HIOB Messenger

Auf welchen Plattformen läuft die Gateway-Software?

Generell auf allen Systemen mit i386-kompatiblen Befehlsatz und gängigen Netzwerkadaptern, siehe auch OpenBSD/i386.

Kann ein HIOB Gateway über DSL angeschlossen werden?

Ja, ein HIOB Gateway kann über die Management Platform als DSL-Router konfiguriert werden, allerdings wird ein DSL-Modem benötigt: TAE-Dose <--> Splitter <--> DSL-Modem <--> HIOB Gateway.

Welche Funktionalität bietet ein HIOB Gateway?

Ein HIOB-Gateway beinhaltet folgende Funktionen:

• Stateful Inspection Firewall (GUI konfigurierbar)
• FTP-proxy (GUI konfigurierbar)
• IPSEC VPN (GUI konfigurierbar)
• Traffic Shaping/Queueing/Bandbreitenmanagement (GUI Konfiguration geplant)
• Volle DNS Funktionalität (BIND)
• SNORT Sensor mit MySQL-Anbindung

Wie verhindere ich sogenanntes Firewall-Piercing, wie es beispielsweise bei heise Security beschrieben wird?

Die im HIOB Gateway verwendete Firewall von OpenBSD zeichnet sich besonders durch ihre proaktiven Sicherheitsfeatures aus. Das heisst, dass nicht nur bekannte Probleme umgangen werden, sondern dass die Entwickler bemüht sind potentiell unsicheres Verhalten ihrer Software von vorneherein abzustellen. So werden beispielsweise möglichst viele Einstellungen mit Zufallswerten gefüllt. Dies gilt für Process-IDs ebenso wie für die Quell-Ports ausgehender Verbindungen. Daher tritt das Problem des Firewall-Piercings durch das erraten der Quell- und Ziel-Port Kombinationen nicht auf. Im Gegensatz zu Linux wird bei OpenBSD der Quellport bei der Verwendung von NAT immer auf einen zufälligen Wert gesetzt und ist damit praktisch nicht zu erraten.

Können auf einem HIOB Gateway Content-Security Funktionen installiert werden (z.B. Virenfilter, Anti-Spam)?

Für Spezialisten ist dies im Prinzip mögich, da die Plattform absolut offen ist. Derartige Konfigurationen werden allerdings nicht unterstützt, da

• Content-Security Software dem Wesen nach recht komplex ist und dies der angestrebten Einfachheit der Plattform entgegensteht.
• Die Auswahl an unter OpenBSD laufender Content-Security Software begrenzt ist.
• Der Betrieb dieser Software zumeist ein 'echte' Festplatte erfordert, welche ihrerseits das Ausfallrisiko im Bereich Hardware erhöht.

Auf welchen Plattformen läuft die Management-Software HIOB Management Platform?

HIOB Management Platform ist in Java programmiert und dadurch prinzipiell plattformunabhängig. Standarmäßig liefern wir mit HIOB Messenger ein Windows Installer-Paket aus, welches mit Windows XP und Windows 2000 läuft. Auf Anfrage unterstützen wir auch Linux- und UNIX-basierte Desktop-Plattformen.

Beim Starten des GUI bekomme ich nach Eingabe des 'User Password' und der Auswahl einer Policy eine der Fehlermeldungen
'A severe internal error appeared! Please call support for error 109.'
oder
'A severe internal error appeared! Please call support for error 113.'

Das lokale Zertifikat des GUI ist ungültig oder fehlt.

Beim Starten des GUI erhalte ich nach Eingabe des 'User Password' und der Auswahl einer Policy eine leere 'configuration view'.

Das gewählte Policyverzeichnis ist leer.

Beim Starten des GUI erscheint nach Eingabe des 'User Password' und der Auswahl einer Policy die Meldung 'JVM terminated...'

Die gewählte Policydatei ist fehlerhaft.

Ich habe mit dem GUI eine Policy erstellt und sehe mit 'Preview Configuration', daß für einige Regeln bei der Erstellung der Konfigurationsdateien keine Filterregeln erstellt werden.

Wird einem Objekt vom Typ 'Local' versehentlich keine IP-Adresse zugewiesen, werden bei der Regelerzeugung alle Regeln übersprungen, in denen ausschließlich dieses Objekt vorkommt. Weisen Sie dem Objekt in jedem zugehörigen Gateway-Objekt eine IP-Adresse zu.

Ich erhalte bei 'Check Access' die Fehlermeldung 'Connection failed, change IP or password', obwohl sowohl IP als auch Passwort korrekt sind.

Unter 'Logging' wird die genaue Ursache des Fehlers angegeben, z.B. daß das Zertifikat auf dem Gateway ungültig ist oder keine Netzwerkverbindung vorhanden ist.

Die letzte Zeile einer Policy wird manchmal nicht vollständig (teilweise verdeckt) angezeigt.

Fügen Sie eine Separatorzeile hinter der letzten Regel ein.

Lassen sich Konfigurationen mit zwei parallelen Internetzugängen realisieren?

Ja, z.B. ist es möglich, den Hauptanteil des 'konsumierenden' Zugriffs auf das Internet (http, https, Downloads) über eine günstige DSL-Leitung zu fahren, während die 'Produktion' (VPN, Mail) über einen qualitativ hochwertigeren Festanschluss läuft.

Lässt sich ausgehender E-Mail Verkehr auf zwei parallele Internetzugänge verteilen?

Ja, der Packet Filter von OpenBSD ermöglicht dies via route-to und round-robin, was wiederum durch die GUI-Konfiguration unterstützt wird.

Wie stelle ich ein ausgefallenes HIOB-Gateway wieder her?

Zur einfachen Wiederherstellung empfiehlt es sich, die Konfiguration eines HIOB-Gateways nach Änderungen mittels "saveconf.sh" zu sichern. Dies kann von einem anderen Rechner mittels "ssh gateway saveconf.sh - > Sicherungsdatei" via Netzwerk oder mittels saveconf.sh auf einen direkt angeschlossenen, FAT- oder FAT32-formatierten USB-Speicher (falls Anschlussmöglichkeit vorhanden) geschehen.

Nach der physischen Installation der Ersatzhardware wird die so gesicherte Konfiguration (mit den Original-Zertifikaten) wieder eingespielt. Andernfalls kann natürlich jederzeit die Konfiguration via HIOB Management Platform (mit neuen Zertifikaten) wieder eingespielt werden.

Wie kann ein HIOB Gateway ins Monitoring eingebunden werden?

Über Nagios Remote Plugin Executor (nrpe) und SNMP.
Zusätzlich zeigt die HIOB Management Platform in der 'Status View' ausgewählte Informationen zu den verwalteten Gateways an. Ausführlichere System-, Netzwerk- und VPN-Informationen können pro Gateway über die jeweilige Webseite (WEB Status View) angezeigt werden

Was ist Session Authentication?

Der Anwender schaltet über eine minimale Webanwendung seine momentane IP-Adresse für bestimmte Anwendungen frei.