Sophos UTM: Wie richte ich eine RED 50 ein?

Übersicht

Dieser Artikel beschreibt, wie eine RED 50 eingerichtet wird.

Die Anleitung umfasst folgende Themen:

  • Informationen über die RED 50
  • Bereitstellungsszenarien
  • Einrichtung der RED 50

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:
Sophos UTM 9.100 oder höher auf der SG 105, SG 115, SG 125, SG 135, SG 210, SG 230, SG 310, SG 330, SG 430, SG 450, SG 550, SG 650

Informationen über die RED 50

  • Einfache und kostengünstige Möglichkeit, Büros sicher zu verbinden
  • Kleine Einheit, die an nicht technisches Personal in der Zweigstelle gesendet wird
  • Einfach einstecken und es stellt Sicherheit automatisch her
  • Erstellt eine sichere Verbindung zwischen Zweigstelle und Hauptquartier
  • Leitet den Filialverkehr weiter und filtert ihn
  • Zentral von Sophos UTM verwaltet

Neue Eigenschaften:

  • Verschlüsselung: Hardware-beschleunigt
  • Bandbreite: Ausgeglichen
  • Sicherung: Failover

Technische Spezifikationen:

  • VPN-Durchsatz: 360 Mbit / s
  • WAN-Anschlüsse: 2x Gbit
  • LAN-Anschlüsse: 4x Gbit
  • USB-Anschlüsse: 2


Bereitstellungsszenarien

UTM hostname = Failover
RED uplink = Failover

Die RED stellt eine Verbindung zwischen RED_WAN1 und UTM_WAN1 her.  

 RED50_Skizze_1

 

 
Wenn UTM_WAN1 inaktiv ist: RED_WAN1 verbindet sich mit UTM_WAN2   

 RED50_Skizze_2

 

Wenn UTM_WAN1 und RED_WAN1 inaktiv sind: RED_WAN2 verbindet sich mit UTM_WAN2 

RED50_Skizze_3



UTM hostname = Balancing
RED uplink = Failover

Die RED stellt eine Verbindung zwischen RED_WAN1 und UTM_WAN1 / UTM_WAN2 her
 
RED50_Skizze_4 

 

 
Wenn RED_WAN1 inaktiv ist: RED_WAN2 verbindet sich mit UTM_WAN1 / UTM_WAN2
RED50_Skizze_5



UTM hostname = Failover
RED uplink = Balancing

Die RED stellt eine Verbindung zwischen RED_WAN1 / RED_WAN2 und UTM_WAN1 her  

RED50_Skizze_6

 

 
Wenn UTM_WAN1 inaktiv ist: RED_WAN1 / RED_WAN2 verbindet sich mit UTM_WAN2
RED50_Skizze_7


UTM hostname = Balancing
RED uplink = Balancing

Die RED stellt eine Verbindung zwischen RED_WAN1 / RED_WAN2 und UTM_WAN1 / UTM_WAN2 her  

RED50_Skizze_8


Hinweis:
Wenn Schnittstellen ausfallen, wird die Schnittstelle überprüft, bis sie wieder funktioniert. Die Verbindung wird zu der ursprünglichen Schnittstelle wiederhergestellt, wenn sie wieder verfügbar wird.

Von der RED 50 verwendete Ports

  • TCP-Port 3400 (Steuerverbindung mit SSL, authentifiziert mit gemeinsamer X509-Zertifikatsprüfung)
  • UDP Port 3410 (Encapsulated Verkehr, AES256 (enc), SHA1-HMAC (auth))


Firmware-Upgrades
Die RED kann die Firmware entweder über WAN oder über 3G / 4G-Verbindungen aktualisieren.
Die Firmware wird von der UTM selbst heruntergeladen, nicht über einen Provisioning-Server (nur UTM v9.1 oder höher).

Einrichtung der RED 50

Wichtig: Es ist äußerst wichtig, dass Sie den Freischaltcode, der sofort an die auf der Registerkarte Globale Einstellungen (während der Aktivierung der RED) angegebene Adresse gesendet wird, behalten, sobald sich die RED-Appliance beim RPS registriert. Sie benötigen den Entsperrcode, wenn Sie die RED-Appliance mit einer anderen UTM verwenden möchten. Wenn Sie den Entsperrcode nicht verfügbar haben, können Sie die RED-Appliance nur entsperren, indem Sie sich an den Sophos Support wenden.

1.    Navigieren Sie zu RED Management | [Server] Client Management und klicken Sie auf 'Add RED'.
2.    Wenn das Dialogfeld RED hinzufügen angezeigt wird, gehen Sie wie folgt vor:

Interface  

 image_003

Konfigurationsoptionen

Branch name: Geben Sie einen Namen für den Zweig ein, in dem sich die RED-Appliance befindet, z.B. "Büro München".

Client-Typ: Wählen Sie RED 10 oder RED 50 aus der Dropdown-Liste aus, abhängig vom Typ der RED-Appliance, die Sie verbinden möchten

RED ID: Geben Sie die ID der RED-Appliance ein, die Sie konfigurieren. Diese ID befindet sich auf der Rückseite des RED-Geräts und auf der Verpackung.

Tunnel-ID: Standardmäßig ist Automatisch ausgewählt. Tunnel werden fortlaufend nummeriert. Wenn Sie widersprüchliche IDs haben, wählen Sie eine andere ID aus der Dropdown-Liste.

Unlock Code (Optional): Während der ersten Bereitstellung einer RED-Appliance wird ein Entsperrcode generiert, eine Sicherheitsfunktion, die sicherstellt, dass eine RED-Appliance nicht einfach entfernt und an anderer Stelle installiert werden kann. Wenn die RED-Appliance, die Sie konfigurieren, zuvor bereitgestellt wurde, müssen Sie ihren Entsperrcode angeben. (Wenn Sie den Entsperrcode nicht haben, können Sie die RED-Appliance nur entsperren, indem Sie sich an den Sophos Support wenden.)
.
UTM-Hostname: Sie müssen eine öffentliche IP-Adresse oder einen Hostnamen eingeben, auf den UTM zugreifen kann.

2nd UTM-Hostname: Sie können eine andere öffentliche IP-Adresse oder einen Hostnamen derselben UTM eingeben. Beachten Sie, dass Sie die IP oder den Hostnamen einer anderen UTM nicht eingeben können.

Use 2nd hostname for: Sie können konfigurieren, wofür der zweite Hostname verwendet werden soll:

  • Failover: Wählen Sie diese Option, um nur den zweiten Hostnamen zu verwenden, wenn der erste Hostname fehlschlägt.
  • Balancing: Wählen Sie diese Option, um den aktiven Lastausgleich zwischen beiden Hostnamen zu aktivieren. Verwenden Sie diese Funktion, wenn die externen Schnittstellen, auf die sich der erste und der zweite Hostname beziehen, dieselbe Latenz und denselben Durchsatz aufweisen

Uplink mode/2nd Uplink mode: Sie können festlegen, wie die RED-Appliance eine IP-Adresse erhält, entweder über DHCP oder durch direkte Zuweisung einer statischen IP-Adresse. Sie definieren den Uplink-Modus für jeden RED-Uplink-Ethernet-Port separat.

  • DHCP-Client: Die RED zieht eine IP-Adresse von einem DHCP-Server.
  • Static Address: Geben Sie eine IPv4-Adresse, eine entsprechende Netzmaske, ein Standard-Gateway und einen DNS-Server ein.
  • Hinweis: Es besteht keine Eins-zu-Eins-Verbindung zwischen dem UTM-Hostnamen und dem RED-Uplink-Ethernet-Port. Jeder RED-Port versucht, sich mit jedem definierten UTM-Hostnamen zu verbinden.

Use 2nd uplink for: Sie können konfigurieren, wofür der zweite Uplink verwendet werden soll:

  • Failover: Wählen Sie diese Option, um nur den zweiten Uplink zu verwenden, falls der erste Uplink fehlschlägt.
  • Balancing: Wählen Sie diese Option, um den aktiven Lastausgleich zwischen beiden Hostnamen zu aktivieren. Verwenden Sie diese Funktion, wenn die externen Schnittstellen, auf die sich der erste und der zweite Hostname beziehen, dieselbe Latenz und denselben Durchsatz aufweisen.

Operation Mode: Sie können festlegen, wie das entfernte Netzwerk in Ihr lokales Netzwerk integriert wird.

  • Standard / Unified: Die UTM steuert den Netzwerkverkehr des Remote-Netzwerks vollständig. Darüber hinaus dient es als DHCP-Server und als Standard-Gateway. Der gesamte Netzwerkverkehr wird über die UTM geleitet.
  • Standard / Split: Die UTM steuert den Netzwerkverkehr des Remote-Netzwerks vollständig. Darüber hinaus dient es als DHCP-Server und als Standard-Gateway. Im Gegensatz zum Unified-Modus wird nur bestimmter Verkehr durch die UTM geleitet. Definieren Sie lokale Netzwerke im Feld "Split-Netzwerke", auf die Remote-Clients zugreifen können.
  • Transparent / Split: Die UTM steuert nicht den Netzwerkverkehr des Remote-Netzwerks, sie dient weder als DHCP-Server noch als Standard-Gateway. Im Gegenteil, es ruft eine IP-Adresse vom DHCP-Server des Remote-Netzwerks ab, um Teil dieses Netzwerks zu werden. Sie können jedoch den Zugriff für Remote-Clients auf Ihr lokales Netzwerk aktivieren. Dazu müssen Sie Split-Netzwerke definieren, auf die das Remote-Netzwerk zugreifen darf. Darüber hinaus können Sie eine oder mehrere Split-Domänen definieren, auf die zugegriffen werden kann. Wenn Ihre lokalen Domänen nicht öffentlich auflösbar sind, müssen Sie einen Split-DNS-Server definieren, der von Remoteclients abgefragt werden kann.


Auf der Registerkarte Bereitstellungshilfe finden Sie Beispiele für alle Betriebsmodi

Optional sind die folgenden erweiterten Einstellungen verfügbar:

Interface

image_004

Mac filtering Type: (Verfügbar ab UTM 9.1 und höher) Um die MAC-Adressen einzuschränken, die mit dieser RED-Appliance verbunden werden dürfen, wählen Sie Blacklist oder Whitelist.

  • Wenn Sie Blacklist auswählen, können Sie eine Blacklist in den MAC-Adressen erstellen (siehe unten). Die Adressen, die Sie dort angeben, sind verboten, alle anderen MAC-Adressen sind erlaubt.
  • Wenn Sie Whitelist auswählen, können Sie eine Whitelist in den MAC-Adressen erstellen (siehe unten). nur die Adressen, die Sie dort auflisten, sind erlaubt, alle anderen MAC-Adressen sind verboten.

Mac Addresses: (Verfügbar mit UTM v 9.1 und höher) Dieses Feld wird nur angezeigt, wenn Sie oben in der Kategorie "Mac-Filtertyp" eine der Optionen "Whitelist" oder "Blacklist" ausgewählt haben. Diese Liste von MAC-Adressen wird verwendet, um den Zugriff auf die RED-Appliance zu steuern. MAC-Adresslisten können unter Definitions & Users | Network Definitions | MAC Address Definitions erstellt werden.

Activate the 3G/UMTS failover uplink: Ab RED rev2 bietet die RED-Appliance einen USB-Port, an dem Sie einen 3G / UMTS-USB-Stick anschließen können. Wenn diese Option ausgewählt ist, kann dieser Stick bei Ausfall der WAN-Schnittstelle als Internet-Uplink-Failover dienen. Die notwendigen Einstellungen entnehmen Sie bitte dem Datenblatt Ihres Internetproviders.

Username/Password (optional): Geben Sie bei Bedarf einen Benutzernamen und ein Passwort für das Mobilfunknetz ein.

PIN (optional): Geben Sie die PIN der SIM-Karte ein, wenn eine PIN konfiguriert ist.

Hinweis: Wenn Sie eine falsche PIN eingeben, kann die Verbindung über 3G / UMTS bei einem Ausfall der WAN-Schnittstelle nicht hergestellt werden. Stattdessen wird das Kontrollkästchen Activate 3G / UMTS-Failover-Uplink der RED-Appliance automatisch deaktiviert. Daher wird die falsche PIN nur einmal verwendet. Wenn die WAN-Schnittstelle wieder erscheint, wird eine Warnung für die RED-Appliance angezeigt:

Für den 3G / UMTS-Failover-Uplink wurde eine falsche PIN eingegeben. Bitte ändern Sie die Zugangsdaten

Wenn Sie das Dialogfeld RED editieren öffnen, wird eine Nachricht angezeigt, die Ihnen mitteilt, dass die Aktivierung des 3G / UMTS-Failover-Uplinks automatisch deaktiviert wurde. Korrigieren Sie die PIN, bevor Sie das Kontrollkästchen erneut aktivieren.

Hinweis: Nach drei Verbindungsversuchen mit falscher PIN wird die SIM-Karte gesperrt. Die Entsperrung kann nicht über die RED-Appliance oder die UTM erfolgen.

Mobile network: Wählen Sie den Mobilfunknetztyp, bei dem es sich entweder um GSM oder CDMA handelt.

APN: Geben Sie die Informationen zum Access Point Ihres Providers ein.

Dial string (optional): Wenn Ihr Provider eine andere Wählzeichenfolge verwendet, geben Sie sie hier ein. Standard ist * 99 #.

Hinweis: Sie müssen die folgenden Konfigurationen manuell durchführen:

  • Erstellen der notwendigen Firewall-Regeln (Network Protection | Firewall | Rules).
  • Erstellen der notwendigen Masquerading-Regeln (Network Protection | NAT | Masquerading).

3.    Klicken Sie auf Save
4.    Die RED-Appliance wird nun eingerichtet und die UTM registriert sich beim Sophos RED Provisioning Service (RPS).

Wichtig: Es ist wichtig, dass Sie den Entsperrungscode, der sofort an die auf der Registerkarte Globale Einstellungen (während der Aktivierung von RED) angegebene Adresse gesendet wird, behalten, sobald sich die RED-Appliance beim RPS registriert. Sie benötigen den Entsperrcode, wenn Sie die RED-Appliance mit einer anderen UTM verwenden möchten. Wenn Sie den Entsperrcode nicht bereit haben, können Sie die RED-Appliance nur dann entsperren, wenn Sie sich an den Sophos Support wenden.

Wenn Sie die erforderlichen Firewall-Regeln (und ggf. Masquerading-Regeln) konfiguriert haben, kann die RED-Appliance auf der Remote-Site mit dem Internet verbunden werden. Sobald es gestartet ist, ruft es seine Konfiguration vom Sophos RED Provisioning Service (RPS) ab. Danach wird die Verbindung zwischen Ihrer UTM und der RED Appliance hergestellt. Sie können den Status aller konfigurierten RED-Appliances auf der RED-Übersichtsseite von WebAdmin einsehen.

Löschen einer RED Appliance

Um eine RED-Appliance zu löschen, klicken Sie auf die Schaltfläche Löschen neben dem Namen der Appliance.
Es wird eine Warnung angezeigt, dass das RED-Objekt Abhängigkeiten aufweist. Beachten Sie, dass beim Löschen einer RED-Appliance die zugehörigen Schnittstellen und ihre Abhängigkeiten nicht gelöscht werden. Dies ist beabsichtigt, da Sie damit eine Schnittstelle von einer RED-Appliance zu einer anderen verschieben können.
Wenn Sie ein RED-Appliance-Setup vollständig entfernen möchten, müssen Sie mögliche Schnittstellen- und andere Definitionen manuell löschen.

Tags: RED 50
Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.