DEFENDO Verwaltungsserver

Über den DEFENDO Verwaltungsserver ist es möglich, Informationen von anderen DEFENDO-Systemen einzusammeln, Aktionen auf den Systemen auszulösen und auf deren Administrations-Oberfläche zuzugreifen. Die Funktion kann sowohl für Fachhändler nützlich sein, um die Geräte der Kunden zu betreuen, als auch für Kunden, die mehrere DEFENDO-Systeme im Einsatz haben.

Voraussetzungen

Sowohl der Verwaltungsserver als auch die verwalteten Systeme benötigen mindestens Version 7.1-3.3. In Versionsreihe 7.1 lassen sich ferner nur Systeme mit Pflegevertrag verwalten.
Aktuell darf der Verwaltungsserver kein Cluster-System sein. Diese Funktionalität wird in einer der nächsten Versionen nachgereicht.
Bei den verwalteten Systemen darf es sich um Cluster handeln. Aus Sicht des Verwaltungsservers werden die beiden Cluster-Knoten wie zwei eigenständige Systeme behandelt.
Auf den zu verwaltenden Systemen muss der Dienst "Secure-Shell Server (SSH)" aktiviert werden.

Verbindung zwischen Verwaltungsserver und verwalteten Systemen

Besteht zwischen Verwaltungsserver und den verwalteten Systemen bereits eine VPN-Verbindung, empfiehlt es sich, die Kommunikation über das VPN abzuwicklen. Es müssen dann keine Ports in der Internet-Schnittstelle freigegeben werden.
Bei zu verwaltenden Systemen, die vom Verwaltungsserver direkt angesprochen werden können (feste IP-Adresse oder DNS-Name), kann die einfacher zu konfigurierende Verbindungsrichtung vom Verwaltungsserver zum verwaltenden System genutzt werden. Dabei verbindet sich der Verwaltungsserver zum Secure-Shell-Port 22 des zu verwaltenden Systems. Die Firewall des zu verwaltenden Systems muss diesen Zugriff erlauben.
Wir raten dringend davon ab, in der Internet-Schnittstelle des zu verwaltenden Systems den Zugriff auf SSH-Port 22 für beliebige Quell-IPs freizugeben! Geben Sie Port 22 ausschließlich für die IP bzw. (via IP-Objekt) den DNS-Namen des Verwaltungsservers frei. Sollte dies nicht möglich sein, nutzen Sie stattdessen bitte die nachfolgend beschriebene Variante.
Alternativ können die zu verwaltenden Systeme einen SSH-Tunnel zum Verwaltungsserver aufbauen, über den sich dann der Verwaltungsserver mit dem zu verwaltenden System verbinden kann. Hier öffnet das zu verwaltende System eine Secure-Shell-Verbindung zum Dienst "SSH TCP-Forwarder", der auf Port 2222 des Verwaltungsservers aktiv sein muss. Der Verwaltungsserver muss dazu natürlich via statischer IP oder DNS-Name erreichbar sein und die Firewall des Verwaltungsserver den Zugriff erlauben.
Das zu verwaltende System öffnet über diese Verbindung einen lokalen Port auf dem Verwaltungsserver, über den sich dieser mit dem SSH-Server des zu verwaltenden Systems verbinden kann. Für jedes System, das auf diese Weise verbunden wird, muss auf dem Verwaltungsserver eine eindeutige Port-Nummer im Bereich 10000 bis 19999 festgelegt werden. In der Administrations-Oberfläche wird diese Port-Nummer als "Verbindungs-ID" bezeichnet.
Die Vorteile dieses Verfahrens:
  • keine statische IP bzw. DNS-Name für das zu verwaltende System erforderlich
  • keine Firewall-Konfiguration auf dem zu verwaltenden System erforderlich
  • keine DNAT/Portforwarding-Konfiguration erforderlich, falls sich das zu verwaltende System hinter einem NAT-Router befindet
Allerdings ist die Konfiguration des zu verwaltenden Systems in dieser Variante umfangreicher.
Um die Konfiguration zu erleichtern, wollen wir in einer der nächsten Versionen ein Konfigurationspaket anbieten, das auf dem Verwaltungsserver ausgestellt und dann auf dem zu verwaltenden System eingespielt wird.

Konfiguration - Vorarbeiten

Erstellen Sie auf dem Verwaltungsserver einen eigenen SSH-Schlüssel für den Zugriff auf die zu verwaltenden Systeme. Gehen Sie dazu in das Menü "System > Zertifikatsverwaltung > Schlüsselbund" und legen Sie dort einen neuen Schlüssel an.
Wählen Sie als "Schlüsseltyp" den ed25519-Schlüssel aus.
Generieren Sie anschließend den Schlüssel und erstellen Sie ein Backup des Schlüssels, das Sie gut aufbewahren sollten.
Der private Teil des ed25519-Schlüssels ist nicht Bestandteil des regulären DEFENDO-Backups.
Sofern Sie auch die eingehende Verbindungsrichtung (SSH-Tunnel) nutzen wollen, empfehlen wir analog einen weiteren ed25519-Schlüssel für den Dienst "SSH TCP-Forwarder" anzulegen. Sie können für diesen Zweck aber auch den zuvor generierten Schlüssel nutzen.
Wechseln Sie nun in das Menü "System > Verwaltungsserver". Konfigurieren Sie den bzw. die soeben generierten Schlüssel unter "Privater Schlüssel des SSH TCP-Forwarders (Port 2222)" (sofern benötigt) und unter "Privater Anmeldeschlüssel des Verwaltungservers.
Bei eingehender Verbindungsrichtung starten Sie bitte zusätzlich den Dienst "SSH TCP-Forwarder" und geben Sie den Zugriff auf diesen Dienst in der Firewall frei (Protokoll "SSH-FWD").
Auf dem Verwaltungsserver muss weder Port 22 ("SSH") in der Firewall freigegeben werden noch der Dienst "Secure-Shell Server (SSH)" gestartet sein.
Bei ausgehender Verbindungsrichtung über das Internet (nicht über VPN) blockiert die Intrusion-Prevention ausgehende SSH-Verbindungen, wenn mehr als 5 Verbindungen pro 120 Sekunden geöffnet werden. Wenn mehr als 3 Systeme über ausgehende Verbindungen angesprochen werden, solten Sie daher im Menü "Module > Firewall > Einstellungen" den Reiter (Tab) "Intrusion Detection" öffnen. Ist die Anzahl der Zielsysteme überschaubar, dann konfigurieren Sie am Besten unter "Freigegebene Verbindungen" eine Ausnahme für das Protokoll "SSH" zu den einzelnen Systemen. Wenn Sie die Adressen aller Zielsysteme in einem IP-Objekt erfassen, genügt eine einzige Regel, bei der Sie dieses IP-Objekt als "Ziel-IP/Netzwerk" einstellen. Alternativ können Sie unter "Deaktivierte Regeln" die Regel 2003068 deaktivieren. Das Verbindungslimit für ausgehende SSH-Verbindungen ist damit generell aufgehoben.

Konfiguration einer (aus Sicht des Verwaltungsservers) ausgehenden Verbindung

Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519"). Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie den Schlüssel an dessen Administrator. Da es sich um einen öffentlichen Schlüssel handelt, spricht nichts gegen den Versand per Mail.
Fügen Sie auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System hinzu. Sie müssen lediglich einen beliebigen Namen für das System eingeben sowie die IP-Adresse bzw. den DNS-Namen konfigurieren. Es muss kein öffentlicher Schlüssel hinterlegt werden.
Mit dem Übernehmen der Änderungen ist die Konfiguration auf dem Verwaltungsserver abgeschlossen. Wechseln Sie nun auf das zu verwaltende System in das Menü "System > Grundeinstellungen" auf den Reiter (Tab) "Verwaltungszugriff".
Stellen Sie "Verbindungsart" auf eine (aus Sicht des zu verwaltenden Systems) eingehende Verbindung ein und hinterlegen Sie den zuvor auf dem Verwaltungsserver kopierten öffentlichen Schlüssel.
Aktivieren Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)".
Geben Sie in der Firewall sofern erforderlich den Zugriff auf Port 22 (Protokoll "SSH") für den Verwaltungsserver frei.
Geben Sie in der Firewall-Regel unbedingt die IP-Adresse bzw. (via IP-Objekt) den DNS-Namen des Verwaltungsserver als Quelle an. Geben Sie keinesfalls den Zugriff auf Port 22 für beliebige Internet-Adressen frei.

Konfiguration einer (aus Sicht des Verwaltungsservers) eingehenden SSH-Tunnel-Verbindung

Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519") und legen Sie einen noch nicht genutzten Port aus dem Bereich 10000-19999 fest. Dieser dient als "Verbindungs-ID". Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie beide Informationen an dessen Administrator. Da der Schlüssel öffentlich ist, spricht nichts gegen einen Versand per Mail.
Öffnen Sie nun auf dem zu verwaltenden System das Menü "System > Grundeinstellungen" und wechseln Sie auf den Reiter (Tab) "Verwaltungszugriff". Stellen Sie dort "Verbindungsart" auf "ausgehend" (aus Sicht des zu verwaltenden Systems).
Konfigurieren Sie die IP-Adresse bzw. den DNS-Namen des Verwaltungsservers, die zuvor festgelegte Verbindungs-ID sowie den kopierten Schlüssel. Es ist nicht notwendig, einen eigenen ed25519-Schlüssel zu erzeugen. Speichern Sie die Änderungen ab. Der unter "Zugehöriger öffentlicher Schlüssel" angezeigte Text (inklusive "ssh-ed25519") wird gleich auf dem Verwaltungsserver benötigt. Kopieren Sie diesen. Auch hier ist eine Übermittlung per Mail unbedenklich.
Die Konfiguration des zu verwaltenden Systems ist abgeschlossen, sobald Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)" gestartet haben.
Nun kann auch die Konfiguration des Verwaltungsservers abgeschlossen werden. Legen Sie im Menü "System > Verwaltungsserver" auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System an. Neben einem beliebigen Namen müssen Sie die Verbindungs-ID und den zuvor auf dem zu verwaltenden System kopierten Schlüssel konfigurieren.
Um die Konfiguration dieser Verbindungsvariante zu vereinfachen, werden wir auf dem Verwaltungsserver zukünftig einen Assistenten anbieten, der einen ed25519-Schlüssel für das zu verwaltende System generiert, mit einem Passwort versieht und zusammen mit der Verbindungs-ID und der Internet-Adresse des Verwaltungsservers in ein Installationspaket verpackt. Auf dem zu verwaltenden System muss dann nur noch das Installationspaket hochgeladen und das Passwort eingegeben werden.

Und jetzt heißt es warten...

Der Verwaltungsserver holt alle 5 Minuten Daten von den verwalteten Systemen. Entsprechend kann es nun ein wenig dauern, bis die Status-Anzeige auf grün springt und Daten über das Info-Symbol zur Verfügung stehen.
Um die Tabelle und damit die Status-Anzeige zu aktualisieren, klicken Sie bitte erneut auf den Reiter (Tab).
Die Symbole neben dem Info-Symbol lösen jeweils Aktionen auf dem verwalteten System aus und funktionieren bei ausgehenden Verbindungen sofort, bei eingehenden Verbindungen nach spätestens einer Minute.

Zugriff auf die Administrations-Oberfläche eines verwalteten Systems

In der Liste der verwalteten DEFENDO-Systeme lässt sich durch Klick auf das entsprechende Symbol eine Verbindung zur Administrations-Oberfläche des jeweiligen Systems öffnen. Technisch wird dabei auf dem Verwaltungsserver ein zufälliger Port ab 20000 ausgewählt und dieser Port per SSH-Tunnel mit der Administrations-Oberfläche des verwalteten Systems verbunden. In der Adress-Zeile des Browsers sehen Sie die eth0-IP des Verwaltungsservers und die zufällige Port-Nummer.
Der Zugriff auf diesen Port ist nicht auf den Browser beschränkt, der die Verbindung initiiert hat. Prinzipiell kann sich jedes System, dass die eth0-IP des Verwaltungsservers ansprechen kann, über diesen Port die Administrations-Oberfläche des verwalteten Systems erreichen. Schränken Sie daher falls erforderlich den Zugriff auf diese Ports mit Hilfe von Firewall-Regeln ein.
Nach dem Verbindungsaufbau erhalten Sie in der Regel zunächst eine Zertifikatswarnung, die Sie bestätigen müssen. Anschließend müssen Sie sich mit Zugangsdaten des verwalteten Systems anmelden.
Stellen Sie sicher, dass Ihr Browser für den Zugriff auf die eth0-IP des Verwaltungsservers keinen Proxy verwendet. In der Grundkonfiguration werden HTTPS-Verbindungen zu anderen Ports als 443 vom DEFENDO Web-Proxy abgelehnt.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany