how-to installation secure point 10

HowTo: Installation Securepoint 10

Securepoint Security SystemsVersion 10


Version 10 Build 8500

Inhalt1 2 2.1 2.2 2.3 2.4 2.5 2.6 3 Version 10 4 4.1 4.2 4.3 5 6 6.1 6.1.1 6.1.2 6.2 7 Wichtiger Hinweis vor der Installation................................................................ 3 Neue Features der Securepoint Version 10 ...................................................... 3 Allgemein .......................................................................................................... 3 HTTP Proxy ...................................................................................................... 3 SMTP Gateway ................................................................................................. 3 POP3 Proxy ...................................................................................................... 3 IPSec ................................................................................................................ 3 SSL VPN (OpenVPN): ...................................................................................... 4 Zu prfende Einstellungen nach dem Update von Securepoint 2007nx zu 4 Voraussetzungen .............................................................................................. 5 Installation bei Systemen ohne CD-ROM Laufwerk (Piranja, RC 100 und RC 200) .......................................................................... 5 Installation bei Systemen mit CD-ROM Laufwerk .............................................. 6 Vorbereitung eines USB Memory Stick als Installationsmedium........................ 7 Installation der Software.................................................................................... 8 Update Prozedur Securepoint Firewall 10 ........................................................11 Vorbereitung des Updates ...............................................................................11 Sicherung der Konfiguration oder Konfigurationen ber den Securepoint Security Manager .............................................................................................11 Update ber das ISO Image oder USB Image .................................................12 Update der Appliance Produkte Piranja und RC100 .........................................13 Automatische Installation Installation ohne Monitoranschluss oder Tastatur .14

Stand: Oktober 2009

Securepoint Security Solutions

2



1 Wichtiger Hinweis vor der InstallationWenn Sie von der Securepoint 2007nx Version zu der Securepoint Version 10 wechseln, sollten Sie vorher die Konfiguration des laufenden Systems sichern. Nach der Installation der Securepoint 10 knnen Sie die gesicherte Konfiguration importieren und anschlieend laden. Trotz dieser Sicherung mssen Einstellungen fr Virenscanning und Spamfilter vorgenommen werden, da diese Funktionen grundlegend berarbeitet wurden (vgl. Kapitel 3).

2 Neue Features der Securepoint Version 102.1 AllgemeinWebinterface fr die Administration Webinterface fr User Einfach zu bedienender Grundeinrichtungs-Assistent SNMP Untersttzung fr Version 1 und 2c

2.2 HTTP ProxyAuthentifizierung ber NTLM Anonymisierung von Logeintrgen Blocken von Remote Tools wie Teamviewer oder Netviewer Blocken von Messaging Programmen (z. B. ICQ) Bandbreiteneinstellung im HTTP Proxy

2.3 SMTP GatewayKomplett neuer Spamfilter fr SMTP Neue Features wie: Greeting Pause Schutz vor "Reciption Flooding" Rate Control Greylisting mit Whitelists fr E-Mail-Adressen und Domains E-Mail-Adressen-Validierung direkt ber das SMTP Protokoll

2.4 POP3 ProxyKomplett neuer Spamfilter fr POP3

2.5 IPSecUntersttzung von IKEv2 (Windows 7)Stand: Oktober 2009 Securepoint Security Solutions 3



Neuer Einrichtungsassistent fr: Site-to-Site Verbindungen IKEv1 und IKEv2 Roadwarrior Verbindungen IKEv1 und IKEv2 L2TP

2.6 SSL VPN (OpenVPN):Radius-Protokoll Untersttzung Zuweisung von DNS Servern Automatische Generierung von VPN-Client-Paket mit Downloadfunktion im Administrations- und User-Webinterface

3 Zu prfende Einstellungen nach dem Update von Securepoint 2007nx zu Version 10SMTP Gateway (Mailrelay): Virenscanning und Spamfiltereinstellungen POP3 Proxy: Virenscanning und Spamfiltereinstellungen Globale Spamfiltereinstellungen Beachten Sie: Manuelle Einstellungen in den Templates fr folgende Applikationen werden nach dem Update nicht bernommen: - SMTP Gateway (Mailrelay) - HTTP Proxy - DHCP Server Falls Sie in diesen Templates nderungen vorgenommen haben, sichern Sie diese vor dem Update. Prfen Sie nach dem Update, ob die Funktionalitt eventuell schon mit dem neuen Security Manager oder ber das WebInterface einstellbar ist. Falls das nicht der Fall sein sollte, modifizieren Sie die Templates wieder nach Ihren Bedrfnissen.

Stand: Oktober 2009


4



4 Voraussetzungen4.1 Installation bei Systemen ohne CD-ROM Laufwerk (Piranja, RC 100 und RC 200)Folgende Voraussetzungen mssen bei der Neuinstallation der Securepoint UTM Software gegeben sein, wenn ein Hardwaresystem (Appliance) ohne CD-ROM Laufwerk vorliegt. Das Hardwaresystem muss kompatibel zu den aktuellen Securepoint Whitepapers sein. Das Hardwaresystem muss von einem USB Memory Stick booten knnen (siehe BIOS Einstellungen im System). Ein USB Memory Stick muss vorhanden sein, der eine Mindestgre von 1 Gbyte hat. Das aktuelle Securepoint UTM USB-Image Version 10 muss vorhanden sein.

Vorsicht:

Bei der Installation wird ein vorhandenes Betriebssystem unwiderruflich zerstrt.

Stand: Oktober 2009


5



4.2 Installation bei Systemen mit CD-ROM LaufwerkFolgende Voraussetzungen mssen bei der Neuinstallation der Securepoint UTM Software gegeben sein, wenn ein Hardwaresystem (Appliance) mit CD-ROM Laufwerk vorliegt. Das Hardwaresystem muss kompatibel zu den aktuellen Securepoint Whitepapers sein. Das Hardwaresystem muss von CD-ROM booten knnen. Das aktuelle Securepoint UTM ISO CD-ROM-Image Version 10 muss vorhanden sein. Erstellen Sie aus dem ISO-Image mit einem CD-ROM-Brennprogramm eine CD.

Vorsicht:

Bei der Installation wird ein vorhandenes Betriebssystem unwiderruflich zerstrt.

Stand: Oktober 2009


6



4.3 Vorbereitung eines USB Memory Stick als InstallationsmediumMit Hilfe des Securepoint Imaging-Tools kann der USB Memory Stick mit dem USB-Image bespielt werden. Das Imaging-Tool und das USB-Image finden Sie auf der Securepoint Webseite http://download.securepoint.de im Abschnitt Securepoint OS. Sie knnen sich zwischen zwei Images entscheiden: autoinstall.img update-kd.img Dieses Image wird eine komplette Neuinstallation vornehmen und alle vorherigen Daten berschreiben. Bei Installation mit diesem Image bleiben Lizenz, SSH-Keys, Konfigurationen und Spamdatenbank erhalten.

Installieren Sie das Imaging-Tool (soweit noch nicht geschehen). Starten Sie das Imaging-Tool. Whlen Sie die Registerkarte Image > Datentrger. Whlen Sie als Quelle die Datei securepoint-10-autoinstall.img oder securepoint10-update-kd.img, welche Sie vorher von der Securepoint Webseite heruntergeladen haben. Ihr eingesteckter USB Memory Stick wird als physikalischer Datentrger erkannt. Es werden keine Laufwerksbuchstaben angegeben. Whlen Sie daher Ihren USB Memory Stick im Bereich Ziel anhand der Gre (Speicherkapazitt). Klicken Sie auf den Button Image kopieren, um das Image auf den USB Memory Stick zu bertragen. Beachten Sie: Alle vorhandenen Daten auf dem USB Memory Stick gehen unwiderruflich verloren. Sichern Sie evtl. auf dem Stick befindliche Daten vorher.

Abb. 1 Securepoint Imaging Tool in der Version 1.9

Stand: Oktober 2009


7



5 Installation der SoftwareBooten Sie von dem USB Memory Stick oder von der erstellten CD, indem Sie den USB Stick einstecken bzw. die CD einlegen und die Appliance neu starten. Beim Booten vom USB Stick wird die Installation automatisch ausgefhrt. Fr die Installation per CD mssen ein Monitor und eine Tastatur an der Appliance angeschlossen sein, damit Sie die Installationsart korrekt auswhlen knnen. Nach dem Booten per CD wird Ihnen das Installationsmen angezeigt. whlen Sie mit den Pfeiltasten den Punkt Install im Men des Installationsprogramms aus. und bettigen Sie die Eingabetaste (Enter).

Abb. 2 Installations Men des Securepoint Systems

Die Securepoint 10 wird nun installiert.

Abb. 3 Installationsvorgang

Stand: Oktober 2009


8



Nach der Installation werden die SSH-Keys zur sicheren Kommunikation mit der Firewall generiert.

Abb. 4 SSH Schlssel werden generiert

Nach der Installation knnen Sie sich mit dem User admin und dem Passwort insecure an der Firewall anmelden. Es ffnet sich der CLI (Command Line Interface) Modus in dem Kommandozeilen Befehle erwartet werden. Denken Sie daran, das Passwort schnellstmglich zu ndern.

Abb. 5 neu gestalteter Login Screen

Stand: Oktober 2009


9



Nach der Installation sollten Sie die Firewall noch einmal booten, um sicherzustellen, dass die Installation einwandfrei funktioniert. Loggen Sie sich dazu an der Firewall mit dem User admin und dem Passwort insecure ein und fhren Sie in der CLI den Befehl reboot aus. Die Firewall hat nach der Installation 3 Ethernet Interfaces aktiviert: eth0 keine IP-Adresse zeigt Richtung Internet eth1 192.168.175.1/24 zeigt Richtung internes Netz eth2 keine IP-Adresse zeigt Richtung DMZ Netz Wenn Sie Ihrem internen PC eine IP-Adresse aus der IP-Range 192.168.175.2 192.168.175.254 geben, knnen Sie sich nun mit der Appliance verbinden.

Stand: Oktober 2009


10



6 Update Prozedur Securepoint Firewall 10Gehen Sie zum Updaten der Firewall von der Version Securepoint 2007nx auf die Version 10, wie in dem folgenden Abschnitt beschrieben, vor. Nutzen Sie dafr entweder das CD ISO Image oder das USB Memory Stick Image.

6.1 Vorbereitung des UpdatesBevor Sie die neue Version auf die Appliance spielen, sollten Sie Ihr System sichern und weitere vorbereitende Manahmen durchfhren.

6.1.1 Sicherung der Konfiguration oder Konfigurationen ber den Securepoint Security Manager ffnen Sie den Securepoint Security Manager. Klicken Sie in der Menleiste auf den Punkt Konfiguration. Whlen Sie aus dem Dropdown Men den Punkt Konfiguration exportieren und whlen Sie die entsprechende Konfiguration aus. Whlen Sie im nchsten Dialog einen Speicherort aus und drcken sie auf Speichern. Wiederholen Sie diesen Vorgang ggf. fr weitere Konfigurationen, die Sie sichern mchten.

Abb. 6 Konfigurationen exportieren

Stand: Oktober 2009


11



6.1.2 Update ber das ISO Image oder USB ImageJe nach verwendeter Appliance brauchen Sie zum Update auf die Version 10 eine CD-ROM, erstellbar aus dem ISO Image, welches zum Download zur Verfgung steht oder einen USB Memory Stick (minimale Gre 1 Gbyte). Gehen Sie zur Erstellung des USB Memory Sticks wie im Kapitel 4.3 beschrieben vor. Verwenden Sie als Image die Datei securepoint-10-update-kd.img, welche Sie auf der Securepoint Homepage finden (http://download.securepoint.de). Booten Sie nun die Appliance von der CD-ROM oder vom USB-Stick. Whlen Sie im Installationsprogramm den Punkt Update oder Update (KD) aus (nur bei Update per CD).

Abb. 7 Auswahl nach dem Boot-Vorgang

Beachten Sie: Im Punkt Update (KD) Update Keep Defaults- bleiben die Konfigurationen auf der Firewall erhalten und die Spam-Datenbanken werden bernommen. Die aktuelle Konfiguration bleibt die Startkonfiguration. Wenn Sie Update auswhlen wrden, bleiben auch die Konfigurationen erhalten, aber die Firewall wird im Auslieferungszustand starten und Sie mssen die Startkonfiguration manuell neu setzen. Bei Auswahl des Punkts Install werden alle alten Daten berschrieben. Das System wird also komplett neu installiert.

Stand: Oktober 2009


12



6.2 Update der Appliance Produkte Piranja und RC100Bei dem Update der Appliances Piranja und RC100 ist zu beachten, dass das System nach dem Update neu gestartet werden muss, da ansonsten die Interfaces nicht korrekt angesprochen werden knnen. Dies ergibt sich daraus, dass die Installationsroutine berprft, ob in der Datei /proc/interrupts eth-Interfaces zu finden sind. Wenn dem nicht so ist, wird noapic den Kerneloptionen hinzugefgt. Diese Option ist aber erst nach dem Neustart des Kernels aktiv. Bitte installieren Sie nach dem Update auch den neuen Security Manager. Der aktuelle Security Manger ist abwrtskompatibel und kann auch mit der Version 2007nx genutzt werden. Oder benutzen Sie das Administrations Webinterface der Securepoint 10.

Stand: Oktober 2009


13



7 Automatische Installation Installation ohne Monitoranschluss oder TastaturEs ist mglich, das System auch ohne Monitoranschluss oder Tastatur zu installieren bzw. zu updaten. Dazu muss sich auf dem USB Memory-Stick oder auf der CD-ROM eine weitere Datei befinden. Je nachdem wie diese Datei heit, werden die verschiedenen Installationsmodi ohne weitere Aufforderung ausgefhrt. Install: Voraussetzung: Datei /autoinstall auf Datentrger vorhanden. Neue Installation, es wird nichts von der alten Installation gerettet. Update: Voraussetzung: Datei /autoupdate auf Datentrger vorhanden. Neue Installation aber folgende Einstellungen bleiben erhalten: o o Konfigurationsdatenbanken Registration (Lizenz)

Hier wird aber in den Auslieferungszustand gebootet, also ohne Laden der Konfiguration. Update (KD) Keep defaults: Voraussetzung: datei: autoupdate_kd auf Datentrger vorhanden. Neue Installation aber folgende Einstellungen bleiben erhalten: o o o o Konfigurationsdatenbanken Registration (Lizenz) SSH-Keys default Konfigurations-Link (startet mit der Startkonfiguration)

Stand: Oktober 2009


14



Die Dateien autoinstall, autoupdate und autoupdate_kd finden Sie in einem ZIP-Archiv auf unserer Website unter folgendem Link: http://www.securepoint.de/download/updates/programmsSP10/autoinstall.zip

Beachten Sie: Die Dateien befinden sich in einem ZIP-Archiv, um eine Vernderung der Dateien durch das Herunterladen zu verhindern. Der Inhalt und der Name der Datei darf nicht manipuliert werden, da die Integritt der Datei vom Installationsprogramm berprft wird. Um auch bei der bertragung der gewnschten Datei zum USB-Stick einer Vernderung vorzubeugen, sollten Sie die Datei direkt aus dem Archiv auf den USB-Stick entpacken. Speichern Sie die entpackten Dateien nicht auf der Festplatte, weil die Dateien dabei mglicherweise vom Betriebssystem verndert werden. Eine vernderte Datei wird die Installation bzw. das Update nicht ausfhren.

Vorsicht: Behandeln Sie den so erstellten Datentrger mit Umsicht. Falls Sie den Datentrger zum Beispiel in Ihrem Notebook vergessen sollten und es neu starten, wird beim Booten des Laptops mglicherweise das Installationsprogramm automatisch gestartet und Sie verlieren alle Daten auf Ihrem System.

Stand: Oktober 2009


15

how-to installation secure point 10

Documents

installation securepoint

securepoint version

securepoint security

nx zu version

nx version zu

update ber

installation bei systemen

prfen sie nach dem update