NCP Secure Enterprise HA Server Service Release 3.04 Build 29 (Windows 64) Oktober 2014 Windows Server 2008 R2 64 Bit Windows Server 2012 64 Bit Windows Server 2012 R2 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 2. Fehlerbehebung und Änderungen CVE-2014-3566 / "POODLE" Sachverhalt SSL Version 2.0 und 3.0 aus diesem Produkt entfernt Das SSL-Protokoll 3.0, implementiert in OpenSSL bis Version 1.0.1i und anderen Produkten, nutzt eine CBC-Auffüllung, bei welcher nicht nur definierte und reproduzierbare Zustände auftreten können. Dadurch entsteht eine Sicherheitslücke, über die bei einer Man-in-the-Middle-Attacke unter Verwendung einer Auffüll-Vorhersage, auch als POODLE Sachverhalt bekannt, Daten im Klartext gewonnen werden können. Aus diesem Grund werden die SSL-Protokolle Version 2.0 und 3.0 mit diesem Produkt nicht mehr eingesetzt. Das TLS-Protokoll versorgt alle grundlegenden Web-Dienste (HTTPS) mit Verschlüsselungsund Authentisierungs-Algorithmen. Seite 1 von 11
Service Release 3.04 Build 28 (Windows 64) Juli 2014 Windows Server 2008 R2 64 Bit Windows Server 2012 64 Bit Windows Server 2012 R2 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 2. Fehlerbehebung und Änderungen Open SSL 1.0.1 H nach dem Sicherheitsgutachten vom 5. Juni 2014 Die im Gutachten vom 5.6. 14 aufgeführten Sicherheitslücken wurden mit Open SSL 1.0.1 H geschlossen und diese Version im aktuellen NCP Secure Enterprise HA Server implementiert. (Siehe https://www.openssl.org/news/secadv_20140605.txt) Seite 2 von 11
Service Release 3.04 Build 27 (Windows 32/64) Mai 2014 Windows Server 2003 R2 Enterprise Edition 32/64 Bit Windows Server 2008 Enterprise 32/64 Bit Windows Server 2008 R2 Enterprise 64 Bit Windows Server 2012 Datacenter 64 Bit Windows Server 2012 R2 Datacenter 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 4. Neue Leistungsmerkmale und Erweiterungen 5. Fehlerbehebung und Änderungen Sporadisch auftretenden Deadlocks Behebung eines sporadisch auftretenden Deadlocks welches den HA Server in seiner Funktion blockierte und den Neustart des HA Servers notwendig machte. Fehler behoben. 6. Bekannte Einschränkungen Seite 3 von 11
Service Release 3.04 Build 24 (Windows 32/64) April 2014 Windows Server 2003 R2 Enterprise Edition 32/64 Bit Windows Server 2008 Enterprise 32/64 Bit Windows Server 2008 R2 Enterprise 64 Bit Windows Server 2012 Datacenter 64 Bit Windows Server 2012 R2 Datacenter 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 2. Fehlerbehebung und Änderungen Open SSL Heartbleed-Bugs (CVE-2014-0160) Behebung des sog. Heartbleed-Bugs (CVE-2014-0160) in der Krypto-Bibliothek OpenSSL. Seite 4 von 11
Service Release 3.04 Build 23 (Windows 32/64) April 2014 Windows Server 2003 R2 Enterprise Edition 32/64 Bit Windows Server 2008 Enterprise 32/64 Bit Windows Server 2008 R2 Enterprise 64 Bit Windows Server 2012 Datacenter 64 Bit Windows Server 2012 R2 Datacenter 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 2. Fehlerbehebung und Änderungen Seite 5 von 11
Service Release 3.04 Build 22 (Windows 32/64) März 2014 Windows Server 2003 R2 Enterprise Edition 32/64 Bit Windows Server 2008 Enterprise 32/64 Bit Windows Server 2008 R2 Enterprise 64 Bit Windows Server 2012 Datacenter 64 Bit Windows Server 2012 R2 Datacenter 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 Windows Internet Explorer Version 11 Support Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server- Konfiguration genutzt werden. 2. Fehlerbehebung und Änderungen Seite 6 von 11
Service Release 3.04 Build 20 (Windows 32/64) August 2013 Windows Server 2003 R2 Enterprise Edition 32/64 Bit Windows Server 2008 Enterprise 32/64 Bit Windows Server 2008 R2 Enterprise 64 Bit Secure Enterprise Management Server: ab Version 3.01 015 Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051 In diesem Release sind folgende neue Leistungsmerkmale enthalten: Adressierung des Gateways Der NCP Secure Enterprise VPN Server kann vom HA Server über IPv6 adressiert werden. : HA Server (Win): Version 3.04 ab Build 020 Secure Enterprise Server (Win): Version 8.11 ab Build 168 Server Plug-in (SEM): Version 8.11 ab Build 48 Priorisierung der Clients NCP Secure Enterprise VPN Server, die im Load Balancing Modus eines HA Servers in Betrieb sind, können vom HA Server (bzw. durch das Secure Enterprise Management) für die Bereitstellung eines VPN-Tunnels gemäß Benutzer-Priorisierung konfiguriert werden. Dies ist dann wichtig, wenn beispielsweise die Kapazitäten der HA-Server ausgelastet sind, bzw. nicht ausreichend viele Lizenzen für alle Clients vorhanden sind. Nur Benutzer mit einer entsprechend hohen Priorität erhalten dann Zugang. Setzen der Priorität in der Server-Konfiguration: Server-seitig wird die Benutzer-Priorität in der HA Server-Konfiguration festgelegt. Dies erfolgt zentral in deren Vorlage des jeweiligen HA Servers für alle an ihn angebundenen Gateways. Die Benutzer -Priorität, die dort für die Benutzer (einer Domain-Gruppe) definiert wird, sagt aus, dass der VPN-Zugang nur den Clients gestattet wird, die mindestens eine ebenso hohe Priorität genießen. Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", abgestuft bis zur "255", der niedrigsten Priori tät. Die Standardeinstellung ist "0", bedeutet, dass die Funktionalität des priorisierten Zugangs ausgeschaltet ist. Alle VPN-Benutzer haben Zugang. Wird die Funktionalität der Benutzer-Priorität gesetzt, so werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als die hier angegebene Priorität genießen. Höchste Priorität ist die erste, "1". Wird am Server der Level für die Benutzer-Priorität z. B. auf "5" gesetzt, so werden alle Benutzer ausgesperrt, die eine niedrigere Priorität (6 bis 255) genießen. Dies erfolgt unmittelbar mit Festsetzen der Benutzer-Priorität am Server. VPN-Verbindungen von Clients, die zu diesem Zeitpunkt bestehen, werden getrennt, sofern die Clients nicht der gesetzen Priorisierung gerecht werden. Erneute Seite 7 von 11
Verbindungsversuche dieser Clients werden abgelehnt. Zu Trennung und Ablehnung einer VPN- Verbindung erhalten die Clients eine entsprechende Meldung. Die Benutzer-Priorität in der Client-Konfiguration zuweisen: Welche Priorität ein Benutzer genießt, kann nur in der RADIUS- oder LDAP-Konfiguration für den jeweiligen Client definiert werden. Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", usw. abgestuft bis zur "255", der niedrigsten Priorität. Zur Beachtung: Der voreingestellte Standardwert für die Benutzer-Priorität am Client ist "0". Diese Einstellung bewirkt, das die zentralseitig definierte Zugangsbeschränkung für Clients mit der Benutzer - Priorität "0" nicht gilt. Diese Clients erhalten unabhängig von der zentralseitigen Priorisierung immer VPN-Zugang. Text in der Oberfläche (Domain-Gruppen): Sobald die Funktionalität der Benutzer-Priorität eingesetzt wird, werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als hier am HA Server angegebene Priorität (oder keine) genießen. Höchste Priorität ist die erste, "1". Aktuell bestehende VPN-Tunnel-Verbindungen von Benutzern einer niedrigeren (oder keiner) Priorität werden sofort getrennt. "0" schaltet die Funktionalität der priorisierten Tunnel-Nutzung aus. 2. Fehlerbehebungen Seite 8 von 11
Service Release 3.03 Build 7 (Windows 32/64) Juni 2012 In diesem Release sind folgende neue Leistungsmerkmale enthalten: Seamless Roaming Force Single VPN Connection Mit diesem Schalter wird verhindert, dass mehrere VPN Verbindungen von einem Client der Seamless Roaming nutzt, parallel bestehen bleiben können. Ist der neue Schalter Force single VPN Connection unter General aktiv (ist default Wert), sendet bei einer VPN Anmeldung das GW mit der eingehenden VPN Verbindung eine Nachricht zu allen anderen GW in LB Verbund, das dieser Benutzer auf GW x ist. Sollte für diesen Benutzer ein VPN Tun nel auf eine anderen GW noch Aktiv, wird dieser Tunnel abgebaut. : HA Server (Win): Version 3.03 ab Build 004 Secure Enterprise Server (Win): Version 8.10 ab Build 051 Server Plug-in (SEM): ab Build 15 2. Fehlerbehebungen 4. Hinweise zum NCP Secure Enterprise Management Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: http://www.ncp-e.com/de/downloads Weitere Unterstützung bei Fragen zum NCP Secure Enterprise Management, erhalten Sie über die Mail-Adressen auf folgender Seite: http://www.ncp-e.com/de/support.html Mail: support@ncp-e.com Seite 9 von 11
5. Leistungsmerkmale Die NCP Secure Enterprise High Availability Services sind Komponenten der ganzheitlichen NCP Enterprise-Lösung. Sie sorgen für die Hochverfügbarkeit eines oder mehrerer NCP Secure Enterprise VPN Server und damit des Virtual Private Network eines Unternehmens durch ein Backup-System und die gleichmäßige Lastverteilung auf mehrere NCP Secure Enterprise VPN Server (VPN Gateways). Dabei stehen ständig alle VPN-Tunnel für die Kommunikation mit dem zentralen Datennetz zur Verfügung. Funktionalität Der HA Server übernimmt je nach Auslastung oder Störungsfall die automatische Umschaltung zwische n den VPN Gateways. Aus Sicherheitsgründen ist er redundant ausgelegt und benötigt jeweils eine eigene offizielle IP-Adresse. In einem Failsafe-System ist er darüber informiert, welches der beiden Gateways aktiv ist und welches sich im Backup-Status befindet. Im Load Balancing-System weiß er, welches der VPN Gateways am wenigsten ausgelastet ist. Betriebsmodi Failsafe Im Failsafe-Modus ist nur ein VPN Gateway aktiv. Ein zweites wird als Backup-System (Hot Standby Backup) installiert, um Stillstand oder Ausfall des aktiven (ersten) Gateways kompensieren zu können. Load Balancing Der Load Balancing-Modus wird dazu genutzt, die Tunnelverbindungen der Clients gleichmäßig über mehrere aktive VPN Gateways verteilen zu können. VRRP NCP HA Server unterstützen zusätzlich zu Failsafe und Load Balancing auch den VRRP- Betriebsmodus. Dieser Betriebsmodus ist jeweils kostenfrei in der HA-Lizenz beinhaltet und wird dann benötigt, wenn das HA-System parallel zu native VPN-Tunnelverbindungen auch SSL VPN- Tunnelverbindungen verwalten soll. Zentrale Verwaltung, Management Für die Konfiguration und Administration stellt NCP das Web-Interface für den HA Server zur Verfügung. Konfigurationsänderungen oder Erweiterungen können sowohl lokal als auc h remote vorgenommen werden. Darüber hinaus gestattet das Server Plug-in des zentralen Secure Enterprise Managements (SEM) die Erstellung und die Übertragung der Server-Konfigurationen an die jeweiligen Komponenten des HA-Systems. Lizenzmodell Die HA-Lizenz gilt immer für einen Primary und einen Backup HA Server im FS - oder LB-Modus mit der gewünschten Anzahl von VPN-Tunnels. Die Software ist dann vollständig lizenziert, wenn an beiden Servern die gleiche Seriennummer und der gleiche Aktivierungsschlüssel eingegeben wird. Nach der Lizenzierung kann der Betriebsmodus eingestellt werden. (Im Load Balancing-Modus ist darauf zu achten, dass die Anzahl der Tunnel-Lizenzen für IPsec Clients am HA Server mindestens der Summe der Tunnel-Lizenzen an den eingesetzten VPN Gateways entspricht. Eine Reservierung der Tunnels ist im Load Balancing-Modus nicht möglich. Der HA Server errechnet selbständig die Anzahl der Tunnels, die er den VPN Gateways zuweist. Zudem ist eine zweite Gateway-Lizenz nötig.) Seite 10 von 11
Soll alternativ oder zusätzlich eine Anzahl von SSL VPN-Tunnelverbindungen gemanagt werden, so muss zur Lizenzierung der gewünschten Anzahl (Concurrent Users) ein eigener Aktivierungsschlüssel über das Web-Interface eingegeben werden. Beachten Sie, dass die Nutzung einer SSL VPN-Lizenz für eine native VPN-Verbindung nicht möglich ist. Optional können weitere Tunnel-Lizenzen für IPsec- oder SSL VPN Clients in beliebiger Anzahl hinzu erworben werden. für de n HA Server 32-Bit Betriebssysteme Windows Server 2003 R2, Windows Server Enterprise 2008 SP2 64-Bit Betriebssysteme Windows Server Enterprise 2008 SP2, Windows Server Enterprise 2008 R2 SP1 CPU empfohlen Dual Core Arbeitsspeicher min. 1 GB Festplattenspeicher ca. 400 MB freier Speicher auf der Festplatte Web Interface Web-Browser Unterstützung Bitte verwenden Sie einen der folgenden Web-Browser in einer neueren Version: Internet Explorer Firefox u.a. Mozilla-Browser Safari Chrome Seite 11 von 11