Unified Threat Management:

Workshop: Konfiguration der Netgear ProSecure UTM9S Security Appliance

Interaktives Setup

Zur Konfiguration der UTM9S stellt Netgear mehrere Varianten bereit: die manuelle Konfiguration, bei der Sie die Konfigurationsschritte manuell aufrufen und alle Parameter einzeln eintragen, und die assistentengestützte Konfiguration. Letztere steht aber nur für die wichtigsten Einstellungen mit der ersten Grundeinrichtung zur Verfügung. Die weiteren und fortgeschrittenen Einstellungen müssen dann über die Menüs durchgeführt werden.

Hilfen: Die Einrichtung der Sicherheits-Appliance wird durch mehrstufige Assistenten unterstützt.
Hilfen: Die Einrichtung der Sicherheits-Appliance wird durch mehrstufige Assistenten unterstützt.

Der Aufruf der Assistenten erfolgt über den Eintrag Wizard (rechts oben in der Menüzeile).Wenn Sie diesen Link aufrufen, startet ein Assistent. Dieser fragt zuerst, was Sie nun konfigurieren wollen. Sie können an dieser Stelle nun je einen Assistenten für die allgemeine Konfiguration der UTM, aber auch das Setup von IPSec VPNs und SSL-VPNs aufrufen.

Wir haben uns für die erstmalige Einrichtung der UTM für die assistentenbasierte Variante entschieden. Diese fragt alle wichtigen Konfigurationsparameter in einer Dialogfolge ab. Das vereinfacht das erste Setup des Systems enorm. Zusätzlich wird durch die Nutzung des Assistenten verhindert, dass der IT-Verwalter wichtige Einstellungen vergisst oder übersieht.

Zu den ersten Konfigurationsangaben, die durch den Assistenten abgefragt werden, gehören das Einrichten des Netzwerks und dessen IP-Adressen. Wenn Sie diese Einstellungen später ändern wollen, so können Sie den Assistenten erneut durchlaufen. Alternativ finden Sie diese Einstellungen aber auch unter der Option Network Config im Menübaum der Verwaltungskonsole.

An diese Stelle sehen Sie auch die Angaben zu dem oben erwähnten DHCP-Server. Dieser wird ebenfalls an dieser Stelle konfiguriert. Der Adressbereich und die Lease-Dauer werden an dieser Stelle eingerichtet. Sie können Adressbereich, DNS-Server und WINS-Server hier festlegen. Die Appliance unterstützt auch Dynamic DNS.

Nach dem Setup des LAN-Interfaces wird die WAN-Schnittstelle eingerichtet. Diese müssen Sie nun im zweiten Schritt konfigurieren. Verbinden Sie dazu einen der vorhandenen WAN-Ports der UTM9S mit Ihrem WAN. In unserem Beispiel war dies ein DSL-Router. Im nachfolgenden Dialog werden die WAN-Einstellungen vorgenommen. Dabei müssen Sie das WAN-Protokoll und die Zugangsinformationen für Ihren Provider eintragen. Weiter geht es mit der Konfiguration von Angaben zu Datum und Zeit; sie sind im nächsten Dialog anzugeben. An dieser Stelle können Sie auch einen NTP-Server eintragen, von dem die Zeit abgeholt wird.

Einfach: Die gängigsten Protokolle und Kommunikationsformen werden direkt in der Auswahlmaske der Services angeboten.
Einfach: Die gängigsten Protokolle und Kommunikationsformen werden direkt in der Auswahlmaske der Services angeboten.

Im nachfolgenden vierten Dialogschritt erfolgt die Basiskonfiguration zu den Applikations-Services. Darunter werden die Applikationsdienste zusammengefasst. Das sind Angaben zum E-Mail-Verkehr, zum Instant Messaging, Web-Browsing und zum Peer-To-Peer-Networking. Die Angaben, die hier zu erledigen sind, stellen nur die wichtigsten der möglichen Services dar. Für den Webzugang sind beispielsweise die Protokolle HTTP, HTTPS und FTP bereits im Dialog eingeflochten. Diese drei Protokolle stellen aber nur einen Ausschnitt aus den möglichen Webprotokollen dar. Über die individuelle Konfiguration können Sie darüber hinaus eine weitaus feinere Einstellung der Dienste vornehmen. Bezüglich der Instant-Messaging-Dienste hat Netgear im Assistenten die Dienste BiTorrent, eDonkey und Gnutella eingearbeitet.

Weiter geht es mit den Angaben zur E-Mail-Security. Dabei können Sie beispielsweise bestimmen, was mit infizierten Mails geschehen soll. So kann beispielsweise der infizierte Anhang einer Mail gelöscht werden, oder Sie blockieren die Mail vollständig. Die dritte Option ist die Protokollierung in den Systemlogs. In Schritt sechs geben Sie an, wie Sie den Webzugang via HTTP, HTTPS und FTP schützen wollen. Auch hierbei bietet Ihnen die Appliance durch den Assistenten bereits mehrere mögliche Aktionen an.

Gut zu wissen: Auf Wunsch lassen sich die Informationen im "Detailed Status" weiter verfeinern.
Gut zu wissen: Auf Wunsch lassen sich die Informationen im "Detailed Status" weiter verfeinern.

Die Konfiguration des URL-Filters erfolgt im nächsten Schritt. Hierbei hat Netgear bereits eine Reihe an wichtigen Einstellungen und Gruppen eingearbeitet. Dazu zählen beispielsweise die Gruppen für Werbung (Advertisment), Alkohol und Drogen oder Spiele. All diese lassen sich hier nun bereits selektieren. Weiter geht es mit der Benachrichtigung für den Administrator. An dieser Stelle kann eine E-Mail-Adresse hinterlegt werden, an die die UTM Statusmeldungen und Alarme versendet. Aufbau und Inhalt der Nachrichten sind weitgehend konfigurierbar. Die letzten Einstellungen beziehen sich auf das Update der Signaturen und Sicherheits-Engines.

Wenn Sie den Assistenten durchlaufen haben, wird die Appliance neu gestartet. Damit ist die Konfiguration abgeschlossen, und die Box kann nun eingesetzt werden. Sie erhalten dann eine vollständig konfigurierte und betriebsbereite Sicherheitsbox. Wenn noch nicht geschehen, so muss die Box nun richtig verkabelt werden. Wie erwähnt, haben wir sie als Überwachungsbox zwischen dem internen LAN und dem externen Internet platziert.