Anpassung an die neuen Funktionalitäten des NCP Secure Enterprise Servers 10.0.

Transkript

1 NCP Secure Enterprise HA Server Major Release 10.0 rev (Linux 64) August 2015 Diese Version ist nur für 64-Bit-Versionen folgender Distributionen freigegeben: SuSE Linux Enterprise Server 12 CentOS 7.1 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Anpassung an die neuen Funktionalitäten des NCP Secure Enterprise Servers Seite 1 von 14

2 Service Release 3.04 revision (Linux 32/64) Juni 2015 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 7.0 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Änderung des Designs in der Web-Oberfläche Ein Fehler in der Statusabfrage des HA-Servers via SNMP wurde behoben. Seite 2 von 14

3 Service Release 3.04 revision (Linux 32/64) November 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 7.0 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) CVE / "POODLE" Sachverhalt SSL Version 2.0 und 3.0 aus diesem Produkt entfernt Das SSL-Protokoll 3.0, implementiert in OpenSSL bis Version 1.0.1i und anderen Produkten, nutzt eine CBC-Auffüllung, bei welcher nicht nur definierte und reproduzierbare Zustände auftreten können. Dadurch entsteht eine Sicherheitslücke, über die bei einer Man-in-the-Middle-Attacke unter Verwendung einer Auffüll-Vorhersage, auch als POODLE Sachverhalt bekannt, Daten im Klartext gewonnen werden können. Aus diesem Grund werden die SSL-Protokolle Version 2.0 und 3.0 mit diesem Produkt nicht mehr eingesetzt. Das TLS-Protokoll versorgt alle grundlegenden Web-Dienste (HTTPS) mit Verschlüsselungsund Authentisierungs-Algorithmen. Seite 3 von 14

4 Service Release 3.04 release (Linux 64) Juli 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 64-bit freigegeben: CentOS 6.5 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Open SSL H nach dem Sicherheitsgutachten vom 5. Juni 2014 Die im Gutachten vom aufgeführten Sicherheitslücken wurden mit Open SSL H geschlossen und diese Version im aktuellen NCP Secure Enterprise HA Server implementiert. (Siehe Seite 4 von 14

5 Service Release 3.04 release (Linux 32/64) Mai 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 6.5 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Sporadisch auftretenden Deadlocks Behebung eines sporadisch auftretenden Deadlocks welches den HA Server in seiner Funktion blockierte und den Neustart des HA Servers notwendig machte. Fehler behoben. Seite 5 von 14

6 Service Release 3.04 rev (Linux 32/64) April 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 6.5 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Open SSL Heartbleed-Bugs (CVE ) Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL. Seite 6 von 14

7 Service Release 3.04 rev (Linux 32/64) März 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 6.5 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Seite 7 von 14

8 Service Release 3.04 rev (Linux 32/64) März 2014 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 6.5 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) Windows Internet Explorer Version 11 Support Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server-Konfiguration genutzt werden. Seite 8 von 14

9 Service Release 3.04 rev3933 (Linux 32/64) August 2013 Diese Version ist nur für folgende Distributionen in den Ausführungen für 32- und 64-bit freigegeben: CentOS 6.4 Ubuntu Server Debian GNU/Linux für Server-Konfiguration mit dem Secure Enterprise Management (SEM) In diesem Release sind folgende neue Leistungsmerkmale enthalten: Adressierung des Gateways Der NCP Secure Enterprise VPN Server kann vom HA Server über IPv6 adressiert werden. : HA Server (Linux): Version 3.04 ab rev 3933 Secure Enterprise Server (Linux): Version 8.11 ab rev 5620 Server Plug-in (SEM): Version 8.11 ab Build 48 Priorisierung der Clients NCP Secure Enterprise VPN Server, die im Load Balancing Modus eines HA Servers in Betrieb sind, können vom HA Server (bzw. durch das Secure Enterprise Management) für die Bereitstellung eines VPN-Tunnels gemäß Benutzer-Priorisierung konfiguriert werden. Dies ist dann wichtig, wenn beispielsweise die Kapazitäten der HA-Server ausgelastet sind, bzw. nicht ausreichend viele Lizenzen für alle Clients vorhanden sind. Nur Benutzer mit einer entsprechend hohen Priorität erhalten dann Zugang. Setzen der Priorität in der Server-Konfiguration: Server-seitig wird die Benutzer-Priorität in der HA Server-Konfiguration festgelegt. Dies erfolgt zentral in deren Vorlage des jeweiligen HA Servers für alle an ihn angebundenen Gateways. Die Benutzer-Priorität, die dort für die Benutzer (einer Domain-Gruppe) definiert wird, sagt aus, dass der VPN-Zugang nur den Clients gestattet wird, die mindestens eine ebenso hohe Priorität genießen. Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", abgestuft bis zur "255", der niedrigsten Priorität. Die Standardeinstellung ist "0", bedeutet, dass die Funktionalität des priorisierten Zugangs ausgeschaltet ist. Alle VPN-Benutzer haben Zugang. Wird die Funktionalität der Benutzer-Priorität gesetzt, so werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als die hier angegebene Priorität genießen. Höchste Priorität ist die erste, "1". Wird am Server der Level für die Benutzer-Priorität z. B. auf "5" gesetzt, so werden alle Benutzer ausgesperrt, die eine niedrigere Priorität (6 bis 255) genießen. Dies erfolgt unmittelbar mit Festsetzen der Benutzer-Priorität am Server. VPN-Verbindungen von Clients, die zu diesem Zeitpunkt bestehen, Seite 9 von 14

10 werden getrennt, sofern die Clients nicht der gesetzen Priorisierung gerecht werden. Erneute Verbindungsversuche dieser Clients werden abgelehnt. Zu Trennung und Ablehnung einer VPN- Verbindung erhalten die Clients eine entsprechende Meldung. Die Benutzer-Priorität in der Client-Konfiguration zuweisen: Welche Priorität ein Benutzer genießt, kann nur in der RADIUS- oder LDAP-Konfiguration für den jeweiligen Client definiert werden. Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", usw. abgestuft bis zur "255", der niedrigsten Priorität. Zur Beachtung: Der voreingestellte Standardwert für die Benutzer-Priorität am Client ist "0". Diese Einstellung bewirkt, das die zentralseitig definierte Zugangsbeschränkung für Clients mit der Benutzer- Priorität "0" nicht gilt. Diese Clients erhalten unabhängig von der zentralseitigen Priorisierung immer VPN-Zugang. Text in der Oberfläche (Domain-Gruppen): Sobald die Funktionalität der Benutzer-Priorität eingesetzt wird, werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als hier am HA Server angegebene Priorität (oder keine) genießen. Höchste Priorität ist die erste, "1". Aktuell bestehende VPN-Tunnel-Verbindungen von Benutzern einer niedrigeren (oder keiner) Priorität werden sofort getrennt. "0" schaltet die Funktionalität der priorisierten Tunnel-Nutzung aus. Seite 10 von 14

11 Service Release 3.03 Build 011 (Linux 32/64) Oktober 2012 NCP Secure Enterprise VPN Server für Linux im HA-Verbund Soll der Server unter Linux (Version 8.10) mit den High Availability Services eingesetzt werden, so ist ein HA Server der Version 3.03 oder höher nötig. Beachten Sie bei einer Aktualisierung der Server-Komponenten: Zunächst muss das Update für den Enterprise VPN Server für Linux auf Version 8.10 durchgeführt werden! Erst danach kann das Update für den HA Server unter Linux auf die Version 3.03 erfolgen. Diese Version ist für folgende in den Ausführungen für 32- und 64-bit freigegeben: opensuse 11.4 opensuse 12.1 SuSE Linux Enterprise Server 11 SuSE Linux Enterprise Server 11 SP2 CentOS 6.2 CentOS 6.3 Ubuntu Server Lucid Lynx LTS Ubuntu Server Precise Pangolin LTS Ubuntu Server Precise Pangolin LTS Debian GNU/Linux Lenny Debian GNU/Linux Squeeze In diesem Release ist folgendes neue Leistungsmerkmal enthalten: Seamless Roaming Nur eine VPN-Verbindung pro Benutzer Mit dieser Funktion wird verhindert, dass mehrere VPN-Verbindungen von einem Client, der Seamless Roaming nutzt, parallel bestehen bleiben können. Ist diese Funktion Nur eine VPN-Verbindung pro Benutzer unter Allgemein aktiv (Standardwert), sendet das Gateway, an welchem sich der Client gerade anmeldet, eine Nachricht an alle anderen Gateways im LB-Verbund. Für diesen Client eventuell noch vorhandene Tunnel an den anderen Gateways werden daraufhin abgebaut. : HA Server (Linux): Version 3.03 ab Build 007 Secure Enterprise VPN Server (Linux): Version 8.10 ab Build 030 Server Plug-in (SEM): ab Build Fehlerbehebungen Seite 11 von 14

12 4. Hinweise zum NCP Secure Enterprise Management Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: Weitere Unterstützung bei Fragen zum NCP Secure Enterprise Management, erhalten Sie über die Mail-Adressen auf folgender Seite: Mail: Seite 12 von 14

13 5. Leistungsmerkmale Die NCP Secure Enterprise High Availability Services sind Komponenten der ganzheitlichen NCP Enterprise-Lösung. Sie sorgen für die Hochverfügbarkeit eines oder mehrerer NCP Secure Enterprise VPN Server und damit des Virtual Private Network eines Unternehmens durch ein Backup-System und die gleichmäßige Lastverteilung auf mehrere NCP Secure Enterprise VPN Server (VPN Gateways). Dabei stehen ständig alle VPN-Tunnel für die Kommunikation mit dem zentralen Datennetz zur Verfügung. Funktionalität Der HA Server übernimmt je nach Auslastung oder Störungsfall die automatische Umschaltung zwischen den VPN Gateways. Aus Sicherheitsgründen ist er redundant ausgelegt und benötigt jeweils eine eigene offizielle IP-Adresse. In einem Failsafe-System ist er darüber informiert, welches der beiden Gateways aktiv ist und welches sich im Backup-Status befindet. Im Load Balancing-System weiß er, welches der VPN Gateways am wenigsten ausgelastet ist. Betriebsmodi Failsafe Im Failsafe-Modus ist nur ein VPN Gateway aktiv. Ein zweites wird als Backup-System (Hot Standby Backup) installiert, um Stillstand oder Ausfall des aktiven (ersten) Gateways kompensieren zu können. Load Balancing Der Load Balancing-Modus wird dazu genutzt, die Tunnelverbindungen der Clients gleichmäßig über mehrere aktive VPN Gateways verteilen zu können. VRRP NCP HA Server unterstützen zusätzlich zu Failsafe und Load Balancing auch den VRRP- Betriebsmodus. Dieser Betriebsmodus ist jeweils kostenfrei in der HA-Lizenz beinhaltet und wird dann benötigt, wenn das HA-System parallel zu native VPN-Tunnelverbindungen auch SSL VPN- Tunnelverbindungen verwalten soll. Zentrale Verwaltung, Management Für die Konfiguration und Administration stellt NCP das Web-Interface für den HA Server zur Verfügung. Konfigurationsänderungen oder Erweiterungen können sowohl lokal als auch remote vorgenommen werden. Darüber hinaus gestattet das Server Plug-in des zentralen Secure Enterprise Managements (SEM) die Erstellung und die Übertragung der Server-Konfigurationen an die jeweiligen Komponenten des HA-Systems. Lizenzmodell Die HA-Lizenz gilt immer für einen Primary und einen Backup HA Server im FS- oder LB-Modus mit der gewünschten Anzahl von VPN-Tunnels. Die Software ist dann vollständig lizenziert, wenn an beiden Servern die gleiche Seriennummer und der gleiche Aktivierungsschlüssel eingegeben wird. Nach der Lizenzierung kann der Betriebsmodus eingestellt werden. (Im Load Balancing-Modus ist darauf zu achten, dass die Anzahl der Tunnel-Lizenzen für IPsec Clients am HA Server mindestens der Summe der Tunnel-Lizenzen an den eingesetzten VPN Gateways entspricht. Eine Reservierung der Tunnels ist im Load Balancing-Modus nicht möglich. Der HA Server errechnet selbständig die Anzahl der Tunnels, die er den VPN Gateways zuweist. Zudem ist eine zweite Gateway-Lizenz nötig.) Seite 13 von 14

14 Soll alternativ oder zusätzlich eine Anzahl von SSL VPN-Tunnelverbindungen gemanagt werden, so muss zur Lizenzierung der gewünschten Anzahl (Concurrent Users) ein eigener Aktivierungsschlüssel über das Web-Interface eingegeben werden. Beachten Sie, dass die Nutzung einer SSL VPN-Lizenz für eine native VPN-Verbindung nicht möglich ist. Optional können weitere Tunnel-Lizenzen für IPsec- oder SSL VPN Clients in beliebiger Anzahl hinzu erworben werden. für den HA Server Betriebssystem 64-Bit Betriebssystem Linux (Kernel ab ) siehe, Seite 1 CPU empfohlen Dual Core Arbeitsspeicher min. 1 GB Festplattenspeicher ca. 400 MB freier Speicher auf der Festplatte Web Interface Web Browser Unterstützung Bitte verwenden Sie einen der folgenden Web-Browser in einer neueren Version: Internet Explorer Firefox u.a. Mozilla-Browser Safari Chrome Seite 14 von 14