DEFENDO Verwaltungsserver
Über den DEFENDO Verwaltungsserver ist es möglich, Informationen von anderen DEFENDO-Systemen einzusammeln, Aktionen auf den Systemen auszulösen und auf deren Administrations-Oberfläche zuzugreifen. Die Funktion
kann sowohl für Fachhändler nützlich sein, um die Geräte der Kunden zu betreuen, als auch für Kunden, die mehrere DEFENDO-Systeme im Einsatz haben.
Voraussetzungen
Sowohl der Verwaltungsserver als auch die verwalteten Systeme benötigen mindestens Version 7.1-3.3. In Versionsreihe 7.1 lassen
sich ferner nur Systeme mit Pflegevertrag verwalten.
Aktuell darf der Verwaltungsserver kein Cluster-System sein. Diese Funktionalität wird in einer der nächsten Versionen nachgereicht.
Bei den verwalteten Systemen darf es sich um Cluster handeln. Aus Sicht des Verwaltungsservers werden die beiden Cluster-Knoten
wie zwei eigenständige Systeme behandelt.
Auf den zu verwaltenden Systemen muss der Dienst "Secure-Shell Server (SSH)" aktiviert werden.
Verbindung zwischen Verwaltungsserver und verwalteten Systemen
Besteht zwischen Verwaltungsserver und den verwalteten Systemen bereits eine VPN-Verbindung, empfiehlt es sich, die Kommunikation
über das VPN abzuwicklen. Es müssen dann keine Ports in der Internet-Schnittstelle freigegeben werden.
Bei zu verwaltenden Systemen, die vom Verwaltungsserver direkt angesprochen werden können (feste IP-Adresse oder DNS-Name),
kann die einfacher zu konfigurierende Verbindungsrichtung vom Verwaltungsserver zum verwaltenden System genutzt werden. Dabei
verbindet sich der Verwaltungsserver zum Secure-Shell-Port 22 des zu verwaltenden Systems. Die Firewall des zu verwaltenden
Systems muss diesen Zugriff erlauben.
Wir raten dringend davon ab, in der Internet-Schnittstelle des zu verwaltenden Systems den Zugriff auf SSH-Port 22 für beliebige
Quell-IPs freizugeben! Geben Sie Port 22 ausschließlich für die IP bzw. (via IP-Objekt) den DNS-Namen des Verwaltungsservers
frei. Sollte dies nicht möglich sein, nutzen Sie stattdessen bitte die nachfolgend beschriebene Variante.
Alternativ können die zu verwaltenden Systeme einen SSH-Tunnel zum Verwaltungsserver aufbauen, über den sich dann der Verwaltungsserver
mit dem zu verwaltenden System verbinden kann. Hier öffnet das zu verwaltende System eine Secure-Shell-Verbindung zum Dienst
"SSH TCP-Forwarder", der auf Port 2222 des Verwaltungsservers aktiv sein muss. Der Verwaltungsserver muss dazu natürlich via statischer IP oder
DNS-Name erreichbar sein und die Firewall des Verwaltungsserver den Zugriff erlauben.
Das zu verwaltende System öffnet über diese Verbindung einen lokalen Port auf dem Verwaltungsserver, über den sich dieser
mit dem SSH-Server des zu verwaltenden Systems verbinden kann. Für jedes System, das auf diese Weise verbunden wird, muss
auf dem Verwaltungsserver eine eindeutige Port-Nummer im Bereich 10000 bis 19999 festgelegt werden. In der Administrations-Oberfläche
wird diese Port-Nummer als "Verbindungs-ID" bezeichnet.
Die Vorteile dieses Verfahrens:
- keine statische IP bzw. DNS-Name für das zu verwaltende System erforderlich
- keine Firewall-Konfiguration auf dem zu verwaltenden System erforderlich
- keine DNAT/Portforwarding-Konfiguration erforderlich, falls sich das zu verwaltende System hinter einem NAT-Router befindet
Allerdings ist die Konfiguration des zu verwaltenden Systems in dieser Variante umfangreicher.
Um die Konfiguration zu erleichtern, wollen wir in einer der nächsten Versionen ein Konfigurationspaket anbieten, das auf
dem Verwaltungsserver ausgestellt und dann auf dem zu verwaltenden System eingespielt wird.
Konfiguration - Vorarbeiten
Erstellen Sie auf dem Verwaltungsserver einen eigenen SSH-Schlüssel für den Zugriff auf die zu verwaltenden Systeme. Gehen
Sie dazu in das Menü "System > Zertifikatsverwaltung > Schlüsselbund" und legen Sie dort einen neuen Schlüssel an.
Wählen Sie als "Schlüsseltyp" den ed25519-Schlüssel aus.
Generieren Sie anschließend den Schlüssel und erstellen Sie ein Backup des Schlüssels, das Sie gut aufbewahren sollten.
Der private Teil des ed25519-Schlüssels ist nicht Bestandteil des regulären DEFENDO-Backups.
Sofern Sie auch die eingehende Verbindungsrichtung (SSH-Tunnel) nutzen wollen, empfehlen wir analog einen weiteren ed25519-Schlüssel
für den Dienst "SSH TCP-Forwarder" anzulegen. Sie können für diesen Zweck aber auch den zuvor generierten Schlüssel nutzen.
Wechseln Sie nun in das Menü "System > Verwaltungsserver". Konfigurieren Sie den bzw. die soeben generierten Schlüssel unter "Privater Schlüssel des SSH TCP-Forwarders (Port 2222)" (sofern benötigt) und unter "Privater Anmeldeschlüssel des Verwaltungservers.
Bei eingehender Verbindungsrichtung starten Sie bitte zusätzlich den Dienst "SSH TCP-Forwarder" und geben Sie den Zugriff auf diesen Dienst in der Firewall frei (Protokoll "SSH-FWD").
Auf dem Verwaltungsserver muss weder Port 22 ("SSH") in der Firewall freigegeben werden noch der Dienst "Secure-Shell Server (SSH)" gestartet sein.
Bei ausgehender Verbindungsrichtung über das Internet (nicht über VPN) blockiert die Intrusion-Prevention ausgehende SSH-Verbindungen,
wenn mehr als 5 Verbindungen pro 120 Sekunden geöffnet werden. Wenn mehr als 3 Systeme über ausgehende Verbindungen angesprochen
werden, solten Sie daher im Menü "Module > Firewall > Einstellungen" den Reiter (Tab) "Intrusion Detection" öffnen. Ist die Anzahl der Zielsysteme überschaubar, dann konfigurieren Sie am Besten unter "Freigegebene Verbindungen" eine Ausnahme für das Protokoll "SSH" zu den einzelnen Systemen. Wenn Sie die Adressen aller Zielsysteme in einem IP-Objekt
erfassen, genügt eine einzige Regel, bei der Sie dieses IP-Objekt als "Ziel-IP/Netzwerk" einstellen. Alternativ können Sie unter "Deaktivierte Regeln" die Regel 2003068 deaktivieren. Das Verbindungslimit für ausgehende SSH-Verbindungen ist damit generell aufgehoben.
Konfiguration einer (aus Sicht des Verwaltungsservers) ausgehenden Verbindung
Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519"). Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie
den Schlüssel an dessen Administrator. Da es sich um einen öffentlichen Schlüssel handelt, spricht nichts gegen den Versand
per Mail.
Fügen Sie auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System hinzu. Sie müssen lediglich einen beliebigen Namen für das System eingeben sowie
die IP-Adresse bzw. den DNS-Namen konfigurieren. Es muss kein öffentlicher Schlüssel hinterlegt werden.
Mit dem Übernehmen der Änderungen ist die Konfiguration auf dem Verwaltungsserver abgeschlossen. Wechseln Sie nun auf das
zu verwaltende System in das Menü "System > Grundeinstellungen" auf den Reiter (Tab) "Verwaltungszugriff".
Stellen Sie "Verbindungsart" auf eine (aus Sicht des zu verwaltenden Systems) eingehende Verbindung ein und hinterlegen Sie den zuvor auf dem Verwaltungsserver
kopierten öffentlichen Schlüssel.
Aktivieren Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)".
Geben Sie in der Firewall sofern erforderlich den Zugriff auf Port 22 (Protokoll "SSH") für den Verwaltungsserver frei.
Geben Sie in der Firewall-Regel unbedingt die IP-Adresse bzw. (via IP-Objekt) den DNS-Namen des Verwaltungsserver als Quelle
an. Geben Sie keinesfalls den Zugriff auf Port 22 für beliebige Internet-Adressen frei.
Konfiguration einer (aus Sicht des Verwaltungsservers) eingehenden SSH-Tunnel-Verbindung
Rufen Sie auf dem Verwaltungsserver das Menü "System > Verwaltungsserver" auf. Kopieren Sie sich den unter "Zugehöriger öffentlicher Schlüssel" angezeigten Text (inklusive "ssh-ed25519") und legen Sie einen noch nicht genutzten Port aus dem Bereich 10000-19999 fest.
Dieser dient als "Verbindungs-ID". Sofern Sie nicht selbst das zu verwaltende System einrichten, übermitteln Sie beide Informationen
an dessen Administrator. Da der Schlüssel öffentlich ist, spricht nichts gegen einen Versand per Mail.
Öffnen Sie nun auf dem zu verwaltenden System das Menü "System > Grundeinstellungen" und wechseln Sie auf den Reiter (Tab) "Verwaltungszugriff". Stellen Sie dort "Verbindungsart" auf "ausgehend" (aus Sicht des zu verwaltenden Systems).
Konfigurieren Sie die IP-Adresse bzw. den DNS-Namen des Verwaltungsservers, die zuvor festgelegte Verbindungs-ID sowie den
kopierten Schlüssel. Es ist nicht notwendig, einen eigenen ed25519-Schlüssel zu erzeugen. Speichern Sie die Änderungen ab.
Der unter "Zugehöriger öffentlicher Schlüssel" angezeigte Text (inklusive "ssh-ed25519") wird gleich auf dem Verwaltungsserver benötigt. Kopieren Sie diesen. Auch hier
ist eine Übermittlung per Mail unbedenklich.
Die Konfiguration des zu verwaltenden Systems ist abgeschlossen, sobald Sie im Menü "System > Dienste" auf dem Reiter (Tab) "System-Dienste" den Dienst "Secure-Shell Server (SSH)" gestartet haben.
Nun kann auch die Konfiguration des Verwaltungsservers abgeschlossen werden. Legen Sie im Menü "System > Verwaltungsserver" auf dem Reiter (Tab) "DEFENDO" einen Eintrag für das zu verwaltende System an. Neben einem beliebigen Namen müssen Sie die Verbindungs-ID und den zuvor
auf dem zu verwaltenden System kopierten Schlüssel konfigurieren.
Um die Konfiguration dieser Verbindungsvariante zu vereinfachen, werden wir auf dem Verwaltungsserver zukünftig einen Assistenten
anbieten, der einen ed25519-Schlüssel für das zu verwaltende System generiert, mit einem Passwort versieht und zusammen mit
der Verbindungs-ID und der Internet-Adresse des Verwaltungsservers in ein Installationspaket verpackt. Auf dem zu verwaltenden
System muss dann nur noch das Installationspaket hochgeladen und das Passwort eingegeben werden.
Und jetzt heißt es warten...
Der Verwaltungsserver holt alle 5 Minuten Daten von den verwalteten Systemen. Entsprechend kann es nun ein wenig dauern, bis
die Status-Anzeige auf grün springt und Daten über das Info-Symbol zur Verfügung stehen.
Um die Tabelle und damit die Status-Anzeige zu aktualisieren, klicken Sie bitte erneut auf den Reiter (Tab).
Die Symbole neben dem Info-Symbol lösen jeweils Aktionen auf dem verwalteten System aus und funktionieren bei ausgehenden
Verbindungen sofort, bei eingehenden Verbindungen nach spätestens einer Minute.
Zugriff auf die Administrations-Oberfläche eines verwalteten Systems
In der Liste der verwalteten
DEFENDO-Systeme lässt sich durch Klick auf das entsprechende Symbol eine Verbindung zur Administrations-Oberfläche des jeweiligen
Systems öffnen. Technisch wird dabei auf dem Verwaltungsserver ein zufälliger Port ab 20000 ausgewählt und dieser Port per
SSH-Tunnel mit der Administrations-Oberfläche des verwalteten Systems verbunden. In der Adress-Zeile des Browsers sehen Sie
die eth0-IP des Verwaltungsservers und die zufällige Port-Nummer.
Der Zugriff auf diesen Port ist nicht auf den Browser beschränkt, der die Verbindung initiiert hat. Prinzipiell kann sich
jedes System, dass die eth0-IP des Verwaltungsservers ansprechen kann, über diesen Port die Administrations-Oberfläche des
verwalteten Systems erreichen. Schränken Sie daher falls erforderlich den Zugriff auf diese Ports mit Hilfe von Firewall-Regeln
ein.
Nach dem Verbindungsaufbau erhalten Sie in der Regel zunächst eine Zertifikatswarnung, die Sie bestätigen müssen. Anschließend
müssen Sie sich mit Zugangsdaten des verwalteten Systems anmelden.
Stellen Sie sicher, dass Ihr Browser für den Zugriff auf die eth0-IP des Verwaltungsservers keinen Proxy verwendet. In der
Grundkonfiguration werden HTTPS-Verbindungen zu anderen Ports als 443 vom DEFENDO Web-Proxy abgelehnt.