Release Notes. NCP Android Secure Managed Client. 1. Neue Leistungsmerkmale und Erweiterungen. 2. Verbesserungen / Fehlerbehebungen

Transkript

1 NCP Android Secure Managed Client mit Kommissionierung für NCP Secure Enterprise Management oder NCP Volume License Server Version: 2.32 Build 098 Datum: September 2013 Anzeige des aktuell geladenen VPN-Profils Sowohl im PIN-Dialog als auch im Dialog zur erweiterten Authentisierung (XAUTH) wird der Name des aktuell verwendeten VPN-Profils angezeigt. Handling der Dienste des Clients Wird der Client aus der Liste der laufenden Apps gelöscht, wird der zugehörige Dienst automatisch gestoppt. Wird über ein Widget eine Verbindung initiiert, so wird automatisch der entsprechende Dienst wieder gestartet. Widget zum bequemen Starten einer VPN-Verbindung vom Android-Desktop Mit einem Widget können Benutzer einen VPN-Tunnel bequem vom Android-Desktop aufbauen bzw. abbauen. Für jedes erstellte Widget ist ein zugehöriges VPN-Profil verknüpft. Der VPN-Tunnelstatus wird durch das Widget-Icon dargestellt. Import-Verhalten Nach der Installation werden beim ersten Start des Android-Clients automatisch folgende Verzeichnisse nach Konfigurationsdateien und Zertifikaten abgesucht: Im Import-Verzeichnis (auf der SD-Karte NCP/Import) wird eine Profildatei (*.cfg oder *.cnf) gesucht und bei Vorhandensein importiert. Ist im Import-Verzeichnis keine Profildatei vorhanden, wird im Download-Verzeichnis nach einer Profildatei (*.cfg) gesucht und diese bei Vorhandensein importiert. Ist keine Profildatei vorhanden, wird eine Profildatei (*.cfg) mit Testverbindungen generiert. Für den Fall, dass im Import-Verzeichnis eine Profildatei gefunden wurde, wird dort auch nach einem Benutzer- und CA-Zertifikat gesucht, welche ebenfalls importiert werden. 2. Verbesserungen / Fehlerbehebungen Optimierung der Auto-Reconnect-Funktion Verbesserungen in Zusammenhang mit Network Enclosure Mode Verbesserung der Anzeige des Verbindungsstatus des Widgets keine Seite 1 von 7

2 Version: 2.32 Build 071 Datum: Juni Verbesserungen / Fehlerbehebungen CISCO Load Balancing Der Android Secure Managed Client läuft auch korrekt mit Cisco Gateways, die mit Load Balancing betrieben werden. Gateways anderer Hersteller (IKE config Push-Mode) Der IKE config mode, über den die private IP Adresse zugewiesen werden kann (in der Konfiguration unter IPSec Address Assignement ), kann auch in Verbindung mit Gateways anderer Hersteller genutzt werden, die den IKE config Push Mode einsetzen. Seite 2 von 7

3 Version: 2.32 Build 067 Datum: Mai 2013 Full Network Enclosure Mode Für den Fall, dass die lokale IP-Adresse des Android-Gerätes im gleichen IP-Adressbereich wie das Remote-Netzwerk liegt, kann durch Setzen dieser Option die Weiterleitung aller Daten durch den VPN- Tunnel erzwungen werden. Zuordnung des Konfigurations-Updates Das Secure Enterprise Management (SEM) kann personalisierte Konfigurations-Updates auch entsprechend der IMEI des Android-Clients verschicken. Bei einer Verbindung zum SEM erhält der Client ein vorliegendes Konfigurations-Update, sofern die am SEM konfigurierte ID für personalisierte Konfiguration entweder der IMEI, dem Host-Namen oder der RSU ID des Clients entspricht. Die Prüfung der ID erfolgt in angegebener Reihenfolge. Diverse Optimierungen Die Konfigurationsoberfläche des Clients wurde sprachlich überarbeitet. Das PIN-Handling beim Einsatz von Zertifikaten wurde verbessert. Unterstützung der PKCS#11-Schnittstelle bei Verwendung einer Certgate SD Card mit Zertifikatsspeicher. 2. Verbesserungen / Fehlerbehebungen in Release Automatischer VPN-Tunnelaufbau Bei gesetzter Option Always erfolgt stets der korrekte automatische VPN-Tunnelaufbau, sowohl bei Anwendungsstart als auch nach einem Neustart des Android-Systems. In der alternativen Konfigurationseinstellung mit Auto Reconnect wird nur dann erneut eine Verbindung aufgebaut, wenn ein Verlust des Verbindungsmediums vorlag. Beenden der App Unabhängig, ob durch Herauswischen oder Ausschalten, wird die App fehlerfrei beendet. Seite 3 von 7

4 Version: 2.32 Build 018 Datum: März 2013 Management für Android Clients Um das Lizenz-Management des Volume License Servers für den Android Client nutzen zu können, muss der Client als NCP Secure Android Client Volume Edition kommissioniert werden und ein NCP Volume License Server der Version 1.01 oder höher eingesetzt werden. Um das Lizenz- und Konfigurations-Management des Secure Enterprise Managements für den Android Client nutzen zu können, muss der Client als NCP Secure Enterprise Android Client kommissioniert werden und ein NCP Secure Enterprise Management Server der Version 3.00 Build 016 oder höher mit folgenden Plug-ins eingesetzt werden: Client Plug-in 9.31 Build 005 Lizenz Plug-in 2.05 Build 005 PKI Plug-in 3.00 Build Verbesserungen / Fehlerbehebungen in Release 4. Hinweise zum NCP Secure Managed Client Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: Weitere Unterstützung bei Fragen zum NCPs Android Produkten, erhalten Sie über die Mail-Adressen auf folgender Seite: support@ncp-e.com Seite 4 von 7

5 5. Leistungsmerkmale Betriebssysteme Android 4.0 und höher Zentrales Management Das Software-Packet des Android Secure Managed Clients ist für zwei unterschiedliche Infrastrukturen der NCP Secure VPN-Lösung konzipiert: a) Bei Einsatz des Secure Enterprise Managements werden sowohl die Lizenzierung als auch die Bereitstellung und Verteilung der VPN-Verbindungsprofile zentral vom Secure Enterprise Management- System gesteuert. b) Bei Einsatz des Volume License Servers wird nur die Lizenzierung für jeden einzelnen Secure Managed Client zentralisiert vom NCP Volume License Server besorgt. Die Konfigurationen für die VPN-Tunnel-Parameter können von anderen Secure Clients übernommen und modifiziert werden. (IPsec-Richtlinien können nur über einen Secure Entry Client geändert werden.) Das Software-Packet des Android Secure Managed Clients kann nach der Installation entsprechend der jeweiligen Anweisungen für die Inbetriebnahme für eines der beiden Szenarios eingesetzt werden. Standards Unterstützung aller IPsec Standards nach RFC: Virtual Private Networking RFC-konform IPsec (Layer 3 Tunneling): IPsec Tunnel Mode IPsec-Proposals können determiniert werden durch das IPsec-Gateway (IKE, IPsec Phase 2) Event log Kommunikation nur im Tunnel Message Transfer Unit (MTU) Size Fragmentation und Reassembly Network Address Translation -Traversal (NAT-T) Dead Peer Detection (DPD) Verschlüsselung (Encryption) Symmetrische Verfahren: AES 128,192,256 Bits; Blowfish 128,448 Bits; Triple-DES 112,168 Bits; Dynamische Verfahren für den Schlüsselaustausch: RSA bis 2048 Bits; Seamless Rekeying (PFS); Hash Algorithmen: SHA-256, SHA-384, SHA-512, MD5, DH Gruppe 1, 2, 5, 14 FIPS Inside Der NCP Secure Android Client Volume Edition integriert kryptografische Algorithmen nach FIPS- Standard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS gemäß Implementation Guidance section G.5 guidelines zertifiziert (Zertifikat #1747). Die FIPS Kompatibilität ist immer gegeben, wenn einer der folgenden Algorithmen für Aufbau und Verschlüsselung der IPsec-Verbindung genutzt werden: Diffie Hellman-Gruppe: Gruppe 2 oder höher (DH ab einer Länge von 1024 Bit) Hash-Algorithmen: SHA1, SHA 256, SHA 384 oder SHA 512 Bit Verschlüsselungsalgorithmen: AES mit 128, 192 oder 256 Bit oder Triple DES Seite 5 von 7

6 Authentisierungsverfahren IKEv1 (Aggressive und Main Mode), Quick Mode XAUTH für erweiterte User-Authentisierung IKE-Config-Mode für die dynamische Zuteilung einer virtuellen Adresse aus dem internen Adressbereich (private IP); Perfect Forward Secrecy (PFS) IKEv2 Pre-shared Secrets Starke Authentisierung PKCS#12-Schnittstelle für Private Schlüssel in Soft Zertifikaten, Multi-Zertifikatskonfiguration One-Time Passwords und Challenge Response Systeme; RSA SecurID Ready Netzwerkprotokoll IP Auto Reconnect Automatischer Verbindungsaufbau falls die Internet-Verbindung unterbrochen war bzw. ein Wechsel zwischen WLAN und mobiler Datenverbindung stattgefunden hat. Konfigurierbarer Verbindungsmodus: (Always, Manuell) VPN Path Finder NCP VPN Path Finder Technology, Fallback IPsec /HTTPS (Port 443) wenn Port 500 bzw. UDP Encapsulation nicht möglich ist (Voraussetzung: NCP VPN Path Finder Technology am VPN Gateway erforderlich); IP Adress-Zuweisung Dynamic Host Control Protocol (DHCP); Domain Name Server (DNS): Anwahl des zentralen Gateways mit wechselnder öffentlicher IP-Adresse durch Abfrage der IP-Adresse über einen DNS-Server; Line Management Dead Peer Detection (DPD) mit konfigurierbarem Zeitintervall Short Hold Mode WLAN-Roaming (Handover) Timeout Datenkompression IPCOMP (lzs), Deflate Weitere Features UDP-Encapsulation; Importfunktion der Dateiformate:*.ini, *.pcf, *.wgx und *.spd Seite 6 von 7

7 Internet Society RFCs and Drafts RFC (IPsec) RFC 3947 (NAT-T negotiations) RFC 3948 (UDP encapsulation) IP Security Architecture: ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), UDP encapsulation, IPCOMP Client Monitor Intuitive, grafische Benutzeroberfläche Englisch; Konfiguration, Import und Export, Verbindungssteuerung und -überwachung, Verbindungsstatistik, Log-Files Trace-Werkzeug für Fehlerdiagnose Ampelsymbol für Anzeige des Verbindungsstatus Seite 7 von 7