Secure Entry Client
Contents
1. an das Zielsystem zur Identifizierung ben tigt werden Diese beiden Gr en werden auch f r die PPP Verhandlung zum ISP Internet Service Provider ben tigt Das Parameterfeld er scheint berhaupt nicht wenn der IPSec Client mit dem Verbindungsmedium LAN over IP betrieben wird 1 Dieses Parameterfeld beinhaltet den Benutzernamen und das Passwort die bei der Anwahl Parameter C Benutzername O Passwort CI Passwort speichern C Rufnummer Ziel O Alternative Rufnummern O Script Datei 136 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Benutzername Mit dem Benutzernamen weisen Sie sich gegen ber dem Network Access Server NAS aus wenn Sie eine Verbindung zum Zielsystem aufbauen wollen Bei Kommu nikation ber das Internet ben tigen Sie den Benutzernamen zur Identifikation am ISP Internet Service Provider Der Name f r den Benutzer kann bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Benutzername vom Zielsystem zugewiesen da Sie vom Zielsystem auch Radius oder LDAP Server erkannt werden m ssen Sie er halten ihn von Ihrem Stammhaus vom Internet Service Provider oder dem Systemad ministrator E Passwort Das Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewie sen2. sy Bereits erstellte Profile zum oben selektierten Adapter werden in ei ner Liste dargestellt Netzwerktyp Verschl sselung und SS ID m s sen mit den obigen Netzwerkpara et metern bereinstimmen ZE Ein neues Profil wird erzeugt in Infrastrukture Infrastrukture dem der Button Neu gedr ckt WLAN Einstellungen Infrastrukture Infrastrukture Infrastrukture wird oder im vorigen Fenster auf Infrastrukture das zugeh rige Netz ein Doppel klick ausge bt oder die rechte Maustaste geklickt wird ber die Buttons k nnen Profile auch bearbeitet oder gel scht werden Allgemeine Profil Einstellungen Der Name kann frei vergeben werden und ist bei einer neuen Profilerzeugung nach Doppelklick auf das gescannte Netz zun chst identisch mit der SS ID dieses Netzes Ebenso verh lt es sich mit dem Netzwerktyp der identisch sein muss mit dem im Broadcast des Funknetzes gesendeten 86 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Allgemein Verschl sselung IP Adressen Authentisierung Allgemeine Profil Einstellungen IL Name 554D Netzwerktyp Energie Mode Verbindungsart noptest2003 neptest2003 Continuous Access Mode CAM ll Der Netzwerktyp muss dann Hilfe Abbrechen Allgemein Verschl sselung IP Adressen Authentisierung Verschl sselung Ch Verschl sselung Authentisierung Schl ssell nge Schl sselfo
3. Die Option kein automatischer Verbindungsaufbau steht nur bei gesperrter Grundein stellung zur Verf gung Sie ist nur sinnvoll wenn im Telefonbuch im Parameterfeld Verbindungssteuerung der Verbindungsaufbau auf automatisch gestellt wurde F r die ber diese Regel definierten Datenpakete findet bei Aktivierung dieser Funktion kein automatischer Verbindungsaufbau statt f r andere Datenpakete schon NCP engineering GmbH 75 SECURE ENTRY CLIENT CLIENT MONITOR E Firewall Regel Lokal Firewall Regel Auf dieser Registerkarte werden die Filter f r die lokalen IP Adressen und IP Ports eingestellt Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der Firewall nach au en durchge lassen deren Quelladresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Von den eingehenden Datenpaketen werden diejenigen durchgelassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Daten pakete werden nach au en gelas sen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpaketen werden die durchgelassen deren Ziel Port Destination Port unter die Definition der lokalen Ports f llt Alle IP Adressen umfasst alle Quell IP
4. 22 24 22 u sus se a ea 45 70 Lizenz U pd te vassis aa u ae san ren 117 123 Lizenzierung isis eh 27 Lizenzinfo und Aktivierung 2 e 27 L g Eintr ge 4 zu u ua sn Aa en pn nen 105 Logon Optionen NT as 3 sera 99 Lokale IP Adresse verwenden 22 161 195 lokale Netze im Tunnel weiterleiten 2 2 2 2 163 Lokales Systemi coses AC Ras AO ne ep 27 LZS 34 422 0 502 ninaa Bas TEE ar 54 156 Main Mode 150 188 Major Release ega ELE EE e AA 125 manueller Verbindungsaufbau e 171 MID m bis ee ed aa ee da 44 81 153 154 191 Meldungen des ACE Servers f r RSA Token 62 Modem aira a EN See 131 141 Modem Init String te an Baba e A 143 Multifunktionskarte 43 51 Name IKE Richtlinie 2 2 222 153 Name IPSec Richtlinie 2 2 2 2222 154 NAS Einwahl us 402000 8 200 a e 46 219 NAT Traversal u sy 2 230 hen 161 196 NAT T NAT Traversal cs reses 22H 202 80H a to 194 Hepphone cke ze ee ae re 34 NEPPKICONE 0 paos as o en 26 NetBIOS ber IP zulassen 2 2 2222 e ee a 170 netstat A eone 196 Netzemw hl urls as E E en ein 136 Netzstat s oi 4 u wa en a ae 196 Netzsuche 4 4 u sn wa en wa a lee si Netzwerk Adressen VPN IP Netze 2 2222 20 163 P re Gu A e Ze add 137 173 176 Passwort XAUTH 158 159 174 Passwort IHTTP Anmeldung 2 2 2222 00 140 Passwort f r VPN Einwahl 174 Passwort spe
5. Dauer ee ee Ol Richtlinien Editor ee re een EG IKE Richtlinie editieren 2 2 2 2 Emm 152 Name IKE Richtlinie a um a e o OS Authentisierung IKE Richtlinie eea h e e en A Air 08 Verschl sselung IKE Richtlinie e 153 O NCP engineering GmbH 9 SECURE ENTRY CLIENT INHALT Hash IKE Richtlinie e 153 DH Gruppe IKE Richtlinie e 153 IPSec Richtlinie editieren 2 2 m m nn nn 154 Name IPSec Richtlinie 2 2 2 2 2 nn 154 Protokoll IPSec Richtlinie is da a gt Transformation ESP IPSec Richtlinie ee re A Transformation Comp I IPSec Richtlinie 154 Authentisierung IPSec Richtlinie 2 2 2 22 2 2 2 154 5 1 7 Erweiterte IPSec Optionen e 155 IP Kompression LZS verwenden 156 DPD Dead Peer Detection deaktivieren 156 UDP Encapsulation verwenden 138 5 1 8 Identit t EEN EELER EE ae e ne a E Typ IIdentit t sg osa 40 E EE A ae ca 108 ID Identit t Be ee an E Pre shared Key verwenden Egy e es Extended Authentication XAUTH EN e E ee 198 Benutzername Identit t e 159 Passwort Identit t een in E Zugangsdaten aus Konfiguration verwenden po en e ss 199 5 1 9 IP Adressen Zuweisung 2 2 2 2 nn nn L t IKE Config Mode verwenden 2 2 22 22 L Lokale IP Adresse verwenden 2 2 2 222 nn 161 IP Adresse manuell vergeben 2 22 22
6. Installie ren Das weitere Verfahren ist mit der Standard Installation ab W hlen der Setup Sprache identisch NCP engineering GmbH 27 SECURE ENTRY CLIENT INSTALLATION 2 2 1 Standard Installation Die EXE Datei die Sie mit einem Download oder mit der CD erhalten haben kopieren Sie auf die Festplatte des PCs Der Dateiname der EXE Datei beinhaltet Versions und Build Nummer der Software z B NCP_EntryC1l_Win32_900_028 EXE Wahlen Sie im Windows Hauptmenu Start Einstellungen Systemsteuerung In der Windows Systemsteuerung w hlen Sie Software oder Neue Programme hinzuf gen Klicken Sie dann auf den Button zum Installieren von CD oder Diskette Programm von Diskette oder CD ROM installieren Gell Wenn nebenstehendes Fenster X Legen Sie die erste Installationsdiskette bzw CD des erscheint klicken Sie auf Programms ein und klicken Sie auf Weiter Weiter Installationsprogramm ausf hren Im daraufhin erscheinenden Fenster klicken Sie auf Durchsuchen um die EXE Datei Ihrer Software zu suchen Zur ck Klicken Sie auf Fertig stellen falls dies das gew nschte Installationsprogramm ist Klicken Sie auf Zur ck um den automatischen Suchvorgang zu wiederholen Klicken Sie auf Durchsuchen wenn Sie das Installationsprogramm selbst suchen m chten ffnen KucP_EntrCl_win32_800_028 exe Durchsuchen Wenn sie angezeigt wird klick
7. KPN Mobile Connect Card alternative Versionen der NCP Client Software Enterprise Client ab Version 8 10 SP1 Entry Client ab Version 8 21 Anhang Mobile Computing via GPRS UMTS AS SECURE ENTERPRISE ENTRY CLIENT 1 1 1 2 Installation cure Client 8 10 Setup Installation des Treibers Installieren Sie zun chst die entsprechende Software Version und spielen Sie anschlie end den Treiber der PCMCIA Karte an Ihrem Notebook ein Der Treiber zur PCMCIA Karte Qualcomm 3G CDMA befindet sich auf der zugeh ri gen CD im Verzeichnis Software Modems Language Independent Starten Sie dort OptionFusion exe mit Doppelklick und best tigen Sie die daraufhin erscheinenden Fenster mit OK 15 Option Fusion Driver Pac age SC Complete the installation Windows needs to reebot in order to complete the driver installation After the reboot insert your card and let windows complete the card installation Please note that this can take some time 101x de m Nach der erfolgten Komplettierung der Installation beenden Sie das Setup mit einem Klik auf Finish Daraufhin wird der Rechner gebootet Nachdem Reboot stecken Sie die Karte in einen PCMCIA SIot A6 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT Bitte beachten Sie bei Einsatz des Betriebssystems Windows XP a Wird Windows XP mit Service Pack 2 und Sicherheits P
8. Manuell LocalSystem Sa NT LM Sicherheitsdienst Bietet Sicherh Manuell LocalSystem G Verwaltet Ger Gestartet Automatisch LocalSystem f hrt so kann das Kom mando netstat n a erneut ausgef hrt wer den Der UDP Port 500 darf dann unter den akti ven Verbindungen nicht mehr aufgef hrt sein 196 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 3 Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht 7 3 1 Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Aussteller Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden siehe gt CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zerti fikate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der NCP Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Sma
9. SECURE COMMUNICATIONS ua Anus alte NC SECURE COMMUNICATIONS Mi Secure Entry Client WIN32 64 Version 9 0 Januar 2007 Mit Anhang zu Mobile Computing Dom nenanmeldung und NCP Services SECURE ENTRY CLIENT Copyright Alle Programme und das Handbuch wurden mit gr ter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit berpr ft Alle Haftungsanspr che in folge direkter oder indirekter Fehler oder Zerst run gen die im Zusammenhang mit den Programmen ste hen sind ausdr cklich ausgeschlossen Die in diesem Handbuch enthaltene Information kann ohne Vorank ndigung ge ndert werden und stellt kei ne Verpflichtung seitens der NCP engineering GmbH dar nderungen zum Zwecke des technischen Fort schritts bleiben der NCP engineering GmbH vorbehal ten Ohne ausdr ckliche schriftliche Erlaubnis der NCP engineering GmbH darf kein Teil dieses Handbuchs f r irgendwelche Zwecke oder in irgendeiner Form mit irgendwelchen Mitteln elektronisch oder mecha nisch mittels Fotokopie durch Aufzeichnung oder mit Informationsspeicherungs und Informationswie dergewinnungssystemen reproduziert oder bertragen werden MS DOS Windows Windows NT Microsoft Accelerator Pack Microsoft Internet Explorer und Microsoft sind entweder eingetragene Warenzeichen oder Warenzeichen der Microsoft Corporation in den USA und oder anderen L ndern Alle anderen genann ten Produkte sind eingetragene Wa
10. SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN E Dieses Profil nach jedem Neustart des Systems verwenden Normalerweise wird der Client Monitor nach einem Neustart mit dem zuletzt genutzten Profil ge ffnet Wird diese Funktion aktiviert wird nach einem Neustart des Systems immer das hierzu geh rige Profil geladen unabh ngig davon welches Profil zuletzt ge nutzt wurde Benutze Microsoft DF Dialer Zur Einwahl am ISP Internet Service Provider kann der Microsoft DF Dialer ge nutzt werden Dies ist immer dann n tig wenn der Einwahlpunkt ein Einwahl Script ben tigt Der DF Dialer unterst tzt dieses Script Im Parameterfenster Netzeinwahl wird anschlie end die Script Datei unter Eingabe von Pfad und Namen zur eingespiel ten Script Datei eingetragen siehe Script Datei Mit der Einstellung nie wird ausschlie lich der NCP Dialer zur Einwahl verwendet Soll der DF Dialer nur bei Script Einwahl verwendet werden so w hlen Sie diese Option Bei einem Einwahlpunkt der kein Script verlangt wird automatisch auf den NCP Dialer umgeschaltet Soll der DF Dialer immer verwendet werden muss die ent sprechende Einstellung vorgenommen werden NCP engineering GmbH 135 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 2 Netzeinwahl Profil Einstellungen Zentrale AAA Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall
11. Software Update immer durchf hren no kein Software Update durchf hren rwscmd select Destination Name W hlt das angegebene Telefonbuch Ziel aus Bitte beachten Sie au erdem Nach einem erfolgreichen Init Logon berpr ft der Up date Client ob die Datei rsuinit bat im Installations Verzeichnis vorhanden ist Ist dies der Fall so wird sie automatisch nach dem Disconnect ausgef hrt Zu beachten ist un bedingt dass innerhalb dieses Batches die vollst ndige Pfad angabe z B beim Aufruf von RWSCMD n tig ist da der Standardpfad nicht das Installations Verzeichnis ist Beispiel Eine Batch Datei f r die erste Anmeldung mit dem Mehrfach Benutzer muss per Hand gestartet werden und kann so aussehen STARTINIT BAT c installdir rwscmd setinituser lt name gt lt auth code gt c linstalldirYrwscmd rsuautoanswer yes ce installdir rwscmd connect Destination Name Anhang Secure Client Services A37 SECURE ENTERPRISE ENTRY CLIENT SERVICES Die RSUINIT BAT die genau diesen Namen tragen muss um automatisch aufgerufen zu werden kann so aussehen RSUINIT BAT e installdir rwscmd rsuautoanswer off ce installdir rwscmd select Destination Name ce installdir rwscmd connect del e installdir rsuinit bat Um einen automatisierten nicht interaktiven InitLogon durchzuf hren m ssen folgen de Parameter mit rwscmd exe in die ncpmon ini geschrieben werden Name Bedeutung Rsulnteractive 0 gt automatisc
12. Wenn Sie auf diesen Button klicken wird die Datei geschlossen die Sie mit ffne Datei angelegt haben Die geschlossene Log Datei kann zur Analyse der Transaktio nen mit dem IPSec Client oder zur Fehlersuche verwendet werden L schen Fensterinhalt Wenn Sie auf diesen Button dr cken wird der Inhalt des Log Fensters gel scht Schlie en Log Fenster Wenn Sie auf Schlie en klicken schlie en Sie das Fenster des Logbuches und keh ren zum Monitor zur ck 106 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 4 Fenster Unter dem Men punkt Fenster k nnen Sie die Bedienoberfl che des Monitors variieren und die Sprache f r die Monitoroberfl che festlegen 4 4 1 Profilauswahl anzeigen T NCP Secure Entry Client gt cnm Links Minimierte Darstellung Wenn Sie auf Profilauswahl Verbindung Konfiguration anzeigen klicken kann aus der Liste Boni EE der konfigurierten Profile das o f gew nschte ausgew hlt werden Bild unten Software ist nicht aktiviert T noch 30 Tage g ltig NCP engineering GmbH 107 SECURE ENTRY CLIENT CLIENT MONITOR 4 4 2 Buttonleiste anzeigen H NCP Secure Entry Client una Wenn Sie auf Buttonleiste anzeigen klicken werden Buttons f r die Meniipunkte Verbinden und Trennen aus dem Hauptmen Verbindung eingeblendet Verbindung Konfiguration Log Fenster Hilfe Profil Z
13. ber die Konfigurations Sperren kann das Konfigurations Hauptmen im Monitor so modifiziert werden dass der Benutzer die voreingestellten Konfigurationen nicht mehr ab ndern kann bzw ausgew hlte Parameterfelder f r den Benutzer nicht sichtbar sind Die Konfigurations Sperren werden in der definierten Form erst wirksam wenn die L WS Einstellungen mit OK bernommen werden Wird der Abbrechen Button gedr ckt wird auf die Standard Einstellung zur ckgesetzt m Allgemein Konfigurations Sperren Um die Konfigurations Sperren wirksam festlegen zu k nnen muss eine ID eingegeben werden die sich aus Benutzer und Passwort zusammensetzt Das Passwort muss anschlie end best tigt werden Konfigurations Sperren Bitte beachten Sie dass die ID f r die Konfigurations Sperre unbedingt n tig ist die Sperren wirksam werden zu lassen oder die Konfigurations Sperren auch wieder aufzuheben Wird die ID vergessen besteht keine M glichkeit mehr die Sperren wieder aufzuheben Anschlie end kann die Berechtigung die Men punkte unter dem Hauptmen punkt Konfiguration zu ffnen f r den Benutzer eingeschr nkt werden Standardm ig kann der Benutzer alle Men punkte ffnen und die Konfigurationen bearbeiten Wird zu einem Men punkt der zugeh rige Haken mit einem Mausklick entfernt so kann der Benutzer diesen Men punkt nicht mehr ffnen 102 NCP engineering GmbH SECUR
14. gen bergeben wird NCP engineering GmbH 161 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 10 VPN IP Netze Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats Uberpriifung Link Firewall Hier k nnen genau die IP Netze definiert werden ber die der Client via VPN Tunnel komu nizieren kann Wenn Tunneling genutzt wird und hier keine Eintr ge erfolgen so wird die Verbindung immer zum Tunnel Endpunkt des Gateways aufgebaut Soll alternierend einer seits ein Tunneling zur Zentrale erfolgen andererseits ber das Internet kommuniziert wer den so m ssen hier die IP Netze eingetragen werden die vom Client erreicht werden sollen Sie k nnen dann zwischen dem Internet und dem Gateway der Firmenzentrale hin und her springen Dies wird auch als Split Tunneling bezeichnet Ey Parameter O Netzwerk Adressen VPN IP Netze O Subnet Masken O Auch lokale Netze im Tunnel weiterleiten 162 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Klicken Sie auf den Button Neu so k nnen Sie in das daraufhin erscheinende Fenster links die IP Adresse des Netzes und der Netzmaske eintragen E Netzwerk Adressen VPN IP Netze In diesem Parameterfenster definieren Sie in welchem IP Netz oder welchen IP Netzen der Client ber VPN Tunneling kommunizieren kann Sie
15. o e e 47 Encapsulating Security Payload 184 End to Site VPN oaar g ii ire E a 183 LEES 154 184 ESP 3DES MDB zu ies a ae 150 Eeh ModE ia a A Zee ee ee ae 150 Extended Authentication XAUTH 47 158 174 192 extendedKeyUsapeu u ir a a 58 60 externer Dialer 3 s s uos 5 esta nd as 133 F FINSETPEME zw wann ee eek 56 81 Fingerprint des Aussteller Zertifikats 166 Firewall 4 e a A een 206 Firewall Firewall Regeln 73 Firewall Grundeinstellungen 72 Firewall Einstellungen 2 2 2 22 70 185 Firewall Regel Anwendungen 79 Firewall Regel Bekannte Netze 2 2 2 2222 80 Friendly Net Detection cs ecaa sau 2208000 45 Friendly Net Detection Server FNDS EN Friendly Nets so 2 5 00a se aa a a 80 G Gateway IPSec o sea A 4 Se Be 149 Globale Firewall 2 aor ii Ense rn 45 GPRS u os on ia Eee Seen 22 132 GPRS UMTS aktivieren scesa u rd ra 00 32 ES A A Be 22 G lligkeitsdauer iris or E e e EE 56 H Hash TKE Richtlinie ost o a 153 Hayes Befehlssatz e 22 HotSpot 2 er y 2 2 5 aaa aa 104 HotSpot Anmeldung 50 HotSpot Konfiguration o e 104 HSCSD aia ads a a da 22 HTTP Authentisierungs Script HTTP Anmeldung 140 HTTP Anmeldung 139 147 HTTP Authentisierung 140 147 Hybride Verschl sselung 207 I ID Identit t A A A de Ae in Ae A Ee da A E e 158 Identity Protection Mode 188
16. pop Dem O NCP engineering GmbH 79 SECURE ENTRY CLIENT CLIENT MONITOR E Konfigurationsfeld Bekannte Netze Wurde im Konfigurati onsfeld Firewall Re geln definiert dass eine Regel auf Verbindungen mit bekannten Netzen Friendly Nets anzuwen den ist so wird diese Re gel immer angewendet wenn ein Netz nach den hier anzugebenden Krite rien als Friendly Net identifiziert werden kann bzw der LAN Adapter sich in einem Friendly Net befindet Der LAN Adapter des Clients befindet sich dann in einem Friendly Net wenn IP Netze und Netzmaske die IP Adresse des LAN Adapters aus dem angegebenen Netzbereich stammt Ist z B das IP Netz 192 168 254 0 mit der Maske 255 255 255 0 angegeben so w rde die Adresse 192 168 254 10 auf dem Adapter eine Zuordnung zum bekannten Netz bewirken DHCP Server diese IP Adresse von dem DHCP Server zugewiesen wurde der die hier angegebene IP Adresse besitzt DHCP MAC Adresse wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Diese Option kann nur dann verwendet werden wenn sich der DHCP Server im selben IP Subnet be findet wie der DHCP Client Je mehr dieser Bedingungen erf llt werden desto pr ziser ist der Nachweis dass es sich um ein vertrautes Netz handelt Die Zuordnung eines Adapters zu unbekannten oder bekannten Netzen wird automat isch protokolliert im Log Fenster des Client Monitor
17. wird bei jedem Start der Software die G ltigkeitsdauer im NCP Popup Fenster angezeigt Bild SECURE COMMUNICATIONS II links Dar ber hinaus wird in einer Fu zeile des Monitors eingeblendet wie lange die Testversion noch verwendet werden kann und in einer Message Box ab der verbliebenen Zeitspanne der G ltigkeit von 10 Tagen nachdr cklich darauf aufmerksam gemacht dass die Software noch nicht lizenziert ist Diese Message Box erscheint einmalig pro Tag high security remote access Ist die Testphase abgelaufen k nnen mit der Entry Client Software nur noch Verbindungen x zu Zielsystemen aufgebaut werden die der Software Aktivierung Lizenzierung dienen So kann eines der Profile des Entry Clients dazu verwendet werden eine Internet Verbindung zum Zweck der Lizen zierung aufzubauen Oder eine Verbindung zum NCP Secure Enterprise Management wird herge stellt um eine lizenzierte Version der Software herunterzuladen Fehler Die Aktivierung der Client Software unter Windows Vista setzt voraus dass Sie ber einen Lizenzschl ssel verf gen der mindestens der Version 9 0 entspricht Sofern Ihnen ein kostenfreies Update auf die Version 9 0 zur Verf gung steht erhalten Sie den zugeh rigen Lizenzschl ssel wenn Sie eine Software Aktivie rung durchf hren F r ein kostenpflichtiges Update auf die Version 9 0 wenden Sie sich bitte an Ih ren Reseller 114 NCP engineering GmbH SECURE ENTRY
18. 218 O NCP engineering GmbH O NCP engineering GmbH A A A 183 IKE IPSEC e ocea ioo Euren de ai a a k 55 IKE Config Mode verwenden 161 IKEID Typr 4 8 ed is era e as 195 IKE lt Config Mode ooo a es ia 194 TKE MOdUS 4 4 4 0 e a ae i ech 188 IKE Richtlinie s ze 2 220080 00 149 152 186 188 Internet Key Exch nge 2 cu 00 20 183 188 IP Network Address Translation 2 2222020 208 IP Adresse manuell vergeben 2 2 2 2 161 195 IP Adressen Zuweisung ooo 160 IP Kompression sor at us a we sn EE RS 47 IP Netzmaske 180 181 182 IPCOMP LZS u 2 00 al re an d 191 IPSEC p aeaaea paa mn e a a DOA B a E E a o 183 IPSec Einstellungen se sacs N I eaa 0 2 war 148 IPSec KOmpression micas a e ANE E S 54 IPSee Maschine spia u a 2 Negi Ar A 183 IPSec Richtlinie 150 186 IPSec Richtlinienagent o oo 196 IPSec Tuineling EN ENEE EE 158 161 IR Schnittstelle Infrarot o ooo o o 22 BON at ana Aer ii AE eh todo A tdo e 131 146 Kommunikation im Tunnel po seassa rema noes 170 Kompression ira an de AER 47 Konfigurations Sperten o o e 102 Kontrollka al s z sci ss A a ae 187 LAN verIP vous a aa 132 LAN IP Adresse A 00 0 0 sr is 179 LAN Adapter sch tzen 199 L yer 3 Tunneling cc 0 4 8 su a ar 183 Limit berschreitung 97 Line Management em se a 0 sw AEN A 144 Link Firewall
19. Adapter Bei Verwendung des Microsoft DF Dialers ausschlie lich Kommunikation im Tunnel zulassen De Anschlie end auf Weiter Telefon cl Damit ist die Konfiguration mit Verf gbare Zielsysteme Ss dem Assistenten abgeschlossen Zielsystem Name Rufnummer Verbindungsart Konfigurieren e KI NCP 0191011 EH Klicken Sie jetzt auf Kopieran Konfigurieren und US vervollst ndigen Sie die ges Konfiguration im Telefonbuch Abbrechen Anhang Mobile Computing via GPRS UMTS All SECURE ENTERPRISE ENTRY CLIENT 2 2 Konfiguration im Telefonbuch WE L2Sec Test Selektieren Sie f r die Testverbindung das Parameterfeld Modem und nehmen Sie folgende Eintr ge vor El Netzeinwahl E Modem Em H Werbindungssteuerung E R ckruf Eingehende Rufe E Security Link Einstellungen Fusion UMTS GPRS wLAN 3 Venen ATEF lt orATEIVISD2 amp C150 0 IPSec Optionen HA Unterst tzung DNS WINS at cgdcont 1 ip intemettd1 de Zertifikats berpr fung Link Firewall APN Der APN Access Point Name wird f r die GPRS und UMTS Einwahl ben tigt Sie erhalten ihn von Ihrem Provider Der APN wird insbesondere zu administrativen Zwecken genutzt Der AT Befehl at cgdcont 1 ip ist Standard f r die bergabe des APN an die SIM Karte kann aber je nach Provider variieren Der APN internet t d1 de variiert je nach SIM Karte und gilt nur f r die SIM D1 Karte
20. Dazu wird mit der Maus der Text mit der gew nschten bertragungstechnik angeklickt oder dieser Men punkt gew hlt Bei einem manuellen Wechsel des Mediums wird die Verbindung zun chst abgebaut Die Verbindung wird dann wieder automatisch aufgebaut wenn automatischer Verbindungsaufbau im Telefonbuch konfiguriert wurde el SIM PIN eingeben SIM PIN Eingabe Der Dialog zur Eingabe der SIM PIN erscheint automatisch bei einem Verbindungsaufbau ber diesen Men punkt kann die SIM PIN auch vor einem Verbindungsaufbau eingegeben werden u SIM PIN ndern Die nderung der SIM PIN kann nur vorgenommen werden wenn die bisherige SIM PIN korrekt eingegeben wurde 52 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR D PUK Eingabe PITA Nach dreimaliger Falscheingabe Gg E der SIM PIN erscheint das Fenster Bitte geben Sie die PUK der SIM Karte ein und vergeben zul Eingabe des PUK Personal Sie eine neue PIN Die neu vergebene PIN muss f r Ihre Unblocking Key welcher der k nftigen Anmeldungen verwendet werden SIM Karte beiliegt Nach korrekter Eingabe des PUK kann eine neue I PUK ke SIM PIN eingegeben werden Neue PIN ke Best tigung der PIN ke 4 1 5 Verbindungs Informationen Wenn Sie den Men punkt Verbindungs Informationen anklicken werden statistische Werte gezeigt Dar ber hinaus aber auch welche Security Schl ssel SSL mit Zertifi kat Blowfish verwendet werden und
21. Dies erm glicht eine Steigerung des Durchsatzes um ma ximal das 3 fache Nach Selektion des Protokolls Comp Kompression kann zwi schen LZS und Deflate Kompression gew hlt werden 8 Authentisierung IPSec Richtlinie F r das Sicherheitsprotokoll ESP kann der Modus der Authentisierung eigens einge stellt werden Zur Wahl stehen MD5 SHA SHA 256 SHA 384 und SHA 512 Bit 154 O NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 7 Erweiterte IPSec Optionen Profil Einstellungen Zentrale Grundeinstellungen Line Management Sec Einstellungen Erweiterte IPSec ptionen IP Adressen Zuweisung WPN IP Netze Zertifikats berpr fung Link Firewall 1 In diesem Parameterfeld k nnen weiterte Einstellungen vorgenommen werden Parameter O IP Kompression LZS verwenden LI DPD Dead Peer Detection deaktivieren Q UDP Encapsulation verwenden NCP engineering GmbH 155 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN D IP Kompression LZS verwenden Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um maximal das 3 fache D DPD Dead Peer Detection deaktivieren DPD Dead Peer Detection und NAT T NAT Traversal werden automatisch im Hin tergrund ausgef hrt sofern dies das Ziel Gateway unterst tzt Der IPSec Client nutzt DPD um in regelm igen Intervallen zu pr fen ob die Gegenstelle noch akt
22. Einsatz kommen wenn f r den Zugang zum LAN ein Switch oder fiir das wireless LAN ein Access Point verwendet werden die 802 1x f hig sind und eine entsprechen de Authentisierung unterst tzen Mit dem Extensible Authentication Protocol EAP MP5 kann verhindert werden dass sich unberechtigte Benutzer ber die Hardware Schnittstelle in das LAN einklinken Zur Authentisierung kann wahlweise VPN Benutzername mit VPN Passwort aus dem Konfigurationsfeld Identit t verwendet werden oder ein eigener EAP Benut zername mit einem EAP Passwort Zertifikatsinhalte k nnen dergestalt automatisch bernommen werden indem im Tele eS fonbuch unter Tunnel Parameter VPN Benutzername und VPN Passwort vom Zerti fikat bernommen werden und in den EAP Optionen Verwende VPN Benutzername und VPN Passwort aktiviert wird Bei EAP TLS mit Zertifikat kann der EAP Benutzername direkt aus der Zertifikats Konfiguration bezogen werden Folgende Inhalte des konfigurierten Zertifikats k nnen genutzt werden indem in die EAP Konfiguration die entsprechenden Platzhalter einge geben werden Commonname SCERT_CNS E Mail SCERT_EMAILS Nach Konfiguration des EAP erscheint eine Statusanzeige im grafischen Feld des Mo ES nitors Durch einen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt werden Anschlie end erfolgt automatisch eine erneute EAP Verhandlung 98 NCP engineering GmbH SECURE ENTR
23. Firma ou Organization Unit Abteilung Cc Country Land st State Bundesland Provinz 1 Location Stadt Ort email E mail O NCP engineering GmbH 165 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Beispiel cn ABC GmbH Hier wird nur der Common Name des Ausstellers berpr ft D Fingerprint des Aussteller Zertifikats Um zu verhindern dass ein Unberechtigter der die vertrauensw rdige CA imitiert ein gef lschtes Aussteller Zertifikat verwenden kann kann zus tzlich der Fingerprint des Ausstellers soweit bekannt eingegeben werden D SHA1 Fingerprint verwenden Der Algorithmus zur Erzeugung des Fingerprints kann MD5 Message Digit 5 oder SHA1 Secure Hash Algorithm 1 sein Weitere Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht 1 Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Aussteller Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden Nachtr glich k nnen Aussteller Zertifikate automatisch ber den Secure Up date Server verteilt werden siehe g
24. Mit der Lizenzierung der Software akzeptieren Sie die Sollten Sie vom Aktivierungs Server w h zenzbe en a i A rend der Offline Aktivierung einen neuen Lizenzschl ssel erhalten haben siehe oben Schlie en bei Anzeige des Aktivierungs Codes so geben Sie diesen Lizenzschl ssel f r ein Lizenz Update ein indem Sie den Button Lizenzierung klicken BELEGE Indem folgenden Fenster des VEN ana NCP Assistenten geben Sie den neuen Lizenzschl ssel ein und klicken auf Weiter Bitte geben Sie die Lizenzdaten der NCP Secure Entry Client Software ein Lizenzschl ssel wm mmm mm mmm mmm BERNIE BER O amp Die Lizenzdaten werden Status Lizenzierung NCP gepr ft und bernommen Die Lizenzierung wird durchgef hrt Klicken Sie Fertigstellen wenn die Pr fung abgeschlossen ist Die Lizenzierung der Software wird durchgefiihrt y Lizenzdaten werden gepr ft v Lizenzdaten werden aktualisiert Besen 2 NCP engineering GmbH 123 SECURE ENTRY CLIENT LIZENZIERUNG Lizenz Daten ll Im Fenster mit den Lizenzdaten sehen Sie nun dass die Nummer der Software Version und der lizenzierten Version bereinstimmen 124 O NCP engineering GmbH SECURE ENTRY CLIENT LIZENZIERUNG 4 7 Updates Unter dem Men punkt Auf Updates pr fen im Monitormen unter Hilfe kann ge pr ft werden ob bei NCP eine neuere Software vorliegt als die von Ihnen installie
25. Token Ring Netzwerktopologie mit Ringstruktur von IBM UDP User Data Protocol Baut direkt auf dem darunter liegenden Internet Protokoll auf Wurde definidert um auch Anwendungsprozessen die direkte M g lichkeit zu geben Datagramme zu versenden UDP liefert ber die Leistungen von IP hinaus lediglich eine Portnummer und eine Pr fsumme der Daten Durch das Fehlen des Overheads mit Quittungen und Sicherungen ist es besonders schnell und effi zient NCP engineering GmbH 215 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE UMTS Universal Mobile Telecommunications Service K nftiger Standard f r schnelle Handy Kommuni kation VPN Virtual Private Network Ein VPN kann als virtu elles Netz grunds tzlich ber alle IP Tr gernetze also auch das Internet eingerichtet werden F r die Realisation haben sich zwei Spezifikationen herauskristallisiert L2F Layer 2 Forwarding und L2TP Layer 2 Tunneling Protocol Beide Verfah ren dienen dazu einen Tunnel aufzubauen den man als eine Art virtuelle Standleitung bezeich nen kann Uber eine solche logische Verbindung lassen sich neben IP Frames auch IPX SNA und NetBIOS Daten transparent bertragen Am Tun nelende miissen die Datenpakete interpretiert und zu einem Datenstrom auf der Basis des verwende ten Protokolls umgewandelt werden WAP Wireless Application Protocol Entwicklung von Nokia Ericson und Motorola X 509 v3 Standard Zertifizierung Zertif
26. ben tigt Anschlie end auf Weiter F r eine Testverbindung zum NCP Gateway ist die Nutzung eines Zertifikats nicht n tig Anschlie end auf Weiter Als Zugangsdaten f r das NCP VPN Gateway geben Sie folgendes ein VPN Benutzername ncpuserl2tp Klicken Sie auf VPN Passwort speichern und geben Sie als VPN Passwort ein ncpuserl2tp lt Zur ck Weiter gt Abbrechen x A Anschlie end auf Weiter A 10 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT Konfigurations Ass xl F r die Testverbindung Statischer Schliissel Preshared Key NC belassen Sie die Einstellung f r Gemeinsames Secret f r Datenverschl sselung den Statischen Schl ssel Werden f r die Authentisierung keine Zertifikate verwendet wird f r die Datenverschliisselung ein gemeinsamer Schl ssel ben tigt der auf beiden Seiten VPN Client und VPN Gateway hinterlegt sein muss Statischer Schl ssel Pen Anschlie end auf Weiter x Die Link Firewall muss f r die Link Firewall NC Testverbindung nicht unbedingt Welche Einstellungen sollen f r die Firewall verwendet werden gesetzt werden Bitte aktivieren Sie die gew nschte Firewall Option Ist Stateful Inspection aktiviert werden keine Pakete von anderen Hosts akzeptiert Stateful Inspection aktivieren P nmer iz Ausschlie lich Kommunikation im Tunnel zulassen Microsoft DEL
27. bestimmt wie der Internet Key Exchange von statten gehen soll Zwei unterschiedliche Modi stehen zur Verf gung der Main Mode auch Identity Protection Mode und der Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messages und durch deren Verschl sselung Main Mode Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollkanal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Protection Mode Aggressive Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontroll kanal wobei nichts verschl sselt wird a PFS Gruppe Mit Auswahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt ob ein kompletter Diffie Hellman Schlisselaustausch PES Perfect Forward Secrecy in Pha se 2 zus tzlich zur SA Verhandlung stattfinden soll Standard ist keine 150 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Richtlinien G ltigkeit Die hier definierte Dauer der G ltigkeit gilt Former f r alle Richtlinien gleicherma en u Dauer E kees Die Menge der kBytes oder die Gr e der Zeitspanne kann eigens eingestellt wer den Richtlinien Editor IPSec Konfiguration Zur Konfiguration der ADA A Richtlinien und E YT IKE Richtlinie gegebenenfalls einer a Sea statischen Secure Policy Mera Database wird dieser Y ESP 3DES MD5 Men punkt a
28. da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort ge nau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Wird der Parameter Passwort speichern nicht aktiviert so muss er bei jedem Verbin ISS dungsaufbau das Passwort per Hand eingeben E Passwort speichern Dieser Parameter muss aktiviert angeklickt werden wenn gew nscht wird dass das Passwort und das Passwort Ziel sofern es eingegeben ist gespeichert wird Andern falls werden die Passw rter gel scht sobald der PC gebootet wird oder ein Zielsystem gewechselt wird Standard ist die aktivierte Funktion N Wichtig Bitte beachten Sie dass im Falle gespeicherter Passw rter jedermann mit Ih O rer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt E Rufnummer Ziel F r jedes Ziel muss eine Rufnummer definiert sein da der Client sonst keine Verbin dung herstellen kann Diese Rufnummer muss genauso eingetragen werden als w rden Sie diese Telefonnummer per Hand w hlen D h Sie m ssen alle notwendigen Vor wahlziffern ber cksichtigen Landesvorwahl Ortsvorwahl Durchwahlziffern etc etc NOP engineering GmbH 137 SECURE EN
29. ein FTP GET erlaubt ein FTP PUT jedoch verboten werden Ein positiver Effekt der im Vergleich zu konventionellen Paketfiltern erh hten Eigenintelligenz ist die Op 200 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN tion einzelne Pakete w hrend einer Kommunikationsbeziehung zu assemblieren und damit erweiterte M glichkeiten zur Benutzer Authentisierung zur Anwendung zu brin gen Als Folge der nicht verl sslichen Trennung der Netzwerksegmente sind Stateful Inspection Filter nicht immun gegen bestimmte auf unteren Protokollebenen stattfin dende Angriffe So z B werden fragmentierte Pakete i d R von au en nach innen ohne weitere Pr fung durchgelassen NCP engineering GmbH 201 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Diese Seite ist frei gt 202 O NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Abk rzungen und Begriffe 3DES TripleDES Verschl sselungsstandard mit 112 Bit AES Advanced Encryption Standard Europ ische Ent wicklung der belgischen Verschl sselungsexperten Joan Daemen und Vincent Rijmen Rijndael Al gorithmus Nachfolger von DES Data Encrypti on Standard Verschl sselungsalgorithmus der bis zu 256 Bit Schl ssell nge besitzt n hoch 256 gilt als Ma einheit f r die m gliche Anzahl der Schl ssel die mit diesem Algorithmus generiert werden k nnen Trotz steigender Prozessorge schwindigkeiten wird erwartet dass der AES Al g
30. falls weitergeleitet werden m ssen Wird eine Regel f r eine ausgehende Verbindung definiert die einen Zugriff erlaubt so gilt die Regel automatisch f r entsprechende R ckpakete F r die Kommunikationspartner stellt sich eine Stateful Inspection Ver bindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entspre chenden Datenaustausch genutzt werden darf Die Firewall Regeln k nnen dynamisch konfiguriert werden d h ein Anhalten der Software oder ein Reboot ist nicht n tig Die Firewall Einstellungen im Konfigurationsmen des Client Monitors gestatten eine genauere Spezifikation von Firewall Filterregeln Sie wirken global D h unabh ngig vom aktuell gew hlten Zielsystem werden immer zuerst die Regeln der erweiterten Firewall Einstellungen abgearbeitet bevor die Regeln der Firewall aus dem Telefon buch angewendet werden Eine Kombination der globalen und link bezogenen Firewall kann in bestimmten Szen arien durchaus sinnvoll sein Im Allgemeinen sollten jedoch nahezu alle Anforderun gen ber die globalen Einstellungm glichkeiten abzudecken sein Bitte beachten Sie dass die link bezogenen Firewall Einstellungen bei Aktivierung Vorrang den globalen haben Ist z B die Link Firewall auf immer und Ausschlie lich Kommunikation im Tunnel zulassen eingestellt kann trotz evtl anders lautender Regeln der globalen Konfiguration nur ein Tunnel aufgebaut und dar ber kommuni ziert werden Jegli
31. ndert werden mit installdir rwscmd rwsautoanswer Ist dieser Eintrag vorhanden so kann mit folgenden Werten bestimmt werden wie der Update Client im Falle eines be reitstehenden Software Updates mit der Frage nach dem Up date umgeht 0 off standard Die Frage ob ein Update durchgef hrt werden soll wird f r den Benutzer sichtbar eingeblendet Der Benutzer w hlt ja oder nein 1 yes Alle Updates werden automatisch durchgef hrt ohne den Benutezr zu fragen 2 n0 Das Update wird nicht durchgef hrt A 36 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 2 Automatisierung der ersten Anmeldung Die erste Anmeldung Initialisierungs Logon des Clients am Management Server bei einem Rollout kann ber Batch Dateien automatisiert werden Eingaben des Benutzers die er aus den Angaben z B des PIN Briefes entnimmt k nnen auf diese Weise statt interaktiv ber entsprechende Parameter und Batches an ein Tool bergeben werden F r diese automatische Init User Prozedur dient das Programm rwscmd exe ab Secure Client V 7 21 mit folgenden Kommandos rwscmd setinituser lt name gt lt auth code gt Schreibt die angegebene VPN User ID und den Authentisierungs Code in die Registry von wo sie vom Update Client ausgelesen werden rwscmd rsuautoanswer lt off yes no gt Vermerkt den gew nschten Modus in der Registry off Benutzer fragen ob ein Software Update durchgef hrt werden soll yes
32. nen der Link Firewall ein Friendly Net in der globalen Firewall definiert wurde worin sich sich der Client aktuell befindet DI T NOP engineering GmbH 45 SECURE ENTRY CLIENT CLIENT MONITOR 3 1 6 Symbole des Verbindungsaufbaus Neben den Statusanzeigen enth lt das grafische Feld des Client Monitors auch Symbo le des Verbindungsaufbaus Internet ISP Service Authentisierung ISP Provider el Symbole der NAS Einwahl Findet eine Einwahl zu einem Network Access Server bzw Internet Dienste Anbieter ISP ins Internet statt so wird die Einwahlverbindung mit einer d nnen gelben Linie symbolisiert Die Einwahl ist abgeschlossen und die Verbindung zum ISP erfolgreich hergestellt wenn die d nne Verbindungslinie die Farbe Gr n annimmt Gleichzeitig mit dem Start des Verbindungsaufbaus ndern sich auch die Farben der Symbole f r die NAS Einwahl Die Einwahl am ISP ist mit einem Globus dargestellt die Authentisierung am ISP mit einem H ndesch tteln Ihre Farben wechseln w hrend des Verbindungsaufbaus von grau ES zu blau blinken dann gr n um schlie lich bei erfolgreichem Ver bindungsaufbau gr n stehen zu bleiben Die Parameter f r die NAS Einwahl befinden sich in den Profil Einstellungen unter Netzeinwahl Soll das Profil f r die automatische Medienerkennung siehe Pro fil Einstellungen Grundeinstellungen verwendet werden so muss unter Netzein wahl unbedingt ein Benut
33. tzliche Log Datei speichert die Aktionen des Clients selbst ndig f r die letz ten sieben Tage Log Ausgaben die lter als sieben Betriebstage sind werden automat isch gel scht Die Datei steht im Installations Verzeichnis unter LOG und hei t NCPyymmdd LOG Sie wird mit Datumsangabe yymmdd immer bei Beenden des Monitors geschrieben Die Datei kann mit einem Texteditor ge ffnet und analysiert werden E Logbuch Die Buttons des Logbuchfensters haben folgende Funktionen ffne Datei Schlie e Datei L schen Fensterinhalt Schlie en Log Fenster ffne Datei Wenn Sie auf diesen Button klicken erhalten Sie in einem weiteren Fenster 8 card dat Instnt5 EEN ee Se die M glichkeit Name und Pfad einer a English dat L2198 dll Datei einzugeben in die der Inhalt des Hinweise txt ElLbtrace exe El send D Licengltt Log Fenster geschrieben wird E Infoger ta Licger tit Standard ncptrace log E inst95 exe Liesmich txt P 8 NCP engineering GmbH 105 SECURE ENTRY CLIENT CLIENT MONITOR Alle Transaktionen mit der IPSec Client Software wie Anwahl und Empfang einschlie lich der Rufnummern werden automatisch mitprotokolliert und in diese Datei geschrieben bis Sie auf den Button mit Schlie e Datei Klicken Wenn Sie eine Log Datei anlegen k nnen Sie die Transaktionen mit dem IPSec Client ber einen l ngeren Zeitraum verfolgen Schlie e Datei
34. und IKE Config Mode unterst tzt oder nicht Gateway unterst tzt nicht XAUTH Der IPSec Client als Initiator der IPSec Verbindung schl gt standardm ig immer die Extended Authentication vor Diese Eigenschaft kann nicht konfiguriert werden Unter st tzt das Gateway die Extended Authentication nicht so wird sie auch nicht durchge f hrt Gateway unterst tzt IKE Config Mode Sofern das Gateway den IKE Config Mode unterst tzt kann im Parameterfeld IP Adressen Zuweisung die Funktion IKE Config Mode verwenden aktiviert werden 194 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Gateway unterst tzt IKE Config Mode nicht Unterst tzt das Gateway den IKE Config Mode nicht so sind zwei Konfigurationen m glich 1 Wird die Funktion IP Adresse manuell vergeben siehe gt Profil Einstellungen IP Adressen Zuweisung aktiviert so muss die IP Adresse eingetragen werden die vom Gateway bzw Administrator f r diesen Client bzw Benutzer vorgegeben wurde 2 Wird Lokale IP Adresse verwenden siehe gt Profil Einstellungen IP Adressen Zu weisung aktiviert so wird die IP Adresse gleich der ffentlichen IP Adresse gesetzt die der Client pro Internet Session vom Provider erh lt oder unter der Verbindungsart LAN die Adresse die der LAN Adapter besitzt Wird die lokale IP Adresse verwendet und der Typ im Parameterfeld Identit t steht auf IP Adresse dann
35. und Kleinschreibung muss in der INI Datei unter Caption eingetragen werden Beispiel der INI Datei f r IPass in der Registry findet sich unter InstallPath der In stallations Pfad des IPass Dialers Software Ipass iPassConnectEngine DialerInstallPathKey Software Ipass iPassConnectEngine DialerInstallPathValue InstallPath DialerExec IPassConnectGUI exe Caption iPassConnect II O NCP engineering GmbH 133 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt wie zum Beispiel Modem und ISDN so kann die manuelle Auswahl des Zielsystems mit dem jeweils zur Verf gung stehenden Verbindungsmedium entfallen wenn ein Zielsystem f r Auto matische Medienerkennung konfiguriert wurde und je ein Zielsystem mit den alterna tiv verf gbaren Verbindungsarten wie zum Beispiel Modem und ISDN stellungen Firmenzentrale auto Dabei ist zu beachten dass das e Zielsystem mit automatischer IPSec Einstell kV e gt e 00 Sa Fimenzemiaieato 705 Medienerkennung mit allen f r die IP Adressen Zuweisung A MINIP Nee Verbindung zum VPN Gateway ertifikats Uberpr fung Q SC S SE c n tigen Parametern konfiguriert ist S Bild links oben wohingegen die Zielsysteme mit den alternativen Rich f r automatische Medie emenden P r i Verbindungsarten so konfiguriert sein m ssen dass die jeweils gew nschte Verbindungsart evtl a
36. 0 DES3 SHA XAUTH_PSK DH2 SECONDS 28800 0 DES3 MD5 XAUTH_PSK DH2 SECONDS 28800 0 DES3 SHA PSK DH 2 SECONDS 28800 0 DES3 MD5 PSK DH 2 SECONDS 28800 0 Als Vorschl ge f r die IPSec Richtlinie Phase 2 wird standardm ig versendet Notation PROTO Protocol Protokoll TRANS Transform Transformation ESP LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge COMP IP Compression Transformation Comp PROTO TRANS AUTH LT LS KL COMP LZS ESP AES MD5 SECONDS 28800 128 Yes Yes ESP AES SHA SECONDS 28800 128 Yes Yes ESP AES MD5 SECONDS 28800 128 No No ESP AES SHA SECONDS 28800 128 No No ESP AES MD5 SECONDS 28800 192 Yes Yes ESP AES SHA SECONDS 28800 192 Yes Yes ESP AES MD5 SECONDS 28800 192 No No ESP AES SHA SECONDS 28800 192 No No ESP AES MD5 SECONDS 28800 256 Yes Yes ESP AES SHA SECONDS 28800 256 Yes Yes ESP AES MD5 SECONDS 28800 256 No No ESP AES SHA SECONDS 28800 256 No No ESP DES3 MD5 SECONDS 28800 0 Yes Yes ESP DES3 MD5 SECONDS 28800 0 No No O NCP engineering GmbH 193 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 2 5 Zur weiteren Konfiguration Pre shared Key oder RSA Signatur Entsprechend den Vorgaben durch die Gegenstelle kann als IKE Richtlinie die automatisch vorgenommene Einstellung Automatischer Modus auf Pre shared Key oder RSA Signatur Zertifikat abge ndert werden Er wartet die Gegenstelle Pre shared Key so muss
37. 0 0 0 0 0 0 0 0 0 0 0 0 172 16 11 20 172 16 11 16 Das Statistik Fenster der WLAN Einstellungen zeigt im Klartext den Status der Verbindung zum Access Point Die Statistik erg nzt die grafische Anzeige im Monitor worin die Feldst rke des Funknetzes angezeigt wird um zus tzliche Daten 88 O NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 2 4 Amtsholung Amtsholung Eine Amtsholung ist dann n tig wenn der IPSec Client an einer Nebenstellenanlage po betrieben wird Damit die definierten Profile des IPSec Clients auch im mobilen Einsatz te To E verwendbar bleiben ohne Rufnummern umkonfigurieren zu m ssen kann sofern an einem Anschluss eine Amtsholung n tig wird diese hier eingetragen werden Die Nummer f r die Amtsholung wird dann f r alle Zielrufnummern der Profile automatisch mitgew hlt Bei der Eingabe der Amtsholung sind als Eingabezeichen die Zahlen 0 9 und die Zeichen und m glich Wird ein Komma eingegeben so wird ber die Amtsholung eine W hlpause konfiguriert NCP engineering GmbH 89 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 5 Zertifikate Konfiguration Unter diesem Men punkt wird konfiguriert welche Art von Zertifikaten eingesetzt werden ob Soft Zertifikate oder Zertifikate auf Chipkarten Smart Cards und wo diese Zertifikate auf dem Rechnersystem zu finden sind Deweiteren wird die Dauer der G ltigkeit eines Zerti fikat
38. 1 2 Trennen Mit diesem Befehl wird eine Verbindung abgebaut Mit der Funktion Trennen wird der Abbau der aktuell bestehenden Verbindung manuell durchgef hrt Wenn die Ver bindung abgebaut wurde wechselt die Ampellampe f r die gesamte Offline Dauer von gr n auf rot 4 1 3 HotSpot Anmeldung E Voraussetzungen Der Rechner muss sich mit aktivierter WLAN Karte im Empfangsbe Us reich eines HotSpots befinden Die Verbindung zum HotSpot muss hergestellt und eine IP Adresse fiir den Wireless Adapater muss zugewiesen sein Unter Windows XP steht eine entsprechende Konfiguration f r den Zugriff auf WLANs zur Verf gung Die Firewall des NCP Secure Clients sorgt daf r dass lediglich die IP Adresszuwei sung per DHCP erfolgen darf weitere Zugriffe ins WLAN bzw vom WLAN werden unterbunden Die Firewall gibt dynamisch die Ports f r http bzw https f r die Anmel dung bzw Abmeldung am HotSpot frei Dabei ist nur Datenverkehr mit dem HotSpot Server des Betreibers m glich Ein ffentliches WLAN wird auf diese Weise aus schlie lich f r die VPN Verbindung zum zentralen Datennetz genutzt Direkter Inter net Zugriff ist ausgeschlossen Damit die Anmeldeseite des HotSpots im Browser ge ffnet werden kann muss eine eventuelle Proxy Konfiguration deaktiviert werden Derzeit unterst tzt die HotSpot Anmeldung des Clients ausschlie lich HotSpots die mit einer Umleitung Redirect einer Anfrage mit einem Browser auf die Anmeldeseite des
39. 1 Profil Binstellungen sr DC y br Le Ar Ae ss ei 07 Die Eintr ge der Profil Verstin ea a ei ei 4 2 2 Firewall Einstellungen 2 2 2 2 nn nn nn 70 Eigenschaften der Firewall A eh a a a Ap Konfiguration der Firewall Binstellunpen ek a ee el Konfigurationsfeld Grundeinstellungen 2 2 2 2 2 72 Firewall deaktiviert ee d2 Gesperrte Grundeinstellung empfohlen dh ee ne e Offene Grundeinstellung a 2 22 2 2 nn 12 Konfigurationsfeld Firewall Regeln 2 2 2 2 2 2 2 73 Erstellen einer Firewall Regel 2 222 A3 Firewall Regel Allgemein 2 22 nn JA Firewall Regel Lokal e 76 Firewall Regel Remote 2 2 2 2 2 nn nn 77 Firewall Regel Anwendungen 2 2 222 nn 79 Konfigurationsfeld Bekannte Netze en 80 Automatische Erkennung der bekannten Netze sai AK e St Friendly Net Detection mittels Is 81 Konfigurationsfeld Optionen 2 2 2 nn m nn 82 Konfigurationsfeld Protokollierung 2222222 84 4 2 3 WLAN Einstellungen o E Integrierte WLAN ontigaraon f r Windows 2000 XP e en 8I WLAN Automatik e 89 Netzsuche 2 000 8 8 0 dr Ba ee e El WLAN Profile 2 2 En m nn nn nennen 86 St tisik o s oa 0 2 0 a 8 de aa ie OS 4 2 4 Amtsholung LR AE Br ee 89 4 2 5 Zertifikate Konfiguration E Benutzer Zertifikat s s omor a e Al LEMA o a e a Cl Chipkartenleser oos umm yes sere e a 92 Port LEA a e e a e a IL Auswah
40. 2000 befinden sich drei Zertifikate 1 zum Siginieren 2 zum Ver und Entschl sseln 3 zum Authentisieren optional bei NetKey 2000 PKCS 12 Dateiname Nutzen Sie das PKCS 12 Format so erhalten Sie von Ihrem Systemadministrator eine Datei die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname der PKCS 12 Datei eingegeben bzw nach einem Klick auf den Button Auswahl Button die Datei ausgew hlt werden PKCS 11 Modul Nutzen Sie das PKCS 11 Format so erhalten Sie eine DLL vom Hersteller des Chip kartenlesers oder des Tokens die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname des Treibers eingegeben werden p Editieren Sie die Datei NCPPKI CONF befindlich im Installationsverzeichnis indem e Sie als Modulname den Namen des angeschlossenen Lesers oder Tokens xyz eintra gen Als PKCS 11 DLL muss der Name der DLL eingegeben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Modulname xyz PKCS 11 DLL Name der DLL Slotindex Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitormen an dieser Stelle wenn in der Datei NCPPKI CONF f r den Treiber visible 1 gesetzt wurde IE Sie k nnen auch mit Hilfe eines Assistenten nach installierten PKCS 11 Modulen su Lo chen und das gew nschte Modul mit dem dazugeh rigen Slot selektieren Dazu k
41. 5 Verfahren zur Bildung eines Hash Werts NAS Network Access System NetBios Network Basic Input Output System Schnittstelle die Datagramm und streamorientierte Kommuni kation bietet OCSP Online Certificate Status Protocol Wird als Proto koll f r die Online Pr fung von Zertifikaten ver wendet OSI Referenzmodell Von der ISO standardisiertes Modell das Kommu nikation in sieben Schichten beschreibt 7 Anwen dungsschicht application layer 6 Darstellungs schicht presentation layer 5 Steuerungsschicht session layer 4 Transportschicht transport lay er 3 Netzwerkschicht network layer 2 Daten verbindungsschicht data link layer 1 physikali sche Schicht physical layer Die im Netz zu ber mittelnden Daten durchlaufen auf der Senderseite die Schichten von 7 1 auf der Empf ngerseite in umgekehrter Reihenfolge PAP Password Authentication Protocol Sicherungsme chanismus innerhalb des PPP zur Authentisierung der Gegenstelle PAP definiert eine Methode nach dem Aufbau einer Verbindung anhand eines Be nutzernamens und eines Passworts die Rechte des Senders zu pr fen Dabei geht das Passwort im Klartext ber die Leitung Der Empf nger ver 210 NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE gleicht die Parameter mit seinen Daten und gibt bei bereinstimmung die Verbindung frei PC SC Schnittstelle zu Smartcard Readern PEM ltere Form von Soft Zertifikaten
42. Adressbereich sein Letzteres ist n tig wenn mehrere Zielsysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall L Port Quelle Source Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton L Port Ziel Destination Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton NCP engineering GmbH 185 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 2 3 SA Verhandlung und Richtlinien Policies Damit der IPSec Filter Prozess in Gang kommen kann miissen vorher verschiedene SAs verhandelt worden sein Es wird eine SA f r Phase 1 IKE Richtlinie sowie min destens zwei je f r ein und ausgehende Verbindung f r Phase 2 IPSec Richtlinie ausgehandelt F r jedes Zielnetz siehe gt Profil Einstellungen VPN Networks wer den ebenfalls zwei SAs ausgehandelt D Phase 1 Parameter der IKE Richtlinie IKE Policy Der Kontrollkanal wird im Tunnelmodus von IPSec ber das IKE Protokoll zur IP Adresse des Gateways aufgebaut im Transportmodus direkt zur IP Adresse der Gegen stelle Parameter zur Festlegung von Verschl sselungs und Authentisierungsart ber das IKE Protokoll definieren Sie in den IKE Richtlinien Dabei kann die Authentisi
43. Aktivierung Die Aktivierungsdatei wird erstellt Datei mit Aktivierungsdaten wird erstellt kv Lizenzschliissel und Seriennummer wird gepr ft Y Aktivierungsdaten werden erzeugt v Datei mit Aktivierungsdaten wird gespeichert Y Lizenzdaten werden aktuallisiert Datei mit Aktivierungsdaten wurde erfolgreich erstellt E wWIN2000P ncple ActiData tst Bitte bergeben Sie die erstellte Aktivierungsdatei an den NCP Aktivierungs Server unter HTTP www ncp de Fertigstellen mall LIZENZIERUNG Im folgenden Fenster geben Sie die Lizenzdaten ein und klicken auf Weiter Geben Sie nun Name und Pfad f r die Aktivierungsdatei ein z B auf dem Desktop Standardm ig wird das Installationsverzeichnis der Software und der Name ActiData txt mit Seriennummer eingesetzt Nun wird die Aktivierungsdatei erstellt die an den Aktivierungs Server bergeben werden muss Dazu muss die NCP Website aufgerufen werden http www ncp de deutsch services license NCP engineering GmbH 119 SECURE ENTRY CLIENT LIZENZIERUNG NCP Secure Communications Software Software Aktivierung Bitte kopieren Sie den Inhalt der vorn NCP Secure Client erzeugten Aktivierungsdatei Offline Aktivierung Schritt 1 in das daf r vorgesehene Textfeld Anschlie end klicken Sie bitte auf den Knopf Absenden um die Daten zu unserem Aktivierungs Server zu bertragen Alternativ k nnen Sie die Aktivierungsda
44. CLIENT LIZENZIERUNG 4 6 2 Software Aktivierung Fehler Gell Sp testens wenn die Testphase abgelaufen ist muss die Software aktiviert oder Die Testversion ist abgelaufen e e ES Bitte aktivieren oder deinstallieren Sie die Software deinstlliert werden Zur Aktivierung selektieren Sie im Monitormen Hilfe den Men punkt Lizenzinfo und Aktivierung Sie k nnen hier ablesen um welche Software Version es sich handelt und wie Installierte Software Version P Produkt E SE die Software lizenziert ist d h dass die SE A 8 30 Build 41 Testversion abgelaufen und die Software ervicer ack es D D D noch nicht aktiviert lizenziert ist Lizenzierte Software Version Produkt NCP Secure Entry Client z i A Ye a Sa Mit Klick auf die Lizenzbedingungen wird e Testversion abgelaufen d hende V ingeblend yp estversion en De Testvonion a er entsprechende Vertragstext eingeblendet Mit der Aktivierung Lizenzierung der Aktivierung Lizenzierung Die Software mu zur Lizenzierung als Vollversion mit dem S oftware akzeptieren S ie die erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet i i Side Lizenzbedingungen Mit der Lizenzierung der Software akzeptieren Sie die Lizenzbedingungen o Zur Aktivierung der Software klicken Sie auf den Button Aktivierung Schlie en Im folgenden Fenster k nnen Aktivierungsart NC Sie zwischen einer Online u
45. Code Aktivierungs Code TITAVE Neuer Lizenzschl ssel 005 Der Aktivierungs Code konnte erfolgreich generiert werden In unserem System wurde jedoch festgestellt dass Sie Anspruch auf eine neuere Software Lizenz besitzen Wenn Sie die neuesten Features aktivieren m chten f hren Sie die Aktivierung zu Ende und verwenden anschlie end den oben angezeigten Lizenzschl ssel Um die Software Aktivierung zu beenden notieren Sie sich den oben gezeigten Aktivierungs Code und setzen die Aktivierung mit der Offline Aktivierung unter dem Men Punkt Hilfe Lizenzinfo und Aktivierung fortSchritt 2 Nach Abschluss der Aktivierung k nnen Sie unter dem gleichen Men e Punkt Hilfe Lizenzinfo und Aktivierung den neuen Lizenzschl ssel eingeben E Mail support ncp de Telefon 0900 1996800 so Euro Minute Daraufhin wird der Aktivierungs Code generiert und auf der Website angezeigt Notieren Sie sich den Aktivierungs Code und setzen Sie die Aktivierung fort unter dem Men punkt Hilfe Lizenzinfo und Aktivierung indem Sie in der Offline Variante den zweiten Schritt der Aktivierung ausf hren Sollte der Aktivierungs Server erkennen dass Ihnen eine neuere Software Lizenz zusteht und der Lizenzschl ssel zur installierten Software passt wird mit der Online Aktivierung automatisch der neue Lizenzschl ssel angezeigt Wenn Sie die neuen Features aktivieren m chten notieren Sie sich den neuen Lizenzschl ssel f hr
46. DHCP Einstellungen C IP Adresse selbst festlegen lt Zur ck Abbrechen NC SECURE COMMUNICATIONS U Netzwerk Einstellungen Hier k nnen Sie die IP Adressen eintragen die der NCP Secure Entry Client verwenden soll IP Adresse Subnet Mask Default Gateway DNS Adresse lt Zur ck Abbrechen SECURE ENTRY CLIENT INSTALLATION Au erdem kann das Icon auf dem Desktop angezeigt werden Zu den weiteren Einstellungen bez glich Ihres Gateways sind n here Informationen von Ihrem Administrator oder Internet Service Provider n tig Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so mu der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben Ende der benutzerdefinierten In stallation weiter n chste Seite NCP engineering GmbH 31 SECURE ENTRY CLIENT INSTALLATION Sie k nnen anschlie end Windows Logon Optionen gt
47. Daher lesen Sie bitte den nachfolgenden Text einem Klick einge sehen werden vollst ndig und genau durch Wenn Sie mit diesen Vertragsbedingungen k nicht einverstanden sind so ist die Software nicht benutzbar onnen Vertragsbedingungen E E Die Aktivierung kann wahlwei Gegenstand des Vertrages ist die in Dateiform vorliegende Software 1 1 inkl der zugeh rigen Programmbeschreibung NCP macht darauf gt o 2 ne GE WI z SC e i aufmerksam da es nach dem Stand der Technik nicht m glich ist eachten Sie dazu den Hand Computer Software so zu erstellen da sie in allen Anwendungen und S i S Kombinationen fehlerfrei arbeitet Gegenstand des Vertrages st sl buchabschnitt Lizenzierun g B Schlie en NCP engineering GmbH 111 SECURE ENTRY CLIENT CLIENT MONITOR Assistent fur Software Aktivierung x Die Eingabe von EG E Lizenzschl ssel und Wie lauten die Lizenzdaten gt Seriennummer kann erfolgen nachdem Sie auf den Aktivierungsbutton geklickt haben WWW Korrekt eingegebene Lizenzdaten k nnen zu einem sp teren Zeitpunkt an dieser Stelle nicht mehr ausgelesen werden 4 5 2 Auf Updates pr fen nen m gliche Updates zur Verf gung stehen Beachten Sie dazu weiter unten den Unter diesem Men punkt kann gepr ft werden ob f r die Software auch Testversio WS Handbuchabschnitt Updates 4 5 3 Info Das Info Fenster zeigt die Produktbezeichnung und die Versionsnummer Ih
48. Darstellung der Software Version kann gestartet werden ber Windows Programme Secure Client Popup ncpsec exe PKI Modul der Client Software dieses Programm wird nur bei Einsatz von digitalen Zertifikaten ben tigt Die Konfiguration von Chipkartenlesern und Soft Zertifikaten ist ausf hrlich im Handbuch des jeweiligen Secure Clients im Abschnitt Monitor be schrieben ncpepsec exe Modul f r die Endpoint Security zwischen Secure Client und VPN Gateway die Poli cies f r die Endpoint Security werden am Secure Enterprise Management mit dem Plug In Endpoint Policy Enforcement konfiguriert Die Erzwingung der Endpoint Si cherheits Richtlinien Endpoint Policy Enforcement ist deshalb nur m glich wenn das NCP Secure Enterprise Management eingesetzt wird Nur mit diesem zentralen Mana gement Tool k nnen die Sicherheits Richtlinien allen Endpunkten der eingesetzten Komponenten gleicherma en zugeteilt werden W hrend die Endpoint Sicherheits Anhang Secure Client Services A 29 SECURE ENTERPRISE ENTRY CLIENT SERVICES Richtlinien vom Enterprise Management ausgegeben werden muss der Download der Sicherheits Richtlinien die der Management Server vorschreibt am VPN Gateway ak tivieert werden Dies erfolgt am Secure Server Manager im Konfigurationszweig Client Policy Enforcement Ist die Endpoint Security aktiviert so erfolgt der Ab gleich und der Download der aktuellen Policies ber das Programm ncp
49. Datenpakete die durch eigens erstellte aktive Firewall Regeln gestattet durchgelassen werden Permit Filter Trifft eine der Eigen schaften eines Datenpakets auf die Definition einer Firewall Regel zu wird an dieser Stelle die Abarbeitung der Filterregeln beendet und das IP Paket weitergeleitet Im Modus der gesperrten Grundeinstellung kann auf komfortable Weise eine IPSec Tunnelkommunikation freigeschaltet werden Hierbei kann unter Optionen der Da tenverkehr ber das VPN Protokoll IPSec global zugelassen werden Offene Grundeinstellung In der offenen Grundeinstellung sind zun chst alle IP Pakete zugelassen Ohne weitere Filterregeln werden alle IP Pakete weitergeleitet Ausgenommen sind die Datenpakete die durch eigens erstellte aktive Firewall Regeln ausgefiltert nicht durchgelassen werden Deny Filter Trifft eine der Eigenschaften eines beim Server Client ankommenden IP Pakets auf die Definition eines Deny Filters zu wird an dieser Stelle die sequentielle Abarbeitung der Filterregeln beendet und das IP Paket von der Weiterleitung ausgeschlossen Daten Pakete die auf keinen passen den Deny Filter treffen werden weitergeleitet 72 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR E Konfigurationsfeld Firewall Regeln EE In diesem Konfigurations ew llFlegeln Bekannte Netze fenster werden die Regeln f r die Firewall zusam mengestellt Die Anzeige Optionen sind standard m ig alle aktiv
50. GmbH SECURE ENTRY CLIENT CLIENT MONITOR 3 1 4 Die Symbole des Monitors Die Monitoroberfl che des Clients ist informativ mit Symbolen gestaltet Je nach An zeige und Farbe geben sie Auskunft ber den aktuellen Status der Verbindung oder ein zelne konfigurierte Features Das Ampelsymbol ist en immer sichtbar wenn der Client gestartet ist Ist der Monitor minimiert d h geschlossen erscheint es in der Task Leiste Mit einem Doppelklick auf dieses Icon kann der Monitor wieder ge ffnet werden Erst wenn der Monitor beendet wird verschwindet auch das Ampelsymbol Die weiteren Firewall Symbole sind auf den folgenden Seiten ausf hrlich erkl rt EAP Authentisierung Chipkartenleser PIN Status Einwahl Authentisierung I Verschl sselung Kompression VPN Tunnelverbindung Je nach Konfigura tion und Installation einer Multifunktionskarte erscheint zus tzlich alternativ ein WLAN oder UMTS GPRS Panel a im Monitor eldst rke Antennensymbol Im UMTS GPRS Panel kann f r Funknetz das gew nschte oder HotSpot unten l Daten bertragungsverfahren Anzeige des Funknetzes durch Klick auf den jeweiligen oder des Hotspots Schriftzug gew hlt werden Button f r Netzsuche bei UMTS GPRS Es wird dann gr n dargestellt oder f r Profilauswahl bei WLAN NOP engineering GmbH 43 SECURE ENTRY CLIENT CLIENT MONITOR 3 1 5 Statusanzeigen Das grafisch
51. GovNet Client verf gt mit rwscmd exe ber eine Kommandozeilen Schnittstelle die f r andere Anwendungen genutzt werden kann Voraussetzung f r die Nutzung des Programms rwscmd exe ist eine Client Soft ware die mindestens den Stand 7 0 Enterprise Client bzw 8 0 Entry Client hat Bei der Installation wird der Kommandozeileninterpreter in das ncple Verzeichnis un ter Windows kopiert Der Aufruf erfolgt aus diesem Verzeichnis z B C windows ncple gt rwscmd lt Kommando gt Wird die Syntax beim Aufruf nicht eingehalten oder ein Kommando falsch oder unvollst ndig angegeben so erscheint ein Fenster in dem die m glichen Kommandos aufgelistet sind connect connect Destination Name disconnect lock unlock start stop select Destination Name setinituser InitUserId Password rsuautoanswer off yes no ginaon ginaoff ginainstall ginaunins logonhotspot Timeout A 52 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 4 2 Voraussetzung f r die Nutzung des Programms O Die Dienste ncprwsnt ncpsec und rwsrsu m ssen gestartet sein Diese Dienste werden nach der Installation der Client Software standardm ig gestartet sie befinden sich im Verzeichnis C Windows ncple gt O Der Monitor muss nur gestartet werden wenn Passw rter oder Pin Eingaben erforder lich sind da rwscmd exe keinen PIN Dialog startet O Weiterhin m ssen Schreibrechte bestehen auf den Registrykey KE
52. HASH Hash Algorithm Hash AUTH Authentication Method Authentisierung GROUP Diffie Hellmann Group Number DH Gruppe LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge EA HASH AUTH GROUP LT LS KL AES _ CBC SHA XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC SHA RSA DH5 SECONDS 28800 256 AES_CBC MD5 RSA DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC SHA RSA DH2 SECONDS 28800 256 AES_CBC MD5 RSA DH2 SECONDS 28800 256 AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC SHA RSA DH5 SECONDS 28800 192 AES_CBC MD5 RSA DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC SHA RSA DH5 SECONDS 28800 128 AES_CBC MD5 RSA DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC SHA RSA DH2 SECONDS 28800 128 AES_CBC MD5 RSA DH2 SECONDS 28800 128 DES3 SHA XAUTH_RSA DH5 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH5 SECONDS 28800 0 DES3 SHA RSA DH5 SECONDS 28800 0 DES3 MD5 RSA DH5 SECONDS 28800 0 DES3 SHA XAUTH_RSA DH2 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH2 SECONDS 28800 0 DES3 SHA RSA DH2 SECONDS 28800 0 DES3 MD5 RSA DH2 SECONDS 28800 0 Wird ein spezifischer IKE Vorschlag in der IPSec Konfiguration der Profil Einstellun ES g
53. Header Zertifikat Signatur NCP engineering GmbH 189 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 2 4 IPSec Tunneling Der IPSec Client kann gegen ber IPSec Gateways unterschiedlicher anderer Hersteller zum Einsatz kommen Die Kompatibilit t mit den IPSec Modi der anderen Hersteller beruht auf der Konfor mit t mit folgenden RFCs und Drafts zu IPSec RFC 2104 Keyed Hashing for Message Authentication RFC 2401 Security Architecture for the Internet Protocol RFC 2403 The Use of HMAC MDS5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2406 IP Encapsulating Security Payload ESP RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol ISAKMP RFC 2409 The Internet Key Exchange IKE DRAFT draft beaulieu ike xauth 05 XAUTH DRAFT draft dukes ike mode cfg 02 IKECFG DRAFT draft ietf ipsec dpd 01 DPD DRAFT draft ietf ipsec nat t ike 01 NAT T DRAFT draft ietf ipsec nat t ike 02 NAT T DRAFT draft ietf ipsec nat t ike 03 NAT T DRAFT draft ietf ipsec nat t ike 05 NAT T DRAFT draft ietf ipsec udp encaps 06 UDP ENCAP E Implementierte Algorithmen f r Phase 1 und 2 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie RSA Signatur PSK Pre shared Key Unterst tzte symmetrische Verschl sselungsalgorithmen Phase 1 2 DES 3DES AES 128 A
54. L DNS WINS 2202 2 28 amp va ante a a a 101 DNS SEIVERr m ou e or a ee ol WINS Server L6l Domain Name e 161 5 1 10 VPN IP Netze rea ppt e D Netzwerk Adressen VPN IP Netze DEENEN Subnet Masken dere og sa EI Auch lokale Netze im Tunnel welterlelten Fo pis a e 103 5 1 11 Zertifikats berpr fung Lea ee rs 164 Benutzer des eingehenden Zertifikats een 169 Aussteller des eingehenden Zertifikats 165 Fingerprint des Aussteller Zertifikats 2 166 SHA 1 Fingerprint verwenden nm nenn 166 Weitere Zertifikats berpr fungen 166 5 1 12 Link Firewall po ee 109 Stateful Inspection aktivieren ee a er 170 Ausschlieflich Kommunikation im Tunnel zilassen e mao 170 NetBIOS ber IP zulassen 170 Bei Verwendung des Microsoft DF Dielen DEER Kommunikation im Tunnel zulassen 170 6 Verbindungsaufbau nen 171 Verbindungsaufbau zum ZielsysteM 222222 UI Automatischer Verbindungsaufbau UI Manueller Verbindungsaufbau 2 2 2 2 2 2 171 10 NCP engineering GmbH SECURE ENTRY CLIENT INHALT Wechselnder Verbindungsaufbau e 171 Verbinden as d 2 ws aa e a AL Client Logon Di A a a e e Passw rter und TEEN e a a ETO Passwort f r NAS Einwahl o 173 Benutzername und Passwort f r Extended Authentication 174 Verbindungsabruch und Fehler 175 Trennen ee E Trennen und Beenden des Beete DRECHEN
55. Nach Booten starten ber den neuen Men punkt k nnen folgende Optionen eingestellt werden O kein Autostart nach dem Booten nicht automatisch starten O minimiert starten nach dem Booten den Monitor starten und minimiert darstellen O maximiert starten nach dem Booten den Monitor starten und in normaler Gr e dar stellen A Wenn Sie oft mit der IPSec Client Software arbeiten und die Informationen des Moni Us tors ben tigen so sollten Sie die Einstellung maximiert starten w hlen Prinzipiell ist es f r die Kommunikation mit dem Zielsystem nicht n tig den Monitor zu starten 4 4 7 Beim Schlie en minimieren Wird der Monitor bei einer bestehenden Verbindung ber den Schlie en Button x rechts in der Kopfzeile oder das Systemmen links in der Kopfzeile geschlossen Alt F4 so informiert ein Meldungsfenster dar ber dass kein Ampelsymbol Tray Icon mehr in der Task Leiste erscheint wor ber der Status dieser Verbindung kontrolliert werden k nnte d h der Benutzer kann dann auf der Oberfl che seines Desktops nicht erkennen ob und wie lange noch Verbindungsgeb hren anfallen oder ob die Verbin dung bereits beendet wurde Um in diesem Fall den Status der Verbindung zu erfahren und sie gegebenenfalls kor rekt zu beenden muss der Monitor erneut gestartet werden Ist dieser Men punkt aktiviert so wird der Monitor beim Schlie en ber den Button x rechts in der Kopfzeile oder ber Alt F4 nur mini
56. Name des Ziels darf jedes alphanumerische und numerische Zeichen beinhalten Er und Leerzeichen eingerechnet bis zu 39 Zeichen lang sein Ne Name des Zielsystems L28ec Test ES Verbindungsart Einwahlkonfiguration Auswahl des Mediums ber das die Verbindung hergestellt werden soll NCP W hlen Sie das Medium ber das die Verbindung hergestellt werden soll Die Verbindungsart wird f r jedes Zielsystem eigens eingestellt vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem System installiert Soll z B das Internet Uber Modem genutzt werden stellen Sie beim Verbindungstyp Modem ein und w hlen anschlie end das gew nschte Modem aus Verbindungsart ISDN Modem LAN over IP xDSL PPPoE xDSL AVM PPP over CAPI PPTP Ext Dialer lt Zur ck Abbrechen NC rechen Klicken Sie auf Neuer Eintrag und erf llen Sie die Eingabeaufforderungen des Assistenten Anschlie end kann die Konfiguration im Telefon buch komplettiert werden Im folgenden wird als Beispiel eine Verbindung zum Firmennetz ber L2Sec beschrieben Als Zielsystem dieser Testverbindung dient ein NCP Gateway Anschlie end auf Weiter x Geben Sie f r dieses Zielsystem Profil einen Namen ein Anschlie end auf Weiter Als Verbindungsart w hlen Sie GPRS UMTS AS Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIEN
57. PKCSHIT ae EE EE a e H 26 Transformation Comp oea aa 154 Transformation ESP s se sss em ENN ica cia 154 Transportmodus x i ss 2 20 0 wa a a 184 Treibersign tur dr TEE Ne Ser een ae 27 Trennen we p 34 ai ade ai 175 TAPE DES 2 2 0 45 Saas ar ar ren 54 153 Tunnel Mod US su di dE Bears 184 dek ai eg a a ar a e o 146 Typilldent t t u are area 158 bertragungstechnik 2 2 22 2222222 52 UDP Po1Ht 500 A A Ee Ach h bp ie Ae ad 196 UDP Pre Filtering Ee RE ted 83 UDP Encapsulation 156 UMTS 4 2 0 sn eng 132 143 Update u i 4 III en aiet A 125 Update Keys ui ts rer een 125 Verbinden odas a o EE E A 171 Verbindungs Informati0nedh o o 53 Verbindungsabbau bei gezogener Chipkarte 94 Verbindungsabruch y ie soon ae o o e 175 221 Verbindungsaufbau sos eso raa erari nests 145 171 Verbindungsmedium 54 131 Verbindungstyp o sa rea iese ae eh A 131 Verbindungszeit oe ecr ad e rn 54 Verschl sselung ova a E 47 Verschl sselung IKE Richtlinie 153 Virtual Private Network o o 216 VPN Einw hl A ire aa E 46 wechselnde Verbindungsart 134 wechselnder Verbindungsaufbau o 171 Windows Logon e iia ea EE E 99 172 WINS Server A A co e do de dd e A 161 WLAN unter Windows 2000 XP 133 WLAN unter Windows 98 NT 22 22 2220 133 WLAN Automatik o o o 85 XAUTH i
58. SEENEN 7 Beispiele und Erkl rungen 2 2 2 2 Em nenne 177 7 1 IP Funktionen ve E a a AS 7 1 1 Ger te eines IP Netzwerke ee ee O e 7 1 2 IP Adress Struktur e 178 7 1 3 Netzmasken Subnet Masks 2 22 2 222222022 180 Beispiele 2 565 js 2 Wr en sr LSO Standard Masken e 181 Reservierte Adressen De ee 18 7 1 4 Zum Umgang mit IP Adressen O E 7 2 Security DA o e O 7 2 1 IPSec bersicht es a cs ES IPSec allgemeine Bnktionsbescheeibung a do 20 7 2 2 Firewall Einstellungen Firewall Settings 185 7 2 3 SA Verhandlung und Richtlinien Policies o 186 Phase 1 Parameter der IKE Richtlinie IKE Poley o 186 Phase 2 Parameter der IPSec Richtlinie IPSec Policy 186 Kontrollkanal und SA Verhandlung 2 2 2 187 IKE M d cs ho ss Sn San an an a Bi 188 7 2 4 IPSec Tunneling e nu 190 Implementierte Algorithmen f r Phase 1 und 2 190 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie 190 Unterst tzte sym Verschl sselungsalgorithmen Phase 1 2 190 Unterst tzte asym Verschl sselungsalgorithmen Phase 1 2 190 Unterst tzte Hash Algorithmen II Zus tzliche Unterst tzung f r Phase 2 191 Standard IKE Vorschl ge 2 nn nn nn 192 7 2 5 Zur weiteren Konfiguration o 19 Basiskonfigurationen in Abkinsiekaes vom IPSec EN 194 Gateway unterst tzt nicht XAUTH e 194 Gateway unterst t
59. SERVICES A 26 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 1 Dienste und Applikationen des Secure Clients In der Dienste bersicht des Windows Systems im Windows Startmen unter Einstel lungen Systemsteuerung Verwaltung Dienste k nnen die Dienste ncpsec exe ncprwsnt exe und rwsrsu exe aufgesucht werden Bild unten Die NCP Dienste sind in der Abbildung eingef rbt gt Dienste ar Vagana Ansicht SAB mm Struktur Dienste Lokal i Provides NCP PEP MEN and DIALING services Gestartet Automatisch LocalSystem Gestartet Automatisch LocalSystem Sa NetMeeting Remote Erm glicht au Staten ind Manuell LocalSystem KE Netzwerk DDE Dienst Netzwerktrar Beenden Ko Manuel LocalSystem u Netzwerk DDE Serv Verwaltet de Anhalter he Manuell LocalSystem e Netzwerkverbindung Verwaltet Ob POr ARE bdi Manuell LocalSystem y NT LM Sicherheitsdi Bietet Sicherl Neu starten a Manuell LocalSystem e Plug amp Play Verwaltet Ge hi i Gestartet Automatisch LocalSystem E QoS RSVP Bietet Progra Alle Tasks Manuell LocalSystem e RAS Verbindungsver Stellt eine Ne Aktualisieren Gestartet Manuell LocalSystem E Remoteprozeduraufr Endpunkteucd C Gestartet Automatisch LocalSystem e Remote Registrierun Erm glicht di Eigenschaften Gestartet Automatisch LocalSystem E RIP berwachung berwacht d Hilfedatei anzeigen isierun Gestartet Automatisch LocalSystem e Routing und RAS B
60. Sie die Datei NCPPKI CONF befindlich im Installa tionsverzeichnis indem Sie als ReaderName den Namen des angeschlossenen Chip kartenlesers xyz eintragen und als DLLWIN95 bzw DLLWINNT den Namen des in stallierten Treibers eintragen F r die NT basierenden Betriebssysteme Windows 2000 und Windows XP ist der Modulname DLLWINNT zu benutzen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden ReaderName SCM Swapsmart CT API gt xyz DLLWIN95 scm20098 d1l1l gt GES OUT E DLLWINNT scm200nt dll gt ct32 dll Nach einem Boot Vorgang erscheint der ReaderName im Monitor Men an dieser Stelle wenn in der Datei NCPPKI CONF f r den Treiber visible 1 gesetzt wurde Port Der Port wird bei korrekter Installation des Leseger ts automatisch bestimmt Bei Un stimmigkeiten k nnen die COM Ports 1 4 gezielt angesteuert werden 92 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Auswahl Zertifikat 1 Zertifikat 3 Standard 1 Aus der Listbox kann aus bis zu drei ver schiedenen Zertifikaten gew hlt werden die sich auf der Chipkarte befinden Die Anzahl der Zertifikate auf der Chip karte ist abh ngig von der Registration Authority die diese Karte brennt Wenden Sie sich zu weiteren Fragen bitte an Ihren Systemadministrator Auf den Chipkarten von Signtrust und NetKey
61. Subnet Nummer 9 Netzwerk subnet Host E Standard Masken Netzmaske f r Klasse A 255 0 0 O Netzmaske f r Klasse B 255 255 0 0 Netzmaske f r Klasse C 255 255 255 0 NCP engineering GmbH 181 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN D Reservierte Adressen Einige IP Adressen diirfen Ger ten eines Netzwerks nicht zugeordnet werden Dazu ge h ren die Netzwerk oder Subnet Adresse und die Rundsendungsadresse fiir Netzwerke bzw Subnets Netzwerk Adressen bestehen aus der Netzwerknummer und dem Host Feld das mit bin ren Nullen gefiillt ist z B 200 1 2 0 162 66 0 0 10 0 0 0 auch Loop Back es findet keine Ubertragung ins Netzwerk statt Die Rundsendungsadresse eines Netzwerks besteht aus der Netzwerknummer und dem Host Feld mit bin ren Ein sen z B 200 1 2 255 162 66 255 255 10 255 255 255 daher auch All One Broadcast alle Stationen eines Netzwerks werden adressiert Beispiel 198 10 2 255 adressiert alle Stationen im Netz 198 10 2 29393 299 293 299 adressiert alle Stationen in allen angeschlossenen Netzen 0 0 0 0 All Zero Broadcast Ung ltige Adresse Bitte beachten Sie dass diese Adresse oft f r Standard Einstellungen benutzt wird 7 1 4 Zum Umgang mit IP Adressen O Jede IP Adresse im unternehmensweiten Netz sollte nur einmalig vorhanden sein Be achten Sie dies bei Internet Anschluss und Anschluss neuer Netze O Benutzen Sie ein nachvollziehbar logisches Schema bei der A
62. aktivieren Die Firewall kann auch bei gestopptem Client aktiv sein wenn diese Funktion selek tiert wird In diesem Zustand wird jedoch jede ein und ausgehende Kommunikation unterbunden so dass keinerlei Datenverkehr m glich ist solange der Client deaktiviert ist Wird oben genannte Funktion nicht genutzt und der Client gestoppt so wird auch die Firewall deaktiviert 82 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR UDP Pre Filtering In der Standardeinstellung werden bei gestartetem Client unabh ngig von der Fire wall UDP Pakete ausgefiltert so dass eine Verbindung von au en zum Client PC nicht m glich ist Ist auf dem Client PC eine Anwendung mit Server Funktion gestartet die auf UDP Datentransfer basiert wie z B Terminalanwendungen oder NTP kann sich diese Standardeinstellung st rend auf die Datenkommunikation auswirken Daher kann diese Standardeinstellung ausgeschaltet oder auf die UDP Pakete unbekannter Netze beschr nkt werden immer Standardeinstellung In dieser Schalterstellung gelangen bei gestartetem Client keine UDP Pakete auf den Client PC nur bei unbekannten Netzen In dieser Schalterstellung wirkt der UDP Filter nur auf Pakete die ber Adapter unbekannter Netze eintreffen aus Wird der Filter ausgeschaltet gelangen alle UDP Pakete auf den Client PC Diese Einstellung sollte nur verwendet werden wenn Probleme mit einer Anwendung auftre ten HotSpot Anmeldung f r externe Dialer
63. aus Deiner Titelzeile mit Am 1 NCP Secure Entry Client El E pelanzeige Verbindung Konfiguration Log Fenster Hilfe I der Hauptmen ileiste O der Profilauswahl mit einem Feld f r die Amtsholung Zielsystem Amtsholung Zentrale NS LJ dem grafischen Statusfeld zur Anzeige des Verbin dungsstatus O Das Feld mit der Anzeige z Feldst rke 60 d EAN der Signalst rke wird nur f r mamm A LJ die Verbindungsarten UMTS Gering Hoch SUPPORT_TEHOTSPOT IGPRS WLAN ge ffnet O der Buttonleiste mit Ver Liege NC binden und Trennen O und einem Statistikfeld Statistik Werbindungsze t 00 00 12 Timeout sec 0 Daten Tx in Byte 0 Richtung out Daten Rx in Byte 0 Werbindungsart WLAN Durchsatz KB s 0 000 Verschl sselung 4ES 128 Die Benutzeroberf che ist Windows konform gestaltet und der Bedienung anderer Windows Anwendungen angepasst Die Bedienung erfolgt ber die Pulldown Men s der Men leiste ber die Buttons der Buttonleiste oder ber das Kontextmen rechte Maustaste 40 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 3 1 2 Das Erscheinungsbild des Monitors Je nach gew hlter Einstellung im Monitor Menu Fenster erscheint der Monitor nach Ausblenden seiner Bestandteile siehe weiter unten gt Fenster in verschiedenen Gr Ben Das Verbindungsmedium l sst sich im Statistikfeld Verbindung Konfigur
64. darf im Feld f r die ID keine IP Adresse eingetragen sein Nur dann ist gew hrleistet dass die jeweils aktuelle ffentliche IP Adresse automatisch zur Identifikation f r Phase 1 an das Gateway bertragen wird NCP engineering GmbH 195 SECURE ENT CLIENT BEISPIELE UND ERKLARUNGEN 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr Bitte beachten Sie dass der IPSec Client exklusiven Zugriff auf den UDP Port 500 be n tigt Sofern NAT Traversal eingesetzt wird wird auch Zugriff auf Port 4500 ben tigt Ohne NAT Traversal wird das IP Protokoll ESP Protokoll ID 50 benutzt Standardm ig wird der Port 500 der f r den Verbindungsaufbau genutzt wird unter Windows Systemen von den IPSec Richtlinien genutzt Um dies zu ndern gehen Sie wie folgt vor 1 Um sich zu vergewissern F gt netstat n a welche Ports aktuell von Ih S t tzt Aktive Verbindungen rem gt em genu Z Proto Lokale Adresse Remoteadresse Status werden k nnen Sie unter rE gpeg ARE der MS DOS Eingabe TCP Z ABHOREN TCP 8 8 8 8 ABH REN aufforderung mit dem ICP 172 16 8 0 0 0 ABH REN ICP 172 16 62 153 165 34 21 HERGESTELLT Kommando UDP 8 8 xix tstat n a UDP 808 Ris pee un SS DP HEHE den aktuellen Netzstatus Se anzeigen lassen In der E RE Se UDP 17 Pe Abbildung rechts erken UDP 172 16 113 149 137 Ris UDP 172 16 113 140 138 nen Sie dass der UDP UDP 172 16 113 148 1998 x Port 500 genu
65. die Datenmenge an die gesendet out und empfangen in wird Die Gesamtmenge Total und die nach Protokoll unterschiedenen Datenmnegen wer den in Bytes angezeigt 1 Byte 1 Zeichen 4 1 6 Verf gbare Verbindungsarten Dieses Fenster dient ausschlie lich der Benutzerinformation ber die zur Verf gung Aore Fl stehenden Verbindungs DSL PPPoE arten und das aktuell umTS GPRS genutzte Medium Sind ISDN CAPI ist nicht installiert wechselweise unter Modem schiedliche Verbindungs v arten genutzt so erkennt der Client automatisch welche Medien aktuell zur Verf gung stehen und w hlt davon das schnellste aus Die zur Verf gung stehenden Verbindungsarten werden mit gelber Signallampe darge stellt die ausgew hlte Verbindungsart mit einer gr nen Mit der Checkbox kann eingestellt werden dass dieses Fenster bei automatischer Me dienerkennung selbst ndig aufgeblendet wird wenn der Verbindungsaufbau fehlge schlagen ist Das Fenster wird auch dann am Bildschirm eingeblendet wenn der Client Monitor minimiert ist Hinter der genutzten Medienart wird der Fehler bezeichnet Zur Konfiguration der automatischen Medienerkennung beachten Sie in den Profil Ein eS stellungen das Parameterfeld Grundeinstellungen O NCP engineering GmbH 33 SECURE ENTRY CLIENT CLIENT MONITOR 4 1 7 Zertifikate Im Pulldown Men Verbindung finden Sie den Men punkt Zertifi
66. diese Mrs WLAN Konfiguration aktiviert so muss das Management Tool der WLAN Karte deaktiviert werden Alternativ kann auch G SE das Management Tool der G Groe EN Nein spe WLAN Karte oder das in sien im per Gil Microsoft Tool genutzt werden dann m ssen die jeweils nicht eingesetzten Tools deaktiviert werden WLAN ZD1211 802 11b g Wireless LAN Microsoft s Packet Scheduler Adapter Sofern ein WLAN Adapter installiert ist wird dieser angezeigt NCP engineering GmbH 85 SECURE ENTRY CLIENT CLIENT MONITOR WLAN Netze Nach einem automatischen Scan Vorgang von wenigen Sekunden der manuell auch mit dem Button Scannen ausgel st werden kann werden die derzeit verf gbaren Net ze mit den Daten zu SS ID Feldst rke Verschl sselung und Netzwerktyp angezeigt In einem zugeh rigen Profil m ssen diese Werte entsprechend konfiguriert werden SS ID Der Name f r die SS ID Standard Security wird vom Netz Feldst rke betreiber vergeben und unter dem grafischen Feld des Moni Verschl sselung tors im WLAN Panel ebenso angezeigt wie die Feldst rke Netzwerktyp Bild unten Die SS ID wird nach einem Doppelklick auf das zu w hlende Netz z B WLAN automatisch in ein WLAN Profil f r diesen Adapter bernommen wenn zu die sem Netz noch kein Profil erstellt wurde siehe unten gt WLAN Profile Allgemein Feldst rke 60 N o man CC Ess A A Gering Hoch i SUPPORT_TEHOTSPOT E WLAN Profile
67. einem Zielsystem in der Profil Einstellungen unter Verbindungsaufbau im Parameterfeld Line Management Automatischer Verbindungsaufbau Im Unterschied zu Microsoft RAS bei dem jedes Ziel manuell angew hlt werden muss arbeitet die Client Software nach dem Prinzip der LAN Emulation Dabei ist es ledig lich erforderlich die entsprechende Applikations Software zu starten Email Internet Browser Terminal Emulation etc Die Verbindung wird dann entsprechend den Pa rametern des Zielsystems automatisch aufgebaut und gehalten Manueller Verbindungsaufbau Daneben ist es auch m glich manuell die Verbindung zu einem ausgew hlten Ziel her zustellen indem Sie im Monitor Verbindung anklicken und Verbinden w hlen Wechselnder Verbindungsaufbau Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut wer den Danach wechselt der Modus je nach Verbindungsabbau wie folgt Wird die Verbindung mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wieder manuell aufgebaut werden Verbinden Gleich wie die Verbindung aufgebaut wird der Monitor sofern er im Vordergrund sichtbar ist zeigt immer den Status des Verbindungsaufbaus wie in Abschnitt 3 1 6 Symbole des Verbindungsaufbaus beschrieben NCP engineering GmbH 171 SECURE ENTRY CLIENT VERBINDUNGSAUFB
68. erhalten die Adresse n von Ihrem Systemadministrator Bitte achten Sie ferner darauf da die IP Adresse des Gateways nicht im Bereich der e Netz Adresse liegt E Subnet Masken Hier tragen Sie die zugeh rige Netzmaske des IP Netzes ein Sie erhalten die Adres se n von Ihrem Systemadministrator Bitte achten Sie darauf da die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt E Auch lokale Netze im Tunnel weiterleiten Wenn der Datenverkehr des lokalen Netzes ber VPN Tunneling weitergeleitet werden soll so muss diese Funktion aktiviert werden NCP engineering GmbH 163 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 11 Zertifikats berpr fung Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung ben werden welche Eintr ge in einem Zertifikat der Gegenstelle Gateway vorhanden sein a Im Parameterfeld Zertifikats berpr fung kann pro Zielsystem des IPSec Clients vorgege m ssen siehe Eingehendes Zertifikat anzeigen Allgemein Siehe auch O Benutzer des eingehenden Zertifikats O Aussteller des eingehenden Zertifikats O Fingerprint des Aussteller Zertifikats O SHA1 Fingerprint verwenden O Weitere Zertifikats berpr fungen 164 O NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN m Benutzer des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gege
69. f r die Dom nen anmeldung kann bei Bedarf verl ngert werden Die SIM PIN muss nur dann eingegeben werden wenn sie in der Konfiguration des Zielsystems Profils im Parameterfeld Modem im Telefonbuch noch nicht NCP Secure Entry Client EN Bitte geben Sie die PIN der SIM Karte ein 3 Pin rd al eingegeben wurde oder die __ amp bbrechen abgespeicherte PIN nicht zur aktuell eingesetzten SIM passt Anhang Mobile Computing via GPRS UMTS A17 SECURE ENTERPRISE ENTRY CLIENT Anschlie end werden die Signale der Karte angezeigt nach der Netzsuche das gefundene Funknetz mit der jeweiligen Feldst rke NCP Secure Entry Client Feldst rke 66 Yerbindungsmedium Netz E EE UMTS z T Mobile D xl alternativen Netzen aktiviert so kann ein anderes Netz wie auch ein anderes Verbindungs medium manuell gew hlt werden Danach klicken Sie auf OK um in der Dom nenanmeldung fortzufahren Mit Lokal Anmelden brechen Sie den Dialog zur Dom nenanmeldung ab Wurde f r diese Verbindung die Nutzung eines Zertifikats Bitte geben Sie Ihre PIN ein konfiguriert muss an dieser Stelle dessen PIN eingege PIN sl ben werden Anschlie end klicken Sie Abbrechen auf OK NCP Secure Entry Client s Damit wird die Verbindung NCP Secure Entry Client hergestellt und ein Tunnel Verbindung ber GPRS UMTS in das Firmennetz der Zentrale hergestellt Verbindung ist h
70. gepr ft ob f r diesen neuen Benutzer ein Verzeichnis existiert Ist dies nicht der Fall z B bei fehlerhafter Schreibweise des VPN Benutzernamen scheitert die Anmeldung und der Benutzer wird zur erneuten Eingabe seines VPN Benutzernamen auf gefordert 0 Die Anmeldung wird dergestalt durchgef hrt dass nach einem Telefonbuch oder einem Soft Zertifikat f r diesen Be nutzer gesucht wird Wird nichts gefunden so erscheint im Log Fenster des Benutzer Monitors Konfiguration auf dem neuesten Stand Clients CheckInterval 86400 Das Update Intervall wird in Sekunden angegeben und ist bei Auslieferung auf einen Tag eingestellt 86400 Sekun den Das Update Intervall beschreibt die Zeitspanne nach der der Secure Client bzw der Dienst RWSRSU den Mana gement Server kontaktiert um zu prifen ob aktualisierte Dateien vorliegen A 44 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES BlockSize 20000 Die Blockgr e bezeichnet die maximale Gr e der zu ber tragenden Datenpakete in Byte Sie darf nicht gr er als 64 kByte 65536 sein Der Update Client gleicht seinen Wert der BlockSize bei jeder Verbindung mit dem Management Server ab Authentication Der komplette Konfigurationsabschnitt unter Authentication dient dem Rollout wenn zus tzlich ein LDAP Server zur Verf gung steht UseLdapAuthentication 1 0 LDAP Authentisierung wird nicht genutzt 1 LDAP Authentisierung w
71. gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie 152 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN E Name IKE Richtlinie Geben Sie dieser Richtlinie einen Namen ber den sie sp ter einer SPD zugeordnet werden kann el Authentisierung IKE Richtlinie Bevor der Kontrollkanal fiir die Phase 1 Verhandlung IKE Security Association auf gebaut werden kann muss beidseitig eine Authentisierung stattgefunden haben Zur gegenseitigen Authentisierung wird der allen gemeinsame pre shared Key stati scher Schl ssel verwendet Diesen Schl ssel definieren Sie im Parameterfeld Identi t t a Verschl sselung IKE Richtlinie Nach einem der optionalen Verschl sselungsalgorithmen erfolgt die symmetrische Ver schl sselung der Messages 5 und 6 im Kontrollkanal sofern der Main Mode Identity Protection Mode gefahren wird Zur Wahl stehen DES Triple DES Blowfish AES 128 AES 192 AES 256 E Hash IKE Richtlinie Modus wie der Hash Wert ber die ID bzw das Zertifikat der Messages im Kontroll kanal gebildet wird Zur Wahl stehen MD5 Message Digest Version 5 SHA Secure Hash Alogrithm SHA 256 SHA 384 und SHA 512 Bit m DH Gruppe IKE Richtlinie Mit der Wahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt wie si cher der Key Exchange im Kontrollkanal erf
72. haben Die Richtlinien erscheinen in der Box mit dem Namen den sie bei der Konfiguration verge ben haben Funktional unterscheiden sich zwei IPSec Richtlinien nach dem IPSec Sicherheitspro tokoll AH Authentication Header oder ESP Encapsulating Security Payload Da der IPSec Modus mit AH Sicherung f r flexiblen Remote Access v llig ungeeignet ist wird nur die IPSec Richtlinie mit ESP Protokoll ESP 3DES MD5 standardm ig vorkonfiguriert mit der Software ausgeliefert Jede Richtlinie listet mindestens einen Vorschlag Proposal zu IPSec Protokoll und Authentisierung auf siehe gt IPSec Richtlinie editieren d h eine Richtlinie besteht aus verschiedenen Vorschl gen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo L sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem Richtlinien Editor entfallen ESP 3DES MDS oder anderer Name Wenn Sie den Namen der vorkonfigurierten IPSec Richtlinie w hlen muss die gleiche Richtlinie mit all ihren Vorschl gen f r alle Benutzer g ltig sein Dies bedeutet dass sowohl auf Client als auch auf Server Seite die gleichen Vorschl ge f r die Richtlinien zur Verf gung stehen m ssen D Exch Mode Der Exchange Mode Austausch Modus
73. im sogenannten Schmal band ISDN besitzt drei bertragungskan le Kanal B1 64 000 bit sKanal B2 64 000 bit sKanal D 16 000 bit sDie Gesamt bertragungsrate betr gt 144 000 bit s Dieses Netz soll bis zum Ende die ses Jahrtausends europaweit einheitlich aufgebaut werden Die Spezifikationen hierf r werden von ITU und CEPT erarbeitet ISDN Adapter ISDN Adapter erm glichen den Anschluss von vorhandenen nicht ISDN f higen Endger ten an das ISDN Der Adapter bernimmt dabei die so wohl soft als auch hardwarem ige Anpassung der Endger teschnittstelle an die ISDN Schnittstel le So Ein ISDN Adapter mit Upo Schnittstelle erm glicht an ISDN TK Anlagen die Umsetzung der ISDN Zweidraht Schnittstelle Upo Reichwei te ca 3 5km auf die busf hige ISDN Vierdraht Schnittstelle So Reichweite ca 150m nach den Richtlinien der Telekom ISP Internet Service Provider NCP engineering GmbH 209 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Kryptographie Anwendungen sind Verschl sselung elektronische Signatur Authentifikation und Hash Wert Berech nung Mathematische Verfahren die mit Schl ssel verwendet werden LCP Link Control Protocol LDAP Lightweight Directory Access Protocol siehe Di rectory Service MAC Adresse Medium Access Control Layer Adresse Physikali sche Adresse im Netzwerk MIB Management Information Base Beschreibt die Struktur der Managementinformationen beim SNMP MDS5 Message Digit
74. in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netzwerkkarte ben tigt Netze xDSL Gegenstellen Access Router im xDSL _ Bitte beachten Sie dass je nach gew hlter Verbindungsart die daf r erforderliche Hard L ware und ggf die Treiber dazu installiert sein m ssen GPRS UMTS Dieses Einwahlmedium w hlen Sie wenn die Einwahl ber das Mobilfunknetz GPRS oder UMTS erfolgen soll Beachten Sie dazu den Hinweis unter den Installationsvor aussetzungen zu Analoges Modem PPTP Microsoft Point to Point Tunnel Protocol Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL 132 O NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN WLAN Hardware WLAN Adapter Netze Funknetz Gegenstellen Access Point E Unter Windows 2000 XP Vista kann der WLAN Adapter mit der Verbindungsart L WLAN betrieben werden Im Monitormen erscheint eigens der Men punkt WLAN Einstellungen worin die Zugangsdaten zum Funknetz in einem Profil hinter legt werden k nnen Wird diese WLAN Konfiguration aktiviert so muss d
75. machen Dies kann dann sinn voll sein wenn der Aebeitsplatz vor bergehend verlassen wird oder wenn der Benutzer gewechselt wird Danach muss erneut eine g ltige PIN eingegeben werden um eine Authentisierung durchf hren zu k nnen O PIN Status im Client Monitor Wurde die PIN bereits eingegeben erscheint im Monitor die Einblendung PIN mit ei nem gr nen Haken Wurde die PIN noch nicht korrekt eingegeben fehlt das Symbol siehe oben Statusanzeigen a PIN Eingabezwang nach Abmeldung oder Sleep Mode Wird unter den Betriebssystemen Windows NT 2000 XP der Benutzer gewechselt wird der PIN Status zur ckgesetzt und die PIN muss erneut eingegeben werden Wechselt der Computer in den Sleep Modus wird ebenfalls der PIN Status zuriickgesetzt D Anzeige der Meldungen des ACE Servers f r RSA Token Werden vom ACE Server auf Grund des RSA Tokens Nachrichten versendet werden diese am Monitor in einem Eingabefeld angezeigt z B Ablauf der g ltigen PIN 62 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 1 10PIN ndern EEE ll Unter diesem Men punkt kann die PIN fiir eine Smart Card oder ein Soft Zertifikat ge ndert werden wenn vorher die richtige PIN eingegeben wurde siehe PIN eingeben Ohne die vorherige Eingabe einer g ltigen PIN wird dieser Men punkt nicht aktiviert Aus Sicherheitsgr nden um die PIN nderung nur f r den authorisierten Benutzer zuzulassen muss nach ffn
76. mit den Betriebssystemen Mi crosoft Windows 2000 Windows XP oder Windows Vista installiert werden Halten Sie f r die Dauer der Installation unbedingt die Datentr ger CD oder Disketten f r das jeweils im Einsatz befindliche Betriebssystem bereit um Daten f r die Treiberda tenbank des Betriebssystems nachladen zu k nnen Zielsystem Die Parameter f r das Zielsystem werden ber die Profil Einstellungen eingegeben Entsprechend der m glichen Verbindungsarten des Clients muss das Zielsystem eine der folgenden Verbindungsarten unterst tzen ISDN PSTN analoges Modem LAN over IP oder PPP over Ethernet Lokales System Eines der folgenden Kommunikationsger te und der entsprechende Treiber muss auf dem Client PC installiert sein D ISDN Adapter ISDN Der ISDN Adapter muss die ISDN CAPI 2 0 unterst tzen Wenn Sie PPP Multilink nutzen kann die Software bis zu 8 ISDN B Kan le je nach Kanalanzahl des Adapters b ndeln Jeder ISDN Adapter der die ISDN Schnittstelle CAPI 2 0 unterst tzt kann eingesetzt werden Die CAPI wird mit der Installation des Adapters eingerichtet D Analoges Modem Modem F r die Kommunikation ber Modem muss das Modem korrekt installiert sein sowie Modem Init String und COM Port Definition zugewiesen sein Das Modem muss den Hayes Befehlssatz unterst tzen Ebenso k nnen Mobiltelefone f r die Datenkommunikation genutzt werden nachdem die zugeh rige Software installiert wurde die sich f
77. p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revo cation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Extensions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung O extendedKeyUsage O subjectKeyldentifier O authorityKeyldentifier 38 O NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Anzeige der Erweiterungen Extensions Um sich die Erweiterungen eines eingehenden oder CA Zertifikats anzeigen zu lassen kann wie folgt vorgegangen werden Das CA Zertifikat dessen Erweiterungen angezeigt werden sollen muss mit einem Doppelklick im Fenster f r CA Zertifikate siehe oben ge ffnet werden Damit wird nebenstehendes Anzeigefeld mit den allgemeinen Daten General ge ffnet F r das jeweils eingehende Zertifikat wird dieses Feld bereits ge ffnet nachdem Eingehendes Zertifikat anzeigen im Zertifikats Men gew hlt wurde Das Ansichtsfeld Subject Key Identifier 24 4E 60 BF D1 F9 63 F6 14 4F CF 35 1D FD B5 5 Authority Key Identifier Key 24 AE 50 BF D1 F9 63 F6 14 AF CF 35 1D FD B5 General zelgt die Authority Key Identifier Serial Numbe
78. s s s s soe woe EN e a e A21 Anhang Mobile Computing via GPRS UMTS A3 SECURE ENTERPRISE ENTRY CLIENT Diese Seite ist frei f r Notizen A4 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT 1 Mobile Computing via GPRS UMTS Wird eine Multifunktionskarte f r UMTS GPRS WLAN eingesetzt so k nnen mit der NCP Client Software spezielle Features des Mobile Computings unter Einbeziehung der Karteneigenschaften genutzt werden Aufgrund der direkten Unterst tzung der Multifunktionskarte f r UMTS GPRS WLAN durch den Secure Client kann die Installation einer Management Software von der ein gesetzten Karte entfallen Der NCP Secure Client vereint alle kommunikations und sicherheitstechnischen Me chanismen f r eine wirtschaftliche Datenkommunikation auf Basis des Ende zu Ende Sicherheitsprinzips Der Client Monitor verf gt ber optische Anzeigen aller Verbin dungsstati der Feldst rke des selektierten Netzes und Providers Auch die integrierte dynamische Personal Firewall ist optimiert f r Remote Access und sch tzt den mobilen Telearbeitsplatz bereits bei Systemstart gegen jegliche Angriffe und garantiert ein Ma ximum an Sicherheit auch w hrend der automatischen Hotspot Anmeldung Die VPN Verbindung wird unabh ngig vom Microsoft DF Netzwerk ber den integrierten NCP Dialer aufgebaut derzeit unterst tzte Multifunktionskarten T Mobile Multimedia NetCard Vodafone Mobile Connect Card
79. so wird hier das Shared Secret fiir den Primary Server ein getragen Diese Konfiguration wird unter Windows vor dem Start des Management Servers im Windows Startmen unter NCP Management Server Configuration vorge nommen siehe Bild oben DeletePKCS12 0 AfterDownload Standard 0 nach einem Download wird das Soft Zertifikat aus der Datenbank gel scht 1 Das Zertifikat wird nicht gel scht A 42 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES LogTraceLifetime 2 Anzahl in Tagen bis die Log Eintr ge gel scht werden LogLevel 9 m gliche Werte 0 9 Mit dem Wert wird die Tiefe der Analyseebene f r die Log Datei bestimmt Logfile ncprsu Der Dateiname der Log Datei ncprsu log LogPath log Das Verzeichnis unterhalb des Installationsverzeichnisses worin sich die Log Datei befindet lt Installationsverzeich nis gt log ncprsu log LogFileSize 2000000 Dieser Parametereintrag ist optional Wird die hier in Bytes angegebene Gr e der Log Datei Standard 2000000 erreicht so wird die aktuelle Log Da tei nach lt name gt old umbenannt eine vorherige lt name gt old wird gel scht UseDefaultPhonebook 0 Durch diesen Schalter f r die Telefonbuchauswahl kann festgelegt werden ob alle Benutzer ein einheitliches Tele fonbuch oder jeder ein individuelles vom Management Serv er zur Verf gung gestellt bekommen UseDefaultPhonebook 0 jeder Benutzer
80. stellige PIN Aus Sicherheitsgr nden werden 8 Stellen empfohlen Weitere Richtlinien Es wird empfohlen alle PIN Richtlinien einzusetzen au er der dass nur Zahlen enthal ten sein d rfen Zudem sollte die PIN nicht mit einer Zahl beginnen Die vorgegebenen Richtlinien werden eingeblendet wenn die PIN ge ndert wird und die Richtlinien die bei der Eingabe erf llt werden werden gr n markiert siehe gt PIN ndern el Zertifikatsverl ngerung El In diesem Konfigura tionsfeld kann eingestellt werden ob und wie viele Tage vor Ablauf der Giil tigkeit des Zertifikats eine Meldung ausgege ben werden soll die vor dem Ablauf der G ltig keit warnt Sobald die eingestellte Zeitspanne vor Ablauf in Kraft tritt wird bei jeder Zertifikats verwendung eine me ox TL ac Meldung aufgeblendet die auf das Ablaufdatum des Zertifikats hinweist Benutzer Zertifikat PIN Richtlinie Zertifikatsverl ngerung 20 Tage vor Zertifikatsablauf Warnung anzeigen NCP engineering GmbH 95 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 6 Verbindungssteuerung Konfiguration E Externe Anwendungen ber dieses Konfigurationsfeld k nnen in Abh ngigkeit vom Client Monitor Anwendungen oder Batch Dateien gestartet werden Die externen C Programme windows NT w postcon Anwendungen werden wie unten beschrieben eingef gt Die Reihenfolge ihres Aufrufs von oben nach unten kann mit den gr nen Pfeiltasten ver ndert w
81. tiert werden Um eingehende Zertifikate bei der HTTP Authentisierung berpr fen zu k nnen muss im Script die Variable CACERTDIR gesetzt worden sein Desweiteren k nnen auch In halte des WEB Server Zertifikats berpr ft werden Hierzu stehen weitere Variablen zur Verf gung CACERTVERIFY SUBJECT berpr ft den Inhalt des Subjects z B cn WEB Server 1 CACERTVERIFY ISSUER berpr ft den Inhalt der Issuers CACERTVERIFY_FINGERPRINT berpr ft den MDS Fingerprint des Aussteller Zertifiats Stimmt der Inhalt der Variable mit dem eingegebenen Zertifikat nicht berein wird die SSL Verbindung nicht hergestellt und eine Log Meldung im Monitor ausgegeben 140 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 4 Modem Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Modem l Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung VPN IP Netze Zertifikats berpr fung Link Firewall Dieses Parameterfeld erscheint ausschlie lich wenn Sie als Verbindungmedium Modem gew hlt haben Alle n tigen Parameter zu dieser Verbindungsart sind hier gesammelt Parameter O Modem O Anschluss O Baudrate L Com Port freigeben O Modem Init String O Dial Prefix O APN O SIM PIN NCP engineering GmbH 141 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN D Modem Dieses Parameterfeld zeigt die auf dem PC installierten Modems W hlen Sie aus der L
82. und das nicht gespeicherte Passwort f r die Netzein wahl bereits vor dem Pass wort f r das Windows Logon eingeben werden Logon Optionen Anhang Mobile Computing via GPRS UMTS A 19 SECURE ENTERPRISE ENTRY CLIENT Beachten Sie desweiteren Aktivieren Sie diesen Dialog nicht so findet die Passwort und PIN Abfrage fiir das Client Logon erst nach dem Windows Logon statt Findet der Verbindungsaufbau vor dem Windows Logon statt erfolgt die Anmeldung an der remote Dom ne bereits verschl sselt Wenn Sie die Logon Option mit R ckruf nutzen muss Verhandle PPP Callback akti viert werden siehe gt Ruckruf Nach jeder nderung der Logon Optionen im Monitor muss der Rechner gebootet wer den Diese Funktion kann nur mit Administratorrechten aktiviert werden A 20 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT 5 Log Dateien Ist eine Multifunktionskarte f r UMTS GPRS installiert wird eine Log Datei mit fol genden Spalten ins Log Verzeichnis des Secure Clients geschrieben 1 Spalte Zeit 2 Spalte Aktuelle Feldst rke 3 Spalte Durchschnittliche Feldst rke der letzten Minute 4 Spalte Durchschnittliche Feldst rke der letzten 5 Minuten 5 Spalte Durchschnittliche Feldst rke der letzten 10 Minuten 6 Spalte Aktueller Netztyp UMTS oder GPRS 7 Spalte Aktuelles Netz Alle 10 Sekunden wird ein Eintrag erstellt jedoch nur alle 5 Minuten die Eint
83. von T Mobile SIM PIN AT Befehl Bei Verwendung einer GPRS UMTS Karte muss der jeweils spezifische AT Befehl eingegeben werden Dieses Kommando AT CPIN ist Standard und bewirkt dass die SIM PIN richtig erkannt wird SIM PIN Benutzen Sie eine SIM Einsteckkarte f r GPRS oder UMTS so geben Sie hier die PIN f r diese Karte ein Benutzen Sie ein Handy so muss diese PIN am Mobiltelefon eingegeben werden A12 Anhang Mobile Computing via GPRS UMTS SECURE EN Telefonbuch L2Sec Test Selektieren Sie das Parameterfeld Security Verbindungssteuerung R ckruf Tume Pa GIC Te Netzeinwahl Modem i Verbindungssteuerung e Ri instellungen Tunnel Parameter VPN IP Netze IPSec Optionen HA Unterst tzung DNS WINS Zertifikats berpr fung Link Firewall Security Modus Benutzen Sie f r die Testverbindung keinen Security Modus W hlen Sie Nicht benutzen und klicken Sie anschlie end auf OK Speichern Sie die Telefonbucheinstellungen und ffnen Sie anschlie end den Monitor Anhang Mobile Computing via GPRS UMTS A13 SECURE ENTERPRISE ENTRY CLIENT 3 Der Monitor NCP Secure En lolx Verbindung Konfiguration Log Fenster Hilfe Amtsholung ee Zielsystem rennen Statistik Werbindungszeit 00 00 00 Daten Tx in Byte 0 Daten Rx in Byte 0 Durchsatz KB s 0 000 Timeout sec 0 Richtung Verbindungsart GPRS U
84. wenn die WLAN Konfiguration wie oben beschrieben aktiviert wurde In diesem Fall wird die hier eingetragene Konfiguration in die Microsoft Konfiguration der Netzwerkverbindungen bernommen Siehe dort gt Netzwerkverbindungen Eigenschaften von Internetprotokoll TCP IP NCP engineering GmbH 87 SECURE E WLAN Profile CLIENT MONITOR Authentisierung In diesem Fenster k nnen die Zugangsdaten f r eine automatische Anmeldung am HotSpot eingetragen werden Diese Benutzerdaten werden nur f r dieses WLAN Profil verwendet Die Authentisierung kann durch Eintragen von Benutzername und Passwort in die Eingabemaske des HotSpot Betreibers erfolgen oder ber Script Das Script automatisiert die Anmeldung beim HotSpot Betreiber Beachten Sie dabei dass die Verbindung ber einen HotSpot Betreiber geb hrenpflich tig ist Sie m ssen den Gesch ftsbedingungen des HotSpotbetreibers zustimmen wenn die Verbindung aufgebaut werden soll Statisik Status SS ID Feldst rke dBm Feldst rke Geschwindigkeit BSSID MAC Addi Netzwerktyp Verschl sselung Authentisierung Algorithmus Unterst tzte Haten Benutze DHCP IP Adresse Subnetzmaske Standardgateway 1 DNS Server 2 DNS Server Verbindungsaufbau neptest2003 65 dBm 72 11 0 Mbps 00 0e 84 83 62 19 Infrastrukture WEP Open System WEP 2 4420 GHZ 7 54 48 36 24 18 12 9 641 Ein
85. wird in den Profil Einstellungen unter IPSec Ein stellungen Gateway angegeben gt Authentisierung am VPN Gateway Die n tigen Parameter befinden sich in den Profil Einstellungen unter Identit t Ver wendet wird immer Extended Authentication XAUTH Benutzername und Passwort werden entweder aus der Konfiguration unter diesem Parameter oder aus einem Zertifi kat ausgelesen Ein zu verwendendes Zertifikat wird im Monitor Men unter Konfigu ration Zertifikate konfiguriert wobei das Aussteller Zertifikat des anzuw hlenden Gateways mit dem Benutzer Zertifikat zusammenpassen muss A Verschl sselung Zur Verschl sselung dient entweder ein Pre shared Key oder der Private Key aus einem Zertifikat Beide Alternativen werden in den Profil Einstellungen unter Identit t ein gestellt Wird der Pre shared Key verwendet muss das Shared Secret hier eingetra gen werden Wird der Pre shared Key nicht verwendet wird automatisch das Zertifi kat benutzt Welche Verschl sselung benutzt werden muss gibt das Gateway vor Kompression Kompression wird nur genutzt wenn sie auch vom Gateway unterst tzt wird Einge stellt wird sie in den Profil Einstellungen unter Erweiterte IPSec Optionen IP Kom pression verwenden NOP engineering GmbH 47 SECURE ENTRY CLIENT CLIENT MONITOR 4 Monitor Bedienung Diese Beschreibung folgt den Men punkten in der Men leiste Die Hauptmen punkt
86. zur HotSpot Anmeldung Folgende Einstellungen sind m glich Standard Browser f r HotSpot Anmeldung verwenden ist die Standardeinstellung Wird der Haken in der Checkbox entfernt kann ein anderer Browser angegeben werden in der Form PROGDIR Mozilla Firefox firefox exe Der alternative Browser kann speziell f r die Anforderungen am HotSpot konfiguriert werden D h es wird kein Proxy Server konfiguriert und alle aktiven Elemente Java Javascript ActiveX werden deaktiviert Der alternative Browser ist nicht Bestandteil der Client Software Dar ber hinaus kann der MD5 Hash Wert der Browser Exe Datei ermittelt und in das Feld MD5 Hash eingetragen werden Auf diese Weise wird si chergestellt dass nur mit diesem Browser eine HotSpot Verbindung zustande kommt Unter Startseite Adresse wird die oben beschriebene Startseite eingegeben in der Form http www mycompagnie de error html 4 2 12 Profil Sicherung Existiert noch kein gesichertes Profil zum Beispiel bei einer Erstinstallation so wird automatisch ein erstes angelegt NCPPHONE SAV D Erstellen Nach jedem Klick auf den Men punkt Erstellen wird nach einer Sicherheitsabfrage eine Profil Sicherung angelegt die die Konfiguration zu diesem Zeitpunkt enth lt Wiederherstellen Nach jedem Klick auf Wiederherstellen wird die letzte Profil Sicherung eingelesen nderungen in der Konfiguration die seit der letzten Profil Sicher
87. 1 Euro p isches ISDN Protokoll f r den D Kanal DUA Directory User Agent ECP Eneryption Control Protocol ESP Encapsulating Security Payload RFC 2406 Euro ISDN ITU Standard f r Europ isches ISDN bezieht sich auf das D Kanal Protokoll DSS1 und m gliche Dienstmerkmale wie Geb hrenanzeige Advice of Charge R ckruf bei Besetzt Completion of Calls to Busy Subscriber Rufumleitung Call Forwar ding Anklopfen Call Waiting etc Im Euro ISDN mit dem D Kanal Protokoll DSS1 werden einzelne Endger te mit der Multible Subscriber Number MSN adressiert Firewall Trennt Public Netz von Private Netz Schutzme chanismus in Netzen der den Zugriff der Stationen regelt Ein Firewall Rechner schottet ein Netzwerk 206 NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE vor allem WAN seitig gegen unautorisierten Zu griff ab Die Berechtigung kommender und abge hender Verbindungen wird zum Beispiel geregelt durch Herausfiltern bestimmter Netzteilnehmer und Netzdienste und Festlegung der Zugriffsbe rechtigungen Vom WAN aus betrachtet stehen hinter der Firewall in der DMZ f r gew hnlich Web Server Email Server und VPN Server FTP File Transfer Protocol Basiert auf TCP und dem Terminalprotokoll TELNET Port 21 GPRS Standard f r schnelle Handy Kommunikation GRE Generic Router Encapsulation CISO Spezifisches Tunnel Protokoll GSM Global System Mobile Standard f r Handy Kom munikation Ha
88. 11 DLL Name der DLL Slotindex M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Verbindung Zertifikate gt Konfiguration gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser oder Token 26 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION 2 2 Installation der Client Software sicherung nur noch f r die Windows Betriebssysteme Windows 2000 Windows XP und Windows Vista getestet F r Windows NT sowie Windows 98 oder lter kann so mit keine Gew hr mehr f r die volle Funktionsf higkeit der Client Software bernom men werden 1 Die vorliegende Version und k nftige Versionen des Clients werden von der Qualit ts R Sie k nnen die Software in Form einer EXE Datei als Download von der NCP Inter Us netseite unter www ncp de beziehen Die Installation erfolgt f r die Betriebssysteme Windows 2000 XP und Vista im Wesentlichen gleich Installation und Lizenzierung Der NCP Secure Entry Client wird zun chst immer als Testversion installiert Haben Sie eine Lizenz erworben so k nnen die Lizenzierungsdaten nach der Installation und einem Reboot im Monitor Men Hilfe Lizenzinfo und Aktivierung eingegeben wer den Sp testens in den letzten 10 Tagen vor Ablauf der 30 t gigen G ltigkeitsdauer der Testversion werden Sie im Client Monitor daran erinnert dass eine Lizenzierung vorgenommen werden muss wenn die Client Software weiter verwen
89. 27 sowie insbesondere die Nutzung der neuen Features kostenfrei Die neuen Features k nnen ohne Aktivierung durch einen 8 2x Lizenzschl ssel genutzt werden sobald die neue Software installiert wurde Ein Service Release beinhaltet unter anderm Bugfixes eine Erweiterung der Hardware Unterst tzung und Kompatibilit tserweiterungen 4 7 1 Software Updates Assistent f r Software Updates zl Nachdem Sie den Men punkt Auf Updates pr fen selektiert haben erhalten Sie das nebenstehende Fenster Um auf neue Updates pr fen zu k nnen ben tigen Sie eine Verbindung ins Internet Soll der Entry Client zum Verbindungsaufbau ins Internet genutzt werden so ist darauf zu achten dass bei aktivierter Firewall der Port 80 f r HTTP freigeschaltet ist Willkommen beim Assistent f r Software Updates Soll nach verf gbaren Software Updates gesucht werden NCP engineering GmbH 125 SECURE ENT CLIENT LIZENZIERUNG amp j Sollte ein Proxy Server im Betriebssystem konfiguriert sein k nnen diese E Konfigurierter Proxy Server des lEs verwenden Einstellungen bernommen werden Proxy Server 6215316541 Wenn die Proxy Einstellungen korrekt Poti B0 OO konfiguriert sind klicken Sie auf OK Der Assistent sucht nun ber die e L Internet Verbindung nach neu verf gbaren Software Updates Steht ein Software Update zur Suche nach Software Updates e N e Assistent sucht nach aktuelle Software Up
90. 5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2406 IP Encapsulating Security Payload ESP RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol ISAKMP RFC 2409 The Internet Key Exchange IKE RFC 3947 Negotiation of NAT Traversal in IKE RFC 3498 UDP Encapsulation of IPSEC ESP packets DRAFT Draft beaulieu ike xauth 05 XAUTH DRAFT Draft dukes ike mode cfg 02 IKECFG DRAFT Draft ietf ipsec dpd 01 DPD DRAFT Draft ietf ipsec nat t 1ke 01 NAT T DRAFT Draft ietf ipsec nat t ike 02 NAT T DRAFT Draft ietf ipsec nat t ike 03 NAT T DRAFT Draft ietf ipsec nat t ike 05 NAT T DRAFT Draft ietf ipsec udp encaps 06 UDP ENCAP 20 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION 2 Installation Die Installation der Software f r Windows Systeme erfolgt komfortabel ber Setup Der Installationsablauf ist f r alle Versionen des IPSec Clients identisch Im folgenden ist die Installation f r Windows 2000 XP und Vista beschrieben Bevor Sie die Software installieren m ssen zur vollen Funktionsf higkeit die In stallationsvoraussetzungen wie im folgenden Kapitel beschrieben erf llt sein NCP engineering GmbH 21 SECURE ENTRY CLIENT INSTALLATION 2 1 Installationsvoraussetzungen Betriebssystem Die Software kann auf Computern min 128 MB RAM
91. 8 159 174 Benutzername HTTP Anmeldung 140 Betriebssystem 6 0 a a 8 win o 22 Blowiich u Sek a aan 54 153 Bluetooth sis 2 sus mn ee de 22 CA Certification Authority 56 CA gt Zertifik t o a Sa Ba AE er 58 CDP Certificate Distribution Point 2 2 22 60 Certification Authority 204 Chipk rtenleser s s su KEE EE sr 44 91 Client Logon s einer E AE ie Er 172 Com Pott srece 00 ur a A a G 142 Com Port freigeben ca sos ipa 2 paciia ne nn 142 connect bat 2 A 0 a weite era Ne a e a aa 97 Datendurchsat srs pedales WEEN re ea 54 Demilitarisi rte Zone 2 Zeien AE a a dr o 206 DF Dialer EE EE a byu EE ER 135 170 DH Gruppe IKE Richtlinie 153 DHCP n yoo ca a ea 31 Dial Prefix io pa de e a eren A 143 Dienst zur Erkennung der bekannten Netze 81 Diesen Telefonbucheintrag nach jedem Neustart 135 217 Diffie Hellman e dE 308 E 2 190 Directory Service se yee eo ra d aw EE E E d 205 disconnect Dat zu a o EN 97 DNS 4 2 2 ee een 206 DNS Server een er 161 Dom in N me ir ER ee ee ns 161 Dom nen Anmeldung 172 DPD Dead Peer Detection 156 161 194 Dynamische Linkzuschaltung 146 E EAP MPS bs 2 00 w AE et e dea e 98 EAP Authentisierung 44 147 EAP Authentisierung vor Zielauswahl durchf hren 101 E AP Optionen veis 4 DEE sw E G 98 147 EAPSStAatOs lt a EES a A gr 44 Einwahl am VPN Gateway
92. A A DZ SIM PIN eingeben o o s sa nm m nn 32 SIM PIN nden iaa 2 PUK Eingabe bd o EENEG e 4 1 5 Verbindungs deieren EENEG Verbindungszeit e 94 Timeout Y er te e e a ae d DA Kahn wu e a a a a er DA D rchsatz lt s s 42 4 20 0 ess ne Ae DA Multilink e 4 u 2 E88 00 amp ve ande a ae E Verbindungsmedium 94 Kompression SA Verschl sselung 94 Schl sselaustausch e A Rx und Tx Bytes ae in ae en ne a ee Ber 4 1 6 Verf gbare Verbindungsarten CR e En a ee ee aa A 4 1 7 Zertifikate ga a aa DO Aussteller Zertifikat anzeigen 20 Benutzer Zertifikat anzeigen 2 2 22 2 A Eingehendes Zertifikat anzeigen 22 22000 57 CA Zertifikate anzeigen css 38 Anzeige und Auswertung von Zertifikats Eiern ua e 2 Anzeige der Erweiterungen Extensions e 59 Auswertung der Erweiterungen Extensions 60 4 1 8 PIN eingeben oo e 301 Sicherung der PIN Bennie PA e e e 102 4 1 9 PIN zur cksetzen ada a a a 0 PIN Status im Client Monitos DEE o un n D PIN Eingabezwang nach Abmeldung oler Sleep Mode Ae e 62 Anzeige der Meldungen des ACE Servers f r RSA Token 62 4 1 10 PIN ndern e A a a 08 4 1 11 Verbininiessteiuc ine Statistik Ca a as 04 4 1 12 Sperre aufheben oo s sr r mor e e arac 64 4 1 13 Beenden des Monitors 2 2 2 2 nn m nn D 6 NCP engineering GmbH SECURE ENTRY CLIENT INHALT 4 2 Konfiguration E P a 00 4 2
93. AU D Client Logon Erfolgt das Client Logon am Network Access Server vor dem Windows Logon an der remote Dom ne indem die Logon Optionen genutzt werden siehe gt Monitor Logon Optionen so erfolgt der Verbindungsaufbau prinzipiell genau so wie oben unter Ver binden beschrieben Nach der Auswahl des Zielsystems wird mit Klick auf den OK Button der Verbin w hlen Sie Ihr Zielsystem aus H A dugsaufbau eingeleitet Zielsystem Zentrale X Amtsholung I Dom nen Anmeldung aktivieren Lokal anmelden Ein Klick auf diesen Button bricht den Dialog zum Verbindungsaufbau ab Lokal armelden Dom nen Anmeldung Mit dieser Option ist eine sichere WAN Dom nen Anmel aktivieren dung m glich auch wenn vorher keine ordnungsgem e Ab meldung erfolgte Die Anmeldung dauert einige Sekunden Diese Funktion wird nicht ben tigt wenn bei einem ord nungsgem en Herunterfahren Shut Down des Computers eventuell gemappte Laufwerke korrekt getrennt wurden Diese Option ist nur bei einem NT Server als Gegenstelle einsetzbar Wurde die Verwendung eines Soft Zerti fikats konfiguriert so muss zun chst die PIN eingegeben werden NCP Secure Entry Client PIN E oe NCP Secure Entry Client amp j Die weiteren Stationen des Verbindungs Zentrale aufbaus erfolgen genau so wie oben un ter Verbinden beschrieben VPN Einwahl Client Server Trennen Lokal anmeld
94. Adressen abgehender bzw Ziel IP Adressen eingehender Pake te unabh ngig vom lokalen Netzwerkadapter Eindeutige IP Adresse ist die f r den lokalen Netzwerkadapter definierte IP Adresse Sie kann je nach Ver bindung z B der Adresse der Ethernet Karte der WLAN Karte oder auch dem VPN Adapter zugeordnet sein Mehrere IP Adressen bezeichnet einen Adressbereich oder Pool Z B kann dies der IP Adress Pool sein aus dem die vom DHCP Server an den Client zugewiesene Adresse stammt Alle Ports erlaubt Kommunikation ber alle Quellports bei ausgehenden und Ziel Ports bei ein gehenden Paketen Eindeutiger Port Diese Einstellung sollte nur dann verwendet werden wenn dieses System einen Serv er Dienst zur Verf gung stellt z B Remote Desktop auf Port 3389 Mehrere Ports Diese Einstellung sollte nur dann verwendet werden wenn sich die lokalen Ports zu einem Bereich zusammenfassen lassen die von einemDienst ben tigt werden der auf diesem System zur Verf gung gestellt wird z B FTP Ports 20 21 76 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR D Firewall Regel Remote Auf dieser Registerkarte werden die Filter f r die remote IP Adres sen und IP Ports eingestellt Bei gesperrter Grundein stellung werden diejenigen Datenpakete von der Firewall nach au en durchgelassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigke
95. Bitte w hlen Sie einen Programmordner aus Setup f gt dem unten aufgefuhrtem Programmordner neue Symbole hinzu Sie k nnen einen neuen Ordnernamen eingeben oder einen vorhandenen Ordner aus der Liste ausw hlen Programmordner Worhandene Ordner anagement NCP Management Server E lt Zur ck Abbrechen INSTALLATION Standard Installationsver zeichnis ist Programme NCP SecureClient Unabh ngig von Standard oder benutzerdefinierter Installation k nnen Sie einen beliebigen Zielordner f r die Software w hlen wenn Sie Durchsuchen anklicken Dies ist insbesondere dann wichtig wenn der Benutzer keine Rechte auf das System Root Verzeichnis hat Bei Standard Installation ist das Setup mit diesem Fenster links abgeschlossen Nehmen Sie eine Benutzerdefinierte Installation vor so k nnen Sie weitere Einstellungen vornehmen Im folgenden Fenster der Benutzerdefinierten Installation bestimmen Sie den Programmordner f r die Client Software Standard ist NCP Secure Entry Client gt weiter n chste Seite 30 NCP engineering GmbH e Entry Clien stallShield Wizard xj Programm Icon NC SECURE COMMUNICATIONS U Sie k nnen das Programm Icon zum Starten des NCP Secure Entry Clients auf dem Desktop anzeigen lt Zur ck Abbrechen NCP Secu e Entry Client InstallShield Wizard x DHCP Einstellungen a SECURE COMMUNICANONS W
96. CURE ENTRY CLIENT PROFIL EINSTELLUNGEN m Verbindungsaufbau Hier definieren Sie wie die Verbindung zu einem im Telefonbuch eingetragenen Ziel system aufgebaut werden soll Drei Modi stehen zur Wahl default Dies bedeutet dass die Client Software die Verbin dung zum Zielsystem automatisch herstellt Das Trennen der Verbindung erfolgt je nach Protokoll Ihres Systems entspre chend den Anforderungen der Anwendung und den Einstel lungen im Telefonbuch In diesem Fall m ssen Sie die Verbindung zum Zielsystem manuell herstellen Ein Trennen der Verbindung erfolgt je nach eingestelltem Wert f r den Timeout Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut werden Danach wechselt der Modus je nach Verbindungsabbau Wird die Verbindung nun mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wie der manuell aufgebaut werden automatisch manuell wechselnd Wichtig Sollten Sie den Verbindungsaufbau auf manuell setzen so sollten Sie den Timeout aktivieren um den Verbindungsabbau zu automatisieren Andernfalls k nnten unn tige Verbindungskosten f r Sie entstehen O Timeout Mit diesem Parameter wird der Zeitraum festgelegt der nach der letzten Datenbewe gung Empfang oder Versenden verstreichen muss bevor automatisch ein Verbin dungsabbau erfolgt Der Wert
97. E ENTRY CLIENT CLIENT MONITOR m Profile Konfigurations Sperren Die Bearbeitungsrechte f r die Parameter in den Profil Einstellungen sind in zwei Sparten unterteilt Allgemeine Rechte Sichtbare Parameterfelder der Profile sy Allgemeine Rechte Konfigurations Sperren Die allgemeinen Rechte beziehen sich nur auf die Konfiguration der Profile Wird festgelegt Profile d rfen neu angelegt werden Profile d rfen konfiguriert werden bleibt jedoch ausgeschlossen so k nnen zwar mit dem Assistenten neue Profile definiert werden eine nachfolgende nderung einzelner Parameter ist dann jedoch nicht mehr m glich Sichtbare Parameterfelder der Profile Die Parameterfelder der Profil Einstellungen k nnen f r den Benutzer ausgeblendet werden Beachten Sie dass Parameter 1 71 eines nicht sichtbaren Feldes auch nicht konfiguriert werden k nnen 4 2 10 Profile importieren ber diese Funktion k nnen Profil Einstellungen vom Client eingelesen werden Diese Profil Einstellungen k nnen in Form einer INI Datei vom Zielsystem erstellt oder ma nuell editiert werden Im Installationsverzeichnis befinden sich dazu die Beispieldatei en IMPORT_D TXT und IMPORT_E TXT In den Beispieldateien sind auch Syntax und Parameterwerte beschrieben NCP engineering GmbH 103 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 11 HotSpot HotSpot Konfiguration J Unter diesem Men punkt erfolgt die Konfiguration
98. ES 192 AES 256 Unterst tzte asymmetrische Verschl sselungsalgorithmen Phase 1 2 DH 1 2 5 Diffie Hellmann RSA 190 O NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Unterst tzte Hash Algorithmen MD5 SHA I Zus tzliche Unterst tzung f r Phase 2 PFS Perfect Forward Secrecy IPCOMP LZS Seamless re keying In den Profil Einstellungen des IPSec Clients werden automatisch einige Standards ge setzt IKE Phase 1 Richtlinie Automatischer Modus IKE Phase 2 Richtlinie Automatischer Modus IKE Phase 1 Modus RSA Main Mode IKE Phase 1 Modus PSK Aggressive Mode Diese automatisch gesetzten Richtlinien und Verhandlungsmodi sind in den Profil Ein L stellungen konfigurierbar gehalten sodass sie anderslautenden Verbindungsanforderun gen entsprechend modifiziert werden k nnen Ge e O NCP engineering GmbH 191 SECURE ENT CLIENT BEISPIELE UND ERKLARUNGEN el Standard IKE Vorschl ge 1 Wenn fir die IKE Richtlinie der automatische Modus in den IPSec Einstellungen ge w hlt wurde und im Parameterfeld Identit t die Verwendung eines Pre shared Keys Ly nicht aktiviert wurde ohne Haken so werden an die Gegenstelle standardm ig fol l gende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer mit Zertifikat erfolgt Notation EA Encryption Algorithm Verschl sselung
99. Entry Client Win32 NCP Secure Entry CE Client und NCP Secure Entry Linux Client auf Anfrage O Einwahl ber alle ffentlichen bertragungsnetze O Kompatibilit t mit nahezu allen marktg ngigen VPN Gateways O Integrierte intelligente Personal Firewall O Schutz vor fremden Dialern 0190 und 0900 O D m nenanmeldung O Extendend Authentication XAUTH Support zur Authentisierung mittels USER ID Passwort und oder OTP O Internet Key Exchange Config Mode IKE CFG f r eine dynamische Zuweisung von IP Adresse DNS Server Windows Name Server und Domain Name O Dead Peer Detection DPD Konfiguration bei Tunnel Failover Benutzerkonfigurierba re Zeitintervalle bei DPD Vorf llen zur flexibleren Kontrolle f r die Wiederherstellung von VPN Tunnel O Unterst tzung des Extensible Authentication Protocols EAP mit den Funktionen Transport Layer Security TLS und MDS User ID Passwort zur sicheren Authentisie rung des Anwenders gegen ber Access Points und Switches I Network Address Translation Traversal NAT T f r die Kommunikation zwischen Client und Gateway ber Netzwerkkomponenten die NAT durchf hren O Intelligentes Verbindungs Management zur Minimierung der bertragungskosten und Erh hung der Transparenz Geb hren Manager C Hohe bertragungsgeschwindigkeit im ISDN durch Kanalb ndelung O Grafische Benutzeroberfl che NCP engineering GmbH 15 SECURE ENTRY CLIENT PRODUKT BERSICHT Der Secure Entry Cl
100. Fingerprint des Aussteller Zertifikats Um ein H chstma an F lschungssicherheit bieten zu k nnen muss der Fingerprint des Aussteller Zertifikats berpr ft werden k nnen Er muss mit dem hier eingegebenen Hash Wert bereinstimmen Friendly Net Detection mittels TLS Soll die Friendly Net Detection mittels TLS erfolgen einschlie lich einer Authentisie rung ber den Fingerprint des Aussteller Zertifikats so muss sich im Programmver zeichnis CaCerts obiges Aussteller Zertifikat befinden und dessen Fingerprint muss mit dem hier konfigurierten bereinstimmen NCP engineering GmbH 81 SECURE ENTRY CLIENT CLIENT MONITOR a Konfigurationsfeld Optionen AEREA Bei gesperrter Grundein a stellung kann der Aufbau von VPN Verbindungen ber dieses Register glo bal zugelassen werden Folgende f r den Tunnel aufbau ben tigten Proto kolle und Ports werden per automatisch generier ter Filter freigegeben F r IPSec UDP 500 IKE ISAKMP IP Protokoll 50 ESP UDP 4500 NAT T UDP 67 DHCPS UDP 68 DHCPC Diese globale Definition erspart die Einrichtung dedizierter Einzelregeln f r die jewei lige VPN Variante ren keine weiteren Regeln f r VPN Netze die eine Kommunikation im Tunnel zulas de Bitte beachten Sie dass dadurch lediglich der Tunnelaufbau erm glicht wird Existie I sen kann ber die VPN Verbindung kein Datenaustausch erfolgen Firewall bei gestopptem Client weiterhin
101. GEN m EAP Authentisierung Muss sich der Client mit EAP Extensible Authentication Protocol authentisieren so muss diese Funktion aktiviert werden Sie bewirkt dass f r dieses Zielsystem die EAP Konfiguration im Monitor Men unter EAP Optionen zum Einsatz kommt h Bitte beachten Sie dass die EAP Konfiguration im Monitor Men f r alle Zielsysteme g ltig ist und aktiv geschaltet sein muss wenn diese linkspezifische Einstellung wirk s sam sein soll EAP wird dann eingesetzt wenn f r das wireless LAN ein Access Point verwendet wird der 802 1x f hig ist und eine entsprechende Authentisierung verlangt EAP kann aber auch dann eingesetzt werden wenn der Client ber einen Router auf ein anderes Netzsegment des Firmennetzes zugreifen m chte Generell wird mit EAP verhindert dass sich unberechtigte Benutzer ber die Hardware Schnittstelle in das LAN einklin ken Nach Konfiguration des EAP muss eine Statusanzeige im grafischen Feld des Monitors erscheinen Ist dies nicht der Fall so muss die BAP Konfiguration im Monitor Men aktiv geschaltet werden Durch einen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt werden Anschlie end erfolgt die EAP Verhandlung erneut E HTTP Authentisierung F r die automatische HTTP Authentisierung am Access Point HotSpot muss diese Funktion aktiviert werden Damit wird ein weiteres Parameterfeld HTTP Anmeldung im Telefonbuch zugeschal tet in welches im f
102. I gibt es in zwei Versionen 1 1 und 2 0 204 NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Entsprechend sind auch dielSDN Anwendungspro gramme programmiert die entweder auf CAPI 1 1 oder CAPI 2 0 aufsetzen bzw die jeweilige CAPI voraussetzen Eine Hybrid CAPI gestattet sowohl den Einsatz einer Anwendungs Software f r CAPI 1 1 als auch den von CAPI 2 0 Software Siehe Hybrid CAPI CCP Compression Control Protocol CHAP Challenge Handshake Authentication Protocol CLI Calling Line Identification Rufnummern Identifi zierung im Euro ISDN COSO Charge One Side Only COSO R ckruf auch Low Level oder D Kanal R ckruf F r den Initiator des R ckrufs im D Kanal fallen keine Geb hren an CTAPI Schnittstelle zu Smartcard Readern CUG Closed User Group geschlossene Benutzergruppe im Euro ISDN DES Datenverschl sselungsnorm Data Encryption Standard DHCP Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass f r jede Session automatisch eine IP Adresse zugewiesen wird Directory Service Remote Access Zug nge werden wie E Mail Adressen Telefonnummern etc in Verzeichnissen auf unterschiedlichen Datenbanken abgelegt Das Problem bei dieser Vielzahl von Verzeichnissen ist dass einerseits viele Daten mehrfach erfasst werden und zudem die einzelnen Eintr ge nicht untereinander verkn pft sind Der Pflegeaufwand ist enorm und Inkonsistenzen sind nicht auszu schlie en Geford
103. MTS Verschl sselung Wird die Feldst rke nicht angezeigt erscheint eine Fehlermeldung die auf einen Modemfehler hinweist Fahren Sie in diesem Fall fort wie unter 1 1 Installation des Treibers beschrieben wurde Hilfe Verbindung Konfiguration Log Fenster L2Sec Test Client Feldst rke 26 d dl u end cd kel il w l Al Sal zl Starten Sie den Monitor Der Monitor des VPN PKI Clients Enterprise Client muss sich wie in nebenstehender Abbildung darstellen Der Monitor des Entry Clients zeigt sich nur unwesentlich anders Zwischen dem grafischen Feld und der Button Leiste muss die Feldst rke des Funknetzes angezeigt werden Die Karte sucht nach dem Start des Monitors automat isch nach einem Funknetz und zeigt es mit der entspre chenden Feldst rke an so bald es ge funden wurde in der Ab bildung links T Mobile D Wird das Netz angezeigt kann durch Klick auf den Button eine erneute Netzsuche ausgel st werden A l4 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT x Nach Netzsuche nach einem alternativen Netz wird das Bitte das gew nschte Netz aus der Liste ausw hlen Fenster zur Netzauswahleingeblendet Netz T Mobile DS links Das gewiinschte Netz kann aus einer Liste ausgew hlt werden E Wird die erneute Netzsuche nach jedem Aufruf des Monitors nicht gewiinscht so muss die standardm ig ak
104. Microsoft oder auch direkte und unverschl sselte Verbindungen mit dem integrierten Dialer des Clients wie auch HotSpot WLAN Verbindungen Soll eine Regel f r unbekannte Netze gelten so muss diese Option aktiviert werden 74 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Bekannte Netze werden im gleichnamigen Register im Fenster Firewall Einstellungen definiert Solle eine Regel f r bekannte Netze gelten muss diese Option aktiviert werden VPN Netze sind alle IPSec Verbindungen in aufgebautem Zustand Dar ber hinaus fallen unter diese Gruppe auch alle verschl sselten Direkteinwahlverbindungen ber den integrier ten Dialer des Clients Solle eine Regel f r VPN Netze gelten so muss diese Option aktiviert werden Protokoll Je nach Anwendung oder Art der Verbindung ist das entsprechende Protokoll zu w h len TCP UDP ICMP GRE ESP AH IGRP RSVP IPv6 oder IPv4 Alle Verbindungssteuerung ber diese Parameter wird die Art der Verbindung beeinflusst Sie w hlen z B die Option dass die hier konfigurierte Regel nur g ltig bei inaktiver VPN Verbindung ist wenn Sie w nschen dass z B eine Internet Verbindung bei gleichzeitig bestehender VPN Verbindung ausgeschlossen wird ansonsten aber Inter net Verbindungen zu unbekannten Netzen zugelassen sein sollen Dazu muss diese Re gel f r unbekannte Netze angewendet werden d h diese Regel muss den Zugang zu unbekannten Netzen zulassen
105. Mittels dieser wird eingestellt wel ES che Regeln in Abh ngig rer keit ihrer Zuordnung in a der bersicht angezeigt l werden unbekannte Netze bekannte Netze VPN Netze anwendungsabh ngig unabh ngig Diese Auswahlfelder f r die Anzeigen der Regeln dienen nur der bersichtlichkeit und haben keine Auswirkung auf die Anwendung einer Filterregel F r jede definierte Regel werden die wichtigsten Eigenschaften gezeigt Name Status Netz Anwendung Durch Klick auf diese Eigenschafts Buttons k nnen die eingeblendeten Regeln sortiert werden Erstellen einer Firewall Regel ber die Buttons unterhalb der Anzeigezeilen werden die Regeln erzeugt oder bearbei tet Um eine Firewall Regel zu erstellen klicken Sie auf Hinzuf gen Die Erstellung einer Filterregel erfolgt ber vier Konfigurationsschritte bzw Registerkarten Allgemein In diesem Konfigurationsfeld wird festgelegt f r welche Netze und wel ches Protokoll die Regel gelten soll Lokal In diesem Konfigurationsfeld werden die Werte der lokalen Ports und IP Adressen eingetragen Remote Im Remote Feld werden die Port und Adress Werte der Gegenseite einge tragen Anwendungen In diesem Konfigurationsfeld kann die Regel einer oder mehrerer An wendungen zugeordnet werden NCP engineering GmbH 73 SECURE ENTRY CLIENT CLIENT MONITOR a Firewall Reg
106. NTRY CLIENT PROFIL EINSTELLUNGEN Gateway Dies ist die IP Adresse des IPSec Gateways auch Tunnel Endpunkt Sie erhalten die Adresse von Ihrem Administrator entweder als Hex Adresse wenn das Gateway ber eine feste offizielle IP Adresse verf gt oder als Namens String wenn das Gateway eine wechselnde IP Adresse von einem Internet Service Provider erh lt Hex Adresse Die Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte getrennte Zahlen Namens String Sie tragen den Namen ein den Sie von Ihrem Administrator erhalten haben Es handelt sich dabei um den DNS Namen des Gateways der beim DynDNS Service Provider hinterlegt wurde Ein zweites Gateway kann in der gleichen Syntax nach dem ersten durch ein Semikolon getrennt eingetragen werden D IKE Richtlinie Die IKE Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IKE Richtlinien aufgef hrt die Sie im Richtlinien Editor unter der Verzweigung IKE Richtlinie angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den Sie bei der Konfiguration vergeben haben Sie finden zwei vorkonfigurierte Richtlinien im Richtlinien Editor unter IKE Richtli nie als Pre shared Key und RSA Signatur Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtlinien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungs
107. OMMUNICATIONS W NCP Secure Entry Client Setup f hrt die gew nschten Operationen aus C Programme NCP Secure Client Anschlie end werden die Netzwerkkomponenten installiert InstallShield weiter n chste Seite 32 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION NCP Secure Entry Client InstallShield Wizard Damit ist die Installation der NC Client Software abgeschlossen InstallShield Wizard abgeschlossen A A ner Die neuen Einstellungen InstallShield Wizard hat NCP Secure Entry Client erfolgreich werden erst wirksam wenn Sie installiert Der Computer muss neu gestartet werden bevor das installierte Programm verwendet werden kann den Computer neu starten Klicken Sie Ja Computer jetzt neu starten und bet tigen Sie den Button mit Fertig Nein Computer wird sp ter neu gestartet stellen um Ihr System zu booten Nehmen Sie alle Disketten aus den Laufwerken und klicken Sie anschlie end auf Fertig stellen um das Setup abzuschlie en o v gt O o E gt E er gt VI n L D f NCP engineering GmbH 33 SECURE ENTRY CLIENT INSTALLATION 2 3 Assistent f r die erste Konfiguration Nachdem Sie die Software installiert haben und zum Abschluss der Installation den Rechner gebootet haben wird der Client Monitor automatisch nach dem Booten geladen Au erdem wird automatisch der Assistent f r die erste Konfiguration gestarte
108. Online Telefon buch von einem Client angefordert wurde ProxyHost XXX XXX XXX XXX IP Adresse des HTTP Proxy Servers falls n tig ProxyPort 80 Port des Proxy Servers ProxyAuthName Benutzername f r den Proxy Server ProxyAuthPwd Passwort f r den Proxy Server CMP CmpPort 829 CMP Listen Port 0 CMP Server disabled CmpPollTime 15 CMP Polling Intervall in Sekunden LogLevel 0 CMP Log Level M gliche Werte 0 9 Mit dem Wert wird die Tiefe der Analyseebene f r die Log Datei be stimmt Anhang Secure Client Services A47 SECURE ENTERPRISE ENTRY CLIENT SERVICES RADIUS Enabled 1 Der integrierte RADIUS Server des Management Systems wird mit 1 aktivier mit O deaktiviert AuthPort 1812 Authentication Port Standard 1812 sollte nicht ver ndert werden AccPort 1813 Accounting Port Standard 1813 sollte nicht ver ndert werden LogLevel 0 RADIUS Log Level M gliche Werte O 9 Mit dem Wert wird die Tiefe der Analyseebene f r die Log Datei be stimmt Log Mit dem Wert wird die Tiefe der Analyseebene f r die Log Datei bestimmt M gliche Werte 0 9 LogLevel 0 SessLogLevel 0 MgmLogLevel 0 ReplLogLevel 0 PackageLogLevel 0 LogPath log Der Pfad wird mit dem Directory f r die Log Dateien ange geben A 48 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES Anzahl der Tage bis die Log Eintr ge gel scht werden LogLifeti
109. P Anmeldung O Passwort HTTP Anmeldung O Passwort speichern HTTP Anmeldung O HTTP Authentisierungs Script HTTP Anmeldung O NCP engineering GmbH 139 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Mit diesen Daten wird die Anmeldung am HotSpot automatisiert Dies geschieht in der Weise dass bei einem Verbindungsaufbau zum Access Point von dort ein HTTP Redi rect an den Client mit einer Website zur Anmeldung erfolgt Anstatt eines Browser Starts zur HTTP Authentisierung erfolgt mit den hier gemachten Eingaben die Authen tisierung automatisch im Hintergrund F r die script gesteuerte Anmeldung kann ein Script aus dem Installationsverzeichnis lt install gt scripts samples f r weitere HotSpots entsprechend angepasst werden Bei der Verbindungsart WLAN werden die Authentisierungsdaten f r den Hotspot aus den WLAN Einstellungen bernommen bzw wenn diese deaktiviert sind aus dem Management Tool der WLAN Karte E Benutzername HTTP Anmeldung Dies ist der Benutzername den Sie von Ihrem HotSpot Betreiber erhalten haben E Passwort HTTP Anmeldung Dies ist das Passwort das Sie von Ihrem HotSpot Betreiber erhalten haben Das Pass wort wird mit verdeckter Schreibweise mit eingegeben E Passwort speichern HTTP Anmeldung Nachdem das Passwort eingegeben wurde kann es gespeichert werden E HTTP Authentisierungs Script HTTP Anmeldung Hier kann nach Klick auf den Suchen Button das hinterlegte Anmelde Script selek
110. Pfad angegeben wird die Datei im aktuellen Verzeichnis des Secure Clients gesucht Z B HtmlLocal C Programme NCP SecureClient MyProjectInfo html 38 NCP engineering GmbH 3 Client Monitor Wenn die Software installiert wurde kann der Monitor ber das Start Men Pro gramme gt NOP Secure Client gt Secure Entry Client Monitor aktiviert werden Damit ffnet sich das Fenster des Monitors auf dem Bildschirm Hinweis Wenn der Monitor geladen wurde erscheint er entweder auf dem Bildschirm e oder wenn er dort nicht dargestellt wird in der Taskleiste 8 NCP Secure Entry Client verbindung Konfiguration Log Fenster Hilfe Zielsystem Amtsholung NCP YPN WLAN EN 8 DA DAJO Feldst rke 60 f LAN Ina Gering Hoch SUPPORT_TEHOTSPOT Prem Statistik verbindungszeit 00 00 12 Timeout sec 0 Daten Tx in Byte O Richtung out Daten Rx in Byte 0 Werbindungsart WLAN Durchsatz KB s 0 000 Verschl sselung 4ES 125 Der Monitor hat 4 wichtige Funktionen M den aktuellen Status der Kommunikation wiederzugeben M den Verbindungsmodus einzustellen M die Limits der Verbindungssteuerung bestimmen M die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem NCP engineering GmbH 39 SECURE ENTRY CLIENT CLIENT MONITOR 3 1 Die Oberfl che des Client Monitors 3 1 1 Bedien und Anzeigefelder Der Client Monitor besteht
111. T Konfigura x Entsprechend wird in der Verbindungsart Einwahlkonfiguration Modem Auswahl die Karte Auswahl des Mediums ber das die Verbindung hergestellt werden soll NCP Fusion UMTS GPRS WLA _ 3G Modem angezeigt W hlen Sie das Medium ber das die Verbindung hergestellt werden soll Die Verbindungsart Selectieren Sie diese Karte wird f r jedes Zielsystem eigens eingestellt vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem System installiert Soll z B das Internet ber Modem genutzt werden stellen Sie beim Verbindungstyp Modern ein und w hlen anschlie end das gew nschte Modem aus Werbindungsart GPRS UMTS a Modemauswahl und einstellungen AVM ISDN FAX G3 AVM ISDN Custom Config lt Zur ck Abbrechen o xj Belassen Sie den zugeh rigen Verbindungsart Einwahlkonfiguration Modem Initialisierungsstring Auswahl des Mediums ber das die Verbindung hergestelltwerden soll NCP unver ndert Schalten S je die Impulswahl nicht ein W hlen Sie das Medium ber das die Verbindung hergestellt werden soll Die Verbindungsart wird f r jedes Zielsystem eigens eingestellt vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem System installiert Soll z B das Internet ber Modem genutzt werden stellen Sie beim Verbindungstyp Modem ein und w hlen anschlie end das gew nschte Modem aus Verbindungsart GPRS UMTS a Modemauswah
112. TRY CLIENT PROFIL EINSTELLUNGEN Tragen Sie jedoch nicht die Amtsholung ein auch wenn Sie an einer Nebenstellenanla ge angeschlossen sind Die Amtsholung wird unter dem Monitor Men punkt Konfigu ration eingetragen und hat auf diese Weise G ltigkeit f r alle Rufe siehe Amtsho lung Beispiel Sie wollen eine Verbindung von Deutschland nach England herstellen 00 f r die internationale Verbindung wenn Sie von Deutschland aus w hlen 44 dies ist die landesspezifische Vorwahl f r England 171 Vorwahl f r London 1234567 die Nummer die Sie zu erreichen w nschen Insgesamt wird nach diesem Beispiel folgende Nummer im Telefonbuch gespeichert und f r die Anwahl verwendet 00441711234567 Die Rufnummer des Ziels kann bis zu 30 Ziffern beinhalten Hinweis Wenn ein Zielsystem eine Verbindung zu Ihrem PC ber R ckruf aufbauen Le will ben tigt der Client diese Rufnummer in diesem Feld um den R ckruf entspre chend des gew hlten R ckrufmodus annehmen zu k nnen Alternative Rufnummern M glicherweise ist das Zielsystem ein Network Access Server NAS der mit mehre ren SO Anschl ssen f r verschiedene Rufnummern ausgestattet ist In diesen Fall emp fiehlt es sich alternative Rufnummern einzugeben falls zum Beispiel die erste Num mer besetzt ist Die alternativen Rufnummern werden der ersten Nummer angeh ngt nur mit einem Doppelpunkt oder einem Semikolon getrennt Maximal werden 8 alternative Ru
113. Verbindung zu einem Partner Weitergeleitet werden aus schlie lich die Pakete die zu einer aktiven Verbindung geh ren Datenpakete die sich keiner etablierten Verbindung zuordnen lassen werden verworfen und im Log File pro tokolliert Neue Verbindungen lassen sich nur entsprechend der konfigurierten Regeln ffnen In der einfachsten Firewall Funktion werden nur die ein und ausgehenden Verbindun gen im Hinblick auf das Protokoll TCP IP UDP IP ICMP IPX SPX die entspre chenden Ports und die beteiligten Rechner berpr ft und berwacht Verbindungen werden in Abh ngigkeit eines festgelegten Regelwerkes erlaubt oder gesperrt Weitere Pr fungen z B Inhalt der bertragenen Daten finden nicht statt Die Stateful Inspection Filter sind eine Weiterentwicklung der dynamischen Packet Fil ter und bieten eine komplexere Logik Die Firewall pr ft ob eine am Portfilter erlaubte Verbindung auch zu dem definierten Zweck aufgebaut wird Es werden folgende zus tzliche Informationen zu einer Verbindung verwaltet Nr zur Identifizierung einer Verbindung Zustand der Verbindung z B Aufbau Daten bertragung Abbau Quell Adresse des ersten Pakets Ziel Adresse des ersten Pakets Interface durch welches das erste Paket kam Interface durch welches das erste Paket verschickt wurde Anhand dieser Informationen kann der Filter entscheiden welche nachfolgenden Pake te zu welcher Verbindung geh ren So kann ein Sta
114. Verbindungsaufbau m ssen ggf die Zugangsdaten f r die Netzeinwahl bzw PIN und SIM PIN vor der Windows Anmeldung eingegeben werden Windows Anmeldung Die nachfolgende Windows Anmeldung kann je nach Konfiguration manuell durchge f hrt werden oder automatisch NCP engineering GmbH 99 SECURE ENTRY CLIENT CLIENT MONITOR Manuell durchf hren bedeutet dass der Benutzer seine Anmeldedaten per Hand in die Windows Anmeldemaske eingibt Automatisch bedeutet dass die Client Software die hier eingetragenen Daten ohne Zutun des Benutzers an die Microsoft Gina bergibt Wenn Sie die Logon Option mit Riickruf nutzen muss Verhandle PPP Callback akti viert werden siehe gt Parameterfeld R ckruf im Telefonbuch Zur Anwahl an das Zielsystem mit der Logon Option beachten Sie bitte den Abschnitt Eine Verbindung herstellen Client Logon und den Anhang zum Mobile Computing E Abmelden Die Verbindung des Clients Anmelden Abmelden Est Anwendungen Optionen zum VPN Gateway oder ISP kann beibehalten werden wenn Die Verbindung kann wahlweise beim Abmelden des Benutzers von Windows eine Windows Abmeldung gehalten oder getrennt werden erfolgt Dies gestattet einen Windows Benutzerwechsel am Rechner vornehmen zu k nnen ohne die VPN Verbindung abbauen zu m ssen E Externe Anwendungen Logon Optionen amp ber dieses Konfigurationsfeld k nnen in Abh ngigkeit vom C
115. Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netzwerk karte ben tigt Multifunktionskarte GPRS UMTS Wird eine Multifunktionskarte f r UMTS GPRS WLAN eingesetzt so k nnen mit der Client Software spezielle Features des Mobile Computings unter Einbeziehung der Kar teneigenschaften genutzt werden siehe Handbuch Anhang Mobile Computing via GPRS UMTS Aufgrund der direkten Unterst tzung einer Multifunktionskarte durch den Secure Client kann die Installation einer Management Software von der eingesetz ten Karte entfallen Die VPN Verbindung wird unabh ngig vom Microsoft DF Netz werk ber den integrierten NCP Dialer aufgebaut Derzeit werden folgende Multifunk tionskarten unterst tzt T Mobile Multimedia NetCard Vodafone Mobile Connect Card KPN Mobile Connect Card T Mobile DSL card 1800 integrierte Karte des Lenovo Notebooks Sierra Chipset Vodafone EasyBox USB Adapter f r UMTS GPRS NCP engineering GmbH 23 SECURE ENTRY CLIENT INSTALLATION o WLAN Adapter WLAN Der WLAN Adapter wird mit der Verbindungsart WLAN betrieben Im Monitorme n erscheint eigens der Men punkt WLAN Einstellungen worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden k nnen Wird d
116. Wurde ein Chipkartenleser installiert und konfiguriert siehe im Monitormen gt Kon figuration Zertifikat so wird sein Symbol in Blau dargestellt Wird die Chipkarte in den Leser gesteckt wechselt die wird das Symbol in Gr n dar gestellt G OF 44 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR E PIN Status z Ein PIN Symbol in der Farbe Grau symbolisiert immer dass die PIN f r das jeweils PIN konfigurierte Zertifikat noch eingegben werden muss Ein Doppelklick auf dieses Sym bol ffnet den Dialog zur Eingabe der PIN Ein falsche PIN wird mit einer Fehlermel dung quittiert wobeigleichzeitig die noch m glichen PIN Eingaben heruntergez hlt werden Nach korrekter PIN Eingabe wird das Symbol in Gr n dargestellt Diese Farbe zeigt DI an dass die eingegebene PIN g ltig ist auch wenn keine Verbindung aufgebaut ist Wollen Sie sicherstellen dass kein Unbefugter bei Ihrer Abwesenheit eine Verbindung herstellen kann so muss die PIN zur ckgesetzt werden siehe Monitormen Verbin dung PIN zur cksetzen oder unter Konfiguration Zertifikat die Funktion PIN Abfrage bei jedem Verbindungsaufbau aktiviert sein In letzterem Fall erscheint der Dialog zur PIN Eingabe nicht nach Doppelklick auf das graue Symbol sondern erst nachdem Verbindungsaufbau Firewall Das Firewall Symbol ist immer dann sichtbar wenn eine Firewall aktiviert ist Ist die globale Firewall Personal Firewall mit def
117. Y CLIENT ABK RZUNGEN UND BEGRIFFE schl sseln bzw sich unter Verwendung des Schl ssels als Absender von Nachrichten ausge ben Soll bei der symmetrischen Verschl sselung in gr eren Gruppen jeder Teilnehmer nur an ihn adressierte Nachrichten lesen k nnen so ist f r je des Sender Empf nger Paar ein eigener Schl ssel notwendig Die Folge ein aufwendiges Schl ssel management So sind bei 1 000 Teilnehmern be reits 499 500 unterschiedliche Schl ssel erfor derlich um s mtliche Wechselbeziehungen zu un terst tzen Bekannteste symmetrische Verschl sse lung ist heute der DES Algorithmus TCP IP Transmission Control Protocol Internet Protocol TCP IP ist ein Netzwerkprotokoll f r heterogene Netze und an kein Transportmedium gebunden Es kann auf X 25 Token Ring oder einfach auf die serielle Schnittstelle aufsetzen und eignet sich des halb besonders als Kommunikati onsprotokoll f r unterschiedliche Netz Topologien und Rechner Plattformen wie sie im Internet gekoppelt sind Dabei wird jeder Rechner im Netzverbund Internet durch seine IP Adresse identifiziert TCP IP um fa t au erdem vier Internet Standardfunktonen 1 FTP File Transfer Protocol f r den Dateitransfer von einem zum anderen Rechner 2 SMTP Simple Mail Transport Protocol f r E Mail 3 TELNET Teletype Network f r Terminalemulation 4 RLO GIN Remote Login zur Rechnerfernbedienung TECOS Betriebssystem f r Smartcards Versionen 1 2 2 0
118. Y CLIENT CLIENT MONITOR 4 2 8 Logon Optionen 1 Die Logon Optionen werden erst dann wirksam wenn der Rechner gebootet wird Anmelden Da der Verbindungsaufbau zum Gateway vor dem Windows Logon stattfindet erfolgt die Anmeldung an der remote Domain bereits verschl sselt und mit aktivierter Firewall Dialog f r Verbindungsaufbau vor Windows Anmeldung anzeigen Die Dialoge der NCP Gina k nnen hier ausgeblendet werden ohne dass dabei die Gina eS deinstalliert wird F r die jeweilige Arbeitsumgebung eventuell n tige Gina Verkettun gen bleiben auf diese Weise bestehen Soll der Gina Dialog eingeblendet werden so ist darauf zu achten dass die NCP Gina auf jeden Fall installiert sein muss Dies kann auf dreierlei Weise stattfinden Logon Oplionen Bei der Software Installation hierbei wird der Benutzer ge fragt ob er die Windows An meldung ber die NCP Gina nutzen will Wenn ja wird sie installiert Eine nachtr gliche Installa tion ist ber die Kommandozei len Schnittstelle rwscmd exe m glich ebenso die nachtr g liche Deinstallation Siehe dazu den Anhang Services Die Gina wird auch installiert wenn ber das Enterprise Mana gement ein entsprechendes Telefonbuch bereitgestellt wird Sie m ssen den Dialog f r Verbindungsaufbau vor Windows Anmeldung anzeigen lassen damit bereits in der Boot Phase die Verbindung zum VPN Gateway hergestellt werden kann F r diesen
119. Y_LOCAL_MACHINE Software NCP engineering GmbH NCP Enterprise Monitor 4 3 Beschreibung der Kommandos rwscmd connect Erforderliche Windows Berechtigung User Rechte Beschreibung Verbindungsaufbau mit dem zuletzt im Monitor gesetzten Zieleintrag connect Destination Name z B rwscmd connect LAN via Router IP Erforderliche Windows Berechtigung User Rechte Beschreibung Verbindungsaufbau mit dem bergebenen Zieleintrag Die Hochkommas werden statt der eckigen Klammern gesetzt Sie sind notwendig da es sich um eine bergabe mit Leerzeichen handelt rwscmd disconnect Erforderliche Windows Berechtigung User Rechte Beschreibung Trennt die aktuelle Verbindung rwscmd lock Erforderliche Windows Berechtigung User Rechte Beschreibung Sperrt den Client kein Verbindungsaufbau mehr m glich Anhang Secure Client Services A53 SECURE ENTERPRISE ENTRY CLIENT SERVICES rwscmd unlock Erforderliche Windows Berechtigung User Rechte Beschreibung Entsperrt den Client setzt die durch Lock gesetzte Sperre zuriick rwscmd start Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Startet alle Dienste Popup und Monitor des NCP Secure Clients Bei erneutem Aufruf kommt der Hinweis Secure Client ist bereits ge ffnet rwscmd stop Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Stoppt alle Dienste und den Monitor des NCP Secure Clients Zu beachten ist au erdem dass we
120. Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Pro tection Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontrollkanal wobei nichts verschl sselt wird Ge Den IKE Modus Austausch Modus Exchange Mode Main Mode oder Aggressive Lo Mode bestimmen Sie in den Profil Einstellungen im Parameterfeld IPSec Einstellun gen IKE Main Mode Identity Protection Mode mit Preshared Keys Initiator Gegenstelle Message 1 Header Security Association Message 2 Header Security Association unver EN schl sselt Message 3 Header Key Exchange Nonce Diffie Hellmann Gruppe Message 4 Header Key Exchange Nonce N e Message 5 Header ID Hash mee ver gt Verschl sselung schl sselt und Hash Message 6 Header ID Hash Wird die Pre shared Key Methode im Main Mode genutzt Bild oben so muss der Client am VPN GW durch seine IP Adresse eindeutig identifizierbar sein da der Pre shared Key mit in die symmetrische Schl sselberechnung einbezogen und verschl sselt wird bevor sonstige In formationen bertragen werden die den Client identifizieren k nnten Ein Client der sich beim Provider einw hlt ist jedoch nicht durch die IP Adresse zu erkennen da er bei jeder Provider Anwahl eine neue zugewiesen bekommt Letztlich kann im Main Mode an alle Cli ents nur derselbe Pre shared Key vergeben werden was allerdings die Authe
121. ackages eingesetzt so kann eine Verbindung ber die Karte nicht hergestellt werden Bei einem Verbindungsaufbau zeigt die Software eine Fehlermeldung an siehe Abbildung links NCP Secure Enterprise Client In diesem Fall muss ein neuer Treiber eingespielt werden Daf r ist die Datei OptionCardInstaller exe von Client sP NCP erh ltlich Ein entsprechend neuerer Treiber befindet sich auch auf der Treiber CD zur neueren Multimedia NetCard von T Mobile die nur UMTS GPRS unterst tzt Anhang Mobile Computing via GPRS UMTS A7 SECURE ENTERPRISE ENTRY CLIENT Konfiguration eines Zielsystems Profiles Legen Sie ein neues Zielsystem Profil der NCP Client Software an Beachten Sie dazu die Beschreibung im Handbuch zur Client Software Konfiguration mit Assistenten Verf gbare Zielsysteme Zielsystem Name NCP E Rufnummer Verbindungsart Konfigurieren 0191011 Neuer Eintrag Kopieren L schen Hilfe Abbrechen HUT Grundeinstellungen Welche Verbindung soll zum Zielsystem hergestellt werden NCP a Verbindung zum Firmennetz ber L2Sec Erstellt eine Verbindung zum Firmennetzwerk ber ein virtuelles privates Netzwerk VPN abgesichert ber SSL Handshake im L2TP zu einer NCP Gegenstelle C Verbinduna zum Firmennetz ber IPSec over L2TP ES TOD e at Name des Zielsystems Geben Sie hier einen unverwechselbaren Namen f r das Zielsystem ein Er ak C Ve Der
122. algorithmus auf siehe AIKE Richtlinie editieren d h eine Richtli nie besteht aus verschiedenen Vorschl gen Funktional unterscheiden sich diese Richt linien durch Verwendung eines statischen Schl ssels bzw einer RSA Signatur E F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo Us sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem im Richtlinien Editor entfallen Die Richtlinie wird vom Gateway der Gegenstelle vorgegeben und vom Client akzeptiert Pre shared Key Diese vorkonfigurierte Richtlinie kann ohne PKI Unterst tzung ge nutzt werden Beidseitig wird der gleiche Statische Schl ssel verwendet siehe Pre shared Key verwenden Shared Secret im Parameterfeld Identit t RSA Signatur Diese vorkonfigurierte Richtlinie kann nur mit PKI Unterst tzung ein gesetzt werden Als zus tzliche verst rkte Authentisierung ist der Einsatz der RSA Si gnatur nur sinnvoll unter Verwendung einer Smart Card oder eines Soft Zertifikats NCP engineering GmbH 149 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN D IPSec Richtlinie Die IPSec Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IP Sec Richtlinien aufgef hrt die Sie mit dem Richtlinien Editor angelegt
123. as Mana gement Tool der WLAN Karte deaktiviert werden Alternativ kann auch das Manage ment Tool der WLAN Karte genutzt werden dann muss die WLAN Konfiguration im Monitormen deaktiviert werden Wird die Verbindungsart WLAN f r ein Zielsystem im Telefonbuch eingestellt so wird unter dem grafischen Feld des Client Monitors eine weitere Fl che eingeblendet auf der die Feldst rke und das WLAN Netz dargestellt werden siehe gt WLAN Einstel lungen Ext Dialer Ist die Verbindungsart Ext Dialer ber externen Dialer eingestellt wird beim Dr k ken des Verbinden Buttons eine vorkonfigurierte EXE Datei z B der iPass Dialer gestartet ber diese EXE Datei wird die Verbindung zum Internet hergestellt und an schlie end ber RWSCMD connect der VPN Verbindungsaufbau des Clients ange sto en Der NCP Dialer arbeitet unter dieser Konfiguration im LAN Modus Diese Verbindungsart funktioniert nur wenn im Parameterfeld Verbindungssteue L rung der Verbindungsaufbau auf manuell geschaltet wird Je nach installiertem Dialer iPass oder T Online muss in der Konfigurationsdatei EXTDIAL INI f r den Eintrag ExeName die EXE Datei des Dialers eingetragen wer den Um nicht den kompletten Pfad f r den Dialer in der DAT Datei angeben zu m s sen kann optional der Pfad aus der Registry gelesen und in die INI Datei eingetragen werden Der genaue Wortlaut der Kopfzeile des Dialers unter Beachtung der Gro
124. asswort speichern siehe Netzeinwahl nicht aktiviert wurde Erst ein Boot Vorgang l scht das einmal einge gebene Passwort Beachten Sie dazu auch gt Logon Optionen pa A Soll das Passwort mit dem Booten nicht gel scht werden so muss die Funktion Pass O wort speichern aktiviert werden siehe gt Netzeinwahl Bitte beachten Sie dabei dass 7 im Falle gespeicherter Passw rter jedermann mit Ihrer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt Passwort f r NAS Einwahl Profil Einstellungen Zentrale Wird das Passwort f r die NAS Einwahl nicht eingegeben oder nicht gespeichert so wird es IP AdressenZuweisung VPN IP Netze bei einem Verbindungs Zettifikats berpr fung fb Firewall Einstellungen auibau n einem eigenen Dialog see an Der Benutzername fiir die Netzeinwahl muss immer in der Konfigu ration f r das Ziel eingegeben werden Ohne ihn kann keine Einwahl an den NAS erfolgen Siehe gt Profil Einstellungen Netzeinwahl NCP engineering GmbH 173 SECURE EN VERBINDUNGSAUFBAU Benutzername und Passwort f r Extended Authentication SS CC Wird Extended Grundeinstellungen E Authentication Line nece eingesetzt so miissen A _ 82 5 Benutzername und we GE ang Passwort in der Pranger 7 Konfiguration des Pofils eingegeben werden sonst findet kein Verbindungsaufbau statt siehe gt Zugangsdaten aus Ko
125. atei a causo Be Aa a 138 Seamless re keyidg o o e e 191 Secure Policy Database lt 183 220 O NCP engineering GmbH O NCP engineering GmbH EEN a nr de a a ee Y 183 Security Association 184 Security Richtlinie ocios 005080 ta 183 Security Richtlinien ec s es 3 4 EE E e 00 00 NN 183 e EE 183 Seriennummer e das a were era er Service Release on sen tina ur rare 125 SEA aa y ee ee Be ER Be ee en T 153 EE 191 SHA 1 Fingerprint verwenden 2 2 222220 166 E EE 158 SIMUBIN ii A E a ee 143 SIM PIN ndern aa 0 on au a pia eng 52 Site to Site VPN sp orice ele an es nr 183 Smart Card Symbol e 04 ua ses was as 61 Software Update aaa er 125 Source Routing sos wen RA ae ae 214 SPD Entry ais a e e 183 Sperre aufheben ssie acs ma ma da 97 Sperrlisten s aesa u A ra 198 Split Tunnelins E EE a a A 162 SSL Server Authentisierung o o 60 198 Stateful Inspection s 4 a eas c E ER a da sn ea 199 Stateful Inspection aktivieren e 170 Stati Key roda Ren ee ee A E 55 Statis UK le do dect ei o a ia nee ee a 53 Statistik Verbindungssteuerung o 22 2 0 64 Statusanzeigen A sy iara g a A era bh ae 44 46 subjectKeyldentifier o o o 58 60 197 Subnet Masken i eaaa 2 o eg ae en 163 Symmetrische Verschl sselung 2 2 2222 214 Telefonbuch ii reae eea 42 dern a 34306 Timeout nu do dd a 54 145 175 TES ra aa N a 44 81 Token
126. ati ons Verzeichnis kopiert in der weitere Erl uterungen zum Anlegen des Logos enthal ten sind NCP engineering GmbH 37 SECURE ENTRY CLIENT INSTALLATION GENERAL Picture _96 Picture_120 ToolTipl HtmlLocal Picture_96 db Sesssessse Bitmap des Project Logos f r Ansicht mit kleinen Schriftarten 96 DPI H he 24 Pixel minimal Breite 328 Pixel genau wird kein Pfad angegeben wird die Datei im aktuellen Verzeichnis des Secure Clients gesucht Z B Picture _96 C Programme NCP SecureClient MyProjectPicture bmp Picture_120 d sa Bitmap des Project Logos f r Ansicht mit gro en Schriftarten 120 DPI H he 29 Pixel minimal Breite 404 Pixel genau wird kein Pfad angegeben wird die Datei im aktuellen Verzeichnis des Secure Clients gesucht Z B Picture _96 C Programme NCP SecureClient MyProjectPicture bmp ToolTip 1 ToolTip X db tee e Info Text f r den ToolTip des Projekt Logos Pro Zeile im Info Text mu ein ToolTip Eintrag mit fortlaufender Nummer ToolTip x erstellt werden z B ToolTipl Der Info Text f r des Projekt Logo ToolTip2 ToolTip3 Dritte Zeile ToolTip4 Vierte Zeile HtmlLocal HTML Datei die angezeigt werden soll wenn ein Maus Klick auf das Projekt Logo erfolgt Die Datei muss lokal auf dem Rechner verf gbar sein Wird kein
127. ation Log Fenster Hilfe ablesen oder kann bei der Namensvergabe an das Zentrale ISDN Profil mit eingegeben werden sodass sie auch im grafischen Statusfeld erscheint GAJO NC 8 NCP Secure Entry Client Modifikationen der Oberfl che Bitte beachten Sie dass das Erscheinungsbild des Client Monitors vom Administrator ver ndert werden kann Dies betrifft insbesondere die Men punkte Verbindungs In formationen Zertifikate Verbindungssteuerung und Logon Optionen Auch Pa rameterfelder des Telefonbuchs und einzelne Parameter k nnen vom Administrator ausgeblendet bzw auf nicht konfigurierbar gesetzt werden Die ausgeblendeten und deaktivierten Features und Parameter erleichtern Ihnen den Umgang mit der Software und haben weder Einfluss auf die Leistungsf higkeit der Software noch auf Ihre Arbeit Beachten Sie dazu den Abschnitt 4 3 Konfiguration 4 3 8 Konfigurations Sperren NCP engineering GmbH 41 SECURE ENTRY CLIENT CLIENT MONITOR 3 1 3 Anwahl ber das Profil an das Zielsystem Sobald die Software installiert mit einem Profil korrekt konfiguriert wurde siehe unten 4 2 3 Konfiguration kann die Anwahl an dieses Zielsystem stattfinden y Das gewunschte Profil wird E NCP Secure Entry Client LU ber die Auswahl Box unter Verbindung Konfiguration Log Fenster Hilfe dem Hauptmen oder nach Zielsystem Amtsholung Klick auf die rechte Maustaste aus einer Lis
128. aufgebaut Internet Verbindung ohne VPN In diesem Fall nutzen Sie den IPSec Client nur zur Einwahl in das Internet Dabei wird Network Address Translation IPNAT weiterhin im Hintergrund genutzt sodass nur Datenpakete akzeptiert werden die angefordert wurden E Verbindungsmedium Das Verbindungsmedium kann f r jedes EE vorausgesetzt Sie haben die entsprechende Hardware angeschlossen LAN over IP xDSL PPPoE und in Ihrem Windows System xDSL AVM PPP over CAPI 1 R ERRE UNTE installiert WLAN Automatische Medien Erkennung PPTP Ext Dialer ISDN Angeschlossene Hardware ISDN Hardware mit Capi 2 0 Unterst tzung Netze ISDN Festnetz Gegenstellen ISDN Hardware Modem Angeschlossene Hardware Asynchrone Modems PCMCIA Modem GSM Karte mit Com Port Unterst tzung Netze Analoges Fernsprechnetz PSTN auch GSM Gegenstellen Modem oder ISDN Karte mit digitalem Modem NOP engineering GmbH 131 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN LAN over IP Angeschlossene Hardware LAN Adapter Netze Local Area Network mit Ethernet oder Token Ring Gegenstellen Die Gegenstellen des lokalen Multiprotokoll Routers im LAN xDSL PPPoE Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine AVM Fritz DSL Karte einge setzt wird Im Feld Rufnummer Ziel
129. ch Handshake beginnt die Uhr fur den Timeout zu laufen Siehe Telefonbuch Line Management Richtung Unter dieser Rubrik wird die Richtung der Kommunikation wie folgt angezeigt Out ein ausgehender Ruf wird auf diesem Kanal registriert In ein ankommender Ruf wird auf diesem Kanal registriert D Durchsatz Die angezeigte Zahl schwankt entsprechend dem aktuellen Datendurchsatz Multilink Besteht die Verbindung ber mehrere ISDN B Kanale so wird hier on angezeigt Verbindungsmedium Folgende Verbindungsmedium werden unterst tzt ISDN Modem LAN over IP xDSL PPPoE xDSL AVM PPP over CAPI GPRS WLAN und PPTP E Kompression Kompression wird immer vom Gateway definiert IPSec Kompression wird mit IPSec Compression LZS angezeigt D Verschl sselung Der verwendete Verschl sselungsalgorithmus wird angezeigt Folgende Typen werden unterst tzt AES Blowfish 3DES Die Verschl sselungsart wird vom Zentralsystem vorgegeben 54 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR LG Schl sselaustausch Hier wird angezeigt auf welche Art der Austausch des Session Keys erfolgt StaticKey Der Schl ssel muss am Client und am Zentralsystem ubereinstimmen Er wird in der Profil Einstellung unter Identit t eingetragen IKE IPSec Zur bertragung des Session Keys wird der verschl sselte Kontrollkanal der Phase 1 Verhandlung verwendet E Rx und Tx Bytes Rx und Tx Bytes zeigt
130. chen Dokument und dem gehei men pers nlichen Signaturschl ssel des Teilneh mers erzeugt Der Absender des Dokuments gene riert eine Pr fsumme sogenannter Hash Wert diese codiert er wiederum mit seinem Geheim schl ssel und erzeugt so einen digitalen Signatur zusatz zur urspr nglichen Nachricht Der Empf n ger des Dokuments kann mit dem ffentlichen Schl ssel des Absenders die Signatur pr fen in dem er seinerseits den Hash Wert aus der Nach richt bildet und diesen mit der entschl sselten Si gnatur vergleicht Da die Signatur des Absenders unmittelbar in das Dokument eingebunden ist w rde jede sp tere nderung bemerkt Auch ein Abfangen oder Abh ren der Signatur ber Lau schangriffe erwiese sich als zwecklos Die digitale Signatur ist nicht nachahmbar da sie den gehei men privaten Schl ssel verwendet eine Ermitt lung des geheimen Schl ssels aus der Signatur ist nicht m glich NCP engineering GmbH 213 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Smartcard Wird die Funktionalit t der Smartcard genutzt so wird nach der CHAP Authentisierung User ID und Passwort die Erweiterte Authentisierung Strong Authentication mittels der auf Smartcard und Gateway hinterlegten Zertifikate durchgef hrt Auf der Smartcard befinden sich unter anderm das Benutzer Zertifikat das Root Zertifikat und der geheime private Schl ssel Die Smartcard kann nur mit PIN genutzt werden SMTP Simple Mail Transport P
131. cher anderer Verkehr wird von der Link Firewall verworfen Konfiguration der Firewall Einstellungen Die Filterregeln der erweiterten Firewall k nnen sowohl anwendungsbezogen als auch zus tzlich adressorientiert bez glich bekannter unbekannter Netze definiert werden Um Konflikte zwischen den Regeln der verbindungsorientierten Firewall des Telefon buchs und der erweiterten Firewall zu vermeiden wird empfohlen die Firewall des Te lefonbuchs auf inaktiv zu schalten wenn die erweiterte Firewall eingesetzt wird Die IP Adressen der jeweiligen Verbindung zum Ziel Gateway k nnen stattdessen in den Filterregeln der erweiterten Firewall eingesetzt werden NCP engineering GmbH 71 SECURE ENTRY CLIENT CLIENT MONITOR E Konfigurationsfeld Grundeinstellungen Firewall Einstellungen In den Grundeinstellungen wird festgelegt mit wel cher Basis Policy die Fire wall arbeiten soll Firewall deaktiviert Wird die erweiterte Firewall deaktiviert so wird in diesem Kompatibilit tsmodus nur die im Telefonbuch konfigurierte Firewall genutzt Dies bedeutet dass alle Datenpake te nur ber die Sicherheitsmechanismen dieser verbindungsorientierten Firewall abge arbeitet werden Gesperrte Grundeinstellung empfohlen Wird diese Einstellung gew hlt so sind die Sicherheitsmechanismen der Firewall im mer aktiv D h ohne zus tzlich konfigurierte Regeln wird jeglicher IP Datenverkehr unterbunden Ausgenommen sind die
132. cret vergeben werden muss mit der Konfiguration am VPN Gateway bereinstimmen Zus tzlich kann bei L2Sec Kompression genutzt werden Tunnel Endpunkt Hostname oder IP Adresse des VPN Gateways 62 153 165 36 Layer2 Tunneling Optionen Tunnel Secret Kompression Tunnel Secret Wiederholung Se lt Zur ck Abbrechen Konfiguration 5 x Nutzung von Zertifikaten NCP Soll zur Authentisierung ein Zertifikat benutzt werden F r starke Authentisierung kann ein Zertifikat verwendet werden Dieses Zertifikat wird beim Verbindungsaufbau vom VPN Gateway berp ft Die Konfiguration des Zertifikats welches vom Client benutzt wird erfolgt im Monitor des Secure Clients unter Konfiguration im Men punkt Zertifikate d Zertifikat fur Authentisierung verwenden lt Zur ck Abbrechen Konfiguration x Zugangsdaten f r VPN Gateway NC Benutzerinformationen f r VPN Zugang Geben Sie hier den Benutzernamen und das Passwort f r Ihren VPN Zugang ein Wollen Sie das Passwort nicht speichern wird es bei jedem Verbindungaufbau abgefragt VPN Benutzername ncpuserl2tp VPN Passwort Y VPN Passwort speichern WPN Passwort Wiederholung AR xi Beachten Sie die Beschreibung zu den VPN Gateway Parametern Soll eine Testverbindung zum NCP Gateway hergestellt werden so geben Sie als Tunnel Endpunkt ein 62 153 165 36 als Tunnel Secret secret Kompression wird nicht
133. dates D Verf gung wird es in neben 5 stehendem Fenster angezeigt Der Assistent sucht nach neu verf gbaren Software Updates f r den NCP Secure Entry Client In diesem Fall unterscheidet Installierte Version Verf gbare Version sich die Version nur durch die Produkt NCP Secure Entry Client Produkt NCP Secure Entry Client Version 8 30 Version 8 30 Build Nummer Build 40 Build 42 Lizenziert 8 3 Gr e 9 205 kByte Klicken Sie auf Weiter wenn Sie die aktuellere Software SE nutzen wollen Weitere Informationen unter http www ncp de deutsch home index html Die neuen Features sind _Zu ck were Abbrechen beschrieben unter http www ncp de deutsch services whatsnew index html Sa ii amp Damit wird das Installations Laden des Software Updates abgeschlossen NCP paket f r die neueste Softw are Das Software Update wurde erfolgreich geladen heruntergeladen Das Installationspacket fiir das Software Update des NCP Mit Klic k auf e Ferti o stellen Secure Entry Client wurde erfolgreich geladen Ka wird der Monitor beendet und Wenn Sie jetzt Fertigstellen w hlen wird der Monitor d le Inst all ati on de S beendet und die Installationsroutine des Software Updates wird gestartet i S Software Updates gestartet Nach erfolgreicher Installation werden Sie zum Neustart des Systems aufgefordert Nach Start des Installshield Wizzard w hlen Sie wie bei der Standardinstallation die Installati
134. den eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst 7 3 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss 198 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 4 Stateful Inspection Technologie f r die Firewall Einstellungen Die Firewall Technologie der Stateful Inspection kann f r alle Netzwerkadapter wie auch f r RAS Verbindungen eingesetzt werden Sie wird am Client im Telefonbuch un ter Firewall Einstellungen aktiviert siehe gt Konfigurations Parameter Firewall Einstellungen Am Gateway ist sie dann aktiv wenn im Server Manager unter Rou ting Interfaces Allgemein die Funktion LAN Adapter sch tzen eingeschaltet wird Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus an deren bzw externen Netzen Internet in das ei
135. der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Folgende ID Typen stehen zur Auswahl IP Address Fully Qualified Domain Name Fully Qualified Username entspricht der E Mail Adresse des Benutzers IP Subnet Address ASNI Distinguished Name ASN1 Group Name Free String used to identify Groups D ID Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID fiir eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Entsprechend dem ID Typ muss die zugeh rige ID als String eingetragen werden D Pre shared Key verwenden Der Pre shared Key wird zur Verschl sselung verwendet und ist ein String beliebiger Zeichen in einer maximalen L nge von 255 Zeichen Alle alphanumerischen Zeichen k nnen verwendet werden Wenn die Gegenstelle einen Pre shared Key w hrend der IKE Verhandlung erwartet dann muss dieser Schl ssel in das Feld Shared Secret eingetragen werden Best tigen Sie das Shared Secret im darunter liegenden Feld Der gleiche Pre shared Key muss auf beiden Seiten verwendet werden Wird der Pre shared Key nicht verwendet so wird zur Verschl sselung der Private Key eines zu konfigurierenden Zertifikats genutzt Im Extended Authentication XAUTH verwenden Wird IPSec Tunneling genutzt so kann die Authentisierung ber Extended Authenti cat
136. der Schl ssel in das Feld eingetragen werden Der Pre shared Key muss in diesem Fall f r alle Clients identisch sein IP Adressen und DNS Server k nnen ber das Protokoll IKE Config Mode Draft 2 zugewiesen werden F r die NAS Einwahl k nnen alle blichen WAN Schnittstellen verwendet werden Die Authentisierung bei IPSec Tunneling kann ber das XAUTH Protokoll Draft 6 er folgen Dazu m ssen au erdem noch folgende Parameter im Konfigurationsfeld Iden tit t gesetzt werden Benutzername Kennwort des IPSec Benutzers Passwort Passwort des IPSec Benutzers Zugangsdaten aus verwenden optional Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der IPSec Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Unter st tzt die Gegenstelle DPD nicht so kann DPD im Parameterfeld IPSec Einstellun gen deaktiviert werden Der Einsatz von NAT Traversal erfolgt beim IPSec Client automatisch und ist immer n tig wenn auf dem weg zum Zielsystem ein Ger t mit Net work Address Translation zum Einsatz kommt D Basiskonfigurationen in Abh ngigkeit vom IPSec Gateway Im folgenden sind Konfigurationsm glichkeiten aufgef hrt die zu beachten sind je nachdem ob das IPSec Gateway Extended Authentication XAUTH
137. det siehe gt Verbindung Men im Monitor Verbindungssteuerung Eine Verbindung kann erst dann wieder neu aufgebaut werden wenn Sie die Sperre aufheben 64 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 1 13Beenden des Monitors Wurde die Verbindung bereits getrennt beendet ein Klick auf diesen Men punkt oder der Schlie en Button den Monitor x Besteht noch eine Verbindung kann nach Klick auf diesen Men punkt oder den Schlie Ben Button der Monitor ebenfalls beendet werden Beachten Sie jedoch unbedingt dass die Verbindung dabei nicht automatisch getrennt wird Soll die m glicherweise kosten pflichtige Verbindung bestehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Best tigung von der Software verlangt xj Klicken Sie in diesem Best tigungsfen ster auf Nein so haben Sie auf Ihrer 7 Desktop Oberfl che kein Icon und keinen Hinweis mehr darauf dass noch eine Ver bindung aktiv ist und Gebiihren anfallen k nnen In diesem Fall miissen Sie den Monitor erneut starten um eine bestehen de Verbindung korrekt zu beenden Best tigung NCP engineering GmbH 65 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 Konfiguration vorgenommen werden die l nger als eine Session bestehen sollen Dies betrifft das Anlegen der Profile die Konfiguration der IPSec Verbindungen die Firewall Einstellungen sowie die Eingabe einer Amtsholung
138. det werden soll Bitte beachten Sie zur Lizenzierung die Beschreibung im Handbuchabschnitt zum Mo nitor Men punkt Hilfe Lizenzinfo und Aktivierung Bei der Installation des NCP Secure Clients unter Windows XP und Windows Vista Die Systemeigenschaften des Betriebssystems Windows XP sind bei Neueinrichtung restriktiv beschaffen Sie sind standardm ig so eingestellt dass bei der Installation von Treiber Software die nicht von Microsoft lizenziert wurde ein MS spezifischer sogenannter Windows Logo Test durchgef hrt wird in dessen Folge das Betriebssy stem davor warnt die Treiber Software zu installieren Dem kann auf zwei Arten be gegnet werden M ndern Sie die restriktive Einstellung des Systems Unter System Systemeigenschaf ten Hardware Ger temanager Treibersignaturoptionen ndern Sie das Vorgehen von Windows auf Ignorieren Software unabh ngig von Zulassung installieren M Nehmen Sie die obige Einstellungs nderung nicht vor erscheint w hrend des Setups nach dem Kopieren der Dateien eine Meldung die vor der Installation des Client Adapters warnt ignorieren Sie diese Meldung und klicken Sie auf Installation fortsetzen Installation von der CD Nachdem Sie die CD in das Laufwerk Ihres Computers eingelegt haben erscheint nach einigen Sekunden automatisch die Begr ungsmaske auf Ihrem Monitor Sie w hlen aus welches Produkt Sie installieren m chten und klicken anschlie end auf
139. die Installation der Software fortgesetzt werden NCP Secure Entry Client InstallShield Wizard Lizenzvereinbarung NC SECURE COMMUNICATIONS W Bitte lesen Sie die nachfolgende Lizenzvereinbarung sorgf ltig durch Mit der BILD NACH UNTEN Taste k nnen Sie den Rest der Vereinbarung sehen NCP engineering Software Lizenzvertrag Nachfolgend sind de Vertragsbestimmungen f r die Benutzung von NCP Software durch Sie den Endanwender im folgenden auch Lizenznehmer aufgef hrt Durch Ihre Best tigung nach dem Lesen dieser Meldung erkl ren Sie sich mit diesen Vertragsbedingungen einverstanden Daher lesen Sie bitte den nachfolgenden Text vollst ndig und genau durch Wenn Sie mit diesen Vertragsbedingungen nicht einverstanden sind so ist die Software nicht benutzbar E Sind Sie mit allen Bedingungen der Lizenzvereinbarung einverstanden Wenn Sie Nein ausw hlen wird das Setup beendet Um NCP Secure Entry Client installieren zu k nnen m ssen Sie dieser Vereinbarung zustimmen InstallShield lt Zur ck Ja SECURE ENTRY CLIENT INSTALLATION Anschlie end bereitet das Setup Programm den Install Shield Assistenten vor mit dessen Hilfe die Installation fortgesetzt wird Lesen Sie bitte die Hinweise im Willkommen Fenster des Setup Programms bevor Sie auf Weiter klicken Bitte beachten Sie den nebenstehenden Hinweis und deaktivieren Sie VPN Client und Personal Firewall eines fremden He
140. diskutiert wird und so lange in der Liste der RFCs gehalten wird so lange sie sich in der Praxis bew hrt Vorformen der RFCs sind Drafts Routing Tabellen Router ben tigen f r die Wegewahl im Netz Infor mationen ber die g nstigsten Routen von der Quelle zum Ziel Mit Hilfe der Routing Tabellen werden diese Strecken vom Router kalkuliert 212 NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE W hrend beim statischen Routing die Tabellen fest vorgegeben sind erh lt der Router beim dynami schen Routing ber Router Informationsprotokolle z B RIP NLSP OSPF Informationen ber das Netz die zu selbst erlernten Routing Tabellen zu sammengesellt werden und st ndig aktualisiert werden RSA Das erste Verfahren das die Anforderungen an die Public Key Kryptographie erf llte Wurde 1977 von Ron Rivest Adi Shamier und Leonard Adle mann erfunden Schnittstelle Interface Festlegung der zwischen zwei Ger ten bei der Datenfern bertragung im allgemeinen zwischen Datenendeinrichtung und Daten bertra gungseinrichtung erforderlichen elektrischen Verbindungsleitungen der auf diesen herrschen den elektrischen Werten der zur Funktion erfor derlichen Signale sowie der Betriebsweise und Be deutung dieser Signale Man unterscheidet nach parallelen und seriellen Interfaces SHA Secure Hash Algorithm siehe auch Signatur Signatur Bei der digitalen Signatur wird mathematisch eine Verkn pfung zwis
141. dm ig beim Anlegen eines neues Zielsystems aktiviert Wenn IP Network Address Translation verwendet wird werden alle bertragenen Frames mit der ausgehandelten PPP IP Adresse verschickt Die Workstation Software bersetzt diese ffentliche IP Adresse in die syste meigene des Intranets oder im Falle der Worksta tion in deren eigene vom Benutzer festgelegte Allgemein ber NAT ist es m glich in einem LAN mit inoffiziellen IP Adressen die nicht im 208 NCP engineering GmbH SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Internet g ltig sind zu arbeiten und trotzdem vom LAN aus auf das Internet zuzugreifen Dazu wer den die inoffiziellen IP Adressen von der Software in offizielle IP Adressen bersetzt Dies spart zum einen ofizielle IP Adressen die nicht in unbe grenzter Anzahl zur Verf gung stehen Zum ande ren wird damit ein gewisser Schutz Firewall f r das LAN aufgebaut IPCP Internet Protocol Control Protocol IPsec Standards festgelegt von IETF RFCs 2401 2412 12 98 IPX Internet Packet Exchange Netware Protokoll von Novell IPXCP Internetwork Packet Exchange Control Protocol ISDN Integrated Services Digital Network Dienste inte grierendes digitales Fernmeldenetz Digitales Netz mit Integration aller Schmalband Kommunikati onsdienste z B Fernsprechen Telex Telefax Te letext Bildschirmtext bestehend aus Kan len mit einer bertragungsgeschwindigkeit von 64 000 bit s Ein Basisanschluss
142. dress Vergabe z B Ver waltungseinheiten Geb ude Abteilungen etc O F r den Anschluss ans Internet ben tigen Sie eine offizielle einmalige Internet Adres se O Vergeben Sie wenn m glich keine IP Adresse deren Netzwerk oder Host Abschnitt mit 0 endet Dies k nnte zu Fehlinterpretationen und undefinierbaren Fehlern im Netz f hren CI Netzmasken werden vom Internet Protokoll nur ausgewertet wenn die Netzwerknum mern der Kommunikationspartner gleich sind I Wie die Adress Klassen haben auch die Netz Masken unterschiedlich lange Netzwerk Abschnitte 182 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 2 Security rationsparameter zu IPSec fiir den Einsatz in Remote Access Umgebungen gesam 1 Im Parameterfeld IPSec Einstellungen der Profil Einstellungen sind die Konfigu melt Im folgenden wird auf einige Konfigurationsm glichkeiten Bezug genommen 7 2 1 IPSec bersicht IPSec kann nur f r IP Datenverkehr eingesetzt werden Die IPSec Spezifikation um fasst nicht nur das Layer 3 Tunneling sondern auch alle notwendigen Sicherheitsme chanismen wie starke Authentisierung Schl sselaustausch und Verschl sselung Mit den IPSec RFCs 2401 2409 l sst sich ein VPN mit vorgegebener Security f r IP realisieren Tunneling und Security sind f r IPSec vollst ndig beschrieben so dass ein komplettes Rahmenwerk f r das VPN zur Verf gung steht Prinzipiell ist es m gl
143. dungsaufbau eingegeben werden d a Anschlie end m ssen Sie die PIN f r das Zertifikat eingeben 8 Sie lautet 1234 Nachdem die Testkonfiguration angelegt wurde kann sofort eine Test Verbindung aufgebaut werden sofern die Verbindung im LAN Modus stattfindet Assistent f r die erste Konfiguration Testverbindungen sind hergestellt NC Die Konfiguration wurde eingerichtet Sie konnen im Telefonbuch jederzeit weitere Ziele hinzuf gen Bitte w hlen Sie aus welche Verbindung Sie testen m chten estverbindung IPSec native Klicken Sie dazu den Test Button an Nach dem Verbindungsaufbau stellt sich die Oberfl che des Client Monitors wie im linken Bild dar Verbindung Konfiguration Log Fenster Hilfe Profil Amtsholung Testverbindung IPSec native Verbinden Trennen INC Statistik Yerbindungszeit 00 00 10 Timeout sec 90 Daten Tx in Byte 0 Richtung out Daten Rx in Byte 0 Yerbindungsart LANM AN Durchsatz KB s 0 000 Yerschl sselung AES 192 Software ist nicht aktiviert Een noch 30 Tage g ltig e Soll die Testverbindung ber eine andere Verbindungsart als LAN erfolgen so beachten Sie bitte zur weitergehenden Konfiguration eines Profils die Beschreibungen unter Client Monitor Profil Einstellungen und Konfigurationsparameter IPSec Einstellungen Zur Aktivierung der Software beachten Sie bitte de
144. dwert 255 255 255 0 son dern 255 255 248 0 bef nden sich die IP Adressen im gleichen Subnet und Routing w rde nicht stattfinden Beispiel 2 Zwei IP Adressen mit 160 149 115 8 und 160 149 117 201 und der Netz Maske 255 255 252 0 befinden sich im gleichen Netzwerk 160 149 geh ren aber unterschied lichen Subnets an Bin re Darstellung 160 149 115 8 160 149 117 201 255 255 252 0 10100000 10010101 o11100 11 00001000 10100000 10010101 o11101 01 11001001 1114111421 1111273121 11111 00 00000000 Netzwerk Subnet UNI Die Wahl einer geeigneten Netzmaske h ngt von der Netzwerk Klasse der Beschaffen heit der m glichen Subnets ihrer Anzahl und ihrem Wachstum ab Ziehen Sie zur Pla nung einschl gige Tabellen oder einen Subnet Taschenrechner zu Rate Subnet Tabelle Klasse C Subnet Bits Host Bits Netz Maske Subnets Rechner 2 6 255 255 255 192 2 62 3 E 255 455 255 224 6 30 4 4 255 255 255 240 14 14 5 3 255 255 255 248 30 6 6 2 255 255 255 252 62 2 Berechnung 2 hoch n minus 2 Anzahl der Subnets Rechner n Anzahl der Subnet Host Bits Mit einer Netz Maske 255 255 255 240 wird ein Netz der Klasse C in Subnets geteilt Mit dieser Netz Maske sind insgesamt 14 Subnets mit jeweils max 14 Rechnern m g lich 255 255 255 240 11111111 11111111 11111121231 111 1 0000 LRD 9 99 139 11000111 00001001 01100011 1000 0010 Subnet Nummer 8 1997 9 99 146 11000111 00001001 01100011 1001 0010
145. e Feld des Client Monitors zeigt je nach Konfiguration verschiedene Icons sie w hrend der Phasen des Verbindungsaufbaus einen jeweils verschiedenen Status an nehmen k nnen Hinweise zu ihrer Bedeutung geben Kurzinfos sobald der Mauszeiger ber eines der Icons streift Im folgenden sind die Statusanzeigen wie in untenstehen der Abbildung von links nach rechts beschrieben Statusanzeigen st he a PIN Status Firewall Headquarters Chipkartenleser Corporate Network EAP Authentisierung Firmenzentrale EAP Authentisierung Wenn eine erweiterte Authentisierung mittels Extensible Authentication Protocol EAP in den EAP Optionen aktiviert wurde wird dies mit dem EAP Icon angezeigt Die Farbe Gelb symbolisiert die EAP Verhandlungsphase Rot eine fehlgeschlagene Authentisierung die Farbe Gr n die erfolgreiche Authentisierung mit EAP Durch ei nen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt werden Anschlie Bend erfolgt automatisch eine erneute EAP Verhandlung Bei erfolgreicher Authentisierung gegen ber einer Netzwerkkomponente gibt die Ge genstelle zur ck welches Protokoll verwendet wurde was immer mit einem Symbol in Gr n und der Bezeichnung MD5 oder TLS dargestellt wird Erscheint EAP Symbol in der Farbe Rot und die Verbindung wurde trortdem aufge baut so bedeutet dies dass im Client EAP konfiguriert wurde die Netzwerkkomponen te jedoch kein EAP ben tigt Chipkartenleser
146. e Hilfe kontextunabh ngig mit Inhaltsverzeich nis und Index ge ffnet werden Au erdem kann hier der Lizenzschl ssel eingegeben und die Versionsnummer der Software abgelesenn werden 4 5 1 Lizenzinfo und Aktivierung eg sl Unter dem Men punkt Lizenzinfo und Aktivierung wird die eingesetzte Software Version und gegebenenfalls Installierte Software Version B Produkt NCP Secure Entry Client die lizenzierte Version mit Version 8 30Buld4l Seriennummer angezeigt ServicePack e tl Wir die Software als Testversion Produkt NCP Secure Entry Client d P La Version 8 30 S eingesetzt so kann die verbliebene Seriennummer lg Ge Top Testversion abgelaufen Dauer der G ltigkeit im Popup Aktivierung Nicht aktiviert abgelesen werden Aktivierung Lizenzierung S a DR Die Software mu zur Lizenzierung als Vollversion mit dem Um eine zeitlich unbegrenzt g ltige erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet Vollversion nutzen zu k nnen muss bzw aktiviert werden 1 Mit der Lizenzierung der Software akzeptieren Sie die die Software mit dem erhaltenen PER Lizenzschl ssel und der Seriennummer freigeschaltet werden IS Mit der Aktivierung der Software akzeptieren Sie die Lizenzbedingungen die nach Lizenznehmer aufgef hrt Durch Ihre Best tigung nach dem Lesen dieser Meldung erkl ren Sie sich mit diesen Yertragsbedingungen einverstanden
147. e in der Men leiste von links nach rechts sind CO Verbindung O Konfiguration O Log O Fenster 17 Hilfe 48 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 1 Verbindung bindung Informationsfenster zum aktuellen Verbindungsaufbau sowie zur Darstellung der eingesetzten Zertifikate Die PIN f r das Zertifikat kann hier eingegeben und ggf ge ndert werden Au erdem kann hier die Statistik der Verbindungsteuerung abgelesen werden und gegebenenfalls die Sperre der Verbindungssteuerung gel st werden wenn ein von Ihnen ge setztes Limit berschritten wurde 1 Unter diesem Men punkt befinden sich die Kommandos zum Aufbau und Trennen einer Ver NCP engineering GmbH 49 SECURE ENTRY CLIENT CLIENT MONITOR 4 1 1 Verbinden Mit diesem Befehl wird eine Verbindung aufgebaut Eine Verbindung kann nur aufge baut werden wenn ein Ziel aus dem Telefonbuch selektiert ist siehe gt Telefon buch Zielsystem Wenn Sie die Funktion Verbinden w hlen wird die Anwahl an das ausgew hlte Ziel system manuell durchgef hrt Der jeweilige Status des Verbindungsaufbaus wird gra fisch dargestellt siehe Eine Verbindung herstellen Wenn Sie je nach Zielsystem die Verbindung manuell oder automatisch herstellen wollen so k nnen Sie dies im Te lefonbuch mit dem Parameter Verbindungsaufbau im Feld Verbindungssteuerung definieren siehe gt Telefonbuch Verbindung 4
148. e seiner Schnittstellen eine IP Adresse mindestens jedoch zwei eine f r den Anschluss zum lokalen Netz LAN IP Adresse eine f r den Anschluss zur WAN Seite NOP engineering GmbH 179 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 1 3 Netzmasken Subnet Masks In einem Wide Area Network k nnen verschiedene physikalisch getrennte Netze LANs dem gleichen Netzwerk WAN mit der gleichen Netzwerknummer angeh ren Anhand dieser Netzwerknummer allein kann kein Router entscheiden ob er bei einer IP Kommunikation eine Verbindung zu einem physikalisch anderen Netz innerhalb des WANs aufbauen soll Das Netzwerk WAN muss daher in kleinere Abschnitte LANs unterteilt werden die einen eigenen Adressblock erhalten Jeder Adressblock der ein zelnen physikalischen Netze wird als Subnet bezeichnet Durch diese Unterteilung ei nes Netzwerks in Subnets wird die Hierarchie aus Netzwerk und Rechner zu einer Hier archie erweitert aus Netzwerk Subnet und Rechner Diese erweiterte Hierarchie erleichtert zum einen das Auffinden eines Rechners im Ge samtnetz WAN Man kann sich dies vorstellen analog zur Nomenklatur im Telefon netz wo zum Beispiel die Ortsvorwahl aussagt in welchem Bereich sich ein Anschluss befindet Diese Hierarchie gew hrt auch eine gewisse Zugriffssicherheit So kann in ei nem Firmennetz zum Beispiel der Rechner eines Subnets nicht ohne weiteres auf Res sourcen eines anderen Subnets zugreifen etwa ein Mitarb
149. eder Betrieb und jede Privatperson kann sich daran anschlie en und mit allen anderen angeschlossenen Benutzern kommunizieren unabh ngig von der eingesetzten Rechnerplattform oder der jeweiligen Netztopolo gie Damit der Datenaustausch zwischen den unter schiedlichen Rechnern und Netzen innerhalb des Internets m glich wird ist ein allen gemeinsames Netzwerkprotokoll n tig siehe TCP IP IP Adresse Jeder Rechner im Internet besitzt f r die Dauer sei ner Zugeh rigkeit zum Internet eine IP Adresse Internet Protokoll Adresse die ihn eindeutig identifiziert Eine IP Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte getrenn te Zahlen F r jede Zahl stehen 8 Bits zur Verf gung womit sie 256 Werte annehmen kann Die Anzahl der m glichen IP Adressen insgesamt bleibt jedoch begrenzt Der Internet User bekommt daher nicht einmalig eine unver nderliche IP Adresse zugeteilt sondern f r jede seiner Sessions die IP Adresse die gerade noch nicht vergeben ist Die IP Adressen werden also f r die Dauer eines Zeitschlitzes zugeteilt Diese Adress Zuteilung er folgt im Regelfall automatisch per PPP Verhand lung ber DHCP Die IP Adresse kann von spezi ellen Programmen in einen Namen bersetzt wer den Diese Programme laufen auf einem Domain Name Server DNS IP Network Address Translation IP Network Address Translation wird bei der In stallation der Workstation Software bereits vorge sehen und ist standar
150. ei jeder verschl sselten VPN Verbindung eines Secure Clients zum NCP Secure Server findet ein automatischer Datenabgleich zwischen Secure Client und Enterprise Management fr her Update Server statt Bei reinen W hlverbindungen ist dieser Up date Service nicht nutzbar Ist ein Enterprise Management Server Update Server installiert und die entsprechen de Konfiguration durchgef hrt schickt der NCP Secure Server VPN Gateway nach Authentisierung des Clients die IP Adresse des Management Servers Update Servers zum Client Wurde der Update Client entsprechend konfiguriert siehe unten die Regi stry Eintr ge so wird eine erweiterte Log Ausgabe erzeugt in der die IP Adresse des Management Servers unter dem Eintrag PRIDLS Primary Download Server zu finden ist Ist der NCP Secure Enterprise Management Server hinter einem fremden VPN Ga teway installiert so muss dessen IP Adresse im Telefonbuch des Secure Clients hinter legt sein unter DNS WINS Management Server Im Anschluss daran kontaktiert der Dienst rwsrsu vom Client den Management Server Update Server um einen Versionsvergleich vorzunehmen Dies geschieht mindestens nach jedem Neustart des Secure Clients bei der ersten VPN Verbindung zum zentralen VPN Gateway Sobald der Dienst rwsrsu erkennt dass eine neuere Version f r den Secure Client be reitliegt wird je nach Konfiguration eine neue Software eine aktualisierte Konfigurati on Telefonbuch eine PKCS 12 Da
151. eine Kommunikation ber den angegebenen Port zu wenn dieser als Ziel Port im abgehenden bzw als Quell Port im eingehenden Paket vorkommt Soll z B eine Regel nur Telnet zu einem anderen System zulassen ist hier Port 23 einzutragen Mehrere Ports Bereiche k nnen verwendet werden wenn mehrere Ports f r eine Regel verwendet werden sol len z B FTP Port 20 21 78 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR E Firewall Regel Anwendungen Firewall Regel Gel Regel einer bestimmten Allgemein Lokal Remote Anwendungen Anwendung zuweisen A Anwendungen besagt dass bei gesperrter Diese Firewall Regeln gilt nur f r eine bestimmte Anwendung z B Gr undeinstellung f r die se Internet Exlporer Anwendung eine Verbindung IV Regel einer bestimmten Anwendung zuweisen m glich ist Wird ber den Anwendung Button Anwendung C Programmetping exe ausw hlen eine lokal Anwendung ausw hlen installierte Anwendung wie z B ping exe selektiert so kann nur diese Applikation kommunizieren In diesem Fall d rfen nach dieser Regel nur Pings ausgef hrt werden In diesem Beispiel sollte dann auch beachtet werden dass vom Protokoll her ICMP zugelassen ist Lokale IP Ports Beachten Sie dass auch der h rige Port selektiert sei C Alle IP Ports E rs selektiert sein Eindeutiger IP Port S Mehrere IP Ports Bereiche E Mail Anwendung 80 te mz ttp 50 i Bearbeiten
152. eiter aus der Fertigungsab teilung auf Datenbest nde aus der Personalabteilung wenn die Netz Masken nach Fir menabteilungen entsprechend gew hlt sind Die Netz Maske Subnet Mask gibt den Standort des Subnet Felds in einer IP Adresse an Die Netz Maske ist eine bin re 32 Bit Zahl wie eine IP Adresse Sie hat eine 1 an allen Stellen des Netzwerk Abschnitts der IP Adresse je nach Netzwerk Klasse in nerhalb des ersten bis dritten Oktetts Das darauf folgende Oktett gibt die Position des Subnet Feldes an Die im Subnet Feld an den Netzwerk Abschnitt aufschlie enden Einsen geben die Subnet Bits an Alle brigen Stellen mit 0 verbleiben f r den Host Abschnitt Beispiele Beispiel 1 Die Netzmaske dient der Interpretation der IP Adresse So kann eine Adresse 135 96 7 230 mit der Maske 255 255 255 0 so interpretiert werden Das Netzwerk hat die Adresse 135 96 0 0 das Subnet hat die Nummer 7 der Rechner Nummer 230 Eine IP Adresse mit 135 96 4 190 geh rt dem gleichen Netzwerk aber einem anderen Subnet 4 an Bin re Darstellung 13 5 96 7 23 0 10000111 11000000 00000111 11100110 135 96 4 190 10100000 10010101 00000100 10111179 255 255 255 0 11111111 11111111 11111111 00000000 Netzwerk Subnet 255 255 248 0 11111111 11111111 11111 000 00000000 180 O NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN H tte die Netz Maske in obigem Beispiel nicht den Standar
153. el Allgemein Firewall Regel eh Einzelregeln stellen immer Aus EST nahmen von der Grundeinstellung dar siehe gt Grundeinstellung Aktivet 2 Bidirektional y Name der Regel Mit diesem Namen erscheint die Regel in der Anzeigeliste Status Die Regel wird nur dann auf Datenpakete angewendet wenn der Status aktiv ist Richtung Mit der Richtung geben Sie an ob diese Regel f r eingehende oder ausgehende Daten pakete gelten soll Wird die Richtung auf ausgehend gesetzt wird nach dem Prinzip von Stateful Inspectiongearbeitet siehe gt Eigenschaften der Firewall Stateful In spection wird jedoch nur f r die Protokolle UDP und TCP angewendet Auf einge hend kann z B dann geschaltet werden wenn von Remote Seite eine Verbindung auf gebaut werden soll z B f r eingehende Rufe oder Administrator Zugriffe Die Einstellung bidirektional ist nur sinnvoll wenn Stateful Inspection nicht zur Ver f gung steht z B f r das ICMP Protokoll bei einem Ping Die Regel soll f r folgende Netze angewendet werden Beim Neuanlegen einer Regel ist diese zun chst keinem Netz zugeordnet Eine Regel kann erst dann gespeichert werden wenn die gew nschte Zuordnung erfolgt ist und ein Name vorgegeben wurde Unbekannte Netze sind alle Netze IP Netzwerkschnittstellen die weder einem bekannten noch einem VPN Netz zugeordnet werden k nnen Darunter fallen z B Verbindungen ber das DF Netzwerk von
154. en Zentrale Anmeldung wird vorbereite A bis die Verbindung steht Server Lokal anmelden 172 NCP engineering GmbH SECURE ENTRY CLIENT VERBINDUNGSAUFBAU E Passw rter und Benutzernamen Das Passwort siehe gt Netzeinwahl Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewiesen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort genau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Auch wenn Sie f r den Verbindungsaufbau automatisch gew hlt haben siehe gt Verbindungsaufbau zum Zielsystem m ssen Sie die Verbindung beim ersten Mal ma nuell aufbauen und das Passwort eingeben F r jeden weiteren automatischen Verbin dungsaufbau wird das Passwort selbst ndig bernommen bis der PC erneut gebootet oder das Zielsystem gewechselt wird D h f r eine Reihe von automatischen Verbin dungsaufbaus wird das Passwort nach der ersten Eingabe und dem ersten Verbindungs aufbau selbst ndig bernommen auch wenn die Funktion P
155. en adressiert werden 178 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Klasse Class B mittlere Netzwerke Netzwerknummern 128 191 Bei Adressen der Klasse B haben die beiden h chsten Bits die Werte 1 und 0 die n ch sten 14 Bits entsprechen dem Netzwerk und die verbleibenden 16 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 2 Byte max 16 384 unterschiedliche Netzwerke Restfeld beansprucht 2 Bytes max 2 hoch 16 65 536 verschiedene Ger te Damit k nnen max 16 384 unterschiedliche Netzwerke jedes mit max 65 526 ver schiedenen Ger ten adressiert werden Klasse Class C kleine Netzwerke Netzwerknummern 192 223 Bei Adressen der Klasse C haben die drei h chsten Bits die Werte 1 1 und O die fol genden 21 Bits entsprechen dem Netzwerk und die letzten 8 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 3 Bytes max 2 097 152 unterschiedliche Netzwerke Restfeld beansprucht 1 Byte max 256 verschiedene Ger te Damit k nnen max 2 097 152 unterschiedliche Netzwerke jedes mit max 256 ver schiedenen Ger ten adressiert werden Beispiel Netz Host Klasse A 122 087 156 045 Klasse B 162 143 085 1 3 2 Klasse C 195 076 212 024 Bitte beachten Sie bei der Adressvergabe dass f r einen einzelnen physikalischen Rechner mehrere IP Adressen verwendbar sein m ssen Eine Workstation kann mit ei ner IP Adresse auskommen Ein Router ben tigt f r jed
156. en deny oder be stimmte Security Richtlinien des IPSec Prozesses kommen an ihm zur Anwendung Diese Security Richtlinien stehen auch im SPD Eintrag beschrieben Wird auf diese Weise festgestellt dass ein IP Paket mit einem SPD Eintrag verkn pft ist der einen IPSec Prozess einleitet so wird berpr ft ob bereits eine Sicherheits NOP engineering GmbH 183 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Verkn pfung Security Association SA f r diesen SPD Eintrag existiert Existiert noch keine SA wird vor dem Aushandeln einer SA zun chst eine Authentisierung und ein Schl sselaustausch siehe unten gt IPSec Verhandlung Phase 1 vorgenommen Nach der SA Verhandlung erfolgen in einem weiteren Schritt siehe unten gt IPSec Verhandlung Phase 2 die Verhandlungen f r eine Verschl sselung ESP und oder Au thentisierung AH der Datenpakete Die SA beschreibt welches Sicherheitsprotokoll verwendet werden soll ESP Encap sulating Security Payload unterst tzt die Verschl sselung und die Authentisierung von IP Paketen AH Authentication Header unterst zt nur die Authentisierung von IP Pa keten Die SA beschreibt auch in welcher Betriebsart das Sicherheitsprotokoll benutzt werden soll Tunnel oder Transportmodus Im Tunnelmodus wird ein IP Header hin zugef gt im Transportmodus wird der Original Header verwendet Weiter beschreibt die SA welcher Algorithmus zur Authentisierung verwendet werden soll welche Ver sch
157. en Sie auf Fertigstellen o ES W hlen der Setup Sprache W hlen Sie eine Setup Sprache aus x Im folgenden Fenster k nnen W hlen Sie die Sprache f r die Installation Sie die Setup Sprache ausw h ja i a der unten aufgefuhiten Auswahl aus len Klicken Sie danach auf OK Bech gt weiter n chste Seite Abbrechen 28 NCP engineering GmbH NCP Secure Entry Client Setup bereitet den InstallShield Wizard vor der Sie durch den weiteren Setup Vorgang f hren wird Bitte warten Abbrechen NCP Secure Entry Client InstallShield Wizard NC SECURE CC ur BR NCP Secure Entry Client 9 00 Build 7 Setup InstallShield r Wizard installiert die NCP Secure Entry Client Software auf Ihrem Computer Klicken Sie auf weiter um fortzufahren high security remote ac Zuruck NCP Secure Entry Client InstallShield Wizard MN ACHTUNG Wichtiger Hinweis Bevor Sie die Installation fortsetzen muss sichergestellt sein dass auf diesem Endger t kein YPN Client sowie keine Personal Firewall eines anderen Herstellers installiert ist Ausgenommen hiervon sind Microsoft Produkte ndemfalls kann es zu Instabilit t bzw Systemabsturz und Datenverlust f hren Die in der NCP Secure Entry Client Software integrierte Personal Firewall bietet alle erforderlichen Sicherheitsmechanismen um Ihr System gegen Attacken aus dem Internet oder dem WILAN zu sch tzen Soll
158. en Sie die Aktivierung zu Ende und verwenden anschlie end den neuen Lizenzschl ssel Bitte beachten Sie dazu den Abschnitt Szenarien am Ende dieses Kapitels NCP engineering GmbH 121 SECURE ENTRY CLIENT LIZENZIERUNG Assistent f r Software Aktiviei ll Der zweite Schritt der Offline Variante wird ber das NCP Monitormen Hilfe Lizenzinfo und Aktivierung Offline Aktivierung Welcher Schritt soll durchgef hrt werden F r die Offline Aktivierung sind 2 Schritte notwendig Bitte w hlen den entsprechenden Schritt anges to en Nachdem die aus Offline Variante gew hlt C Schritt 1 Aktivierungsdatei erstellen Ww urde se 1 ektiere n S ie de n Nach der Eingabe des Lizenzkeys und der Seriennummer wird eine Datei mit den Aktivierungsdaten erstellt Diese Datei mu anschlie end dem NCP zweiten Schritt Aktivierungs Server bergeben werden Nach erfolgreicher Pr fung wird ein Aktivierungs Code zur ckgegeben siehe Schritt 2 Schritt 2 Aktivierungs Code eingeben Nach der Eingabe des Aktivierungs Codes der vom NCP Aktivierungs Server zur ckgegeben wurde kann die Software als Vollversion aktiviert werden lt Zur ck Abbrechen Eeer at Daraufhin ffnet sich ein Fenster des Aktivierungs Code wink gt Wie lautet der Aktivierungs Code ech Aktivierungs Assistenten zur Eingabe des Bitte geben Sie den erhaltenen Aktivierungs Code ein Nach der erfolgreichen berpr fung des Akt
159. en dieses Dialogs die noch g ltige PIN ein zweites Mal eingegeben werden Die Ziffern der PIN werden in diesem und den n chsten Eingabefeldern als Sterne dargestellt letzten Eingabefeld Mit Klick auf OK haben Sie Ihre PIN ge ndert Die einzuhalten den PIN Richtlinien werden unter den Eingabefeldern eingeblendet Sie k nnen im Hauptmen unter Zertifikate gt PIN Richtlinien eingestellt werden Bild oben Anschlie end geben Sie Ihre neue PIN ein und best tigen diese durch Wiederholung im l W hrend der Eingabe einer neuen PIN wird vor die jeweils erf llten Richtlinien das rote Kreuz durch einen gr nen Haken ausgetauscht Bild oben NCP engineering GmbH 63 SECURE ENTRY CLIENT CLIENT MONITOR 4 1 11 Verbindungssteuerung Statistik Die Statistik gibt Ihnen Auskunft ber Ihre Datenkommunikation In ihr werden sowohl gesondert als auch aufaddiert die gesamten Online Zeiten die gesamte Anzahl der Verbindungen und die gesamten Einheiten sowie empfangene und gesendete Kbytes f r den aktuellen Tag den laufenden Monat und das laufende Jahr angezeigt Statistik der Verbindungssteuerung 4 1 12Sperre aufheben Je nachdem wie die Verbindungssteuerung eingestellt ist erhalten Sie bei berschreiten eines Limits Meldungen auf dem Bildschirm Wird ein Limit berschritten und die Verbindung automatisch abgebaut wird eine Sperre aktiv die jeden weiteren Verbindungsaufbau unterbin
160. en eingestellt so wird immer auch automatisch der gleiche Vorschlag zus tzlich mit Extended Authentication generiert und versendet 192 O NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 2 Wird in das Feld f r Pre shared Key ein String eingetragen so werden an die Gegen stelle standardm ig folgende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer ohne Zertifikat erfolgt EA HASH AUTH GROUP LT LS KL AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC SHA PSK DH5 SECONDS 28800 256 AES_CBC MD5 PSK DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC SHA PSK DH2 SECONDS 28800 256 AES_CBC MD5 PSK DH 2 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC SHA PSK DH5 SECONDS 28800 192 AES_CBC MD5 PSK DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC SHA PSK DH5 SECONDS 28800 128 AES_CBC MD5 PSK DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC SHA PSK DH 2 SECONDS 28800 128 AES_CBC MD5 PSK DH2 SECONDS 28800 128 DES3 SHA XAUTH_PSK DH5 SECONDS 28800 0 DES3 MD5 XAUTH_PSK DH5 SECONDS 28800 0 DES3 SHA PSK DH5 SECONDS 28800 0 DES3 MD5 PSK DH5 SECONDS 28800
161. en im Monitormen Externe Anwendungen starten einge tragen werden siehe oben E berwachung AAA eh Die Verbindungssteuerung EEE kann eine automatische berwachung bewirken So k nnen Sie w hlen welche der Limits Sie sich f r Ihre Kommunikation setzen berwachen des Zeitlimits der maximalen Verbindungs aufbauten und oder der maximalen Geb hrenein heiten f r welchen Zeitraum diese Limits g ltig sein sollen Zeitraum der berwachung und wie Sie von Limit berschreitungen in Kenntnis gesetzt werden m chten Meldung und Vorwarnung oder ob ein automatischer Verbindungsabbau stattfinden soll Wenn ein von Ihnen definiertes Limit berschritten wurde wird jede weitere Kommunikation unterbunden bis Sie die Sperre wieder aufgehoben haben siehe gt Verbindung Sperre aufheben NCP engineering GmbH 97 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 7 EAP Optionen In den EAP Optionen kann angege ben werden ob die EAP Authentisie rung nur ber WLAN LAN oder F r alle Netzwerkkarten alle Netzwerkkarten erfolgen soll Die hier gemachte Einstellung gilt global f r alle Eintr ge des Telefonbuchs In der Aktivierungsbox kann die EAP Authentisierung wie folgt eingestellt werden Deaktiviert F r alle Netzwerkkarten Nur f r WLAN Karten Nur f r LAN Karten Das Extensible Authentication Protocols Message Digest5 EAP MP5 kann dann zum
162. en sind Buttons angebracht zu folgenden Funktio nen Konfigurieren Neuer Eintrag Kopieren L schen OK Hilfe und Abbrechen E Neuer Eintrag Profil Um ein neues Profil zu definieren klicken Sie auf Profil Einstellungen Wenn sich das Fenster des Men s ffnet klicken Sie auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Profil mit Ihrer Hilfe ein neues Profil an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen ha ben ist ein neues Profil angelegt F r alle weiteren Parameterfelder des Profils werden Standardwerte eingetragen NOP engineering GmbH 67 SECURE ENTRY CLIENT CLIENT MONITOR Assistent f r neues Profil Gell Mit dem Konfigurations 8 Assistenten k nnen Verbin Verbindungstyp Welche Verbindung soll zum Zielsystem hergestellt werden dun gen mit dem Internet oderzum Firmennetz rasch hergestellt werden Je nach Auswahl des ge w nschten Verbindung styps wird das Profil nach wenigen Konfigurationsab fragen angelegt al Im folgenden die jeweils notigen Daten zur Konfiguration Verbindung zum Firmennetz ber IPSec gt Profil Name gt Verbindungsmedium gt Zugangsdaten fur Internet Dienstanbeiter Benutzername Passwort Rufnummer VPN Gateway Parameter Tunnelendpunkt IP Adresse Zugangsdaten fur VPN Gateway XAUTH Benutzername Passwort IPSec Konfiguration Exch Mode PFS Gruppe Kom
163. entrale I a e Verbinden Trennen Wa Software ist nicht aktiviert noch 30 Tage g ltig Aktivierung Wenn Sie auf Statistik anzeigen klicken werden Informationen zu Datenmenge Verbindungszeit Timeout etc angezeigt Die Monitor Oberfl che ist dann entsprechend gr er Verbindung Konfiguration Log Fenster Hilfe Profil Zentrale D 27 7 Statistik Yerbindungszeit 00 00 00 Timeout sec 0 Daten Tx in Byte 0 Richtung Daten Rx in Byte 0 Yerbindungsart LAN Durchsatz KB s 0 000 Verschl sselung Software ist nicht aktiviert En 4 4 4 WLAN Status anzeigen Unabh ngig vom Verbindungsmedium des aktuell selektierten Linkprofils kann das Feld zur grafischen Anzeige des WLAN Status ge ffnet bzw geschlossen werden wenn im Monitormen Konfiguration unter WLAN Einstellungen eine WLAN Konfiguration aktiviert wurde Wurde eine Multifunktionskarte konfiguriert ist der Men punkt WLAN Status anzeigen nicht aktiv 108 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 4 5 Immer im Vordergrund Wenn Sie Immer im Vordergrund geklickt haben wird der Monitor immer im Bild schirmvordergrund angezeigt unabh ngig von der jeweils aktiven Anwendung 4 4 6 Autostart Mit diesem Men punkt wird der Monitor so eingestellt dass er nach dem Booten selb st ndig startet Autostart ersetzt den Men punkt Fenster
164. entscheiden ob vor dem Windows Logon an einer Wenn vor dem Windows Logon Passw rter und PIN eingegeben werden kann die remote Domain die Anmeldung am Domain Server erfolgen ohne die Passw rter speichem zu m ssen Ve rb 1 ndun g zum Netwo rk SECURE COMMUNICATIONS W Access Server aufgebaut werden soll F r diesen Verbindungsaufbau miissen Sie gegebenenfalls die PIN f r ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben InstallShield Nachdem die Verbindung zum lt Zur ck Abbrechen NAS hergestellt wurde k nnen Sie sich an die remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt Bitte beachten Sie Aktivieren Sie diese Option vor dem Windows Logon so wird hiermit automatisch die NCP Gina installiert Nur wenn die NCP Gina wie in diesem Setup Fnenter m glich nach der Windows Gina installiert ist k nnen die Logon Optionen auch genutzt werden Diese Logon Optionen k nnen ber das Monitormen des Clients unter Konfiguration gesetzt werden Wird die Logon Option hier nicht aktiviert und soll sie jedoch zu einem sp teren Zeit punkt genutzt werden so kann die NCP Gina nach diesem Setup mit dem Kommando rwscmd ginainstall dauerhaft installiert werden Beachten Sie dazu die Beschreibung Secure Client Services im Anhang dieses Handbuchs Danach werden die Dateien Setup Status NC der Client Software eingespielt SECURE C
165. epsec exe Folgende Dienste und Applikationen sind weiter unten ausf hrlicher beschrieben rwsrsu exe ncpbudgt exe rwscmd exe ncprwsnt exe 1 1 bersicht der Ports des NCP Secure Clients bei Win2000 XP ncpmon exe 10544 ncpsec exe 10522 10542 ncprwsnt exe 1701 500 10523 10530 10550 10600 10610 rwsrsu exe Dynamischer Port nach 12501 Management Server bei 98 ME ncpmon exe 10544 ncpbudgt exe 10522 10542 ncpike9x exe 1701 500 10523 10530 10550 10600 10610 rwsrsu exe Dynamischer Port nach 12501 Management Server Weitere Ports PKI 10523 PPPoE 10550 IPHIp 10560 WSUP Driver 10600 DNS Client 10610 A 30 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 1 2 Registry Eintr ge f r den NCP Secure Client Die Registry Eintr ge sind mit dem Registrierungs Editor unter zwei Verzeichnis Pfa den zu finden Software Ncp Engineering GmbH NCP RWS GA 6 0 und Software Ncp Engineering GmbH NCP Secure Client siehe Bild unten o Registrierungs E ditor CC NCP engineering GmbH NCP Gina REG_SZ wert nicht gesetzt REG_SZ Secure Client Monitor REG_5Z Secure Client Popup REG_5Z Secure Client Tracer REG_5Z Uninstall CH NCP Trap Monito REG_SZ CAWINNTAncple Netscape i REG_SZ CAWINNTAncple Nico Mak Computing Si REG_DWORD 000000001 1 REG_DWORD 000000001 1 REG_DWORD 000000000 0 3 Program Groups i REG_SZ 13 3 Rhino Software REG_SZ NCP Secure Client 3 Rh
166. er Online Aktivierung werden die Lizenzdaten ber eine Internetverbindung zum NCP Aktivierungs Server bertragen Diese Internetverbindung kann entweder ber den DF Dialer oder DSL hergestellt werden oder ber den Entry Client Soll die Internetverbindung nicht ber den Entry Client hergestellt werden so muss die Verbindung zun chst hergestellt werden um anschlie end ber das Monitormen Hil fe Lizenzinfo und Aktivierung den Aktivierungs Assistenten zu starten Assistent f r Software Aktivierung Zn Soll der Entry Client zum Internet Einwahl Verbindungsaufbau ins Internet Wie soll die Verbindung zum Internet hergestellt werden g enutzt wer d en B il d links so muss zun chst ein geeignetes Profil f r den Entry Client hergestellt werden Dabei ist darauf zu achten dass bei _ aktivierter Firewall der Port 80 Eengel fir HTTP freigeschaltet ist TE Sollte ein Proxy Server im Betriebssystem konfiguriert sein k nnen dessen Einstellungen nach Klick auf Proxy Einstellungen bernommen werden Nachdem das Profil selektiert wurde klicken Sie auf Weiter 116 NCP engineering GmbH SECURE ENTRY CLIENT LIZENZIERUNG Die Internetverbindung ber den Entry Client muss nicht eigens vor der Aktivierung aufgebaut werden Sie wird automatisch aufgebaut nachdem das gew nschte bestehen de Profil im Assistenten f r Software Aktivierung ausgew hlt wurde und der Button Weiter angeklick
167. er Token PKCS 11 2 2 2 2 2 nn nn 26 2 2 Installation der Client Software ne E Installation und Hiamoe p ma aa e Installation von CD e e 2 pae nn Al 2 2 1 Standard Installation e 28 2 3 Assistent f r die erste Konfiguration e 34 2 4 Update und Deinstallation EE 2 5 Upgrade auf den Secure Enterprise Client pla a E a a a 2 6 ProjeKtzELO020 a a sis po a e ee nn S 3 Client Monitor s sp a s ssw Pa o 39 3 1 Die Oberfl che des Client Monitors 2 2 2 2 2 nn A0 3 1 1 Bedien und Anzeigefelder 2 2 22 nm 40 3 1 2 Das Erscheinungsbild des Monitors 22 2 222 41 Modifikationen der Oberfl che 2 2 2 41 3 1 3 Anwahl ber das Profil an das Zielsystem 2 2 2 2 2 2 42 3 1 4 Die Symbole des Monitors 22 2 2 nn nn A3 3 1 5 Statusanzeigen A4 NCP engineering GmbH 5 SECURE ENTRY CLIENT INHALT EAP Authentisierung 2 2 2 2 m 44 Chipkartenleser A4 PIN St t s e edo e a AR a a E Firewall ee AO 3 1 6 Symbole des Verbndanssaubsus eds da aa A Symbole der NAS Einwahl a a a aa A0 Symbole der VPN Einwahl e A0 4 Monitor Bedienung 2 2 2 CE nr 48 4 1 Verbindung e 49 4 1 1 Verbinden s ow EEN ns e Bias SO 4 1 2 Trennen er a a a DO 4 1 3 HotSpot Amelie la RR RR e e un e SI 4 1 4 Multifunktionskarte e Al Netzsuche ee re Rn E ie a OU GPRS UMTS aktivieren Ba A
168. er einen Management Server erfolgen Beim manuellen Upgrade wird die Software von CD erneut installiert wobei als zu in stallierendes Produkt NCP Secure Enterprise Client eingegeben wird Dabei erkennt das Installationsprogramm dass bereits eine Software Version installiert ist und f hrt nach entsprechender Best tigung ein Update durch siehe 2 4 Anschlie end muss im Popup Men der neue Aktivierungsschl ssel mit Seriennummer eingegeben werden Bei einem Upgrade ber einen Management Server wird im Telefonbuch des Clients die IP Adresse des Management Servers eingetragen siehe Profil Einstellungen IP Adressen Zuweisung DNS WINS Bei der n chsten Einwahl in das Firmennetz wird die Secure Client Software automatisch herunter geladen Bei einer erneuten Anwahl mit dieser neuen Software wird eine Profil Einstellung CNF Datei mit Lizenzierungs schl ssel herunter geladen Damit ist das Upgrade abgeschlossen 2 6 Projekt Logo Das Logo erscheint in einem Panel des Clients ganz unten ber die ganze Breite des Monitors F r das Logo muss eine Ini Datei ProjectLogo ini angelegt werden in der folgendes angegeben werden kann ProjektLogo f r kleine Schriftarten ProjektLogo f r gro e Schriftarten Info Text ToolTip wenn sich der Mauszeiger ber dem Logo befindet HTML Datei wenn ein Maus Click auf das Logo erfolgt Bei der Installation wird nachfolgend dargestellte Datei ProjectLogo ini ins Install
169. erden Verbindungssteuerung D copy copy bat discon Wollen Sie nach dem Verbindungsaufbau den Standard Browser starten so aktivieren Sie diese Funktion und tragen die Website des Browsers ein Anwendung Nachdem Sie die Funktion Externe C Programmetwindows NT Zubeh rwwordpadese Anwendungen oder Batch Dateien starten FE selektiert haben k nnen Sie ber den Button mit Hinzuf gen eine Anwendung oder Batch Datei vom Rechner selektieren die je nach Startoption geladen wird Anwendung nach Verbindungsaufbau starten postcon B vor Verbindungsaufbau starten precon nach Verbindungsaufbau starten postcon nach Verbindungsabbau starten discon Zus tzlich k nnen diese auszuf hrenden Anwendungen auch an ein bestimmtes Profil gebunden werden Die Wait Funktion Warten bis Anwendung ausgef hrt und beendet ist kann dann von Bedeutung sein wenn eine Reihe von Batch Dateien nacheinander ausgef hrt werden soll 96 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Ausf hrung von dis connect bat nicht zulassen Diese Funktion sollte immer aktiviert sein wenn nicht unbedingt f r eine gew nsch te Anwendung die Ausf hrung der genannten Batch Dateien mit Administrator Sy stem Rechten erforderlich ist Beachten Sie dazu die Beschreibung im Handbuchan hang Services Die Anwendungen Batch Dateien f r deren Ausf hrung Benutzer rechte gen gen k nnen ob
170. ergestellt Client PIN amp Je nach Konfiguration im Trennen Lokal Anmelden F 8 Monitormen unter Konfiguration Logon Optionen erfolgt das weitere Vorgehen A 18 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT 1 Der Benutzer gibt wie in der Standard Windows Windows Anmeldung die gefragten Professional Anmeldedaten manuell ein siehe in der Abbildung unten Standard Windows Anmeldung Log On to Windows User name demo01 Passworc LLIIIITTT Log on to AC 2 Die Client Software ber Shut Down gibt die gefragten Anmelde daten automatisch in diese Maske der MS GINA sodass der Benutzer f r das Windows Logon keine Eingaben mehr machen muss Dazu muss in den Logon Optionen Gespeicherte Anmelde daten verwenden aktiviert sein und die Daten in den Feldern eingetragen sein 4 1 Logon Optionen Die Logon Optionen werden ber das Monitormen Konfiguration selektiert Logon Optionen im Handbuch des Clients Bitte beachten Sie zu den m glichen Einstellungen die ausf hrliche Beschreibung der I Anschlie end k nnen Sie w hlen ob ber den Dialog f r Verbindungsauf bau vor der Windows An meldung an einer remote Domain die Verbindung von der Client Software zum Gateway aufgebaut werden soll F r die Verbindung zum Gateway m ssen ggf die PIN f r das Zertifikat wie auch f r die SIM Karte
171. erh lt sein pers nliches Telefonbuch UseDefaultPhonebook 1 jeder Benutzer erh lt dasselbe Telefonbuch InitUserId inituser Hier wird die Benutzerkennung User ID f r die erste An meldung am Management Server eingetragen Diese initia le User ID f r das Rollout ist f r alle Clients gleich Am Secure Server ist daher der Parameter Erlaube mehrfach Benutzer f r diese Benutzerkennung zu aktivieren W hlt Anhang Secure Client Services A43 SECURE ENTERPRISE ENTRY CLIENT SERVICES sich der Client mit dieser ID ein so wird vom Management Server die Aufforderung zur Eingabe von pers nlichem VPN Benutzernamen und Passwort Authentication Code an den Client zuriickgeschickt Erst nach Eingabe der pers nli chen Zugangsdaten kann er ein personalisiertes Telefonbuch bzw Soft Zertifikat erhalten Meldet sich ein Client mit dieser InitUserld an und ist keine LDAP Authentisierung konfiguriert so wird nur nach sei nem VPN Benutzernamen gefragt Dabei wird gepr ft ob f r diesen eingegebenen VPN Benutzernamen ein Verzeich nis am Update Server existiert Ist dies nicht der Fall so wird die Anmeldung abgewiesen der Benutzer hat erneut die Chance zur Eingabe einer VPN User ID Vergleiche Pa rameter CheckUserDirAfterInitLogon CheckUserDir 1 AfterInitLogon Dieser Parametereintrag ist optional Standard 1 1 Bei der ersten Anmeldung InitLogon ohne Authentisie rungs Code mit VPN Benutzernamen wird
172. ert ist ein standardisiertes Proze dere mit Hilfe dessen die Erfassung und Pflege al ler Informationen in einer zentralen Directory er m glicht wird Das T Online Security Manage ment unterst tzt die standardisierten Protokolle Radius Remote Authorization Dial In User Ser vice und LDAP Lightweight Directory Access Protocol wobei letztere den Zugriff auf zentrali sierte Verzeichnisdienste gew hrleistet NCP engineering GmbH 205 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE DMZ Demilitarisierte Zone zwischen Firewall und Un ternehmensnetz zum Beispiel mit Web Email und VPN Server DNS Der Domain Name Server DNS stellt die IP Adresse f r eine Internet Sitzung zur Verf gung nachdem die Anwahl mit Benutzername und Pass wort erfolgte Er routet weiter im Internet indem er die Namen die im Browser als gew nschtes Ziel angegeben werden in IP Adressen r ck ber setzt und die Verbindung zu dieser Adresse her stellt D Kanal Protokoll Das D Kanal Protokoll sorgt daf r dass sich End ger te mit dem Netz verst ndigen k nnen Es steu ert unter anderem Verbindungsauf und abbau Es umfasst Schicht 2 und 3 Auf Schicht 2 von ISDN ist HDLC f r die logische Daten bertragungs steuerung eingesetzt Das eigentliche D Kanal Protokoll ist auf Schicht 3 angesiedelt Mittlerwei le ist DSS1 als europaweites D Kanal Protokoll verf gbar DSA Directory System Agent DSS1 European Digital Subscriber System No
173. ertifikate an zeigen nicht bekannt kommt die Verbindung nicht zustande Sind keine CA Zertifikate im Installations Verzeichnis unter CACERTS gespeichert so findet keine berpr fung statt NCP engineering GmbH 57 SECURE ENTRY CLIENT CLIENT MONITOR D CA Zertifikate anzeigen CA Zertifikate Mit der Client Software werden mehrere Aussteller Zertifikate unterst tzt Multi CA Unterst tzung Dazu m ssen die Aussteller Zertifikate im Installations Verzeichnis unter CACERTS gesammelt werden Im Monitor des Clients wird die Liste der eingespielten CA Zertifikate angezeigt unter dem Men pukt Verbindung Zertifikate CA Zertifikate wi C DE ST Bayem L Nuemberg 0 Test DU Test CN NCP Test CA Emailsinfo ncp c Wird das Aussteller Zertifikat einer Gegenstelle empfangen so ermittelt der Client den Aussteller und sucht anschliefend das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Installations Verzeichnis unter CACERTS Ist das Aussteller Zertifikat nicht bekannt kommt die Verbindung nicht zustande No Root Certificate found Sind keine CA Zertifikate im Installations Verzeichnis unter CACERTS vorhanden so wird keine Verbindung unter Einsatz von Zertifikaten zuge lassen D Anzeige und Auswertung von Erweiterungen bei eingehenden Zertifikaten und CA Zertifikaten Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn
174. erung ber einen Pre shared Key oder eine RSA Signatur erfolgen Entsprechende Richtlini en sind im Richtlinien Editor vorkonfiguriert D Phase 2 Parameter der IPSec Richtlinie IPSec Policy Die SA Verhandlung wird ber den Kontrollkanal abgewickelt Von der IPSec Maschi ne wird die SA an das IKE Protokoll bergeben das sie ber den Kontrollkanal zur IP Sec Maschine der Gegenstelle bertr gt 186 O NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN Kontrollkanal und SA Verhandlung Kontrollkanal Phase 1 SA Verhandlung Phase 2 WSUP e WSUP ee o NIC1 Bildbeschreibung Damit der IPSec Prozess in Gang kommen kann muss vorher die SA verhandelt worden sein Diese SA Verhandlung findet pro SPD die f r verschiedene Ports Adressen und Protokolle angelegt sein k nnen einmal statt F r diese SA Verhandlung wird ein Kontrollkanal ben tigt Im Client muss nun zun chst eine Layer 2 PPP Verbindung zum Provider hergestellt wer den Dabei bekommt er bei jeder Einwahl eine neue IP Adresse Das IPSec Modul im Client bekommt ein IP Paket mit der Zieladresse der Firmenzentrale Ein SPD Eintrag f r dieses IP Paket wird gefunden aber es existiert noch keine SA Das IPSec Modul stellt die Anforde rung an das IKE Modul eine SA auszuhandeln Dabei werden auch die angeforderten Si cherheits Richtlinien wie sie im SPD Eint
175. erwenden 135 Benutze Microsoft DF Dialer 2 22 2 2 2 0 135 5 1 2 Netzemwabt o s ss poa s a e encep aa a hu 136 Benutzername coc soc cod rota g r as aea 137 RASSWORL oender A e a re e ai Ae er ST Passwort speichern e 137 Rufnummer Ziel e 137 Alternative Rufnummern e 138 Script Dat l s s sopa e rs ar ee 188 5 1 3 HTTP Anmeldung cie ra SS Benutzername HTTP odia rd e ee AO Passwort HTTP Anmeldung nn 140 Passwort speichern HTTP Anmeldhne eh e 140 HTTP Authentisierungs Script HTTP Anmeldung e 140 9 1 4 Mode p een e 0 a ee ee A Modem e yas ee u a ee rin AE Anschluss soaa s u e wir ss 142 Baudrate pa a a AZ Com Port freigeben ee A Modem Init String e s e coe eaten e ae a a ea 143 Dial Prefix o opopo eoe ENEE Be 8 a g a AS APN u u en a a a ae AS SIM PIN sog gono 3 22 Keane a a a 1A 5 1 5 Line Management 144 Verbindungsaufbau e 145 Timeout ee ia as AA Voice over IP VoIP p priorisieren o 146 Dynamische Linkzuschaltung Nur f r ISDN soe eiis A L46 Schwellwert f r Linkzuschaltung Nur f r ISDN 146 EAP Authentisierung 147 HTTP Authentisierung e 147 5 1 6 IPSec Einstellungen 148 Gateway cobrar sae 149 IKE Richtlinie 22 oo 149 IPSec Richtlinie e 150 Exch MOde 5 oie 0 12 0 8 0 e A are AO PFS Gruppe pad paa a e ta SO Richtlinien G ltigkeit a ee Ne JO
176. f Neuer Eintrag Jetzt legt der Assistent f r ein neues Pro fil mit Ihrer Hilfe ein neues an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen haben ist ein neues Profil angelegt F r alle weiteren Parameterfelder werden Standardwerte eingetragen Um diese Standardwerte zu editieren d h weitere Parameter so einzustellen wie es den Verbindungsanforderungen zum zugeh rigen Zielsystem entspricht w hlen Sie mit der Maus das Profil aus dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Um die Definitionen eines bereits definierten Profils zu kopieren klicken Sie Kopie ren Um ein Profil zu l schen w hlen Sie es aus und klicken L schen 128 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Parameterfelder Die Parameter die die jeweilige Verbindung ber das Profil zu den Zielen spezifizie ren sind in verschiedenen Parameterfeldern gesammelt In der Kopfzeile steht der Name des Profils siehe auch Profil Einstellungen Konfigurieren Seitlich sind die Titel der Parameterfelder angeordnet 1 Grundeinstellungen Profil Einstellungen Testverbindun 2 Netzeinwahl Grundeinstellunaen Netzeinwahl Line Management 3 HTTP Anmeldung IPSec Einstellungen Identit t IP Adressen Zuweisung EEN VPN IP Netze Zertifikats berpr fung 5 Line Management Link Firewall 6 IPSec Einstel
177. f r Anschl sse an Telekommunikationsanlagen D Unter diesem Men punkt k nnen s mtliche Einstellungen f r die Arbeit mit dem IPSec Client Dar ber hinaus kann eigens konfiguriert werden wie Zertifikate genutzt werden sollen wie die Verbindungssteuerung arbeiten soll und welche Konfigurations Rechte der Benutzer er h lt 66 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 2 1 Profil Einstellungen a Die Eintr ge der Profil Einstellungen Bei einer Erstinstallation der IPSec Client Software ist noch kein Profil vorhanden In diesem Fall wird automatisch ein Konfiguartions Assistent eingeblendet der Ihnen hilft eine Konfiguration anzulegen Damit wird zugleich das erste Profil der IPSec Cli ent Software angelegt Dieser Assistent wird auch gestartet bei Klick auf Neuer Ein trag siehe unten Neuer Eintrag Profil Mit den Profil Einstellungen kann die Parametrisierung f r die Zielsysteme Profil durchgef hrt und die Ubertragungsart den Benutzeranforderungen entsprechend bis ins Detail konfiguriert werden Nachdem Sie auf Profil Einstellungen im Monitor Men Konfiguration geklickt haben ffnet sich das Men und zeigt in einer Liste der bereits verf gbaren Profile de ren Namen und die Rufnummern der zugeh rigen Zielsysteme Profil Einstellungen Profil Name Verbindungsart Rufnummer asian IPSec native Zentrale Auf der rechten Seite der Profil Einstellung
178. ffentlichen WLAN Betreibers arbeiten z B T Mobile oder Eurospot Sind obige Voraussetzungen erf llt so ffnet ein Klick auf den Men punkt HotSpot Anmeldung die Website zur Anmeldung im Standard Browser Nach Eingabe der Zu gangsdaten kann die VPN Verbindung z B zur Firmenzentrale aufgebaut und sicher kommuniziert werden 50 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Die HotSpot Anmeldung erfolgt ber das Monitor Men Verbindung HotSpot An meldung Nachdem dieser Men punkt angeklickt wurde k nnen verschiedene Verbin dungsmeldungen am Bildschirm erscheinen Wenn sich der Benutzer bereits im Internet befindet wird er mit der Startseite http www ncp de verbunden Es erscheint ein Fenster mit folgender Meldung Keine Hotspot Anmeldung notwendig sie befinden sich bereits im Internet Eine Anmeldung am Hotspot ist nicht notwendig oder wurde bereits durchgef hrt deren HTML Startseite in der Form angegeben wird http www mycompagnie de error html und der Text von error html entsprechend ge ndert wird Dieser Text kann vom Administrator ausgetauscht werden indem die Adresse einer an os Ist der Benutzer noch nicht angemeldet erscheint ein Fenster mit der Aufforderung Benutzername und Passwort f r die Anmeldung am HotSpot Betreiber einzugeben Wenn der Benutzer keine Website erreicht erscheint die Microsoft Fehlermeldung not found 4 1 4 Multif
179. fikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung extendedKeyUsage subjectKeyldentifier authorityKeyldentifier extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Er weiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Ze
180. fnummern unterst tzt Beispiel 000441711234567 000441711234568 Die erste Nummer ist die Standard Rufnummer und wird immer zuerst gew hlt Kann keine Verbindung hergestellt werden weil besetzt ist wird die zweite Nummer ge w hlt usw Wichtig Bitte beachten Sie dass der Verbindungsaufbau nur funktionieren kann wenn die Protokoll Eigenschaften f r die Anschl sse der alternativen Rufnummern die glei chen sind a Script Datei Wenn Sie den Microsoft DF Dialer benutzen tragen Sie hier die Script Datei unter Eingabe von Pfad und Namen ein Siehe Grundeinstellungen Micosoft DF Dialer verwenden 138 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 3 HTTP Anmeldung Profil Einstellungen Zentrale Grundeinstellungen HTTP 4nmeldung Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung WPN IP Netze Zertifikats berpr fung Link Firewall genommen werden Zentral erstellte Anmelde Scripts und die hinterlegten Anmeldedaten k n nen vom Access Point HotSpot bernommen werden ohne dass ein Browserfenster ge ffnet wird Mit den Einstellungen in diesem Parameterfeld kann die automatische HTTP Anmeldung vor Sie m ssen den Gesch ftsbedingungen des HotSpot Betreibers zustimmen wenn die Verbin Bitte beachten Sie dass die Verbindung ber einen HotSpot Betreiber geb hrenpflichtig ist dung aufgebaut werden soll Parameter C Benutzername HTT
181. ge Verbindung be stehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Be st tigung von der Software verlangt siehe Bild unten Best tigung Klicken Sie in diesem Best ti gungsfenster auf Nein so haben Sie auf Ihrer Desktop Oberfl che kein Icon und kei nen Hinweis mehr darauf dass noch eine Verbindung ak tiv ist und Geb hren anfallen k nnen In diesem Fall m s sen Sie den Monitor erneut starten um eine bestehende Verbindung korrekt zu been den 176 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 Beispiele und Erkl rungen In diesem Abschnitt des Handbuchs werden einige Grundbegriffe des Routings und des IPSec Verkehrs erkl rt Anhand von Beispielen wird die Konfiguration des IPSec Cli ents f r bestimmte Funktionalit ten dargestellt NCP engineering GmbH 177 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 1 IP Funktionen Um ein IP Netzwerk korrekt zu konfigurieren m ssen die Regeln der IP Adressierung eingehalten werden Untenstehend sind einige Richtlinien und Terminologien aufge f hrt Zu weiteren Informationen ber IP Netzwerke wird entsprechende Fachliteratur empfohlen 7 1 1 Ger te eines IP Netzwerks IP Adressen werden den Schnittstellen der Ger te eines IP Netzwerks zugewiesen Die se Ger te werden auch als Hosts oder Rechner bezeichnet Mehrfach vernetzten Ger ten z B Router k nnen auch mehrere Adressen zuge
182. gene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und z B Internet installiert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher fest gelegter Konfigurationen ab ein Datenpaket durchgelassen wird oder nicht Stateful Inspection ist die Firewall Technologie die den derzeit h chstm glichen Si cherheitsstandard f r Internet Verbindungen und somit das Firmennetz bietet Sicher heit wird in zweierlei Hinsicht gew hrleistet Zum einen verhindert diese Funktionalit t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum ande ren berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Internet Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Ver bindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Net meeting deren Pakete ebenfalls weitergeleitet werden m ssen F r die Kommunikati onspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt wer den darf Alternative Bezeichnungen f r Stateful Inspection sind Stateful Packet Filter Dynamic Packet Filter Smart Filtering Adaptive Screening Stateful Inspection vereinigt konzeptionell die Schutzm glichkeiten von Packet Filter und Application Level Gateways d h sie integriert als Hybrid die Funktionen be
183. haltet werden um in ein und ausgehender Richtung aus schlie lich VPN Verbindungen zuzulassen D NetBIOS ber IP zulassen Mit diesem Parameter wird ein Filter aufgehoben der Microsoft NetBios Frames unter dr ckt Diesen Filter aufzuheben um den Verkehr von NetBios Frames zu gestatten ist immer dann zweckm ig wenn Sie zum Beispiel Microsoft Networking ber den IP Sec Client nutzen In der Standardeinstellung ist dieser Filter gesetzt das hei t der Checkbutton nicht mit einem Haken markiert so dass Microsoft NetBios Frames unterdr ckt werden damit sie den Datenverkehr nicht unn tig belasten Markieren Sie den Checkbutton mit einem Haken werden NetBios Frames over IP erlaubt D Bei Verwendung des Microsoft DF Dialers ausschlie lich Kommunikation im Tunnel zulassen Bei Verwendung des Client Monitors wird bei Aktivierung dieser Funktion verhindert dass eine Kommunikation ber den DF Dialer zum Internet stattfinden kann 170 NCP engineering GmbH SECURE ENTRY CLIENT VERBINDUNGSAUFBAU Verbindungsaufbau Verbindungsaufbau zum Zielsystem Sobald die Software installiert und ein Profil korrekt konfiguriert wurden kann die An wahl ber das Profil an das Zielsystem stattfinden Dabei ist auch die Art der Anwahl Bestandteil der Konfiguration eines Profils Sie k nnen aus drei Anwahl Modi f r den Verbindungsaufbeu w hlen automatisch manuell und wechselnd Sie definieren den Modus des Verbindungsaufbaus zu
184. he Stack Art der Implementierung von IPsec BITW Bump In The Wire Art der Implementierung von IPsec Blowfish Verschl sselungsstandard mit 128 448 Bit BRI Basic Rate Interface ISDN Schnittstelle Basis So mit 2 B Kan len und 1 D Kanal Browser Der Browser stellt die Anwender Schnittstelle zum Internet dar Mit seiner HTTP F higkeit Hyper text Transfer Protokoll kann er verschiedene For mate z B HTML GIF CAD die f r eine multi mediale Darstellung der Information ben tigt wer den in Sound und Grafik umsetzen CA Certification Authority auch Trust Center z B D Trust ein Gemeinschaftsunternehmen der Bundes druckerei und Debis Eine CA stellt mittels PKI Manager Software digital signierte Best tigun gen Zertifikate aus und brennt sie auf eine Smart card Chipkarte Eine CA kann ein privater Dienstleister oder eine ffentiche Einrichtung sein Diese Zertifizierungsstellen bed rfen nicht der Ge nehmigung durch den Staat Sie haften f r die Richtigkeit der Zertifikate CAPI Common Application Programm Interface Diese Schnittstelle wird im ISDN als Common ISDN API bezeichnet und entspricht der PCI Schnittstel le Programmable Communication Interface Die Schnittstelle erlaubt den direkten Zugang zum ISDN und den unteren Protokoll schichten Ebene 1 3 H here Protokolle Anwendungen wie Telex oder Filetransfer k nnen unabh ngig von der ein gesetzten Hardware Plattform verwendet werden Die CAP
185. her InitLogon In diesem Fall werden die folgenden 2 Werte gelesen RsuLogonUserld zu verwendende VPN User ID RsuLogonPw Authentisierungs Code nur bei LDAP Auth n tig A 38 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 3 Konfiguration am Management Servers ncprsu exe Die Information welche IP Adresse der Management Server hat erhalten die Update Clients innerhalb der PPP Verhandlung beim Verbindungsaufbau zum VPN Gateway Ist der Management Server hinter einem fremden VPN Gateway installiert so muss dessen IP Adresse im Telefonbuch des Secure Clients hinterlegt sein unter DNS WINS Management Server Der Rechner mit dem Management Server muss vom NCP Secure Server VPN Gate way im Netzwerk per TCP IP erreichbar sein Wird der Management Server auf dem gleichen Rechner wie der Secure Server VPN Gateway installiert so ist darauf zu achten dass in der Konfiguration mit dem Secure Server Manager die IP Adresse des Management Servers nicht identisch mit der Adres se des Tunnel End Punktes ist den die Clients zum Aufbau des Tunnels verwenden Ansonsten w rde der rwsrsu Dienst versuchen eine Verbindung zum Management Server au erhalb des Tunnels herzustellen was in der Regel bereits von der Firewall unterbunden wird Die weitere Konfiguration des Management Servers erfolgt durch Bearbeitung von Loa Konfigurationsdaten im Hauptmen der Management Console unter Management Se
186. hl Script Verbindungsmanagement Weitere Informationen erhalten Sie unter info ncp de NCP engineering GmbH 17 SECURE ENTRY CLIENT PRODUKT BERSICHT Short Hold Timeout zeit und geb hrengesteuert D Kanalb ndelung im ISDN Dynamisch frei konfigurierbarer Schwellwert E Client Monitor Konfiguration des Telearbeitsplatzes Verbindungssteuerung und berwachung D Connection Manager F r die internationale Einwahl Unterst tzt werden Gric Infonet UUNet 1 4 Secure Entry CE Client Technische Daten D LAN Adapter Ethernet Adapter mit NDIS Interface Wireless LAN Adapter D Betriebssysteme Mobiles Endger t Windows CE 3 0 Handheld PC 2000 Pocket PC 2002 Windows CE net 4 2 Windows Mobile 2003 for Pocket PC Konfigurations PC Windows 98se NT 4 0 ab SP5 2000 XP D Netzwerkprotokolle IP IPSec VPN Unterst tzung von Pre Shared Key und Zertifikaten Zentrale Konfiguration der IPSec Proposals d h das zentrale VPN Gateway bestimmt die Richtlinien f r IKE IPSec Phase 2 f r den Secure Entry Client IPSec nach RFC 2401 2409 Zur Optimierung in Remote Access Umgebungen werden zus tzlich die Drafts XAUTH IKE Config DPD NAT T IP Comp unterst tzt RFCs und Drafts siehe unten 18 NCP engineering GmbH SECURE ENTRY CLIENT PRODUKT BERSICHT el Verschl sselung Triple DES 128 192 Bit Blowfish 128 Bit AES 128 192 256 Bit RSA 1024 2048 Bit u Hash Ve
187. ht ver ndert werden Manage ment Port iiber den der Management Server die Datenbank repliziert MaxSessions 50 Anzahl der Client Sessions die der Management Server gleichzeitig abarbeiten soll Maximal sind 200 Client Sessi ons m glich PrimaryIPAddr 127 0 0 1 NCP Secure Management Server Konfiguration ncprsumgm Management Service Deactiv ncprsusess Client Session Service Deactiv neprsurad RADIUS Service Deactiv ncprsurepl Replication Service Deactiy bermenme Wird der Management Server als Backup Server eingesetzt so wird hier die IP Adresse des Primary Servers angegeben Diese Konfiguration wird vor dem Start des Management Servers im Windows Startmen unter NCP Management Server Configuration vorgenommen siehe Bild oben Anhang Secure Client Services A 4 SECURE ENTERPRISE ENTRY CLIENT SERVICES ServerType 0 NCP Secure Management Server Konfiguration 127 0 0 1 ncprsumgm Management Service Deactiv hcprsusess Client Session Service Deactiv neprsurad RADIUS Service Deactiv ncprsurepl Replication Service Deactiv 0 Management Server wird als Primary Server eingesetzt 2 Management Server wird als Backup Server eingesetzt Diese Konfiguration wird unter Windows vor dem Start des Management Servers im Windows Startmen unter NCP Management Server Configuration vorgenom men siehe Bild oben ReplSecret Wird der Management Server als Backup Server eingesetzt
188. ich herstellerunabh ngige veschiedene Komponenten zu nutzen In Site to Site VPNs etwa k nnten die VPN Gateways von veschiedenen Herstellern stammen in End to Site VPNs k nnten die Clients von einem anderen Hersteller als die Gateways sein Der Verbindungsaufbau zum IPSec Verkehr erfolgt auf Basis des Internet Key Ex change Protokolls IKE m IPSec allgemeine Funktionsbeschreibung In jedem IP Host Client oder Gateway der IPSec unterst zt gibt es ein IPSec Modul bzw eine IPSec Maschine Dieses Modul untersucht jedes IP Paket nach bestimmten Eigenschaften um die jeweils entsprechende Security Behandlung darauf anzuwenden Die Pr fung der vom IP Stack ausgehenden IP Pakete erfolgt bez glich einer Secure Policy Database SPD Dabei werden alle konfigurierten SPDs abgearbeitet Bei Ein satz des IPSec Clients werden die SPDs nur zentralseitig am Gateway gehalten Die SPD besteht aus mehreren Eintr gen SPD Entries die wiederum einen Filterteil beinhalten Der Filterteil siehe Erweiterte Firewall Einstellungen oder Selektor ei nes SPD Eintrags besteht haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des SPD Eintrags bereinstimmen wird aus den SPD Eintr gen wei ter ermittelt wie mit diesem IP Paket zu verfahren ist Das Paket kann einfach durch gelassen werden permit es kann abgelehnt bzw weggeworfen werd
189. ichern 44 2 wer a 137 Passwort speichern IHTTP Anmeldung 140 Passw rter und Benutzernamen 2 2 2 2 2222 173 Personal Firewall 0 0400080240 a 45 PFS Perfect Forward Secrecy 191 PES Gruppe S re rdar a sek 150 PIN ndem uo sa UN E EE E EE E Al E EI 62 63 PIN lt AD tage 2 u 2 3 das ara E e 94 PIN Benutzung e A do o a ea Ban 62 PIN EingabezWwang o o en 62 PIN Richtlidle 00 0 0 aa ern G 95 PIN StatS usa e ana Hana aa a 45 62 PRES 12 D ter EE 91 PKCS 12 Dateiname 2 2 22 om o nen 93 Policies on wre Anke Are ee ne ee ee ee Da 186 PELE eer na e e E Bra A a gef 132 Pre shared Key 47 149 158 193 194 Profil f r automatische Medienerkennung 134 Profil Einstellungen o o 67 128 Profil Name 2 3 4 ner De aa a 131 Profil Sicherung creido 103 Protokoll IPSec Richtlinie o 154 PSee Richtlinie aia ai addon 154 PSK Preshared Key oeae oi a u oo mens 190 PUK Eingabe a oiae coda We ser aa 53 R Revocation E CEET 198 REC2AUN ceca Me ae nee Aa 183 REG 2401 2409 4 5 ya 2 en a e S 183 REC DA ee aa a ee a da 183 Richtlinien pis ass ea einen 186 IS EENHEETEN 194 RSA Signatur ee EN ENEE EE e 149 188 189 R ckrufmod s 4 4 5 8 84 00 a 138 Rufnummer Ziel cocino dae a R 137 RES ies e EE A 146 S A A OE A A 184 SA Verhandlung 186 187 Schwellwert f r Linkzuschaltung 146 eet D
190. ider Security Verfahren und arbeitet sowohl auf der Netz als auch Anwenderschicht Bei der zustandsabh ngigen Paket Filterung werden nicht nur die Internet und Trans portschicht sondern auch Abh ngigkeiten vom Zustand einer Verbindung ber cksich tigt Alle aktuellen und initiierten Verbindungen werden mit Adresse und zugeordne tem Port in einer dynamischen Verbindungstabelle hinterlegt Der Stateful Inspection Filter entscheidet anhand festgelegter Raster Informationen welche Pakete zu wel cher Verbindung geh ren Zust nde k nnen sein Verbindungsaufbau bertragung Verbindungsabbau und gelten sowohl f r TCP als auch UDP Verbindungen Ein Bei spiel an einer Telnet Sitzung Der Zustand Verbindungsaufbau wird dadurch defi niert dass noch keine Benutzer Authentisierung stattgefunden hat Hat der Benutzer sich mit Benutzername und Kennwort angemeldet wird diese Verbindung in den Zu stand normale Verbindung gesetzt Da der jeweilige Status einer Verbindung st ndig berwacht wird bleibt Unbefugten der Zugriff auf das interne Unternehmensnetz ver wehrt Der Vorteil gegen ber statischen Paketfiltern ist dass die Entscheidung ob ein NCP Secure Gateway oder Client ein Paket weiterleitet oder nicht nicht nur auf Grund von Quell und Zieladresse oder Ports f llt Das Security Management pr ft dar ber hinaus NCP engineering GmbH 199 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN den Zustand state der
191. ie relevanten Zertifikate aus einer Datei auf der Festpplatte Ihres Rechners gelesen PKCS 11 Modul W hlen Sie PKCS 11 Modul in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in einem Chipkartenleser oder von einem Token gelesen NCP engineering GmbH 91 SECURE ENTRY CLIENT CLIENT MONITOR Chipkartenleser Wenn Sie die Zertifikate von der Smart Card mit Ihrem Leseger t nutzen wollen w h len Sie Ihren Chipkartenleser aus der Listbox Siehe auch PIN eingeben Chipkartenleser PC SC konform Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automatisch Erst dann kann der installierte Leser ausgew hlt und genutzt werden Die PC SC Schnittstelle wird nur ge ffnet wenn ein Verbindungsaufbau stattfindet bei dem ein Chipkartenzugriff erfolgt D h auch andere Applikationen k nnen im ex clusiven Modus die PC SC Schnittstelle ffnen Chipkartenleser CT A PI konform Mit der aktuellen Software werden Treiber f r die Modelle SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller Nehmen Sie au erdem folgende Einstellung in der Client Software vor Editieren
192. ient unterst tzt wie alle NCP Secure Communications Produkte den Einsatz digitaler Zertifikate in einer Public Key Infrastruktur PKI Ein Upgrade auf die NCP Secure Enterprise L sung mit leistungsstarkem zentralem Management ist optional m glich Technische Daten D LAN Emulation Ethernet Adapter mit NDIS Interface D PC Betriebssysteme Windows 98se Windows NT V4 0 SP5 Windows 2000 Windows ME Windows XP Prof D Netzwerkprotokolle IP IPSec VPN Unterst tzung von Pre Shared Key und Zertifikaten Zentrale Konfiguration der IPSec Proposals d h das zentrale VPN Gateway bestimmt die Richtlinien f r IKE IPSec Phase 2 f r den Secure Entry Client IPSec nach RFC 2401 2409 Zur Optimierung in Remote Access Umgebungen werden zus tzlich die Drafts XAUTH IKE Config DPD NAT T IP Comp unterst tzt RFCs und Drafts siehe unten EAP MD5 EAP TLS Extensible Authentication Protocol erweiterte Authentifikation gegen ber Switches und Access Points Layer 2 D Verschl sselung Triple DES 128 192 Bit Blowfish 128 Bit AES 128 192 256 Bit RSA 1024 2048 Bit Hash Verfahren SHA 1 Secure Hash Algorithm 1 MD5 Message Digit 5 E Personal Firewall IP NAT Network Address Translation Stateful Inspection Applikations und Verbindungsabh ngige Filterregeln Protokoll Port und Adressenbezogene Filterregeln Friendly Net Erkennung Au
193. ies von der Gegenstelle unterst tzt wird Mit DPD pr ft der Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Der Ein satz von NAT Traversal erfolgt beim Client automatisch und ist immer n tig wenn auf Seiten des Zielsystems ein Ger t mit Network Address Translation zum Einsatz kommt Lokale IP Adresse verwenden In diesem Fall wird die aktuell in den Netzwerkeinstellungen des PCs konfigurierte IP Adresse auch DHCP f r den IPSec Client genutzt E IP Adresse manuell vergeben Dies ist die IP Adresse und die Subnet Maske die hier frei eingegeben werden k nnen In diesem Fall wird die hier eingetragene Adresse genutzt unabh ngig von der Konfi guration in den Netzwerkeinstellungen m DNS WINS Mit IKE Config Mode werden dynamisch IP Adressen des Clients des DNS und WINS Servers sowie der Domain Name zugewiesen Wird diese Funktion aktiviert so kann alternativ zu dem DNS WINS Server der auto matisch w hrend der PPP Verhandlung zum NAS ISP zugewiesen wird ein anderer DNS WINS Server bestimmt werden E DNS Server Der zuerst eingetragene DNS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt WINS Server Der zuerst eingetragene WINS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt Domain Name Dies ist der Domain Name der sonst per DHCP dem System in den Netzwerkeinstellun
194. iese WLAN Konfigu ration aktiviert so muss das Management Tool der WLAN Karte deaktiviert werden Alternativ kann auch das Management Tool der WLAN Karte genutzt werden dann muss die WLAN Konfiguration im Monitormen deaktiviert werden Wird die Verbindungsart WLAN f r ein Zielsystem im Telefonbuch eingestellt so wird unter dem grafischen Feld des Client Monitors eine weitere Fl che eingeblendet auf der die Feldst rke und das WLAN Netz dargestellt werden Bitte beachten Sie zur Konfiguration der WLAN Einstellungen die Beschreibung zum ISS Parameter Verbindungsart im Handbuchabschnitt Profile und den Anhang Mobile Computing el Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt so erkennt der Client automatisch welche Verbindungsarten aktuell zur Verf gung stehen und w hlt davon die schnellste aus Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch die Verbindungs art erkannt und eingesetzt die f r den Client PC aktuell zur Verf gung steht wobei bei mehreren alternativen bertragungswegen automatisch der schnellste gew hlt wird In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt 1 LAN 2 WLAN 3 DSL 4 UMTS GPRS 5 ISDN 6 MODEM Die Konfiguration erfolgt mit der Verbindungsart automatische Medienerkennung im Telefonbuch unter Zielsystem Alle f r diesen Client PC vorkonfigu
195. ietet Routinddlerste mz ER his Deaktiviert LocalSystem e RPC Locator Verwaltet die Datenbank f r den RPC Namensdi Manuell LocalSystem so rwsrsu Gestartet Automatisch LocalSystem Server Bietet APC Unterst tzung sowie Datei Drucker Gestartet Automatisch LocalSystem Von dieser Windows Oberfl che k nnen die Eigenschaften der Dienste abgelesen wer den Bild unten bzw die Dienste gestoppt oder gestartet werden TEE zjx Alle Dienste des Secure Clients werden nach der Installation der Software automatisch aus Dienstname neprwsnt dem Installationsverzeichnis Anzeigename SS SES Beschreibung Provides NCP PPP MEM and DIALING services Pfad zur EXE Datei CXAWINNTAncpleincprwsnt exe Starttyp Automatisch Allgemein Anmelden Wiederherstellen Abh ngigkeiten Dienststatus Gestartet Beenden Sie k nnen die Startparameter angeben die bernommen werden sollen wenn der Dienst von hier aus gestartet wird Startparameter Abbrechen bernehmen Anhang Secure Client Services A27 SECURE ENTERPRISE ENTRY CLIENT SERVICES Zus tzlich zu den Diensten befinden sich au erdem auch Applikationen im Installati onsverzeichnis ncptrcw exe 0 Tracer Tue Jan 10 09 24 22 2006 Ncp Secure Client Systeminit RWSGA installation path C WINNT ncple RWSGA phonebook E WINNT ncple ncpphone cfg RWSGA DemVersion 0 Tue Jan 10 09 24 26 2006 NCPIKE initialized successfu
196. ikate Zertificate Certificates werden von einer CA Certification Authority mit tels PKI Manager Software ausgestellt und auf eine Smartcard Chipkarte gebrannt Diese Smartcard enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises ver leihen 216 O NCP engineering GmbH O NCP engineering GmbH A A e EE er e ie E E E 98 Advanced Encryption Standard 203 EEN EE 54 153 AES 128 AES 192 AES 256 o oo 190 Aggressive Mode o o 150 188 A an nr eye a Sr ae bares 184 Aktivierungsschl ssel 37 Alternative Rufnummern 138 Amtsholuns u it a een ee erg 89 138 Anschluss 4 e a tc 142 Anschluss Modern 142 APN 021 4 05 De e a Et e 143 Asymmetrische Verschl sselung 203 Aussteller CAJ usaras cias a pei 56 Austausch Modus 188 Authentication Header 184 Authentisierung IKE Richtlinie 153 Authentisierung am VPN Gateway 2 222222 47 authorityKeyldentifier 2 2 2 2222 58 60 197 Automatische Erkennung der bekannten Netze 81 automatische Medienerkennung 46 55 89 134 Automatischer Modus 150 automatischer Verbindungsaufbau 171 Autostart ss ra aan ee u Magie E e 109 Autostarttyp manuell 2 2 2 Co nennen 196 Baudr te a 3 8 00 ne na nen 142 Beenden des Monitor 176 Benutzername 137 173 Benutzername XAUTH 15
197. inierten Regeln aktiv und die link spezifi sche Firewall nicht aktiv so wird das Symbol ohne Pfeile in der Farbe Rot dargestellt Wurde vom Administrator ein Friendly Net Friendly Net Detection festgelegt und befindet sich der Client darin so wird das Firewall Symbol in der Farbe Gr n darge stellt Die Friendly Net Detection wird im Monitor Konfigurationsmen unter Fire wall Einstellungen Bekannte Netze vorgenommen entweder indem statische Netz werk Routen angegeben werden oder indem die automatische Erkennung der bekann ten Netze aktiviert wird Siehe dazu die Beschreibung unter Firewall Einstellungen Konfigurationsfeld Bekannte Netze Bei aktivierter Link Firewall wird das Symbol mit Pfeilen dargestellt gleich ob die globale Firewall aktiv oder inaktiv ist vieren gt immer und wird konfiguriert dass eine Kommunikation ausschlie lich im Tunnel zugelassen wird so wird das Firewall Symbol mit zwei roten Pfeilen darge stellt e Wird die Link Firewall im Telefonbuch aktiv geschaltet mit Stateful Inspection akti E HH Wird die Option Ausschlie lich Kommunikation im Tunnel zulassen ausgeschaltet so wird das Symbol mit einem gr nen und einem roten Pfeil dargestellt Wird Stateful Inspection nur bei einer bestehenden Verbindung aktiviert so erscheinen die Pfeil Symbole nur nach einem Verbindungsaufbau Ca Die Pfeil Symbole erscheinen vor einer gr nen Firewall wenn zus tzlich zu Optio E
198. ino oft com ab PrgServicePack REG_5Z 0 3 Secure 2 PrgType REG_DWORD 000000000 0 1 Synametrics Technologies ab Prgversion REG_SZ 8 30 ab ProductName REG_SZ NCP Secure Client ab UninstKey REG_SZ NCP AwS GA Anhang Secure Client Services AS31 SECURE ENTERPRISE ENTRY CLIENT SERVICES Key Software Ncp Engineering GmbH NCP RWS GA 6 0 SeCICsi DWORD Secure Client Connection state Information Key Software Ncp Engineering GmbH NCP Secure Client InstallDir STRING Installations Verzeichniss ProductName STRING Name des Produktes z B NCP Secure Client OemVersion DWORD 0 Ncp 2 T Online 4 Dlink 5 LanCom 6 Bintec DisableRws DWORD 1 Client ist inaktiv 0 Client ist aktiv PrgFolder STRING Name des Startmenues PrgVersion STRING Version als String z B 8 01 IconMonitor STRING Menue Name des Monitors IconPopup STRING Menue Name des Popups IconTracer STRING Menue Name des Tracers MonVer DWORD 7777 UninstKey STRING Name f r Deinstalltions Key in Registry A 32 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 rwsrsu exe Update Client Der Dienst rwsrsu exe dient der Kommunikation zwischen Secure Client und Enterpri se Management fr her Update Server und fungiert als Update Client Mit Hilfe von rwsrsu exe wird ein automatisches Update von Soft Zertifikaten Konfigurationen und Software angesto en 2 1 Funktionsbeschreibung B
199. io cai a e Air P 158 194 XDSL AVM PPP over CAPD 132 ADSL PPPOE viii Nee A e EN 132 Zertifikats Erweiterungen Extensions 58 Zertifikats Konfiguration 91 Zertifikats berpr fung 164 Zertifikats berpr fungen 2 2 2222222 197 Zertifikatsverl ngerung 95 Zieladresse des VPN Gateways e 47 Zugangsdaten u 2 20m han A an 159 222 NCP engineering GmbH SECURE ENTERPRISE ENTRY CLIENT Anhang zu NCP Secure Enterprise Client und NCP Secure Entry Client Mobile Computing via GPRS UMTS und Dom nenanmeldung mit NCP Gina NCP SECURE COMMUNICATIONS M Network Communications Products engineering GmbH Domb hler Str 2 D 90449 N rnberg Tel 0911 99 68 0 Fax 0911 99 68 299 internet http www ncp de Anhang Mobile Computing via GPRS UMTS Al SECURE ENTERPRISE ENTRY CLIENT A2 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT Inhalt 1 Mobile Computing via GPRS UMTS A5 1 1 Installation e eoi acap ao e A6 1 2 Installation des Treibers 22 2 2 m nn Ab 2 Konfiguration eines Zielsystems Profiles 2 22202200 AS 2 1 Konfiguration mit Assistenten gt gt s ss oo AR 2 2 Konfiguration im Telefonbuch 222222 A12 Ji Der Monitor e e a Ne a Nee Gran a ne A14 4 Dom nenanmeldung mit NCP Gina A17 4 1 Logon Optionen AO 5 Log Dat jen o
200. ion XAUTH Protokoll Draft 6 erfolgen Wird XAUTH eingesetzt und vom Gate way unters tzt so aktivieren Sie Benutze erweiterte Authentisierung XAUTH Zu s tzlich zum pre shared Key k nnen dann noch folgende Parameter gesetzt werden Benutzername Benutzername des IPSec Benutzers Passwort Kennwort des IPSec Benutzers 158 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Benutzername Identit t Den Benutzernamen f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote WE Seite zu bekommen E Passwort Identit t Das Passwort f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Ly Seite zu bekommen E Zugangsdaten aus Konfiguration verwenden Als Zugangsdaten f r das VPN k nnen folgende Eintr ge ausgelesen und verwendet werden Zugangsdaten aus Konfiguration verwenden Dies bedeutet dass die in diesem Parameterfeld unter Benutzername und Passwort gemachten Angaben zur erweiterten Authentisierung verwendet werden Zugangsdaten aus Zertifikat E Mail verwenden Dies bedeutet dass statt Benutzername und Passwort der E Mail Eintrag des Zerti fikats verwendet wird Zugangsdaten aus Zertifikat Common Name verwe
201. ird genutzt Soll die LDAP Authentisierung genutzt werden m ssen die folgenden Parameterwerte entsprechend eingesetzt werden Diese Werte m ssen mit jenen bereinstimmen die mit dem Server Manager am Secure Server VPN Gateway konfigu riert wurden siehe im Server Handbuch gt LDAP Server LdapHost 127 0 0 1 IP Adresse des LDAP Hosts im Firmennetz Entspricht dem Parameter LDAP Host im Server Handbuch LdapPort 389 Die Port Nummer des LDAP Servers ndern Sie diesen Wert nur wenn der LDAP Server definitiv unter einer ande ren Port Nummer als der hier angegebenen Standard Num mer 389 l uft Entspricht dem Parameter Port ILDAP im Server Handbuch LdapAdminDN CN XXX O XXX C XXX Dieser Distinguished Name DN gibt an wo sich die Konfi guration fiir den Administrator auf dem LDAP Server befin det Entspricht dem Parameter Administrator DN im Server Handbuch Anhang Secure Client Services A 45 SECURE ENTERPRISE ENTRY CLIENT SERVICES LdapPassword XXX Das Passwort des Administrators um auf den LDAP Server zugreifen zu k nnen Entspricht dem Parameter Admini strator Passwort ILDAP im Server Handbuch LdapBaseDN CN XXX O XXX C XX LDAP Suchpfad unterhalb dessen die Benutzer spezifi schen Konfigurationen der Link Profile f r die Clients auf dem LDAP Server zu finden sind Diese Clients greifen ber das zugeh rige VPN Gateway siehe oben auf den Manage ment Ser
202. is der ber gebene Timeout in Sekunden abgelaufen ist Weil damit ber die Kommandozeile die Firewall freigeschaltet werden kann wurde in W den Firewall Einstellungen unter Optionen der Parameter Hotspot Anmeldung f r externe Dialer zulassen hinzugef gt Erst wenn dieser aktiviert ist kann der Befehl ber rwscmd ausgef hrt werden Siehe dazu gt Konfigurationsparameter Telefon buch Firewall Einstellungen Anhang Secure Client Services A 33 SECURE ENTERPRISE ENTRY CLIENT SERVICES 5 ncprwsnt exe Zust ndig f r das Frame Processing der Datenkommunikation ber NCP PPP und VPN sowie die W hldienste Mit diesem Dienst k nnen automatisch Anwendungen nach einem Verbindungsauf oder abbau gestartet werden die Systemrechte ben tigen Dazu miissen im Installationsverzeichnis zwei Batch Dateien editiert werden connect bat In der Batch Datei mit genau dieser Schreibweise werden die ausf hrbaren Programme oder Batch Dateien eingetragen die nach einem Verbindungsaufbau ausgef hrt werden sollen disconnect bat In der Batch Datei mit genau dieser Schreibweise werden die ausf hrbaren Programme oder Batch Dateien eingetragen die nach einem Verbindungsabbau ausgef hrt werden sollen Beachten Sie dazu auch den Parameter Ausf hrung von dis connect bat nicht zulas Lo sen Er befindet sich im Monitormen Verbindungssteuerung Ext Anwendungen l unter dem Men punkt Konfiguratio
203. iste das gew nschte Modem aus Je nachdem welches Modem Sie w hlen werden die zugeh rigen Parameter Com Port und Modem Init String automatisch in die Konfigurationsfelder des Telefon buchs aus der Treiberdatenbank des Systems bernommen Weitere Parameter f r dieses Kommunikationsmedium k nnen auch ber die System steuerung des PCs konfiguriert werden Hinweis Bitte beachten Sie dass Sie das Modem vor der Konfiguration der Verbin NSS dung im Telefonbuch installiert haben m ssen um es korrekt f r Kommunikationsver bindungen nutzen zu k nnen D Anschluss An dieser Stelle bestimmen Sie welcher Com Port von Ihrem Modem genutzt werden soll Wenn Sie bereits Modems unter Windows installiert haben wird der w hrend die ser Installation festgesetzte Com Port automatisch bernommen sobald Sie das ent sprechende Ger t unter Modem ausw hlen Hinweis Wenn Sie ein bereits unter Ihrem System installiertes Modem nutzen m ch L ten so w hlen Sie vor der Einstellung des Com Ports zuerst das gew nschte Ger t un ter Modem aus der entsprechend konfigurierte Com Port wird dann automatisch ge setzt D Baudrate Die Baudrate beschreibt die bertragungsgeschwindigkeit zwischen Com Port und Mo dem Wenn Ihr Modem z b mit 14 4 Kbits bertragen kann sollten sie die n chsth he re Baudrate 19200 w hlen Folgende Baudraten k nnen gew hlt werden 1200 2400 4800 9600 19200 38400 57600
204. itsbereich liegt Von den eingehenden PS Datenpaketen werden diejeni a gen durchgelassen deren Quell adresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Datenpakete werden von der Firewall nach au en gelassen deren Ziel Port Destinati on Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpake ten werden die durchgelassen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Mit den Einstellungen unter Remote IP Adressen l sst sich festlegen mit welchen ent fernten IP Adressen das system kommunizieren darf Alle IP Adressen erlaubt die Kommunikation mit beliebigen IP Adressen der Gegenseite ohne Ein schr nkung Eindeutige IP Adresse l sst nur Kommunikation mit der hier angegebenen IP Adresse auf der Gegenseite zu Mehrere IP Adressen Bereiche gestattet die Kommunikation mit verschiedenen IP Adressen auf der Gegenseite ent sprechend der Eintr ge Mit den Einstellungen unter Remote Ports l sst sich festlegen ber welche Ports mit entfernten Systemen kommuniziert werden darf Alle Ports setzt keinerlei Beschr nkungen hinsichtlich Ziel Port bei abgehenden bzw Quell Port bei eingehenden Paketen NCP engineering GmbH 77 SECURE ENTRY CLIENT CLIENT MONITOR Eindeutiger Port l sst nur
205. ive ist Ist dies nicht der Fall erfolgt ein automatischer Verbindungsabbau Mit dieser Funktion kann DPD ausgeschaltet werden E UDP Encapsulation verwenden Mit UDP Encapsulation muss an der externen Firewall nur der Port 4500 freigeschaltet werden anders bei NAT Traversal oder UDP 500 mit ESP Das NCP Gateway erkennt die UDP Encapsulation automatisch Wird die UDP Encapsulation verwendet so kann der Port frei gew hlt werden Stand ard f r IPSec mit UDP ist der Port 4500 f r IPSec ohne UDP der Port 500 156 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 8 Identit t Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identitat IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Zugangsdaten aus Konfiguration verwenden E Q Entsprechend des Sicherheitsmodus IPSec k nnen noch detailliertere Sicherheitseinstellun i gen vorgenommen werden Parameter O Typ Identit t O ID Identit t O Pre shared Key verwenden O Extended Authentication XAUTH verwenden O Benutzername Identit t C Passwort Identit t O Zugangsdaten aus Konfiguration verwenden NCP engineering GmbH 157 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN m Typ Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID f r eine abgehende Verbindung gew hlt hat muss bei
206. ivier ungs C odes Wenn S ie Codes wird die Software aktiviert und als Vollversion freigeschaltet ihn eingetragen haben k nnen Sie Weiter klicken D Aktivierungs Code wm lt Zur ck ver Abbrechen E Mit dem folgenden Fenster wird die Offline Aktivierung Status Offline Aktivierung Die Aktivierung wird durchgef hrt abgeschlossen issistent fur Soltware Akl y erung Die Aktivierung der Software wird durchgef hrt kv Lizenzdaten werden gepr ft Y Software Aktivierung wird durchgef hrt v Lizenzdaten werden aktualisiert Aktivierung wurde erfolgreich durchgef hrt 122 NCP engineering GmbH SECURE ENTRY CLIENT LIZENZIERUNG aten 5 Nach Abschluss der Aktivierung kann im Fenster f r die Lizenzdaten abgelesen Software Version werden dass es sich bei der eingesetzten Produkt NCP Secure Entry Client A ai B Version 830Buid42 Software um eine korrekt aktivierte ServicePack Vollversion handelt Lizenzierte Version Produkt NCP Secure Entry Client J r P Version 8 2 Die Nummer der Software Version und der Seriennummer 00030042 Typ Vollversion lizenzierten Version k nnen sich Aktivierung DK r y S S unterscheiden sofern die Lizenzierung nur f r eine ltere Version g ltig ist Aktivierung Lizenzierung Die Software mu zur Lizenzierung als Vollversion mit dem erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet bzw aktiviert werden F ZE d
207. kate mit den Men ab CU zweigungen Konfiguration Aussteller Zertifikat anzeigen Eingehendes Zertifikat an zeigen und CA Zertifikate anzeigen Zertificate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt und auf eine Smart Card Chipkarte gebrannt Diese Smart Card ent h lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personal ausweises verleihen D Aussteller Zertifikat anzeigen Wenn Sie sich das Aussteller Zertifikat anzeigen lassen k nnen Sie sehen welche Merkmale zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adresse Aussteller CA Benutzer und Aussteller eines Aussteller Zertifikates sind f r gew hnlich identisch selfsigned certificate Der Aus steller des Aussteller Zertifikats muss mit dem Aussteller des Benutzer Zertifikats identisch sein siehe gt Benutzer Zertifikat anzeigen Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revocation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit dem Er l schen der G ltigkeit des Aussteller Zertifikats erlischt automatisch die G ltigkeit eines vom gleichen Aussteller ausgestellten Benutzer Zertifi
208. kates Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats 56 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR a Benutzer Zertifikat anzeigen Wenn Sie sich Ihr Benutzer Zertifikat anzeigen lassen k nnen Sie sehen welche Merk male zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adres se Austeller CA Der Aussteller Ihres Benutzer Zertifikates muss mit dem Aussteller des Aussteller Zertifikates identisch sein siehe gt Aussteller Zertifikat anzeigen Nach der Seriennummer werden die Zertifikate mit den in der Revokation List der Certification Authority gehaltenen verglichen Seriennummer G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit Erl schen der G ltigkeit geht auch die Funktion des Zertifikats verloren Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats a Eingehendes Zertifikat anzeigen Anzeige des Zertifikats das bei der SSL Verhandlung von der Gegenstelle VPN Gate way bermittelt wird Sie k nnen z B sehen ob Sie den hier gezeigten Aussteller in der Liste Ihrer CA Zertifikate siehe unten aufgenommen haben Ist das eingehende Benutzer Zertifikat einer der CAs aus der Liste CA Z
209. ktiv ist wird zun chst vom Management Server eingestellt Der Update Client erh lt dazu das Update Intervall und die Blockgr e zum Abgleich Diese Daten werden aus der Kon figuration des Management Servers an den Client bei dessen Logon bertragen Update Intervall CheckInterval Das Update Intervall ist bei Auslieferung auf einen Tag eingestellt Mit dem Update Intervall ist die Zeitspanne in Sekunden festgelegt nach der der Secure Client bzw der Dienst RWSRSU den Management Server kontaktiert um zu pr fen ob aktuali sierte Dateien vorliegen Blockgr e BlockSize Die Blockgr e bezeichnet die maximale Gr e der zu bertragenden Datenpakete in Byte Sie darf nicht gr er als 64 kByte sein u Weitere Konfigurationseinstellungen in der Registry Weitere Einstellungen f r den Update Client k nnen in der Datei ncpmon ini unter der Rubrik RWSRSU vorgenommen werden Registry Eintrag Bedeutung RsuPort Port f r TCP Verbindung zum Management Server Standard ist 1250 Der Port muss mit dem RsuPort in der Datei NCPRSU CONF am Management Server bereinstimmen RsuLogLevel Wenn dieser Eintrag existiert werden erweiterte Log Ausga ben in der Datei installdir RWSRSU LOG erzeugt Erlaubte Werte sind 0 9 RsuLogFileSize Maximale Gr e der Log Datei in Byte Standard ist 200 000 Byte Anhang Secure Client Services A35 SECURE ENTERPRISE ENTRY CLIENT SERVICES RsuAutoAnswer Diese Einstellung kann auch ge
210. l sselungsmethode bei ESP und welcher Schl ssel zur Anwendungen kommen sollen Die Gegenstelle muss selbstverst ndlich nach der gleichen SA arbeiten Ist die SA ausgehandelt wird jedes Datenpaket gem Betriebsmodus Tunnel oder Transport und Protokoll ESP oder AH bearbeitet Der IPSec Client nutzt immer das ESP Protokoll im Tunnelmodus 184 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN 7 2 2 Firewall Einstellungen Firewall Settings Die Firewall Einstellungen bestehen haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des Regel Eintrags bereinstimmen wird aus den Regel Eintr gen weiter ermittelt wie mit diesem IP Paket zu verfahren ist Im folgenden die Eintr ge zur Konfiguration im IPSec Client O Ausf hrung Command gestatten permit sperren deny inaktiv disabled O IP Protokoll IP Protocol Dies ist das Transportprotokoll ICMP TCP oder UDP Eines der angebotenen Proto kolle kann ausgew hlt werden oder ein beliebiges alle any wird genutzt O IP Adresse Quelle Source IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Ausgangssysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall O IP Adresse Ziel Destination IP Address Dies kann eine einfache IP Adresse oder ein
211. l Zertifikat pro a e en I2 PKCS 12 Dateiname o sos e sw aces wo igoa e y 93 PKCS 11 Modul DEENEN Kein Verbindungsabbau bete gezogener Chipkarte nn 94 PIN Abfrage bei jedem Verbindungsaufbau 94 PIN Richtlinie SS Minimale Anzahl der Zeichen GENEE cr O Weitere Richtlinien s e e 2 2 nn 95 Zertifikatsverl ngerung z e es O 4 2 6 Verbindungssteuerung Konfiguration a JO Externe Anwendungen 96 berwachung gt s a e A 3 a 3 4 4 4 a 2u dea 4 2 7 EAP Optionen e 98 4 2 8 Logon Optionen D I Anmelden s e s B 2 2 va ed wa ae a RR Abmelden sa oo won 2 200 8 we son LODO NCP engineering GmbH 7 SECURE ENTRY CLIENT INHALT Externe Anwendungen s s e s wos ocos usupa o 100 Optionen ne e E Aer e e e A 4 2 9 Konfigurations Sperren ER an er a e a er UE Allgemein Konfigurations Spetren ee LOA Profile Konfigurations Sperren 22222 103 Allgemeine Rechte persa 0 Sichtbare Parameterfelder der Profile TS e OS 4 2 10 Profile importieren c c s s sow s zoem es aroa a e 103 4 2 11 HotSpot 2 s e s sca sra sso oeta 104 4 2 12 Profil Sicherung e 104 Erstellen ou ito a ae Bene 104 Wiederherstellen soo o wo osor o cou 104 43 A ee ee n e e AER 4 4 Fenster EENEG er 4 4 1 Profilausw hls Anzeigen 23 0 den ee rt 107 4 4 2 Buttonleiste anzeigen e 108 4 4 3 Statistik anzeigen e 108 4 4 4 WLAN Sta
212. l f r Windows 2000 XP lbtrace exe Tracer auf Treiberebene f r virtuellen NCP Adapter inst95 exe Installationsprogramm f r Windows 95 98 erstellt werden Der Tracer ist nicht f r den normalen Benutzer gedacht insrnt5 exe Installationsprogramm f r Windows 2000 XP uninst exe Mit diesem Programm kann unter Umgehung der Windows Software Verwaltung der Secure Client deinstalliert werden 3monapl exe Feldst rkenanzeige f r UMTS GPRS bei Nutzung einer Multifiunktionskarte ncpauth exe dient der Http Authentisierung ncprwsnt exe Zust ndig f r das Frame Processing der Datenkommunikation ber NCP PPP und VPN sowie die W hldienste A 28 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES rwsrsu exe NCP Update Client Update Client korrespondiert mit dem Programm ncprsu exe am Management Server siehe gt unten rwsrsuhlp exe Hilfeprogramm f r rwsrsu exe wird gestartet mit rwsrsu h neprndll exe Wird vom Update Client genutzt und ruft eine DLL auf die die Dienste des Clients im Update Fall stoppt bzw wieder startet ncpbudgt exe Budget Manager siehe gt unten ncpmsg exe Korrespondiert mit dem Budget Manager und ffnet sofern im Client Monitor konfi guriert das Meldungsfenster mit der entsprechenden Warnung fiir den Benutzer rwscmd exe Kommandozeilen Schnittstelle siehe unten nceppopup exe Programm zur Eingabe von Lizenzdaten und
213. l und einstellungen Fusion UMTS GPRS WLAN 3G Modem y Modem Initialisierungsstring AT amp F lt crATEIVI amp D28 amp C1S0 0 lt crATX1 lt cr T Impulswahl verwenden Anschlie end auf Weiter lt Zur ck Abbrechen Als Zugangsdaten f r den Internetdienstanbieter ISP Konfigurations Ass sl muss lediglich ein beliebiger Zugangsdaten f r Internetdienstanbieter NCP Benutzername eingegeben Benutzerinfo ti f r Inte ti enutzeriniorm tionen tur Internetzugang werden es sei denn Sie haben vom Provider spezielle Geben Sie hier den Benutzernamen Passwort und ggfs die Rufnummer f r Ihren A A Internetdienstanbieter ein Wollen Sie das Passwort nicht speichern wird es bei jedem Kennw rter erhalten Die Verbindungsaufbau abgefragt Abrechnung und die Benikemema Identifikation erfolgt ber die ncpuserl2tp SIM Karte Passwort Passwort Wiederholung F r eine Testverbindung zu P ich e A 7 einem NCP Gateway tragen Sie Rufnummer Ziel Poor als Rufnummer ein 99 lt Zur ck Abbrechen Anschlie end auf Weiter Anhang Mobile Computing via GPRS UMTS A9 SECURE ENTERPRISE ENTRY CLIENT YPN Gateway Parameter Zu welchem Tunnel Endpunkt soll die Verbindung aufgebaut werden NCP Geben Sie an dieser Stelle den Namen z B vpnserver musterfirma de oder die offizielle IP Adresse z B 212 10 17 29 an ber die das VPN Gateway erreichbar ist Bei L2TP kann optional ein Tunnel Se
214. licken Sie auf den Button in der Zeile mit PKCS 11 Modul O NCP engineering GmbH 93 SECURE ENTRY CLIENT CLIENT MONITOR Kein Verbindungsabbau bei gezogener Chipkarte Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut Damit Kein Verbindungsabbau bei gezogener Chipkarte erfolgt muss diese Funktion akti viert werden PIN Abfrage bei jedem Verbindungsaufbau Standardeinstellung Wird diese Funktion nicht genutzt so wird die PIN nur einmalig beim ersten Verbindungsaufbau des IPSec Clients abgefragt Wird diese Funktion aktiviert so wird bei jedem Verbindungsaufbau die PIN erneut ab gefragt a Wichtig Ist der Monitor nicht gestartet kann kein PIN Dialog erfolgen In diesem Fall wird bei einem automatischen Verbindungsaufbau die Verbindung ohne erneute PIN Eingabe hergestellt 94 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR m PIN Richtlinie F r die PIN k nnen Richtlinien festgelegt werden die bei Eingabe oder nderung der PIN beachtet werden m ssen Zertif Benutzer Zertifikat PIN Richtlinie Zertifikatsverl ngerung Minimale Anzahl der Zeichen le TF PIN darf nur Zahlen enthalten IV PIN in Sonderzei Gr FT PIN muss einen Kleinbuchstaben enthalten F DIN muss eine Zahl enthalten FT PIN darf kein Zeichen fter als die H lfte der PIN L nge wiederholen Hite Io abbrechen Minimale Anzahl der Zeichen Standard ist eine 6
215. lient Monitor Consolen Anwendungen oder Batch Dateien gestartet werden keine Windows Programme Anmelden Abmelden Ext Anwendungen Optionen Externe Anwendungen IV Externe Anwendung oder Batch Datei starten Es k nnen nur Consolen Anwendungen gestartet werden Anwendung Batch Datei Verbindungsart ENWINNT ncple AwWSCMD EXE postcon Ale COWINNTAncplesRW SRSU EXE precon Alle Die externen Anwendungen werden wie auf der n chsten Seite beschrieben eingef gt Die Reihenfolge ihres Aufrufs von oben nach unten kann mit den gr nen Pfeiltasten ver ndert werden 100 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Anwendung Nachdem Sie die Funktion Externe Anwendungen oder Batch Dateien starten OOOO Y 8 selektiert haben k nnen Sie ber den Button mit Hinzuf gen siehe vorige Seite eine Anwendung nach Verbindungsaufbau staten posteo FJI Anwendung oder Batch Datei vom Rechner ae 271 selektieren die je nach Startoption geladen wird vor Verbindungsaufbau starten precon nach Verbindungsaufbau starten postcon Die Anwendung kann au erdem in Abh ngigkeit von der Verbindungsart des im Gina Dialog selektierten Zielsystems gestartet werden Die Applikation wird immer gestar tet wenn als Verbindungsart Alle gew hlt wurde Dom nenvorbereitung abwarten postdom bedeutet dass die Anwendung nach der Initialisierungszeit unmittelbar
216. llungen anderen Hosts akzeptiert Identit t IP Adressen Zuweisung AA eene y VPN IP Netze Stateful Inspection aktivieren immer Zertifikats berpr fun FT Ausschlie lich Kommunikation im Tunnel zulassen IV NetBIOS ber IP zulassen Microsoft DF Adapter IT Bei Verwendung des Microsoft RAS Dialers auschlie lich Kommunikation im Tunnel zulassen lt Hilfe ax Abbrechen Die Link Firewall kann f r alle Netzwerkadapter wie auch f r RAS Verbindungen genutzt werden Die aktivierte Firewall wird in der grafischen Oberfl che des Clients als Symbol Mauer mit Pfeil dargestellt Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus anderen bzw externen Netzen Internet in das eigene Netzwerk aus breiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und Internet in stalliert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vor her festgelegter Konfigurationen ob ein Datenpaket durchgelassen wird oder nicht Die hier zu aktivierende Firewall arbeitet nach dem Prinzip der Stateful Inspection Stateful Inspection ist eine neue Firewall Technologie und bietet den derzeit h chstm glichen Sicherheitsstan dard f r Internet Verbindungen und somit das Firmennetz Sicherheit wird in zweierlei Hin sicht gew hrleistet Zum einen verhindert diese Funktionalit t den unbefugten Zugriff auf Da ten und Ressourcen im zen
217. lly 02 00 5a 63 84 ca Rwsga dapter version_info vertxt Secure Client Professional Version 8 05 Rwsga dapter version_info softver 1 AdapterConfig rwspdmt 3 AdapterConfig rwsp_o_isdn 0 AdapterConfialrwsp_o_asyn 0 CardReadConfig Type 2 d Jan 10 09 24 27 2006 Raswin port_init CAPI Readina confia from C Se CAPI Reading config success Creating PASSTHRU Adapter Pthru receive thread starting 0181AF94 1 Pthru dapter Init PASSTHRU Adapter TCPIP gt 3Com EtherLink PCI PthruAdapter SystemName ADEVICEM6EB53D1C 1E33 4241 407E 6C2C29C8232D Adapterlnit Index 0 MediaT ype 0 Mtu 1300 Dhcp 0 EH Ip4 dr 000 000 000 000 MacAd IPHLP NepleDir C WINNT Ane 2 Adapterlnit Index 200 MediaT ype D Mtu 1500 Dhcp D Passthru 1 Ip amp d 172 016 015 247 MacAd 00 04 76 83 05 2f Trace Monitor kann auch gestartet werden ber Windows Programme Secure Client Tracer Dies ist ein eigenes Anwendungsprogramm f r qualifizierte Systemtechniker Mit seiner Hilfe k nnen z B Traces zur Fehlersuche ncpmon exe startet den Client Monitor kann gestartet werden durch Doppelklick auf das Ampel symbol in der Task Leiste oder ber Windows Programme Secure Client Monitor Die Handhabung und die Men f hrung zum Monitor ist ausf hrlich im Handbuch zum jeweiligen Secure Client beschrieben ncpike9x exe IKE Protokoll f r Windows 95 98 ncpike exe IKE Protokol
218. ltet Bitte beachten Sie dazu den Abschnitt Updates am Ende dieses Kapitels bh Nach Abschluss der Aktivierung kann im Fenster f r die Lizenzdaten abgelesen Software Versi i i i BCE werden dass es sich bei der eingesetzten Produkt NCP Secure Entry Client R a Version 8 30 Build 42 Software um eine korrekt aktivierte ServicePack S Vollversion handelt Lizenzierte Version Produkt E NCP Secure Entry Client A i Version 8 3 Die Nummer der Software Version und der Seriennummer SE i y TE Vollversion lizenzierten Version sollten bereinstimmen Aktivierung DK ansonsten muss mit einem neueren Aktivierung Lizenzierung x 7 i e SN Lizenzschl ssel die Lizenz aktualisiert Die Software mu zur Lizenzierung als Vollversion mit dem erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet S een werden Dazu klicken Sie den Button Lizenzierung Beachten Sie dazu auch die Beschreibung am Ende der Offline Variante Schlie en NCP engineering GmbH 117 SECURE ENT CLIENT Offline Variante LIZENZIERUNG Die Offline Variante wird in zwei Schritten durchgef hrt Im ersten Schritt muss eine Datei die nach Eingabe von Lizenzschl ssel und Seriennummer erzeugt wird an den NCP Web Server geschickt werden Die URL lautet http www ncp de deutsch services license Auf der Website wird daraufhin ein Aktivierungsschl ssel angezeigt der notiert
219. lungen 7 Erweiterte IPSec Optionen 8 Identit t 9 IP Adressen Zuweisung 10 VPN IP Neize 11 Zertifikats berpr fung 12 Link Firewall O NCP engineering GmbH 129 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 1 Grundeinstellungen Profil Einstellungen Testverbindung IPSec native Grundeinstellungen Netzeinwahl Cit 2 fTestverbindung IPSec native Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Im Parameterfeld Grundeinstellungen wird der Profil Name den Verbindungstyp und das Verbindungsmedium zu einem Profil eingegeben Parameter O Profil Name O Verbindungstyp O Verbindungsmedium O Profil f r automatische Medienerkennung verwenden Dieses Profil nach jedem Neustart des Systems verwenden O Benutze Microsoft DF Dialer 130 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Profil Name Wenn Sie ein neues Profil definieren sollten Sie zun chst einen unverwechselbaren Namen f r dieses System eintragen z B IBM London Der Name des Profils darf je den gew nschten Buchstaben wie auch Ziffern beinhalten und darf Leerzeichen mitge z hlt bis zu 39 Zeichen lang sein E Verbindungstyp Alternativ stehen mit dem IPSec Client zwei Verbindungstypen zur Wahl VPN zu IPSec Gegenstelle In diesem Fall w hlen Sie sich mit dem IPSec Client in das Firmennetz ein bzw an das Gateway an Dazu wird ein VPN Tunnel
220. meSecurity 90 LogLifetimeConfig 90 LogLifetimeLogins 90 LogLifetimeA dmin Logins 90 LogLifetimeSystem 30 LogLifetimeTasks 90 LogLifetimeTrace 2 LogLifetimeAccounting 90 LogLifetimeSyslog 90 LogLifetimeRadius 90 Syslog Hosts 127 0 0 1 Syslog Server Hostname Port 514 Syslog Destination Port Standard 514 Facility 20000 Facility Base LogTrace 0 Facility Base 1 LogConfig 0 Facility Base 2 LogSecurity 0 Facility Base 3 LogLogins 0 Facility Base 4 LogAdminLogins 0 Facility Base 5 LogSystem 0 Facility Base 6 LogRadius 0 Facility Base 7 ListenPort 0 Standard 514 0 Listening disabled Console Console 0 aus Console l an Anhang Secure Client Services A 49 SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 5 Update des Update Clients Ein neuer Update Client wird wie ein Software Paket am Rechner des Management Servers installiert indem UpdRWSRSU2xx exe gestartet wird Die neuen Update Client Dateien werden in der Datenbank des Management Servers im Verzeichnis rwsrsu v200 abgelegt unabh ngig von der Versions Nummer Ein anschlie ender Neustart des Management Servers ist nicht n tig A 50 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 3 ncpbudgt exe Budget Manager Verbindungssteuerung Verbindungsstatistik Nach der Installation der Client Software l uft der sogenannte Budget Manager fiir Verbindungssteuerung und
221. miert und erscheint als Ampel symbol in der Task Leiste wor ber der Status der Verbindung abgelesen werden kann Der Klick auf den Schlie en Button x der Kopfzeile hat in dieser Einstellung die glei che Wirkung wie der Klick auf den Minimieren Button der Kopfzeile In der Darstellung des Ampelsymbols in der Task Leiste kann nach einem rechten Mausklick auf das Symbol das m gliche Zielsystem abgelesen und die Verbindung auf NCP engineering GmbH 109 SECURE ENTRY CLIENT CLIENT MONITOR gebaut oder getrennt werden bzw bei abgebauter Verbindung der Monitor auch been det werden Das Beenden des Monitors ist nur noch ber das Hauptmen Verbindung Beenden NSS m glich 4 4 8 Nach Verbindungsaufbau minimieren Ist dieser Men punkt aktiviert so wird der Monitor nach erfolgreichem Verbindungs aufbau automatisch minimiert nicht jedoch beendet Das Beenden des Monitors ist nur ber das Hauptmen Verbindung Beenden m g LOA tic 4 4 9 Sprache Die IPSec Client Software ist mehrsprachig angelegt Die Standardsprache bei Auslie ferung ist Deutsch Um eine andere Sprache zu w hlen klicken Sie Language Spra che im Pulldown Men Fenster und w hlen die gew nschte Sprache 110 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 5 Hilfe Hilfe Hilfe Lizenzinfo und Aktivierung Auf Updates pr fen Info Unter dem Men punkt Hilfe kann die Onlin
222. n E Diese Funktion sollte immer aktiviert sein wenn nicht unbedingt f r eine gew nschte Los Anwendung die Ausf hrung der genannten Batch Dateien mit Administrator Rechten erforderlich ist Die Anwendungen Batch Dateien f r deren Ausf hrung Benutzerrechte gen gen k nnen aus eben diesem Monitormen Konfiguration Verbindungssteuerung Ext Anwendungen gestartet werden indem sie dort direkt eingetragen werden siehe Client Monitor Verbindungssteuerung A 56 Anhang Secure Client Services
223. n Abschnitt 4 6 Lizenzierung in diesem Handbuch NCP engineering GmbH 35 SECURE ENTRY CLIENT INSTALLATION 2 4 Update und Deinstallation Sie die M glichkeit ein Update durchzuf hren Die Profil Einstellungen Zertifikate und die Verbindungssteuerung werden bei einem Update in der fr her gemachten Kon figuration beibehalten Sollten noch andere Programme laufen werden diese nun ge stoppt 1 Wenn bei der Installation eine ltere Version der Client Software gefunden wird haben Um die Client Software zu entfernen gehen Sie zu Start Einstellungen Sy stemsteuerung Klicken Sie nun auf Software und w hlen Sie den Client aus der Li ste Klicken Sie dann auf den Button mit Hinzuf gen Entfernen Das Uninstall Shield Programm l scht nun die Client Software von Ihrem PC Wichtig Nachdem die Komponenten entfernt wurden ist das Telefonbuch des Clients erhalten geblieben so dass es f r neuere Versionen des Secure Clients genutzt werden kann Um die Dateien vollst ndig vom PC zu l schen muss per Hand das komplette In stallationsverzeichnis entfernt werden Standard ncple 36 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION 2 5 Upgrade auf den Secure Enterprise Client Ein Upgrade von einem Secure Entry Client auf einen Secure Enterprise Client erfolgt dadurch dass die Lizenzierung und die Software erneuert werden Dies kann sowohl manuell vorort oder auch b
224. n Zeitpunkt eine Verbindung aufgebaut die ein Zertifikat erfordert so kann dann die PIN Eingabe unterbleiben es sei denn die Konfiguration zum Zertifikat verlangt dies siehe gt Konfiguration Zertifikate Wenn Sie den IPSec Client zur Verwendung einer Smart Card konfiguriert haben siehe Konfiguration Zertifikate erscheint ein hellblaues Symbol f r die Smart Card Wenn Sie Ihre Smart Card in den Reader gesteckt haben ndert sich die Farbe von hellblau zu gr n Sobald Sie die erste Verbindung aufbauen wollen f r die ein Zertifikat genutzt wird wird ein Dialog zur PIN Eingabe ge ffnet sofern Sie die PIN noch nicht vorher eingegeben haben Bei einem wiederholten manuellen Verbindungsaufbau kann die PIN Eingabe unterbleiben wenn nicht anders konfiguriert siehe gt Konfiguration Zertifikat PIN Eingabe Q Wird ein Soft Zertifikat verwendet so kann die PIN 4 stellig ein Wird eine Chipkarte verwendet muss die PIN mindestens 6 stellig sein Fehlerhafte Eingaben und falsche PINs werden nach ca 3 Sekunden mit einer Fehler meldung quittiert Ein Verbindungsaufbau ist dann nicht m glich Nach dreimaliger fehlerhafter Eingabe der PIN wird die PIN gesperrt Wenden Sie sich in diesem Fall an Ihren Remote Administrator Wenn die Chipkarte w hrend des laufenden Betriebs ent fernt wird findet ein Verbindungsabbau statt Erst nach korrekter PIN Eingabe erfolgt der Verbindugsaufbau NCP e
225. n Zuweisung der Der APN wird insbe YPNIPNetze SE Zettifikats berpr fung sondere zu administrati Link Firewall ven Zwecken genutzt u SIM PIN Benutzen Sie eine SIM Einsteckkarte f r GPRS oder UMTS so geben Sie hier die PIN f r diese Karte ein Benutzen Sie ein Handy so muss diese PIN am Mobiltelefon ein gegeben werden NCP engineering GmbH 143 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 5 Line Management Profil Einstellungen Zentrale Grundeinstellungen U Line Management IPSec Einstellungen Erweiterte IPSec Optionen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Q In diesem Parameterfeld bestimmen Sie wie der Verbindungsaufbau erfolgen soll und stel D len die Timeout Werte ein Wenn der Client das Verbindungsmedium ISDN nutzt k nnen Sie in diesem Parameterfeld auch eine Kanalb ndelung aktivieren Bitte beachten Sie dabei dass die Kanalb ndelung nur funktionieren kann wenn sowohl der Client als auch der NAS f r eine Verbindung ber gleich viele m gliche Kan le verf gen Welche Authentisierung vor dem Tunnelaufbau erforderlich ist wird vom Zielnetzwerk oder vom HotSpot Betreiber vorgegeben Parameter C Verbindungsaufbau O Timeout O Voice over IP VoIP priorisieren C Dynamische Linkzuschaltung O Schwellwert f r Linkzuschaltung O EAP Authentisierung O HTTP Authentisierung 144 NCP engineering GmbH SE
226. nd Welche Art der Aktivierung soll durchgefiihrt werden einer Offline Variante w hlen In der Offline Variante muss Bei der DEES werden die angegebenen Lizenzdaten ber eine bestehende eine Datei die nach Eing abe Intemetverbindung zum NCP Aktivierungs Server bertragen und gepr ft F ee Nach erfolgreicher Pr fung der Lizenzdaten wird anschlie end de NCP Secure Entry Client von Lizenzschliissel und Software automatisch als lizenzierte Vollversion aktiviert x S Seriennummer erzeugt wird an C Offline Aktivierung den NCP Web Server geschickt Bei der Offline Aktivierung wird nach der Eingabe der Lizenzdaten eine Datei mit den en Daten E Gi ela Sg pieso Dari mu E manuell werden und der d araufhin auf uber den Browser an den WIerungs gt erver ubergeben werden H H Anschlie end mu mit dem zur ckgegeben Aktivierungscode die Software als izenzierte der Website angezeigte Ders ee ern Aktivierungsschl ssel notiert werden In der Online Variante EECH Abbrechen werden die Lizenzierungsdaten ber einen Assistenten unmittelbar nach Eingabe an den Web Server weitergegeben und die Software damit unverz glich freigeschaltet NCP engineering GmbH 115 SECURE ENTRY CLIENT LIZENZIERUNG Nach der Wahl der Lizenzdaten Aktivierungsart werden die Wie lauten die Lizenzdaten Lizenzdaten in die daf r vorgesehenen Felder eingetragen Klicken Sie anschlie end auf Weiter D Online Variante Bei d
227. nden Dies bedeutet dass statt Benutzername und Passwort der Benutzer Eintrag des Zer tifikats verwendet wird Zugangsdaten aus Zertifikat Seriennummer verwenden Dies bedeutet dass statt Benutzername und Passwort die Seriennummer des Zerti fikats verwendet wird NOP engineering GmbH 159 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 9 IP Adressen Zuweisung Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen t 0 0 0 0 Zertifikats berpr fung Link Firewall 255 255 255 0 Au erdem kann der durch die PPP Verhandlung automatisch zugewiesene Server durch al ternative Server ersetzt werden Dazu muss in den Netzwerk Einstellungen des Betriebssy stems der DNS Modus eingestellt sein 1 In diesem Parameterfenster wird eingestellt wie die IP Adressen vergeben werden sollen Parameter O IKE Config Mode verwenden O Lokale IP Adresse verwenden O IP Adresse manuell vergeben O DNS WINS LI DNS Server O WINS Server L Domain Name 160 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN m IKE Config Mode verwenden IP Adressen und DNS Server werden ber das Protokoll IKE Config Mode Draft 2 zugewiesen F r die NAS Einwahl k nnen alle bisherigen WAN Schnittstellen verwen det werden Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls d
228. ndung wird dann Client Feldst rke 66 A 16 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT 4 Dom nenanmeldung mit NCP Gina Die Client Software wird bereits in der Boot Phase im Hintergrund gestartet und f ngt den Call Crtl Alt Delete ab Welcome to Windows gt Press Ctrl Alt Delete to begin Die integrierte Personal Requiring this key combination at startup helps keep your E computer secure For more information click Help ga Firewall der NCP Software ist zu diesem Zeitpunkt bereits aktiv sodass der PC bereits gesch tzt ist Bereits w hrend der Boot Phase kann das Zielsystem das f r das Verbindungsmedium Zielsystem Testverbindung ber GPRS UMTS GPRS UMTS konfiguriert wurde selektiert werden Amtsholung Die Funktion Vorberei tungszeit f r Dom nen An meldung aktivieren wird nur ben tigt wenn vor her keine ordnungsgem e Lokal nmelden OK eise Abmeldung erfolgte Die Suche nach verfiigbaren NCP Secure Entry Client w hlen Sie Ihr Zielsystem aus Yorbereitungszeit f r Dom nenanmeldung aktivieren Suche nach verf gbaren Netzen Nur f r UMTS GPRS Multifunktions Karten D Bitte beachten Sie zu den m glichen Einstellungen Netzen nimmt einige Se La die Beschreibung der Logon Optionen im kunden in Anspruch und ist Handbuch des Clients in der Regel nur im Ausland von Bedeutung Vorberei tungszeit
229. ngeklickt Damit ffnet sich ein Konfigurationsfenster mit der Verzweigung der Richtlinien und Secure Policy Database zu IPSec sowie Buttons zur Bedienung auf der rechten Seite des Konfigurationsfensters Um die Standard Werte der Richtlinien zu editieren w hlen Sie mit der Maus die Richtlinie deren Werte Sie ndern m chten die Buttons zur Bedienung werden dann aktiv Konfigurieren Um eine Richtlinie oder eine SPD abzu ndern w hlen Sie mit der Maus den Namen der Gruppe deren Werte Sie ndern m chten und klicken auf Konfigurieren Dann ffnet sich das entsprechende Parameterfeld mit den IPSec Parametern Neuer Eintrag Wenn Sie eine neue Richtlinie oder SPD anlegen m chten selektieren Sie eine der Richtlinien oder die SPD und klicken auf Neuer Eintrag Die neue Richtlinie oder SPD wird erzeugt Alle Parameter sind auf Standardwerte gesetzt bis auf den Namen NCP engineering GmbH 151 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN Kopieren Um die Parameter Einstellungen eines bereits definierten Richtlinie oder SPD zu ko pieren markieren sie die zu kopierende Richtlinie oder SPD und klicken auf Kopie ren Daraufhin wird das Parameterfeld ge ffnet ndern Sie nun den Namen und klik ken Sie anschlie end Ok Die neue Richtlinie oder SPD ist nun angelegt Die Parame 1 terwerte sind zu denen der kopierten identisch bis auf den Namen L schen Wenn Sie eine Richtlinie oder SPD au
230. ngineering GmbH 61 SECURE ENTRY CLIENT CLIENT MONITOR Sicherung der PIN Benutzung Ist in der Zertifikatskonfiguration die Funktion PIN Abfrage bei jedem Verbindungs aufbau aktiviert wird der Men punkt PIN eingeben automatisch inaktiv geschaltet Die PIN kann ber den Monitor Men punkt PIN eingeben somit nicht mehr eingege ben werden Damit ist sichergestellt dass erst unmittelbar vor dem Verbindungsaufbau die PIN abgefragt wird und eingegeben werden muss Bei Aktivierung dieser Funktion ist damit ausgeschlossen dass ein unbefugter Benut zer bei bereits eingegebener PIN eine unerw nschte Verbindung aufbaut Ebenso wird f r die Aktivschaltung der Funktion PIN ndern nicht mehr die bereits in anderem Funktionszusammenhang abgeforderte PIN verwendet wie beim Verbin dungsaufbau oder im Verbindungs Men PIN eingeben Sondern der Men punkt PIN ndern ist immer selektierbar und die neue PIN wird unmittelbar nach der n derung sogleich wieder zur ckgesetzt dungsaufbau an einem unbeaufsichtigten Client Monitor zu keinem Zeitpunkt eine be reits eingegebene PIN von einem unbefugten Benutzer f r einen Verbindungsaufbau genutzt werden kann Damit ist sichergestellt dass bei Konfiguration der PIN Abfrage bei jedem Verbin l 4 1 9 PIN zur cksetzen Dieser Men punkt kann gew hlt werden um die PIN zu l schen d h um die aktuell g ltige PIN f r einen anderen Benutzer unbrauchbar zu
231. niauatenvemenden 27 Profil Einstellungen a Identit t Extended o Abbrechen entita xtende Authentication XAUTH verwenden 174 NCP engineering GmbH SECURE ENTRY CLIENT VERBINDUNGSAUFBAU E Verbindungsabruch und Fehler NCP Secure Entry Client Ereignet sich ein Fehler so wird die Verbindung nicht hergestellt und die Testverbindung L2TP H Fehlerursache im Monitor ISDN Fehler s angezeigt beachten Sie dazu u CAPI ist nicht installiert den Abschnitt Fehler und ISDN Meldungen _a BDO NCP Secure Entry Client Testverbindung L2TP ISDN Fehler S Falsche Rufnummer 9 BDO Trennen Mit der Funktion Trennen wird der Abbau der aktuell bestehenden Verbindung ma nuell durchgef hrt Wenn Sie die M glichkeit behalten wollen jederzeit die Verbin dung manuell abbauen zu k nnen setzen Sie den Verbindungsaufbau auf manuell und deaktivieren den automatischen Timeout indem Sie ihn auf Null 0 setzen gt Verbindungsaufbau Wenn die Verbindung abgebaut wird wechselt die farbliche Darstellung der Verbin dungslinie bis sie verschwindet und die Ampellampen des Monitors f r die gesamte Offline Dauer von gr n zu rot NCP engineering GmbH 175 SECURE ENTRY CLIENT VERBINDUNGSAUFBAU Trennen und Beenden des Monitors Besteht eine Verbindung noch und wird der Monitor beendet so wird nicht automat isch die Verbindung getrennt Soll die m glicherweise kostenpflichti
232. nn das Kommando rwsemd stop ausgef hrt wurde danach das Kommando rwscmd start ausgef hrt werden muss damit die Dienste und der Monitor wieder gestartet werden Ein Reboot gen gt in diesem Fall nicht da das Popup und der Monitor nicht gestartet werden rwscmd select Destination Name Erforderliche Windows Berechtigung User Rechte Beschreibung Im Secure Client wird auf das gew nschten Ziel gewechselt Die Hochkommas werden statt der eckigen Klammern gesetzt Sie sind notwendig da Us es sich um eine bergabe mit Leerzeichen handelt rwscmd setinituser UserId Passwort Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Soll kein Fenster bei der Initialverbindung angezeigt werden kann die User Id des Benurzers f r die Erstanmeldung und optional das Passwort f r den Init prozess bergeben werden E Die Hochkommas werden statt der eckigen Klammern gesetzt Sie sind notwendig da e es sich um eine Ubergabe mit Leerzeichen handelt E rwscmd rsuautoanswer off yes no Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Hier wird eingestellt wie bei Anfragen nach einem Softwareupdate rea giert wird yes Client Software erh lt automatisch ohne Nachfrage ein Update no automatisches Software Update wird abgelehnt und nicht ausgefiihrt off Bei der Einstellung off wird in einem Meldungsfenster nachgefragt ob die Software aktualisiert werden soll A 54 Anhang Secu
233. nologie Die Client Software emuliert einen Ethernet LAN Adapter Der IPSec Client verf gt ber zus tzliche Leistungsmerkmale die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN L sung erm glichen Der IPSec Client bietet M Unterst tzung aller g ngigen Betriebssysteme M Einwahl ber alle bertragungsnetze MY Kompatibilit t mit den VPN Gateways unterschiedlichster Hersteller M Integrierte Personal Firewall f r mehr Sicherheit Y Dialer Schutz keine Bedrohung durch 0190er und 0900er Dialer M H here Geschwindigkeit im ISDN Kanalb ndelung M Geb hrenersparnis Kosten und Verbindungskontrolle M Bedienungskomfort grafische Oberfl che Hl Zentrales Management Kompatibilit tsliste kann angefordert werden unter marketing ncp de optional 14 O NCP engineering GmbH SECURE ENTRY CLIENT PRODUKT BERSICHT 1 3 Secure Entry Client Der NCP Secure Entry Client kommuniziert mit VPN Gateways unterschiedlichster Hersteller auf Basis des IPSec Standards Es handelt es sich dabei um eine Client Soft ware die alternativ zu den am Markt angebotenen Software Clients im Umfeld von Firewalls und Routern eingesetzt werden kann Der Secure Entry Client hebt sich durch seine Leistungsmerkmale und Software Architektur gegen ber anderen IPSec Clients ab Vorteile des Secure Entry Clients O Unterst tzung aller g ngigen Betriebssysteme Windows 32 Windows CE und Linux Lieferbar als NCP Secure
234. nstelle Server k nnen alle Attribute des Benutzers soweit bekannt auch mit Wildcards verwendet werden Vergleichen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Benutzer aufge f hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung cn Common Name Name s Surname Nachname g Givenname Vorname t Title Titel O Organisation Firma ou Organization Unit Abteilung c Country Land st State Bundesland Provinz T Location Stadt Ort email E mail Beispiel cn VPNGW o ABC c de Der Common Name des Security Servers wird hier nur bis zur Wildcard berpr ft Alle nachfolgenden Stellen k nnen beliebig sein etwa 1 5 als Numerierung Die Or ganzation Unit muss in diesem Fall immer ABC sein und das Land Deutschland E Aussteller des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Ausstellers soweit bekannt auch mit Wildcards verwendet werden Verglei chen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Aussteller aufgef hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung cn Common Name Name s Surname Nachname g Givenname Vorname t Title Titel O Organisation
235. ntisierung ab schw cht 188 NCP engineering GmbH SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN IKE Aggressive Mode mit Preshared Keys Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID Gruppe unver A Message 2 Header SA Key Exchange Nonce ID Hash schl sselt Hash Message 3 Header Hash Eine M glichkeit einen allgmeinen Pre shared Key zu vermeiden w re den Aggressive Mode zu nutzen Bild oben doch wird dabei die ID des Clients nicht verschl sselt IKE Main Mode Identity Protection Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header Security Association Message 2 Header Security Association unver s schl sselt Message 3 Header Key Exchange Nonce f Me Hellmann Diffie Hell 5 Gruppe Message 4 Header Key Exchange Nonce S pa Message 5 Header ID Zertifikat Signatur S ymmetrische ver gt Verschl sselung schl sselt i BEER 7 EE E EE Message 6 Header ID Zertifikat Signatur Werden RSA Signaturen eingesetzt Bild oben und unten so bedeutet dies dass Zertfikate zum Einsatz kommen womit die Vorkonfiguration jedweder Secrets berfl ssig wird IKE Aggressive Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID Diffie Hellmann Gruppe unver A Message 2 Header SA Key Exchange Nonce ID Zertifikat Signatur schl sselt Hash Message 3
236. oftware Downloads Software Downloads und Informationen sind unter der und Ausk nfte Homepage von NCP erh ltlich http www ncp de FTP Server ftp ftp ncp de 4 NCP engineering GmbH SECURE ENTRY CLIENT INHALT Inhalt 1 Produkt bersicht ss oot or rn 13 1 1 Zum Umgang mit diesem Handbuch 2 2222 13 1 2 Secure Entry Client universeller IPSec Client 2222 22 14 1 3 Secure Entry Client o lt s s 2 2 en ee 1 Technische Daten e 4 s a0 e w wen ae ia LO 1 4 Secure Entry CE Client py p e merg p pos ae 1 es 18 Technische Daten e 18 2 Installation e ee ar e a e a e De 21 2 1 Installationsvoraussetzungen o nn 22 Betriebssystem so s a aia arar a a ZA ZIEISYSLEM s oa do a EE 2 Lokales System e Air E de en re 2 ISDN Adapter ISDN u a e A ee OZ Analoges Modem Modem e 22 LAN Adapter LAN over IP s as s s p p e soros 23 xDSL Modem PPPOE o s s e 2 le ss p e ao xDSL AVM PPP over CAPD 2 2 2 2 2 2 m nn nn 23 Multifunktionskarte GPRS UMTS 2 22 2 2 222 2 23 WLAN Adapter WLAN 2 2 2 2 2 nn 24 Automatische Medienerkennung ee ZA Voraussetzungen f r den Einsatz von Zertifikaten EEE a ZO TEPIP dornan do a de A ds re 2 Chipkartenleser A a b bop ie aue a ua ai 2A Chipkartenleser CT API kontoi Sr AE EE ee E a Chipkarten Eee 20 Soft Zertifikate PKCS 12 A a ee e a DO Chipkarten od
237. ohne Private Key Personal Firewall Die Security Mechanismen der Client Software vereinigen Tunneling Verfahren und Personal Firewalling IP Network Address Translationen IP NAT sowie universelle Filtermechanismen Von zentraler Bedeutung ist IP NAT denn es sorgt daf r dass nur vom Rechner ins Internet aus gehende Verbindungen m glich sind Ankommen de Datenpakete werden auf der Basis eines ausge kl gelten Filterings nach genau definierten Eigen schaften berpr ft und bei Nicht bereinstimmung abgewiesen Das hei t Der Internet Port des je weiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen unm g lich PIN Personal Identification Number PKCS Public Key Cryptography Standard Verschl sse lungssystem mit ffentlichem Schl ssel PKCS 10 Die Form wie ein Zertifikat vom PKI Manager an die CA Certification Authority bertragen wird Meist geschieht dies per Http mit SSL verschl s selt als Https PKCS 11 Basis des Smartcard Standards PKCS 12 Soft Zertifikat Standard der die Syntax der Da teistruktur beschreibt PKCS 15 Pointerbeschreibung Wo befindet sich was auf der Smartcard PKI Public Key Infrastructure Die erforderliche Schl sselinfrastrukur zur authentischen Verteilung ffentlicher Schl ssel wird PKI genannt Private und ffentliche Schl ssel werden f r asymmetri sche Kryptographie verwendet Transaktionsbezo gene Sicherheit erfordert eine einde
238. olgen soll nach dem der sp tere symmetri sche Schl ssel erzeugt wird Je h her die DH Group desto sicherer ist der Key Ex change NOP engineering GmbH 153 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN IPSec Richtlinie editieren a Die IPSec Richtlinien Phase 2 Parameter die Sie hier konfigurieren wer den zur Auswahl f r die SPD gelistet F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Proposals gelten D h sowohl auf Client Seite als laEs 1288 H auch am Zentralsystem mos YH sollten f r die Richtlinien Policies die gleichen Vor schl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie 8 Name IPSec Richtlinie Geben Sie dieser Richtlinie einen Namen ber den Sie sie sp ter einer SPD zuordnen k nnen D Protokoll IPSec Richtlinie Der fest eingestellte Standardwert ist ESP Transformation ESP IPSec Richtlinie Wenn das Sicherheitsprotokoll ESP eingestellt wurde kann hier definiert werden wie mit ESP verschl sselt werden soll Zur Wahl stehen die gleichen Verschl sselungsalgo rithmen wie f r Layer 2 DES Triple DES Blowfish AES 128 AES 192 AES 256 Transformation Comp IPSec Richtlinie IPSec Kompression Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec
239. olgenden die Authentisierungsdaten eingegeben werden k nnen siehe oben HTTP Anmeldung Bei einem Link mit der Verbindungsart WLAN wird die HTTP Anmeldung im Tele fonbuch nicht zugeschaltet Statt dessen wird mit der Aktivierung dieser Funktion be wirkt dass f r dieses Zielsystem die Authentisierungsdaten aus den WLAN Einstellun gen im Monitor Men zum Einsatz kommen NCP engineering GmbH 147 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 6 IPSec Einstellungen Profil Einstellungen Zentrale 0 0 0 0 Identit t IP dressen Zuweisung YPN IP Netze Automatischer Modus z Zertifikats Uberpr fung O Link Firewall Automatischer Modus Main Mode DEE Q In diesem Parameterfeld geben Sie die IP Adresse des Gateways ein Dar ber hinaus legen Sie die Richtlinien fest die f r die IPSec Verbindung in der Phase l und Phase 2 Verhand lung verwendet werden sollen Sofern der automatische Modus genutzt wird akzeptiert der Client die Richtlinien wie sie vom Gateway der Gegenstelle vorgegeben werden Soll der IP Sec Client als Initiator der Verbindung eigene Richtlinien verwenden so m ssen diese mit dem Richtlinien Editor konfiguriert werden Die erweiterten Optionen k nnen nach Abstim mung mit der Gegenstelle eingesetzt werden Parameter O Gateway O Exch Mode O IKE Richtlinie O PFS Gruppe O IPSec Richtlinie O Richtlinien G ltigkeit O Richtlinien Editor 148 NCP engineering GmbH SECURE E
240. olgreicher Pr fung wird ein Aktivierungs Code zur ckgegeben siehe Schritt 2 C Schritt 2 Aktivierungs Code eingeben Nach der Eingabe des Aktivierungs Codes der vom NCP Aktivierungs Server zur ckgegeben wurde kann die Software als Vollversion aktiviert werden Die Offline Variante wird ber das Monitormen Hilfe Lizenzinfo und Aktivierung gestartet und im ersten Fenster des Aktivierungs Assistenten selektiert Klicken Sie auf Weiter Im zweiten Fenster des Aktivierungs Assistenten werden die beiden Schritte der Offline Aktivierung erkl rt Der erste Schritt die Erstellung der Aktivierungsdatei ist automatisch selektiert Klicken Sie auf den Button mit Weiter 118 NCP engineering GmbH SECURE ENTRY CLIENT Assistei Lizenzdaten Wie lauten die Lizenzdaten Bitte geben Sie die Lizenzdaten der NCP Secure Entry Client Software ein ZE Lizenzschl ssel Seriennummer wm lt Zur ck weiter gt Abbrechen istent f r Software Aktivierung x NC Es wird eine Datei mit den Aktivierungsdaten erstellt Diese Datei mu anschlie end ber HTTP Aha pcp dei dem NCP Aktivierungs Server bergeben werden Bitte geben Sie den Namen und den Pfad an unter dem die Datei gespeichert werden soll Aktivierungsdatei Wo soll die Aktivierungsdatei gespeichert werden Aktivierungsdatei E lt Zur ck Abbrechen NC Status Offline
241. on te ADA 2 2 1 Konfiguration des Update Clients nl ee AO Konfigurationsabgleich durch den Management Server A35 Update Intervall CheckInterval A35 Blockgr e BlockSize ds ta A35 Weitere Koniignrationsemstellungen in der Reriti ee AC 2 2 2 Automatisierung der ersten Anmeldung e A37 Beispiel s uos a SEA E um AT 2 2 3 Konfiguration am M tagement SES ape Sen ver Ae ra A39 2 2 4 Management Server Einstellungen 2 2 22222202 A40 General y amp amp cias sa ae a ar AAO Clients s s e se 4 amp 8 wie paor ma ee AM Authentication 2 2 2 2 nn nm nn A45 ChientAuthentication 2 2 2 2 nn nn nn nn A46 CONNMAN e AGT CMP ie a tr 2 ea 0a E E ne ie AUT RADIUS ue 3 802 8 3 08 2 8 8 a a en AH Heel copiosa nee AS Syslog ces src 25 amp um er a en AI Console Lia ee E 2 2 5 Update des Update Clients Laa ee te AS 3 ncpbudgt exe Budget Manager Verbindungssteuerung statistik A51 4 rwsemd exe Kommandozeilen Schnittstelle A52 4 1 bergabe von Kommandos an den NCP Secure Client A52 4 2 Voraussetzung f r die Nutzung des Programms AS3 4 3 Beschreibung der Kommandos a 2 22mm nn nn A53 5 MEDER u en Ei ee en e e A56 CONMECEDAL oscar ss IO disconnect bat s s e a 2 oreas A 30 Anhang Secure Client Services A 25 SECURE ENTERPRISE ENTRY CLIENT
242. onssprache und beantworten anschlie end die Update Frage mit Ja Danach El wird die Installation automa tisch durchgef hrt Sie ist A Fertigstellen NCP Es wurde eine installierte Version der NCP Secure Entry Client Software gefunden Soll ein Update durchgef hrt werden abgeschlossen wenn Sie den e Rechner neu gestartet haben 126 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 Konfigurationsparameter Die IPSec Client Software gestattet die Einrichtung individueller Profile f r entspre chende Zielsysteme die nach den Benutzeranforderungen konfiguriert werden k nnen Ly Im folgenden sind alle Parameterbeschreibungen aufgef hrt und sie sind so angeord net wie sie auf der Oberfl che des Client Monitors erscheinen O NCP engineering GmbH 127 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 Profil Einstellungen Nachdem Sie Profil Einstellungen im Men des Monitors angeklickt haben ffnet sich das Men und zeigt eine bersicht ber die bereits definierten Profile und die Ruf nummern der zugeh rigen Ziele Seitlich finden Sie Buttons ber die Sie die Eintr ge des Telefonbuchs Zielsysteme modifizieren k nnen Zentrale Um ein neues Profil zu definieren klicken Sie in der Men leiste des Monitors auf Profil Einstellungen Das Men ffnet sich nun und zeigt die bereits definierten Pro file Klicken Sie jetzt au
243. ordnet werden Der Begriff Host Adresse bezeichnet die IP Adresse des Rechners eines IP Prozesses unabh ngig von der tats chlichen physikalischen Struktur des Ger ts oder der Schnittstellen 7 1 2 IP Adress Struktur IP Adressen haben eine L nge von vier Oktetten 32 Bits 4 Bytes und werden in de zimaler oder hexadezimaler Schreibweise mit Punkt getrennt notiert Zum Beispiel 198 10 6 27 oder C6 0A 06 1B oder 0xC6 0x0A 0x06 0x1B Die Adressen werden getrennt in einen Netzwerk Abschnitt der das zugeh rige Netz adressiert und eine lokale Adresse dem sogenannten Restfeld auch Host Ab schnitt der das jeweilige Ger t innerhalb des Netzwerks adressiert Alle Ger te inner halb eines einzelnen Netzwerks haben denselben Netzwerk Abschnitt gemeinsam Je des Ger t Host hat dabei sein eigenes Restfeld Es gibt drei Klassen von Internet Adressen je nachdem wieviele Bytes der IP Adresse f r Netzwerk Abschnitt und Restfeld verwendet werden Klasse Class A gro e Netzwerke Netzwerknummern 1 127 Bei Adressen der Klasse A ist das h chste Bit gleich Null die n chsten sieben Bits ent sprechen dem Netzwerk und die verbleibenden 24 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 1 Byte max 126 unterschiedliche Netzwerke Restfeld beansprucht 3 Bytes max 2 hoch 24 16 777 216 verschiedene Ger te Damit k nnen max 127 unterschiedliche Netzwerke jedes mit max 16 777 216 ver schiedenen Ger t
244. orithmus eine akzeptable Sicherheit f r die n ch sten 30 Jahre bietet Wird in VPN und SSL Ver schl sselungen bald gro e Verbreitung finden AH Authentication Header RFC 2402 Asymmetrische Verschl sselung Public Key Verfahren Bei einer asymmetrischen Verschl sselung besitzt jeder Teilnehmer zwei Schl ssel einen geheimen privaten und einen f fentlichen Schl ssel Beide Schl ssel stehen in ei ner mathematisch definierten Beziehung zueinan der Der private Schl ssel des Teilnehmer ist streng geheim der ffentliche Schl ssel f r jeder mann zug nglich Das Schl sselmanagement ge staltet sich auch bei groen Teilnehmerzahlen berschaubar Zwei Schl ssel pro Teilnehmer er gibt insgesamt 2 000 Schl ssel um 1 000 Teilneh mern in allen Sender Empf nger Kombinationen die sichere Kommunikation zu erm glichen Das bekannteste asymmetrische Verschl sselungsver fahren ist RSA Nachteil der asymmetrischen Ver fahren Sie sind rechenintensiv und damit ver gleichsweise langsam NCP engineering GmbH 203 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE Basisanschluss ISDN Anschlusstyp mit So Schnittstelle S f r So BRI Basic Rate Interface Subscriber Interface Benutzerschnittstelle beste hend aus einem D Kanal Bandbreite 16 kBit s f r die Steuerung und zwei B Kan len Bandbreite jeweils 64 kBit s f r die bertragung von Nutzin formationen BCP Bridge Control Protocol BITS Bump In T
245. pression Statischer Schl ssel Preshared Key ohne Zertifikat IKE ID Typ IKE ID IP Adressen Konfiguration IP Adresse des Clients DNS WINS Server Firewall Einstellungen Verbindung mit dem Internet herstellen Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzer Passwort Rufnummer Das neue Profil erscheint nun in der Liste der Profile mit dem von Ihnen vergebenen Namen Wenn keine weiteren Parameter Einstellungen n tig sind k nnen Sie die Liste mit Ok schlie en Das neue Profil ist im Monitor sofort verf gbar Es kann im Monitor ausgew hlt werden und ber das Men Verbindung Verbinden kann das zugeh ri ge Ziel sofort angew hlt werden 68 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR u Konfigurieren Profil Um die Standard Werte eines Profils zu editieren w hlen Sie mit der Maus das Pro fil dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Die Profil Einstellungen zeigen nun in ihrem linken Fenster eine Liste von Begriffen denen jeweils ein Parameterfeld zugeordnet ist Profil Einstellungen Zentrale Grundeinstellungen Grundeinstellungen Netzein wahl Netzeinwahl Modem Modem EA Line Management gt Line Management IPSec E instellungen 2 IPSec Einstellungen IP Adressen Zuweisung YPN IP Netze 2 ER Zeitifikats berpr fung Identit t Firewall Einstellungen z IP Adressen Zuwei
246. r 00 a nn allgemeinen Zertifikatsdaten siehe Bild oben Das Ansichtsfeld Extensions zeigt die Zertifikatserweiterungen sofern sie vorhanden sind siehe Bild links NCP engineering GmbH 59 SECURE ENTRY CLIENT CLIENT MONITOR Auswertung der Erweiterungen Extensions KeyUsage Ist in einen eingehenden Zertifikat die Erweiterung KeyUsage enthalten so wird diese berpr ft Folgende KeyUsage Bits werden akzeptiert Digital Signatur Key Encipherment Schl sseltransport Schl sselverwaltung Key Aggrenment Schl sselaustaschverfahren Ist eines des Bits nicht gesetzt wird die Verbindung abgebaut extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der Secure Client ob der definierte erweiterte Verwendungs zweck die SSL Server Authentisierung ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN Ausnahme Bei einem R ckruf des Server
247. r ge in die Datei geschrieben F r jeden Tag wird eine Log Datei mit dem Namen mfc lt DATUM gt log erstellt Es werden die Log Dateien der letzten 7 Tage gespeichert Anhang Mobile Computing via GPRS UMTS A 21 SECURE ENTERPRISE ENTRY CLIENT Diese Seite ist frei f r Notizen A22 Anhang Mobile Computing via GPRS UMTS SECURE ENTERPRISE ENTRY CLIENT SERVICES Anhang zu NCP Secure Enterprise Client und NCP Secure Entry Client Dienste und Applikationen des Clients NCP SECURE COMMUNICATIONS M Network Communications Products engineering GmbH Domb hler Str 2 D 90449 N rnberg Tel 0911 99 68 0 Fax 0911 99 68 299 internet http www ncp de Anhang Secure Client Services A 23 SECURE ENTERPRISE ENTRY CLIENT SERVICES A 24 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES Inhalt 1 Dienste und Applikationen des Secure Clients 22 222220 A27 1 1 bersicht der Ports des NCP Secure Clients 22 2 2 A30 bei Win2000 XP e s eoe palp nn nn nennen A30 bei98 ME 2 2 2 2 m nn A30 Weitere Ports en AO 1 2 Registry Eintr ge f r den NCP Bonge Client DE e A31 Key Software Ncp Engineering GmbHINCP RWSIGANG 0 A32 Key Software Ncp Engineering GmbH NCP Secure Client A32 2 rwsrsu exe Update Client o A33 2 1 Funktionsbeschreibung 2 2 nn nn A33 2 2 Konfigurati
248. r den Client genauso darstellt wie ein analoges Modem Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle die IR Schnittstelle Infrarot oder Bluetooth genutzt werden Je nach bertragungsart GSM V 110 GPRS UMTS oder HSCSD muss die Gegenstelle ber die entsprechende Einwahlplattform verf gen Der in die Modemkonfiguration des 22 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION Secure Clients einzutragende Initialisierungs String ist vom ISP oder dem Hersteller des Mobiltelefons zu beziehen E LAN Adapter LAN over IP Um die Client Software mit der Verbindungsart LAN in einem Local Area Network betreiben zu k nnen muss zus tzlich zum bereits installierten LAN Adapter Ethernet kein weiterer Adapter installiert werden Die Verbindung der LAN Clients ins WAN stellt ein beliebiger Access Router her Einzige Voraussetzung IP Verbindung zum Zielsystem muss m glich sein Die VPN Funktionalit t liefert die Client Software E xDSL Modem PPPoE Die Verbindungsart PPP over Ethernet setzt voraus dass eine Ethernet Karte installiert und dar ber ein xDSL Modem mit Splitter korrekt angeschlossen ist D xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine AVM Fritz DSL Karte einge setzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetragen werden Unter
249. rag vorhanden sind an das IKE Modul bergeben Eine IPSec SA auszuhandeln wird als Phase 2 Verhandlung bezeichnet Bevor jedoch eine IPSec SA mit der Gegenstelle Gateway ausgehandelt werden kann muss ein Kontrollkanal vom Client zum Gateway existieren Dieser Kontrollkanal wird ber die Phase 1 Verhand lung hergestellt deren Ergebnis eine IKE SA ist Die Phase 1 Verhandlung bernimmt somit die komplette Authentisierung vom Client gegen ber dem VPN Gateway und erzeugt einen verschl sselten Kontrollkanal ber diesen Kontrollkanal kann dann rasch die Phase 2 IP Sec SA durchgef hrt werden Die Phase 1 Verhandlung ist ein Handshake ber den auch der Austausch von Zertifikaten m glich ist und die den Schl sselaustausch f r den Kontroll kanal beinhaltet NCP engineering GmbH 187 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN D IKE Modi Im wesentlichen k nnen zwei Arten der IKE Richtlinien konfiguriert werden Sie un terscheiden sich durch die Art der Authentisierung entweder ber Pre shared Key oder ber RSA Signatur Beide Arten des Internet Key Exchanges k nnen in zwei unter schiedlichen Modi ausgef hrt werden dem Main Mode auch Identity Protection Mode oder dem Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messa ges und durch die Verschliisselung Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollka nal geschickt wobei die beiden letzten welche die User ID das
250. re Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES rwscmd ginainstall Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Installiert die NCP Gina sofern dies noch nicht bei der Software Instal lation geschehen ist vergleiche im Client Handbuch den Abschnitt Installation rwscmd ginaunins Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Deinstalliert die NCP Gina Sollte die NCP Gina von einer fremden Gina aufgerufen werden so ist die Deinstallation mit diesem Kommando nicht m g lich In diesem Fall muss die Entfernung aus der Registry manuell vorgenommen wer den oder die Ginas in umgekehrter Reihenfolge der Installation wieder deinstalliert werden vergleiche im Client Handbuch den Abschnitt Logon Optionen rwscmd ginaon Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Schaltet die NCP Gina Dialoge zur Anmeldung an das VPN Gateway sichtbar sofern die NCP Gina installiert wurde rwscmd ginaoff Erforderliche Windows Berechtigung Administrator Rechte Beschreibung Schaltet die NCP Gina Dialoge unsichtbar und berspringt damit die VPN Gateway Anmeldung mit der NCP Gina rwscmd logonhotspot Timeout Soll ber einen externen Dialer eine Hotspot Anmeldung erfolgen kann mit diesem Befehl die Firewall f r die Ports 80 HTTP und 443 HTTPS freigeschaltet werden Damit wird eine dynamische Regel erzeugt die den Datenverkehr zul sst b
251. renzeichen der je weiligen Urheber Gesamtherstellung dieses Handbuchs Michael L sel Dokumentation Publikation ml service t online de Pirckheimerstr 47 90408 N rnberg 0172 8258 238 2 NCP engineering GmbH SECURE ENTRY CLIENT NCP SECURE COMMUNICATIONS M Network Communications Products engineering GmbH Domb hler Str 2 D 90449 N rnberg Tel 0911 99 68 0 Fax 0911 99 68 299 internet http www ncp de O NCP engineering GmbH SECURE ENTRY CLIENT NCP Hotline Die NCP Hotline begleitet Sie mit technischem Sach verstand von der Beratung und Projektierung zur In stallation zum firmenspezifischen Training bis zum Support in Ihrem Anwendungsumfeld F r eine umfassende Betreuung der NCP Produkte im t glichen Einsatz bietet NCP Support von Montag bis Freitag von 8 00 bis 17 00 der per Fax oder E Mail kostenlos erreichbar ist via Telefon per Dienstlei stungsauftrag siehe unten Service Vertr ge werden nach Produkt Gruppen abge schlossen und umfassen alle dazugeh rigen Produkte Detaillierte Ausk nfte zu Service Vertr gen erteilen NCP Mitarbeiter unter 09 11 99 68 0 Dienstleistungsauftrag Auch ohne Service Vertrag k nnen Sie Dienstleistun nach Aufwand gen von NCP in Anspruch nehmen Allerdings nur in beschr nktem Umfang und nach einer schriftlichen Auftragserteilung Ihrerseits In diesem Falle werden die von NCP erbrachten Leistungen nach Aufwand in Rechnung gestellt S
252. rer eingesetzten Software SECURE COMMUNICATIONS M Secure Entry Client Wersion 8 30 Build 43 Gul un d U U 0 O dl ke gt gt our Q un Bo La Copyright NCP engineering GmbH waat DCH de 112 O NCP engineering GmbH SECURE ENTRY CLIENT LIZENZIERUNG 4 6 Lizenzierung Im Monitormeni Hilfe wird unter dem Men punkt Lizenzinfo und Aktivierung die eingesetzte installierte Software Version und gegebenenfalls die lizenzierte Software Version mit Seriennummer angezeigt Die Client Software wird zun chst immer als Testversion installiert sofern noch keine Client Software installiert wurde oder aber mit einer bereits installierten lteren Versi on noch keine Software Aktivierung stattgefunden hat Dies gilt auch f r den Fall wenn die ltere Version bereits lizenziert wurde dann n mlich wird diese Version auf den Status einer Testversion zur ckgesetzt und die Lizenzdaten m ssen innerhalb von 30 Tagen nochmals ber den Aktivierungs Dialog eingegeben werden H NCP Secure Entry Client lee Die verbliebene Zeitdauer bis zur Software Aktivierung d h die G ltigkeitsdauer der Profil Amt Testversion wird in der Hinweisleiste des Monitors neben dem Aktivierungs Button angezeigt Bild links Verbindung Konfiguration Log Fenster Hilfe o ele Software ist nicht aktiviert noch 30 Tage g ltig Um eine zeitlich unbegrenzt g ltige Vollversion nut
253. rfahren SHAI Secure Hash Algorithm 1 MD5 Message Digit 5 Firewall Funktionalit ten IP NAT Network Address Translation Schutz des PCs bei VPN Connection gegen ber Zugriffen von anderen Systemen LAN Adapter Schutz m Filtering IP Broadcasts Netbios over IP m PKI Public Key Infrastruktur nach X 509 v 3 Standard SmartCards TCOS 1 2 und 2 0 CardOS M4 PC SC Soft Zertifikate PKCS 12 E IP Adress Allocation DHCP Dynamic Host Control Protocol O Point to Point Protokolle PPP LCP Link Control Protocol PPP IPCP IP Control Protocol PPP CCP Compression Control Protocol PPP PAP Password Authentication Protocol PPP CHAP Callenge Handshake Authenication Protocol PPP ECP Encryption Control Protocol E Kompressionsverfahren Stac m Verbindungsmanagement Short Hold Timeout zeitgesteuert NOP engineering GmbH 19 SECURE ENTRY CLIENT PRODUKT BERSICHT D Client Monitor Konfiguration des PDAs erfolgt ber den Client Monitor an einem Standard PC Der PDA Monitor dient zur Statusanzeige und Zielwahl D Dialer NCP Dialer Microsoft RAS Dialer D Optionen Zentrales NCP Secure Enterprise VPN PKI Gateway Upgrade auf NCP Secure Enterprise Solution mit zentralem Management Tool und High Availability Services D RFCs und Drafts RFC 2401 Security Architecture for the Internet Protocol RFC 2403 The Use of HMAC MDS
254. rierten Zielsyste me zum VPN Gateway des Firmennetzes k nnen dieser automatischen Medienerken nung sofern gew nscht zugeordnet werden ber das Parameterfeld Zielsystem im Telefonbuch Damit er brigt sich die manuelle Auswahl eines Mediums WLAN UMTS Netzwerk DSL ISDN Modem aus den Telefonbucheintr gen Die Eingangs daten f r die Verbindung zum ISP werden f r den Anwender transparent aus den vor handenen Telefonbucheintr gen bernommen Beachten Sie dazu die Beschreibung zu Profil Einstellungen Verbindungsart 24 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION Voraussetzungen f r den Einsatz von Zertifikaten Um mit der Security Software die Zertifizierung X 509 nutzen zu k nnen miissen folgende Voraussetzungen erf llt sein TCP IP Das Netzwerk Protokoll TCP IP muss auf dem Rechner installiert sein m Chipkartenleser Wenn Sie die Erweiterte Authentisierung Strong Authentication mit Smart Cards nutzen wollen muss ein Chipkartenleser an Ihr System angeschlossen sein Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen nachdem der Leser angeschlossen und die zugeh rige Treiber Software installiert wurde Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automat isch Erst dann kann der installierte Leser ausgew hlt und genutzt
255. rmat Y Schl ssel1 I Schl ssel 2 F Schl ssel 3 TF Schl ssel 4 P Open System mm Mm ooo Ee ER Hilfe Abbrechen D AN Profile AN Profile Allgemein Verschl sselung IP Adressen Authentisierung IP Adressen IP Adresse Subnetzmaske Standardgateway DNS Server ES ADDN C IP Adressen automatisch beziehen Folgende IP Adresse verwenden 0 0 0 0 0 0 0 0 0 0 0 0 i S oh br Ga Folgende DNS WINS Serveradressen verwenden DNS Server WINS Server Bevorzugter Server Alternativer Server 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 LJ manuell auf Ad Hoc umgestellt werden wenn ein Profil f r eine Direktverbindung von PC zu PC hergestellt werden soll Sofern der WLAN Adapter dies gestattet kann der Energie Mode f r ihn ausgew hlt werden Wird die Verbindungsart fiir ein selektiertes Profil auf automatisch gestellt so kann dieses Profil f r die WLAN Automatik siehe oben verwendet werden Verschl sselung Der Verschl sselungsmechanis mus wird vom Access Point WLAN Router vorgegeben und ber den Administrator mitgeteilt Wird WPA mit EAP TLS genutzt so m ssen die EAP Optionen im Konfigurations Men des Monitors aktiviert werden und ein Zertifikat konfiguriert sein im Monitor Men unter Konfiguration Zertifikate IP Adressen Die hier gemachten Einstellungen zur IP Adress Konfiguration der WLAN Karte werden dann wirksam
256. rotocol Internet Standard zur Verteilung elektronischer Post Ist textorien tiert und setzt auf TCP auf Port 25 SNA Systems Network Architecture Hierarchisch orien tiertes Netz zur Steuerung von Terminals und zur Unterst tzung des Zugriffs auf Anwendungen in IBM Host Systemen SNMP Simple Network Management Protocol Netzwerk Managementprotokoll auf Basis von UDP IP Source Routing M glichkeit in Token Ring Netzwerken eine We gewahl zwischen Bridges zu optimieren Dabei werden die Wegeinformationen an den Datenblock angeh ngt mit bertragen Auf diese Weise liegt auch der Weg f r die Best tigung eindeutig fest SPD Security Policy Database SSL Secure Socket Layer Gem dem SSL Protokoll kann der dynamische Schl sselaustausch Dyna mic Key Exchange genutzt werden SSL von Net scape entwickelt ist mittlerweile das Standard Protokoll f r dynamischen Schl sselaustausch SSLCP Secure Socket Layer Control Protocol STARCOS Betriebssystem f r Smartcards Symmetrische Verschl sselung Sender und Empf nger verwenden bei der symme trischen Chiffrierung und Dechiffrierung den glei chen Schl ssel Symmetrische Algorithmen sind sehr schnell und sehr sicher dies allerdings nur dann wenn die Schl ssel bergabe zwischen dem Sender und dem Empf nger ungef hrdet erfolgen kann Gelangt ein Unbefugter in den Besitz des Schl ssels so kann dieser alle Nachrichten ent 214 NCP engineering GmbH SECURE ENTR
257. rstellers um Instabilit t oder Datenverlust zu vermeiden Anschlie end werden die Lizenzbedingungen gezeigt Stimmen Sie dem Vertag mit Ja zu sonst wird die Installation abgebrochen weiter n chste Seite NOP engineering GmbH 29 SECURE ENT CLIENT E Setup Typ W hlen Sie den Setup Typ aus der Ihren Anforderungen am ehesten NCP entspricht SECURE COMMUNICATIONS W W hlen Sie den gew nschten Setup Typ aus Das Programm wird mit den am h ufigsten verwendeten Optionen installiert Empfohlen f r die meisten Anwender Benutzerdefiniert Sie k nnen w hlen welche Optionen Sie installieren mochten Empfohlen f r erfahrene Benutzer Zielordner C Programme NCP Securellient Durchsuchen lt Zur ck Abbrechen Unter Windows Vista kann auch Program Files NCP SecureClient angezeigt werden NCP Setup Typ W hlen Sie den Setup Typ aus der Ihren Anforderungen am ehesten NCP entspricht SECURE COMMUNICATIONS W w hlen Sie den gew nschten Setup Typ aus Das Programm wird mit den am h ufigsten verwendeten Optionen installiert Empfohlen f r die meisten Anwender Standard Sie k nnen w hlen welche Optionen Sie installieren m chten Empfohlen f r erfahrene Benutzer Zielordner C Programme NCP Securellient Durchsuchen lt Zur ck Abbrechen pieli d x NC SECURE COMMUNICANONS u Programmordner auswahlen
258. rt Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zu stande Sind keine Aussteller Zertifikate vorhanden wird keine Verbindung zugelas sen 7 3 2 berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revo cation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Extensions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeu tung O extendedKeyUsage O subjectKeyldentifier O authorityKeyldentifier NCP engineering GmbH 197 SECURE ENTRY CLIENT BEISPIELE UND ERKLARUNGEN D extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Er weiterung nicht im Zertifikat vorhanden so wird die
259. rte Dies ist auch dann m glich wenn eine Testversion installiert wurde Liegt eine neuere Version bei NCP vor so ist immer ein Sofware Update m glich Informationen zum Leistungsumfang der neuesten Software erhalten Sie st ndig unter der Website http www ncp de deutsch services whatsnew index html Das Software Update ist immer dann kostenpflichtig wenn es sich bei der neueren Version um ein Major Release handelt erkennbar an der nderung der ersten Dezimal stelle hinter dem Komma Zum Beispiel Ist eine Version 8 26 installiert und die n ch ste Software Version hat die Nummer 8 3 so ist ein Software Update von 8 26 auf 8 3 sowie insbesondere die Nutzung der neuen Features kostenpflichtig Die neuen Featu res k nnen nur genutzt werden wenn die neue Software nach Installation mit einem neuen Lizenzschl ssel aktiviert wurde wie oben unter Software Aktivierung beschrie ben Der neue Lizenzschl ssel wird erzeugt indem Seriennummer und Update Schl s sel der ber den Reseller vorort erworben werden kann auf folgender Website einge tragen werden http www ncp de deutsch services updkeys index html Das Software Update ist immer dann kostenfrei wenn es sich bei der neueren Version um ein Service Release handelt erkennbar an der nderung der zweiten Dezimalstelle hinter dem Komma Zum Beispiel Ist eine Version 8 26 installiert und die n chste Software Version hat die Nummer 8 27 so ist ein Software Update von 8 26 auf 8
260. rtifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyIdentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst NCP engineering GmbH 167 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss Sind eingehende Zertifikate in den Listen von CRL oder ARL enthalten wird die Ver bindung nicht zugelassen Sind CRLs oder ARLs nicht vorhanden findet keine diesbez gliche berpr fung statt 168 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 5 1 12 Link Firewall Profil Einstellungen Zentrale X Firewall Einstellungen Grundeinstellungen a A Bei aktivierter Firewall werden keine Pakete von IPSec Einste
261. rver Einstellungen Anhang Secure Client Services A 39 SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 4 Management Server Einstellungen In der Management Console ffnen Sie unter dem Hauptmen punkt Management Server die Einstellungen Die Parameter sind nach Gruppen geordnet Einstellungen ReplSecret UseDefaultPhonebaok 1 Die Werte k nnen nach DeletePkcs1 24 terDownL LogTraceLifetime 2 Doppelklick auf den DistributionCode entsprechenden ey BlockSize Parameter ge ndert Authentication UseLocal uthentication werden Bitte beachten Sie dass der Management Server nach einem Editieren der Parameter werte neu gestartet wird damit die neue Konfiguration wirksam wird General RsuPort 12501 Standard 12501 Muss mit der Einstellung am Update Client siehe oben Registry Eintrag bereinstimmen MgmPort 12502 Standard 12502 sollte nicht ver ndert werden Manage ment Port ber den der Client Manager die Telefonb cher einstellt MgmSSLPort 12504 Standard 12504 sollte nicht ver ndert werden Manage ment Port ber den der Client Manager die Telefonb cher ber SSL einstellt A 40 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES ReplPort 12505 Standard 12505 sollte nicht ver ndert werden Manage ment Port iiber den der Management Server ein Backup er stellt RepIDBPort 12506 Standard 12506 sollte nic
262. s an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kein CA Zertifikat gefunden werden wird die Verbindung abgelehnt CDP Certificate Distribution Point Im Certificate Distribution Point ist die URL f r den Download einer CRL hinterlegt Ist im Zertifikat die Erweiterung CDP enthalten wird nach dem Verbindungsaufbau die CRL ber die angegebene URL heruntergeladen und berpr ft Wird dabei festgestellt dass das Zertifikat ung ltig ist wird die Verbindung abgebaut Die CRL wird dabei un ter dem Common Name der CA im Verzeichniss ncple crls gespeichert 60 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 1 8 PIN eingeben Die PIN Eingabe kann bereits vor einem Verbindungsaufbau erfolgen nachdem der Mo nitor gestartet wurde Wird zu einem sp tere
263. s dem Konfigurationsbaum l schen wollen se lektieren Sie sie und klicken auf L schen Die Richtlinie oder SPD ist damit auf Dau er aus der IPSec Konfiguration gel scht Schlie en Wenn Sie das IPSec Feld schlie en kehren Sie zum Monitor zur ck Die Daten werden so wie sie konfiguriert wurden behalten IKE Richtlinie editieren IKE Richtlini Die Parameter in diesem Richtlinie Feld beziehen sich auf die Phase 1 des Internet Key Exchange IKE mit dem eeng ege ocre el der Kontrollkanal f r die A DH Gruppe 2 SA Verhandlung aufge baut wird Den IKE Mo dus Austausch Modus Exchange Mode Main Mode oder Aggressive Preshared Preshared Key Mode bestimmen Sie in SE dem Parameterfeld IPSec Einstellungen im Telefon BE buch Die IKE Richtlinien DH Gruppe 2 1024 Bi _ die Sie hier konfigurieren He Fee werden zur Auswahl geli stet Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtlinien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf d h eine Richtlinie kann aus mehreren Vorschl gen bestehen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Proposals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Po licies die gleichen Vorschl ge Proposals zur Verf
264. s festgelegt und k nnen die Richtlinien f r die PIN definiert werden Zertifikate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt Sie k nnen als Soft Zertifikat in Dateiform ausgeliefert werden oder auf eine Smart Card Chipkarte gebrannt werden Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises verlei hen Es k nnen Zertifikate eingesetzt werden die einen privaten Schl ssel bis zu einer L nge von 2048 Bits haben Als Gegenstelle muss der NCP Secure Server 5 21 oder h her eingesetzt werden Die Client Software berwacht ob eine PKCS 12 Datei vorhanden ist Wird eine PKCS 12 Datei Soft Zertifikat eingesetzt z B auf einem USB Stick oder einer SD Karte gespeichert so wird nach dem Ziehen der SD Karte die PIN zur ckgesetzt und eine bestehende Verbin dung abgebaut Dieser Vorgang entspricht dem Verbindungsabbau bei gezogener Chipkar te der bei Verwendung einer Chipkarte im Monitormen unter Konfiguration Benutzer Zertifikat eingestellt werden kann Wird sp ter die SD Karte wieder gesteckt kann nach der erneuten PIN Eingabe die Verbindung wieder hergestellt werden In der Zertifikats Konfiguration k nnen f r die Pfad Angaben die Umgebungsvariablen Be nutzer des Betriebssystems eingesetzt werden Die Variablen werden beim Schie en des Dia logs und beim Einlesen des Telefonbuches umge
265. s und in der Log Datei der Fire wall siehe gt Protokollierung wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Automatische Erkennung der bekannten Netze aktivieren Zur automatischen Friendly Net Detection beachten Sie bitte das Parameterfeld auf der folgenden Seite 80 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR el Automatische Erkennung der bekannten Netze Was ein Friendly Net ist wird vom Administrator zentral verbindlich festgelegt Die Signalisierung eines Friendly Net erfolgt im Monitor durch das Firewall Symbol das sich gr n f rbt sobald sich der Client in ein Friendly Net eingew hlt hat IP Adresse des Dienstes zur Erkennung der bekannten Netze Erforderlich ist ein Friendly Net Detection Server FNDS d h eine Softwarekompo nente von NCP in einem als Friendly Net definierten Netz Dieser FND Server muss ber IP erreichbar sein und seine IP Adresse hier eingetragen werden Die Adresse ei nes zweiten Servers kann als Ersatz nach einem Semikolon eingetragen werden Benutzername Passwort FNDS Die Authentisierung des Friendly Net Detection Servers erfolgt ber MD5 oder TLS Hier einzutragender Benutzername und Passwort m ssen mit jenen am FNDS hinterleg ten bereinstimmen Benutzer Subject des eingehenden Zertifikats Das eingehende Zertifikat des FNDS wird auf diesen String hin gepr ft Nur bei Gleichheit handelt es sich um ein Friendly Net
266. se ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem Riickruf an den Client ber VPN Ausnahme Bei einem Riickruf des Servers an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert D subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffin
267. sh Wert siehe Signatur HBCI Standard f r Smartcard Reader Online Banking HTTP Hypertext Transfer Protocol Multimedia Network im Internet Port 80 Hybride Verschl sselung Hohe Performance plus viel Sicherheit Hybride Verschl sselung vereint die Vorteile symmetri scher und asymmetrischer Verfahren W hrend die Inhalte der Kommunikation mit schnellen symme trischen Algorithmen gesichert werden erfolgen Authentisierung der Teilnehmer und Schl sselaus tausch auf Basis asymmetrischer Verfahren Die eigentliche Verschl sselung der Daten eines Doku ments geschieht auf Basis einer Zufallszahl Sessi on Key die f r jede einzelne Kommunikations verbindung neu erzeugt wird Dieser Einmal schl ssel wird mit dem ffentlichen Schl ssel des Empf ngers chiffriert und der Nachricht beigef gt Der Empf nger wiederum rekonstruiert mit seinem privaten Schl ssel den Session Key und entschl s selt die Nachricht IETF Internet Engineering Task Force Interessenge meinschaft die sich mit Problemen des TCP IP und dem Internet befasst unter anderem den Well Known Ports Ports O bis 1023 NCP engineering GmbH 207 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE IKE Internet Key Exchange Bestandteil von IPsec f r sicheres Schl ssel Management Separate security association negotiation and key management pro tocol RFC 2409 Internet Das Internet ist ein weltweites offenes Rechner netz Es ist allgemein zug nglich J
268. sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname SCM Swapsmart CT API gt XyZ DLLWIN95 sem20098 dll gt ct32 dll DLLWINNT sem200nt dll gt ct32 dll O NCP engineering GmbH 25 SECURE ENTRY CLIENT INSTALLATION Y Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration Zertifikate Chipkartenleser Selektieren Sie nun diesen Chipkartenleser E Chipkarten Folgende Chipkarten k nnen direkt bei PC SC oder CT API Auswahl genutzt werden Signtrust NetKey 2000 TC Trust CardOS M4 Telesec PKS SigG a Soft Zertifikate PKCS 12 Statt einer Smart Card k nnen auch Soft Zertifikate genutzt werden E Chipkarten oder Token PKCS 11 Mit der Software f r die Smart Card oder den Token werden Treiber in Form einer PKCS 11 Bibliothek DLL mitgeliefert Diese Treiber Software muss zun chst instal liert werden Anschlie end muss die Datei NCPPKI CONF editiert werden M Editieren Sie die Datei NCPPKI CONF befindlich im Installationsverzeichnis indem Sie als Modulname den Namen des angeschlossenen Lesers oder Tokens xyz eintragen Als PKCS 11 DLL muss der Name der DLL eingegeben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname XyZ PKCS
269. statistik automatisch bei Start des Monitors mit Der Budget Manager hat die Aufgabe Verbindungen der Client Software nach genau definierten Kriterien zu berwachen Diese Kriterien werden im Monitormen unter Konfiguration Verbindungssteue rung festgelegt Siehe auch Handbuch zum Secure Client Monitor Verbindungs steuerung Die Verbindungssteuerung im Monitormen zu aktivieren ist nur dann sinnvoll wenn die Verbindungen nicht zu einem Gateway des Firmennetzes f hren oder wenn f r die Verbindungen Geb hren f r Verbindungszeit oder h ufigkeit anfallen Ansonsten kann das Geb hren Management zentral administriert werden Wird der Budget Manager nicht genutzt so kann er aus der Registry entfernt werden siehe Bild unten Dabei ist darauf zu achten dass er bei einem Update oder einer Neuinstallation automatisch wieder installiert wird Danach muss er erneut mit regedit gel scht werden x Registrierungs Editor 3 IPConfTSP wert nicht gesetzt CXWINNTAneple CAWAINNTAArrow a CAWINNTAncple CAWINNTAneple mobsync exe logon Key Software Microsoft Windows CurrentVersion Run NCPBudget Anhang Secure Client Services ASI SECURE ENTERPRISE ENTRY CLIENT SERVICES 4 rwscmd exe Kommandozeilen Schnittstelle a Achtung Die folgende Beschreibung gilt nur f r Windows Systeme 4 1 bergabe von Kommandos an den NCP Secure Client Der NCP Secure Client Entry Enterprise
270. stellungen Integrierte WLAN Konfiguration f r Windows 2000 XP In diesem Konfigurationsmen Konfiguration WLAN Einstellungen k nnen die Zu gangsdaten zum Funknetz in einem Profil hinterlegt werden Dieses Konfigurations feld kann unabh ngig vom aktuell selektierten Linkprofil auch ber das Monitormen Fenster WLAN Status anzeigen ge ffnet werden WLAN Automatik Unter WLAN Profil wird das Profil selektiert ber das eine Verbindung zum Access Point hergestellt werden soll Au er diesem Profil k nnen automatisch noch weitere Profile zur Anwahl an den Access Point verwendet werden wenn diese mit Verbin dungsart automatisch konfiguriert wurden siehe bern chste Seite und in den WLAN Einstellungen die Funktion F r Verbindungsaufbau Profile mit automat ischer Verbindungsart verwenden aktiviert wird D h wurden mehrere Profile mit der Verbindungsart automatisch angelegt und wird die Funktion F r Verbindungsaufbau Profile mit automatischer Verbindungsart ver wenden genutzt so wird zun chst das zuletzt selektierte Profil f r einen m glichen Verbindungsaufbau herangezogen Ist die SSID nicht passend sodass mit diesem Profil keine Verbindung zum Access Point hergestellt werden kann so werden anschlie end die als automatisch konfigurierten Profile f r den Verbindungsaufbau herangezogen und das mit der passenden SSID verwendet Netzsuche WLAN Einstellungen 0 Wird
271. sung VPN IP Netze Zertifikats berpr fung Firewall Einstellungen Je nachdem welcher Begriff markiert wird zeigt sich das entsprechende Feld mit den zugeh rigen Parametern siehe 4 Konfigurationsparameter D Ok Profil Die Konfiguration eines Profils ist abgeschlossen wenn Sie das Konfigurationsfenster mit OK schlie en Das neue oder ge nderte Profil ist im Monitor sofort verf gbar Es kann im Monitor ber die Profilauswahl selektiert werden und ber das Men Verbin dung gt Verbinden sofort zur Anwahl an das Zielsystem verwendet werden D Kopieren Profil Um die Parameter Einstellungen eines bereits definierten Profils zu kopieren markie ren sie das zu kopierende Profil in der Liste und klicken Sie auf den Kopieren Button Daraufhin wird das Grundeinstellungen Parameterfeld ge ffnet ndern Sie nun den Eintrag in Profil Name und klicken Sie anschlie end Ok Nur wenn Sie den Namen des Profils ndern kann es auch als neuer Eintrag in der Liste der Profile vermerkt werden Ein kopiertes Profil muss einen neuen noch nicht vergebenen Namen erhalten Nur so ey kann es in der Liste der Profile abgelegt werden L schen Profil Um ein Profil zu l schen w hlen Sie es aus und klicken den L schen Button NCP engineering GmbH 69 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 2 Firewall Einstellungen Alle Firewall Mechanismen sind optimiert f r Remote Access Anwendungen und
272. t Das Handbuch ist in sechs gr ere Abschnitte untergliedert die Step by Step oder dem Aufbau der grafischen Benutzeroberfl che folgend den jeweiligen Gegenstand be schreiben Diesen Abschnitten folgen zwei Anh nge die dem Verst ndnis und dem Auffinden von Fachtermini dienen 1 Produkt bersicht mit kurzer Beschreibung des Leistungsumfangs der Software 2 Installationsanweisungen 3 Beschreibung der grafischen Benutzeroberfl che 4 sowie der Konfigurationsm glichkeiten 5 Beschreibung der im Telefonbuch aufgelisteten Parameter 6 Beschreibung eines Verbindungsaufbaus 7 Beispiele und Erkl rungen insbesondere zu IPSec Anh nge mit einem Glossar Abk rzungen und Begriffe und einem Index Querverweise sind im Text in Klammern gesetzt und geben die Verweisstelle mit dem Titel bzw nach einem Komma mit dem Untertitel an N Texte die am Seitenrand mit einem Ausrufezeichen markiert sind sollten besonders beachtet werden IE Weiterf hrende Hilfestellungen k nnen jederzeit ber die kontextsensitive Online Hil Loy fe abgefrufen werden O NCP engineering GmbH 13 SECURE ENTRY CLIENT PRODUKT BERSICHT 1 2 Secure Entry Client universeller IPSec Client Der IPSec Client kann in beliebigen VPN Umgebungen eingesetzt werden Er kommu niziert auf der Basis des IPSec Standards mit den Gateways verschiedenster Hersteller und ist die Alternative zu der am Markt angebotenen einheitlichen IPSec Client Tech
273. t vorausgesetzt Sie haben den Secure Client zum ersten Mal installiert oder das Telefonbuch ncpphone cfg aus dem Installationsverzeichnis gel scht Wenn Sie keine Test Verbindungen anlegen und den Assistent f r erste Konfiguration abbrechen erstellen Sie die ersten Telefonbucheintr ge wie im Handbuch unter Client Monitor Neuer Eintrag Zielsystem beschrieben Nutzen Sie den Assistent f r erste Konfiguration so klicken Sie auf den Button Weiter Dann legt der Assistent nach der Vorgabe Ihrer Daten ein Profil f r eine IPSec Testverbindung im Telefonbuch an Daf r werden folgende Zugangsdaten automatisch gesetzt VPN Protokoll ist IPSec der Tunnel Endpunkt des Ziel Gate ways ist 62 153 165 36 als XAUTH Benutzername und XAUTH Passwort wird ncpipsecnative eingetragen Als Verbindungsart wird LAN genutzt Soll eine Verbindung ber einen ISP hergestellt werden so m ssen zuerst die Einwahl Parameter in den Profil Einstellungen der Testverbindung entsprechend konfiguriert werden Assistent f r die erste Konfiguration Testverbindungen herstellen Assistent f r die erste Konfiguration Zertifikats Typ ausw hlen Wenn Sie die Strong Security Variante des Clients testen wollen k nnen Sie daf r ein mitgeliefertes Testzertifikat nutzen 34 NCP engineering GmbH SECURE ENTRY CLIENT INSTALLATION Die PIN f r das Testzertifikat lautet 1234 und muss bei Verbin
274. t Handbuch zum Update Server oder sofern der Benutzer ber die notwendigen Schreibrechte in genanntem Verzeichnis verf gt von diesem selbst eingestellt werden siehe CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zertifi kate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der Cli ent den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zustan de Sind keine Aussteller Zertifikate vorhanden wird keine Verbindung zugelassen 166 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN 2 berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revo cation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Extensions werden von der ausstellenden Certification Authority in das Zerti
275. t wird Die Software Aktivierung erfolgt automatisch in der angegebenen Reihenfolge jerung x Status Online Aktivierung Die Online Aktivierung wird durchgef hrt Verbindung zum Internet wird aufgebaut und die Online Aktivierung wird durchgef hrt v Verbindung zum Intemet wird hergestellt V Aktivierangsdaten werden erstellen v Daten werden zum ktivierungs Server gesenden v Software wird aktiviert v Lizenzdaten werden aktuallisiert Y Verbindung wird getrennt x Status Online Aktivierung Die Online Aktivierung wird durchgef hrt Verbindung zum Internet wird aufgebaut und die Online Sktivierung wird durchgef hrt Y Aktivierungsdaten werden erstellen v Daten werden zum Aktivierungs Server gesenden v Software wird aktiviert v Lizenzdaten werden aktuallisiert Sobald der Aktivierungs Server erkennt dass Ihnen eine neuere E ES Erfolgreiche Software Aktivierung Software Lizenz zusteht und der Neuer Lizenzschl ssel 0580 00 2 N A Sie hanon Anspruch aut ane neuere Sonwa Teo mit nonen Mestre Der neue Lizenzschl ssel wird automatisch von der Software bernommen Bitte Lizenzs chl uss el zur m st al l 1erten notieren Sie dennoch den aktualisierten Lizenzschl ssel f r die n chste S o ftw are p asst wi rd mit der Aktivierung bei Neuinstallation Online Aktivierung automatisch der neue Lizenzschl ssel bertra gen Lizenz Update und damit die neuen Features der Software freigescha
276. te Zentrale y gew hlt siehe nebenstehendes Bild Um eine Verbindung ber das selektierte Profil herzustellen ist es nicht ep a A ege e n tig den Client Monitor eigens zu starten oder die Anwahl manuell durchzu V Zentrale fuhren Lediglich die ge w nschte Applikations Soft ware muss gestartet werden Die Verbindung wird dann entsprechend den Parame tern des Profils automa tisch aufgebaut siehe gt Verbindungssteuerung Verbindungsaufbau auto matisch Daneben ist es auch moglich manuell die Verbindung herzustellen indem Sie im Monitor den Hauptmen punkt Verbindung anklicken und Verbinden w hlen Alternativ kann auch der Button Verbinden angeklickt werden siehe gt Verbindungsaufbau Profil gt Firma Verbinden Trennen Timeout sec 0 Richtung out Beenden Yerbindungsart WLAN Durchsatz KB S 0 000 Verschl sselung AES 128 g NCP Secure Entry Client aog Verbindung Konfiguration Log Fenster Hilfe Verbindung ist hergestellt NC E Eine bestehende Verbindung siehe gt Bild oben wird mit einem dicken gr nen Us durchgehenden Balken zwischen Client und Server dargestellt unter dem der Text Verbindung ist hergestellt eingeblendet wird Gleichzeitig wird die Icon Ampel gr n Damit werden Sie darauf aufmerksam gemacht dass fur eine Remote Verbindung Geb hren anfallen 42 NCP engineering
277. teful Inspection System auch das UDP Problem ausschalten Hintergrund ist die verh ltnism ig leichte F lschbarkeit von UDP Paketen z B beim UDP basierten Dienst DNS Da Stateful Inspection Filter in der Lage sind sich die aktuelle Status und Kontextinformation einer Kommunikati onsbeziehung zu merken ist es erforderlich dass neben der Quell und Zieladresse so wie Quell und Zielport auch der DNS Header im Anfrage Paket in die Speicherung der Status und Kontextinformation einbezogen wird Es erfolgt eine Interpretation auf der Anwendunssschicht Beispiel Eine gehenden Verbindung zum Port 21 eines Rechners ist f r einen reinen Portfilter eine FTP Verbindung Eine weitere berpr fung findet nicht statt Der State ful Inspection Filter pr ft zus tzlich ob die ber diese Verbindung bertragenen Daten zu einer etablierten FTP Verbindung geh ren Wenn nicht wird die Verbindung sofort unterbrochen Weiter ist ein Stateful Inspection Filter in der Lage Regeln in Abh n gigkeit von notwendigen Kommunikationsprozessen anzupassen Wenn z B eine abge hende FTP Verbindung erlaubt ist so erm glicht die Firewall auch automatisch die Etablierung des zugeh rigen R ckkanals Die entsprechenden Informationen Ports werden aus der Kontrollverbindung herausgelesen Ein vorteilhafter Aspekt von Stateful Inspection Filtern ist die F higkeit die Daten auf allen Protokollebenen d h von Netzwerk bis Anwendungsebene zu pr fen So kann z B
278. tei Soft Zertifikat sowie CA Zertifikate an den Secure Client bertragen Dabei erfolgt das Update eines Telefonbuchs oder eines Zertifikats abh ngig von der am Client verwendeten VPN User ID VPN Benutzername Dabei kann unterschieden werden ob jeder Benutzer ein individuelles Verzeichnis f r hinterlegte Konfiguratio nen erh lt oder ob hierf r ein allgemeines Verzeichnis f r alle VPN Benutzer herange zogen werden soll Letztere Option steht allerdings nur in Verbindung mit Zertifikaten zur Verf gung Anhang Secure Client Services A 33 SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 Konfiguration Sowohl der Management Server als auch der Update Client NCP Secure Client k n nen eigens f r die Kommunikation miteinander eingestellt werden Werden Konfigurationen vorgenommen so muss der Dienst bzw das Programm da nach zuerst gestoppt und anschlie end erneut gestartet werden damit die nderungen wirksam werden beim Management Server mit net stop ncprsu net start ncprsu beim Update Client unter Windows NT XP 2000 mit net stop rwsrsu net start rwsrsu beim Update Client unter Windows 98 ME im Verzeichnis installdir ncple mit rwsrsu stop rwsrsu start A 34 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES 2 2 1 Konfiguration des Update Clients rwsrsu a Konfigurationsabgleich durch den Management Server Der Dienst rwsrsu Remote Software Update der am Secure Client immer a
279. tei auch direkt zum Aktivierungs Server hochladen Hierf r klicken Sie auf den Knopf Durchsuchen und w hlen anschlie end die Datei mit den Aktivierungsdaten aus Danach klicken Sie bitte auf den Knopf Absenden um die Datei zu unserem Aktivierungs Server zu bertragen Nach dem Absenden der Aktivierungsdaten bzw der Datei erhalten Sie einen Aktivierungs Code Bitte setzen Sie nun die Software Aktivierung im NCP Entry Client fort indem Sie das Monitor Men ffnen Hilfe gt Lizenzinfo und Aktivierung gt Offline Aktivierung Unter Schritt 2 wird der im folgenden angezeigte Aktivierungs Code abgefragt Nach diesem Schritt ist die Software Aktivierung abgeschlossen Inhalt der Aktivierungsdatei Dateiname E win2000P ncple actiData txt Durchsuchen Die Daten bergabe von der Aktivierungsdatei an den Aktivierungs Server kann auf zweierlei Weise erfolgen Entweder kopieren Sie den Inhalt der Aktivierungsdatei mit Copy amp Paste nachdem Sie die Aktivierungsdatei mit dem Notepad ASCII Editor ge ffnet haben in das auf der Website ge ffnete Fenster Inhalt der Aktivierungsdatei oder Sie klicken auf den Button Durchsuchen und selektieren die Aktivierungsdatei Anschlie end klicken Sie auf Absenden 120 NCP engineering GmbH SECURE ENTRY CLIENT LIZENZIERUNG NCP Home Unternehmen Security Produkte Vertrieb Services Presse SECURE COMMUNICATIONS M ES Sitemap Neuer Aktivierungs
280. tive Funktion ber den Check Button ausgeschaltet werden V Erneute Netzsuche nach jedem Aufruf fe x Der Verbindungsaufbau kann genauso erfolgen wie bei einem Festnetz vgl im L2Sec Test Handbuch zur Client Software Verbindungsaufbau wahl alternativ mit den Modi automatisch manuell oder wechselnd Verbindung Konfiguration Log Fenster Hilfe Die Verbindungsart wird gr n eingef rbt links UMTS Wenn die Verbindung steht kann wie im lokalen Firmennetz gearbeitet L25ec Test werden Dies gilt auch f r den Fall Verbindung ist hergestellt dass die Karte bei zu geringer Feldst rke automatisch vom Verbindungsmedium UMTS auf GPRS wechselt Da in diesem Fall die Verbindung bestehen bleibt Erh ht sich die Feldst rke wieder schaltet die Karte automatisch wieder zur ck Anhang Mobile Computing via GPRS UMTS AlS SECURE ENTERPRISE ENTRY CLIENT Das Verbindungsmedium kann auch manuell gewechselt werden Dazu wird mit der Maus das gewiinschte Medium A angeklickt im Bild links GPRS aktivieren NCP Secure Enterprise Client L2Sec Test Werbindung ist hergestellt Client Bei einem manuellen Feldst rke 33 SPAR Wechsel des Mediums wird die Verbindung jedoch zun chst abgebaut wieder automatisch aufgebaut wenn dies f r L2Sec Test den Verbindungsaufbau im Telefonbuch konfiguriert wurde NCP Secure Enterprise Client ai E Die Verbi
281. tomatische Hotspot Anmeldung Umfangreiche Logging Optionen 16 NCP engineering GmbH SECURE ENTRY CLIENT PRODUKT BERSICHT m Filtering IP Broadcasts Netbios over IP PKI Public Key Infrastruktur nach X 509 v 3 Standard Entrust Entrust Ready SmartCards PKCS 11 TCOS 1 2 und 2 0 CardOS M4 ber CT API oder PC SC Soft Zertifikate PKCS 12 PIN Richtlinie Administrative Vorgabe f r die Eingabe beliebig komplexer PINs Revocation Lists berpr fung der CRL Certificate Revocation List und ARL Authority Revocation List Zertifikatskontrolle berpr fung und Hinweis der G ltigkeitsdauer eines Zertifikates E Einmal Passwort One Time Password Komfortable Eingabe durch Trennung von PIN und Passwort RSA Ready E DynDNS Anwahl des zentralen VPN Gateways mit wechselnder ffentlicher IP Adressen Abfra ge der aktuellen IP Adresse ber einen ffentlichen DynDNS Server E IP Adress Allocation DHCP Dynamic Host Control Protocol m Point to Point Protokolle PPP over ISDN PPP over GSM V 110 PPP over PSTN Modem PPP over Ethernet xDSL PPP LCP Link Control Protocol PPP IPCP IP Control Protocol PPP MLP Multilink Protocol PPP Call Back Verhandlung im LLCP PPP PAP Password Authentication Protocol PPP CHAP Callenge Handshake Authenication Protocol m Dialer NCP Dialer Alternativ Microsoft RAS Dialer f r ISP Einwahl mittels Einwa
282. tralen Datennetz Zum anderen berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Internet Verbindungen Die Stateful Inspection Fire wall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete ebenfalls weitergeleitet werden m s sen F r die Kommunikationspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaus tausch genutzt werden darf siehe Handbuch Beispiele und Erkl rungen Parameter O Stateful Inspection aktivieren C Bei Verwendung des Micro soft DF Dialers ausschlie O Ausschlie lich Kommunikation im Tunnel zulassen lich Kommunikation im Tun nel zulassen O NetBIOS ber IP zulassen NCP engineering GmbH 169 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN D Stateful Inspection aktivieren aus Die Sicherheitsmechanismen der Firewall werden nicht in Anspruch genommen immer Die Sicherheitsmechanismen der Firewall werden immer in Anspruch genom men d h auch wenn keine Verbindung aufgebaut ist ist der PC vor unberechtigten Zu griffen gesch tzt bei bestehender Verbindung Der PC ist dann nicht angreifbar wenn eine Verbindung besteht D Ausschlie lich Kommunikation im Tunnel zulassen Ausschlie lich Kommunikation im Tunnel zulassen Bei aktivierter Firewall kann diese Funktion zus tzlich eingesc
283. tus anzeigen 2 2 2 2 108 4 4 5 Immer im ne E ON 4 4 6 Autostart PR rr i OS 4 4 7 Beim Schlie en minimieren 2 2 2 2 2 nn nn nn 109 4 4 8 Nach Verbindungsaufbau minimieren 2 2 2 2 110 4 4 9 Sprache o ei e na aaa LO ADO Hille ee a a ee LEI 4 5 1 Lizenzinfo und Aktivierung 2 22222 111 4 5 2 Auf Updates pr fen e 112 45 3 MO 4 e ee AA 4 6 Lizenzierung ie ee IS 4 6 1 G ltigkeitsdauer der Testversion o Ee e a A 4 6 2 Software AktivierUng ooa aa 115 Online Variante e 116 Offline Variante e 118 4 7 Updates do AR AR A e pe ADO 4 7 1 Software Updates ee ee 1 5 Konfigurationsparameter 2 2 Er rennen 127 5 1 Profil Einstellungen s c c to e os aos nn nn 128 5 1 1 Grundeinstellungen e 130 Profil Name e 131 Verbindungstyp LAR sao sas IL VPN zu IPSec Gegengtelle a a a al Internet Verbindung ohne VPN e 131 Verbindungsmedium gt s s s s sa s sepes 131 ISDN ars A A A ir a Modem sea ee ee AN e e Si LAN ewer IBP u e s me 8 2 2 e a tal xDSL PPPoE ee ei 132 xDSL AVM PPP over CAPD SE e a aL GPRS UMTS ooo a a er 132 8 O NCP engineering GmbH SECURE ENTRY CLIENT INHALT PPTP su ir a BZ WLAN su a w a a aa a a Sc Ext Dialer re ee ia 0 Automatische Medienerkennnunp de da sacc e a 134 Profil f r automatische Medienerkennung vermenden 2 134 Dieses Profil nach jedem Neustart des Systems v
284. tzt wird 2 Wird der Port genutzt so muss im Windows Start men das Fenster Sytem DI SS Sa Distributed Transaction Koordiniert Tra Manuell LocalSystem D lenste Verwaltung Pl wertet DNS N Gestartet Automatisch LocalSystem A Druckwarteschlange L dt de Datei Gestartet Automatisch LocalSystem 8 eo ffn et we rd en D ort u Ereignisprotokoll Protokolliert v Gestartet Automatisch LocalSystem wird der IPSEC Richtli Sy Faxdienst Unterst tzt Sie Manuell LocalSystem T 3 S Sy Gemeinsame Nutzung Bietet allen Co Manuell LocalSystem niena g ent m arki ert a d er Sa Gesch tzter Speicher Bietet gesch t Gestartet Automatisch LocalSystem A E Hilfsprogramm Manager Startet und ko Manuell LocalSystem D 1enst g estoppt und der a Indexdienst Indiziert Datei Manuell LocalSystem Auto starttyp auf Ma Sa Intelligenter Hintergrun Manuell LocalSystem Kal nt el Lo m nuell ge stellt B ild KH tungsdatenprotok Manuell LocalSystem 9 Nachrichtendienst Sendet und e Gestartet Automatisch LocalSystem re cht S Es ncprwsnt Provides NCP Gestartet Automatisch LocalSystem Sa NcpSec Gestartet Automatisch LocalSystem u d NetMeeting Remotede Erm glicht aut Manuell LocalSystem H Netzwerk DDE Dienst Netzwerktrans Manuell LocalSystem 3 E Wurde die Anderung de S E Netzwerk DDE Server Verwaltet den Manuell LocalSystem Autos tartty ps durch ge S Netzwerkverbindungen Verwaltet Obje
285. u k nnen muss aller dings Ihr PC wie auch das Zielsystem mit der n tigen Anzahl von So Schnittstellen 4 ausgestattet sein Die dynamische Linkzuschaltung funktioniert nur wenn sie auch vom Network Access Server des Zielsystems unterst tzt wird Mit dynamischer Linkzuschaltung erh hen sich zwar die Kosten f r jeden zugeschalteten B Kanal gleichzeitig verringern sie sich jedoch in gleichem Ma e weil sich die bertragungsdauer entsprechend verk rzt Mit diesem Parameter bestimmen Sie wie die Linkzuschaltung erfolgen soll Drei M glichkeiten stehen zur Auswahl Aus standard Tx Links werden zugeschaltet entsprechend der Bitrate abgehender Daten Rx Links werden zugeschaltet entsprechend der Bitrate eingehender Daten TxRx Links werden sowohl nach der Bitrate sowohl eingehender als auch abgehender Daten zugeschaltet D Schwellwert f r Linkzuschaltung Nur f r ISDN Der Wert dieses Parameters teilt der Client Software die Bitrate mit ab der ein weiterer Link Kanal zugeschaltet werden soll Der Wert entspricht Prozenten der maximalen Bitrate M gliche Werte sind von 1 bis 100 Prozent Standardwert ist 20 Diese Einstellung gilt f r Sender und Empf nger Die Zuschaltung eines weiteren Links erfolgt 8 Sekunden nach dem Erreichen des ein gestellten Schwellwerts Diese Einstellung kommt nur zum Tragen wenn die Linkzuschaltung aktiviert wurde 146 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUN
286. uch die Modemparameter einge Profil Einstellungen stellt ist und die Funktion Eintrag ETTI d f r automatische Medienerkennung aktiviert ist Bild links unten Si 7 Au erdem m ssen f r das jeweili Geier Rate ge Verbindungsmedium die Ein gangsdaten zum ISP im Parame terfeld Netzeinwahl gesetzt sein Bei einem Verbindungsaufbau er kennt der Client automatisch wel che Verbindungsarten aktuell zur Verf gung stehen und w hlt davon die schnellste aus wobei bei mehreren alternativen bertragungswegen automatisch der schnellste gew hlt wird In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt 1 LAN 2 WLAN 3 DSL 4 UMTS GPRS 5 ISDN 6 MODEM Die Eingangsdaten f r die Verbindung zum ISP werden aus den Telefonbucheintr gen bernommen die f r die automatische Medienerkennung konfiguriert wurden E Profil f r automatische Medienerkennung verwenden Mit Aktivierung dieser Funktion wird dieses Zielsystem an den Telefonbucheintrag f r 17 automatische Medienerkennung gebunden und bei Verf gbarkeit des entsprechenden Mediums automatisch f r einen potentiellen Verbindungsaufbau herangezogen Beach ten Sie dazu die Beschreibung zur Verbindungsart Dieses Zielsystem kann auch manuell selektiert werden um eine Verbindung herzustel len sofern die Tunnel Parameter f r den Zugang zum VPN Gateway korrekt eingetra gen sind 134 NCP engineering GmbH
287. und 115200 D Com Port freigeben Wenn Sie f r Ihren Client ein analoges Modem verwenden kann es w nschenswert sein dass der Com Port nach Beendigung der Kommunikation f r andere Applikatio nen freigegeben wird z B Fax In diesem Fall stellen Sie den Parameter auf Ein Solange der Parameter in der Standardstellung auf Aus bleibt wird der Com Port ausschlie lich von der Client Software genutzt 142 NCP engineering GmbH SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN m Modem Init String Je nach eingesetzem Handy oder Modem und der jeweiligen Verbindungsart k nnen AT Kommandos n tig sein In diesem Fall m ssen die jeweiligen Kommandos dem zu geh rigen Benutzerhandbuch oder den Mitteilungen der Telefongesellschaft bzw des Providers entnommen werden Jedes der in diesem Fall einzutragenden Kommandos muss mit einem lt cr gt Carriage Return abgeschlossen werden Dial Prefix Dieses Feld ist optional Ist das Modem korrekt installiert und steht der Software als Standardtreiber zur Verf gung so muss hier kein Eintrag vorgenommen werden Der Dial Prefix ist nur in seltenen Ausnahmef llen n tig Ziehen Sie dazu das Modem Handbuch zu Rate Im folgenden einige Beispiele f r Dial Prefix ATDT ATDP ATDI ATDX E APN Der APN Access Point Profil Einstellungen Zentrale eg Hl em GPRS und UMTS Ein sst wahl ben tigt Sie erhal IPSec Einstellungen ten ihn von Ihrem Provi Identitat P a resse
288. ung vorgenommen wurden gehen damit verloren 104 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 3 Log Mit der Log Funktion werden die Kommunikationsereignisse der IPSec Client Software mit protokolliert W hlen Sie die Log Funktion an ffnet sich das Fenster des Logbuches Die hier abgebildeten 19 04 02 09 37 01 LCP Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Daten werden bis zum 19 04 02 09 37 01 Maximum Receive Unit 1500 S e 19 04 02 09 37 07 LCP Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet n chsten Reboot m 19 04 02 09 37 07 Maximum Receive Unit 1500 8 37 Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Speicher D ehalten E Maximum Receive Unit 1500 Verhandlungwunsch mit folgenden Parameter auf Kanal 1 gesendet 19 04 02 09 37 22 Maximum Receive Unit 1500 19 04 02 09 37 30 LCP Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet 19 04 02 09 37 30 Maximum Receive Unit 1500 19 04 02 09 37 41 LCP Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet 19 04 02 09 37 41 Maximum Receive Unit 1500 19 04 02 09 37 53 L2TP tunnel client connection closed 19 04 02 09 37 53 L2T nnel control connection closed 19 04 02 09 37 53 ISDN trennen von Test connection SSL auf Kanal 1 19 04 02 09 37 53 ISDN getrennt 349F von Test connection SSL auf Kanal 1 19 04 02 09 37 53 Verbindung normal beendet Eine zus
289. unktionskarte Nachdem eine Multifunktionskarte installiert wurde siehe dazu auch den Anhang die ses Handbuchs wird dieser Men punkt dargestellt Au erdem wird das Feld mit der Anzeige f r UMTS GPRS im Monitor eingeblendet und das WLAN Panel ausgeblen det siehe oben Symbole des Monitors Netzsuche Die installierte Multifunktionskarte sucht nach dem Start des Monitors automatisch nach einem Funknetz und zeigt es mit der entsprechenden Feldst rke an sobald es ge funden wurde T Online im Bild unten Durch Anwahl des Men punkts oder des But tons f r Netzsuche kann eine erneute Netzsuche ausgel st werden Feldst rke 53 E SDPAVUMTS BEDGEIGFRS M Gering Hoch T Mobile D J Bei zu geringer Feldst rke schaltet die Karte automatisch von der Daten bertragung stechnik UMTS auf GPRS wobei die Verbindung bestehen bleibt Erh ht sich die Feldst rke wieder schaltet die Karte automatisch wieder zur ck NCP engineering GmbH 51 SECURE ENTRY CLIENT CLIENT MONITOR Wurde eine Netzsuche durchgef hrt wird das Fenster zur Netzauswahl eingeblendet links Das gewiinschte Netz kann aus einer Liste ausgew hlt werden Wird die erneute Netzsuche nach jedem Aufruf des Monitors nicht gewiinscht so muss die standardm ig aktive Funktion ber den Check Button ausgeschaltet werden Netzauswahl T Mobile D a GPRS UMTS aktivieren Die Daten bertragungstechnik kann auch manuell gewechselt werden
290. utige Partner Authentisierung mittels Zertifikaten die von einer NCP engineering GmbH 211 SECURE ENTRY CLIENT ABK RZUNGEN UND BEGRIFFE vertrauensw rdigen PKI ausgestellt wurden Insbe sondere f r E Commerce bietet PKI den Rahmen f r Vertraulichkeit Geheimhaltung Integrit t F lschungssicherheit Authentizit t Identit tssi cherheit und Nichtbestreitbarkeit PoP Point of Presence POP3 Protokoll zum Download von E Mails Gegenst ck zu SMTP Port 110 PPP Point to Point Protokoll bertragunsprotokoll in verbindungsorienten Netzen PPP Verhandlung Point to Point Protokoll In einer PPP Verhand lung wird die IP Adresse nach Anwahl an den Pro vider automatisch bergeben PRI Primary Rate Interface ISDN Schnittstelle Pri m r Multiplex S2m mit 30 B Kan len und 2 D Kan len Radius Remote Authentication Dial In User Service siehe Directory Service RA Registration Authority Meist ist die Registrie rungsstelle die Stelle die die Daten f r die Bean tragung eines Zertifikats entgegen nimmt Die RA ist auch die Stelle der der Verlust oder der Verfall eines g ltigen Zertifikats gemeldet wird und die eine Widerrufsliste Revocation List ung ltig ge wordener Zertifikate herausgibt RAS Remote Access Services Firmenspezifische Mi crosoft Einwahlhilfe f r Remote Access RIP Routing Information Protocol auch Routing Modus RFC Request for Comment Normentwurf Vornorm die im Internet
291. ver zu Der Benutzername wird unter der LdapBa seDN als Common Name cn gesucht LdapAuthAttribute ncpUserAuthenticationCode Wenn der Benutzername gefunden wurde wird ihm der in diesem Attribut eingetragene Wert als Authentication Code zugeordnet ClientAuthentication AuthCodeMinLen 6 Die Mindestl nge des Authentication Codes Standard 6 AuthCodeValidDays 14 Hiermit wird die G ltigkeitsdauer des Authentication Codes in Tagen ab dessen Erzeugung festgelegt AuthCodeMaxErrCnt 10 Mit dieser Zahl wird bestimmt wie oft der Authentication Code fehlerhaft eingegeben werden kann Ist die angegebene Fehlerzahl erreicht so kann sich der Client nicht mehr an w hlen Eine Aufhebung der Sperre ist nur ber die Manage ment Console m glich AuthCodeDisableRest 0 Bei Konfigurations Downloads wird der Authentisie rungs Code zur ck gesetzt 1 nicht zur ck gesetzt A 46 Anhang Secure Client Services SECURE ENTERPRISE ENTRY CLIENT SERVICES CONNMAN In diesem Abschnitt werden die Parameter zum automatischen Update des Auslands Telefonbuchs fiir T Online eingestellt URL http www t update de securevpn phb zip URL der Telefonbuch Datei des Connenction Managers berpr fen Sie diesen Eintrag in der Konfigurationsdatei Interval 800000 Zeitabstand in dem ein neues Auslands Telefonbuch von T Online herunter geladen werden soll Die Zeit beginnt erst zu laufen nachdem zum ersten Mal ein T
292. vor der Dom nenanmeldung gestartet wird Die Wait Funktion Warten bis Anwendung ausgef hrt und beendet ist kann dann von Bedeu tung sein wenn eine Reihe von Batch Dateien nacheinander ausgef hrt werden soll E Optionen Femme x Zwischen Netzanmeldung und Dom nen Anmeldung kann Windows eine gewisse Initialisie rungszeit ben tigen Diese Vorbe reitungszeit f r die Dom nenan meldung kann hier aktiviert und eingestellt werden Die Windows Anmeldung findet erst nach der hier eingestellten Initialisierungs Zeit nach dem Verbindungsaufbau statt Der Standard wert betr gt 45 Sekunden und kann nach Bedarf ver ndert werden EAP Authentisierung vor Zielauswahl durchf hren Standardm ig erfolgt die EAP Authentisierung vor dem Verbindungsaufbau zum VPN Gateway Soll EAP genutzt werden ohne dass anschlie end eine Verbindung ber den Client reiner EAP Client aufgebaut werden soll so muss diese Funktion aktiviert werden Wird EAP mit Zertifikat eingesetzt so erscheint der PIN Dialog zur Authenti sierung an den Netzwerkkomponenten Danach kann die Zielauswahl erfolgen Wird die Funktion nicht aktiviert findet die EAP Authentisierung erst nach der Zielauswahl statt Beachten Sie zu den Logon Optionen auch die Beschreibung Dom nenanmeldung mit ISS der NCP Gina im Anhang Mobile Computing via GPRS UMTS NCP engineering GmbH 101 SECURE ENTRY CLIENT CLIENT MONITOR 4 2 9 Konfigurations Sperren
293. wandelt und in die Konfiguration zur ck ge schrieben Existiert eine Umgebungsvariable nicht wird sie aus dem Pfad beim Umwandeln entfernt und ein Log Eintrag ins Logbuch geschrieben Fehlt ein Zeichen Syntax bleibt die Variable stehen und es wird ebenfalls ein Log Eintrag geschrieben 90 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR D Benutzer Zertifikat Zertifikate aus Chipkartenleser aus PKCS 12 Datei PKCS 11 Modul Zertifikat Klicken Sie auf die Men abzweigung Konfiguration Zertifikate so k nnen Sie zu n chst bestimmen ob Sie die Zertifikate und damit die Erweiterte Authentisierung nutzen wollen und wo Sie die Benutzer Zertifikate hinterlegen wollen In weiteren Konfigurationsfeldern werden die Richtlinien zur PIN Eingabe festgelegt und das Zeitintervall eingestellt innerhalb dessen das Zertifikat abl uft bzw eine Zerti fikatsverl ngerung beantragt werden muss ohne W hlen Sie in der Listbox Zertifikat die Einstellung ohne so wird kein Zertifikat ausgewertet und die Erwei terte Authentisierung findet nicht statt aus Chipkartenleser W hlen Sie aus Chipkartenleser in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in ihrem Chipkartenleser ausgele sen aus PKCS 12 Datei W hlen Sie aus PKCS 12 Datei aus der Listbox so wer den bei der Erweiterten Authentisierung d
294. welche IP Adressen ber PPP Verhandlung zwischen Client und Server ausgetauscht werden e IP Adressen Statistik ISP IP Adresse Profil Zentrale ISDN VPN IP Adresse Werbindungszeit 00 00 00 DNS Timeout sec 0 WPN Endpunkt Richtung out Durchsatz KBytes 0 000 Daten bertragung Verbindungsmedum ISDN Protokoll Tx Byte Rx Byte MultiLink Dr Kompression Aus Ps 0 0 Gesamt 0 0 Sicherheit Verschl sselung Schl sselaustausch Schlie en Die Verbindungs Informationen k nnen vom Administrator ausgeblendet werden so dass der Men punkt nicht aktiviert werden kann Sind die Verbindungs Informationen ausgeblendet so k nnen die wichtigsten Daten aus den Feldern der Daten bertragung der Statistik und der Sicherheit auch aus dem Statistik Fenster des Clients abgelesen werden siehe gt 3 2 5 Fenster Statistik anzei gen NCP engineering GmbH 33 SECURE ENTRY CLIENT CLIENT MONITOR D Verbindungszeit Als Verbindungszeit wird die gesamte Zeitdauer der Verbindung zu einem bestimmten Gateway angezeigt unabh ngig von irgendwelchen Timeouts Der Wert f r die Verbin dungszeit wird nur dann auf null 0 gesetzt wenn die Verbindung zu einem anderen Gateway hergestellt oder der PC gebootet wird D Timeout Der Monitor zeigt die Zeit an die bis zum n chsten Timeout noch verbleibt Unmittel bar nachdem der letzte Datenaustausch erfolgt ist einschliefli
295. wer den bereits beim Start des Rechners aktiviert D h im Gegensatz zu VPN L sungen mit eigenst ndiger Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN Nut zung gegen Angriffe gesch tzt Die Firewall bietet auch im Fall einer Deaktivierung der Client Software vollen Schutz des Endger tes y Bitte beachten Sie dass die Firewall Einstellungen global d h fiir alle Zielsysteme Lo des Telefonbuchs g ltig sind Dagegen ist die Einstellung der Link Firewall die im Telefonbuch vorgenommen wer ISS den kann nur f r den dazu geh renden Telefonbuch Eintrag Zielsystem und die Ver bindung zu diesem Zielsystem wirksam 70 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Eigenschaften der Firewall Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit Stateful Packet Inspection SPI Die Firewall priift alle ein und ausgehenden Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks ob ein Datenpaket weiterge leitet oder verworfen wird Sicherheit wird in zweierlei Hinsicht gew hrleistet Zum einen wird der unbefugte Zu griff auf Daten und Ressourcen im zentralen Datennetz verhindert Zum anderen wird mittels Stateful Inspection der jeweilige Status bestehender Verbindungen berwacht Die Firewall kann dar ber hinaus erkennen ob eine Verbindung Tochterverbindun gen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete eben
296. wer den muss um im zweiten Schritt der auch zu einem sp teren Zeitpunkt vorgenommen werden kann im Lizenzierungsfenster des Monitormen s eingegeben werden zu k n nen Assistent f r Software Aktivierung xj Aktivierungsart Welche Art der Aktivierung soll durchgef hrt werden NC C Online Aktivierung Bei der Online Aktivierung werden die angegebenen Lizenzdaten ber eine bestehende Internetverbindung zum NCP Aktivierungs Server bertragen und gepr ft Nach erfolgreicher Pr fung der Lizenzdaten wird anschlie end die NCP Secure Entry Client Software automatisch als lizenzierte Vollversion aktiviert Bei der Offline Aktivierung wird nach der Eingabe der Lizenzdaten eine Datei mit den erforderlichen Daten f r die Aktivierung erzeugt Diese Datei mu anschlie end manuell ber den Browser an den NCP Aktivierungs Server bergeben werden Anschlie end mu mit dem zur ckgegeben Aktivierungscode die Software als lizenzierte Vollversion aktiviert werden rss Assistent f r Software Aktivierung x NC F r die Offline Aktivierung sind 2 Schritte notwendig Bitte w hlen Sie den entsprechenden Schritt aus Offline Aktivierung Welcher Schritt soll durchgef hrt werden Schritt 1 Aktivierungsdatei erstellen Nach der Eingabe des Lizenzkeys und der Seriennummer wird eine Datei mit den Aktivierungsdaten erstellt Diese Datei muss anschlie end dem NCP Aktivierungs Server bergeben werden Nach erf
297. werden Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein unter Konfiguration gt Zertifikate Nachdem Sie die Smart Card in den Chipkartenleser gesteckt haben k n nen Sie Ihre PIN eingeben a Chipkartenleser CT API konform Wenn Sie einen CT API konformen Chipkartenleser nutzen beachten Sie bitte folgendes M Mit der aktuellen Software werden Treiber f r die Modelle Kobil BO B1 Kobil KAAN SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Diese Chipkartenleser k nnen im Monitor unter Konfiguration gt Zertifikate eingestellt werden Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller des Chip kartenlesers bzw konsultieren Sie die entsprechende Website bez glich aktueller Hard ware Treiber um den aktuellsten CT API Treiber zu erhalten und zu installieren Neh men Sie au erdem folgende Einstellung in der Client Software vor M Editieren Sie die Datei NCPPKI CONF befindlich im Installationsverzeichnis indem Sie als Modulname den Namen des angeschlossenen Chipkartenlesers xyz eintragen und als DLLWIN9S5 bzw DLLWINNT den Namen des installierten Treibers eintragen F r die NT basierenden Betriebssysteme Windows 2000 und Windows XP ist der Modulname DLLWINNT zu benutzen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber
298. wird in Sekunden zwischen 0 und 65535 angegeben Der Standardwert ist 100 Wenn Ihr Anschluss ISDN oder analog einen Geb hrenimpuls erh lt verwendet die Client Software das Impulsintervall um den optimalen Zeitpunkt des Verbindungsab baus bez glich dem von Ihnen gesetzten Wert zu ermitteln Der nach Geb hrentakt op timierte Timeout l uft im Hintergrund und hilft die Verbindungskosten zu reduzieren Hinweis Um den Timeout zu aktivieren ist es n tig einen Wert zwischen 1 und 65356 L einzutragen Mit dem Wert 0 wird der automatische Timeout Verbindungsabbau nicht ausgef hrt Der Wert OT bedeutet dass das Trennen der Verbindung manuell durchgef hrt werden muss Ziehen Sie bei diesem Parameter bitte Ihren Internet Provi der oder Ihren Systemadministrator zu Rate N Wichtig Der Timer f r das gew hlte Zeitintervall l uft erst dann an wenn keine Da tenbewegung oder Handshaking mehr auf der Leitung stattfindet NCP engineering GmbH 145 SECURE ENTRY CLIENT PROFIL EINSTELLUNGEN D Voice over IP VoIP priorisieren Wird dieser Client f r Kommunikation mit Voice over IP genutzt so sollte diese Funk tion aktiviert werden um die Sprachdaten verz gerungs und verzerrungsfrei senden und empfangen zu k nnen D Dynamische Linkzuschaltung Nur f r ISDN Mit dynamischer Linkzuschaltung f r ISDN kann die Client Software bis zu 8 ISDN B Kan le b ndeln Um diese Funktion in vollem Umfang nutzen z
299. zen zu k nnen muss die Software mit dem erhaltenen Lizenzschl ssel und der Seriennummer im Aktivierungs Dialog freigeschaltet werden Mit der Aktivierung akzeptieren Sie die Lizenzbedingungen die Sie nach einem Klick auf den entsprechenden Button einsehen k nnen Der Aktivierungs Dialog kann sowohl ber den Aktivierungs Button in der Hinweislei ste des Monitors als auch ber das Monitormen Hilfe Lizenzinfo und Aktivierung ge ffnet werden Im folgenden k nnen die Lizenzdaten wahlweise online oder offline ber einen Assistenten eingegeben werden In der Offline Variante muss eine Datei die nach Eingabe von Lizenzschl ssel und Se riennummer erzeugt wird an den NCP Web Server geschickt werden und der daraufhin auf der Website angezeigte Aktivierungsschl ssel notiert werden Dieser Aktivierungs schl ssel kann zu einem sp teren Zeitpunkt im Lizenzierungsfenster des Monitormen s eingegeben werden In der Online Variante werden die Lizenzierungsdaten ber einen Assistenten unmittel bar nach Eingabe an den Web Server weitergegeben und die Software damit unverz g lich freigeschaltet NCP engineering GmbH 113 SECURE ENTRY CLIENT LIZENZIERUNG 4 6 1 G ltigkeitsdauer der Testversion Die G ltigkeitsdauer der Testversion betr gt 30 Tage Ohne Software Aktivierung bzw Lizenzierung ist nach dieser Zeitspanne kein Verbindungsaufbau mehr m glich FANCP Secure Client Popup y Ab dem Zeitpunkt der Installation
300. zername und ein Passwort eingegeben sein OK el Symbole der VPN Einwahl Nach abgeschlossener NAS Einwahl kann die VPN Einwahl zum Firmen Gateway stattfinden Dabei wird die Einwahlverbindung mit einer dicken gelben Linie symboli siert Die Einwahl ist abgeschlossen und die Verbindung zum VPN Gateway erfolg reich hergestellt wenn die dicke Verbindungslinie die Farbe Gr n annimmt 46 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR Gleichzeitig mit dem Start des Verbindungsaufbaus zum Gateway ndern sich auch die Farben der Symbole f r die VPN Einwahl Die Einwahl und die Authentisierung am VPN Gateway ist genauso wie bei der NAS Einwahl dargestellt Hinzu kommen noch die Symbole f r die Schl sselverhandlung Schl ssel und die Kompression Zange sofern deren Konfiguration von Seiten des Gateways vorgeschrieben ist FR i T VPN Einwahl Kompression GW Headquarters VPN Tunnel zum Gateway GW Verschl sselung GW Corporate Network des Firmennetzes Authentisierung GW Firmenzentrale Die Farben der Symbole der VPN Einwahl wechseln von grau zu blau blinken dann gr n um schlie lich bei erfolgreichem Verbindungsaufbau gr n stehen zu bleiben Da bei muss der Vorgang der Einwahl und Authentisierung am VPN Gateway immer durchlaufen werden Verschl sselung und Kompression sind optional Die Symbole der VPN Einwahl sind von links nach rechts E Einwahl am VPN Gateway Die Zieladresse des VPN Gateways
301. zt IKE Config Mode e 194 Gateway unterst tzt IKE Config Mode nicht 195 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr 196 7 3 Zertifikats berpr fungen Le a a a 197 7 3 1 Auswahl der CA Zertifikate EEE ee 197 7 3 2 berpr fung der Zertifikats Eiverterung ee ee O extendedKeyUsage ee ee TOS subjectKeyldentifier authoriiykeyfdenfifier GENEE 7 3 3 berpr fung von Sperrlisten soe ai r 198 7 4 Stateful Inspection Technologie f r die Firewall Einsteilingen saa e 199 O NCP engineering GmbH 11 SECURE ENTRY CLIENT INHALT Abk rzungen und Begriffe 2 2 En En 203 Index ee e sa EE 00 ar o rs A E 217 Anhang Mobile Computing via GPRS UMTS und Dom nenanmeldung mit NCP Gina 2 2 2 2 2 2 nn nn A 1 Anhang Secure Client Services 2 2 rn nr ern A23 12 NCP engineering GmbH 1 Produkt bersicht Dieses Handbuch beschreibt Installation Konfiguration Leistungsumfang und Benut eS zeroberfl che des NCP Secure Entry Clients und seiner Komponenten L Der NCP Secure Entry Client ist als Entry CE Client auch f r das Betriebssystem Win dows CE erh ltlich Weitere Informationen zu Ausbaustufen und Produktvarianten erhalten Sie auf der NCP Website http www ncp de 1 1 Zum Umgang mit diesem Handbuch Damit Sie sich in dieser Dokumentation schnell zurecht finden ist im folgenden kurz ihr Aufbau dargestell
302. zulassen Wenn diese Funktion aktiviert ist kann ber einen externen Dialer eine HotSpot An meldung erfolgen Dazu wird die Kommandozeilen schnittstelle rwscmd exe aufgeru fen Beachten Sie dazu die Beschreibung im Anhang Services in diesem Handbuch Mit dem Befehl rwscmd logonhotspot Timeout wird die Firewall f r die Ports 80 HTTP und 443 HTTPS freigeschaltet Damit wird eine dynamische Regel erzeugt die den Datenverkehr zul sst bis der bergebene Ti meout in Sekunden abgelaufen ist NCP engineering GmbH 83 SECURE ENTRY CLIENT CLIENT MONITOR a Konfigurationsfeld Protokollierung Firewall Einstellungen F Die Aktivit ten der Firewall werden je nach Einstellung in eine Log Datei geschrieben Das Ausgabeverzeichnis f r Log Dateien befindet sich standardm ig im Installationsverzeichnis unter LOG Die Log Dateien f r die Firewall sind im reinen Textformat geschrieben und benannt als Firewallyymmdd log Sie beinhalten eine Beschreibung vom abgelehnten Datenverkehr und oder zugelassenen Datenverkehr Wurde keine dieser Optionen selektiert so werden nur Statusinformationen zur Firewall hinterlegt Die Log Dateien werden bei jedem Start der Firewall geschrieben Maximal werden da von so viele im Log Verzeichnis gehalten wie als Anzahl der Tage der Protokollie rung eingegeben wurde 84 NCP engineering GmbH SECURE ENTRY CLIENT CLIENT MONITOR 4 2 3 WLAN Ein
Download Pdf Manuals
Related Search