Netwerken
IP-configuratie: Configureer IP-adressen en netwerkinstellingen
Bedrijven met uitgebreide netwerkconfiguraties kunnen meerdere IP-adressen configureren op de ethernetpoorten van de B Series Appliance. Gebruik van meerdere poorten kan uw veiligheid verbeteren en biedt de mogelijkheid tot het maken van verbindingen over niet-standaard netwerken. Zo kunnen medewerkers die geen toegang hebben tot het internet maar off-netwerk ondersteuning moeten bieden, één poort gebruiken voor uw interne privénetwerk en een andere voor internetgebruik. Op deze manier hebben zij toegang tot alle systemen wereldwijd zonder uw beleid voor netwerkbeveiliging te schenden.
NIC-teaming combineert uw fysieke netwerk-interfacecontrollers (NIC's) in één enkele logische interface. NIC-teaming werkt als actieve back-up. Een van de NIC's wordt gebruikt voor al het netwerkverkeer. Als de koppeling naar deze NIC om welke reden dan ook verloren gaat, wordt de andere NIC actief. Controleer, voordat u NIC-teaming activeert, of beide NIC's met hetzelfde netwerksegment (subnet) verbonden zijn en of u IP-adressen op slechts een van de bestaande NIC's geconfigureerd hebt.
Als u een virtuele of cloudomgeving voor uw Cloud Appliance gebruikt, is de optie NIC-teaming inschakelen niet beschikbaar.
Hoewel aan elke netwerk-interfacecontroller (NIC) meerdere IP-adressen kunnen worden toegewezen, moet u de NIC niet configureren met een IP-adres in hetzelfde subnet als een IP-adres op de andere NIC. In dat geval is er sprake van pakketverlies van pakketten die afkomstig zijn van het IP-adres op de NIC die geen standaardgateway heeft. Hier volgt een voorbeeldconfiguratie:
- eth0 is geconfigureerd met 192.168.1.1 als de standaard gateway
- eth0 heeft 192.168.1.5 toegewezen gekregen
- eth1 heeft 192.168.1.10 toegewezen gekregen
- Zowel eth0 als eth1 zijn verbonden met dezelfde subnetswitch
Met deze configuratie wordt verkeer van beide NIC's naar de standaard gateway (192.168.1.1) verzonden, ongeacht welke NIC het verkeer ontvangt. Switches die geconfigureerd zijn met dynamisch Address Resolution Protocol (ARP) sturen pakketten willekeurig naar eth0 (192.168.1.5) of eth1 (192.168.1.10), maar niet naar beide. Wanneer eth0 deze pakketten van de switch ontvangt die bestemd zijn voor eth1, laat eth0 de pakketten vallen. Sommige switches zijn geconfigureerd met statische ARP. Deze switch laat alle pakketten van eth1 vallen omdat deze NIC niet de standaard gateway heeft en niet in de statische ARP-tabel van de gateway aanwezig is. Als u overbodige NIC's op hetzelfde subnet wilt configureren, gebruikt u NIC-teaming.
Standaard is het Dynamic Host Configuration Protocol (DHCP) ingeschakeld voor uw B Series Appliance. DHCP is een netwerkprotocol dat een DHCP-server gebruikt om de distributie van netwerkparameters beheert, zoals IP-adressen, zodat systemen automatisch deze parameters kunnen opvragen. Hierdoor is het niet meer nodig om de instellingen handmatig te configureren. In dit geval, als het vakje is aangevinkt, wordt een IP-adres verkregen van de DHCP-server en verwijderd uit de pool met beschikbare IP-adressen.
Raadpleeg Wat is DHCP? voor meer informatie over DHCP.
Klik op Details tonen om voor elke ethernetpoort op het B Series Appliance statistieken over de transmissie en ontvangst weer te geven.
Configureer onder Algemene netwerkconfiguratie de hostnaam voor uw B Series Appliance.
Er zijn geen technische vereisten voor het veld Hostnaam. Het maakt niet uit met welke hostnaam clientsoftware of externe gebruikers verbinding maken. Als de hostnaam die door de clientsoftware wordt geprobeerd moet worden gewijzigd, dient u BeyondTrust Technical Support te informeren over de benodigde wijzigingen, zodat ondersteuning een software-update kan samenstellen. Het veld Hostnaam is voornamelijk bedoeld om onderscheid te kunnen maken tussen meerdere B Series Appliances. Hij wordt ook gebruikt als lokale serveridentificatie bij SMTP-verbindingen om e-mailwaarschuwingen te verzenden. Dit is handig als de SMTP-relayserver gespecificeerd op /appliance > Beveiliging > E-mailconfiguratie vergrendeld is. In dat geval moet de geconfigureerde hostnaam wellicht overeenkomen met het resultaat van de omgekeerde DNS-zoekactie naar het IP-adres van het B Series Appliance.
Wijs een standaard gateway toe en selecteer welke ethernetpoort moet worden gebruikt. Voer een IP-adres in voor één of meer DNS-servers. Als DHCP is ingeschakeld, verschaft de DHCP-lease u een standaardgateway en een lijst met DNS-servers in volgorde van voorkeur. Eventuele statisch geconfigureerde DNS-servers in het veld Aangepaste DNS-servers worden eerst benaderd, gevolgd door de DNS-servers ontvangen van de DHCP. Als deze lokale DNS-servers niet beschikbaar zijn, zorgt de optie Op OpenDNS-servers terugvallen ervoor dat het B Series Appliance openbaar beschikbare DNS-servers van OpenDNS kan gebruiken.
Raadpleeg www.opendns.com voor meer informatie over OpenDNS.
Sta uw B Series Appliance toe om te reageren op pings als u wilt kunnen testen of de host functioneert. Stel de hostnaam of het IP-adres in voor een Network Time Protocol-server (NTP) waarmee u uw B Series Appliance wilt synchroniseren.
Er zijn twee instellingen beschikbaar in het gedeelte Poortnummerinstellingen: Luisterpoorten server en Standaard URL-poorten. Houd er wel rekening mee dat, wanneer u deze configuraties instelt, verbindingen naar geldige poorten geweigerd kunnen worden als gevolg van netwerkbeperkingen die zijn ingesteld in /appliance > Beveiliging > Apparaatbeheer en in /login > Beheer > Beveiliging. Het omgekeerde geldt ook: verbindingen naar ongeldige poorten kunnen worden geweigerd zelfs als dergelijke verbindingen aan de netbeperkingen voldoen.
In het gedeelte Luisterpoorten server kunt u poorten configureren waar het B Series Appliance op luistert. U kunt maximaal 15 door komma's gescheiden poorten voor HTTP en 15 door komma's gescheiden poorten voor HTTPS specificeren. Elke poort mag maar één keer in een veld voorkomen en mag maar in één veld tegelijk voorkomen, niet in beide. Het B Series Appliance reageert op HTTP-verbindingen naar elke willekeurige poort vermeld in het HTTP-veld en het B Series Appliance reageert op HTTPS-verbindingen naar elke willekeurige poort die staat vermeld in het HTTPS-veld. U kunt de ingebouwde luisterpoorten (80 en 443) niet wijzigen.
U kunt toegang tot uw B Series Appliance verkrijgen via een bepaalde poort door het poortnummer in de adresbalk van de browser in te voeren (bijv. support.example.com:8200). Clients die gedownload zijn van het B Series Appliance proberen verbinding te maken met poorten die staan weergegeven op de pagina /login > Status > Informatie onder Clientsoftware is gemaakt om te proberen. Deze poorten kunnen niet vanaf /login of /appliance worden geconfigureerd. Neem contact op met de ondersteuning van BeyondTrust voor een nieuwe update voor uw B Series Appliance om dit te wijzigen. Na de installatie stelt de update de poorten voor Poging in volgens de door de ondersteuning van BeyondTrust gespecificeerde parameters.
Als URL's worden gegenereerd die terugwijzen naar het B Series Appliance, zoals sessiesleutels die door de toegangsconsole worden gegenereerd, worden Standaard URL-poorten gebruikt. Mochten de standaard poorten op het netwerk worden geblokkeerd (of om een andere reden niet goed functioneren), dan kunt u de standaard URL-poort wijzigen en gegenereerde URL's aan laten roepen met de door u gespecificeerde poorten. De poorten die u invoert, moeten ook vermeld zijn in de Luisterpoorten server, anders kunnen de standaard poorten geen verbinding maken. Als u bijvoorbeeld 8080 invoert in het veld Standaard URL-poort, moet u ervoor zorgen dat 8080 ook is opgenomen in de luisterpoortvelden HTTP of HTTPS. In tegenstelling tot de luisterpoorten, kunnen de velden voor URL-poorten maar één poort bevatten. Ook mag u niet dezelfde poort in beide velden invoeren.
Wanneer u een IP-adres toevoegt of bewerkt, moet u kiezen of dat IP-adres is in- of uitgeschakeld. Selecteer de netwerkpoort waarop u dit IP-adres wilt laten werken. Het veld IP-adres stelt een adres in waarnaar uw B Series Appliance kan reageren; Subnetmasker stelt BeyondTrust in staat om te communiceren met andere apparaten.
Wanneer u een IP-adres bewerkt dat zich op hetzelfde subnet bevindt als een ander IP-adres voor het B Series Appliance, moet u kiezen of u dit IP-adres Primair wilt maken. Als dit vakje is aangevinkt, wordt dit IP-adres door het B Series Appliance aangewezen als het primaire of oorspronkelijke IP-adres voor het subnet. Dit kan handig zijn als u bijvoorbeeld zeker wilt zijn dat netwerkverkeer afkomstig van het B Series Appliance op dat subnet overeenkomt met en voldoet aan de gedefinieerde regels voor firewalls.
Via Toegangstype kunt u toegang via dit IP-adres naar de openbare site of alle clients (met inbegrip van mobiele consoles en webconsoles) buiten het normale webverkeer beperken. Selecteer Beide toestaan (web- en sessieverkeer) om toegang voor zowel de openbare site als alle clients toe te staan.
U kunt web- en sessieverkeer scheiden door de configuratie van het netwerk te wijzigen. Het exacte proces is afhankelijk van de bestaande configuratie van het netwerk. Neem contact op met de afdeling Ondersteuning voor meer informatie.
U kunt toegang tot de /login-interface beperken door netwerkbeperkingen in te stellen onder /login > Beheer > Beveiliging. U kunt toegang tot de /appliance-interface beperken door netwerkbeperkingen in te stellen onder /appliance > Beveiliging > Apparaatbeheer.
Wanneer het IP-adres voor beheer1 wordt weergegeven, biedt het vervolgkeuzemenu Telnet-server drie instellingen: Volledig, Vereenvoudigd en Uitgeschakeld, zoals hieronder wordt uitgelegd. Deze instellingen veranderen de menu-opties van de Telnet-server die alleen op dit privé-IP-adres beschikbaar is en die kan worden gebruikt in geval van noodherstel. Aangezien de Telnet-functie specifiek verbonden is aan het ingebouwde privé-IP-adres, maakt hij geen onderdeel uit van andere geconfigureerde IP-adressen.
| Instelling | Functie |
|---|---|
| Volledig | Schakelt de Telnet-server in met volledige functionaliteit |
| Vereenvoudigd | Biedt vier opties: FIPS-fout weergeven, Op fabrieksinstellingen resetten, Afsluiten en Opnieuw opstarten |
| Uitgeschakeld | Schakelt de Telnet-server volledig uit |
