hochverfügbarkeit gefunden werden.
MTU-Größe
Obwohl von der Mehrheit der ISPs ein Standardwert von 1.500 Byte verwendet wird, ist in manchen Fällen die Standard-MTU-Größe zu
groß. Dies macht sich in der Folge durch ungewöhnliches Netzwerkverhalten bemerkbar, z. B. durch immer wieder unterbrochene
Downloads oder Verbindungen, die gar nicht funktionieren.
Wird vom ISP keine Standard-MTU-Größe verwendet, kann die korrekte Größe auf einfache Art ermittelt werden. Dafür werden spezielle
ICMP-Pakete mit einem spezifischen Wert gesendet, der so lange kontinuierlich abgesenkt wird, bis keine Fehler mehr auftreten: An
diesem Punkt ist die korrekte MTU-Größe erreicht, und der entsprechende Wert sollte in den Konfigurationsoptionen eingegeben werden.
Die ICMP-Pakete werden auf folgende Weise gesendet:
Nach Anmeldung bei der EFW wird ein Host ausgewählt, der auch tatsächlich erreichbar ist (z. B. sollte der DNS des ISP
immer erreichbar sein), und mit folgendem Befehl gepingt:
ping -c1 -M do -s 1460 <host> (Weitere Informationen können auf der Manpage zu ping(8) gefunden werden.)
Wenn die MTU-Größe von 1460 korrekt ist, werden Ping-Antworten wie die folgende empfangen:
PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes of data. 1468 bytes from 10.10.10.10: icmp_seq=1 ttl=49 time=75.2 ms
Ist die aktuelle MTU-Größe für Pakete mit einer Größe von 1460 aber noch zu groß, wird eine Fehlermeldung wie die
folgende angezeigt:
PING 10.10.10.10 (62.116.64.82) 1461(1489) bytes of data. ping: sendmsg: Message too long
Der Vorgang wird mit unterschiedlichen Paketgrößen (der Wert hinter der Option „-s“) so lange wiederholt, bis die korrekte
Größe gefunden ist und kein Fehler mehr angezeigt wird. Bei dem Wert, der in der Ausgabe des ping-Befehls in
Klammern angegeben ist, handelt es sich um die MTU-Größe. In diesem Beispiel lautet die Ausgabe „1460(1488)“. Der
Wert, der für die MTU-Größe gewählt werden muss, beträgt also 1488.
Durch einen MTU-Wert, der weniger als 1500 beträgt, können auch Probleme beim Einrichten von OpenVPN verursacht
werden, so dass dort ggf. einige Einstellungen angepasst werden müssen.
5/8 – DNS-Resolver konfigurieren
In diesem Schritt können bis zu zwei IP-Adressen für den DNS-Server angegeben werden. Erfolgt diese Zuweisung automatisch, können
keine Konfigurationsoptionen festgelegt werden und Sie können sicher mit dem nächsten Schritt fortfahren. Wenn nur ein DNS-Server
verwendet werden soll, muss die entsprechende IP-Adresse zweimal eingegeben werden. Angegebene DNS-IP-Adressen müssen für
die Panda GateDefender-Appliance erreichbar sein, da sonst die Auflösung von URLs und Domänen nicht funktioniert.
Siehe auch
Änderungen an der ROTEN Schnittstelle, d. h. dem Uplink, und dem DNS-Server können später bearbeitet werden, getrennt von der
restlichen Netzwerkkonfiguration:
Uplink Editor
Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ [Uplink bearbeiten]
6/8 – Standardmäßige E-Mail-Adresse des Administrators
In diesem Schritt wird eine globale Administrator-E-Mail-Adresse konfiguriert, die von allen Diensten zum Senden von E-Mails verwendet
wird. Sie dient dann bei Problemen oder Notfällen für entsprechende Benachrichtigungen.Diese E-Mail-Adressen werden anschließend
von den Ereignisbenachrichtigungen verwendet.
Die folgenden drei Felder können konfiguriert werden:
Administrator Emailadresse
Eine gültige E-Mail-Adresse, an die die System-E-Mails gesendet werden sollen.
Absender Emailadresse
Eine gültige E-Mail-Adresse, die als Absenderadresse angezeigt wird. Eine benutzerdefinierte Absenderadresse ist nützlich,
wenn die Nachrichten von der Panda GateDefender-Appliance beim Empfänger gefiltert werden sollen.
Adresse des Smarthosts
Der SMTP-Server, über den die E-Mails gesendet werden sollen.
Tipp
Obwohl alle Felder leer gelassen werden können, empfiehlt es sich, zumindest eine gültige Administrator-E-Mail-Adresse anzugeben.
7/8 – Konfiguration übernehmen
In diesem Schritt wird mitgeteilt, dass die Netzwerkkonfiguration abgeschlossen ist und alle neuen Einstellungen gespeichert wurden.
Durch Klicken auf die Schaltfläche OK, Konfiguration übernehmen werden die Einstellungen gespeichert und die Konfiguration wird
angewendet, indem alle erforderlichen Dienste und Daemons neu gestartet werden.
8/8 – Beenden
Im letzten Schritt werden alle Konfigurationsdateien auf den Datenträger geschrieben und alle Geräte neu konfiguriert. Außerdem
werden die netzwerkabhängigen Dienste und Daemons (z. B. die Firewall und ntpd) bei Bedarf neu gestartet. Der Vorgang kann
insgesamt bis zu 20 Sekunden dauern. In dieser Zeit sind ggf. keine Verbindungen mit der Administrationsoberfläche und über die Panda
GateDefender-Appliance möglich.
Anschließend wird automatisch die Administrationsoberfläche neu geladen. Wurde die GRÜNE IP-Adresse geändert, wird die GUI unter
der geänderten Adresse geladen. Wenn dies der Fall ist oder der Hostname geändert wurde, wird ein neues SSL-Zertifikat zum
Identifizieren des neuen Hosts generiert.
Bemerkung
Bei einzelnen Änderungen der Netzwerkkonfigurationseinstellungen (z. B. Ändern des Hostnamens oder des Netzwerkbereichs einer
Zone) genügt es später, die Netzwerkkonfiguration zu starten, direkt zum relevanten Schritt zu navigieren, die entsprechenden Werte zu
bearbeiten und dann zum letzten Schritt zu wechseln und zu speichern.
Ereignisbenachrichtigungen
Bei einem wichtigen Ereignis auf der Panda GateDefender-Appliance (z. B. wenn eine Partition bald ausgelastet ist oder Updates
verfügbar sind) kann eine sofortige Benachrichtigung per E-Mail erfolgen, damit im Bedarfsfall umgehend Maßnahmen zur
Problemlösung ergriffen werden können.
Systeme, die den Hotspot unterstützen, verwenden außerdem SMS zur Aktivierung neuer Konten oder für den Erwerb neuer Tickets. Die
Seite enthält die folgenden drei Registerkarten: Einstellungen, SMS-Benachrichtigungen und Ereignisse.
Einstellungen
Die Standardregisterkarte dient zur Konfiguration der E-Mail-Benachrichtigungen:
Benachrichtigungen mailen
Auswahl aus einem Dropdown-Menü, wie das Benachrichtigungssystem verwendet werden soll. Folgende Optionen sind
verfügbar:
Es wird die Standard-Administrator-E-Mail-Adresse verwendet, die im Installations-Assistenten oder in Schritt 6 unter
Menüleiste –> System –> Netzwerkkonfiguration angegeben wurde.
Benachrichtigung an eine benutzerdefinierte Emailadresse: Es wird eine alternative E-Mail-Adresse für die E-Mail-
Benachrichtigungen verwendet. In diesem Fall müssen drei weitere Optionen konfiguriert werden, nämlich:
Absender Mailadresse
Die E-Mail Adresse, die als Absenderadresse angezeigt wird.
Empfänger Mailadresse
Die E-Mail Adresse, an welche die E-Mail-Nachricht geschickt wird.
Mail Smarthost
Der zum Versenden der E-Mail verwendete SMTP-Server.
nicht benachrichtigen: Es werden keine Benachrichtigungen versendet.
SMS
SMS-Benachrichtigungen werden vom Hotspot verwendet, um Konten oder Tickets zu aktivieren.
Das Feld ist in zwei Teile gegliedert: im oberen Teil ist es möglich SMS-Pakete hinzuzufügen, während im unteren Teil Informationen
über das SMS-Kontingent angezeigt werden.
Geben Sie den Activation Code ein ...
Zum Hinzufügen eines neuen SMS-Pakets muss dieses zunächst über die Panda Perimetral Management Console erworben
werden, wodurch ein Aktivierungscode generiert wird. Dieser Aktivierungscode muss in dieses Textfeld eingegeben werden.
Aktivieren
Nachdem Sie einen gültigen Aktivierungscode eingegeben haben, klicken Sie auf diese Schaltfläche, um ein SMS-Kontingent
hinzuzufügen, das für den Versand der Benachrichtigungen verwendet wird.
Verfügbare SMS
Die Anzahl der verfügbaren SMS.
Reservierte SMS
Die Anzahl der SMS, die bereits verwendet, aber noch nicht an den Empfänger zugestellt wurden. Dieser Fall kann
beispielsweise eintreten, wenn der Empfänger nicht erreichbar war.
Ereignisse
Auf dieser Registerkarte wird eine Liste aller Ereignisse angezeigt, durch die eine Benachrichtigung ausgelöst werden kann. Außerdem
können die Aktionen konfiguriert werden, die bei den Ereignissen jeweils ausgeführt werden sollen. Direkt über der Liste befindet sich
eine kleine Navigationsleiste sowie ein Suchfeld für das Filtern relevanter Elemente.
Die Liste enthält die folgenden drei Spalten:
ID
Der aus acht Ziffern bestehende ID-Code ABBCCCCD des Ereignisses. Dieser ist folgendermaßen aufgebaut:
A stellt die Schichtnummer dar, die angibt, in welcher Systemkomponente das Ereignis aufgetreten ist: 1
bedeutet Kernel, 2 das System selbst, 3 Dienste, 4 Konfigurationsebene und 5 die GUI.
BB ist die Modulnummer.
CCCC ist eine sequenzielle Nummer, die mit dem Ereignis verbunden ist.
D ist der Schweregrad des Ereignisses: Je niedriger der Wert ist, desto ungünstiger ist es: 0 ist ein
kritisches Ereignis, 4–5 sind neutral und 9 ist ein positives Ereignis.
Beschreibung
Eine Kurzbeschreibung des Ereignisses.
Aktionen
Die Aktionen, die für jedes Ereignis ausgeführt werden können. Alle E-Mail-Benachrichtigungen sind standardmäßig aktiviert
(symbolisiert durch ), können aber durch Klicken auf das E-Mail-Symbol in der entsprechenden Zeile für einzelne
Ereignisse deaktiviert werden (dadurch ändert sich das Symbol zu ). Durch nochmaliges Klicken auf das Symbol werden
die Benachrichtigungen erneut aktiviert. Nachdem Sie eine Aktion geändert haben, denken Sie daran, auf die Schaltfläche
Übernehmen zu klicken, die innerhalb des grünen Textfeldes über der Ereignisliste angezeigt wird.
Aktualisierungen
An dieser Stelle werden die Softwareupdates verwaltet. Es kann jederzeit manuell nach verfügbaren aktualisierten Paketen gesucht oder
eine regelmäßige Überprüfung festgelegt werden.
Auf dieser Seite befinden sich zwei Felder: In einem wird der derzeitige Status des Systems angezeigt, und in dem anderen kann eine
regelmäßige Prüfung auf Updates definiert werden.
Status
Das Feld Status zeigt an, ob der Computer Aktualisierungen benötigt oder nicht. Ist dies der Fall, wird eine Liste verfügbarer Pakete
angezeigt. Falls nicht, wird die Meldung „Ihre Panda GateDefender-Appliance ist auf dem aktuellen Stand!” angezeigt. Außerdem
informieren zusätzliche Meldungen über das Datum und die Uhrzeit der letzten Prüfung auf Aktualisierungen, und wann das letzte
Upgrade durchgeführt wurde. Folgende Optionen stehen zur Auswahl:
Prüfe auf neue Aktualisierungen!
Es wird eine manuelle Überprüfung auf aktualisierte Pakete gestartet, und gefundene Pakete werden aufgeführt. Einzelne
Pakete können zur Installation aus der Liste ausgewählt werden.
Beginne Aktualisierung JETZT!
Der Aktualisierungsvorgang wird gestartet: Vom System werden die aktualisierten Pakete heruntergeladen und installiert,
wobei die älteren Pakete ersetzt werden.
Bemerkung
Für die Überprüfung auf Updates ist eine gültige Wartungsvereinbarung erforderlich. Andernfalls werden auch verfügbare Updates nicht
angezeigt.
Terminplan zum Runterladen der Liste der vorhandenen Updates
Im Feld Terminplan kann ein regelmäßiger Job eingerichtet werden, durch den die Liste der aktualisierten Pakete abgerufen wird. Dieser
Job wird vom Cron-Daemon geregelt. Dieser kann entweder stündlich, täglich, wöchentlich oder monatlich ausgeführt werden. Wird der
Mauszeiger über das kleine ? neben einer Option geführt, wird der genaue Zeitpunkt des Jobs als Tooltip angezeigt.
Support
Auf dieser Seite können Sie die Anfragen an den Panda Support senden, wenn Sie Hilfe benötigen.
Bemerkung
Um eine Anfrage an den Support zu übermitteln, muss Ihr System in der Panda Perimetral Management Console registriert sein. Falls
nicht, wird die Meldung „Derzeit ist kein laufender Wartungsvertrag verfügbar.” angezeigt.
Die Seite ist in zwei Bereiche unterteilt: Der erste Bereich enthält einen Link, um die Homepage des Supports zu öffnen und im zweiten
es ist möglich, den SSH-Zugriff für den Support zu ermöglichen.
Support-Portal besuchen
Dieses Feld beinhaltet nur den Link zur Homepage des Supports.
Bitte besuchen Sie unser Support-Portal
Durch Klicken auf diesen Link öffnet sich im Browser eine neue Registerkarte, in der Sie Anweisungen dazu finden, wie Sie
eine Anfrage an den Support übermitteln können.
Zugang zum Panda Support-Team
Optional können Sie den Zugriff auf die Firewall über SSH gewähren, eine sichere, verschlüsselte Verbindung, mit der sich ein Mitglied
des Supports in die Panda GateDefender-Appliance einloggen und herauszufinden kann, wo das Problem liegt. Das Feld enthält eine
informative Meldung, den Zugriffsstatus, der entweder NICHT ERLAUBT oder ERLAUBT ist. Wenn der Status NICHT ERLAUBT ist, wird
eine Schaltfläche am unteren Rand des Feldes angezeigt:
Zugriff erlauben
Durch Klicken auf diese Schaltfläche erhält das Supportteam 4 Tage Zugriff auf die Panda GateDefender-Appliance.
Wenn der Support-Zugriff erlaubt ist, wird eine neue Meldung unter der Statusmeldung angezeigt: Zugriff erlaubt bis: gefolgt von Datum
und Uhrzeit, zu dem/der der Zugriff auf die Panda GateDefender-Appliance widerrufen wird. Zusätzlich werden am unteren Rand des
Feldes zwei Schaltflächen angezeigt.
Zugriff verweigern
Damit widerrufen Sie unverzüglich den gestatteten Zugriff auf die Panda GateDefender-Appliance.
Zugriff für vier weitere Tage verlängern
Wenn der technische Support mehr Zeit für die Untersuchung des Panda GateDefender-Appliance benötigt, gestattet ein
Klick auf diese Schaltfläche den Zugriff für weitere vier Tage.
Bemerkung
Wenn diese Option aktiviert ist, wird der öffentliche SSH-Schlüssel des technischen Supports in das System kopiert und der Zugriff wird
über diesen Schlüssel gestattet. Das technische Support-Team wird sich nicht mit Benutzername/Kennwort auf der Panda
GateDefender-Appliance authentifizieren. Das Root-Kennwort der Panda GateDefender-Appliance wird dem Support-Team niemals
mitgeteilt.
Panda Perimetral Management Console
Bei der Panda Perimetral Management Console, oder kurz „Perimetral Console“, handelt es sich um eine Lösung von Panda, mit der alle
registrierten Panda GateDefender-Appliance-Systeme mit nur wenigen Klicks zentral und bequem überwacht, verwaltet und aktualisiert
werden können.
Die Seite ist in zwei Registerkarten unterteilt: Abonnements und Fernzugriff.
Abonnement
Wenn die Firewall noch nicht bei der Panda Perimetral Management Console registriert wurde, wird das Registrierungsformular
angezeigt. Dieses kann vor Absenden der Registrierungsanfrage ausgefüllt werden. Nach Abschluss der Registrierung werden auf der
Registerkarte „Abonnements“ die folgenden drei Felder angezeigt:
Systeminformationen
In diesem Feld werden Basisdaten zur Panda GateDefender Appliance angezeigt: die Seriennummer, der Aktivierungscode, das
Appliance-Modell sowie das ausgewählte Wartungspaket.
Registrierungsstatus
In diesem Feld wird eine Zusammenfassung des Support-Status der Panda Perimetral Management Console angezeigt: der
Systemname, die Organisation, für die die Panda GateDefender-Appliance registriert ist, die System-ID und das Datum des letzten
Updates.
Ihre Aktivierungsschlüssel
Für das Empfangen von Updates und die Nutzung der Panda Perimetral Management Console ist mindestens ein gültiger (d. h. ein nicht
bereits abgelaufener) Aktivierungsschlüssel erforderlich. Für jeden Supportkanal wird ein Schlüssel mit dem Gültigkeitszeitraum und den
verbleibenden Tagen der Wartungsvereinbarung angezeigt. In der Regel handelt es sich aber jeweils um denselben Schlüssel. Ein
abgelaufener Schlüssel wird durch einen durchgestrichenen Kanalnamen und die Zeichenfolge abgelaufen in der entsprechenden Spalte
Tage verbleibend angezeigt.
Fernzugriff
Auf der Registerkarte „Fernzugriff“ kann ausgewählt werden, ob und ggf. mithilfe welches Protokolls die Panda GateDefender-Appliance
über die Panda Perimetral Management Console erreichbar ist. Durch Klicken auf den grauen Schalter oben auf der Seite
wird der Zugriff erlaubt. Der Schalter wird daraufhin blau und die beiden folgenden Zugriffsoptionen können durch Aktivieren des
entsprechenden Kontrollkästchens ausgewählt werden:
Aktiviere HTTPS Zugang
Die Panda GateDefender-Appliance ist über die Weboberfläche erreichbar.
Aktiviere SSH Zugriff
Die Anmeldung bei der Panda GateDefender-Appliance über eine sichere Shell ist erlaubt. Durch Aktivieren dieser Option
wird automatisch der SSH Zugang aktiviert.
Passwörter
Auf dieser Seite können die Passwörter der drei Standardbenutzer geändert werden. Dafür wird ein Passwort zweimal eingegeben und
anschließend auf die Schaltfläche Passwort ändern geklickt:
Admin
Der Benutzer, der zur Verwaltung die Weboberfläche verwenden kann.
Einwahl
Ein spezieller Benutzer, dessen Zugriff auf die Oberfläche eingeschränkt ist und der nur Uplinks verwalten kann.
Root
Der Benutzer, der sich zur Verwaltung bei der Shell anmelden kann. Die Anmeldung kann entweder über die serielle Konsole
oder mithilfe eines Remote-SSH-Clients erfolgen.
Tipp
Passwörter müssen mindestens 6 Zeichen lang sein.
Web-Konsole
Von der Webkonsole wird ein Terminal als Applet im Browserfenster bereitgestellt, das als CLI zum Ausführen von Verwaltungsaufgaben
dient.
Die Funktionen der Webkonsole sind identisch mit denen, die bei Anmeldung über die serielle Konsole oder SSH vorhanden sind. Links
unten im Applet wird der Konsolenstatus angezeigt: Verbunden oder Getrennt. Sie können die Konsole jederzeit durch Eingeben von exit
und Drücken der Taste Eingabe auf der Tastatur wie bei jeder normalen Konsole beenden.
Ist die Konsole getrennt, kann sie durch nochmaliges Klicken auf den Untermenüpunkt Web Konsole wieder verbunden werden. Rechts
unten im Applet werden zwei Links angezeigt:
Virtuelle Tastatur einschalten:
Durch Klicken auf diesen Link wird ein Tastatur-Applet unterhalb der Konsole angezeigt, das verwendet werden kann, um Befehle
durch Klicken mit der Maus auf die verschiedenen Tasten einzugeben und auszuführen.
Hinweis
Wenn die Webkonsole getrennt ist, kommuniziert dieses Applet nicht mit der Konsole.
Eingabe deaktivieren
Dieser Link ermöglicht ein Umschalten der Möglichkeit, Eingaben von der Tastatur an die Webkonsole zu senden.
Tipp
Diese Option hat keine Auswirkungen auf die virtuelle Tastatur.
SSH-Zugang
Auf dieser Seite kann der Remote-SSH-Zugang für die Panda GateDefender-Appliance aktiviert werden. Standardmäßig ist dieser
deaktiviert (empfohlen). Auf der Seite befinden sich zwei Felder: Secure Shell Zugangseinstellungen und SSH Host Schlüssel.
Secure Shell Zugangseinstellungen
Durch Klicken auf den grauen Schalter wird der SSH-Zugang aktiviert. Der SHH-Dienst wird gestartet, und einige Sekunden später
werden die folgenden Konfigurationsoptionen angezeigt:
Beispiel SYS-1 – Tunneln von Datenverkehr über SSH:
Für dieses Beispiel wird davon ausgegangen, dass ein Dienst wie z. B. Telnet (oder ein anderer Dienst, der über SSH getunnelt werden
kann) auf einem Computer innerhalb der GRÜNEN Zone ausgeführt wird. Der verwendete Port ist Port 23, der Hostname ist myhost, und
die IP-Adresse lautet 10.0.0.20. Es soll ein SSH-Tunnel über die Panda GateDefender-Appliance eingerichtet werden, um von außerhalb
des LAN, d. h. aus der ROTEN Zone, sicher auf den Dienst zugreifen zu können. Obwohl ein Zugriff auf GRÜN von der ROTEN
Schnittstelle im Allgemeinen nicht empfohlen wird, kann es in einigen Fällen, z. B. während der Testphase eines Diensts, nützlich sein:
1. Aktivieren Sie SSH und ermöglichen Sie den Zugriff auf den Host, indem Sie unter Menüleiste ‣ Firewall ‣ Systemzugriff die
Firewall so konfigurieren, dass myhost von außerhalb erreichbar ist.
2. Stellen Sie von einem externen System eine Verbindung mit der Panda GateDefender-Appliance her, indem Sie den Befehl
ssh -N -f -L 12345:10.0.0.20:23 root@appliance verwenden. Durch -N wird SSH angewiesen, keine Befehle auszuführen,
sondern lediglich den Datenverkehr weiterzuleiten. Durch -f wird SSH im Hintergrund ausgeführt, und durch -L
12345:10.0.0.20:23 wird der Port 12345 des externen Systems dem Port 23 von myhost zugeordnet, wie er
für die Panda GateDefender-Appliance sichtbar ist.
3. Der SSH-Tunnel zwischen Port 12345 des externen Systems und Port 23 von myhost ist nun eingerichtet. Um myhost zu
erreichen, muss nun auf dem externen System nur noch Port 12345 des Localhost per Telnet angesprochen werden.
Version 1 des SSH-Protokolls
Diese Option wird nur für ältere SSH-Clients benötigt, von denen neuere Versionen des SSH-Protokolls nicht unterstützt werden.
Warnung
Von der Aktivierung von SSH Version 1 wird dringend abgeraten, da diese veraltet ist und nicht mehr gepflegt wird. Sie enthält
bekannte Sicherheitsrisiken, die durch böswillige Benutzer ausgenutzt werden können. SSH-Clients sollten heutzutage stets Version 2
von SSH verwenden, die sicherer und zuverlässiger ist.
Erlaube TCP Weiterleitung
Durch Aktivieren dieser Option werden andere Protokolle über SSH getunnelt. Siehe Beispiel SYS-1 für einen
Anwendungsfall.
Passwortbasierte Authentifizierung zulassen
Zulassen der Anmeldung mithilfe von Passwortauthentifizierung.
Authentifizierung auf Basis öffentlicher Schlüssel zulassen
Zulassen der Anmeldung mithilfe öffentlicher Schlüssel. Die öffentlichen Schlüssel der Clients, die sich per Authentifizierung
mit Schlüssel anmelden können, müssen der Datei /root/.ssh/authorized_keys hinzugefügt
werden.geprüft werden.
Speichern
Klicken Sie im unteren Seitenbereich auf diese Schaltfläche, um die Einstellungen der vier vorherigen Optionen zu speichern.
Bemerkung
Der SSH-Zugang wird automatisch aktiviert, wenn mindestens eine der folgenden Optionen festgelegt wurde:
Der Zugriff für das Panda Supportteam wurde unter Menüleiste ‣ System ‣ Support zugelassen.
Die Hochverfügbarkeit wurde unter Menüleiste ‣ Dienste ‣ Hochverfügbarkeit aktiviert.
Der SSH-Zugang wurde unter Menüleiste ‣ System ‣ Perimetral Console ‣ Fernzugriff zugelassen.
SSH Host Schlüssel
In einem Feld unten auf der Seite werden die öffentlichen SSH-Host-Schlüssel der Panda GateDefender-Appliance, die beim ersten
Starten des openSSH-Servers generiert wurden, mit ihrem jeweiligen Fingerabdruck und der Größe in Bits angezeigt.
GUI-Einstellungen
An dieser Stelle sind zwei Konfigurationsoptionen für die GUI vorhanden. Die erste Option ist die Auswahl der Sprache, die für die
Namen der Abschnitte, die Beschriftungen und alle sonstigen Texte der Weboberfläche verwendet wird. Sie erfolgt aus einem Dropdown-
Menü. Die momentan unterstützten Sprachen sind: Englisch, Deutsch, Italienisch, Chinesisch (vereinfacht), Japanisch, Portugiesisch,
Russisch, Spanisch und Türkisch.
Mit der zweiten Option kann durch Aktivieren des Kontrollkästchens Hostname im Fenstertitel anzeigen der Hostname der Panda
GateDefender-Appliance im Fenstertitel des Browsers angezeigt werden.
Datensicherung
In diesem Abschnitt werden die Datensicherungen verwaltet: Erstellen von Sicherungen der aktuellen Panda GateDefender-Appliance-
Konfiguration und erforderlichenfalls Zurücksetzen des Systems auf eine dieser Sicherungen. Datensicherungen können lokal auf dem
Panda GateDefender-Appliance-Host, auf einem USB-Stick oder durch Herunterladen auf eine Workstation gespeichert werden.
Außerdem ist es möglich, die Konfiguration auf die Werkseinstellungen zurückzusetzen, vollständig automatisierte Sicherungen zu
erstellen und zahlreiche weitere Verwaltungsaufgaben für Datensicherungen auszuführen.
Der Abschnitt ist in zwei Registerkarten unterteilt: Datensicherung und geplante Datensicherungen. Die erste dient dem Verwalten
manueller Datensicherungen und die zweite dem Einrichten automatischer, geplanter Datensicherungen.
Datensicherung
Auf der Registerkarte Datensicherung befinden sich vier Felder, in denen die manuellen Datensicherungen verwaltet werden können.
Datensicherungssätze
Das erste Feld enthält eine Liste der manuellen und geplanten Datensicherungen, die auf der Panda GateDefender-Appliance
gespeichert sind, eine Option zum Erstellen einer neuen Datensicherung und die Legende zu den begleitenden Symbolen. Wenn ein
USB-Stick an die Panda GateDefender-Appliance angeschlossen ist und erkannt wurde, werden auch darauf gespeicherte
Datensicherungen angezeigt.
Beim Klicken auf die Schaltfläche Neue Datensicherung durchführen wird ein Dialogfeld geöffnet, in dem die zu sichernden Daten
ausgewählt werden:
Aktuelle Konfiguration
Die Datensicherung umfasst alle Konfigurationseinstellungen einschließlich aller bisherigen Änderungen und Anpassungen, d.
h. den vollständigen Inhalt des Verzeichnisses /var/efw.
Konfiguration und Datenbankinhalt einschließen
Der Inhalt der Datenbank wird ebenfalls gesichert.
Warnung
Die Datenbank kann sensible Daten enthalten. Daher muss eine Datensicherung, die den Datenbankinhalt umfasst, unbedingt an
einem sicheren Ort gespeichert werden.
Logs aufnehmen
Einschließen der aktuellen Protokolldateien (z. B. /var/log/messages). Protokolldateien der vorherigen Tage
werden nicht eingeschlossen.
Log Archive aufnehmen
Zusätzliches Einschließen älterer, rotierter Protokolldateien (z. B. /var/log/messages.YYYYMMDD.gz).
Nach einiger Zeit können Datensicherungen, die mit dieser Option erstellt werden, sehr umfangreich sein.
Anmerkung
Ein Kommentar zu der Datensicherung, der in der Tabellenspalte Anmerkung angezeigt wird. Er sollte daher aussagekräftig
genug sein, um ihren Inhalt in Erinnerung zu rufen.
Zum Erstellen einer neuen Datensicherung muss mindestens eines der Kontrollkästchen aktiviert sein.
Format und Name der Sicherungsdateien:
Sicherungsdateien werden als Archive im Format tar.gz mithilfe der standardmäßigen Linux-Tools tar und gzip erstellt. Die im Archiv
gespeicherten Dateien können entweder mithilfe von tar zxf archivname.tar.gz oder tar vzxf archivname.tar.gz extrahiert werden, um
alle verarbeiteten Dateien und einige Informationen auf dem Bildschirm anzuzeigen. Die Option v bedeutet hierbei ausführlich. Der Name
der Sicherungsdatei ist eindeutig und beinhaltet die maximale Informationsmenge über den Inhalt. Daher kann es zu sehr lange
Zeichenfolgen kommen, z. B. backup-20130208093337-myappliance.mydomain-settings-db-logs-logarchive.tar.gz, wobei
20130208093337 dem Zeitstempel bei Erstellung der Sicherung im Format JJJJMMTTHHMMSS entspricht – in diesem Beispiel:
8. Februar 2013 um 09:33:37 Uhr. Durch diese Auswahl werden die Sicherungen lexikografisch von der ältesten zur neuesten geordnet.
myappliance.mydomain bezeichnet den Hostnamen und Domänennamen der Panda GateDefender-Appliance, wie sie in Schritt 3 der
Netzwerkkonfiguration (Menüleiste ‣ System ‣ Netzwerkkonfiguration) festgelegt wurden. settings-db-logs-logarchive bezeichnet den
Inhalt der Sicherung. In diesem Fall handelt es sich um eine vollständige Sicherung, da alle vier Bestandteile im Namen angezeigt
werden. Eine Sicherung, die nur Einstellungen und Protokolle enthält, wird beispielsweise durch die Zeichenfolge settings-logs
identifiziert.
Zum Erstellen einer Datensicherung auf einem externen USB-Laufwerk (USB-Stick), muss ein USB-Laufwerk mit der Panda
GateDefender-Appliance verbunden sein. Es wird empfohlen, als Dateisystem FAT32/VFAT zu verwenden, da dadurch die
Übertragbarkeit auf andere Systeme verbessert wird. Wenn der USB-Stick erkannt wurde, werden auf der rechten Seite des Felds die
Meldung USB Stick gefunden und die neue Option Backup auf USB Stick erstellen angezeigt. Zum Speichern der Datensicherung auf
dem USB-Stick muss das Kontrollkästchen neben dieser Option aktiviert sein.
Durch Klicken auf die Schaltfläche Backup erzeugen wird die Datensicherung erstellt. Nach einer kurzen Zeit für das Zusammentragen
und Archivieren der erforderlichen Dateien wird die neue Datensicherung in der Liste angezeigt. Nach Abschluss des
Sicherungsvorgangs wird ein gelber Hinweis oberhalb des Feldes mit der Meldung Datensicherung erfolgreich abgeschlossen angezeigt.
In der zunächst leeren Liste der verfügbaren Datensicherungen werden jeweils das Erstellungsdatum, der Inhalt anhand eines
Buchstabenschlüssels, die Anmerkung und die Liste der Aktionen angezeigt, die für die Datensicherungsdatei verfügbar sind.
Automatische Datensicherungen werden mit der Zeichenfolge Automatische Datensicherung vor Upgrade markiert.
Der Inhalt einer Datensicherung wird gemäß den Optionen, die während der Erstellung ausgewählt wurden, durch mindestens eines der
folgenden Zeichen angegeben:
A: Archiv. Die Datensicherung enthält archivierte Protokolldateien.
C: Cron. Die Datensicherung wurde durch einen geplanten Datensicherungsjob automatisch erstellt.
D: Datenbankinhalt. Die Datensicherung enthält den Datenbankinhalt.
E: Verschlüsselt. Die Datensicherungsdatei ist verschlüsselt.
L: Protokolldateien. Die Datensicherung enthält die heutigen Protokolldateien.
S: Einstellungen. Die Datensicherung enthält die Konfigurationen und Einstellungen.
U: USB. Die Datensicherung wurde auf einem USB-Stick gespeichert.
!: Fehler. Etwas ist beim Senden der Sicherungsdatei per E-Mail fehlgeschlagen.
Die verfügbaren Aktionen sind: Exportieren eines Archivs auf die lokale Workstation , Löschen eines Archivs und
Wiederherstellen eines Archivs auf der Panda GateDefender-Appliance.
Datensicherungsarchive verschlüsseln
Im zweiten Feld können alle Datensicherungen mit einem öffentlichen GPG-Schlüssel verschlüsselt werden. Wählen Sie den GPG-
Schlüssel durch Klicken auf die Schaltfläche Datei auswählen, um die Schlüsseldatei vom lokalen Dateisystem hochzuladen. Wenn das
Kontrollkästchen Datensicherungsarchive verschlüsseln aktiviert ist, wird die Auswahl durch Klicken auf Speichern bestätigt und die
Schlüsseldatei hochgeladen.
Tipp
Verschlüsseln Sie Sicherungsarchive, wenn Sicherungsdateien empfindliche Daten enthalten wie z. B. Passwörter von Benutzern, die in
der Datenbank gespeichert sind, Benutzerdaten für den Hotspot oder Rechnungsinformationen.
Datensicherungsarchiv importieren
Im dritten Feld kann ein zuvor gespeichertes Datensicherungsarchiv in die Panda GateDefender-Appliance hochgeladen werden. Dieses
wird durch Klicken auf die Schaltfläche Datei auswählen und Auswählen der entsprechenden Datei im lokalen Dateisystem angegeben.
Im Feld Anmerkung kann optional eine Notiz zu der Datensicherung eingegeben werden. Durch Klicken auf die Schaltfläche Importieren
wird die Datensicherung schließlich hochgeladen. Nach kurzer Zeit wird sie in der Liste der Datensicherungen oben auf der Seite
angezeigt und kann durch Klicken auf das Symbol wiederhergestellt werden.
Hinweis
In die Panda GateDefender-Appliance können keine verschlüsselten Datensicherungen importiert werden. Diese müssen vor dem
Hochladen entschlüsselt werden.
Konfiguration auf Werkseinstellungen zurücksetzen und dann neu starten
Im vierten Feld können alle bisherigen Konfigurationen und Einstellungen gelöscht werden, indem das System mit der
Standardkonfiguration neu gestartet wird. Dies geschieht durch Klicken auf die Schaltfläche Werkseinstellungen: Nachdem eine
automatische Sicherungskopie der aktuellen Einstellungen gespeichert wurde, wird die Konfiguration auf die Werkseinstellungen
zurückgesetzt und die Panda GateDefender-Appliance umgehend neu gestartet.
Geplante Datensicherungen
Auf der Registerkarte Geplante Datensicherungen können automatische Datensicherungen des Systems aktiviert und konfiguriert
werden. Die Registerkarte enthält zwei Felder:
Zeitgesteuerte automatische Datensicherung
Im ersten Feld werden automatische Datensicherungen aktiviert und konfiguriert. Sind sie aktiviert, können die Elemente der Panda
GateDefender-Appliance, die in die Datensicherung eingeschlossen werden sollen, wie bereits im Feld Datensicherungssätze der
anderen Registerkarte ausgewählt werden. Der einzige Unterschied besteht darin, dass bei geplanten Sicherungen keine Möglichkeit
besteht, Anmerkungen zu machen. Zusätzliche Optionen sind:
Aktiviert
Geplante Sicherungen aktivieren
Anzahl Archive in Aufbewahrung
Wählen Sie aus dem Dropdown-Menü, wie viele Sicherungen auf der Panda GateDefender-Appliance gehalten werden sollen
(2 bis 10, diese können jedoch exportiert werden, um Speicherplatz zu sparen).
Zeitplan für automatische Datensicherungen
Die Häufigkeit von Sicherungen: stündlich, täglich, wöchentlich oder monatlich.
Menü „System“
31
Schicke Datensicherung als Mail
Im zweiten Feld kann konfiguriert werden, ob das System die Datensicherungen per E-Mail senden soll. Folgende Optionen stehen zur
Verfügung:
Aktiviert
Ermöglicht das Senden von Sicherungen via E-Mail.
Emailadresse des Empfängers
Die E-Mail-Adresse, an welche die E-Mail mit der Sicherung gesendet wird.
Emailadresse des Absenders
Die als Absender angezeigte E-Mail-Adresse. Dies ist hilfreich, wenn bei Sicherungen angezeigt werden soll, ob diese von
einer bestimmten Adresse stammen (z. B. [email protected]). Sie muss angegeben werden, wenn
die Domäne oder der Hostname nicht vom DNS aufgelöst werden kann.
Adresse die als Smarthost verwendet werden soll
Die Adresse eines Smarthost zum Versenden der E-Mails ist erforderlich, wenn die ausgehenden E-Mails über einen SMTP-
Server (z. B. den des Unternehmens) anstatt direkt von der Panda GateDefender-Appliance geleitet werden sollen.
Tipp
Die explizite Adresse eines Smarthost ist erforderlich, wenn der SMTP-Proxy (Menüleiste -> Proxy -> SMTP) deaktiviert ist.
Datensicherungsarchiv jetzt senden
Mithilfe dieser Schaltfläche werden die Einstellungen gespeichert, und es wird ein sofortiger Versuch unternommen, eine E-
Mail mit der angehängten Datensicherungsdatei zu senden. Auf diese Weise kann gleichzeitig die Korrektheit der Daten
überprüft werden.
Herunterfahren
Auf dieser Seite kann die Panda GateDefender-Appliance durch Klicken auf die Schaltfläche Herunterfahren bzw. Neustart
heruntergefahren oder neu gestartet werden.
Warnung
Das Herunterfahren oder der Neustart wird durch Klicken auf die entsprechenden Schaltflächen ohne weitere Bestätigungsaufforderung
sofort gestartet.
Nach einem Neustart ist es möglich, die Benutzeroberfläche ohne Authentifizierung zu nutzen.
Lizenzbestimmungen
In diesem Abschnitt wird die Lizenzvereinbarung zwischen Panda und dem Besitzer der Panda GateDefender-Appliance angezeigt.
Bemerkung
Ändert sich nach einem Upgrade die Lizenzvereinbarung, muss bei der ersten Anmeldung die neue Lizenzvereinbarung angenommen
werden, bevor auf das aktualisierte System zugegriffen wird und die Panda GateDefender-Appliance verwendet werden kann.
Menü „Status“ Menü „Status“
Das Menü „Status“ bietet eine Reihe von Seiten mit Informationen in grafischer bzw. in Textform zu verschiedenen Daemons, die auf der
Panda GateDefender-Appliance ausgeführt werden. In diesem Modul sind keine Konfigurationsoptionen verfügbar. Es wird nur der
aktuelle Status der Panda GateDefender-Appliance angezeigt.
Über die folgenden Elemente im Untermenü links im Bildschirm werden detaillierte Informationen zu einigen Funktionen der Panda
GateDefender-Appliance zur Verfügung gestellt:
Systemstatus – Dienste, Ressourcen, Betriebszeit, Kernel
Netzwerkstatus – Konfiguration von Netzwerkschnittstellen, Routingtabellen, ARP-Cache
Systemdiagramme – Diagramme zum Ressourcenverbrauch
Netzwerkdiagramme – Diagramme zur Bandbreitennutzung
Proxydiagramme – Diagramm der HTTP-Proxy-Zugriffsstatistiken der letzten 24 Stunden (Woche, Monat und Jahr)
Verbindungen – Liste der offenen TCP/IP-Verbindungen
OpenVPN-Verbindungen – Liste der OpenVPN-Verbindungen
SMTP Mailstatistik – Diagramm zum SMTP-Dienst.
Mail Queue – E-Mail-Warteschlange der SMTP-Server
Systemstatus
Durch Klicken auf Menüleiste ‣ Status wird die Seite Systemstatus angezeigt. Sie bietet in verschiedenen Feldern einen kurzen Überblick
zu folgenden Komponenten: laufende Dienste, Speicher, Festplattenbelegung, Betriebszeit und Benutzer, geladene Module und Kernel-
Version. Im oberen Seitenbereich befinden sich Hyperlinks zu den einzelnen Feldern. Die entsprechenden Informationen werden in den
einzelnen Feldern weiter ausgeführt, wobei es sich in der Regel um die Ausgabe bestimmter Linux-Befehle handelt.
Dienste
Der Status (Angehalten oder Läuft – markiert durch ein grünes bzw. rotes Quadrat) der auf der Panda GateDefender-Appliance
installierten Dienste wird hier angezeigt. Ein Dienst kann unter dem Status ANGEHALTEN angezeigt werden, wenn der entsprechende
Daemon bzw. das entsprechende Skript nicht aktiviert ist.
Speicher
Die Ausgabe des Linux-Befehls free liefert die hier angezeigten Daten. Sämtliche Daten werden mit ihrer tatsächlichen Datenmenge in
Kilobyte angegeben. Ein Balken illustriert die Speichernutzung. Die erste Zeile zeigt den gesamten verwendeten Arbeitsspeicher an,
wobei ein Wert nahe 100 % bei einem System mit langer Betriebsdauer normal ist, da der Linux-Kernel sämtlichen verfügbaren RAM als
Zwischenspeicher für die Festplatte nutzt, um Lese- und Schreibvorgänge zu beschleunigen. In der zweiten Zeile wird der momentan von
Prozessen genutzte Speicher angezeigt: Idealerweise sollte dieser Wert unter 80 % liegen, um verfügbaren Speicher zum
Zwischenspeichern für die Festplatte freizuhalten. Wenn sich dieser Wert der 100-%-Marke annähert, wird das System verlangsamt, da
aktive Prozesse auf die Festplatte ausgelagert werden müssen. Wenn die Speicherauslastung längere Zeit über 80 % liegt, sollte RAM
hinzugefügt werden, um die Leistung zu steigern. Der dritte Balken veranschaulicht die Nutzung der Swap-Partition. Für ein System mit
langer Betriebsdauer ist eine moderate Nutzung der Swap-Partition normal (der Wert sollte unter 20 % liegen), insbesondere wenn nicht
alle Dienste gleichzeitig laufen.
Festplattenbelegung
Die Ausgabe des Linux-Befehls df zeigt die Festplattengeräte – physische Laufwerke und Partitionen, deren Bereitstellungspunkt und
den Speicherplatz jeder Partition. Abhängig vom Typ der Panda GateDefender-Appliance unterscheiden sich die in diesem Feld
angezeigten Daten. In der Regel sind dies:
Die Hauptfestplatte /dev/hda1,
Die Datenfestplatte /dev/mapper/local-var,
Die Konfigurationsplatte /dev/mapper/local-config, auf der sämtliche Einstellungen der Panda
GateDefender-Appliance gespeichert sind,
Die Protokollplatte /dev/mapper/local-log,
Der gemeinsame Speicher, /dev/shm/.
Hinweis
Die Daten- und Protokollplatte wachsen mit der Zeit, daher sollte genug Speicherplatz für diese reserviert sein – besonders für die
Protokollplatte. Beachten Sie außerdem, dass Festplatten nie zu mehr als 95 % belegt sein sollten, da dies das korrekte Arbeiten des
Systems behindern kann.
Betriebszeit und Benutzer
In diesem Feld wird die Ausgabe des Linux-Befehls w angezeigt. Folgende Informationen werden hier angegeben: aktuelle Zeit,
Betriebszeit des Systems seit dem letzten Neustart, Zahl der momentan beim System angemeldeten Konsolenbenutzer (normalerweise
sollte diese Zahl bei Null liegen) und die durchschnittliche Systembelastung während der letzten Minute sowie den letzten 5 und
15 Minuten. Falls ein Konsolenbenutzer auf dem System angemeldet ist, werden zusätzlich einige Informationen über den Benutzer
angezeigt (wie z. B. der Remote-Host, von dem aus dieser angemeldet ist, oder was dieser ausführt). Weitere Informationen finden Sie
auf Seite w(1) des Handbuchs.
Geladene Module
Die Ausgabe des Linux-Befehls lsmod: Zeigt die aktuell im Arbeitsspeicher geladenen Kernel-Module an. Diese Informationen sind nur
für fortgeschrittene Benutzer von Nutzen.
Kernelversion
Die Ausgabe des Linux-Befehls uname -r zeigt die aktuelle Kernelversion an.
Netzwerkstatus
Diese Seite enthält verschiedene Informationen zum Betriebszustand der Netzwerkschnittstellen. Vier Felder sind auf dieser Seite
vorhanden, und wie für den Systemstatus werden für den Schnellzugriff Hyperlinks am oberen Rand der Seite bereitgestellt. Die
folgenden Informationen in den Feldern repräsentieren die Ausgabe verschiedener Shell-Befehle.
Schnittstellen
Im ersten Feld wird die Ausgabe des Befehls ip addr show angezeigt. Diese beinhaltet die zu jeder Netzwerkschnittstelle gehörende
MAC- bzw. IP-Adresse sowie zusätzliche Kommunikationsparameter. Die aktiven Schnittstellen werden in der Farbe der ihnen
zugeordneten Zone markiert. Bei diesen Schnittstellen kann es sich um Ethernet-Schnittstellen, Brücken oder virtuelle Geräte handeln.
NIC status
An dieser Stelle werden die aktuell ausgeführten Konfigurationen und Kapazitäten der angezeigten Netzwerkkarten (NIC) dargestellt.
Jede Schnittstelle wird in der Farbe der ihr zugeordneten Zone markiert. Mit der Bezeichnung [Link OK] wird angezeigt, dass die
Schnittstelle in Betrieb ist. Schnittstellen, die nicht verwendet werden, erhalten die Bezeichnung ‚[NO Link]‘. Der Befehl für die Ausgabe
lautet ip link show.
Routingtabelleneinträge
Die vom Befehl route -n bereitgestellte Kernel-Routingtabelle. In der Regel sollte eine Zeile pro aktiver Schnittstelle zur Verfügung
stehen, die den Datenverkehr in den von der Panda GateDefender-Appliance unterstützten Zonen ordnungsgemäß leitet, sowie eine
Standardroute (zu erkennen am Feld „0.0.0.0 Destination“), die dem Datenverkehr den Zugang zum Internet ermöglicht.
ARP Tabelleneinträge
Im letzten Feld wird die Ausgabe des Befehls arp -n und die Tabelle ARP angezeigt. Diese beinhaltet die zu jeder bekannten IP-Adresse
im lokalen Netzwerk gehörende MAC-Adresse.
Systemdiagramme
Die auf dieser Seite angezeigten Diagramme veranschaulichen die Ressourcennutzung während der letzten 24 Stunden: CPU, Speicher,
Swap und Festplattenbelegung. Zu allen Ressourcen wird eine Legende mit den im Diagramm enthaltenen Daten bereitgestellt.
Außerdem erhalten Sie Informationen zur farblichen Zuordnung und eine Zusammenfassung des maximalen, durchschnittlichen und
aktuellen Nutzungsprozentsatzes. Darüber hinaus wird eine Meldung angezeigt, die Sie über den Zeitpunkt und das Datum der letzten
Aktualisierung der Diagramme informiert, was dem letzten Zugriff auf diese Seite entspricht.
Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Nutzungsdiagramme vom letzten Tag, der
letzten Woche sowie des letzten Monats und Jahres geöffnet. Klicken Sie auf diesen Seiten auf die Schaltfläche ZURÜCK, um zur
vorherigen Seite zurückzukehren.
Hinweis
Die Zeichenfolge nan (kurz für „Not a Number“), die in den Zusammenfassungen angezeigt werden kann, gibt an, dass es nicht
genügend Daten zum Berechnen der Nutzung der ausgewählten Ressource gibt. Sie kann z. B. in „Verwendung pro Jahr“ auftreten,
wenn die Panda GateDefender-Appliance nur für einige Wochen benutzt wurde.
CPU Diagramm:
In diesem Feld wird die tägliche CPU-Verwendung der Panda GateDefender-Appliance angezeigt, gemessen in Prozent der
verwendeten CPU-Zeit durch die verschiedenen Prozesse. Die Ausgabe wird durch den Befehl top bereitgestellt. Verschiedene Farben
zeigen den Typ der laufenden Prozesse an:
Weiß – im Leerlauf befindlich, d. h. die CPU wird von keinem Prozess verwendet
Grün – normale Prozesse, d. h. Benutzerprozesse, die ihre Standardpriorität geändert haben
Blau – Benutzerprozesse mit Standardpriorität
Orange – Zeit, welche die CPU auf die Fertigstellung von Lese- und Schreibvorgängen gewartet hat
Rot – Systemprozesse (Kernel)
Pink – softirq, d. h. die für Softwareinterrupts aufgewendete Zeit
Braun – Interrupt, d. h. die für Hardwareinterrupts aufgewendete Zeit
Schwarz – Nur von Bedeutung, wenn als virtuelle Maschine ausgeführt. Die vom Hypervisor aufgewendete Zeit für das
Ausführen der VM.
Speicherdiagramm:
Das Diagramm zeigt die Speicherauslastung der letzten 24 Stunden. Verschiedene Farben zeigen den Speichertyp an:
Grün – verfügbarer Speicher, der neuen Prozessen zugewiesen werden kann
Blau – Zwischenspeicher, d. h. eine Kopie der aktuell von Prozessen verwendeten Daten
Orange – Pufferspeicher, d. h. ein temporärer Speicher, der Daten speichert, die von oder zu externen Geräten gesendet
werden
Rot – Belegter Speicher
Auslagerungsdiagramm
Die Nutzung des Auslagerungsbereichs auf der Festplatte wird in diesem Feld angezeigt.
Grün – freier Auslagerungsbereich
Blau – zwischengespeicherter Auslagerungsbereich
Rot – belegter Auslagerungsbereich
Festplattenbelegungsdiagramme
Diese Diagramme zeigen die Belegung der Festplatte an und sind in vier Felder aufgeteilt, wobei jedes die Belegung einer Partition zeigt.
In jedem Diagramm zeigt die grüne Farbe den freien Speicherplatz, während die rote Farbe den belegten Speicher anzeigt.
Netzwerkdiagramme
Diese Seite enthält die Netzwerkdiagramme der letzten 24 Stunden, eingeteilt n Zonen. Demnach enthält diese Seite – abhängig von den
aktivierten und konfigurierten Zonen – 2, 3 oder 4 Felder, jeweils mit Diagrammen. Wie in Systemdiagrammen gibt es für die Diagramme
eine Legende der angezeigten Daten:
Grün – ausgehender Datenverkehr
Blau – eingehender Datenverkehr
Unterhalb der Diagramme werden der Durchschnittswert und das Maximum der momentan gesendeten und empfangenen Daten
angezeigt und in Echtzeit aktualisiert.
Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Datenströme durch die Panda GateDefender-
Appliance vom letzten Tag, der letzten Woche sowie des letzten Monats und Jahres geöffnet. Die angezeigten Daten sind in allen
Diagrammen identisch: Der eingehende und ausgehende Datenverkehr wird in blauer bzw. grüner Farbe dargestellt. Eingehend
Tipp
Klicken Sie am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Seite mit allen Zonendiagrammen zu gelangen.
Proxydiagramme
An dieser Stelle werden die Zugriffsstatistiken für den HTTP-Proxy während der letzten 24 Stunden angezeigt. Diagramme werden nur
angezeigt, wenn der HTTP-Proxy-Dienst aktiviert ist. Selbst wenn der Dienst nur für einen kurzen Zeitraum um vorangegangen Jahr
ausgeführt wurde, können Sie auf alte Daten zugreifen, indem Sie auf das Diagramm klicken. Ähnlich wie bei den anderen Diagrammen
werden auch hier ältere Statistiken für den letzten Tag, die letzte Woche, den letzten Monat und das letzte Jahr angezeigt. Klicken Sie
am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Hauptseite zu gelangen.
Hinweis
Um die Proxydiagramme anzuzeigen, müssen Sie die Protokollierungsfunktion für HTTP-Proxys unter Proxy ‣ HTTP ‣ Konfiguration ‣
Log-Einstellungen durch Auswahl des Kontrollkästchens Protokollierung aktivieren aktivieren. Mithilfe der Optionen Suchbegriffe und
Benutzeragents können detailliertere Protokolle und Diagramme erstellt werden.
Nachdem der HTTP-Proxy aktiviert wurde, enthalten die vier Felder die folgenden Daten:
Gesamter Datenverkehr pro Tag: Die gesamte Datenmenge, die über den Proxy-Dienst der Panda GateDefender-Appliance
geleitet wurde. Der ausgehende Datenverkehr wird in Grün angezeigt, der eingehende in Blau.
Gesamtzugriffe pro Tag: Die Anzahl der HTTP-Anfragen, die von der Panda GateDefender-Appliance empfangen werden,
dargestellt in Blau.
Cachetreffer pro Tag: Die Anzahl angeforderter Cachedaten.
Cache-Trefferverhältnis über 5 Minuten pro Tag: Die Anzahl angeforderter Cachedaten während eines fünfminütigen
Zeitraums.
Verbindungen
Auf dieser Seite wird eine Tabelle mit den Listeneinträgen zu den aktuellen Verbindungen von, zu oder über die Panda GateDefender-
Appliance angezeigt. Die hier gezeigten Daten stammen aus der Tabelle „kernel conntrack“. Die folgenden Farben werden in der Tabelle
als Hintergrund für die Zellen verwendet, um die Quelle und das Ziel der Verbindung darzustellen.
Grün, Rot, Orange und Blau sind die von der Panda GateDefender-Appliance verwalteten Zonen.
Schwarz wird für Verbindungen verwendet, welche die Firewall nutzen, einschließlich Daemons und Dienste wie SSH oder
Webzugriffe.
Violett zeigt Verbindungen über VPN oder IPsec an.
Die in der Tabelle angezeigten Daten sind die folgenden.
Quell-IP-Adresse
Die IP, von der die Verbindung stammt
Quell Port
Der Port, von dem die Verbindung stammt
Ziel IP Adresse
Die IP, zu der die Verbindung geleitet wird
Ziel Port
Der Port, zu dem die Verbindung geleitet wird
Protokoll
Das Protokoll der Verbindung (typischerweise TCP oder UDP)
Status
Der aktuelle Status der Verbindung (nur bei TCP-Verbindungen sinnvoll) Diese sind in RFC 793 definiert; signifikante
Zustände sind AUFGEBAUT (Verbindung ist aktiv) und BEENDET (keine Verbindung).
Verfallsdatum
Dauer eines bestimmten Verbindungsstatus
Tipp
Die Seite wird automatisch alle 5 Sekunden aktualisiert.
Durch Klicken auf die einzelnen IP-Adressen und IP-Ports in der Tabelle erhalten Sie nützliche Informationen. Durch Klicken auf die IP-
Adresse wird die Whois-Anfrage mit Informationen zum Besitzer und Standort der IP-Adresse gestartet. Durch Klicken auf die
Portnummer wird die Webseite Internet Storm Center geöffnet. Auf dieser Seite werden Sie über den Port (d. h. seinen Zweck) informiert
und erhalten Informationen darüber, welche Dienste bzw. Malware (z. B. Trojaner, Viren) den Port benutzen könnten und wie viele
Angriffe auf diese Ports von verschiedenen Servern weltweit gemeldet wurden.
VPN Verbindungen
Auf der Panda GateDefender-Appliance werden OpenVPN- und IPsec-Server ausgeführt. Diese Seite zeigt die verbundenen Benutzer
zusammen mit dem Dienst, den sie für die Verbindung verwenden (OpenVPN, L2TP, IPsec oder XAuth), den Zeitstempel seit
Verbindungsaufbau und die ausführbaren Aktionen. Momentan nur zur Trennung des Benutzers.
Printed Documentation
38
SMTP Mailstatistik
Auf dieser Seite werden vier Felder angezeigt, die Diagramme über die vom lokalen SMTP-Server auf der Panda GateDefender-
Appliance gesendeten E-Mails anzeigen (für den aktuellen Tag, die Woche, den Monat und das Jahr).
Tipp
Es werden keine Informationen angezeigt, wenn der SMTP-Server deaktiviert ist.
Jedes Feld enthält zwei Diagramme, wobei jeweils auf der y-Achse die Zahl der E-Mails pro Minute und auf der x-Achse die Zeit
dargestellt werden. Die Zeiteinheit der x-Achse ändert sich entsprechend des Diagrammtyps: Zwei Stunden in täglichen Diagrammen,
einen Tag in wöchentlichen Diagrammen, eine Woche in monatlichen Diagrammen und einen Monat in jährlichen Diagrammen.
Das Diagramm am oberen Rand zeigt eine Zusammenfassung der durch die Panda GateDefender-Appliance pro Minute gesendeten
(grün) oder empfangenen (blau) Nachrichten. Das Diagramm am unteren Rand kann als feiner unterteilte Version des anderen
Diagramms verstanden werden, da es die E-Mails anzeigt, die zurückgewiesen wurden (rot) oder abgeprallt sind (schwarz), die wegen
Viren abgefangenen wurden (gelb), und die als Spam erkannte wurden (grau).
Unter jedem Diagramm befinden sich außerdem Informationen in Textform zu jeder E-Mail-Kategorie (gesendet, empfangen,
zurückgewiesen, abgeprallt, Virus und Spam), wobei die Gesamtzahl, der Durchschnitt und der höchste Wert verarbeiteter E-Mails (msgs)
sowie der Zeitstempel (Datum und Zeit) der letzten Seitenaktualisierung angegeben sind.
Mail queue
Ist der SMTP-Proxy aktiviert, wird auf dieser Seite die aktuelle E-Mail-Warteschlange angezeigt. Ist die E-Mail-Warteschlange leer, so
wird die Meldung Mail Queue ist leer angezeigt. Anderenfalls ist es möglich, die Warteschlange durch Klicken auf die Schaltfläche Flush
Mailqueue zu leeren. Ist der SMTP-Proxy deaktiviert, wird lediglich eine Meldung angezeigt, die Sie über den deaktivierten Status des
Proxy informiert.
Menü „Netzwerk“ Menü „Netzwerk“
Zudem können Uplinks konfiguriert und VLANs hinzugefügt werden. Das Menü darf nicht mit dem Netzwerkkonfiguration-Assistenten
unter Menüleiste ‣ System ‣ Netzwerkkonfiguration verwechselt werden, über den Schnittstellen und Zonen konfiguriert sowie Uplinks
definiert werden können. Viele Einstellungen und Konfigurationsoptionen – insbesondere die nachfolgend unter Schnittstellen
dargestellten – sind jedoch mit denen unter Netzwerkkonfiguration identisch, wo Sie auch ausführlichere Informationen dazu finden.
Das Untermenü auf der linken Seite enthält die folgenden Elemente, unter denen jeweils mehrere Konfigurationsoptionen
zusammengefasst sind:
Hosts bearbeiten: Definieren von Hosts für die Auflösung lokaler Domainnamen
Routing: Einrichten von statischem und richtlinienbasiertem Routing
Schnittstellen: Bearbeiten der Uplinks und Erstellen von VLANs
Hosts bearbeiten
Die Seite enthält die Liste der zuvor definierten Hosts. In jeder Zeile werden eine IP-Adresse, der zugeordnete Hostname und, sofern
angegeben, der Domänenname angezeigt. Für jeden Eintrag können jeweils zwei Aktionen ausgeführt werden: den Eintrag bearbeiten
oder den Eintrag löschen.
Warnung
Das Löschen eines Hosteintrags durch Klicken auf das kleine Symbol erfordert keine zusätzliche Bestätigung und kann nicht rückgängig
gemacht werden. Wurde ein Eintrag versehentlich gelöscht, muss dieser manuell erneut hinzugefügt werden.
Ein neuer Eintrag kann durch Klicken auf den über der Tabelle angezeigten Link Host hinzufügen hinzugefügt werden. Ein einfaches
Formular wird die Tabelle ersetzen, in dem die folgenden Optionen angegeben werden:
IP-Adresse
Die IP-Adresse des Remote-Hosts.
Hostname
Der Hostname und die IP-Adresse des BDC.
Domainname
Ein optionaler Domainname.
Hinweis
Im Gegensatz zur Datei /etc/hosts (siehe unten) entspricht jede hier hinzugefügte IP-Adresse einem Hostnamen oder
umgedreht. Fügen Sie zum Hinzufügen von zwei Hostnamen zu einer IP-Adresse zwei Einträge mit der gleichen IP-Adresse hinzu.
Durch Klicken auf die Schaltfläche Host hinzufügen wird die Auswahl bestätigt. Weitere Hostnamen für dieselbe IP-Adresse können
zugeordnet werden, indem die IP-Adresse nochmals auf die gleiche Weise mit einem anderen Namen eingefügt wird.
Hostverwaltung, dnsmasq und /etc/hosts:
Die Anwendung „dnsmasq“ wird in kleinen Netzwerken als DNS-Server für lokale Hosts und als DNS-Weiterleitung und Caching-Server
für weltweite DNS-Server verwendet. Die Panda GateDefender Appliance verwendet dnsmasq zur korrekten Lösung und Beantwortung
von DNS-Anfragen der GRÜNEN, ORANGEFARBENEN und BLAUEN Zone. In manchen Fällen ist es wünschenswert (z. B. für
Testzwecke auf einer Remote-Website), einige Einträge in dnsmasq zu überschreiben oder dem Cache von dnsmasq einen lokalen
Server hinzuzufügen, damit sich lokale Clients damit verbinden können.
Die auf dieser Seite hinzugefügten Hosts werden in der Einstellungsdatei von dnsmasq gespeichert und bei jedem Daemon-Neustart mit
der Datei /etc/hosts zusammengeführt. Zu diesen Dateien direkt über CLI hinzugefügte Hosts bleiben nach einem Neustart der
Panda GateDefender Appliance oder einem Neustart von dnsmasq nicht bestehen.
Die Datei /etc/hosts enthält die sogenannte statische Lookup-Tabelle, die das folgende Format aufweist:
IP1 hostname1 [hostname2] IP2 hostname3 [hostname4] [hostname5]
IP1 und IP2 stehen dabei für eindeutige (numerische) IP-Adressen, während hostname1, hostname2, hostname3, hostname4 und
hostname5 für benutzerdefinierte Namen dieser IP-Adressen stehen. Die Namen in eckigen Klammern sind optional: Jeder IP-Adresse
können also Namen bekannter Hosts zugeordnet werden. Es ist möglich, zur Datei benutzerdefinierte Hosteinträge hinzuzufügen, die
dann für alle Clients, die über die Panda GateDefender-Appliance eine Verbindung herstellen, entsprechend aufgelöst werden. Auf einer
typischen Panda GateDefender Appliance enthält die Datei /etc/hosts mindestens die folgenden Einträge:
127.0.0.1 localhost.localhost localhost 172.20.0.21 myappliance.localdomain myappliance 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.localdomain wpad
Hierbei ist 127.0.0.1 die IP-Adresse des Loopback-Geräts, localhost ein Pflichteintrag für den korrekten Arbeitslink eines Linux-Systems
und 172.20.0.21 die IP-Adresse der GRÜNEN Schnittstelle. Die für diese IP-Adresse ausgeführten Einträge haben die folgende
Bedeutung und den folgenden Zweck:
myappliance.localdomain
Der Hostname und Domänenname der Panda GateDefender-Appliance, wie sie in der Netzwerkkonfiguration eingerichtet
sind.
spam.spam spam und ham.ham ham
Diese beiden Einträge werden kombiniert für das Anlernen des E-Mail-Filters „spamassassin“ verwendet.
wpad.localdomain wpad
Eine Einrichtung für einige Browser, um Proxyeinstellungen automatisch und ohne Eingreifen des Benutzers zu erkennen,
wenn der Proxy nicht transparent ist.
Routing
Als Ergänzung zur Standardroutingtabelle unter Menüleiste ‣ Status ‣ Netzwerkstatus kann das Routing auf der Panda GateDefender
Appliance mit den statischen und richtlinienbasierten Routingregeln optimiert werden. Auf dieser Seite wird eine Tabelle mit allen
benutzerdefinierten Routings angezeigt. Neue Regeln werden jedoch von zwei unterschiedlichen Registerkarten auf dieser Seite
hinzugefügt. Dabei erfordern statische und richtlinienbasierte Regeln leicht voneinander abweichende Einstellungen. Die Tabelle enthält
jeweils eine Zusammenfassung der Regel mit Quelle und Ziel für Netzwerke bzw. Zonen, dem Gateway, einer Anmerkung und der Liste
der verfügbaren Aktionen: Regel aktivieren oder deaktivieren, Regel bearbeiten und Regel löschen.
Bei jeder Änderung an der Routingtabelle müssen die Änderungen gespeichert und der Dienst neu gestartet werden.
Statisches Routing
Mithilfe von statischen Routen können bestimmte Quell- und Zielnetzwerke festgelegten Gateways oder Uplinks zugeordnet werden.
Neue Routen werden durch Klicken auf den Link Eine neue Route hinzufügen über der Tabelle erstellt. In dem daraufhin angezeigten
Formular müssen die folgenden Felder definiert werden:
Quell Netzwerk
Angabe des Quellnetzwerks in CIDR-Notation.
Ziel Netzwerk
Angabe des Zielnetzwerks in CIDR-Notation.
Route über
Für die Durchleitung des Datenverkehrs stehen vier Optionen zur Auswahl: Statisches Gateway, Uplink, OpenVPN User und
L2TP Benutzer. Wird Statisches Gateway ausgewählt, muss in dem Textfeld rechts daneben die IP-Adresse eines Gateways
angegeben werden. In jedem anderen Fall wird ein Dropdown-Menü mit der entsprechenden Auswahl verfügbarer Uplinks,
OpenVPN-Benutzer oder L2TP-Benutzer angezeigt.
Aktiviert
Ein aktiviertes Kontrollkästchen steht für eine aktivierte Regel (Standardeinstellung). Wird das Kontrollkästchen deaktiviert,
wird die Regel zunächst nur erstellt und kann später jederzeit aktiviert werden.
Anmerkung
Anmerkung oder Kommentar zum Zweck dieser Regel.
Durch Klicken auf eines der Symbole wird für das entsprechende Element eine Aktion ausgelöst:
– Den Status des Elements umschalten: aktiviert oder deaktiviert.
– Die Eigenschaften des Elements ändern.
– Das Element entfernen.
Richtlinienbasiertes Routing
Mithilfe von richtlinienbasierten Routen können bestimmte Netzwerkadressen, Zonen oder Dienste (ausgedrückt als Port und Protokoll)
einem festgelegten Uplink zugeordnet werden.
Die Tabelle enthält alle bereits definierten Regeln für das statische und richtlinienbasierte Routing mit einigen Eigenschaften: Quelle, Ziel,
TOS, Gateway, Dienst, Anmerkung und verfügbare Aktionen:
– Eine Regel verschieben.
– Den Status des Elements umschalten: aktiviert oder deaktiviert.
– Die Eigenschaften des Elements ändern.
– Das Element entfernen.
Tipp
Die Spalte TOS wird nur angezeigt, wenn mindestens eine Regel mit diesem Feld definiert wurde.
Regeln im oberen Bereich der Tabelle haben eine höhere Priorität.
Richtlinienbasiertes Routing, HTTP-Proxy und Uplink:
Die Interaktion zwischen diesen drei Komponenten der Panda GateDefender Appliance kann zu einem seltsamen oder sogar falschen
Verhalten führen, wenn Clients in den Zonen versuchen, auf das Internet zuzugreifen. Für ein korrektes Verständnis sind drei Schritte
erforderlich, um hervorzuheben, wie der Datenfluss zum Internet erfolgt, wenn sowohl HTTP-Proxy aktiviert als auch richtlinienbasierte
Regeln definiert sind:
1. Ein HTTP-Proxy verwendet den Haupt-Uplink (d. h. er greift auf die ROTE Zone und das Internet mithilfe des Haupt-Uplinks
zu).
2. Ein HTTP-Proxy „unterteilt“ eine Verbindung von einem Client zu einem Remote-Server in zwei Verbindungen: Eine vom
Client zur Panda GateDefender Appliance und eine von der Panda GateDefender Appliance zum Remote-Server.
3. Richtlinienbasierte Routingregeln werden berücksichtigt, nachdem der Datenverkehr durch das HTTP-Proxy gelaufen ist.
Beim Klicken auf den Link Erstelle eine Richtlinienroutingregel wird ein Formular geöffnet, das zunächst komplexer als das für statische
Routen erscheint und dem Firewall-Regeleditor sehr ähnlich sieht. Der Richtlinien-Regeleditor entspricht insgesamt dem zuvor
beschriebenen Formular, erlaubt aber eine detailliertere Regeldefinition. Das Einrichten der Regel wird zusätzlich durch mehrere
Dropdown-Menüs unterstützt, um das Eingeben von Daten in den folgenden Feldern zu erleichtern:
Quelle
Mithilfe des ersten Dropdown-Menüs wird die Quelle des Verkehrs ausgewählt. Es sind mehrere Einträge zulässig, die jeweils
in einer eigenen Zeile stehen und demselben Typ angehören müssen: Zone oder Schnittstelle, OpenVPN- oder L2TP-
Benutzer, IP-Adressen oder Netzwerke, oder MAC-Adressen. Je nach Auswahl müssen unterschiedliche Werte angegeben
werden. Durch Auswahl von <ANY> wird die Regel auf alle Quellen angewendet.
Ziel
Mithilfe des zweiten Dropdown-Menüs werden die Verkehrsziele als Liste von IP-Adressen, Netzwerken oder OpenVPN- bzw.
L2TP-Benutzern ausgewählt. Durch Auswahl von <ANY> trifft die Regel wiederum auf alle Ziele zu.
Service/Port
Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei
Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige
vordefinierte Dienst/Protokoll/Port- Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>,
wobei Letzteres für alle Dienste, Protokolle und Ports steht. Mithilfe von Benutzerdefiniert können ein benutzerdefiniertes
Protokoll und zu blockierende Ports angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von
Diensten über andere als die Standardports erfolgt.
Protokoll
Die Art des Datenverkehrs, auf den sich die Regel bezieht: TCP, UDP, TCP+UDP, ESP, GRE oder ICMP. Am häufigsten
werden TCP und UDP verwendet. GRE wird von Tunneln, ESP von IPsec und ICMP von den Befehlen ping und traceroute
verwendet.
Route über
Wie der Datenverkehr für diese Regel weitergeleitet werden sollen. Folgende Optionen stehen zur Auswahl:
1. Statisches Gateway: In diesem Fall muss eine IP-Adresse angegeben werden.
2. Uplink: Der Uplink, der für die Regel verwendet werden soll. Optional kann das Routing bei Nichtverfügbarkeit
des ausgewählten Uplinks auf den entsprechenden Backup-Link übertragen werden. Diese Option wird durch
Aktivieren des Kontrollkästchens neben dem Dropdown-Menü aktiviert.
3. OpenVPN-Benutzer: Ein OpenVPN-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.
4. L2TP-Benutzer: Ein L2TP-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.
Diensttyp
Hiermit wird der ToS (Type of Service, Diensttyp) ausgewählt. Dabei können je nachdem, was die wichtigste Eigenschaft des
Verkehrs für dieses Regel ist, vier Werte ausgewählt werden: Standard, Kurze Verzögerung, Zuverlässigkeit oder Durchsatz.
Anmerkung
Anmerkung oder Kommentar zum Zweck dieser Regel.
Position
Die Position, an der die Regel eingefügt werden soll (relative Position in der Liste der Regeln).
Aktiviert
Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert (Standardeinstellung). Wird das Kontrollkästchen
deaktiviert, wird die Regel zwar erstellt, aber nicht aktiviert. Eine Regel kann auch zu einem späteren Zeitpunkt aktiviert
werden.
Alle akzeptierten Pakete loggen
Dieses Kontrollkästchen muss aktiviert sein, wenn alle von der Regel betroffenen Pakete protokolliert werden sollen.
Warnung
Durch die Aktivierung dieser Option kann sich die Größe der Protokolldateien drastisch erhöhen.
Schnittstellen
Mithilfe des Uplinkmanagers können verschiedene Aufgaben im Hinblick auf den Uplink und die Schnittstellen ausgeführt und
insbesondere benutzerdefinierte VLANs an den Netzwerkschnittstellen definiert werden.
Uplink Editor
Durch Klicken auf die letzte Spalte Aktionen werden standardmäßig die im Uplink-Editor erstellten verfügbaren Uplinks und die Aktionen
angezeigt, die für jeden Uplink ausgeführt werden können:
– Den Status des Elements umschalten: aktiviert oder deaktiviert.
– Die Eigenschaften des Elements ändern.
– Das Element entfernen.
Tipp
Der Haupt-Uplink kann nicht gelöscht werden.
Weitere Uplinks können durch Klicken auf den Link Uplink erstellen über der Uplink-Liste erstellt werden. Daraufhin wird eine
umfangreiche Seite mit zahlreichen Konfigurationsoptionen angezeigt, auf der geeignete Werte angegeben werden müssen, die denen in
der Netzwerkkonfiguration sehr ähnlich sind. Die verfügbaren Einstellungen unterscheiden sich je nach Typ des ausgewählten Uplinks.
Hinweis
Hier werden nicht alle verfügbaren Optionen beschrieben: Sie entsprechen den Optionen im Netzwerkkonfigurationsassistenten und
hängen vom Typ des ausgewählten Uplinks ab. Vollständige Erläuterungen zu den Optionen können dem entsprechenden Abschnitt
entnommen werden.
Beschreibung
Eine Beschreibung des Uplinks
Typ
Die Auswahl des ROTEN Verbindungstyps umfasst ein Protokoll mehr als die im Assistenten für die Netzwerkkonfiguration
verfügbaren Optionen: PPTP: PPTP kann durch Auswahl des entsprechenden Werts im Dropdown-Menü „PPTP
Methode“ für den statischen Modus oder den DHCP-Modus konfiguriert werden. Bei Auswahl der statischen Methode
müssen IP-Adresse und Netzwerkmaske in den entsprechenden Textfeldern angegeben werden. In diesem Fall können auch
zusätzliche Kombinationen von IP/Netzwerkmaske oder IP/CIDR im Feld darunter hinzugefügt werden, sofern das
Kontrollkästchen aktiviert ist. Telefonnummer, Benutzername und Passwort sind nicht erforderlich, werden aber abhängig von
den Einstellungen des Providers unter Umständen für das Funktionieren einiger Konfigurationen benötigt. Als
Authentifizierungsmethode kann entweder PAP oder CHAP verwendet werden. Im Zweifelsfall wird empfohlen, den
Standardwert „PAP oder CHAP“ beizubehalten.
Uplink ist aktiviert
Durch Aktivieren dieses Kontrollkästchens wird der Uplink aktiviert.
Uplink beim Starten aktivieren
Durch dieses Kontrollkästchen wird angegeben, ob ein Uplink beim Starten aktiviert werden soll oder nicht. Die Option ist für
Backup- Uplinks nützlich, die zwar verwaltet, aber während des Startvorgangs nicht aktiviert werden müssen.
Uplink ist verwaltet
Durch Aktivieren dieses Kontrollkästchens wird der Uplink verwaltet. Eine Erörterung zum verwalteten und zum manuellen
Modus kann unter Uplink Information Plugin gefunden werden, das über Menüleiste ‣ System ‣ Übersicht aufgerufen wird.
Wenn dieser Uplink fehlschlägt aktiviere
Wenn diese Option aktiviert ist, kann aus einem Dropdown-Menü eine alternative Verbindung ausgewählt werden, die bei
Fehlschlagen des Uplinks aktiviert wird.
Erreichbarkeit dieser Hosts überprüfen
Durch Aktivieren dieser Option kann eine Liste von IP-Adressen oder Hostnamen eingegeben werden, die bei Fehlschlagen des
Uplinks ge pingt werden, um das erfolgreiche Wiederverbinden zu überprüfen.
Tipp
Einer dieser Hosts könnte der DNS-Server oder Gateway des Anbieters sein.
Im Bereich „Erweiterte Einstellungen“ können zwei weitere Optionen angepasst werden:
Wiederverbindungs Timeout
Das Zeitintervall in Sekunden, nach dem von einem fehlgeschlagenen Uplink ein erneuter Verbindungsversuch unternommen
wird. Dieser Wert ist von den Einstellungen des Providers abhängig. Das Feld sollte im Zweifelsfall leer gelassen werden.
MTU
Ein benutzerdefinierter Wert für die MTU-Größe. Mögliche Gründe für ein Ändern des Standardwerts werden hier erörtert.
Siehe auch
Netzwerkkonfiguration: Schritte 1, 4 und 5
Menüleiste ‣ System ‣ Netzwerkkonfiguration
VLANs
Menü „Netzwerk“
45
VLAN wird von der Panda GateDefender-Appliance unterstützt, um beliebige Zuordnungen von VLAN-IDs zu Firewallzonen und eine
zusätzliche Trennungsebene zwischen Zonen zu ermöglichen. Vorhandene VLANs werden in der Tabelle angezeigt, sofern bereits
welche erstellt wurden. Die einzig verfügbare Aktion ist:
– Das VLAN entfernen. Ein Popup-Fenster wird geöffnet, in dem Sie den Löschvorgang bestätigen müssen.
Ein neues VLAN kann durch Klicken auf den Link Neues VLAN hinzufügen über der Liste der VLANs definiert werden. Im daraufhin
angezeigten Formular wird durch Angabe einiger Werte eine Zuordnung zwischen einer Schnittstelle und einem VLAN erstellt:
Schnittstelle
Die physische Schnittstelle, mit der das VLAN verbunden ist. Nur die verfügbaren Schnittstellen können aus dem Dropdown-
Menü ausgewählt werden. Im Menü wird auch der Verbindungsstatus der Schnittstelle angezeigt.
VLAN ID
Die VLAN-ID, bei der es sich um eine ganze Zahl zwischen 0 und 4095 handeln muss.
Zone
Die Zone, der das VLAN zugeordnet ist. Es können nur die Zonen ausgewählt werden, die im Assistenten für die
Netzwerkkonfiguration definiert wurden. Die Option „Keine“ kann ausgewählt werden, wenn die Schnittstelle als Management
Port für Hochverfügbarkeit verwendet wird.
Warnung
Ein VLAN für eine bestimmte Zone (z. B. ein VLAN für BLAU) kann nicht an einer Schnittstelle definiert werden, die bereits für eine
andere Zone (z. B. eth1 für GRÜN) verwendet wird. Bei dem Versuch wird das Formular geschlossen und ein roter Hinweis angezeigt,
dass das VLAN nicht erstellt werden kann.
Bei der Erstellung eines virtuellen LAN wird eine neue Schnittstelle mit dem Namen ethX.y erstellt (wobei X für die Nummer der
Schnittstelle und y für die VLAN-ID steht) und dann der ausgewählten Zone zugeordnet. Danach wird die Schnittstelle in den
verschiedenen Abschnitten mit Netzwerkinformationen, z. B. unter Menüleiste ‣ Status ‣ Netzwerkkonfiguration oder in der Übersicht, als
reguläre Schnittstelle angezeigt und kann zur Darstellung im Diagramm ausgewählt werden.
ärz 2014.
Menü „Dienste“ Die Panda GateDefender-Appliance umfasst viele nützliche Dienste zum Schutz vor Bedrohungen sowie zur Überwachung von
Netzwerken und Daemons. Die Aktivierung und Einrichtung dieser Dienste wird in diesem Abschnitt erläutert. Besonderes Augenmerk
gilt hierbei den verschiedenen Proxy-Diensten wie der Antivirus Engine, dem Intrusion Detection System, der Hochverfügbarkeit und
Traffic Monitoring. Die verfügbaren Dienste sind im Untermenü auf der linken Seite des Bildschirms aufgelistet.
DHCP Server – DHCP-Server für die automatische Zuweisung von IP-Adressen
Dynamischer DNS – Client für Dynamic DNS-Provider wie DynDNS (für den Einsatz zu Hause oder in kleinen Büros)
Antivirus Engine – Konfiguration der für die E-Mail-, Internet-, POP- und FTP-Proxys verwendeten Antivirus-Engine
Zeitserver – Aktivierung und Konfiguration der NTP-Zeitserver, Festlegung der Zeitzone oder manuelle Aktualisierung der Zeit
Mail Quarantäne – E-Mails in Quarantäne verwalten
Spam Training – Training des von den E-Mail-Proxys verwendeten Anti-Spam-Filters
Intrusion Prevention – Konfiguration von SNORT, dem Intrusion Detection System (IPS)
Hochverfügbarkeit – Konfiguration der Panda GateDefender-Appliance im Hochverfügbarkeitsmodus
Traffic Monitoring – Aktivierung bzw. Deaktivierung der Datenverkehrsüberwachung mithilfe von ntop
SNMP Server – Unterstützung für SNMP (Simple Network Management Protocol)
Quality of Service – Priorisierung des IP-Verkehrs.
DHCP Server
Der DHCP-Server wird von den Clients (Workstations und Server) in den von der Panda GateDefender-Appliance gesteuerten Zonen
verwendet, um IP-Adressen zu erhalten („leasen“), und ermöglicht die zentrale Steuerung der IP-Adresszuweisung. Kunden können zwei
Arten von Leases zugewiesen werden: dynamisch und statisch. Die Seite „DHCP Server“ ist in zwei bzw. drei Felder unterteilt: das Feld
DHCP, in dem Sie den DHCP-Server konfigurieren können; das Feld Aktuelle statische Zuordnungen, das die statischen IP-Adressen
anzeigt; und gegebenenfalls das Feld Aktuelle dynamische Zuordnungen, das nur angezeigt wird, wenn mindestens einem Client eine
dynamische IP-Adresse zugeordnet wurde. Dynamische IP-Adressen werden auf Netzwerkbasis innerhalb eines festgelegten Bereichs
zugewiesen und im ersten Feld konfiguriert. Statische IP-Adressen hingegen werden auf Host-Basis zugewiesen und im zweiten Feld
konfiguriert.
DHCP
Wenn ein Client (beispielsweise ein Host oder ein Gerät wie etwa ein Netzwerkdrucker) sich mit dem Netzwerk verbindet, erhält er vom
DHCP-Dienst automatisch aus einer Reihe von IP-Adressen und anderen Parametern eine gültige Adresse. Der Client muss für die
Verwendung von DHCP konfiguriert sein. Die entsprechende Einstellung wird manchmal als „automatische
Netzwerkkonfiguration“ bezeichnet und ist für die meisten Workstations standardmäßig aktiviert. Die dynamische IP-Adressvergabe wird
zonenbasiert konfiguriert: Zum Beispiel ist es möglich, diese nur für Clients in der GRÜNEN Zone zu aktivieren, während die anderen
aktiven Zonen nur statische IP-Adressen erhalten.
Es ist jedoch auch möglich, Geräten in der ORANGEN (DMZ) oder BLAUEN (WLAN) Zone dynamische IP-Adressen zuzuordnen.
Hinweis
Wenn die BLAUE Zone aktiviert ist, aber vom Hotspot verwaltet wird, wird die Meldung DHCP Konfiguration wird vom Hotspot verwaltet
angezeigt und eine Konfiguration an dieser Stelle verhindert.
Um die DHCP-Parameter für die einzelnen Zonen anzupassen, klicken Sie auf das kleine Symbol neben der Aufschrift Einstellungen.
Folgende Optionen stehen zur Auswahl:
Aktiviert
Aktiviert den DHCP-Server in der Zone.
Anfangsadresse, Endadresse
Der für die Clients vorgesehene IP-Adressbereich. Diese Adressen müssen sich innerhalb des Subnetzes befinden, das der
entsprechenden Zone zugewiesen wurde. Sollten einige Hosts eine statische IP-Adresse erhalten (siehe unten), stellen Sie sicher,
dass ihre IP-Adressen weder in diesem Bereich noch im Bereich des OpenVPN-Adresspools vorhanden sind (siehe Menüleiste ‣ VPN
‣ OpenVPN-Server), um Konflikte zu vermeiden.
Das Leerlassen dieser zwei Felder ermöglicht die Verwendung des gesamten IP-Bereichs der Zone für die dynamische Zuweisung.
Nur fixe Leases erlauben
Aktivieren Sie dieses Kontrollkästchen, um nur statische IP-Adressen zu verwenden. Es werden keine dynamischen IP-
Adressen zugewiesen.
Standard Lease Zeit, Maximale Lease Zeit (Min)
Die standardmäßig definierte bzw. maximale Zuweisungszeit in Minuten vor Ablauf der Zuweisung und der erneuten
Beantragung einer IP-Adresse vom DHCP-Server.
Domain-Name-Suffix
Das Suffix des Domänennamens, das an die Clients weitergegeben und für die lokale Suche nach Domänen verwendet wird.
Standardgateway
Das Standardgateway, das die Clients in der Zone verwenden. Bei Leerlassen des Feldes ist die Panda GateDefender-
Appliance selbst das Standardgateway.
Primärer DNS, Sekundärer DNS
Der von den Clients verwendete Domain Name Server (DNS). Da die Panda GateDefender-Appliance einen
zwischenspeichernden DNS-Server enthält, ist der Standardwert die eigene IP-Adresse der Firewall in der entsprechenden
Zone, auch wenn ein zweiter Server oder sogar der primäre Wert geändert werden können.
Erster NTP Server, Zweiter NTP Server
Die von den Clients zur Synchronisierung der Systemuhren verwendeten NTP-Server.
Erste WINS Server, Zweiter WINS Server
Die von den Clients verwendeten WINS-Server. Diese Option ist nur bei Netzwerken von Microsoft Windows notwendig, die
WINS verwenden.
Erfahrene Benutzer können individuelle Einstellungen zur Datei dhcpd.conf hinzufügen (z. B. benutzerdefinierte Routen zu
Subnetzen), indem diese in den Textbereich am unteren Rand geschrieben werden, der mit Benutzerdefinierte Konfigurationszeilen
markiert ist.
Warnung
Es erfolgt keine Syntaxüberprüfung dieser Zeilen: Sie werden an die Konfigurationsdatei angehangen. Jegliche Fehler an dieser Stelle
können den Start des DHCP-Servers verhindern!
Beispiel SRV-1 – Booten mit PXE und Konfiguration von dhcpd.conf:
Die Anpassung des DHCP-Servers hat sich bei abweichenden Netzwerkkonfigurationen als nützlich erwiesen.
Eine weitere typische Anwendung ist für VoIP-Telefone, die ihre Konfigurationsdateien von einem HTTP-Server beim Start abrufen
müssen. In diesem Fall können sich die Dateien auch auf der Panda GateDefender-Appliance befinden. Dadurch kann die Konfiguration
des TFTP-Servers als zusätzliche Zeilen wie folgt übertragen werden:
option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/voip/{mac}.html";
Hinweis: $GREEN_ADDRESS ist ein Makro, das in der Datei dhcpd.conf durch die GRÜNE IP-Adresse der Panda
GateDefender-Appliance ersetzt wird.
Aktuelle statische Zuordnungen
Es ist manchmal erforderlich oder wünschenswert, dass bestimmte Geräte stets dieselbe IP-Adresse verwenden, obwohl DHCP
verwendet wird. Dies gilt z. B. bei Servern, die Dienste wie eine VoIP Box, ein SVN-Repository oder Dateiserver bereitstellen, oder bei
Geräten wie Druckern und Scannern. Fixe Leases werden in der Regel als statische IP-Adressen bezeichnet, da ein Gerät bei
Anforderung eines Lease vom DHCP-Server stets dieselbe IP-Adresse erhält.
In diesem Feld werden sämtliche statische IP-Adressen, die derzeit im lokalen Netzwerk aktiv sind, zusammen mit verschiedenen
Informationen zu den entsprechenden Adressen aufgelistet. Durch Klicken auf den Link Fixe Lease hinzufügen können Sie Geräten neue
statische IP-Adressen zuweisen sowie sämtliche Informationen hinzufügen, die in der Liste angezeigt werden sollen. Die Geräte werden
anhand ihrer MAC-Adressen identifiziert.
Hinweis
Die Zuweisung einer statischen IP-Adresse von einem DHCP-Server unterscheidet sich erheblich von der manuellen Einrichtung der IP-
Adresse auf einem Gerät. Im letzteren Fall wird das Gerät den DHCP-Server auch weiterhin kontaktieren, um eine IP-Adresse zu
erhalten und seine Präsenz im Netzwerk anzumelden. Wenn die vom Gerät angeforderte IP-Adresse bereits zugewiesen wurde, erhält
das Gerät eine dynamische IP-Adresse.
Folgende Parameter können bei statischen IP-Adressen definiert werden:
MAC Adresse
Die MAC-Adresse des Clients.
IP Adresse
Die IP-Adresse, die dem Client grundsätzlich zugeordnet wird.
Beschreibung
Eine optionale Beschreibung des Geräts, dem die IP-Adresse zugewiesen wird.
Nächste Adresse
Die Adresse des TFTP-Servers. Diese und die folgenden zwei Optionen sind nur in wenigen Fällen nützlich (weiter unten
finden Sie ein Beispiel).
Dateiname
Der Dateiname des Start-Image. Diese Option ist nur bei Thin Clients oder Netzwerkstarts erforderlich.
Rootpfad
Der Pfad der Start-Image-Datei.
Aktiviert
Wenn dieses Kontrollkästchen aktiviert ist, wird die statische IP-Adresse gespeichert, jedoch nicht in die Datei
dhcpd.conf aufgenommen.
Die für jede statische IP-Adresse verfügbaren Aktionen sind:
– Status der Adresse: aktiviert oder deaktiviert
– Eigenschaften der Adresse ändern
– Adresse entfernen
Anwendungsfall für statische IP-Adressen
Ein Anwendungsfall, der die Nützlichkeit einer statischen IP-Adresse zeigt, sind Thin Clients oder laufwerkslose Workstations im
Netzwerk, die PXE verwenden, d. h. das Betriebssystem wird von einem Abbild auf einem TFTP-Server im Netzwerk bereitgestellt. Wenn
sich der TFTP-Server auf demselben Server wie das DHCP befindet, erhält der Thin Client sowohl die IP-Adresse als auch das Abbild
vom selben Server. Es kommt jedoch öfter vor, dass sich der TFTP-Server auf einem anderen Server im Netzwerk befindet. Daher muss
der Client vom DHCP-Server zu diesem Server umgeleitet werden. Dies ist ein Vorgang, der leicht durch Hinzufügen einer statischen IP-
Adresse auf dem DHCP-Server für den Thin Client ausgeführt werden kann, indem eine Next-Adresse und der Dateiname des Abbildes
dem Boot-Vorgang hinzugefügt werden.
Neben den Informationen, die während der Erstellung der statischen IP-Adresse angegeben werden, ermöglicht die Liste jede Adresse
zu aktivieren oder deaktivieren (durch Aktivieren des Kontrollkästchens) und zu bearbeiten oder zu löschen, indem die Symbole in der
Spalte Aktionen angeklickt werden. Für das Bearbeiten einer Adresse wird das gleiche Formular wie für die Erstellung einer neuen
Adresse geöffnet, während die Adresse beim Löschen sofort aus der Konfiguration entfernt wird.
Hinweis
Alle vom DHCP zugewiesenen Adresse werden standardmäßig in der Datei /var/lib/dhcp/dhcpd.leases
gespeichert. Obwohl der DHCP-Daemon die Bereinigung dieser Datei übernimmt, kann es vorkommen, dass die Datei Adressen
speichert, die bereits abgelaufen und relativ alt sind. Dies ist kein Problem und beeinträchtigt nicht die Funktion des DHCP-Servers. Ein
typischer Eintrag in dieser Datei lautet:
lease 192.168.58.157 {
starts 2 2013/06/11 13:00:21;
ends 5 2013/06/14 01:00:21;
binding state active;
next binding state free;
hardware ethernet 00:14:22:b1:09:9b;
}
Aktuelle dynamische Zuordnungen
Wenn der DHCP-Server aktiv ist und mindestens einem Client eine (dynamische) IP-Adresse zugewiesen wurde, wird unten auf der
Seite ein drittes Feld angezeigt, das die Liste der aktuell zugewiesenen dynamischen IP-Adressen enthält. In dieser Liste werden IP-
Adresse, MAC-Adresse, Hostname und Ablaufdatum der IP-Adressen angegeben, die den einzelnen Clients zugeordnet sind.
Dynamischer DNS
Ein DNS-Server ermöglicht die Auflösung der (numerischen) IP-Adresse eines Hosts auf Basis seines Hostnamens und umgekehrt.
Dieser Vorgang eignet sich besonders für Hosts mit statischen IP-Adressen und Hostnamen.
DDNS-Provider wie DynDNS oder No-IP bieten einen ähnlichen Dienst für dynamische IP-Adressen. Dies ist in der Regel bei lokalen
ADSL-Verbindungen der Fall: Jeder Domänenname kann registriert und einem Server mit dynamischer IP-Adresse zugeordnet werden.
So wird jede an einer IP-Adresse vorgenommene Änderung dem DDNS-Provider übermittelt. Um die Kompatibilität und Integration mit
den DNS-Stammservern zu gewährleisten, muss bei jeder Änderung der IP-Adresse die Aktualisierung aktiv durch den DDNS-Provider
propagiert werden.
Die Panda GateDefender-Appliance enthält einen dynamischen DNS-Client für 14 verschiedene Anbieter. Wenn dieser aktiviert ist,
verbindet er sich automatisch mit dem dynamischen DNS-Anbieter, um die neue IP-Adresse mitzuteilen, wenn sich diese ändert.
Hinweis
Wenn kein dynamisches DNS-Konto eingerichtet wurde, stehen auf der Website der Anbieter detaillierte Anweisungen zur Registrierung
eines neuen Kontos detaillierte Online-Hilfen und Anleitungen bereit.
Diese Seite zeigt die Liste der dynamischen DNS-Konten an. Sie können mehrere DDNS-Provider nutzen. Für jedes Konto werden in der
Liste Informationen zum verwendeten Dienst und zum registrierten Host-/Domänennamen sowie die verfügbaren Aktionen bereitgestellt.
Zudem wird angezeigt, ob der anonyme Proxy-Server und die Platzhalter aktiviert sind.
– Status der Adresse: aktiviert oder deaktiviert
– Eigenschaften der Adresse ändern
– Adresse entfernen
Sie können neue Konten erstellen, indem Sie auf den Link Host hinzufügen klicken. Folgende Parameter werden daraufhin angezeigt:
Dienst
Zeigt die verfügbaren DDNS-Provider im Dropdown-Menü an.
Hinter einem Proxy
Diese Option wird nur beim Provider „no-ip.com“ angewandt. Das Kontrollkästchen muss aktiviert sein, wenn sich die Panda
GateDefender-Appliance über einen Proxy mit dem Internet verbindet.
Wildcards erlauben
Einige Anbieter von dynamischen DNS ermöglichen, dass alle Subdomänen einer Domäne auf dieselbe IP-Adresse
verweisen. In diesem Fall sind zwei Hosts – beispielsweise www.example.myddns.org und second.example.myddns.org –
derselben IP-Adresse zugeordnet. Bei Aktivierung dieses Kontrollkästchens werden alle möglichen Subdomänen an dieselbe
IP-Adresse umgeleitet. Die Funktion muss auch im Konto des DDNS-Providers konfiguriert sein (falls verfügbar).
Hostname und Domäne
Der Hostname und die Domäne werden mit dem DDNS-Anbieter registriert, z. B. „beispiel“ und „meinddns.org“.
Benutzername und Passwort
Die vom Anbieter des dynamischen DNS vergebenen Anmeldeinformationen, um auf den Dienst zuzugreifen.
Hinter einem Router (NAT)
Aktivieren Sie diese Option, falls die Panda GateDefender-Appliance nicht direkt mit dem Internet verbunden ist, d. h. das vor
dem Internetzugriff ein weiterer Router oder ein Gateway liegt. In diesem Fall können Sie den Dienst unter
http://checkip.dyndns.org nutzen, um die IP-Adresse des Routers zu ermitteln.
Aktiviert
Durch Aktivieren dieses Kontrollkästchens wird das Konto aktiviert. Dies ist die Standardeinstellung.
Hinweis
Es ist immer noch erforderlich, einen Dienst in die ROTE Zone zu exportieren, um mithilfe der dynamischen IP-Adresse den
Domänennamen für die Verbindung mit der Panda GateDefender-Appliance vom Internet aus zu verwenden, da der Anbieter des
dynamischen DNS nur den Domänennamen auflöst, nicht jedoch zugehörige Dienste. Das Exportieren eines Dienstes setzt
normalerweise die Einrichtung einer Portweiterleitung voraus (siehe Menüleiste ‣ Firewall ‣ Portweiterleitung/NAT).
Nachdem Sie eine Änderung in der Konfiguration ausgeführt haben oder Sie den dynamischen DNS sofort für alle definierten Konten
aktualisieren möchten, klicken Sie auf die Schaltfläche Update durchführen. Dies ist insbesondere dann nützlich, wenn beispielsweise
der Uplink getrennt wurde und sich die REDIP geändert hat. In diesem Fall ist es erforderlich, sämtliche DDNS-Konten zu aktualisieren.
Anderenfalls ist die Erreichbarkeit der über DDNS angebotenen Dienste nicht mehr gegeben.
Antivirus-Engine
Die Anti-Virus-Engine der Panda GateDefender-Appliance ist Panda, welche für die Suche nach Viren und Malware innerhalb von
Dateien und Dokumenten verwendet wird. Sie passiert die Panda GateDefender-Appliance über einen der laufenden Proxy-Dienste. Es
gibt nur eine Registerkarte auf dieser Seite: Panda Antivirus
Archivbombe und DoS.
Archivbomben sind Archive, die eine Reihe von Tricks verwenden, um die Virenschutz-Software bis zu einem Punkt zu überladen, ab
dem die meisten Ressourcen des Hostcomputers in Beschlag genommen sind. Dieser Vorgang heißt DoS-Angriff. Diese Tricks
beinhalten: Kleine Archive, die aus großen Dateien mit sich wiederholendem Inhalt bestehen (beispielsweise eine Datei von 1 GB, die
nur Nullen enthält, und mit Zip auf eine Größe von nur 1 MB komprimiert wurde), ineinander verschachtelte Archive (d. h. Zip-Dateien in
Zip-Dateien), Archive, die eine große Anzahl leerer Dateien enthalten usw. Das Dekomprimieren solcher Archivdateien stellt eine ernste
Belastung für die normalen Aktivitäten eines Servers oder einer Workstation dar, da viele Ressourcen (besonders RAM und CPU)
benötigt werden und der Benutzerverfügbarkeit entzogen wird.
Panda Antivirus
Die Panda GateDefender-Appliance nutzt die Anti-Virus-Engine von Panda, um interne Netzwerke vor Viren und Malware zu schützen.
Die erste verfügbare Option ist die Auswahl der Aktualisierungszyklus der Anti-Virus-Signaturen. Dies sind: stündlich, täglich, wöchentlich
oder monatlich.
Die konfigurierbaren Scanoptionen sind in drei Bereiche unterteilt:
Dateien-Inhaltsanalyse
Die folgende Option bezieht sich auf die Suche nach und den Scan auf verschiedenen Typen von Malware, welche die Workstations und
Server hinter der Panda GateDefender-Appliance infizieren könnten.
Infizierte Dateien säubern
Aktivieren Sie das Kontrollkästchen für die Aktivierung der automatischen Dateibereinigung während des Malware-Scans. Bei
Deaktivierung dieser Option wird die infizierte Datei gelöscht, ohne einen Versuch sie zu retten.
Scanne nach bekannten Jokes
Aktiviert den Scan auf Malware-Jokes, d. h. kleine Programmen, die Panik beim Benutzer auslösen, ohne die Workstation
des Benutzers zu beschädigen.
Scanne nach bekannten Einwahlprogrammen
Aktiviert den Scan auf Malware-Dialer, also Programme, die versuchen, Telefonnummern ohne Ihre Zustimmung zu wählen.
Scanne nach bekannter Spyware/Adware
Aktiviert die Suche nach Spyware und Adware.
Scanne nach bekannten Hackertools
Aktivieren Sie dieses Kontrollkästchen, um die Suche nach Hackertools zu aktivieren.
Scanne nach bekannten Sicherheitsrisiken
Aktiviert den Scan nach Malware, die als Sicherheitsrisiken bekannt sind.
Scanne nach bekannten MIME Sicherheitslücken
Aktivieren Sie das Kontrollkästchen, um die Suche nach MIME-Schwachstellen zu aktivieren.
Heuristische Analyse aktivieren
Sie können die heuristische Analyse für Malware verwenden, um neue Malware-Typen zu erkennen, die evtl. noch nicht in
den Signaturen enthalten ist.
Heuristik-Stufe
Wählen Sie die gewünschte Empfindlichkeit der heuristischen Analyse aus den drei verfügbaren Optionen aus: niedrig, mittel
und hoch.
Gepackte und/oder komprimierte Dateien
Diese Optionen betreffen das Verhalten des Virenschutzes beim Umgang mit komprimierten Dateien. Weitere Informationen zu diesem
Thema finden Sie hier.
Analysiere komprimierte/gepackte Dateien
Aktivieren Sie das Kontrollkästchen, um die Analyse komprimierter Dateien zu aktivieren.
Maximale Rekursionsebene
Die maximale Rekursionsebene innerhalb komprimierter Dateien.
Kontrolliere Größe bei Dekomprimierung
Aktivieren Sie das Kontrollkästchen, um die Steuerung der Größe komprimierter Dateien zu aktivieren.
Maximale Größe bei Dekomprimierung
Die maximale Größe dekomprimierter Dateien in Kilobyte für nicht komprimierte Elemente
Maximale Verschachtelungstiefe
Die maximale Verschachtelungstiefe für komprimierte Dateien
Dateierweiterungen
Whitelist-Erweiterungen
Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan durch die Anti-Virus-Engine geleitet.
Erweiterungen verbieten
Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit
Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan von der Anti-Virus-
Engine blockiert.
Zeitserver
Die Panda GateDefender-Appliance nutzt das Network Time Protocol NTP, um die Systemzeit mit Zeitservern im Internet zu
synchronisieren. Die verfügbaren Einstellungen werden in zwei Feldern zusammengefasst.
Netzwerk-Timeserver verwenden
Eine Reihe von Zeitserver-Hosts im Internet sind vorkonfiguriert und werden vom System genutzt. Sie haben jedoch die Möglichkeit,
benutzerdefinierte Zeitserver festzulegen, nachdem Sie das Kontrollkästchen Standard NTP Server überschreiben aktiviert haben. Dies
kann sich als notwendig erweisen, wenn eine Einrichtung ausgeführt wird, bei der die Panda GateDefender-Appliance nicht auf das
Internet zugreifen kann. Es können mehrere Adressen von Zeitservern (eine pro Zeile) im angezeigten Kurzformular angegeben werden.
In diesem Feld wird die aktuelle Einstellung für die Zeitzone angezeigt. Die Einstellung kann im Dropdown-Menü geändert werden. Sie
können eine sofortige Synchronisation durchführen, indem Sie auf die Schaltfläche Jetzt synchronisieren klicken.
Manuell anpassen
Im zweiten Feld haben Sie die Möglichkeit, die Systemzeit manuell zu ändern. Obwohl davon abgeraten wird, kann diese Aktion nützlich
sein, wenn die Zeitangabe auf der Systemuhr der Panda GateDefender-Appliance stark abweicht und eine sofortige Korrektur der
Systemzeit erforderlich ist.
Eine automatische Synchronisation mithilfe von Zeitservern wird nicht unverzüglich durchgeführt. Die Systemuhr wird zur
Wiederherstellung und Anpassung an die korrekte Zeit ein Stück weit „verlangsamt“ oder „beschleunigt“. Bei einem System, dessen
Zeitangabe signifikant abweicht, wird möglicherweise ein längerer Zeitraum benötigt, um den Zeitfehler zu korrigieren. In solchen Fällen
stellt die manuelle Synchronisation eine drastische, aber sofortige Lösung dar.
E-Mail-Quarantäne
Die E-Mail-Quarantäne ist ein besonderer Ort auf der Festplatte der Panda GateDefender-Appliance. Hier werden durch den SMTP-
Proxy erkannte E-Mails gespeichert, die Spam, Malware, Viren oder verdächtige Anhänge enthalten, anstatt sie zuzustellen. Hier können
solche E-Mails sicher analysiert und Aktionen zu deren Verwaltung durchgeführt werden. So aktivieren Sie die E-Mail-Quarantäne:
Gehen Sie zu Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration. Wählen Sie in den Feldern für Spam-, Viren- und Dateieinstellungen aus den
Dropdown-Menüs die Option „In die Standard-Quarantäne verschieben“ aus.
Die Seite „E-Mail-Quarantäne“ enthält eine Tabelle mit einer Liste aller E-Mails in der Quarantäne. Darüber befindet sich eine
Navigationsleiste, um die E-Mails zu durchsuchen.
Die Tabelle enthält die folgenden Informationen über die in der Quarantäne gespeicherten E-Mails.
Auswählen
Ein Kontrollkästchen, mit dem Sie eine oder mehrere Nachrichten gleichzeitig auswählen und eine Aktion mit diesen
ausführen können.
Grund
Der Grund, warum die Zustellung der E-Mail blockiert wurde: Malware – die E-Mail enthält Viren oder andere Arten von
Bedrohungen, Spam – die E-Mail enthält Spam, Gesperrt – Die E-Mail weist einen Anhang auf, der nicht gesendet werden
kann, und Ungültiger Header – die Informationen im Header sind ungültig.
Datum
Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.
Größe
Die Größe der E-Mail.
Von
Der Absender der E-Mail.
Betreff
Der Betreff der E-Mail.
Anhang
Die Anzahl der Anhänge der E-Mail.
Aktionen
Die vier Symbole in dieser Spalte stellen die verfügbaren Aktionen dar: Nachricht anzeigen, Nachricht
herunterladen, Nachricht freigeben und an den ursprünglichen Empfänger senden sowie E-Mail löschen.
Ausführlichere Informationen erhalten Sie im nachfolgenden Abschnitt.
Zwei Schaltflächen unterhalb der Tabelle ermöglichen es, Aktionen durchzuführen, wenn in der Tabelle mehr als eine Nachricht
ausgewählt ist.
Freigeben
Gibt die ausgewählten Nachrichten zur sofortigen Zustellung frei.
Löschen
Entfernt die ausgewählten E-Mails dauerhaft.
Beim Klicken auf das Symbol Nachricht anzeigen wird die E-Mail-Liste durch eine Seite mit drei Feldern ersetzt, auf der verschiedene
Details zur ausgewählten E-Mail angezeigt werden.
Mail in Quarantäne
Dieses Feld zeigt eine detailliertere Ansicht der E-Mail-Daten aus der E-Mail-Liste: Der Grund, warum die E-Mail in die Quarantäne
verschoben wurde, Absender und Empfänger mit Cc, Betreff, Datum und Uhrzeit des Empfangs sowie die Größe der E-Mail.
Header
Der vollständige, ursprüngliche Header der E-Mail, der nützliche Informationen enthalten kann, beispielsweise den Pfad, dem die E-Mail
gefolgt ist.
Payload
Hier werden die Anhänge der E-Mail (falls vorhanden) mit ihren Details angezeigt. Darüber hinaus wird jeder HTML-Anhang mit seinem
vollständigen Quellcode angezeigt.
Im unteren Bereich ist folgende Option verfügbar:
Nach Freigabe aus der Quarantäne entfernen
Die E-Mail wird aus der Quarantäne entfernt, nachdem sie für den ursprünglichen Empfänger freigegeben wurde.
Spam Training
Die Panda GateDefender-Appliance beinhaltet die Engine „SpamAssasin“ zum Finden und Bekämpfen von Spam-E-Mails. Auch wenn
sich SpamAssassin in vielen Fällen bewährt hat, müssen die Fähigkeiten der Engine optimiert werden, um Spam-Mails effektiv
abzufangen. Sie können das Training der Anti-Spam-Engine auf dieser Seite konfigurieren: SpamAssassin lernt automatisch, welche E-
Mails als Spam klassifiziert werden und welche nicht (die so genannten „Ham“-Mails). Für die Ausführung des Trainings wird eine
Verbindung zu einem IMAP-Host benötigt, um die Spam- und Ham-Mails in den vordefinierten Ordnern zu prüfen.
Ein Feld enthält die für den Lernmodus verwendete Liste der IMAP-Hosts, die auf verschiedenen Ebenen verwaltet werden können. Im
anderen Feld können Sie die geplanten Updates ändern.
Aktuelle Spam Trainingsquellen
Im ersten Feld können die Trainingsressourcen mithilfe von zwei Links konfiguriert werden. Wenn Sie auf diese Links klicken, werden
zwei Abschnitte angezeigt, in denen Sie die verschiedenen Konfigurationswerte angeben können. Die Standardkonfiguration ist zu
Beginn nicht definiert und wird nicht für das Training verwendet. Es werden nur Werte bereitgestellt, die anschließend tatsächlich in die
Trainingsressourcen übernommen werden. Diese können Sie im Folgenden hinzufügen. Sie können diese Einstellung konfigurieren,
indem Sie auf den Link Standardkonfiguration bearbeiten klicken:
Standard IMAP Host
Der IMAP-Host, der die Trainingsordner enthält.
Standard Benutzername
Der Benutzername für den IMAP-Host.
Standard Passwort
Das Benutzerpasswort
Standard-Hamordner
Der Name eines Ordners, der ausschließlich Ham-Nachrichten enthält. Dabei kann es sich beispielsweise um einen speziell
hierfür vorgesehenen Ordner handeln, in dem ausschließlich „saubere“ Nachrichten gespeichert werden, oder sogar um den
Posteingang.
Standard Spamordner
Der Name eines Ordners, der ausschließlich Spam-Nachrichten enthält.
Für automatisches Spamfilter-Training vormerken
Das Zeitintervall zwischen zwei aufeinander folgenden Prüfungen – stündlich, täglich, wöchentlich oder monatlich. Diese
Option kann deaktiviert werden. Wenn Sie den Mauszeiger über die Fragezeichen bewegen, wird der genaue planmäßige
Zeitpunkt angezeigt. Wenn diese Option deaktiviert ist, muss die Antispam-Engine manuell trainiert werden.
Weitere Quellen für das Spam-Training können im Abschnitt hinzugefügt werden, der nach Klicken auf den Link IMAP Spam
Trainingsquelle hinzufügen angezeigt wird. Die Optionen für die zusätzlichen für das Training verwendeten Hosts entsprechen den
Optionen für die Standardkonfiguration. Eine Ausnahme bilden der Zeitplan (hier wird stets die Standardkonfiguration übernommen) und
die folgenden drei neu verfügbaren Optionen:
Aktiviert
Die Trainingsquelle wird jedes Mal verwendet, wenn SpamAssassin trainiert wird. Wenn diese Option deaktiviert ist, wird die
Quelle nur beim manuellen, jedoch nicht beim automatischen Training verwendet.
Anmerkung
Ein Kommentar zu dieser Quelle.
Bearbeitete Mails löschen
Mithilfe dieser Option wird festgelegt, ob verarbeitete E-Mails gelöscht werden sollen.
Die anderen Optionen können wie in der Standardkonfiguration definiert werden und überschreiben, wenn angegeben, die
Standardwerte. Nachdem alle gewünschten Werte festgelegt wurden, klicken Sie auf die Schaltfläche Trainingsquelle hinzufügen, um die
Konfiguration einer Quelle zu speichern. Mithilfe einer Trainingsquelle können mehrere Aktionen durchgeführt werden:
– Status des IMAP-Hosts: aktiviert oder deaktiviert
– Eigenschaften des IMAP-Hosts ändern
– IMAP-Host entfernen
– Verbindung zum IMAP-Host prüfen
Durch Klicken auf das entsprechende Symbol können Sie die Quelle aktivieren, deaktivieren, bearbeiten, entfernen oder die Verbindung
zur Quelle überprüfen.
Zwei weitere Aktionen sind verfügbar und werden auf sämtliche Verbindungen angewendet, wenn Sie auf eine der Schaltflächen rechts
oben im Feld klicken.
Alle Verbindungen testen
Gleichzeitige Überprüfung aller Verbindungen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, wenn eine große
Anzahl an Trainingsquellen definiert wurde oder die Verbindung zum IMAP-Server langsam ist.
Training jetzt starten
Training wird umgehend gestartet. Beachten Sie, dass das Training längere Zeit in Anspruch nehmen kann. Dies hängt von
verschiedenen Faktoren ab: der Anzahl der Quellen, der Verbindungsgeschwindigkeit und insbesondere von der Zahl der
heruntergeladenen E-Mails.
Hinweis
Die Antispam-Engine kann auch auf andere Weise trainiert werden, wenn der SMTP-Proxy sowohl für eingehende als auch ausgehende
E-Mails aktiviert ist. Dies geschieht durch das Senden von Spam-E-Mails an [email protected] und Ham-E-Mails an [email protected].
Die Hostnamen spam.spam und ham.ham werden der Netzwerkkonfiguration nach der Netzwerkeinrichtung hinzugefügt und sind Aliase
des Localhost. Falls diese zwei Adressen nicht vorhanden sind, können sie der Hostkonfiguration auf der Panda GateDefender-
Appliance unter Menüleiste ‣ Netzwerk ‣ Hosts bearbeiten ‣ Host hinzufügen hinzugefügt werden.
Zeitplan für SpamAssassin Regelupdates
In diesem Feld können Sie eine der vier folgenden Optionen für den automatischen Download von SpamAssassin-Signaturen festlegen:
Stündlich, täglich, wöchentlich und monatlich.
Intrusion Prevention
Die Panda GateDefender-Appliance enthält das bekannte System snort zur Einbruchserkennung (IDS) und -verhinderung (IPS), das
direkt in iptables integriert ist, um Verbindungen von unerwünschten oder nicht vertrauenswürdigen Quellen abzufangen und zu
verwerfen.
Die Seite enthält drei Registerkarten: Intrusion Prevention System, Regeln und Editor.
Intrusion Prevention System
Ist SNORT nicht aktiviert, wird auf der Seite neben der Bezeichnung Intrusion Prevention System aktivieren ein grauer Schalter
angezeigt, über den Sie den Dienst starten können. Sie werden in einer Nachricht darüber informiert, dass ein Neustart
des Dienstes durchgeführt wird. Kurze Zeit später werden im Feld einige Optionen zur Konfiguration des Dienstes angezeigt.
SNORT Regeln automatisch herunterladen
Durch Aktivieren dieses Feldes lädt die Panda GateDefender-Appliance automatisch die snort-Regeln von der Panda Perimetral
Management Console herunter.
Hinweis
Wenn die Panda GateDefender-Appliance nicht registriert ist, werden die Regeln von der Webseite „Emerging
Threats“ heruntergeladen. Außerdem wird eine informative Meldung am unteren Rand der Seite angezeigt.
Updateintervall wählen
Die für die Regeln festgelegte Download-Häufigkeit: Mithilfe eines Dropdown-Menüs können Sie die einzelnen Optionen –
stündlich, täglich, wöchentlich oder monatlich – auswählen. Diese Option ist nur verfügbar, wenn die vorherige Option
aktiviert wurde.
Benutzerdefinierte SNORT Regeln
Datei mit benutzerdefinierten SNORT-Regeln, die hochgeladen werden sollen. Wählen Sie aus dem Fenster, das nach
Klicken auf die Schaltfläche Durchsuchen angezeigt wird, eine Datei aus, und laden Sie sie hoch, indem Sie auf die
Schaltfläche Benutzerdefinierte Regeln hochladen klicken.
Regeln
Auf der Registerkarte Regeln wird eine Liste von Regelsätzen angezeigt, die auf der Panda GateDefender-Appliance gespeichert werden.
Dazu werden die Anzahl der darin enthaltenen Regeln und den Aktionen aufgeführt, die damit ausgeführt werden können:
– Status des Regelsatzes: aktiviert oder deaktiviert
– Die auf Pakete angewendete Richtlinie: durchlassen oder blockieren
– Eigenschaften des Regelsatzes ändern
– Regelsatz entfernen
Hinweis
Wenn Sie auf der Registerkarte Regeln bestimmte Regeln bearbeiten, werden diese beim Öffnen der Seite Editor (siehe unten)
automatisch angezeigt.
Alle Aktionen außer „Bearbeiten“ können für mehrere Regelsätze gleichzeitig ausgeführt werden. Wählen Sie dazu die Regelsätze (durch
Aktivieren des Kontrollkästchens links neben dem Dateinamen) aus, und klicken Sie auf die Schaltfläche unterhalb der Liste.
Die Richtlinie Alarm ist für alle Regelsätze standardmäßig aktiviert. Sie können diese Einstellung ändern, indem Sie auf das Alarmsymbol
klicken. Für die Richtlinie ist nun die Einstellung Blockieren konfiguriert, und das Alarmsymbol wird als rotes Schildsymbol angezeigt.
Nach Klicken auf die Schaltfläche Übernehmen wird durch die betreffende Regel kein Alarm mehr ausgelöst. Der gesamte von der Regel
betroffene Datenverkehr wird blockiert.
Sie können Regeln löschen, indem Sie auf das Papierkorbsymbol klicken. Wenn Sie auf das Stiftsymbol klicken, werden Sie hingegen
zur Editor-Seite umgeleitet, auf der Sie die Regeln unabhängig voneinander bearbeiten können.
Editor
Im oberen Bereich der Seite Editor werden die Regelsätze angezeigt, die Sie bearbeiten können. Sie können mehrere Regelsätze
gleichzeitig auswählen, indem Sie während des Anklickens der Regeln die Taste STRG gedrückt halten.
Nachdem Sie die Regelsätze ausgewählt und auf die Schaltfläche Bearbeiten geklickt haben, werden in einer Liste die ausgewählten
Regeln angezeigt. Sie können die Liste durch Eingabe einiger Begriffe im Textfeld neben der Bezeichnung Suche einschränken. Wie auf
der Seite Regeln können auch hier die Richtlinien zu den einzelnen Einträgen geändert werden.
Warnung
Wenn Sie das IPS-System aktivieren, wird SNORT zwar ausgeführt, aber der Datenverkehr wird noch nicht gefiltert. Damit snort Pakete
filtert, muss die Filterrichtlinie Mit IPS erlauben für die auf den verschiedenen Konfigurationsseiten der Firewall definierten Regeln
ausgewählt werden.
Hochverfügbarkeit
Die Panda GateDefender-Appliance kann im HV-Modus ausgeführt werden. Für dessen unkomplizierte Einrichtung werden mindestens
zwei Panda GateDefender-Appliances benötigt, von denen eine die Rolle der aktiven (Master) Firewall übernimmt. Die restlichen
Firewalls (Slaves) sind im Standby-Betrieb.
Wenn die Master-Firewall ausfällt, wird eine der Slave-Firewalls als neue Master-Firewall ausgewählt. So wird ein transparentes Failover
gewährleistet. Wenn jedoch nur ein Slave vorhanden ist, werden sofort die Aufgaben des Masters übernommen, und es wird im Fall
eines Hardwareausfalls der primären Appliance ein nahtloser Failover-Übergang auf die zweite Panda GateDefender-Appliance
ermöglicht. Dies gewährleistet eine beispiellose Verfügbarkeit und Redundanz der Hardware, die für kritische Netzwerkvorgänge und für
die Sicherheit unerlässlich ist.
Zum Starten des HV-Dienstes müssen mindestens eine Panda GateDefender-Appliance als Master und eine als Slave entsprechend den
folgenden Richtlinien konfiguriert sein.
Hinweis
Das Hochverfügbarkeitsmodul erfordert mindestens zwei identische Panda GateDefender-Appliances.
Achten Sie darauf, dass beim Einrichten des Hochverfügbarkeitsmoduls für jede Verbindung zur Panda-Appliance eine Duplizierung
ermöglicht werden muss. Jede Verbindung auf der primären Einheit (beispielsweise WAN, LAN usw.) muss auf den einzelnen Standby-
Einheiten repliziert werden, um eine vollständige Replikation gewährleisten zu können.
In diesem Szenario ist jedes Netzwerk auf der Panda GateDefender-Appliance (WAN, LAN usw.) mit einem extern verwalteten Switch
verbunden, der für jedes zugewiesene Netzwerk ein eindeutiges VLAN besitzt. Bei dieser Bereitstellungsoption werden am wenigsten
Netzwerkports benötigt, wodurch höhere Erweiterungskapazitäten vorhanden sind. Eine andere Möglichkeit besteht darin, einen zentral
verwalteten (VLAN-fähigen) Switch durch kleinere, separate Switches für die einzelnen Netzwerke (WAN, LAN usw.) zu ersetzen. Diese
Einrichtung könnte jedoch nicht kosteneffizient und weniger verlässlich sein, da ein Ausfall auf einem beliebigen Switch zu einem
teilweisen oder vollständigen Failover führen kann.
Warnung
Der Hochverfügbarkeitsdienst wird automatisch über das GRÜNE Netzwerk ausgeführt. Sie können die Einstellung jedoch so
konfigurieren, dass der Dienst über die Switch-Verbindung ausgeführt wird. Alternativ können Sie dem GRÜNEN Netzwerk auch einen
Ethernet-Port zuweisen, um das Master-Gerät direkt mit der Slave-Einheit zu verbinden. Der Vorteil einer direkten Verbindung besteht
darin, dass der Switch nicht mehr für den Failover benötigt wird. Mögliche Problemquellen werden somit beseitigt, was zu einer höheren
Zuverlässigkeit führt. Die Wahl dieser Option hängt größtenteils von der Zuverlässigkeit des verwalteten Switches ab (doppelte
Stromversorgung, Ausfallrate der Ports, Garantiebestimmungen usw.). Je zuverlässiger/redundanter die Switch-Konfiguration ist, desto
unbedenklicher wird die Verwendung einer direkten Verbindung sein.
Auf dieser Seite wird nur ein Feld angezeigt, in dem zunächst eine Option verfügbar ist:
Hohe Verfügbarkeit (HA) aktivieren
Aktivierung des HV-Dienstes auf der Panda GateDefender-Appliance. Der Dienst ist standardmäßig deaktiviert.
Nach Aktivierung wird ein zweites Dropdown-Menü mit der Bezeichnung Hochverfügbarkeit Seite angezeigt. Hier können Sie die Panda
GateDefender-Appliance als Master oder Slave konfigurieren. Je nach Auswahl sind unterschiedliche Konfigurationsoptionen verfügbar.
Für die Konfiguration einer Slave-Einheit wird eine bereits eingerichtete Master-Einheit benötigt.
Die folgenden Optionen sind für die Master-Seite verfügbar:
Management Netzwerk
Spezielles Subnetz, mit dem alle Panda GateDefender-Appliances verbunden werden müssen, die am eingerichteten
Hochverfügbarkeitsdienst beteiligt sind. Die Standardkonfiguration des Subnetzes lautet 192.168.177.0/24.
Sofern dieses Subnetz nicht bereits für andere Zwecke verwendet wird, muss es nicht modifiziert werden.
IP-Adresse des Primärrechners
Erste IP-Adresse des Management-Netzwerks. Sie ist automatisch mit 1 auf dem ausgewählten Netzwerk eingerichtet und
nimmt standardmäßig den Wert 192.168.177.1 an.
Benachrichtigung: Emailadresse des Empfängers, Benachrichtigung: Absender Emailadresse, Benachrichtigung: E-Mail-Betreff, Hinweis: zu verwendender SMTP-Server
Diese Optionsfelder können ausgefüllt werden, um per E-Mail über Ausfälle benachrichtigt zu werden. Diese Optionen
werden auf dieselbe Weise konfiguriert wie die Optionen für andere Ereignisbenachrichtigungen unter Menüleiste ‣ System ‣
Ereignisbenachrichtigung. Folgende Angaben werden für den E-Mail-Versand benötigt: ein benutzerdefinierter Absender,
Empfänger, E-Mail-Betreff und ein SMTP-Smarthost.
STP aktivieren
Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Diese Option und die
nachfolgende sind wichtig, wenn die Panda GateDefender-Appliance im Gateway-Modus ausgeführt wird.
STP Bridge Priorität
Die Priorität der Bridge. Sie muss 1 auf der Seite des Masters sein.
Nach Aktivierung des Hochverfügbarkeitsdienstes wird ein weiteres Feld mit einer Liste der Slaves und der zugehörigen IP-Adressen
angezeigt. Des Weiteren haben Sie hier die Möglichkeit, über einen Link auf die entsprechende Management-GUI zuzugreifen und
Slaves zu entfernen.
Management-Netzwerk des Hochverfügbarkeitsdienstes:
Die Panda GateDefender-Appliance verwendet ein spezielles Netzwerk, um die Master- und Slave-Einheit(en) zu verbinden:
192.168.177.0/24. Wenn dieses Netzwerk bereits in anderen Zonen verwendet wurde, wird keines der bereits definierten Netzwerke
gelöscht und es ist keine Modifizierung der Netzwerke erforderlich. Weisen Sie in diesem Fall dem HV-Management-Netzwerk einfach
einen anderen IP-Adressbereich zu, beispielsweise 172.19.253.0/24 oder 10.123.234.0/28. Es ist wichtig zu beachten, dass die einzige
Voraussetzung des Verwaltungsnetzwerks seine Größe ist. Es muss groß genug sein, um den Master und alle Slaves unterzubringen.
Daher sollte im Falle nur eines Master- und Slave-Geräts auch ein Netzwerk mit einer Größe von 192.168.177.0/29 ausreichend sein.
Das Management-Netzwerk wird als Schnittstelle im GRÜNEN Netzwerk eingerichtet, und wird auf dem Gerät bzw. beim Anzeigen des
Netzwerkstatus als solche angezeigt.
Warnung
Stellen Sie sicher, dass das Management-Netzwerk über das aktuelle LAN erreichbar ist. Anderenfalls ist eine Anmeldung bei der
Master-Einheit nicht möglich!
Nach Konfiguration der Master-Einheit können Sie die zweite Panda GateDefender-Appliance einrichten, die als Slave genutzt wird. Auf
dieselbe Weise werden alle weiteren Slave-Einheiten konfiguriert.
Warnung
Es wird dringend empfohlen, vor der Konfiguration ein Backup der Slave-Einheit zu erstellen und an einem sicheren Ort zu speichern, da
es nützlich sein kann, um eine Slave-Einheit wiederherzustellen, nachdem diese aus ihrer Rolle entfernt wurde.
Für die Slave-Einheiten sind folgende Optionen verfügbar:
IP-Adresse des Primärrechners
Die IP-Adresse der Master-Einheit ist standardmäßig 192.168.177.1/24, wenn das Verwaltungsnetzwerk nicht
geändert wurde. Dieser Wert muss mit dem Wert übereinstimmen, der auf der Master-Einheit unter IP-Adresse des
Primärrechners angezeigt wird.
Master Rootpasswort
Das Passwort root-Benutzers der Konsole (nicht der grafischen Administrationsoberfläche) auf der Master-Einheit.
Diese Daten werden von der Slave-Einheit verwendet, um alle erforderlichen Daten von der Master-Einheit abzurufen und die
Synchronisation zu gewährleisten.
STP aktivieren
Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Auf der Seite des Slaves
muss diese Option denselben Wert wie auf der Master-Seite haben.
STP Bridge Priorität
Die Priorität der Bridge. Auf der Seite des Slave muss dies eine Ziffer oder Zahl größer als die auf der Master-Seite sein.
Nach Speichern der Einstellungen wird im Laufe der Erstellung des Management-Netzwerks die Verbindung zum Gerät vorübergehend
unterbrochen. Anschließend werden beide Geräte (die Master- und aktuell definierte Slave-Einheit) synchronisiert.
Nach Abschluss des Synchronisationsvorgangs ist die Slave-Einheit nicht mehr über die alte IP-Adresse (die werksseitig eingestellte
oder vorherige GRÜNE IP-Adresse) erreichbar, da sich die Einheit nun im Standby-Modus befindet und nur über das Management-
Netzwerk mit der Master-Einheit verbunden ist. Alle Änderungen an der primären Einheit (wie das Aktivieren von Diensten, Ändern von
Einstellungen, Löschen eines VPN-Benutzers usw.) werden automatisch an die Slave-Einheit(en) übermittelt – mit Ausnahme von
Updates, Upgrades oder Datensicherungen (diese müssen manuell auf der Slave-Einheit durchgeführt werden).
Zudem wird die Slave-Einheit der Panda-Appliance automatisch in der Slave-Liste der Master-Einheit angezeigt und nur noch als
informative Weboberfläche verwendet, auf die Sie von der Master-Einheit über den Link Zur Management-GUI wechseln neben den
einzelnen Einträgen in der Slave-Liste zugreifen können.
Die ROTE MAC-Adresse
Während des HV-Failovers wird die MAC-Adresse der ROTEN Schnittstelle auf der Slave-Einheit nicht repliziert. Dies kann ein Problem
darstellen, wenn der Internetdienstanbieter die Einstellungen für die statische IP-Adresse benötigt. In diesem Fall wird die vom
Internetdienstanbieter zugewiesene IP-Adresse von der MAC-Adresse der Client-Netzwerkschnittstelle bestimmt, ähnlich wie bei einer
statischen IP-Adresse, die von einem DHCP-Server an den Client vergeben wird. Es könnte nicht möglich sein, sich erneut mit der
Slave-Einheit zu verbinden. Zur Vermeidung dieser Situation ist es notwendig, die Funktion für gefälschte MAC-Adressen auf der
ROTEN Schnittstelle zu verwenden, damit HV korrekt funktioniert. Um diese Situation zu vermeiden, müssen Sie für ein
ordnungsgemäßes Funktionieren des Hochverfügbarkeitsdienstes für die ROTE Schnittstelle eine gespoofte MAC-Adresse verwenden.
Dies kann auf dem Slave vor der Aktivierung durch Auswahl der Option Verwende benutzerdefinierte MAC Adresse unter Menüleiste ‣
Netzwerk ‣ Schnittstellen ‣ Main Uplink bearbeiten ‣ Erweiterte Einstellungen erreicht werden. Alternativ können Sie in Schritt 4 des
Netzwerkinstallationsassistenten im Optionsfeld Verwende diese MAC Adresse die MAC-Adresse der Master-Einheit eingeben.
Netzwerkmonitoring
Der Dienst Traffic Monitoring wird von ntopng ausgeführt und kann durch Betätigen des Hauptschalters auf dieser Seite aktiviert bzw.
deaktiviert werden. Sobald die Überwachung des Datenverkehrs aktiviert ist, wird im unteren Abschnitt der Seite ein Link zu einer neuen
Administrationsoberfläche angezeigt. Der Verkehr kann durch den Host, das Protokoll, die lokale Netzwerkschnittstelle und viele andere
Informationstypen visualisiert und analysiert werden: Alle diese Vorgänge können direkt vom Modul Netzwerkmonitoring im Menü
„Protokolle und Berichte“ ausgeführt werden.
SNMP-Server
Der SNMP-Dienst dient der Überwachung von mit dem Netzwerk verbundenen Geräten. Er wird unter anderem zur Überprüfung des
Status der internen Infrastruktur verwendet.
Um den SNMP-Server zu aktivieren, müssen Sie nur auf den grauen Schalter neben der Option Aktiviere SNMP Server klicken.
Daraufhin werden im Feld Einstellungen verschiedene Optionen angezeigt.
Community String
Schlüssel zum Lesen von Daten mithilfe des SNMP-Clients.
Standort
Eine Zeichenfolge, die auf einen beliebigen Wert gesetzt werden kann. Es ist jedoch ratsam, dass sie den Ort der Panda
GateDefender-Appliance beschreibt.
Überschreibe globale Benachrichtigunsemailadresse
Der SNMP-Server muss eine E-Mail-Adresse als Kontaktstelle mit dem System konfigurieren. Standardmäßig wird die im
Laufe der Installation bereitgestellte globale E-Mail-Adresse verwendet. Um eine benutzerdefinierte E-Mail-Adresse zu
verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie im direkt unterhalb aktivierten Feld System Kontakt
Emailadresse die benutzerdefinierte E-Mail-Adresse ein.
Quality of Service
Der Zweck des QoS-Moduls ist es, den IP-Verkehr zu priorisieren, der dienstabhängig durch die Panda GateDefender-Appliance strömt.
Mithilfe von QoS lässt sich ein Teil der verfügbaren (eingehenden und ausgehenden) Bandbreite für einen spezifischen Dienst bequem
reservieren. Anwendungen, die für gewöhnlich höher als der übliche Datenverkehr priorisiert werden müssen, sind interaktive Dienste
wie SSH oder VoIP.
Die Konfigurationsoptionen des Moduls sind in drei Registerkarten angeordnet: Geräte, Klassen und Regeln.
Geräte
Die Registerkarte Geräte ist gleichzeitig die Startseite des Moduls und zu Beginn leer. Nach der Eingabe von Daten wird eine Tabelle mit
der Liste sämtlicher definierter Geräte angezeigt. Für jedes Gerät werden einige Parameter sowie die verfügbaren Aktionen dargestellt.
Sie können neue QoS-Geräte hinzufügen, indem Sie über der Liste auf den Link QoS Gerät hinzufügen klicken und einige Optionen
konfigurieren.
Zielgerät
Die Netzwerkschnittstelle, die von diesem Gerät verwendet wird. Sie können im Dropdown-Menü aus verschiedenen, auf
dem System aktivierten Netzwerkschnittstellen oder Zonen auswählen.
Downstream Bandbreite (kbit/s)
Die Downstream-Geschwindigkeit der Schnittstelle.
Upstream Bandbreite (kbit/s)
Die Upstream-Geschwindigkeit der Schnittstelle.
Aktiviert
Aktivierung des QoS (Standard).
Die möglichen Aktionen für das Gerät sind:
– Das Gerät aktivieren oder deaktivieren
– Eigenschaften des Geräts ändern
– Gerät entfernen
Beim Bearbeiten eines Geräts wird das gleiche Formular geöffnet wie beim Hinzufügen eines neuen Geräts. In diesem Formular können
Sie die aktuellen Parameter des Geräts ändern.
Für jedes Gerät, das neu hinzugefügt wird, werden auf der Registerkarte Klassen vier Elemente angezeigt: Drei Symbole stehen für hohe,
mittlere und niedrige Priorität, das letzte Symbol für den übrigen Verkehr (siehe unten).
Klassen
Auf dieser Registerkarte wird eine Liste mit sämtlichen Dienstqualitätsklassen angezeigt, die erstellt wurden (falls vorhanden). Zu jedem
Eintrag werden verschiedene Daten angezeigt. Sie können neue Elemente hinzufügen, indem Sie über der Klassenliste auf den Link
Quality of Service Klasse hinzufügen klicken. Die zu konfigurierenden Parameter sind die gleichen wie in der Liste:
Name
Name der QoS-Klasse.
QOS Gerät
Das Dropdown-Menü ermöglicht die Auswahl des QoS-Geräts, für das die Klasse erstellt wurde.
Tipp
Es muss mindestens ein QoS-Gerät erstellt werden, bevor Sie eine QoS-Klasse definieren können.
Reserviert
Prozentsatz der Bandbreite, der von der gesamten verfügbaren Bandbreite des Geräts für diese Klasse reserviert wurde.
Limit
Maximaler Prozentsatz der Bandbreite, die von dieser Klasse genutzt werden kann.
Priorität
Die Priorität der Klasse von 0 (niedrig) bis 10 (hoch), auswählbar in einem Dropdown-Menü.
Hinweis
Die Summe der reservierten Prozentsätze pro Gerät kann nicht größer als 100 sein. Zudem kann die reservierte Bandbreite nicht höher
sein als die begrenzte Bandbreite.
Die verfügbaren Aktionen sind: * – Ändern der Geräteeigenschaften, * – Verschieben der Klasse in die Liste, * – Gerät
entfernen.
Klassen können in der Liste nach oben oder unten verschoben werden: Elemente weiter oben auf der Liste werden zuerst verarbeitet,
wenn die Bandbreite nicht für den gesamten Datenverkehr ausreicht und die Panda GateDefender-Appliance entscheiden muss, welcher
Datenverkehr priorisiert wird.
Regeln
Auf der dritten Registerkarte wird eine Liste der bereits definierten Dienstqualitätsregeln angezeigt. Hier können Sie bestimmen, welche
Arten von Datenverkehr welcher Klasse zugeordnet werden sollen. Klicken Sie auf den Link Quality of Service Regel hinzufügen, um
eine neue Regel hinzuzufügen. Im daraufhin angezeigten Formular, das dem Formular zur Definition der Firewall-Regeln ähnelt, müssen
verschiedene Werte konfiguriert werden. Eine Reihe von Dropdown-Menüs soll die Auswahl und den Konfigurationsprozess erleichtern.
Quelle
Wählen Sie aus dem Dropdown-Menü die Quelle für den Datenverkehr aus: Zone, Schnittstelle, Netzwerk, IP- oder MAC
Adresse. Je nach Auswahl können unterschiedliche Werte angegeben werden: eine der verfügbaren Zonen oder
Schnittstellen, die angezeigt werden; eine oder mehrere IP- bzw. MAC- Adressen oder ein bzw. mehrere Netzwerke.
Zielgerät/Datenverkehrsklasse
Wählen Sie das Gerät/die Klasse aus dem Dropdown-Menü aus. Tragen Sie anschließend die Ziel-IP-Adresse oder die
Netzwerke in das Textfeld auf der rechten Seite ein.
Service/Port, Protokoll
Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei
Auswahl der Protokolle „TCP“, „UDP“ oder „TCP und UDP“ wird zusätzlich ein Zielport angegeben. Es sind auch einige
vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>,
wobei Letzteres für alle Dienste, Protokolle und Ports steht. Unter Ziel Port können eine oder mehrere Portnummern
bereitgestellt werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die
Standardports erfolgt.
TOS/DSCP
Mithilfe dieser Option wird der passende TOS- oder DSCP-Wert ausgewählt.
Wert bei Datenverkehr anwenden
Durch Auswahl von TOS oder der DSCP-Klasse im vorherigen Dropdown-Menü kann nun aus einem anderen Dropdown-
Menü ein geeigneter Wert für den passenden Datenverkehr ausgewählt werden. Wurde DSCP-Wert ausgewählt, kann ein
benutzerdefinierter Wert eingegeben werden, welcher der Regel entspricht.
Aktiviert
Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert.
Kommentar
Kommentar zur Identifizierung dieser Regel
Hinweis
Wenn mehr als ein Dienst für eine Dienstqualitätsklasse verfügbar ist, wird die reservierte Bandbreite auf alle Dienste aufgeteilt.
Die für die Regeln verfügbaren Aktionen sind:
Menü „Dienste“
65
– Die Regel aktivieren oder deaktivieren
– Eigenschaften der Regel ändern
– Regel entfernen
am 31. Januar 2014.
Menü „Firewall“ Menü „Firewall“
Auf dieser Seite finden Sie:
Gemeinsame Konfigurationselemente
Portweiterleitung / NAT
o Portweiterleitung / Destination NAT
o Source NAT
o Eingehender gerouteter Datenverkehr
Ausgehender Datenverkehr
Inter-Zone-Datenverkehr
VPN-Datenverkehr
Systemzugriff
Firewalldiagramme
In diesem Abschnitt wird das Einrichten von Regeln beschrieben, mit denen die Durchleitung des Netzwerkdatenverkehrs in der Panda
GateDefender-Appliance gesteuert wird. Die Firewall der Panda GateDefender-Appliance ist in verschiedene Module unterteilt. Über
diese werden die verschiedenen Datenverkehrstypen überwacht, zugelassen oder blockiert. Die folgenden Module sind verfügbar:
Portweiterleitung / NAT: Portweiterleitung und abbr:NAT (Network Address Translation) (Network Address Translation)
Ausgehender Datenverkehr: Datenverkehr in Richtung der ROTEN Schnittstelle
Inter-Zone Datenverkehr: Datenverkehr zwischen den einzelnen Zonen
VPN Datenverkehr: Datenverkehr von VPN-Benutzern
Systemzugriff: Gewähren von Zugriff auf den Panda GateDefender-Appliance-Host
Firewalldiagramme: Grafische Darstellung des von den jeweiligen Firewalltypen unterbrochenen Datenverkehrs
In den Untermenüs, in denen jeweils alle vorhandenen Regeln aufgeführt sind, können für jeden Diensttyp bzw. für alle Port/Protokoll-
Kombinationen benutzerdefinierte Regeln hinzugefügt werden. Die verschiedenen Komponenten der Firewall sind für unterschiedliche
Typen von Datenverkehr zuständig (z. B. OpenVPN für den Datenverkehr von VPN- Benutzern und Inter-Zone für den Datenverkehr
zwischen Zonen). Sie sind so konzipiert, dass Regelüberschneidungen und -konflikte vermieden werden. Es ist somit ausgeschlossen,
dass zwei Regeln in zwei unterschiedlichen Firewallmodulen erstellt werden, deren Zusammenwirken ein unerwünschtes Blockieren oder
Erlauben von Paketen zur Folge hat.
Durch die Trennung der von der Panda GateDefender-Appliance gesteuerten Netzwerke wird auch die Verwaltung der Firewall
vereinfacht, deren Konfiguration sehr komplex werden kann. Tatsächlich sollten die Module als eigenständige Firewalls betrachtet
werden, durch deren Zusammenwirken alle durch die Panda GateDefender-Appliance geleiteten Paketströme abgedeckt werden.
Für jedes der oben aufgeführten Module existieren unter Umständen Regeln, die weder deaktiviert noch entfernt werden können. Diese
sogenannten Regeln der Systemdienste (oder auch Systemregeln) dienen der Interoperabilität der auf der Panda GateDefender-
Appliance ausgeführten Dienste mit der Infrastruktur der Panda Perimetral Management Console.
Die hier definierten Regeln werden in Befehle für iptables (Standard-Firewalltool von Linux ab Kernel 2.4) umgewandelt und in Tabellen,
Ketten und Regeln gegliedert. Ausführlichere Beschreibungen der verschiedenen Firewall-Komponenten sowie Informationen zur
Feinabstimmung und Verwaltung komplexer Firewalls können auf der Manpage zu iptables(8) auf jedem Linux-System oder in den
zahlreichen Online-Ressourcen und Tutorials im Internet gefunden werden.
Gemeinsame Konfigurationselemente
Da alle Werte mithilfe von iptables eingerichtet werden, sind die meisten Werte, die beim Hinzufügen einer Regel in den verschiedenen
Modulen konfiguriert werden müssen, desselben Typs (z. B. die Quell- und Zielschnittstellen). Daher werden aus Gründen der
Lesefreundlichkeit alle gemeinsamen Konfigurationselemente der Firewallmodule an dieser Stelle nur einmal dargestellt. Zusätzliche
Erläuterungen werden nur dann bereitgestellt, wenn wesentliche Unterschiede zu den hier aufgeführten Beschreibungen bestehen.
Quelle oder Eingehende IP: Mit dieser Einstellung wird, meist aus einem Dropdown-Menü, die entsprechende Art der Quelle bzw.
eingehenden Verbindung ausgewählt. Je nach Auswahl können in dem kleinen Feld darunter Verbindungen ausgewählt werden, auf
die die Regel angewendet werden soll: Zone/VPN/Uplink für die Quellzone, den VPN-Client oder den Uplink, Netzwerk/IP/Bereich für
die IP-Adresse, den IP-Adressbereich oder die Netzwerkadressen und OpenVPN User und L2TP Benutzer für die OpenVPN- bzw.
L2TP-Benutzer.
Ziel: Mit dieser Einstellung wird über ein Dropdown-Menü das entsprechende Ziel ausgewählt. Die drei verfügbaren Optionen sind
grundsätzlich mit denen im Dropdown-Menü Quelle identisch: Zone/VPN/Uplink, Netzwerk/IP, OpenVPN User und L2TP Benutzer. Es
bestehen jedoch geringfügige Unterschiede: So sind z. B. OpenVPN- oder L2TP-Benutzer für manche Regeltypen als Ziel nicht
zulässig.
Dienst, Port und Protokoll: Ein Dienst ist in der Regel als Kombination aus Port und Protokoll definiert. So wird beispielsweise der SSH-
Dienst standardmäßig über Port 22 mithilfe des TCP- Protokolls ausgeführt. Mithilfe dieser drei Optionen werden Port und Protokoll
bestimmt, auf die die Regel angewendet werden soll. Über die zwei Dropdown-Menüs wird entweder ein vordefinierter Dienst
ausgewählt, wodurch auch Protokoll und Portbereich in das Textfeld eingetragen werden, oder ein Protokoll und optional ein Port oder
Portbereich. Folgende Protokolle sind verfügbar: die am häufigsten verwendeten Protokolle TCP und UDP, das von Tunneln
verwendete GRE, das von IPsec verwendete ESP und das von den Befehlen ping und traceroute verwendete ICMP.
Hinweis
Die Dropdown-Menüs enthalten eine große Auswahl vordefinierter Dienste, wodurch der Internetzugriff der am häufigsten verwendeten
Dienste ermöglicht werden sollte. Benutzerdefinierte Kombinationen aus Port und Protokoll sollten nur verwendet werden, wenn
Dienste nicht über ihre Standardports ausgeführt werden (z. B. ein SSH-Server mit Port 2345 oder ein Webserver mit Port 7981) oder
ein ganz bestimmter Port benötigt wird (z. B. für Multiplayerspiele über das Internet).
Untergeordnete Regel „Zugriff von“‘: Nahezu jede Regel kann mithilfe verschiedener „Zugriff von“-Regeln näher spezifiziert werden. So
können Sie beispielsweise für einen Client verschiedene Zugriffsbeschränkungen je nach Zone einrichten, von der eine Verbindung mit
der Panda GateDefender-Appliance hergestellt wird. „Zugriff von“-Regeln können im erweiterten Modus konfiguriert werden (weiter
unten beschrieben). Als Folge kann sich eine Regel je nach Anzahl der definierten Zugriffsrichtlinien über zwei oder noch mehr Zeilen
erstrecken. Die untergeordneten „Zugriff von“-Regeln können ohne Änderung der Hauptregel einzeln gelöscht werden. Auf jede
untergeordnete Regel kann hierbei sogar eine unterschiedliche Filterrichtlinie Anwendung finden.
Richtlinie und Filterrichtlinie: Die Aktion, die für die von der aktuellen Regel betroffenen Pakete ausgeführt werden soll. Im Dropdown-
Menü stehen vier Optionen zur Auswahl: Mit der Option GESTATTEN mit IPS werden Pakete durchgelassen und mithilfe von Intrusion
Prevention System analysiert. Mit GESTATTEN werden Pakete ohne Prüfung durchgelassen, und durch VERWERFEN werden sie
verworfen. Durch die Option ZURÜCKWEISEN werden Pakete verworfen, und als Antwort wird ein Fehlerpaket gesendet.
Aktiviert. Erstellte Regeln sind standardmäßig aktiv, können aber durch Deaktivieren des Kontrollkästchens auch in nicht aktiviertem
Zustand gespeichert werden. Sie werden dann beim Filtern der Pakete nicht angewendet. Das Deaktivieren von Regeln kann für die
Fehlerbehebung bei Verbindungsproblemen nützlich sein.
Protokoll und Alle akzeptierten Pakete loggen: Standardmäßig ist das Protokollieren beim Filtern von Datenverkehr deaktiviert. Durch
Aktivieren des Kontrollkästchens kann es für eine Regel aktiviert werden.
Warnung
Bei großen Mengen von Daten und zu analysierenden Paketen erreichen Protokolldateien in kurzer Zeit eine enorme Größe. Deshalb
sollten Protokollverzeichnisse regelmäßig geprüft werden, um sicherzustellen, dass genügend Speicherplatz verfügbar ist.
Anmerkung: Eine Beschreibung oder Anmerkung zum Zweck der Regel.
Position: Beachten Sie, dass die iptables-Regeln gemäß der Reihenfolge in der Liste verarbeitet werden, und dass manche Regeln
„endgültigen“ Charakter haben, d. h. dass sie Pakete verwerfen oder ablehnen, wodurch die Verarbeitung nachfolgender Regeln
entfällt. Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, an welcher Position eine Regel gespeichert werden soll.
Aktionen: Für Regeln können stets mehrere Aktionen ausgeführt werden:
o – Regeln in der Liste nach oben oder unten verschieben.
Tipp
Beachten Sie, dass die Reihenfolge wichtig ist. Die Firewall-Regeln werden in der Reihenfolge verarbeitet, in der sie auf der Seite
von oben nach unten erscheinen.
o – Die Regel aktivieren oder deaktivieren.
o – Die Regel bearbeiten.
o – Die Regel entfernen.
Nach dem Speichern aller Änderungen in den Firewallregeln muss die Firewall neu gestartet werden, damit die geänderte Konfiguration
geladen wird. Zur Erinnerung wird ein Hinweis mit der Schaltfläche Übernehmen angezeigt.
Portweiterleitung / NAT
Das Modul „Portweiterleitung / NAT“ besteht aus drei Registerkarten: „Port forwarding / DNAT“, „Source NAT“ und „Eingehender
gerouteter Datenverkehr“. Das Modul verwaltet den gesamten Uplink-Datenverkehr aus der ROTEN Zone zur Panda GateDefender-
Appliance sowie den eingehenden und ausgehenden NAT-Datenverkehr.
Portweiterleitung / Destination NAT
Destination NAT wird in der Regel zur Zugriffsbeschränkung für nicht vertrauenswürdige Netzwerke oder zum Umleiten von
Datenverkehr aus einem solchen Netzwerk zu einem festgelegten Port oder einer festgelegten Adresse-Port-Kombination verwendet. Es
kann definiert werden, welcher Port an welcher Schnittstelle zu welchem Host und Port weitergeleitet werden soll.
Die Liste der konfigurierten Regeln zeigt mehrere Informationen an: Die ID (#), die für die Reihenfolge der auf den Datenverkehr
angewendeten Regeln steht, die Adresse für die Eingehende IP, der Dienst (Port und Protokoll), zu dem der Datenverkehr geleitet wird,
die auf den Datenverkehr angewendete Richtlinie, die Übersetze zu-Adresse (Zielhost und -port für die Umleitung des Datenverkehrs),
eine benutzerdefinierte Anmerkung, sowie die verfügbaren Aktionen.
Beim Bearbeiten einer Regel wird das gleiche Formular geöffnet wie beim Hinzufügen einer neuen Regel durch Klicken auf Neue Port
forwarding / Destination NAT Regel hinzufügen. Mithilfe eines Links rechts oben auf der Formularseite kann zwischen Einfacher Modus
und Erweiterter Modus gewechselt werden. Im erweiterten Modus können auch die Option Zugriff von, die Richtlinie und der Typ
Übersetze zu exakt eingestellt werden.
Zusätzlich zu den gemeinsamen Optionen können folgende Einstellungen konfiguriert werden:
Übersetze zu
Die Optionen in diesem Formularbereich sind davon abhängig, ob zur Bearbeitung der einfache oder der erweiterte Modus aktiviert ist.
Neben dem Hinzufügen von untergeordneten Zugriff von-Regeln können im erweiterten Modus aus dem zusätzlichen Dropdown-Menü
Typ vier unterschiedliche Arten von Übersetzungen ausgewählt werden:
1. Diese entspricht der einzigen Option, die unter Einfacher Modus verfügbar ist. Hier müssen die Ziel-IP-Adresse (neben Port und NAT)
sowie der Port oder Portbereich angegeben werden, zu dem die Weiterleitung erfolgt, und ob auf eingehende Pakete NAT
angewendet werden soll oder nicht.
2. OpenVPN User: Auswahl eines OpenVPN-Benutzers als Ziel für den Datenverkehr.
3. Lastverteilung: Angabe eines IP-Adressbereichs, auf den der Datenverkehr zur Vermeidung von Engpässen oder der Überlastung
einer einzelnen IP-Adresse aufgeteilt wird.
4. Netzwerk umwandeln: Einfügen eines Subnetzwerks, in das der eingehende Datenverkehr übersetzt werden soll.
Hinweis
Durch die Übersetzung mithilfe von Netzwerk umwandeln werden die gesamten Adressen eines Netzwerks statisch in Adressen
eines anderen Netzwerks umgewandelt. Dies kann für Unternehmen nützlich sein, in denen alle Niederlassungen dasselbe interne
Netzwerk verwenden. In einem solchen Fall können alle Netzwerke mithilfe der Netzwerkumwandlung untereinander verbunden
werden.
Beispiel:
Ursprüngliches Netzwerk 1: 192.168.0.0/24 zugeordnetes Netzwerk 1:
192.168.1.0/24 ursprüngliches Netzwerk 2: 192.168.0.0/24 zugeordnetes Netzwerk 2: 192.168.2.0/24
5. L2TP Benutzer: Auswahl eines L2TP-Benutzers als Ziel für den Datenverkehr.
Sofern nicht die Option Netzwerk umwandeln ausgewählt wird, kann stets der Port oder Portbereich angegeben werden, zu dem die
Weiterleitung des Datenverkehrs erfolgt, sowie ob auf diesen NAT angewendet werden soll oder nicht. Bei Auswahl von Kein NAT darf
unter Zugriff von (im erweiterten Modus) keine Filterrichtlinie angegeben werden.
Warnung
Bei Auswahl von IP, OpenVPN User, L2TP Benutzer oder Lastverteilung erfolgt für Portbereiche keine 1:1-Umwandlung, sondern eine
Verteilung nach dem Round-Robin-Verfahren. Eine Umwandlung der eingehenden Ports 137 bis 139 in die Zielports 137 bis 139 führt
beispielsweise zu einer zufälligen Verwendung dieser Ports: Eingehender Datenverkehr für Port 138 kann unvorhersehbar zu Port 137,
138 oder 139 umgeleitet werden. Um dies zu vermeiden, sollte das Feld Port/Bereich für Übersetzungen leer gelassen werden.
Fehlerbehebung für die Portweiterleitung
Für eine nicht funktionierende Portweiterleitung gibt es zwei Hauptursachen:
1. Die Panda GateDefender-Appliance befindet sich hinter einem NAT-Gerät.
In diesem Fall werden direkte eingehende Verbindungen durch ein Gerät verhindert, das sich zwischen der Panda GateDefender-
Appliance und dem Internet befindet. Die Lösung des Problems besteht in der Konfiguration einer Portweiterleitung an die ROTE IP-
Adresse („RED IP“) der Panda GateDefender-Appliance, sofern möglich auch auf diesem Gerät.
2. Der Standardgateway des Zielservers ist fehlerhaft.
Für den als Ziel einer Portweiterleitungsregel eingestellten Server ist ein falsches oder kein Standardgateway konfiguriert.
Verbindungen werden zwar an die Ziel-IP-Adresse geleitet, aber Pakete werden aufgrund eines fehlerhaften Standardgateways nicht
durch die Panda GateDefender-Appliance geleitet. Die Lösung des Problems besteht in der korrekten Konfiguration des
Servergateways.
Source NAT
Auf dieser Seite können Regeln definiert werden, mit denen SNAT (Source NAT) auf ausgehende Verbindungen angewendet wird.
Zudem wird die Liste bereits definierter Regeln angezeigt, die für jede Regel die Quell- und Ziel-IP-Adressen, den Dienst, den NAT-
Status, eine benutzerdefinierte Beschreibung sowie verfügbare Aktionen enthält.
„Source NAT“ kann nützlich sein, wenn ein Server hinter der Panda GateDefender-Appliance über eine eigene externe IP-Adresse
verfügt, die von ausgehenden Paketen anstelle der ROTEN IP-Adresse der Firewall verwendet werden soll. Klicken Sie zum Hinzufügen
einer neuen Regel auf Neue Quell-NAT-Regel hinzufügen, und fahren Sie wie beim Hinzufügen einer Portweiterleitungsregel fort. Neben
den gemeinsamen Optionen kann nur eine weitere Einstellung konfiguriert werden:
NAT
Auswählen der Anwendung von NAT, Kein NAT oder Netzwerk umwandeln. Bei der Auswahl von SNAT kann die zu
verwendende IP-Adresse aus den im Dropdown-Menü verfügbaren Adressen ausgewählt werden. Durch die Einträge Auto
wird automatisch die IP-Adresse ausgewählt, die der ausgehenden Schnittstelle entspricht.
SNAT und SMTP-Server in der ORANGEN Zone
In bestimmten Fällen ist es empfehlenswert, für „Source NAT“ ausdrücklich Kein NAT anzugeben, beispielsweise für einen SMTP-
Server in der DMZ (Demilitarized Zone), der mit einer externen IP- Adresse konfiguriert wurde, aber dessen ausgehende Verbindungen
die ROTE IP-Adresse als Quelle verwenden sollen. Ein SMTP-Server in der DMZ mit der IP-Adresse „123.123.123.123“ (wobei dies eine
weitere IP- Adresse des Uplinks ist) kann auf folgende Weise mit „Source NAT“ konfiguriert werden:
1. Konfigurieren Sie die ORANGE Zone mit einem beliebigen Subnetz (z. B. 192.168.100.0).
2. Richten Sie den SMTP-Server zum Abhören von Port 25 an einer IP- Adresse in der ORANGEN Zone ein (z. B.
129.168.100.13).
3. Fügen Sie in dem Abschnitt unter Menüleiste ‣ Netzwerk ‣ Schnittstellen der Panda GateDefender-Appliance einen
statischen Ethernet-Uplink mit der IP-Adresse „123.123.123.123“ hinzu.
4. Fügen Sie eine Source-NAT-Regel hinzu, und geben Sie die ORANGE IP-Adresse des SMTP-Servers als Quelladresse an.
Stellen Sie sicher, dass NAT verwendet wird und „123.123.123.123“ als Quell- IP-Adresse für NAT eingerichtet ist.
Eingehender gerouteter Datenverkehr
Mithilfe dieser Registerkarte kann durch die Panda GateDefender- Appliance gerouteter Datenverkehr umgeleitet werden. Dies ist sehr
nützlich, wenn mehrere externe IP-Adressen vorhanden sind und einige der Adressen in der DMZ verwendet werden sollen, ohne dass
NAT erforderlich ist. Für jede Regel werden als Listenfelder Quelle und Ziel für den Datenverkehr, der Dienst, die anzuwendende
Richtlinie, eine Anmerkung sowie die verfügbaren Aktionen angezeigt.
Außer den gemeinsamen Optionen können keine weiteren Einstellungen konfiguriert werden.
Ausgehender Datenverkehr
In der Panda GateDefender Appliance sind für ausgehenden Datenverkehr vordefinierte Regeln vorhanden, mit denen der Datenfluss
der jeweiligen Dienste, Ports und Anwendungen von den verschiedenen Zonen zur ROTEN Schnittstelle und damit ins Internet erlaubt
wird. Diese Regeln sind erforderlich, damit die am häufigsten verwendeten Dienste stets auf das Internet zugreifen und ordnungsgemäß
funktionieren können. Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden
können, und einem für das Einrichten der Optionen für die ausgehende Firewall.
Hinweis
In der ausgehenden Firewall definierte Regeln werden ignoriert, wenn die Panda GateDefender Appliance im Modus Kein Uplink ist.
Beim Betrieb im Uplink-Tarnmodus wird nur ein Teil des Verkehrs aus der Zone hinter der Panda GateDefender Appliance nach außen
als ausgehend angesehen. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus.
Panda GateDefender Appliance und Anwendungsfirewall (Anwendungssteuerung):
Anwendungsfirewalls sind eine neue Entwicklung und Verbesserung der zustandsbehafteten Firewalls, welche die Funktionen der
ersteren zur Verfolgung des Verbindungsursprungs und Pfades mit den Funktionen von Intrusion Prevention Systems zur
Inhaltserkennung von Paketen zu dem Zweck kombinieren, einen besseren Schutz vor Würmern, Viren, Malware und allen
Bedrohungsarten zu bieten. Das finale Ergebnis aus Sicht der Benutzerfreundlichkeit ist, dass Firewalls nicht nur den Verkehr zwischen
Ports und IP-Adressen sondern auch den Verkehr blockieren können, der von einzelnen Anwendungen erzeugt wird. Dies erfordert
jedoch einen größeren Firewall-Aufwand: Obwohl für den Verkehr zwischen IP-Adressen nur das erste Paket geprüft werden muss, um
den gesamten Datenfluss zu blockieren oder zuzulassen und so den korrekt generierten Datenverkehr einer Anwendung zu erkennen, ist
manchmal eine Analyse mehrerer Pakete erforderlich, meistens jedoch nicht mehr als 3.
Ab Version 5.50 ist jede Panda GateDefender Appliance mit nDPI ausgestattet, einer OpenSource-Bibliothek mit Deep Paket Inspection,
welche die Regelbereitstellung für Anwendungsfirewalls zulässt. nDPI wird als Kernel-Modul bereitgestellt und interagiert für die
Paketanalyse mit den IP-Tabellen.
Deshalb gibt es nun zwei Regelarten, die in der ausgehenden Firewall definiert werden können:
Zustandsbehaftete Firewall-Regeln, die den Verkehr zwischen IP-Adressen und Ports filtern.
Anwendungsregeln, d. h. Regeln, die den von einer Anwendung generierten Verkehr filtern.
Wenn keine Anwendungsregeln definiert wurden, entspricht das Verhalten der Firewall genau der vorherigen Version. Wenn jedoch eine
Anwendungsregel definiert wurde, verhalten sich die vorausgehenden zustandsbehafteten Regeln normal, während alle nachfolgenden
Regeln nDPI unterliegen.
Es muss beachtet werden, dass die Verwendung von nDPI einige Feinheiten aufweist, die im folgenden Beispiel dargestellt sind und zu
einigen unerwünschten Nebenwirkungen führen können.
Nehmen wir an, dass ein Unternehmen den gesamten HTTP-Verkehr zulassen möchte, mit der Ausnahme von YouTube und Gmail. Die
erste in der Panda GateDefender Appliance definierte Standardregel erlaubt den gesamten HTTP-Verkehr ohne Einschränkungen.
Deshalb muss diese Regel zunächst deaktiviert werden. Anschließend müssen zwei Regeln definiert werden:
1. eine Anwendungsregel zur Blockierung der Gmail- und YouTube-Protokolle
2. eine zustandsbehaftete Regel für den gesamten HTTP-Verkehr.
Wenn die zweite Regel eine Anwendungsregel mit dem HTTP-Protokoll wäre, würde nur der von nDPI als HTTP erkannte Verkehr
zugelassen werden, aber andere Protokolle, die HTTP verwenden (wie Yahoo und Facebook) würden passieren, da nDPI sie nicht als
HTTP ansieht, sondern als unabhängige Protokolle.
Aktuelle Regeln
Die folgenden Dienste und Protokolle dürfen standardmäßig aus der jeweiligen Zone auf die ROTE IP-Adresse zugreifen und werden im
oberen Bereich angezeigt:
GRÜN: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ICMP; BLAU: HTTP, HTTPS, DNS, ICMP; ORANGE: DNS, ICMP
Außer den Systemregeln, durch die der Zugriff auf Dienste in der Panda Perimetral Management Console ermöglicht wird, ist
standardmäßig nichts weiter erlaubt. Die Systemregeln sind auch dann definiert, wenn die entsprechenden Zonen nicht aktiv sind.
Die für die Regeln möglichen Aktionen sind Aktivieren bzw. Deaktivieren, Bearbeiten und Löschen. Weitere Regeln können durch Klicken
auf den Link Neue Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sollte beachtet werden, dass die Reihenfolge der
Regeln wichtig ist: Unabhängig von der Anzahl der nachfolgenden zutreffenden Regeln wird durch die erste zutreffende Regel
entschieden, ob ein Paket erlaubt oder abgelehnt wird. Die Reihenfolge der Regeln kann mithilfe der Nach-oben- und Nach-unten-
Symbole neben den Regeln geändert werden.
Folgende Einstellungen weichen vom Standard der gemeinsamen Optionen ab:
Quelle
Mögliche Auswahl von einem oder mehreren der Elemente „Zone/Netzwerk-Schnittstelle“, „Netzwerk/IP“ oder „MAC Adresse“.
Ziel
Mögliche Auswahl der ROTEN Zone, eines oder mehrerer Uplinks oder einer Netzwerk/Host-Adresse bzw. mehrerer
Netzwerk/Host-Adressen, auf die außerhalb der ROTEN Schnittstelle zugegriffen werden kann.
Anwendung
Dieses Such-Widget ermöglicht die Auswahl der Anwendungen, die Teil der Regel sein sollen. Anwendungen werden in Kategorien
(z. B. Datenbank, Dateifreigabe usw.) unterteilt.
Tipp
Geben Sie mindestens einen Buchstaben ein, um alle Anwendungen mit diesem Anfangsbuchstaben anzuzeigen.
Ausgehende Firewalleinstellungen
Die ausgehende Firewall kann durch Klicken auf den Schalter Ausgehende Firewall aktivieren deaktiviert oder aktiviert werden. Bei
deaktivierter ausgehender Firewall wird der gesamte ausgehende Datenverkehr erlaubt, und Pakete werden nicht gefiltert. Es wird
ausdrücklich empfohlen, diese Einstellung nicht zu verwenden und die ausgehende Firewall aktiviert zu lassen.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zur ROTEN Schnittstelle protokolliert.
Proxy und ausgehende Firewall
Wird für einen bestimmten Dienst der Proxy aktiviert (z. B. für HTTP, POP, SMTP oder DNS), werden die Firewallregeln in der
ausgehenden Firewall aufgrund der allgemeinen Proxyeigenschaften nicht angewendet.
Geht bei aktiviertem Proxy eine Verbindung von einem Client zum Internet aus, wird diese entweder vom Proxy der Panda
GateDefender- Appliance unterbrochen (im transparenten Modus) oder direkt an die Firewall geleitet, passiert diese jedoch nie. Vom
Proxy wird dann eine neue Verbindung zum tatsächlichen Ziel hergestellt, woraufhin die Daten abgerufen und an den Client gesendet
werden. Verbindungen dieser Art gehen stets von der Panda GateDefender-Appliance aus, wodurch die interne IP-Adresse des Clients
nicht sichtbar wird. Da es sich tatsächlich um lokale Verbindungen handelt, wird die ausgehende Firewall auch nicht von ihnen passiert.
Inter-Zone-Datenverkehr
Mithilfe dieses Moduls können Regeln für den Datenverkehr zwischen den lokalen Netzwerkzonen eingerichtet werden. Datenverkehr
durch die damit ausgeschlossene ROTE Zone kann unter Ausgehender Datenverkehr und Portweiterleitung / NAT gefiltert werden.
Klicken Sie zur Aktivierung der Zwischenzonen-Firewall auf den grauen Schalter . Die Seite besteht aus zwei Bereichen:
einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die
Inter-Zone-Firewall.
Hinweis
Wenn die Panda GateDefender Appliance im Modus Kein Uplink konfiguriert ist, wird der gesamte Netzwerkverkehr mithilfe der
Zwischenzonen-Firewall gefiltert. Wenn im Uplink-Tarnmodus mehr als eine Zone definiert ist, wird der gesamte Verkehr, der nicht über
den Gateway geleitet wird, mithilfe der Zwischenzonen-Firewall gefiltert. Weitere Informationen finden Sie in der Beschreibung des
Uplink-Tarnmodus <stealth>.
Aktuelle Regeln
In der Panda GateDefender-Appliance sind einige einfache vordefinierte Regeln vorhanden: Datenverkehr aus der GRÜNEN Zone in
eine andere Zone (ORANGE oder BLAU) sowie Datenverkehr innerhalb der einzelnen Zonen ist erlaubt, während jeder andere
Datenverkehr standardmäßig verboten ist.
Wie bei der Firewall für ausgehenden Datenverkehr können Regeln mithilfe der entsprechenden Symbole auf der rechten Seite der
Tabelle deaktiviert bzw. aktiviert, bearbeitet oder gelöscht werden. Neue Regeln können durch Klicken auf den Link Eine neue Inter-Zone
Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sind nur die gemeinsamen Optionen konfigurierbar.
Inter-Zone Firewalleinstellungen
Die Inter-Zone-Firewall kann mithilfe des Schalters Inter-Zone Firewall aktivieren deaktiviert bzw. aktiviert werden. Bei deaktivierter Inter-
Zone-Firewall wird sämtlicher Datenverkehr zwischen den BLAUEN, GRÜNEN und ORANGEN Zonen erlaubt. Von einer Deaktivierung
wird ausdrücklich abgeraten.
Akzeptierte Inter-Zone Verbindungen protokollieren
Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zwischen den Zonen protokolliert.
VPN-Datenverkehr
Mithilfe der Firewall für VPN-Datenverkehr können anzuwendende Firewallregeln für Benutzer und Hosts hinzugefügt werden, die über
OpenVPN verbunden sind.
Die Firewall für VPN-Datenverkehr ist standardmäßig nicht aktiv. Dies bedeutet zum einen, dass Datenverkehr zwischen VPN-Hosts und
Hosts in der GRÜNEN Zone uneingeschränkt erlaubt ist, und zum anderen, dass von VPN-Hosts auf alle anderen Zonen zugegriffen
werden kann. VPN-Hosts sind nicht von den Firewalls für ausgehenden Datenverkehr und Inter-Zone- Datenverkehr betroffen. Die Seite
besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das
Einrichten der Optionen für die VPN-Firewall.
Aktuelle Regeln
Handhabung und Definition der Regeln erfolgen genau wie bei der Firewall für ausgehenden Datenverkehr. Deshalb erhalten Sie
Anleitungen für dieses Modul in dem entsprechenden Abschnitt und unter gemeinsame Optionen.
VPN Firewalleinstellungen
Die VPN-Firewall kann mithilfe des Schalters VPN-Firewall aktivieren aktiviert oder deaktiviert werden.
Akzeptierte VPN Verbindungen protokollieren
Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen von VPN-Benutzern protokolliert.
Systemzugriff
In diesem Bereich werden die Regeln festgelegt, durch die der Zugriff auf die Panda GateDefender-Appliance gewährt oder verweigert
wird.
Es ist eine Liste vorkonfigurierter Regeln vorhanden, durch die das ordnungsgemäße Funktionieren der Firewall sichergestellt wird und
die nicht geändert werden können. Für einige Dienste, die von der Panda GateDefender-Appliance bereitgestellt werden, ist es
erforderlich, dass von Clients in den verschiedenen lokalen Zonen auf sie zugegriffen werden kann: Beispielsweise für DNS zum
Auflösen von Remote-Hostnamen (wofür Port 53 geöffnet sein muss) oder zur Verwendung der Webschnittstelle für die Administration
(die Port 10443 verwendet): Bei Aktivierung solcher Dienste werden automatisch Regeln erstellt, um die Effizienz dieser Dienste zu
gewährleisten.
Die Liste der vordefinierten Regeln wird durch Klicken auf die Schaltfläche Regeln der Systemdienste anzeigen unten auf der Seite
angezeigt.
Weitere Systemzugangsregeln können durch Klicken auf den Link Eine neue Systemzugangsregel hinzufügen hinzugefügt werden. Für
dieses Firewallmodul sind die folgenden spezifischen Einstellungen vorhanden:
Pakete protokollieren
Wenn dieses Kontrollkästchen aktiviert ist, werden alle Pakete protokolliert, von denen auf die Panda GateDefender-
Appliance zugegriffen wird bzw. werden soll. Diese Option ist nützlich, um Zugriffe bzw. Zugriffsversuche auf ihren Ursprung
zurückführen zu können.
Quelladresse
Die MAC-Adressen von eingehenden Verbindungen.
Quellschnittstelle
Die Schnittstelle, von der auf das System zugegriffen werden kann.
Hinweis
Eine Adresse für Ziel ist nicht vorhanden, da es sich um die IP-Adresse der Schnittstelle handelt, von der der Zugriff gewährt oder
versucht wird.
Die verfügbaren Aktionen sind Deaktivieren bzw. Aktivieren, Bearbeiten und Löschen von Regeln in der Liste.
Firewalldiagramme
Menü „Firewall“
75
An dieser Stelle wird für alle auf dieser Seite beschriebenen Module jeweils ein Diagramm angezeigt, in dem der Datenverkehr zwischen
den Zonen gemeinsam mit dem zuständigen Firewallmodul dargestellt ist. Durch die grünen Pfeillinien wird angezeigt, welcher
Datenverkehr in welchen Richtungen in den Zonen jeweils erlaubt ist. Für VPN sind die Pfeile zur ROTEN Schnittstelle und von dieser
weg mit einem roten „X“ gekennzeichnet, da Datenverkehr zwischen diesen Punkten nicht möglich ist.
Durch Klicken auf eine Abbildung wird diese in einer Galerie geöffnet, in der alle vorhandenen Abbildungen wie in einer Slideshow
durchsucht werden können.
am 28. März 2014.
Menü „Proxy“ Menü „Proxy“
Zur Verbesserung der Online-Sicherheit verfügt die Panda GateDefender-Appliance über mehrere Dienste, deren Funktionen mit denen
des Proxys kombiniert werden. Mithilfe des Untermenüs auf der linken Seite kann auf die entsprechenden Seiten und
Konfigurationsoptionen zugegriffen werden. Diese sind im Folgenden zusammengefasst:
HTTP – Webproxy: Zugriffsrichtlinien, Authentifizierung, Inhaltsfilter und Virenschutz
POP3 – Proxy für den E-Mail-Abruf: Spamfilter und Virenschutz
FTP – über FTP heruntergeladene Dateien: Virenschutz
SMTP – Proxy für den E-Mail-Abruf oder -Versand: Spamfilter und Virenschutz
DNS – zwischenspeichernder DNS: Anti-Spyware
Jeder Proxydienst kann eigenständig konfiguriert, aktiviert und deaktiviert werden. Sind für eine ordnungsgemäße Funktion weitere
Dienste erforderlich, werden diese gestartet. Wird beispielsweise der SMTP-Proxy konfiguriert und gestartet, wird auch der SMTP-Dienst
gestartet, sofern er nicht bereits ausgeführt wird. Daher muss zunächst der SMTP-Dienst konfiguriert werden, bevor der SMTP-Proxy
verwendet wird.
Mit Version 5.50 wurde die gesamte Proxy-Architektur geändert.
Die alte und neue HTTP-Proxy-Architektur
Mit der Veröffentlichung von Version 5.50 der Panda GateDefender-Appliance wurde eine leichtere aber leistungsfähigere Architektur für
den HTTP-Proxy implementiert und bereitgestellt.
Die zuvor verwendete HTTP-Proxy-Architektur basierte auf dem so genannten Proxy Chaining. Hierbei fand ein Prozess aus 5 Schritten
statt, wenn ein Client eine Remote-Quelle anforderte, die zuvor nicht zwischengespeichert wurde.
1. Der HTTP-Proxy (Squid) verschickte eine GET-Anfrage zum Server und erhielt eine HTML-Seite als Antwort.
2. Die gesamte Seite wurde zur Inhaltsfilterung (DansGuardian) an das Daemon gesendet und dort analysiert.
3. DansGuardian wiederum leitete die Seite zur Analyse auf Viren und andere Malware zum Anti-Virus-Daemon (HAVP) weiter.
4. Ließ sich kein Virus oder bösartiger Inhalt finden, wurde die gesamte HTML-Seite zurück zu Squid gesendet. Anderenfalls
wurde die Originalseite durch eine HTML-Fehlermeldung (Fehlerseite) ersetzt.
5. Squid speicherte die HTML-Seite (oder die Fehlerseite) für zukünftige Anfragen und lieferte diese an den Client, der sie
ursprünglich angefordert hatte.
Der große Nachteil – und Engpass – dieser Architektur ist der intensive Ressourcenverbrauch. Die gesamte HTML-Seite wurde
sequentiell durch die gesamte Kette geleitet, Schritt für Schritt, ohne Möglichkeit den Vorgang zu beschleunigen. Die HTML-Seite wurde
von Squid abgerufen und zur Inhaltsanalyse an DansGuardian gesendet. Selbst wenn der Inhaltsfilter an diesem Punkt bösartigen Inhalt
fand (die Seite also nicht an den anfordernden Client geleitet werden konnte), wurde sie weiter in der Kette an HAVP und dann zurück an
Squid geleitet. Erst an diesem Punkt wurde die Fehlerseite an den ursprünglichen Client gesendet.
Daher wurde entschieden, dieses Problem anders anzugehen und einen völlig neuen Ansatz zu verwenden, der zuverlässiger und sehr
viel ressourcenschonender ist. Der HTTP-Proxy wird nun durch einen ICAP-Server abgesichert. Wenngleich dies zunächst als
komplexere Architektur erscheint, stellt es eine signifikante Leistungsverbesserung dar.
Kurz gesagt ist ICAP ein Protokoll, das in RFC 3507 definiert ist und es ermöglicht, den Inhalt von Webseiten zu verändern und diese
dann zurück an den Client zu leiten. Diese Funktion kann unterschiedlich ausgenutzt werden. Auf der Panda GateDefender-Appliance
wird sie mit C-ICAP bereitgestellt, um Inhaltsfilterungen und Anti-Virus-Scans von Remote-Quellen zu ermöglichen (HTML-Seiten, aber
auch Audio-, Video-, Text- und Bilddateien).
Dank C-ICAP gibt es zwei Bereiche, deren Leistung gesteigert wurde:
1. Von Squid zu C-ICAP:
C-ICAP erhält zwei parallele Anfragen vom HTTP-Proxy
2. Zwischen C-ICAP und den Daemons:
Siehe auch
Weitere Informationen zum Thema „ICAP“ zusammen mit den zugehörigen Spezifikationen stehen auf der Webseite ICAP-Forum zur
Verfügung.
HTTP
In der Panda GateDefender-Appliance wird Squid als HTTP-Proxy verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von
Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die
eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-Proxy-
Einstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung,
Webfilter, AD-Beitritt und HTTPS-Proxy.
Konfiguration
Der HTTP-Proxy wird durch Klicken auf den Schalter HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das
Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs
Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die - bzw. -
Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.
Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen
können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:
nicht transparent
Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des
Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum
Einrichten der Proxyeinstellungen).
transparent
Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTP-
Datenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den
Clients bereitstellt.
Hinweis
Manche Browser, einschließlich Internet Explorer und Firefox, können Proxy-Server durch Verwendung von WPAD automatisch
erkennen. Die meisten Browser unterstützen außerdem PAC über eine spezielle URL. Bei Verwendung einer Panda GateDefender-
Appliance als Proxyserver sieht die URL folgendermaßen aus: http://<GREENIP>/proxy.pac.
Zonenweises Deaktivieren des HTTP-Proxys
Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden.
Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC
umgehen hinzugefügt werden. Der entsprechende Wert kann unter Menüleiste ‣ Dienste ‣ DHCP Server gefunden werden.
Proxyeinstellungen
Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:
Port der vom Proxy verwendet wird
Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.
Fehlersprache
Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI
Einstellungen ausgewählte Sprache verwendet.
Sichtbarer Hostname des Proxy
Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.
Emailadresse für Benachrichtigungen (Cache Admin)
Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.
Maximale Download-Größe (eingehend in KB)
Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für eine unbegrenzte
Größe.
Maximale Upload-Größe (ausgehend in KB)
Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht
für eine unbegrenzte Größe.
Erlaubte Ports und SSL-Ports
Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:
Erlaubte Ports (vom Client)
Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder
Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.
Erlaubte SSL-Ports (vom Client)
Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder
Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.
Log-Einstellungen
Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:
HTTP Proxy Protokollierung
Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die
folgenden vier Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um
Speicherplatz auf der Festplatte der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht
aktiv.
Suchbegriffe protokollieren
Protokollieren von URL-Parametern (z. B. ?id=123).
Benutzeragent-Protokollierung
Von jedem Browser gesendeten Benutzeragenten protokollieren
Protokollierung des Inhaltsfilters
Protokollieren der Inhaltsfilterung für Webseiten.
Firewall-Protokollierung (nur bei transparentem Proxy)
Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese
Option ist nur für transparente Proxys anwendbar.
Transparenten Proxy umgehen
In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen
(Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.
Transparenten Proxy von SUBNETZ/IP/MAC umgehen
Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.
Transparenten Proxy nach SUBNET/IP umgehen
Die Ziele, auf die der transparente Proxy nicht angewendet wird.
Tipp
CIDR Notation verwenden, um Subnetze einzugeben
Cache-Verwaltung
Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten
Objekte festgelegt:
Zwischenspeichergröße auf der Festplatte (MB)
Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Zwischenspeichergröße im Speicher (MB)
Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Maximale Objektgröße (KB)
Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.
Minimale Objektgröße (KB)
Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.
Hinweis
Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder Client-
Anfrage erneut heruntergeladen.
Aktiviere Offline-Modus
Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom Upstream-
Webserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt
werden.
Warnung
Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderte Seite zuvor zwischengespeichert
wurde. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom
HTTP-Proxy stets die zwischengespeicherte Seite bereitstellt wird. In diesem Fall muss für eine aktualisierte Version einer Webseite
der Cache des Proxyservers gelöscht werden.
Lösche Zwischenspeicher
Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.
Diese Ziele nicht zwischenspeichern
Die Domänen, deren Ressourcen nicht zwischengespeichert werden sollen.
Vorgelagerter Proxy
Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Originalressource kontaktiert werden. Dieser
Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem
vorgelagerten Proxy:
Vorgelagerter Proxy
Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei
aktiviertem Kontrollkästchen wird eine Webseite, die nicht bereits vom Proxy der Panda GateDefender-Appliance
zwischengespeichert wurde, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen wird.
Upstream Server
Der Hostname oder die IP-Adresse des Upstream-Servers.
Upstream Port
Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.
Proxy-Benutzername / Proxy-Passwort
Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.
Client Benutzernamen weiterleiten
Aktivieren Sie das Kontrollkästchen, um den Benutzernamen an den vorgelagerten Proxy weiterzuleiten.
Client IP Adressen weiterleiten
Aktivieren Sie das Kontrollkästchen, um die IP-Adresse des Clients an den vorgelagerten Proxy weiterzuleiten.
Zugriffsrichtlinien
Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine
Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder
verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs)
sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzeragent, MIME-Typen, Virenscannen und Inhaltsfilterung).
Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff
blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Die Tabelle enthält die folgenden
Informationen für jede dort aufgelistete Regel: Die aufsteigende Identifikationsnummer (#), den Namen (``), die Quelle und das
vorgesehene Ziel, der Authentifizierungstyp, falls erforderlich die aktiven Zeiträume, die passenden Benutzeragenten und die
verfügbaren Aktionen:
– Richtlinie ändern
– Richtlinie entfernen
– Richtlinien nach oben oder unten in der Liste verschieben
– Aktivieren oder Deaktivieren der Richtlinie
Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular
können für die Regel die folgenden Parameter konfiguriert werden:
Ressourcentyp
Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert <ANY>, eine Zone, eine Liste von
Netzwerken, IP-Adressen oder MAC-Adressen handeln.
Zieltyp
Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert <ANY>, eine Zone oder
eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.
Authentifizierung
Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine
Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder
Gruppen ausgewählt werden, auf welche die Richtlinie angewendet werden soll.
Tipp
Die Authentifizierung erfolgt nur lokal, weshalb auf der Registerkarte Authentifizierung mindestens ein Benutzer oder eine Gruppe
erstellt werden muss, bevor diese verwendet werden kann.
Zeitbeschränkung
Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel
dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. Durch
Aktivieren des Kontrollkästchens werden die folgenden Optionen verfügbar:
Aktive Tage
Wählen Sie einen oder mehrere Wochentage.
Tipp
Halten Sie zum Auswählen mehrerer Tage die Taste Strg gedrückt, und klicken Sie mit der Maustaste auf den Namen des Tages.
Startstunde, Stopstunde, Startminute, Stopminute
Wählen Sie für eine feinere Unterteilung des Tagesintervalls, zu dem die Zugriffsrichtlinie aktiv ist, aus den Dropdown-Menüs
die Start- und Endzeiten aus.
Benutzeragents
Die zugelassenen Clients und Browser, wie sie durch ihren Benutzeragenten identifiziert werden, d. h. ihrer Zeichenfolge für
die Identifizierung.
MIME Typen
Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h.
in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für
Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der
Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).
Hinweis
Die Liste der verfügbaren MIME-Typen kann in der Datei /etc/mime.types auf jedem Linux-System, auf der offiziellen
IANA-Webseite sowie in RFC 2045 und RFC 2046 gefunden werden.
Zugriffsrichtlinie
Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Falls Ablehnen
eingestellt ist, wird die darüber befindliche Option MIME Typen aktiviert.
Filterprofil
Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Es ermöglicht
die Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Folgende Optionen sind verfügbar: keine für keine
Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die
Regel angewendet werden, sofern eines erstellt wurde (siehe unten).
Richtlinienstatus
Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden
Regeln aktiviert.
Position
Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.
Die für die Regeln in der Liste verfügbaren Aktionen sind „Ändern der Priorität“, „Bearbeiten“, „Deaktivieren“ bzw. „Aktivieren“ und
„Löschen“.
Authentifizierung
Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem Dropdown-
Menü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows
Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefender-
Appliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen
angegeben werden, die für den Zugriff auf den Server erforderlich sind.
Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich
Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl
des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.
Authentifzierungs Einstellungen
In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:
Authentication Realm
Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder
Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet
werden.
Tipp
Wenn der Servername localauth lautet, und der Domänenname beispiel.org ist, dann lautet der FQDN
localauth.beispiel.org.
Anzahl an Authentifizierungsprozessen
Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.
Authentifizierungscache TTL (in Minuten)
Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.
Anzahl der unterschiedlichen IP Adressen pro Benutzer
Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.
Benutzer / Ip Cache TTL (in Minuten)
Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.
Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp
konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder
RADIUS.
Parameter für die NCSA-Authentifizierung
NCSA Benutzerverwaltung
Durch Klicken auf die Schaltfläche Benutzer verwalten wird die GUI zur Benutzerverwaltung geöffnet, die aus einer einfachen Liste evtl.
vorhandener Benutzer und aus dem Link NCSA Benutzer hinzufügen zum Hinzufügen weiterer Benutzer besteht. Ein Benutzer wird
hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später kann dieser bearbeitet oder gelöscht
werden.
Tipp
Das Passwort muss mindestens 6 Zeichen lang sein.
NCSA Gruppenverwaltung
Durch Klicken auf die Schaltfläche Gruppen verwalten wird die GUI zur Gruppenverwaltung geöffnet, die aus einer einfachen Liste der
bestehenden Gruppen und ihren eventuell erstellten Mitglieder und dem Link NCSA Gruppe hinzufügen zum Hinzufügen weiterer
Gruppen besteht. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt
werden. Ein Benutzer kann mehreren Gruppen angehören.
Warnung
Obwohl ein Benutzer mehreren Gruppen angehören kann, muss dabei beachtet werden, dass durch die Gruppen, denen der Benutzer
angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier
Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie
der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der
Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die
Zugriffsrichtlinien konzipiert.
Min. Passwortlänge
Die Mindestlänge für das Passwort eines lokalen Benutzers.
Parameter für die Windows Active Directory-Authentifizierung
Domainname des AD Servers
Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.
AD Domain beitreten
Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt
werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.
PDC Hostname des AD Servers und PDC IP Adresse des AD Servers
Der Hostname und die IP-Adresse des PDC. Sowohl der Hostname als auch die IP-Adresse sind für die Erstellung des DNS-
Eintrags erforderlich.
BDC Hostname des AD Servers und BDC IP Adresse des AD Servers
Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-
Adresse erforderlich.
Anforderungen für das Verwenden von NTLM
Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen
erfüllt sein:
Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt.
Die Panda GateDefender-Appliance muss der Domäne beitreten.
Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein.
Als „Authentication Realm“ muss ein FQDN verwendet werden.
Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.
Tipp
Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der
folgende Befehl ausgeführt wird:
net time set -S IP_OF_AD_SERVER
NTLM-Authentifizierung mit Windows Vista und Windows 7
Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist
jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert
ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden.
Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:
1. Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.
2. Öffnen Sie: Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣
Sicherheitsoptionen.
3. Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene
4. Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn
ausgehandelt)“ aus.
Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen
ordnungsgemäß am HTTP-Proxy authentifiziert werden.
Parameter für die LDAP-Authentifizierung
LDAP-Server
Die IP-Adresse oder der FQDN des LDAP-Servers.
Port des LDAP Servers
Der Port, der vom Server abgehört wird. Der Standardwert ist 389.
Bind DN Einstellungen
Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.
LDAP Typ
Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder
LDAP v3.
Bind DN Benutzername
Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.
Bind DN Passwort
Das Passwort des Bind-DN-Benutzers.
Objekt-Klasse der Benutzer
Die Objekt-Klasse, welcher der Bind-DN-Benutzer angehören muss.
Objekt-Klasse der Gruppe
Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.
Parameter für die RADIUS-Authentifizierung
RADIUS Server
Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers
Der Port, der vom RADIUS-Server abgehört wird.
Kennung
Eine zusätzliche Kennung.
Shared Secret
Das Passwort, das verwendet werden soll.
Webfilter
Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL-Filterlösung von Commtouch. Von dieser werden
zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.
Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode
verwendet eine Kombination aus White- und Blacklist-URLs und Domänen: Alle von Clients angeforderten URLs werden in der Liste
nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.
Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil ist verfügbar, das den Zugriff auf jede Webseite
ermöglicht und nicht gelöscht werden darf. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht
erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.
Auf der Seite befindet sich eine Liste bestehender Profile zusammen mit einer Anmerkung und den verfügbaren Aktionen:
– Profil bearbeiten
– Profil löschen
Oberhalb der Tabelle befindet sich der Link Profil erstellen: Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile
konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können
die folgenden Einstellungen definiert werden:
Profilname
Der Name des Profils.
Virenscanner aktivieren
Aktivieren Sie den Virenschutz im Inhaltsfilter.
Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole und links neben ihren Titeln erweitert oder
reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil
oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet
werden.
URL-Filter
Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln
zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil bedeutet, dass die Elemente der (Unter-)Kategorie für den
Inhaltsfilter verwendet werden. Ein roter Pfeil bedeutet, dass diese nicht verwendet werden. Das Symbol neben dem Namen
der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.
Benutzerdefinierte Black- und Whitelists
Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden
(Whitelist), oder nie an den Client weitergeleitet werden (Blacklist).
Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von
Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den
Ergebnissen der Inhaltsfilteranalyse angewendet.
AD-Beitritt
In diesem Bereich können Anmeldeinformationen eingegeben werden, um dem Active Directory-Server beizutreten. Dieser Vorgang ist
nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.
Benutzername des ADS-Administrators
Der Benutzernamen des Active Directory-Servers.
Passwort des ADS Administrators
Das Kennwort des Active Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des
Kontrollkästchens rechts vom Textfeld angezeigt werden.
HTTPS-Proxy
Auf dieser Seite können Sie den Proxy-Server für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr
über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server
weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein
„zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden.
Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.
Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPS-
Proxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Appliance.
HTTPS-Proxy aktivieren
Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.
Jedes Zertifikat akzeptieren
Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren,
selbst solche, die ungültig oder veraltet sind.
Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.
Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird,
oder um ein neues zu generieren, das ein bereits existierendes ersetzt.
Proxy Zertifikat hochladen
Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen
Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.
Erzeuge ein neues Zertifikat
Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine
Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen
Schritt zurückzugehen.
Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy-Zertifikat hochladen eine neue Option in Form eines Hyperlinks
verfügbar:
Herunterladen
Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.
POP3
Diese Seite enthält Konfigurationsoptionen für den SpamAssassin-E-Mail-Filter sowie für die Behandlung von E-Mails, die als Spam
erkannt wurden.
Globale Einstellungen
Auf dieser Seite können durch Aktivieren der entsprechenden Kontrollkästchen folgende globale Konfigurationseinstellungen des POP3-
Proxys aktiviert werden:
Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE
Aktivieren des POP3-E-Mail-Scanners für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt,
wenn die entsprechende Zone aktiviert ist.
Virusscanner
Aktivieren des Virenscanners.
Spam-Filter
Aktivieren des Spam-Filters für E-Mails.
SSL/TLS verschlüsselte Verbindungen abfangen
Wenn dieses Kontrollkästchen aktiviert ist, werden Verbindungen über SSL/TLS überwacht.
Firewall protokolliert ausgehende Verbindungen
Protokollieren aller ausgehenden Verbindungen durch die Firewall.
Spam-Filter
Auf dieser Seite kann konfiguriert werden, wie der POP3-Proxy beim Entdecken einer Spam-E-Mail vorgehen soll.
Hinweis
E-Mails werden auch dann dem ursprünglichen Empfänger zugestellt, wenn sie als Spam markiert wurden. Eine Nichtzustellung würde
gegen RFC 2821 verstoßen, da diese besagt, dass einmal angenommene E-Mails dem Empfänger zugestellt werden müssen.
Spam Betreffzeile
Das Präfix, das dem Betreff von E-Mails hinzugefügt wird, die als Spam erkannt wurden.
Spam Report in Inhalt der Mail einfügen
Aktivieren Sie das Kontrollkästchen, um in jeder Spam-E-Mail den Textkörper der ursprünglichen Nachricht gegen einen
Bericht des Daemons SpamAssassin auszutauschen und eine Zusammenfassung der Funde einzufügen, d. h. mit dem
Grund, warum die E-Mail als Spam gemeldet wurde.
Benötigte Punktezahl
Die Anzahl der Punkte, die für das Einstufen einer Nachricht als Spam erforderlich ist.
Unterstützung für japanische Emails aktivieren
Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt, um die Suche nach
entsprechendem Spam zu ermöglichen.
Prüfsummenbasierte Spamerkennung aktivieren (pyzor)
Erkennen von Spam-E-Mails mithilfe von Pyzor. Dabei werden Spam-E-Mails in eine eindeutige Digest-Nachricht konvertiert, die zur
Erkennung weiterer entsprechender Spam-E-Mails verwendet werden kann.
Warnung
Durch Aktivierung dieser Option kann der POP3-Proxy deutlich verlangsamt werden.
Whitelist
Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B.
*@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden
nicht auf Spam überprüft.
Blacklist
Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B.
*@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden
immer als Spam markiert.
Durch Klicken auf die Schaltfläche Speichern werden die Einstellungen gespeichert.
Verschlüsselte E-Mails
E-Mails, die über eine POP3-SSL-Verbindung gesendet wurden, können von der Panda GateDefender-Appliance nicht überprüft werden,
da es sich um einen verschlüsselten Kanal handelt.
Damit von Clients POP3 über SSL-Verbindungen verwendet werden kann, muss dies entsprechend konfiguriert und die Verschlüsselung
zwischen Clients und der Panda GateDefender-Appliance deaktiviert werden. Die Verschlüsselung wird zwar deaktiviert (d. h. keine
Verwendung von SSL), aber der Port für den POP3-Datenverkehr im Nur-Text-Format wird vom Standardport 110 auf Port 995 geändert.
Nach Abschluss dieser Konfiguration bleibt die Verbindung zwischen Clients und der Panda GateDefender-Appliance weiterhin auf „Nur-
Text“ eingestellt. Es wird jedoch Port 995 verwendet, wodurch von der Panda GateDefender-Appliance eine verschlüsselte POP3-SSL-
Verbindung mit dem POP3-Server eingerichtet wird.
FTP
Der FTP-Proxy ist nur als transparenter Proxy in den aktivierten Zonen verfügbar. Er kann zur Virenprüfung für Dateien verwendet
werden, die über FTP heruntergeladen wurden. Als FTP-Proxy der Panda GateDefender-Appliance wird „frox“ verwendet.
Hinweis
An den Proxy werden nur Verbindungen mit dem Standardport für FTP (Port 21) umgeleitet. Ist ein Client so konfiguriert, dass der HTTP-
Proxy auch für das FTP-Protokoll verwendet wird, werden die Einstellungen für den FTP-Proxy umgangen.
Folgende Optionen können auf dieser Seite konfiguriert werden:
Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE
Aktivieren des FTP-Proxys für die jeweilige Zone. Diese Option ist nur für die aktivierten Zonen verfügbar.
Firewall protokolliert ausgehende Verbindungen
Protokollieren der ausgehenden Verbindungen in der Firewall.
Umgehe den transparenten Proxy von folgenden Quellen
Zulassen von Quellen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.
Umgehe den transparenten Proxy für folgende Ziele
Zulassen von Zielen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.
FTP-Proxy und aktiver/passiver Modus von FTP-Clients
Die Verwendung von frox als transparentem FTP-Proxy wird von der Panda GateDefender-Appliance nur bei direkter Verbindung mit
dem Internet unterstützt.
Probleme können zudem auftreten, wenn sich bei aktiviertem transparenten FTP-Proxy ein NAT-Gerät zwischen der Panda
GateDefender-Appliance und dem Internet befindet. Bei einer solchen Konfiguration werden FTP-Verbindungen mit einem Remote-FTP-
Standort blockiert und nach gewisser Zeit mit einem Timeout beendet. Die Protokolle enthalten dann Meldungen wie die folgende:
Mo, 2. März 2009, 11:32:02 frox[18450] Verbindungszeitüberschreitung beim
Versuch, eine Verbindung mit <IP Ihres FTP-Client> herzustellen
Mo, 2. März 2009, 11:32:02 frox[18450] Kontaktieren des Client-Datenports fehlgeschlagen.
Zur Vermeidung solcher Probleme sollte der FTP-Client so konfiguriert werden, dass als Übertragungsmodus der passive Modus
(PASV) verwendet wird. Zusätzlich muss unter Menüleiste ‣ Firewall ‣ Systemzugriff eine Regel erstellt werden, durch die der
Datenverkehr über die Ports 50000 bis 50999 für das NAT-Gerät zugelassen wird. Aus Sicherheitsgründen sollten diese Ports jedoch nur
bei Bedarf aktiviert werden. Zum besseren Verständnis des Zwecks einer solchen Konfiguration folgt eine ausführlichere Beschreibung
der Funktionsweise von aktiven und passiven Modi und deren Zusammenspiel mit dem FTP-Proxy.
Beim aktiven Modus muss die Datenverbindung mit dem Client vom Server (in diesem Fall der FTP-Proxy) hergestellt werden. Befindet
sich zwischen Client und Proxy ein NAT-Gerät, kann der Client vom Server aber nicht erreicht werden. Aus diesem Grund muss vom
Client der passive Modus verwendet werden.
Beim passiven Modus muss die Verbindung mit dem Server (wieder der FTP-Proxy) vom Client hergestellt werden. Dafür wird ein
dynamischer Port verwendet, der über die Steuerverbindung ausgehandelt wurde. Der entsprechende Port wird vom FTP-Proxy
abgehört. Datenverkehr für diesen Port muss jedoch von der Systemzugriffsfirewall erlaubt werden.
Da Zugriffsversuche auf den FTP-Proxy durch mehrere Datenverbindungen gleichzeitig erfolgen können, müssen Verbindungen für
einen gesamten Portbereich zugelassen werden. Dies bedeutet, dass alle Ports, die für passive Datenverbindungen reserviert sind
(Ports 50000 bis 50999), von der Systemzugriffsfirewall erlaubt werden müssen.
SMTP
Mithilfe des SMTP-Proxys kann E-Mail-Verkehr vermittelt und gefiltert werden, der von den Clients an die Mailserver gesendet wird.
Der SMTP-Proxy dient dazu, den SMTP-Datenverkehr zu steuern und zu optimieren und die lokalen Netzwerke bei der Verwendung des
SMTP-Protokolls vor Bedrohungen zu schützen. SMTP wird immer dann verwendet, wenn eine E-Mail von einem lokalen E-Mail-Client
an einen Remote-Mailserver gesendet wird, d. h. für den ausgehenden E-Mail-Verkehr. SMTP wird auch verwendet, wenn sich ein
Mailserver im LAN (in der GRÜNEN Zone) oder in der DMZ (in der ORANGEN Zone) befindet und E-Mails von außerhalb des lokalen
Netzwerks (eingehende Anforderungen) über diesen gesendet werden können, den Clients also das Senden von E-Mails von der
ROTEN Schnittstelle gestattet ist.
Zum Herunterladen von E-Mails von einem Remote-Mailserver zu einem lokalen E-Mail-Client wird das POP3- oder das IMAP-Protokoll
verwendet. Um auch diesen Datenverkehr zu schützen, kann der POP3-Proxy unter Menüleiste ‣ Proxy ‣ POP3 aktiviert werden.
Warnung
Das Überprüfen von IMAP-Datenverkehr wird derzeit nicht unterstützt.
Mithilfe der Funktionen des E-Mail-Proxys kann sowohl eingehender als auch ausgehender E-Mail-Verkehr auf Viren, Spam und andere
Bedrohungen überprüft werden. Falls erforderlich werden E-Mails blockiert und Empfänger und Administrator darüber benachrichtigt. Da
die Möglichkeit besteht, eingehende E-Mails zu überprüfen, können mithilfe des E-Mail-Proxys eingehende Verbindungen von der
ROTEN Schnittstelle bearbeitet und E-Mails an interne Mailserver weitergeleitet werden. Dadurch wird ein eigener Mailserver hinter der
Firewall ermöglicht, ohne dass entsprechend definierte Portweiterleitungsregeln erforderlich sind.
Die Konfiguration des SMTP-Proxys ist auf sechs Registerkarten aufgeteilt, von denen jeweils ein Aspekt des SMTP-Proxy abgedeckt
wird.
Konfiguration
Hierbei handelt es sich um die Hauptseite für die Konfiguration des SMTP-Proxys. Durch Klicken auf den Schalter kann
der SMTP-Proxy aktiviert werden. Ist der SMTP-Proxy aktiviert, kann mithilfe der folgenden Optionen für jede aktivierte Zone dessen
Status ausgewählt werden:
aktiv
Der SMTP-Proxy ist für diese Zone aktiviert und nimmt über Port 25 Anfragen entgegen.
transparenter Modus
Ist der transparente Modus aktiviert, werden alle Anfragen mit dem Zielport 25 unterbrochen und an den SMTP-Proxy
weitergeleitet, ohne dass die Konfiguration der Clients geändert werden muss. Diese Option ist für die ROTE Zone nicht
verfügbar.
inaktiv
Der SMTP-Proxy ist für diese Zone nicht aktiviert.
Zusätzliche Optionen sind verfügbar, die in fünf Bereiche gruppiert sind. Jeder Bereich kann durch Klicken auf das Symbol erweitert
oder durch Klicken auf das Symbol ausgeblendet werden.
Spameinstellungen
In diesem Bereich können die von der Panda GateDefender-Appliance zur Erkennung und Filterung von Spam verwendeten
Softwareanwendungen konfiguriert werden. Folgende Optionen sind konfigurierbar:
Mails auf SPAM prüfen
Aktivieren des E-Mail-Spamfilters. Darunter werden weitere Optionen angezeigt, die konfiguriert werden können.
Spambehandlung auswählen
Drei Aktionen können mit E-Mails durchgeführt werden, die als Spam erkannt wurden:
in die Standard-Quarantäne verschieben: Spam-E-Mails werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: Spam-E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet.
Diese kann im Textfeld Emailadresse für Spam Quarantäne angegeben werden, das bei Auswahl dieser Option angezeigt
wird.
als Spam markieren: Die E-Mails werden vor ihrer Zustellung als Spam markiert.
Email verwerfen: Die Spam-E-Mail wird sofort gelöscht.
Präfix für Betreffzeile
Dem Betreff aller E-Mails, die als Spam markiert wurden, wird ein Präfix hinzugefügt.
Emailadresse zur Benachrichtigung von SPAM (SPAM Admin)
Die E-Mail-Adresse, an die bei jeder verarbeiteten Spam-E-Mail eine Benachrichtigung gesendet wird.
Spam Kennzeichnungsstufe
Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header X-Spam-Status und X-Spam-Level
hinzugefügt.
Spam Markierungsstufe
Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header Spam subject und X-Spam-Flag
hinzugefügt.
Spam Quarantäne Level
E-Mails, deren Spampunktzahl über diesem Wert liegt, werden an den Quarantäneort verschoben.
Maximale SPAM Punktezahl für Senderbenachrichtigung
E-Mail-Benachrichtigungen werden nur gesendet, wenn die Spampunktzahl unter diesem Wert liegt.
Spamfilterung
Aktivieren Sie die Option Spam-Greylisting, um die folgende Option anzuzeigen.
Verzögerung für Greylisting (Sek)
Der Wert darf zwischen 30 und 3600 liegen.
Spam-Bericht
Aktivieren Sie dieses Kontrollkästchen, um dem Textkörper von E-Mails, die als Spam erkannt wurden, einen Bericht
hinzuzufügen.
Japanization
Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt und entsprechende Spam-
E-Mails gefiltert.
Hinweis
Da die einfachsten und gängigsten Spamnachrichten sowie E-Mails von bekannten Spamhosts blockiert werden, passen die Absender
von Spam ihre Nachrichten fortlaufend so an, dass Spamfilter umgangen werden. Daher ist es absolut notwendig, auch den Spamfilter
fortlaufend zu trainieren, damit dieser personalisiert und leistungsfähiger wird (Bayes-Filter).
Viruseinstellungen
In diesem Bereich können die folgenden Optionen zur Behandlung erkannter Viren konfiguriert werden:
Mails nach Viren durchsuchen
Aktivieren Sie den Virenfilter für E-Mails, um weitere Virenfilteroptionen anzuzeigen.
Virusbehandlung auswählen
Abhängig vom Typ der Panda GateDefender-Appliance können für E-Mails, bei denen Viren erkannt wurden, drei oder vier
verschiedene Aktionen ausgeführt werden. Sie sind mit denen, die zuvor unter Spameinstellungen beschrieben wurden, identisch:
in die Standard-Quarantäne verschieben: Virenbehaftete E-Mails werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: Virenbehaftete E-Mails werden an eine benutzerdefinierte E-Mail-Adresse
weitergeleitet. Diese kann im Textfeld Quarantäne Emailadresse für Viren angegeben werden, das bei Auswahl dieser
Option angezeigt wird.
an den Empfänger schicken (unabhängig von schädlichen Inhalten): Virenbehaftete E-Mails werden auf normale Weise
zugestellt.
Email verwerfen: Die E-Mail mit dem Virus wird sofort gelöscht.
Mailadresse zur Virus Benachrichtigung (Virus Admin)
Die E-Mail-Adresse, an die bei jeder verarbeiteten virenbehafteten E-Mail eine Benachrichtigung gesendet wird.
Dateieinstellungen
Dieser Bereich enthält Einstellungen, durch die bestimmte E-Mail-Anhänge anhand ihrer Dateierweiterungen blockiert werden. Wird bei
einem Anhang eine bestimmte Dateierweiterung erkannt, wird die ausgewählte Aktion ausgeführt.
Blockiere Dateien nach Erweiterung
Aktivieren des Dateierweiterungsfilters und Anzeigen der weiteren Filteroptionen.
Behandlung von blockierten Dateien auswählen
Abhängig vom Typ der Panda GateDefender-Appliance können für blockierte E-Mails drei oder vier verschiedene Aktionen ausgeführt
werden. (Sie sind mit denen, die zuvor unter Spameinstellungen und Viruseinstellungen beschrieben wurden, identisch):
in die Standard-Quarantäne verschieben: E-Mails mit blockierten Dateien werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: E-Mails mit blockierten Dateien werden an eine benutzerdefinierte E-Mail-
Adresse weitergeleitet. Diese kann im Textfeld Emailadresse zur Benachrichtigung gesperrter Dateien angegeben werden,
das bei Auswahl dieser Option angezeigt wird.
an den Empfänger schicken (unabhängig von blockierten Dateien): E-Mails mit blockierten Dateien werden auf normale
Weise zugestellt.
Zu blockierende Dateitypen auswählen (anhand der Erweiterung)
Die Erweiterungen für Dateien, die blockiert werden sollen.
Tipp
Halten Sie die Taste Strg gedrückt, und klicken Sie mit der linken Maustaste, um mehrere Erweiterungen auszuwählen.
Emailadresse zur Benachrichtigung gesperrter Dateien (Datei Admin)
Die E-Mail-Adresse, an die bei jeder verarbeiteten E-Mail mit blockierten Anhängen eine Benachrichtigung gesendet wird.
Dateien mit doppelten Endungen blockieren
Aktivieren der Blockierung von Dateien mit doppelten Erweiterungen.
Hinweis
Bei Dateien mit doppelten Erweiterungen handelt es sich in der Regel um böswillige Dateien, die z. B. als harmlose Bilder oder
Dokumente getarnt sind. Wenn sie angeklickt werden, wird eine Anwendung ausgeführt, die eine Beschädigung des Computers oder
den Diebstahl persönlicher Daten zum Ziel hat. Eine Datei mit doppelter Erweiterung entspricht einer normalen Datei, wobei der Name
(z. B. image.jpg) von .com, .vbs .exe, .scr, .bat, .pif, .dll oder .cmd gefolgt ist (z. B. image.jpg.exe).
Es muss konfiguriert werden, für welche E-Mail-Domänen die lokalen Server jeweils zuständig sein sollen. Die entsprechende Liste der
Zuordnungen von Domänen und SMTP-Servern kann unter Menüleiste ‣ Proxy ‣ SMTP –> Eingehende Domains definiert werden.
Quarantäneeinstellungen
In diesem Bereich ist nur eine Option verfügbar:
Speicherzeit der Quarantäne (in Tagen)
Die Anzahl der Tage, die eine E-Mail in der Quarantäne auf der Panda GateDefender-Appliance gespeichert wird, bevor sie gelöscht
wird.
Tipp
Die in der Quarantäne gespeicherten E-Mails können über Mail Quarantäne unter Menüleiste ‣ Dienste ‣ Mail Quarantäne verwaltet
werden
Transparenten Proxy umgehen
Im letzten Bereich können folgende benutzerdefinierte Listen von Domänen definiert werden, für die der transparente Proxy deaktiviert
werden soll:
Transparenten Proxy von SUBNETZ/IP/MAC umgehen
Die Quellen für E-Mails, auf die der transparente Proxy nicht angewendet wird.
Transparenten Proxy nach SUBNET/IP umgehen
Auf E-Mails, die an diese Ziele gesendet werden, wird der transparente Proxy nicht angewendet.
Black- & Whitelisten
Auf dieser Seite befinden sich vier Bereiche: Drei Bereiche dienen der Definition verschiedener benutzerdefinierter Blacklists und
Whitelists und einer der Auswahl und Verwendung vorhandener RBLs.
Beispiele für Blacklist- und Whitelist-Einträge für Absender und Empfänger
Vollständige Domänen oder Unterdomänen und einzelne Adressen können auf folgende Weise in eine Blacklist oder Whitelist
aufgenommen werden:
Eine Domäne einschließlich ihrer Unterdomänen: example.com
Nur die Unterdomänen einer Domäne: beispiel.com
Eine einzelne Adresse: [email protected], [email protected]
Clients können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:
Eine Domäne oder IP-Adresse: beispiel.com, 10.10.121.101, 192.168.100.0/24
Akzeptierte Mails (Black & Whitelisten)
Im ersten Bereich kann eine beliebige Anzahl von Domänen, Unterdomänen oder einzelnen E-Mail-Adressen angegeben werden, die in
eine Blacklist oder Whitelist aufgenommen werden sollen. Dazu können für die entsprechende Blacklist oder Whitelist jeweils beliebig
viele Absender, Empfänger oder Clients in die folgenden Textbereiche eingegeben werden:
Whitelist Absender
Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das
E-Mail-Feld From:.
Blacklist Absender
Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das
E-Mail-Feld From:.
Whitelist Empfänger
Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-
Mail-Feld To:.
Blacklist Empfänger
Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-
Mail-Feld To:.
Whitelist Client
Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden akzeptiert.
Blacklist Client
Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden abgelehnt.
Echtzeit Blacklist (RBL)
Eine gängige Methode zum Blockieren von Spam-E-Mails sind die sogenannten RBLs. Ihre Verwendung kann im zweiten Bereich
konfiguriert werden. Die Listen werden von verschiedenen Organisationen erstellt, verwaltet und aktualisiert, deren Ziel das zügige
Erkennen und Blockieren neuer SMTP-Server ist, die für den Spamversand verwendet werden. E-Mails von Domänen oder IP-Adressen,
die in einer dieser Blacklists stehen, werden ohne jeden Hinweis abgelehnt. Die Verwendung von RBLs schont die Bandbreite, da
entsprechende E-Mails nicht angenommen und wie legitime E-Mails verarbeitet, sondern sofort verworfen werden, wenn die IP-Adresse
oder Domäne des Absenders in einer der Blacklists gefunden wird. Von der Panda GateDefender-Appliance werden zahlreiche IP-
basierte und domänenbasierte RBLs verwendet. Die Blacklists der einzelnen Kategorien können durch Klicken auf das Symbol
angezeigt werden. Gemeinsam aktiviert oder deaktiviert werden sie durch Klicken auf den roten bzw. grünen Pfeil ganz oben in der
Liste. Alternativ können sie auch einzeln aktiviert oder deaktiviert werden. Wird der Name einer Liste angeklickt, wird die Homepage der
Organisation aufgerufen, die diese Liste pflegt.
Warnung
Gelegentlich werden IP-Adressen oder Domänen von RBL-Betreibern irrtümlich aufgeführt. Dies kann die Kommunikation stören, da
auch legitime E-Mails von entsprechenden Domänen abgelehnt werden, ohne dass sie wiederhergestellt werden können. Da es keine
Möglichkeit gibt, direkten Einfluss auf die RBLs zu nehmen, müssen vor ihrer Verwendung die Richtlinien der Organisationen
berücksichtigt werden, die sie verwalten. Panda ist nicht für E-Mails verantwortlich, die bei der Verwendung von RBLs verloren gehen
könnten.
Folgende Blacklists sind u. a. installiert:
bl.spamcop.net
Eine Blacklist, die auf Beiträgen ihrer Nutzer beruht.
zen.spamhaus.org
Diese Liste ist der Nachfolger von „sbl-xbl.spamhaus.org“. Sie enthält die „Spamhaus Block List“, die „Exploits Block List“ und
die „Policy Block List“ von Spamhaus.
cbl.abuseat.org
Die CBL-Liste bezieht ihre Quelldaten von sehr großen Spamfallen. Es werden nur IP-Adressen aufgeführt, die spezifische
Eigenschaften unterschiedlicher offener Proxys (z. B. HTTP, SOCKS, AnalogX oder WinGate) aufweisen, die für das
Versenden von Spam, Würmern, Viren mit eigenem direkten E-Mail-Versand oder von manchen Arten von trojanischen
Pferden oder Stealth-Spamware missbraucht wurden. Die offenen Proxys werden dabei nicht überprüft.
[name].dnsbl.sorbs.net und rhsbl.dnsbl.sorbs.net
Von dieser Organisation werden mehrere Blacklists bereitgestellt (z. B. „safe“ oder „relays“ anstelle von [name]). Sie können
einzeln oder durch Aktivieren der Blacklist dsnbl.sorbs.net auch gemeinsam aktiviert werden.
uceprotect.net
Listen, in denen Domänen bekannter Spamquellen für höchstens sieben Tage aufbewahrt werden. Nach Ablauf dieses
Zeitraums werden sie aus den Listen ausgetragen. Bei wiederholten Verletzungen werden jedoch strengere Richtlinien
angewendet.
dsn.rfc-ignorant.org
Diese Liste enthält Domänen oder IP-Netzwerke, die nicht gemäß den RFC-Standards für das Internet administriert werden.
Hinweis
Die Website „rfc-ignorant.org“ hat am 30.11.2012 den Dienst eingestellt (siehe Ankündigung), aber ihre Arbeit wird unter http://www.rfc-
ignorant.de/ fortgeführt. Diese Arbeit hat bis jetzt (November 2013) jedoch noch nicht zu funktionierenden RBLs geführt.
Die RBLs werden in zwei Feldern gruppiert. Auf der linken Seite befinden sich IP-basierte RBLs, während sich auf der rechten Seite
domänenbasierte RBLs befinden. Klicken Sie zur Aktivierung aller RBLs in einem Feld auf das Symbol neben der Titelleiste des
Feldes (das Symbol wird zu ). Klicken Sie zur Aktivierung einzelner RBLs auf das Symbol neben dem jeweiligen Namen der RBL.
In diesem Fall wird das Symbol oder in der Titelleiste durch das Symbol ersetzt.
Greylisting für Spam
Im dritten Bereich können Whitelists für Greylisting erstellt werden, indem Empfänger, IP-Adressen oder Netzwerke in den folgenden
beiden Textbereichen eingetragen werden. Auf diese wird kein Greylisting angewendet:
Whitelist Empfänger
Alle E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden als
sicher angesehen. Von dort empfangene E-Mails werden nicht auf Spam überprüft.
Whitelist Client
Alle Adressen des Mailservers in diesem Textbereich werden als sicher betrachtet. E-Mails, die von dieser Serveradresse
gesendet wurden, werden nicht auf Spam überprüft.
Greylisting
Greylisting ist eine von MTAs verwendete Methode, mit der die Legitimität von E-Mails überprüft wird. Dabei wird eine E-Mail zunächst
abgelehnt und ihre erneute Zustellung abgewartet. Wird sie kein zweites Mal empfangen, wird der Absender als Spam-Quelle betrachtet.
Beim Greylisting wird davon ausgegangen, dass für den Massenversand verwendete Spam-Bots abgelehnte E-Mails nicht noch einmal
senden und nur legitime E-Mails ein zweites Mal gesendet werden.
Spam (Black- & Whitelists)
Im letzten Bereich werden die folgende Blacklist und die folgende Whitelist für den Spam-Filter explizit definiert:
Whitelist Absender
Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden in die
Whitelist aufgenommen. Sie werden nicht als Absender von Spam erkannt.
Blacklist Absender
Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden in die
Blacklist aufgenommen. Sie werden immer als Absender von Spam klassifiziert.
Eingehende Domains
Wenn eingehende E-Mails aktiviert wurden, können von Clients, die sich außerhalb der ROTEN Schnittstelle befinden, E-Mails über
einen lokalen SMTP-Server gesendet werden. Sollen zu sendende E-Mails an einen Mailserver hinter der Panda GateDefender-
Appliance (typischerweise in der ORANGEN Zone) weitergeleitet werden, muss angegeben werden, an welchen Mailserver die
Weiterleitung der eingehenden E-Mails erfolgen soll und welche Domänen vom SMTP-Proxy akzeptiert werden. Dabei können mehrere
Mailserver hinter der Panda GateDefender-Appliance für jeweils unterschiedliche Domänen angegeben werden.
Auf der Seite wird ggf. eine Liste von Domänen mit den jeweils zuständigen Mailservern angezeigt. Durch Klicken auf die Schaltfläche
Eine Domain hinzufügen kann eine neue Domäne hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die
Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:
Domäne
Die Domäne, für die dieser Mailserver zuständig ist.
Mailserver IP
Die IP-Adresse des Mailservers.
Der neu erstellte Eintrag wird unten in der Liste angezeigt. Die für jede Domäne verfügbaren Aktionen sind:
– Eigenschaften der Domäne ändern
– Domäne entfernen
Warnung
Sie werden nach dem Klicken auf das Symbol nicht zur Bestätigung aufgefordert. Die Domäne wird sofort entfernt.
Domainrouting
Die Seite zeigt eine Liste von Domänen zusammen mit zuständigen Smarthost für die E-Mail-Zustellung an oder den E-Mail-Empfang
von diesen Domänen. Die Informationen in der Liste sind dieselben, die beim Hinzufügen einer neuen Domäne bereitgestellt werden
müssen. Folgende Aktionen sind verfügbar:
– Domainrouting ändern
– Domainrouting entfernen
Durch Klicken auf die Schaltfläche Eine neue Domainroute hinzufügen kann eine neue Domainroute hinzugefügt werden. Daraufhin wird
ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden
Optionen:
Richtung
Legen Sie fest, ob die Richtlinie für die mit dem Sender oder dem Empfänger verbundene Domäne gelten soll.
Domäne
Die Domäne, für die dieser Mailserver zuständig ist.
Ausgehende Adresse
Die Schnittstelle oder IP-Adresse des Uplinks, durch den die E-Mails gesendet werden, auswählbar aus dem Dropdown-
Menü. Wird dieses Feld leer gelassen, legt der Smarthost den zu verwendenden Uplink und die IP-Adresse fest.
Smarthost
Durch Aktivieren dieses Kontrollkästchens werden eine oder mehrere Optionen zum Überschreiben des Smarthost des
Systems durch einen externen Smarthost angezeigt. Die Optionen entsprechen denen unter Smarthost-Konfiguration weiter
unten.
Regelpriorität
Nehmen Sie an, Sie haben zwei Regeln für das Domainrouting erstellt: Eine mit der Domäne „mydomain.com“ als Sender und dem
Uplink main als Route und eine zweite mit der Domäne „example.org“ als Empfänger und dem Uplink secondary als Route. Was passiert
mit einer E-Mail, die vom Server „foo.mydomain.com“ an einen Benutzer auf „bar.example.org“ gesendet wird? Die Antwort liegt in der
Verarbeitung der Regeln zum Senden der E-Mails durch das MTA Postfix der Panda GateDefender-Appliance. Zunächst werden alle
Regeln gelesen, welche die Quellen betreffen, dann die der Empfänger. Daher wird die von „foo.mydomain.com“ an
„bar.myexample.org“ gesendete E-Mail durch den Uplink secondary geroutet.
Mailrouting
Mithilfe dieser Option können BCCs von E-Mails an eine angegebene Adresse gesendet werden. Sie wird auf alle E-Mails angewendet,
die entweder von einer bestimmten Absenderadresse oder an einem bestimmten Empfänger gesendet wurden. Die Liste zeigt die
Richtung, die Adresse, und falls vorhanden die BCC-Adresse, sowie die verfügbaren Aktionen:
– Mailrouting ändern
– Mailrouting entfernen
Durch Klicken auf die Schaltfläche Eine Mailroute hinzufügen kann eine neue Mailroute hinzugefügt werden. Im daraufhin geöffneten
Formular können die folgenden Optionen konfiguriert werden:
Richtung
Auswahl aus einem Dropdown-Menü, ob die Mailroute für einen E-Mail-Absender oder E-Mail-Empfänger definiert werden
soll.
Mailadresse
Je nach ausgewählter Richtung die E-Mail-Adresse des Absenders oder Empfängers, auf den die Route angewendet werden
soll.
BCC Adresse
Die E-Mail-Adresse, an die Kopien der E-Mails gesendet werden sollen.
Warnung
Absender und Empfänger werden nicht darüber benachrichtigt, dass eine Kopie an einen Dritten gesendet wird. In den meisten Ländern
ist es hochgradig illegal, private Nachrichten anderer mitzulesen. Daher darf diese Funktion nicht zweckentfremdet und keinesfalls
missbraucht werden.
Erweitert
Die letzte Konfigurationsseite für den SMTP-Proxy enthält Optionen für erweiterte Einstellungen. Diese sind in vier Bereichen gruppiert,
die durch Klicken auf die Symbole und links neben den Bereichstiteln ein- oder ausgeblendet werden können.
Smarthost Konfiguration
Im ersten Bereich kann ein Smarthost aktiviert und konfiguriert werden. Verfügt der SMTP-Server über eine dynamische IP-Adresse, z. B.
bei einer ISDN- oder DSL-Einwahlverbindung, können Probleme beim Senden von E-Mails an andere Mailserver auftreten. Die IP-
Adresse kann in einer RBL aufgeführt sein (siehe weiter oben unter Black- und Whitelists), wodurch gesendete E-Mails von Remote-
Mailservern möglicherweise abgelehnt werden. Dadurch wird es erforderlich, für den E-Mail-Versand einen Smarthost zu verwenden.
Smarthost für Zustellung
Durch Aktivieren dieses Kontrollkästchens wird für die Zustellung von E-Mails ein Smarthost aktiviert, und es werden weitere
Optionen angezeigt.
Smarthost Adresse
Die IP-Adresse oder der Hostname des Smarthost
Smarthost Port
Der Port, der vom Smarthost abgehört wird. Der Standardport ist 25.
Smarthost Authentifizierung
Dieses Kontrollkästchen muss aktiviert werden, wenn für den Smarthost eine Authentifizierung erforderlich ist. In diesem Fall
werden die drei nachfolgenden Zusatzoptionen angezeigt.
Smarthost Benutzername
Der Benutzername für die Authentifizierung beim Smarthost.
Smarthost Passwort
Das Passwort für die Authentifizierung beim Smarthost.
Authentifizerungsmethode auswählen
Die erforderlichen Authentifizierungsmethoden für den Smarthost. Unterstützt werden PLAIN, LOGIN, CRAM-MD5 und
DIGEST-MD5. Bei gedrückter Taste STRG kann durch Anklicken der gewünschten Methoden eine Mehrfachauswahl
getroffen werden.
Hinweis
Kurz zusammengefasst ist ein Smarthost ein Mailserver, der vom SMTP-Proxy als ausgehender SMTP-Server verwendet wird. Der
Smarthost muss die E-Mails annehmen und vermittelt sie dann. In der Regel wird als Smarthost der providereigene SMTP-Server
verwendet, da von diesem die E-Mails zur Vermittlung angenommen werden, was bei anderen Mailservern nicht der Fall ist.
IMAP Server für die SMTP Authentifizierung
Dieser Bereich enthält Konfigurationsoptionen für den IMAP-Server, der beim Senden von E-Mails zur Authentifizierung verwendet
werden soll. Die Einstellungen sind besonders wichtig für eingehende SMTP-Verbindungen, die aus der ROTEN Zone geöffnet werden.
Die folgenden Einstellungen können konfiguriert werden:
SMTP Authentifizierung
Durch Aktivieren dieses Kontrollkästchens wird die IMAP-Authentifizierung aktiviert, und es werden weitere Optionen
angezeigt.
Anzahl der Authentifikations Daemons wählen
Die Anzahl der gleichzeitig möglichen Anmeldungen über die Panda GateDefender-Appliance.
IMAP Authentifierungsserver
Die IP-Adresse des IMAP-Servers
IMAP Authentifizierungsport
Der Port, der vom IMAP-Server abgehört wird. Der Standardport ist 143 (einfaches IMAP) bzw. 993 (IMAP über SSL).
Mailserver-Einstellungen
In diesem Bereich können die folgenden zusätzlichen Parameter des SMTP-Servers definiert werden:
SMTP HELO
Wenn dieses Kontrollkästchen aktiviert ist, muss von Clients, von denen eine Verbindung hergestellt wird, zu Beginn einer
SMTP-Sitzung ein HELO-Befehl (oder EHLO-Befehl) gesendet werden.
Ungültiger Hostname
Clients, von denen eine Verbindung hergestellt wird, werden abgewiesen, wenn durch ihre HELO- oder EHLO-Parameter ein
ungültiger Hostname übermittelt wird.
SMTP HELO Name
Der Hostname, der mit dem HELO- oder EHLO-Befehl gesendet werden soll. Der Standardwert ist die ROTE IP-Adresse. Es
kann aber auch eine benutzerdefinierte IP-Adresse oder ein benutzerdefinierter Hostname angegeben werden.
Immer BCC an Adresse
Eine E-Mail-Adresse, an die BCCs aller Nachrichten gesendet werden, die den SMTP-Proxy passieren.
Sprache für die Mailvorlage auswählen
Die Sprache, in der die Fehlermeldungen versendet werden sollen. Möglich sind: Englisch, Deutsch, Italienisch und
Japanisch.
Empfängeradresse überprüfen
Aktivieren der Überprüfung auf gültige Empfänger-Adressen vor dem Senden von Nachrichten.
Limite für schwerwiegende Fehler auswählen
Die maximale Anzahl von Fehlern, die von einem Remote-SMTP-Client erzeugt werden darf, ohne dass eine E-Mail
übermittelt wird. Wird dieses Limit überschritten, wird die Verbindung vom SMTP-Proxyserver getrennt. Der Standardwert
beträgt 20.
Maximalgröße des Email-Inhaltes auswählen
Die maximal zulässige Größe für einzelne E-Mails. Mehrere vordefinierte Werte können aus den Dropdown-Menü ausgewählt
werden. Durch Auswählen der Option Benutzerdefinierte Größe des E-Mail-Inhalts wird die nächste Option angezeigt.
Benutzerdefinierte Maximalgröße des Email-Inhaltes (in KB)
Die maximale E-Mail-Größe in Megabyte, die vom SMTP-Server akzeptiert wird.
DSN in Zonen aktivieren
Wählen Sie aus den verfügbaren Zonen diejenigen aus, die eine Unzustellbarkeitsnachricht (d. h. eine DSN-Nachricht) für
nicht zustellbare E-Mails oder nicht korrekt versendbare E-Mails senden. Anders gesagt ist es nur möglich,
Zustellungsbenachrichtigungen für E-Mails von den hier ausgewählten Zonen zu erhalten.
HELO/EHLO und Hostname
Von fast allen Mailservern wird verlangt, dass durch Clients, von denen über SMTP eine Verbindung hergestellt wird, eine entsprechende
Ankündigung mit einem gültigen Hostnamen im HELO/EHLO erfolgt. Anderenfalls wird die Verbindung getrennt. Von der Panda
GateDefender-Appliance wird jedoch zur Ankündigung bei fremden Mailservern ein eigener Hostname verwendet, der im globalen DNS
nicht immer öffentlich gültig ist.
In einem solchen Fall kann unter Menüleiste ‣ Proxy ‣ SMTP ‣ Erweitert ‣ Mailserver Einstellungen ‣ SMTP HELO Name ein anderer
benutzerdefinierter Hostname konfiguriert werden, der vom Remote-Mailserver verstanden werden kann.
Anstelle eines benutzerdefinierten Hostnamens kann auch eine numerische IP-Adresse in Klammern angegeben werden (z. B.
[192.192.192.192]). Dabei sollte es sich um die ROTE IP-Adresse handeln.
Spamabwehr
Im letzten Bereich können zusätzliche Parameter für den Spam-Filter definiert werden, indem eines oder mehrere der folgenden vier
Kontrollkästchen aktiviert werden:
Ungültiger Empfänger
Eine Anforderung wird zurückgewiesen, wenn die Adresse für RCPT TO kein FQDN-Format aufweist, wie durch RFC 821
verlangt.
Ungültiger Absender
Ein Client, von dem eine Verbindung hergestellt wird, wird zurückgewiesen, wenn es sich bei dem Hostnamen, der mit dem
HELO- oder EHLO-Befehl übermittelt wird, nicht um einen FQDN handelt, wie durch RFC 821 verlangt.
Unbekannte Empfänger-Domain
Eine Verbindung wird abgewiesen, wenn für die Domäne der Empfängeradresse kein A-Eintrag oder MX-Eintrag im DNS
vorhanden ist.
unbekannter Absender
Eine Verbindung wird abgewiesen, wenn für die Domäne der Absenderadresse kein A-Eintrag oder MX-Eintrag im DNS
vorhanden ist.
Fehlerbehebung für den SMTP-Proxy
Wird in der Protokolldatei die Meldung „Mail for xxx loops back to myself“ angezeigt, deutet dies auf eine Fehlkonfiguration beim
benutzerdefinierten SMTP-HELO-Namen in der Appliance hin. Dieser ist identisch mit dem Hostnamen des internen Mailservers, an den
eingehende E-Mails weitergeleitet werden sollen.
In diesem Fall enthält die SMTP-Verbindung, die vom internen Mailserver empfangen wird, einen Hostnamen (den aus der HELO-Zeile
der SMTP-Proxyeinstellung), der mit dem Hostnamen des internen Mailservers identisch ist. Daher wird vom internen Mailserver
angenommen, dass von ihm dieselbe E-Mail gesendet und empfangen wird, wodurch diese Fehlermeldung verursacht wird.
Die folgenden Lösungen sind möglich:
Ändern des Hostnamens des internen Mailservers.
Erstellen eines neuen, öffentlich gültigen A-Eintrags in der DNS-Zone, durch den auch auf die Panda
GateDefender-Appliance verwiesen wird, und Verwenden des entsprechenden Hostnamens als HELO-Zeile
im SMTP-Proxy.
Verwenden der numerischen IP-Adresse des Uplinks als HELO-Zeile.
Antispam
Diese Seite enthält Konfigurationseinstellungen für die Anti-Spam-Engine. Folgende Optionen können konfiguriert werden:
Commtouch aktivieren
Aktiviert die Anti-Spam-Engine von Commtouch. Diese Option ist nur verfügbar, wenn Commtouch auf der
Panda GateDefender-Appliance installiert ist.
Mit Spamassassin kurzschließen
Durch Aktivieren dieses Kontrollkästchens wird SpamAssassin übergangen, wenn von Commtouch eine Nachricht als Spam
markiert wird.
IPs/Netzwerke ignorieren
Definieren von IP-Adressen und Netzwerken, die nicht von Commtouch überprüft werden sollen.
Im Abschnitt „Spam Kennzeichnungsstufe“ können die folgenden Optionen konfiguriert werden: Die gültigen Werte für jede Option liegen
zwischen einschließlich -10 und 10.
BESTÄTIGT
Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Spam erkannt.
BULK
Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Massensendungen identifiziert.
SUSPEKT
Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden unter Spamverdacht gestellt.
UNBEKANNT
E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden als unbekannt eingestuft.
KEIN SPAM
E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden nicht als Spam eingestuft.
DNS
Beim DNS-Proxy handelt es sich um einen Proxyserver, von dem DNS-Anfragen abgefangen und beantwortet werden, ohne dass zum
Auflösen einer IP-Adresse oder eines Hostnamen ein Remote-DNS-Server kontaktiert werden muss. Wenn eine Abfrage häufig
wiederholt wird, kann das Zwischenspeichern der Ergebnisse die Leistung merklich steigern. Die verfügbaren Einstellungen für den DNS-
Proxy sind auf drei Registerkarten gruppiert.
DNS-Proxy
Auf dieser Seite können einige Optionen für den DNS-Proxy konfiguriert werden.
Transparent auf Grün, Transparent auf Blau, Transparent auf Orange
Aktiviert dem DNS-Proxy als transparent für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt,
wenn die entsprechende Zone aktiviert ist.
Bestimmte Quellen und Ziele, für die der Proxy umgangen werden soll, können durch Eingeben ihrer Werte in die zwei Textbereiche
eingerichtet werden.
Quellen, die den transparenten Proxy umgehen dürfen
Ermöglicht, das Quellen unter den entsprechenden Textfeldern vom DNS-Scan ausgenommen zu werden. Die Quellen
können in Form von IP-Adressen, Netzwerken oder MAC-Adressen angegeben werden.
Ziele, zu welchen der transparente Proxy umgangen wird
Lässt Ziele unter dem jeweiligen Textfeld zu, die nicht vom DNS-Proxy überprüft werden sollen. Die Ziele können in Form von
IP-Adressen oder Netzwerken angegeben werden.
DNS-Routing
Diese Seite ermöglicht die Verwaltung benutzerdefinierter Paare von Domänen und Nameservern. Kurz gesagt: Wenn eine Subdomäne
von einer Domäne abgefragt wird, wird der entsprechende Nameserver in der Liste verwendet, um die Domäne in die korrekte IP-
Adresse aufzulösen.
Eine neue Kombination von Domäne und Nameserver kann durch Klicken auf den Link Einen neuen benutzerdefinierten Nameserver für
eine Domain hinzufügen hinzugefügt werden. Dabei können Werte für die folgenden verfügbaren Optionen eingegeben werden:
Domäne
Die Domäne, für die der benutzerdefinierte Nameserver verwendet werden soll.
DNS Server
Die IP-Adresse des Nameservers.
Anmerkung
Ein zusätzlicher Kommentar
Für jede Domäne in der Liste können folgende Aktionen ausgeführt werden:
– Regel bearbeiten
– Regel löschen
Anti-Spyware
Auf dieser Seite werden Konfigurationsoptionen angezeigt, durch die bestimmt wird, wie von der Panda GateDefender-Appliance auf
Anforderungen zur Namensauflösung reagiert werden soll, wenn die angeforderte Domäne als Verteiler von Spyware oder als Phishing-
Seite bekannt ist. Folgende Optionen können festgelegt werden:
Aktiviert
Die Anforderungen werden an den Localhost umgeleitet. Der Remotestandort wird also nicht kontaktiert und ist nicht
erreichbar.
Erlaubte Domains
Menü „VPN“
105
Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste nicht als Spyware-Ziele behandelt werden.
Blacklist Domains
Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste immer als Spyware-Ziele behandelt werden.
Spyware Domainlisten Updateintervall
Die Aktualisierungshäufigkeit für die Spyware-Domänenlisten. Die möglichen Optionen sind Täglich, Wöchentlich und
Monatlich. Der genaue Zeitpunkt der Aktualisierung wird angezeigt, wenn der Mauszeiger über das entsprechende
Fragezeichen geführt wird.
Tipp
Zum Herunterladen aktualisierter Signaturen muss Ihr System in der Panda Perimetral Management Console registriert sein.
Menü „VPN“ Menü „VPN“
OpenVPN Server
o Serverkonfiguration
OpenVPN Client (Gw2Gw)
IPSec
o IPSec
o L2TP
Authentifizierung
o Benutzer
o Gruppen
o Einstellungen
Zertifikate
o Zertifikate
o Zertifizierungsstelle
o Gesperrte Zertifikate
o Zertifikatssperrliste (CRL)
Mit VPN können zwei lokale Netzwerke über unsichere Netzwerke wie das Internet direkt miteinander verbunden werden. Der gesamte
Datenverkehr über die VPN-Verbindung wird innerhalb eines verschlüsselten Tunnels übertragen und vor unerwünschtem Zugriff
geschützt. Solche Konfigurationen werden Gateway-zu-Gateway-VPN oder kurz Gw2Gw-VPN genannt. Ebenso kann ein einzelner
externer Computer einen VPN-Tunnel nutzen, um sich mit einem lokalen vertrauenswürdigen LAN zu verbinden. Wenn der VPN-Tunnel
aktiv ist, scheint der externe Computer – auch Road Warrior genannt – direkt mit dem vertrauenswürdigen LAN verbunden zu sein.
Die Panda GateDefender-Appliance unterstützt die Erstellung von VPNs entweder basierend auf dem Protokoll IPsec, das von den
meisten Betriebssystemen und Netzwerkgeräten unterstützt wird, oder über den Dienst OpenVPN.
Die Panda GateDefender-Appliance kann entweder als OpenVPN-Server oder als Client eingerichtet werden. Sie kann sogar beide
Rollen zur gleichen Zeit übernehmen, um ein Netzwerk von Anwendungen zu erstellen, die über OpenVPN verbunden sind. Folgende
Menüelemente stehen im Untermenü zur Verfügung:
OpenVPN-Server – Richten Sie den OpenVPN-Server so ein, dass die Clients (sowohl Road-Warriors als auch andere
Panda-GateDefender-Hilfsmittel in einer Gateway-zu-Gateway-Einstellung) eine Verbindung zu einer der lokalen Zonen
herstellen können.
OpenVPN Client (Gw2Gw) – Client-seitige Einrichtung eines Gateway-to-Gateway-Setups zwischen zwei oder mehr Panda
GateDefender-Appliances.
IPsec/L2TP – Richten Sie IPsec-basierte VPN-Tunnel und L2TP-Verbindungen ein.
Authentifizierung – Verwaltung der Benutzer von VPN-Verbindungen.
Zertifikate – Verwalten der Zertifikate, die für die VPN-Verbindungen verwendet werden sollen.
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
OpenVPN-Server
Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert
und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.
Beginnend mit Version 5.50 ermöglicht der auf der Panda GateDefender-Appliance bereitgestellte OpenVPN-Server die gleichzeitige
Präsenz mehrerer Instanzen. Jeder Server überwacht einen anderen Port, sodass nur eingehende Verbindungen über diesen Port
akzeptiert werden. Darüber hinaus kann, falls die Hardware, auf der die Panda GateDefender-Appliance installiert wird, mehrere CPU-
Kerne besitzt, jeder Instanz mehr als eine CPU zugewiesen werden. Das resultiert in einer Erhöhung des Durchsatzes und der
Datenverarbeitung dieser Instanz. Es ist auch möglich, mehrere Instanzen von OpenVPN auf einem Gerät mit Einzelkern-CPU
auszuführen, wobei diese dann jedoch die gesamte Last aller Instanzen trägt.
Serverkonfiguration
Diese Seite enthält den Schalter OpenVPN Server aktivieren , der den OpenVPN-Server und alle damit verbundenen Dienste (z. B. die
VPN-Firewall) durch Anklicken startet. Unterhalb befindet sich das Feld OpenVPN Einstellungen, in dem einige globale Einstellungen
festgelegt werden können. Rechts unterhalb ermöglicht es ein Link, neue Serverinstanzen zu definieren, während am unteren Rand der
Seite eine Liste der verfügbaren laufenden VPN-Server der Panda GateDefender-Appliance angezeigt werden, falls solche bereits
definiert wurden. Die Liste enthält die folgenden Daten über jede definierte Instanz eines OpenVPN-Servers: Name, Anmerkung und
Details zur Konfiguration wie: der überwachte Port, das Protokoll sowie der Geräte- und Netzwerktyp. Schließlich stehen folgende
Aktionen zur Verfügung:
– Der Server ist aktiv oder angehalten.
– Ändern der Serverkonfiguration.
– Entfernen der Konfiguration und des Servers.
Hinweis
Beim ersten Start des OpenVPN-Servers werden die Root- und Hostzertifikate automatisch generiert.
OpenVPN-Einstellungen
Das Feld im oberen Bereich zeigt die aktuellen OpenVPN-Einstellungen zur Authentifizierungsmethode. Diese sind:
Authentifizierungstyp:
Es gibt drei verfügbare Authentifizierungsmethoden, um Clients mit dem OpenVPN-Server zu verbinden, der auf der Panda
GateDefender-Appliance ausgeführt wird:
PSK (Benutzername und Passwort): Die Verbindung wird hergestellt, nachdem ein korrekter Benutzername und ein
Passwort angegeben wurden.
X.509 Zertifikat: Ein gültiges Zertifikat wird nur zur Verbindungsherstellung benötigt.
X.509 Zertifikat & PSK (Zweifaktor): Neben einem gültigen Zertifikat werden Benutzername und Passwörter benötigt.
Warnung
Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den
OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen.
Die Standardmethode der Panda GateDefender-Appliance ist PSK (Benutzername/Passwort): Der Client wird anhand des
Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden
Methoden werden nachfolgend beschrieben.
Zertifikatskonfiguration:
Dieses Dropdown-Menü wird verwendet, um die Erstellungsmethode eines neuen Zertifikats auszuwählen. Folgende Optionen sind
verfügbar:
Erzeuge ein neues Zertifikat: Erstellung eines komplett neuen Zertifikats. Diese Option ist nur verfügbar, wenn noch kein
Hostzertifikat generiert wurde. Ein Formular öffnet sich, in dem alle notwendigen Informationen zur Erstellung eines neuen Zertifikats
angegeben werden können. Diese sind dieselben wie im Editor zur Erzeugung neuer Zertifikate mit zwei kleineren Änderungen:
Trivialname wird zu Hostname des Systems, und Name der Organisational Unit wird zu Abteilungsname.
Ausgewähltes Zertifikat verwenden: Wählen Sie eines der verfügbaren Zertifikate aus, das im Dropdown-Menü auf der rechten Seite
angezeigt wird. Es ist möglich, sämtliche Details des Zertifikats durch Klicken auf den Hyperlink Details anzeigen anzuzeigen.
Tipp
Der Name des ausgewählten Zertifikats wird rechts über dem Hyperlink angezeigt.
Ein bestehendes Zertifikat verwenden: In einem zweiten Dropdown-Menü auf der linken Seite können Sie ein bereits erstelltes und in
der Panda GateDefender-Appliance gespeichertes Zertifikat auswählen.
Ein Zertifikat hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, ein
bestehendes Zertifikat von der Workstation aus auszuwählen und hochzuladen. Das Passwort für das Zertifikat kann, falls
erforderlich, in das Textfeld auf der rechten Seite eingegeben werden.
Anfrage zum Signieren eines Zertifikats (CSR) hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des
Dropdown-Menüs ist es möglich, eine bestehende Zertifizierungsanforderung von der Workstation auszuwählen und hochzuladen.
Die Gültigkeit des Zertifikats in Tagen kann in das Textfeld auf der rechten Seite eingegeben werden.
OpenVPN Server Instanzen
Die Liste der bereits definierten OpenVPN-Instanzen wird in diesem Bereich angezeigt, über dem sich der Hyperlink Neue OpenVPN
Server Instanz hinzufügen befindet. Durch Klicken auf diesen Link wird ein Editor geöffnet, in dem alle notwendigen Konfigurationswerte
für die neue VPN-Instanz angegeben werden können.
Hinweis
Falls die Anzahl der OpenVPN-Instanzen größer ist als die der Kerne ist, zeigt ein gelber Hinweis an, dass die Leistung verringert sein
kann.
Im Editor werden folgende Konfigurationsoptionen angezeigt:
Name
Der Name der OpenVPN-Serverinstanz.
Anmerkung
Ein Kommentar für diese Instanz.
Antworte nur auf
Die IP-Adresse, welche die Instanz überwachen soll.
Port
Der Port, auf dem die Instanz auf eingehende Verbindungen wartet.
Gerätetyp
Das für die Instanz verwendete Gerät, das aus dem Dropdown-Menü ausgewählt werden kann (TUN und TAP). TUN-Geräte
erfordern, dass der Datenverkehr geroutet wird. Daher ist die untere Option Gebridget nicht für TUN-Geräte verfügbar.
Protokoll
Das verwendete Protokoll, das aus dem Dropdown-Menü ausgewählt werden kann (TCP und UDP).
Gebridget
Aktivieren Sie diese Option, um den Server gebridget zu betreiben, d. h. innerhalb einer der vorhandenen Zonen.
Hinweis
Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In
diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw.
bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist,
übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.
VPN Subnetz
Diese Option ist nur verfügbar, wenn der gebridgete Modus deaktiviert ist. Mithilfe dieser Option kann der OpenVPN-Server in
seinem eigenen dedizierten Subnetz ausgeführt werden, das im Textfeld festgelegt werden kann. Es sollte sich von den
Subnetzen der anderen Zonen unterscheiden.
Bridge zu
Die Zone, an die der OpenVPN-Server gebrigdet werden soll. Es werden nur die verfügbaren Zonen im Dropdown-Menü
angezeigt.
Startadresse des dynamischen IP Pool
Die erstmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.
Endadresse des dynamischen IP Pool
Die letztmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.
Gerouteter und gebridgeter OpenVPN-Server, statisch und dynamisch.
Bei der Konfiguration eines Pools von IP-Adressen, die für OpenVPN-Clients reserviert sind, ist es notwendig einige Richtlinien zu
beachten, die helfen, sowohl zukünftige Fehlfunktionen zu vermeiden als auch ein saubereres und einfaches Design einzurichten.
Bevor Sie mit der Konfiguration des Servers beginnen, gilt es eine goldene Regel bei der Implementierung einer Architektur mit VPN-
Multikern zu beachten: Unabhängig vom verwendeten gebridgeten oder gerouteten Modus für eine VPN-Serverinstanz mit Multikern
erfolgt keine Reservierung statischer IP-Adressen. Mit anderen Worten: Ein Client, der sich mit diesem VPN-Server verbindet, erhält eine
dynamische IP-Adresse, auch wenn diesem eine statische IP-Adresse zugewiesen wurde.
Zunächst ist festzulegen, ob der OpenVPN-Server im gerouteten oder gebridgeten Modus arbeiten soll. Im ersten Fall ist es notwendig,
ein passendes VPN-Subnetz festzulegen, das IP-Adressen für die Clients bereitstellt. Der Datenverkehr über dieses Subnetz muss
gegebenenfalls unter Verwendung der VPN-Firewall gefiltert werden. Im zweiten Fall betrachtet der OpenVPN-Server Clients ab der
Verbindung als physisch mit dieser Zone verbunden, d. h. der Server bridget den Client zu einer der Zonen. In diesem Fall muss ein Pool
von IP-Adressen innerhalb dieser Zone unter Verwendung der zwei Optionen definiert werden, die direkt vor diesem Feld angezeigt
werden. Dieser Pool muss vollständig im Subnetz der Zone enthalten und kleiner als diese sein. Es ist außerdem wichtig, sich zu
vergewissern, dass dieser Pool keine Konflikte mit anderen Pools verursacht, die in dieser Zone definiert sind, wie z. B. ein DHCP-
Server.
In einem gebridgeten OpenVPN-Server ist es möglich, einigen (oder sogar allen) Benutzern eine statische IP-Adresse zuzuweisen. In
diesem Fall ist es sinnvoll, dass diese statischen IP-Adressen zu keinem definierten IP-Pool innerhalb der Zone gehören, um
Adressenkonflikte und falsches Routing zu vermeiden. Der Datenverkehr mit diesem bestimmten Client kann dann unter Verwendung
des VPN (oder IPsec)-Benutzers als Quelle oder Ziel des Datenverkehrs in den Firewall-Regeln gefiltert werden.
Im Feld Erweiterte Einstellungen können zusätzliche Optionen konfiguriert werden.
Anzahl der Kerne
Dieses Dropdown-Menü ermöglicht es, die Anzahl der CPUs der Panda GateDefender-Appliance festzulegen, die von der
Instanz verwendet werden. Daher können sich die Optionen in diesem Dropdown-Menü unterscheiden.
Mehrere Verbindungen von einem Benutzer zulassen:
In der Regel kann eine Client-Verbindung jeweils nur von einem Standort aus hergestellt werden. Diese Option ermöglicht die
Anmeldung mehrerer Clients von verschiedenen Standorten aus. Die VPN-Firewall-Regeln treffen nicht mehr zu, wenn für
einen Client mehrere Verbindungen bestehen.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie dieses Kontrollkästchen, wenn DHCP-Antworten, die Konflikte mit dem lokalen DHCP-Server hervorrufen, aus
dem LAN auf der anderen Seite des VPN-Tunnels empfangen werden.
Client-to-Client-Verbindungen
Wählen Sie in diesem Dropdown-Menü die Modalitäten der Kommunikation zwischen den Clients und dem OpenVPN-Server aus:
Nicht erlaubt: Die Clients können nicht miteinander kommunizieren.
Direkte Verbindungen zulassen: Die Clients können sich verbinden. Diese Option steht nur bei CPUs mit Einzelkern zur
Verfügung.
Verbindungen in der VPN-Firewall filtern: Die Clients können miteinander kommunizieren, aber ihr Datenverkehr wird
durch die VPN-Firewall geregelt.
Diese Nameserver pushen
Durch Aktivieren dieses Kontrollkästchens wird der im darunter befindlichen Textfeld angegebene Nameserver beim
Verbinden an die Clients gesendet.
Nameserver:
Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige
Kontrollkästchen aktiviert wurde.
Diese Netzwerke pushen
Durch Aktivieren dieses Kontrollkästchens werden die Routen zu den im unteren Textfeld definierten Netzwerken an die
verbundenen Clients gesendet.
Netzwerke
Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige
Kontrollkästchen aktiviert wurde.
Diese Domäne pushen:
Durch Aktivieren dieses Kontrollkästchens wird die im Textfeld auf der rechten Seite festgelegte Suchdomäne zu denen der
verbundenen Clients hinzugefügt.
Domäne
Die Domäne, die zur Identifikation der Server und Netzwerkressourcen im VPN-Netzwerk verwendet wird (d. h. die
Suchdomäne).
Hinweis
Die Optionen Diese Nameserver pushen und Diese Domäne pushen funktionieren nur bei Clients, die Microsoft Windows als
Betriebssystem verwenden.
Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat für diesen OpenVPN Server erzeugt. Dieser Vorgang kann
einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen
heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden
sollen. Anderenfalls können die Clients nicht auf den Server zugreifen.
Nachdem der Server eingerichtet wurde, ist es möglich, Konten für die Clients zu erstellen und zu konfigurieren, die sich mit der Panda
GateDefender-Appliance auf der Registerkarte Authentifizierung verbinden können.
Aktiviert
Durch Aktivieren dieses Kontrollkästchens wird der Start des OpenVPN-Servers definiert.
Fehlerbehebung für VPN-Verbindungen
Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird
es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1.450 Byte, um
Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1.500 Byte liegt, zu verhindern. Einige
Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und
Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen
werden können). Sie können diesen Wert durch Zugriff auf die Panda GateDefender-Appliance über die Kommandozeilenschnittstelle
(CLI) anhand der folgenden Richtlinien ändern:
1. Notieren Sie den vom Internetdienstanbieter verwendeten MTU-Wert (siehe untenstehenden Link).
2. Öffnen Sie die Befehlszeilenschnittstelle entweder über eine Shell oder über Menüleiste ‣ System ‣ Web Konsole an.
3. Bearbeiten Sie die OpenVPN-Vorlage mit einem Editor Ihrer Wahl: nano/etc/openvpn/openvpn.conf.tmpl.
4. Suchen Sie nach der Zeichenkette mssfix 1450.
5. Ersetzen Sie 1450 durch einen niedrigeren Wert (z. B. 1200).
6. Starten Sie OpenVPN durch folgende Eingabe neu: jobcontrol restart openvpnjob.
Siehe auch
Weitere Informationen zum MTU-Wert:
OpenVPN-Client (Gw2Gw)
Auf dieser Seite wird eine Liste der Verbindungen der Panda GateDefender-Appliance als OpenVPN-Clients angezeigt, d. h. alle
getunnelten Verbindungen zu Remote-OpenVPN-Servern. Für jede Verbindung werden in der Liste folgende Informationen angezeigt:
Status, Name, zusätzliche Optionen, eine Anmerkung sowie verfügbare Aktionen:
– Der Server ist aktiv oder angehalten.
– Ändern der Serverkonfiguration.
– Entfernen der Konfiguration und des Servers.
Wenn die Verbindung deaktiviert ist, wird der Status beendet angezeigt. Dahingegen wird bei aktivierter Verbindung der Status aufgebaut
und Verbindung wird hergestellt... angezeigt, wenn die Verbindung aufgebaut wird. Zu den verfügbaren Aktionen gehören außer dem
Aktivieren und Deaktivieren von Verbindungen auch das Bearbeiten oder Löschen von Verbindungen. Im ersteren Fall wird dasselbe
Formular wie beim Hinzufügen einer Verbindung (siehe unten) geöffnet, in dem Sie die aktuellen Einstellungen anzeigen und
modifizieren können. Im letzteren Fall können Sie ausschließlich die zuvor erwähnten modifizierten Einstellungen von der
Panda GateDefender-Appliance löschen.
Die Erstellung neuer OpenVPN-Client-Verbindungen ist unkompliziert und kann auf zwei Arten erfolgen: Klicken Sie entweder auf die
Schaltfläche Tunnelkonfiguration hinzufügen, und geben Sie die erforderlichen Informationen zum OpenVPN-Server ein, zu dem eine
Verbindung hergestellt werden soll (mehrere Verbindungen sind möglich), oder importieren Sie die Client-Einstellungen vom OpenVPN-
Zugriffsserver, indem sie auf die Schaltfläche Profil von OpenVPN Access Server importieren klicken.
Tunnelkonfiguration hinzufügen
Es gibt zwei Arten von Einstellungen, die bei jeder Tunnelkonfiguration modifiziert werden können: Die Basiskonfiguration sieht die
Integration obligatorischer Optionen für den Tunnel vor. Die erweiterte Konfiguration ist optional und sollte nur vorgenommen werden,
wenn der OpenVPN-Server nicht standardkonform eingerichtet wurde. Klicken Sie auf die Schaltfläche >> neben Erweiterte
Tunnelkonfiguration, um zu den erweiterten Einstellungen zu gelangen. Nachfolgend werden die Grundeinstellungen aufgezählt:
Name für die Verbindung
Bezeichnung zur Identifizierung der Verbindung.
Verbinden mit
Der vollständig qualifizierte Domänenname (FQDN) des OpenVPN-Remote-Servers, der Port sowie das Protokoll in der
folgenden Form: myefw.example.com:port:protocol. Soweit nicht anders spezifiziert, haben der Port
und das Protokoll ihre jeweiligen Standardwerte 1194 bzw. UDP. Das Protokoll muss in Kleinbuchstaben angegeben werden.
Zertifikat hochladen
Server-Zertifikat für die Tunnelverbindung. Sie können das lokale Dateisystem nach Dateien durchsuchen oder alternativ
Pfad und Dateinamen für den Suchvorgang eingeben. Falls der Server eine PSK-Authentifizierung verwendet
(Benutzername/Passwort), muss das Hostzertifikat (d. h. das auf dem Server im Abschnitt Menüleiste ‣ VPN ‣ OpenVPN
Server über den Link CA Zertifikat herunterladen heruntergeladene Zertifikat) auf die Panda GateDefender-Appliance
hochgeladen werden. Für eine zertifikatsbasierte Authentifizierung muss hingegen die PKCS#12-Datei des Servers (das
Zertifikat, das über den Link Exportiere CA als PKCS#12 Datei in Abschnitt Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Erweitert)
hochgeladen werden muss.
PKCS#12 Challenge Passwort
Geben Sie hier das Challenge Passwort ein, das im Laufe der Zertifikatserstellung der Zertifizierungsstelle bereitgestellt
wurde (falls verfügbar). Dies ist nur dann notwendig, wenn ein PKCS#12-Zertifikat hochgeladen wird.
Benutzername, Passwort
Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) oder für die Authentifizierung auf
Grundlage von Zertifikaten und Passworten konfiguriert ist, müssen an dieser Stelle der Benutzername und das Passwort des
auf dem OpenVPN-Server befindlichen Kontos eingegeben werden.
Anmerkung
Ein Kommentar zur Verbindung.
Erweiterte Tunnelkonfiguration
Nachdem Sie auf die Schaltfläche >> im vorherigen Feld geklickt haben, wird dieses Feld angezeigt, in dem Sie zusätzliche Optionen
ändern können. Die Werte in diesem Feld sollten nur geändert werden, wenn die Serverseite nicht gemäß den Standardwerten
konfiguriert wurde.
Fallback VPN Server
Mindestens ein OpenVPN-Fallback-Server (pro Zeile) in dem für den primären Server verwendeten Format, also
myvpn.example.com:port:protocol. Wenn die Werte für Port und Protokoll nicht angegeben werden,
werden sie standardmäßig auf 1194 bzw. UDP festgelegt. Sollte die Verbindung zu den Hauptservern fehlschlagen, werden die
entsprechenden Aufgaben an einen Fallback-Server übertragen.
Tipp
Das Protokoll muss in Kleinbuchstaben angegeben werden.
Gerätetyp
Vom Server verwendeter Gerätetyp – entweder TAP oder TUN.
Verbindungstyp
Dieses Dropdown-Menu ist nicht verfügbar, wenn TUN als Gerätetyp ausgewählt wurde, da in diesem Fall die Verbindungen
immer geroutet sind. Verfügbare Optionen sind geroutet (d. h. der Client fungiert als Gateway zum Remote-LAN) oder
gebridget (d. h. die Client-Firewall erscheint als Teil des Remote-LAN). Die Standardeinstellung ist geroutet.
Bridge zu
Dieses Feld ist nur verfügbar, wenn TAP als Gerätetyp und gebridget als Verbindungstyp ausgewählt wurde. Wählen Sie aus
diesem Dropdown-Menü die Zone aus, zu der die betreffende Client-Verbindung gebridget werden soll.
NAT
Diese Option ist nur verfügbar, wenn geroutet als Verbindungstyp ausgewählt wurde. Aktivieren Sie dieses Kontrollkästchen,
um die mittels dieser Panda GateDefender-Appliance verbundenen Clients hinter den VPN-IP-Adressen der Firewall zu
verbergen. Diese Konfiguration verhindert Anfragen von eingehenden Verbindungen an die Clients. Anders ausgedrückt: Die
Clients im lokalen Netzwerk werden vor den eingehenden Verbindungen verborgen.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie dieses Kontrollkästchen, um den Empfang von DHCP-Antworten aus dem LAN auf der anderen Seite des
VPN-Tunnels, die Konflikte mit dem lokalen DHCP-Server hervorrufen, zu vermeiden.
LZO-Kompression verwenden
Komprimierung des Datenverkehrs, der den Tunnel passiert (standardmäßig aktiviert).
Protokoll
Vom Server verwendetes Protokoll: UDP (Standardeinstellung) oder TCP. Wählen Sie TCP-Protokolle nur aus, wenn ein
HTTP-Proxy verwendet werden soll: In diesem Fall wird für die Konfiguration ein Formular geöffnet.
Wenn die Panda GateDefender-Appliance nur über einen vorgelagerten HTTP-Proxy auf das Internet zugreifen kann, ist es weiterhin
möglich, die Appliance in einem Gateway-zu-Gateway-Szenario als OpenVPN-Client zu verwenden. Das TCP-Protokoll für OpenVPN
muss allerdings für beide Seiten ausgewählt werden. Außerdem müssen die Kontoinformationen für den vorgelagerten HTTP-Proxy in
den Textfeldern angegeben werden.
HTTP Proxy
Der HTTP-Proxy-Host, z. B. proxy.beispiel.com:port, wobei der Port standardmäßig 8080 ist, falls nichts
angegeben wird.
Proxy Benutzername,Proxy Passwort
Die Kontoinformationen des Proxy: Benutzername und Passwort.
Proxy User-Agent vortäuschen
Eine gefälschte Benutzeragent-Zeichenfolge kann in einigen Fällen verwendet werden, um die Panda GateDefender-
Appliance als regulären Webbrowser zu tarnen, d. h. um den Proxy als Browser zu kontaktieren. Dieser Vorgang kann
nützlich sein, wenn der Proxy nur Verbindungen bestimmter Browsertypen akzeptieren soll.
Nach Konfiguration der Verbindung wird unten auf der Seite ein neues Feld mit der Bezeichnung TLS Authentifizierung angezeigt. Hier
können Sie die TLS-Schlüsseldatei hochladen, die für die Verbindung verwendet werden soll. Folgende Optionen stehen zur Auswahl:
TLS Schlüsseldatei
Die hochzuladende Schlüsseldatei, nach der Sie im lokalen Dateisystem der Workstation suchen können.
MD5
Die MD5-Prüfsumme der hochgeladenen Datei, die angezeigt wird, sobald die Datei auf der Panda GateDefender-Appliance
gespeichert wurde.
Richtung
Der Wert ist bei Servern auf 0 und bei Clients auf 1 gesetzt.
Profil von OpenVPN Access Server importieren
Die zweite Möglichkeit, ein Konto hinzuzufügen, besteht darin, das Profil direkt von einem OpenVPN-Zugriffsserver zu importieren. In
diesem Fall müssen folgende Informationen bereitgestellt werden:
Name für die Verbindung
Benutzerdefinierter Name für die Verbindung.
Access Server URL
Die URL des OpenVPN-Zugriffsservers.
Hinweis
Beachten Sie, dass die Panda GateDefender-Appliance nur eine XML-RPC-Konfiguration des OpenVPN Access-Servers unterstützt.
Daher hat eine URL-Eingabe die Form: https://<SERVERNAME>/RPC2.
Benutzername, Passwort
Benutzername und Passwort auf dem Zugriffsserver.
SSL Zertifikat überprüfen
Wenn dieses Kontrollkästchen aktiviert ist und der Server über eine verschlüsselte SSL-Verbindung läuft, wird das SSL-
Zertifikat auf seine Gültigkeit hin überprüft. Sollte es sich um ein ungültiges Zertifikat handeln, wird die Verbindung umgehend
getrennt. Diese Funktion kann bei Verwendung eines selbstsignierten Zertifikats deaktiviert werden.
Anmerkung
Kommentar zum Sinn und Zweck der Verbindung.
IPsec
Die Seite „IPsec“ enthält zwei Registerkarten (IPsec und L2TP), die es ermöglich, die IPsec-Tunnel zu konfigurieren bzw. den L2TP-
Support zu aktivieren.
IPsec
Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben der Aufschrift L2TP aktivieren grün sein.
Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.
Auf der Registerkarte „IPsec“ befinden sich zwei Felder: Das erste beinhaltet die IPsec Einstellungen, welche die Zertifikatsauswahl und
verschiedene Optionen (auch zu Debug-Zwecken) umfassen. Das zweite ist das Feld Verbindungen, das alle Verbindungen anzeigt und
deren Verwaltung ermöglicht.
IPSec, L2TP und XAuth auf einen Blick
IPsec ist eine standardisierte Erweiterung des IP-Protokolls, bei der auf Schicht 3 des OSI-Modells Verschlüsselungs- und
Authentifizierungsmechanismen ausgeführt werden. IPsec muss daher im IP-Stapel des Kernels implementiert sein. Auch wenn IPsec
ein standardisiertes Protokoll ist, das mit den IPsec-Lösungen der meisten Anbieter kompatibel ist, kann sich die Implementierung je
nach Anbieter sehr unterschiedlich gestalten und zuweilen schwerwiegende Probleme hinsichtlich der Interoperabilität hervorrufen.
Zudem könnte sich die Konfiguration und Verwaltung von IPsec aufgrund seiner Komplexität und Struktur in der Regel als schwierig.
Bestimmte Aufgaben wie die Verwendung von NAT sind u. U. gar nicht möglich.
Im Vergleich zu IPsec ist die Installation, Konfiguration und Verwaltung von OpenVPN unkomplizierter. Da mobile Geräte IPsec
verwenden, implementiert die Panda GateDefender-Appliance ein einfach zu bedienendes Administrationsinterface für IPsec, die
verschiedene Authentifizierungsmethoden und eine zweistufige Authentifizierung unterstützt, falls sie zusammen mit L2TP oder XAuth
verwendet wird.
Tatsächlich wird IPsec verwendet, um Clients (d. h. Tunnel) zu authentifizieren, aber keine Benutzer, sodass ein Tunnel nur von einem
Client gleichzeitig verwendet werden kann.
L2TP und XAuth fügen eine Benutzerauthentifizierung zu IPsec hinzu. Daher können sich mehrere Clients unter Verwendung desselben
verschlüsselten Tunnels mit dem Server verbinden, und jeder Client wird entweder mithilfe von L2TP oder XAuth authentifiziert.
Bei Verwendung von XAuth steht eine weitere Methode zur Verfügung, der Modus XAuth hybrid, der nur den Benutzer authentifiziert.
IPsec Einstellungen
In diesen Feld können einige globale IPsec-Optionen festgelegt werden: zwei für die Dead-Peer-Erkennung sowie zahlreiche Debug-
Optionen. Außerdem wird hier die Konfiguration von Zertifikaten ausgeführt, die bei mit IPsec getunnelten Verbindungen verwendet
werden.
Pool der virtuellen IPs der Roadwarrior
Der IP-Bereich, aus dem alle Roadwarrior-Verbindungen ihre IP-Adresse beziehen.
Ping-Verzögerung (in Sekunden)
Der zeitliche Abstand in Sekunden zwischen aufeinanderfolgenden Pings zur Überprüfung, ob eine Verbindung noch aktiv ist.
Timeout-Intervall (in Sekunden) – nur IKEv1
Die maximale Dauer in Sekunden für das Austauschintervall des IKEv1-Protokolls.
Tipp
IKEv2 benötigt kein Zeitüberschreitungsintervall, da es erkennen kann, ob der andere Endpunkt nicht antwortet und welche Aktionen
durchgeführt werden sollen.
Zertifikatskonfiguration:
Die Zertifikatskonfiguration und -verwaltung wird genauso ausgeführt wie für den OpenVPN-Server (unter Menüleiste ‣ VPN ‣
OpenVPN Server), wo sämtliche Verwaltungsmodalitäten beschrieben sind.
Debug Optionen
Debug-Optionen sind eher fortgeschrittene Einstellungen und werden in der Regel nicht benötigt, da sie nur die Anzahl der Ereignisse
und aufgezeichneten Nachrichten in der Protokolldatei erhöhen.
Verbindungen
In dieser Tabelle werden alle bereits konfigurierten IPsec-Verbindungen zusammen mit den folgenden Informationen angezeigt:
Name: Name der Verbindung
Typ: Art des verwendeten Tunnels
Gemeinsamer Name: Name des Zertifikats zur Verbindungsauthentifizierung
Anmerkung: Kommentar zur Verbindung
Status: Der Status der Verbindung: Beendet, Verbindung wird hergestellt oder Aufgebaut.
Aktionen: Die möglichen Operationen, die auf jedem Tunnel ausgeführt werden können, lauten wie folgt:
o – Die Verbindung ist aktiv oder nicht.
o – Änderung der Verbindungskonfiguration
o – Neustart der Verbindung
o – Anzeige von detaillierten Informationen über die Verbindung
o – Trennung der Verbindung
Tipp
Wenn eine Verbindung von der Panda GateDefender-Appliance aus neu gestartet wird, ist es für den Client erforderlich, sich erneut zu
verbinden.
Beim Klicken auf Neue Verbindung hinzufügenerscheint ein Fenster mit allen Optionen für die Einrichtung einer neuen IPsec-Verbindung.
Name
Name der Verbindung.
Anmerkung
Kommentar zur Verbindung.
Verbindungstyp
Es gibt vier verschiedene Verbindungsmodalitäten, die für den IPsec-Tunnel ausgewählt werden können:
Host-to-Net: Der Client, der sich mit dem IPsec-Server auf der Panda GateDefender-Appliance verbindet, ist eine einzelne
Remote-Workstation oder -Quelle bzw. ein einzelner Server.
Net-to-Net: Der Client ist ein vollständiges Subnetz. Anders gesagt wird die IPsec-Verbindung zwischen Remote-
Subnetzen hergestellt.
L2TP Host-to-Net: Der Client ist ein einzelnes Gerät, das ebenfalls L2TP verwendet.
XAuth Host-to-Net: Der Client ist ein einzelnes Gerät, und die Authentifizierung findet über XAuth statt.
Tipp
Linux-Benutzer können mehr über XAuth auf der Manpage Xsecuritiy(7) erfahren, die auch online
verfügbar ist.
Die verfügbaren Optionen für jede Modalität sind praktisch dieselben, wobei eine weitere Option für Net-to-Net-
Verbindungen verfügbar ist.
Authentifizierungstyp
Die aus dem Dropdown-Menü ausgewählte Option legt fest, wie die Client-Authentifizierung ausgeführt wird. Folgende Werte sind
verfügbar:
Passwort (PSK): Der Client muss das Passwort angeben, das auf der rechten Seite im Textfeld Einen Pre-Shared-Key
verwenden angegeben wird.
Der Peer wird durch IPV4_ADDR, FQDN, USER_FQDN oder DER_ASN1_DN im Remote-ID-Feld identifiziert. Der Client
wird durch seine IP-Adresse, den Domänennamen oder andere eindeutige Informationen über den IPsec-Tunnel
authentifiziert.
Ein bestehendes Zertifikat verwenden: Das aus dem Dropdown-Menü rechts ausgewählte Zertifikat soll verwendet werden.
Erzeuge ein neues Zertifikat: Es werden zusätzliche Optionen zur Erstellung eines neuen Zertifikats angezeigt.
Ein Zertifikat hochladen: Wählen Sie von der lokalen Workstation das zu verwendende Zertifikat aus.
Eine Zertifikatsanfrage hochladen: Wählen Sie von der lokalen Workstation eine Zertifikatsanfrage aus, um ein neues
Zertifikat zu erhalten.
XAUTH Hybrid: Nur für Verbindungen vom Typ XAuth Host-to-Net verfügbar. Der Benutzer wird authentifiziert, wobei der
Verschlüsselungstunnel nicht authentifiziert werden darf.
Lokale ID
Eine Zeichenkette zur Identifizierung des Clients innerhalb des lokalen Netzwerks
Schnittstelle
Schnittstelle, über die der Host eine Verbindung herstellt.
Lokales Subnetz
Das lokale Subnetz, auf das vom Client aus zugegriffen werden kann
Hinweis
Mobile Geräte, die iOS verwenden, können sich nicht via XAuth mit der Panda GateDefender-Appliance verbinden, falls dieser Wert
nicht festgelegt ist. Daher wird das spezielle Subnetz 0.0.0.0/0 automatisch hinzugefügt, wenn der Verbindungstyp auf „XAuth“ gesetzt
wird.
Tipp
Nur bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen, da IKEv1 nur ein Subnetz pro Zeile unterstützt.
Entfernte ID
Die ID, die den Remote-Host der Verbindung identifiziert.
Subnetz der Gegenseite
Nur für Net-to-Net-Verbindungen verfügbar; gibt das Subnetz der Gegenseite an.
Tipp
Bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen.
Gegenstelle Host/IP
IP oder vollständig qualifizierter Domänenname (FQDN) des Remote-Hosts.
Hinweis
Wenn ein Hostname angegeben wird, muss er der lokalen ID auf de Remote-Seite entsprechen.
Virtuelle IP des Roadwarriors
Die im Textfeld angegebene IP-Adresse wird dem Remote-Client zugewiesen.
Tipp
Diese IP-Adresse muss innerhalb des unter IPsec Einstellungen definierten Pools liegen.
Hinweis
Diese Option ist weder für L2TP-Host-to-Net-Verbindungen noch für Net-to-Net-Verbindungen verfügbar, da L2TP die Änderung der IP-
Adresszuweisung übernimmt.
Aktion bei Dead Peer Erkennung
Aktion, die bei der Verbindungstrennung von Peers durchgeführt wird. Verfügbare Optionen im Dropdown-Menü sind:
Löschen, Halten oder Neustart des Peer.
Durch Klicken auf die Bezeichnung Erweitert werden zusätzliche Optionen verfügbar, um verschiedene Typen von
Verschlüsselungsalgorithmen auszuwählen und zu konfigurieren. Für jede Option können diverse Algorithmustypen ausgewählt werden.
Hinweis
Es ist nur notwendig, den Algorithmus zu ändern, wenn ein Remote-Client einen gegebenen Algorithmus verwendet und diesen nicht
ändern kann.
IKE Verschlüsselung
Verschlüsselungsmethoden, die vom IKE-Protokoll unterstützt werden sollen.
IKE Integrität
Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.
IKE Gruppen Typ
Der IKE-Gruppentyp.
IKE Lebensdauer
Gültigkeitsdauer der IKE-Pakete.
ESP Verschlüsselung
Verschlüsselungsmethoden, die vom Encapsulating Security Payload-Protokoll (ESP) unterstützt werden sollen.
ESP Integrität
Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.
ESP Gruppen Typ
Der ESP-Gruppentyp
ESP Lebensdauer
Gültigkeitsdauer der ESP-Pakete.
Payloadkompression aushandeln
Aktivieren Sie das Kontrollkästchen, um eine Payload-Komprimierung zu ermöglichen.
Siehe auch
IKE ist in RFC 5996 definiert, welche die älteren RFC 2409 (IKEv1) und RFC 4306 (IKEv2) ablöst.
ESP finden Sie unter RFC 4303 (ESP) und RFC 4305 (Verschlüsselungsalgorithmen für ESP).
Erstellung von Net-To-Net-VPNs mithilfe von IPsec durch Verwendung der Zertifikatsauthentifizierung.
Szenario:
Firewall CoreFW – REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24
Firewall LocalFW – REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24
Problem: Verbinden Sie LocalFW mit CoreFW mithilfe von IPSec.
Lösung:
Ausführung der folgenden Schritte auf CoreFW:
1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP
100.100.100.100 ein.
2. Sofern sie noch nicht erstellt wurden, klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen,
und füllen Sie das Formular aus.
3. Laden Sie das Hostzertifikat herunter, und speichern Sie es unter dem Namen fw_a_cert.pem.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net
aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 200.200.200.200 sowie 10.10.10.0/24
als Lokales Subnetz und 192.168.0.0/24 als Remote-Subnetz ein.
6. Wählen Sie im Feld Authentifizierung die Option Erzeuge ein Zertifikat aus, und füllen Sie das Formular aus. Vergessen Sie
nicht, ein Passwort festzulegen.
7. Laden Sie nach dem Speichern die PKCS12-Datei herunter, und speichern Sie sie unter dem Namen fw_a.p12.
Folgende Schritte müssen auf LocalFW ausgeführt werden:
1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP
200.200.200.200 ein.
2. Klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen. Wurden bereits Zertifikate erstellt,
wählen Sie für die früheren Zertifikate die Option Zurücksetzen aus.
3. Füllen Sie unter Root- und Host-Zertifikat erstellen im ersten Abschnitt kein Feld aus! Laden Sie stattdessen die von CoreFW
gespeicherte Datei fw_a.p12 hoch, geben Sie das Passwort ein, und klicken Sie auf PKCS12 Datei hochladen.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net
aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 100.100.100.100 sowie 192.168.0.0/24
als Lokales Subnetz und 10.10.10.0/24 als Remote-Subnetz ein.
6. Wählen Sie im Feld Authentifizierung die Option Ein Zertifikat hochladen aus, und laden Sie die Datei fw_a_cert.pem hoch,
die auf MainFW erstellt wurden.
L2TP
Das Layer 2 Tunneling Protocol (L2TP) wird unter RFC 2661 beschrieben.
Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben L2TP aktivieren grün sein. Falls dieser grau
ist, klicken Sie darauf, um den Dienst zu starten.
Folgende Optionen sind für das Konfigurieren von L2TP verfügbar:
Zone
Zone, an welche die L2TP-Verbindungen gerichtet sind. Nur aktivierte Zonen können aus dem Dropdown-Menü ausgewählt
werden.
Startadresse des L2TP IP Bereichs, Endadresse des L2TP IP Bereichs
Der IP-Bereich, aus dem L2TP-Benutzer eine IP-Adresse beim Verbinden mit der Panda GateDefender-Appliance erhalten.
Debugmodus aktivieren
Durch Aktivieren dieses Kontrollkästchens werden von L2TP ausführlichere Protokolle erstellt.
Authentifizierung
Diese Seite enthält drei Registerkarten, welche die Verwaltung lokaler Benutzer, lokaler Gruppen und Einstellungen für die Remote-
Authentifizierung verwalten.
Benutzer
Auf dieser Seite werden in der Tabelle alle Benutzer angezeigt, die ein Konto auf dem VPN-Server der Panda GateDefender-Appliance
besitzen, wobei jeweils die folgenden Informationen angezeigt werden:
Name: Der Benutzername:
Anmerkung: Ein Kommentar:
Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda
GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte Einstellungen).
Aktionen: Die mit dem Konto ausführbare Operation. Im Fall von LDAP-Benutzern sind dies die Operationen
Aktivieren/Deaktivieren und Bearbeiten, bei lokalen Benutzern außerdem die Operation Löschen. Das Bearbeiten eines
LDAP-Benutzers ermöglicht nur das Ändern der lokalen Optionen, nicht jedoch anderer Daten wie Benutzername und
Passwort, die vollständig vom LDAP-Server verwaltet werden.
Klicken Sie oberhalb der Tabelle auf Neuen lokalen Benutzer hinzufügen, um ein neues lokales Konto hinzuzufügen. Es wird ein
Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:
Neuen lokalen Benutzer hinzufügen
Benutzername
Anmeldename des Benutzers
Anmerkung
Ein zusätzlicher Kommentar
Passwort, Passwort bestätigen
Passwort für den Benutzer; wird zweimal eingegeben. Die Passwörter werden momentan nicht angezeigt: Aktivieren Sie die
beiden Kontrollkästchen rechts von den Passwörtern, um sie anzuzeigen.
Zertifikatskonfiguration:
Wählen Sie den Modus aus, um dem Benutzer ein Zertifikat zuzuweisen. Die verfügbaren Modi können aus dem Dropdown-
Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum Signieren eines Zertifikats
(CSR) hochladen. Nach Auswahl werden unter dem Dropdown-Menü die verfügbaren Optionen für jeden Modus angezeigt,
die auf der Seite Zertifikate beschrieben werden.
Name der Organisational Unit
Die Organisationseinheit, zu welcher der Benutzer gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung,
die mit dem Zertifikat identifiziert wird.
Name des Unternehmens
Die Organisation, welcher der neue Benutzer angehört.
Stadt
Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz
Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land
Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens
einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
E-Mail Adresse
Die E-Mail-Adresse des Benutzers
Gruppenmitgliedschaft
In diesem Bereich ist es möglich, dem Benutzer eine oder mehrere Gruppen zuzuweisen. Mithilfe des Suchwidgets ist es
möglich, bestehende Gruppen zu filtern, um passende Gruppen zu finden. Die Gruppenmitgliedschaft wird durch Klicken auf
das Symbol + rechts neben dem Gruppennamen hinzugefügt. Gruppen, denen der Benutzer angehört, werden im Textfeld
darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle auf einmal hinzuzufügen und mit Alle
entfernen alle auf einmal zu löschen.
Überschreibe OpenVPN Optionen
Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt,
in dem benutzerdefinierte Optionen für das Konto angegeben werden können (siehe unten).
Überschreibe L2TP Optionen
Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in
Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach diesem Schritt können
VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen
überschrieben werden sollen.
Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-
Server auf der Panda GateDefender-Appliance zu verbinden.
OpenVPN Optionen
Den gesamten Client Datenverkehr über den VPN Server leiten
Wenn diese Option aktiviert ist, wird der gesamte Datenverkehr vom sich verbindenden Client unabhängig vom Ziel über den
Uplink der Panda GateDefender Appliance geroutet. Standardmäßig wird der gesamte Datenverkehr, dessen Ziel außerhalb
der internen Zonen liegt (beispielsweise Internethosts), durch den Uplink des Clients geleitet.
Schicke nur globale Optionen an den Client
Nur für fortgeschrittene Benutzer. Wenn der Client eine Verbindung herstellt, werden in der Regel Tunnelrouten zu
Netzwerken, auf die per VPN zugegriffen werden kann, zur Routingtabelle des Clients hinzugefügt, um die Verbindung zu
verschiedenen lokalen Netzwerken zu ermöglichen, die von der Panda GateDefender-Appliance erreichbar sind. Aktivieren
Sie die Option, wenn dieses Verhalten nicht gewünscht ist. Die Routingtabellen (insbesondere die Tabellen für die internen
Zonen) sollten allerdings manuell geändert werden.
Route zur GRÜNEN [BLAUEN, ORANGENEN] Zone eintragen:
Wenn diese Option aktiviert ist, hat der Client Zugriff auf die GRÜNE, BLAUE bzw. ORANGENE Zone. Diese Optionen haben
keine Wirkung, wenn die entsprechenden Zonen nicht aktiviert sind.
Netzwerke hinter dem Client
Diese Option ist nur notwendig, wenn dieses Konto als Client in einem Gateway-zu-Gateway-Szenario verwendet wird. In
diesem Feld sollten die Netzwerke eingetragen werden, die hinter diesem Client liegen und zu den anderen Clients gesendet
werden sollen. Nach diesem Vorgang stehen die Netzwerke auch den anderen Clients zur Verfügung.
Statische IP Adressen
Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte
statische IP-Adresse bei jeder Verbindung zugewiesen.
Hinweis
Wenn sich der Client mit einem Multikern-VPN-Server auf der Panda GateDefender-Appliance verbindet, wird diese Zuweisung nicht
berücksichtigt.
Diese Nameserver pushen
Zuweisung benutzerdefinierter Namenserver pro Client: Diese (wie auch die nächste) Einstellung kann definiert und nach
Bedarf aktiviert bzw. deaktiviert werden.
Diese Domänen pushen
Zuweisung benutzerdefinierter Suchdomänen pro Client:
Hinweis
Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche
Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der
GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das
Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden.
Diese Option bietet verschiedene Vorteile, z. B.: automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen
gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens;
vereinfachte WAN-Netzwerkeinrichtung.
L2TP Optionen
IPsec Tunnel
Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, welcher der bereits definierten Tunnel vom Benutzer verwendet
werden soll.
Gruppen
Auf dieser Seite wird eine Tabelle mit allen Gruppen angezeigt, die entweder auf der Panda GateDefender-Appliance oder auf einem
externen LDAP-Server definiert sind. Folgende Informationen werden für jede Gruppe angezeigt:
Gruppenname: Der Name der Gruppe
Anmerkung: Ein Kommentar:
Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda
GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte vpnauthsettings).
Aktionen: Die mit dem Konto ausführbare Operation. Bei LDAP-Servern ist die einzige Aktion das Bearbeiten der lokalen
Eigenschaften, während bei lokalen Gruppen auch die Möglichkeit zum Löschen der Gruppe besteht.
Klicken Sie oberhalb der Tabelle auf Neue lokale Gruppen hinzufügen, um eine neue lokale Gruppe hinzuzufügen. Es wird ein Formular
geöffnet, in dem für jede Gruppe folgende Optionen festgelegt werden können:
Gruppenname
Der Name der Gruppe
Anmerkung
Ein Kommentar:
Benutzer
In diesem Bereich ist es möglich, Benutzer der Gruppe zuzuweisen. Mithilfe der Suchwidgets können bestehende Gruppen
gefiltert werden, um passende Gruppen zu finden. Benutzer werden durch Klicken auf das Symbol + rechts neben dem
Benutzernamen hinzugefügt. Benutzer der Gruppe werden im Textfeld darunter angezeigt. Außerdem gibt es zwei
Verknüpfungen, um mit Alle hinzufügen alle Benutzer einer Gruppe auf einmal hinzuzufügen und mit Alle entfernen alle auf
einmal zu löschen.
Überschreibe OpenVPN Optionen
Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt,
in dem benutzerdefinierte Optionen für das Konto angegeben werden können, welche dieselben wie die für den lokalen
Benutzer sind.
Überschreibe L2TP Optionen
Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel aus einem Dropdown-
Menü ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in
Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach dem Erstellen eines
neuen L2TP-Tunnels ist es möglich, diesen einem Benutzer zuzuweisen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen
überschrieben werden sollen.
Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-
Server auf der Panda GateDefender-Appliance zu verbinden.
Warnung
Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört,
keine widersprüchlichen Überschreibungsoptionen definiert werden. Betrachten Sie beispielsweise einen Benutzer, der Mitglied in zwei
Gruppen ist, wobei die eine nur Zugriff auf die GRÜNE und die andere nur Zugriff auf die BLAUE Zone hat. In diesem Fall kann nicht
ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die GRÜNE oder BLAUE Zone erhält. Die Handhabung solcher
Konflikte liegt in der Verantwortung des Verwalters des OpenVPN-Servers.
Einstellungen
Diese Seite enthält die aktuelle Konfiguration der Authentifizierungsserver, welche die Panda GateDefender-Appliance verwendet. Sie
kann auf dieser Seite verwaltet werden. Derzeit werden nur lokale Server und LDAP/Active Directory unterstützt. In zukünftigen
Versionen können jedoch zusätzliche Typen von Authentifizierungsservern hinzugefügt werden, z. B. RADIUS-Server.
Diese Seite enthält zwei Tabellen: Eine zeigt Informationen über die Authentifizierungsserver und die andere zeigt die Zuweisungen der
Authentifizierungsserver. Im ersten Fall sind die angezeigten Informationen:
Name: Der Name des Servers
Typ: Ob der Server lokal oder eine externer LDAP-Server ist
Dienst: Die verfügbare Authentifizierung für diesen Server.
Aktionen: Im Fall der lokalen Authentifizierung ist es möglich, den Server zu aktivieren/deaktivieren, ihn zu bearbeiten oder
ihn zu löschen. Für LDAP-Server gibt es außerdem die Möglichkeit, die Verbindung zu aktualisieren, um Benutzer und
Gruppen zu synchronisieren.
Die Tabelle am unteren Rand zeigt die Zusammenhänge zwischen einem Dienst (IPsec, XAuth, OpenVPN und L2TP) und dem
möglichen Authentifizierungstyp. Die einzige Aktion für die Zuweisungen ist deren Bearbeitung. Durch Klicken auf Bearbeiten wird ein
Formular angezeigt, in dem ausgewählt werden kann, welche Authentifizierungsbackends für diesen Dienst verwendet werden.
Durch Klicken auf den Link Neuen Authentifizierungsserver hinzufügen wird ein Formular geöffnet, in dem alle Daten zur Einrichtung
eines neuen Authentifizierungsservers angegeben werden können.
Dieses Formular ersetzt die Tabellen zur Anzeige der bereits definierten Authentifizierungsserver und ermöglicht die Konfiguration eines
neuen Servers, indem passende Werte für die folgenden Konfigurationsoptionen angegeben werden.
Name
Der Name des Authentifizierungsservers
Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Server zu aktivieren.
Typ
Wählen Sie aus dem Dropdown-Menü, ob der Server LDAP/Active Directory verwendet oder lokal ist. Alle weiteren Optionen,
mit Ausnahme der letzten, stehen nur für die Konfiguration von LDAP-Servern zur Verfügung.
LDAP Server URI
Die URI des LDAP-Servers
LDAP Servertyp
Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü:Generisch, Active Directory, Novell eDirectory oder
OpenLDAP.
LDAP Bind DN Benutzername
Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers, der die Berechtigung zum Lesen von Benutzerattributen
besitzen muss.
LDAP Bind DN Passwort
Das Passwort des Bind-DN-Benutzers.
Die folgenden Optionen hängen von der Konfiguration des Servers ab und werden verwendet, um die Benutzer und Gruppen zu
identifizieren, die Zugriff auf den OpenVPN-Server der Panda GateDefender-Appliance erhalten sollen. LDAP Benutzer Basis DN, LDAP
Benutzer Suchfilter, Eindeutiges LDAP Benutzer ID Attribut, LDAP Gruppen Basis DN, Eindeutiges LDAP Gruppen ID Attribut, LDAP
Gruppenmitgliedsattribut und LDAP Gruppensuchfilter.
Auf ausgewählte Gruppen einschränken
Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda
GateDefender-Appliance verbinden können.
Zertifikate
Die Seite Zertifikate ermöglicht die Verwaltung der Zertifikate, die für die verschiedenen OpenVPN-Serverinstanzen auf der Panda
GateDefender-Appliance benötigt werden. Sie ist in drei Registerkarten aufgeteilt: Zertifikate, Zertifizierungsstelle und Gesperrte
Zertifikate.
Zertifikate
Hier können alle Zertifikate verwaltet werden, die auf der Panda GateDefender-Appliance gespeichert sind. Die Tabelle (zunächst leer)
zeigt alle Zertifikate zusammen mit den folgenden Details (eins pro Spalte):
Seriennummer: Eine eindeutige Nummer zur Identifizierung des Zertifikats
Name: Der Name des Zertifikats
Betreff, die Informationssammlung, die das Zertifikat selbst identifiziert. Siehe die Optionen weiter unten.
Ablaufdatum: Das Datum der letzten Gültigkeit des Zertifikats
Aktionen: Was kann mit dem Zertifikat getan werden:
o – Alle Details anzeigen
o – Im PEM-Format herunterladen
o – Im PKCS12-Format herunterladen
o – Den dazugehörigen privaten Schlüssel löschen
o – Das Zertifikat sperren
Oberhalb der Liste können Sie einen Link zum Hinzufügen eines neuen Zertifikats anklicken. Nach dem Anklicken wird die Seite durch
ein Formular ersetzt, das es ermöglicht, alle benötigten Daten für die Generierung eines neuen Zertifikats einzugeben.
Am unteren Rand der Tabelle befindet sich links ein Navigationswidget, das es ermöglicht, durch die verschiedenen Seiten der Tabelle
zu navigieren, wenn viele Zertifikate vorhanden sind. Rechts befindet sich ein Widget zum Aktualisieren der Zertifikatsliste.
Neues Zertifikat hinzufügen
Es gibt drei Möglichkeiten, um ein neues Zertifikat auf der Panda GateDefender-Appliance zu speichern. Sie können aus
diesem Dropdown-Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum
Signieren eines Zertifikats (CSR) hochladen.
Erzeuge ein neues Zertifikat
Die erste Option ermöglicht die direkte Erstellung eines neuen Zertifikats auf der Panda GateDefender-Appliance, indem die folgenden
Informationen angegeben werden. Die Großbuchstaben in Anführungszeichen zeigen das Feld des Zertifikats an, das mit dem Wert
gefüllt wird und den Betreff des Zertifikats bildet.
Hinweis
Zum Erstellen von Zertifikaten ist eine Root-Zertifizierungsstelle erforderlich. Daher muss diese zuvor erstellt werden.
Gemeinsamer Name
Der Common Name (CN) des Zertifikatinhabers, d. h. der Name, mit dem der Besitzer identifiziert wird.
E-Mail Adresse
Die E-Mail-Adresse des Zertifikatinhabers
Name der Organisational Unit
Die Organisational Unit (OU), zu welcher der Inhaber gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung,
die mit dem Zertifikat identifiziert wird.
Name des Unternehmens
Die Organisation (O), welcher der Inhaber angehört.
Stadt
Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz
Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land
Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens
einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*)
Ein alternativer Name für den Betreff, d. h. das Zertifikat.
Zertifikatstyp
Der Typ des Zertifikats kann zwischen Client und Server aus dem Dropdown-Menü ausgewählt werden.
Gültigkeit (Tage)
Die Anzahl an Tagen, bevor das Zertifikat abläuft.
PKCS12 Dateipasswort
Das Passwort für das Zertifikat, falls erforderlich.
Passwort für PKCS12 Datei bestätigen
Geben Sie zur Bestätigung das Passwort erneut ein.
Ein Zertifikat hochladen
Die nächste Möglichkeit ist das Hochladen eines bestehenden Zertifikats von der lokalen Workstation auf die Panda GateDefender-
Appliance.
Zertifikat (PKCS12/PEM)
Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von
dem aus das Zertifikat hochgeladen werden soll.
PKCS12 Dateipasswort
Das Passwort für das Zertifikat, falls erforderlich.
Anfrage zum Signieren eines Zertifikats (CSR) hochladen
Die dritte Möglichkeit ist das Hochladen einer CSR von der lokalen Workstation auf die Panda GateDefender-Appliance, d. h. eine
verschlüsselte, vom Server erkannte Textdatei, die alle notwendigen Informationen zur Generierung eines neuen Zertifikats enthält.
Anfrage zum Signieren eines Zertifikats (CSR)
Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von
dem aus die CSR hochgeladen werden soll.
Gültigkeit (Tage)
Anzahl der Tage, die das Zertifikat gültig ist.
Zertifizierungsstelle
Diese Seite ermöglicht das Verwalten der CA, die für das korrekte Arbeiten einer verschlüsselten OpenVPN-Verbindung notwendig ist.
Es gibt zwei Möglichkeiten, um eine CA hinzuzufügen: Entweder durch Klicken auf den Link oberhalb der Tabelle der bereits
bestehenden Zertifikate, um ein neues Zertifikat zu erstellen, oder durch Hochladen eines Zertifikats mithilfe des Widgets unterhalb der
Tabelle.
Sobald die Tabelle Einträge enthält, zeigt sie dieselben Informationen wie die Registerkarte Zertifikate. Lediglich die verfügbaren
Aktionen unterscheiden sich:
– Alle CA-Details anzeigen
– Im PEM-Format herunterladen
– Das Zertifikat löschen
Geben Sie die folgenden Informationen an, um ein Zertifikat hochzuladen:
Name der Zertifizierungsstelle
Der Name der Zertifizierungsstelle, die das Zertifikat erstellt hat
Zertifikat (PEM)
Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von
dem aus das Zertifikat hochgeladen werden soll.
Durch Klicken auf CA Zertifikat hochladen wird der Upload-Prozess gestartet.
Neue Root/Host Zertifikate erstellen
Dieser Vorgang kann nur einmal ausgeführt werden und generiert zwei Zertifikate: Eine Root-Zertifizierungsstelle und ein Hostzertifikat,
wobei letzteres in der Liste auf der Registerkarte Zertifikate angezeigt wird. Durch Klicken auf den Link wird die Liste durch ein Formular
ersetzt, auf dem die folgenden Daten eingegeben werden müssen, die für die neuen Root- und Hostzertifikate verwendet werden.
Hinweis
Die einzige Möglichkeit zum Erstellen eines neuen Root-Zertifikats ist das Löschen des bestehenden.
Hostname des Systems
Der Name des Systems, der als gemeinsamer Name des Zertifikats verwendet wird.
E-Mail Adresse
Die E-Mail-Adresse des Systeminhabers oder der dafür verantwortlichen Person.
Name der Organisational Unit
Die Organisationseinheit (OU), der das System angehört.
Name des Unternehmens
Die Organisation (O), der das System angehört.
Stadt
Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz
Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land
Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens
einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*)
Ein alternativer Name für den Betreff, d. h. das Zertifikat.
Gültigkeit (Tage)
Die Anzahl an Tagen, bevor das Zertifikat abläuft.
Gesperrte Zertifikate
Die gesperrten Zertifikate werden in einer Tabelle aufgelistet, welche die Seriennummer und den Betreff des Zertifikats enthält.
Zertifikatssperrliste herunterladen
Durch Klicken auf diesen Link kann Liste der aufgehobenen Zertifikate auf eine lokale Workstation heruntergeladen werden.
Zertifikatssperrliste
Auf dieser Seite können Sie alle hochgeladenen Zertifikatssperrlisten verwalten.
Menü „VPN“
129
Die Tabelle enthält alle hochgeladenen Zertifikatssperrlisten, und für jedes Element in der Tabelle ist der Name des Zertifikats, der
Aussteller und das Ausstellungsdatum aufgeführt. Folgende Aktionen sind verfügbar:
– Zertifikatdetails anzeigen
– Zertifikat auf die lokale Workstation herunterladen
SL. Zuletzt aktualisiert am 31. Januar 2014.
Menü „Hotspot“ Menü „Hotspot“
Hotspot-Einstellungen
Administrationsschnittstelle
Konten
o Liste
o CSV-Datei importieren
o Als CSV-Datei exportieren
o Konto-Generator
Tickets
o Tarife
o Quick-Ticket
o Ticket-Generator
Berichte
o Verbindungen
o Kontostand
o Verbindungsprotokolle
o Verbindungsprotokolle im CSV-Format exportieren
o SmartConnect-Transaktionen
Einstellungen
o Haupteinstellungen
o SmartConnect
o API
o Sprache
Hotspot-Benutzer
Benutzerzugriff auf den Hotspot
Der mit der Panda GateDefender-Appliance gelieferte Hotspot ist eine sehr flexible und anpassbare Lösung, um eine sichere und
zuverlässige drahtlose Verbindung sowie kabelgebundene LAN-Verbindungen bereitzustellen. Die im Hotspot implementierten
Schlüsselfunktionen sind u. a.:
Drei Rollen für den Hotspot: Dieser kann als eigenständiger Hotspot, sowie in einer Master-
/Satellitenkonfiguration betrieben werden oder einen externen RADIUS-Server verwenden.
Drei Arten von Benutzern: Hotspot-Administratoren (voller Verwaltungszugriff), Kontoeditoren
(Benutzerverwaltung) und normale Benutzer (nur Internetnavigation)
Verschiedene Ticketarten: zeitbasiert und datenbasiert sowie mit vorheriger oder anschließender Zahlung
Drei verschiedene Zugriffsportale für Benutzer: normaler Modus, ohne JavaScript und mobil
Eine Option zum Hinzufügen einer benutzerdefinierten Hintergrundseite, die allen Benutzern angezeigt wird
Eine SmartConnect™ Option, die es Benutzern ermöglicht Zugriff per Kreditkarte zu erwerben
Benutzererstellung und -aktivierung per SMS
Eine Option für den Zugriff auf bestimmte Websites auch ohne Tickets
Auf der Panda GateDefender-Appliance ist die BLAUE Zone für drahtlose Geräte reserviert. Deshalb funktioniert der Hotspot nicht, wenn
die BLAUE Zone deaktiviert ist. Die Verbindungen von der BLAUEN zur ROTEN Zone (Uplink, d. h. Internet) werden durch die
ausgehende Firewall gesteuert. Für einen selektiv gesteuerten Zugriff auf das Internet sollten daher dort Regeln definiert werden.
Nach Eingabe des Hotspots öffnet sich eine Seite, die im Untermenü auf der linken Seite drei Elemente, den Schalter Hotspot aktivieren
und die erste Konfigurationsoption enthält: Der Betriebsmodus des Hotspot
Das Menü auf der linken Seite bietet Zugriff auf verschiedene Konfigurations- und Verwaltungsoptionen für die Hotspoteinstellungen, das
Administrationsinterface und die Hotspotbenutzer. Diese sind:
Hotspoteinstellungen ist die Startseite des Hotspots, d. h. die momentan aktive Seite. Sie ermöglicht die Auswahl der
Modalitäten des Hotspot.
Administrationsinterface umfasst den Hauptteil des Hotspot, auf dem alle Verwaltungsaufgaben erledigt werden können.
Hotspotbenutzer ermöglicht die Verwaltung der Superuser des Hotspot.
Darüber hinaus stellt Benutzerzugriff auf den Hotspot eine Hilfe dar, die Benutzer durch den Prozess des Hotspotzugriffs und das
Verbinden mit dem Internet leitet.
Hotspot-Einstellungen
Der Hotspot kann durch Betätigen des Hauptschalters oben auf der Seite aktiviert bzw. deaktiviert werden. Bei Aktivierung (d. h. der
Schalter ist grün ) kann eine der folgenden drei Rollen ausgewählt werden:
1. Master/eigenständiger Hotspot oder eigenständiger Hotspot
Wenn der Hotspot als Master verwendet wird, werden alle Konfigurationsdaten – auch die der Satelliten (Benutzerdatenbank,
Portalkonfiguration, Einstellungen, Protokolle usw.) lokal gespeichert und die Wartungsaufgaben werden auf diesem Hotspot ausgeführt.
Für die Rolle Master ist eine Einstellung verfügbar und auch die den Satelliten zuweisbaren verfügbaren VPN-Konten werden angezeigt.
Hotspot Passwort
Dies ist das Passwort des Masterhotspots. Externe Satellitensysteme benötigen es, um sich mit dem Masterhotspot zu
verbinden. Bleibt dieses Feld leer, wird ein neues zufälliges Passwort generiert.
Satellitenhotspots
Die Liste der verfügbaren OpenVPN-Tunnel zum Verbinden eines Remote-Satellitensystems. Aus dieser Liste können ein
oder mehrere Systeme ausgewählt werden.
2. Hotspotsatellit
Ein Hotspotsatellit speichert keine Konfiguration, sondern verwendet den Master, um Benutzerdaten, Ticketverfügbarkeit und alle
weiteren Einstellungen zu überprüfen. Wenn Sie diese Option auswählen, müssen die IP-Adresse und das Passwort des Masterhotspot
zusammen mit dem VPN-Tunnelnamen angegeben werden (siehe unten). Folgende Optionen stehen zur Auswahl:
IP Adresse des Masterhotspots
Geben Sie in diesem Feld die IP-Adresse des Masterhotspot an. Diese ist für gewöhnlich die erste verfügbare IP-Adresse im
speziellen OpenVPN-Subnetz (sieheDie Zonen, wie in den OpenVPN Servereinstellungen des Masterhotspots definiert (unter
Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Serverkonfiguration).
Passwort des Masterhotspots
Das Passwort für den Masterhotspot. Dieses wird üblicherweise automatisch auf dem Master generiert. Aktivieren Sie das
Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
Hotspot VPN Tunnel
Wählen Sie aus diesem Dropdown-Menü den zu verwendenden OpenVPN-Tunnel, um den Masterhotspot zu erreichen.
3. Externer RADIUS Server
In dieser Konfiguration verwendet der Hotspot einen externen RADIUS-Server für seine Aktivitäten (z. B. FreeRadius): Er verbindet sich,
und erbittet Authentifizierung vom RADIUS-Server, der alle Daten zur Kontenverwaltung, Einstellungen, Tickets und Verbindungen
speichert. Es sind verschiedene Informationen über den RADIUS-Server erforderlich, damit dieser korrekt arbeitet: IP-Adresse, Passwort,
Ports und die IP-Adresse des Fallback-Servers. Darüber hinaus kann das externe Portal verwendet werden.
RADIUS Server IP Adresse
Die IP-Adresse des externen RADIUS-Servers.
IP Adresse des Fallback RADIUS Servers
Die IP-Adresse des externen Fallback-RADIUS-Servers.
RADIUS Server Passwort
Das Passwort für den RADIUS-Server. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.
RADIUS Server AUTH Port
Die Portnummer des AUTH-Ports (Authentifizierung) für den RADIUS-Server.
RADIUS Server ACCT Port
Die Portnummer des ACCT-Ports (Accounting) für den RADIUS-Server.
RADIUS Server COA Port
Die Portnummer des COA-Ports (Change of Authorisation) für den RADIUS-Server.
Tipp
Die Standardwerte für den RADIUS-Port sind: 1812 (AUTH), 1813 (ACCT) und 3799 (COA).
Externes Portal verwenden
Wird diese Option ausgewählt, kann ein externes Portal als Schnittstelle für die Anmeldung konfiguriert werden, das Benutzer
sehen, wenn sie sich über den Hotspot verbinden möchten. Das externe Portal muss kompatibel sein und mit chilli
kommunizieren. Die folgenden Optionen müssen konfiguriert werden, um das externe Portal zu aktivieren:
URL des externen Portals
Der Ort, an dem sich das Portal befindet.
NAS ID
Die Network Access Server-Kennung des RADIUS-Servers, die das Portal identifiziert.
UAM Secret
Der gemeinsame UAM-Schlüssel des externen RADIUS-Servers. Obwohl es möglich ist, keinen Wert für diese Option
festzulegen, sollten Sie es dennoch tun, da es die Sicherheit erhöht.
Erlaubte Seiten / Zugriff
Eine Liste von Websites, auf die auch ohne Registrierung auf dem Hotspot zugegriffen werden kann.
Aktiviere AnyIP
Ermöglicht es Kunden ohne aktiven DHCP-Client, sich mit dem Hotspot zu verbinden.
Hinweis
Die Einrichtung eines RADIUS-Servers wird hier nicht beschrieben, da dies außerhalb des Aufgabenbereichs von Panda liegt und für
diese Aufgabe keine Unterstützung bereitstellt wird.
Master-/Satellitenrollen und VPN
Die Master-/Satellitenrollen können sich als nützlich erweisen, wenn größere Bereiche abgedeckt werden sollen und ein Hotspot dafür
nicht ausreicht. Falls eine solche Architektur verwendet wird, werden alle Verwaltungsaufgaben für Benutzer und Tickets nur auf dem
Master ausgeführt. Auf den Satellitensystemen ist nur der Abschnitt Berichte (unter der Hotspot-Administrationsoberfläche) verfügbar.
Die Verbindung zwischen dem Master und seinen Satelliten wird eingerichtet, indem OpenVPN-Konten auf dem Master erstellt werden,
wobei jeweils ein Konto für jeden Satelliten verwendet wird und ein VPN-Tunnel zwischen jedem Paar aus Master und Satellit erstellt
wird. Viele Aufgaben müssen vor Einrichtung dieser Konfiguration sowohl auf dem Mastersystem als auch auf den Satellitensystemen
abgeschlossen werden. Diese sind in zwei Teile gruppiert, die jeweils aus umfassenden Operationen bestehen, die entweder auf dem
Master (gekennzeichnet mit M#) oder auf dem Satelliten (gekennzeichnet mit S#) ausgeführt werden müssen.
Wenn ein Master und einer (oder mehrere) Hotspotsatelliten bereits konfiguriert sind, ist es für einen zusätzlichen Satelliten nur
erforderlich, die Schritte M3, M4 und M5 auf dem Master sowie alle Schritte auf dem Satelliten auszuführen.
M0. Legen Sie den Hotspot als eigenständig fest (dies ist optional).
M1. Richten Sie im Abschnitt Menü „VPN“ (VPN ‣ OpenVPN Server) den Hotspot als OpenVPN-Server mit einem
gerouteten Verbindungstyp und einem Ad-hoc-Netzwerkbereich ein (xxx.yyy.zzz.0/24), der sich von den Subnetzen der
anderen Zonen der Panda GateDefender-Appliance unterscheidet.
M2. Es wird eine neue virtuelle Schnittstelle erstellt, die den Datenverkehr der OpenVPN-Tunnel routet. Der Master erhält
die IP xxx.yyy.zzz.1 (d. h. die erste verfügbare IP-Adresse im Netzwerkbereich) und fungiert als Gateway für alle
OpenVPN-Tunnel.
M3. Erstellen Sie ein eindeutiges OpenVPN-Konto für jedes Remote-Satellitensystem (unter Menüleiste ‣ VPN ‣
OpenVPN Server ‣ Konten). Das OpenVPN-Konto muss mit einer statischen IP-Adresse konfiguriert werden. Die den
Satelliten zugewiesenen IP-Adressen müssen innerhalb des unter Schritt M1 festgelegten Subnetzes liegen. Innerhalb des
Subnetzes sind IP-Adressen, die mit 0 oder 255 enden, und die erste IP-Adresse im Subnetzbereich nicht für Satelliten
verfügbar.
Tipp
Eine gute Methode ist es, jedem neuen Satelliten die jeweils niedrigste verfügbare IP-Adresse zuzuweisen, damit diese
geordnet sind.
Nachdem alle erforderlichen Kundenkonten erstellt wurden, und bevor die Master-/Satellitenkonfiguration aktiviert wird, ist es notwendig
die Einrichtung der OpenVPN-Verbindung auf Korrektheit zu prüfen. Daher sind auf Satellitenseite zwei Schritte erforderlich:
S1. Erstellen Sie das Konto für den OpenVPN-Client (VPN ‣ OpenVPN Client (Gw2Gw)) unter Verwendung eines der
unter Schritt M3 erstellten Konten.
S2. Stellen Sie eine Verbindung mit dem Master her, und stellen Sie sicher, dass eine Verbindung besteht und
Datenverkehr übertragen wird.
Jetzt ist es möglich den Master zu aktivieren und die Einrichtung abzuschließen:
M4. Öffnen Sie die Seite mit den Hotspot-Einstellungen, und aktivieren Sie das benötigte VPN-Konto in der Liste der
Satellitenhotspotsysteme.
M5. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Die Einrichtung des Masters ist nun abgeschlossen. Fahren Sie daher mit der Einrichtung des Satelliten fort:
S3. Öffnen Sie das Hotspot-Menü, wählen Sie Hotspotsatellit, geben Sie die erste im VPN-Subnetz des Masters
verfügbare IP-Adresse und dessen Hotspotpasswort ein, und wählen Sie aus dem Dropdown-Menü den Hotspot-VPN-
Tunnel aus.
S4. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.
Öffnen Sie zur Überprüfung der korrekten Verbindung des Satellitensystems die dazugehörige Hotspot-Administrationsoberfläche. Es
wird eine eingeschränkte Schnittstelle angezeigt, die nur den Abschnitt Berichte enthält. Alle Verwaltungsaufgaben werden an den
Master weitergeleitet.
Die Einrichtung ist nun abgeschlossen. Sowohl der Master als auch die Satellitensysteme arbeiten korrekt.
Externe Authentifizierung verwenden
Das Festlegen der Hotspot-Rolle als Master/eigenständiger Hotspot ermöglicht es, eine externe Quelle zum Zweck der
Benutzerauthentifizierung zu verwenden und gleichzeitig die Kontenverwaltung, Protokollierung, Benutzerdatenbank und alle weiteren
Einstellungen in der Panda GateDefender-Appliance zu belassen. Anders gesagt: Die Benutzerdaten werden lokal vom externen Server
(RADIUS oder LDAP) kopiert, wodurch es möglich wird, die Anmeldeinformationen auf dem Remote-Server bereitzustellen und den
Hotspot ohne Erstellen eines neuen Kontos zu verwenden.
Zur Verbindung des Hotspots mit dem Remote-Server und der Datenabfrage gibt es eine verfügbare Option:
Externe Authentifizierung verwenden
Durch Aktivieren dieses Kontrollkästchens werden die zwei möglichen Modalitäten zur Authentifizierung zusammen mit allen
benötigten Optionen zur Konfiguration angezeigt.
Servertyp
Dieses Dropdown-Menü ermöglicht es, einen der zwei unterstützten Server auszuwählen (LDAP oder RADIUS). Änderungen an den
Konfigurationsoptionen werden entsprechend angezeigt.
Hinweis
Die zusätzlich angezeigten Konfigurationsoptionen sind denen unter Menüleiste ‣ Proxy ‣ HTTP ‣ Authentifizierung sehr ähnlich.
Beispiel HS1 – Externe Authentifizierung mit LDAP:
Die Einstellungen für den LDAP-Server können wie folgt unter Verwendung des standardmäßigen Active Directory-Formats festgelegt
werden. Hierbei gilt:
DC ist der Domänencontroller
OU ist die Organisationseinheit, eine Gruppe von Objekten innerhalb des DC.
CN ist der gemeinsame Name des Benutzers in der OU.
Zur Autorisierung der Hotspotnutzung für Benutzer in der Organisationseinheit Mitarbeiter innerhalb der Domäne ACME des
LDAP-Servers, der sich auf ldap.beispiel.org befindet, werden die folgenden Einstellungen benötigt:
1. LDAP Server: ldap://ldap.beispiel.com
2. Bind DN Einstellungenou=MITARBEITER,dc=ACME
3. Bind DN Benutzernamecn=admin,dc=ACME
4. Bind DN Passwort – Remote-Passwort des Benutzeradministrators
5. Benutzer Suchfilter (&(uid=%(u)s))
Für LDAP Server sind die folgenden Konfigurationsoptionen verfügbar (siehe das Beispiel auf der rechten Seite für weitere Details):
LDAP Server
Die IP-Adresse oder der Hostname des LDAP-Servers im LDAP-Format.
Tipp
Falls nötig, kann der Port nach der URL spezifiziert werden, z. B.: ldap://192.168.0.20:389/. Der Standardport 389 kann problemlos
weggelassen werden.
Bind DN Einstellungen
Diese Einstellungen legen den definierten Namen des LDAP-Servers fest, d. h. den Knoten auf oberster Ebene der LDAP-
Baumstruktur.
Bind DN Benutzername
Der für DN-Abfragen verwendete Benutzername. Es ist notwendig, die Anmeldeinformationen der Hotspotbenutzer abzurufen
und zu authentifizieren.
Bind DN Passwort
Das Passwort für den Benutzer, das in der vorherigen Option festgelegt wurde. Durch Aktiveren des Kontrollkästchens auf
der rechten Seite werden die Zeichen angezeigt.
Benutzer Suchfilter
Die zur Abfrage des Remote-LDAP-Servers zu verwendende Zeichenfolge.
LDAP Backup Server
Die IP-Adresse oder der Hostname des LDAP-Fallback-Servers im LDAP-Format, die verwendet werden soll, wenn der
primäre Server nicht erreichbar ist.
Standardtarif
Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.
Für RADIUS Server stehen die folgenden Konfigurationsoptionen zur Verfügung:
RADIUS Server
Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers
Der Port, der vom RADIUS-Server abgehört wird.
Kennung
Eine zusätzliche Kennung.
Shared Secret
Das Passwort, das verwendet werden soll.
RADIUS Backup Server
Die IP-Adresse oder URL des RADIUS-Fallback-Servers, falls der primäre Server nicht erreichbar ist.
Standardtarif
Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.
Administrationsschnittstelle
Die Menüleiste für Hotspot-Administration
Dieser Abschnitt beschreibt die Kernkomponenten des Hotspots und enthält Unterseiten, die erklären, wie Konten, Tickets und
Tickettarife verwaltet, Berichte erstellt und die allgemeinen Einstellungen konfiguriert werden. Obwohl die Benutzeroberfläche dasselbe
Design wie die anderen Module besitzt, enthält sie eine völlig neue Menüstruktur. Die Komplexität und die zahlreichen
Konfigurationsoptionen erfordern die Anwendung eines anderen Layouts. Der Hotspot wird als unabhängiges Modul der Panda
GateDefender-Appliance betrachtet. Daher wird die Standardmenüleiste, die bei allen anderen Hauptabschnitten der Panda
GateDefender-Appliance gleich ist, durch eine neue, zweiteilige Leiste ersetzt (siehe obige Abbildung). Der obere Teil enthält das
„eigentliche“ Menü und ändert sich für die verschiedenen Teile der Administrationsschnittstelle nicht. Der untere Teil ist ein Untermenü,
das sich abhängig vom ausgewählten Abschnitt der Administrationsschnittstelle ändert.
Jeder der vier Hauptbereiche ermöglicht die Verwaltung einer Hotspot-Komponente:
Konten – Benutzerkonten erstellen, verwalten, importieren und exportieren
Tickets – Tickettarife definieren und Tickets erstellen
Berichte – Zugriff auf die verschiedenen Protokolle für Kontostände, Verbindungen und Transaktionen
Einstellungen – Erscheinungsbild der Webschnittstelle ändern, SmartConnect™ einrichten, API aktivieren und alle Funktionen
konfigurieren.
Ganz rechts befindet sich stets der Link Hauptmenü, um zur ersten Übersicht und zur Menüleiste zurückzukehren.
Konten
Dieser Abschnitt der Schnittstelle für die Hotspot-Administration enthält vier Einträge im Untermenü (Liste, Aus CSV-Datei importieren,
Als CSV-Datei exportieren und Konto-Generator), die das Erstellen, Löschen und Verwalten der Clients des Hotspots gestatten.
Liste
Diese Seite enthält standardmäßig eine Liste der verfügbaren Benutzerkonten mit einigen Informationen wie: Benutzernamen/MAC-
Adresse, Name (der vollständige Benutzername), Aktiviert (der Status des Kontos), Erstellungsdatumund Gültig bis. Einige der Optionen
dienen der Anpassung der Ansicht:
Sortiere nach
Benutzer können nach jedem der oben genannten Felder sortiert werden, außer nach ihrem Status.
Umgekehrte Reihenfolge
Die Liste wird in aufsteigender oder absteigender Reihenfolge sortiert.
Deaktivierte Konten ausblenden
Deaktivierte Benutzer, d. h. Benutzer, die existieren, aber keinen Zugang zum Hotspot haben, werden von der Liste
ausgeblendet.
Suche
Das Suchen nach Konten ist ebenfalls möglich. Für große Ergebnismengen steht die Paginierungsfunktion zur Verfügung.
Hinweis
Benutzer, die in diesem Abschnitt aufgeführt werden, sind Benutzer des Hotspots und werden als Kunden angesehen, die auf das
Internet zugreifen und darin surfen können. Es gibt jedoch zwei weitere Arten von Benutzern: Administratoren und Konto-Editoren, deren
Fähigkeiten und Aufgaben im Abschnitt Hotspot-Nutzer beschrieben werden.
Für jedes Konto sind mehrere Aktionen verfügbar, die für jedes Konto rechts neben der folgenden Tabelle angezeigt werden:
Ticket bearbeiten/hinzufügen
Ein Konto kann bearbeitet oder gelöscht werden, während ihm Tickets zugewiesen werden können.
Kontostand
Zeigt das Guthaben des Kontos.
Verbindungen
Zeigt detaillierte Informationen über das Konto.
Löschen
Entfernt das Benutzerkonto vom Hotspot.
Druckt eine informative Nachricht mit den Zugangsdaten für dieses Konto.
Tipp
Nachrichten für MAC-basierte Konten können nicht gedruckt werden, da für sie kein Benutzername oder Kennwort definiert ist.
Das Anzeigen des Kontostands und der Verbindung zusammen mit der Option für deren Verwaltung werden im Abschnitt Berichte
beschrieben. Die Kontoadministration (Benutzer- und Ticketverwaltung) wird im weiteren Verlauf dieses Abschnitts beschrieben.
Ein neues Konto kann auf zwei alternative Arten erstellt werden: Entweder durch Angabe eines Benutzernamens und Kennworts oder
durch Angabe einer MAC-Adresse. Beide Aktionen können durch Klicken auf den entsprechenden Link über der Kontotabelle
durchgeführt werden. Die Daten jedes Kontos werden in drei Typen unterteilt: Anmeldeinformationen, Kontoinformationen und Tickets.
Die Anmeldeinformationen unterscheiden sich leicht hinsichtlich des Kontotyps. Die Kontoinformationen sind gleich. Letztlich können
einem Konto Tickets zugewiesen werden. Dies hängt von den bereits definierten und im Hotspot verfügbaren Tickettypen ab. Eine
Beschreibung der Tickets und Einstellungen finden Sie im Abschnitt Tickets.
Konto hinzufügen
Die Erstellung eines neuen Kontos erfordert die Angabe eines Benutzernamens und Passworts, die den Benutzer
identifizieren, der sich mit dem Hotspot verbindet. Zusätzliche Einstellungen können abweichend von den Standardwerten
unter Einstellungen vorgenommen werden. Diese sind: Ablaufdatum („gültig bis“) zeigt an, ob das Konto aktiv ist, die Sprache
und die Bandbreitenbegrenzung in kbit/s. Die Sprache kann aus denen gewählt werden, die unter Hotspot ‣
Administrationsschnittstelle ‣ Einstellungen ‣ Sprache aktiviert wurden.
MAC-basiertes Konto hinzufügen
Der einzige Unterschied besteht darin, dass für diese Art von Konten der Benutzername und das Passwort nicht benötigt
werden. Stattdessen wird die MAC-Adresse der Netzwerkschnittstelle eines Computers angegeben, die zur Identifizierung
eines Kontos verwendet wird. Die übrigen Einstellungen sind dieselben. MAC-basierten Adressen kann jedoch auch eine
statische IP-Adresse zugewiesen werden.
Mit jedem Konto können die folgenden Daten verbunden werden:
Zugangsdaten
Dieses Feld enthält Informationen, die mit dem neu erstellten Konto verbunden und für den Zugriff und die Verwendung des Hotspots
notwendig sind.
Benutzername
Der mit dem Konto verbundene Benutzername. Wenn das Feld leer ist, wird ein zufälliger Benutzername generiert.
Passwort
Das Passwort für das neue Konto kann durch das System automatisch generiert werden, indem dieses Feld leer gelassen
wird. Das Passwort wird nur angezeigt, wenn die Nachricht mit den Hotspot-Anmeldeinformationen für den Benutzer
ausgedruckt wird.
MAC Adresse
Die MAC-Adresse dient der Identifizierung des Kontos. Diese ist nur für MAC-basierte Konten verfügbar.
Gültig bis
Das Datum, an dem das Konto abläuft. Der Standardwert von einem Jahr (365 Tage) kann unter Einstellungen geändert
werden. Geben Sie zum Ändern des Werts des aktuellen Kontos entweder das neue Datum im Format DD.MM.JJJJ an, oder
klicken Sie auf die Schaltfläche ..., und wählen Sie das neue Datum aus dem Kalender aus.
Aktiv?
Das Kontrollkästchen gibt an, ob das Konto aktiviert ist oder nicht. Wenn das Kontrollkästchen aktiviert ist, ist das Konto
aktiviert.
Sprache
Die Sprache, in der die Meldungen des Hotspots angezeigt werden. Sie kann aus den verfügbaren Sprachen in einem
Dropdown-Menü ausgewählt werden.
Bandbreitenbegrenzung
Die Bandbreitenbegrenzung sowohl für den Upload als auch für den Download in kbit/s. Ein leeres Feld steht für keine
Begrenzung, d. h. dass der Benutzer die gesamte Bandbreite nutzen kann. Benutzerdefinierte Begrenzungen können durch
Aktivierung der entsprechenden Kontrollkästchen aktiviert werden.
Statische IP Adresse
Diese Option ist nur für MAC-basierte Konten verfügbar, die einer hier angegebenen statischen IP-Adresse zugewiesen
werden.
Warnung
Beachten Sie, dass eine Änderung der bestehenden Anmeldeinformationen (wie dem Benutzernamen) die Erstellung eines neuen
Kontos bewirkt.
Kontoinformationen
Dieses Feld enthält alle persönlichen Informationen, die mit dem Besitzer des Kontos verbunden sind.
Titel
Die Anrede der Person (z. B. Frau, Dr.)
Vorname
Der Vorname des Benutzers
Nachname
Der Nachname des Benutzers
Straße
Die Straße, in welcher der Benutzer lebt.
PLZ
Die Postleitzahl des Wohnortes des Benutzers
Stadt
Der Wohnort des Benutzers
Land
Das Land, in dem der Benutzer lebt. Es kann aus dem Dropdown-Menü ausgewählt werden.
E-Mail Adresse
Die E-Mail-Adresse, die mit dem Konto verbunden wird. E-Mail-Adressen können ohne Beschränkung im Konto-Editor
geändert werden. Eine bereits in Gebrauch befindliche E-Mail-Adresse kann jedoch nicht verwendet werden, um ein
SmartConnect™-Konto zu registrieren.
Telefonnummer
Die mit dem Konto verbundene Telefonnummer. Die Landesvorwahl kann aus dem linken Dropdown-Menü ausgewählt
werden. Die Telefonnummer muss in das rechte Textfeld eingetragen werden.
Geburtsdatum
Der Geburtstag des Benutzers
Geburtsort
Der Ort, in dem der Benutzer geboren wurde.
Dokumenttyp
Der Dokumenttyp, der zur Identifizierung des Benutzers verwendet wurde. Im Dropdown-Menü stehen vier Dokumenttypen
zur Verfügung: Geburtsurkunde, Personalausweis, Reisepass und Führerschein
Dokumentnummer
Die Identifikationsnummer des Dokuments, das zur Identifizierung des Benutzers verwendet wurde. Beachten Sie, dass in
einigen Ländern das Sammeln von Dokumenten obligatorisch für den Zugriff auf öffentliche Hotspots sein kann.
Dokument ausgestellt von
Der Aussteller des Dokuments (z. B. Musterstadt)
Beschreibung
Eine zusätzliche Beschreibung des Kontos
Tickets
In diesem Feld können die mit dem aktuellen Konto verbundenen Tickets angezeigt und verwaltet werden. Folgende Optionen werden
angezeigt:
Neues Ticket
Das Dropdown-Menü zeigt die verfügbaren Tickettarife und ob diese zeit- oder datenbasiert sind. Es ist nicht möglich, zeit-
und datenbasierte Tickets zu mischen. Daher kann einem Benutzer kein datenbasiertes Ticket zugewiesen werden, wenn
ihm bereits ein oder mehrere zeitbasierte Tickets zugewiesen wurden (und umgekehrt).
Gültigkeit
Sobald ein Ticket ausgewählt ist, wird diese Option angezeigt und die Ticketgültigkeit kann angepasst werden. Die
verfügbaren Werte sind dieselben, wie bei der Erstellung der Tickettarife und überschreiben die Standardwerte (angezeigt im
Textfeld und im Dropdown-Menü darunter).
Hinzufügen
Sobald das Ticket ausgewählt wurde, kann es dem aktuellen Konto durch Klicken auf diese Schaltfläche zugewiesen werden.
Hinweis
Beim Bearbeiten eines bestehenden Kontos ist es auch möglich, eine Willkommensnachricht mit den Zugangsdaten zu drucken, indem
Sie auf die SchaltflächeDrucken klicken. Hierbei handelt es sich um dieselbe Aktion, die über die Liste der Konten durchgeführt werden
kann.
Am unteren Rand des Feldes zeigt eine kleine Tabelle alle Tickets, die mit dem Konto verbunden sind, zusammen mit einigen
Informationen. Wenn ein Ticket noch gültig ist, kann es gelöscht werden. Ist es jedoch bereits abgelaufen, bleibt es dort, da es bereits in
den Kontoeinträgen für dieses Konto gespeichert ist (siehe Berichte für weitere Informationen zu Kontostand und Kontoeinträgen).
Wenn die Panda GateDefender-Appliance bereits zyklische Tickets unterstützt (eingeführt mit Version 2.5-20130516) , wird nach der
Auswahl eines zyklischen Tickets aus dem Dropdown-Menü anstelle des Dropdown-Menüs Gültigkeit ein kleines Formular mit folgenden
Optionen angezeigt:
Startdatum
Der Tag, an dem der erste Zyklus des Tickets startet. Wenn der Ticketzeitraum Monatlich ist, kann nur der erste
Gültigkeitsmonat ausgewählt werden. Für Tickets mit monatlichem Zyklus ist der Start des Zeitraums der erste Tag des
Monats, wobei das Ende der letzte Tag des Monats ist.
Enddatum
Der Tag, an dem der erste Zyklus des Tickets endet. Wenn der Ticketzeitraum Monatlich ist, kann nur der letzte
Gültigkeitsmonat ausgewählt werden.
Unterhalb dieser Optionen zeigt eine variable Meldung die Gesamtzahl der Ticketzyklen sowie den Preis pro Zyklus an und berechnet
den Gesamtpreis des Tickets. Wie bei normalen Tickets pflegt eine Tabelle die Liste der mit dem Konto verbundenen zyklischen Tickets.
Diese Tabelle wird aus Gründen der Übersichtlichkeit getrennt von der anderen Tabelle gehalten.
CSV Datei importieren
Beim Importieren der Kontonamen aus einer CSV-Datei ist der Dateiname nicht wichtig (exportierte Dateien haben eigene Namen, siehe
nächster Abschnitt), die Datei muss jedoch über ein festes Feldformat verfügen. Folgende Optionen stehen zur Verfügung:
Datei auswählen
Klicken Sie auf diese Schaltfläche, um die CSV-Datei auszuwählen, die hochgeladen werden soll. Die Datei muss eine reine
Textdatei sein, d. h. ZIP-Archive, GPG-verschlüsselte Dateien und Ähnliches werden nicht akzeptiert.
Separator
Das Zeichen, das als Trennzeichen verwendet werden soll; normalerweise ein Komma (,) oder ein Semikolon (;). Wenn das
Trennzeichen nicht angegeben wird, versucht die Panda GateDefender-Appliance, das korrekte Zeichen zu erraten.
Tipp
Die Panda GateDefender-Appliance nutzt Kommas, um Felder zu trennen.
Die erste Zeile des CSV-Dokuments beinhaltet die Titel der Felder
Aktivieren Sie das Kontrollkästchen, um die Panda GateDefender-Appliance wissen zu lassen, dass die erste Zeile der CSV-
Datei die Spaltentitel enthält, um diese beim Importieren zu ignorieren.
Hinweis
Dateien, die von der Panda GateDefender-Appliance nicht als CSV-Datei erkannt werden, werden zurückgewiesen, wobei folgende
Meldung angezeigt wird: Die angegebene Datei scheint nicht im CSV Format zu sein.
Konten importieren
Klicken Sie auf diese Schaltfläche, um die CSV-Datei zu importieren.
Nachdem das Konto importiert wurde, wird die Seite durch eine neue ersetzt, die einige Spalten enthält (abhängig davon, wie viele
Konten in der Datei gefunden wurden). Die erste Spalte enthält alle verfügbaren Felder, während die zweite Spalte alle die Felder enthält,
die in der CSV-Datei erkannt wurden.
Tipp
Wenn in der ersten Spalte der Hintergrund der Beschriftungen rot und in der zweiten Spalte grün ist, wurden die Daten erfolgreich
importiert.
Die verbleibenden Spalten zeigen den Inhalt der Datei und die Interpretationsart der Daten in der Datei an. Alle Felder, die nicht erkannt
wurden, werden gelb dargestellt: Sie können mit den verfügbaren Feldern verbunden werden, indem die roten Beschriftungen von der
linken Spalte auf die gelben Felder in der zweiten Spalte gezogen werden.
Hinweis
Die Daten in diesen Spalten können nicht geändert werden. Wenn es also ein Problem damit gibt, kehren Sie zur vorherigen Seite
zurück, um den Importvorgang abzubrechen und die CSV-Datei zu ändern. Anschließend können Sie den Import erneut starten.
Unter der Tabelle werden folgende Optionen angezeigt:
Wollen sie sehen welche Konten importiert werden?
Aktivieren Sie das Kontrollkästchen, bevor die neuen Konten importiert und gespeichert werden. Es wird eine zweigeteilte
Zusammenfassung der Konten angezeigt: Die neuen Konten werden im oberen Bereich der Seite angezeigt. Im unteren
Bereich stehen die zu aktualisierenden Konten.
Konten speichern
Durch Klicken auf diese Schaltfläche wird die Speicherung der Konten in der Panda GateDefender-Appliance gestartet.
Dazu gehört der Importvorgang.
Tipp
Wenn das Kontrollkästchen oben aktiviert ist, klicken Sie erneut auf diese Schaltfläche, nachdem die Zusammenfassung
anzeigt wurde, um den Importvorgang abzuschließen.
Warnung
Beachten Sie, dass durch eine Änderung der Zugangsdaten des Benutzers ein neues Konto erstellt wird. Dies trifft auch dann zu, wenn
Konten importiert werden, die sich nur geringfügig von den Zugangsdaten der bestehenden Konten unterscheiden. Prüfen Sie die Konten
vor dem Import also, um potentielle Probleme zu vermeiden.
Als CSV-Datei exportieren
Eine Liste aller vorhandenen Konten kann im CSV-Format exportiert und gespeichert werden. Beim Exportieren der Liste werden die
angezeigten Felder in der exportierten Datei fixiert, sodass es nur möglich ist, die Datei zu öffnen (anzuzeigen) oder zu entscheiden, in
welchem Verzeichnis sie gespeichert werden soll. Der Einfachheit halber wird der Dateiname als accounts_JJJJJMMDD_HHMM
gespeichert, wobei JJJJMMTT das Jahr, den Monat und den Tag darstellt und HHMM die Stunde und Minuten, zu denen die Liste
exportiert wurde. Diese Auswahl erlaubt es, die exportierten Dateien in lexikografischer Reihenfolge in dem Verzeichnis aufzulisten, in
dem sie gespeichert sind. Die Dateinamen können jedoch beliebig geändert werden. Die exportierten Dateien können als Sicherung
verwendet und später importiert werden.
Warnung
Beachten Sie, dass die exportierte Liste auch die Passwörter der Benutzer als Nur-Text enthält. Bewahren Sie die Liste daher an einem
sicheren Ort auf.
Account Generator
Die Verwendung des Account Generator kann besonders dann hilfreich sein, wenn es notwendig ist, eine Vielzahl neuer Konten mit
einem bereits zugewiesenen Standardticket zu erstellen. Diese können dann beispielsweise einer Gruppe von Benutzern zugewiesen
werden. Denken Sie beispielsweise an die Registrierungsphase am Anfang von Veranstaltungen, wie z. B. Konferenzen bzw. Tagungen,
bei denen große Gruppen von Menschen auf den Hotspot zugreifen und ihre Zugangsdaten binnen kürzester Zeit erhalten müssen. Der
Account Generator gestattet es, eine bestimmte Anzahl von Konten gleichzeitig zu erstellen, indem nur einige allgemeine Informationen
angegeben werden müssen, die in drei Bereiche unterteilt sind: Benutzername, Passwort und Einstellungen (unten beschrieben). Diese
Seite ist in vier Felder unterteilt: Die ersten drei Felder stellen den Account Generator dar, während das vierte Feld eine Liste der
erzeugten Massenkonten enthält. Diese werden nach der Erstellung im unteren Bereich der Seite angezeigt.
Beispiel HS2 – Erstellung von mehreren Konten:
Dieses Beispiel zeigt die Unterschiede zwischen dem sequenziellen und zufälligen Generator, wobei 5 Konten mit den gleichen
allgemeinen Einstellungen erstellt werden:
Präfix des Benutzernamens: user (4 Zeichen)
Länge des Benutzernamens: 8 Zeichen (also müssen 4 weitere Zeichen hinzugefügt werden)
Passwortlänge: 8 Zeichen
Zeichensätze: alle
Verwenden des sequenziellen Benutzernamengenerators, wobei die Option Sequenzstart auf 10 eingestellt ist: Die daraus
resultierende Ausgabe (Benutzername / Passwort) lautet wie folgt:
user0010 / hLFE.+6C
user0011 / u_4w3.N_
user0012 / h7R7p7sK
user0013 / p6lGRc3T
user0014 / KqUDmWiI
Da weitere Zeichen benötigt werden, um die Länge von 8 Zeichen für den Benutzernamen zu erreichen, werden mehrere Nullen
zwischen das Präfix und die Sequenz eingefügt.
Verwenden des zufälligen Benutzernamengenerators, wobei alle Zeichensätze außer Extra akzeptiert werden. Die daraus resultierende
Ausgabe (Benutzername / Passwort) lautet in etwa wie folgt:
userLI4u / p0Dch_fA
userWNDS / Qhbovfb7
userrq7K / dQTlmA-u
userSYE0 / BuWHuKfZ
userAHEQ / -Gx1yMta
Benutzername
Es gibt zwei verschiedene Arten von Benutzernamengeneratoren: Sequentiell und Zufällig, die über zwei gemeinsame Optionen
verfügen:
Präfix
Der erste Teil des Benutzernamens; für alle Massenkonten gleich. Ein leeres Präfixfeld wird ebenfalls akzeptiert.
Länge
Die Gesamtlänge des Benutzernamens.
Der Benutzername muss länger als das Präfix sein, anderenfalls wird eine Fehlermeldung angezeigt.
Die Benutzernamen werden für die beiden Generatoren unterschiedlich vervollständigt. Für jeden Generator wird eine eigene Option
angezeigt. Beim sequenziellen Generator werden aufsteigende Ziffern verwendet, die durch die folgende Option definiert werden:
Sequenzanfang
Die Ziffer oder Zahl, mit der die Sequenz startet.
Tipp
Wenn neben dem Präfix und der Sequenz mehr Zeichen erforderlich sind, um die erforderliche Länge zu erreichen, werden
Nullen hinzugefügt (siehe Beispiel HS2).
Im Fall des zufälligen Generators werden Zeichen verwendet, die durch verschiedene, ausgewählte Zeichensätze definiert werden:
* Großbuchstaben (A–Z)
* Kleinbuchstaben (a–z)
* Ziffern (0–9)
* Sonderzeichen (._-+)
Passwort
Die Länge des Passworts und die verwendeten Zeichensätze zur Erstellung der zufälligen Passwörter können hier definiert werden. Die
Sicherheit des Passworts wird von seiner Länge und der Anzahl der folgenden vier Zeichensätze bestimmt: Groß- und Kleinbuchstaben,
Ziffern und Sonderzeichen. Als Faustregel gilt: Eine Länge von 8 Zeichen, wobei alle Zeichensätze verwendet werden, erzeugt 48-Bit-
Passwörter, die für die meisten Anwendungen ausreichend sind.
Einstellungen
Zusätzliche Optionen für die generierten Konten: Die Anzahl der zu generierenden Konten, ob diese sofort aktiviert werden, ob ihnen ein
Standardticket zugewiesen ist, und letztlich wie viele Tage die Konten bestehen sollen.
Klicken Sie zum Erstellen von Benutzern mit den angegebenen Einstellungen auf die Schaltfläche Konten erstellen: Ein Beispiel für die
ersten fünf Benutzername-Passwort-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen
erstellt. Sie können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.
Nach der ersten Erstellung von Massenkonten wird die Seite mit einer Bestätigungsmeldung neu geladen, und unter dem Konto-
Generator wird eine neue Tabelle angezeigt, die Informationen über die erstellten Konten enthält. Die Tabelle enthält folgende Spalten:
Datum
Das Datum, an dem die Konten erstellt wurden.
Generierte Benutzer
Die Anzahl der erstellten Benutzer
Aktionen
Für jede Massenerstellung stehen drei Aktionen zur Verfügung:
Einstellungen laden, um die Einstellungen für die Erstellung dieser Konten zu laden und sie bei einer neuen Massenerstellung erneut
zu verwenden.
Benutzer löschen, um alle in dieser Erstellung erstellten Benutzer zu löschen. Diese Aktion löscht nur Benutzer, die noch nicht
verbunden sind oder kein verbleibendes Guthaben besitzen. Mit anderen Worten: Benutzer, die bereits mit dem Hotspot verbunden
sind oder Guthaben besitzen, werden nicht gelöscht.
Als CSV exportieren, um die Benutzername-Passwort-Kombination im CSV-Format zu exportieren. Dies ist nützlich, um die Daten auf
Prepaid-Karten zu drucken.
Tickets
In diesem Bereich können alle Ticketoptionen verwaltet werden: welcher Typ der Tickets verfügbar ist, ob sie zeit- oder datenbasiert sind,
ihr Tarif, d. h. wie viel der Benutzer pro Zeit- oder Dateneinheit zahlt, und die Erstellung von erweiterbaren Tickets. Die Optionen sind in
drei Kategorien gruppiert, die im Untermenü Tickets aufgeführt sind: Tarife, Quick-Ticket und Ticket-Generator.
Neuerungen in Version 2.5-20130516:Zyklische Tickets
Tarife
Die Panda GateDefender-Appliance bietet die Möglichkeit, mehrere Tickettarife auf der Seite Tarife hinzufügen festzulegen, indem Sie
verschiedene Zahlungsarten (Postpaid oder Prepaid) und Messarten (datenbasiert oder zeitbasiert) aus dem jeweiligen Dropdown-Menü
auswählen. Abhängig von der gewählten Kombination kann der Preis pro genutzter Einheit oder für das gesamte Ticket eingestellt
werden. Insbesondere bei der Zahlung im Voraus kann der Preis pro Stunde (zeitbasiert) oder pro 10 MB (datenbasiert) definiert werden.
Die Zahlung im Nachhinein erlaubt dagegen die Definition eines präzisieren Preises und sogar der Einheit. In diesem Fall können sogar
der Zeitraum (in Minuten, Stunden oder Tagen) oder Verkehr (in MB oder GB) sowie entweder der Ticketpreis oder der Einheitenpreis
bereitgestellt werden.
Hinweis
Wenn Sie den Ticketpreis eingeben, wird der Einheitenpreis automatisch berechnet und umgekehrt. Dies ist hilfreich, um
unterschiedliche Typen von Tickets mit Vorauszahlung anzubieten und beispielsweise zu prüfen, ob die Kosten für vier im Voraus
bezahlte Tickets mit 15-minütiger Dauer höher sind als für ein im Voraus bezahltes Ticket mit einer Dauer von einer Stunde.
Zyklische Tickets
Neuerungen in Version 2.5-20130516:
Zyklische Tickets sind ein neuer Tickettyp, der Hotspot-Benutzern angeboten werden kann. Der Grundgedanke der Einführung ist es,
einem Benutzer eine konstante Datenmenge in einem Zeitraum (Zyklus) zuzuweisen, der beliebig oft wiederholt werden kann
(Zyklusdauer). Jedem Benutzer kann jeweils ein zyklisches Ticket zugewiesen werden.
Ein zyklisches Ticket besteht aus drei Teilen:
1. ein Tarif, der die Kosten pro Zeit oder MB des Datenverkehrs darstellt (genau wie bei anderen Tarifen);
2. eine Zyklusdauer, bei der es sich um die Dauer von einem Tag, einer Woche, einem Monat oder einem Jahr handelt,
während dem/der der Verkehr verbraucht werden muss;
3. Die Anzahl von Zyklen, die anzeigt, wie oft hintereinander das Ticket verwendet werden kann. Diese Anzahl wird vom
Hotspot-Administrator bestimmt und ist standardmäßig auf 1 eingestellt.
Obwohl alle Tickettypen jederzeit erworben und sofort verwendet werden können, gibt es eine Ausnahme: Zyklische Tickets, deren
Zyklusdauer auf Monatlich eingestellt ist, starten den Zyklus immer am ersten Tag des Monats und laufen am letztem Tag des Monats
ab. Nehmen wir ein monatliches zyklisches Ticket, das am 20. Juni gekauft wurde. Obwohl es möglich ist, es sofort zu nutzen, endet der
erste Zyklus am 30. Juni. Es wird daher empfohlen, die Gültigkeit dieses Tickets am 1. Juli zu beginnen, damit der erste Zyklus am
31. Juli endet.
Zyklische Tickets können nur im Voraus bezahlt werden, d. h. sie müssen im Voraus gekauft werden. Übriggebliebene Datenmengen
innerhalb eines Zyklus werden nicht dem nächsten Zyklus hinzugefügt, d. h. die Daten müssen vor Ende des Zyklus aufgebraucht
werden, ansonsten gehen sie verloren. Zyklische Tarife können nicht für Quick-Tickets, SmartConnect-Tickets, den Ticket-Generator
oder den Konto-Generator verwendet werden: Sie müssen explizit einem vorhandenen Benutzer oder während der Erstellung eines
neuen Benutzers zugewiesen werden.
Die angebotenen Tickets können auch für SmartConnect™-Transaktionen verfügbar gemacht werden (siehe unten).
Die verfügbaren Tickettypen werden angezeigt, wenn in einer Tabelle mit mehreren Spalten die Seite Ticket geöffnet wird. Die Spalten
entsprechen den Optionen, die auf der Seite Tarife hinzufügen definiert werden können. Die Tupel können nach Tarifname, Zahlungsart
oder Messmethode sortiert werden. Die Sortierkriterien können umgekehrt werden, wenn das Kontrollkästchen Umgekehrte Reihenfolge
aktiviert wird. Um nach einem bestimmten Tarifnamen zu suchen oder die Namen zu filtern, füllen Sie das Eingabefeld über der Tabelle
mit mindestens einem Zeichen aus, und drücken Sie die Eingabetaste. Die Spalten der Tabelle enthalten die folgenden
Informationen:
Tarifname
Der Name des Tickettarifs
Ticket Code
Der ASA-Code für den Tickettarif. Obwohl dies nur für das ASA-Hotelverwaltungssystem verwendet wurde, muss dieses Feld
ausgefüllt werden. Falls kein ASA-Verwaltungssystem vorhanden ist, müssen Sie ein beliebiges Zeichen oder eine beliebige
Zeichenfolge eintragen.
Tipp
Wenn Sie ASA nicht verwenden, nutzen Sie für den Tarifnamen und den ASA-Tarif-Code die gleiche Zeichenfolge.
SmartConnect?
Diese Spalte gibt an, ob dieser Tarif für SmartConnect™-Transaktionen verfügbar ist. In diesem Fall wird ein -Symbol
angezeigt. Ist dies nicht der Fall wird ein -Symbol angezeigt. Durch Klicken auf das Symbol wird der Status des Tarifs
umgeschaltet.
Quick-Ticket?
Ähnlich der vorhergehenden Option zeigt diese, ob dieser Tarif für die Erstellung neuer Schnelltickets verwendet werden kann. In
diesem Fall wird das Symbol in der Liste angezeigt. Anderenfalls ist das Symbol zu sehen. Durch Klicken auf das Symbol
wird der Status des Tarifs umgeschaltet.
Neuerungen in Version 2.5-20130516:
Zahlung
Diese Spalte wird angezeigt, wenn der Tarif eine Zahlung im Voraus oder im Nachhinein erfordert.
Messmethode
In dieser Spalte wird angezeigt, ob der Tarif eine zeit- oder datenbasierte Messmethode verwendet.
Zyklus
Die Länge des einzelnen Zyklus des Tickets
Summe
Dies ist die Menge an verfügbarer Zeit oder verfügbarem Datenverkehr, wenn ein einzelnes Ticket mit diesem Tarif erstellt
wird. Im Tarif-Editor wird diese Option direkt unterhalb der Messmethode angezeigt. Im Dropdown-Menü können Sie
zwischen zeitbasierten und datenbasierten Tickets wählen. Für erstere Option kann die Anzahl der Minuten, Stunden oder
Tage der Gültigkeit ausgewählt werden, für die letztere kann zwischen Megabytes (MB) oder Gigabytes (GB) entschieden
werden.
Preis
Dies zeigt den stündlichen Preis oder den Preis pro 10 MB sowie den Ticketpreis für diesen Tarif an. Im Tarif-Editor werden
zwei Textfelder angezeigt. Diese rechnen den Einheitenpreis (10 MB oder eine Stunde) schnell in den Ticketpreis um,
wodurch sich der durchschnittliche Einheitenpreis der definierten Tarife gut steuern lässt.
Aktionen
Wählen Sie, ob Sie den Tickettarif bearbeiten oder löschen möchten.
Wenn für Tariftyp die Option Zyklisch ausgewählt wurde, ändern sich die Tarife leicht, und die folgenden Konfigurationsoptionen werden
anstelle des Preises angezeigt:
Dauer des Zyklus
Die Dauer eines Zyklus des Tarifs. Zur Auswahl stehen: ein Tag, eine Woche, ein Monat oder ein Jahr.
Preis pro Zyklus
Die Kosten für den Zyklus.
Standardanzahl an Zyklen
Die Standardanzahl an Zyklen für die Gültigkeit des Tickets. Falls nicht angegeben, wird der Wert 1 angewendet.
Beispiele zum Gesamtpreis
Sobald der Preis pro Zyklus eingegeben wurde, berechnet diese Tabelle den Gesamtpreis des zyklischen Tickets für einige
relevante Zykluslängen (z. B. 7 oder 14 Tage, 3 und 6 Monate usw.).
Im Tarif-Editor kann eine zusätzliche Einstellung für das Ticket angegeben werden:
Gültigkeit
Diese Option definiert die Ablaufdaten für die einzelnen Tickets dieses Typs und wird nur im Tarif-Editor angezeigt. Wählen Sie einen
der vier möglichen Werte aus dem Dropdown-Menü aus:
Immer steht für eine unbegrenzte Gültigkeit;
Ab Ticketerstellung ermöglicht die Festlegung der Länge der Gültigkeit des Tickets; gemessen wird in Minuten, Stunden, Tage,
Wochen oder Monaten ab der Erstellung.
Ab erster Ticketverwendung, wie bei der vorherigen Option, wobei die Gültigkeit beginnt, wenn das Ticket zum ersten Mal für den
Zugriff auf den Hotspot verwendet wird.
Bis zum Ende des Tages, d. h. dass das Ticket am aktuellen Tag verwendet werden muss.
Diese Werte werden die Standardeinstellungen für die neue, zu erstellenden Tickets sein. Sie können auf Benutzerbasis
überschrieben werden, wenn sie einem Benutzer unter Konten ‣ Liste ‣ Ticket bearbeiten/hinzufügen ‣ Ticket hinzufügen
zugeordnet werden.
Warnung
Nachdem ein Tickettarif gespeichert wurde, können nur der Tarifname, der Tarif-Code oder die Verfügbarkeit von SmartConnect™-
Transaktionen geändert werden. Tatsächlich würde eine Änderung zu inkonsistenten Kontoinformationen führen. Um also einen
Tarifpreis zu ändern, benennen Sie den bestehenden Tarif um und erstellen Sie einen neuen Tarif mit dem ursprünglichen Namen.
Nehmen wir z. B. an, es gibt einen Tarif mit dem Namen Stündlich, dessen Kosten geändert werden sollen. Benennen Sie zunächst den
Tarif in beispielsweise ALT-Stündlich um und erstellen Sie anschließend einen neuen Tarif mit dem ursprünglichen Namen „Stündlich“.
Quick-Ticket
Diese Seite wird zur Erstellung eines neuen, einzelnen Benutzerkontos verwendet, dessen Benutzername und Passwort automatisch
generiert werden. Geben Sie dazu den Vor- und Nachnamen des Benutzers an, und klicken Sie auf den gewünschten Tarif.
Tipp
Für Quick-Tickets sind nur SmartConnect™-Tarife verfügbar.
Durch Klicken auf die Schaltfläche „Tarif“ werden Benutzername, Kennwort und Tarif auf dem Bildschirm angezeigt: An dieser Stelle
kann die Sprache für den Benutzer ausgewählt werden. Diese Kontoinformationen können ausgedruckt werden, indem Sie auf die
Schaltfläche Informationen drucken klicken. Das neue Konto erbt alle Standardeinstellungen, die unter Hotspot ‣ Einstellungen definiert
wurden und auf der Seite Konten angezeigt werden. Es handelt sich um ein normales Konto, auf dem alle Aktionen durchgeführt werden
können.
Ticket-Generator
Mit dem Ticket-Generator ist es möglich, eine bestimmte Anzahl von Tickets zu erstellen, die gemeinsamen Einstellungen, einschließlich
eines vordefinierten Tickettarifs, teilen. Diese Option ist hilfreich, wenn Sie eine Vielzahl von Ticket-Codes mit Vorauszahlung für Kunden
erstellen müssen, die diese direkt für SmartConnect™ verwenden, um auf den Hotspot zuzugreifen, oder sie als Demo oder Test-Codes
verwenden. Zur Verwendung eines Tickets muss der Benutzer registriert sein. Wenn der Benutzer nicht registriert ist, muss er ein neues
Konto erstellen; ein Vorgang, der sich ganz einfach vom Kunden selbst, ohne die Notwendigkeit der Interaktion des Administrators,
durchführen lässt.
Die Seite „Ticket-Generator“ ist in zwei Bereiche unterteilt: Im oberen Bereich können die Eingabefelder zum schnellen Erstellen von
Tickets ausgefüllt werden, während der untere Bereich eine Tabelle mit den bereits erstellten Massentickets enthält. Nachdem
mindestens einige Massentickets erstellt wurden, wird der Link Erstellte Tickets anzeigen zwischen den beiden Bereichen angezeigt,
über den Sie alle verfügbaren Tickets anzeigen können (siehe unten).
Im Generator gibt zwei verfügbare Optionsgruppen, um neue Tickets zu erstellen:
Ticket Code
Definieren Sie den Präfixtext (Zeichenfolge) für das Erstellen von Massentickets, die Länge des Ticketnamens und die
Zeichensätze für die Erstellung der zufälligen Tickets.
Einstellungen
Die Anzahl der zu erstellenden Tickets und der Tarif, der den bereits unter Tarife aufgeführten Tickets zugewiesen werden
soll.
Klicken Sie zur Erstellung der Massentickets mit den angegebenen Einstellungen auf die Schaltfläche Tickets erstellen: Ein Beispiel für
die ersten fünf Ticket-Code-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen erstellt. Sie
können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.
Unter den Einstellungen des Ticket-Generators sind alle vorher generierten Tickets in einer Tabelle mit folgenden Spalten aufgelistet:
Datum
Das Datum und die Uhrzeit, an dem die Tickets generiert wurden.
Generierte Tickets
Die Anzahl der bereits generierten Tickets
Aktionen
Für jede Massenerstellung stehen drei Aktionen zur Verfügung:
Nutzen Sie Option Einstellungen laden, um die Einstellungen zu laden, die für die Ticketerstellung genutzt wurden, und um diese für
eine neue Massenerstellung wiederzuverwenden.
Nutzen Sie Option Tickets löschen, um alle Tickets dieser Erstellung zu entfernen. Dieser Vorgang löscht nur Tickets, die noch nicht
verbraucht wurden.
Nutzen Sie die Option Als CSV exportieren, um die Liste der Ticketkombinationen im CSV-Format zu exportieren.
Klicken Sie auf den Link Erstellte Tickets anzeigen, um eine Seite mit einer Tabelle aller generierten Tickets anzuzeigen. Diese können
(auch in umgekehrter Reihenfolge) nach Ticket-Code oder Erstellungsdatum sortiert werden, wobei ungenutzte oder abgelaufene Tickets
ausgeblendet werden können. Bestimmte Codes können auch über das Eingabeformular neben der Bezeichnung Code: gesucht werden.
Die Tabelle zeigt den Ticket-Code, welcher Benutzer gegebenenfalls ein Ticket verwendet hat oder einem Ticket zugewiesen wurde,
gegebenenfalls den Tickettarif, das Erstellungsdatum des Tickets und einen optionalen Link, um entweder einen unbenutzten Ticket-
Code zu löschen oder einen gerade in Gebrauch befindlichen Ticket-Code ablaufen zu lassen. Wenn die Tabelle eine große Anzahl an
Tickets enthält, kann ein Zeilenumbruch durchgeführt werden, um die Liste zu teilen.
Berichte
Der Abschnitt „Berichte“ enthält verschiedene Informationen und Statistiken zu Aktivitäten, Benutzern, Tickets, Datenverkehr,
Verbindungen und Kontoinformationen, die mit diesem Hotspot verbunden sind. In diesem Abschnitt sind einige Aktionen verfügbar, die
eine detaillierte Ansicht der Nutzerstatistiken, Verbindungen und Verwendung des Hotspots bereitstellen.
Hinweis
Bei Satellitenhotspots ist Berichte der einzige verfügbare Menüeintrag auf der gesamten Hotspot-Administrationsoberfläche.
Verbindungen
Die Standardansicht beim Öffnen der Seite Berichte enthält eine Tabelle, die alle momentan aktiven Verbindungen zum Hotspot anzeigt,
einschließlich solcher auf Satelliten, falls vorhanden. Für jede Verbindung werden die folgenden Informationen angezeigt:
Satellit
Der Name (d. h. der Name des OpenVPN-Kontos) des Remote-Hotspot-Satellitensystems, falls diese Panda GateDefender-
Appliance der Master in einer Master/Satellit-Konfiguration ist, und der Benutzer mit einem Satelliten verbunden ist (weitere
Informationen dazu finden Sie im Abschnitt Rollen auf einem Hotspot).
Benutzername
Benutzername des verbundenen Kontos.
Beschreibung
Beschreibung des verbundenen Kontos.
Authentifiziert
Zeigt an, ob die Verbindung authentifiziert ist oder nicht.
Dauer
Dauer seit Herstellung der Verbindung.
Inaktivität
Die Zeit, seit der kein Datenverkehr zwischen dem Konto und dem Hotspot stattgefunden hat.
IP Adresse
Die IP-Adresse des Clients, der mit dem Hotspot verbunden sind.
MAC Adresse
Die MAC-Adresse der verbundenen Schnittstelle des Clients.
Aktion
Jede aktive Verbindung kann geschlossen werden, indem Sie in dieser Spalte auf den Link Abmelden klicken.
Kontostand
Diese Seite enthält eine Liste der Konten mit Informationen über die Verbindungen, gefolgt von einer globalen Zusammenfassung im
unteren Bereich der Seite. Es stehen zwei alternative Möglichkeiten zum Anzeigen von Kontoständen der Benutzer zur Auswahl:
Zeitraumfilter und Kontoelemente, wobei die erste Möglichkeit die Standardansicht ist. Auf diese kann gemeinsam durch Klicken auf den
verfügbaren Link am rechten Rand der Seite zugegriffen werden. Die tatsächlich angezeigten Daten in diesen beiden Ansichten sind
unterschiedlich, stellen aber in etwa dieselben Informationen bereit:
Benutzername
Der Benutzername und die MAC-Adresse des Kontos. Beim Klicken auf den Benutzernamen wird die Seite „Kontostand“ des
Benutzers geöffnet (siehe unten).
Gebuchter Betrag
Der von diesem Konto verwendete Betrag.
Bezahlt
Der durch den Benutzer bereits bezahlte Betrag.
Dauer
Die Dauer, für die der Benutzer mit dem Hotspot verbunden ist.
Datenmenge
Der von diesem Konto generierte Datenverkehr.
Im oberen Bereich der Tabelle können ein Start- und Enddatum in die Felder Von und Bis eingetragen werden: Durch Klicken auf die
rechte Schaltfläche Filter wird die Seite neu mit Statistiken geladen, die auf den Zeitraum zwischen diesen beiden Daten beschränkt sind.
Klicken Sie zur Anzeige eines Kalenders für die leichtere Suche nach einem Datum rechts neben dem Textfeld auf die Schaltfläche ....
Seitenumbrüche sind verfügbar, um lange Listen aufzuteilen.
Tipp
Das Datumsformat ist TT.MM.JJJJ, also z. B. 03.06.2013 (3. Juni 2013).
Die alternative Ansicht Posten zeigt dieselben, zuvor erwähnten Daten mit einer zusätzlichen Spalte an:
Ausständiger Betrag
Der Betrag, der noch nicht von diesem Konto bezahlt wurde.
In jeder der beiden Ansichten wird durch Klicken auf den Benutzernamen oder die MAC-Adresse die Seite „Kontostand“ für das jeweilige
Konto geöffnet, die detaillierte Statistiken über die Benutzertickets und Abrechnung anzeigt, gruppiert in vier Bereiche. Beachten Sie,
dass Sie diese Seite auch über Konten ‣ [ Benutzerliste ] ‣ [ Aktionen ] ‣ Kontostand erreichen.
Benutzerinformationen
Alle Anmeldeinformationen des Benutzers, beispielsweise Name, Benutzername, Geburtsort und -datum, ID des Dokuments, und die
Gruppe, die das Dokument erstellt.
Kontostand
Detaillierte Informationen zum Kontostand mit allen zeitbasierten Statistiken, gefolgt von allen Statistiken, die auf dem Datenverkehr
basieren. In beiden Fällen werden die gesamten vor- und nachbezahlten Tickets und die gesamte verbrauchte und verfügbare Zeit oder
der entsprechende Datenverkehr angezeigt.
Postpaid Bezahlung
In dieser Spalte zeigen zwei Felder den Betrag an, den der Benutzer bereits bezahlt hat, und den er oder sie noch bezahlen muss
(angezeigt in der Währung, die auf der Seite Einstellungen konfiguriert wurde). Das untere Feld ist grün unterlegt, falls alles bereits
bezahlt wurde, ansonsten ist es rot. Dem Benutzer kann Guthaben hinzugefügt werden (entweder, um Schulden zu begleichen, oder für
Erwerb von weiterem Datenverkehr), indem ein beliebiger Betrag in das Feld unter den beiden Feldern eingegeben und anschließend auf
Guthaben hinzufügen geklickt wird.
Buchungen
Diese Tabelle am unteren Ende der Seite enthält eine Liste aller Tickets, die mit dem Benutzer verbunden sind. Für jedes Ticket wird
eine Reihe von Informationen angezeigt:
Ticket Name
Der Name des Tickettarifs.
Summe
Das Guthaben (grüner Hintergrund) oder die Schulden (roter Hintergrund) dieses Kontos.
Jedes zyklische Ticket, das vom Benutzer erworben wurde, wird in dieser Spalte mehrfach angezeigt: Zunächst sobald das Ticket mit
dem Namen Zyklisch [Name] erstellt wurde; und anschließend wird am Beginn jedes Zyklus ein neues Ticket [Name] mit einem Betrag
von 0,00 EUR (oder in der Währung, die auf dem Hotspot verwendet wird) den Kontoeinträgen hinzugefügt.
Datum / Uhrzeit
Der Zeitstempel bei Erstellung des Tickets.
Dauer
Die Dauer der Ticketnutzung
Datenmenge
Der von diesem Ticket verbrauchte Datenverkehr
Bearbeitet
Ob das Ticket benutzt wurde.
Versuche
Diese Option wird von der ASA-Schnittstelle verwendet und zeigt, wie oft das System versucht hat, diese Einträge zu
verbuchen.
Meldung
Eine benutzerdefinierte Nachricht.
Für jeden Eintrag eines zyklischen Tickets enthält die Nachricht die folgenden Informationen:
ID des Zeitraums: Eine aufsteigende Nummer, die das Ticket eindeutig identifiziert.
Zyklus und Nummer an Zyklen beziehen sich auf das Ticket, den Zeitraum des Tickets und die Anzahl erworbener Zyklen.
Startdatum und Enddatum zeigen den ersten und letzten Tag der Gültigkeit des Tickets an.
Nachdem Sie über den Benutzerinformationen die Felder Startdatum und Enddatum ausgefüllt haben (oder auf die Schaltfläche ...
klicken, um einen Pop-up-Kalender zu öffnen), und auf die Schaltfläche Filter klicken, werden nur Statistiken innerhalb dieses Zeitraums
angezeigt.
Die momentan angezeigten Statistiken können durch Klicken auf die Schaltfläche >>> Drucken gedruckt werden.
Verbindungsprotokolle
Diese Seite enthält eine Tabelle mit mehreren Informationen zu den aktuellen und früheren Verbindungen. Die Elemente können
(umgekehrt) nach jeder Spalte angeordnet und sogar gefiltert werden, um nur die Verbindungen zwischen zwei Daten anzuzeigen. Die
angezeigten Informationen sind:
Benutzername
Der Benutzername, der die Verbindung herstellt.
IP Adresse
Die IP-Adresse des verbundenen Clients.
MAC Adresse
Die MAC-Adresse der verbundenen Client-Schnittstelle.
Verbindungsbeginn
Die Startzeit der Verbindung.
Verbindungsende
Der Zeitpunkt des Verbindungsendes.
Download
Die Datenmenge, die bereits während dieser Verbindung heruntergeladen wurde.
Hochladen
Die Datenmenge, die bereits während dieser Verbindung hochgeladen wurde.
Dauer
Die Dauer der Verbindung.
Verbindungsprotokolle als CSV-Datei exportieren
Die Verbindungsprotokolle, die detaillierte, relevante Informationen enthalten, können heruntergeladen und im CSV-Format gespeichert
werden, indem Sie im Untermenü auf den Link Verbindungsprotokolle als CSV-Datei exportieren klicken. Der standardmäßige
Dateiname für die Protokolldatei ist hotspot-JJJJMMTT-FULL.csv, wobei JJJJMMTT das Datum der Erstellung der Datei ist. FULL
bedeutet, dass die Datei Details zu allen Verbindungen enthält.
Warnung
Beachten Sie, dass die Liste auch die Kennwörter der Benutzer als Nur-Text enthält. Bewahren Sie diese also an einem sicheren Ort auf.
SmartConnect-Transaktionen
Auf dieser Seite wird die Liste aller SmartConnect™-Verbindungen und -Transaktionen angezeigt. Diese können (umgekehrt)
angeordnet werden, entweder nach Transaktions-ID oder nach dem Zeitpunkt der Bestellung. Bestimmte Transaktionen können gesucht
werden, indem etwas in das Eingabefeld neben Suchen: eingegeben wird. Die Informationen in der Tabelle sind:
Transaktions-ID
Die Zeichenfolge der Transaktionsidentifizierung, nützlich für die Verwaltung oder im Fall von Problemen mit der
Registrierung von Clients und Tickets. Alle Transaktionen können hier gesucht werden.
Uhrzeit des Auftrags
Das Datum und die Uhrzeit der Transaktion.
Zahlung
Der Status der Zahlung, ob sie erfolgreich abgeschlossen wurde, oder nicht (kostenlose Tickets werden immer als
Abgeschlossen angezeigt).
Benutzer
Der Benutzername des erstellten Kontos. Dies ist eine Telefonnummer im Fall von SMS-basierten SmartConnect™-
Transaktionen.
Telefonnummer
Die bei der Kontoerstellung angegebene Telefonnummer.
SMS
Die SMS mit den Anmeldeinformationen des Kontos werden über einen Hotspot mit der Panda Perimetral Management
Console versendet. Falls aus irgendeinem Grund die Nachricht nicht an den Client versendet wurde, oder dieser sie nicht
erhalten hat, zeigt dieses Feld Fehlgeschlagen an. Ansonsten zeigt es Erfolg an.
SMS Uhrzeit
Datum und Zeitpunkt, zu dem die SMS verarbeitet wurde.
Name
Der bei der Kontoerstellung angegebene Name.
Info
Die bei der Kontoerstellung angegebene Adresse, Postleitzahl und die Landesinformation.
Für Tabellen mit vielen Einträgen steht die Funktion Paginierung zur Verfügung.
Siehe auch
SmartConnect
Hotspot ‣ Einstellungen ‣ SmartConnect
Einstellungen
In diesem Abschnitt werden die Arten aller verfügbaren Optionen, um den Hotspot zu konfigurieren, in vier Gruppen angezeigt:
Haupteinstellungen, SmartConnect™, API und Sprache.
Haupteinstellungen
Diese Seite enthält alle Systemeinstellungen, die in vier Teile gegliedert sind: Im ersten Teil Portal ist es möglich, die Standardwerte für
die Darstellung des Portals zu definieren; im zweiten Teil Globale Einstellungen können Sie einige Optionen festlegen, die von den
verschiedenen Komponenten des Hotspots genutzt werden; im dritten Teil Konten befinden sich allgemeine Optionen für das Konto; im
vierten Teil wird der Zeichensatz für generierte Passwörter ausgewählt, die in Quick-Ticket verwendet werden.
Warnung
Durch eine Änderung der Einstellungen im Portal und unter Globale Einstellungen werden alle angemeldeten Benutzer zwangsmäßig
abgemeldet. Diese Einstellungen sind auf der grafischen Benutzeroberfläche mit einem roten Sternchen markiert.
Portal
Das erste Feld umfasst folgende anpassbare Option:
Homepage nach erfolgreicher Anmeldung
Die URL der Webseite, die dem Benutzer nach erfolgreicher Anmeldung angezeigt wird.
Homepage im Hintergrund des Portals
Die URL, die als Hintergrundbild für das Hotspot-Anmeldeportal benutzt wird.
Anmeldeformular anzeigen
Wählen Sie aus einer Dropdown-Liste, wie das Anmeldeformular der Hotspot-Anmeldung angezeigt werden soll:
zeigt das Anmeldeformular sofort über der Hintergrund-Homepage an.
zeigt die Hintergrund-Homepage manuell mit einer oberen Navigationsleiste, die dem Benutzer jederzeit Zugriff auf die
Registrierungsseite bietet, während die Startseite ohne eine Registrierung durchsuchbar bleibt: Dies ist nützlich, um eine
eigene Internetseite bekannt zu machen oder Informationen bereitzustellen. Der Zugriff auf alle anderen Seiten wird
weiterhin eine Registrierung erfordern, wobei auf die in Freigeschaltete Seiten (siehe unten) aufgelisteten Seiten immer
zugegriffen werden kann.
nach x Sekunden zeigt das Anmeldeformular nach einem vom Benutzer angegebenen Zeitraum in Sekunden an (der
Benutzer wird über die ablaufende Zeit in der Navigationsleiste informiert).
Für Mobilgeräte das Mini-Portal verwenden
Diese Option steuert, welche Portaltypen vom Hotspot bedient werden. Neben dem Standardportal gibt es noch zwei weitere:
eines ohne JavaScript und eines, das auf mobile Geräte zugeschnitten ist. Wenn diese Option aktiviert ist, werden alle drei
Arten von Portaltypen angezeigt. Anderenfalls wird dem Benutzer nur das Standardportal angezeigt.
Freigeschaltete Seiten
Die Seiten oder IP-Adressen, die ohne Authentifizierung zugänglich sind, d. h. solche Seiten, die von allen Benutzern
aufgerufen werden können. Eine Seite pro Zeile ist erlaubt, entweder in Form eines normalen Domänennamens oder einer
Zeichenfolge im Format protokoll:IP[/maske]:port, z. B. pandasecurity.com oder tcp:192.168.20.0/24:443. Berücksichtigen Sie,
dass wenn die Seiten Widgets, JavaScripts oder andere Komponenten von außerhalb der Liste enthalten, diese nicht
ordnungsgemäß geladen werden könnten.
Globale Einstellungen
Name des Hotspots
Der Name, um den Hotspot zu identifizieren.
Elemente pro Seite
Der Paginierungswert, d. h. die maximale Anzahl der Elemente in der Liste oder die angezeigten Tabellen pro Seite.
Währung
Die Währung, die für alle Berechnungen der Zahlungen im Hotspot verwendet wird.
Hinweis
Bestimmte Währungen werden nicht von PayPal unterstützt. Deshalb können diese nicht für SmartConnect-Tickets verwendet werden.
Oft gewählte Länder
Oft gewählte Länder stehen am Anfang der Länderliste, die dem Benutzer bei der Registrierung angezeigt wird, um den
Zeitaufwand für die gesamte Registrierung zu verringern.
Aktiviere AnyIP
Mit dieser Option wird die AnyIP-Funktion aktiviert, die den Kunden, die nicht DHCP verwenden, den Zugriff auf den Hotspot
sogar mit einer statischen IP-Adresse ermöglicht, die nicht unter das IP-Subnetz des Hotspots (BLAUE Zone) fällt.
Bandbreitenbegrenzung
Die standardmäßigen Upload- und Download-Grenzen pro Benutzer in KB/s. Wenn diese Felder leer sind, wird keine Begrenzung
angewendet.
Hinweis
Beachten Sie, dass 1 KB aus 8 Kilobit besteht. Stellen Sie daher sicher, die korrekten Werte in die Felder einzutragen.
DHCP dynamischer Bereich
Wenn diese Option durch das Aktivieren des Kontrollkästchens ausgewählt ist, werden den mit dem Hotspot verbundenen
Geräten dynamische IP-Adressen zugewiesen.
Bereich der dynamischen IPs
Diese Option wird angezeigt, wenn das vorangehende Kontrollkästchen aktiviert ist, und lässt Sie einen benutzerdefinierten
Bereich der IP-Adressen innerhalb der BLAUEN Zone angeben, um dem Hotspot-Kunden dynamisch zugewiesen zu werden.
Konten
Benutzeranmeldung erforderlich
Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass Kunden, die Zugriff benötigen, ein gültiges Konto besitzen.
Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich
Wenn diese Option ausgewählt ist, wird der Benutzer aufgefordert, die Nutzungsbedingungen unmittelbar vor der Anmeldung
zu akzeptieren.
Passwort-Wiederherstellung
Falls ein Benutzer seine Anmeldeinformationen verloren oder vergessen hat, kann er sie wiederherstellen. Drei Optionen können
ausgewählt werden:
Deaktiviert: Es ist keine Passwort-Wiederherstellung erlaubt.
Verwenden SmartConnect-Einstellungen: Die Anmeldeinformationen werden über dieselben Wege wie in SmartConnect™
gesendet.
Verwende benutzerdefinierte Einstellungen: Es können individuelle Einstellungen definiert werden (siehe das Feld unten).
Hinweis
Es ist möglich, die anonyme Anmeldung (d. h. ohne Benutzerauthentifizierung) zu erlauben, wobei alle Benutzer den
Nutzungsbedingungen zustimmen müssen. Um dies zu tun, muss zuerst ein Ticket vom Typ Postpaid erstellt, die Option
Benutzeranmeldung erforderlich deaktiviert und dann Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich aktiviert
werden. Wenn das im Nachhinein zu bezahlende Ticket mit einer bestimmten Gültigkeit erstellt wurde, muss der Benutzer nach dessen
Ablauf die Nutzungsbedingungen erneut akzeptieren.
Timeout für inaktive Benutzer
Die Zeit der Inaktivität, nach der ein Benutzer abgemeldet wird (Standarddauer ist 15 Minuten, d. h. nach 15-minütiger
Inaktivität wird ein Benutzer automatisch abgemeldet), sodass der Benutzer nicht zu viele seiner Tickets verschwendet.
Konto Lebensdauer (Tage)
Die Anzahl von Tagen, die ein Konto gültig ist (Standardeinstellung ist 365 Tage). Nachdem diese Anzahl von Tagen
vergangen ist, wird der Benutzer automatisch deaktiviert.
Erlaube das Löschen von verwendeten Konten
Diese Option ermöglicht das Löschen von Benutzerkonten, die bereits Teile ihrer Tickets verbraucht haben. Falls ausgewählt,
wird die nächste Option angezeigt.
Vermeide das Löschen von Benutzern, welche Tickets mit SmartConnect gekauft haben
Dieses Kontrollkästchen wird angezeigt, wenn die vorherige Option ausgewählt wurde. Standardmäßig ist die Option aktiviert,
so dass Benutzer, die bereits Tickets per Kreditkarte mit SmartConnect gekauft haben, nicht aus dem System gelöscht
werden.
Deaktivierte Konten täglich löschen
Mit dieser Option aktivieren Sie das tägliche Löschen von deaktivierten Konten.
Zeichensatz für erzeugte Passwörter
Im zweiten Teil der Haupteinstellungen können die Standardwerte für die automatisch generierten Passwörter ausgewählt werden, z. B.
beim Erstellen von Massentickets. Die folgenden Werte für Passwörter können verändert werden: Die Länge, Groß- und
Kleinbuchstaben, Zahlen und Sonderzeichen und zusätzliche Sonderzeichen. Standardmäßig bestehen die Passwörter nur aus sechs
Zeichen.
Benutzerdefinierte Einstellungen zur Passwort-Wiederherstellung:
Bei der Auswahl werden verschiedene Konfigurationsoptionen angezeigt, die zur Wiederherstellung des Passworts mit
benutzerdefinierten Einstellungen benötigt werden. Die Erste enthält die Modalitäten, unter welchen die Wiederherstellung erfolgt:
Passwort-Wiederherstellung ist erfolgt
Es gibt folgende drei Auswahlmöglichkeiten für diese Option: per SMS, per E-Mail oder beides. Je nachdem werden
verschiedene Optionen angezeigt, um den E-Mail- oder SMS-Versand zu konfigurieren. Beachten Sie, dass alle Optionen
angezeigt werden, wenn E-Mail und SMS zur Passwort-Wiederherstellung aktiviert sind.
Für den SMS-Wiederherstellungsmodus gibt es nur eine weitere Option:
Erlaubte Ländervorwahlen für die Passwort-Wiederherstellung
Es ist möglich, dass das Senden von SMS nur für die Mobiltelefone erlaubt wird, die den ausgewählten Ländern angehören.
Um einen neuen Länder-Code hinzuzufügen, beginnen Sie den Ländernamen oder -Code in das Auswahlfenster über der
Länderliste zu schreiben, bis der Name des Landes in dem darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken
schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im rechten Feld angezeigt und können
durch Klicken auf – abgewählt werden.
Für die Wiederherstellung per E-Mail stehen zwei Optionen zur Verfügung:
Mail Server
Der zum Versand der Wiederherstellungs-E-Mail verwendete SMTP-Server. Sie können im Dropdown-Menü aus drei Optionen wählen.
1. System-SMTP-Server: Um diese Option auswählen zu können, muss Menüleiste ‣ Proxy ‣ SMTP aktiviert werden.
2. Benutzerdefinierter SMTP-Server: In diesem Fall können Sie im Textfeld den Namen des Mail-Servers eintragen.
Absender Emailadresse
Es wird eine benutzerdefinierte E-Mail-Adresse als benutzerdefinierter Absender für die Wiederherstellungs-E-Mail verwendet.
Außerdem ist eine weitere Option für beide Wiederherstellungsmodi verfügbar:
Limitiere Passwort-Wiederherstellung auf
Gibt das Zeitintervall an, das verstreichen muss, bevor die Passwort-Wiederherstellung erneut versucht werden kann. Nur
eine von vier Optionen kann aus dem Dropdown-Menü ausgewählt werden: einmal alle 10 Minuten, einmal alle 30 Minuten,
einmal in der Stunde und einmal täglich.
SmartConnect
Auf dieser Seite können Sie die SmartConnect™- (Self-Service) und SmartLogin-Funktionen des Hotspots konfigurieren. Das
SmartConnect™-System unterstützt die Self-Service-Ticketerstellung oder die Verwendung von kostenlosen Tickets ohne
Kundenbezahlung. SmartLogin bietet dem Benutzer die Möglichkeit, eine erneute Authentifizierung am Hotspot zu vermeiden, wenn der
Browser geöffnet oder geschlossen wird. Wenn es noch nicht aktiviert wurde und sich diese Seite das erste Mal öffnet, ist nur eine
Option verfügbar:
SmartConnect
SmartConnect aktivieren
Die SmartConnect™-Funktion ist nur aktiviert, wenn dieses Kontrollkästchen aktiviert ist.
Sobald SmartConnect™ aktiviert ist, werden weitere Optionen angezeigt, um mehr Kontrolle über diese Funktion zu erlangen:
Self-Service Benutzerregistrierung
In diesem Dropdown-Menü kann die Benachrichtigungsart für die erfolgreiche Registrierung an den Benutzer ausgewählt werden. Drei
sich gegenseitig ausschließende Optionen (d. h. es können nicht mehrere zur gleichen Zeit ausgewählt werden) stehen zur Verfügung:
per SMS, per E-Mail und keine Benachrichtigung (deaktiviert). Je nach Auswahl sind zusätzliche Optionen verfügbar.
Deaktiviert: Es sind keine weiteren Optionen verfügbar. Es kann kein neuer Benutzer über SmartConnect™ erstellt werden.
Vorhandene SmartConnect™-Benutzer können jedoch navigieren und Tickets kaufen.
SMS: Die Aktivierung dieser Option erfordert die Verfügbarkeit von SMS-Paketen, die die Bestätigung an den Benutzer senden. Dies
kann unter System ‣ Ereignisbenachrichtigungen ‣ SMS-Benachrichtigungen bestätigt werden. Zusätzliche SMS-Pakete können in
der Panda Perimetral Management Console erworben werden. Folgende zusätzliche Optionen sind verfügbar:
Bestätigung der Telefonnummer wird nicht benötigt
Deaktivieren Sie die Anfrage, die Telefonnummer, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage
auf Smartphones erstellt wird.
Zugelassene Landesvorwahlen
Nur die Mobiltelefone, die zu den ausgewählten Ländern gehören, können sich für den SmartConnect™-Zugang registrieren. Um eine neue Ländervorwahl
hinzuzufügen, beginnen Sie den Ländernamen oder die Vorwahl in das Auswahlfenster über der Länderliste zu schreiben, bis der Name des Landes in dem
darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im
rechten Feld angezeigt und können durch Klicken auf – abgewählt werden.
E-Mail: Es wird eine E-Mail mit den Zugangsdaten an die E-Mail-Adresse verschickt, die während der Registrierung angegeben
wurde. Ein Bestätigungslink ist ebenfalls enthalten. Dieser muss vom Benutzer angeklickt werden, um den Vorgang abzuschließen
und das Konto zu aktivieren. Diese Option erfordert einen Smarthost oder SMTP-Server.
Bestätigung der E-Mail Adresse wird nicht benötigt
Deaktivieren Sie die Anfrage, die E-Mail-Adresse, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage
auf Smartphones erstellt wird.
Tarif für die Verifizierung der E-Mail Adresse
Dieses Dropdown-Menü ermöglicht die Auswahl einer der verfügbaren Tarife, um einem Benutzer die Verbindung für kurze Zeit zu ermöglichen, damit er die
Bestätigungs-E-Mail erhalten und lesen kann.
Tipp
Die hier auswählbaren Tarife müssen als zeitbasiert und im Voraus bezahlt mit der Gültigkeit Ab der Ticketerstellung definiert werden und nicht für
SmartConnect™ aktiviert sein.
Mail Server
Dieses Dropdown-Menü ermöglicht die Auswahl des Smarthost, der eine E-Mail mit den Zugangsdaten senden soll. Folgende Optionen sind verfügbar:
Benutzerdefinierter Mail-Server, auf dem die URL eines angepassten Mail-Servers bereitgestellt werden kann, System-Smarthost und System-SMTP-Proxy.
Die darauffolgenden Optionen sind nur verfügbar, wenn ein Smarthost und ein SMTP-Proxy konfiguriert wurden, die auf dem Gerät ausgeführt werden.
Absender Emailadresse
Eine benutzerdefinierte E-Mail-Adresse, die als Absender der Bestätigungs-E-Mail angezeigt wird.
Eingabefelder für die Benutzererstellung
In diesem Auswahlfeld können Sie festlegen, welche die obligatorischen Kontoeigenschaften sein sollen, die während der
Registrierung bereitgestellt werden. Eigenschaften, die dem Benutzer angezeigt werden, werden in der rechten Spalte zusammen mit
der Kennzeichnung für erforderlich oder optional angezeigt. Die Gesamtzahl der optionalen oder erforderlichen Eigenschaften wird
oben links angezeigt.
Hinweis
Je nach Typ der Benutzerregistrierung gibt es einige Pflichtfelder, die nicht deaktiviert werden können. Wenn Registrierung per E-Mail
aktiviert ist, sind Benutzername, Passwort und E-Mail-Adresse erforderlich. Dahingegen ist für die Registrierung per SMS nur die
Telefonnummer erforderlich, die als Benutzername dient.
Gratis Tickets pro Konto limitieren
Die Anzahl von kostenlosen Tickets, die von jedem Konto verwendet werden kann. Die Standardeinstellung ist „unbegrenzt“,
das heißt, dass neue Tickets zu jedem Augenblick erworben werden können. Jedoch gibt es die Option „Zeitlimit", die es
Benutzern ermöglicht, ein neues kostenloses Ticket nur für diese Anzahl von Minuten zu erwerben.
Bezahlte Tickets aktivieren
Diese Option ermöglicht es Benutzern, mit PayPal oder einer Kreditkarte für Hotspot-Tickets zu zahlen. Wenn diese Option aktiviert ist,
kann ein PayPal-Konto konfiguriert werden, auf dem die Zahlungen gesammelt werden.
Warnung
Wenn diese Option aktiviert wird, während Benutzer mit dem Hotspot verbunden sind, werden sie zwangsweise abgemeldet.
Paypal-Sandbox aktivieren
Dieses Kontrollkästchen aktiviert oder deaktiviert die PayPal-Sandbox ausschließlich zu Test- und Demonstrationszwecken: Die
Verwendung der Sandbox erlaubt es, die Funktion der API-Integration zu überprüfen, ohne dass tatsächlich Transaktionen mit echtem
Geld ausgeführt werden.
PayPal API Benutzername
Der PayPal-API-Benutzername.
PayPal API Passwort
Das PayPal-API-Passwort.
PayPal API Signatur
Die PayPal-API-Signatur.
Hinweis
Um die SmartConnect™-Funktion des Panda Hotspots korrekt einzurichten und die Zahlungen der Kunden zu erhalten, ist es
notwendig, sich anzumelden und ein PayPal-Konto zu erstellen.
SmartLogin
Die SmartLogin-Funktion bietet den Hotspot-Benutzern einen bequemen Weg, um eine erneute Authentifizierung beim erneuten
Herstellen einer Verbindung mit dem Hotspot zu vermeiden. Mit anderen Worten: Wenn ein Benutzer den Browser schließt, muss er zu
einem späteren Zeitpunkt nur den gleichen Browser erneut öffnen, um einen sofortigen Zugriff auf das Internet zu erhalten, ohne sich
erneut authentifizieren zu müssen. Die SmartLogin-Funktion kann global für alle Hotspot-Benutzer oder einzeln für jeden Benutzer
aktiviert werden. Im letzteren Fall funktioniert SmartLogin für diese Benutzer, selbst wenn es nicht global aktiviert wurde, und kann im
Abschnitt Zugangsdaten des Konto-Editors aktiviert werden.
Folgende Optionen stehen zur Verfügung:
SmartLogin aktivieren
Aktivieren Sie das Kontrollkästchen, um SmartLogin für jeden Benutzer zu aktivieren.
SmartLogin Cookie Lebensdauer
Der Zeitraum in Tagen, innerhalb dessen der Benutzer die Möglichkeit hat, die SmartLogin-Funktion zu nutzen.
Erlaube Benutzern, das Löschen von SmartLogin Cookies beim Abmelden abzuschalten
Wenn diese Option aktiviert ist, wird im Anmeldeportal des Benutzers eine neue Option angezeigt (Automatische Anmeldung
deaktivieren), mit deren Verwendung die Funktion „SmartLogin“ aktiviert oder deaktiviert werden kann.
Tarif für die Verifizierung der E-Mail Adresse:
Um dem Benutzer das Lesen der Bestätigungs-E-Mail zu erlauben, sollte ihm ein schneller und kostenloser Zugriff auf das Internet
ermöglicht werden, damit er die Anmeldeinformationen für das neu erstellte Konto einsehen kann. Daher muss ein geeigneter Tarif mit
präzisen Eigenschaften mit dem Benutzerregistrierungsvorgang für SmartConnect™ verbunden sein. Wenn noch keine Tarife verfügbar
sind, beschreibt eine Nachricht die erforderlichen Optionen für dieses Ticket, das unter Ticket ‣ Tarife erstellt werden kann. Die
Tickettarife müssen im Voraus bezahlt, kostenlos, zeitbasiert und nicht für SmartConnect™ verfügbar sein. Darüber hinaus müssen sie
mit einem „Ab Ticketerstellung“-Gültigkeitswert definiert werden. Es wird empfohlen, diesen Wert auf wenige Minuten zu begrenzen, um
dem Benutzer darauf zu beschränken, nur seine Anmeldedaten zu empfangen.
Hilfe für die Tickettariferstellung finden Sie in der Online-Hilfe.
API
Dieser Abschnitt enthält die Einstellungen für die API des Panda Hotspots, welche die Integration des Hotspots der Panda
GateDefender-Appliance in ein bereits laufendes System ermöglicht. Abhängig vom ausgewählten Modus können verschiedene
Parameter festgelegt werden.
Modus
Version 2.5 der Panda GateDefender-Appliance bietet drei verschiedene API-Modi: Die Panda-eigene generische API/JSON-
Schnittstelle, die ASA jHotel-Schnittstelle und die pcs phoenix-Schnittstelle. Die ASA jHotel- und pcs-phoenix-Schnittstellen
sind nur für Hotels geeignet, welche die ASA jHotel- oder die pcs-phoenix-Hotelmanagement-Software nutzen, während die
generische API-Schnittstelle zur Interaktion mit anderer Software genutzt werden kann. Die drei zur Verfügung stehenden
Modi können nicht gemeinsam ausgewählt werden, d. h. sie können nur einzeln aktiviert werden. Wenn eine der drei
Schnittstellen aktiviert ist und eine andere wird aktiviert, dann ist immer die letztere aktiv, während die erste automatisch
deaktiviert wird.
Die anderen Optionen hängen vom ausgewählten Modus ab. Im Folgenden werden die Optionen für den ASA jHotel-Modus angezeigt.
ASA jHotel Schnittstelle aktiviert
Durch Aktivieren dieses Kontrollkästchens wird die ASA jHotel-Schnittstelle aktiviert.
ASA jHotel URL
Die URL der Management-Oberfläche des ASA jHotels. Die Richtigkeit kann getestet werden, indem Sie auf die Schaltfläche Test
rechts neben dem Eingabefeld klicken.
Tipp
Ersetzen Sie in der angegebenen Beispiel-URL die Zeichenfolge IP_ADDRESS der ASA-Installation und den Namen des
Unternehmens (COMPANY).
Erlaube Gastregistrierung (Gastanmeldung / SmartConnect)
Durch Aktivieren dieses Kontrollkästchens können sich Gäste selbst registrieren.
Standard Tarif für Gastzugang
Wählen Sie aus dem Dropdown-Menü den Standardtarif aus, der auf die neuen Konten angewendet werden soll. Die
verfügbaren Tarife sollten bereits unter Ticket ‣ Tarife definiert worden sein.
Erlaube kostenpflichtige postpaid Tickets für Gäste, die nicht eingecheckt sind
Aktivieren Sie das Kontrollkästchen, um unangemeldeten Gästen das Erwerben von im Voraus zu bezahlenden Tickets zu ermöglichen.
Hotspot-Zugang mit der ASA jHotel-Management-Software:
Jeder Benutzer, der bereits ein Konto in der ASA jHotel-Management-Software besitzt, kann sich schnell mit dem Hotspot verbinden,
ohne ein Konto zu erstellen, vorausgesetzt, dass der Hotspot korrekt konfiguriert ist. Die erforderlichen Schritte am Hotspot sind:
1. Aktivieren Sie das Kontrollkästchen ASA jHotel-Schnittstelle aktiviert, und überprüfen Sie, ob der Hotspot auf die URL der
ASA jhotel-Schnittstelle zugreifen kann.
2. Erstellen Sie unter Ticket ‣ Tarife einen neuen, im Voraus zu bezahlenden Tarif. Verwenden Sie dabei den Ticket-Code und
die von ASA verwendete ID, und geben Sie dem Tarif einen eindeutigen Namen (z. B. „Mein-ASA“).
3. Gehen Sie zurück zu Einstellungen ‣ API, und wählen Sie den Modus ASA jHotel und als Standardtarif für Gästeregistrierung
den Tarifnamen, der im vorherigen Schritt erstellt wurde („my-ASA“).
Für die generische API/JSON-Schnittstelle und die pcs phoenix-Schnittstelle sind drei Optionen verfügbar:
API Aktiviert
Aktivieren Sie das Kontrollkästchen, um die API zu aktivieren.
Buchungs-URL
Der Hotspot sendet die Kontoinformationen an diese URL, um die Benutzerdaten zu überprüfen. Lassen Sie dieses Feld leer,
wenn der Hotspot keine Kontoinformationen senden soll.
Accounting URL benötigt Authentifizierung
Falls die vorher bereitgestellte URL eine HTTP-Authentifizierung erfordert, aktivieren Sie dieses Kontrollkästchen. Zwei neue
Textfelder werden angezeigt, um den Benutzernamen und das Passwort einzugeben.
Schließlich kann die API auf der speziellen Seite https://GREENIP:10443/admin/api/ geprüft werden, falls die generische API/JSON-
Schnittstelle ausgewählt wurde.
Sprache
Im Sprachbereich können alle sprachabhängigen Optionen eingestellt sowie alle Zeichenfolgen in den verschiedenen Sprachen und die
Portalvorlagen angepasst werden. Die Seite ist in zwei Bereiche unterteilt: Unterstützte Sprachen, Sprachen bearbeiten und abhängig
von der Auswahl für Bearbeiten in der Sandbox eine dritte Option.
Unterstützte Sprachen
Im ersten Feld können Sie festlegen, welche Sprachen im Hotspot unterstützt und den Benutzern zur Verfügung gestellt werden. Die
Sprachen müssen im Auswahlfeld ausgewählt und durch Klicken auf die Schaltfläche Speichern, gespeichert werden. Nur die hier
ausgewählten Sprachen stehen den Benutzern während der Registrierung und der Verbindung mit dem Portal zur Verfügung.
Sprachen bearbeiten
Im zweiten Bereich ist es möglich, eine der vier Portalvorlagen oder die Zeichenfolgen der Benutzeroberfläche für jede im
vorhergehenden Bereich aktivierte Sprache zu ändern. Um die Vorlagen und die Zeichenfolgen zu personalisieren, gibt es verschiedene
Variablen, die verwendet werden können. Wenn eine Nachricht an einen Benutzer, z. B. bei Verlust des Kontopassworts, gesendet
werden soll, wird jede Variable durch die im Hotspot gespeicherten Wert ersetzt.
Sprache
Die Sprache, für welche die Übersetzungen geändert oder hinzugefügt werden sollen. Die verfügbaren Optionen hängen
davon ab, welche Sprachen im Dropdown-Menü aktiviert wurden.
Bearbeiten
Das oder die zu bearbeitenden Objekte. Dies können entweder die Portalvorlagen oder die Portalzeichenfolgen sein.
Wenn Sie die Portalzeichenfolgen ändern möchten, wird der Editor durch eine Liste mit englischen Wörtern und Sätzen
ersetzt, die auf der grafischen Benutzeroberfläche des Hotspot und im Portal verwendet werden. Dabei besitzt jedes Wort
oder jeder Satz ein Eingabefeld, in das die Übersetzung der gewählten Sprache eingetragen werden kann. Bei der Wahl
der Portalvorlagen kann eine der Vorlagen in dem sich öffnenden Feld bearbeitet werden. Willkommensseite, Konto
drucken, Nutzungsbedingungen, Hilfe, E-Mail Inhalt und E-Mail Inhalt für verlorene Passwörter.
Weitere Informationen zum Anpassen des Portals finden Sie unter Hotspot-Anpassung unten.
Der Inhalt jeder Vorlage kann mithilfe des vollständig unterstützten WYSIWYG-Editors geändert und personalisiert werden.
Hotspot-Anpassung
Die Portalwebsite, die Benutzern beim ersten Herstellen einer Verbindung mit dem Hotspot angezeigt wird, kann auf verschiedene
Weisen angepasst werden: die Sprache des Portals, der Text auf den verschiedenen Seiten, die CSS, das Logo des Unternehmens, das
den Hotspot unterhält, und der Name des Portals. Die letzte Einstellung kann nur über die Befehlszeilenschnittstelle konfiguriert werden,
während alle anderen Einstellungen über die Administrationsschnittstelle in Bereich Sprachen angepasst werden können (Hotspot ‣
Administrationsoberfläche ‣ Einstellungen ‣ Sprachen).
Verfügbare Sprachen:
Es stehen sechs Sprachen zur Auswahl, die standardmäßig aktiviert sind: en (Englisch, als Standard verwendet), de (Deutsch), it
(Italienisch), ja (Japanisch), es (Spanisch) und pt (Portugiesisch). Ein Benutzer, der eine Verbindung mit dem Portal herstellt, kann jede
Sprache anpassen. Es können weitere Sprachen vom Hotspot verwendet werden, indem Sie diese aus dem Mehrfachauswahlfeld
auswählen.
Vorlagen:
Dies sind die Vorlagen, die geändert werden können:
Willkommens-Seite
Die Seite, die Benutzern vor der Anmeldung angezeigt wird.
Konto drucken
Eine Willkommensnachricht wird den Benutzern nach ihrer Registrierung ausgedruckt und zusammen mit dem
Benutzernamen und dem Passwort übergeben. Diese Variablen können verwendet werden: $title, $firstname, $lastname,
$username und $password.
Nutzungsbedingungen
Sie werden dem Benutzer angezeigt, wenn der Link neben dem Kontrollkästchen für die AGB-Zustimmung angeklickt wird,
bevor die Anmeldung möglich ist.
Hilfe
Der Inhalt dieser Seite wird dem Benutzer als Hilfsnachricht angezeigt.
E-Mail Inhalt
Der Text, den die E-Mail mit den Anmeldeinformationen aus der Registrierung enthalten soll, wenn Registrierung per E-Mail
aktiviert wurde. Diese Variablen können verwendet werden: $hotspot_name, $activation_link, $rate_name, $username,
$password, $amount, $price, $currency und $txn_id.
E-Mail Inhalt für verlorene Passwörter
Der Text, den die E-Mail mit den Anmeldeinformationen enthalten soll, wenn der Benutzer diese verloren hat
und die Passwort-Wiederherstellung per E-Mail ausgewählt wurde. Diese Variablen können verwendet
werden: $username und $password.
Jede Vorlage kann für jede, im Hotspot verfügbare Sprache bearbeitet werden und die vordefinierten Variablen verwenden (siehe diese
Tabellen).
Text und Bilder:
Der Inhalt des Portals, egal ob Bilder oder Text, kann im Editor bearbeitet werden. Dort ist es auch möglich, benutzerdefinierte Bilder,
CSS-Vorlagen und andere Dateien hochzuladen. Öffnen Sie den Editor im Abschnitt Sprachen bearbeiten, wählen Sie den Eintrag
Portalvorlagen aus dem Dropdown-Menü neben Bearbeiten: aus, und wählen Sie anschließend die Vorlage aus dem Dropdown-Menü
mit der Bezeichnung Vorlage aus. Dabei stehen folgende Vorlagen zur Auswahl:
Willkommens-Seite: Die Seite, die allen Benutzern vor dem Herstellen einer Verbindung angezeigt wird.
Konto drucken: Das zu druckende Dokument mit den Zugangsdaten, das dem Benutzer übergeben wird.
Nutzungsbedingungen: Die Regeln, die Benutzer während der Verwendung des Hotspots einhalten müssen.
Hilfe: Die Seite, welche die Hilfe und Problembehandlung für den Benutzer enthält.
E-Mail Inhalt: Der Text der E-Mail, die dem Benutzer als Bestätigung für die erfolgreiche Kontoerstellung zugeschickt wird.
E-Mail Inhalt für verlorene Passwörter: Der Text der E-Mail, die dem Benutzer als Erinnerung der Zugangsdaten für den
Zugriff auf den Hotspot zugeschickt wird.
Im Editor können im unteren Bereich der Seite Dokumente mit Text und Bildern erstellt werden. Das Hinzufügen von Bildern und
benutzerdefinierten Dateien ist in der Tat sehr einfach: Setzen Sie den Cursor an den Punkt, an dem Sie ein Bild einfügen möchten, und
klicken Sie auf die Schaltfläche , um ein Popup-Fenster mit der Bezeichnung Bildeigenschaften zu öffnen. Auf der Registerkarte
Bildinfo haben Sie zwei Möglichkeiten, um ein Bild einzufügen:
1. Geben Sie einen Hyperlink zu einem Bild im Internet in das Textfeld URL ein.
2. Klicken Sie auf die Schaltfläche Server durchsuchen, um einen Datei-Browser zu öffnen, in dem Sie ein vorhandenes Bild auf
dem Server auswählen. Oder klicken Sie auf die Schaltfläche Datei auswählen am unteren Rand der Seite, um ein Bild von
der lokalen Arbeitsstation auszuwählen. Klicken Sie anschließend auf die Schaltfläche Hochladen.
Tipp
Die hochgeladenen Dateien werden auf der Panda GateDefender-Appliance im Verzeichnis
/home/httpd/html/userfiles/ gespeichert. Benutzerdefinierte Dateien können auch direkt hochgeladen werden,
z. B. über SSH an diesem Standort.
CSS:
Benutzerdefinierte CSS-Dateien können ebenfalls verwendet werden: Laden Sie sie auf die Panda GateDefender-Appliance hoch, wobei
Sie sie im Verzeichnis /home/httpd/html/userfiles speichern. Wie Bilddateien können sie mithilfe der Schaltfläche
oder über SSH hochgeladen werden. Die Datei muss folgenden Namen erhalten:
hotspotcustom.css; das für die Administrationsschnittstelle verwendete CSS erhält den Namen
portalcustom.css; und das für das Hotspot-Portal verwendete CSS erhält den Namen
miniportalcustom.css, das für das Hotspot-Miniportal verwendete CSS (d. h. JavaScript ist deaktiviert), das für mobile
Geräte bestimmt ist.
Tipp
Die Originale dieser Dateien befinden sich im Verzeichnis /home/httpd/html/include und tragen die Namen
„hotspot.css“, „portal.css“ bzw. „miniportal.css“. Sie können als Grundlage für die benutzerdefinierten Dateien verwendet werden.
Logo:
Das Logo, das dem Benutzer im Portal angezeigt wird, kann mithilfe der benutzerdefinierten CSS-Dateien portalcustom.css
oder miniportalcustom.css ersetzt werden. Laden Sie das Logo in das Verzeichnis
/home/httpd/html/userfiles hoch (eine Größe von ca. 80 × 20 ist zulässig), und ändern Sie anschließend die
CSS-Dateien wie folgt:
div.logo img { display: none; }
div.logo { background-image: url(‚images/ihr-logo.png'); }
Hotspot-Name:
Die Änderung des Domänennamens für das Portal muss manuell über die CLI erfolgen. Der Zugriff auf die Befehlszeilenschnittstelle zur
Panda GateDefender-Appliance kann unter Menüleiste ‣ System ‣ SSH Zugriff (siehe Abschnitt Zugriff auf die Panda GateDefender-
Appliance) aktiviert werden.
Warnung
Das manuelle Bearbeiten und Ändern einer Konfigurationsdatei in der CLI erfordert eine gewisse Vertrautheit mit der Panda
GateDefender-Appliance, da eine falsche Bearbeitung ein Anhalten des Dienstes zur Folge haben kann. Es sollte vorsichtig
vorgegangen werden, und es wird empfohlen, vor dem Bearbeiten eine Sicherungskopie der Datei zu speichern.
Bearbeiten Sie zum Ändern des Hostnamens und des Domänennamens des Hotspots die Datei
/var/efw/hotspot/settings mit Root-Rechten, z. B. mit dem installierten Editor nano, und suchen Sie die Zeilen, bei
denen es sich um eigentliche Variablendefinitionen handelt (die hier gezeigten Werte sind nur Beispiele):
HOTSPOT_HOSTNAME=hotspot
HOTSPOT_DOMAINNAME=beispiel.com
Ersetzen Sie die Werte auf der rechten Seite (hotspot und example.com) mit Ihren Werten.
Da die Verbindung zum Captive-Portal verschlüsselt ist, ist außerdem eine gültige SSL-Konfiguration notwendig, die Folgendes erfordert:
ein gültiges Zertifikat (d. h. kein selbstsigniertes Zertifikat)
eine private, unverschlüsselte Schlüsseldatei und
eine Datei mit der SSL-Schlüsselkette für das Zertifikat.
Diese Dateien können in einem beliebigen Verzeichnis erstellt werden, wobei die beste Vorgehensweise ist, diese Dateien auch nach
/var/efw/hotspot/ zu kopieren, um sicherzustellen, dass sie Teil jeder Konfiguration einer Sicherungskopie sind.
Nachdem alle Zertifikate erstellt wurden, müssen auch die Hotspot-Engine über deren Existenz informiert und die standardmäßigen
Zertifikatseinstellungen überschrieben werden. Bearbeiten Sie erneut die Datei /var/efw/hotspot/settings, und
fügen Sie die folgenden Variablen hinzu:
HOTSPOT_CERT=/<CUSTOM_PATH>/hotspot.example.com-cert.pem
HOTSPOT_KEY=/<CUSTOM_PATH>/hotspot.example.com-key.pem
HOTSPOT_CHAIN=/<CUSTOM_PATH>/hotspot.example.com-cabundle.pem
Denken Sie daran, <CUSTOM_PATH> durch den vollständigen Pfad der drei Zertifikate zu ersetzen.
Wenn keine Datei mit einer SSL-Schlüsselkette benötigt wird, kann ein leerer Wert als letzte Variable der oben genannten Konfiguration
verwendet werden, z. B.:
HOTSPOT_CHAIN=
Bedeutung der Variablen:
Dies ist eine vollständige Referenz für die Variablen, die bei der Anpassung der Hotspot-Portalvorlagen und -Zeichenketten verwendet
werden können. Die Variablen sind hilfreich, um maßgeschneiderte Nachrichten für jeden Benutzer zu erstellen: Wann immer eine dieser
Variablen in einer Vorlage steht, wird sie durch den entsprechenden Wert ersetzt, der für dieses Konto definiert ist. Die Variablen sind in
drei Tabellen gruppiert: Tabelle 1 enthält Variablen, die in allen Portalvorlagen verwendet werden können. Tabelle 2 enthält Variablen,
die nur in der Vorlage zum Drucken von Kontoinformationen verwendet werden können. Und Tabelle 3 enthält die in den
Portalzeichenfolgen verwendeten Variablen.
Tabelle 1: Variablen für alle Portalvorlagen:
Variable Ersetzt durch
$title Die Anrede des Kontoinhabers
$firstname Den Vornamen des Kontoinhabers
$lastname Den Nachnamen des Kontoinhabers
$username Den Benutzernamen für das Konto
$password Das Passwort des Kontos
$rate_name Den Namen des Hotspot-Tickettarifs
$amount Die Menge des verfügbaren Datenvolumens oder der verfügbaren Zeit
$price Den Preis des Tickets
$currency Die Währung, in der das Ticket bezahlt wurde
$txn_id Die ID der Transaktion
Die Variablen der folgenden Tabelle werden im Dokument mit den Kontoinformationen durch die Werte ersetzt, die in den
entsprechenden Feldern im Konto-Editor angegeben sind.
Tabelle 2: Variablen für die Portalvorlage Konto drucken:
Variable Ersetzt durch
$language Die Sprache des Benutzers
$birth_city Den Geburtsort des Benutzers
$birth_date Das Geburtsdatum des Benutzers
$document_type Das Identifikationsdokument des Benutzers
$document_party
$document_id Die ID des Dokuments
$street Die Straße, in welcher der Benutzer lebt
$country Das Land, in dem der Benutzer lebt
$city Die Stadt, in welcher der Benutzer lebt
$zip Die Postleitzahl des Wohnorts des Benutzers
$description Die Beschreibung des Kontos
$static_ip
$external_id
$phonenumber Die vom Benutzer angegebene Telefonnummer
$areacode
$email Die E-Mail-Adresse des Benutzers
Variablen für die Portalzeichenfolgen:
Variable Ersetzt durch [Zeichenfolgennr.]
%(recovery_freq)s Die Häufigkeit, wie oft ein neues Passwort wiederhergestellt werden kann [4]
%(phonenumber)s Die Telefonnummer des Benutzers [9 42]
%(transaction_id)s Die Transaktions-ID [9 11 28 31 37 42 44 105 121]
%(email)s Die E-Mail-Adresse des Benutzers [11 44 121]
%(grant_ticket_duration)s Die Anzahl der Minuten des kostenlosen Internetzugangs [44, 121]
%(seconds)s Die Anzahl von Sekunden, die ein Benutzer warten muss [55 113]
%(home)s Den Link zur Hotspot-Startseite [107]
Nur wenige Portalzeichenfolgen (14 von 123) enthalten Variablen. Für diese 14 Zeichenfolgen ist es erforderlich, dass jede Variable in
der ursprünglichen Zeichenfolge (z. B. Zeichenfolge #4 Sie können nur alle %(recovery_freq)s eine Anfrage stellen.) als auch in der
übersetzten Zeichenfolge enthalten ist.
Die Zeichenfolgen, die einige Variablen enthalten, sind die Folgenden:
4 %(recovery_freq)s
9, 42 %(phonenumber)s und %(transaction_id)s
11 %(email)s und %(transaction_id)s
28, 31, 37, 105, %(transaction_id)s
44, 121 %(grant_ticket_duration)s, %(email)s und %(transaction_id)s
55, 113 %(seconds)s
107 %(home)s
Hotspot-Benutzer
Dieser Bereich enthält eine Liste der Hotspot-Benutzer oder Hotspot-Superbenutzer, d. h. derjenigen, die verschiedene administrative
Aufgaben ausführen können, aufgeteilt in zwei Gruppen: Ein Hotspot-Administrator kann die Hotspot-Schnittstelle vollständig verwalten,
aber nicht auf das Hauptmenü der Panda GateDefender-Appliance zugreifen, während ein Hotspot-Konto-Editor nur Hotspot-
Benutzerkonten durch Angabe eines bestehenden Benutzernamens bearbeiten, aktivieren und deaktivieren kann. Daher hat ein
Administrator die Fähigkeiten eines Konto-Editors aber nicht andersherum.
Auf dieser Seite befindet sich eine Benutzerliste, welche die Namen, die zugehörige Gruppe und die für die Konten verfügbaren Aktionen
enthält. Es existiert ein geschütztes Standardadministratorkonto Hotspot, das nie gelöscht werden kann. Verfügbare Aktionen sind das
Bearbeiten und Löschen des Benutzerkontos. Durch Löschen wird der Benutzer von der Liste entfernt, während durch Bearbeiten ein
Benutzereditor geöffnet wird (siehe unten). Bei der Bearbeitung des Hotspot-Benutzers kann nur das Passwort geändert werden.
Der Name und die Gruppe sind unveränderbar.
Ein Administrator hat Zugriff auf die Seite https://GREENIP:10443/admin/ und alle darin enthaltenen Bereiche, die vollständig im
Abschnitt Hotspot dieses Handbuchs beschrieben werden. Ein Konto-Editor hat hingegen Zugriff auf die Editor-Seite als einfache
Webschnittstelle unter https://GREENIP:10443/admin/infoedit/, die nur begrenzte Informationen enthält. Hier kann der Konto-Editor einen
bestehenden Benutzernamen einfügen, dessen zugehörige Kontoinformationen geändert werden können.
Klicken Sie zum Hinzufügen eines Benutzers einfach oberhalb der Liste auf den Link Benutzer hinzufügen. Das Feld Benutzereditor
öffnet sich, in dem alle relevanten Daten für die Erstellung eines neuen Benutzers eingegeben werden können:
Benutzername
Der Benutzername des neuen Kontos.
Gruppe
Die Gruppe, welcher der neue Benutzer angehört. Im Dropdown-Menü können Sie zwischen den beiden verfügbaren
Gruppen auswählen: Hotspot-Konto-Editor und Hotspot-Administrator.
Passwort, Passwort (bestätigen)
Das Passwort für das Benutzerkonto muss zur Bestätigung zweimal eingegeben werden.
Benutzerzugriff auf den Hotspot
In diesem Abschnitt wird die Hotspot-Benutzeroberfläche beschrieben, die bei einer drahtlosen Verbindung zum Hotspot angezeigt wird.
Das Portaldarstellung und -einstellungen können vom Administrator unter Menüleiste ‣ Hotspot ‣ Administrationsinterface ‣
Einstellungen angepasst werden.
Um das Internet nutzen zu können, muss der Benutzer zuvor auf den Hotspot zugreifen und sich anmelden. Dafür ist keine
Softwareinstallation erforderlich. Es muss lediglich eine beliebige Webseite im Browser geöffnet werden: Der Browser führt eine
Weiterleitung zum Hotspot-Portal durch, wo sich der Benutzer anmelden, ein neues Hotspot-Konto erstellen bzw. sich direkt anmelden
und auf das Internet zugreifen kann. Der Hotspot bietet verschiedene Arten von Portalen. Abhängig vom verwendeten Gerät wird dem
Kunden das Portal für mobile Geräte, das Portal für Browser, die kein JavaScript verwenden, oder ein allgemeines Portal für alle anderen
Gerätetypen angezeigt.
Hinweis
Seit Version 2.5 muss sich der Benutzer nicht authentifizieren, wenn der Hotspot für den benutzerlosen Modus konfiguriert ist.
Die Anmeldeseite ist in zwei Abschnitte unterteilt: Auf der linken Seite kann die Sprache der Benutzeroberfläche aus einem Dropdown-
Menü ausgewählt werden. Außerdem wird eine informative Meldung angezeigt. Im rechten Abschnitt wird das Anmeldeformular
angezeigt, über das sich Benutzer anmelden, ein neues Konto erstellen oder ein neues Ticket erwerben können.
Es gibt zwei verschiedene Anmeldeformulare: Ein Formular für Gastbenutzer und ein Formular für registrierte Benutzer. Ersteres ist nur
verfügbar, wenn auf dem Hotspot das ASA-Programm ausgeführt wird. Es umfasst die folgenden Optionen:
Kein Gast
Durch Klicken auf diese Schaltfläche wird das Anmeldeformular für registrierte Benutzer mit den unten aufgeführten Optionen
angezeigt.
Nachname
Der Nachname des Gastbenutzers
Vorname
Der Vorname des Gastbenutzers
Geburtsdatum
Das Geburtsdatum des Gastbenutzers im Format DD.MM.JJJJ. (Beispiel: 5. Februar 1980 wird zu 05.02.1980).
Anmelden
Nach Eingabe der erforderlichen Daten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.
Auf dem Anmeldeformular für registrierte Benutzer werden folgende Optionen angezeigt:
Benutzername
Der Benutzername des Benutzers
Passwörter
Das Benutzerpasswort
Neues Konto registrieren
Nicht registrierte Benutzer können ein neues Konto erstellen, um auf das Internet zuzugreifen. Dies ist nur zulässig, wenn
SmartConnect™ auf dem Hotspot ausgeführt wird. Die einzelnen Schritte zum Einrichten eines neuen Kontos sind unten
beschrieben.
Neues Ticket
Der Benutzer kann ein Ticket erwerben. Dies ist erforderlich, um auf den Hotspot zugreifen zu können. Diese Option ist auch
verfügbar, wenn SmartConnect™ aktiviert ist.
Anmelden
Nach Eingabe der Zugangsdaten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.
Wenn der Hotspot so konfiguriert ist, dass die Nutzungsbedingungen akzeptiert werden müssen, klicken Sie auf die Schaltfläche
Anmelden, woraufhin ein Fenster angezeigt wird, das im unteren Bereich eine Schaltfläche enthält:
Ich akzeptiere die Nutzungsbedingungen
Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem die Nutzungsbedingungen angezeigt werden.
Neues Konto registrieren
Durch Klicken auf die Schaltfläche Neues Konto registrieren wird ein Assistent geöffnet, mit dem Sie in vier Schritten ein neues Hotspot-
Konto einrichten und aktivieren können. Im ersten Schritt wird das Benutzerkonto erstellt. Für eine erfolgreiche Erstellung müssen die
folgenden Daten angegeben werden:
Vorname, Nachname
Der Vor-und Nachname des Benutzers
Straße, Postleitzahl, Stadt, Land
Adresse, Postleitzahl, Stadt und das Land, in dem der Benutzer lebt.
Telefonnummer, unter welcher der Benutzername und das Passwort empfangen werden
Die Ländervorwahl der Benutzertelefonnummer, die aus dem Dropdown-Menü ausgewählt wird, gefolgt von der eigentlichen
Telefonnummer des Benutzers.
Telefonnummer bestätigen
Geben Sie die Telefonnummer zur Bestätigung erneut ein.
Es ist außerdem erforderlich, das Kontrollkästchen neben dem Link Ich akzeptiere die Nutzungsbedingungen zu aktivieren, um das
Konto zu erstellen. Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem Sie die Nutzungsbedingungen lesen können, bevor
Sie sie akzeptieren.
Wenn Sie alle Daten eingegeben haben, klicken Sie rechts unten im Formular auf die Schaltfläche Registrieren, wodurch Sie zum
zweiten Schritt gelangen. Nach der Registrierung erhalten Sie eine SMS mit Ihrem Benutzernamen und dem Passwort, das Sie zur
Authentifizierung für die Anmeldung am Hotspot benötigen.
Im zweiten Schritt können Sie aus einem Dropdown-Menü ein Ticket auswählen, das dem Konto zugewiesen wird und Ihnen die Nutzung
des Hotspots für einen Zugriff auf das Internet ermöglicht. Abhängig von der Einrichtung des Hotspots stehen nur kostenlose Tickets
oder Tickets zur Auswahl, die im Voraus bzw. im Nachhinein bezahlt werden müssen. Es werden jeweils der Name, die Dauer und die
Kosten für jedes verfügbare Ticket angezeigt. Damit diese Option funktionsfähig ist, muss SmartConnect™ im Hotspot aktiviert sein und
Zahlungen über PayPal müssen eingerichtet sein.
Klicken Sie nach der Auswahl eines Tickets auf die Schaltfläche Weiter, um mit dem dritten Schritt fortzufahren.
Hinweis
Es gibt keine Begrenzung für den Kauf von Tickets, die im Voraus oder im Nachhinein bezahlt werden. Es ist jedoch nicht zulässig, zeit-
und datenbasierte Tickets gleichzeitig zu verwenden. Mit anderen Worten: Ein Kunde, der ein oder mehrere gültige zeitbasierte Tickets
besitzt, kann datenbasierte Tickets erst dann erwerben, wenn sämtliche zeitbasierten Tickets, die dem entsprechenden Benutzerkonto
zugewiesen wurden, verwendet wurden bzw. abgelaufen sind. Dasselbe gilt für datenbasierte Tickets: Sämtliche Tickets müssen bereits
verwendet worden bzw. abgelaufen sein, bevor ein zeitbasiertes Ticket erworben werden kann.
Im dritten Schritt wird durch die Auswahl eines kostenpflichtigen Tickets die Website von PayPal geladen, auf der die erforderlichen
Daten für die Transaktion eingegeben und der Kauf per Kreditkarte oder über ein eigenes PayPal-Konto abgeschlossen werden kann.
Wenn hingegen ein kostenloses Ticket ausgewählt wurde, wird dieser Schritt übersprungen und mit dem vierten Schritt fortgefahren.
Im vierten Schritt wird eine Meldung zur erfolgreichen Registrierung angezeigt. Falls einzelne Schritte der Registrierung nicht
abgeschlossen werden konnten, wird hingegen eine Fehlermeldung angezeigt. In jedem Fall wird auch die Zeichenfolge Transaktions-
ID gemeldet. Bewahren Sie die Transaktions-ID als künftige Referenz auf. Sie wird auch benötigt, wenn während der Registrierung oder
bei einer Verbindungsherstellung Fehler auftreten. Im ersten Fall können Sie umgehend einen Hotspot-Administrator kontaktieren, um
die Registrierung abzuschließen und die Zugangsdaten zu erhalten.
Anmelden
Nach der Anmeldung mit Benutzernamen und Passwort wird auf der Seite ein Feld mit Informationen zum Verbindungsstatus angezeigt.
Diese Seite darf nicht geschlossen werden: Mit dem Schließen der Seite wird die Sitzung sofort beendet. In diesem Fall ist eine neue
Anmeldung erforderlich, um auf den Hotspot zugreifen zu können. Folgende Informationen werden auf der Seite angezeigt:
Verbleibende Zeit
Die Gesamtzeit, die noch zur Verfügung steht. Das Wort unbegrenzt wird angezeigt, wenn ein datenbasiertes Ticket
verwendet wird.
Sitzungsdauer
Die Dauer der aktuellen Sitzung
Verbleibender Datenverkehr
Die Menge des verfügbaren Datenverkehrs für das aktuelle Ticket, angegeben in MB oder GB. Das Wort unbegrenzt wird
angezeigt, wenn ein zeitbasiertes Ticket verwendet wird.
Sitzungsdatenverkehr
Die Menge der während des Surfens ausgetauschten Daten. Es werden die Gesamtmenge sowie die herunter- und
hochgeladen Datenmenge (in Klammern) angezeigt.
Menü „Hotspot“
171
Zeitüberschreitung im Leerlauf
Ein Countdown, der die Leerlaufzeit des Geräts anzeigt, d. h. die Zeit, die seit der letzten Aktivität zwischen dem Gerät und
dem Hotspot vergangen ist. Wenn der Countdown den Wert 0 erreicht, wird die Verbindung des Geräts automatisch getrennt.
Startzeit der Sitzung
Der Zeitstempel mit der Startzeit der aktuellen Sitzung
Automatische Anmeldung deaktivieren
Wenn das Kontrollkästchen aktiviert ist, muss sich der Benutzer ungeachtet der SmartLogin-Einstellungen bei einer neuen Verbindung
erneut authentifizieren. Wenn das Kontrollkästchen deaktiviert ist, besteht keine Notwendigkeit für den Benutzer, sich bei einer neuen
Verbindung mit dem Hotspot erneut zu authentifizieren.
Hinweis
Diese Option wird nur angezeigt, wenn die SmartLogin-Funktion durch den Hotspot-Administrator aktiviert wurde.
Unten im Bereich werden zwei Schaltflächen angezeigt.
Durchsuchen starten
Wenn Sie auf diese linke Schaltfläche klicken, wird im Browser eine neue Registerkarte geöffnet, über die Sie zur Homepage
des Hotspots gelangen.
Abmelden
Wenn Sie auf diese Schaltfläche klicken, werden Sie umgehend vom Hotspot abgemeldet.
Neues Ticket
Vor dem Zugriff auf den Hotspot und das Internet müssen Benutzer ein gültiges Ticket erwerben. Der Kauf eines Tickets entspricht dem
in Schritt 2 und Schritt 3 beschriebenen Vorgang der Registrierung.
urity SL. Zuletzt aktualisiert am 31. Januar 2014.
Menü „Protokolle und Berichte“ Menü „Protokolle und Berichte“
Im Protokollabschnitt der Panda GateDefender-Appliance können Protokolle umfangreich angezeigt und verwaltet werden.
Das Untermenü im linken Teil des Bildschirms enthält folgende Elemente:
Übersicht – das völlig neue Modul zur Berichterstattung
Live Protokolle – Sofortansicht der neuesten Protokolleinträge
Zusammenfassung – tägliche Zusammenfassung sämtlicher Protokolle
System – Systemprotokolle (/var/log/messages), gefiltert nach Quelle und Datum
Dienst – Protokolle aus dem Intrusion Detection System (IDS), OpenVPN und Antivirus
Firewall – Protokolle von iptables-Regeln
Proxy – HTTP-/SMTP-Protokolle und Protokolle aus Proxys mit Inhaltsfilterung
Einstellungen – Anpassung aller Protokolloptionen
Gesicherte Zeitstempel – Protokolldateien mit einem Zeitstempel versehen, um Änderungen festzustellen
Es gibt zwei Möglichkeiten, um über die GUI auf Protokolle zuzugreifen: Live und „dienstabhängig“: Im Live-Modus werden die
Protokolldateien direkt nach ihrer Erstellung angezeigt. Im dienstabhängigen Modus werden nur die Protokolle angezeigt, die von einem
bestimmten Daemon oder Dienst erzeugt werden.
Übersicht
Die GUI zu Berichterstattung ist ein neues Modul, das mit Version 5.50 eingeführt wird, und dessen Zweck es ist, verschiedene Typen
von Ereignissen im System grafisch darzustellen.
Kurz gesagt: Das Modul zur Berichterstattung zeigt Ereignisse auf der Panda GateDefender-Appliance mithilfe verschiedener Widgets
und Diagramme an. Alle im System stattfindenden Ereignisse und die zugehörigen vom syslog-Daemon aufgezeichneten Informationen
werden geparst und verwendet, um eine sqlite3-Datenbank aufzufüllen. Hier werden entsprechend den in der GUI angewendeten
Optionen und Filtern Daten gesammelt und mithilfe der Widgets angezeigt.
Hinweis
Dieses Modul ist locker mit Ereignisbenachrichtigungen unter System ‣ Menüleiste ‣ Ereignisbenachrichtigungen verbunden. Alle dort
aufgezeichneten Ereignisse und Ereignisse, für die E-Mail- oder SMS-Benachrichtigungen gesendet werden, sind ebenfalls hier
ausgeführt. Umgekehrt gilt dies jedoch nicht.
Diese Seite ist in sechs Registerkarten unterteilt: Zusammenfassung, System, Web, Spam, Angriffe und Virus. Außer der ersten
Registerkarte, die eine Zusammenfassung aller Ereignisse enthält, ist jede für einen bestimmten auf der Panda GateDefender-Appliance
ausgeführten Dienst gedacht.
Gemeinsame Elemente
Alle Registerkarten sind gleich aufgebaut: Unterhalb der Registerkarten befindet sich auf der linken Seite ein Element zur Datenauswahl
und auf der rechten Seite die Schaltfläche Drucken. Außerdem sind ein Liniendiagramm mit einem horizontalen Schieberegler rechts
unterhalb und oberhalb von informativen Felder (Summary Grid) und ein Kreisdiagramm vorhanden. Am unteren Ende befinden sich eine
oder mehrere Tabellen, abhängig von der angezeigten Registerkarte und den Daten. Die Tabelle, welche die mit den angezeigten
Ereignissen verbundenen syslog-Nachrichten enthält, wird immer angezeigt.
Es folgt eine detaillierte Beschreibung der vorhandenen Widgets im Modul zur Berichterstattung.
Datum auswählen
Auf der linken Seite der Benutzeroberfläche befindet sich ein Hyperlink, der den Zeitraum anzeigt, in dem die für die
Diagramme ausgewählten Ereignisse aufgetreten sind. Durch Klicken auf diesen Link können Sie einem kleinen Bereich die
Zeiträume ändern. Es gibt zwei Arten von Auswahlen: letzte ... Tage betrifft Ereignisse, die innerhalb des/der letzten Tages,
Woche, Monats, Quartals oder Jahres stattgefunden haben. Im zweiten Fall werden alle Ereignisse ausgewählt, die in einem
der letzten 12 Monate aufgetreten sind. Nach Auswahl eines neuen Zeitraums werden die anderen Widgets ebenfalls
aktualisiert. Durch Klicken auf Abbrechen wird der angezeigte Zeitraum nicht geändert.
Durch Klicken auf diese Schaltfläche wird eine Druckvorschau der aktuellen Seite angezeigt, in der die Schaltfläche Drucken
durch Zurück ersetzt ist. Außerdem wird ein Pop-up-Fenster geöffnet, in dem der Drucker ausgewählt werden kann.
Liniendiagramm und Zeitschieberegler:
Das Liniendiagramm zeigt das Ereignis zweidimensional an, das während des ausgewählten Zeitraums in der Panda GateDefender-
Appliance aufgetreten ist. Die x-Achse entspricht dabei dem Zeitraum und die y-Achse zeigt die Anzahl der Vorkommnisse. Eine farbige
Linie verbindet Ereignisse desselben Typs.
Tipp
Unterschiedliche Ereignistypen sind verschiedenfarbig dargestellt.
Der Zeitschieberegler unterhalb des Diagramms ermöglicht es, innerhalb des ausgewählten Zeitraums eine feinere Ansicht der hier als
Histogramme dargestellten Ereignisse anzuzeigen. Die beiden grauen Ziehpunkte auf der linken und rechten Seite des Schiebereglers
können angeklickt und gezogen werden, um den im Liniendiagramm angezeigten Zeitraum zu verkleinern. Bei Verkleinerung kann der
Schieberegler auch bewegt werden, indem auf die Mitte geklickt wird und diese nach links oder rechts gezogen wird.
Summary Grid
Das Summary Grid erfüllt zwei Zwecke: Es dient zum einen die Anzeige der Vorkommnisse der unterschiedlichen Ereignistypen, die auf
der Panda GateDefender-Appliance im ausgewählten Zeitraum aufgetreten sind und zum anderen der Filterung der Ereignistypen, die im
Liniendiagramm angezeigt werden. Der Inhalt ändert sich entsprechend der Registerkarte, auf der es sich befindet, d. h. entsprechend
den protokollierten Ereignistypen. Das Summary Grid ist nicht auf den Registerkarten Mail, Angriffe und Virus vorhanden, da es dort
durch Tabellen mit Details zu den Ereignissen ersetzt wird.
Tortendiagramm
Das Kreisdiagramm zeigt grafisch die Anzahl der Ereignisse an, die im ausgewählten Zeitraum aufgetreten sind. Auf der Registerkarte
Zusammenfassung kann jedes Segment angeklickt werden, um die entsprechende Registerkarte zu öffnen und eine detailliertere
Darstellung anzuzeigen.
Syslog-Tabelle
Eine Tabelle, welche die syslog-Nachrichten anzeigt, die aus den Protokolldateien extrahiert wurden und mit den in den Diagrammen
angezeigten Ereignissen verbunden sind. Wenn die Tabelle viele Nachrichten enthält, werden diese auf mehrere Seiten aufgeteilt, die
mithilfe der Schaltflächen und Zahlen am unteren linken Rand durchsucht werden können. Am unteren rechten Rand befindet sich ein
Symbol, das den Tabelleninhalt aktualisiert.
Zusammenfassung
Die Registerkarte Zusammenfassung bietet eine Übersicht aller Ereigniskategorien, die in der Panda GateDefender-Appliance
aufgezeichnet wurden. Das Summary Grid ermöglicht das Filtern nach folgenden Ereignistypen:
System (Grün): Anzahl der Anmeldungen und andere Ereignisse, die mit Systemverwaltungsaufgaben verbunden sind
(Änderungen des Uplink-Status, Start und Stopp der Protokollierung usw.)
E-Mail (Dunkelgrau): Anzahl empfangener Spam-E-Mails
Web (Blau): Anzahl der vom Inhaltsfilter blockierten Seiten
Virus (Rot): Anzahl gefundener Viren
Einbruchsversuche (Gelb): Vom IPS aufgezeichnete Ereignisse
Jede Kategorie kann mit mehr Informationen und einer höheren Detailebene auf den anderen Registerkarten der Seite angezeigt werden.
Siehe folgender Abschnitt.
System
Die Registerkarte System enthält alle Ereignisse, die mit der Systemeffizienz und der Systemverwaltung zusammenhängen. Die
folgenden Ereignisse werden angezeigt:
Uplink (Rot): Die Zeiten, zu denen der/die Uplink/s online oder offline gegangen sind.
Status (Dunkelgrau): Änderungen im Status der Panda GateDefender-Appliance.
Anmeldung (Blau): Die Anzahl erfolgreicher und fehlgeschlagener Anmeldungen.
Laufwerk (Gelb): Ereignisse zum Lesen und Schreiben auf dem Laufwerk.
Upgrade (Grün): Ereignisse, die sich auf ein Upgrade des Systems oder von Paketen beziehen.
Support (Hellgrau): Anzahl der vom Supportteam durchgeführten Zugriffe und Operationen.
Durch Klicken auf das kleine Symbol auf der linken Seite jeder Ereigniskategorie werden die anderen Kategorien ausgeblendet, während
die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.
Web
Die Registerkarte Web zeigt die Anzahl der Seiten, die durch die URL-Filterengine blockiert wurden. Das Summary Grid besteht aus zwei
Registerkarten: Zugriffsprotokoll und Filterprotokoll. Ersteres zeigt die blockierte URL unterteilt nach Quell-IP-Adresse, URL und
Benutzer, die blockiert wurden, sowie die Gesamtzahl für jedes Element jeweils in einer Tabelle.
Die zweite Registerkarte zeigt in der ersten Tabelle die folgenden Kategorien, die im Webfilter verfügbar sind ( Siehe Menüleiste ‣ Proxy
‣ HTTP ‣ Webfilter).
Allgemeine Verwendung (Grün)
Kindersicherung (Gelb)
Produktivität (Blau)
Sicherheit (Rot)
Nicht kategorisierte Websites (Dunkelgrau)
Wie auf der Registerkarte System das kleine Symbol auf der linken Seite jeder Ereigniskategorie die anderen Kategorien aus, während
die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.
Die anderen Tabellen am unteren Rand zeigen die Zähler für jedes der blockierten Objekte an: die Quell-IP-Adressen, die URLs und die
Benutzer.
Die Registerkarte E-Mail zeigt alle als Spam blockierten E-Mails an.
Es gibt kein Summary Grid auf dieser Registerkarte. Stattdessen befinden sich dort drei Tabellen mit Zählern für:
Von: den/die Absender der Spam-E-Mails
An: der/die Empfänger der Spam-E-Mails
Quell-IP-Adresse: die IP-Adresse, von der aus die Spam-E-Mail versendet wurde.
Einbruchsversuche
Die Registerkarte Einbruchsversuche zeigt alle vom IPS erkannten versuchten Einbrüche (siehe Menüleiste ‣ Dienste ‣
Einbruchsversuche).
Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:
Einbruchsversuche: die Kategorie, in die der jeweilige Versuch fällt,
Quell-IP-Adresse: die IP-Adresse, von welcher der Angriff ausging,
die Ziel-IP-Adresse, die IP-Adresse, auf die ein Angriff gestartet wurde.
Viren
Die Registerkarte Viren zeigt alle von der Anti-Virus-Engine abgefangenen Viren (siehe Menüleiste ‣ Dienste ‣ Antivirus Engine).
Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:
Name des Virus: den Namen des gefundenen Virus,
Quell-IP-Adresse: die IP-Adresse, unter der sich der Virus ursprünglich befand,
die Ziel-IP-Adresse, die IP-Adresse, zu welcher der Virus geleitet wurde.
Verbindungen
Die Registerkarte Verbindungen zeigt die durchschnittliche Anzahl von Verbindungen, die von Benutzern auf der Panda GateDefender-
Appliance gestartet wurden, gruppiert nach:
lokalen Verbindungen, Zugriffen über SSH oder die Konsole,
Hotspot-Benutzer: Benutzern, die auf den Hotspot zugreifen,
IPsec-Benutzern, Clients, die über IPsec verbunden sind,
OpenVPN-Benutzern und Clients, die über VPN verbunden sind.
Netzwerkmonitoring
Die ntopng-Software ist der Nachfolger des Analysators für den ntop-Netzwerkdatenverkehr. Sie bietet eine intuitivere
Benutzeroberfläche und mehr grafische Darstellungen des Datenverkehrs in der Panda GateDefender-Appliance.
Die Verwaltungsoberfläche von ntopng bietet nun mehr Benutzerfreundlichkeit und einen leichteren Zugriff von jedem Browser aus,
wodurch sie fester mit der Panda GateDefender-Appliance verbunden ist als in vorherigen Versionen.
Kurzgesagt bietet ntopng folgende Funktionen:
Echtzeitüberwachung jeder Netzwerkschnittstelle der Panda GateDefender-Appliance
Verwaltungsoberfläche mit Zugriff aus dem Internet
Ressourcensparender als ntop
Integration von nDPI (Anwendungsfirewall)
Datenverkehrsanalyse nach verschiedenen Parametern (Protokoll, Quelle/Ziel)
Export von Berichten in JSON-Format
Speicher für Statistiken zum Datenverkehr auf dem Laufwerk
Die GUI von ntopng ist in vier Registerkarten aufgeteilt: Übersicht, Datenströme, Hosts und Schnittstellen. Darüber hinaus gibt es ein
Suchfeld zur schnellen Anzeige von Informationen zu einem gegebenen Host.
In der Fußzeile jeder Registerkarte werden einige Informationen angezeigt: Neben einem Urheberrechtshinweis und einem Link zur
Homepage von ntop ist ein Diagramm vorhanden, das den Netzwerkverkehr der letzten 20 Sekunden in Echtzeit anzeigt, sowie einige
numerische Daten zur momentan verbrauchten Bandbreite, der Anzahl der Hosts und Datenströme sowie der Betriebszeit der Panda
GateDefender-Appliance.
Übersicht
Die Übersicht zeigt alle für die Panda GateDefender-Appliance relevanten Verbindungen an. Dies sind alle hergestellten Datenströme, in
welche die Panda GateDefender-Appliance involviert ist.
Die Seite ist unterteilt in verschiedene Diagramme, wobei das erste ein so genanntes Sankey-Diagramm ist, das alle Datenströme
anzeigt, die sich auf der Panda GateDefender-Appliance bewegen, und in Echtzeit aktualisiert wird. Die horizontalen Datenströme zeigen
den Datenverkehr zwischen zwei Hosts, während die vertikale Breite jedes Datenstroms proportional zur durch diesen Datenstrom
verbrauchten Bandbreite ist, d. h. der Menge an strömenden Daten. Die Verbindungen – und damit auch die Richtung der gesendeten
Daten – werden von links nach rechts angezeigt: Hosts auf der linken Seite des Diagramms senden Daten an Hosts auf der rechten
Seite, und werden entweder über die IP-Adresse oder den Hostnamen identifiziert. Durch Klicken auf einen Host wird die Seite Übersicht
auf der Registerkarte Hosts geöffnet, die verschiedene Informationen über diesen Host anzeigt.
Unterhalb des Sankey-Diagramms befinden sich vier rein informative Kreisdiagramme, die den Prozentsatz der Elemente anzeigen, die
den meisten Datenverkehr generieren. Sie sind unterteilt in: Gesamt nach Host (oben links), Anwendungsprotokolle (oben rechts), ASNs
(unten links) und Live-Datenstromsender (unten rechts).
Datenströme
Die Registerkarte zu aktiven Datenströmen enthält eine große Tabelle mit verschiedenen Informationen über die aktiven Datenströme:
Info: Durch Klicken auf das Symbol wird eine neue Seite geöffnet, auf der detailliertere Informationen über diesen Datenstrom
angezeigt werden.
Anwendung: Die den Datenstrom verursachende Anwendung. Zur Erkennung wird nDPI verwendet. Es kann daher notwendig sein,
den Austausch einiger Pakete abzuwarten, damit die korrekte Anwendung angezeigt wird: In diesem Fall wird die Nachricht (Zu früh)
anstelle des Namens der Anwendung angezeigt.
L4 Proto: Das vom Datenstrom verwendete Protokoll, das in der Regel TCP oder UDP ist.
Kunde: Der Hostname und Port, der vom Datenstrom auf der Client-Seite verwendet wird. Durch Klicken auf den Hostnamen oder den
Port werden auf einer neuen Seite weitere Informationen über den Netzwerkverkehr auf dem Host oder Port angezeigt.
Server: Der Hostname und Port der vom Datenstrom auf der Serverseite verwendet wird. Wie beim Client werden weitere
Informationen angezeigt, wenn Sie auf den Hostnamen oder Port klicken.
Tipp
Durch Klicken auf den Hostnamen oder den Port zeigt die Tabelle detaillierte Informationen und es wird eine Unterregisterkarte auf der
Registerkarte Hosts geöffnet.
Dauer: Die Dauer der Verbindung.
Aufschlüsselung: Der prozentuale Wert des Datenverkehrs, der vom Client und Server generiert wird.
Durchsatz: Die Datenmenge, die momentan zwischen Client (links in schwarz) und Server (rechts in grün) ausgetauscht wird.
Gesamtanzahl Bytes: Die gesamte Datenmenge, die seit Verbindungsherstellung ausgetauscht wurde.
Am unteren Rand der Tabelle wird links die Gesamtanzahl der Zeilen angezeigt, während es auf der rechten Seite möglich ist, die
verschiedenen Seiten zu durchsuchen, in welche die Tabelle unterteilt wird. Dies gilt, wenn die Anzahl der Zeilen größer als der
Seitenumbruch ist.
Durch Klicken auf das Symbol Info werden detaillierte Informationen zu einem bestimmten Datenstrom angezeigt. Neben den bereits
beschriebenen Daten werden außerdem folgende angezeigt.
Erste Sichtung: Der Zeitstempel zur Verbindungsherstellung zusammen mit der seit dem vergangenen Zeit
Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit
Client-zu-Server-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden
Server-zu-Client-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden
TCP-Flags: Die TCP-Zustände des aktuellen Datenstroms
Durch Klicken auf den Hyperlink Datenströme links oberhalb der Tabelle wird die erste Liste der Datenströme erneut aufgerufen.
Hosts
Die Registerkarte Hosts ermöglicht es, verschiedene Details über die involvierten Teilnehmer eines Datenstroms anzuzeigen: Host, Port,
Anwendung, Datenströme und deren Dauer, Datenaustausch usw.
Es gibt zwei mögliche Darstellungen: Hostliste und Top-Hosts (lokal)
Die Darstellung Hostliste zeigt Informationen über alle Hosts, die in einem Datenstrom mit der Panda GateDefender-Appliance involviert
sind, sowie die folgenden Daten darüber:
IP-Adresse: die IP- oder MAC-Adresse des Hosts. Letztere wird angezeigt, wenn der DHCP-Lease für diesen Host
abgelaufen ist.
Standort: ob sich der Host im lokalen oder einem Remote-Netzwerk befindet.
Symbolischer Name: Falls verfügbar, ist dies der Name des Hosts.
Erste Sichtung: Der Zeitstempel der ersten Verbindungsherstellung
ASN:
Aufschlüsselung: Das Verhältnis zwischen ein- und ausgehendem Datenverkehr
Datenverkehr: Die vom Host ausgetauschte Datenmenge.
Durch Klicken auf die IP-Adresse öffnet sich eine Host-Übersicht, die neben den bereits erwähnten Informationen weitere Details zum
Host anzeigt:
Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit
Aufschlüsselung für gesendeten und empfangenen Datenverkehr Der durch den Host generierte oder empfangene
Datenverkehr
Gesendeter Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden
Empfangener Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden
JSON: Download-Informationen über den Host im JSON-Format.
Aktivitätszuordnung: Anzahl der gesichteten Datenströme, in die der Host zu einem gegebenen Zeitstempel involviert war.
Jedes Quadrat zeigt eine Minute, wobei eine dunklere Farbe mehr Datenströmen in dieser Minute entspricht.
Von hier aus können außerdem weitere informative Registerkarten über diesen Host geöffnet werden. Jede Registerkarte enthält eines
oder mehrere Kreisdiagramme (bis auf die Registerkarten Kontakte und Verlauf) über einem Zusammenfassungstext der angezeigten
Daten.
Datenverkehr: Das vom Host verwendete Netzwerkprotokoll (im Allgemeinen TCP, UDP und ICMP).
Pakete: Die Länge in Paketen für jeden Datenstrom (Hinweis: Nur meine Vermutung).
Protokolle: Das vom Host verwendete Anwendungsprotokoll
Datenströme: Die Tabelle mit allen Netzwerkströmen der Hosts
Sender: Das Sankey-Diagramm der Verbindungen. Dieses ist dem in der Übersicht sehr ähnlich, wobei dieses nur die aktivsten
Datenströme anzeigt.
Kontakte: Diese Registerkarte unterscheidet sich leicht von den anderen. Am oberen Rand wird eine Interaktionsübersicht und am
unteren Rand eine Liste der Verbindungen angezeigt, die den Host als Client oder Empfänger haben.
Verlauf: Ein interaktives Diagramm zeigt den Verlauf des
Datenverkehrs vom und zum Host innerhalb eines gegebenen Zeitraums (bis zu einem Jahr), der oberhalb des Diagramms ausgewählt werden
kann.
Die Darstellung Top-Hosts (lokal) zeigt eine Echtzeitgrafik der Hosts, die aktive Verbindungen zum Host besitzen. Es werden die letzten
30 Minuten angezeigt.
Schnittstellen
Die Registerkarte Schnittstellen ermöglicht es, aus den aktiven Netzwerkschnittstellen diejenige auszuwählen, deren Datenverkehr
überwacht werden soll.
Hinweis
Es ist momentan nicht möglich, Datenströme und/oder Hosts von verschiedenen Schnittstellen auszuwählen.
Live
Beim Aufrufen des Abschnitts Protokolle oder durch Klicken auf den Eintrag Live im Untermenü wird die Live Protokollanzeige angezeigt.
Dort werden sämtliche Protokolldateien aufgelistet, die für die Echtzeitansicht zur Verfügung stehen. Sie können beliebig viele Protokolle
durch Aktivieren der entsprechenden Kontrollkästchen zur Ansicht auswählen. Die Protokolle werden nach Betätigen der Schaltfläche
Ausgewählte Protokolle anzeigen in einem neuen Fenster angezeigt. Um alle Protokolle gleichzeitig anzuzeigen, aktivieren Sie das
Kontrollkästchen Alle auswählen direkt über der Schaltfläche Ausgewählte Protokolle anzeigen, und klicken Sie anschließend auf die
letztgenannte Schaltfläche. Wenn Sie nur eine einzige Protokolldatei anzeigen möchten, klicken Sie einfach auf den Link Nur dieses
Protokoll anzeigen.
Das nun angezeigte Fenster enthält zwei Felder – oben das Feld Einstellungen, unten das Feld Live Protokolle.
Warnung
Bei einer sehr hohen Zahl an Protokolleinträgen kann die Protokollliste bei gleichzeitiger Anzeige mehrerer Protokolle äußerst
unübersichtlich werden (insbesondere bei der Firewall- oder Proxy-Protokollierung, bei der mehrere Protokolleinträge pro Sekunde
erzeugt werden können). In solchen Fällen können Sie die Protokolle, die Sie anzeigen möchten, im Feld Einstellungen konfigurieren.
Einstellungen
In diesem Feld können Sie die Einstellungen der Protokollanzeige ändern. Sie können festlegen, welche Protokolldateien angezeigt
werden sollen sowie Farbgebung und Hervorhebungsoptionen ändern. Außerdem können Sie nach bestimmten Schlüsselwörtern
suchen.
Rechts im Feld werden die Liste der derzeit dargestellten Protokolle sowie die jeweilige farbliche Markierung angezeigt. Links im Feld
werden einige zusätzliche Steuerelemente angezeigt, mit denen Sie die Ausgabe einschränken können:
Filter
Es werden nur die Protokolleinträge angezeigt, die den festgelegten Ausdruck enthalten.
Zusätzliche Filter
Funktion siehe oben; allerdings wird dieser Filter auf die Ausgabe des ersten Filters angewandt. Anders ausgedrückt: Es
werden nur Protokolleinträge angezeigt, die beide Ausdrücke enthalten.
Ausgabe aussetzen
Durch Betätigen dieser Schaltfläche werden neue Protokolleinträge nicht im Live-Protokoll angezeigt. Nach erneutem
Betätigen der Schaltfläche werden alle neuen Einträge gleichzeitig angezeigt. Die älteren Einträge werden dabei schnell
durchlaufen.
Hervorhebung
Sämtliche Protokolleinträge, die diesen Ausdruck enthalten, werden durch einen ausgewählten Farbton hervorgehoben. Der
Unterschied zur Filteroption besteht darin, dass auch weiterhin sämtliche Inhalte angezeigt werden und die Protokolleinträge,
die den betreffenden Ausdruck enthalten, zusätzlich farblich hervorgehoben werden.
Farbe für Hervorhebungen
Durch Klicken auf das farbige Quadrat kann der zur Hervorhebung zu verwendende Farbton ausgewählt werden.
Automatisch scrollen
Diese Option steht nur zur Verfügung, wenn die Option In umgekehrter chronologischer Reihenfolge sortieren im Abschnitt
Menüleiste ‣ Protokolle ‣ Einstellungen deaktiviert ist. Dadurch werden alle neuen Einträge unten auf der Seite angezeigt:
Wenn diese Option aktiviert ist, wird die Liste nach oben gescrollt, um die neuesten Einträge am Ende der Seite anzuzeigen.
Anderenfalls werden nur die älteren Einträge angezeigt, und die Bildlaufleiste auf der rechten Seite muss zur Ansicht der
neuen Protokolleinträge verwendet werden.
Um Protokolle zur Ansicht hinzuzufügen oder von der Ansicht zu entfernen, klicken Sie auf den Link Mehr anzeigen direkt unter der Liste
mit den Protokolldateien (rechts oben). Die Steuerelemente werden durch eine Tabelle ersetzt, in der Sie die gewünschten
Protokolldateien durch Aktivieren bzw. Deaktivieren der entsprechenden Kontrollkästchen auswählen können. Um die Farbe einer
Protokolldatei zu ändern, klicken Sie für den entsprechenden Protokolltypen auf Farbpalette und wählen Sie die gewünschte Farbe aus.
Um die Steuerelemente wieder anzuzeigen, klicken Sie auf einen der Links Schließen unter der Tabelle bzw. unter der Liste der
angezeigten Protokolldateien.
Live Protokolle
Die zur Ansicht ausgewählten Protokolle werden in diesem Feld angezeigt, das eine Tabelle mit drei Spalten enthält.
Linke Spalte
Diese Spalte enthält den Protokollnamen, d. h. den Namen des Daemons bzw. Dienstes, der den Protokolleintrag erzeugt.
Mittlere Spalte
Der Zeitstempel (Datum und Uhrzeit) des aufgezeichneten Ereignisses.
Rechte Spalte
Die vom Dienst bzw. Daemon erstellte und in den Protokolldateien erfasste Meldung.
Hinweis
Einige Protokollnachrichten – besonders Firewall-Einträge – umfassen mehr als eine Zeile, was durch die Schaltfläche rechts neben
der Nachricht angezeigt wird. Klicken Sie auf diese Schaltfläche, um die gesamte Nachricht anzuzeigen.
Schließlich können Sie auch das Fenster vergrößern bzw. verkleinern, indem Sie auf die Schaltflächen Fensterhöhe vergrößern bzw.
Fensterhöhe reduzieren klicken, die sich in der Feldüberschrift befinden.
Gemeinsame Aktionen
In den Untermenüeinträgen System, Dienst, Firewall und Proxy werden Protokolldateien verschiedener Dienste und Daemons angezeigt,
die nach ähnlichen Merkmalen gruppiert sind. Es stehen verschiedene Steuerelemente zur Verfügung, mit denen Protokolle durchsucht
bzw. einzelne Protokolleinträge angezeigt werden können. Viele Steuerelemente sind für alle Dienste und Daemons identisch. Nur beim
Menüelement System und der Registerkarte HTTP Report unter Proxy stehen zusätzliche Steuerelemente zur Verfügung. Die Seiten der
Untermenüeinträge sind in gleicher Art und Weise in zwei Felder gegliedert: oben das Feld Einstellungen, unten das Feld Protokoll.
Filter
Es werden nur die Zeilen angezeigt, die den festgelegten Ausdruck enthalten.
Gehe zu Datum
Protokolleinträge ab dem angegebenen Datum werden angezeigt.
Gehe zur Seite
Protokolleinträge von dieser Seite werden direkt im Resultset angezeigt. Die Anzahl der angezeigten Einträge pro Seite kann
auf der Seite Menüleiste ‣ Protokolle ‣ Einstellungen geändert werden.
Aktualisieren
Nach dem Vornehmen der oben genannten Einstellungen können Sie durch Betätigen dieser Schaltfläche den Seiteninhalt
aktualisieren. Die Seite wird nicht automatisch aktualisiert.
Exportieren
Durch Betätigen dieser Schaltfläche werden die Protokolleinträge in eine Textdatei exportiert.
Protokoll signieren
Durch Betätigen dieses Links wird das aktuelle Protokoll signiert. Die Schaltfläche ist nur verfügbar, wenn Gesicherter
Zeitstempel aktiviert ist.
Älter, Neuer
Diese beiden Schaltflächen finden Sie im Feld Protokoll. Sie werden angezeigt, wenn die Anzahl der Einträge stark ansteigt.
In diesem Fall werden die Einträge in zwei oder mehrere Teile gegliedert. Mithilfe dieser Schaltflächen können Sie ältere oder
neuere Einträge aus den Suchergebnissen anzeigen.
Hinweis
Eine Meldung oben auf der Seite informiert Sie, wenn für ein bestimmtes Datum keine Protokolle verfügbar sind. Dies kann vorkommen,
wenn der Daemon bzw. Dienst nicht aktiv war oder keine Nachricht erzeugt hat.
Im nachfolgenden Teil dieses Abschnitts werden sämtliche Dienste und die dazugehörigen Einstellungen beschrieben.
Zusammenfassung
Diese Seite enthält Zusammenfassungen für die Protokolle, die von der Panda GateDefender-Appliance erstellt werden, getrennt nach
Tagen und generiert von der Protokollüberwachungssoftware logwatch. Im Gegensatz zu den anderen Teilen des Protokollbereichs
stehen hier Einstellungen zur Verfügung, mit denen Sie die Ausführlichkeit der Informationen bestimmen können. Folgende
Steuerelemente sind im ersten Feld am Seitenanfang verfügbar:
Monat
Wählen Sie aus diesem Dropdown-Menü den Monat aus, in dem die Protokollmeldungen erstellt wurden.
Tag
Im zweiten Dropdown-Menü können Sie den Tag auswählen, an dem die Protokollmeldungen erstellt wurden.
<<, >>
Durchsuchen Sie den Protokollverlauf, indem Sie mithilfe der Schaltflächen die einzelnen Tage auswählen (oder
abschnittsweise, wenn zu viele Meldungen am selben Tag erstellt wurden). Der Seiteninhalt wird automatisch aktualisiert.
Aktualisieren
Sofortige Aktualisierung des Seiteninhalts bei Änderung der Angaben zum Monat/Tag.
Exportieren
Durch Betätigen dieser Schaltfläche wird die Zusammenfassung in Textform angezeigt und kann auf dem lokalen
Dateisystem gespeichert werden.
Unterhalb des Feldes Einstellungen wird – abhängig von den ausgeführten Diensten, für die Protokolleinträge verfügbar sind – eine
variable Anzahl von Feldern angezeigt. Hierbei sollte das Feld Speicherplatz möglichst sichtbar sein, da es den verfügbaren
Speicherplatz zum gewählten Zeitpunkt anzeigt. Weitere Felder, die zusätzlich angezeigt werden können, sind Postfix (E-Mail-
Warteschlange) und Firewall (akzeptierte und abgelehnte Pakete).
Beachten Sie, dass keine Zusammenfassungen für den aktuellen Tag verfügbar sind. Diese werden über Nacht aus den am Tag zuvor
erzeugten Protokolldateien erstellt.
System
In diesem Abschnitt wird die Protokollanzeige für die verschiedenen Systemprotokolldateien angezeigt. Im oberen Feld Einstellungen
werden die Kriterien für die Ansicht der Einträge im unteren Feld festgelegt. Neben den gemeinsamen Aktionen steht ein zusätzliches
Steuerelement zur Verfügung:
Abschnitt
Die Protokolltypen, die angezeigt werden sollten – entweder Alle oder nur diejenigen, die sich auf einen bestimmten Dienst
oder Daemon beziehen. Unter anderem sind dies Kernelmeldungen, Zugriffe über SSH, NTP usw.
Klicken Sie dem Beispiel in diesem Abschnitt entsprechend auf die Schaltfläche Aktualisieren, um die im Feld Protokoll angezeigten
Protokolle am Ende der Seite zu aktualisieren. Im genannten Feld können Sie mithilfe der Schaltflächen Ältere und Neuere die Seiten
durchsuchen.
Dienst
In diesem Abschnitt werden die Protokolleinträge der zwei wichtigsten Dienste angezeigt, die von der Panda GateDefender-Appliance
bereitgestellt werden: IDS, OpenVPN und Panda Anti-Virus. Diese Dienste verfügen jeweils über eine eigene Registerkarte. Nur die
gemeinsamen Aktionen sind verfügbar.
Firewall
Die Protokollanzeige der Firewall enthält die Meldungen über die Aktivitäten der Firewall. Nur die gemeinsamen Aktionen sind verfügbar.
Folgende Informationen werden in der Tabelle angezeigt:
Zeit
Der Zeitstempel zur Erstellung der Nachricht
Chain:
Die Chain, über die das Paket geleitet wurde
Iface:
Die Schnittstelle, über die das Paket geleitet wurde
Proto:
Der Prototyp des Pakets
Quelle, Quellport:
Die IP-Adresse und der Port, von der/dem das Paket gekommen ist
MAC Adresse
Die MAC-Adresse der Quellschnittstelle
Ziel, Zielport:
Die IP-Adresse und der Port, zu der/dem das Paket geleitet wurde.
Proxy
In der Protokollanzeige des Proxy werden die Protokolle für die vier Daemons angezeigt, die den Proxy verwenden. Jeder Daemon hat
eine eigene Registerkarte: Squid (HTTP), DansGuardian (Inhaltsfilter), SARG (HTTP Report) und SMTPD (SMTP, E-Mail-Proxy).
HTTP- und Inhaltsfilter
Zusätzlich zu den gemeinsamen Aktionen können bei der Protokollanzeige für den HTTP-Proxy und den Inhaltsfilter folgende Werte
angegeben werden:
Quell-IP-Adresse
Zeigt nur die Protokolleinträge mit der gewünschten Quell-IP-Adresse an, die aus einem Dropdown-Menü ausgewählt wird.
Ignorieren-Filter
Ein regulärer Ausdruck, mit dem sämtliche Protokolleinträge herausgefiltert werden, die den betreffenden Ausdruck enthalten.
Ignorieren-Filter aktivieren
Aktivieren Sie dieses Kontrollkästchen, um den Ignorieren-Filter vorübergehend zu deaktivieren.
Standardwerte wiederherstellen
Durch Betätigen dieser Schaltfläche werden die standardmäßig eingestellten Suchparameter wiederhergestellt.
HTTP Report
Die Registerkarte HTTP Report bietet lediglich eine Option: Sie können den Proxyanalysengenerator aktivieren bzw. deaktivieren, indem
Sie das Kontrollkäschen Aktivieren aktivieren und anschließend auf die Schaltfläche Speichern klicken. Nach Aktivieren des
Analysengenerators werden durch Klicken auf die Links Täglicher Report, Wöchentlicher Report und Monatlicher Report detaillierte
HTTP-Berichte angezeigt.
SMTP
Nur die gemeinsamen Aktionen sind in der Registerkarte des Postfix-Daemons verfügbar.
Einstellungen
Diese Seite enthält alle allgemeinen Konfigurationselemente für die Protokollierungsfunktionen der Panda GateDefender-Appliance, die
in vier Felder unterteilt sind: Sie sind in vier Felder unterteilt: Protokoll Ansichtsoptionen, Protokollübersicht, Remote logging und Firewall
Log.
Protokoll Ansichtsoptionen
Anzahl der anzuzeigenden Zeilen
Der Wert Paginierung, d. h. wie viele Zeilen pro Berichtseite angezeigt werden.
In umgekehrter chronologischer Reihenfolge sortieren
Wenn dieses Kontrollkästchen aktiviert ist, werden die neuesten Protokolleinträge zuerst angezeigt.
Protokollübersicht
Zusammenfassungen für __ Tage aufheben
Hier können Sie festlegen, wie lange die Protokollübersichten vor dem Löschen auf der Festplatte gespeichert werden sollen.
Detaillierungsgrad
Die Detailstufe, die für die Protokollübersicht anzuwenden ist: je höher der Detaillierungsgrad, desto mehr Protokolleinträge
werden gespeichert und angezeigt. Das Dropdown-Menü bietet drei Detaillierungsgrade: Niedrig, Mittel und Hoch.
Remote logging:
Aktiviert (Remote logging)
Durch Aktivieren dieses Kästchens wird die Remote-Protokollierung aktiviert. Mithilfe der folgenden Option kann der
Hostname des syslog-Servers eingegeben werden.
Syslog Server:
Der Hostname des Remote-Servers, an den die Protokolle gesendet werden. Der Server muss die neuesten syslog-
Protokollstandards der IETF unterstützen.
Firewall Log
Pakete mit verdächtigen TCP Flags protokollieren
Wenn diese Option aktiviert ist, protokolliert die Firewall Pakete mit einer fehlerhaften Konstellation der TCP-Flag (z. B. wenn
alle Flags gesetzt sind).
NEUE Verbindungen ohne SYN Flag protokollieren
Wenn diese Option aktiviert ist, werden alle neuen TCP-Verbindungen ohne SYN Flag protokolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Um alle akzeptierten ausgehenden Verbindungen zu protokollieren, muss dieses Kontrollkästchen aktiviert sein.
Abgelehnte Pakete protokollieren
Bei Aktivierung dieser Option werden alle abgelehnten Pakete von der Firewall protokolliert.
Gesicherte Zeitstempel
Das gesicherte Zeitstempeln ist ein Prozess, dem Protokolldateien (und generell sämtliche Dokumente) unterzogen werden, um ihre
Herkunft und die Übereinstimmung mit dem Original zu prüfen und zu bestätigen. Anders ausgedrückt: Durch das gesicherte
Zeitstempeln kann man überprüfen und bestätigen, dass eine Protokolldatei in keinster Weise von irgendeiner Person geändert wurde,
auch nicht vom ursprünglichen Verfasser. Im Falle von Protokolldateien hat sich das gesicherte Zeitstempeln zur Überprüfung der
Zugriffe auf das System oder der Verbindungen von VPN-Benutzern als nützlich erwiesen, selbst im Falle unabhängiger Nachprüfungen.
Menü „Protokolle und Berichte“
185
Das gesicherte Zeitstempeln ist standardmäßig nicht aktiviert. Es lässt sich jedoch mit nur einem Klick auf den grauen Schalter aktivieren.
Wenn der Schalter auf grün wechselt, werden einige Konfigurationsoptionen angezeigt.
URL des Servers zur Erstellung der Zeitstempel
Die URL des Servers zur Erstellung der Zeitstempel (auch TSA genannt) ist zwingend erforderlich, da die Protokolldateien von diesem
Server signiert werden.
Hinweis
Für das gesicherte Zeitstempeln wird eine gültige URL von einem gültigen TSA benötigt. Verschiedene Unternehmen bieten diesen
Dienst an.
HTTP Authentifizierung
Aktivieren Sie das Kontrollkästchen unter HTTP Authentifizierung, wenn für den zur Erstellung der Zeitstempel verwendeten
Server eine Authentifizierung erforderlich ist.
Benutzername
Der Benutzername, der zur Authentifizierung auf dem betroffenen Server verwendet wird.
Kennwort
Das Passwort, das zur Authentifizierung auf dem betroffenen Server verwendet wird.
Öffentlicher Schlüssel des Zeitstempel-Servers
Zur Erleichterung der Kommunikation und zur Erhöhung der Sicherheit kann der öffentliche Schlüssel des Servers importiert
werden. Sie können die Zertifikatsdatei auf dem lokalen Computer suchen, indem Sie auf die Schaltfläche Durchsuchen...
klicken, und Sie sie anschließend in der Panda GateDefender-Appliance durch Betätigen der Schaltfläche Hochladen
hochladen. Nachdem das Zertifikat gespeichert wurde, wird neben der Bezeichnung Öffentlicher Schlüssel des Zeitstempel-
Servers ein Download-Link angezeigt, der für den Erhalt des Zertifikats angeklickt werden kann, wenn dieses beispielsweise
auf einer weiteren Panda GateDefender-Appliance installiert werden soll.
Nachdem Sie auf die Schaltfläche Speichern geklickt haben, werden die Einstellungen gespeichert. Am nächsten Tag wird im Abschnitt
Protokolle rechts neben dem Feld Einstellungen eine neue Schaltfläche angezeigt.
Protokollsignatur überprüfen
Wenn Sie auf diese Schaltfläche klicken, wird eine Meldung in einem gelben Textfeld angezeigt, die Sie über den
Protokollstatus informiert.
Siehe auch
Die offizielle OpenSSL-Zeitstempeldokumentation und RFC 3161, in denen das Zeitstempelprotokoll erstmals definiert wurde.
Dokumentation für Panda GateDefender 5.50 »
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
Glossar Glossar
Paket
Ein Feld ist ein Element einer Dienstseite, das verschiedene Konfigurationsoptionen enthält.
Client
Ein Benutzer, der eine Verbindung mit dem Hotspot herstellt. Dieser wird gelegentlich auch als Hotspot-Benutzer bezeichnet.
GRÜNE IP-Adresse
Die IP-Adresse der GRÜNEN Zone, also die IP-Adresse des LAN, in dem sich die Panda GateDefender-Appliance befindet.
Modul
Module sind die in der Hauptnavigationsleiste angezeigten Elemente (System, Status, Protokolle usw.), die eine Menge von
Funktionen gruppieren.
Mehrfachauswahlfeld
Ein spezielles Feld, bei dem rechts eine Liste verfügbarer Elemente, links eine Liste „aktiver“ bzw. ausgewählter Elemente
und darüber ein Suchtextfeld angezeigt wird. Bei manchen Mehrfachauswahlfeldern kann für zulässige Elemente auch ein
Merkmal angegeben werden (z. B. ob das Element erforderlich oder optional ist).
Paginierung
Das Aufteilen einer umfangreichen Tabelle in zwei oder mehr Teile zur getrennten Anzeige, wenn die Anzahl der Einträge
den Paginierungswert überschreitet. Diese Funktion ist derzeit nur für den Hotspot und die Protokolle verfügbar. Der Wert
kann unter Hotspot ‣ Einstellungen und Menüleiste ‣ Protokolle ‣ Einstellungen definiert werden. Durch Klicken auf die Links
Anfang, Vor, Nächste und Ende über der Tabelle kann durch die Seiten geblättert werden.
Plugin
Plugins sind die Felder in der Übersicht.
Smarthost
Ein SMTP-Relayserver, von dem eine E-Mail nicht direkt an den Empfänger zugestellt, sondern an einen Zwischenserver
gesendet wird, durch den die endgültige Zustellung erfolgt. Für Smarthosts ist im Gegensatz zu offenen Relayservern in der
Regel eine Authentifizierung erforderlich.
Registerkarte
Registerkarten sind Unterseiten eines Hauptdienstes, die verwendet werden, um alle Konfigurationsoptionen dieses Dienstes
aufzuteilen und zu organisieren.
Die Zonen
Jedes der vier Subnetze, die von der Panda GateDefender-Appliance verwaltet werden: GRÜN, ROT, BLAU und ORANGE.
Benutzer
Eine Person, welche die Panda GateDefender-Appliance verwendet.
Printed Documentation
188
Benutzeragent
Die Zeichenkette, die von jedem Webbrowser beim Anfordern einer Webseite zu Identifizierungszwecken gesendet wird. Sie enthält
verschiedene Informationen zum Browser und zum System. Zum Beispiel:
Mozilla/5.0 (X11; U; Linux i586; it; rv:5.0) Gecko/20100101 Firefox/5.0
Eine vollständige Liste von Zeichenketten für Benutzeragenten kann auf folgender Website gefunden werden:
http://www.useragentstring.com/
Widgets
Ein Element einer GUI, das Informationen anzeigt und manchmal interaktiv ist, d. h. Benutzer können damit interagieren, um
die darin befindlichen Informationen zu ändern.
okumentation für Panda GateDefender 5.50 »
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.
Quicksheet – Wo finde ich die folgenden Optionen?
Quicksheet – Wo finde ich die folgenden Optionen?
Hotspot
Hotspot verwalten: Menüleiste ‣ Hotspot ‣ Administrationsschnittstelle oder https://GREENIP:10443/admin/ (Anhang
‚/‘ beachten!)
Hotspot-Benutzerkonto bearbeiten: https://GREENIP:10443/admin/infoedit/ (Anhang ‚/‘ beachten!)
Hotspot-Benutzerkonto hinzufügen: Menüleiste ‣ Hotspot ‣ Konten ‣ Neues Konto erstellen.
SmartConnect und SmartLogin aktivieren: Menüleiste ‣ Hotspot ‣ Administrationsinterface ‣ Einstellungen ‣
SmartConnect.
Netzwerk
BLAUE/ORANGE Zone aktivieren/deaktivieren: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 2.
Host- und Domänennamen ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 3.
Domänennamen nach Zonen ändern: Menüleiste ‣ Dienste ‣ DHCP Server.
Uplink hinzufügen: Menüleiste ‣ Netzwerk ‣ Schnittstellen.
Bandbreite pro Schnittstelle begrenzen: Menüleiste ‣ Dienste ‣ Quality of Service.
VLAN hinzufügen/konfigurieren: Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ VLANs.
Anti-Spyware und -Malware konfigurieren: Menüleiste ‣ Proxy ‣ POP3 ‣ Spamfilter, Menüleiste ‣ Proxy ‣ DNS ‣ Anti-
Spyware.
Anti-Spam konfigurieren: Menüleiste ‣ Proxy ‣ SMTP ‣ Spameinstellungen, Menüleiste ‣ Dienste ‣ Spam-Training.
Anti-Virus konfigurieren: Menüleiste ‣ Dienste ‣ Antivirus-Engine, Menüleiste ‣ Proxy ‣ [HTTP/POP3/FTP/SMTP].
Verschiedenes
Standard-E-Mail-Adresse ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 6.
Support-Ticket öffnen: Menüleiste ‣ System ‣ Support.
Spracheinstellung für GUI ändern: Menüleiste ‣ GUI-Einstellungen
Lizenz anzeigen: Menüleiste ‣ System ‣ Lizenzbestimmungen
Erstellung gesicherter Zeitstempel konfigurieren: Menüleiste ‣ Protokolle ‣ Gesicherte Zeitstempel erstellen.
Auf Werkseinstellungen zurücksetzen: Menüleiste ‣ System ‣ Datensicherung.
Security SL. Zuletzt aktualisiert am 31. Januar 2014.
GNU-Lizenz für freie Dokumentation GNU-Lizenz für freie Dokumentation
GNU-Lizenz für freie Dokumentation
Version 1.2, November 2002
Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA
02110-1301, USA Jeder darf diese Lizenzurkunde vervielfältigen und unveränderte Kopien davon
verbreiten. Änderungen daran sind jedoch nicht erlaubt.
1. PRÄAMBEL
Der Zweck dieser Lizenz ist es, ein Handbuch, Fachbuch oder ein anderes Dokument „frei“ im Sinne von Freiheit
anzufertigen, d. h. jedem die Freiheit zuzusichern, es zu kopieren und mit oder ohne Änderungen sowohl kommerziell als
auch nicht kommerziell weiterzuverbreiten. Weiterhin ermöglicht diese Lizenz dem Verfasser oder Herausgeber,
Anerkennung für seine Arbeit zu erhalten, ohne für Änderungen, die durch Dritte vorgenommen wurden, verantwortlich
gemacht zu werden.
Diese Lizenz ist eine Art „Copyleft“, was bedeutet, dass von dem Dokument abgeleitete Werke ihrerseits im selben Sinne
frei sein müssen. Sie ergänzt die GNU General Public License, eine für freie Software entworfene Copyleft-Lizenz.
Diese Lizenz wurde für Handbücher für freie Software entworfen, da freie Software freie Dokumentation benötigt: Ein
freies Programm sollte Handbücher bereitstellen, welche dieselben Freiheiten wie die Software selbst bieten. Diese Lizenz
ist jedoch nicht auf Software-Handbücher beschränkt; sie kann für jedes textliche Werk verwendet werden, unabhängig
vom Thema oder ob es als ein gedrucktes Buch veröffentlicht wird. Wir empfehlen diese Lizenz prinzipiell für Werke, die
Anleitungs- oder Referenzzwecken dienen.
1. ANWENDBARKEIT UND DEFINITIONEN
Diese Lizenz gilt – unabhängig vom verwendeten Medium – für jedes Handbuch oder sonstiges Werk, das einen vom
Urheberrechtsinhaber eingefügten Hinweis enthält, dass das Werk gemäß den Bedingungen dieser Lizenz verbreitet
werden darf. Ein solcher Hinweis gewährt eine weltweit gültige, gebührenfreie Lizenz von unbefristeter Dauer zur
Verwendung des Werks gemäß den hierin festgelegten Bedingungen. Der Begriff „Dokument“ wird im Folgenden für all
diese Handbücher und Werke verwendet. Jede Person kann Lizenznehmer sein und wird im Folgenden mit
„Sie“ bezeichnet. Sie akzeptieren diese Lizenz, wenn Sie ein Dokument auf eine Art und Weise kopieren, verändern oder
verteilen, für die Sie gemäß dem jeweils geltenden Urheberrecht eine Erlaubnis benötigen.
Eine „modifizierte Version“ des Dokuments bezeichnet jedes Werk, das das Dokument als Ganzes oder in Teilen enthält,
entweder wortwörtlich kopiert oder mit Änderungen versehen und/oder in eine andere Sprache übersetzt.
Ein „sekundärer Abschnitt“ ist ein benannter Anhang oder ein Einleitungsabschnitt des Dokuments, der sich ausschließlich
mit dem Verhältnis der Herausgeber oder Verfasser des Dokuments zum Hauptthema des Dokuments befasst (oder damit
in Verbindung stehenden Sachverhalten) und nicht unmittelbar das Hauptthema behandelt. (Wenn das Dokument zu
einem Fachbuch über Mathematik gehört, darf ein sekundärer Abschnitt beispielsweise kein mathematisches Thema
erläutern.) Thema eines solchen Abschnitts könnte ein historischer Zusammenhang zum Hauptthema oder anderen
relevanten Sachverhalten sein oder die rechtliche, kommerzielle, philosophische, ethische oder politische Position der
Herausgeber bzw. Verfasser ausdrücken.
Die „unveränderlichen Abschnitte“ sind bestimmte sekundäre Abschnitte, deren Titel in dem Lizenzhinweis, der das
Dokument unter diese Lizenz stellt, als unveränderliche Abschnitte aufgeführt sind. Wenn ein Abschnitt nicht der obigen
Definition von „sekundär“ entspricht, dann ist es nicht erlaubt, ihn als „unveränderlich“ zu kennzeichnen. Das Dokument
muss keine unveränderlichen Abschnitte enthalten. Wenn das Dokument keine unveränderlichen Abschnitte kennzeichnet,
dann gibt es keine.
Die „Umschlagtexte“ sind kurze Textpassagen, die als vordere oder hintere Umschlagtexte im Lizenzhinweis aufgeführt
sind. Ein vorderer Umschlagtext kann bis zu 5 Wörter enthalten, ein hinterer Umschlagtext bis zu 25 Wörter.
Eine „transparente“ Kopie des Dokumentes bezeichnet eine maschinenlesbare Kopie in einem Format, dessen
Spezifikationen allgemein verfügbar und geeignet sind, das Dokument problemlos mit herkömmlichen Texteditoren oder
(für aus Pixeln bestehende Bilder) herkömmlichen Bildbearbeitungsprogrammen oder (für Zeichnungen) einem weit
verbreiteten Zeicheneditor zu überarbeiten, und das als Eingabe für Textformatierungsprogramme oder für die
automatische Konvertierung in eine Reihe unterschiedlicher Formate verwendet werden kann, die ihrerseits als Eingabe
für Textformatierungsprogramme verwendet werden können. Eine in einem ansonsten transparenten Dateiformat erstellte
Kopie, dessen Markup oder fehlendes Markup eine nachträgliche Modifikation durch Leser erschweren oder verhindern
soll, gilt nicht als transparent. Ein Bildformat ist nicht transparent, wenn es für eine substantielle Menge von Text
verwendet wird. Eine Kopie, die nicht „transparent“ ist, wird „undurchsichtig“ genannt.
Beispiele von geeigneten Formaten für transparente Kopien sind uncodierter ASCII-Text, Texinfo, LaTeX, SGML oder
XML unter Verwendung einer öffentlich zugänglichen DTD und standardkonformes einfaches HTML, PostScript oder PDF,
sofern Änderungen durch andere Personen ermöglicht werden. Beispiele für transparente Bildformate beinhalten PNG,
XCF und JPG. Undurchsichtige Formate beinhalten proprietäre Formate, die nur mit proprietären
Textverarbeitungssystemen gelesen und bearbeitet werden können, SGML oder XML, für welche die DTD und/oder
Bearbeitungswerkzeuge nicht allgemein verfügbar sind, und maschinengeneriertes HTML, PostScript oder PDF, das von
manchen Textverarbeitungsprogrammen nur zu Ausgabezwecken erzeugt wird.
Mit „Titelseite“ wird in einem gedruckten Buch die Titelseite selbst sowie die darauf folgenden Seiten bezeichnet, die in
lesbarer Form enthalten, was gemäß dieser Lizenz auf der Titelseite erscheinen muss. Für Werke, die in Formaten
vorliegen, die keine Titelseiten haben, gilt als „Titelseite“ der Text, der der auffälligsten Darstellung des Titels des Werkes
direkt folgt, aber noch vor dem Inhalt des Werkes steht.
Ein Abschnitt „Mit dem Titel XYZ“ bezeichnet eine benannte Untereinheit des Dokuments, dessen Titel entweder genau
XYZ ist oder XYZ in runden Klammern an Text anschließt, welcher XYZ in eine andere Sprache übersetzt. (XYZ steht hier
für einen bestimmten Abschnittsnamen, der im Folgenden erwähnt wird, wie zum Beispiel
„Acknowledgements“ („Danksagungen“), „Dedications“ („Widmungen“), „Endorsements“ („Billigungen“) oder
„History“ („Verlauf“).) Den „Titel“ eines solchen Abschnitts „beizubehalten“, wenn Sie das Dokument modifizieren, bedeutet,
dass dieser ein Abschnitt „Mit dem Titel XYZ“ gemäß dieser Definition bleibt.
Das Dokument kann im Anschluss an den Hinweis, der besagt, dass das Dokument unter dieser Lizenz freigegeben ist,
Haftungsausschlüsse enthalten. Diese Haftungsausschlüsse sind durch ihre Erwähnung Teil dieser Lizenz, sofern sie sich
ausschließlich auf den Ausschluss von Gewährleistungen beziehen: Andere Auswirkungen dieser Ausschlüsse sind nichtig
und unwirksam im Sinne dieser Lizenz.
2. WORTWÖRTLICHE VERVIELFÄLTIGUNG
Sie dürfen das Dokument auf jedem Medium sowohl kommerziell als auch nicht kommerziell kopieren und verbreiten,
vorausgesetzt, dass diese Lizenz, die Urheberrechtshinweise sowie der Lizenzhinweis, der besagt, dass diese Lizenz auf
das Dokument anzuwenden ist, in allen Kopien wiedergegeben wird, und dass keine weiteren Bedingungen jeglicher Art
zu den Bedingungen dieser Lizenz hinzugefügt werden. Sie dürfen keine technischen Maßnahmen treffen, um das Lesen
oder das weitere Kopieren von durch Sie erstellten oder verbreiteten Kopien zu erschweren oder zu kontrollieren.
Allerdings dürfen Sie eine Vergütung für Kopien akzeptieren. Wenn Sie eine ausreichend große Menge von Kopien
verbreiten, müssen Sie zusätzlich die Bestimmungen in Abschnitt 3 beachten.
Sie dürfen außerdem gemäß den oben aufgeführten Bedingungen Kopien verleihen oder diese öffentlich präsentieren.
3. VERVIELFÄLTIGUNG GROSSER MENGEN
Wenn Sie gedruckte Kopien des Dokuments (oder Kopien für Medien, die üblicherweise über gedruckte Umschläge
verfügen) in einer Stückzahl von mehr als 100 veröffentlichen und der Lizenzhinweis des Dokuments Umschlagtexte
verlangt, müssen die Kopien in Hüllen verpackt sein, die alle diese Umschlagtexte klar und lesbar enthalten: Die vorderen
Umschlagtexte auf dem vorderen Umschlag, die hinteren Umschlagtexte auf dem hinteren Umschlag. Beide Umschläge
müssen außerdem klar und lesbar Sie als den Herausgeber dieser Kopien benennen. Der vordere Umschlag muss den
vollständigen Titel enthalten, wobei der gesamte Wortlaut gleichermaßen sichtbar und hervorgehoben dargestellt werden
muss. Sie können den Umschlägen zusätzliche Inhalte hinzufügen. Das Kopieren mit auf Umschläge begrenzten
Änderungen kann, solange der Titel des Dokuments erhalten bleibt und diese Bedingungen erfüllt werden, in anderer
Hinsicht als wortwörtliche Kopie behandelt werden.
Wenn der erforderliche Text für einen der Umschläge zu umfangreich ist, um lesbar abgebildet zu werden, sollten Sie den
ersten der aufgelisteten Texte auf den Umschlag nehmen (so viel, wie vernünftigerweise möglich ist) und den Rest auf
direkt angrenzende Seiten.
Wenn Sie mehr als 100 undurchsichtige Kopien des Dokuments veröffentlichen oder verbreiten, müssen Sie entweder
jeder undurchsichtigen Kopie eine maschinenlesbare transparente Kopie beilegen oder für jede undurchsichtige Kopie
eine Netzwerkadresse angeben, von der die breite Öffentlichkeit eine vollständige transparente Kopie, die keine
zusätzlichen Inhalte enthält, über öffentliche Standardnetzwerkprotokolle herunterladen kann. Wenn Sie sich für die
letztere Möglichkeit entscheiden, müssen Sie mit Beginn der Verbreitung der undurchsichtigen Kopien in großen Mengen
zumutbare und vernünftige Schritte unternehmen, um sicherzustellen, dass die transparenten Kopien mindestens ein Jahr
nach Verbreitung der letzten undurchsichtigen Kopie (direkt oder über einen Vertreter oder Händler) dieser Ausgabe an
die Öffentlichkeit an der genannten Adresse verfügbar bleiben.
Auch wenn dies nicht zwingend erforderlich ist, wird empfohlen, dass Sie die Verfasser des Dokuments kontaktieren,
bevor Sie zu einem späteren Zeitpunkt erneut eine große Anzahl von Kopien verteilen, um ihnen die Möglichkeit zu geben,
Ihnen eine aktualisierte Version des Dokuments bereitzustellen.
4. MODIFIKATIONEN
Gemäß den Bedingungen von Abschnitt 2 und 3 sind Sie berechtigt, modifizierte Versionen zu kopieren und zu verbreiten,
sofern Sie die modifizierte Version unter dieser Lizenz herausgeben, wobei die modifizierte Version die Rolle des
Dokuments einnimmt, und dadurch eine Lizenz für die weitere Modifikation und Verbreitung der modifizierten Version an
jeden Besitzer einer Kopie des Dokuments vergeben. Zusätzlich müssen Sie die folgenden Dinge in der modifizierten
Version beachten:
1. Benutzen Sie auf der Titelseite (und auf Umschlägen, sofern vorhanden) einen Titel, der sich von dem Titel
des Dokuments und von denen früherer Versionen unterscheidet. (Die früheren Versionen sollten, wenn es
welche gibt, im Abschnitt „Verlauf“ aufgelistet werden.) Sie können den Titel einer Vorgängerversion
verwenden, wenn der ursprüngliche Herausgeber damit einverstanden ist.
2. Geben Sie auf der Titelseite als Verfasser eine oder mehrere natürliche oder juristische Personen an, die für
die Modifikationen der modifizierten Version verantwortlich sind, zusammen mit mindestens fünf der
ursprünglichen Verfasser des Dokuments (alle ursprünglichen Verfasser, wenn es weniger als fünf sind),
sofern diese Sie nicht von diesem Erfordernis befreit haben.
3. Geben Sie auf der Titelseite den Namen des Herausgebers der modifizierten Version als Herausgeber an.
4. Behalten Sie alle Urheberrechtshinweise des Dokuments bei.
5. Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen entsprechenden Urheberrechtshinweis für
Ihre Modifikationen ein.
6. Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen Lizenzhinweis hinzu, der es der breiten
Öffentlichkeit erlaubt, die modifizierte Version gemäß den Bedingungen dieser Lizenz in der im Anhang
beschriebenen Art und Weise zu verwenden.
7. Behalten Sie in diesem Lizenzhinweis die komplette Liste der unveränderlichen Abschnitte und obligatorischen
Umschlagtexte bei, die im Lizenzhinweis des Dokuments aufgeführt sind.
8. Schließen Sie eine unveränderte Kopie dieser Lizenz mit ein.
9. Erhalten Sie den Abschnitt „Verlauf“. Behalten Sie seinen Titel bei und fügen Sie einen Eintrag hinzu, der
mindestens den Titel, das Jahr, die neuen Verfasser und die Herausgeber, wie sie auf der Titelseite
aufgeführt sind, enthält. Sollte der Abschnitt „Verlauf“ bisher noch nicht existieren, so muss dieser von Ihnen
unter Angabe des auf der Titelseite vermerkten Titels, Jahres, Verfassers und Herausgebers des Dokuments
erstellt werden.
10. Erhalten Sie gegebenenfalls die Netzwerkadresse, die im Dokument angegeben wurde, um Zugang zu einer
transparenten Kopie zu gewähren, sowie Netzwerkadressen für frühere Versionen, auf denen das Dokument
aufbaute. Diese Angaben können in den Abschnitt „Verlauf“ verschoben werden. Sie können die
Netzwerkadresse weglassen, wenn sie sich auf ein Werk bezieht, das mindestens vier Jahre vor dem
Dokument selbst veröffentlicht wurde, oder wenn der ursprüngliche Herausgeber der Version, auf die sich die
Adresse bezieht, seine Erlaubnis erteilt.
11. Behalten Sie für alle Abschnitte mit dem Titel „Danksagungen“ oder „Widmungen“ den Titel sowie den
gesamten Inhalt und Ton der von den Mitwirkenden hierin gemachten Danksagungen und/oder Widmungen
bei.
12. Erhalten Sie alle unveränderlichen Abschnitte unverändert in Titel und Text. Abschnittsnummern oder
dergleichen gelten hierbei nicht als Teil der Abschnittstitel.
13. Löschen Sie alle Abschnitte, die mit „Billigungen“ überschrieben sind. Ein solcher Abschnitt sollte nicht in der
modifizierten Version enthalten sein.
14. Benennen Sie keinen Abschnitt in „Billigungen“ oder in einer Art und Weise um, dass er dem Titel eines
unveränderlichen Abschnitts entspricht.
15. Erhalten Sie alle Haftungsausschlüsse.
Wenn die modifizierte Version neue Einleitungsabschnitte oder Anhänge enthält, die als sekundäre Abschnitte gelten und
kein vom Dokument kopiertes Material enthalten, können Sie nach eigenem Ermessen einige oder alle diese Abschnitte
als unveränderliche Abschnitte kennzeichnen. Hierfür fügen Sie ihre Titel zur Liste der unveränderlichen Abschnitte im
Lizenzhinweis der modifizierten Version hinzu. Diese Titel müssen sich von allen anderen Abschnittstiteln unterscheiden.
Sie können einen Abschnitt mit dem Titel „Billigungen“ anfügen, sofern dieser ausschließlich Billigungserklärungen anderer
Parteien zur modifizierten Version enthält. Dies können beispielsweise Rezensionen oder ein Hinweis sein, dass der Text
von einer Organisation als maßgebliche Definition eines Standards deklariert wurde.
Sie können eine Textpassage mit bis zu fünf Wörtern als vorderen Umschlagtext und eine mit bis zu 25 Wörtern als
hinteren Umschlagtext am Ende der Liste mit den Umschlagtexten in der modifizierten Version hinzufügen. Nur je eine
Textpassage für den vorderen Umschlagtext und den hinteren Umschlagtext können von einer natürlichen oder
juristischen Person hinzugefügt (oder durch entsprechende Anordnung erstellt) werden. Wenn das Dokument bereits
einen Umschlagtext für denselben Umschlag enthält, der bereits von Ihnen oder der juristischen Person, in deren Namen
Sie tätig sind, eingefügt wurde, dürfen Sie keinen neuen hinzufügen. Sie können aber den alten ersetzen, wenn Sie die
ausdrückliche Genehmigung des Herausgebers haben, der den früheren Text eingefügt hat.
Der/die Verfasser und Herausgeber des Dokumentes geben durch diese Lizenz weder implizit noch explizit die Erlaubnis,
ihren Namen für Werbung für die modifizierte Version oder eine ausdrückliche oder implizierte Billigung der modifizierten
Version zu benutzen.
5. DOKUMENTE KOMBINIEREN
Sie dürfen das Dokument mit anderen nach dieser Lizenz freigegebenen Dokumenten gemäß den Bedingungen in
Abschnitt 4 für modifizierte Versionen kombinieren, sofern in der Kombination alle unveränderlichen Abschnitte aller
Originaldokumente enthalten sind, Sie diese als unveränderliche Abschnitte des kombinierten Dokuments im
Lizenzhinweis aufführen und alle Haftungsausschlüsse beibehalten werden.
Das kombinierte Werk muss nur eine Kopie dieser Lizenz zu enthalten. Mehrere identische unveränderliche Abschnitte
können durch eine einzelne Kopie ersetzt werden. Wenn es mehrere unveränderliche Abschnitte mit unterschiedlichem
Inhalt, aber gleichem Namen gibt, sollten Sie einem jeden solchen Abschnitt einen eindeutigen Namen zuweisen, indem
Sie an dessen Ende den Namen des ursprünglichen Verfassers oder Herausgebers (falls bekannt) in Klammern
hinzufügen oder andernfalls eine eindeutige Nummer anhängen. Machen Sie dasselbe mit den Titeln der Abschnitte in der
Liste der unveränderlichen Abschnitte im Lizenzhinweis des kombinierten Werkes.
In der Kombination müssen Sie alle Abschnitte mit dem Titel „Verlauf“ in den ursprünglichen Dokumenten zu einem
einzelnen Abschnitt „Verlauf“ zusammenführen. Verfahren Sie auch entsprechend mit den Abschnitten
„Danksagungen“ und „Widmungen“. Sie müssen alle Abschnitte mit dem Titel „Billigungen“ entfernen.
6. SAMMLUNGEN VON DOKUMENTEN
Sie dürfen eine Sammlung von Dokumenten erstellen, die aus diesem Dokument und weiteren gemäß dieser Lizenz
veröffentlichten Dokumenten besteht. Die einzelnen Kopien dieser Lizenz in den verschiedenen Dokumenten dürfen
hierbei durch eine einzelne der Sammlung beigefügte Kopie ersetzt werden, sofern Sie für jedes der Dokumente in allen
anderen Punkten die Regeln für wortwörtliches Kopieren befolgen.
Sie dürfen ein einzelnes Dokument einer solchen Sammlung entnehmen und es separat unter dieser Lizenz verbreiten,
sofern Sie eine Kopie dieser Lizenz in das entnommene Dokument einfügen und in allen anderen Punkten die Regeln für
wortwörtliches Kopieren befolgen.
7. ZUSAMMENSTELLUNG MIT UNABHÄNGIGEN WERKEN
Eine Zusammenstellung des Werkes oder seiner Ableitungen mit anderen separaten, unabhängigen Dokumenten oder
Werken in oder auf derselben Einheit eines Speicher- oder Verbreitungsmediums wird dann ein „Gesamtwerk“ genannt,
wenn durch die aus der Zusammenstellung resultierenden Urheberrechte die Rechte der Benutzer der Zusammenstellung
nicht stärker einschränken, als dies durch die Lizenzen der einzelnen Werke geschieht. Wenn das Dokument in einem
Gesamtwerk enthalten ist, so gilt diese Lizenz nicht für die anderen Werke dieses Gesamtwerks, die keine Ableitung des
Dokuments sind.
Wenn die Bestimmungen für die Umschlagtexte in Abschnitt 3 auf diese Kopien des Dokuments Anwendung finden, und
wenn das Dokument weniger als die Hälfte des Gesamtwerks ausmacht, dann können die Umschlagtexte auf Umschlägen
platziert werden, die das Dokument innerhalb des Gesamtwerks umschließen, oder auf das elektronische Äquivalent eines
Umschlags, wenn das Dokument in elektronischer Form vorliegt. Anderenfalls müssen sie auf gedruckten Umschlägen
erscheinen, die das gesamte Werk umschließen.
8. ÜBERSETZUNG
GNU-Lizenz für freie Dokumentation
Übersetzungen werden als eine Art von Modifikationen betrachtet. Damit dürfen Sie eine Übersetzung des Dokuments
gemäß den Bestimmungen von Abschnitt 4 verbreiten. Um die unveränderlichen Abschnitte durch eine Übersetzung zu
ersetzen, benötigen Sie die spezielle Erlaubnis des Urheberrechtsinhabers. Sie können allerdings Übersetzungen einiger
oder aller unveränderlicher Abschnitte zu den Originalversionen der unveränderlichen Abschnitte hinzufügen. Sie können
eine Übersetzung dieser Lizenz, aller Lizenzhinweise im Dokument sowie eine Übersetzung der Haftungsausschlüsse
hinzufügen, sofern Sie die englische Originalversion dieser Lizenz und die Originalversionen dieser Hinweise und
Ausschlüsse beifügen. Sollten die Übersetzung und die Originalversion dieser Lizenz oder eines Hinweises oder
Ausschlusses voneinander abweichen, so gilt die Originalversion.
Wenn ein Abschnitt des Dokuments mit „Danksagungen“, „Widmungen“ oder „Verlauf“ überschrieben ist, so wird die
Anforderung (Abschnitt 4), den Titel (Abschnitt 1) dieses Abschnitts beizubehalten, typischerweise die Änderung des
tatsächlichen Titels erfordern.
9. SCHLUSSBESTIMMUNG
Sie dürfen dieses Dokument nicht kopieren, verändern, unterlizenzieren oder verteilen, sofern Sie dies nicht ausdrücklich
gemäß den Bestimmungen dieser Lizenz tun. Jeder andere Versuch, das Dokument zu kopieren, zu modifizieren,
unterzulizenzieren oder zu verbreiten ist unzulässig und führt automatisch zum Entzug der durch diese Lizenz gewährten
Rechte. Allerdings verlieren Parteien, die von Ihnen Kopien oder Rechte gemäß dieser Lizenz erhalten haben, nicht ihre
Rechte, solange sie die Lizenzbedingungen vollständig einhalten.
10. ZUKÜNFTIGE ÜBERARBEITUNGEN DIESER LIZENZ
Die Free Software Foundation kann jederzeit neue, überarbeitete Versionen der GNU-Lizenz für freie Dokumentation
veröffentlichen. Diese neuen Versionen werden den Geist der Vorgängerversion bewahren, können sich aber in Reaktion
auf neu aufgetretene Probleme und Sachverhalte in Details unterscheiden. Siehe http://www.gnu.org/copyleft/.
Jede Version dieser Lizenz erhält eine eigene Versionsnummer. Wenn das Dokument bestimmt, dass eine bestimmte
nummerierte Version „oder eine spätere Version“ hierauf Anwendung findet, können Sie entweder den Bedingungen
dieser bestimmten Version folgen oder einer Version, die später von der Free Software Foundation (nicht als Entwurf)
veröffentlicht wurde. Wenn das Dokument keine Versionsnummer für diese Lizenz festlegt, können Sie irgendeine durch
die Free Software Foundation (nicht als Entwurf) veröffentlichte Version auswählen.
ANHANG: Wie Sie diese Lizenz für Ihre Dokumente verwenden können
Um diese Lizenz in einem von Ihnen verfassten Dokument zu verwenden, müssen Sie eine Kopie der Lizenz in das
Dokument aufnehmen. Platzieren Sie hierbei die folgenden Urheberrechts- und Lizenzhinweise unmittelbar im Anschluss
an die Titelseite:
Copyright (C) JAHR IHR NAME. Dieses Dokument darf gemäß den Bedingungen der von der Free Software Foundation veröffentlichten GNU-Lizenz für freie Dokumentation (Version 1.2 oder höher) kopiert, verbreitet und/oder modifiziert werden; keine unveränderlichen Abschnitte, keinen vorderen oder hinteren Umschlagtexte. Eine Kopie der Lizenz ist im Abschnitt „GNU Free Documentation License“ enthalten.
Sind unveränderliche Abschnitte oder vordere und hintere Umschlagtexte vorhanden, ersetzen Sie die Zeile „keine …
Umschlagtexte.“ durch folgenden Text:
mit den unveränderlichen Abschnitten (AUFLISTUNG DER TITEL), mit den vorderen Umschlagtexten (AUFLISTUNG) und mit den hinteren Umschlagtexten (AUFLISTUNG).
Sind unveränderliche Abschnitte ohne Umschlagtexte oder eine andere Kombination der drei vorhanden, kombinieren Sie
diese zwei Alternativen entsprechend der Situation.
Wenn Ihr Dokument nicht-triviale Beispiele von Programmcode enthält, empfehlen wir, diese Beispiele parallel gemäß den Bestimmungen einer
freien Softwarelizenz Ihrer Wahl, beispielsweise der GNU General Public License, freizugeben, um deren Verwendung in freier Software zu
gestatten.er 5.50 »
© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.