NCP Secure Client Juniper Edition Release 9.23 Build 073 August 2011 1. Neue Leistungsmerkmale und Erweiterungen Im Folgenden sind neue Leistungsmerkmale beschrieben, über die der NCP Secure Client - Juniper Edition Version 9.23 Build 073 verfügt: Bearbeitung verschlüsselter / verschleierter Pre-shared Keys für den Import von SPD-Dateien Um die Vertraulichkeit von Pre-shared Keys während des Import- und Exportprozesses zu bewahren, kann der Preshared Key-Parameter in der SPD-Datei verschlüsselt werden. Jedoch findet beim Import durch den Secure Client Juniper Edition eine Prüfung statt, die über das weitere Verfahren entscheidet, je nachdem ob der Pre-shared Key- Parameter ( PRESHR ) in Klartext geschrieben oder verschlüsselt bzw. verschleiert ist: Nur die PRESHR-Parameter in Klartext werden importiert Alle PRESHR-Parameter die verschlüsselt oder verschleiert sind, werden ignoriert und der Pre-shared Key Eintrag im entstehenden Profil bleibt leer. NCP empfiehlt zwei verschiedene Methoden zum Umgang mit verschlüsselten bzw. verschleierten PRESHR- Parametern in den SPD-Dateien: 1. Importieren Sie die unveränderte SPD-Datei auf dem üblichen Weg und ändern Sie den Pre-shared Key im Profil erst nachdem das Profil nach den vorgegebenen Parametern erzeugt wurde. Dazu selektieren Sie im Monitormenü: Konfiguration / Profile - Profile bearbeiten / Security / Pre-shared Key. Dies ist zwar die einfachere der beiden Methoden, sie ist jedoch nicht dann sonderlich geeignet, wenn die SPD-Datei in mehr als ein oder zwei Maschinen importiert werden muss. 2. Ändern Sie den PRESHR-Parameter in der SPD-Datei bevor diese Datei importiert wird. Ersetzen Sie den hexadezimalen String des Pre-shared Keys mit dem Klartext für den Pre-shared Key, der im Profil eingesetzt werden soll. Dieses Verfahren ist insbesondere dann sinnvoll, wenn die gleiche SPD-Datei von einer Anzahl verschiedener Secure Client Juniper Edition Maschinen importiert werden soll. Um den PRESHR-Parameter zu bearbeiten gehen Sie vor wie folgt: Machen Sie ein Backup von der originalen SPD-Datei. Falls die SPD-Datei während der Bearbeitung korrupt werden sollte, können Sie auf das Original zurückgreifen. Öffnen Sie die SPD-Datei mit einem Text-Editor. Suchen Sie nach Zeilen dieser Art: "PRESHR"=hex:b3,02,03,af,66,cc,97,6a,b3,b7,23,0c,f0,27,92,e4,40,e3 (Beachten Sie, dass dies nur ein Beispiel ist. Die tatsächlichen Werte sehen von Fall zu Fall anders aus.) Ersetzen Sie den String: hex:b3,02,03,af,66,cc,97,6a,b3,b7,23,0c,f0,27,92,e4,40,e3 durch den Pre-shared Key der verwendet werden soll, zum Beispiel: 123ABC456DEF Wichtig Die hexadezimal dargestellte Zeichenfolge kann ein Länge von bis zu 255 Zeichen besitzen. Vergewissern Sie sich, dass alle Zeichen entfernt und durch den Klartext-String ersetzt wurden. Der Klartext-String muss in Anführungszeichen gesetzt werden; siehe Beispiel unten. Page 1 of 6
Enthält die SPD-Datei Parameter-Gruppen für mehrere Profile, muss jeder dieser Parameter- Gruppen der korrekte PRESHR-Parameter gegeben werden. Achten Sie darauf, dass die Werte anderer Parameter unverändert bleiben. Beispiele von SPD-Dateien mit Verschlüsselung und Klartext: Verschlüsselter Pre-shared Key (z. B. vor der Bearbeitung) [HKEY_LOCAL_MACHINE\SOFTWARE\IRE\SafeNet/Soft-PK\ACL\33\MYID] "CERTIFICATELABEL"="" "CERTIFICATEISSUER"=hex: "PORT"=dword:00000000 "PORTNAME"="All" "NET_INTFC"="" "InternalIP"=dword:00000000 "AUTOCERT"=dword:00000000 "TYPE"=dword:00000003 "FQDN"="" "UFQDN"="statewic2@doh.wa.lcl" "PRESHR"=hex:b3,02,03,af,66,cc,97,6a,b3,b7,23,0c,f0,27,92,e4,40,e3 "DN"=hex: Klartext Pre-shared Key (z. B. nach der Bearbeitung) [HKEY_LOCAL_MACHINE\SOFTWARE\IRE\SafeNet/Soft-PK\ACL\33\MYID] "CERTIFICATELABEL"="" "CERTIFICATEISSUER"=hex: "PORT"=dword:00000000 "PORTNAME"="All" "NET_INTFC"="" "InternalIP"=dword:00000000 "AUTOCERT"=dword:00000000 "TYPE"=dword:00000003 "FQDN"="" "UFQDN"="statewic2@doh.wa.lcl" "PRESHR"="123ABC456DEF" "DN"=hex: SPD-Dateien sind mit einer Import-Funktion des Secure Clients verknüpft Eine SPD-Datei ist so mit der Import-Funktion für Profile verknüpft, dass ein Doppelklick auf diese Datei in einem Windows Browser genügt, damit sie vom NCP Secure Client korrekt importiert wird. RWSCMD-Kommando "/writeclientinfocenterdata" eingeführt Wird das Kommando "RWSCMD /writeclientinfocenterdata" in einer DOS-Box ausgeführt, dann werden die Daten des Client-Info-Fensters in eine Datei geschrieben. Das Kommando ist äquivalent zur Funktion in Datei speichern im Fenster des Client Info Centers. Wird dem Kommando kein Argument für den Dateinamen mitgegeben, wird die Datei in das Verzeichnis Eigene Dateien\ClientInfoCenter.txt" geschrieben. Wird Pfad und Dateiname mitgegeben, werden die Daten unter dem angegebenen Pfad in eine Datei entsprechenden Namens geschrieben. Existiert der angegebene Pfad nicht, wird die Datei in das Verzeichnis Eigene Dateien\ClientInfoCenter.txt" geschrieben. Page 2 of 6
2. Fehlerbehebungen Folgende Fehler wurden seit Version 9.23 Build 17 behoben: Auflösung von vorkonfigurierten Variablen Wurden für die Client-Konfiguration (z. B. von Zertifikaten) Platzhalter verwendet (z.b. %INSTALLDIR%), so wurden nur die NCP-Platzhalter konvertiert, Windows-Umgebungsvariablen wurden nicht korrekt aufgelöst. Diese Fehler wurden behoben. Weitere Korrekturen - Anpassungen bezüglich des Ablaufs des Testzeitraumes wurden vorgenommen. - Die Ursachen für einen sporadischen Absturz des Client Monitors nach einem Benutzerwechsel wurden behoben. Korrekter Import von SPD-Dateien mit Daten für mehrere Profile In früheren Versionen wurden nach dem Import von SPD-Dateien, die Daten für mehrere Profile enthielten, diese Profile nicht korrekt erzeugt. Dieser Fehler wurde behoben, so dass alle erforderlichen Profile nach den Vorgaben der SPD-Datei erzeugt werden. Import von Konfigurationsdateien Konfigurationsdateien werden auch dann korrekt importiert, wenn sie von einem Netzlaufwerk eingelesen werden. Lesbarkeit der gespeicherten Log-Ausgaben In den gespeicherten Log-Ausgaben des Clients wurden Leerzeichen eingefügt, um die Lesbarkeit zu erhöhen. So wurde zum Beispiel diese Ausgabe: 20.08.2010 15:19:55IPSec:Start building connection geändert in diese Form: 20.08.2010 15:19:55 IPSec: Start building connection Zudem wurde die Schreibweise der Zahlen sprachlich angepasst. Im Englischen zum Beispiel "235,000.15 kbyte", im Deutschen ""235.000,15 kbyte". Schwachstelle in NCP Secure Client Der NCP Secure Client hat sich als anfällig gegenüber eines als DLL-Hijacking bezeichneten Angriffs erwiesen. Dieser Angriff nutzt eine Schwäche in der Abarbeitung des Ladevorganges von DLLs unter Windows aus. Diese Schwachstelle wurde mit Patches behoben. Weitere Informationen und Download unter der NCP Website: http://www.ncp-e.com/fileadmin/pdf/service_support/ncp_client_vulnerability_statement.pdf 3. Bekannte Einschränkungen Keine Page 3 of 6
4. Hinweise zum NCP Secure Client Juniper Edition Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: http://www.ncp-e.com/de/ueber-uns/oem-partner/ncp-juniper-allianz.html Mail: juniperhelpdesk@ncp-e.com 5. Leistungsmerkmale Betriebssysteme Windows (32 Bit): Windows7, Windows Vista, Windows XP Windows (64 Bit): Windows7, Windows Vista, Windows XP Unterstützung von Juniper Gateways mit Junos- und ScreenOS-Betriebssystemen Requirement Juniper IPsec Gateway (support for ScreenOS) Security Features Der NCP Secure Client Juniper Edition unterstützt alle IPsec-Standards der Internet Society s Security Architecture für das Internet-Protokoll (IPsec) sowie alle zugehörigen RFCs. Virtual Private Networking IPsec (Layer 3 Tunneling) IPsec-Proposals können determiniert werden durch das IPsec -Gateway (IKE, IPsec Phase 2) Kommunikation nur im Tunnel, Message Transfer Unit (MTU) Size Fragmentation und Re-assembly Dead Peer Detection (DPD) Network Address Translation-Traversal (NAT-T) IPsec Tunnel Mode Authentication Internet Key Exchange (IKE): o Aggressive Mode und Main Mode, o Quick Mode Perfect Forward Secrecy (PFS) o IKE-Config-Mode für die dynamische Zuteilung einer privaten Adresse aus einem Adress-Pool o Pre-shared Secrets oder RSA-Signaturen (mit entsprechender Public Key Infrastructure) Benutzer-Authentisierung: o XAUTH für erweiterte Benutzer-Authentisierung One-Time-Passwörter und Challenge Response Systeme Unterstützung von Zertifikaten in einer PKI: o Soft-Zertifikate, Smart Cards, USB Token: Multi-Zertifikats-Konfiguration Seamless rekeying (PFS) RSA SecurID Ready Verschlüsselung (Encryption) Symmetrisch: AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits Asymmetrisch: RSA bis 2048 bits für dynamischen Schlüsselaustausch Perfect Forward Secrecy Page 4 of 6
FIPS inside: Der IPsec Client integriert kryptografische Algorithmen nach FIPS-Standard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS 140-2 zertifiziert (Zertifikat #1051). Die FIPS Kompatibilität ist immer gegeben, wenn einer der folgenden Algorithmen für Aufbau und Ver-schlüsselung der IPsec-Verbindung genutzt werden: Diffie Hellman-Gruppe: Gruppe 2 oder höher (DH ab einer Länge von 1024 Bit) Hash-Algorithmen: SHA1, SHA 256, SHA 384, oder SHA 512 Bit Verschlüsselungs-Algorithmen: AES mit 128, 192 oder 256 Bit, oder Triple DES Hash / Message Authentisierungs-Algorithmen SHA-256, SHA-384, SHA-512, MD5 Diffie Hellman-Gruppen 1, 2, 5, 14 für asymmetrischen Schlüsselaustausch und PFS Public Key Infrastructure (PKI) Starke Authentisierung X.509 v.3 Standard PKCS#11-Schnittstelle für Verschlüsselungs-Tokens (USB und Smart Cards) Smart Card-Betriebssysteme o TCOS 1.2, 2.0 und 3.0 Smart Card Reader-Schnittstellen o PC/SC, CT-API PKCS#12-Schnittstelle für private Schlüssel in Soft-Zertifikaten Certificate Status Protocol (CSP) zur Verwendung von Benutzerzertifikaten im Windows-Zertifikatsspeicher Administrative Vorgabe für die Eingabe beliebig komplexer PINs Revocation: o End-entity Public-key Certificate Revocation List (EPRL vormals CRL) o Certification Authority Revocation List, (CARL vormals ARL) o Online Certificate Status Protocol (OCSP) Networking Features LAN Emulation Virtueller Ethernet-Adapter mit NDIS-Schnittstelle Netzwerk Protokoll IP IP Address Allocation Dynamic Host Control Protocol (DHCP) DNS: Anwahl des zentralen Gateways mit wechselnder öffentlicher IP-Adresse durch Abfrage der IP-Adresse über einen DNS-Server Line Management Dead Peer Detection mit konfigurierbarem Zeitintervall Weitere Leistungsmerkmale Import der Dateiformate:*.ini, *.pcf, *.wgx, *.wge and *.spd. Internet Society RFCs und Drafts Security Architecture for the Internet Protocol and assoc. RFCs (RFC2401-2409), o Internet Key Exchange Protocol (includes IKMP/Oakley) (RFC 2406), o Negotiation of NAT-Traversal in the IKE (RFC 3947), o UDP encapsulation of IPsec Packets (RFC 3948), o IKE Extended Authentication (XAUTH), IKE configure (IKECFG) and Dead Peer Detection (DPD) Page 5 of 6
Client Monitor Intuitive graphische Benutzeroberfläche Mehrsprachigkeit (English, German and French) Icon, das den Verbindungsstatus anzeigt Client Info Center Übersicht über: o Allgemeine Informationen - Version#, MAC-Adresse etc. o Verbindung aktueller Status o Services/Applications Prozess-Status o Zertifikats-Konfiguration eingesetzte Zertifikate etc. Konfiguration, Verbindungsstatus, Logbuch (mit Farbmarlierungen und Copy&Paste-Funktion) Passwort-geschützte Konfiguration und Profil-Management Trace Tool zur Fehlerdiagnose Page 6 of 6