Bintec Secure IPSec Client
Contents
1. 27 31 RER EE EE 94 Diffie Hellman ss gas i 0 3 20 e e 142 Directory Service a m a E e a 157 DNS 36 aa as ds eat is EE 158 Benutzerhandbuch Bintec Secure IPSec Client m 169 ee OS DNS Adtesse u citar ba 27 DNS Server a wur nn aa ee Bere 111 Dom nen Anmeldung oo o 124 DPD Dead Peer Detection 106 111 146 dynamische Linkzuschaltung 14 97 E EAP MES sae ia e ae ra Balls 72 EAP Optionen s s cd ae AA dos 72 Encapsulating Security Payload 136 Endito Site VEN esos Same ea ran 135 Erweiterte Authentisierung 19 Erweiterte Firewall Einstellungen 62 137 ESP arta ds a da 105 136 ESP 3DES MDS e socie pos a EN Ee ie S 100 Esch Mode ce io a aca ios Ye re 106 Extended Authentication XAUTH 108 126 144 extendedKeyUs ge u 0 es e 50 51 F Filterregel ss 22 ANE 408008000 a 64 Fingerprint s 4 vd a Sr EE E Ser LR 48 Fingerprint des Aussteller Zertifikats 116 Firewall wa Senne ER e a S 158 Firewall Einstellungen o ooo 119 G Gateway IPSec ooomm o coro mess 99 GPRS coa echt a E a 18 88 OSM c a 18 G ltiskeitsdauer ceci A id re Ar 48 H Hash IKE Richtlinie o oo o o 103 Hayes BefehIsSGtz m s soes cra won ae aa 18 H tsp t aser 220 0 wor nn a 13 HSCSD eh u an euere naar bg 18 Hybride Verschl sselung 159 l TEMP ica e a R A Be 64 ID Identit2. Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet n chsten Reboot im Maximum Receive Unit 1500 i Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Sp eicher gehalten Maximum Receive Unit 1500 Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 L2TP tunnel client connection closed 53 L2TP tunmel control connection closed 37 53 ISDN trennen von Test connection SSL auf Kanal 1 09 37 53 ISDN getrennt 349F von Test connection SSL auf Kanal 1 19 04 02 09 37 53 Verbindung normal beendet Eine zus tzliche Log Datei speichert die Aktionen des Clients selbst ndig f r die letz ten sieben Tage Log Ausgaben die lter als sieben Betriebstage sind werden automat isch gel scht Die Datei steht unter NCPLE LOG und hei t NCPyymmdd LOG Sie wird mit Datumsangabe yymmdd immer bei Beenden des Monitors geschrieben Die Datei kann mit einem Texteditor ge ffnet und analysiert werden E Logbuch Die Buttons des Logbuchfensters haben folgende Funktionen ffne Datei Schlie e Datei L schen Fensterinhalt Schlie en Log Fenster ffne Datei Wenn Sie auf diesen Button klicken erhalten Sie in einem weiteren Fenster die M glichkeit Name
3. Ereignet sich ein Fehler so wird die Verbindung nicht hergstellt und die Fehlerursache im Monitor angezeigt beachten Sie dazu den Abschnitt Fehler und ISDN Meldungen Mit der Funktion Trennen wird der Abbau der aktuell bestehenden Verbindung manuell durchgef hrt Wenn Sie die M glichkeit behalten wollen jederzeit die Verbindung manuell abbauen zu k nnen setzen Sie den Verbindungsaufbau auf manuell und deaktivieren den automatischen Timeout indem Sie ihn auf Null 0 setzen gt Verbindungsaufbau Wenn die Verbindung abgebaut wird wechselt die farbliche Darstellung der Verbindungslinie bis sie verschwindet und die Ampellampen des Monitors f r die gesamte Offline Dauer von gr n zu rot Bintec Secure IPSec Client mmm 127 Verbindungsaufbau 128 Trennen und Beenden des Monitors Besteht eine Verbindung noch und wird der Monitor beendet so wird nicht automat isch die Verbindung getrennt Soll die m glicherweise kostenpflichtige Verbindung be stehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Be st tigung von der Software verlangt siehe Bild unten Klicken Sie in diesem Best ti gungsfenster auf Nein so haben Sie auf Ihrer Desktop Oberfl che kein Icon und kei nen Hinweis mehr darauf dass noch eine Verbindung ak tiv ist und Geb hren anfallen k nnen In diesem Fall m s sen Sie den Monitor erneut starten um eine bestehende Ver
4. Benutzerhandbuch Bintec Secure IPSec Client mm 97 4 1 5 IPSec Einstellungen 98 Konfigurationsparameter Profil Einstellungen Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management O IPSec Einstellungen ie Identit t IP Adressen Zuweisung e YPN IP Netze Zertifikats berpr fung Firewall Einstellungen Automatischer Modus Automatischer Modus Main Mode gt In diesem Parameterfeld geben Sie die IP Adresse des Gateways ein Dar ber hinaus legen Sie die Richtlinien fest die f r die IPSec Verbindung in der Phase 1 und Phase 2 Verhandlung verwendet werden sollen Sofern der automatische Modus genutzt wird akzeptiert der Client die Richtlinien wie sie vom Gateway der Gegenstelle vorgegeben werden Soll der IPSec Client als Initiator der Verbindung eigene Richtlinien verwen den so m ssen diese mit dem Richtlinien Editor konfiguriert werden Die erweiterten Optionen k nnen nach Abstimmung mit der Gegenstelle eingesetzt werden Parameter O Gateway O IKE Richtlinie O IPSec Richtlinie O Richtlinien G ltigkeit O Richtlinien Editor mm m mm Bintec Secure IPSec Client O Exch Mode L PFS Gruppe O IP Kompression LZS verwenden O DPD Dead Peer Detection deaktivieren Benutzerhandbuch Profil Einstellungen Gateway Dies ist die IP Adresse des IPSec Gateways auch Tunnel Endpunkt Sie erhalten die Adresse von Ihrem Administrator entweder als Hex Adresse wen
5. o 138 139 Schwellwert f r Linkzuschaltung 97 Scrpt D tel zus 0 ah a nn 91 Seamless re keying gt s es soco dero caerra ters 143 Secure Policy Database o o o o o 135 SEGUI A 5 s E ee ele RE A Ga 135 Security Association 2 3 A EE EN ana 136 Security Richtlinis o seo era en 135 Security Richtlinien EEN EEN EE d Y 135 Selekl r u ee ee E 135 Seriennummer usa una Hash rn 25 36 48 SHA ca a a ei 103 105 SHA1 Fingerprint verwenden 116 143 Shared SOCIE e iea raia a ea Ba A E 108 Short Hold Mode 2000000002000 EE EE E EE AE A 13 SIS pa a Se Pina da I 20 SIM PIN g 5 0 48 wma aaa rue 94 Site torSite VEN y p rara dea aa 135 Smart Card pia a a a ar 15 19 Sofe Zertifikat las sr samen meer ae 21 EE EEN 25 Source Routing a gar Sram a a are 166 SEDES a a aa a ne a lara o a 135 Sperrlisten urn srta ans cat A a a Bee 150 Split Tunneling nica de es sn Be ET 112 SSL Server Authentisierung 150 Stat ful Inspection s socam satya an na A A A 151 172 2 Bintec Secure IPSec Client Benutzerhandbuch I MM Stateful Inspection aktivieren o o 120 SN 4 ag da ee ae ee 47 Statistik uses aan rennt 46 Statistik Verbindungssteuerung e 56 Strong Authentication s so s sea merete aidea 19 subjectKeyldentifier 50 52 149 Subnet Masken cuore ENER a EE 113 Symmetrische Verschl sselung 166 T TC Trust CardOS M4 2 ooo momo o 20 TER 4 3 a aa rn
6. o o 91 Amtshol ng AEN er E EE 65 91 analoges Modem q lt s ss deaa ae une ae wen 18 Anschluss u 254004 E E ra EE 93 Anschluss Modem 2 2 2 30 a A A 93 EE er neue 94 Asymmetrische Verschl sselung 155 Aussteller GA ads a ei la ee 48 Austausch Modus 140 Authentication Header 136 Authentisierung IKE Richtlinie 103 authorityKeyldentifier 50 52 149 automatische Dialer 13 14 Automatischer Modus 100 automatischer Verbindungsaufbau 121 Autostart u an aan ee ae sl Autostarttyp mamuell o ooo ooo 148 AVM PPP over CAPI A SE NEE EE NEE 19 B Baudrale ya a nr a a a di 93 Beenden des Monitor 128 Benuizername ss HR RR nr nn 90 125 Benutzername XAUTH 108 109 126 Betriebssystem cuco u sa ee ae 18 Blowfish au usa aan arte 47 103 105 Bluetooth wies nen an nn ne 18 C CA Certification Authority e 48 CA Zertitik t se s ww A EN 50 Certification Authority 156 Chipkarten u o u o ea ren 20 Chipkattenleser ui da 1 00 ser ah a 19 66 Client Logon Swen ee wear arena 124 COM POT ue a ia ee 93 Com Port freigeben y dos sania a aa a sa ah 93 D D tend rchs tz 4 28 002 sweet sun 46 DefaultiG teway 3 0 ere on ar are a 27 31 Demilitarisierte Zone s s emo wo temp 2 des 158 RRE EE 88 120 DH Gruppe IKE Richtlinie e 103 DHCP Dynamic Host Control Protocol
7. Manager Software digital signierte Best tigun gen Zertifikate aus und brennt sie auf eine Smartcard Chipkarte Eine CA kann ein privater Dienstleister oder eine ffentiche Einrichtung sein Diese Zertifizierungsstellen bed rfen nicht der Ge nehmigung durch den Staat Sie haften f r die Richtigkeit der Zertifikate CAPI Common Application Programm Interface Diese Schnittstelle wird im ISDN als Common ISDN API bezeichnet und entspricht der PCI Schnittstel le Programmable Communication Interface Die Schnittstelle erlaubt den direkten Zugang zum ISDN und den unteren Protokoll schichten Ebene 1 3 H here Protokolle Anwendungen wie Telex oder Filetransfer k nnen unabh ngig von der ein gesetzten Hardware Plattform verwendet werden Die CAPI gibt es in zwei Versionen 1 1 und 2 0 156 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I A Entsprechend sind auch dielSDN Anwendungspro gramme programmiert die entweder auf CAPI 1 1 oder CAPI 2 0 aufsetzen bzw die jeweilige CAPI voraussetzen Eine Hybrid CAPI gestattet sowohl den Einsatz einer Anwendungs Software f r CAPI 1 1 als auch den von CAPI 2 0 Software Siehe Hybrid CAPI CCP Compression Control Protocol CHAP Challenge Handshake Authentication Protocol CLI Calling Line Identification Rufnummern Identifi zierung im Euro ISDN COSO Charge One Side Only COSO R ckruf auch Low Level oder D Kanal R ckruf F r den Initiator des R ckrufs im D Kanal
8. Message 1 Header Security Association gt Message 2 Header Security Association unver 4 gt schl sselt Message 3 Header Key Exchange Nonce Diffie Hellmann Gruppe Message 4 Header Key Exchange Nonce F Symmetrische 2 Verschl sselung ar und Hash schl sselt Wird die Pre shared Key Methode im Main Mode genutzt Bild oben so muss der Client am VPN GW durch seine IP Adresse eindeutig identifizierbar sein da der Pre shared Key mit in die symmetrische Schl sselberechnung einbezogen und verschl sselt wird bevor sonstige In formationen bertragen werden die den Client identifizieren k nnten Ein Client der sich beim Provider einw hlt ist jedoch nicht durch die IP Adresse zu erkennen da er bei jeder Provider Anwahl eine neue zugewiesen bekommt Letztlich kann im Main Mode an alle Cli ents nur derselbe Pre shared Key vergeben werden was allerdings die Authentisierung ab schw cht 140 Bintec Secure IPSec Client Benutzerhandbuch IKE Aggressive Mode mit Preshared Keys Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID Pi F i Gruppe Enya 4 Message 2 Header SA Key Exchange Nonce ID Hash schl sselt Y S gt Hash Message 3 Header Hash gt Eine M glichkeit einen allgmeinen Pre shared Key zu vermeiden w re den Aggressive Mode zu nutzen Bild oben doch wird dabei die ID des Clients nicht verschl sselt
9. geben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname xyz PKCS 11 DLL Name der DLL Slotindex M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration gt Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser oder Token Benutzerhandbuch Bintec Secure IPSec Client mmm 21 Installation 2 2 Installation der Client Software Die Software wird unter den Betriebssystemen Windows 98 ME und Windows NT 2000 XP mit geringf gigen Unterschieden auf hnliche Weise installiert Sie k nnen die Software in Form einer ZIP Datei als Download von den Bintec Inter netseiten unter www bintec de beziehen Bitte beachten Sie bei der Installation des IPSec Clients unter Windows XP Die Systemeigenschaften des Betriebssystems Windows XP sind bei Neueinrichtung i restriktiv beschaffen Sie sind standardm ig so eingestellt dass bei der Installation El von Treiber Software die nicht von Microsoft lizenziert wurde ein MS spezifischer sogenannter Windows Logo Test durchgef hrt wird in dessen Folge das Betriebssy stem davor warnt die Treiber Software zu installieren Dem kann auf zwei Arten be gegnet werden M ndern Sie die restriktive Standardeinstellung des Systems Unter Syst
10. siehe gt Konfiguration Zertifikate erscheint im Statusfeld ein hellblaues Symbol f r die Smart Card Bild Client P SP links Wenn Sie Ihre Smart Card in das Leseger t gesteckt haben ndert sich die Farbe des Symbols von hell blau zu gr n Bintec Secure IPSec Client Wurde der IPSec Client zur Verwen dung eines Soft Zertifikats konfigu riert siehe gt Konfiguration Zertifi Bintec Secure IPSec Client kate erscheint im Statusfeld kein ei genes Symbol Zentrale ISDN Wurde die PIN korrekt eingegeben so wird dies in der Monitoroberfl che mit a d einem gr nen Haken hinter PIN dar Client Ja Bl gestellt Bild links Fehlerhafte Eingaben und falsche PINs werden nach ca 3 Sekunden mit einer Fehler meldung Falsche PIN quittiert Ein Verbindungsaufbau ist dann nicht m glich 53 Bitte beachten Sie dass bei mehrmaliger falscher PIN Eingabe eine Smart Card oder ein Token gesperrt werden kann Wenden Sie sich in diesem Fall an Ihren Administra tor Erst nach korrekter PIN Eingabe kann der Verbindungsaufbau erfolgen Wird eine Smart Card oder ein Token w hrend des laufenden Betriebs entfernt findet standardm ig ein Verbindungsabbau statt Der Verbindungsabbau muss jedoch nicht bei gezogener Chipkarte erfolgen Ob Kein Verbindungsabbau bei gezogener Chipkarte erfolgt wird ber das Hauptmen des Monitors unter dem Men punkt Konfiguration Zertifikate eingeste
11. te ben tigt wird Ein weiteres Instrument zur Kostenkontrolle ist die intelligente Verbindungssteuerung Hier werden Online Sessions nach Zeit nach Anzahl der Verbindungsaufbauten oder Geb hreneinheiten angezeigt und bei Bedarf berwacht 1 3 4 Personal Firewall Der IPSec Client verf gt ber alle erforderlichen Personal Firewall Funktionalit ten um den PC Arbeitsplatz umfassend gegen ber Angriffen aus dem Internet und anderer LAN Teilnehmer WLAN oder LAN zu sch tzen Weiter besteht keine M glichkeit dass der Dialer von automatischen 0190er und 0900er Dialern f r ungewollte Verbin dungen missbraucht wird Die wesentlichen Security Mechanismen sind IP NAT und Protokollfilter NAT Network Address Translation ist ein Security Standard zum Ver bergen der individuellen IP Adressen gegen ber dem Internet NAT bewirkt eine ber setzung der von au en sichtbaren Adresse in entsprechende Client Adressen und umge kehrt Ankommende Datenpakete werden auf der Basis eines ausgekl gelten Filterings nach genau definierten Eigenschaften berpr ft und bei Nicht bereinstimmung abge wiesen Das hei t Der Internet Port des jeweiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen unm glich 1 3 5 PKI Unterst tzung Die Zugangssicherheit zum PC und damit dem Firmennetz kann durch den Einsatz elektonischer Zertifikate in Form von Software PKCS 12 oder Smart Cards PKCS 11 CT API PC SC erh ht wer
12. 128 AES 192 AES 256 D Hash IKE Richtlinie Modus wie der Hash Wert ber die ID bzw das Zertifikat der Messages im Kontroll kanal gebildet wird Zur Wahl stehen MD5 Message Digest Version 5 und SHA Secure Hash Alogrithm DH Gruppe IKE Richtlinie Mit der Wahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt wie si cher der Key Exchange im Kontrollkanal erfolgen soll nach dem der sp tere symmetri sche Schl ssel erzeugt wird Je h her die DH Group desto sicherer ist der Key Ex change Benutzerhandbuch Bintec Secure IPSec Client mm mmm 103 IPSec Richtlinie editieren IPSec Richtlinie AES 128 Bit Parameter O Name IPSec Richtlinie O Protokoll IPSec Richtlinie O Transformation IPSec Richtlinie O Authentisierung IPSec Richtlinie 104 pennen Bintec Secure IPSec Client Konfigurationsparameter Profil Einstellungen Die IPSec Richtli nien Phase 2 Para meter die Sie hier konfigurieren werden zur Auswahl f r die SPD gelistet F r alle Benutzer sollten die gleichen Richtlinien samt zu geh riger Vorschl ge Proposals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richt linien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie Benutzerhandbuc
13. AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC SHA RSA DH5 SECONDS 28800 192 AES_CBC MD5 RSA DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC SHA RSA DH5 SECONDS 28800 128 AES_CBC MD5 RSA DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC SHA RSA DH2 SECONDS 28800 128 AES_CBC MD5 RSA DH2 SECONDS 28800 128 DES3 SHA XAUTH_RSA DH5 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH5 SECONDS 28800 0 DES3 SHA RSA DH5 SECONDS 28800 0 DES3 MD5 RSA DH5 SECONDS 28800 0 DES3 SHA XAUTH_RSA DH2 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH2 SECONDS 28800 0 DES3 SHA RSA DH2 SECONDS 28800 0 DES3 MD5 RSA DH2 SECONDS 28800 0 Wird ein spezifischer IKE Vorschlag in der IPSec Konfiguration der Profil Einstellun gen eingestellt so wird immer auch automatisch der gleiche Vorschlag zus tzlich mit Extended Authentication generiert und versendet 144 z mmmm Bintec Secure IPSec Client Benutzerhandbuch en Jp 2 Wird in das Feld f r Pre shared Key ein String eingetragen so werden an die Gegen stelle standardm ig folgende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer ohne Zertifikat erfolgt EA HASH AUTH GROUP LT LS KL AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC
14. GPRS und PPTP Multilink Besteht die Verbindung ber mehrere ISDN B Kanale so wird hier on angezeigt Kompression Kompression wird immer vom Gateway definiert IPSec Kompression wird mit IPSec Compression LZS angezeigt Verschl sselung Der verwendete Verschl sselungsalgorithmus wird angezeigt Folgende Typen werden unterst tzt AES Blowfish 3DES Die Verschl sselungsart wird vom Zentralsystem vorgegeben Schl sselaustausch Hier wird angezeigt auf welche Art der Austausch des Session Keys erfolgt StaticKey Der Schl ssel muss am Client und am Zentralsystem ubereinstimmen Er wird in der Profil Einstellung unter Identit t eingetragen IKE IPSec Zur bertragung des Session Keys wird der verschl sselte Kontrollkanal der Phase 1 Verhandlung verwendet Rx und Tx Bytes Rx und Tx Bytes zeigt die Datenmenge an die gesendet out und empfangen in wird Die Gesamtmenge Total und die nach Protokoll unterschiedenen Datenmnegen wer den in Bytes angezeigt 1 Byte 1 Zeichen Benutzerhandbuch Bintec Secure IPSec Client mmm Zertifikate Im Pulldown Men Verbindung finden Sie den Men punkt Zertifikate mit den Men abzweigungen Konfiguration Aussteller Zertifikat anzeigen Eingehendes Zertifikat anzeigen und CA Zertifikate anzeigen Zertificate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt un
15. a oeoa 0 un u ar aa ee aaa AT Verschl sselung 47 Schl sselaustausch 2 2 2 2 nn nn nn 47 RX und TX Bytes lt o au sa wi 2 E d e SET Zertifikate Mu AR Aussteller Zertifikat anzeigen s esso 48 Benutzer Zertifikat anzeigen 2 2 22 nn 49 Eingehendes Zertifikat anzeigen 2 2 22202 49 CA Zertifikate anzeigen ee DO Anzeige und Auswertung von relieves pipeta o DO Anzeige der Erweiterungen Extensions S1 Auswertung der Erweiterungen Extensions Al BIN eingeben So i sore A a dr a ur as A Ze PIN zur cksetzen 20 Lu 5 ac Ka a A PIN ndern pe DO PIN Binedbeswang nach Abmeldung oder Sleep Mode aa 99 PIN Status im Client Monitor e 55 Verbindungssteuerung Statistik a 2 aaa 20 Sperre aufheben s e soe wow a 2 8 ww a sn e e 96 Beenden des Monitors sa 2 2 nn nn 57 3 2 2 Konfiguration s sos ssns omea soas opi a mope aua ai 98 Profil Einstellungen eener a a O Die Eintr ge der Profil Binstellu gen ee ur 70 Neuer Eintrag Profil x s vo pos wa nn AH Konfigurieren Profil 2 22 2 2 nn nn 61 Ok Profil x s osos so s ea ao 28a sa anna Gl Kopieren Profil o soa 2 2 22 2 esasa wew esa 61 L schen Profil ee a ee er a Erweiterte Firewall Einstellungen ee a e S Allgemein Firewall 2 22 22mm D Filterregel Firewall 2 2 2 2 2 on D Amtsholung o ik ar D Benutzer Zertifikat oros a a 00 Zertifikat z aspe a a a E
16. authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichbleibendem Schl ssel ein neues Zertifikat ausstellen l sst 52 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Benutzerhandbuch Bintec Secure IPSec Client mm PIN eingeben Die PIN Eingabe kann bereits vor einem Verbindungsaufbau erfolgen nachdem der Mo nitor gestartet wurde Wird zu einem sp teren Zeitpunkt eine Verbindung aufgebaut die ein Zertifikat erfordert so kann dann die PIN Eingabe unterbleiben es sei denn die Konfiguration zum Zertifikat verlangt dies siehe gt Konfiguration Zertifikate PIN Eingabe Haben Sie den Men punkt Verbin dung PIN eingeben gew hlt kann in das ge ffnete Eingabefeld die PIN mindestens 6 stellig eingegeben wer den und mit OK best tigt werden Die Ziffern der PIN werden als Sterne am Bildschirm dargestellt Sofern die PIN noch nicht vor einem Verbindungsaufbau eingegeben wurde erscheint der Dialog zur PIN Eingabe sp testens wenn die erste Verbindung zu einem Ziel herge stellt werden soll das die Verwendung eines Zertifikats erfordert Nachfolgend kann bei einem wiederholten manuellen Verbindungsaufbau die PIN Eingabe unterbleiben wenn dies so konfiguriert wurde siehe Konfiguration Zertifikate Wenn Sie den IPSec Client zur Ver wendung einer Smart Card oder eines Zentrale ISDN PKCS 11 Moduls konfiguriert haben
17. ngig von der jeweils aktiven Anwendung m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Autostart Mit diesem Men punkt wird der Monitor so eingestellt dass er nach dem Booten selb st ndig startet Autostart ersetzt den Men punkt Fenster Nach Booten starten Uber den neuen Men punkt k nnen folgende Optionen eingestellt werden O kein Autostart nach dem Booten nicht automatisch starten O minimiert starten nach dem Booten den Monitor starten und minimiert darstellen O maximiert starten nach dem Booten den Monitor starten und in normaler Gr e dar stellen Wenn Sie oft mit der IPSec Client Software arbeiten und die Informationen des Moni Loy tors ben tigen so sollten Sie die Einstellung maximiert starten w hlen Prinzipiell ist es fiir die Kommunikation mit dem Zielsystem nicht n tig den Monitor zu starten Beim Schlie en minimieren Wird der Monitor bei einer bestehenden Verbindung ber den Schlie en Button x rechts in der Kopfzeile oder das Systemmen links in der Kopfzeile geschlossen Alt F4 so informiert ein Meldungsfenster dar ber dass kein Ampelsymbol Tray Icon mehr in der Task Leiste erscheint wor ber der Status dieser Verbindung kontrolliert werden k nnte d h der Benutzer kann dann auf der Oberfl che seines Desktops nicht erkennen ob und wie lange noch Verbindungsgeb hren anfallen oder ob die Verbin dung bereits beendet wurde Um in die
18. te Damit k nnen max 16 384 unterschiedliche Netzwerke jedes mit max 65 526 ver schiedenen Ger ten adressiert werden Klasse Class C kleine Netzwerke Netzwerknummern 192 223 Bei Adressen der Klasse C haben die drei h chsten Bits die Werte 1 1 und 0 die fol genden 21 Bits entsprechen dem Netzwerk und die letzten 8 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 3 Bytes max 2 097 152 unterschiedliche Netzwerke Restfeld beansprucht 1 Byte max 256 verschiedene Ger te Damit k nnen max 2 097 152 unterschiedliche Netzwerke jedes mit max 256 ver schiedenen Ger ten adressiert werden Beispiel Netz Host Klasse A 122 087 156 045 Klasse B 162 143 085 132 Klasse C 195 076 212 024 Bitte beachten Sie bei der Adressvergabe dass fiir einen einzelnen physikalischen Rechner mehrere IP Adressen verwendbar sein m ssen Eine Workstation kann mit ei ner IP Adresse auskommen Ein Router ben tigt f r jede seiner Schnittstellen eine IP Adresse mindestens jedoch zwei eine f r den Anschluss zum lokalen Netz LAN IP Adresse eine f r den Anschluss zur WAN Seite Benutzerhandbuch Bintec Secure IPSec Client mm mmm 131 D Beispiele und Erkl rungen 6 1 3 Netzmasken Subnet Masks In einem Wide Area Network k nnen verschiedene physikalisch getrennte Netze LANs dem gleichen Netzwerk WAN mit der gleichen Netzwerknummer angeh ren Anhand dieser Netzwerknummer allein kann kein Router
19. Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeu tung O extendedKeyUsage O subjectKeyldentifier O authorityKeyldentifier Benutzerhandbuch Bintec Secure IPSec Client mmm 149 6 Beispiele und Erkl rungen E extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Er weiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN Ausnahme Bei einem R ckruf des Servers an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert
20. Bedienung Konfigurieren Profil Um die Standard Werte eines Profils zu editieren w hlen Sie mit der Maus das Pro fil dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Die Profil Einstellungen zeigen nun in ihrem linken Fenster eine Liste von Begriffen denen jeweils ein Parameterfeld zugeordnet ist Grundeinstellungen Grundeinstellungen If l Netzeinwahl Be A Modem GE on Line Management Vereen IPSec Einst ellung en Ea el S I den tit t Kiemen IP Adressen Zuweisung VPN IP Netze Zertifikats berpr fung Firewall Einstellungen Je nachdem welcher Begriff markiert wird zeigt sich das entsprechende Feld mit den zugeh rigen Parametern siehe gt 4 Konfigurationsparameter Ok Profil Die Konfiguration eines Profils ist abgeschlossen wenn Sie das Konfigurationsfenster mit OK schlie en Das neue oder ge nderte Profil ist im Monitor sofort verf gbar Es kann im Monitor ber die Profilauswahl selektiert werden und ber das Men Verbin dung gt Verbinden sofort zur Anwahl an das Zielsystem verwendet werden Kopieren Profil Um die Parameter Einstellungen eines bereits definierten Profils zu kopieren markie ren sie das zu kopierende Profil in der Liste und klicken Sie auf den Kopieren Button Daraufhin wird das Grundeinstellungen Parameterfeld ge ffnet ndern Sie nun den Eintrag in Profil Name und klicken Sie anschlie end Ok Nur wenn Sie den Na
21. Client Software El Build 58 e Netzwerk Komponenten werden installiert Bitte warten Setup abgeschlossen Die Dateien wurden auf Ihren Computer kopiert Bevor Sie mit dem Programm arbeiten k nnen m ssen Sie Windows bzw Ihren Computer neu starten Nein Computer wird sp ter neu gestartet Nehmen Sie alle Disketten aus den Laufwerken und klicken Sie anschlie end auf Beenden um das Setup abzuschlie en Benutzerhandbuch Danach werden die Dateien der Client Software eingespielt Anschlie end werden die Netzwerkkomponenten installiert Damit ist die Installation der Client Software unter Windows NT 2000 XP abgeschlossen Die neuen Einstellungen werden erst wirksam wenn Sie den Computer neu starten Klicken Sie Ja Computer jetzt neu starten und bet tigen Sie den Beenden Button um Ihr System zu booten Entfernen Sie die Datentr ger aus den Laufwerken Hinweise f r Benutzerberechtigungen finden Sie in der Datei SECCLIENT_NTD TXT siehe auch Zum Betrieb des Secure Clients unter Windows NT 2000 XP Bintec Secure IPSec Client m 33 Installation 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP Um mit der Client Software arbeiten zu k nnen ohne Administratorrechte zu be sitzen m ssen Schreib und Leserechte f r folgende Dateien eingerichtet sein M Alle Dateien im Unterverzeichnis NCPLE des Betriebssystems Windows NT m ssen Leserechte
22. Gateway unterst tzt IKE Config Mode nicht Unterst tzt das Gateway den IKE Config Mode nicht so sind zwei Konfigurationen m glich 1 Wird die Funktion IP Adresse manuell vergeben siehe Profil Einstellungen IP Adressen Zuweisung aktiviert so muss die IP Adresse eingetragen werden die vom Gateway bzw Administrator f r diesen Client bzw Benutzer vorgegeben wurde 2 Wird Lokale IP Adresse verwenden siehe gt Profil Einstellungen IP Adressen Zu weisung aktiviert so wird die IP Adresse gleich der ffentlichen IP Adresse gesetzt die der Client pro Internet Session vom Provider erh lt oder unter der Verbindungsart LAN die Adresse die der LAN Adapter besitzt Wird die lokale IP Adresse verwendet und der Typ im Parameterfeld Identit t steht auf IP Adresse dann darf im Feld f r die ID keine IP Adresse eingetragen sein Nur dann ist gew hrleistet dass die jeweils aktuelle ffentliche IP Adresse automat isch zur Identifikation f r Phase 1 an das Gateway bertragen wird Benutzerhandbuch Bintec Secure IPSec Client mmm 147 6 Beispiele und Erkl rungen 6 2 148 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr Bitte beachten Sie dass der IPSec Client exklusiven Zugriff auf den UDP Port 500 be n tigt Sofern NAT Traversal eingesetzt wird wird auch Zugriff auf Port 4500 ben tigt Ohne NAT Traversal wird das IP Protokoll ESP Protokoll ID 50 benutzt S
23. Monitor Wenn die Software installiert wurde kann der Monitor ber das Start Men Pro gramme Bintec Secure IPSec Client gt Secure Client Monitor aktiviert werden Da mit ffnet sich das Fenster des Monitors auf dem Bildschirm G Hinweis Wenn der Monitor geladen wurde erscheint er entweder auf dem Bildschirm I oder wenn er dort nicht dargestellt wird in der Taskleiste Bintec Secure IPSec Client Client _Yetinden Temen Der Monitor hat 4 wichtige Funktionen M den aktuellen Status der Kommunikation wiederzugeben M den Verbindungsmodus einzustellen M die Limits der Verbindungssteuerung bestimmen M die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem Benutzerhandbuch Bintec Secure IPSec Client mmm 39 3 1 Die Benutzung der Monitors Anwahl ber das Profil an das Zielsystem Sobald die Software installiert mit einem Profil korrekt konfiguriert wurde siehe unten 3 2 3 Konfiguration kann die Anwahl an dieses Zielsystem stattfinden a Das gewunschte Profil wird Bintec Secure IPSec Client Fe ber die Auswahl Box unter Verbindung Konfiguration Log Fenster Hilfe dem Hauptmen oder nach Profil Amtsholung Klick auf die rechte Mausta ste aus einer Liste gew hlt siehe nebenstehendes Bild Um eine Verbindung ber das selektierte Profil herzu Profil w Zentrale stellen ist es nicht n tig den Client Monitor eigens zu Verbinden starten oder die Anwa
24. N ara 0 64 EENEG A a ee ee EN ar an 19 Testversion 2 2040 ae were 22 25 36 Timsodt aa e 54 a a a nn 46 96 127 TOKEN ask a ee ee 21 Token PROSIT recae renee o aaas ia 21 Transformation IPSec Richtlinie 105 Transportmod s vasca oa AN e 136 Treiber Bintec Secure Client so secera o recre o 28 Treibeisignatur a 2 EN eae a ad E A 22 TENDEN A p ee ee ee E ren A a 127 Triple DES muriera A 47 103 105 Tunnelmod s sisa e EE E da a E i 136 TARK AA a E E a e 97 Typ ldentit tz sua av aeg 108 U UDP 24m 080 San as dan ana 64 UDP Port 500 si sioa Sen waaa mo wre en 148 UMTS eree paaie id e a 18 88 94 V WI en a E en en a men 18 Verbinden 4 5 0 423 a 200 2 mn sa ea m mai an 121 Verbindungs Informationen o oo o 46 Verbindungsabbau bei gezogener Chipkarte 69 Verbindungsabruch o o ooo ooo o 127 Verbindungsaufbau o ooo o 96 121 Verbindungsmedium o ooo ooo 47 87 Verbindungssteuerung HI Verbindungstyp sica cr a AER E 87 Verbind ngszeit 2 4 a EE 46 Verschl sselung IKE Richtlinie 2 2 2 103 Virtual Private Network o 2 2 222222 oo 168 Vollversion 2 44 2202 Sn er en as 25 36 W wechselnder Verbindungsaufbau 2 2 2220 121 Windows Logon o oooooo oo 32 73 124 WINS Seivei au papt e mann 111 wireless LAN 1 u a Sa uns wre 19 WLAN SAdapt r ua aaa de E aaa ad 19 X EE 19 KAUTH EN a wem
25. Sie von Limit berschreitungen in Kenntnis gesetzt werden m chten Meldung und Vorwarnung oder ob ein automatischer Verbindungsabbau stattfinden soll Verbindungssteuerung Wenn ein von Ihnen definiertes Limit berschritten wurde wird jede weitere Kommunikation unterbunden bis Sie die Sperre wieder aufgehoben haben siehe Sperre aufheben Benutzerhandbuch Bintec Secure IPSec Client m 71 Client Monitor a EAP Optionen Der Einsatz des Extensible Authentication Protocols Message Digest5 EAP MP5 kann ber das Hauptmen des Monitors unter Konfiguration EAP Optionen eingestellt werden Dieses Protokoll kann dann zum Einsatz kommen wenn f r den Zugang zum LAN ein Switch oder f r das wireless LAN ein Access Point verwendet werden die 802 1x f hig sind und eine entsprechende Authentisierung unterst tzen EAP Optionen Mit dem Extensible Authentication Protocol EAP MP5 kann verhindert werden dass sich unberechtigte Benutzer ber die Hardware Schnittstelle in das LAN einklinken Zur Authentisierung kann wahlweise Benutzername mit Passwort aus dem Konfi gurationsfeld Identit t verwendet werden oder ein eigener EAP Benutzername mit einem EAP Passwort 72 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung E Logon Optionen Diese Funktion kann nur unter Windows NT 2000 und Windows XP genutzt werden Ean ON
26. Verf gung nachdem die Anwahl mit Benutzername und Pass wort erfolgte Er routet weiter im Internet indem er die Namen die im Browser als gew nschtes Ziel angegeben werden in IP Adressen r ck ber setzt und die Verbindung zu dieser Adresse her stellt D Kanal Protokoll Das D Kanal Protokoll sorgt daf r dass sich End ger te mit dem Netz verst ndigen k nnen Es steu ert unter anderem Verbindungsauf und abbau Es umfasst Schicht 2 und 3 Auf Schicht 2 von ISDN ist HDLC f r die logische Daten bertragungs steuerung eingesetzt Das eigentliche D Kanal Protokoll ist auf Schicht 3 angesiedelt Mittlerwei le ist DSS1 als europaweites D Kanal Protokoll verf gbar DSA Directory System Agent DSS1 European Digital Subscriber System No 1 Euro p isches ISDN Protokoll f r den D Kanal DUA Directory User Agent ECP Encryption Control Protocol ESP Encapsulating Security Payload RFC 2406 Euro ISDN ITU Standard f r Europ isches ISDN bezieht sich auf das D Kanal Protokoll DSS1 und m gliche Dienstmerkmale wie Geb hrenanzeige Advice of Charge R ckruf bei Besetzt Completion of Calls to Busy Subscriber Rufumleitung Call Forwar ding Anklopfen Call Waiting etc Im Euro ISDN mit dem D Kanal Protokoll DSS1 werden einzelne Endger te mit der Multible Subscriber Number MSN adressiert Firewall Trennt Public Netz von Private Netz Schutzme chanismus in Netzen der den Zugriff der Stationen regelt Ein Firewa
27. Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem im Richtlinien Editor entfallen Die Richtlinie wird vom Gateway der Gegenstelle vorgegeben und vom Client akzeptiert Pre shared Key Diese vorkonfigurierte Richtlinie kann ohne PKI Unterst tzung ge nutzt werden Beidseitig wird der gleiche Statische Schl ssel verwendet siehe gt Pre shared Key verwenden Shared Secret im Parameterfeld Identit t RSA Signatur Diese vorkonfigurierte Richtlinie kann nur mit PKI Unterst tzung ein gesetzt werden Als zus tzliche verst rkte Authentisierung ist der Einsatz der RSA Si gnatur nur sinnvoll unter Verwendung einer Smart Card oder eines Soft Zertifikats Benutzerhandbuch Bintec Secure IPSec Client mmm 99 Konfigurationsparameter Profil Einstellungen IPSec Richtlinie Die IPSec Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IP Sec Richtlinien aufgef hrt die Sie mit dem Richtlinien Editor angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den sie bei der Konfiguration verge ben haben Funktional unterscheiden sich zwei IPSec Richtlinien nach dem IPSec Sicherheitspro tokoll AH Authentication Header oder ESP Encapsulating Security Payload Da der I
28. aktiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Der Einsatz von NAT Traversal erfolgt beim Client automatisch und ist immer n tig wenn auf Seiten des Zielsystems ein Ger t mit Network Address Translation zum Einsatz kommt Lokale IP Adresse verwenden In diesem Fall wird die aktuell in den Netzwerkeinstellungen des PCs konfigurierte IP Adresse auch DHCP f r den IPSec Client genutzt IP Adresse manuell vergeben Dies ist die IP Adresse und die Subnet Maske die hier frei eingegeben werden k nnen In diesem Fall wird die hier eingetragene Adresse genutzt unabh ngig von der Konfi guration in den Netzwerkeinstellungen DNS WINS Mit IKE Config Mode werden dynamisch IP Adressen des Clients des DNS und WINS Servers sowie der Domain Name zugewiesen Wird diese Funktion aktiviert so kann alternativ zudem DNS WINS Server der auto matisch w hrend der PPP Verhandlung zum NAS ISP zugewiesen wird ein anderer DNS WINS Server bestimmt werden DNS Server Der zuerst eingetragene DNS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt WINS Server Der zuerst eingetragene WINS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt Benutzerhandbuch Bintec Secure IPSec Client mm mmm 111 Konfigurationsparameter Profil Einstellungen 4 1 8 VPN IP Netze Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl VPN IP Netze Zertifikats
29. berpr fung Firewall Einstellungen komunizieren kann Wenn Tunneling genutzt wird und hier keine Eintr ge erfolgen so wird die Verbindung immer zum Tunnel Endpunkt des Gateways aufgebaut Soll alter nierend einerseits ein Tunneling zur Zentrale erfolgen andererseits ber das Internet kommuniziert werden so m ssen hier die IP Netze eingetragen werden die vom Client erreicht werden sollen Sie k nnen dann zwischen dem Internet und dem Gateway der Firmenzentrale hin und her springen Dies wird auch als Split Tunneling bezeichnet Hier k nnen genau die IP Netze definiert werden ber die der Client via VPN Tunnel Parameter O Netzwerk Adressen VPN IP Netze O Subnet Masken O Auch lokale Netze im Tunnel weiterleiten 112 mmmmm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Netzwerk Adressen VPN IP Netze In diesem Parameterfenster definieren Sie in welchem IP Netz oder welchen IP Netzen der Client ber VPN Tunneling kommunizieren kann Sie erhalten die Adresse n von Ihrem Systemadministrator Bitte achten Sie ferner darauf da die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt Subnet Masken Hier tragen Sie die zugeh rige Netzmaske des IP Netzes ein Sie erhalten die Adres se n von Ihrem Systemadministrator Bitte achten Sie darauf da die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt Auch lokale Netze im Tunnel weiterleiten Wenn der Dat
30. besitzen die Datei NCPPHONE CFG ben tigt zus tzlich Schreibrechte Zu dem m ssen in diesem Verzeichnis Dateien erzeugt werden k nnen M Die Datei NCPBM DAT ben tigt Lese und Schreibrechte Statistik Budgetmanager M Die Datei NCP DB im Verzeichnis WINDOWS SYSTEM32 DRIVERS ben tigt eben falls Schreib und Leserechte 34 m a mm Bintec Secure IPSec Client Benutzerhandbuch Vor der Inbetriebnahme 2 3 Vor der Inbetriebnahme 6 Nach der Installation zeigt sich der Client Monitor auf dem Bildschirm Um den Client nutzen zu k nnen muss zun chst unter den Profil Einstellungen ein Eintrag erzeugt werden d h das Profil zu einem Zielsystem definiert werden zu dem eine IPSec Ver bindung hergestellt werden kann Bintec Secure IPSec Client Client Bestatigung Sie k nnen dazu den angebote nen Assistenten benutzen wenn Sie im Best tigungsfenster auf Ja klicken siehe Bild rechts Der Assistent kann auch zu einem sp teren Zeitpunkt gestartet werden Dazu wird der Men punkt Profil Einstellungen im Hauptmen des Monitors unter Konfiguration aktiviert Siehe dazu gt 3 Client Monitor Konfiguration Profil Einstellungen F r die weitergehende Konfiguration eines Profils beachten Sie bitte die Beschreibun SS gen unter 3 Client Monitor Profil Einstellungen und 4 Konfigurationsparameter IPSec Einstellungen Erst nach der Einrichtung eines Profils kann eine Verbindung zu
31. bzw an das Gateway an Dazu wird ein VPN Tunnel aufgebaut Internet Verbindung ohne VPN In diesem Fall nutzen Sie den IPSec Client nur zur Einwahl in das Internet Dabei wird Network Address Translation IPNAT weiterhin im Hintergrund genutzt sodass nur Datenpakete akzeptiert werden die angefordert wurden Verbindungsmedium Die Verbindungsart kann f r jedes Profil eigens eingestellt werden vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem Windows System in stalliert ISDN Angeschlossene Hardware ISDN Hardware mit Capi 2 0 Unterst tzung Netze ISDN Festnetz Gegenstellen ISDN Hardware Modem Angeschlossene Hardware Asynchrone Modems PCMCIA Modem GSM Karte mit Com Port Unterst tzung Netze Analoges Fernsprechnetz PSTN auch GSM Gegenstellen Modem oder ISDN Karte mit digitalem Modem LAN over IP Angeschlossene Hardware LAN Adapter Netze Local Area Network mit Ethernet oder Token Ring Gegenstellen Die Gegenstellen des lokalen Multiprotokoll Routers im LAN Benutzerhandbuch Bintec Secure IPSec Client mm 87 Konfigurationsparameter Profil Einstellungen xDSL PPPoE Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine ANM Fritz DSL Karte einge IES setzt wird Im Feld Rufnummer Ziel in der Gruppe Ne
32. der Tunnel aufgebaut gelbe dicke Linie und die Einwahl am Server VPN Gate Zentrale m way beginnt Auch hier muss wm den emm eine Authentisierung stattfin er en e den Die Verschl sselung der VPN Einwahl S de E S Client DIN Y po IPSec Richtlinie wird mit ei nem Schl ssel angezeigt Bintec Secure IPSec Client Al E Verbindung Konfiguration Log Fenster Hilfe Wenn die Konfiguration der Ge genstelle darauf eingestellt ist Zentrale kann auch Kompression konfi guriert werden YPN Einwahl 1 Client DIN t Server Ist die letzte Station des Verbin Bintec Secure IPSec Client Ofix dungsaufbaus hier die Ver 2 EE 7 hl sselung durchlaufen Verbindung Konfiguration Log Fenster Hilf a 8 i Elisete E schaltet das Ampellicht auf gr n wie auch anschlie end die Tun nelverbindung Die Verbindung ist damit hergestellt Zentrale Yerbindung ist hergestellt Client PIN 4 Ca a Sek Beachten Sie dass gr ne Am pellampen eine stehende Verbin dung und anfallende Geb hren signalisieren Benutzerhandbuch Bintec Secure IPSec Client mm mmm 123 Verbindungsaufbau 124 Client Logon Erfolgt das Client Logon am Network Access Server vor dem Windows Logon an der remote Dom ne indem die Logon Optionen genutzt werden siehe gt Monitor Logon Optionen so erfolgt der Verbindungsaufbau prinzipiell genau so wie oben unter Ver binden beschrieben Binte
33. ein zweites Mal eingegeben werden Die Ziffern der PIN werden in diesem und den n ch sten Eingabefeldern als Sterne dargestellt Anschlie end geben Sie Ihre neue PIN ein und best tigen diese durch Wiederholung im letzten Eingabefeld Mit Klick auf OK haben Sie Ihre PIN ge ndert Die einzuhaltenden PIN Richtlinien werden unter den Eingabefeldern eingeblendet Sie k nnen im Hauptmen unter Zertifikate gt PIN Richtlinien eingestellt werden Bild oben PIN Eingabezwang nach Abmeldung oder Sleep Mode Wird unter den Betriebssystemen Windows NT 2000 XP der Benutzer gewechselt wird der PIN Status zur ckgesetzt und die PIN muss erneut eingegeben werden Wechselt der Computer in den Sleep Modus wird ebenfalls der PIN Status zur ckgesetzt PIN Status im Client Monitor Bintec Secure IPSec Client PKI Eins t Benutzerhandbuch Wurde die PIN bereits eingege ben erscheint im Monitor die Einblendung PIN mit einem gr nen Haken Wurde die PIN noch nicht korrekt eingegeben fehlt der kleine gr ne Haken Bintec Secure IPSec Client m 55 el Verbindungssteuerung Statistik Die Statistik gibt Ihnen Aus kunft ber Ihre Datenkommuni kation In ihr werden sowohl ge sondert als auch aufaddiert die gesamten Online Zeiten die ge samte Anzahl der Verbindungen und die gesamten Einheiten so wie empfangene und gesendete Kbytes f r den aktuellen Tag den laufenden Monat und das lauf
34. el subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst 6 3 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss 150 z mmmm Bintec S
35. gehalten Manueller Verbindungsaufbau Daneben ist es auch m glich manuell die Verbindung zu einem ausgew hlten Ziel her zustellen indem Sie im Monitor Verbindung anklicken und Verbinden w hlen Wechselnder Verbindungsaufbau Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut wer den Danach wechselt der Modus je nach Verbindungsabbau wie folgt Wird die Verbindung mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wieder manuell aufgebaut werden Verbinden Gleich wie die Verbindung aufgebaut wird der Monitor sofern er im Vordergrund sichtbar ist zeigt immer den Status des Verbindungsaufbaus wie in folgendem Beispiel an Benutzerhandbuch Bintec Secure IPSec Client m 121 Verbindungsaufbau Bintec Secure IPSec Client Al ES Zun chst wird das Zielsystem Verbindung Konfiguration Log Fenster Hilfe ausgew hlt u hier ber das gt Men das nach einem rechten entrale Mausklick erscheint E Client Profil v Zentrale Verbinden Trennen Beenden e e Danach wird die Verbindung E A Fe Te ES hergestellt hier manuell ber Yerbindung Konfiguration Log Fenster Hilfe das Men das nach dem rechten Zentrale Mausklick erscheint Profil D Client U en Trannan 4 PIN Eingabe amp j Wurde die Verwendung ein
36. haftet nur im Umfang ihrer Ver kaufs und Lieferbedingungen und bernimmt keine Gew hr f r technische Ungenauigkeiten und oder Auslastungen Die Informationen in diesem Handbuch k nnen ohne Ank ndigung ge ndert werden Zus tzliche Informa tionen sowie nderungen zu diesem Produkt finden Sie unter www bintec de 4 pennen Bintec Secure IPSec Client Benutzerhandbuch I A Inhalt 1 Produkt bersicht s s 2 mr rennen 11 1 1 Zum Umgang mit diesem Handbuch 1 1 2 Bintec Secure IPSec Client universelle L sung f r sichere VPN pies 12 1 3 Leistungsumfang ee ES 1 3 1 Client Monitor Grafische Benutzereberfl che A ES AZ Dialer a o o EEN 1 3 3 Line Management 14 1 3 4 Personal Firewall s 2 acs LA 1 3 5 PKI Unterst tzung s e s s s ewo mow emoa sca w es 14 Public Key Infrastruktur s s s e eos e ews 15 Smartt Card s a e gos e a S 2 Installation gt s amp 30 Ja sess E E Ra 17 2 1 Installationsvoraussetzungen 22 a a IR Betriebssystem o o s e so so 2 2 0 sewa moe a0 a e 18 Zielsystem oa u 5 u a O Lokales System De d Men SE ro al ber kb a a Sa O ISDN Adapter ISDN A a a an A ee LS Analoges Modem Modem 2 222 2 nn LR LAN Adapter LAN over IP 222 2 2 19 xDSL Modem xDSL PPPoE 2 22222 19 xDSL AVM PPP over CAPI in EE O Voraussetzungen f r den Einsatz von Zertifikaten A 9 TCP IP a 4 la e o 9 Chipkarten
37. pos oa moi e aaa EA Zugangsdaten aus konfiguration yarwendon e ae ae 09 4 1 7 IP Adressen Zuweisung 40 IKE Config Mode verwenden gt o sa coo wawo aawe M11 Lokale IP Adresse verwenden 111 IP Adresse manuell vergeben 2 2 2 2 111 DNS WINS 2 2 22 wen 2 e e 1A DNS Server 2 un Boa ee o a a A a os N WINS SELVEL Arc pop te ne mr a od N 4 1 8 VPNIP Netze a be ir a A Netzwerk Adressen VPN IP Netze Be ee a LS Subnet Masken dao ea LS Auch lokale Netze im T nnel weiterleiten DE EEE a gt 4 1 9 Zertifikats berpr fung ee nee A Benutzer des eingehenden Zertifikats een AS Aussteller des eingehenden Zertifikats e H5 Fingerprint des Aussteller Zertifikats 2 116 SHA1 Fingerprint verwenden se a e swa wn w o 116 Weitere Zertifikats An o o e o ir LO 4 1 10 Firewall Einstellungen O 9 Stateful Inspection aktivieren a e a 120 Ausschlie lich Kommunikation im Tunnel zulassen cesa e 120 NetBIOS ber IP zulassen s 120 Bei Verwendung des Microsoft DF Diales ausschlie lich Kommunikation im Tunnel zulassen 120 5 WVerbindungsaufbau 2 2 2 2 CC rennen 121 Verbindungsaufbau zum Zielsystem 22 22 22 121 Automatischer Verbindungsaufbau 2 2 121 Manueller Verbindungsaufbau 2 22 2 2 121 Wechselnder Sun RE a ge A Verbinden Be hr ee Be to sr E Client Logon EECH Passw rter und Beisein EE
38. schl ssel wird mit dem ffentlichen Schl ssel des Empf ngers chiffriert und der Nachricht beigef gt Der Empf nger wiederum rekonstruiert mit seinem privaten Schl ssel den Session Key und entschl s selt die Nachricht IETF Internet Engineering Task Force Interessenge meinschaft die sich mit Problemen des TCP IP und dem Internet befasst unter anderem den Well Known Ports Ports O bis 1023 Benutzerhandbuch Bintec Secure IPSec Client m 159 a Abk rzungen und Begriffe IKE Internet Key Exchange Bestandteil von IPsec f r sicheres Schl ssel Management Separate security association negotiation and key management pro tocol RFC 2409 Internet Das Internet ist ein weltweites offenes Rechner netz Es ist allgemein zug nglich Jeder Betrieb und jede Privatperson kann sich daran anschlie en und mit allen anderen angeschlossenen Benutzern kommunizieren unabh ngig von der eingesetzten Rechnerplattform oder der jeweiligen Netztopolo gie Damit der Datenaustausch zwischen den un terschiedlichen Rechnern und Netzen innerhalb des Internets m glich wird ist ein allen gemeinsa mes Netzwerkprotokoll n tig siehe TCP IP IP Adresse Jeder Rechner im Internet besitzt f r die Dauer seiner Zugeh rigkeit zum Internet eine IP Adresse Internet Protokoll Adresse die ihn eindeutig identifiziert Eine IP Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte ge trennte Zahlen F r jede Zahl stehen 8 Bits z
39. sehen welche Merk male zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adres se Der Aussteller Ihres Benutzer Zertifikates muss mit dem Aussteller des Aussteller Zertifikates identisch sein siehe gt Aussteller Zertifikat anzeigen Austeller CA Nach der Seriennummer werden die Zertifikate mit den in der Revokation List der Certification Authority gehaltenen verglichen Seriennummer G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit Erl schen der G ltigkeit geht auch die Funktion des Zertifikats verloren Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats Eingehendes Zertifikat anzeigen Anzeige des Zertifikats das bei der SSL Verhandlung von der Gegenstelle VPN Gate way bermittelt wird Sie k nnen z B sehen ob Sie den hier gezeigten Aussteller in der Liste Ihrer CA Zertifikate siehe unten aufgenommen haben Ist das eingehende Benutzer Zertifikat einer der CAs aus der Liste CA Zertifikate an zeigen nicht bekannt kommt die Verbindung nicht zustande Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS gespeichert so findet keine berpr fung statt Benutzerhandbuch Bintec Secure IPSec Client mmm CA Zertifikate anzeigen CA Zertifikate Mit
40. sich in dieser Dokumentation schnell zurecht finden ist im folgenden kurz ihr Aufbau dargestellt Das Handbuch ist in sechs gr ere Abschnitte untergliedert die Step by Step oder dem Aufbau der grafischen Benutzeroberfl che folgend den jeweiligen Gegenstand be schreiben Diesen Abschnitten folgen zwei Anh nge die dem Verst ndnis und dem Auffinden von Fachbegriffen dienen Kapitel 1 Produkt bersicht mit kurzer Beschreibung des Leistungsumfangs der Software Kapitel 2 Installationsanweisungen Kapitel 3 Beschreibung der grafischen Benutzeroberfl che sowie der Konfigura tionsm glichkeiten Kapitel 4 Beschreibung der in den Profil Einstellungen aufgelisteten Parameter Kapitel 5 Beschreibung eines Verbindungsaufbaus Kapitel 6 Beispiele und Erkl rungen insbesondere zu IPSec Glossar f r Abk rzungen und Begriffe Index Querverweise sind im Text in Klammern gesetzt und geben die Verweisstelle mit dem Titel bzw nach einem Komma mit dem Untertitel an Texte die am Seitenrand mit einem Ausrufezeichen markiert sind sollten besonders beachtet werden Weiterf hrende Hilfestellungen k nnen jederzeit ber die kontextsensitive Online Hil os fe abgerufen werden Benutzerhandbuch Bintec Secure IPSec Client m 11 Produkt bersicht 1 2 Bintec Secure IPSec Client universelle L sung f r sichere VPN L sungen Der Bintec Secure IPSec Client kann in beliebigen VPN Umgebungen eingesetzt wer den Er kommunizier
41. t acia rra 108 Identity Protection Mode 2 222222 140 IKE o oa een en ae en 135 IKE IP66 4 aus a aan do g aA 47 IKE Config Mode verwenden 111 IKE ID Typ s u EELER a da ee 147 IKE Config Mode a a soea a aoe eia A h a E 146 IKE MOU pose 400 0 a 0 000 we a a nern 140 IKE MOWUS 2 0 0 0 0 0 ea an en 140 IKE Richtlinie o o 99 138 102 140 Infrarot Schnittstelle 18 Internet Key Exchange 2 2 22 2200 135 140 IP Network Address Translation 160 IP Adresse manuell vergeben 2 2 2 111 147 IP Adressen Zuweisung o o e 110 IP Nebmaske s sun 2220 sau NN aa 132 133 134 TIPCOMP LZS or do E 143 IPSEC em A a ip a 135 IPSec Einstellungen viana o e a ic 98 IPSec Kompression 47 TPSec Maschine osas 0 en arena eh 135 170 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I MM IPSec Richtlinie ciega 2 0 EC E E 100 138 IPSec Richtlinienagent o o o ooo oo o 148 IPSec Tunneling so a0 en us E EEN a 108 111 ISDN esamo 000200 sa as nn na 87 97 ISDN Ad pter E 2 0 a 000 na a ana E d 18 K Kommunikation im Tunnel 120 Konfigurations Sperten sesar sesam s oo ooo 74 Kontr llkanal s 2 22 2 4354 e A I many ne 139 L LANUOVELIP aida aaa a 87 LAN Emulation aoea 3 a mine 11 LAN IP Adresse cea coaie 202 8 Sn a e g 131 LAN Ad pter c a ea Di aa a mann a 19 LAN Adapter sch tzen o oo
42. und Pfad einer A Instnt5 exe a Deutsch dat 3 12485 Datei einzugeben in die der Inhalt des al English dat gt L2t98 dll gt R Hinweise txt ri Log Fensters geschrieben wird Infoengltxt icengl Standard ncptrace log Infoger txt E Inst95 exe Benutzerhandbuch Bintec Secure IPSec Client mm 77 Alle Transaktionen mit der IPSec Client Software wie Anwahl und Empfang ein schlie lich der Rufnummern werden automatisch mitprotokolliert und in diese Datei geschrieben bis Sie auf den Button mit Schlie e Datei klicken Wenn Sie eine Log Datei anlegen k nnen Sie die Transaktionen mit dem IPSec Client ber einen l ngeren Zeitraum verfolgen Schlie e Datei Wenn Sie auf diesen Button klicken wird die Datei geschlossen die Sie mit ffne Datei angelegt haben Die geschlossene Log Datei kann zur Analyse der Transaktio nen mit dem IPSec Client oder zur Fehlersuche verwendet werden L schen Fensterinhalt Wenn Sie auf diesen Button dr cken wird der Inhalt des Log Fensters gel scht Schlie en Log Fenster Wenn Sie auf Schlie en klicken schlie en Sie das Fenster des Logbuches und keh ren zum Monitor zur ck 78 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 3 2 4 Fenster Unter dem Men punkt Fenster k nnen Sie die Bedienoberfl che des Monitors variie ren und die Sprache f r die Monitoroberfl che festlegen E Profilauswahl anze
43. untersucht jedes IP Paket nach bestimmten Eigenschaften um die jeweils entsprechende Security Behandlung darauf anzuwenden Die Pr fung der vom IP Stack ausgehenden IP Pakete erfolgt bez glich einer Secure Policy Database SPD Dabei werden alle konfigurierten SPDs abgearbeitet Bei Ein satz des IPSec Clients werden die SPDs nur zentralseitig am Gateway gehalten Die SPD besteht aus mehreren Eintr gen SPD Entries die wiederum einen Filterteil beinhalten Der Filterteil siehe gt Erweiterte Firewall Einstellungen oder Selektor ei nes SPD Eintrags besteht haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des SPD Eintrags bereinstimmen wird aus den SPD Eintr gen wei ter ermittelt wie mit diesem IP Paket zu verfahren ist Das Paket kann einfach durch gelassen werden permit es kann abgelehnt bzw weggeworfen werden deny oder be stimmte Security Richtlinien des IPSec Prozesses kommen an ihm zur Anwendung Diese Security Richtlinien stehen auch im SPD Eintrag beschrieben Wird auf diese Weise festgestellt dass ein IP Paket mit einem SPD Eintrag verkn pft ist der einen IPSec Prozess einleitet so wird berpr ft ob bereits eine Sicherheits Verkn pfung Security Association SA f r diesen SPD Eintrag existiert Existiert Benutzerhandbuch Bintec Secure IPSec Client mmm 135 B Beispiele und Erkl rungen n
44. verwenden O Extended Authentication XAUTH verwenden O Benutzername Identit t O Passwort Identit t O Zugangsdaten aus Konfiguration verwenden Benutzerhandbuch Bintec Secure IPSec Client mm mmm 107 Konfigurationsparameter Profil Einstellungen 108 Typ Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID f r eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Folgende ID Typen stehen zur Auswahl IP Address Fully Qualified Domain Name Fully Qualified Username entspricht der E Mail Adresse des Benutzers IP Subnet Address ASN1 Distinguished Name ASN1 Group Name Free String used to identify Groups ID Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID fiir eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Entsprechend dem ID Typ muss die zugeh rige ID als String eingetragen werden Pre shared Key verwenden Der Pre shared Key ist ein String beliebiger Zeichen in einer maximalen L nge von 255 Zeichen Alle alphanumerischen Zeichen k nnen verwendet werden Wenn die Ge genstelle einen pre shared Key w hrend der IKE Verhandlung erwartet dann muss die ser Schl ssel in das Feld Shared Secret eingetragen werde
45. 0 XP geringf gig 2 2 2 Benutzerdefinierte Installation und Abschluss unter Windows 98 ME Komponenten w hlen j Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben er amg Nur bei benutzerdefinierter Installation Netzwerk Einstellungen Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so muss der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben Ende der benutzerdefinierten In stallation zum Abschluss weiter auf der n chsten Seite Benutzerhandbuch Bintec Secure IPSec Client m 27 Aa Ist auf Ihrem Rechner bereits eine Client Software installiert miissen sie sich nun entscheiden ob Sie die Software deinstallieren oder updaten m chten siehe gt Update und Deinstallation exwinnAncpieldsutsch det Anschlie end werden die Dateien geladen und eingespielt Nachdem alle ben tigten Dateien von den Installationsdisketten eingespielt wurden und die Programmgruppe angelegt wurde kl
46. 1111112 11111100 00000000 Netzwerk Subnet non u Die Wahl einer geeigneten Netzmaske h ngt von der Netzwerk Klasse der Beschaffen heit der m glichen Subnets ihrer Anzahl und ihrem Wachstum ab Ziehen Sie zur Pla nung einschl gige Tabellen oder einen Subnet Taschenrechner zu Rate Subnet Tabelle Klasse C Subnet Bits Host Bits Netz Maske Subnets Rechner 2 6 255 255 255 192 2 62 3 5 255 255 255 224 6 30 4 4 255 255 255 240 14 14 5 3 255 255 255 248 30 6 6 2 255 255 255 252 62 2 Berechnung 2 hoch n minus 2 Anzahl der Subnets Rechner n Anzahl der Subnet Host Bits Mit einer Netz Maske 255 255 255 240 wird ein Netz der Klasse C in Subnets geteilt Mit dieser Netz Maske sind insgesamt 14 Subnets mit jeweils max 14 Rechnern m g lich 455 255 255 240 LLLLLLIIL TLLLIEIE 11117271 1111 0000 199 Me 99 130 11000111 00001001 01100011 1000 0010 Subnet Nummer 8 199 9 99 146 11000111 00001001 01100011 1001 0010 Subnet Nummer 9 Netzwerk Subnet Host m Standard Masken Netzmaske f r Klasse A 255 0 0 0 Netzmaske f r Klasse B 255 255 0 0 Netzmaske f r Klasse C 255 255 255 0 Benutzerhandbuch Bintec Secure IPSec Client mmm 133 D Beispiele und Erkl rungen Reservierte Adressen Einige IP Adressen d rfen Ger ten eines Netzwerks nicht zugeordnet werden Dazu ge h ren die Netzwerk oder Subnet Adresse und die Rundsendungsadresse f r Netzwerke bzw Subnets Netzwerk Adressen
47. 2 Richtlinie Automatischer Modus IKE Phase 1 Modus RSA Main Mode IKE Phase 1 Modus PSK Aggressive Mode Diese automatisch gesetzten Richtlinien und Verhandlungsmodi sind in den Profil Ein UL stellungen konfigurierbar gehalten sodass sie anderslautenden Verbindungsanforderun gen entsprechend modifiziert werden k nnen Benutzerhandbuch Bintec Secure IPSec Client mmm 143 6 Beispiele und Erkl rungen el Standard IKE Vorschl ge Wenn f r die IKE Richtlinie der automatische Modus in den IPSec Einstellungen ge w hlt wurde und im Parameterfeld Identit t die Verwendung eines Pre shared Keys nicht aktiviert wurde ohne Haken so werden an die Gegenstelle standardm ig fol gende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer mit Zertifikat erfolgt Notation EA Encryption Algorithm Verschl sselung HASH Hash Algorithm Hash AUTH Authentication Method Authentisierung GROUP Diffie Hellmann Group Number DH Gruppe LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge EA HASH AUTH GROUP LT LS KL AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC SHA RSA DH5 SECONDS 28800 256 AES_CBC MD5 RSA DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC SHA RSA DH2 SECONDS 28800 256 AES_CBC MD5 RSA DH2 SECONDS 28800 256
48. A ll Wenn Sie diesen Men punkt mit einem Mausklick w hlen k nnen Sie im folgenden Fenster entscheiden ob vor dem Windows Logon an einer remote Domain die Verbindung von der Client Software zum Network Access Server aufgebaut werden soll Dies bedeutet dass die Client Software beim n chsten Booten die Verbindung aufbaut F r diesen Verbindungsaufbau m ssen Sie gegebenenfalls die PIN f r Ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben Nachdem die Verbindung zum Network Access Server von der Client Software hergestellt wurde k nnen Sie sich an der remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt Information 3 Nach jeder nderung der Logon Optionen muss der Rechner gebootet i werden Benutzerhandbuch Bintec Secure IPSec Client m m 73 Client Monitor o Konfigurations Sperren ber die Konfigurations Sperren kann das Konfigurations Hauptmen im Monitor so modifiziert werden dass der Benutzer die voreingestellten Konfigurationen nicht mehr ab ndern kann bzw ausgew hlte Parameterfelder f r den Benutzer nicht sichtbar sind Die Konfigurations Sperren werden in der definierten Form erst wirksam wenn die Einstellungen mit OK bernommen werden Wird der Abbrechen Button gedr ckt wird auf die Standard Einstellung zur ckgesetzt Allgemein Konfigurations Sperren Eon een Um die Konfigurations Sperren 5 wir
49. Bintec Secure IPSec Client Version 1 0 Juli 2004 Benutzerhandbuch Bintec Secure IPSec Client mm mm m 1 Wl Copyright Alle Rechte sind vorbehalten Kein Teil dieses Hand buches darf ohne schriftliche Genehmigung der Firma Bintec Access Networks GmbH in irgendeiner Form reproduziert oder weiterverwendet werden Auch eine Bearbeitung insbesondere eine bersetzung der Do kumentation ist ohne Genehmigung der Firma Bintec Access Networks GmbH nicht gestattet Marken Bintec und das Bintec Logo sind eingetragene Waren zeichen Erw hnte Firmen und Produktnamen sind in der Regel eingetragene Warenzeichen der entspre chenden Hersteller Gesamtherstellung dieses Handbuchs Michael L sel Dokumentation Publikation ml service t online de Arndtstra e 5 90419 N rnberg 0172 82 58 238 2 2 Bintec Secure IPSec Client Benutzerhandbuch A Y bintec funkwerk Wie Sie Bintec erreichen Bintec Access Networks GmbH S dwestpark 94 D 90449 N rnberg Germany Telephone 49 180 300 9191 0 Fax 49 180 300 9193 0 Benutzerhandbuch Bintec Secure IPSec Client m 3 _ i f Haftung Alle Programme und das Handbuch wurden mit gr ter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit berpr ft Alle Haftungsanspr che in folge direkter oder indirekter Fehler oder Zerst run gen die im Zusammenhang mit dem Programm ste hen sind ausdr cklich ausgeschlossen Bintec Access Networks GmbH
50. Dienst gestoppt und der en Indiziert Dateii Manuell LocalSystem Autostar ttyp auf Ma Sa Intelligenter Hintergrun Manuell LocalSystem gt 15 a nuell gestellt Bild KH tungsdatenprotoko i Manuell LocalSystem E Nachrichtendienst Gestartet Automatisch LocalSystem rec h t s e neprwsnt a Gestartet Automatisch LocalSystem NopSec Gestartet Automatisch LocalSystem wi EH NetMeeting Remotede Erm glicht aut Manuell LocalSystem Wurde d le Anderun g des S Netzwerk DDE Dienst Netzwerktrans Manuell LocalSystem E Netzwerk DDE Server Verwaltet den Manuell LocalSystem Auto starttyps durchge Sa Netzwerkverbindungen Verwaltet Obje Manuell LocalSystem a NT LM Sicherheitsdienst Bietet Sicherh Manuell LocalSystem Sa Plug amp Pla Verwaltet Ger Automatisch LocalSystem f hrt so kann das Kom mando netstat n a erneut ausgef hrt wer den Der UDP Port 500 darf dann unter den akti ven Verbindungen nicht mehr aufgef hrt sein z mmmm Bintec Secure IPSec Client Benutzerhandbuch Zertifikats berpr fungen 6 3 6 3 1 6 3 2 Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in
51. Einstellungen bestehen haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des Regel Eintrags bereinstimmen wird aus den Regel Eintr gen weiter ermittelt wie mit diesem IP Paket zu verfahren ist Im folgenden die Eintr ge zur Konfiguration im IPSec Client O Ausf hrung Command gestatten permit sperren deny inaktiv disabled O IP Protokoll IP Protocol Dies ist das Transportprotokoll ICMP TCP oder UDP Eines der angebotenen Proto kolle kann ausgew hlt werden oder ein beliebiges alle any wird genutzt O IP Adresse Quelle Source IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Ausgangssysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall O IP Adresse Ziel Destination IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Zielsysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall C Port Quelle Source Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton O Port Ziel Destination Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mi
52. Falle gespeicherter Passw rter jedermann mit Ihrer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt Passwort f r NAS Einwahl To A Wird das Passwort f r 7 die NAS Einwahl nicht eingegeben oder nicht gespeichert so wird es en bei einem Verbindungs Zertifikats berpr fung j Firewall Einstellungen aufbau in einem eigenen Dialog abgefragt Der Benutzername f r die Netzeinwahl muss immer in der Konfigu ration f r das Ziel eingegeben werden A Ohne ihn kann keine Einwahl an den NAS erfolgen Siehe gt Profil Einstellungen Netzeinwahl Benutzerhandbuch Bintec Secure IPSec Client mmm 125 Verbindungsaufbau Benutzername und Passwort f r Extended Authentication Profil Einstellungen Zentrale Grundeinstellungen Firewall Einstellungen IP Adresse Zugangsdaten aus Konfiguration verwenden 126 z mmmm Bintec Secure IPSec Client Wird Extended Authentication eingesetzt so m ssen Benutzername und Passwort in der Konfiguration des Pofils eingegeben werden sonst findet kein Verbindungsaufbau statt siehe gt Profil Einstellungen Identit t Extended Authentication XAUTH verwenden Benutzerhandbuch A JE E Verbindungsabruch und Fehler Bintec Secure IPSec Client Zentrale gt Client Bintec Secure IPSec Client Zentrale Client D Trennen Bintec Secure IPSec Client Zentrale m Client Benutzerhandbuch
53. Gruppe so gorios e ea de D ee 106 PIN aos enuia e win en ana et 53 EIN ndern puta a u a e a a ER a E A 55 PIN zur cksetzen s u ns wenn m nn nn 54 Benutzerhandbuch Bintec Secure IPSec Client m 171 ee OS PIN Abfrape rta en nen Bas 69 PIN Eingabezwang o o nennen 55 PIN Richtlidi Ae A e raro a a a 70 PINESTATUS ENEE AE ENEE a A a e 55 PKRCS 11 DLL sau aaa a ana E EEN a 21 PKRCS 11 Modul s o 4 or 0a ann nenn 53 PRCS 12 D tei s soe u se uns anne a nn 66 PKCS 12 Dateiname o ooo nenn 68 PKI Unferst tzung A 4 o a e E 14 Policies eses o gn rec nina e 138 PEEP Aug a ee rl aa ee E 88 Pr shated Key 2 44 35 A EEN aa 99 145 146 Pre shared Key verwenden 108 Profil Einstellungen o ooo o 59 84 Profil Einstellungen l schen o oo 37 Profil Name si e iaa est u Sen a 87 Profil Sicherung ir e o e e 76 Protokoll IPSec Richtlinie 2 2 2 22 222000 105 PSec Richtlinie e 2 o alas na 104 PSK Presh red Key u We aaa 142 R Revocation List u a EEN Bun ea ahnen 150 RECIAOL aut 2a aaa Bee 135 RFC 2401 2409 24 4 2 0 00 d aaa amade 135 REC2409 y zum den od ar ana ts Ben tat 135 Richtlinien A osi A ss 22 wu a8 TE da se a 138 RSA Signatur o 99 140 141 146 R ckrufmodus vess 42 200 s ra terms 91 Rufnummer Ziel se 4 e Sec a 90 RE ca EEE EEE EEE 97 S SA Ua guten nee ne ee u ee 136 SA Verhandlung ooo
54. IKE Main Mode Identity Protection Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header Security Association gt lt Message 2 Header Security Association unver lt N OS schl sselt de Message 3 Header Key Exchange Nonce gt gt gt Diffie Hellmann g Gruppe lt Message 4 Header Key Exchange Nonce U N Zi A L Symmetrische _ Verschl sselung ver 4 schl sselt und Hash Werden RSA Signaturen eingesetzt Bild oben und unten so bedeutet dies dass Zertfikate zum Einsatz kommen womit die Vorkonfiguration jedweder Secrets berfl ssig wird IKE Aggressive Mode mit RSA Signaturen Initiator Gegenstelle S Message 1 Header SA Key Exchange Nonce ID Diffie Hellmann e Gruppe d unver e Message 2 Header SA Key Exchange Nonce ID Zertifikat Signatur schl sselt N Hash Message 3 Header Zertifikat Signatur gt Benutzerhandbuch Bintec Secure IPSec Client mmm 141 6 Beispiele und Erkl rungen 6 2 4 IPSec Tunneling 142 Der IPSec Client kann gegen ber IPSec Gateways unterschiedlicher anderer Hersteller zum Einsatz kommen Die Kompatibilit t mit den IPSec Modi der anderen Hersteller beruht auf der Konfor mit t mit folgenden RFCs und Drafts zu IPSec RFC 2104 Keyed Hashing for Message Authentication RFC 2401 Security Architecture for the Internet Protocol RFC 2403 The Use of HMAC
55. MDS5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2406 IP Encapsulating Security Payload ESP RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol ISAKMP RFC 2409 The Internet Key Exchange IKE DRAFT draft beaulieu ike xauth 05 XAUTH DRAFT draft dukes ike mode cfg 02 IKECFG DRAFT draft ietf ipsec dpd 01 DPD DRAFT draft ietf ipsec nat t ike 01 NAT T DRAFT draft ietf ipsec nat t ike 02 NAT T DRAFT draft ietf ipsec nat t ike 03 NAT T DRAFT draft ietf ipsec nat t ike 05 NAT T DRAFT draft ietf ipsec udp encaps 06 UDP ENCAP Implementierte Algorithmen f r Phase 1 und 2 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie RSA Signatur PSK Pre shared Key Unterst tzte symmetrische Verschl sselungsalgorithmen Phase 1 2 DES 3DES AES 128 AES 192 AES 256 Unterst tzte asymmetrische Verschl sselungsalgorithmen Phase 1 2 DH 1 2 5 Diffie Hellmann RSA Bintec Secure IPSec Client Benutzerhandbuch Unterst tzte Hash Algorithmen MD5 SHA 1 Zus tzliche Unterst tzung f r Phase 2 PES Perfect Forward Secrecy IPCOMP LZS Seamless re keying In den Profil Einstellungen des IPSec Clients werden automatisch einige Standards ge setzt IKE Phase 1 Richtlinie Automatischer Modus IKE Phase
56. PSec Client mmm mm 119 Konfigurationsparameter Profil Einstellungen E Stateful Inspection aktivieren aus Die Sicherheitsmechanismen der Firewall werden nicht in Anspruch genommen immer Die Sicherheitsmechanismen der Firewall werden immer in Anspruch genom men d h auch wenn keine Verbindung aufgebaut ist ist der PC vor unberechtigten Zu griffen gesch tzt bei bestehender Verbindung Der PC ist dann nicht angreifbar wenn eine Verbindung besteht E Ausschlie lich Kommunikation im Tunnel zulassen Ausschlie lich Kommunikation im Tunnel zulassen Bei aktivierter Firewall kann diese Funktion zus tzlich eingeschaltet werden um in ein und ausgehender Richtung aus schlie lich VPN Verbindungen zuzulassen NetBIOS ber IP zulassen Mit diesem Parameter wird ein Filter aufgehoben der Microsoft NetBios Frames unter dr ckt Diesen Filter aufzuheben um den Verkehr von NetBios Frames zu gestatten ist immer dann zweckm ig wenn Sie zum Beispiel Microsoft Networking ber den IP Sec Client nutzen In der Standardeinstellung ist dieser Filter gesetzt das hei t der Checkbutton nicht mit einem Haken markiert so dass Microsoft NetBios Frames unterdr ckt werden damit sie den Datenverkehr nicht unn tig belasten Markieren Sie den Checkbutton mit einem Haken werden NetBios Frames over IP erlaubt E Bei Verwendung des Microsoft DF Dialers ausschlie lich Kommunikation im Tunnel zulassen Bei Verwendung des Client Monito
57. PSec Modus mit AH Sicherung f r flexiblen Remote Access v llig ungeeignet ist wird nur die IPSec Richtlinie mit ESP Protokoll ESP 3DES MD5 standardm ig vorkonfiguriert mit der Software ausgeliefert Jede Richtlinie listet mindestens einen Vorschlag Proposal zu IPSec Protokoll und Authentisierung auf siehe gt IPSec Richtlinie editieren d h eine Richtlinie besteht aus verschiedenen Vorschl gen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo NSS sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem Richtlinien Editor entfallen ESP 3DES MDS oder anderer Richtlinien Name Wenn Sie den Namen der vor konfigurierten IPSec Richtlinie w hlen muss die gleiche Richtlinie mit all ihren Vor schl gen f r alle Benutzer g ltig sein Dies bedeutet dass sowohl auf Client als auch auf Server Seite die gleichen Vorschl ge f r die Richtlinien zur Verf gung stehen m s sen Richtlinien G ltigkeit Richtlinien Lifetimes Die hier definierte Dauer der G ltigkeit gilt f r alle Richtlinien gleicherma en m Dauer Die Menge der kBytes oder die Gr e der Zeitspanne kann eigens eingestellt wer E den CR 8 100 pennen Bintec Secure IPSec Client Benutzerh
58. Passwort f r NAS Einwahl 125 Benutzername und Passwort f r Extended EE a 126 Verbindungsabruch und Fehler 127 Trennen EENG a Trennen und Beenden des Monitors aa ee LS 6 Beispiele und Erkl rungen 129 6 1 IP Funktionen di Wb de a o a E er a AS 6 1 1 Ger te eines IP Netzwerks LA SY a ce SO 6 1 2 IP Adress Struktur EENHEETEN 6 1 3 Netzmasken Subnet Masks E IL Standard Masken 133 Reservierte Adressen e 134 Benutzerhandbuch Bintec Secure IPSec Client mm m 9 a Inhalt 6 1 4 Zum Umgang mit IP Adressen 2 2 2 22 nn nn nn 134 6 2 Security La A a aa 139 6 2 1 IPSec Ubersicht So a sae cars ca KE IPSec allgemeine Einktionsbeschreibung Si Si 135 6 2 2 Erweiterte Firewall Einstellungen Extended Firewall Settings 137 6 2 3 SA Verhandlung und Richtlinien Policies se e 138 Phase 1 Parameter der IKE Richtlinie IKE Policy o 138 Phase 2 Parameter der IPSec Richtlinie IPSec Policy o 138 Kontrollkanal und SA en Be re ee ie I IKE Modi s 2 222 2200 ee ee AO 6 2 4 IPSec Tunneling ee a AZ Implementierte Algorithmen f r Phase i und 2 SN 142 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie 142 Unterst tzte symmetrische Verschl sselungsalgorithmen 142 Unterst tzte asymmetrische Verschl sselungsalgorithmen 142 Unterst tzte Hash Algorithmen 3 Zus tzliche Unterst tzung f
59. SHA PSK DH5 SECONDS 28800 256 AES_CBC MD5 PSK DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC SHA PSK DH2 SECONDS 28800 256 AES_CBC MD5 PSK DH2 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC SHA PSK DH5 SECONDS 28800 192 AES_CBC MD5 PSK DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC SHA PSK DH5 SECONDS 28800 128 AES_CBC MD5 PSK DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC SHA PSK DH2 SECONDS 28800 128 AES_CBC MD5 PSK DH2 SECONDS 28800 128 DES3 SHA XAUTH_PSK DH5 SECONDS 28800 0 DES3 MD5 XAUTH_PSK DH5 SECONDS 28800 0 DES3 SHA PSK DH5 SECONDS 28800 0 DES3 MD5 PSK DH5 SECONDS 28800 0 DES3 SHA XAUTH_PSK DH2 SECONDS 28800 0 DES3 MD5 XAUTH_PSK DH2 SECONDS 28800 0 DES3 SHA PSK DH2 SECONDS 28800 0 DES3 MD5 PSK DH2 SECONDS 28800 0 Als Vorschl ge f r die IPSec Richtlinie Phase 2 wird standardm ig versendet Notation PROTO Protocol Protokoll TRANS Transform Transformation ESP LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge COMP IP Compression Transformation Comp PROTO TRANS AUTH LT LS KL COMP LZS ESP AES MD5 SECONDS 28800 128 Yes Yes ESP AES SHA SECONDS 28800 128 Yes Yes ESP AES MD5 SECONDS 28800 128 No No E
60. SP AES SHA SECONDS 28800 128 No No ESP AES MD5 SECONDS 28800 192 Yes Yes ESP AES SHA SECONDS 28800 192 Yes Yes ESP AES MD5 SECONDS 28800 192 No No ESP AES SHA SECONDS 28800 192 No No ESP AES MD5 SECONDS 28800 256 Yes Yes ESP AES SHA SECONDS 28800 256 Yes Yes ESP AES MD5 SECONDS 28800 256 No No ESP AES SHA SECONDS 28800 256 No No ESP DEG MD5 SECONDS 28800 0 Yes Yes ESP DEG MD5 SECONDS 28800 0 No No Benutzerhandbuch Bintec Secure IPSec Client mmm 145 6 Beispiele und Erkl rungen 6 2 5 Zur weiteren Konfiguration Pre shared Key oder RSA Signatur Entsprechend den Vorgaben durch die Gegenstelle kann als IKE Richtlinie die automatisch vorgenommene Einstellung Automatischer Modus auf Pre shared Key oder RSA Signatur Zertifikat abge ndert werden Er wartet die Gegenstelle Pre shared Key so muss der Schl ssel in das Feld eingetragen werden Der Pre shared Key muss in diesem Fall f r alle Clients identisch sein IP Adressen und DNS Server k nnen ber das Protokoll IKE Config Mode Draft 2 zugewiesen werden F r die NAS Einwahl k nnen alle blichen WAN Schnittstellen verwendet werden Die Authentisierung bei IPSec Tunneling kann ber das XAUTH Protokoll Draft 6 er folgen Dazu m ssen au erdem noch folgende Parameter im Konfigurationsfeld Iden tit t gesetzt werden Benutzername Kennwort des IPSec Benutzers Passwort Passwort des IPSec Benutzers Zugangsdaten aus verwend
61. a re o a OZ 3 2 3 Hilfe a s s os dos ve ee E 4 Konfigurationsparameter e 83 4 1 Profil Einstellungen e 84 4 1 1 Grundeinstellungen 86 Profil Name e a q dow a m 97 Verbindungstyp Lea aaa aaa VPN zu IPSec Gegenistelle any eoe a ee ei Internet Verbindung ohne VPN 2 222 2220 87 Verbindungsmedium 87 ISDN curia me un a ee O Modem Ds Ee A O LAN over IP eara ge aTa de Br a a ee ee OT xDSL PPPoE Pa d e OO xDSL AVM PPP over CAPI Bee Rd aG 00 GPRS UMTS 0 corame ono w too aw e 08 PPTP yu Las sa aa O Microsoft DF Dialer een gue ec en A AOS Benutzerhandbuch Bintec Secure IPSec Client mm m 7 Eu Inhalt Dieses Profil nach jedem Neustart des Systems verwenden 88 4 1 2 Netzeinwahl e 89 Benutzername 2 2 2 ca wm u a nn sa e 90 Passwort s e 0 2 2 3 2 aa Ba kan name NO Passwort speichern wos 2 2 2 nn nenn 90 Rufnummer Giel 90 Alternative Rufnummern s s s s e sss HI Script Datei s e e oe e osia a i o ea e Ee e een 91 4 1 9 Mod m s wur die a E A ee e 192 Modem s s da gop e ee cb ee 93 ADSCO USS i ios adye ss a Bai Baudrate Da A a e aa a 93 Com Port freigeben N ee A en D Modem Init String eu 3 v7 w ea Sc ha ar IA Dial Pret Goi gh ra vo wi a 9A APN cuide we en S SIM PIN os osora a baxe saapa ass YA 4 1 4 Line Management 95 Verbindungsaufbau e 96 Timeout a ee 90 Dynamische Li
62. abase SSL Secure Socket Layer Gem dem SSL Protokoll kann der dynamische Schl sselaustausch Dyna mic Key Exchange genutzt werden SSL von Net scape entwickelt ist mittlerweile das Standard Protokoll f r dynamischen Schl sselaustausch SSLCP Secure Socket Layer Control Protocol STARCOS Betriebssystem f r Smartcards Symmetrische Verschl sselung Sender und Empf nger verwenden bei der symme trischen Chiffrierung und Dechiffrierung den glei chen Schl ssel Symmetrische Algorithmen sind sehr schnell und sehr sicher dies allerdings nur dann wenn die Schl ssel bergabe zwischen dem Sender und dem Empf nger ungef hrdet erfolgen kann Gelangt ein Unbefugter in den Besitz des Schl ssels so kann dieser alle Nachrichten ent 166 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I MM schl sseln bzw sich unter Verwendung des Schl s sels als Absender von Nachrichten ausgeben Soll bei der symmetrischen Verschl sselung in gr e ren Gruppen jeder Teilnehmer nur an ihn adressier te Nachrichten lesen k nnen so ist f r jedes Sen der Empf nger Paar ein eigener Schl ssel notwen dig Die Folge ein aufwendiges Schl sselmanage ment So sind bei 1 000 Teilnehmern bereits 499 500 unterschiedliche Schl ssel erforder lich um s mtliche Wechselbeziehungen zu unter st tzen Bekannteste symmetrische Verschl sse lung ist heute der DES Algorithmus TCP IP Transmission Control Protocol Internet Protoco
63. als DLLWIN95 bzw DLLWINNT den Namen des in stallierten Treibers eintragen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname SCM Swapsmart CT API gt XyZ DLLWIN95 sem20098 dll gt ct32 dll DLLWINNT scm200nt dll gt ct32 dll M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser u Chipkarten Folgende Chipkarten werden unterst tzt O Signtrust O NetKey 2000 L TC Trust CardOS M4 20 m m mm Bintec Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen u Soft Zertifikate PKCS 12 Statt einer Smart Card k nnen auch Soft Zertifikate genutzt werden n Chipkarten oder Token PKCS 11 Mit der Software f r die Smart Card oder den Token werden Treiber in Form einer PKCS 11 Bibliothek DLL mitgeliefert Diese Treiber Software muss zun chst instal liert werden Anschlie end muss die Datei NCPPKI CONF editiert werden M Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCII Editor indem Sie als Modulname den Namen des angeschlossenen Le sers oder Tokens xyz eintragen Als PKCS 11 DLL muss der Name der DLL einge
64. anal b ndelung nur funktionieren kann wenn sowohl der Client als auch der NAS f r eine Verbindung ber gleich viele m gliche Kan le verf gen Parameter O Verbindungsaufbau O Timeout O Dynamische Linkzuschaltung O Schwellwert f r Linkzuschaltung Benutzerhandbuch Bintec Secure IPSec Client m 95 Konfigurationsparameter Profil Einstellungen E Verbindungsaufbau Hier definieren Sie wie die Verbindung zu einem im Telefonbuch eingetragenen Ziel system aufgebaut werden soll Drei Modi stehen zur Wahl automatisch default Dies bedeutet dass die Client Software die Verbin dung zum Zielsystem automatisch herstellt Das Trennen der Verbindung erfolgt je nach Protokoll Ihres Systems entspre chend den Anforderungen der Anwendung und den Einstel lungen im Telefonbuch In diesem Fall m ssen Sie die Verbindung zum Zielsystem manuell herstellen Ein Trennen der Verbindung erfolgt je nach eingestelltem Wert f r den Timeout Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut werden Danach wechselt der Modus je nach Verbindungsabbau Wird die Verbindung nun mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wie der manuell aufgebaut werden manuell wechselnd Timeout aktivieren um den Verbindungsabbau zu automatisieren Andernfalls k nnten Wichtig Sollten Sie
65. andbuch Profil Einstellungen Richtlinien Editor Zur Konfiguration der IPSec Konfiguration Richtlinien und gegebenenfalls einer IG YT IKE Richtlinie statischen Secure Policy We Fre Shared Key S S CHA Gionabu Database wird dieser IPSec Richtlinie Men punkt angeklickt Y ESP 3DES MD5 Damit ffnet sich ein Konfigurationsfenster mit der Verzweigung der Richtlinien und Secure Policy Database zu IPSec sowie Buttons zur Bedienung auf der rechten Seite des Konfigurationsfensters Um die Standard Werte der Richtlinien zu editieren w hlen Sie mit der Maus die Richtlinie deren Werte Sie ndern m chten die Buttons zur Bedienung werden dann aktiv Konfigurieren Um eine Richtlinie oder eine SPD abzu ndern w hlen Sie mit der Maus den Namen der Gruppe deren Werte Sie ndern m chten und klicken auf Konfigurieren Dann ffnet sich das entsprechende Parameterfeld mit den IPSec Parametern Neuer Eintrag Wenn Sie eine neue Richtlinie oder SPD anlegen m chten selektieren Sie eine der Richtlinien oder die SPD und klicken auf Neuer Eintrag Die neue Richtlinie oder SPD wird erzeugt Alle Parameter sind auf Standardwerte gesetzt bis auf den Namen Kopieren Um die Parameter Einstellungen eines bereits definierten Richtlinie oder SPD zu ko pieren markieren sie die zu kopierende Richtlinie oder SPD und klicken auf Kopie ren Daraufhin wird das Parameterfeld ge ffnet ndern Sie nun den Namen und
66. are installiert wurde Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automat isch Erst dann kann der installierte Leser ausgew hlt und genutzt werden Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein unter Konfiguration Zertifikate Nachdem Sie die Smart Card in den Chipkartenleser gesteckt haben k nnen Sie Ihre PIN eingeben E Chipkartenleser CT API konform Wenn Sie einen CT API konformen Chipkartenleser nutzen beachten Sie bitte folgendes Y Mit der aktuellen Software werden Treiber f r die Modelle Kobil B0 B1 Kobil KAAN SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Diese Chipkartenleser k nnen im Monitor unter Konfiguration Zertifikate eingestellt werden Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller des Chip kartenlesers bzw konsultieren Sie die entsprechende Website bez glich aktueller Hard ware Treiber um den aktuellsten CT API Treiber zu erhalten und zu installieren Neh men Sie au erdem folgende Einstellung in der Client Software vor M Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCII Editor indem Sie als Modulname den Namen des angeschlossenen Chip kartenlesers xyz eintragen und
67. bestehen aus der Netzwerknummer und dem Host Feld das mit bin ren Nullen gef llt ist z B 200 1 2 0 162 66 0 0 10 0 0 0 auch Loop Back es findet keine bertragung ins Netzwerk statt Die Rundsendungsadresse eines Netzwerks besteht aus der Netzwerknummer und dem Host Feld mit bin ren Ein sen z B 200 1 2 255 162 66 255 255 10 255 255 255 daher auch All One Broadcast alle Stationen eines Netzwerks werden adressiert Beispiel 198 10 2 255 adressiert alle Stationen im Netz 198 10 2 255 255 255 255 adressiert alle Stationen in allen angeschlossenen Netzen 0 0 0 0 All Zero Broadcast Ung ltige Adresse Bitte beachten Sie dass diese Adresse oft f r Standard Einstellungen benutzt wird 6 1 4 Zum Umgang mit IP Adressen O Jede IP Adresse im unternehmensweiten Netz sollte nur einmalig vorhanden sein Be achten Sie dies bei Internet Anschluss und Anschluss neuer Netze O Benutzen Sie ein nachvollziehbar logisches Schema bei der Adress Vergabe z B Ver waltungseinheiten Geb ude Abteilungen etc O F r den Anschluss ans Internet ben tigen Sie eine offizielle einmalige Internet Adres se O Vergeben Sie wenn m glich keine IP Adresse deren Netzwerk oder Host Abschnitt mit 0 endet Dies k nnte zu Fehlinterpretationen und undefinierbaren Fehlern im Netz f hren O Netzmasken werden vom Internet Protokoll nur ausgewertet wenn die Netzwerknum mern der Kommunikationspartner gleich sind O Wie di
68. bindung korrekt zu been den Best tigung z mmmm Bintec Secure IPSec Client Benutzerhandbuch 6 Beispiele und Erkl rungen In diesem Abschnitt des Handbuchs werden einige Grundbegriffe des Routings und des IPSec Verkehrs erkl rt Anhand von Beispielen wird die Konfiguration des IPSec Clients f r bestimmte Funktionalit ten dargestellt Benutzerhandbuch Bintec Secure IPSec Client mm mmm 129 6 Beispiele und Erkl rungen 6 1 IP Funktionen Um ein IP Netzwerk korrekt zu konfigurieren m ssen die Regeln der IP Adressierung eingehalten werden Untenstehend sind einige Richtlinien und Terminologien aufge f hrt Zu weiteren Informationen ber IP Netzwerke wird entsprechende Fachliteratur empfohlen 6 1 1 Ger te eines IP Netzwerks IP Adressen werden den Schnittstellen der Ger te eines IP Netzwerks zugewiesen Diese Ger te werden auch als Hosts oder Rechner bezeichnet Mehrfach vernetzten Ge r ten z B Router k nnen auch mehrere Adressen zugeordnet werden Der Begriff Host Adresse bezeichnet die IP Adresse des Rechners eines IP Prozesses unabh ngig von der tats chlichen physikalischen Struktur des Ger ts oder der Schnittstellen 6 1 2 IP Adress Struktur IP Adressen haben eine L nge von vier Oktetten 32 Bits 4 Bytes und werden in de zimaler oder hexadezimaler Schreibweise mit Punkt getrennt notiert Zum Beispiel 198 10 6 27 oder C6 0A 06 1B oder 0xC6 0x0A 0x06 0x1B Die Adressen werden getrennt in e
69. blei bendem Schl ssel ein neues Zertifikat ausstellen l sst Benutzerhandbuch Bintec Secure IPSec Client mm mmm 117 Konfigurationsparameter Profil Einstellungen 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss Sind eingehende Zertifikate in den Listen von CRL oder ARL enthalten wird die Ver bindung nicht zugelassen Sind CRLs oder ARLs nicht vorhanden findet keine diesbez gliche berpr fung statt 118 pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 4 1 10 Firewall Einstellungen Profil Einstellungen Zentrale S Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats Uberpr fung f Firewall Einstellungen dungen genutzt werden Die aktivierte Firewall wird in der grafischen Oberfl che des Clients als Symbol Mauer mit Pfeil dargestellt Grunds tzliche Aufgabe einer Fire wall ist es zu verhindern dass sich Gefahren aus anderen bzw externen Netzen Inter net in das eigene Netzwerk aus
70. breiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und Internet installiert Sie pr ft alle ein und ausgehenden Da tenpakete und entscheidet auf der Basis vorher festgelegter Konfigurationen ob ein Datenpaket durchgelassen wird oder nicht Die hier zu aktivierende Firewall arbeitet nach dem Prinzip der Stateful Inspection Sicherheit wird dabei in zweierlei Hinsicht gew hrleistet Zum einen verhindert diese Funktionalit t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum anderen berwacht sie als Kon trollinstanz den jeweiligen Status aller bestehenden Internet Verbindungen Die State ful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindun gen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete eben falls weitergeleitet werden m ssen F r die Kommunikationspartner stellt sich eine Sta teful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den verein barten Regeln entsprechenden Datenaustausch genutzt werden darf siehe gt Hand buch Beispiele und Erkl rungen Die Firewall Einstellungen k nnen f r alle Netzwerkadapter wie auch f r RAS Verbin Parameter O Stateful Inspection aktivieren O Bei Verwendung des Micro soft DF Dialers ausschlie O Ausschlie lich Kommunikation im Tunnel zulassen lich Kommunikation im Tun nel zulassen O NetBIOS ber IP zulassen Benutzerhandbuch Bintec Secure I
71. c Secure IPSec Client x W hlen Sie Ihr Zielsystem aus Zielsystem Zentrale X Amtsholung TF Dom nen Anmeldung aktivieren Lokal anmelden Dom nen Anmeldung aktivieren Nach der Auswahl des Zielsystems wird mit Klick auf den OK Button der Verbin dugsaufbau eingeleitet Lokal anmelden Ein Klick auf diesen Button bricht den Dialog zum Verbindungsaufbau ab Mit dieser Option ist eine sichere WAN Dom nen Anmel dung m glich auch wenn vorher keine ordnungsgem e Ab meldung erfolgte Die Anmeldung dauert einige Sekunden Diese Funktion wird nicht ben tigt wenn bei einem ord nungsgem en Herunterfahren Shut Down des Computers eventuell gemappte Laufwerke korrekt getrennt wurden Diese Option ist nur bei einem NT Server als Gegenstelle einsetzbar Bintec Secure IPSec Client PIN N ess Bintec Secure IPSec Client Zentrale VPN Einwahl Lokal anmelden z mmmm Bintec Secure IPSec Client Wurde die Verwendung eines Soft Zerti fikats konfiguriert so muss zun chst die PIN eingegeben werden Die weiteren Stationen des Verbindungs aufbaus erfolgen genau so wie oben un ter Verbinden beschrieben bis die Verbindung steht Benutzerhandbuch A E E Passw rter und Benutzernamen Das Passwort siehe gt Netzeinwahl Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbin
72. d e 06 Chipkartenleser o soam ocr marenn nennen 67 Port s s E D I Auswahl Zertifikat N a a o 207 PKCS 12 Dateiname 2 2 e e m nn DR 6 m mm Bintec Secure IPSec Client Benutzerhandbuch B PKCS 11 Modul ana re SCD Kein Verbindungsabbau TT gezogener Chipkarte Be ee AC D I PIN Abfrage bei jedem Verbindungsaufbau 69 PIN Richtlinie SEENEN Minimale Anzahl der Zeichen Li e a p a Zr en a TO Weitere Richtlinien 2 pos moa 9 a p 05 70 Zertifikatsverl ngerung oa aa 2 nn nn 70 Verbindungssteuerung o so sess sasssa exes TI EAP Opti nen e a a we EE Ee nn 72 Logon Optionen e a wor e m en wa as en dA Konfigurations Sperren ee de dd Allgemein Konfigurations Spiren EENEG Profile Konfigurations Sperten e 75 Profil Sicherung 76 Erstellen 0 2 28 006 A A A a De TO Wiederherstellen x us moas e ee 70 3 2 3 A ee e A TT L gb ch s s 28 2 2 u 8 50 2 a au 2 a A 77 Schlie e Datei E e A o O L schen Bensterinhalt e E ni ee ee nr o oy FO Schlie en Log Fenster 2 2 2 2 nn nn 18 3 2 4 Fenster Da A e a O Profilauswahl anzeigen a 2 2 mn nn nn nn 79 Buttonleiste anzeigen BU Statistik anzeigen s sow rr we ee SO Immer im Sn ee BO Autostart cesar EN E a gt gt Beim Schlie en minimieren 2 2 2 2 nn HI Nach Verbindungsaufbau minimieren 22 2 2202 82 SPF ache ss s una ae
73. d auf eine Smart Card Chipkarte gebrannt Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status ei nes digitalen Personalausweises verleihen Aussteller Zertifikat anzeigen Wenn Sie sich das Aussteller Zertifikat anzeigen lassen k nnen Sie sehen welche Merkmale zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adresse Aussteller CA Benutzer und Aussteller eines Aussteller Zertifikates sind f r gew hnlich identisch selfsigned certificate Der Aus steller des Aussteller Zertifikats muss mit dem Aussteller des Benutzer Zertifikats identisch sein siehe gt Benutzer Zertifikat anzeigen Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revocation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit dem Er l schen der G ltigkeit des Aussteller Zertifikats erlischt automatisch die G ltigkeit eines vom gleichen Aussteller ausgestellten Benutzer Zertifikates Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats 48 Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Benutzer Zertifikat anzeigen Wenn Sie sich Ihr Benutzer Zertifikat anzeigen lassen k nnen Sie
74. das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Aussteller Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden siehe gt CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zerti fikate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der NCP Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zu stande Sind keine Aussteller Zertifikate vorhanden wird keine Verbindung zugelas sen berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn pfung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revocati on Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Er weiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Ex tensions werden von der ausstellenden Certification
75. de nderung einzelner Parameter ist dann jedoch nicht mehr m glich Sichtbare Parameterfelder der Profile Die Parameterfelder der Profil Einstellungen k nnen f r den Benutzer ausgeblendet werden Beachten Sie dass Parameter eines nicht sichtbaren Feldes auch nicht konfiguriert werden k nnen Benutzerhandbuch Bintec Secure IPSec Client mm 75 76 Profil Sicherung Existiert noch kein gesichertes Profil zum Beispiel bei einer Erstinstallation so wird automatisch ein erstes angelegt NCPPHONE SAV Erstellen Nach jedem Klick auf den Men punkt Erstellen wird nach einer Sicherheitsabfrage eine Profil Sicherung angelegt die die Konfiguration zu diesem Zeitpunkt enth lt Bintec Secure IPSec Client Client Profil Sicherung gt Erstellen Wiederherstellen Nach jedem Klick auf Wiederherstellen wird die letzte Profil Sicherung eingelesen nderungen in der Konfiguration die seit der letzten Profil Sicherung vorgenommen wurden gehen damit verloren m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 3 2 3 Log Mit der Log Funktion werden die Kommunikationsereignisse der IPSec Client Software mitprotokolliert W hlen Sie die Log Funktion an ffnet sich das Fenster des Logbuches Die hier abgebildeten 19 04 02 09 37 01 LCP Verhandlungwunsch mit folgenden Parametem auf Kanal 1 gesendet D pa e bis zum 19 04 02 09 37 Maximum Receive Unit 1500
76. den Der IPSec Client unterst tzt hierf r die Einbindung in eine PKI Public Key Infrastruktur 14 m mm Bintec Secure IPSec Client Benutzerhandbuch Leistungsumfang Public Key Infrastruktur Public Key Infrastrukturen PKI beschreiben ein weltweit genutztes Verfahren um zwischen beliebigen Kommunikationspartnern auf elektronischem Wege Schl ssel si cher auszutauschen Die PKI bedient sich dabei sogenannter Schl sselp rchen aus je weils einem ffentlichen und einem privaten Schl ssel In der Welt des elektronischen globalen Informationsaustausches wird so eine Vertrauensbasis aufgebaut wie wir sie in der traditionellen Gesch ftswelt auf Papierbasis kennen Die digitale Signatur in Verbindung mit Datenverschl sselung ist das elektronische quivalent zur h ndisch geleisteten Unterschrift und belegt Ursprung sowie die Authentizit t von Daten und Teilnehmer Eine PKI basiert auf digitalen Zertifikaten die von einer ffentlichen Zertifizierungs stelle Trust Center ausgestellt als pers nliche elektronische Ausweise fungieren und idealerweise auf einer Smart Card abgespeichert sind Sicherheitsexperten und der IETF Internet Engineering Task Force sind sich dar ber einig dass ein nachhaltiger Schutz vor Man In The Middle Attacken nur durch den Einsatz von Smart Cards mit Zertifikaten erreicht werden kann Smart Card Smart Cards sind die ideale Erg nzung f r hochsichere Remote Access L sungen Sie bieten dop
77. den Verbindungsaufbau auf manuell setzen so sollten Sie den unn tige Verbindungskosten f r Sie entstehen Timeout Mit diesem Parameter wird der Zeitraum festgelegt der nach der letzten Datenbewe gung Empfang oder Versenden verstreichen muss bevor automatisch ein Verbin dungsabbau erfolgt Der Wert wird in Sekunden zwischen O und 65535 angegeben Der Standardwert ist 100 Wenn Ihr Anschluss ISDN oder analog einen Geb hrenimpuls erh lt verwendet die Client Software das Impulsintervall um den optimalen Zeitpunkt des Verbindungsab baus bez glich dem von Ihnen gesetzten Wert zu ermitteln Der nach Geb hrentakt op timierte Timeout l uft im Hintergrund und hilft die Verbindungskosten zu reduzieren Hinweis Um den Timeout zu aktivieren ist es n tig einen Wert zwischen 1 und 65356 einzutragen Mit dem Wert 0 wird der automatische Timeout Verbindungsabbau nicht ausgef hrt Der Wert 0 bedeutet dass das Trennen der Verbindung manuell durchgef hrt werden muss Ziehen Sie bei diesem Parameter bitte Ihren Internet Provi der oder Ihren Systemadministrator zu Rate z Wichtig Der Timer f r das gew hlte Zeitintervall l uft erst dann an wenn keine Da tenbewegung oder Handshaking mehr auf der Leitung stattfindet 96 m m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Dynamische Linkzuschaltung Nur f r ISDN Mit dynamischer Linkzuschaltung f r ISDN kann die Client Software bi
78. der Profil Einstellungen selektiert ist Das selektierte Pro fil wird in der Monitoroberfl che unter der Men leiste angezeigt Wenn Sie die Funktion Verbinden w hlen wird die Anwahl an das Ziel ber das aus gew hlte Profil manuell durchgef hrt Wenn Sie je nach Profil die Verbindung manuell oder automatisch herstellen wollen so k nnen Sie dies in den Profil Einstellungen mit dem Parameter Verbindungsauf bau im Feld Verbindungsdauer definieren siehe gt Profil Einstellungen Line Ma nagement Verbindungsaufbau Trennen Eine Verbindung kann manuell abgebaut werden mit der Funktion Trennen im Pull down Men oder nach Klick auf die rechte Maustaste Wenn die Verbindung abgebaut wurde wechseln die Signallampen des Monitors f r die gesamte Offline Dauer von gr n zu rot Benutzerhandbuch Bintec Secure IPSec Client mm 45 46 Client Monitor Verbindungs Informationen Wenn Sie den Men punkt Verbindungs Informationen anklicken werden statistische Werte gezeigt Dar ber hinaus aber auch welche Security Schl ssel SSL mit Zertifi kat Blowfish verwendet werden und welche IP Adressen ber PPP Verhandlung zwischen Client und Server ausgetauscht werden Der Monitor mit den Verbindungs In formationen hat keinerlei Einfluss auf die Funktionen der Client Software Die Verbindungs Informationen k nnen vom Administrator ausgeblendet werden so dass der Men punkt n
79. der Client Software werden mehrere Aussteller Zertifikate unterst tzt Multi CA Unterst tzung Dazu m ssen die Aussteller Zertifikate im Windows Verzeichnis NCPLE CACERTS gesammelt werden Im Monitor des Clients wird die Liste der eingespielten CA Zertifikate angezeigt unter dem Men pukt Verbindung gt Zertifikate gt CA Zertifikate wi JC DE ST Bayern L Nuemberg O Test OU Test CN NCP Test CA Email info ncp c Wird das Aussteller Zertifikat einer Gegenstelle empfangen so ermittelt der Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Ist das Aussteller Zertifikat nicht bekannt kommt die Verbindung nicht zustande No Root Certificate found Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS vorhanden so wird keine Verbindung unter Einsatz von Zertifika ten zugelassen Anzeige und Auswertung von Erweiterungen bei eingehenden Zertifikaten und CA Zertifikaten Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn pfung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revocati on Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Er weiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Ex ten
80. der eine individuelle TCP oder UDP Portnummer sein oder ein Be reich von Portnummern Bestimmen Sie die Portnummern mit den zugeteilten Diensten indem Sie den Auswahl Button dr cken Port Ziel Firewall Dies kann entweder eine individuelle TCP oder UDP Portnummer sein oder ein Be reich von Portnummern Bestimmen Sie die Portnummern mit den zugeteilten Dien sten indem Sie den Auswahl Button dr cken m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung D Amtsholung Eine Amtsholung ist dann n tig wenn der IPSec Client an einer Nebenstellenanlage betrieben wird Damit die definierten Profile des IPSec Clients auch im mobilen Einsatz verwendbar bleiben ohne Rufnummern umkonfigurieren zu m ssen kann sofern an einem Anschluss eine Amtsholung n tig wird diese hier eingetragen werden Die Nummer f r die Amtsholung wird dann f r alle Zielrufnummern der Profile automatisch mitgew hlt Benutzerhandbuch Bintec Secure IPSec Client mm m 65 Client Monitor el Benutzer Zertifikat Konfiguration Klicken Sie auf die Men abzweigung Konfiguration Zertifikate so k nnen Sie zu n chst bestimmen ob Sie die Zertifikate und damit die Erweiterte Authentisierung nutzen wollen und wo Sie die Benutzer Zertifikate hinterlegen wollen In weiteren Konfigurationsfeldern werden die Richtlinien zur PIN Eingabe festgelegt und das Zeitintervall eingestellt innerhalb dessen das Zerti
81. dung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewiesen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wich tig dass Sie das Passwort genau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Auch wenn Sie f r den Verbindungsaufbau automatisch gew hlt haben siehe oben Verbindungsaufbau zum Zielsystem m ssen Sie die Verbindung beim ersten Mal manuell aufbauen und das Passwort eingeben F r jeden weiteren automatischen Ver bindungsaufbau wird das Passwort selbst ndig bernommen bis der PC erneut geboo tet oder das Zielsystem gewechselt wird D h f r eine Reihe von automatischen Ver bindungsaufbaus wird das Passwort nach der ersten Eingabe und dem ersten Verbin dungsaufbau selbst ndig bernommen auch wenn die Funktion Passwort speichern siehe gt Netzeinwahl nicht aktiviert wurde Erst ein Boot Vorgang l scht das einmal eingegebene Passwort Beachten Sie dazu auch gt Logon Optionen Soll das Passwort mit dem Booten nicht gel scht werden so muss die Funktion Pass wort speichern aktiviert werden siehe gt Netzeinwahl Bitte beachten Sie dabei dass im
82. e Adress Klassen haben auch die Netz Masken unterschiedlich lange Netzwerk Abschnitte 134 z mmmm Bintec Secure IPSec Client Benutzerhandbuch 6 2 6 2 1 Security Im Parameterfeld IPSec Einstellungen der Profil Einstellungen sind die Konfigu rationsparameter zu IPSec f r den Einsatz in Remote Access Umgebungen gesam melt Im folgenden wird auf einige Konfigurationsm glichkeiten Bezug genommen IPSec bersicht IPSec kann nur f r IP Datenverkehr eingesetzt werden Die IPSec Spezifikation um fasst nicht nur das Layer 3 Tunneling sondern auch alle notwendigen Sicherheitsme chanismen wie starke Authentisierung Schl sselaustausch und Verschl sselung Mit den IPSec RFCs 2401 2409 l sst sich ein VPN mit vorgegebener Security f r IP realisieren Tunneling und Security sind f r IPSec vollst ndig beschrieben so dass ein komplettes Rahmenwerk f r das VPN zur Verf gung steht Prinzipiell ist es m glich herstellerunabh ngige veschiedene Komponenten zu nutzen In Site to Site VPNs etwa k nnten die VPN Gateways von veschiedenen Herstellern stammen in End to Site VPNs k nnten die Clients von einem anderen Hersteller als die Gateways sein Der Verbindungsaufbau zum IPSec Verkehr erfolgt auf Basis des Internet Key Ex change Protokolls IKE IPSec allgemeine Funktionsbeschreibung In jedem IP Host Client oder Gateway der IPSec unterst zt gibt es ein IPSec Modul bzw eine IPSec Maschine Dieses Modul
83. ecure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen D 6 4 Stateful Inspection Technologie fur die Firewall Einstellungen Die Firewall Technologie der Stateful Inspection kann f r alle Netzwerkadapter wie auch fiir RAS Verbindungen eingesetzt werden Sie wird am Client im Telefonbuch un ter Firewall Einstellungen aktiviert siehe gt Konfigurations Parameter Firewall Einstellungen Am Gateway ist sie dann aktiv wenn im Server Manager unter Rou ting Interfaces Allgemein die Funktion LAN Adapter sch tzen eingeschaltet wird Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus an deren bzw externen Netzen Internet in das eigene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und z B Internet installiert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher fest gelegter Konfigurationen ab ein Datenpaket durchgelassen wird oder nicht Stateful Inspection ist die Firewall Technologie die den derzeit h chstm glichen Si cherheitsstandard f r Internet Verbindungen und somit das Firmennetz bietet Sicher heit wird in zweierlei Hinsicht gew hrleistet Zum einen verhindert diese Funktionali t t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum an deren berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Inter ne
84. efonbuchs und einzelne Parameter k nnen vom Administrator aus geblendet bzw auf nicht konfigurierbar gesetzt werden Die ausgeblendeten und de aktivierten Features und Parameter erleichtern Ihnen den Umgang mit der Software und haben weder Einfluss auf die Leistungsf higkeit der Software noch auf Ihre Arbeit Be achten Sie dazu den Abschnitt 3 3 Konfiguration 3 3 8 Konfigurations Sperren 42 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 3 2 Monitor Bedienung Diese Beschreibung folgt den Men punkten in der Men leiste Die Hauptmen punkte in der Men leiste von links nach rechts sind O Verbindung O Konfiguration O Log O Fenster O Hilfe Benutzerhandbuch Bintec Secure IPSec Client m 43 Client Monitor 3 2 1 Verbindung CO diesem Men punkt befinden sich die Kommandos zum Aufbau und Trennen ei ner Verbindung Informationsfenster zum aktuellen Verbindungsaufbau sowie zur Dar OR der eingesetzten Zertifikate Die PIN f r das Zertifikat kann hier eingegeben und ggf ge ndert werden Au erdem kann hier die Statistik der Verbindungsteuerung abgelesen werden und gegebenenfalls die Sperre der Verbindungssteuerung gel st wer den wenn ein von Ihnen gesetztes Limit berschritten wurde 44 m m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Verbinden Eine Verbindung wird aufgebaut Eine Verbindung kann nur aufgebaut werden wenn ein Profil aus der Liste
85. ehen nur drei Meldungen ber den Kontroll kanal wobei nichts verschl sselt wird E PFS Gruppe Mit Auswahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt ob ein kompletter Diffie Hellman Schl sselaustausch PFS Perfect Forward Secrecy in Pha se 2 zus tzlich zur SA Verhandlung stattfinden soll Standard ist keine E IP Kompression LZS verwenden Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um maximal das 3 fache E DPD Dead Peer Detection deaktivieren DPD Dead Peer Detection und NAT T NAT Traversal werden automatisch im Hin tergrund ausgef hrt sofern dies das Ziel Gateway unterst tzt Der IPSec Client nutzt DPD um in regelm igen Intervallen zu pr fen ob die Gegenstelle noch aktive ist Ist dies nicht der Fall erfolgt ein automatischer Verbindungsabbau Mit dieser Funktion kann DPD ausgeschaltet werden 106 pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 4 1 6 Identit t Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl P Adresse FENIE IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Firewall Einstellungen Zugangsdaten aus Konfiguration verwenden Entsprechend des Sicherheitsmodus IPSec k nnen noch detailliertere Sicherheitsein stellungen vorgenommen werden Parameter O Typ Identit t O ID Identit t O Pre shared Key
86. ehenen Felder eintragen Aktivierungsschl ssel und Seriennummer befinden sich auf dem Beipackzettel zur CD Verpackung Sind diese Codes korrekt eingetragen wird der Weiter Button in diesem Fenster links aktiviert Mit Weiter schalten Sie die Software f r den uneingeschr nkten Funktionsumfang frei Ihre Software ist damit voll einsatzf hig weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client mmm 25 l Installation 26 Komponenten w hlen Programmordner ausw hlen Total Commander Komponenten w hlen Bintec Secure IPSec Client Wenn Sie eine Normale Installation vornehmen ist das Setup mit diesem Fenster links abgeschlossen Nehmen Sie eine Benutzerdefinierte Installation vor so k nnen Sie weitere Einstellungen vornehmen Im folgenden Fenster der Benutzerdefinierten Installation bestimmen Sie den Programmordner f r die Client Software Standard ist Bintec Secure IPSec Client Au erdem kann das Icon auf dem Desktop angezeigt werden Zu den weiteren Einstellungen bez glich Ihres Gateways sind n here Informationen von Ihrem Administrator oder Internet Service Provider n tig f r Windows 98 ME weiter un ter 2 2 4 f r Windows NT 2000 XP wei ter unter 2 2 5 Benutzerhandbuch Installation der Client Software Im folgenden unterscheiden sich die Installationsschritte unter Windows 98 ME und Windows NT 200
87. ei da inte a 108 146 XDSL AVM PPP over CAPI 22222200 88 ADSL PPPOE ui ia a ana 19 88 xDSL M dem e seda d wos eoo aa A we 19 Benutzerhandbuch Bintec Secure IPSec Client m 173 174 Bintec Secure IPSec Client Zertifikats Erweiterungen Extensions 50 Zertifikats Konfiguration o oo o 66 Zertifikats berpr fung 114 149 Zertifikatsverl ngerung o ooo verad 70 Zugangsdaten very rai o anna run 109 Benutzerhandbuch
88. eingegeben werden Statt den Verzeichnisnamen f r die PKCS 11 DLL komplett einzugeben kann der Name dy namisch zusammengesetzt werden Z B SYSTEMRROT amp ncple pkcs 11 dll SYSTEMDRIVE winxxx ncple pkest11 d11 leichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Mana ger da nun f r alle Benutzer die gleichen Strings mit Umgebungsvariablen eingegeben werden k nnen O Wichtig Die Strings f r das Modul k nnen mit Variablen eingegeben werden Dies er 68 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Kein Verbindungsabbau bei gezogener Chipkarte Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut Damit Kein Verbindungsabbau bei gezogener Chipkarte erfolgt muss diese Funktion akti viert werden PIN Abfrage bei jedem Verbindungsaufbau Standardeinstellung Wird diese Funktion nicht genutzt so wird die PIN nur einmalig beim ersten Verbindungsaufbau des IPSec Clients abgefragt Wird diese Funktion aktiviert so wird bei jedem Verbindungsaufbau die PIN erneut ab gefragt wird bei einem automatischen Verbindungsaufbau die Verbindung ohne erneute PIN O Wichtig Ist der Monitor nicht gestartet kann kein PIN Dialog erfolgen In diesem Fall Eingabe hergestellt Benutzerhandbuch Bintec Secure IPSec Client mmm 69 Client Monitor 70 PIN Richtlinie F r die PIN k nnen Richt linien festgelegt werden die bei Eingabe oder nde ru
89. eitere Pr fung durchgelassen Benutzerhandbuch Bintec Secure IPSec Client m 153 6 Beispiele und Erkl rungen 154 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I MM Abk rzungen und Begriffe 3DES TripleDES Verschl sselungsstandard mit 112 Bit AES Advanced Encryption Standard Europ ische Ent wicklung der belgischen Verschl sselungsexperten Joan Daemen und Vincent Rijmen Rijndael Al gorithmus Nachfolger von DES Data Encrypti on Standard Verschl sselungsalgorithmus der bis zu 256 Bit Schl ssell nge besitzt n hoch 256 gilt als Ma einheit f r die m gliche Anzahl der Schl ssel die mit diesem Algorithmus generiert werden k nnen Trotz steigender Prozessorge schwindigkeiten wird erwartet dass der AES Al gorithmus eine akzeptable Sicherheit f r die n ch sten 30 Jahre bietet Wird in VPN und SSL Ver schl sselungen bald gro e Verbreitung finden AH Authentication Header RFC 2402 Asymmetrische Verschl sselung Public Key Verfahren Bei einer asymmetrischen Verschl sselung besitzt jeder Teilnehmer zwei Schl ssel einen geheimen privaten und einen f fentlichen Schl ssel Beide Schl ssel stehen in ei ner mathematisch definierten Beziehung zueinan der Der private Schl ssel des Teilnehmer ist streng geheim der ffentliche Schl ssel f r jeder mann zug nglich Das Schl sselmanagement ge staltet sich auch bei gro en Teilnehmerzahlen berschaubar Zwei Schl ssel pro Tei
90. ellen gt weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client m 23 Installation w hlen Sie eine Setup Sprache aus ca Deutsch Deutschland Willkommen Software Lizenzvertrag 24 m m mm Bintec Secure IPSec Client Im folgenden Fenster k nnen Sie die Setup Sprache ausw hlen Klicken Sie danach auf OK Anschlie end bereitet das Setup Programm den Install Shield Assistenten vor mit dessen Hilfe die Installation fortgesetzt wird Lesen Sie bitte die Hinweise im Willkommen Fenster des Setup Programms bevor Sie auf Weiter klicken Anschlie end werden die Lizenzbedingungen gezeigt Stimmen Sie dem Vertag mit Ja zu sonst wird die Installation abgebrochen weiter n chste Seite Benutzerhandbuch Installation der Client Software Komponenten w hlen d Haben Sie noch keine Lizenz erworben so w hlen Sie in diesem Fenster die Installation einer Testversion Sollten Sie eine Testversion installieren so ist diese vom Zeitpunkt der Installation f r 30 Tage g ltig und kann danach nicht mehr gestartet werden weiter n chste Seite Aktivierungsschl ssel x Haben Sie eine Lizenz f r die Software erworben so w h len Sie Installation als Voll version und klicken Weiter Die Vollversion der Software wird aktiviert indem Sie anschlie end Aktivierungsschl ssel und Seriennummer Ihrer Software Lizenz in die daf r vorges
91. elzeile mit Am pelanzeige Bintec Secure IPSec Client O der Hauptmen leiste O der Profilauswahl mit einem Feld f r die Amtsholung b o ooo bintec11 LU dem grafischen Statusfeld zur Anzeige des Verbin dungsstatus O der Buttonleiste mit Verbin den und Trennen O und einem Statistikfeld Die Benutzeroberf che ist Windows konform gestaltet und der Bedienung anderer Win dows Anwendungen angepasst Der Monitor kann bedient werden ber die Pulldown Men s der Men leiste ber die Buttons der Buttonleiste oder ber das Kontextmen rechte Maustaste Benutzerhandbuch Bintec Secure IPSec Client mmm 41 3 1 2 Das Erscheinungsbild des Monitors Je nach gew hlter Einstellung im Monitor Menu Fenster erscheint der Monitor nach Ausblenden seiner Bestandteile siehe 3 2 5 Fenster in verschiedenen Gr en Das Verbindungsmedium L a l sst sich im Statistikfeld ab lesen oder kann bei der Na mensvergabe an das Profil Zentrale ISDN mit eingegeben werden so dass sie auch im grafischen Statusfeld erscheint Bintec Secure IPSec Client Client Modifikationen der Oberfl che Bitte beachten Sie dass das Erscheinungsbild des Client Monitors vom Administrator ver ndert werden kann Dies betrifft insbesondere die Men punkte Verbindungs Infor mationen Zertifikate Verbindungssteuerung und Logon Optionen Auch Para meterfelder des Tel
92. em Systemei genschaften Hardware Ger temanager Treibersignaturoptionen ndern Sie das Vorgehen von Windows auf Ignorieren Software unabh ngig von Zulassung instal lieren M Nehmen Sie die obige Einstellungs nderung nicht vor erscheint w hrend des Setups nach dem Kopieren der Dateien eine Meldung die vor der Installation des Client Adap ters warnt ignorieren Sie diese Meldung und klicken Sie auf Installation fortsetzen 22 m mmm Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software 2 2 1 Standard Installation Die ZIP Datei die Sie mit einem Download oder mit der CD erhalten haben kopieren Sie auf die Festplatte des PCs und entpacken sie in einem Verzeichnis Ihrer Wahl Beim Entpacken werden automatisch die Verzeichnisse DISK1 DISK2 DISK3 etc angelegt W hlen Sie im Windows Hauptmen Start Einstellungen gt System steuerung In der Windows Systemsteuerung w hlen Sie Software oder Neue Programme hin zuf gen Klicken Sie anschlie end auf den Button zum Installieren von CD oder Dis kette ee AE AR Wenn nebenstehendes Fenster erscheint klicken Sie auf Weiter Im daraufhin erscheinenden Fenster klicken Sie auf Durchsuchen um im Verzeichnis mit der ZIP Datei das Unterverzeichnis Disk und dort das Programm SETUP EXE zu suchen Wenn SETUP EXE angezeigt wird klicken Sie auf Fertigst
93. en Modem gew hlt haben Alle n tigen Parameter zu dieser Verbindungsart sind hier CU Dieses Parameterfeld erscheint ausschlie lich wenn Sie als Verbindungmedium gesammelt Parameter O Modem O Anschluss O Baudrate O Com Port freigeben O Modem Init String O Dial Prefix O APN O SIM PIN 92 m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Modem Dieses Parameterfeld zeigt die auf dem PC installierten Modems W hlen Sie aus der Liste das gew nschte Modem aus Je nachdem welches Modem Sie w hlen werden die zugeh rigen Parameter Com Port und Modem Init String automatisch in die Konfigurationsfelder des Telefon buchs aus der Treiberdatenbank des Systems bernommen Weitere Parameter f r dieses Kommunikationsmedium k nnen auch ber die System steuerung des PCs konfiguriert werden Hinweis Bitte beachten Sie dass Sie das Modem vor der Konfiguration der Verbin dung im Telefonbuch installiert haben m ssen um es korrekt f r Kommunikationsver bindungen nutzen zu k nnen Anschluss An dieser Stelle bestimmen Sie welcher Com Port von Ihrem Modem genutzt werden soll Wenn Sie bereits Modems unter Windows installiert haben wird der w hrend die ser Installation festgesetzte Com Port automatisch bernommen sobald Sie das ent sprechende Ger t unter Modem ausw hlen Hinweis Wenn Sie ein bereits unter Ihrem System installiertes Modem nutzen m ch
94. en Profil Einstellungen Um ein neues Profil zu definieren klicken Sie in der Men leiste des Monitors auf Profil Einstellungen Das Men ffnet sich nun und zeigt die bereits definierten Pro file Klicken Sie jetzt auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Pro fil mit Ihrer Hilfe ein neues an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen haben ist ein neues Profil angelegt F r alle weiteren Parameterfelder werden Standardwerte eingetragen Um diese Standardwerte zu editieren d h weitere Parameter so einzustellen wie es den Verbindungsanforderungen zum zugeh rigen Zielsystem entspricht w hlen Sie mit der Maus das Profil aus dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Um die Definitionen eines bereits definierten Profils zu kopieren klicken Sie Kopie ren Um ein Profil zu l schen w hlen Sie es aus und klicken L schen 84 m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen mba 8 9 10 Parameterfelder Die Parameter die die jeweilige Verbindung ber das Profil zu den Zielen spezifizie ren sind in verschiedenen Parameterfeldern gesammelt In der Kopfzeile steht der Name des Profils siehe auch gt Profil Einstellungen Konfigurieren Seitlich sind die Titel der Parameterfelder angeordnet Grundeinstellungen Profi
95. en optional Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der IPSec Client in bestimmten Abst nden ob die Gegenstelle noch aktiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Unterst tzt die Gegenstelle DPD nicht so kann DPD im Parameterfeld IPSec Einstellungen de aktiviert werden Der Einsatz von NAT Traversal erfolgt beim IPSec Client automat isch und ist immer n tig wenn auf dem weg zum Zielsystem ein Ger t mit Network Address Translation zum Einsatz kommt u Basiskonfigurationen in Abh ngigkeit vom IPSec Gateway Im folgenden sind Konfigurationsm glichkeiten aufgef hrt die zu beachten sind je nachdem ob das IPSec Gateway Extended Authentication XAUTH und IKE Config Mode unterst tzt oder nicht Gateway unterst tzt nicht XAUTH Der IPSec Client als Initiator der IPSec Verbindung schl gt standardm ig immer die Extended Authentication vor Diese Eigenschaft kann nicht konfiguriert werden Unter st tzt das Gateway die Extended Authentication nicht so wird sie auch nicht durchge f hrt Gateway unterst tzt IKE Config Mode Sofern das Gateway den IKE Config Mode unterst tzt kann im Parameterfeld IP Adressen Zuweisung die Funktion IKE Config Mode verwenden aktiviert werden 146 Bintec Secure IPSec Client Benutzerhandbuch ES
96. en verbindungsschicht data link layer 1 physikali sche Schicht physical layer Die im Netz zu ber mittelnden Daten durchlaufen auf der Senderseite die Schichten von 7 1 auf der Empf ngerseite in umgekehrter Reihenfolge Password Authentication Protocol Sicherungsme chanismus innerhalb des PPP zur Authentisierung der Gegenstelle PAP definiert eine Methode nach dem Aufbau einer Verbindung anhand eines Benut zernamens und eines Passworts die Rechte des Senders zu pr fen Dabei geht das Passwort im Klartext ber die Leitung Der Empf nger ver Benutzerhandbuch I MM gleicht die Parameter mit seinen Daten und gibt bei bereinstimmung die Verbindung frei PC SC Schnittstelle zu Smartcard Readern PEM ltere Form von Soft Zertifikaten ohne Private Key Personal Firewall Die Security Mechanismen der Client Software vereinigen Tunneling Verfahren und Personal Fire walling IP Network Address Translationen IP NAT sowie universelle Filtermechanismen Von zentraler Bedeutung ist IP NAT denn es sorgt da f r dass nur vom Rechner ins Internet ausgehende Verbindungen m glich sind Ankommende Daten pakete werden auf der Basis eines ausgekl gelten Filterings nach genau definierten Eigenschaften berpr ft und bei Nicht bereinstimmung abgewie sen Das hei t Der Internet Port des jeweiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen unm glich PIN Personal Identif
97. en ein Benutzername vom Zielsystem zugewiesen da Sie vom Zielsystem auch Radius oder LDAP Server erkannt werden m ssen Sie er halten ihn von Ihrem Stammhaus vom Internet Service Provider oder dem Systemad ministrator u Passwort Das Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewie sen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort ge nau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Wird der Parameter Passwort speichern nicht aktiviert so muss er bei jedem Verbin dungsaufbau das Passwort per Hand eingeben el Passwort speichern Dieser Parameter muss aktiviert angeklickt werden wenn gew nscht wird dass das Passwort und das Passwort Ziel sofern es eingegeben ist gespeichert wird Andern falls werden die Passw rter gel scht sobald der PC gebootet wird oder ein Zielsystem gewechselt wird Standard ist die aktivierte Funktion Wichtig Bitte beachten Sie dass im Falle gespeicherter Passw rter jedermann mit Ih re
98. ende Jahr angezeigt Statistik der Verbindungssteuerung el Sperre aufheben Je nachdem wie die Verbin dungssteuerung eingestellt ist erhalten Sie bei berschreiten eines Limits Meldungen auf dem Bildschirm Wird ein Limit berschritten und die Verbin dung automatisch abgebaut wird eine Sperre aktiv die jeden weiteren Verbindungsaufbau un terbindet siehe Verbin dung Men im Monitor Verbindungssteuerung Eine Verbindung kann erst dann wieder neu aufgebaut werden wenn Sie die Sperre aufheben Bintec Secure IPSec Client 56 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Beenden des Monitors Wurde die Verbindung bereits getrennt beendet ein Klick auf diesen Men punkt oder der Schlie en Button den Monitor Besteht noch eine Verbindung kann nach Klick auf diesen Men punkt oder den Schlie en Button der Monitor ebenfalls beendet werden Beachten Sie jedoch unbedingt dass die Verbindung dabei nicht automatisch getrennt wird Soll die m glicherweise kostenpflichtige Verbindung bestehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Best tigung von der Soft ware verlangt O Klicken Sie in diesem Best ti Best tigung gungsfenster auf Nein so ha ben Sie auf Ihrer Desktop Ober 2 fl che kein Icon und keinen Hinweis mehr darauf dass noch eine Verbindung aktiv ist und Geb hren anfallen k nnen In diesem Fall m ssen S
99. entscheiden ob er bei einer IP Kommunikation eine Verbindung zu einem physikalisch anderen Netz innerhalb des WANS aufbauen soll Das Netzwerk WAN muss daher in kleinere Abschnitte LANs unterteilt werden die einen eigenen Adressblock erhalten Jeder Adressblock der ein zelnen physikalischen Netze wird als Subnet bezeichnet Durch diese Unterteilung ei nes Netzwerks in Subnets wird die Hierarchie aus Netzwerk und Rechner zu einer Hier archie erweitert aus Netzwerk Subnet und Rechner Diese erweiterte Hierarchie erleichtert zum einen das Auffinden eines Rechners im Ge samtnetz WAN Man kann sich dies vorstellen analog zur Nomenklatur im Telefon netz wo zum Beispiel die Ortsvorwahl aussagt in welchem Bereich sich ein Anschluss befindet Diese Hierarchie gew hrt auch eine gewisse Zugriffssicherheit So kann in ei nem Firmennetz zum Beispiel der Rechner eines Subnets nicht ohne weiteres auf Res sourcen eines anderen Subnets zugreifen etwa ein Mitarbeiter aus der Fertigungsab teilung auf Datenbest nde aus der Personalabteilung wenn die Netz Masken nach Fir menabteilungen entsprechend gew hlt sind Die Netz Maske Subnet Mask gibt den Standort des Subnet Felds in einer IP Adresse an Die Netz Maske ist eine bin re 32 Bit Zahl wie eine IP Adresse Sie hat eine 1 an allen Stellen des Netzwerk Abschnitts der IP Adresse je nach Netzwerk Klasse in nerhalb des ersten bis dritten Oktetts Das darauf folgende Oktett gibt die Pos
100. enverkehr des lokalen Netzes ber VPN Tunneling weitergeleitet werden soll so muss diese Funktion aktiviert werden Benutzerhandbuch Bintec Secure IPSec Client mm mmm 113 Konfigurationsparameter Profil Einstellungen 4 1 9 Zertifikats berpr fung Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl IP Adressen Zuweisung YPN IP Netze Zertifikats berprufung Firewall Einstellungen vorgegeben werden welche Eintr ge in einem Zertifikat der Gegenstelle Gateway CU Im Parameterfeld Zertifikats berpr fung kann pro Zielsystem des IPSec Clients vorhanden sein m ssen siehe gt Eingehendes Zertifikat anzeigen Allgemein Siehe auch O Benutzer des eingehenden Zertifikats O Aussteller des eingehenden Zertifikats O Fingerprint des Aussteller Zertifikats O SHA1 Fingerprint verwenden O Weitere Zertifikats berpr fungen 114 pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzer des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Benutzers soweit bekannt auch mit Wildcards verwendet werden Vergleichen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Benutzer aufge f hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name s Surname Nachname g Givenna
101. erbindung soll zum Zielsystem hergestellt werden bintec dungen mit dem Internet oder zum Firmennetz rasch hergestellt werden Je nach Auswahl des ge w nschten Verbindung styps wird das Profil nach wenigen Konfigurationsab fragen angelegt Assistent f r neues Profil Im folgenden die jeweils notigen Daten zur Konfiguration Verbindung zum Firmennetz ber IPSec Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzername Passwort Rufnummer VPN Gateway Parameter Tunnelendpunkt IP Adresse Zugangsdaten fur VPN Gateway XAUTH Benutzername Passwort IPSec Konfiguration Exch Mode PFS Gruppe Kompression Statischer Schl ssel Preshared Key ohne Zertifikat IKE ID Typ IKE ID IP Adressen Konfiguration IP Adresse des Clients DNS WINS Server Firewall Einstellungen Verbindung mit dem Internet herstellen Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzer Passwort Rufnummer Das neue Profil erscheint nun in der Liste der Profile mit dem von Ihnen vergebenen Namen Wenn keine weiteren Parameter Einstellungen n tig sind k nnen Sie die Liste mit Ok schlie en Das neue Profil ist im Monitor sofort verf gbar Es kann im Monitor ausgew hlt werden und ber das Men Verbindung Verbinden kann das zugeh ri ge Ziel sofort angew hlt werden m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor
102. erweiterten Authentisierung verwendet werden Zugangsdaten aus Zertifikat E Mail verwenden Dies bedeutet dass statt Benutzername und Passwort der E Mail Eintrag des Zerti fikats verwendet wird Zugangsdaten aus Zertifikat Common Name verwenden Dies bedeutet dass statt Benutzername und Passwort der Benutzer Eintrag des Zertifikats verwendet wird Zugangsdaten aus Zertifikat Seriennummer verwenden Dies bedeutet dass statt Benutzername und Passwort die Seriennummer des Zerti fikats verwendet wird Benutzerhandbuch Bintec Secure IPSec Client mm mmm 109 Konfigurationsparameter Profil Einstellungen 4 1 7 IP Adressen Zuweisung Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Firewall Einstellungen Parameter O IKE Config Mode verwenden O Lokale IP Adresse verwenden O IP Adresse manuell vergeben O DNS WINS O DNS Server O WINS Server 110 pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen IKE Config Mode verwenden IP Adressen und DNS Server werden ber das Protokoll IKE Config Mode Draft 2 zugewiesen F r die NAS Einwahl k nnen alle bisherigen WAN Schnittstellen verwen det werden Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der Client in bestimmten Abst nden ob die Gegenstelle noch
103. es E Soft Zertifikats konfiguriert wie bei der Testverbindung mit SSL so muss zun chst die PIN eingegeben werden Bitte geben Sie Ihre PIN ein Anschlie end wird eine Verbin enee Ee eene Pal ES dung zum Internet Service Pro Verbindung Konfiguration Log Eenster Hilfe vider ISP hergestellt gelbe Zentrale Linie Die Einwahl dorthin par wird nun mit einem Globus die La Authentisierung beim ISP als e H ndesch tteln dargestellt Da Client Pi A bei wechseln die Farben der Symbole je nach aktuellem Sta tus hellblau Station des Verbin Bintec Secure IPSec Client Al ES dungsaufbaus Verbindung Konfiguration Log Fenster Hilfe Zentrale dunkelblau Station wird gera CH de durchlaufen gt NAS Einwahl Client PIN 122 mmmm Bintec Secure IPSec Client Benutzerhandbuch Oooo E FREE gr n Station erfolgreich Bintec Socio ESC Liani durchlaufen links der Globus Verbindung Konfiguration Log Fenster Hilfe Zentrale m 5 NAS Authentisierung Client DIN Die erfolgreich durchlaufenen Stationen oo als verkleiner Verbindung Konfiguration Log Fenster Hilfe te Symbole dargestellt Zentrale Nach der Verbindung zum ISP gr ne Linie und der Authenti 5 Authentisierung sierung am Network Access Client PIN Y O Server gr nes H ndesch tteln Bintec Secure IPSec Client Al E Verbindung Konfiguration Log Fenster Hilfe wird
104. etzen Point to Point Protokoll In einer PPP Verhand lung wird die IP Adresse nach Anwahl an den Pro vider automatisch bergeben Primary Rate Interface ISDN Schnittstelle Pri m r Multiplex S2m mit 30 B Kan len und 2 D Kan len Remote Authentication Dial In User Service siehe Directory Service Registration Authority Meist ist die Registrie rungsstelle die Stelle die die Daten f r die Bean tragung eines Zertifikats entgegen nimmt Die RA ist auch die Stelle der der Verlust oder der Verfall eines g ltigen Zertifikats gemeldet wird und die eine Widerrufsliste Revocation List ung ltig ge wordener Zertifikate herausgibt Remote Access Services Firmenspezifische Mi crosoft Einwahlhilfe f r Remote Access Routing Information Protocol auch Routing Modus Request for Comment Normentwurf Vornorm die im Internet diskutiert wird und so lange in der Li ste der RFCs gehalten wird so lange sie sich in der Praxis bew hrt Vorformen der RFCs sind Drafts Router ben tigen f r die Wegewahl im Netz Infor mationen ber die g nstigsten Routen von der Quelle zum Ziel Mit Hilfe der Routing Tabellen werden diese Strecken vom Router kalkuliert W hrend beim statischen Routing die Tabellen fest Benutzerhandbuch I MM vorgegeben sind erh lt der Router beim dynami schen Routing ber Router Informationsprotokolle z B RIP NLSP OSPF Informationen ber das Netz die zu selbst erlernten Routing Tabelle
105. fallen keine Geb hren an CTAPI Schnittstelle zu Smartcard Readern CUG Closed User Group geschlossene Benutzergruppe im Euro ISDN DES Datenverschl sselungsnorm Data Encryption Standard DHCP Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass f r jede Session automatisch eine IP Adresse zugewiesen wird Directory Service Remote Access Zug nge werden wie E Mail Adressen Telefonnummern etc in Verzeichnissen auf unterschiedlichen Datenbanken abgelegt Das Problem bei dieser Vielzahl von Verzeichnissen ist dass einerseits viele Daten mehrfach erfasst werden und zudem die einzelnen Eintr ge nicht untereinander verkn pft sind Der Pflegeaufwand ist enorm und Inkonsistenzen sind nicht auszu schlie en Gefordert ist ein standardisiertes Proze dere mit Hilfe dessen die Erfassung und Pflege al ler Informationen in einer zentralen Directory er m glicht wird Das T Online Security Manage ment unterst tzt die standardisierten Protokolle Radius Remote Authorization Dial In User Ser vice und LDAP Lightweight Directory Access Protocol wobei letztere den Zugriff auf zentrali sierte Verzeichnisdienste gew hrleistet Benutzerhandbuch Bintec Secure IPSec Client mm mmm 157 H Abk rzungen und Begriffe DMZ Demilitarisierte Zone zwischen Firewall und Un ternehmensnetz zum Beispiel mit Web Email und VPN Server DNS Der Domain Name Server DNS stellt die IP Adresse f r eine Internet Sitzung zur
106. fikat abl uft bzw eine Zerti fikatsverl ngerung beantragt werden muss Zertifikat Zertifikate ohne W hlen Sie in der Listbox Zertifikat die Einstellung ohne so wird kein Zertifikat ausgewertet und die Erwei terte Authentisierung findet nicht statt aus Chipkartenleser W hlen Sie aus Chipkartenleser in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in ihrem Chipkartenleser ausgele sen aus PKCS 12 Datei W hlen Sie aus PKCS 12 Datei aus der Listbox so wer den bei der Erweiterten Authentisierung die relevanten Zertifikate aus einer Datei auf der Festpplatte Ihres Rechners gelesen PKCS 11 Modul W hlen Sie PKCS 11 Modul in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in einem Chipkartenleser oder von einem Token gelesen 66 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Chipkartenleser Wenn Sie die Zertifikate von der Smart Card mit Ihrem Leseger t nutzen wollen w h len Sie Ihren Chipkartenleser aus der Listbox Siehe auch gt PIN eingeben Chipkartenleser PC SC konform Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automatisch Erst dann kann der installierte Leser ausgew hlt und genut
107. h Profil Einstellungen D Name IPSec Richtlinie Geben Sie dieser Richtlinie einen Namen ber den Sie sie sp ter einer SPD zuordnen k nnen D Protokoll IPSec Richtlinie Der fest eingestellte Standardwert ist ESP a Transformation IPSec Richtlinie Wenn das Sicherheitsprotokoll ESP eingestellt wurde kann hier definiert werden wie mit ESP verschl sselt werden soll Zur Wahl stehen die gleichen Verschl sselungsalgo rithmen wie f r Layer 2 DES Triple DES Blowfish AES 128 AES 192 AES 256 E Authentisierung IPSec Richtlinie F r das Sicherheitsprotokoll ESP kann der Modus der Authentisierung eigens einge stellt werden Zur Wahl stehen MD5 und SHA Benutzerhandbuch Bintec Secure IPSec Client m 105 Konfigurationsparameter Profil Einstellungen Erweiterte Optionen Exch Mode Der Exchange Mode Austausch Modus bestimmt wie der Internet Key Exchange von statten gehen soll Zwei unterschiedliche Modi stehen zur Verf gung der Main Mode auch Identity Protection Mode und der Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messages und durch deren Verschl sselung Main Mode Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollkanal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Protection Mode Aggressive Mode Im Aggressive Mode g
108. hl ma Verbinden Trennen nuell durchzufuhren Statistik Beenden Werbindungszeit 00 00 00 Timeout sec 0 Daten Tx in Byte 0 Richtung Daten Rx in Byte 0 Yerbindungsart ISDN Durchsatz KB s 0 000 Verschl sselung Client Lediglich die gew nschte Applikations Software muss gestartet werden Die Verbindung wird dann entsprechend den Parame tern des Profils automatisch aufgebaut siehe gt Verbin dungssteuerung Verbin Bintec Secure IPSec Client A ES dungsaufbau automatisch z Daneben ist es auch mo Verbindung Konfiguration Log Fenster Hilfe glich manuell die Verbin Zentrale ISDN dung herzustellen indem Sie im Monitor den Haupt men punkt Verbindung pa 1 E Client Server anklicken und Verbinden w hlen Alternativ kann auch der Button Verbinden angeklickt werden siehe gt Verbindungsaufbau Verbindung ist hergestellt durchgehenden Balken zwischen Client und Server dargestellt unter dem der Text Verbindung ist hergestellt eingeblendet wird Gleichzeitig wird die Icon Ampel gr n Damit werden Sie darauf aufmerksam gemacht dass fur eine Remote Verbindung Geb hren anfallen ie Eine bestehende Verbindung siehe gt Bild oben wird mit einem dicken gr nen nes 40 m mm Bintec Secure IPSec Client Benutzerhandbuch Die Benutzung der Monitors 3 1 1 Die Oberfl che des Client Monitors Der Client Monitor besteht aus Deiner Tit
109. ht statt Die Stateful Inspection Filter sind eine Weiterentwicklung der dynamischen Packet Fil ter und bieten eine komplexere Logik Die Firewall pr ft ob eine am Portfilter erlaubte Verbindung auch zu dem definierten Zweck aufgebaut wird Es werden folgende zus tzliche Informationen zu einer Verbindung verwaltet Nr zur Identifizierung einer Verbindung Zustand der Verbindung z B Aufbau Daten bertragung Abbau Quell Adresse des ersten Pakets Ziel Adresse des ersten Pakets Interface durch welches das erste Paket kam Interface durch welches das erste Paket verschickt wurde Anhand dieser Informationen kann der Filter entscheiden welche nachfolgenden Pake te zu welcher Verbindung geh ren So kann ein Stateful Inspection System auch das UDP Problem ausschalten Hintergrund ist die verh ltnism ig leichte F lschbarkeit von UDP Paketen z B beim UDP basierten Dienst DNS Da Stateful Inspection Filter in der Lage sind sich die aktuelle Status und Kontextinformation einer Kommunikati onsbeziehung zu merken ist es erforderlich dass neben der Quell und Zieladresse so wie Quell und Zielport auch der DNS Header im Anfrage Paket in die Speicherung der Status und Kontextinformation einbezogen wird Es erfolgt eine Interpretation auf der Anwendungsschicht Beispiel Eine gehenden Verbindung zum Port 21 eines Rechners ist f r einen reinen Portfilter eine FTP Verbindung Eine weitere berpr fung findet
110. ication Number PKCS Public Key Cryptography Standard Verschl sse lungssystem mit ffentlichem Schl ssel PKCS 10 Die Form wie ein Zertifikat vom PKI Manager an die CA Certification Authority bertragen wird Meist geschieht dies per Http mit SSL verschl s selt als Https PKCs 11 Basis des Smartcard Standards PKCS 12 Soft Zertifikat Standard der die Syntax der Da teistruktur beschreibt PKCS 15 Pointerbeschreibung Wo befindet sich was auf der Smartcard PKI Public Key Infrastructure Die erforderliche Schl sselinfrastrukur zur authentischen Verteilung ffentlicher Schl ssel wird PKI genannt Private und ffentliche Schl ssel werden f r asymmetri sche Kryptographie verwendet Transaktionsbezo gene Sicherheit erfordert eine eindeutige Partner Authentisierung mittels Zertifikaten die von einer vertrauensw rdigen PKI ausgestellt wurden Insbe Benutzerhandbuch Bintec Secure IPSec Client mmm 163 a Abk rzungen und Begriffe 164 PoP POP3 PPP PPP Verhandlung PRI Radius RIP RFC Routing Tabellen z mmmm Bintec Secure IPSec Client sondere f r E Commerce bietet PKI den Rahmen f r Vertraulichkeit Geheimhaltung Integrit t F lschungssicherheit Authentizit t Identit tssi cherheit und Nichtbestreitbarkeit Point of Presence Protokoll zum Download von E Mails Gegenst ck zu SMTP Port 110 Point to Point Protokoll bertragunsprotokoll in verbindungsorienten N
111. icht aktiviert werden kann Sind die Verbindungs Informationen ausgeblendet so k nnen die wichtigsten Daten aus den Feldern der Daten bertragung derStatistik und der Sicherheit auch aus dem Statistik Fenster des Clients abgelesen werden siehe gt 3 2 5 Fenster Statistik anzeigen Verbindungs Informationen A RR Verbindungszeit Als Verbindungszeit wird die gesamte Zeit angezeigt w hrend der Sie an ein bestimm tes Gateway angew hlt sind unabhangig von irgendwelchen Timeouts Der Wert fiir die Verbindungszeit wird nur dann auf null 0 gesetzt wenn Sie eine Verbindung zu einem anderen Gateway herstellen oder den PC erneut booten Timeout Der Monitor zeigt die Zeit an die bis zum n chsten Timeout noch verbleibt Unmittel bar nachdem der letzte Datenaustausch erfolgt ist einschlie lich Handshake beginnt die Uhr fur den Timeout zu laufen Der Timeout Wert kann im Telefonbuch unter Line Managment eingestellt werden Richtung Unter dieser Rubrik wird die Richtung der Kommunikation wie folgt angezeigt Out ein ausgehender Ruf wird auf diesem Kanal registriert In ein ankommender Ruf wird auf diesem Kanal registriert Durchsatz Die angezeigte Zahl schwankt entsprechend dem aktuellen Datendurchsatz m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Verbindungsmedium Folgende Verbindungsmedium werden unterst tzt ISDN Modem LAN over IP xDSL PPPoE xDSL AVM PPP over CAPI
112. icken Sie auf Beenden um das Setup Setup abgeschlossen Die Installation des Bintec Secure IPSec Clients ist soweit abgeschlossen Der Treiber f r den IPSec Client muss noch von Ihnen installiert werden Den PC anschie end neu starten abzuschlie en Klicken Sie auf Beenden um das Setup abzuschlie en Informationen Jetzt muss nur noch der Installieren Sie jetzt den Treiber f r den Bintec Secure IPSec Client in den Netzwerkeinstelingen Treiber Bintec Secure Client Nach dem Bet tigen des OK Buttons wird der Dialog zu den Netzwerkeinstelungen ge ffnet i i ee ee ido als Adapter installiert werden Fahren Sie fort indem Sie auf OK klicken weiter n chste Seite 28 m m mm Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software Nach dem Bet tigen des OK Buttons wird der Dialog Netzwerk ge ffnet siehe links Klicken Sie Hinzuf gen Netzwerk Client f r Microsoft Netzwerke Bei Windows ME wird ein entsprechender gesonderter Dialog zu Hardware hinzuf gen eingeblendet JA entenen Client f r Netware Netzwerke y W hlen Sie Netzwerkkarte Netzwerkkomponententyp w hlen S S und bet tigen Sie nochmals Hinzuf gen Client Netzwerkkarten ausw hlen Unter der Rubrik Hersteller w hlen Sie Bintec aus und w hlen dazu den Treiber auf der rechten Seite Nach dem Bet tigen des OK Buttons Bi
113. ie den Mo nitor erneut starten um eine be stehende Verbindung korrekt zu beenden Benutzerhandbuch Bintec Secure IPSec Client m 57 Client Monitor 3 2 2 Konfiguration Unter diesem Men punkt k nnen s mtliche Einstellungen f r die Arbeit mit dem IPSec Client vorgenommen werden die l nger als eine Session bestehen sollen Dies betrifft das Anlegen der Profile die Konfiguration der IPSec Verbindungen die Wahl der Ver bindungsart sowie die Eingabe einer Amtsholung f r Anschl sse an Telekommunikati onsanlagen Dar ber hinaus kann eigens konfiguriert werden wie Zertifikate genutzt werden sollen wie die Verbindungssteuerung arbeiten soll und welche Konfigurations Rechte der Be nutzer erh lt Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Bintec einen entsprechenden ffentlichen Testzugang Eine detaillierte Konfigu rationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www bintec de 58 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Profil Einstellungen Die Eintr ge der Profil Einstellungen Bei einer Erstinstallation der IPSec Client Software ist noch kein Profil vorhanden In diesem Fall wird automatisch ein Konfiguartions Assistent eingeblendet der Ihnen hilft eine Konfiguration anzulegen Damit wird zugleich das erste Profil der IPSec Cli ent Software ange
114. igen Links Minimierte Bintec Secure IPSec Client Darstellung Zentrale ISDN Client Wenn Sie auf Profilauswahl z anzeigen klicken kann f aus der Liste der konfigurierten Profile Zentrale ISDN eN a ausgew hlt werden Bild unten Bintec Secure IPSec Client pa nn Client Benutzerhandbuch Bintec Secure IPSec Client m 79 80 Buttonleiste anzeigen Wenn Sie auf Bintec Secure IPSec Chent BEZ Buttonleiste anzeigen Verbindung Konfiguration Log Fenster Hilfe klicken werden Buttons Profil Amtsholung f r die Men punkte Zentrale ISDN Verbinden und Trennen aus dem Hauptmen Verbindung eingeblendet Client Verbinden Trennen Statistik anzeigen Wenn Sie auf Statistik Bintec Secure IPSec Client A E anzeigen klicken Verbindung Konfiguration Log Fenster Hilfe werden Informationen zu Profil Amisholung Datenmenge Zentrale ISDN O H oOo Verbindungszeit lat IGON Timeout etc angezeigt Die Monitor Oberfl che ist dann entsprechend gr er Client Verbinden Trennen Statistik Yerbindungszeit 00 00 00 Timeout sec 0 Daten Tx in Byte 0 Richtung Daten Rx in Byte 0 Yerbindungsart ISDN Durchsatz KB s 0 000 Yerschl sselung Immer im Vordergrund Wenn Sie Immer im Vordergrund geklickt haben wird der Monitor immer im Bild schirmvordergrund angezeigt unabh
115. igen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der Cli ent den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLEICACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zustande Sind keine Aussteller Zertifikate vorhanden wird keine Verbindung zugelassen 116 pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 2 berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn pfung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revocati on Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Er weiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Ex tensions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung extendedKeyUsage subjectKeyldentifier authorityKeyldentifier extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authenti
116. in der Zentrale ber LAN unterwegs an Hotspots und beim Kunden ber WLAN bzw GPRS im Home Office ber xDSL oder ISDN 1 3 1 Client Monitor Grafische Benutzeroberfl che Die grafische Oberfl che siehe Client Monitor des IPSec Clients schafft Transpa renz w hrend des Einwahlvorganges und Datentransfers Sie informiert u a ber den aktuellen Datendurchsatz Der Anwender ist zu jeder Zeit dar ber informiert ob sein PC online ist und wo letzt lich die Geb hren anfallen 1 3 2 Dialer Ein eigener Dialer ersetzt den sonst blichen Microsoft DF Dialer Daraus ergeben sich Vorteile gleich in mehrfacher Hinsicht intelligentes Line Management Short Hold Mode in W hlnetzen Steuerung der Bandbreite Kanalb ndelung im ISDN integrierte Personal Firewall Mechanismen Schutz vor automatischen Dialern Benutzerhandbuch Bintec Secure IPSec Client mmm 13 Produkt bersicht 1 3 3 Line Management Um die bertragungsgeb hren m glichst gering zu halten werden aktive Verbindun gen automatisch unterbrochen wenn keine Daten flie en Liegen erneut Daten f r die bertragung vor wird die ruhende Verbindung ohne Einwirkung des Benutzers akti viert Geb hren fallen immer nur dann an wenn Daten bertragen werden Bei der In terneteinwahl via ISDN k nnen beide Nutzkan le geb ndelt werden dynamische Linkzuschaltung falls f r den Transfer gr erer Datenmengen eine hohe bertragsra
117. inden Die Anzahl der Zertifikate auf der Chip karte ist abh ngig von der Registration Authority die diese Karte brennt Wenden Sie sich zu weiteren Fragen bitte an Ihren Systemadministrator Benutzerhandbuch Bintec Secure IPSec Client m 67 Auf den Chipkarten von Signtrust und NetKey 2000 befinden sich drei Zertifikate 1 zum Siginieren 2 zum Ver und Entschl sseln 3 zum Authentisieren optional bei NetKey 2000 PKCS 12 Dateiname Nutzen Sie das PKCS 12 Format so erhalten Sie von Ihrem Systemadministrator eine Datei die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname der PKCS 12 Datei eingegeben bzw nach einem Klick auf den Button Auswahl Button die Datei ausgew hlt werden Statt den Verzeichnisnamen komplett einzugeben kann der Name dynamisch zusam mengesetzt werden Z B SYSTEMRROT ncple user1 p12 SYSTEMDRIVE winxxx ncple user1 p12 Dies erleichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Manager da nun f r alle Benutzer die gleichen Strings mit Umgebungsvariablen einge geben werden k nnen O Wichtig Die Strings fir den Dateinamen k nnen mit Variablen eingegeben werden PKCS 11 Modul Nutzen Sie das PKCS 11 Format so erhalten Sie eine DLL vom Hersteller des Chip kartenlesers oder des Tokens die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname des Treibers
118. indungsart xDSL PPPoE setzt voraus dass eine Ethernet Karte installiert und dar ber ein xDSL Modem mit Splitter korrekt angeschlossen ist xDSL AVM PPP over CAPI Die Verbindungsart AVM PPP over CAPI kann gew hlt werden wenn eine AVM Fritz DSL Karte eingesetzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitiali sierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netzwerk karte ben tigt Voraussetzungen f r den Einsatz von Zertifikaten Wenn Sie die Software mit Zertifizierung X 509 nutzen so m ssen folgende Voraus setzungen erf llt sein TCP IP Das Netzwerk Protokoll TCP IP muss auf dem Rechner installiert sein Chipkartenleser Wenn Sie die Erweiterte Authentisierung Strong Authentication mit Smart Cards nutzen wollen muss ein Chipkartenleser an Ihr System angeschlossen sein Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen nachdem Benutzerhandbuch Bintec Secure IPSec Client mmm Installation der Leser angeschlossen und die zugeh rige Treiber Softw
119. inen Netzwerk Abschnitt der das zugeh rige Netz adressiert und eine lokale Adresse dem sogenannten Restfeld auch Host Ab schnitt der das jeweilige Ger t innerhalb des Netzwerks adressiert Alle Ger te inner halb eines einzelnen Netzwerks haben denselben Netzwerk Abschnitt gemeinsam Je des Ger t Host hat dabei sein eigenes Restfeld Es gibt drei Klassen von Internet Adressen je nachdem wieviele Bytes der IP Adresse f r Netzwerk Abschnitt und Restfeld verwendet werden Klasse Class A gro e Netzwerke Netzwerknummern 1 127 Bei Adressen der Klasse A ist das h chste Bit gleich Null die n chsten sieben Bits ent sprechen dem Netzwerk und die verbleibenden 24 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 1 Byte max 126 unterschiedliche Netzwerke Restfeld beansprucht 3 Bytes max 2 hoch 24 16 777 216 verschiedene Ger te Damit k nnen max 127 unterschiedliche Netzwerke jedes mit max 16 777 216 ver schiedenen Ger ten adressiert werden 130 pennen Bintec Secure IPSec Client Benutzerhandbuch IP Funktionen D Klasse Class B mittlere Netzwerke Netzwerknummern 128 191 Bei Adressen der Klasse B haben die beiden h chsten Bits die Werte 1 und 0 die n ch sten 14 Bits entsprechen dem Netzwerk und die verbleibenden 16 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 2 Byte max 16 384 unterschiedliche Netzwerke Restfeld beansprucht 2 Bytes max 2 hoch 16 65 536 verschiedene Ger
120. ition des Subnet Feldes an Die im Subnet Feld an den Netzwerk Abschnitt aufschlie enden Einsen geben die Subnet Bits an Alle brigen Stellen mit 0 verbleiben f r den Host Abschnitt E Beispiele Beispiel 1 Die Netzmaske dient der Interpretation der IP Adresse So kann eine Adresse 135 96 7 230 mit der Maske 255 255 255 0 so interpretiert werden Das Netzwerk hat die Adresse 135 96 0 0 das Subnet hat die Nummer 7 der Rechner Nummer 230 Eine IP Adresse mit 135 96 4 190 geh rt dem gleichen Netzwerk aber einem anderen Subnet 4 an Bin re Darstellung 135 96 7 2 230 10000111 11000000 00000111 11100110 135 96 4 190 10100000 10010101 00000100 10121121119 255 255 255 0 ELEEELEL E1L122121 ale a Te a Fafe 00000000 Netzwerk Subnet 255 255 248 0 ATA 21141211211 11111 000 00000000 132 2 2 Bintec Secure IPSec Client Benutzerhandbuch IP Funktionen D H tte die Netz Maske in obigem Beispiel nicht den Standardwert 255 255 255 0 son dern 255 255 248 0 bef nden sich die IP Adressen im gleichen Subnet und Routing w rde nicht stattfinden Beispiel 2 Zwei IP Adressen mit 160 149 115 8 und 160 149 117 201 und der Netz Maske 255 255 252 0 befinden sich im gleichen Netzwerk 160 149 geh ren aber unterschied lichen Subnets an Bin re Darstellung 160 149 115 8 160 149 117 201 255 255 252 0 10100000 10010101 0o11100 11 00001000 10100000 10010101 o11101 01 11001001 11111111 11
121. ivate Network Ein VPN kann als virtuel les Netz grunds tzlich ber alle IP Tr gernetze also auch das Internet eingerichtet werden F r die Realisation haben sich zwei Spezifikationen herauskristallisiert L2F Layer 2 Forwarding und L2TP Layer 2 Tunneling Protocol Beide Verfah ren dienen dazu einen Tunnel aufzubauen den man als eine Art virtuelle Standleitung bezeich nen kann ber eine solche logische Verbindung lassen sich neben IP Frames auch IPX SNA und NetBIOS Daten transparent bertragen Am Tun nelende m ssen die Datenpakete interpretiert und zu einem Datenstrom auf der Basis des verwende ten Protokolls umgewandelt werden WAP Wireless Application Protocol Entwicklung von Nokia Ericson und Motorola X 509 v3 Standard Zertifizierung Zertifikate Zertificate Certificates werden von einer CA Certification Authority mit tels PKI Manager Software ausgestellt und auf eine Smartcard Chipkarte gebrannt Diese Smartcard enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises ver leihen 168 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I A Index E Pai EE 72 A Advanced Encryption Standard 2 2 2 22 2200 155 ABS a vado avi de da A aa g 47 103 105 AES 128 AES 192 AES 256 o o ooo 142 Aggressive Mode co oo en 106 140 AH na a a E 136 Aktivierungsschl ssel 25 36 Alternative Rufnummern o
122. klik ken Sie anschlie end Ok Die neue Richtlinie oder SPD ist nun angelegt Die Parame terwerte sind zu denen der kopierten identisch bis auf den Namen L schen Wenn Sie eine Richtlinie oder SPD aus dem Konfigurationsbaum l schen wollen se lektieren Sie sie und klicken auf L schen Die Richtlinie oder SPD ist damit auf Dauer aus der IPSec Konfiguration gel scht Schlie en Wenn Sie das IPSec Feld schlie en kehren Sie zum Monitor zur ck Die Daten werden so wie sie konfiguriert wurden behalten Benutzerhandbuch Bintec Secure IPSec Client mm mmm 101 Konfigurationsparameter Profil Einstellungen 102 IKE Richtlinie editieren IKE Richtlinie Pre shared Key Preshared Key E d SHA DH Gruppe 2 1024 Bit Die Parameter in diesem Feld beziehen sich auf die Phase 1 des Internet Key Exchange IKE mit dem der Kontroll kanal f r die SA Ver handlung aufgebaut wird Den IKE Mo dus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode bestimmen Sie in dem Parameterfeld IPSec Einstellungen im Telefonbuch Die IKE Richtlinien die Sie hier konfigurie ren werden zur Auswahl gelistet Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richt linien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf d h eine Richtli nie kann aus mehreren Vorschl ge
123. ksam festlegen zu k nnen muss eine ID eingegeben werden die sich aus Benutzer und Passwort zusammensetzt Das Passwort muss anschlie end best tigt werden Bitte beachten Sie dass die ID f r die Konfigurations Sperre unbedingt n tig ist die Sperren wirksam werden zu lassen oder die Konfigurations Sperren auch wieder aufzuheben Wird die ID vergessen besteht keine M glichkeit mehr die Sperren wieder aufzuheben Anschlie end kann die Berechtigung die Men punkte unter dem Hauptmen punkt Konfiguration zu ffnen f r den Benutzer eingeschr nkt werden Standardm ig kann der Benutzer alle Men punkte ffnen und die Konfigurationen bearbeiten Wird zu einem Men punkt der zugeh rige Haken mit einem Mausklick entfernt so kann der Benutzer diesen Men punkt nicht mehr ffnen 74 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Profile Konfigurations Sperren Die Bearbeitungsrechte f r die Parameter in den Profil Einstellungen sind in zwei Sparten unterteilt Allgemeine Rechte Sichtbare Parameterfelder der Profile Allgemeine Rechte Konfigurations Sperren Die allgemeinen Rechte beziehen sich nur auf die Konfiguration der Profile Wird festgelegt Profile d rfen neu angelegt werden Profile d rfen konfiguriert werden bleibt jedoch ausgeschlossen so k nnen zwar mit dem Assistenten neue Profile definiert werden eine nachfolgen
124. l TCP IP ist ein Netzwerkprotokoll f r heterogene Netze und an kein Transportmedium gebunden Es kann auf X 25 Token Ring oder einfach auf die se rielle Schnittstelle aufsetzen und eignet sich des halb besonders als Kommunikati onsprotokoll f r unterschiedliche Netz Topologien und Rechner Plattformen wie sie im Internet gekoppelt sind Dabei wird jeder Rechner im Netzverbund Internet durch seine IP Adresse identifiziert TCP IP um fa t au erdem vier Internet Standardfunktonen 1 FTP File Transfer Protocol f r den Dateitransfer von einem zum anderen Rechner 2 SMTP Simple Mail Transport Protocol f r E Mail 3 TELNET Teletype Network f r Terminalemulation 4 RLO GIN Remote Login zur Rechnerfernbedienung TECOS Betriebssystem f r Smartcards Versionen 1 2 2 0 Token Ring Netzwerktopologie mit Ringstruktur von IBM UDP User Data Protocol Baut direkt auf dem darunter liegenden Internet Protokoll auf Wurde definidert um auch Anwendungsprozessen die direkte M g lichkeit zu geben Datagramme zu versenden UDP liefert ber die Leistungen von IP hinaus lediglich eine Portnummer und eine Pr fsumme der Daten Durch das Fehlen des Overheads mit Quittungen und Sicherungen ist es besonders schnell und effi zient Benutzerhandbuch Bintec Secure IPSec Client mmm 167 H Abk rzungen und Begriffe UMTS Universal Mobile Telecommunications Service K nftiger Standard f r schnelle Handy Kommuni kation VPN Virtual Pr
125. l sselten Kontrollkanal ber diesen Kontrollkanal kann dann rasch die Phase 2 IP Sec SA durchgef hrt werden Die Phase 1 Verhandlung ist ein Handshake ber den auch der Austausch von Zertifikaten m glich ist und die den Schl sselaustausch f r den Kontroll kanal beinhaltet Benutzerhandbuch Bintec Secure IPSec Client mmm 139 D Beispiele und Erkl rungen u IKE Modi Im wesentlichen k nnen zwei Arten der IKE Richtlinien konfiguriert werden Sie un terscheiden sich durch die Art der Authentisierung entweder ber Pre shared Key oder ber RSA Signatur Beide Arten des Internet Key Exchanges k nnen in zwei unter schiedlichen Modi ausgef hrt werden dem Main Mode auch Identity Protection Mode oder dem Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messa ges und durch die Verschl sselung Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollka nal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Pro tection Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontrollkanal wobei nichts verschl sselt wird Den IKE Modus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode bestimmen Sie in den Profil Einstellungen im Parameterfeld IPSec Einstellun IKE Main Mode Identity Protection Mode mit Preshared Keys Initiator Gegenstelle
126. l Einstellungen Zentrale Netzeinwahl Grundeinstellungen Netzeinwahl Line Management Modem IPSec Einstellungen Identit t Line Management IP Adressen Zuweisung nn WPN IP Netze g Zertifikats Uberpr fung IPSec Einstellungen Firewall Einstellungen Identit t IP Adressen Zuweisung VPN IP Neize Zertifikats berpr fung Firewall Einstellungen Benutzerhandbuch Bintec Secure IPSec Client m 85 Konfigurationsparameter Profil Einstellungen 4 1 1 Grundeinstellungen Profil Einstellungen Zentrale Grundeinstellungen Firewall Einstellungen Im Parameterfeld Grundeinstellungen wird der Profil Name den Verbindungstyp und das Verbindungsmedium zu einem Profil eingegeben Parameter O Profil Name O Verbindungstyp O Verbindungsmedium O Microsoft DF Dialer verwenden O Dieses Profil nach jedem Neustart des Systems verwenden 86 m m m Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Profil Name Wenn Sie ein neues Profil definieren sollten Sie zun chst einen unverwechselbaren Namen f r dieses System eintragen z B IBM London Der Name des Profils darf je den gew nschten Buchstaben wie auch Ziffern beinhalten und darf Leerzeichen mitge z hlt bis zu 39 Zeichen lang sein Verbindungstyp Alternativ stehen mit dem IPSec Client zwei Verbindungstypen zur Wahl VPN zu IPSec Gegenstelle In diesem Fall w hlen Sie sich mit dem IPSec Client in das Firmennetz ein
127. legt Dieser Assistent wird auch gestartet bei Klick auf Neuer Ein trag siehe unten Neuer Eintrag Profil Mit den Profil Einstellungen kann die Parametrisierung f r die Zielsysteme Profil durchgef hrt und die bertragungsart den Benutzeranforderungen entsprechend bis ins Detail konfiguriert werden Nachdem Sie auf Profil Einstellungen im Monitor Men Konfiguration geklickt haben ffnet sich das Men und zeigt in einer Liste der bereits verf gbaren Profile de ren Namen und die Rufnummern der zugeh rigen Zielsysteme Profil Einstellungen Auf der rechten Seite der Profil Einstellun gen sind Buttons ange Zentrale ISDN e bracht zu folgenden Funktionen Konfigu rieren Neuer Eintrag Kopieren L schen OK Hilfe und Abbre chen Neuer Eintrag Profil Um ein neues Profil zu definieren klicken Sie auf Profil Einstellungen Wenn sich das Fenster des Men s ffnet klicken Sie auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Profil mit Ihrer Hilfe ein neues Profil an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen ha ben ist ein neues Profil angelegt F r alle weiteren Parameterfelder des Profils werden Standardwerte eingetragen Benutzerhandbuch Bintec Secure IPSec Client m 59 Client Monitor 60 Mit dem Konfigurations Reeg Assistenten k nnen Verbin Welche V
128. leser EHNEN Chipkartenleser CT API konform d i Arie e din a SE Chipkarten SA ee ee ee Soft Zertifikate PKCS 12 A Chipkarten oder Token Ss ne vie e ck 2 2 Installation der Client Software Bere a AZ 2 2 1 Standard Installation e 23 2 2 2 Benutzerdefinierte Installation geg Abschluss unter Win 98 ME en 2 2 3 Benutzerdefinierte Installation und Abschluss unter Win NT 2000 XP 31 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP 34 2 3 Vor der Inbetriebnahme e 3 2 4 Freischalten einer Vollversion 2 2 2 2 nn A0 25 Demstall ti n 2 402 00 2 8 e ST 3 Client Monitor ss assesses sensore ne 39 3 1 Die Benutzung der Monitors Laa e un a 0 Anwahl ber das Profil an das Zu system 3 1 1 Die Oberfl che des Client Monitors 222 222 41 3 1 2 Das Erscheinungsbild des Monitors 22 22 nn A Modifikationen der Oberfl che 2 2 222220 42 Benutzerhandbuch Bintec Secure IPSec Client mm m 5 Eu Inhalt 3 2 Monitor Bedienung 43 3 2 1 Verbindung gt gt gt s e s s sose ws aa Ka a neun 44 Verbinden s 2 we awe a uw sa e anna d Trennen a aa Brian AS Verbindungs nn pones si ge a re o ern AO Verbindungszeit o v s a w sa soa ma 46 Timeout s s s sada saosa aa asane a a 46 Richtung sa ss sawu saneso Ap Durchsatz Be Dien E A o ee et ie AO Verbindangemedinan A A e Multilink e 2 2 0 0 20 a 0 mn nn A 47 K mpression
129. ll Rechner schottet ein Netzwerk 158 z mmmm Bintec Secure IPSec Client Benutzerhandbuch I MM vor allem WAN seitig gegen unautorisierten Zu griff ab Die Berechtigung kommender und abge hender Verbindungen wird zum Beispiel geregelt durch Herausfiltern bestimmter Netzteilnehmer und Netzdienste und Festlegung der Zugriffsbe rechtigungen Vom WAN aus betrachtet stehen hin ter der Firewall in der DMZ f r gew hnlich Web Server Email Server und VPN Server FTP File Transfer Protocol Basiert auf TCP und dem Terminalprotokoll TELNET Port 21 GPRS Standard f r schnelle Handy Kommunikation GRE Generic Router Encapsulation CISO Spezifisches Tunnel Protokoll GSM Global System Mobile Standard f r Handy Kom munikation Hash Wert siehe Signatur HBCI Standard f r Smartcard Reader Online Banking HTTP Hypertext Transfer Protocol Multimedia Network im Internet Port 80 Hybride Verschl sselung Hohe Performance plus viel Sicherheit Hybride Verschl sselung vereint die Vorteile symmetri scher und asymmetrischer Verfahren W hrend die Inhalte der Kommunikation mit schnellen symme trischen Algorithmen gesichert werden erfolgen Authentisierung der Teilnehmer und Schl sselaus tausch auf Basis asymmetrischer Verfahren Die ei gentliche Verschl sselung der Daten eines Doku ments geschieht auf Basis einer Zufallszahl Sessi on Key die f r jede einzelne Kommunikations verbindung neu erzeugt wird Dieser Einmal
130. lle Upo Reichweite ca 3 5km auf die busf hige ISDN Vierdraht Schnittstelle So Reichweite ca 150m nach den Richtlinien der Telekom ISP Internet Service Provider Benutzerhandbuch Bintec Secure IPSec Client mm mmm 161 a Abk rzungen und Begriffe 162 Kryptographie LCP LDAP MAC Adresse MIB MD5 NAS NetBios OCSP OSI Referenzmodell PAP z mmmm Bintec Secure IPSec Client Anwendungen sind Verschl sselung elektronische Signatur Authentifikation und Hash Wert Berech nung Mathematische Verfahren die mit Schl ssel verwendet werden Link Control Protocol Lightweight Directory Access Protocol siehe Di rectory Service Medium Access Control Layer Adresse Physikali sche Adresse im Netzwerk Management Information Base Beschreibt die Struktur der Managementinformationen beim SNMP Message Digit 5 Verfahren zur Bildung eines Hash Werts Network Access System Network Basic Input Output System Schnittstelle die Datagramm und streamorientierte Kommuni kation bietet Online Certificate Status Protocol Wird als Proto koll f r die Online Pr fung von Zertifikaten ver wendet Von der ISO standardisiertes Modell das Kommu nikation in sieben Schichten beschreibt 7 Anwen dungsschicht application layer 6 Darstellungs schicht presentation layer 5 Steuerungsschicht session layer 4 Transportschicht transport lay er 3 Netzwerkschicht network layer 2 Dat
131. llt Die Richtlinien zur PIN Eingabe k nnen im Hauptmen unter Konfiguration Zerti ISS fikate festgelegt werden siehe gt Konfiguration Zertifikate PIN Richtlinie Diese Richtlinien m ssen auch befolgt werden wenn die PIN ge ndert wird siehe gt Verbin dung PIN ndern p Bitte beachten Sie Unter dem Men punkt PIN ndern kann die PIN f r eine Smart ng Card oder ein Soft Zertifikat ge ndert werden wenn vorher die richtige PIN eingege ben wurde Ohne die vorherige Eingabe einer g ltigen PIN wird dieser Men punkt nicht aktiviert PIN zur cksetzen Dieser Men punkt ist nur aktiv wenn die PIN bereits richtig eingegeben wurde d h das Zertifikat f r die aufzubauende Verbindung genutzt werden soll Wird die PIN zur ckgesetzt kann dieses Zertifikat f r einen Verbindungsaufbau nicht mehr genutzt werden bis die dazugeh rige PIN wieder richtig eingegeben wurde 54 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung PIN ndern PIN ndern Unter diesem Men punkt kann die PIN f r eine Smart Card oder ein Soft Zertifikat ge ndert werden wenn vorher die richti ge PIN eingegeben wurde siehe gt PIN eingeben Ohne die vor herige Eingabe einer g ltigen PIN wird dieser Men punkt nicht aktiviert Aus Sicherheitsgr nden um die PIN nderung nur f r den authorisierten Benutzer zuzulas sen muss nach ffnen dieses Dialogs die noch g ltige PIN
132. lnehmer er gibt insgesamt 2 000 Schl ssel um 1 000 Teilneh mern in allen Sender Empf nger Kombinationen die sichere Kommunikation zu erm glichen Das bekannteste asymmetrische Verschl sselungsver fahren ist RSA Nachteil der asymmetrischen Ver fahren Sie sind rechenintensiv und damit ver gleichsweise langsam Benutzerhandbuch Bintec Secure IPSec Client mmm 155 a Abk rzungen und Begriffe Basisanschluss ISDN Anschlusstyp mit So Schnittstelle CS f r So BRI Basic Rate Interface Subscriber Interface Benutzerschnittstelle beste hend aus einem D Kanal Bandbreite 16 kBit s f r die Steuerung und zwei B Kan len Bandbreite jeweils 64 kBit s f r die bertragung von Nutzin formationen BCP Bridge Control Protocol BITS Bump In The Stack Art der Implementierung von IPsec BITW Bump In The Wire Art der Implementierung von IPsec Blowfish Verschl sselungsstandard mit 128 448 Bit BRI Basic Rate Interface ISDN Schnittstelle Basis So mit 2 B Kan len und 1 D Kanal Browser Der Browser stellt die Anwender Schnittstelle zum Internet dar Mit seiner HTTP F higkeit Hyper text Transfer Protokoll kann er verschiedene For mate z B HTML GIF CAD die f r eine multi mediale Darstellung der Information ben tigt wer den in Sound und Grafik umsetzen CA Certification Authority auch Trust Center z B D Trust ein Gemeinschaftsunternehmen der Bundes druckerei und Debis Eine CA stellt mittels PKI
133. m Neustart des Systems immer das hierzu geh rige Profil geladen unabh ngig davon welches Profil zuletzt ge nutzt wurde 88 m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 4 1 2 Netzeinwahl Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Wie gt EEE IPSec Einstellungen zi AA Identit t IP Adressen Zuweisung VPN IP Netze SEE Zertifikats berpr fung Firewall Einstellungen 09119968154 wahl an das Zielsystem zur Identifizierung ben tigt werden Diese beiden Gr en wer den auch f r die PPP Verhandlung zum ISP Internet Service Provider ben tigt Das Parameterfeld erscheint berhaupt nicht wenn der IPSec Client mit dem Verbindungs medium LAN over IP betrieben wird DC Dieses Parameterfeld beinhaltet den Benutzernamen und das Passwort die bei der An Parameter O Benutzername O Passwort O Passwort speichern O Rufnummer Ziel O Alternative Rufnummern O Script Datei Benutzerhandbuch Bintec Secure IPSec Client mm 89 Konfigurationsparameter Profil Einstellungen Benutzername Mit dem Benutzernamen weisen Sie sich gegen ber dem Network Access Server NAS aus wenn Sie eine Verbindung zum Zielsystem aufbauen wollen Bei Kommu nikation ber das Internet ben tigen Sie den Benutzernamen zur Identifikation am ISP Internet Service Provider Der Name f r den Benutzer kann bis zu 254 Zeichen lang sein F r gew hnlich wird Ihn
134. m eingestellten Zielsy stem hergestellt werden Siehe dazu 5 Eine Verbindung herstellen Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Bintec einen entsprechenden ffentlichen Testzugang Eine detaillierte Konfigu rationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www bintec de O Benutzerhandbuch Bintec Secure IPSec Client m 35 Installation 2 4 Freischalten einer Vollversion Wenn Sie bisher eine Testversion der Client Software benutzt haben und nun eine Voll version nachinstallieren m chten gehen Sie bitte wie folgt vor AT Aktivieren Sie in der Windows Programmgruppe bintec Bintec Secure IPSec Client das funkwerk Programm Secure Client Popup Damit erscheint nebenstehendes Fenster powered by SECURE COMMUNICATIONS M Encryption high security remote access Unter dem Meniipunkt Info finden Sie die n tigen Angaben um eine Lizenz erwerben zu k nnen Information Unter dem Meniipunkt Aktivierungsschlissel k nnen Aktivierungsschl ssel o E Sie die Testversion freischalten AAA Vor dem Bild des Popup Men s erscheint ein Fenster worin Sie Aktivierungsschl ssel und Seriennummer Ihrer Vollversion eintragen k nnen Tragen Sie nun Aktivierungsschl ssel und Seriennummer ein Wenn Sie korrekt eingetragen sind k nnen Sie den OK Button bedie
135. me Vorname t Title Titel O Organisation Firma ou Organization Unit Abteilung c Country Land st State Bundesland Provinz 1 Location Stadt Ort email E mail Beispiel en VPNGW o ABC c de Der Common Name des Security Servers wird hier nur bis zur Wildcard berpr ft Alle nachfolgenden Stellen k nnen beliebig sein etwa 1 5 als Numerierung Die Or ganzation Unit muss in diesem Fall immer ABC sein und das Land Deutschland x Aussteller des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Ausstellers soweit bekannt auch mit Wildcards verwendet werden Vergleichen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Aussteller aufge f hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name s Surname Nachname g Givenname Vorname t Title Titel o Organisation Firma ou Organization Unit Abteilung C Country Land st State Bundesland Provinz I Location Stadt Ort email E mail Benutzerhandbuch Bintec Secure IPSec Client mmm 115 Konfigurationsparameter Profil Einstellungen Beispiel cn ABC GmbH Hier wird nur der Common Name des Ausstellers berpr ft E Fingerprint des Aussteller Zertifikats Um zu verhindern dass ein Unberechtigter de
136. men des Profils ndern kann es auch als neuer Eintrag in der Liste der Profile vermerkt werden Ein kopiertes Profil muss einen neuen noch nicht vergebenen Namen erhalten Nur so kann es in der Liste der Profile abgelegt werden L schen Profil Um ein Profil zu l schen w hlen Sie es aus und klicken den L schen Button Benutzerhandbuch Bintec Secure IPSec Client m 61 Client Monitor 62 Erweiterte Firewall Einstellungen Mit diesem Filter Editor k nnen Filter f r ein und ausgehenden Datenverkehr definiert werden Die Filter k nnen f r Protokolle Netzwerk und Host IP Adressen gesetzt werden Nachdem Sie den Men punkt gew hlt haben erscheint im ersten Fen ster eine Liste der Fire wall Filterregeln Jede Re gel hat einen frei zu verge benden Namen die Ausf h rung der Filterregel kann zugelassen oder abgelehnt werden und die Richtung kann als ausgehend oder eingehend definiert wer den Erweiterte Firewall Einstellungen Mit den gr nen Pfeiltasten kann die Reihenfolge der Filterregeln festgelegt weden Die Buttons Bearbeiten Neu und L schen beziehen sich auf die jeweils markier te Filterregel Beachten Sie bitte dass eine gel schte Filterregel nicht wieder hergestellt werden kann Mit den Buttons Neu und Bearbeiten ffnen sich weitere Fenster zur Definition der Filter Allgemein Firewall Filterregel Firewall m mm Bintec Secu
137. n Best tigen Sie das Shared Secret im darunter liegenden Feld Der gleiche pre shared Key muss auf beiden Seiten verwendet werden Extended Authentication XAUTH verwenden Wird IPSec Tunneling genutzt so kann die Authentisierung ber Extended Authenti cation XAUTH Protokoll Draft 6 erfolgen Wird XAUTH eingesetzt und vom Gate way unters tzt so aktivieren Sie Benutze erweiterte Authentisierung XAUTH Zu s tzlich zum pre shared Key k nnen dann noch folgende Parameter gesetzt werden Benutzername Benutzername des IPSec Benutzers Passwort Kennwort des IPSec Benutzers pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzername Identit t Den Benutzernamen f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen Passwort Identit t Das Passwort f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen Zugangsdaten aus Konfiguration verwenden Als Zugangsdaten f r das VPN k nnen folgende Eintr ge ausgelesen und verwendet werden Zugangsdaten aus Konfiguration verwenden Dies bedeutet dass die in diesem Parameterfeld unter Benutzername und Passwort gemachten Angaben zur
138. n dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck die SSL Server Authentisierung ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert Benutzerhandbuch Bintec Secure IPSec Client mm 51 Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h tor der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kein CA Zertifikat gefunden werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der
139. n bestehen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie Parameter O Name IKE Richtlinie O Authentisierung IKE Richtlinie O Verschl sselung IKE Richtlinie O Hash IKE Richtlinie O DH Gruppe IKE Richtlinie pennen Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen D Name IKE Richtlinie Geben Sie dieser Richtlinie einen Namen ber den sie sp ter einer SPD zugeordnet werden kann D Authentisierung IKE Richtlinie Bevor der Kontrollkanal f r die Phase 1 Verhandlung IKE Security Association auf gebaut werden kann muss beidseitig eine Authentisierung stattgefunden haben Zur gegenseitigen Authentisierung wird der allen gemeinsame pre shared Key stati scher Schl ssel verwendet Diesen Schl ssel definieren Sie im Parameterfeld Identi t t D Verschl sselung IKE Richtlinie Nach einem der optionalen Verschl sselungsalgorithmen erfolgt die symmetrische Ver schl sselung der Messages 5 und 6 im Kontrollkanal sofern der Main Mode Identity Protection Mode gefahren wird Zur Wahl stehen DES Triple DES Blowfish AES
140. n das Gateway ber eine feste offizielle IP Adresse verf gt oder als Namens String wenn das Gateway eine wechselnde IP Adresse von einem Internet Service Provider erh lt Hex Adresse Die Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte getrennte Zahlen Namens String Sie tragen den Namen ein den Sie von Ihrem Administrator erhalten haben Es handelt sich dabei um den DNS Namen des Gateways der beim DynDNS Service Provider hinterlegt wurde IKE Richtlinie Die IKE Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IKE Richtlinien aufgef hrt die Sie im Richtlinien Editor unter der Verzweigung IKE Richtlinie angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den Sie bei der Konfiguration vergeben haben Sie finden zwei vorkonfigurierte Richtlinien im Richtlinien Editor unter IKE Richtli nie als Pre shared Key und RSA Signatur Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtlinien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf siehe gt IKE Richtlinie editieren d h eine Richt linie besteht aus verschiedenen Vorschl gen Funktional unterscheiden sich diese Richtlinien durch Verwendung eines statischen Schl ssels bzw einer RSA Signatur F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger
141. n zu sammengesellt werden und st ndig aktualisiert werden RSA Das erste Verfahren das die Anforderungen an die Public Key Kryptographie erf llte Wurde 1977 von Ron Rivest Adi Shamier und Leonard Adle mann erfunden Schnittstelle Interface Festlegung der zwischen zwei Ger ten bei der Datenfern bertragung im allgemeinen zwischen Datenendeinrichtung und Daten bertra gungseinrichtung erforderlichen elektrischen Verbindungsleitungen der auf diesen herrschenden elektrischen Werten der zur Funktion erforderli chen Signale sowie der Betriebsweise und Bedeu tung dieser Signale Man unterscheidet nach paral lelen und seriellen Interfaces SHA Secure Hash Algorithm siehe auch Signatur Signatur Bei der digitalen Signatur wird mathematisch eine Verkn pfung zwischen Dokument und dem gehei men pers nlichen Signaturschl ssel des Teilneh mers erzeugt Der Absender des Dokuments gene riert eine Pr fsumme sogenannter Hash Wert diese codiert er wiederum mit seinem Geheim schl ssel und erzeugt so einen digitalen Signatur zusatz zur urspr nglichen Nachricht Der Empf n ger des Dokuments kann mit dem ffentlichen Schl ssel des Absenders die Signatur pr fen in dem er seinerseits den Hash Wert aus der Nach richt bildet und diesen mit der entschl sselten Si gnatur vergleicht Da die Signatur des Absenders unmittelbar in das Dokument eingebunden ist w rde jede sp tere nderung bemerkt Auch ein Abfangen ode
142. nen Damit ist eine Vollversion freigeschaltet u WWW 36 u m mm Bintec Secure IPSec Client Benutzerhandbuch Update und Deinstallation 2 5 Deinstallation Zum Entfernen der Client Software kann zwischen zwei Optionen gew hlt werden Sie w hlen im Windows Startmen aus der Programmgruppe Bintec Secure IPSec Cli ent das Programm Uninstall siehe Bild unten LS Bintec Secure IPSec Client gt ke a Uninstall Wenn Sie die Sicherheitsabfrage Bintec Secure IPSec Client deinstallieren mit Ja beantworten entfernt das Uninstall Shield Programm die Client Software von Ihrem PC Sie w hlen im Windows Startmen nach den Einstellungen die Gruppe System steuerung Klicken Sie nun auf Software und w hlen Sie den Client aus der Liste Klicken Sie dann auf den Button mit Hinzuf gen Entfernen Das Uninstall Shield Programm l scht nun die Client Software von Ihrem PC Wichtig Nachdem die Komponenten entfernt wurden sind die Profil Einstellungen des Clients erhalten geblieben so dass sie f r neuere Versionen des Clients genutzt werden k nnen Um die Dateien vollst ndig vom PC zu l schen m ssen Sie sie per Hand ge l scht werden je nach Windows Betriebssystem aus einem der beiden Verzeichnisse C Windows ncple oder C WINNT ncple Benutzerhandbuch Bintec Secure IPSec Client m 37 Installation 38 u m mm Bintec Secure IPSec Client Benutzerhandbuch IO 3 Client
143. ner Li SECHS Een wird der Treiber installiert Damit ist die Installation der Client Software mit Setup unter Windows 98 ME abgeschlossen weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client mmm 29 Installation 30 Anschlie end ist die gew hlte Netzwerkkarte mit dem TCP IP Protokoll im Netzwerk verf gbar siehe links Netzwerk 3 Client f r Microsoft Netzwerke Bintec Secure Client TCP IP gt Bintec Secure Client entremen Client f r Netware Netzwerke Di Unter Umst nden m ssen nun atentr ger einlegen ES noch Dateien vom E Windows Datentr ger kopiert werden Legen Sie dazu die CD ein oder geben Sie den Pfad an Anschlie end bet tigen Sie den Ja Button und booten Sie 2 damit das System rm Ge nderte Systemeinstellungen m amm Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software 2 2 3 Benutzerdefinierte Installation und Abschluss unter Windows NT 2000 XP Komponenten w hlen Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben Netzwerk Einstellungen Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert
144. ng der PIN beachtet wer den m ssen Zertifikate CACA Il Minimale Anzahl der Zeichen Standard ist eine 6 stellige PIN Aus Sicherheitsgr nden werden 8 Stellen empfohlen Weitere Richtlinien Es wird empfohlen alle PIN Richtlinien einzusetzen au er der dass nur Zahlen enthal ten sein d rfen Zudem sollte die PIN nicht mit einer Zahl beginnen Die vorgegebenen Richtlinien werden eingeblendet wenn die PIN ge ndert wird und die Richtlinien die bei der Eingabe erf llt werden werden gr n markiert siehe gt PIN ndern Zertifikatsverl ngerung Zertifikate In diesem Konfigura tionsfeld kann eingestellt werden ob und wie viele Tage vor Ablauf der G l tigkeit des Zertifikats eine Meldung ausgege ben werden soll die vor dem Ablauf der G ltig keit warnt Sobald die eingestellte Zeitspanne vor Ablauf in Kraft tritt wird bei jeder Zertifikats verwendung eine Meldung aufgeblendet die auf das Ablaufdatum des Zertifikats hinweist m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung el Verbindungssteuerung Die Verbindungssteuerung Einstellungen bewirken eine automatische berwachung So k nnen Sie w hlen welche der Limits Sie sich f r Ihre Kommunikation setzen berwachen des Zeitlimits der maximalen Verbindungsaufbauten und oder der maximalen Geb hreneinheiten f r welchen Zeitraum diese Limits g ltig sein sollen Zeitraum der berwachung und wie
145. nicht statt Der State ful Inspection Filter pr ft zus tzlich ob die ber diese Verbindung bertragenen Daten zu einer etablierten FTP Verbindung geh ren Wenn nicht wird die Verbindung sofort unterbrochen Weiter ist ein Stateful Inspection Filter in der Lage Regeln in Abh ngig keit von notwendigen Kommunikationsprozessen anzupassen Wenn z B eine abgehen de FTP Verbindung erlaubt ist so erm glicht die Firewall auch automatisch die Etablierung des zugeh rigen R ckkanals Die entsprechenden Informationen Ports werden aus der Kontrollverbindung herausgelesen Ein vorteilhafter Aspekt von Stateful Inspection Filtern ist die F higkeit die Daten auf allen Protokollebenen d h von Netzwerk bis Anwendungsebene zu pr fen So kann z B ein FTP GET erlaubt ein FTP PUT jedoch verboten werden Ein positiver Effekt der im Vergleich zu konventionellen Paketfiltern erh hten Eigenintelligenz ist die Opti 152 Bintec Secure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen 6 on einzelne Pakete w hrend einer Kommunikationsbeziehung zu assemblieren und da mit erweiterte M glichkeiten zur Benutzer Authentisierung zur Anwendung zu brin gen Als Folge der nicht verl sslichen Trennung der Netzwerksegmente sind Stateful Inspection Filter nicht immun gegen bestimmte auf unteren Protokollebenen stattfin dende Angriffe So z B werden fragmentierte Pakete i d R von au en nach innen ohne w
146. nkzusch ltung Nur f r ISDN EENEG Schwellwert f r ze nr f r N ee 97 4 1 5 IPSec Einstellungen Laa e 98 Gateway s a a e o a E e D9 IRE Richtlmie s ow Lu rca aa e ara 099 IPSec Richtlinie e 100 Richtlinien G ltigkeit e 100 Dauer s e rov 0a 4 e a ee e e LOO Richtlinien Fd1l r A 2 8 8 5 2 wo 2 2 8 E wa u er e EE IKE Richtline editieren Sa ae AOL Name IKE Richtlinie SL e e n e e 103 Authentisierung IKE Richtlinie as a e 103 Verschl sselung IKE Richtlinie 103 Hash IKE Richtlinie s 2 2 2 2 0 nn 103 DH Gruppe IKE Richtlinie e 103 IPSec Richtlinie editieren 104 Name IPSec Richtlinie e 105 Protokoll IPSec Richtlinie 22222 202 105 Transformation IPSec Richtlinie 105 Authentisierung IPSec Richtlinie e 105 Erweiterte Optionen e s s e s s m sos acw e som ow a w a 106 Exch Mode sesa s 002 a p a 000 2 2 2 106 PFS Gruppe pt o re an LVO IP Kompression LZS verwen a a e a a ee ee BU DPD Dead Peer Detection deaktivieren 106 4 1 6 Identit t lt soc ao xo s soado dow edoan 107 Typ Identit t 22222 2 222 unn w 108 ID Identit t 22 2 Co Eon 108 Pre shared Key verwenden be A d o e TOS 8 m mm Bintec Secure IPSec Client Benutzerhandbuch I A Extended Authentication XAUTH verwenden 108 Benutzername Identit t e 109 Passwort Identit t
147. o oo ooo 151 Layer 3 Tunneling zu 8 0 0 an an 135 Line Management A au aage a oa a i 95 Lizenze es ee nes de e ee Se 25 36 Lizenzierung saure 2 8 War ae a nee ae 25 36 L g Eintr ge silo poa 2a sa De are a i A II Logon Optionen 13 Lokale IP Adresse verwenden 111 147 lokale Netze im Tunnel weiterleiten 113 Lokales System vor prod a 22 EZS rara da a a A a 47 106 M Main Mode een ida ia mann a 106 140 manueller Verbindungsaufbau 222 200 121 MDS e 2 5 40 0 8 0 wen nen na 103 105 143 Modem dara nen u ee rue re e n de 87 92 Modem Init String sse sona E ENN ana a nee 94 N Name IKE Richtlinie 2 222222 103 Name IPSec Richtlinie 2 2 2 2 105 NAT T NAT Traversal 111 146 148 NOP DB iiet a e a as a A e ER 34 NCPBM DAT ci caco 5 0 4 a anne ware 34 NEPPHONE CEG cu ova 28 aa aa do 34 NEPPKLCONF nui sea a 21 NetBIOS ber IP zulassen 2 2 22 120 NetKey 2000 EE ce e NEE 20 DELSTAT nu a e a RR AE EC 148 Netzeinwahl se cese tr or AE EN 89 Netzst t s esta cas le a A E E 148 Netzwerk Adressen VPN IP Netze 2 2 2 2 113 Netzwerkk tte a Ah ea na a a bes 29 P Passwoit esos rr ner een 90 125 128 Passwort XAUTH eaii aa e 108 109 126 Passwort speichern nea aa ak a e asie a a a 90 Passw rter und Benutzernamen 125 Personal Firewall ooa a 13 14 PFS Perfect Forward Secrecy ass sies oo ooo oo 143 PES
148. och keine SA wird vor dem Aushandeln einer SA zun chst eine Authentisierung und ein Schl sselaustausch siehe unten gt IPSec Verhandlung Phase 1 vorgenommen Nach der SA Verhandlung erfolgen in einem weiteren Schritt siehe unten gt IPSec Verhandlung Phase 2 die Verhandlungen f r eine Verschl sselung ESP und oder Au thentisierung AH der Datenpakete Die SA beschreibt welches Sicherheitsprotokoll verwendet werden soll ESP Encap sulating Security Payload unterst tzt die Verschl sselung und die Authentisierung von IP Paketen AH Authentication Header unterst zt nur die Authentisierung von IP Pa keten Die SA beschreibt auch in welcher Betriebsart das Sicherheitsprotokoll benutzt werden soll Tunnel oder Transportmodus Im Tunnelmodus wird ein IP Header hin zugef gt im Transportmodus wird der Original Header verwendet Weiter beschreibt die SA welcher Algorithmus zur Authentisierung verwendet werden soll welche Ver schl sselungsmethode bei ESP und welcher Schl ssel zur Anwendungen kommen sollen Die Gegenstelle muss selbstverst ndlich nach der gleichen SA arbeiten Ist die SA ausgehandelt wird jedes Datenpaket gem Betriebsmodus Tunnel oder Transport und Protokoll ESP oder AH bearbeitet Der IPSec Client nutzt immer das ESP Protokoll im Tunnelmodus 136 z mmmm Bintec Secure IPSec Client Benutzerhandbuch 6 2 2 Erweiterte Firewall Einstellungen Extended Firewall Settings Die erweiterten Firewall
149. odus annehmen zu k nnen E Alternative Rufnummern M glicherweise ist das Zielsystem ein Network Access Server NAS der mit mehre ren SO Anschl ssen f r verschiedene Rufnummern ausgestattet ist In diesen Fall emp fiehlt es sich alternative Rufnummern einzugeben falls zum Beispiel die erste Num mer besetzt ist Die alternativen Rufnummern werden der ersten Nummer angeh ngt nur mit einem Doppelpunkt oder einem Semikolon getrennt Maximal werden 8 alternative Rufnummern unterst tzt Beispiel 000441711234567 000441711234568 Die erste Nummer ist die Standard Rufnummer und wird immer zuerst gew hlt Kann keine Verbindung hergestellt werden weil besetzt ist wird die zweite Nummer ge w hlt usw die Protokoll Eigenschaften f r die Anschl sse der alternativen Rufnummern die glei Wichtig Bitte beachten Sie dass der Verbindungsaufbau nur funktionieren kann wenn chen sind D Script Datei Wenn Sie den Microsoft DF Dialer benutzen tragen Sie hier die Script Datei unter Eingabe von Pfad und Namen ein Siehe gt Grundeinstellungen Micosoft DF Dialer verwenden Benutzerhandbuch Bintec Secure IPSec Client m 91 Konfigurationsparameter Profil Einstellungen 4 1 3 Modem Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Modem gt Line Management i IPSec Einstellungen Identit t IP Adressen Zuweisung WPN IP Netze Zertifikats berpr fung Firewall Einstellung
150. pelte Sicherheit beim Login Vorgang n mlich Wissen ber PIN Pers nliche Identifikations Nummer und Besitz der Smart Card Der Anwender identifiziert sich mit der Eingabe der PIN eindeutig als rechtm iger Besitzer Strong Authentication Die PIN ersetzt das Passwort und die Eingabe der User ID Basistechnologie f r Single Sign On Der Anwender weist sich nur noch gegen ber der Smart Card aus Der Check gegen ber dem Netz erfolgt zwischen Smart Card und Security System Alle sicher heitsrelevanten Operationen laufen vollst ndig im Inneren der Karte also au erhalb des PCs ab Das System ist neben individuellen Anpassungen an Schutzmechanismen offen f r multifunktionalen Einsatz z B als Company Card Auch biometrische Ver fahren lassen sich integrieren Benutzerhandbuch Bintec Secure IPSec Client mm 15 Produkt bersicht 16 m mm Bintec Secure IPSec Client Benutzerhandbuch I TA 2 Installation Die Installation der Secure Software f r Windows Systeme erfolgt komfortabel ber Setup Der Installationsablauf ist f r alle Versionen des Secure Clients identisch Im folgenden ist die Installation f r Windows 98 ME und Windows NT 2000 XP be schrieben Bevor Sie die Software installieren m ssen zur vollen Funktionsf higkeit die In stallationsvoraussetzungen wie im folgenden Kapitel beschrieben erf llt sein Benutzerhandbuch Bintec Secure IPSec Client mmm 17 Installation 2 1 Installationsvoraus
151. r Abh ren der Signatur ber Lau schangriffe erwiese sich als zwecklos Die digitale Signatur ist nicht nachahmbar da sie den gehei men privaten Schl ssel verwendet eine Ermitt lung des geheimen Schl ssels aus der Signatur ist nicht m glich Benutzerhandbuch Bintec Secure IPSec Client m 165 a Abk rzungen und Begriffe Smartcard Wird die Funktionalit t der Smartcard genutzt so wird nach der CHAP Authentisierung User ID und Passwort die Erweiterte Authentisierung Strong Authentication mittels der auf Smartcard und Gateway hinterlegten Zertifikate durchgef hrt Auf der Smartcard befinden sich unter anderm das Benutzer Zertifikat das Root Zertifikat und der geheime private Schl ssel Die Smartcard kann nur mit PIN genutzt werden SMTP Simple Mail Transport Protocol Internet Standard zur Verteilung elektronischer Post Ist textorien tiert und setzt auf TCP auf Port 25 SNA Systems Network Architecture Hierarchisch ori entiertes Netz zur Steuerung von Terminals und zur Unterst tzung des Zugriffs auf Anwendungen in IBM Host Systemen SNMP Simple Network Management Protocol Netzwerk Managementprotokoll auf Basis von UDP IP Source Routing M glichkeit in Token Ring Netzwerken eine We gewahl zwischen Bridges zu optimieren Dabei werden die Wegeinformationen an den Datenblock angeh ngt mit bertragen Auf diese Weise liegt auch der Weg f r die Best tigung eindeutig fest SPD Security Policy Dat
152. r Client Software arbeiten kann auch wenn er die Passw rter nicht kennt E Rufnummer Ziel F r jedes Ziel muss eine Rufnummer definiert sein da der Client sonst keine Verbin dung herstellen kann Diese Rufnummer muss genauso eingetragen werden als w rden Sie diese Telefonnummer per Hand w hlen D h Sie m ssen alle notwendigen Vor wahlziffern ber cksichtigen Landesvorwahl Ortsvorwahl Durchwahlziffern etc etc 90 m m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Tragen Sie jedoch nicht die Amtsholung ein auch wenn Sie an einer Nebenstellenanla ge angeschlossen sind Die Amtsholung wird unter dem Monitor Men punkt Konfigu ration eingetragen und hat auf diese Weise G ltigkeit f r alle Rufe gt siehe Amts holung Beispiel Sie wollen eine Verbindung von Deutschland nach England herstellen 00 f r die internationale Verbindung wenn Sie von Deutschland aus w hlen 44 dies ist die landesspezifische Vorwahl f r England 171 Vorwahl f r London 1234567 die Nummer die Sie zu erreichen w nschen Insgesamt wird nach diesem Beispiel folgende Nummer im Telefonbuch gespeichert und f r die Anwahl verwendet 00441711234567 Die Rufnummer des Ziels kann bis zu 30 Ziffern beinhalten E Hinweis Wenn ein Zielsystem eine Verbindung zu Ihrem PC ber R ckruf aufbauen W will ben tigt der Client diese Rufnummer in diesem Feld um den R ckruf entspre chend des gew hlten R ckrufm
153. r Phase 2 143 Standard IKE Vorschl ge 2 22 2 2 nn nn nn nn 144 6 2 5 Zur weiteren Konfiguration o 146 Basiskonfigurationen in Abh ngigkeit v vom 1 IPSec Gateway 146 Gateway unterst tzt nicht XAUTH 146 Gateway unterst tzt IKE Config Mode 146 Gateway unterst tzt IKE Config Mode nicht 147 6 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr 148 6 3 Zertifikats berpr fungen 149 6 3 1 Auswahl der CA Zertifikate ba o as A 6 3 2 berpr fung der Zertifikats enero Lx as sa 149 extendedKeyUsage La LO subjectKeyldentifier Seeerei EE ee 2 A 6 3 3 berpr fung von Sperrlisten d e r e 180 6 4 Stateful Inspection Technologie f r die Firewall Binstellungen o A ee gt Abk rzungen und Begriffe 2 EEE rn ren 155 Index e ann a a a e a a ENEE 169 10 2 m m m Bintec Secure IPSec Client Benutzerhandbuch 1 Produkt bersicht Dieses Handbuch beschreibt Installation Konfiguration Leistungsumfang und Benut zeroberfl che des Bintec Secure IPSec Client und seiner Komponenten Die Bintec IPSec Client Software arbeitet nach dem Prinzip einer LAN Emulation f r Ethernet und unterst tzt die routbaren Protokolle TCP IP Weitere Informationen zur Realisierung einer sicheren VPN Kommunikation erhalten Sie auf der Bintec Website unter www bintec de 1 1 Zum Umgang mit diesem Handbuch Damit Sie
154. r die vertrauensw rdige CA imitiert ein gef lschtes Aussteller Zertifikat verwenden kann kann zus tzlich der Fingerprint des Ausstellers soweit bekannt eingegeben werden E SHA1 Fingerprint verwenden Der Algorithmus zur Erzeugung des Fingerprints kann MD5 Message Digit 5 oder SHA1 Secure Hash Algorithm 1 sein Weitere Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht 1 Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Ausstel ler Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden Nachtr glich k nnen Aussteller Zertifikate automatisch ber den Secure Up date Server verteilt werden siehe gt Handbuch zum Update Server oder sofern der Benutzer ber die notwendigen Schreibrechte in genanntem Verzeichnis verf gt von diesem selbst eingestellt werden siehe gt CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zertifi kate anze
155. re IPSec Client Benutzerhandbuch Monitor Bedienung Allgemein Firewall Firewall Filterregel zulassen Ausgehend 3 e Name Firewall Geben Sie einen Namen f r die zu definierende Filterregel ein Ausf hrung Firewall aus mit diesem Befehl wird die Filterregel inaktiviert damit ist es nicht n tig sie zu l schen alle IP Pakete mit Adressen aus dem definierten Bereich werden verworfen zulassen IP Pakete mit Adressen aus dem definierten Bereich werden f r den Datenverkehr zugelassen ablehnen Richtung Firewall eingehend die Filterregel gilt f r eingehende IP Pakate ausgehend die Filterregel gilt f r ausgehende IP Pakate Benutzerhandbuch Bintec Secure IPSec Client m 63 Client Monitor 64 Filterregel Firewall In diesem Fenster kann bestimmt wer den f r welches Protokoll die Filter regel gelten soll f r welchen IP Adressen Bereich und f r welchen Port Adressen Bereich Firewall Filterregel 55255255255 255 255 255 255 s e5535 IP Protokoll Firewall Hier wird bestimmt f r welches Transport Protokoll diese Regel gelten soll ICMP TCP oder UDP Eines dieser angebotenen Protokolle oder alle k nnen gew hlt werden IP Adresse Quelle Firewall Dies kann eine Host IP Adresse oder ein Adress Bereich sein IP Adresse Ziel Firewall Dies kann eine Host IP Adresse oder ein Adress Bereich sein Port Quelle Firewall Dies kann entwe
156. rs wird bei Aktivierung dieser Funktion verhindert dass eine Kommunikation ber den DFU Dialer zum Internet stattfinden kann 120 pennen Bintec Secure IPSec Client Benutzerhandbuch Verbindungsaufbau Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Bintec einen entsprechenden ffentlichen Testzugang Eine detaillierte Konfigu rationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www bintec de Verbindungsaufbau zum Zielsystem Sobald die Software installiert und ein Profil korrekt konfiguriert wurden kann die An wahl ber das Profil an das Zielsystem stattfinden Dabei ist auch die Art der Anwahl Bestandteil der Konfiguration eines Profils Sie k nnen aus drei Anwahl Modi f r den Verbindungsaufbeu w hlen automatisch manuell und wechselnd Sie definieren den Modus des Verbindungsaufbaus zu einem Zielsystem in der Profil Einstellungen unter Verbindungsaufbau im Parameterfeld Line Management Automatischer Verbindungsaufbau Im Unterschied zu Microsoft RAS bei dem jedes Ziel manuell angew hlt werden muss arbeitet die Client Software nach dem Prinzip der LAN Emulation Dabei ist es ledig lich erforderlich die entsprechende Applikations Software zu starten Email Internet Browser Terminal Emulation etc Die Verbindung wird dann entsprechend den Para metern des Zielsystems automatisch aufgebaut und
157. rt Definition zugewiesen sein Das Modem muss den Hayes Befehlssatz unterst tzen Ebenso k nnen Mobiltelefone f r die Datenkommunikation genutzt werden nachdem die zugeh rige Software installiert wurde die sich f r den Client genauso darstellt wie ein analoges Modem Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle die IR Schnittstelle Infrarot oder Bluetooth genutzt werden Je nach bertragungsart GSM V 110 GPRS UMTS oder HSCSD muss die Gegenstelle ber 18 m am m Bintec Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen die entsprechende Einwahlplattform verf gen Der in die Modemkonfiguration des Secure Clients einzutragende Initialisierungs String ist vom ISP oder dem Hersteller des Mobiltelefons zu beziehen LAN Adapter LAN over IP Um die Client Software mit der Verbindungsart LAN over IP in einem Local Area Network betreiben zu k nnen muss zus tzlich zum bereits installierten LAN Adapter Ethernet oder Token Ring kein weiterer Adapter installiert werden Die Verbindung der LAN Clients ins WAN stellt ein beliebiger Access Router her Einzige Vorauset zung IP Verbindung zum Zielsystem muss m glich sein Die VPN Funktionalit t lie fert die Client Software Adapter f r ein wireless LAN WLAN Adapter werden genauso behandelt wie norma le LAN Adapter Auch f r WLAN muss als Verbindungsart LAN over IP gew hlt werden xDSL Modem xDSL PPPoE Die Verb
158. s zu 8 ISDN B Kan le b ndeln Um diese Funktion in vollem Umfang nutzen zu k nnen muss al lerdings Ihr PC wie auch das Zielsystem mit der n tigen Anzahl von So Schnittstellen 4 ausgestattet sein Die dynamische Linkzuschaltung funktioniert nur wenn sie auch vom Network Access Server des Zielsystems unterst tzt wird Mit dynamischer Linkzuschaltung erh hen sich zwar die Kosten f r jeden zugeschalteten B Kanal gleichzeitig verringern sie sich jedoch in gleichem Ma e weil sich die bertragungsdauer entsprechend verk rzt Mit diesem Parameter bestimmen Sie wie die Linkzuschaltung erfolgen soll Drei M glichkeiten stehen zur Auswahl Aus standard Tx Links werden zugeschaltet entsprechend der Bitrate abgehender Daten Rx Links werden zugeschaltet entsprechend der Bitrate eingehender Daten TxRx Links werden sowohl nach der Bitrate sowohl eingehender als auch abgehender Daten zugeschaltet Schwellwert f r Linkzuschaltung Nur f r ISDN Der Wert dieses Parameters teilt der Client Software die Bitrate mit ab der ein weiterer Link Kanal zugeschaltet werden soll Der Wert entspricht Prozenten der maximalen Bitrate M gliche Werte sind von 1 bis 100 Prozent Standardwert ist 20 Diese Ein stellung gilt f r Sender und Empf nger Die Zuschaltung eines weiteren Links erfolgt 8 Sekunden nach dem Erreichen des ein gestellten Schwellwerts Diese Einstellung kommt nur zum Tragen wenn die Linkzuschaltung aktiviert wurde
159. sem Fall den Status der Verbindung zu erfahren und sie gegebenenfalls kor rekt zu beenden muss der Monitor erneut gestartet werden Ist dieser Men punkt aktiviert so wird der Monitor beim Schlie en ber den Button x rechts in der Kopfzeile oder ber Alt F4 nur minimiert und erscheint als Ampel symbol in der Task Leiste wor ber der Status der Verbindung abgelesen werden kann Der Klick auf den Schlie en Button x der Kopfzeile hat in dieser Einstellung die glei che Wirkung wie der Klick auf den Minimieren Button der Kopfzeile In der Darstellung des Ampelsymbols in der Task Leiste kann nach einem rechten Mausklick auf das Symbol das m gliche Zielsystem abgelesen und die Verbindung auf gebaut oder getrennt werden bzw bei abgebauter Verbindung der Monitor auch been det werden Das Beenden des Monitors ist nur noch ber das Hauptmen Verbindung Beenden m glich Benutzerhandbuch Bintec Secure IPSec Client m E Nach Verbindungsaufbau minimieren Ist dieser Men punkt aktiviert so wird der Monitor nach erfolgreichem Verbindungs aufbau automatisch minimiert nicht jedoch beendet 8 Das Beenden des Monitors ist nur ber das Hauptmen Verbindung Beenden m g Lo lich E Sprache Die IPSec Client Software ist mehrsprachig angelegt Die Standardsprache bei Auslie ferung ist Deutsch Um eine andere Sprache zu w hlen klicken Sie Language Spra che im Pulldown Men Fenster und
160. setzungen Betriebssystem Die Software kann auf Computern min 32 MB RAM mit den Betriebssystemen Mi crosoft Windows 98se Millenium Windows NT 3 5 oder h her ab Service Pack 4 oder h her oder Windows 2000 oder Windows XP installiert werden ten f r das jeweils im Einsatz befindliche Betriebssystem bereit um Daten f r die i Halten Sie f r die Dauer der Installation unbedingt die Datentr ger CD oder Disket Treiberdatenbank des Betriebssystems nachladen zu k nnen Zielsystem Die Parameter f r das Zielsystem werden ber die Profil Einstellungen eingegeben Entsprechend der m glichen Verbindungsarten des Clients muss das Zielsystem eine der folgenden Verbindungsarten unterst tzen ISDN PSTN analoges Modem LAN over IP oder PPP over Ethernet Lokales System Q Eines der folgenden Kommunikationsger te und der entsprechende Treiber muss auf i dem Client PC installiert sein a ISDN Adapter ISDN Der ISDN Adapter muss die ISDN CAPI 2 0 unterst tzen Wenn Sie PPP Multilink nutzen kann die Software bis zu 8 ISDN B Kan le je nach Kanalanzahl des Adapters b ndeln Prinzipiell kann jeder ISDN Adapter der die ISDN Schnittstelle CAPI 2 0 unterst tzt eingesetzt werden Fiir gew hnlich wird die CAPI bei der Installation ei nes ISDN Adapters automatisch eingerichtet E Analoges Modem Modem F r die Kommunikation ber Modem PSTN muss das Modem korrekt installiert sein sowie Modem Init String und COM Po
161. sierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Er weiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleich
162. sions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung O extendedKeyUsage O subjectKeyldentifier O authorityKeyldentifier 50 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Anzeige der Erweiterungen Extensions Subject Key Identifier 24AE 60 BF D1 F3 63 F6 14 AF CF 35 1D FD B5 Authority Key Identifier Key 24 AE 60 BF D1 F9 63 F6 14 AF CF 35 1D FD B5 Authority Key Identifier Serial Number 00 Auswertung der Erweiterungen Extensions extendedKeyUsage Um sich die Erweiterungen eines eingehenden oder CA Zertifikats anzeigen zu las sen kann wie folgt vorge gangen werden Das CA Zertifikat dessen Erweiterungen angezeigt werden sollen muss mit ei nem Doppelklick im Fenster f r CA Zertifikate siehe oben ge ffnet werden Da mit wird nebenstehendes An zeigefeld mit den allgemei nen Daten General ge ff net F r das jeweils eingehende Zertifikat wird dieses Feld bereits ge ffnet nachdem Eingehendes Zertifikat an zeigen im Zertifikats Men gew hlt wurde Das Ansichtsfeld General zeigt die allgemeinen Zertifi katsdaten siehe Bild oben Das Ansichtsfeld Extensi ons zeigt die Zertifikatser weiterungen sofern sie vor handen sind siehe Bild links Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exte
163. so muss der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client m 31 Installation 32 Komponenten w hlen M a a ui E E m RE Nur bei benutzerdefinierter Installation _Zu ck wete _Abtrechen Komponenten w hlen m m mm Bintec Secure IPSec Client Schlie lich k nnen Sie angeben welche weiteren Protokolle und Dienste Sie installieren wollen Halten Sie daf r den Datentr ger zu Ihrem Betriebssystem bereit da eventuell Treiber von diesem Datentr ger ben tigt werden Mit Weiter schlie en Sie die Benutzerdefinitionen ab Ende der benutzerdefinierten Installation Sie k nnen anschlie end entscheiden ob vor dem Windows Logon an einer remote Domain die Verbindung zum Network Access Server aufgebaut werden soll F r diesen Verbindungsaufbau m ssen Sie gegebenenfalls die PIN f r ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben Nachdem die Verbindung zum NAS hergestellt wurde k nnen Sie sich an die remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt weiter n chste Seite Benutzerhandbuch Installation der
164. ssen bersetzt Dies spart zum einen ofizielle IP Adressen die nicht in unbe grenzter Anzahl zur Verf gung stehen Zum ande ren wird damit ein gewisser Schutz Firewall f r das LAN aufgebaut IPCP Internet Protocol Control Protocol IPsec Standards festgelegt von IETF RFCs 2401 2412 12 98 IPX Internet Packet Exchange Netware Protokoll von Novell IPXCP Internetwork Packet Exchange Control Protocol ISDN Integrated Services Digital Network Dienste inte grierendes digitales Fernmeldenetz Digitales Netz mit Integration aller Schmalband Kommunikati onsdienste z B Fernsprechen Telex Telefax Te letext Bildschirmtext bestehend aus Kan len mit einer bertragungsgeschwindigkeit von 64 000 bit s Ein Basisanschluss im sogenannten Schmal band ISDN besitzt drei bertragungskan le Kanal B1 64 000 bit sKanal B2 64 000 bit sKanal D 16 000 bit sDie Gesamt bertragungsrate betr gt 144 000 bit s Dieses Netz soll bis zum Ende die ses Jahrtausends europaweit einheitlich aufgebaut werden Die Spezifikationen hierf r werden von ITU und CEPT erarbeitet ISDN Adapter ISDN Adapter erm glichen den Anschluss von vorhandenen nicht ISDN f higen Endger ten an das ISDN Der Adapter bernimmt dabei die so wohl soft als auch hardwarem ige Anpassung der Endger teschnittstelle an die ISDN Schnitt stelle So Ein ISDN Adapter mit Upo Schnitt stelle erm glicht an ISDN TK Anlagen die Umset zung der ISDN Zweidraht Schnittste
165. st das Modem korrekt installiert und steht der Software als Standardtreiber zur Verf gung so muss hier kein Eintrag vorgenommen werden Der Dial Prefix ist nur in seltenen Ausnahmef llen n tig Ziehen Sie dazu das Modem Handbuch zu Rate Im folgenden einige Beispiele f r Dial Prefix ATDT ATDP ATDI ATDX a APN Der APN Access Point Profil Einstellungen Zentrale Name wird f r die GPRS und UMTS Ein Ati H Line Management wahl ben tigt Sie erhal Mr agoe i le Identit t ten ihn von Ihrem Provi Eier der Der APN wird insbe VPN IP Netze on S Zertifikats berpr fung sondere zu administrati Firewal Einstellungen ven Zwecken genutzt D SIM PIN Benutzen Sie eine SIM Einsteckkarte fiir GPRS oder UMTS so geben Sie hier die PIN fiir diese Karte ein Benutzen Sie ein Handy so muss diese PIN am Mobiltelefon ein gegeben werden 94 m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 4 1 4 Line Management Profil Einstellungen Zentrale Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Firewall Einstellungen In diesem Parameterfeld bestimmen Sie wie der Verbindungsaufbau erfolgen soll und stellen die Timeout Werte ein Wenn der Client das Verbindungsmedium ISDN nutzt k nnen Sie in diesem Parame terfeld auch eine Kanalb ndelung aktivieren Bitte beachten Sie dabei dass die K
166. t Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete ebenfalls weitergeleitet werden m ssen F r die Kommuni kationspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt werden darf Alternative Bezeichnungen f r Stateful Inspection sind Stateful Packet Filter Dynamic Packet Filter Smart Filtering Adaptive Screening Stateful Inspection vereinigt konzeptionell die Schutzm glichkeiten von Packet Filter und Application Level Gateways d h sie integriert als Hybrid die Funktionen beider Security Verfahren und arbeitet sowohl auf der Netz als auch Anwenderschicht Bei der zustandsabh ngigen Paket Filterung werden nicht nur die Internet und Trans portschicht sondern auch Abh ngigkeiten vom Zustand einer Verbindung ber cksich tigt Alle aktuellen und initiierten Verbindungen werden mit Adresse und zugeordne tem Port in einer dynamischen Verbindungstabelle hinterlegt Der Stateful Inspection Filter entscheidet anhand festgelegter Raster Informationen welche Pakete zu wel cher Verbindung geh ren Zust nde k nnen sein Verbindungsaufbau bertragung Verbindungsabbau und gelten sowohl f r TCP als auch UDP Verbindungen Ein Bei spiel an einer Telnet Sitzung Der Zustand Verbind
167. t auf der Basis des IPSec Standards mit den Gateways verschie denster Hersteller und ist die Alternative zu der am Markt angebotenen einheitlichen IPSec Client Technologie Die Client Software emuliert einen Ethernet LAN Adapter Der IPSec Client verf gt ber zus tzliche Leistungsmerkmale die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN L sung erm glichen Der IPSec Client bietet M Unterst tzung aller g ngigen Betriebssysteme M Einwahl ber alle bertragungsnetze MY Kompatibilit t mit den VPN Gateways unterschiedlichster Hersteller M Integrierte Personal Firewall f r mehr Sicherheit M Dialer Schutz keine Bedrohung durch 0190er und 0900er Dialer M H here Geschwindigkeit im ISDN Kanalb ndelung Hl Geb hrenersparnis Kosten und Verbindungskontrolle M Bedienungskomfort grafische Oberfl che 12 m mm Bintec Secure IPSec Client Benutzerhandbuch Leistungsumfang 1 3 Leistungsumfang Der IPSec Client unterst tzt alle g ngigen Betriebssysteme Windows 98se ME NT 2000 und Windows XP Die Einwahl in das Firmennetz erfolgt unabh ngig vom Me diatyp d h neben ISDN PSTN analoges Fernsprechnetz GSM GPRS und xDSL wird auch LAN Technik wie im WLAN am Firmengel nde und Hotspot oder lokalen Netzwerk z B Filialnetz unterst tzt Auf diese Weise kann mit ein und demselben Endger t von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden in der Filiale ber WLAN
168. t zugeordnetem Service bestimmen Sie ber den Aus wahlbutton Benutzerhandbuch Bintec Secure IPSec Client m 137 6 Beispiele und Erkl rungen 6 2 3 SA Verhandlung und Richtlinien Policies Damit der IPSec Filter Prozess in Gang kommen kann m ssen vorher verschiedene SAs verhandelt worden sein Es wird eine SA f r Phase 1 IKE Richtlinie sowie min destens zwei je f r ein und ausgehende Verbindung f r Phase 2 IPSec Richtlinie ausgehandelt F r jedes Zielnetz siehe gt Profil Einstellungen VPN Networks wer den ebenfalls zwei SAs ausgehandelt E Phase 1 Parameter der IKE Richtlinie IKE Policy Der Kontrollkanal wird im Tunnelmodus von IPSec ber das IKE Protokoll zur IP Adresse des Gateways aufgebaut im Transportmodus direkt zur IP Adresse der Gegen stelle Parameter zur Festlegung von Verschl sselungs und Authentisierungsart ber das IKE Protokoll definieren Sie in den IKE Richtlinien Dabei kann die Authentisierung ber einen Pre shared Key oder eine RSA Signatur erfolgen Entsprechende Richtlini en sind im Richtlinien Editor vorkonfiguriert u Phase 2 Parameter der IPSec Richtlinie IPSec Policy Die SA Verhandlung wird ber den Kontrollkanal abgewickelt Von der IPSec Maschi ne wird die SA an das IKE Protokoll bergeben das sie ber den Kontrollkanal zur IP Sec Maschine der Gegenstelle bertr gt 138 z mmmm Bintec Secure IPSec Client Benutzerhandbuch Securit
169. tandardm ig wird der Port 500 der f r den Verbindungsaufbau genutzt wird unter Windows Systemen von den IPSec Richtlinien genutzt Um dies zu ndern gehen Sie wie folgt vor Um sich zu vergewissern welche Ports aktuell von F retstat n a Aktive Verbindungen Ihrem System genutzt denka Sie nt I ABHOREN werden k nnen Sie unter ich E a Y 0 ias dea Em Sea 8 8 8 588 7 7 aufforderung mit dem 1 En SR un Wen Kommando UDP 10 0 135 s UDP EZE netstat n a UDP TE UDP E den aktuellen Netzstatus UDE ef anzeigen lassen In der t a Ras Abbildung rechts erken e Zden da UDP 172 16 113 140 138 Ke nen Sie dass der UDP UDP 172 16 113 148 1998 x Port 500 genutzt wird Wird der Port genutzt so muss im Windows Start men das Fenster Sytem gt KH Distributed Transaction Koordiniert Tra Manuell LocalSystem E Dienste Ve rw altung Sy DNS Client Wertet DNS N Gestartet Automatisch LocalSystem ge ffnet werden S Dort Sa Druckwarteschlange L dt die Datei Gestartet Automatisch LocalSystem p A A KE Ereignisprotokoll Protokolliert v Gestartet Automatisch LocalSystem wird der Ke IPSEC Richtli S Fandienst Unterst tzt Sie Manuell LocalSystem Gemeinsame Nutzung Bietet allen Co Manuell LocalSystem n enagent markiert der y Gesch tzter Speicher Bietet gesch t Gestartet Automatisch LocalSystem gt Hilfsprogramm Manager Startet und ko Manuell LocalSystem
170. ten so w hlen Sie vor der Einstellung des Com Ports zuerst das gew nschte Ger t un ter Modem aus der entsprechend konfigurierte Com Port wird dann automatisch ge setzt Baudrate Die Baudrate beschreibt die bertragungsgeschwindigkeit zwischen Com Port und Mo dem Wenn Ihr Modem z b mit 14 4 Kbits bertragen kann sollten sie die n chsth he re Baudrate 19200 w hlen Folgende Baudraten k nnen gew hlt werden 1200 2400 4800 9600 19200 38400 57600 und 115200 Com Port freigeben Wenn Sie f r Ihren Client ein analoges Modem verwenden kann es w nschenswert sein dass der Com Port nach Beendigung der Kommunikation f r andere Applikatio nen freigegeben wird z B Fax In diesem Fall stellen Sie den Parameter auf Ein Solange der Parameter in der Standardstellung auf Aus bleibt wird der Com Port ausschlie lich von der Client Software genutzt Benutzerhandbuch Bintec Secure IPSec Client m m 93 Konfigurationsparameter Profil Einstellungen m Modem Init String Je nach eingesetzem Handy oder Modem und der jeweiligen Verbindungsart k nnen AT Kommandos n tig sein In diesem Fall m ssen die jeweiligen Kommandos dem zu geh rigen Benutzerhandbuch oder den Mitteilungen der Telefongesellschaft bzw des Providers entnommen werden Jedes der in diesem Fall einzutragenden Kommandos muss mit einem lt cr gt Carriage Return abgeschlossen werden Dial Prefix Dieses Feld ist optional I
171. tzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netzwerkkarte ben tigt Netze xDSL Gegenstellen Access Router im xDSL GPRS UMTS Dieses Einwahlmedium w hlen Sie wenn die Einwahl ber das Mobilfunknetz GPRS oder UMTS erfolgen soll Beachten Sie dazu den Hinweis unter den Installationsvor aussetzungen zu Analoges Modem PPTP Microsoft Point to Point Tunnel Protocol Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL Microsoft DF Dialer verwenden Zur Einwahl am ISP Internet Service Provider kann der Microsoft DF Dialer ge nutzt werden Dies ist immer dann n tig wenn der Einwahlpunkt ein Einwahl Script ben tigt Der DF Dialer unterst tzt dieses Script Im Parameterfenster Netzeinwahl wird anschlie end die Script Datei unter Eingabe von Pfad und Namen zur eingespiel ten Script Datei eingetragen siehe gt Script Datei E Dieses Profil nach jedem Neustart des Systems verwenden Normalerweise wird der Client Monitor nach einem Neustart mit dem zuletzt genutzten Profil ge ffnet Wird diese Funktion aktiviert wird nach eine
172. ungsaufbau wird dadurch defi niert dass noch keine Benutzer Authentisierung stattgefunden hat Hat der Benutzer sich mit Benutzername und Kennwort angemeldet wird diese Verbindung in den Zu stand normale Verbindung gesetzt Da der jeweilige Status einer Verbindung st ndig berwacht wird bleibt Unbefugten der Zugriff auf das interne Unternehmensnetz ver wehrt Der Vorteil gegen ber statischen Paketfiltern ist dass die Entscheidung ob ein NCP Secure Gateway oder Client ein Paket weiterleitet oder nicht nicht nur auf Grund von Quell und Zieladresse oder Ports f llt Das Security Management pr ft dar ber hinaus Benutzerhandbuch Bintec Secure IPSec Client mm mmm 151 D Beispiele und Erkl rungen den Zustand state der Verbindung zu einem Partner Weitergeleitet werden ausschlie lich die Pakete die zu einer aktiven Verbindung geh ren Datenpakete die sich keiner etablierten Verbindung zuordnen lassen werden verworfen und im Log File protokol liert Neue Verbindungen lassen sich nur entsprechend der konfigurierten Regeln ff nen In der einfachsten Firewall Funktion werden nur die ein und ausgehenden Verbindun gen im Hinblick auf das Protokoll TCP IP UDP IP ICMP IPX SPX die entsprechen den Ports und die beteiligten Rechner berpr ft und berwacht Verbindungen werden in Abh ngigkeit eines festgelegten Regelwerkes erlaubt oder gesperrt Weitere Pr fun gen z B Inhalt der bertragenen Daten finden nic
173. ur Verf gung womit sie 256 Werte annehmen kann Die Anzahl der m glichen IP Adressen insgesamt bleibt jedoch begrenzt Der Internet User bekommt daher nicht einmalig eine unver nderliche IP Adresse zugeteilt sondern f r jede seiner Sessions die IP Adresse die gerade noch nicht vergeben ist Die IP Adressen werden also f r die Dauer eines Zeitschlitzes zugeteilt Diese Adress Zuteilung er folgt im Regelfall automatisch per PPP Verhand lung ber DHCP Die IP Adresse kann von speziel len Programmen in einen Namen bersetzt werden Diese Programme laufen auf einem Domain Name Server DNS IP Network Address Translation IP Network Address Translation wird bei der In stallation der Workstation Software bereits vorge sehen und ist standardm ig beim Anlegen eines neues Zielsystems aktiviert Wenn IP Network Address Translation verwendet wird werden alle bertragenen Frames mit der ausgehandelten PPP IP Adresse verschickt Die Workstation Software bersetzt diese ffentliche IP Adresse in die syste meigene des Intranets oder im Falle der Worksta tion in deren eigene vom Benutzer festgelegte Allgemein ber NAT ist es m glich in einem LAN mit inoffiziellen IP Adressen die nicht im 160 Bintec Secure IPSec Client Benutzerhandbuch I MM Internet g ltig sind zu arbeiten und trotzdem vom LAN aus auf das Internet zuzugreifen Dazu wer den die inoffiziellen IP Adressen von der Software in offizielle IP Adre
174. w hlen die gew nschte Sprache 3 2 5 Hilfe Die Hilfe zeigt Ihnen den kompletten Hilfetext mit Inhaltsverzeichnis und Index Unter dem Men punkt Hilfe finden Sie mit Klick auf Info die Versionsnummer Ihrer eingesetzten Software und Treiber 82 mm m mm Bintec Secure IPSec Client Benutzerhandbuch I 4 Konfigurationsparameter a Die IPSec Client Software gestattet die Einrichtung individueller Profile f r entspre eS chende Zielsysteme die nach den Benutzeranforderungen konfiguriert werden k nnen Im folgenden sind alle Parameterbeschreibungen aufgef hrt und sie sind so angeord net wie sie auf der Oberfl che des Client Monitors erscheinen Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Bintec einen entsprechenden ffentlichen Testzugang Eine detaillierte Konfigu rationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www bintec de Benutzerhandbuch Bintec Secure IPSec Client m 83 Konfigurationsparameter Profil Einstellungen 4 1 Profil Einstellungen Nachdem Sie Profil Einstellungen im Men des Monitors angeklickt haben ffnet sich das Men und zeigt eine bersicht ber die bereits definierten Profile und die Ruf nummern der zugeh rigen Ziele Seitlich finden Sie Buttons ber die Sie die Eintr ge Zentrale o des Telefonbuchs Zielsysteme modifizieren k nn
175. y D Kontrollkanal und SA Verhandlung Kontrollkanal Phase 1 SA Verhandlung Phase 2 NIC1 WSUP NIC1 WSUP Bildbeschreibung Damit der IPSec Prozess in Gang kommen kann muss vorher die SA verhandelt worden sein Diese SA Verhandlung findet pro SPD die f r verschiedene Ports Adressen und Protokolle angelegt sein k nnen einmal statt F r diese SA Verhandlung wird ein Kontrollkanal ben tigt Im Client muss nun zun chst eine Layer 2 PPP Verbindung zum Provider hergestellt wer den Dabei bekommt er bei jeder Einwahl eine neue IP Adresse Das IPSec Modul im Client bekommt ein IP Paket mit der Zieladresse der Firmenzentrale Ein SPD Eintrag f r dieses IP Paket wird gefunden aber es existiert noch keine SA Das IPSec Modul stellt die Anforde rung an das IKE Modul eine SA auszuhandeln Dabei werden auch die angeforderten Sicher heits Richtlinien wie sie im SPD Eintrag vorhanden sind an das IKE Modul bergeben Eine IPSec SA auszuhandeln wird als Phase 2 Verhandlung bezeichnet Bevor jedoch eine IPSec SA mit der Gegenstelle Gateway ausgehandelt werden kann muss ein Kontrollkanal vom Client zum Gateway existieren Dieser Kontrollkanal wird ber die Phase 1 Verhand lung hergestellt deren Ergebnis eine IKE SA ist Die Phase 1 Verhandlung bernimmt somit die komplette Authentisierung vom Client gegen ber dem VPN Gateway und erzeugt einen versch
176. zt werden Chipkartenleser CT API konform Mit der aktuellen Software werden Treiber f r die Modelle SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller Nehmen Sie au erdem folgende Einstellung in der Client Software vor Editieren Sie die Datei NCPPKI CONF befindlich im Win dows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit einem ASCII Editor indem Sie als ReaderName den Namen des angeschlossenen Chipkartenlesers xyz eintragen und als DLLWIN95 bzw DLLWINNT den Namen des installierten Treibers eintragen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden ReaderName SCM Swapsmart CT API gt xyz DLLWIN95 scm20098 d11l gt ct32 d11 DLLWINNT sem200nt dl11 gt CE3 2 sA LL Nach einem Boot Vorgang erscheint der ReaderName im Monitor Men Port Der Port wird bei korrekter Installation des Leseger ts automatisch bestimmt Bei Un stimmigkeiten k nnen die COM Ports 1 4 gezielt angesteuert werden Auswahl Zertifikat 1 Zertifikat 3 Standard 1 Aus der Listbox kann aus bis zu drei ver schiedenen Zertifikaten gew hlt werden die sich auf der Chipkarte bef
Download Pdf Manuals
Related Search