In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Installation und Konfiguration eines Cisco FirePOWER-Moduls (SFR) auf einer Cisco ASA und die Registrierung des SFR-Moduls bei Cisco FireSIGHT.
Cisco empfiehlt, dass Ihr System diese Anforderungen erfüllt, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
enable Befehl in die CLI ein. Wenn kein Kennwort festgelegt wurde, drücken Sie Enter:
ciscoasa> enable
Password:
ciscoasa#
Verwendete Komponenten
Zur Installation der FirePOWER Services auf einer Cisco ASA sind folgende Komponenten erforderlich:
- Cisco ASA Software Version 9.2.2 oder höher
- Cisco ASA-Plattformen 5512-X bis 5555-X
- FirePOWER-Softwareversion 5.3.1 oder höher
Hinweis: Wenn Sie FirePOWER (SFR) Services auf einem ASA 5585-X-Hardwaremodul installieren möchten, lesen Sie den Abschnitt Installation eines SFR-Moduls auf einem ASA 5585-X-Hardwaremodul.
Für das Cisco FireSIGHT Management Center sind folgende Komponenten erforderlich:
- FirePOWER-Softwareversion 5.3.1 oder höher
- FireSIGHT Management Center FS2000, FS4000 oder virtuelle Appliance
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Das Cisco ASA FirePOWER-Modul wird auch als ASA SFR bezeichnet und bietet Firewall-Services der nächsten Generation wie:
- Next-Generation Intrusion Prevention System (NGIPS)
- Application Visibility and Control (AVC)
- Filter-URLs
- Advanced Malware Protection (AMP)
Hinweis: Sie können das ASA SFR-Modul im Einzel- oder Mehrfachkontextmodus sowie im Routed- oder Transparent-Modus verwenden.
Vorbereitungen
Berücksichtigen Sie diese wichtigen Informationen, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
- Wenn Sie über eine aktive Dienstrichtlinie verfügen, die den Datenverkehr zu einem IPS- (Intrusion Prevention System)/CX-Modul umleitet (das Sie durch die ASA SFR ersetzt haben), müssen Sie diese entfernen, bevor Sie die ASA SFR-Dienstrichtlinie konfigurieren.
- Sie müssen alle anderen Softwaremodule herunterfahren, die derzeit ausgeführt werden. Ein Gerät kann jeweils ein Softwaremodul ausführen. Dies muss über die ASA CLI erfolgen. Mit diesen Befehlen wird beispielsweise das IPS-Softwaremodul heruntergefahren, deinstalliert und dann die ASA neu geladen:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- Die Befehle, die zum Entfernen des CX-Moduls verwendet werden, sind identisch, mit der Ausnahme, dass das
cxsc Schlüsselwort anstelle der folgenden Befehle verwendet wird ips: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- Wenn Sie ein neues Image eines Moduls erstellen, verwenden Sie die gleichen Befehle
shutdown und uninstall Befehle, die zum Entfernen eines alten SFR-Images verwendet werden. Hier ein Beispiel:
ciscoasa# sw-module module sfr uninstall
- Wenn das ASA SFR-Modul im Multiple-Context-Modus verwendet wird, führen Sie die in diesem Dokument beschriebenen Verfahren innerhalb des Ausführungsbereichs des Systems aus.
Tipp: Um den Status eines Moduls auf der ASA zu bestimmen, geben Sie den
show module Befehl ein.
Install
In diesem Abschnitt wird beschrieben, wie Sie das SFR-Modul auf der ASA installieren und wie Sie das ASA SFR-Boot-Image einrichten.
Installation des SFR-Moduls auf der ASA
Gehen Sie wie folgt vor, um das SFR-Modul auf der ASA zu installieren:
- Laden Sie die ASA SFR-Systemsoftware von Cisco.com auf einen HTTP-, HTTPS- oder FTP-Server herunter, auf den Sie über die ASA SFR-Verwaltungsoberfläche zugreifen können.
- Laden Sie das Boot-Image auf das Gerät herunter. Sie können entweder den Cisco Adaptive Security Device Manager (ASDM) oder die ASA CLI verwenden, um das Boot-Image auf das Gerät herunterzuladen.
Hinweis: Übertragen Sie die Systemsoftware nicht. Sie wird später auf das Solid State Drive (SSD) heruntergeladen.
Gehen Sie wie folgt vor, um das Boot-Image über den ASDM herunterzuladen:
- Laden Sie das Boot-Image auf Ihre Workstation herunter, oder platzieren Sie es auf einem FTP-, TFTP-, HTTP-, HTTPS-, Server Message Block (SMB)- oder Secure Copy (SCP)-Server.
Tools > File Management Wählen Sie den ASDM aus.
- Wählen Sie den entsprechenden Befehl für die Dateiübertragung aus, entweder zwischen lokalem PC und Flash oder zwischen Remote-Server und Flash.
- Übertragen Sie die Boot-Software auf das Flash-Laufwerk (disk0) auf der ASA.
Gehen Sie wie folgt vor, um das Boot-Image über die ASA CLI herunterzuladen:
- Laden Sie das Boot-Image auf einen FTP-, TFTP-, HTTP- oder HTTPS-Server herunter.
- Geben Sie den
copy Befehl in die CLI ein, um das Boot-Image auf das Flash-Laufwerk herunterzuladen. Hier ist ein Beispiel, das das HTTP-Protokoll verwendet (ersetzen Sie das <HTTP_Server> durch Ihre Server-IP-Adresse oder Ihren Hostnamen). Für den FTP-Server sieht die URL wie folgt aus:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .
ciscoasa# copy http://<HTTP_SERVER>/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- Geben Sie den folgenden Befehl ein, um den Speicherort des ASA SFR-Boot-Images im ASA-Flash-Laufwerk zu konfigurieren:
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Hier ein Beispiel:
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- Geben Sie den folgenden Befehl ein, um das ASA SFR-Boot-Image zu laden:
ciscoasa# sw-module module sfr recover boot
Wenn Sie diese Funktion debug module-boot auf dem ASA aktivieren, werden während dieser Zeit die folgenden Fehlerbehebungsschritte ausgegeben:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- Warten Sie ca. 5 bis 15 Minuten, bis das ASA SFR-Modul hochgefahren ist, und öffnen Sie dann eine Konsolensitzung mit dem funktionsfähigen ASA SFR-Boot-Image.
Einrichten des ASA SFR-Boot-Images
Führen Sie die folgenden Schritte aus, um das neu installierte ASA SFR-Boot-Image einzurichten:
- Drücken Sie
Enter nach dem Öffnen einer Sitzung die Eingabetaste, um zur Anmeldeaufforderung zu gelangen. Hinweis: Der Standardbenutzername lautet admin. Das Kennwort unterscheidet sich je nach Softwareversion: Adm!n123 für Version 7.0.1 (neues Gerät nur ab Werk), Admin123 für Version 6.0 und höher Sourcefire für Version vor 6.0.
Hier ein Beispiel:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Tipp: Wenn der Startvorgang des ASA SFR-Moduls nicht abgeschlossen wurde, schlägt der Sitzungsbefehl fehl, und es wird eine Meldung angezeigt, die besagt, dass das System keine Verbindung über TTYS1 herstellen kann. In diesem Fall warten Sie, bis der Modulstart abgeschlossen ist, und versuchen Sie es erneut.
- Geben Sie den
setup Befehl ein, um das System so zu konfigurieren, dass Sie das Systemsoftwarepaket installieren können:
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Sie werden dann zur Eingabe dieser Informationen aufgefordert:
Host name - Der Hostname kann bis zu 65 alphanumerische Zeichen ohne Leerzeichen enthalten. Die Verwendung von Bindestrichen ist zulässig.
Network address - Bei der Netzwerkadresse kann es sich um statische IPv4- oder IPv6-Adressen handeln. Sie können auch DHCP für die automatische IPv4- oder IPv6-Stateless-Konfiguration verwenden.
DNS information - Sie müssen mindestens einen DNS-Server (Domain Name System) identifizieren, und Sie können auch den Domänennamen und die Suchdomäne festlegen.
NTP information - Sie können das Network Time Protocol (NTP) aktivieren und die NTP-Server konfigurieren, um die Systemzeit festzulegen.
- Geben Sie den folgenden
system install Befehl ein, um das System-Software-Image zu installieren:
asasfr-boot >system install [noconfirm] url
Fügen Sie die noconfirm Option hinzu, wenn Sie nicht auf Bestätigungsmeldungen antworten möchten. Ersetzen Sie das url Schlüsselwort durch den Speicherort der .pkg Datei. Sie können auch hier einen FTP-, HTTP- oder HTTPS-Server verwenden. Hier ein Beispiel:
asasfr-boot >system install http://<HTTP_SERVER>/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Für den FTP-Server sieht die URL wie folgt aus:
ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.
Hinweis Während der Installation befindet sich der SFR im "
Recover"-Status. Die Installation des SFR-Moduls kann bis zu einer Stunde dauern. Nach Abschluss der Installation wird das System neu gestartet. Warten Sie mindestens zehn Minuten, bis die Anwendungskomponenten installiert sind und die ASA SFR-Services gestartet sind. Die Ausgabe des
show module sfr Befehls gibt an, dass alle Prozesse
Up.
Konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie die FirePOWER-Software und das FireSIGHT Management Center konfigurieren und den Datenverkehr zum SFR-Modul umleiten.
Konfigurieren der FirePOWER-Software
Führen Sie die folgenden Schritte aus, um die FirePOWER-Software zu konfigurieren:
- Öffnen Sie eine Sitzung mit dem ASA SFR-Modul.
Hinweis: Da die Anmeldung auf einem voll funktionsfähigen Modul erfolgt, wird jetzt eine andere Anmeldeaufforderung angezeigt.
Hier ein Beispiel:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- Melden Sie sich mit dem Benutzernamen an,
admin und das Kennwort unterscheidet sich je nach Softwareversion: Adm!n123 für 7.0.1 (neues Gerät nur ab Werk), Admin123 für 6.0 und höher, Sourcefire für Geräte vor 6.0.
- Füllen Sie die Systemkonfiguration aus, wie Sie aufgefordert werden. Dies geschieht in der folgenden Reihenfolge:
- Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA).
- Ändern Sie das Admin-Kennwort.
- Konfigurieren Sie die Management-Adresse und die DNS-Einstellungen nach Aufforderung.
Hinweis: Sie können sowohl IPv4- als auch IPv6-Managementadressen konfigurieren.
Hier ein Beispiel:
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- Warten Sie, bis sich das System selbst neu konfiguriert hat.
Konfigurieren des FireSIGHT Management Center
Um ein ASA SFR-Modul und Sicherheitsrichtlinien zu verwalten, müssen Sie es bei einem FireSIGHT Management Center registrieren. Weitere Informationen finden Sie unter Registrieren eines Geräts bei einem FireSIGHT Management Center. Sie können diese Aktionen nicht mit einem FireSIGHT Management Center ausführen:
- Konfigurieren der ASA SFR-Modulschnittstellen
- Herunterfahren, Neustart oder anderweitiges Verwalten der ASA SFR-Modulprozesse
- Erstellen Sie Backups von den ASA SFR-Modulgeräten, oder stellen Sie Backups auf diesen wieder her
- Erstellen Sie Zugriffskontrollregeln, um den Datenverkehr an die VLAN-Tag-Bedingungen anzupassen.
Umleitung des Datenverkehrs zum SFR-Modul
Um Datenverkehr an das ASA SFR-Modul umzuleiten, müssen Sie eine Dienstrichtlinie erstellen, die bestimmten Datenverkehr identifiziert. Gehen Sie wie folgt vor, um den Datenverkehr an ein ASA SFR-Modul umzuleiten:
- Wählen Sie den Datenverkehr aus, der mit dem
access-list Befehl identifiziert werden muss. In diesem Beispiel wird der gesamte Datenverkehr von allen Schnittstellen umgeleitet. Dies ist auch für bestimmten Datenverkehr möglich.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- Erstellen Sie eine Klassenzuordnung, um den Datenverkehr in einer Zugriffsliste abzugleichen:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- Geben Sie den Bereitstellungsmodus an. Sie können das Gerät entweder im passiven (nur Überwachung) oder im Inline (normal)-Bereitstellungsmodus konfigurieren.
Hinweis: Sie können auf dem ASA-Gerät nicht gleichzeitig einen passiven und einen Inline-Modus konfigurieren. Es ist nur ein Typ von Sicherheitsrichtlinie zulässig.
- Bei einer Inline-Bereitstellung prüft das SFR-Modul den Datenverkehr auf der Grundlage der Zugriffskontrollrichtlinie und überlässt es der ASA, die erforderlichen Maßnahmen (Zulassen, Verweigern usw.) für den Datenverkehrsfluss zu ergreifen. Dieses Beispiel zeigt, wie Sie eine Richtlinienzuordnung erstellen und das ASA SFR-Modul im Inline-Modus konfigurieren.
- Überprüfen Sie, ob die aktuelle Konfiguration mit einer anderen Modulkonfiguration
(show run policy-map global_policy, show run service-policy) konfiguriert global_policy ist, setzen Sie zunächst global_policy für die andere Modulkonfiguration zurück bzw. entfernen Sie diese, und konfigurieren Sie anschließend die global_policy.
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
- In einer passiven Bereitstellung wird eine Kopie des Datenverkehrs an das SFR-Servicemodul gesendet, aber nicht an die ASA zurückgegeben. Im passiven Modus können Sie die Aktionen anzeigen, die das SFR-Modul im Hinblick auf den Datenverkehr durchgeführt hätte. Außerdem können Sie den Inhalt des Datenverkehrs auswerten, ohne dass dies Auswirkungen auf das Netzwerk hat.
Wenn Sie das SFR-Modul im passiven Modus konfigurieren möchten, verwenden Sie das monitor-only Schlüsselwort (wie im nächsten Beispiel gezeigt). Wenn Sie das Schlüsselwort nicht angeben, wird der Datenverkehr im Inline-Modus gesendet.
ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Warnung: Im monitor-only Modus kann das SFR-Servicemodul schädlichen Datenverkehr nicht verweigern oder blockieren.
Vorsicht: Es kann möglich sein, ein ASA-Gerät im Nur-Monitor-Modus mit dem traffic-forward sfr monitor-only Befehl auf Schnittstellenebene zu konfigurieren. Diese Konfiguration dient jedoch lediglich der Demonstration der Funktionalität und darf nicht auf Produktions-ASA-Geräten verwendet werden. Probleme, die in dieser Demonstrationsfunktion festgestellt werden, werden vom Cisco Technical Assistance Center (TAC) nicht unterstützt. Wenn Sie den ASA SFR-Service im passiven Modus bereitstellen möchten, konfigurieren Sie ihn mithilfe einer Richtlinienzuweisung.
- Geben Sie einen Speicherort an, und wenden Sie die Richtlinie an. Sie können eine Richtlinie global oder auf einer Schnittstelle anwenden. Um die globale Richtlinie für eine Schnittstelle zu überschreiben, können Sie eine Dienstrichtlinie auf diese Schnittstelle anwenden.
Das global Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und das interface Schlüsselwort wendet die Richtlinie auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. In diesem Beispiel wird die Richtlinie global angewendet:
ciscoasa(config)# service-policy global_policy global
Achtung: Die Richtlinienzuordnung global_policy ist eine Standardrichtlinie. Wenn Sie diese Richtlinie verwenden und sie zur Fehlerbehebung auf Ihrem Gerät entfernen möchten, stellen Sie sicher, dass Sie die Auswirkungen kennen.
Überprüfung
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Fehlerbehebung
- Sie können diesen Befehl (
debug module-boot) ausführen, um das Debugging zu Beginn der Installation des SFR-Boot-Images zu aktivieren.
- Wenn ASA im Wiederherstellungsmodus feststeckte und die Konsole nicht angezeigt wurde, versuchen Sie es mit diesem Befehl (
sw-module module sfr recover stop).
- Wenn das SFR-Modul den Wiederherstellungsstatus nicht verlassen konnte, können Sie versuchen, die ASA neu zu laden. (Wenn der Datenverkehr
(reload quick)weitergeleitet wird, kann dies zu Netzwerkstörungen führen.) Wenn sich Still SFR im Wiederherstellungsstatus befindet, können Sie die ASA und die unplug the SSD Karte herunterfahren und die ASA starten. Überprüfen Sie den Status des Moduls, und es muss sich um den INIT-Status handeln. Fahren Sie die ASA herunter, insert the SSD und starten Sie die ASA. Sie können ein Re-Image des ASA SFR-Moduls starten.
Zugehörige Informationen
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
11-Jul-2023 |
Rezertifizierung |
2.0 |
22-Jun-2022 |
URLs für Secure IPS und FTP-Server hinzugefügt. Hyperlinks neu formatiert und Beispiele entfernt. Abschnitte "Installation", "Fehlerbehebung" und "Konfiguration" bearbeitet. |
1.0 |
04-Nov-2014 |
Erstveröffentlichung |