Eine ausführliche Darstellung zum Thema Redundanz finden Sie in Kapitel 17, „Redun­danz“.

Um die Redundanzfunktion zu nutzen, müssen beide mGuards die gleiche Firmware ha­ben.

Bei aktivierter Redundanzfunktion kann VLAN im Stealth-Modus nicht verwendet werden.

Dieses Menü steht nicht auf dem FL MGUARD RS2000, FL MGUARD RS2005, TC MGUARD RS2000 3G und TC MGUARD RS2000 4G zur Verfügung.

Aktiviere Redundanz

Deaktiviert (Standard): Die Firewall-Redundanz ist ausge­schaltet.

Aktiviert: Die Firewall-Redundanz ist aktiviert.

Sie können diese Funktion nur aktivieren, wenn ein passender Lizenzschlüssel installiert ist.

Wenn Sie gleichzeitig die VPN-Redundanz aktivieren wollen, gelten weitere Bedingungen, siehe „VPN-Redundanz“ auf Seite 453.

Allgemein

Redundanzstatus

Zeigt den aktuellen Status an.

Umschaltzeit im Feh­lerfall

Zeit, die im Fehlerfall maximal verstreichen darf, bevor auf den anderen mGuard gewechselt wird.

Wartezeit vor Umschaltung

0 ... 10  000 Millisekunden, Standard: 0

Zeitdauer, in der ein Fehler vom Redundanz-System ignoriert wird.

Ein Fehler wird von der Konnektivitäts- und der Verfügbar­keitsprüfung ignoriert, bis er länger als die hier eingestellte Zeit andauert.

Priorität dieses Gerä­tes

hoch/niedrig

Definiert die Priorität, die mit den Anwesenheitsnachrichten (CARP) verbunden ist.

Setzen Sie bei dem mGuard, der aktiv sein soll, die Priorität hoch. Der mGuard in Bereitschaft bekommt die Priorität nied­rig.

Beide mGuards eines Redundanzpaares dürfen entweder eine unterschiedliche Priorität oder die Priorität hoch haben.

Passphrase für Ver­fügbarkeitstest

Bei einem mGuard, der Teil eines Redundanzpaares ist, wird kontinuierlich geprüft, ob ein aktiver mGuard vorhanden ist und ob dieser aktiv bleiben soll. Dafür wird eine Variante des CARP (Common Address Redundancy Protocol) verwendet.

CARP nutzt die SHA-1 HMAC-Verschlüsselung in Verbindung mit einem Passwort. Dieses Passwort muss für beide mGuards gleich eingestellt sein. Er wird niemals im Klartext über­tragen, sondern zur Verschlüsselung genutzt.

Gehen Sie so vor, um das Passwort zu ändern:

Stellen Sie das neue Passwort an beiden mGuards ein. Die Reihenfolge ist egal, aber das Passwort muss bei beiden gleich sein. Wenn Sie versehentlich ein abweichendes Pass­wort eingetragen haben, folgen Sie den Anweisungen unter „Vorgehensweise bei einem falschem Passwort“ auf Seite 420.

Sobald ein Redundanzpaar ein neues Passwort erhalten hat, handelt es selbst aus, wann es unterbrechungsfrei zum neuen Passwort wechseln kann.

Wenn ein mGuard während des Passwort-Wechsels ausfällt, gibt es diese Fälle:

–Die Passwort-Erneuerung wurde an allen mGuards gestartet und dann unterbro­chen, z. B. durch einen Netzwerk-Fehler. Dieser Fall wird automatisch behoben.

–Die Passwort-Erneuerung wurde an allen mGuards gestartet. Aber dann fällt ein mGuard aus und muss ausgetauscht werden.

–Die Passwort-Erneuerung wurde gestartet, aber nicht an allen mGuards, weil diese ausgefallen sind. Sobald ein fehlerhafter mGuard wieder online ist, muss die Pass­wort-Erneuerung gestartet werden. Bei einem ausgetauschten mGuard muss dieser zunächst mit dem alten Passwort konfiguriert werden, bevor er angeschlossen wird.

Vorgehensweise bei einem falschem Passwort

Wenn Sie das alte Passwort noch kennen, gehen Sie so vor:

•Rekonfigurieren Sie den mGuard, bei dem das falsche Passwort eingetragen wurde, noch einmal mit dem alten Passwort.

•Warten Sie bis der mGuard anzeigt, dass das alte Passwort benutzt wird.

•Tragen Sie dann das richtige Passwort ein.

Wenn Sie das alte Passwort nicht mehr kennen, gehen Sie so vor:

•Prüfen Sie, ob Sie das alte Passwort beim anderen mGuard auslesen können.

•Wenn der andere mGuard ausgeschaltet ist oder fehlt, dann können Sie bei dem ak­tiven mGuard, dem sie versehentlich das falsche Passwort eingestellt haben, einfach das korrekte neue Passwort eintragen. Sorgen Sie dafür, dass der andere mGuard das gleiche Passwort erhält, bevor er wieder in Betrieb geht.

•Wenn der andere mGuard das neue Passwort bereits verwendet, dann müssen Sie sicherstellen, dass der mGuard mit dem falschen Passwort nicht aktiv ist oder wird, z. B. durch das Herausziehen des Kabels an der LAN- oder WAN-Schnittstelle.

Bei einem Fernzugriff können Sie für die Konnektivitätsprüfung ein Ziel eintragen, das nicht reagieren wird. Bevor Sie einen solchen Fehler provozieren, prüfen Sie, dass bei keinem der mGuards ein Fehler bei der Redundanz vorliegt. Ein mGuard muss aktiv und der andere in Bereitschaft sein. Gegebenenfalls müssen Sie ange­zeigte Fehler beheben und dann erst die Methode verwenden. Dann führen Sie die folgenden Schritte aus:

–Ersetzen Sie das falsche Passwort durch ein anderes.

–Geben Sie dieses Passwort auch beim aktiven mGuard ein.

–Nehmen Sie den nicht aktiven mGuard wieder in Betrieb. Stecken Sie zum Bei­spiel das Ethernet-Kabel wieder ein oder stellen Sie die alten Einstellungen für die Konnektivitätsprüfung wieder her.

Externe virtuelle Interfaces

Externe virtuelle Router-ID

1, 2, 3, ... 255 (Standard: 51)

Nur im Netzwerk-Modus Router

Diese ID wird vom Redundanzpaar bei jeder Anwesenheits­nachricht (CARP) über das externe Interface mitgesendet und dient der Identifizierung des Redundanzpaares.

Diese ID muss für beide mGuards gleich sein. Sie ist notwen­dig, um das Redundanzpaar von anderen Redundanzpaaren zu unterscheiden, die über ihr externes Interface mit demsel­ben Ethernet-Segment verbunden sind.

Beachten Sie dabei, dass CARP dasselbe Protokoll und den­selben Port wie VRRP (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRP oder CARP nutzen und sich im selben Ethernet-Segment befinden.

Externe virtuelle IP-Adressen

Default: 10.0.0.100

Nur im Netzwerk-Modus Router

IP-Adressen, die von beiden mGuards als virtuelle IP-Adresse des externen Interfaces geteilt wird. Diese IP-Adressen müs­sen für beide mGuards gleich sein.

Diese Adressen werden als Gateway für explizite statische Routen von Geräten genutzt, die sich im selben Ethernet-Seg­ment wie das externe Netzwerk-Interface des mGuards befin­den.

Der aktive mGuard kann auf dieser IP-Adresse ICMP-Anfra­gen erhalten. Er reagiert auf diese ICMP-Anfragen wie es im Menü unter Netzwerksicherheit >> Paketfilter >> Erweitert ein­gestellt ist.

Für die virtuelle IP-Adressen werden keine Netzwerkmaske oder VLAN ID eingerichtet, da diese Attribute von der realen externen IP-Adresse bestimmt werden. Zu jeder virtuellen IP-Adresse muss eine reale IP-Adresse konfiguriert sein, in deren IP-Netz die virtuelle Adresse passt. Der mGuard über­trägt die Netzwerkmaske und die VLAN-Einstellung von der realen externen IP-Adresse auf die entsprechende virtuelle IP-Adresse.

Die übernommenen VLAN-Einstellungen bestimmen, ob Standard-MTU-Einstellungen oder VLAN-MTU-Einstellungen für die virtuelle IP-Adresse genutzt werden.

Interne virtuelle Interfaces

Interne virtuelle Router-ID

1, 2, 3, ... 255 (Standard: 52)

Nur im Netzwerk-Modus Router

Diese ID wird vom Redundanzpaar bei jeder Anwesenheits­nachricht (CARP) über das externe und interne Interface mit­gesendet und dient der Identifizierung des Redundanzpaares.

Diese ID muss für beide mGuards gleich eingestellt sein. Sie ist notwendig, um das Redundanzpaares von anderen Ether­net-Teilnehmern zu unterscheiden, die über ihr externes/inter­nes Interface mit demselben Ethernet-Segment verbunden sind.

Beachten Sie dabei, dass CARP dasselbe Protokoll und den­selben Port wie VRRR (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRR oder CARP nutzen und sich im selben Ethernet-Segment befinden.

Interne virtuelle IP-Adressen

Wie unter Externe virtuelle IP-Adressen beschrieben, aber mit zwei Ausnahmen

Unter Interne virtuelle IP-Adresse werden IP-Adressen de­finiert für Geräte, die zum internen Ethernet-Segment gehö­ren. Diese Geräte müssen die IP-Adresse als ihr Standard-Gateway nutzen. Sie können diese Adresse als DNS- oder NTP-Server nutzen, wenn der mGuard als Server für die Pro­tokolle konfiguiert ist.

Zu jeder virtuellen IP-Adresse muss eine reale IP-Adresse konfiguriert sein, in deren IP-Netz die virtuelle Adresse passt.

Die Reaktion auf ICMP-Anfragen bei internen virtuellen IP-Ad­ressen ist unabhängig von den Einstellungen unter Netzwerk­sicherheit >> Paketfilter >> Erweitert.

Verschlüsselter Zustandsabgleich

Zustandsnachrichten verschlüsseln

Bei aktivierter Funktion wird der Zustandsabgleich verschlüs­selt.

Passphrase

Das Passwort wird so gewechselt, wie es unter „Passphrase für Verfügbarkeitstest“ auf Seite 419 beschrieben ist.

Nur wenn versehentlich ein falsches Passwort eingegeben wurde, gibt es ein Abweichung von der verschriebenen Vor­gehensweise.

Vorgehensweise bei einem falschen Passwort

Fall 1: Nur ein mGuard hat ein falsches Passwort. Beim anderen mGuard wurde mit dem Passworttausch noch gar nicht begonnen.

•Rekonfigurieren Sie den mGuard, bei dem das falsche Passwort eingetragen wurde, noch einmal mit dem alten Passwort.

•Warten Sie bis der mGuard anzeigt, dass das alte Passwort benutzt wird.

•Tragen Sie dann das richtige Passwort ein.

Fall 2: Der andere mGuard nutzt bereits das neue Passwort.

•Beide mGuards müssen in dem Status sein, dass sie ein altes Passwort nutzen aber ein neues erwarten (rotes Kreuz). Damit es dazu kommt, tragen Sie nacheinander zu­fällige Passwörter ein.

•Zum Schluss generieren Sie ein sicheres Passwort und tragen es in beiden mGuards ein. Dieses Passwort wird sofort ohne Abstimmung genutzt.

Der mGuard in Bereitschaft kann bei diesem Vorgang für kurze Zeit im Zustand „outda­ted“ sein, aber das behebt sich automatisch wieder.

Verschlüsselungs­algorithmus

DES, 3DES, AES-128, AES-192, AES-256 (Standard)

Prüfsummen-Algorith­mus

MD5, SHA1, SHA-256 (Standard), SHA-512

Interface für den Zustandsabgleich

(Nur bei mGuard centerport (Innominate), FL MGUARD CENTERPORT)

Interface, das zum Zustandsabgleich ver­wendet wird

Internes Interface/Dediziertes Interface

Der mGuard centerport (Innominate), FL MGUARD CENTERPORT unterstützt ein dediziertes In­terface. Das ist eine reservierte direkte Ethernet-Schnittstelle oder ein dediziertes LAN-Segment, über das der Zustandsab­gleich gesendet wird.

Das Redundanzpaar kann über ein zusätzliches dediziertes Ethernet-Interface verbunden sein oder über einen dazwi­schen geschalteten Switch.

Bei Dediziertes Interface wird an dem dritten Ethernet-Inter­face ebenfalls auf Anwesenheitsnachrichten (CARP) ge­lauscht. Wenn der mGuard aktiv ist, werden auch Anwesen­heitsnachrichten (CARP) gesendet.

Für dieses Interface wird aber kein zusätzliches Routing un­terstützt.

Aus Sicherheitsgründen werden Frames, die an dieser Schnittstelle empfangen werden, nicht weitergeleitet.

Über das SNMP kann der Verbindungsstatus des dritten Ethernet-Interface abgefragt werden.

IP des dedizierten Interfaces

(Nur wenn Dediziertes Inter­face ausgewählt ist)

IP

IP-Adresse, die der mGuard centerport (Innominate), FL MGUARD CENTERPORT an seinem dritten Netzwerk-In­terface für den Zustandsabgleich mit dem anderen mGuard nutzt.

Default: 192.168.68.29

Netzmaske 

Netzwerkmaske, die der mGuard centerport (Innominate), FL MGUARD CENTERPORT an seinem dritten Netzwerk-In­terface für den Zustandsabgleich mit dem anderen mGuard nutzt.

Default: 255.255.255.0

Verwendete VLAN 

Bei Ja wird eine VLAN-ID für das dritte Netzwerk-Interface ge­nutzt.

VLAN-ID 

1, 2, 3, ... 4094 (Standard: 1)

VLAN-ID, wenn diese Einstellung aktiviert ist.

Unterlasse die Verfüg­barkeitsprüfung der externen Schnittstelle

(Nur wenn Dediziertes Inter­face ausgewählt ist)

Bei aktivierter Funktion werden an dem externen Interface keine Anwesenheitsnachrichten (CARP) gesendet und emp­fangen. Das macht für einige Szenarien Sinn, um Angreifer von außen abzuwehren.

Externes Interface

Art der Prüfung

Legt fest, ob und wie bei dem externen Interface eine Konnek­tivitätsprüfung durchgeführt wird.

Bei Nur Prüfung des Ethernet-Links wird nur der Verbin­dungsstatus der Ethernet-Verbindung geprüft.

Wenn Mindestens ein Ziel muss antworten ausgewählt ist, dann ist es egal, ob der ICMP-Echo-Request von dem primä­ren oder sekundären Ziel beantwortet wird.

Die Anfrage wird nur an das sekundäre Ziel geschickt, wenn das primäre nicht zufriedenstellend geantwortet hat. Auf diese Weise können Konfigurationen unterstützt werden, bei denen die Geräte nur bei Bedarf mit ICMP-Echo-Requests ausge­stattet sind.

Bei Alle Ziele einer Menge müssen antworten müssen beide Ziele antworten. Wenn kein sekundäres Ziel angegeben ist, muss nur das primäre antworten.

Ergebnis der Konnek­tivitätsprüfung des externen Interface

Zeigt an, ob die Konnektivitätsprüfung erfolgreich war (grüner Haken).

Status der Konnektivi­tätsprüfung des exter­nen Interface

Zeigt den Status der Konnektivitätsprüfung an.

Primäre externe Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

IP

Unsortierte Liste von IP-Adressen, die als Ziele für die ICMP-Echo-Requests genutzt werden. Wir empfehlen, die IP-Adres­sen von Routern zu verwenden, insbesondere die IP-Adres­sen von Standard-Gateways oder die reale IP-Adresse des anderen mGuards.

Default: 10.0.0.30, 10.0.0.31 (für neue Adressen)

Jeder Satz von Zielen für den Zustandsabgleich kann maxi­mal zehn Ziele beinhalten.

Sekundäre externe Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

IP

(Siehe oben)

Wir nur genutzt, wenn die Prüfung der primären Ziele fehlge­schlagen ist.

Ein Ausfall eines sekundären Ziels wird im normalen Betrieb nicht entdeckt.

Default: 10.0.0.30, für neue Adressen 10.0.0.31

Jeder Satz von Zielen für den Zustandsabgleich kann maxi­mal zehn Ziele beinhalten.

Internes Interface

Art der Prüfung

Legt fest, ob und wie bei dem internen Interface eine Konnek­tivitätsprüfung durchgeführt wird.

Bei Nur Prüfung des Ethernet-Links wird nur der Verbin­dungsstatus der Ethernet-Verbindung geprüft.

Wenn Mindestens ein Ziel muss antworten ausgewählt ist, dann ist es egal, ob der ICMP-Echo-Request von dem primä­ren oder sekundären Ziel beantwortet wird.

Die Anfrage wird nur an das sekundäre Ziel geschickt, wenn das primäre nicht zufriedenstellend geantwortet hat. Auf diese Weise können Konfigurationen unterstützt werden, bei denen die Geräte nur bei Bedarf mit ICMP-Echo-Requests ausge­stattet sind.

Bei Alle Ziele einer Menge müssen antworten müssen beide Ziele antworten. Wenn kein sekundäres Ziel angegeben ist, muss nur das primäre antworten.

Ergebnis der Konnek­tivitätsprüfung des internen Interface

Zeigt an, ob die Konnektivitätsprüfung erfolgreich war (grüner Haken).

Status der Konnektivi­tätsprüfung des inter­nen Interface

Zeigt den Status der Konnektivitätsprüfung an.

Primäre interne Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

(Siehe oben)

Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31

Sekundäre interne Ziele (für ICMP Echo-Anfragen)

(Nicht bei Auswahl Nur Prüfung des Ethernet-Links.)

(Siehe oben)

Voreingestellt: 192.168.1.30, für neue Adressen 192.168.1.31

Die Funktion Ring-/Netzkopplung wird nicht unterstützt vom mGuard centerport (Innominate).

Ring-/Netzkopplung mit Einschränkung:

–mGuard delta (Innominate): hier lässt sich die interne Seite (Switch-Ports) nicht ab­schalten

–FL MGUARD PCI 533/266: hier lässt sich im Treibermodus die interne Netzwerk­schnittstelle nicht abschalten (wohl aber im Power-over-PCI-Modus).

Settings

Aktiviere Ring-/Netz­kopplung/Dual Homing

Bei Aktivierung wird im Stealth-Modus der Status der Ether­netverbindung von einen Port auf den anderen übertragen, wodurch sich Unterbrechungen im Netzwerk leicht zurückver­folgen lassen.

Redundanzport

Intern / Extern

Intern: Wenn die Verbindung am LAN-Port wegfällt/kommt, wird auch der WAN-Port ausgeschaltet/eingeschaltet.

Extern: Wenn die Verbindung am WAN-Port wegfällt/kommt, wird auch der LAN-Port ausgeschaltet/eingeschaltet.