Optimierung der Advanced Authentication Bei Nutzung der Advanced Authentication können parallel mehrere Https-Requests gesendet werden.

Transkript

1 NCP Secure Enterprise Management Service Release 3.02 rev (Linux 64) Oktober 2014 Voraussetzungen Folgende x64-betriebssysteme wurden getestet und freigegeben: Linux Distribution Datenbank Unterstützung Ubuntu Server LTS x86_64 mit MySQL ODBC Debian GNU/Linux 7.5 x86_64 mit MySQL ODBC CentOS 6.5 x86_64 mit MySQL ODBC SuSe Linux Enterprise Server 11 SP3 x86_64 mit MySQL ODBC Neue Leistungsmerkmale und Erweiterungen 2. Fehlerbehebungen Optimierung der Update-Funktion Beziehen Clients in einer SEM-Umgebung mit zwei Backup Servern ihre Updates von einem der Backup Server, so wird immer automatisch auf den Backup Server umgeschaltet, der gerade nicht beansprucht wird. Erhält einer der Backup Server z.b. eine Vollreplikation, so wird auf den anderen Backup Server zur Datenübertragung umgeschaltet. Im Log-Buch des Clients kann dies abgelesen werden. Fehlerbehebung beim Start einer Vollreplikation Nach einer Verbindungsunterbrechung zwischen Primary und Backup Server von mehr als sieben Tagen, erfolgt eine Vollreplikation. Der Datenbestand wird repliziert, der seit dem zuletzt erfolgten Backup verändert wurde. Fehlerbehebung im Scripting-Tool Auch benutzerspezifische Parameter werden korrekt berücksichtigt. Optimierung der Advanced Authentication Bei Nutzung der Advanced Authentication können parallel mehrere Https-Requests gesendet werden. Größe von Aussteller-Zertifikaten Die bisher gültige Grenze von maximal 4 kbyte bei Austeller-Zertifikaten wurde aufgehoben. 3. Bekannte Einschränkungen Seite 1 von 16

2 Service Release 3.01 rev (Linux 32/64) April 2014 Voraussetzungen Linux Distribution 32 und 64 Bit Unterstützung Datenbank Unterstützung Ubuntu x64 und x32 mit MySQL Debian x64 mit MySQL CentOS 6.4 x64 und x32 mit MySQL SuSe Linux Enterprise Server 11 SP3 x64 und x32 mit MySQL ODBC - MySQL Schnittstelle unix odbc Version: >= MySQL odbc connector driver Version: >= Neue Leistungsmerkmale und Erweiterungen 2. Fehlerbehebungen Open SSL Heartbleed-Bugs (CVE ) Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL. 3. Bekannte Einschränkungen Seite 2 von 16

3 Service Release 3.01 rev (Linux 32/64) Oktober 2013 Voraussetzungen Linux Distribution 32 und 64 Bit Unterstützung Datenbank Unterstützung Ubuntu x64 und x32 mit MySQL Debian x64 mit MySQL CentOS 6.4 x64 und x32 mit MySQL SuSe Linux Enterprise Server 11 SP3 x64 und x32 mit MySQL ODBC - MySQL Schnittstelle unix odbc Version: >= MySQL odbc connector driver Version: >= Neue Leistungsmerkmale und Erweiterungen In dieser Version ist folgendes neue Leistungsmerkmal enthalten: 32- und 64-Bit Untersützung Mit dieser Version des Secure Enterprise Managements werden erstmals sowohl 32- als auch 64-Bit- Versionen des Linux-Betriebssystems unterstützt. Der Abschnitt "Voraussetzungen" listet die entsprechenden Distributionen auf. Monitored Aggregate License Mit dieser Option kann der Lizenzschlüssel in der Vorlage der Server- Konfiguration (Secure Server Vorlagen / Lizenz) nur am Secure Enterprise Management angegeben werden. Die Anzahl der Tunnel- Lizenzen kann auf alle Secure Enterprise Server, die diese Vorlage benutzten, aufgeteilt werden. Die Gesamtanzahl der Tunnel-Lizenzen bleibt dabei erhalten. Wird diese Option für einen Server nicht genutzt, können diesem Server in der Vorlage nicht die Tunnel- Lizenzen zugewiesen werden, so dass dieser seine eigene Lizenz benötigt. Auch im Web-Interface des Servers kann diese Option nicht genutzt werden. Voraussetzungen: Secure Enterprise VPN Server (Windows 32/64) ab Version 8.11 Build 168 Secure Enterprise VPN Server (Linux 32/64) ab Version 8.11 rev Server Configuration Plugin ab Version 8.11 Build 51 IKEv2-Konfiguration Mit der Implementierung von IKEv2 für den Enterprise Client, wurde auch die Konfigurationsoberfläche des SEM angepasst. Neu ist die Konfigurationsgruppe IKEv2-Richtlinien unter Lokales System und Link-Profile. Voraussetzungen: Client Configuration Plugin ab Version ab Build 16 Secure Enterprise Client ab Version 9.32 Build 144 mit einem Lizenzschlüssel 10.x Server Configuration Plugin ab Version 8.11 Build 51 Gültigkeitsdauer von CA-Zertifikaten Die Gültigkeitsdauer von CA-Zertifikaten wird selbständig überwacht. 30 Tage vor Ablauf der Gültigkeit wird eine Warnung im Log-Bereich ausgegeben, nach Ablauf der Gültigkeitsdauer eine Fehlermeldung. Die Überwachung wird jeweils zum Tageswechsel durchgeführt. Seite 3 von 16

4 Anzahl der administrierbaren Secure Server Die Anzahl der administrierbaren Secure Server wurde auf 500 erhöht. Secure Enterprise Server als Remote Server Weit entfernte Server, die über eine langsame (Modem-)Verbindung an das Secure Enterprise Management angeschlossen sind, können vom Secure Enterprise Management als nicht zentrale Remote Server definiert werden. Wird in der Server-Vorlage der Typ des Secure Enterprise Servers als Dezentraler Secure Server festgelegt, so wird das Datenaufkommen zwischen Server und SEM deutlich reduziert. Ist dieser Schalter gesetzt, so werden Anfragen an den SEM in einem größeren Intervall als den standardisierten 30 Sekunden gesendet. Dieses Intervall kann in der Konfigurationsgruppe SES in den SEM-Einstellungen variiert werden. Die Meldung SES xxx offline erscheint frühestens nach dreimaligem Ablauf des eingestellten Intervalls plus 30 Sekunden. Zudem wurde die Statistik-Anzeige reduziert und es ist nicht mehr möglich direkt auf die Daten eines Remote Servers zuzugreifen. Die Laufzeit von Meldungen zwischen Remote Server und SEM wird in der Replikations-Statistik zusätzlich angezeigt. Voraussetzungen: Secure Enterprise VPN Server (Windows 32/64) ab Version 8.11 Build 168 Secure Enterprise VPN Server (Linux 32/64) ab Version 8.11 rev Server Configuration Plugin ab Version 8.11 Build Fehlerbehebungen 3. Bekannte Einschränkungen Seite 4 von 16

5 Service Release 3.00 Build 012 (Linux 32-Bit) April Neue Leistungsmerkmale und Erweiterungen Management für Android Clients Um den Android Secure Managed Client mit dem Secure Enterprise Management nutzen zu können, muss die Client Software als NCP Secure Enterprise Android Client kommissioniert werden und ein NCP Secure Enterprise Management Server der Version 3.00 Build 012 oder höher mit folgenden Plug-ins eingesetzt werden: Client Plug-in 9.31 Build 005 Lizenz Plug-in 2.05 Build 005 PKI Plug-in 3.00 Build 007 NCP Advanced Authentication Hierbei handelt es sich um eine zusätzliche Authentifizierung, die mit der Anmeldung am Firmennetz, unmittelbar nach Eingabe der VPN-Benutzerdaten und deren Überprüfung am SEM durchgeführt wird. Dazu muss der Anwender auf Seiten des Clients einen Passcode in ein neues Dialogfeld eingeben, den er bei jeder VPN-Anmeldung erneut als SMS erhält. Voraussetzung: Am SEM muss das SEM Add-On NCP Advanced Authentication installiert sein. Dabei wird der SEM gestoppt und anschließend wieder neu gestartet. Nach Installation des Add-Ons wird in der RADIUS- Gruppenkonfiguration ein neuer Tab mit dem Titel NCP Advanced Authentication" sichtbar. Hier kann ein SMS-Provider ausgewählt und entsprechend konfiguriert werden. Funktionsbeschreibung: Durch das Add-On ist es möglich, ausgewählten Benutzern per SMS einen Passcode auf deren Mobiltelefon zu senden, der zusätzlich am Client zur Authentisierung eingeben werden muss. Dieser Passcode wird bei jedem Verbindungsaufbau zum Firmennetz am Secure Enterprise Management mit Zufallsgenerator neu erzeugt und an genau den Anwender per SMS versendet, der sich mittels Eingabe seiner VPN-Zugangsdaten in einem ersten Schritt gegenüber dem SEM authentisiert hat. Konfiguration: Welche Benutzer den Passcode per Mobiltelefon erhalten sollen, wird in der Client-Konfiguration des SEM unter Server-Parameter / NCP Advanced Authentication definiert, wo auch die Rufnummer des Benutzers hinterlegt wird. Alternativ kann die Konfiguration über Script erfolgen, unter CDest.ContectInformation. Dabei schließt die Advanced Authentication das Speichern des VPN- Passworts in der Client-Konfiguration aus. Das Add-On selbst kann keine SMS versenden, sondern kommuniziert mit der Versendestelle mittels HTTP(S). Es stehen folgende SMS-Versendedienstleister zur Auswahl: OpenIT Mobilant SMS Creator (es wird kein HTTPS unterstützt! SMS Zugangsdaten sind in Klartext sichtbar) NCP Advanced Authentication Connector Durch Erstellung einer Konfigurationsdatei ist es möglich, jeden weiteren SMS-Provider zu nutzen, der eine HTTP-Schnittstelle anbietet. System-Voraussetzungen: Seite 5 von 16

6 SEM 3.00 mit Lizenz 3.0 Client Plug-in 9.30 ab Build 50 (bei der Produktkonfiguration muss 9.3 eingestellt sein) RADIUS Plug-in ab 2.06 Build 4 NCP Advanced Authentication Connector Mit den Programm NCP Advanced Authentication Connector ist es möglich SMS über ein GSM-Modem direkt zu versenden. Hierfür steht ein eigenes Setup zur Verfügung. Derzeit gibt es den NCP Advanced Authentication Connector nur unter Windows. Einstellen der korrekten Reihenfolge des Dienste-Starts von Datenbank und SEM Um sicher gehen zu können, dass die Dienste des Secure Enterprise Managements erst gestartet werden, nachdem die Datenbank-Dienste vollständig gestartet wurden, kann die SEM- Konfigurationsdatei ncprsu.conf editiert werden. Diese befindet sich im Installationsverzeichnis des SEM: <ProgramFiles>\ncp\ncpmgmsrv Im Abschnitt [DB] wird dazu der Name des Microsoft Windows-Dienstes der Datenbank eingegeben, der für das Secure Enterprise Management genutzt wird. Für Oracle MySQL würde dieser Eintrag wie folgt aussehen: [DB] DependOnService = [MySQL] Nach der gespeicherten Änderung der Konfigurationsdatei muss die Maschine neu gestartet werden. 2. Fehlerbehebungen 3. Bekannte Einschränkungen Seite 6 von 16

7 Service Release 2.05 Build 08 (Linux) August Neue Leistungsmerkmale und Erweiterungen In diesem Release sind folgende neue Leistungsmerkmale enthalten: Zentrale Verwaltung von Enterprise Mac Clients Das NCP Secure Enterprise Management (SEM ab Version 2.05) bietet als Single Point of Administration alle Funktionalitäten und Automatismen für Rollout, Inbetriebnahme und den wirtschaftlichen Einsatz eines Secure Enterprise Mac Clients (ab Version 2.01). Die Betriebsystemplattformen des Mac Clients sind Mac OS X 10.5 Leopard (Intel) und Mac OS X 10.6 Snow Leopard. Das Secure Enterprise Management (SEM ab Version 2.05) versorgt den Enterprise Client über die VPN- Verbindung oder LAN (im Firmennetz) automatisch mit: Konfigurations-Updates Zertifikats-Updates Aktualisierungen des Update Clients Programm-Icon für die Management-Konsole Das Programm-Icon für die Management-Konsole wurde geändert. Bei der Installation der aktuellen Software-Version bzw. einem Update auf die aktuelle Version wird das Icon in der Taskleiste und im Windows Start-Menü ausgetauscht. Sortieren der Software-Pakete Die Software-Pakete können in ihrem Anzeigefenster nach Name, Betriebssystem, Status etc. sortiert werden. Dies erfolgt im Hauptmenü der Management-Konsole unter Software-Verwaltung / Software- Pakete. Unterstützung von MySQL Server Das Enterprise Management System unterstützt die Datenbank des MySQL Server Zum Import der Daten aus einem älteren MySQL Server ist folgendes zu beachten: Bevor aus der zuletzt genutzten Version der Datenbestand exportiert wird, muss das Feld MaxValue in der Tabelle RadiusAttrs gelöscht werden (SQL Befehl: Alter table RadiusAttrs drop MaxValue). Da dieses Feld bisher nicht benutzt wurde, gehen auch keine Daten verloren. Beim neuen MySQL Server darf es kein Feld mit den Namen MaxValue geben. Anzahl der Managed Units Die Gesamtzahl der zu lizenzierenden Managed Units (MU) eines Secure Enterprise Management- Systems setzt sich aus der Anzahl der Client-Einträge plus der Anzahl der Einträge für Remote Server zusammen. Die Einheiten der zentralen Server des Server Configuration Plug-ins (Secure Server und HA Server) werden den Lizenzbestimmungen entsprechend nicht zu den Managed Units gezählt. Seite 7 von 16

8 Erstellen und Verteilen der Server-Zertifikate mit dem PKI Enrollment Plug-in Der Secure Server nimmt automatisch Server-Zertifikate an, die vom Secure Enterprise Management (SEM) generiert und verteilt wurden. Ausstellen eines Zertifikats Das Ausstellen eines neuen Server-Zertifikats erfolgt am Management-System in der "Server-Zertifikats- Konfiguration", von wo es auch nach der Erzeugung der Server-Konfiguration an das entsprechende VPN Gateway geschickt wird. Bei dieser Verteilung wird der Dateiname und die PIN aus der Server- Zertifikats-Konfiguration entnommen. Das Verfahren in Stichworten: - Server Configuration Plug-in öffnen - Secure Server selektieren - unter "Konfiguration" eine "Server-Zertifikats-Konfiguration" selektieren [für diese wird anschließend das Server-Zertifikat erzeugt] - Tool-Button "Neues Zertifikat" betätigen - anschließend öffnet sich der Dialog zum Erzeugen eine Zertifikats [nach Eingabe der Zertifikatsinhalte wird das Zertifikat am SEM gespeichert] - vor der Verteilung muss die Server-Konfiguration erzeugt worden sein Verlängern eines Zertifikats Ein Server-Zertifikat kann wie jedes andere Zertifikat verlängert werden. Dafür sind zwei Wege möglich: - über das Server Configration Plug-in: Server-Konfiguration / Secure Server / ausgestellte Zertifikate - oder über das PKI Enrollment Plug-in: PKI Enrollment / ausgestellte Zertifikate. Alternativ kann die Verlängerung auch über Script erfolgen. Bei der Verlängerung eines Zertifikat muss keine Server-Konfiguration erzeugt werden, die Verteilung erfolgt sofort an das entsprechende Gateway wenn dieses online ist. Es wird immer mit aktuell eingetragenem Dateinamen und aktuell eingetragener PIN gespeichert. Anzeige der Zertifikate Unter dem Knoten "Server-Zertifikate" wird immer das Zertifikat angezeigt, das aktuell am Gateway eingesetzt ist. Unter dem Knoten "ausgestellte Zertifikate" werden die mit dem PKI Plug-in ausgestellten Zertifikate für diesen Gateway angezeigt. Unter "Info / Verwendungszweck" wird der Name der verknüpften Server-Zertifikats-Konfiguration angezeigt. Voraussetzungen Management Server 2.05 Build 7 Management Console 2.05 Build 3 Server Configuration Plug-in 8.05 Build 14 PKI entrollment Plug-in 2.05 Build 2 NCP Secure Server 8.05 Build 20 LDAP over SSL Bei externer Authentisierung mit LDAP kann auch LDAP über SSL mit Standard-Port 636 genutzt werden. Voraussetzung ist, dass der LDAP-Server LDAP über SSL unterstützt. (ab RADIUS Plug-in 2.05 Build 2) Selektion der Windows-Zertifikatsvorlage über das PKI Enrollment Plug-in Seite 8 von 16

9 Soll das Enterprise Management System von der integrierten Windows Certification Authority die Zertifikate erhalten, so kann bei Erstellung einer Zertifikatsvorlage mit dem PKI Enrollment Plug-in bestimmt werden, welche Windows Zertifikatsvorlage von der Microsoft CA verwendet werden soll. Unter "Optionen" kann der Name der Vorlage angegeben werden (Windows Certificate Server Template Name). Pro Zertifikatsvorlage am SEM kann eine Windows Zertifikatsvorlage angegeben werde. Wird in der Zertifikatsvorlage am SEM bei Einsatz einer Windows CA kein Vorlagenname eingetragen, so wird genau die Windows Zertifikatsvorlage verwendet, die in der Konfigurationsdatei ncppkisrv.conf angegeben ist. Diese Datei wie auch der Dienst ncppkisrv.exe befinden sich auf der Windows CA. Pro Konfigurationsdatei kann nur eine Windows Zertifikatsvorlage angegeben werden. (ab SEM 2.05 Build 7 mit ncppkisrv.exe von ) Anzeige von CRL-Informationen Mit dem Server Configuration Plug-in werden in der Konfiguration des jeweiligen Gateways unter "CA Zertifikate" folgende Informationen zur CRL angezeigt: CRL Aussteller Gültig von Gültig bis Anzahl der Einträge (ab SEM 2.05 Build 7 mit Secure Server Configuration Plug-in 8.05) Scripting-Erweiterungen Über Script können den Profilen des Enterprise Clients neue Parameterwerte zugewiesen werden. Den Profil-Einstellungen unter "DNS / Management" ( Erster und zweiter DNS-Server, sowie Domain-Name) entsprechen im Script unter CDestination folgende neue Eigenschaften: dns1 dns2 domainname Recht zur Eingabe des Authentisierungs-Codes Bei Konfiguration der Administrator-Gruppen (im Hauptmenü unter "Bearbeiten") können pro installiertem Plug-in-Modul differenzierte Rechte an die jeweilige Administrator-Gruppe vergeben werden. Für die Module "Client-Konfiguration" und "PKI Enrollment" kann bestimmt werden, welche Administrator-Gruppe den Authentisierungs-Code eingeben bzw. ändern darf. Dieser ist für die Update- Funktionen der Konfigurations- und Zertifikats-Verteilung nötig. Seite 9 von 16

10 2. Fehlerbehebungen 3. Bekannte Einschränkungen 4. Hinweise zum NCP Secure Enterprise Management Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: Weitere Unterstützung bei Fragen zum NCP Secure Enterprise Management, erhalten Sie über die Mail-Adressen auf folgender Seite: Mail: Seite 10 von 16

11 5. Leistungsmerkmale Zentrale Verwaltung Das NCP Secure Enterprise Management (SEM) ist der zentrale Bestandteil der NCP Next Generation Network Access Technology. Als Single Point of Administration schafft es die erforderliche Transparenz für Netzwerkadministratoren, um mobile und stationäre Telearbeitsplätze sowie remote VPN-Gateways in Filialnetzen zentral zu verwalten. Das NCP Software-Tool bietet alle Funktionalitäten und Automatismen, die für die Inbetriebnahme und den Betrieb eines Remote Access-Projektes erforderlich sind. Mit dem Secure Enterprise Management werden Konfigurationen, Zertifikate und Software Updates zentral erzeugt und gespeichert bzw. verteilt und aktualisiert oder ausgerollt. Die Richtlinien für eine Endpoint Security (Network Access Control) werden am Secure Enterprise Management (SEM) zentral erstellt. Entsprechend der erstellten Regeln erhält der Enterprise Client Zugang zum Firmennetz. Lizenzierung der Managed Units Die Gesamtzahl der zu lizenzierenden Managed Units (MU) für ein Secure Enterprise Management- System setzt sich aus der Anzahl der Client-Einträge (Benutzer) plus der Anzahl der Einträge für Remote Server zusammen. Die Einheiten der zentralen Server (Server Configuration Plug-ins mit Secure Server und HA Server) werden den Lizenzbestimmungen entsprechend nicht zu den Managed Units gezählt. Komponenten des Secure Enterprise Managements Das NCP Secure Enterprise Management (SEM) besteht aus dem Management Server und der Management Console. Das Datenbank-System ist nicht im Lieferumfang enthalten. Voraussetzungen für die Server-Komponente 32- und 64-Bit Betriebssysteme / Linux Distributionen / Database / ODBC Siehe Voraussetzung auf Seite 1. Rechner CPU mind. Pentium III-800 MHz (abhängig von der Anzahl der Managed Units) Mit RADIUS Plug-in: Pentium IV-1,5 GHz Festplatte: min. 50 MB freier Speicher zzgl. Speicherplatz für Log-Dateien und ca. 20 MB pro Software-Paket Unterstützte Datenbanken Der Management Server ist ein datenbankbasiertes System und korrespondiert mit nahezu jeder Datenbank über ODBC: Oracle ab Version 9.0 MySQL ab Version 4.x / 5 / 5.1 / MS SQL Server MS Access MaxDB Alle systemrelevanten Informationen werden in der Datenbank abgelegt und sind üblicherweise in den Backup-Prozess eingebunden. Dazu gehören unter anderem: Benutzer-Profile (Konfigurationen der Managed Units), Lizenzkeys und Authentisierungsdaten, Zertifikate, Providerkennungen etc. Seite 11 von 16

12 Backup-System Optional steht ein Backup-System mit integriertem Replikationsdienst für den Management Server zur Verfügung. Unterstützte Certification Authorities Microsoft Certificate Services als integrierte und stand alone CA. Voraussetzungen für die Console Über die Management Console werden die VPN-Benutzerdaten zentral verwaltet. Betriebssysteme Windows Desktop Betriebssysteme 32-Bit und 64-Bit Management Server-Module Die Management Server-Module werden als Plug-ins von jedem Windows-Rechner im lokalen Netzwerk unter Angabe der IP-Adresse des Management Servers auf diesem installiert. Dies gilt auch für die Management Console, die ebenfalls als Plug-in installiert werden kann. (Das Datenbank-System ist nicht im Produktumfang enthalten.) Verfügbare Plug-ins Management Console Plug-in Client Configuration Plug-in Firewall Plug-in Remote Server Configuration Plug-in (als Test-Software) Server Configuration Plug-in (HA Server und Secure Server) License Management Plug-in PKI Management Plug-in Endpoint Policy Plug-in Script Plug-in RADIUS Plug-in System Monitor Plug-in (als Test-Software) Unterstützte RFCs und Drafts RFC 2138 Remote Authentication Dial In User Service (RADIUS) RFC 2139 RADIUS Accounting RFC 2433 Microsoft CHAP RFC 2759 Microsoft CHAP V2 RFC 2548 Microsoft Vendor-specific RADIUS Attributes RFC 3579 RADIUS Support For Extensible Authentication Protocol (EAP) RFC 2716 PPP EAP TLS Authentication Protocol RFC 2246 The TLS Protocol RFC 2284 PPP Extensible Authentication Protocol (EAP) RFC 2716 Certificate Management Protocol RFC 2511 Certificate Request Message Format Draft-ietf-pkix-cmp-transport-protocols-04.txt, Transport Protocols for CMP Draft-ietf-pkix-rfc2511bis-05.txt, Certificate Request Message Format (CRMF) Seite 12 von 16

13 Zentrale Funktionalitäten Administratoren-Management und Mandantenfähigkeit (Multi-Company Support) Die Mandantenfähigkeit prädestiniert das Secure Enterprise Management für den Einsatz bei Managed Security Service Providern (MSSP) in sog. Managed VPNs oder Remote Access- Strukturen, in denen mehrere Firmen gemeinsam eine VPN-Plattform nutzen (VPN Sharing). Über die zentrale Administratoren-Verwaltung werden die Zugriffsrechte für die jeweiligen Administratoren auf die jeweiligen selbständigen Firmen mit angeschlossenen VPN-Benutzern definiert. Durch Gruppenzuordnung werden die Rechte der Administratoren so angelegt, dass jeder ausschließlich Zugriff auf seinen zu verwaltenden Mandantenkreis (Organisationsgruppe) hat. Ein Übergriff auf Daten anderer Mandanten ist ausgeschlossen. Als VPN-Gateway kann der NCP Secure Enterprise Server aber auch das eines Fremdherstellers eingesetzt werden (siehe Kompatibilitätsliste unter Damit ist das Secure Enterprise Management auch in jede vorhandene IT-Infrastruktur integrierbar und ermöglicht den Betrieb auch in komplexen VPN-Umgebungen. Lizenz-Management (License Management Plug-in) Mit der Lizenzierung steht die Gesamtzahl der Managed Units für den Management Server zur freien Verfügung. Die Managed Units können entweder als Benutzer- oder Remote Server-Lizenzen eingesetzt werden. Alle Lizenzen werden in einen Pool übernommen und nach festgelegten Richtlinien automatisiert verwaltet: Lizenzübernahme kann automatisiert erfolgen oder manuell vorgenommen werden Lizenz wird nach Ausscheiden eines Mitarbeiters in den Pool zurück gestellt Meldung wird ausgegeben wenn keine Lizenz mehr verfügbar ist Erzeugung der Konfigurationen für die Managed Units Mit der Management Console werden User-Daten abgerufen oder Konfigurationen und Zertifikate gespeichert. Alle relevanten Informationen werden in der Datenbank abgelegt und sind üblicherweise in den Backup-Prozess des VPN-Betreibers eingebunden. Die Eingabe aller relevanten Daten kann an der Management Console interaktiv durch den Administrator vorgenommen oder skriptgesteuert über das Script Plug-in erfolgen. Automatic Update (über LAN und VPN) Der Update Service des Secure Enterprise Managements gestattet alle für das Remote Access- Umfeld relevanten Software-Komponenten zentral verfügbar zu halten. Sobald eine Verbindung zwischen Client und Corporate Network besteht, werden diese Komponenten automatisch auf der Client-Seite eingespielt. Sollte es während der Übertragung zu Störungen kommen, bleiben der bereits vorhandene Softwarestand sowie die Konfiguration unberührt. Erst nach einem komplettem, fehlerfreiem Transfer aller vordefinierten Daten findet das Update statt. Steuerung der Update-Pakete Mittels Update-Liste, die der Administrator nach den jeweiligen Erfordernissen zusammenstellt, erfolgt die Verteilung der Software-Komponenten. Dabei kann pro Komponente nach Verbindungsmedium, Häufigkeit der Ablehnungen eines Updates und Art des Updates differenziert werden. Update-Komponenten Folgende Software-Komponenten können für das automatische Update bereitgestellt werden: Konfigurationen (Profile und Monitor-Einstellungen des Enterprise Clients) Benutzer-Zertifikate (Soft-Zertifikate, p12-format) Aussteller-Zertifikate (Soft-Zertifikate, cer- und pem-formate) Update Client Software-Versionen (Software Updates / Upgrades sind für Clients nur unter Windows Desktop-Betriebssystemen möglich) Seite 13 von 16

14 Verbindungsmedium Alle Verbindungsmedien, die die Remote-Seite unterstützt, können einer der Update- Komponenten zugeordnet werden. So lässt sich zum Beispiel steuern, dass für große Datenmengen schnelle Verbindungsmedien genutzt werden. Update-Verfahren Alternativ zu einem Update über VPN, kann die Option des LAN Updates genutzt werden. (Eine NCP Dynamic Personal Firewall kann nur über LAN aktualisiert werden.) Bei einem Update über VPN werden alle Daten durch den Tunnel verschlüsselt übertragen. Bei einem LAN Update, wenn sich der Client PC im heimischen Firmennetz befindet, wird die SSL-Verschlüsselung eingesetzt. Beschreibung der Plug-ins System Monitor Plug-in Dieses Plug-in dient der schnellen Information über alle wichtigen Ereignisse innerhalb einer VPN- Installation als Balken- oder Linien-Diagramme. Der Administrator kann über den System Monitor je nach Bedarf aktuelle Status-Informationen in Echtzeit abrufen bzw. auf bereits gespeicherte Datenbestände der Remote Access-Umgebung zugreifen. Im jeweiligen Diagramm kann im Zeitraum beliebig zurück bzw. vorwärts geblättert werden. Die grafische Darstellung der Diagramme ist frei wählbar. Client Configuration Plug-in Hiermit werden die Profile der Secure Enterprise Clients erstellt, konfiguriert und verwaltet. Folgende Einstellungen sind damit möglich: alle gruppenspezifischen und verbindungstechnischen Parameter können mithilfe von Vorlagen (Templates) automatisiert generiert werden nur personenbezogene Daten werden manuell eingegeben (Authentisierungsdaten für Erstverbindung bei Rollout) Parametersperren, die der entfernte Benutzer nicht verändern kann, können definiert werden automatische Konfiguration der Benutzer-Profile für Zentralkomponenten (RADIUS, LDAP, SNMP) umfassendes Logging (Versionsstände, Zeitstempel für Konfigurationsänderungen, automatischer Upload von Client-Logdateien) Erzeugung eines generalisierten Init-Benutzers für Rollout automatisierte Erzeugung und Bereitstellung von Konfigurations-Updates Firewall Plug-in Zur Konfiguration der Personal Firewall in den Secure Enterprise Clients und der Dynamic Personal Firewall der Client Suite. Folgende Einstellungen können vorgenommen werden: applikations- und verbindungsabhängige Filterregeln protokoll-, port- und adressbezogene Filterregeln Vorgaben für die Erkennung von friendly networks (IP-Adresse Netzwerk, Netzwerkmaske, IP- Adresse des DHCP-Server, MAC-Adresse) Logging-Einstellungen FND-Serverkonfiguration (Friendly Net Detection) Firewall-Einstellungen, die der entfernte Benutzer nicht verändern kann, können definiert werden Remote Server Configuration Plug-in und Server Configuration Plug-in Mit dem Remote Server Configuration Plug-in werden entfernte Gateways zum Beispiel in Filialen als Managed Units lizenziert, konfiguriert und verwaltet. Seite 14 von 16

15 Das Server Configuration Plug-in dient der Konfiguration und Verwaltung von Secure Servern (Secure Enterprise Server und Secure High Availability Server) im zentralen Netz. Die Lizenzierung der Server-Komponenten erfolgt dezentral an der jeweiligen Maschine über deren Web-Interface. An der Management Console werden die Zugriffsrechte für den jeweiligen Server verwaltet und die komplette Konfiguration des Servers erstellt. Die Konfigurations- und Statistik-Oberfläche des Web-Interfaces der Server-Komponente wird an der Management Console eins zu eins abgebildet. Darüber hinaus kann von der zentralen Management Console die Konfiguration über das Web-Interface vor Ort temporär gestattet werden. Konkurrierende Konfigurationsänderungen sind ausgeschlossen. Zur Konfiguration einer Gruppe von Servern (Server Farm) können Vorlagen genutzt werden, ebenso wie für Client-Benutzergruppen. PKI Enrollment Plug-in Das Plug-in fungiert als Registration Authority (RA). Im Zusammenwirken mit unterschiedlichen Certification Authorities (CA) werden elektronische Zertifikate (X.509 v3) erstellt und verwaltet. Eine erzeugtes Zertifikat kann wahlweise zur Verwendung als Soft-Zertifikat (PKCS#12) oder für den Einsatz auf Smart Card oder USB-Token (PKCS#11) abgelegt werden. Die im Lieferumfang enthaltene NCP Demo-CA kann während der Testphase für die Abbildung einer PKI genutzt werden, ist jedoch nicht für den produktiven Einsatz vorgesehen. Die Umstellung auf eine externe CA ist problemlos möglich. Die wichtigsten Funktionalitäten des PKI Plug-ins sind: Erstellen von Benutzer- und Hardware-Zertifikaten (auch Bulk Mode) Verlängern der Zertifikatsgültigkeit (PKCS#7) Sperren von Zertifikaten Verteilung der Zertifikate (auch Multi-Client-Zertifikate) Anlegen der Benutzerkonfiguration über LDAP im Verzeichnisdienst Erstellen eines PAC-Briefes (Personal Authentication Code) für Erstverbindung und Lizenzierung Generieren und Verteilen von Server-Zertifikaten Endpoint Policy Plug-in Mit Hilfe dieses Plug-ins werden alle sicherheitsrelevanten Parameter definiert, die vor einem Zugriff auf das Firmennetz überprüft werden sollen (Network Access Control). Die Einhaltung der vorgegebenen Sicherheitsrichtlinien ist zwingend und vom Anwender nicht umgehbar oder manipulierbar. Folgende Einstellungen am entfernten Rechner des Benutzers können überprüft werden: Software-Stand des Secure Enterprise Clients Betriebssystem-Informationen, z. B. Version oder Hotfixstand Dienste-Informationen Datei-Informationen Status des Virenscanners Registry-Werte Inhalte von Benutzer- und Hardware-Zertifikaten Abweichungen von den Sollvorgaben werden protokolliert und können unterschiedliche Meldungen bzw. Aktionen auslösen. Z. B.: Anzeige einer Meldung am Client Ausgabe einer Meldung im Log-Buch des Clients Senden einer Meldung zum Management Server Senden einer Meldung zu einem Syslog Server Freischalten der relevanten Firewall-Regeln Weiterleitung in eine Quarantänezone Trennung der VPN-Verbindung Seite 15 von 16

16 RADIUS Plug-in Für die Konfiguration der Managed Units (Benutzern) in den zentralen VPN-Gateways steht optional die RADIUS-Schnittstelle zur Verfügung. Das RADIUS Plug-in dient der Verwaltung des integrierten RADIUS Servers und deckt folgende Funktionen ab: Automatische Anlage von RADIUS-Accounts über die Client- und Remote Server Configuration Plug-ins Unterstützung von PAP/CHAP-Requests Erfassung von Accounting-Daten Sperren von Benutzern bei wiederholten fehlerhaften Anmeldungen Verwaltung von mehreren RADIUS-Konfigurationen unterschiedlicher Gateways RSA Authentication Manager Proxy-Funktionalität Optional steht ein Backup RADIUS-Server zur Verfügung. Dies gestattet vorhandene RADIUS Server durch den integrierten RADIUS Server des Management-Systems zu ersetzen. Seite 16 von 16