Menü „Dienste“

Die Panda GateDefender-Appliance umfasst viele nützliche Dienste zum Schutz vor Bedrohungen sowie zur Überwachung von Netzwerken und Daemons. Die Aktivierung und Einrichtung dieser Dienste wird in diesem Abschnitt erläutert. Besonderes Augenmerk gilt hierbei den verschiedenen Proxy-Diensten wie der Antivirus-Engine, dem Intrusion Detection System, der Hochverfügbarkeit und dem Netzwerkmonitoring. Die verfügbaren Dienste sind im Untermenü auf der linken Seite des Bildschirms aufgelistet.

• DHCP-Server – DHCP-Server für die automatische Zuweisung von IP-Adressen.
• Dynamischer DNS – Client für Anbieter von dynamischen DNS wie DynDNS (für den Einsatz zu Hause oder in kleinen Büros).
• Antivirus-Engine – Konfiguration der für die E-Mail-, Internet-, POP- und FTP-Proxys verwendeten Antivirus-Engine
• Zeitserver – Aktivierung und Konfiguration des NTP-Zeitservers, Festlegung der Zeitzone oder manuelle Aktualisierung der Zeit.
• E-Mail-Quarantäne – Verwaltung der E-Mails in Quarantäne.
• Spam-Training – Training des von den E-Mail-Proxys verwendeten Spam-Filters.
• Schutz vor Einbruchsversuchen – Konfiguration von SNORT, dem Intrusion Detection System (IPS)
• Hochverfügbarkeit – Konfiguration der Panda GateDefender-Appliance im Hochverfügbarkeitsmodus.
• Trafficmonitoring – Aktivierung bzw. Deaktivierung der Datenverkehrsüberwachung mithilfe von ntop.
• SNMP-Server – Aktivierung oder Deaktivierung der Unterstützung für SNMP (Simple Network Management Protocol).
• Quality of Service – Priorisierung des IP-Verkehrs.

DHCP-Server

Der DHCP-Server wird von den Clients (Workstations und Server) in den von der Panda GateDefender-Appliance gesteuerten Zonen verwendet, um IP-Adressen zu erhalten („Zuordnung“). Er ermöglicht die zentrale Steuerung der IP-Adresszuweisung. Clients können zwei Arten von Zuordnungen zugewiesen werden: dynamisch und statisch. Die Seite „DHCP Server“ ist in zwei bzw. drei Felder unterteilt: das Feld DHCP, in dem Sie den DHCP-Server konfigurieren können; das Feld Aktuelle statische Zuordnungen, das die statischen IP-Adressen anzeigt; und gegebenenfalls das Feld Aktuelle dynamische Zuordnungen, das nur angezeigt wird, wenn mindestens einem Client eine dynamische IP-Adresse zugeordnet wurde. Dynamische IP-Adressen werden auf Netzwerkbasis innerhalb eines festgelegten Bereichs zugewiesen und im ersten Feld konfiguriert. Statische IP-Adressen hingegen werden auf Host-Basis zugewiesen und im zweiten Feld konfiguriert.

DHCP

Wenn sich ein Client (beispielsweise ein Host oder ein Gerät wie etwa ein Netzwerkdrucker) mit dem Netzwerk verbindet, erhält er vom DHCP-Dienst automatisch aus einer Reihe von IP-Adressen und anderen Parametern eine gültige Adresse. Der Client muss für die Verwendung von DHCP konfiguriert sein. Die entsprechende Einstellung wird manchmal als „automatische Netzwerkkonfiguration“ bezeichnet und ist für die meisten Workstations standardmäßig aktiviert. Die dynamische IP-Adressvergabe wird zonenbasiert konfiguriert: Zum Beispiel ist es möglich, diese nur für Clients in der GRÜNEN Zone zu aktivieren, während die anderen aktiven Zonen nur statische IP-Adressen erhalten.

Es ist jedoch auch möglich, Geräten in der ORANGEN (DMZ) oder BLAUEN (WLAN) Zone dynamische IP-Adressen zuzuordnen.

Hinweis

Wenn die BLAUE Zone aktiviert ist, aber vom Hotspot verwaltet wird, wird die Meldung DHCP-Konfiguration wird vom Hotspot verwaltet angezeigt und eine Konfiguration an dieser Stelle verhindert.

Um die DHCP-Parameter für die einzelnen Zonen anzupassen, klicken Sie auf das kleine Symbol neben der Beschriftung Einstellungen. Folgende Optionen stehen zur Auswahl:

Aktiviert

Aktiviert den DHCP-Server in der Zone.

Anfangsadresse, Endadresse

Der für die Clients vorgesehene IP-Adressbereich. Diese Adressen müssen sich innerhalb des Subnetzes befinden, das der entsprechenden Zone zugewiesen wurde. Sollten einige Hosts eine statische IP-Adresse erhalten (siehe unten), stellen Sie sicher, dass ihre IP-Adressen weder in diesem Bereich noch im Bereich des OpenVPN-Adresspools vorhanden sind (siehe Menüleiste ‣ VPN ‣ OpenVPN-Server), um Konflikte zu vermeiden.

Das Leerlassen dieser zwei Felder ermöglicht die Verwendung des gesamten IP-Bereichs der Zone für die dynamische Zuweisung.

Nur statische Zuordnungen erlauben

Aktivieren Sie dieses Kontrollkästchen, um nur statische IP-Adressen zu verwenden. Es werden keine dynamischen IP-Adressen zugewiesen.

Standardmäßige Zuordnungsdauer, Max. Zuordnungsdauer

Die standardmäßig definierte bzw. maximale Zuweisungszeit in Minuten vor Ablauf der Zuweisung und der erneuten Beantragung einer IP-Adresse vom DHCP-Server.

Suffix des Domänennamens

Das Suffix des Domänennamens, das an die Clients weitergegeben und für die lokale Suche nach Domänen verwendet wird.

Standardgateway

Das Standardgateway, das die Clients in der Zone verwenden. Bei Leerlassen des Feldes ist die Panda GateDefender-Appliance selbst das Standardgateway.

Primärer DNS, Sekundärer DNS

Der von den Clients verwendete Domain Name Server (DNS). Da die Panda GateDefender-Appliance einen zwischenspeichernden DNS-Server enthält, ist der Standardwert die eigene IP-Adresse der Firewall in der entsprechenden Zone, auch wenn ein zweiter Server oder sogar der primäre Wert geändert werden können.

Primärer NTP-Server, Sekundärer NTP-Server

Die von den Clients zur Synchronisierung der Systemuhren verwendeten NTP-Server.

Primärer WINS-Server, Sekundärer WINS-Server

Die von den Clients verwendeten WINS-Server. Diese Option ist nur für Netzwerke von Microsoft Windows notwendig, die WINS verwenden.

Erfahrene Benutzer können individuelle Einstellungen zur Datei dhcpd.conf hinzufügen (z. B. benutzerdefinierte Routen zu Subnetzen), indem diese in den Textbereich am unteren Rand geschrieben werden, der mit Benutzerdefinierte Konfigurationszeilen markiert ist.

Warnung

Es erfolgt keine Syntaxüberprüfung dieser Zeilen: Sie werden an die Konfigurationsdatei angehangen. Jegliche Fehler an dieser Stelle können den Start des DHCP-Servers verhindern!

Beispiel SRV-1 – PXE booten und dhcpd.conf konfigurieren.

Die Anpassung des DHCP-Servers hat sich bei abweichenden Netzwerkkonfigurationen als nützlich erwiesen.

Eine weitere typische Anwendung ist für VoIP-Telefone, die beim Start ihre Konfigurationsdateien von einem HTTP-Server abrufen müssen. In diesem Fall können sich die Dateien auch auf der Panda GateDefender-Appliance befinden. Dadurch kann die Konfiguration des TFTP-Servers als zusätzliche Zeilen wie folgt übertragen werden:

Option tftp-Server-Name "http://$GREEN_ADDRESS"; Option bootfile-Name "download/voip/{mac}.html";

Hinweis: $GREEN_ADDRESS ist ein Makro, das in der Datei dhcpd.conf durch die GREENIP der Panda GateDefender Appliance ersetzt wird.

Aktuelle statische Zuordnungen

Es ist manchmal erforderlich oder wünschenswert, dass bestimmte Geräte stets dieselbe IP-Adresse verwenden, obwohl DHCP verwendet wird. Dies gilt z. B. bei Servern, die Dienste wie eine VoIP Box, ein SVN-Repository oder Dateiserver bereitstellen, oder bei Geräten wie Druckern und Scannern. Statische Zuordnungen werden in der Regel als statische IP-Adressen bezeichnet, da ein Gerät bei Anforderung einr Zuordnung vom DHCP-Server stets dieselbe IP-Adresse erhält.

In diesem Feld werden sämtliche statische IP-Adressen, die derzeit im lokalen Netzwerk aktiv sind, zusammen mit verschiedenen Informationen zu den entsprechenden Adressen aufgelistet. Durch Klicken auf den Link Feste Zuordnung hinzufügen können Sie Geräten neue statische IP-Adressen zuweisen sowie sämtliche Informationen hinzufügen, die in der Liste angezeigt werden sollen. Die Geräte werden anhand ihrer MAC-Adressen identifiziert.

Hinweis

Die Zuweisung einer statischen IP-Adresse von einem DHCP-Server unterscheidet sich erheblich von der manuellen Einrichtung der IP-Adresse auf einem Gerät. Im letzteren Fall wird das Gerät den DHCP-Server auch weiterhin kontaktieren, um eine IP-Adresse zu erhalten und seine Präsenz im Netzwerk anzumelden. Wenn die vom Gerät angeforderte IP-Adresse bereits zugewiesen wurde, erhält das Gerät eine dynamische IP-Adresse.

Folgende Parameter können bei statischen IP-Adressen definiert werden:

MAC Adresse

Die MAC-Adresse des Clients.

IP-Adresse

Die IP-Adresse, die dem Client grundsätzlich zugeordnet wird.

Beschreibung

Eine optionale Beschreibung des Geräts, dem die IP-Adresse zugewiesen wird.

Nächste Adresse

Die Adresse des TFTP-Servers. Diese und die folgenden zwei Optionen sind nur in wenigen Fällen nützlich (weiter unten finden Sie ein Beispiel).

Dateiname

Der Dateiname des Start-Image. Diese Option ist nur bei Thin Clients oder Netzwerkstarts erforderlich.

Stammpfad

Der Pfad der Start-Image-Datei.

Aktiviert

Wenn dieses Kontrollkästchen nicht aktiviert ist, werden fixe Leases gespeichert, es erfolgt jedoch kein Eintrag in die Datei dhcpd.conf.

Die für jede statische Zuordnung verfügbaren Aktionen sind:

• – Status der Zuordnung: aktiviert oder deaktiviert.
• – Eigenschaften der Zuordnung ändern.
• – Lease entfernen.

Anwendungsfall für eine statische Zuordnung

Ein Anwendungsfall, der die Nützlichkeit einer statischen IP-Adresse zeigt, sind Thin Clients oder laufwerkslose Workstations im Netzwerk, die PXE verwenden, d. h. das Betriebssystem wird von einem Abbild auf einem TFTP-Server im Netzwerk bereitgestellt. Wenn sich der TFTP-Server auf demselben Server wie das DHCP befindet, erhält der Thin Client sowohl die IP-Adresse als auch das Abbild vom selben Server. Es kommt jedoch öfter vor, dass sich der TFTP-Server auf einem anderen Server im Netzwerk befindet. Daher muss der Client vom DHCP-Server zu diesem Server umgeleitet werden. Dies ist ein Vorgang, der leicht durch Hinzufügen einer statischen IP-Adresse auf dem DHCP-Server für den Thin Client ausgeführt werden kann, indem eine Next-Adresse und der Dateiname des Abbildes dem Boot-Vorgang hinzugefügt werden.

Neben den Informationen, die während der Erstellung der statischen IP-Adresse angegeben werden, ermöglicht die Liste jede Adresse zu aktivieren oder deaktivieren (durch Aktivieren des Kontrollkästchens) und zu bearbeiten oder zu löschen, indem die Symbole in der Spalte Aktionen angeklickt werden. Für das Bearbeiten einer Adresse wird das gleiche Formular wie für die Erstellung einer neuen Adresse geöffnet, während die Adresse beim Löschen sofort aus der Konfiguration entfernt wird.

Hinweis

Alle vom DHCP zugewiesenen Leases werden standardmäßig in der Datei /var/lib/dhcp/dhcpd.leases gespeichert. Obwohl der DHCP-Daemon die Bereinigung dieser Datei übernimmt, kann es vorkommen, dass die Datei Adressen speichert, die bereits abgelaufen und relativ alt sind. Dies ist kein Problem und beeinträchtigt nicht die Funktion des DHCP-Servers. Ein typischer Eintrag in dieser Datei lautet:

lease 192.168.58.157 { starts 2 2013/06/11 13:00:21; ends 5 2013/06/14 01:00:21; binding state active; next binding state free; hardware ethernet 00:14:22:b1:09:9b; }

Aktuelle dynamische Zuordnungen

Wenn der DHCP-Server aktiv ist und mindestens einem Client eine (dynamische) IP-Adresse zugewiesen wurde, wird unten auf der Seite ein drittes Feld angezeigt, das die Liste der aktuell zugewiesenen dynamischen IP-Adressen enthält. In dieser Liste werden IP-Adresse, MAC-Adresse, Hostname und Ablaufdatum der IP-Adressen angegeben, die den einzelnen Clients zugeordnet sind.

Dynamischer DNS

Ein DNS-Server ermöglicht die Auflösung der (numerischen) IP-Adresse eines Hosts auf Basis seines Hostnamens und umgekehrt. Dieser Vorgang eignet sich besonders für Hosts mit statischen IP-Adressen und Hostname.

DDNS-Anbieter wie DynDNS oder No-IP bieten einen ähnlichen Dienst für dynamische IP-Adressen. Dies ist in der Regel bei lokalen ADSL-Verbindungen der Fall: Jeder Domänenname kann registriert und einem Server mit dynamischer IP-Adresse zugeordnet werden. So wird jede an einer IP-Adresse vorgenommene Änderung dem DDNS-Anbieter übermittelt. Um die Kompatibilität und Integration mit den DNS-Stammservern zu gewährleisten, muss bei jeder Änderung der IP-Adresse die Aktualisierung aktiv durch den DDNS-Anbieter propagiert werden.

Die Panda GateDefender-Appliance enthält einen dynamischen DNS-Client für 14 verschiedene Anbieter. Wenn dieser aktiviert ist, verbindet er sich automatisch mit dem Anbieter des dynamischen DNS, um die neue IP-Adresse mitzuteilen, wenn sich diese ändert.

Hinweis

Wenn kein dynamisches DNS-Konto eingerichtet wurde, stehen auf der Website der Anbieter detaillierte Anweisungen zur Registrierung eines neuen Kontos detaillierte Online-Hilfen und Anleitungen bereit.

Diese Seite zeigt die Liste der dynamischen DNS-Konten an. Sie können mehrere DDNS-Anbieter nutzen. Für jedes Konto werden in der Liste Informationen zum verwendeten Dienst und zum registrierten Host-/Domänennamen sowie die verfügbaren Aktionen bereitgestellt. Zudem wird angezeigt, ob der anonyme Proxy-Server und die Platzhalter aktiviert sind. Mögliche Aktionen sind:

• – Status der Zuordnung: aktiviert oder deaktiviert.
• – Eigenschaften der Zuordnung ändern.
• – Lease entfernen.

Sie können neue Konten erstellen, indem Sie auf den Link Host hinzufügen klicken. Folgende Parameter werden daraufhin angezeigt:

Dienst

Zeigt die verfügbaren DDNS-Anbieter im Dropdown-Menü an.

Hinter einem Proxy

Diese Option wird nur beim Anbieter „no-ip.com“ angewandt. Das Kontrollkästchen muss aktiviert sein, wenn sich die Panda GateDefender-Appliance über einen Proxy mit dem Internet verbindet.

Wildcards erlauben

Einige Anbieter von dynamischen DNS ermöglichen, dass alle Subdomänen einer Domäne auf dieselbe IP-Adresse verweisen. In diesem Fall sind zwei Hosts – beispielsweise www.example.myddns.org und second.example.myddns.org – derselben IP-Adresse zugeordnet. Bei Aktivierung dieses Kontrollkästchens werden alle möglichen Subdomänen an dieselbe IP-Adresse umgeleitet. Die Funktion muss auch im Konto des DDNS-Anbieters konfiguriert sein (falls verfügbar).

Hostname und Domäne

Der Hostname und die Domäne werden mit dem DDNS-Anbieter registriert, z. B. „beispiel“ und „meinddns.org“.

Benutzername und Kennwort

Die vom Anbieter des dynamischen DNS vergebenen Anmeldeinformationen, um auf den Dienst zuzugreifen.

Hinter einem Router (NAT)

Aktivieren Sie diese Option, falls die Panda GateDefender-Appliance nicht direkt mit dem Internet verbunden ist, d. h. das vor dem Internetzugriff ein weiterer Router oder ein Gateway liegt. In diesem Fall können Sie den Dienst unter http://checkip.dyndns.org nutzen, um die IP-Adresse des Routers zu ermitteln.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird das Konto aktiviert. Dies ist die Standardeinstellung.

Hinweis

Es ist immer noch erforderlich, einen Dienst in die ROTE Zone zu exportieren, um mithilfe der dynamischen IP-Adresse den Domänennamen für die Verbindung mit der Panda GateDefender-Appliance vom Internet aus zu verwenden, da der Anbieter des dynamischen DNS nur den Domänennamen auflöst, nicht jedoch zugehörige Dienste. Das Exportieren eines Dienstes setzt normalerweise die Einrichtung einer Portweiterleitung voraus (siehe Menüleiste ‣ Firewall ‣ Portweiterleitung/NAT).

Nachdem Sie eine Änderung in der Konfiguration ausgeführt haben oder wenn Sie den dynamischen DNS sofort für alle definierten Konten aktualisieren möchten, klicken Sie auf die Schaltfläche Update durchführen. Dies ist insbesondere dann nützlich, wenn beispielsweise der Uplink getrennt wurde und sich die REDIP geändert hat. In diesem Fall ist es erforderlich, sämtliche DDNS-Konten zu aktualisieren. Anderenfalls ist die Erreichbarkeit der über DDNS angebotenen Dienste nicht mehr gegeben.

Antivirus-Engine

Die Antivirus-Engine der Panda GateDefender-Appliance ist Panda, welche für die Suche nach Viren und Malware innerhalb von Dateien und Dokumenten verwendet wird. Sie passiert die Panda GateDefender-Appliance über einen der laufenden Proxy-Dienste. Es gibt nur eine Registerkarte auf dieser Seite: Panda Antivirus

Archivbombe und DoS.

Archivbomben sind Archive, die eine Reihe von Tricks verwenden, um die Virenschutz-Software bis zu einem Punkt zu überladen, ab dem die meisten Ressourcen des Hostcomputers in Beschlag genommen sind. Dieser Vorgang heißt DoS-Angriff. Diese Tricks beinhalten: Kleine Archive, die aus großen Dateien mit sich wiederholendem Inhalt bestehen (beispielsweise eine Datei von 1 GB, die nur Nullen enthält, und mit Zip auf eine Größe von nur 1 MB komprimiert wurde), ineinander verschachtelte Archive (d. h. Zip-Dateien in Zip-Dateien), Archive, die eine große Anzahl leerer Dateien enthalten usw. Das Dekomprimieren solcher Archivdateien stellt eine ernste Belastung für die normalen Aktivitäten eines Servers oder einer Workstation dar, da viele Ressourcen (besonders RAM und CPU) benötigt werden und der Benutzerverfügbarkeit entzogen wird.

Panda Antivirus

Die Panda GateDefender-Appliance nutzt die Antivirus-Engine von Panda, um interne Netzwerke vor Viren und Malware zu schützen.

Die erste verfügbare Option ist die Auswahl der Aktualisierungszyklus der Anti-Virus-Signaturen. Dies sind: stündlich, täglich, wöchentlich oder monatlich.

Die konfigurierbaren Scan-Optionen sind in zwei Bereiche unterteilt:

Dateien-Inhaltsanalyse

Die folgende Option bezieht sich auf die Suche nach und den Scan auf verschiedene Typen von Malware, welche die Workstations und Server hinter der Panda GateDefender-Appliance infizieren könnten.

Infizierte Dateien säubern

Aktivieren Sie das Kontrollkästchen für die Aktivierung der automatischen Dateibereinigung während des Malware-Scans. Bei Deaktivierung dieser Option wird die infizierte Datei ohne Rettungsversuch gelöscht.

Heuristische Analyse aktivieren

Sie können die heuristische Analyse für Malware verwenden, um neue Malware-Typen zu erkennen, die evtl. noch nicht in den Signaturen enthalten ist.

Heuristik-Stufe

Wählen Sie die gewünschte Empfindlichkeit der heuristischen Analyse aus den drei verfügbaren Optionen aus: niedrig, mittel und hoch.

Gepackte und/oder komprimierte Dateien

Diese Optionen betreffen das Verhalten des Virenschutzes beim Umgang mit komprimierten Dateien. Weitere Informationen zu diesem Thema finden Sie hier.

Maximale Rekursionsebene

Die maximale Rekursionsebene innerhalb komprimierter Dateien.

Kontrolliere Größe bei Dekomprimierung

Aktivieren Sie das Kontrollkästchen, um die Steuerung der Größe komprimierter Dateien zu aktivieren.

Maximale Größe bei Dekomprimierung

Die maximale Größe dekomprimierter Dateien in Kilobyte für nicht komprimierte Elemente

Maximale Verschachtelungstiefe

Die maximale Verschachtelungstiefe für komprimierte Dateien.

Zeitserver

Die Panda GateDefender-Appliance nutzt das Network Time Protocol NTP, um die Systemzeit mit Zeitservern im Internet zu synchronisieren. Die verfügbaren Einstellungen werden in zwei Feldern zusammengefasst.

Netzwerkzeitserver verwenden

Eine Reihe von Zeitserver-Hosts im Internet ist vorkonfiguriert und wird vom System genutzt. Sie haben jedoch die Möglichkeit, benutzerdefinierte Zeitserver festzulegen, nachdem Sie das Kontrollkästchen Standard-NTP-Server überschreiben aktiviert haben. Dies kann sich als notwendig erweisen, wenn eine Einrichtung ausgeführt wird, bei der die Panda GateDefender-Appliance nicht auf das Internet zugreifen kann. Es können mehrere Adressen von Zeitservern (eine pro Zeile) im angezeigten Kurzformular angegeben werden.

In diesem Feld wird die aktuelle Einstellung für die Zeitzone angezeigt. Die Einstellung kann im Dropdown-Menü geändert werden. Sie können eine sofortige Synchronisation durchführen, indem Sie auf die Schaltfläche Jetzt synchronisieren klicken.

Manuell anpassen

Im zweiten Feld haben Sie die Möglichkeit, die Systemzeit manuell zu ändern. Obwohl davon abgeraten wird, kann diese Aktion nützlich sein, wenn die Zeitangabe auf der Systemuhr der Panda GateDefender-Appliance stark abweicht und eine sofortige Korrektur der Systemzeit erforderlich ist.

Eine automatische Synchronisation mithilfe von Zeitservern wird nicht unverzüglich durchgeführt. Die Systemuhr wird zur Wiederherstellung und Anpassung an die korrekte Zeit ein Stück weit „verlangsamt“ oder „beschleunigt“. Bei einem System, dessen Zeitangabe signifikant abweicht, wird möglicherweise ein längerer Zeitraum benötigt, um den Zeitfehler zu korrigieren. In solchen Fällen stellt die manuelle Synchronisation eine drastische, aber sofortige Lösung dar.

E-Mail-Quarantäne

Die E-Mail-Quarantäne ist ein besonderer Ort auf der Festplatte der Panda GateDefender-Appliance. Hier werden durch den SMTP-Proxy erkannte E-Mails, die Spam, Malware, Viren oder verdächtige Anhänge enthalten, gespeichert anstatt sie zuzustellen. Hier können solche E-Mails sicher analysiert und Aktionen zu deren Verwaltung durchgeführt werden. So aktivieren Sie die E-Mail-Quarantäne: Öffnen Sie Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration. Wählen Sie in den Feldern für Spam-, Viren- und Dateieinstellungen aus den Dropdown-Menüs die Option In die Standardquarantäne verschieben aus.

Der Speicherplatz für die E-Mail-Quarantäne hängt von mehreren Faktoren ab, wie z. B. dem Typ der Appliance, der Größe der E-Mails in Quarantäne oder welche anderen Dienste auf der Appliance aktiv sind. Daher ist es nicht möglich, genaue Zahlen anzugeben. Falls der Quarantänespeicher voll ist, bevor die Speicherzeit der Quarantäne erreicht wurde (siehe Quarantäneeinstellungen im SMTP-Proxy-Modul), ist es notwendig, die E-Mails in Quarantäne manuell zu löschen, um Platz für neue E-Mails zu schaffen.

Die E-Mail-Quarantäne ist auf zwei Registerkarten organisiert: Quarantäne und Zusammenfassende Berichte. Die erste Registerkarte enthält eine Liste der in der Quarantäne gespeicherten E-Mails und ermöglicht das Durchsuchen und Verwalten dieser E-Mails. Die zweite Registerkarte ermöglicht die Erstellung von regelmäßigen Berichten über den Quarantäneinhalt und die Verwaltung dessen Zustellung.

Quarantäne

Die Seite „E-Mail-Quarantäne“ enthält eine Tabelle mit einer Liste aller E-Mails, die in die Quarantäne verschoben wurden. Darüber befindet sich eine Navigationsleiste, um die E-Mails zu durchsuchen.

Die Tabelle enthält die folgenden Informationen über die in der Quarantäne gespeicherten E-Mails.

Auswählen

Ein Kontrollkästchen, mit dem Sie eine oder mehrere Nachrichten gleichzeitig auswählen und eine Aktion mit diesen ausführen können.

Datum der Quarantäne

Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.

Grund

Der Grund, warum die Zustellung der E-Mail blockiert wurde: Malware – die E-Mail enthält Viren oder andere Arten von Bedrohungen, Spam – die E-Mail enthält Spam, Gesperrt – Die E-Mail weist einen Anhang auf, der nicht gesendet werden kann, und Ungültiger Header – die Informationen im Header sind ungültig.

Datum

Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.

Größe

Die Größe der E-Mail.

Von

Der Absender der E-Mail.

An

Der Empfänger der ursprünglich gesendeten E-Mail.

Betreff

Der Betreff der E-Mail.

Größe

Die Größe der E-Mail.

Anhang

Die Anzahl der Anhänge der E-Mail.

Aktionen

Die vier Symbole in dieser Spalte stellen die verfügbaren Aktionen dar: Nachricht anzeigen, Nachricht herunterladen, Nachricht freigeben und an den ursprünglichen Empfänger senden sowie E-Mail löschen. Siehe unten für ausführlichere Informationen.

Zwei Schaltflächen unterhalb der Tabelle erlauben es, Aktionen durchzuführen, wenn in der Tabelle mehr als eine Nachricht ausgewählt ist.

Freigabe

Gibt die ausgewählten Nachrichten zur sofortigen Zustellung frei.

Löschen

Entfernt die ausgewählten E-Mails dauerhaft.

Beim Klicken auf das Symbol Nachricht anzeigen wird die E-Mail-Liste durch eine Seite mit drei Feldern ersetzt, auf der verschiedene Details zur ausgewählten E-Mail angezeigt werden.

E-Mail in Quarantäne

Dieses Feld zeigt eine detailliertere Ansicht der E-Mail-Daten aus der E-Mail-Liste: Der Grund, warum die E-Mail in die Quarantäne verschoben wurde, Absender und Empfänger mit Cc, Betreff, Datum und Uhrzeit des Empfangs sowie die Größe der E-Mail.

Header

Der vollständige, ursprüngliche Header der E-Mail, der nützliche Informationen enthalten kann, beispielsweise der Pfad, dem die E-Mail gefolgt ist.

Inhalt

Hier werden die Anhänge der E-Mail (falls vorhanden) mit ihren Details angezeigt. Darüber hinaus wird jeder HTML-Anhang mit seinem vollständigen Quellcode angezeigt.

Im unteren Bereich ist folgende Option verfügbar:

Löschen aus Quarantäne nach Freigabe

Die E-Mail wird aus der Quarantäne entfernt, nachdem sie für den ursprünglichen Empfänger freigegeben wurde.

Zusammenfassende Berichte

Es können regelmäßige Berichte über die E-Mails in Quarantäne automatisch an den ursprünglichen Empfänger der E-Mail gesendet werden. Auf dieser Seite können Sie die Häufigkeit und Einstellungen dieses Dienstes aktivieren und verwalten.

Hinweis

Für diese Funktion muss der SMTP-Proxy korrekt eingerichtet und ausgeführt werden. Anderenfalls würden keine Berichte gesendet werden.

Alternativen zur Benachrichtigung der Empfänger von E-Mails in Quarantäne

Es gibt zwei Möglichkeiten, Benutzer zu benachrichtigen, dass sie eine oder mehrere E-Mails empfangen haben, die in die Quarantäne verschoben wurden:

1. Auswahl einer gesamten eingehenden Domäne: In diesem Fall werden alle Benutzer in dieser Domäne benachrichtigt, außer wenn sie auf einer entsprechenden Liste stehen. Eingehende Domänen können im SMTP-Proxy-Modul konfiguriert werden (Menüleiste ‣ Proxy ‣ SMTP ‣ Eingehende Domänen). Siehe Option Versende keine Übersichtsberichte an diese Adressen unten.
2. Durch eine explizite Auflistung von Benutzern, die Benachrichtigungen erhalten sollen: Siehe untere Option E-Mails mit zusammenfassenden Berichten an diese Adressen schicken.

Diese zwei Lösungen sind nicht ausschließlich: Es ist möglich, beide einzusetzen.

Darüber hinaus gibt es auch die Möglichkeit, eine Liste der Absenderadressen bereitzustellen, deren E-Mail nie Teil des zusammenfassenden Berichts sein soll.

Letztlich können Platzhalter und reguläre Ausdrücke verwendet werden, um das Schreiben einer langen Liste von Adressen zu vermeiden.

Warnung

Stellen Sie sicher, dass keine Platzhalter falsch verwendet werden! Insbesondere die Verwendung eines einzelnen Asterisken (*) in einer Zeile sendet eine E-Mail-Benachrichtigung an jeden Benutzer in jeder Domäne, die von der Panda GateDefender-Appliance verwaltet wird.

Der Dienst der zusammenfassenden Berichte ist standardmäßig aktiviert. Klicken Sie zum Starten auf den grauen Schalter, die mit E-Mails mit zusammenfassenden Berichten aktivieren beschriftet ist. Der Schalter wird grün und eine Reihe von Konfigurationsoptionen wird angezeigt.

Standardmäßige E-Mail-Adresse des Absenders verwenden

Durch Aktivieren des Kontrollkästchens wird die Standardadresse als Absender des Berichts angezeigt.

Hinweis

Die standardmäßige E-Mail-Adresse ist die während der Netzwerkkonfiguration angegebene Adresse, siehe

E-Mail-Adresse des Absenders

Eine benutzerdefinierte Absenderadresse kann hier angegeben werden, wenn die vorherige Option nicht aktiviert ist.

E-Mail-Zeitplan für zusammenfassenden Bericht

Der Bericht kann täglich, wöchentlich oder monatlich gesendet werden.

Hinweis

Wenn der Wert der Option Speicherzeit der Quarantäne unter Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration ‣ Quarantäneeinstellungen kleiner als 30 (Tage) ist, wird die Option Monatlich nicht verfügbar sein.

Enthaltene Emails

In diesem Dropdown-Menü sind zwei Optionen verfügbar. Wählen Sie Nach dem letzten Bericht empfangene E-Mails, um nur neuere E-Mails in der Quarantäne einzubeziehen (d. h. solche, die nach dem letzten Bericht empfangen wurden). Oder wählen Sie Alle E-Mails in der Quarantäne, um den gesamten Quarantäneinhalt zu senden.

Sprache der E-Mail-Vorlage auswählen

Die Sprache für den zusammenfassenden Bericht.

Einzubeziehende Kontaktdaten für die E-Mail

Dieses Formular kann verwendet werden, um eine benutzerdefinierte Nachricht in den Bericht einzubeziehen.

Tipp

Dieses Formular kann verwendet werden, um eine E-Mail-Adresse in den Bericht einzubeziehen, die der Benutzer kontaktieren kann, um Informationen anzufordern oder die E-Mail aus der Quarantäne freizugeben.

Inhalt der Übersichtsberichte

Dieses Mehrfachauswahlfeld ermöglicht die Auswahl, welche Daten in den zusammenfassenden Bericht für jeden E-Mail in der Quarantäne einbezogen werden sollen. Standardmäßig werden nur der Absender, der Grund für die Quarantäne, der Betreff und das Datum einbezogen, aber die Empfängeradresse, Informationen über den Anhang und die Größe können ebenfalls eingefügt werden.

Eingehende Domänen

In diesem Mehrfachauswahlfeld können Sie auswählen, welche Domänen auf gefährliche E-Mails geprüft und welche E-Mails in die Quarantäne verschoben werden sollen. Wenn Benutzer in einer dieser Domänen eine E-Mail erhalten, die in die Quarantäne verschoben wird, werden sie durch eine E-Mail benachrichtigt.

Tipp

Um eine neue Domäne in dieses Feld hinzuzufügen, fügen Sie sie unter Menüleiste ‣ Proxy ‣ SMTP ‣ Eingehende Domänen hinzu.

Versende Emails mit Übersichtsberichten an diese Adressen

Die Liste der Empfänger, die immer die zusammenfassenden Berichte erhalten.

Warnung

Stellen Sie sicher, dass keine Platzhalter falsch verwendet werden! Insbesondere die Verwendung eines einzelnen Asterisken (*) in einer Zeile sendet eine E-Mail-Benachrichtigung an jeden Benutzer in jeder Domäne, die von der Panda GateDefender-Appliance verwaltet wird.

Keine E-Mails mit zusammenfassenden Berichten an diese Adressen schicken

Eine Liste der E-Mail-Adressen einer eingehenden Domäne, die nie zusammenfassende Berichte erhalten.

Keine E-Mails von diesen Absenderadressen einbeziehen

Eine Liste der Absender, deren E-Mails nie in zusammenfassende Berichte aufgenommen werden sollen.

Siehe auch

SMTP Proxy

Menüleiste ‣ Proxy ‣ SMTP Konfiguration des SMTP-Proxy.

Spam Training

Die Panda GateDefender-Appliance beinhaltet die Engine „SpamAssasin“ zum Suchen und Bekämpfen von Spam-E-Mails. Auch wenn sich SpamAssassin in vielen Fällen bewährt hat, müssen die Fähigkeiten der Engine optimiert werden, um Spam-E-Mails effektiv abzufangen. Sie können das Training der Anti-Spam-Engine auf dieser Seite konfigurieren: SpamAssassin lernt automatisch, welche E-Mails als Spam klassifiziert werden und welche nicht (die so genannten „Ham“-Mails). Für die Ausführung des Trainings wird eine Verbindung zu einem IMAP-Host benötigt, um die Spam- und Ham-Mails in den vordefinierten Ordnern zu prüfen.

Die Seite für SpamAssassin enthält zwei Felder. Ein Feld enthält die für den Lernmodus verwendete Liste der IMAP-Hosts, die auf verschiedenen Ebenen verwaltet werden können. Im anderen Feld können Sie die geplanten Aktualisierungen ändern.

Aktuelle Spam-Trainingsquellen

Im ersten Feld können die Trainingsressourcen mithilfe von zwei Links konfiguriert werden. Wenn Sie auf diese Links klicken, werden zwei Abschnitte angezeigt, in denen Sie die verschiedenen Konfigurationswerte angeben können. Die Standardkonfiguration ist zu Beginn nicht definiert und wird nicht für das Training verwendet. Es werden nur Werte bereitgestellt, die anschließend tatsächlich in die Trainingsressourcen übernommen werden. Diese können Sie im Folgenden hinzufügen. Sie können diese Einstellung konfigurieren, indem Sie auf den Link Standardkonfiguration bearbeiten klicken:

Standard IMAP Host

Der IMAP-Host, der die Trainingsordner enthält.

Standardbenutzername

Der Benutzername für den IMAP-Host.

Standardkennwort

Das Benutzerkennwort

Standardmäßiger HAM-Ordner

Der Name eines Ordners, der ausschließlich Ham-Nachrichten enthält. Dabei kann es sich beispielsweise um einen speziell hierfür vorgesehenen Ordner handeln, in dem ausschließlich „saubere“ Nachrichten gespeichert werden, oder sogar um den Posteingang.

Standardmäßiger Spam-Ordner

Der Name eines Ordners, der ausschließlich Spam-Nachrichten enthält.

Für automatisches Spamfilter-Training vormerken

Das Zeitintervall zwischen zwei aufeinander folgenden Prüfungen – stündlich, täglich, wöchentlich oder monatlich. Diese Option kann deaktiviert werden. Wenn Sie den Mauszeiger über die Fragezeichen bewegen, wird der genaue planmäßige Zeitpunkt angezeigt. Wenn diese Option deaktiviert ist, muss die Antispam-Engine manuell trainiert werden.

Weitere Quellen für das Spam-Training können im Abschnitt hinzugefügt werden, der nach Klicken auf den Link IMAP-Spam-Trainingsquelle hinzufügen angezeigt wird. Die Optionen für die zusätzlichen für das Training verwendeten Hosts entsprechen den Optionen für die Standardkonfiguration. Eine Ausnahme bilden der Zeitplan (hier wird stets die Standardkonfiguration übernommen) und die folgenden drei neu verfügbaren Optionen:

Aktiviert

Die Trainingsquelle wird jedes Mal verwendet, wenn SpamAssassin trainiert wird. Wenn diese Option deaktiviert ist, wird die Quelle nur beim manuellen, jedoch nicht beim automatischen Training verwendet.

Anmerkung

Ein Kommentar zu dieser Quelle.

Bearbeitete E-Mails löschen

Mithilfe dieser Option wird festgelegt, ob verarbeitete E-Mails gelöscht werden sollen.

Die anderen Optionen können wie in der Standardkonfiguration definiert werden und überschreiben, wenn angegeben, die Standardwerte. Nachdem alle gewünschten Werte festgelegt wurden, klicken Sie auf die Schaltfläche Trainingsquelle hinzufügen, um die Konfiguration einer Quelle zu speichern. Mithilfe einer Trainingsquelle können mehrere Aktionen durchgeführt werden:

• – Status des IMAP-Hosts: aktiviert oder deaktiviert.
• – Eigenschaften des IMAP-Hosts ändern.
• – IMAP-Host entfernen.
• – Verbindung zum IMAP-Host prüfen.

Durch Klicken auf das entsprechende Symbol können Sie die Quelle aktivieren, deaktivieren, bearbeiten, entfernen oder die Verbindung zur Quelle überprüfen.

Zwei weitere Aktionen sind verfügbar und werden auf sämtliche Verbindungen angewendet, wenn Sie auf eine der Schaltflächen rechts oben im Feld klicken.

Alle Verbindungen testen

Gleichzeitige Überprüfung aller Verbindungen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, wenn eine große Anzahl an Trainingsquellen definiert wurde oder die Verbindung zum IMAP-Server langsam ist.

Training jetzt starten

Training wird umgehend gestartet. Beachten Sie, dass das Training längere Zeit in Anspruch nehmen kann. Dies hängt von verschiedenen Faktoren ab: der Anzahl der Quellen, der Verbindungsgeschwindigkeit und insbesondere von der Zahl der heruntergeladenen E-Mails.

Hinweis

Die Antispam-Engine kann auch auf andere Weise trainiert werden, wenn der SMTP-Proxy sowohl für eingehende als auch ausgehende E-Mails aktiviert ist. Dies geschieht durch das Senden von Spam-E-Mails an spam@spam.spam und Ham-E-Mails an ham@ham.ham. Die Hostnamen spam.spam und ham.ham werden der Netzwerkkonfiguration nach der Netzwerkeinrichtung hinzugefügt und sind Aliase des Localhost. Falls diese zwei Adressen nicht vorhanden sind, können sie der Host-Konfiguration auf der Panda GateDefender-Appliance unter Menüleiste ‣ Netzwerk ‣ Hosts bearbeiten ‣ Host hinzufügen hinzugefügt werden.

Zeitplan für SpamAssassin Regelupdates

In diesem Feld können Sie eine der vier folgenden Optionen für den automatischen Download von SpamAssassin-Signaturen festlegen: Stündlich, täglich, wöchentlich und monatlich.

Schutz vor Einbruchsversuchen

Die Panda GateDefender-Appliance enthält das bekannte System SNORT zur Einbruchserkennung (IDS) und -verhinderung (IPS), das direkt in iptables integriert ist, um Verbindungen von unerwünschten oder nicht vertrauenswürdigen Quellen abzufangen und zu verwerfen.

Die Seite enthält drei Registerkarten: Intrusion Prevention System, Regeln und Editor.

Intrusion Prevention System

Ist SNORT nicht aktiviert, wird auf der Seite neben der Bezeichnung Intrusion Prevention System aktivieren ein grauer Schalter angezeigt, über den Sie den Dienst starten können. Sie werden in einer Nachricht darüber informiert, dass ein Neustart des Dienstes durchgeführt wird. Kurze Zeit später werden im Feld einige Optionen zur Konfiguration des Dienstes angezeigt.

Emerging Threats SNORT Regeln

Durch Aktivieren dieses Feldes lädt die Panda GateDefender Appliance automatisch die snort-Regeln von der Emerging Threats-Webseite herunter.

Hinweis

Wenn die Panda GateDefender-Appliance nicht registriert ist, oder die Wartung abgelaufen ist, werden keine Regeln mehr heruntergeladen. Außerdem wird eine informative Meldung am unteren Rand der Seite angezeigt.

Update-Zeitplan auswählen

Die für die Regeln festgelegte Download-Häufigkeit: Mithilfe eines Dropdown-Menüs können Sie die einzelnen Optionen – stündlich, täglich, wöchentlich oder monatlich – auswählen. Diese Option ist nur verfügbar, wenn die vorherige Option aktiviert wurde.

Benutzerdefinierte SNORT Regeln

Datei mit benutzerdefinierten SNORT-Regeln, die hochgeladen werden sollen. Wählen Sie aus dem Fenster, das nach Klicken auf die Schaltfläche Durchsuchen angezeigt wird, eine Datei aus, und laden Sie sie hoch, indem Sie auf die Schaltfläche Benutzerdefinierte Regeln hochladen klicken.

Regeln

Auf der Registerkarte Regeln wird eine Liste von Regelsätzen angezeigt, die auf der Panda GateDefender-Appliance gespeichert werden. Dazu werden die Anzahl der darin enthaltenen Regeln und die Aktionen aufgeführt, die damit ausgeführt werden können:

• – Status des Regelsatzes: aktiviert oder deaktiviert.
• – Die auf Pakete angewendete Richtlinie: durchlassen oder blockieren.
• – Eigenschaften des Regelsatzes ändern.
• – Regelsatz entfernen.

Hinweis

Wenn Sie auf der Registerkarte Regeln bestimmte Regeln bearbeiten, werden diese beim Öffnen der Seite Editor (siehe unten) automatisch angezeigt.

Alle Aktionen außer „Bearbeiten“ können für mehrere Regelsätze gleichzeitig ausgeführt werden. Wählen Sie dazu die Regelsätze (durch Aktivieren des Kontrollkästchens links neben dem Dateinamen) aus, und klicken Sie auf die Schaltfläche unterhalb der Liste.

Die Richtlinie Alarm ist für alle Regelsätze standardmäßig aktiviert. Sie können diese Einstellung ändern, indem Sie auf das Alarmsymbol klicken. Für die Richtlinie ist nun die Einstellung Blockieren konfiguriert, und das Alarmsymbol wird als rotes Schildsymbol angezeigt. Nach Klicken auf die Schaltfläche Übernehmen wird durch die betreffende Regel kein Alarm mehr ausgelöst. Der gesamte von der Regel betroffene Datenverkehr wird blockiert.

Sie können Regeln löschen, indem Sie auf das Papierkorbsymbol klicken. Wenn Sie auf das Stiftsymbol klicken, werden Sie hingegen zur Editor-Seite umgeleitet, auf der Sie die Regeln unabhängig voneinander bearbeiten können.

Editor

Im oberen Bereich der Seite Editor werden die Regelsätze angezeigt, die Sie bearbeiten können. Sie können mehrere Regelsätze gleichzeitig auswählen, indem Sie die Taste STRG gedrückt halten während Sie auf die Regelsätze klicken.

Nachdem Sie die Regelsätze ausgewählt und auf die Schaltfläche Bearbeiten geklickt haben, werden in einer Liste die ausgewählten Regeln angezeigt. Sie können die Liste durch Eingabe einiger Begriffe im Textfeld neben der Bezeichnung Suche einschränken. Wie auf der Seite Regeln können auch hier die Richtlinien zu den einzelnen Einträgen geändert werden.

Warnung

Wenn Sie das IPS-System aktivieren, wird SNORT zwar ausgeführt, aber der Datenverkehr wird noch nicht gefiltert. Damit SNORT Pakete filtert, muss die Filterrichtlinie Mit IPS erlauben für die auf den verschiedenen Konfigurationsseiten der Firewall definierten Regeln ausgewählt werden.

Hochverfügbarkeit

Die Panda GateDefender-Appliance kann im HV-Modus ausgeführt werden. Für dessen unkomplizierte Einrichtung werden mindestens zwei Panda GateDefender-Appliances benötigt, von denen eine die Rolle der aktiven (Master-)Firewall übernimmt. Die restlichen Firewalls (Slaves) sind im Standby-Betrieb.

Wenn die Master-Firewall ausfällt, wird eine der Slave-Firewalls als neue Master-Firewall ausgewählt. So wird ein transparentes Failover gewährleistet. Wenn jedoch nur ein Slave vorhanden ist, werden sofort die Aufgaben des Masters übernommen, und es wird im Fall eines Hardwareausfalls der primären Appliance ein nahtloser Failover-Übergang auf die zweite Panda GateDefender-Appliance ermöglicht. Dies gewährleistet eine beispiellose Verfügbarkeit und Redundanz der Hardware, die für kritische Netzwerkvorgänge und für die Sicherheit unerlässlich ist.

Zum Starten des HV-Dienstes müssen mindestens eine Panda GateDefender-Appliance als Master und eine als Slave entsprechend den folgenden Richtlinien konfiguriert sein.

Hinweis

Das Hochverfügbarkeitsmodul erfordert mindestens zwei identische Panda GateDefender-Appliances.

Achten Sie darauf, dass beim Einrichten des Hochverfügbarkeitsmoduls für jede Verbindung zur Panda-Appliance eine Duplizierung ermöglicht werden muss. Jede Verbindung auf der primären Einheit (beispielsweise WAN, LAN usw.) muss auf den einzelnen Standby-Einheiten repliziert werden, um eine vollständige Replikation gewährleisten zu können.

In diesem Szenario ist jedes Netzwerk auf der Panda GateDefender-Appliance (WAN, LAN usw.) mit einem extern verwalteten Switch verbunden, der für jedes zugewiesene Netzwerk ein eindeutiges VLAN besitzt. Bei dieser Bereitstellungsoption werden am wenigsten Netzwerkports benötigt, wodurch höhere Erweiterungskapazitäten vorhanden sind. Eine andere Möglichkeit besteht darin, einen zentral verwalteten (VLAN-fähigen) Switch durch kleinere, separate Switches für die einzelnen Netzwerke (WAN, LAN usw.) zu ersetzen. Diese Einrichtung könnte jedoch nicht kosteneffizient und weniger verlässlich sein, da ein Ausfall auf einem beliebigen Switch zu einem teilweisen oder vollständigen Failover führen kann.

Auf dieser Seite wird nur ein Feld angezeigt, in dem zunächst eine Option verfügbar ist:

Hochverfügbarkeit (HV) aktivieren

Aktivierung des HV-Dienstes auf der Panda GateDefender-Appliance. Der Dienst ist standardmäßig deaktiviert.

Warnung

HV unterstützt momentan keine automatische Synchronisierung der Hotspot-Datenbank.

Nach der Aktivierung wird ein zweites Dropdown-Menü mit der Bezeichnung Seite mit hoher Verfügbarkeit angezeigt. Hier können Sie die Panda GateDefender-Appliance als Master oder Slave konfigurieren. Je nach Auswahl sind unterschiedliche Konfigurationsoptionen verfügbar. Für die Konfiguration einer Slave-Einheit wird eine bereits eingerichtete Master-Einheit benötigt.

Die folgenden Optionen sind für die Master-Seite verfügbar:

Management Netzwerk

Spezielles Subnetz, mit dem alle Panda GateDefender Appliances verbunden werden müssen, die am eingerichteten Hochverfügbarkeitsdienst beteiligt sind. Die Standardkonfiguration des Subnetzes lautet 192.168.177.0/24. Sofern dieses Subnetz nicht bereits für andere Zwecke verwendet wird, muss es nicht modifiziert werden.

Master-IP-Adresse

Erste IP-Adresse des Management-Netzwerks. Sie ist automatisch mit 1 auf dem ausgewählten Netzwerk eingerichtet und nimmt standardmäßig den Wert 192.168.177.1 an.

Benachrichtigung: E-Mail-Adresse des Empfängers, Benachrichtigung: E-Mail-Adresse des Absenders, Benachrichtigung: E-Mail-Betreff, Hinweis: zu verwendender SMTP-Server

Diese Optionsfelder können ausgefüllt werden, um per E-Mail über Ausfälle benachrichtigt zu werden. Diese Optionen werden auf dieselbe Weise konfiguriert wie die Optionen für andere Ereignisbenachrichtigungen unter Menüleiste ‣ System ‣ Ereignisbenachrichtigung. Folgende Angaben werden für den E-Mail-Versand benötigt: ein benutzerdefinierter Absender, Empfänger, E-Mail-Betreff und ein SMTP-Smarthost.

STP aktivieren

Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Diese Option und die nachfolgende sind wichtig, wenn die Panda GateDefender-Appliance im Gateway-Modus ausgeführt wird.

STP-Bridge-Priorität

Die Priorität der Bridge. Sie muss 1 auf der Seite des Masters sein.

Nach Aktivierung des Hochverfügbarkeitsdienstes wird ein weiteres Feld mit einer Liste der Slaves und der zugehörigen IP-Adressen angezeigt. Des Weiteren haben Sie hier die Möglichkeit, über einen Link auf die entsprechende Management-GUI zuzugreifen und Slaves zu entfernen.

Verwaltungsnetzwerk des Hochverfügbarkeitsdienstes:

Die Panda GateDefender-Appliance verwendet ein spezielles Netzwerk, um die Master- und Slave-Einheit(en) zu verbinden: 192.168.177.0/24. Wenn dieses Netzwerk bereits in anderen Zonen verwendet wurde, wird keines der bereits definierten Netzwerke gelöscht und es ist keine Modifizierung der Netzwerke erforderlich. Weisen Sie in diesem Fall dem HV-Management-Netzwerk einfach einen anderen IP-Adressbereich zu, beispielsweise 172.19.253.0/24 oder 10.123.234.0/28. Es ist wichtig zu beachten, dass die einzige Voraussetzung des Verwaltungsnetzwerks seine Größe ist. Es muss groß genug sein, um den Master und alle Slaves unterzubringen. Daher sollte im Falle nur eines Master- und Slave-Geräts auch ein Netzwerk mit einer Größe von 192.168.177.0/29 ausreichend sein. Das Verwaltungsnetzwerk wird als Schnittstelle im GRÜNEN Netzwerk eingerichtet, und wird auf dem Gerät bzw. beim Anzeigen des Netzwerkstatus als solches angezeigt.

Warnung

Stellen Sie sicher, dass das Management-Netzwerk über das aktuelle LAN erreichbar ist. Anderenfalls ist eine Anmeldung bei der Master-Einheit nicht möglich!

Nach Konfiguration der Master-Einheit können Sie die zweite Panda GateDefender-Appliance einrichten, die als Slave genutzt wird. Auf dieselbe Weise werden alle weiteren Slave-Einheiten konfiguriert.

Warnung

Es wird dringend empfohlen, vor der Konfiguration ein Backup der Slave-Einheit zu erstellen und an einem sicheren Ort zu speichern, da es nützlich sein kann, um eine Slave-Einheit wiederherzustellen, nachdem diese aus ihrer Rolle entfernt wurde.

Für die Slave-Einheiten sind folgende Optionen verfügbar:

IP-Adresse des Primärrechners

Die IP-Adresse der Master-Einheit ist standardmäßig 192.168.177.1/24 wenn das Verwaltungsnetzwerk nicht geändert wurde. Dieser Wert muss mit dem Wert übereinstimmen, der auf der Master-Einheit unter IP-Adresse des Primärrechners angezeigt wird.

Master-Root-Kennwort

Das Kennwort des root-Benutzers der Konsole (nicht der grafischen Administrationsoberfläche) auf der Master-Einheit.

Diese Daten werden von der Slave-Einheit verwendet, um alle erforderlichen Daten von der Master-Einheit abzurufen und die Synchronisation zu gewährleisten.

STP aktivieren

Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Auf der Seite des Slaves muss diese Option denselben Wert wie auf der Master-Seite haben.

STP-Bridge-Priorität

Die Priorität der Bridge. Auf der Seite des Slave muss dies eine Ziffer oder Zahl größer als die auf der Master-Seite sein.

Nach Speichern der Einstellungen wird im Laufe der Erstellung des Management-Netzwerks die Verbindung zum Gerät vorübergehend unterbrochen. Anschließend werden beide Geräte (die Master- und aktuell definierte Slave-Einheit) synchronisiert.

Nach Abschluss des Synchronisationsvorgangs ist die Slave-Einheit nicht mehr über die alte IP-Adresse (die werksseitig eingestellte oder vorherige GRÜNE IP-Adresse) erreichbar, da sich die Einheit nun im Standby-Modus befindet und nur über das Management-Netzwerk mit der Master-Einheit verbunden ist. Alle Änderungen an der primären Einheit (wie das Aktivieren von Diensten, Ändern von Einstellungen, Löschen eines VPN-Benutzers usw.) werden automatisch an die Slave-Einheit(en) übermittelt – mit Ausnahme von Aktualisierungen, Upgrades oder Datensicherungen (diese müssen manuell auf der Slave-Einheit durchgeführt werden).

Zudem wird die Slave-Einheit der Panda-Appliance automatisch in der Slave-Liste der Master-Einheit angezeigt und nur noch als informative Weboberfläche verwendet, auf die Sie von der Master-Einheit über den Link Zur Management-GUI wechseln neben den einzelnen Einträgen in der Slave-Liste zugreifen können.

Die ROTE MAC-Adresse

Während des HV-Failovers wird die MAC-Adresse der ROTEN Schnittstelle auf der Slave-Einheit nicht repliziert. Dies kann ein Problem darstellen, wenn der Internetdienstanbieter die Einstellungen für die statische IP-Adresse benötigt. In diesem Fall wird die vom Internetdienstanbieter zugewiesene IP-Adresse von der MAC-Adresse der Client-Netzwerkschnittstelle bestimmt, ähnlich wie bei einer statischen IP-Adresse, die von einem DHCP-Server an den Client vergeben wird. Es könnte nicht möglich sein, sich erneut mit der Slave-Einheit zu verbinden. Zur Vermeidung dieser Situation ist es notwendig, die Funktion für gefälschte MAC-Adressen auf der ROTEN Schnittstelle zu verwenden, damit HV korrekt funktioniert. Um diese Situation zu vermeiden, müssen Sie für ein ordnungsgemäßes Funktionieren des Hochverfügbarkeitsdienstes für die ROTE Schnittstelle eine verschleierte MAC-Adresse verwenden. Dies kann auf dem Slave vor der Aktivierung durch Auswahl der Option Verwende benutzerdefinierte MAC Adresse unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ Main Uplink bearbeiten ‣ Erweiterte Einstellungen erreicht werden. Alternativ können Sie in Schritt 4 des Netzwerkinstallationsassistenten im Optionsfeld Verwende diese MAC Adresse die MAC-Adresse der Master-Einheit eingeben.

Netzwerkmonitoring

Netzwerkmonitoring wird von ntopng ausgeführt und kann durch Betätigen des Hauptschalters auf dieser Seite aktiviert bzw. deaktiviert werden. Sobald die Überwachung des Datenverkehrs aktiviert ist, wird im unteren Abschnitt der Seite ein Link zu einer neuen Administrationsoberfläche angezeigt. Der Verkehr kann durch den Host, das Protokoll, die lokale Netzwerkschnittstelle und viele andere Informationstypen visualisiert und analysiert werden: Alle diese Vorgänge können direkt vom Modul Netzwerkmonitoring im Menü „Protokolle und Berichte“ ausgeführt werden.

Es ist nur eine Option auf dieser Seite verfügbar.

Hinweis

Diese Option ist nicht auf Appliances mit begrenzten Ressourcen verfügbar.

Verlauf für Hosts speichern

Standardmäßig werden Informationen zum Verlauf jedes Hosts nicht auf der Festplatte gespeichert. Aktivieren Sie das Kontrollkästchen, um die Protokollierung pro Host zu aktivieren.

Warnung

Wenn diese Option aktiviert ist, wird eine Reihe von Dateien für jeden Host auf die Festplatte geschrieben und jedes Mal aktualisiert, wenn sich der Host mit der Panda GateDefender-Appliance verbindet. Bei aktivem Netzwerkmonitoring und hohem Netzwerkdatenverkehr könnte der Speicherplatz schnell voll sein und der Festplattenzugriff könnte zu einer Engstelle in der Systemleistung werden.

SNMP-Server

Der SNMP-Dienst dient der Überwachung von mit dem Netzwerk verbundenen Geräten. Er wird unter anderem zur Überprüfung des Status der internen Infrastruktur verwendet.

Um den SNMP-Server zu aktivieren, müssen Sie nur auf den grauen Schalter neben der Option SNMP-Server aktivieren klicken. Daraufhin werden im Feld Einstellungen verschiedene Optionen angezeigt.

Community String

Schlüssel zum Lesen von Daten mithilfe des SNMP-Clients.

Standort

Eine Zeichenfolge, die auf einen beliebigen Wert gesetzt werden kann. Es ist jedoch ratsam, dass sie den Ort der Panda GateDefender-Appliance beschreibt.

Globale E-Mail-Adresse für Benachrichtigungen überschreiben

Der SNMP-Server muss eine E-Mail-Adresse als Kontaktstelle mit dem System konfigurieren. Standardmäßig wird die im Laufe der Installation bereitgestellte globale E-Mail-Adresse verwendet. Um eine benutzerdefinierte E-Mail-Adresse zu verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie im direkt unterhalb aktivierten Feld E-Mail-Adresse des Systemkontakts die benutzerdefinierte E-Mail-Adresse ein.

Quality of Service

Der Zweck des QoS-Moduls ist es, den IP-Verkehr zu priorisieren, der dienstabhängig durch die Panda GateDefender-Appliance strömt. Mithilfe von QoS lässt sich ein Teil der verfügbaren (eingehenden und ausgehenden) Bandbreite für einen spezifischen Dienst bequem reservieren. Anwendungen, die für gewöhnlich höher als der übliche Datenverkehr priorisiert werden müssen, sind interaktive Dienste wie SSH oder VoIP.

Die Konfigurationsoptionen des Moduls sind in drei Registerkarten angeordnet: Geräte, Klassen und Regeln.

Geräte

Die Registerkarte Geräte ist gleichzeitig die Startseite des Moduls und zu Beginn leer. Nach der Eingabe von Daten wird eine Tabelle mit der Liste sämtlicher definierter Geräte angezeigt. Für jedes Gerät werden einige Parameter sowie die verfügbaren Aktionen dargestellt.

Sie können neue QoS-Geräte hinzufügen, indem Sie über der Liste auf den Link QoS Gerät hinzufügen klicken und einige Optionen konfigurieren.

Zielgerät

Die Netzwerkschnittstelle, die von diesem Gerät verwendet wird. Zur Auswahl stehen neben den vorhandenen Netzwerkschnittstellen die im System aktivierten Zonen, die Uplinks und die OpenVPN-Tunnel (falls definiert). Sie können im Dropdown-Menü ausgewählt werden.

Downstream-Bandbreite (kbit/s)

Die Downstream-Geschwindigkeit der Schnittstelle.

Upstream-Bandbreite (kbit/s)

Die Upstream-Geschwindigkeit der Schnittstelle.

Aktiviert

Aktivierung des QoS (Standard).

Die möglichen Aktionen für das Gerät sind:

• – Das Gerät aktivieren oder deaktivieren.
• – Eigenschaften des Geräts ändern.
• – Gerät entfernen.

Beim Bearbeiten eines Geräts wird das gleiche Formular geöffnet wie beim Hinzufügen eines neuen Geräts. In diesem Formular können Sie die aktuellen Parameter des Geräts ändern.

Für jedes Gerät, das neu hinzugefügt wird, werden auf der Registerkarte Klassen vier Elemente angezeigt: Drei Symbole stehen für hohe, mittlere und niedrige Priorität, das letzte Symbol für den übrigen Verkehr (siehe unten).

Klassen

Auf dieser Registerkarte wird eine Liste mit sämtlichen Dienstqualitätsklassen angezeigt, die erstellt wurden (falls vorhanden). Zu jedem Eintrag werden verschiedene Daten angezeigt. Sie können neue Elemente hinzufügen, indem Sie über der Klassenliste auf den Link Quality of Service Klasse hinzufügen klicken. Die zu konfigurierenden Parameter sind die gleichen wie in der Liste:

Name

Name der QoS-Klasse.

QOS Gerät

Das Dropdown-Menü ermöglicht die Auswahl des QoS-Geräts, für das die Klasse erstellt wurde.

Tipp

Es muss mindestens ein QoS-Gerät erstellt werden, bevor Sie eine QoS-Klasse definieren können.

Reserviert

Die Menge an Bandbreite, die von der insgesamt für das Gerät verfügbaren Bandbreite reserviert wurde; entweder in Prozent oder Kilobit pro Sekunde.

Grenzwert

Die maximale Menge der Bandbreite, die diese Klasse verwendet darf; entweder in Prozent oder Kilobit pro Sekunde.

Priorität

Die Priorität der Klasse von 0 (niedrig) bis 10 (hoch), auswählbar in einem Dropdown-Menü.

Hinweis

Die Summe der reservierten Prozentsätze pro Gerät kann nicht größer als 100 sein. Zudem kann die reservierte Bandbreite nicht höher als die begrenzte Bandbreite sein.

Die verfügbaren Aktionen sind:

• – Eigenschaften des Geräts ändern.
• – Verschieben in die Liste der Klasse
• – Gerät entfernen.

Klassen können in der Liste nach oben oder unten verschoben werden: Elemente weiter oben auf der Liste werden zuerst verarbeitet, wenn die Bandbreite nicht für den gesamten Datenverkehr ausreicht und die Panda GateDefender-Appliance entscheiden muss, welcher Datenverkehr priorisiert wird.

Regeln

Auf der dritten Registerkarte wird eine Liste der bereits definierten Dienstqualitätsregeln angezeigt. Hier können Sie bestimmen, welche Arten von Datenverkehr welcher Klasse zugeordnet werden sollen. Klicken Sie auf den Link Quality-of-Service-Regel hinzufügen, um eine neue Regel hinzuzufügen. Im daraufhin angezeigten Formular, das dem Formular zur Definition der Firewall-Regeln ähnelt, müssen verschiedene Werte konfiguriert werden. Eine Reihe von Dropdown-Menüs soll die Auswahl und den Konfigurationsprozess erleichtern.

Quelle

Wählen Sie aus dem Dropdown-Menü die Quelle für den Datenverkehr aus: Zone, Schnittstelle, Netzwerk, IP- oder MAC Adresse. Je nach Auswahl können unterschiedliche Werte angegeben werden: eine der verfügbaren Zonen oder Schnittstellen, die angezeigt werden; eine oder mehrere IP- bzw. MAC- Adressen oder ein bzw. mehrere Netzwerke.

Zielgerät/Datenverkehrsklasse

Wählen Sie das Zielgerät oder die Datenverkehrsklasse aus dem Dropdown-Menü aus.

Zielnetzwerk/IP

Schreiben in den Textbereich das Zielnetzwerk oder die IP-Adressen, die vom Gerät oder der Datenverkehrsklasse, das/die in der vorherigen Option ausgewählt wurde, erreichbar sein sollen.

Service/Port, Protokoll

Diese beiden Dropdown-Menüs werden verwendet, um den Dienst, das Protokoll und den Zielport für die Regel zu definieren (wenn eines der TCP-, UDP- oder TCP + UDP-Protokolle ausgewählt ist). Es sind auch einige vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>, wobei Letzteres für alle Dienste, Protokolle und Ports steht. Unter Zielport können eine oder mehrere Portnummern angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die Standardports erfolgt.

TOS/DSCP

Mithilfe dieser Option wird der passende TOS- oder DSCP-Wert ausgewählt.

Datenverkehr abstimmen

Durch Auswahl von TOS oder der DSCP-Klasse im vorherigen Dropdown-Menü kann nun aus einem anderen Dropdown-Menü ein geeigneter Wert für den passenden Datenverkehr ausgewählt werden.

DSCP Wert

Dieses Feld wird nur angezeigt, wenn der DSCP-Wert im obigen TOS/DSCP-Typ ausgewählt wurde. Dort können Sie einen benutzerdefinierten Wert für DSCP eingeben, der bei Übereinstimmung zur Aktivierung der Regel verwendet wird.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert.

Kommentar

Kommentar zur Identifizierung dieser Regel

Hinweis

Wenn mehr als ein Dienst für eine Dienstqualitätsklasse verfügbar ist, wird die reservierte Bandbreite auf alle Dienste aufgeteilt.

Die für die Regeln verfügbaren Aktionen sind:

• – Die Regel aktivieren oder deaktivieren.
• – Eigenschaften der Regel ändern.
• – Regel entfernen.