DEFENDO Verwaltungsserver

Über den DEFENDO Verwaltungsserver ist es möglich, Informationen von anderen DEFENDO-Systemen einzusammeln, Aktionen auf den Systemen auszulösen und auf deren Administrations-Oberfläche zuzugreifen. Die Funktion kann sowohl für Fachhändler nützlich sein, um die Geräte der Kunden zu betreuen, als auch für Kunden, die mehrere DEFENDO-Systeme im Einsatz haben.

Sowohl der Verwaltungsserver als auch die verwalteten Systeme benötigen mindestens Version 7.1-3.3. In Versionsreihe 7.1 lassen sich ferner nur Systeme mit Pflegevertrag verwalten. Bei den verwalteten Systemen darf es sich um Cluster handeln. Aus Sicht des Verwaltungsservers werden die beiden Cluster-Knoten wie zwei eigenständige Systeme behandelt.

Auf den zu verwaltenden Systemen muss der Dienst "Secure-Shell Server (SSH)" aktiviert werden.

Besteht zwischen Verwaltungsserver und den verwalteten Systemen bereits eine VPN-Verbindung, empfiehlt es sich, die Kommunikation über das VPN abzuwicklen. Es müssen dann keine Ports in der Internet-Schnittstelle freigegeben werden.

Bei zu verwaltenden Systemen, die vom Verwaltungsserver direkt angesprochen werden können (feste IP-Adresse oder DNS-Name), kann die einfacher zu konfigurierende Verbindungsrichtung vom Verwaltungsserver zum verwaltenden System genutzt werden. Dabei verbindet sich der Verwaltungsserver zum Secure-Shell-Port 22 des zu verwaltenden Systems. Die Firewall des zu verwaltenden Systems muss diesen Zugriff erlauben.

Alternativ können die zu verwaltenden Systeme einen SSH-Tunnel zum Verwaltungsserver aufbauen, über den sich dann der Verwaltungsserver mit dem zu verwaltenden System verbinden kann. Hier öffnet das zu verwaltende System eine Secure-Shell-Verbindung zum Dienst "SSH TCP-Forwarder", der auf Port 2222 des Verwaltungsservers aktiv sein muss. Der Verwaltungsserver muss dazu natürlich via statischer IP oder DNS-Name erreichbar sein und die Firewall des Verwaltungsserver den Zugriff erlauben.

Das zu verwaltende System öffnet über diese Verbindung einen lokalen Port auf dem Verwaltungsserver, über den sich dieser mit dem SSH-Server des zu verwaltenden Systems verbinden kann. Für jedes System, das auf diese Weise verbunden wird, muss auf dem Verwaltungsserver eine eindeutige Port-Nummer im Bereich 10000 bis 19999 festgelegt werden. In der Administrations-Oberfläche wird diese Port-Nummer als "Verbindungs-ID" bezeichnet.

Die Vorteile dieses Verfahrens:

• keine statische IP bzw. DNS-Name für das zu verwaltende System erforderlich
• keine Firewall-Konfiguration auf dem zu verwaltenden System erforderlich
• keine DNAT/Portforwarding-Konfiguration erforderlich, falls sich das zu verwaltende System hinter einem NAT-Router befindet

Allerdings ist die Konfiguration des zu verwaltenden Systems in dieser Variante umfangreicher.

Erstellen Sie auf dem Verwaltungsserver einen eigenen SSH-Schlüssel für den Zugriff auf die zu verwaltenden Systeme. Gehen Sie dazu in das Menü "System > Zertifikatsverwaltung > Schlüsselbund" und legen Sie dort einen neuen Schlüssel an. Generieren Sie anschließend den Schlüssel und erstellen Sie ein Backup des Schlüssels, das Sie gut aufbewahren sollten.

Sofern Sie auch die eingehende Verbindungsrichtung (SSH-Tunnel) nutzen wollen, empfehlen wir analog einen weiteren ed25519-Schlüssel für den Dienst "SSH TCP-Forwarder" anzulegen. Sie können für diesen Zweck aber auch den zuvor generierten Schlüssel nutzen.

Wechseln Sie nun in das Menü "System > Verwaltungsserver". Konfigurieren Sie den bzw. die soeben generierten Schlüssel unter "Privater Schlüssel des SSH TCP-Forwarders (Port 2222)" (sofern benötigt) und unter "Privater Anmeldeschlüssel des Verwaltungservers.

Bei eingehender Verbindungsrichtung starten Sie bitte zusätzlich den Dienst "SSH TCP-Forwarder" und geben Sie den Zugriff auf diesen Dienst in der Firewall frei (Protokoll "SSH-FWD").

Bei ausgehender Verbindungsrichtung über das Internet (nicht über VPN) blockiert die Intrusion-Prevention ausgehende SSH-Verbindungen, wenn mehr als 5 Verbindungen pro 120 Sekunden geöffnet werden. Wenn mehr als 3 Systeme über ausgehende Verbindungen angesprochen werden, solten Sie daher im Menü "Module > Firewall > Einstellungen" den Reiter (Tab) "Intrusion Detection" öffnen. Ist die Anzahl der Zielsysteme überschaubar, dann konfigurieren Sie am Besten unter "Freigegebene Verbindungen" eine Ausnahme für das Protokoll "SSH" zu den einzelnen Systemen. Wenn Sie die Adressen aller Zielsysteme in einem IP-Objekt erfassen, genügt eine einzige Regel, bei der Sie dieses IP-Objekt als "Ziel-IP/Netzwerk" einstellen. Alternativ können Sie unter "Deaktivierte Regeln" die Regel 2003068 deaktivieren. Das Verbindungslimit für ausgehende SSH-Verbindungen ist damit generell aufgehoben.

Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519"). Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie den Schlüssel an dessen Administrator. Da es sich um einen öffentlichen Schlüssel handelt, spricht nichts gegen den Versand per Mail.

Fügen Sie auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System hinzu. Sie müssen lediglich einen beliebigen Namen für das System eingeben sowie die IP-Adresse bzw. den DNS-Namen konfigurieren. Es muss kein öffentlicher Schlüssel hinterlegt werden.

Mit dem Übernehmen der Änderungen ist die Konfiguration auf dem Verwaltungsserver abgeschlossen. Wechseln Sie nun auf das zu verwaltende System in das Menü "System > Grundeinstellungen" auf den Reiter (Tab) "Verwaltungszugriff".

Stellen Sie "Verbindungsart" auf eine (aus Sicht des zu verwaltenden Systems) eingehende Verbindung ein und hinterlegen Sie den zuvor auf dem Verwaltungsserver kopierten öffentlichen Schlüssel.

Aktivieren Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)".

Geben Sie in der Firewall sofern erforderlich den Zugriff auf Port 22 (Protokoll "SSH") für den Verwaltungsserver frei.

Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519") und legen Sie einen noch nicht genutzten Port aus dem Bereich 10000-19999 fest. Dieser dient als "Verbindungs-ID". Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie beide Informationen an dessen Administrator. Da der Schlüssel öffentlich ist, spricht nichts gegen einen Versand per Mail.

Öffnen Sie nun auf dem zu verwaltenden System das Menü "System > Grundeinstellungen" und wechseln Sie auf den Reiter (Tab) "Verwaltungszugriff". Stellen Sie dort "Verbindungsart" auf "ausgehend" (aus Sicht des zu verwaltenden Systems).

Konfigurieren Sie die IP-Adresse bzw. den DNS-Namen des Verwaltungsservers, die zuvor festgelegte Verbindungs-ID sowie den kopierten Schlüssel. Es ist nicht notwendig, einen eigenen ed25519-Schlüssel zu erzeugen. Speichern Sie die Änderungen ab. Der unter "Zugehöriger öffentlicher Schlüssel" angezeigte Text (inklusive "ssh-ed25519") wird gleich auf dem Verwaltungsserver benötigt. Kopieren Sie diesen. Auch hier ist eine Übermittlung per Mail unbedenklich.

Die Konfiguration des zu verwaltenden Systems ist abgeschlossen, sobald Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)" gestartet haben.

Nun kann auch die Konfiguration des Verwaltungsservers abgeschlossen werden. Legen Sie im Menü "System > Verwaltungsserver" auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System an. Neben einem beliebigen Namen müssen Sie die Verbindungs-ID und den zuvor auf dem zu verwaltenden System kopierten Schlüssel konfigurieren.

Um die Konfiguration dieser Verbindungsvariante zu vereinfachen, werden wir auf dem Verwaltungsserver zukünftig einen Assistenten anbieten, der einen ed25519-Schlüssel für das zu verwaltende System generiert, mit einem Passwort versieht und zusammen mit der Verbindungs-ID und der Internet-Adresse des Verwaltungsservers in ein Installationspaket verpackt. Auf dem zu verwaltenden System muss dann nur noch das Installationspaket hochgeladen und das Passwort eingegeben werden.

Der Verwaltungsserver holt alle 5 Minuten Daten von den verwalteten Systemen. Entsprechend kann es nun ein wenig dauern, bis die Status-Anzeige auf grün springt und Daten über das Info-Symbol zur Verfügung stehen.

Die Symbole neben dem Info-Symbol lösen jeweils Aktionen auf dem verwalteten System aus und funktionieren bei ausgehenden Verbindungen sofort, bei eingehenden Verbindungen nach spätestens einer Minute.

In der Liste der verwalteten DEFENDO-Systeme lässt sich durch Klick auf das entsprechende Symbol eine Verbindung zur Administrations-Oberfläche des jeweiligen Systems öffnen. Technisch wird dabei auf dem Verwaltungsserver ein zufälliger Port ab 20000 ausgewählt und dieser Port per SSH-Tunnel mit der Administrations-Oberfläche des verwalteten Systems verbunden. In der Adress-Zeile des Browsers sehen Sie die eth0-IP des Verwaltungsservers und die zufällige Port-Nummer.

Nach dem Verbindungsaufbau erhalten Sie in der Regel zunächst eine Zertifikatswarnung, die Sie bestätigen müssen. Anschließend müssen Sie sich mit Zugangsdaten des verwalteten Systems anmelden.