Schnellstart

Access Gate bietet sechs physische Ports, die für bestimmte Funktionen konfiguriert werden können (Zero-Trust-Overlay, Administration, Netzwerküberwachung).

Wir empfehlen die folgende Ausgangskonfiguration:

1. Port 1 (Overlay): Zur Bereitstellung von Zugangskontrollfunktionen
2. Port 5 (Monitor): Für Netzwerktransparenz und Datenverkehrsanalyse
3. Port 6 (Admin): Für den Zugang zur Admin-Oberfläche

Grundlegende Verbindungstopologie

Port-Konfiguration in Access Gate

Verbindungsschritte

1. Port 1 direkt mit dem Router verbinden (für beste Leistung werden 2,5-Gb-Ports mit CAT6-Ethernet-Kabel empfohlen)
2. Port 5 mit dem bestehenden OT-Netzwerk verbinden
3. Port 6 mit dem Management-Netzwerk verbinden (gleiches VLAN wie die Admin-Workstation)
4. Appliance einschalten
5. 60 Sekunden warten, bis die Boot-Sequenz abgeschlossen ist

Die Appliance bezieht eine IP-Adresse per DHCP über Port 6 oder fällt auf 10.0.0.1/24 zurück, wenn kein DHCP verfügbar ist.

Zugang zur Admin-Oberfläche

1. Webbrowser öffnen und zur IP-Adresse von Access Gate navigieren: https://{ip}
2. Warnung zum selbstsignierten Zertifikat akzeptieren (TLS wird später korrekt konfiguriert)
3. Mit Standard-Zugangsdaten anmelden: Benutzername: admin, Passwort: hello
4. Nach der Anmeldung zu Einstellungen → Konten navigieren.
   1. Das Admin-Passwort ändern.
   2. Einen dedizierten Benutzer für sich selbst mit den entsprechenden Berechtigungsstufen anlegen

Jetzt folgt der interessante Teil: zu sehen, was sich tatsächlich in Ihrem Netzwerk befindet.

Erkennung starten

1. Den zweiten Port als Monitor konfigurieren
2. Am Router Netflow an diesen Monitoring-Port weiterleiten
3. Das Dashboard beginnt sich mit Datenverkehr und erkannten Geräten zu füllen

Beispiel des Monitor-Tabs mit erkannten Geräten

Asset-Inventar erstellen

1. Im Monitor-Tab auf die Schaltfläche „Asset registrieren" für unbekannte Geräte klicken, um sie dem Inventar hinzuzufügen
2. Den Namen des Assets eingeben
3. Zum Tab Asset wechseln, um das befüllte Inventar anzuzeigen

Beispiel von Assets im Asset-Inventar-Tab

Für jedes Asset können durch Klicken auf das Stift-Symbol weitere Informationen wie Name, Seriennummer, Risikostufe usw. angegeben werden.

Nachdem das Netzwerk sichtbar ist, können die Schutzmaßnahmen bereitgestellt werden.

Port 1 als Overlay konfigurieren

1. Zu Einstellungen → Gerät-Port-Konfiguration navigieren
2. Auf den ersten Port klicken (oder den gewünschten Port)
3. Die für das Netzwerk relevanten Informationen eingeben
4. Speichern klicken

Den Secure Twin konfigurieren

Ein Secure Twin ist eine virtuelle Kopie des bestehenden Netzwerks, die eine kontrollierte Migration vom bestehenden Setup zu einem vollständig gesicherten Netzwerk ohne Ausfallzeiten ermöglicht. Weitere Details finden Sie in unserem Erklärungsartikel.

1. Zu Einstellungen → Twin-Subnetze navigieren
2. Einen Twin-Block mit den für das Netzwerk relevanten Informationen hinzufügen
3. Einen DNS-Namen eingeben (z. B. acme.tr-sec.net)
4. Speichern klicken

VNet-Konfiguration zur Bereitstellung eines Overlays

Am Router müssen nun folgende Einträge vorgenommen werden:

1. Ein Interconnect-VLAN zwischen dem Router und Port 1 des Access Gate (hier im Bereich 100.65.0.0/29)
2. Eine Route, um den gesamten Datenverkehr des Secure Twin zum Access Gate zu senden

/ip/address/add interface=ether1 address=100.65.0.1/29
/ip/route/add gateway=100.65.0.4 dst-address=100.64.0.0/16

Die Enklave erstellen

1. Zu Enklaven → Enklave erstellen navigieren
2. Der Enklave einen aussagekräftigen Namen geben: Produktionshalle oder CUI-Systeme Vertriebszugang
3. Beschreibung und Sicherheitsstufe ausfüllen
4. Speichern klicken

Assets und Principals hinzufügen

1. Zur neu erstellten Enklave navigieren: Enklaven → [Ihre Enklave]
2. Assets und Principals durch Klicken auf die Schaltfläche Principals bearbeiten hinzufügen
3. Die Entitäten auswählen, die in dieser Enklave verwaltet werden sollen

Zu diesem Zeitpunkt existiert die Enklave, der Zugang muss jedoch noch gewährt werden.

Benutzer, Benutzergruppen und Assets zu einer Enklave hinzufügen

Jetzt werden die Berechtigungen innerhalb der Enklave festgelegt.

Zugang gewähren

1. In der Tabellenansicht auf eine Gesperrt-Kachel klicken
2. Den Schalter umlegen, um Zugang zu gewähren
3. Das Dropdown-Menü „Erweitert" zeigt erweiterte Zugangskontrollfunktionen: TLS, VPN, Zugangsoberfläche
4. Speichern klicken

Ab diesem Moment beginnt Access Gate aktiv den Zugang zu kontrollieren.

Jetzt wird der Zugang über die Enklave und die Proxy-Sicherheit getestet:

1. Vom Computer aus prüfen, ob das Asset jetzt aufgelöst wird: nslookup {asset_name}.{DNS_name} /// zum Beispiel cui_server.acme.tr-sec.net
2. Prüfen, ob die zurückgegebene IP erreichbar ist (Ping)
3. Testen, ob das vorgesehene Protokoll erreichbar ist: curl http://cui_server.acme.tr-sec.net /// zum Beispiel für einen HTTP-Server

Der Proxy von Access Gate fängt den Datenverkehr transparent ab und leitet ihn basierend auf den Berechtigungen weiter.