Next Generation Network Access Technology



Ähnliche Dokumente
Abb1: NCP Secure Enterprise Management zentrale Komponente einer ganzheitlichen Remote Access VPN-Lösung

Produktinformationen zu NCP Secure Enterprise-Management

Folgende x64-betriebssysteme und Datenbanken mit zugehörigem ODBC-Treiber wurden getestet und freigegeben:

Checkliste. Installation NCP Secure Enterprise Management

NCP Secure Enterprise Management Next Generation Network Access Technology

Datenblatt. NCP Secure Enterprise Management. Next Generation Network Access Technology

Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server- Konfiguration genutzt werden.

Parallels Mac Management 3.5

SEM 3.00 mit Lizenz 3.0 Client Plug-in 9.30 ab Build 50 (bei der Produktkonfiguration muss 9.3 eingestellt sein) RADIUS Plug-in ab 2.

Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL.

estos UCServer Multiline TAPI Driver

A1 Desktop Security Installationshilfe. Symantec Endpoint Protection 12.1 für Windows/Mac

NCP Secure Enterprise Management für Linux Release Notes

Anleitung zur Nutzung des SharePort Utility

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Formular»Fragenkatalog BIM-Server«

Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL.

Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website:

08. Juni Best Practice Mandantenfähige Remote Access Plattform

Systemanforderungen für MSI-Reifen Release 7

PCC Outlook Integration Installationsleitfaden

DOKUMENTATION PASY. Patientendaten verwalten

Installationsanleitung OpenVPN

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

OP-LOG

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Release Notes. NCP Secure Enterprise Management. 1. Neue Leistungsmerkmale und Erweiterungen. Service Release 3.01 Build 15 (Win) Oktober 2013

Release Notes. NCP Local License Server (Win32/64) 1. Neue Leistungsmerkmale und Erweiterungen. 3. Bekannte Einschränkungen

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

ANYWHERE Zugriff von externen Arbeitsplätzen

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Business / Enterprise Single User Lizenz. Editionen vergleichen. Funktionen

Virtual Private Network

enerpy collaborative webased workflows collaborative webbased groupware INDEX 1. Netzwerk Überblick 2. Windows Server 2008

Systemvoraussetzungen und Installation

Installieren von GFI LANguard N.S.S.

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Installation Microsoft SQL Server 2008 Express

BERNINA ArtLink V7.0N Installationsanleitung der Sticksoftware

HighSecurity-Backup Installations-Anleitung. Elabs AG

Anleitung zum Prüfen von WebDAV

Installationsanleitung dateiagent Pro

White Paper. Installation und Konfiguration der Fabasoft Integration für CalDAV

Wireless & Management

HANDBUCH LSM GRUNDLAGEN LSM

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Powermanager Server- Client- Installation

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

bizsoft Rechner (Server) Wechsel

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Adressen der BA Leipzig

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Network Access Control für Remote Access: Best Practice Technical Paper

Grafische Darstellung des Gerätezustandes und detaillierte Statusinformationen auf einem Blick

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Cisco AnyConnect VPN Client - Anleitung für Windows7

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

Intelligente Updateverwaltung Inventarisierung von Softwareprodukten Remoteunterstützung, mobile Endgeräte u.v.m.

HTBVIEWER INBETRIEBNAHME

Systemanforderungen für MuseumPlus und emuseumplus

Zentrale Installation

:: Anleitung Hosting Server 1cloud.ch ::

Dynamisches VPN mit FW V3.64

JUNG Facility-Pilot Visualisierungs-Server Version 1.1

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Technische Hinweise zur Installation und Freischaltung von Beck SteuerDirekt mit BeckRecherche 2010

Single User 8.6. Installationshandbuch

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Service: Sicherheitshinweise!!!

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Behebung des sog. Heartbleed-Bugs (CVE ) in der Krypto-Bibliothek OpenSSL.

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

EINSATZ VON MICROSOFT TERMINAL-SERVICES ODER CITRIX METAFRAME

Sophia Business Leitfaden zur Administration

Systemvoraussetzungen Informationscenter IFC

Avira Server Security Produktupdates. Best Practice

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

Transkript:

Datenblatt Allgemeines Next Generation Network Access Technology Das ist der zentrale Baustein der Next Generation Network Access Technology. Als "Single Point of Administration" schafft es die erforderliche Transparenz für Netzwerkadministratoren um mobile /stationäre Telearbeitsplätze, entfernte und zentrale VPN-Gateways sowie High Availability Server zentral zu verwalten. Das Software-Tool bietet alle Funktionalitäten und Automatismen, die für die Inbetriebnahme und den Betrieb eines Remote Access-Projektes erforderlich sind. Abb1: Funktionsübersicht Highlights - Network Access Control (NAC) Schutz der Endgeräte durch zentrale Überprüfung - Minimierung des Aufwandes bei Massen-Rollout und Betrieb der remote Systeme - Zentrale Ausstellung und Verwaltung von Zertifikaten - Minimierung der Betriebskosten (TCO-Total Cost of Ownership) - Durchgängige Transparenz für den Administrator durch umfangreiches System-Monitoring - Risikominimierung von Fehlkonfigurationen und Fehlbedienungen - Hohe Ausfallsicherheit (Backup) und Vermeidung redundanter Datenhaltung - Hohe Skalierbarkeit (Planungssicherheit) - Integration in vorhandene VPN-Infrastrukturen (Investitionsschutz) - Integrierter RADIUS-Server Seite 1 von 9

Leistungsumfang Das besteht aus dem Server und der Console. Der Server ist ein datenbankbasiertes System und korrespondiert mit nahezu jeder Datenbank über ODBC (z.b. Oracle, MySQL, MS SQL, MS Access, MaxDB). Mit der Console als Front-End werden User-Daten abgerufen oder Konfigurationen und Zertifikate gespeichert. Alle relevanten Informationen werden in der Datenbank abgelegt und sind üblicherweise in den Backup-Prozess des VPN-Betreibers eingebunden. Der Multi-Company Support (Mandantenfähigkeit) prädestiniert das für den Einsatz bei Managed Security Service Providern (MSSP) in sog. Managed VPNs oder in Remote Access-Strukturen, wo mehrere Firmen gemeinsam eine VPN-Plattform nutzen (VPN Sharing). Abb 2: Überblick Funktionalitäten des zentralen s In all diesen Fällen müssen Administratoren rechtlich selbständiger Firmen ihr anteiliges VPN managen können. Dies erfolgt durch Gruppenzuordnung und eine komfortable Rechtevergabe. Die Administratoren werden so angelegt, dass jeder ausschließlich Zugriff auf seinen Bereich, sprich seine zu verwaltenden Einheiten hat. Ein Übergriff auf Daten anderer Mandanten in deren geschützten Bereichen ist ausgeschlossen. Das automatische Update-Verfahren ermöglicht dem Administrator für alle entfernten Clients unter Windows, zentral Software-Updates bereitzustellen, die bei der nächsten VPN-Verbindung automatisch auf dem einwählenden System installiert werden. Sollte es während der Übertragung zu Störungen kommen, bleiben der bereits vorhandene Softwarestand sowie die Konfiguration unberührt. Erst nach komplettem, fehlerfreiem Transfer aller vordefinierten Dateien findet das Software-Update statt. Alle Daten werden hochsicher d.h. verschlüsselt im VPN-Tunnel übertragen. Das Update kann auch ohne VPN-Verbindung durchgeführt werden, sofern sich der Client PC im heimischen Firmennetz befindet. Ein integrierter RADIUS-Server dient zur Ablage und Verwaltung aller Client-Link-Profile. Seite 2 von 9

Der Software Update-Service organisiert auch die zentrale Verteilung aller Remote Access relevanten Parameter wie: - Konfigurationen (Profile) - Software (Updates, Upgrades) - Softzertifikate (PKCS#12-Dateien) als User- oder Maschinen-Zertifikat - Aussteller Zertifikate (Root-Zertifikate) - Internationale Telefonbücher (z.b. GoRemote (vorm. GRIC), Infonet, Uunet, ipass, MCI...) Für die Hochverfügbarkeit des -Servers sorgt optional der Backup -Server, der durch einen integrierten Replikationsdienst immer über den aktuellen Datenbestand verfügt. Abb 3: Komponenten und Funktionalitäten eines managed VPN Die Eingabe und Übernahme aller relevanten Daten kann interaktiv über die Console oder skriptgesteuert erfolgen, d.h. Benutzerdaten, Lizenzkeys, Providerkennungen etc. können beispielsweise bei einem Rollout, automatisiert je remote System (= Managed Unit) in den Server übernommen werden. Als VPN-Gateway kann der Server oder das eines beliebigen Herstellers eingesetzt werden (siehe Kompatibilitätsliste unter www.ncp-e.com). Das ist somit in jede vorhandene IT-Infrastruktur integrierbar und ermöglicht den Betrieb auch in komplexen VPN-Umgebungen. Ein weiteres wesentliches Feature des Servers ist die Lizenzverwaltung der Managed Units. Alle Lizenzen werden in einen Pool übernommen und nach festgelegten Richtlinien automatisiert verwaltet. Funktionsbeipiele: - Übernahme in eine Konfiguration pro remote Client bzw. Gateway - Rücknahme bei Ausscheiden eines Mitarbeiters - Meldung für den Fall, dass keine Lizenzen mehr verfügbar sind. Seite 3 von 9

Server Der Server dient der Konfiguration und Administration aller daran angebundener - Komponenten. Das betrifft sowohl die Clients als auch Server. Hierfür stehen leistungsfähige Plug-ins zur Verfügung: - Client Configuration - System Monitor - Client Firewall Configuration - Server Configuration - Remote Server Configuration - Network Access Control (NAC) - PKI Enrollment - RADIUS Als Frontend steht dem Administrator eine Console mit grafischer Oberfläche zur Verfügung. Die Installation der Console kann bei Bedarf an mehreren Administratorarbeitsplätzen erfolgen. Voraussetzung ist eine Netzwerkverbindung zum Server System Monitor Plug-in Dieses Plug-in dient der schnellen Information über alle wichtigen Ereignisse innerhalb einer VPN- Installation als Balken- oder Linien-Diagramme. Der Administrator kann über den System Monitor je nach Bedarf aktuelle Status-Informationen in Echtzeit abrufen bzw. auf bereits gespeicherte Datenbestände der Remote Access-Umgebung zugreifen. Abb 4: Grafische Oberfläche (Single Point of Administration) Anzeigen: 1. Status-Informationen Folgende Ereignisse können gruppenbezogen angezeigt werden: - System Neustarts - Administrator-Anmeldungen (z.b. erfolgreich, abgelehnt) - Client Update-Anmeldungen (z.b. erfolgreich, abgelehnt) - Software Downloads pro Package - RADIUS-Anmeldungen (z.b. erfolgreich, abgelehnt) Die Anzeige von Verhältniszahlen zweier Ereignisse ist möglich. Seite 4 von 9

2. History Anzeige aller Ereignisse innerhalb eines bestimmten Zeitraumes: - Stunde; letzte Stunde oder die letzten 2, 3, 4, 6, 12 oder 24 Stunden - Tag; die letzten 2 oder 4 Tage - Woche; die letzte Woche - Monat; letzter oder vorletzter Monat - Aktueller Tag, aktuelle Woche, aktueller Monat Im angezeigten Diagramm kann im jeweiligen Zeitraum beliebig zurück bzw. vorwärts geblättert werden. Die Farben und Ansichten der Diagramme sind frei wählbar. Client Configuration Plug-in Dieses Plug-in ermöglicht die Konfiguration und Verwaltung von Clients. Alle relevanten Parameter werden vordefiniert und in Vorlagen (Templates) abgelegt. Einzelne Leistungsmerkmale im Überblick: - Zuweisung der Lizenzen (Seriennummer / Aktivationkey) - Vergabe der Authentisierungs-Codes für Erstverbindungen während des Rollouts - Anlegen und Verwalten von User-Profilen - Einzelne Menüpunkte und Konfigurationswerte können für den Anwender als nicht sichtbar oder nicht veränderbar eingestellt werden - Automatische Konfiguration der User-Profile für Zentralkomponenten (RADIUS, LDAP, SNMP) - Voreinstellung der Personal Firewall, nicht manipulierbar durch den remote User - Umfassendes Logging (Versionsstände, Zeitstempel für Konfigurations-änderungen, automatischer Upload von Client-Logdateien...) - Voreinstellung von VPN-Profilen - Medien-abhängiges Update (GPRS, UMTS, DSL, WLAN, etc.) - Konfigurations- und Software-Update im LAN ohne VPN Tunnel Client Firewall Configuration Plug-in Die Client Software verfügt über eine integrierte Personal Firewall, die bei den - Versionen zentral administrierbar ist. Das Client Firewall Configuration Plug-in ermöglicht eine granulare Einstellung von Firewallregeln pro Telearbeitsplatz. Folgende Konfigurationsparameter können gesetzt werden: - Applikations- und verbindungsabhängige Filterregeln - Protokoll-, port- und adressbezogene Filterregeln - Vorgaben für die Erkennung von friendly networks (IP-Adresse Netzwerk, Netzwerkmaske, IP-Adresse des DHCP-Server, MAC-Adresse) - Logging-Einstellungen - Zentrale Vorgabe der Zugangsmöglichkeiten auf die Firewallkonfiguration für den Benutzer - FND-Serverkonfiguration (Friendly Net Detection) Server Configuration Plug-in* Dieses Plug-in dient zur Konfiguration und Verwaltung von zentralen Servern und High Availability Servern. Der Funktionsumfang entspricht dem eines nicht gemanagten Systems über dessen WEB-Interface. Server: Es werden Vorlagen erstellt, die als Grundlage für individuelle VPN Gateway-Konfigurationen dienen. Folgende Parameter-Gruppen können vordefiniert bzw. konfiguriert werden: - Link-Profile - SSL VPN Seite 5 von 9

- Network Access Control / Endpoint Security - Firewall-Filterregeln - IKE- und IPsec-Richtlinien - Routing-Informationen / statische Routen - Erstellung von Zertifikaten (Maschinen-Zertifikate) - Lizenz- und Versionsmanagement High Availability Server: Es werden Vorlagen erstellt, die als Grundlage für individuelle HA Server-Konfigurationen dienen. Folgende Parameter-Gruppen können vordefiniert bzw. konfiguriert werden: - Server (im HA Verbund) - Auslastungs-Faktoren (Load-Balacing) - Externe Überwachungsregeln - Lizenz- und Versionsmanagement Remote Server Configuration Plug-in Dieses Plug-in dient zur Konfiguration und Verwaltung von dezentralen Servern. In Analogie zum Client Configuration Plug-in werden allgemeine Vorlagen erstellt, die als Grundlage für individuelle VPN Gateway-Konfigurationen herangezogen werden. In ganzheitlichen Remote Access VPN- Lösungen gilt es neben den einzelnen Telearbeitsplätzen auch geografisch verteilte VPN-Gateways zu managen. Folgende Parameter-Gruppen können vordefiniert bzw. konfiguriert werden: - Link-Profile - Firewall-Filterregeln - IKE- und IPsec-Richtlinien - Routing-Informationen / statische Routen - Erstellung von Zertifikaten (Maschinen-Zertifikate) - Lizenz- und Versionsmanagement - Log-Dateien vom Server laden PKI Enrollment Plug-in Dieses Funktionsmodul ist das Bindeglied zwischen einer Public Key-Infrastruktur (PKI) und der Remote Access VPN-Umgebung. Das PKI Enrollment Plug-in fungiert als Registration Authority (RA) und managed im Zusammenwirken mit unterschiedlichen Certification Authorities (CA) die Erstellung sowie Verwaltung von elektronischen Zertifikaten (X.509 v3). Als CAs werden unterstützt: T-Telesec NetPass, Microsoft, Demo-CA, weitere z.b. RSA Keon sind über CMP (Certificate Protocol) möglich. Eine erzeugtes Zertifikat kann wahlweise als Softzertifikat (PKCS#12) oder auf Hardware z.b. Smart Card oder USB-Token (PKCS#11) abgelegt werden. Die im Lieferumfang enthaltene Demo-CA kann während der Testphase für die Abbildung einer PKI genutzt werden, ist jedoch nicht für den produktiven Einsatz vorgesehen. Die Umstellung auf eine externe CA ist problemlos möglich Die wichtigsten Funktionalitäten: - Erstellen von Zertifikaten (auch Bulk-Mode) - Verlängern von Zertifikaten (PKCS#7) - Sperren von Zertifikaten - Verteilung der Zertifikate (auch Multi-Clientzertifikate) über den Server - Anlegen der Benutzerkonfiguration über LDAP im Verzeichnisdienst - Erstellen eines PAC-Briefes (Personal Authentication Code) für die Erstverbindung (Initialisierung, Lizenzierung) Seite 6 von 9

Network Access Control Plug-in (Endpoint Security) Mit Hilfe dieses Plug-ins werden alle sicherheitsrelevanten Parameter definiert, die vor einem Zugriff auf das Firmennetz überprüft werden sollen. Die Einhaltung der vorgegebenen Sicherheitsrichtlinien ist zwingend und von dem Anwender nicht umgeh- bzw. manipulierbar. Folgende Client-Parameter können überprüft werden: - Betriebsystem-Informationen z.b. Version, Hotfixstand - Softwarestand Client - Dienste-Informationen - Datei-Informationen - Status eines Virenscanners - Inhalte bestimmter Registry-Werte - Inhalte von Zertifikaten (Benutzer- und Hardwarezertifikat) Abweichungen von den Sollvorgaben werden protokolliert und können unterschiedliche Meldungen bzw. Aktionen auslösen, wie beispielsweise: - Anzeige einer Meldung am Client - Ausgabe einer Meldung im Log des Monitors - Senden einer Meldung zum Server - Senden einer Meldung zu einem Syslog Server - Freischalten aller oder einer bestimmten Firewall-Regel(n) - Trennung der VPN-Verbindung RADIUS Plug-in Für die Konfiguration der Managed Units (Benutzern) in den zentralen VPN-Gateways steht optional die RADIUS-Schnittstelle zur Verfügung. Dieses Plug-in dient der Verwaltung des integrierten RADIUS-Servers und deckt folgende Funktionen ab: - Automatische Anlage von RADIUS-Accounts über die Client - und Remote Server Configuration Plug-in s - Unterstützung von PAP/CHAP-Requests - Erfassung von Accounting-Daten - Sperren von Usern bei wiederholten fehlerhaften Anmeldungen - Verwaltung von mehreren RADIUS-Konfigurationen unterschiedlicher Gateways - RSA Authentication Manager Proxy-Funktionalität Optional: Redundanz durch Backup RADIUS-Server Vorteil: Bereits vorhandene RADIUS-Server können zusammengefasst d.h. auf wirtschaftliche Art und Weise abgelöst werden. Seite 7 von 9

Technische Daten Funktionalitäten / verfügbare Plug-in s: Automatic Update, Client Firewall Configuration, Client Configuration, Endpoint Policy Enforcement, Lizenzmanagement, PKI, RADIUS, Remote Server Configuration, Server Configuration, Skript und System Monitor. Versions-Versionsvoraussetzungen für Managed Units: - Client ab V 8.x - Server ab V 7.x Lieferumfang: Server (mit allen verfügbaren Plug-in s) Console (Datenbank-System ist nicht im Lieferumfang enthalten) Optionen: - Managed Units - Server Backup Systemanforderungen: Betriebssysteme: Server: 32-Bit: Windows 2003 Server, Windows 2003 R2, Windows Server 2008 Linux Kernel 2.6 ab Version 2.6.16 (Distributionen auf Anfrage) 64-Bit: Windows Server 2008, Windows Server 2008 R2 Console: Windows XP, Windows Vista, Windows 7 Weitere Angaben für Server: 512 MB Arbeitsspeicher CPU mind. Pentium III-800 MHz (abhängig von der Anzahl der Managed Units) Mit RADIUS Plug-in: Pentium IV-1,5 GHz Festplatte: min. 50 MB freier Speicher zzgl. Speicherplatz für Logdateien und ca. 20 MB pro Software-Paket Spez. zu den unterstützten Datenbanken: Oracle ab Version 9.0 MySQL ab 4.x, 5.0 und 5.1 Microsoft SQL Server 2000-2008 Spez. zu den unterstützten Certification Authorities: Microsoft Certificate Services: - als stand alone CA : ab Windows 2000 Server - als integrierte CA in der Domäne : ab Windows 2000 (Zertifikatsvorlagen können nicht angepasst werden) ab Windows 2003 Server Seite 8 von 9

Unterstützte Virenscanner: Unter Windows 7, Windows Vista, Windows XP SP2 können alle Virenscanner abgefragt werden, die ihren Status über WMI (Windows Instrumentation) oder NAC (Network Admission Control) an das Security Center liefern. Unterstützte RFC's und Drafts: RFC 2138 Remote Authentication Dial In User Service (RADIUS) RFC 2139 RADIUS Accounting RFC 2433 Microsoft CHAP RFC 2759 Microsoft CHAP V2 RFC 2548 Microsoft Vendor-specific RADIUS Attributes RFC 3579 RADIUS Support For Extensible Authentication Protocol (EAP) RFC 2716 PPP EAP TLS Authentication Protocol RFC 2246 The TLS Protocol RFC 2284 PPP Extensible Authentication Protocol (EAP) RFC 2716 Certificate Protocol RFC 2511 Certificate Request Message Format Draft-ietf-pkix-cmp-transport-protocols-04.txt Transport Protocols for CMP Draft-ietf-pkix-rfc2511bis-05.txt Certificate Request Message Format (CRMF) Seite 9 von 9

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback