back_to_menu.jpg

Systemstart und Betriebsmodi

Nach der vorschriftsmäßigen Installation gemäß Installationshandbuch kann TightGate-Pro gestartet werden. TightGate-Pro folgt nach dem Einschalten einer festgelegten Hochfahrprozedur. Diese ist so gestaltet, dass sich TightGate-Pro ohne Bedienereingriff automatisch im korrekten und maximal sicheren RSBAC-Betriebsmodus befindet. In diesem Modus sind sämtliche Kontroll- und Sicherheitssysteme von TightGate-Pro standardmäßig aktiviert.

Startmenü

Falls TightGate-Pro ausnahmsweise in einem anderen Betriebsmodus, abweichend vom RSBAC-Modus, gestartet werden soll, kann dies während der Startphase festgelegt werden. Nach dem Einschalten erscheint für ca 7 Sekunden das Startmenü von TightGate-Pro. Es stehen folgende Wahlmöglichkeiten zur Verfügung:

Startphase (Hochfahrprozedur)
Startmenüpunkt Beschreibung
RABAC Regulärer Betriebsmodus von TightGate-Pro. Dieser Betriebsmodus wird automatisch gewählt, wenn während der Einblendzeit des Startmenüs (ca. 7 Sekunden) keine andere der angezeigten Optionen ausgewählt wird. Im RSBAC-Modus sind sämtliche Sicherheits- und Kontrollsysteme von TightGate-Pro aktiviert. TightGate-Pro sollte regulär ausschließlich in diesem Betriebsmodus betrieben werden. Vor einer Umschaltung in andere Betriebsmodi ist die Konsultation des technischen Kundendienstes der m-privacy GmbH dringend angeraten.
Achtung: Im Fall von TightGate-Pro (CC) Version 1.4 entspricht ausschließlich dieser Betriebsmodus den Anforderungen gem. CC.
RSBAC-Debug Betriebsmodus zur Systemanalyse unter speziellen Betriebsbedingungen. Nur in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.
Hinweis: Dieser Betriebsmodus ist für den regulären Systembetrieb nicht notwendig. Das Schutz- und Sicherheitsniveau entspricht dem des Modus "RSBAC", es werden jedoch zahlreiche Diagnosemeldungen ausgegeben.
Softmode Betriebsmodus unter Deaktivierung sämtlicher Sicherheits- und Kontrollsysteme von TightGate-Pro. Nur in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.
Warnung: Dieser Betriebsmodus ist für den regulären Systembetrieb nicht geeignet. Es sollte unbedingt darauf geachtet werden, dass keine Benutzer mit dem System verbunden sind, während der Softmode aktiviert ist! Die Systemsicherheit kann beeinträchtigt werden, wenn dieser Betriebsmodus zu einem anderen Zweck verwendet wird, als in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH erörtert.
Hinweis: Bei TightGate-Pro (CC) Version 1.4 Server ist eine Anmeldung in den Administrationsrollen root und security nur im Softmode möglich. Der VNC-Server wird zugleich deaktiviert, eine Anmeldung von Klienten über den TightGate-Viewer ist im Softmode nicht möglich.
Recover Betriebsmodus zur Systemwiederherstellung bzw. Neuinstallation. Nur in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.
Warnung: Dieser Betriebsmodus ist für den regulären Systembetrieb nicht geeignet. Die Systemsicherheit kann beeinträchtigt werden, wenn dieser Betriebsmodus zu einem anderen Zweck verwendet wird, als in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH erörtert.
Speichertest Automatisiertes Testverfahren zur Überprüfung des installierten Arbeitsspeichers. Nur in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.
Hinweis: In diesem Betriebsmodus erfolgt kein Systembetrieb von TightGate-Pro. Zur Wiederaufnahme des Systembetriebs im RSBAC-Modus ist ein Neustart erforderlich. Im Zuge der Hochfahrprozedur kann ein anderer Betriebsmodus gewählt oder der Speichertest wiederholt werden.
FALLBACKStart von TightGate-Pro im abgesicherten RSBAC-Modus unter Verwendung der letzten Kernversion. Dieser Modus sollte nur dann verwendet werden, wenn nach einem Update der Kernversion TightGate-Pro mit der neuen Kernversion nicht starten kann. Nur in Abstimmung mit dem technischen Kundendienst der m-privacy GmbH zu verwenden.
Hinweis: In diesem Betriebsmodus kann TightGate-Pro normal betrieben werden. Es sollte aber umgehend geklärt werden, warum der Kernfehler aufgetreten ist.

Warnung: Sobald ein anderer Betriebsmodus als "RSBAC" oder "FALLBACK" gewählt wurde, arbeitet TightGate-Pro nicht mehr CC-konform! Zudem kann die Systemsicherheit, die Sicherheit des internen Netzwerks sowie die der Arbeitsplatzrechner (Klientenrechner) erheblich beeinträchtigt werden!

Eigenschaften der Betriebsmodi
RSBAC RSBAC-Debug Recover Softmode Speichertest FALLBACK
Benutzeranmeldung möglich ja ja nein nein nein ja
Administrationszugänge freigeschaltet ja ja nein ja nein ja
Netzwerkverbindungen aktiv ja ja nein ja nein ja
RSBAC-Sicherheitssystem aktiv ja ja nein nein nein ja

Nach Ende der Startphase erscheint der Konsolenprompt. Von diesem Augenblick an können sich Administratoren anmelden und das System kann Verbindungsanfragen der Klientenrechner (Arbeitsplatzrechner) verarbeiten.

Statusseite

TightGate-Pro verfügt über eine interne Statusseite, die sich über den Browser eines angemeldeten VNC-Benutzers abrufen lässt. Sie vermittelt grundlegende Informationen über das laufende System und die wichtigsten Systemdienste, ohne dass es eines Aufrufs der Administrationsmenüs bedürfte. Die Signalisierung der Systemzustände erfolgt durch Werteanzeige sowie eine augenfällige Rot-/Grün-Kennzeichnung.

Die Statusseite kann im Browser mittels http://localhost aufgerufen werden.

Sofern kein Passwort gesetzt wurde, wird die Statusseite unmittelbar angezeigt. Sie kann jedoch mit einem Passwort geschützt werden, dies geschieht nach Anmeldung als Administrator config unter dem Menüpunkt config > Grundeinstellungen > Status: Passwort. Sobald ein Passwort gesetzt wurde, wird bei Aufruf der Statusseite ein Anmeldedialog eingeblendet. Nach Eingabe der Benutzerkennung "status" und des gesetzten Passworts wird die Statusseite angezeigt. Die Darstellung wird alle 120 Sekunden automatisch im Browser geladen, die angezeigten Systemstatistiken werden jedoch nur stündlich aktualisiert.

Achtung: Falls kein Passwort vergeben wird, ist die Statusseite von jedem angemeldeten VNC-Benutzer über den Browser einsehbar!

Die Statusseite informiert auch über die korrekte Funktion des serverseitigen Virenscanners, falls ein solcher installiert ist. In diesem Fall wird auch der Aktualisierungszeitpunkt der Schadcode-Definitionsdateien (Virensignaturen) angezeigt. Sollten die Signaturen älter als drei Tage sein, wechselt die Statusanzeige auf Rot. In diesem Fall könnte ein Konfigurationsfehler vorliegen oder der betreffende Updateserver ist nicht erreichbar.

Hinweise: Auf der Statusseite können keine Änderungen an den angezeigten Parametern vorgenommen werden. Die Werte dienen nur der Information hinsichtlich grundlegender Betriebszustände. Zur Administration des Systems dienen die Administrationsmenüs und die unterschiedlichen Administrationsrollen. Zur Detailüberwachung des Systembetriebs ist eine Überwachung mittels Nagios anzuraten, zumal für TightGate-Pro zahlreiche systemspezifische Sensoren und Prüfpunkte zusätzlich zu den regulären Funktionen der Nagios-Systemüberwachung verfügbar sind.

Neuinstallation und Wiederherstellung

Hinweise zur Neuinstallation des Systems bzw. dessen Wiederherstellung im Havariefall können dem Installationshandbuch entnommen werden. Zu beachten sind auch die weiterführenden Hinweise im Kapitel Datensicherung.

Warnung: Der Serverrechner im Vorfeld einer Installation von TightGate-Pro sollte ohne lauffähiges TightGate-Pro-Betriebssystem mit aktiviertem RSBAC aus Sicherheitsgründen nur in einer Demilitarisierten Zone (DMZ) oder alternativ gänzlich ohne Netzwerkverbindung in Betrieb genommen werden.

Rücksetzung in einen sicheren Zustand (OE.Reset)

Hinweise zur Rückversetzung von TightGate-Pro (CC) Version 1.4 in einen definierten, als sicher bekannten Ausgangszustand unter Verwendung eines mitgelieferten Installationsmediums können dem Installationshandbuch entnommen werden. Zu beachten sind auch die weiterführenden Hinweise im Kapitel Datensicherung.

Warnung: Der Serverrechner im Vorfeld einer Installation von TightGate-Pro sollte ohne lauffähiges TightGate-Pro-Betriebssystem mit aktiviertem RSBAC aus Sicherheitsgründen nur in einer Demilitarisierten Zone (DMZ) oder alternativ gänzlich ohne Netzwerkverbindung in Betrieb genommen werden.

back_to_menu.jpg