FEC Secure IPSec Client
Contents
1. 70 Erstellen einer Firewall Regel 2 2 2 70 Firewall Resel Allgemein x ss 3 s ass Jl Firewall Regel Lokal e a 2 a Kaas aa hs aa 73 6 FEC Secure IPSec Client Benutzerhandbuch A A Firewall Regel Remote 2 2 2 2 2 nn nn nn nn nn 74 Firewall Regel Anwendungen 2 2 2 2 2 2 nenn 16 Konfigurationsfeld Bekannte Netze 2 2 2 22 Jl Automatische Erkennung der bekannten Netze 2 2 2 78 Friendly Net Detection mittels LS 78 Konfigurationsfeld Optionen 2 2 2 2 2 m nn nn 79 Konfigurationsfeld Protokollierung 2 2 2 2 2 222 2 BU 4 2 3 WLAN Einstellungen re a Integrierte WLAN Konfigoraiion f r Windows 2000 XP tenal Netzsuche s s s s 5 28 moa ioeo a ea assess A WLAN Profile 0 amp a a a 82 Statisik s di se ass es aa a a DA 4 2 4 Amtsholung Ema aaa Es 4 2 5 Zertifikate Koran en A E lt Benutzer Zertifikat ono gt Zertifikate s s s 2 8 ess esas Chipk rtenleser s x cs 2 e nds Ach En en 400 LOTE ee en a 00 Auswahl Zertifikat ee PKCS 12 Dateiname 2 2 2 2 2 Er 2 S PKCS 11 Modul DEENEN gt Kein Verbindungsabbau De gezogener plate o e a a A PIN Abfrage bei jedem Verbindungsaufbau 90 PIN Richtlinie ea ee sas e AT Minimale Anzahl der han As ssl Weitere Richtlinien 2 2 2 22 2 nn nn 91 Zertifikatsverl ngerung canoa ds eras 4 2 6 Verbindungssteuerung2. Zugangsdaten f r eine automatische Anmeldung am HotSpot eingetragen werden Diese Benutzerdaten werden nur f r dieses WLAN Profil verwendet Die Authentisierung kann durch Eintragen von Benutzername und Passwort in die Eingabemaske des HotSpot Betreibers erfolgen oder ber Script Das Script automatisiert die Anmeldung beim HotSpot Betreiber tig ist Sie m ssen den Gesch ftsbedingungen des HotSpotbetreibers zustimmen wenn die Verbindung aufgebaut werden soll LA Beachten Sie dabei dass die Verbindung ber einen HotSpot Betreiber geb hrenpflich Benutzerhandbuch FEC Secure IPSec Client m m 83 Statisik WLAN Einstellungen Status SS ID Feldst rke dB mn Feldst rke SI Geschwindigkeit Netzwerktyp Verschl sselung Authentisierung Algorithmus Frequenz Channel Benutze DHCP IP Adresse Subnetzmaske Standardgateway 1 DNS Server 2 DNS Server FEC Secure IFSec Client Testverbindung SSL EI Client Feldstarke 72 BSSID MAC Addr Unterst tzte Raten Werbindungsaufbau ncptest2003 65 dBm 72 11 0 Mbps 00 0e 34 83 62 19 Infrastrukture WER Open System WEP 2 4420 GHZ 7 54748736724 718712797671 Ein 0 0 0 0 0 0 0 0 0 0 0 0 172 16 11 20 172 16 11 16 Server ncptest 003 FEC Secure IPSec Client Client Monitor Das Statistik Fenster der WLAN Einstellungen zeigt im Klartext den Status der Ver
3. Lokal In diesem Konfigurationsfeld werden die Werte der lokalen Ports und IP Adressen eingetragen Remote Im Remote Feld werden die Port und Adress Werte der Gegenseite einge tragen Anwendungen In diesem Konfigurationsfeld kann die Regel einer oder mehrerer An wendungen zugeordnet werden FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung i O Firewall Regel Allgemein zl Einzelregeln stellen immer Aus nahmen von der Grundeinstellung dar siehe gt Grundeinstellung Firewall Aegel REN Aktivist le Bidirektional D lle r Name der Regel Mit diesem Namen erscheint die Regel in der Anzeigeliste Status Die Regel wird nur dann auf Datenpakete angewendet wenn der Status aktiv ist Richtung Mit der Richtung geben Sie an ob diese Regel f r eingehende oder ausgehende Daten pakete gelten soll Wird die Richtung auf ausgehend gesetzt wird nach dem Prinzip von Stateful Inspectiongearbeitet siehe gt Eigenschaften der Firewall Stateful In spection wird jedoch nur f r die Protokolle UDP und TCP angewendet Auf eingehend kann z B dann geschaltet werden wenn von Remote Seite eine Ver bindung aufgebaut werden soll z B f r eingehende Rufe oder Administrator Zugrif Te Die Einstellung bidirektional ist nur sinnvoll wenn Stateful Inspection nicht zur Ver f gung steht z B f r das ICMP Protokoll bei einem Ping Die Regel soll f r folgende Net
4. Parameter LI IKE Config Mode verwenden Lokale IP Adresse verwenden Ll IP Adresse manuell vergeben L DNS WINS L DNS Server L WINS Server CI Domain Name 156 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen IKE Config Mode verwenden IP Adressen und DNS Server werden ber das Protokoll IKE Config Mode Draft 2 zugewiesen F r die NAS Einwahl k nnen alle bisherigen WAN Schnittstellen verwen det werden Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Der Ein satz von NAT Traversal erfolgt beim Client automatisch und ist immer n tig wenn auf Seiten des Zielsystems ein Ger t mit Network Address Translation zum Einsatz kommt Lokale IP Adresse verwenden In diesem Fall wird die aktuell in den Netzwerkeinstellungen des PCs konfigurierte IP Adresse auch DHCP f r den IPSec Client genutzt IP Adresse manuell vergeben Dies ist die IP Adresse und die Subnet Maske die hier frei eingegeben werden k nnen In diesem Fall wird die hier eingetragene Adresse genutzt unabh ngig von der Konfi guration in den Netzwerkeinstellungen DNS WINS Mit IKE Config Mode werden dynamisch IP Adressen des Clients des DNS und WINS Server
5. m 211 B Abk rzungen und Begriffe Smartcard Wird die Funktionalit t der Smartcard genutzt so wird nach der CHAP Authentisierung User ID und Passwort die Erweiterte Authentisierung Strong Authentication mittels der auf Smartcard und Gateway hinterlegten Zertifikate durchgef hrt Auf der Smartcard befinden sich unter anderm das Benutzer Zertifikat das Root Zertifikat und der geheime private Schl ssel Die Smartcard kann nur mit PIN genutzt werden SMTP Simple Mail Transport Protocol Internet Standard zur Verteilung elektronischer Post Ist textorien tiert und setzt auf TCP auf Port 25 SNA Systems Network Architecture Hierarchisch ori entiertes Netz zur Steuerung von Terminals und zur Unterst tzung des Zugriffs auf Anwendungen in IBM Host Systemen SNMP Simple Network Management Protocol Netzwerk Managementprotokoll auf Basis von UDP IP Source Routing M glichkeit in Token Ring Netzwerken eine We gewahl zwischen Bridges zu optimieren Dabei werden die Wegeinformationen an den Datenblock angeh ngt mit bertragen Auf diese Weise liegt auch der Weg f r die Best tigung eindeutig fest SPD Security Policy Database SSL Secure Socket Layer Gem dem SSL Protokoll kann der dynamische Schl sselaustausch Dyna mic Key Exchange genutzt werden SSL von Net scape entwickelt ist mittlerweile das Standard Protokoll f r dynamischen Schl sselaustausch SSLCP Secure Socket Layer Control Protocol ST
6. Key Encipherment Schl sseltransport Schl sselverwaltung Key Aggrenment Schl sselaustaschverfahren Ist eines des Bits nicht gesetzt wird die Verbindung abgebaut extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der Secure Client ob der definierte erweiterte Verwendungs zweck die SSL Server Authentisierung ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN Ausnahme Bei einem R ckruf des Servers an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen
7. authorityKeyldentifier Benutzerhandbuch FEC Secure IPSec Client m m m 195 Beispiele und Erkl rungen a extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erweiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN Ausnahme Bei einem R ckruf des Servers an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert E subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier S
8. Logon Optionen Auch Pa rameterfelder des Telefonbuchs und einzelne Parameter k nnen vom Administrator ausgeblendet bzw auf nicht konfigurierbar gesetzt werden Die ausgeblendeten und deaktivierten Features und Parameter erleichtern Ihnen den Umgang mit der Software und haben weder Einfluss auf die Leistungsf higkeit der Software noch auf Ihre Arbeit Beachten Sie dazu den Abschnitt 3 3 Konfiguration 3 3 8 Konfigurations Sperren Benutzerhandbuch FEC Secure IPSec Client mm m 43 Client Monitor 3 1 3 Statusanzeigen Folgende Statusanzeigen werden neben den Symbolen des Verbindungsaufbaus siehe gt Fine Verbindung herstellen im grafischen Feld dargestellt und sind um Tool Tipps Quickinfos erweitert wenn der Mauszeiger auf ein Symbol zeigt Client Ea FIN y E Chipkarte Wurde ein Chipkartenleser installiert siehe im Monitormen gt Konfiguration Zer tifikat so wird das Symbol einer Chipkarte dargestellt Es erscheint hellblau wenn der Chipkartenleser konfiguriert wurde aber die Chipkarte nicht gesteckt ist gr n wenn die Chipkarte gesteckt und erkannt wurde E PIN Status Die korrekte PIN Eingabe wird immer mit einem gr nen Haken versehen Falsche PIN Eingaben werden mit Fehlermeldungen quittiert Der gr ne PIN Haken zeigt an dass die eingegebene PIN g ltig ist auch wenn keine Verbindung aufgebaut ist Wollen Sie sicherstellen dass kein Unbefugter bei Ihrer Abwesenheit eine Verbindung her
9. hergestellt wird die Verbindung manuell abgebaut muss sie auch wie der manuell aufgebaut werden Wichtig Sollten Sie den Verbindungsaufbau auf manuell setzen so sollten Sie den Timeout aktivieren um den Verbindungsabbau zu automatisieren Andernfalls k nnten unn tige Verbindungskosten f r Sie entstehen Timeout Mit diesem Parameter wird der Zeitraum festgelegt der nach der letzten Datenbewe sung Empfang oder Versenden verstreichen muss bevor automatisch ein Verbin dungsabbau erfolgt Der Wert wird in Sekunden zwischen 0 und 65535 angegeben Der Standardwert ist 100 Wenn Ihr Anschluss ISDN oder analog einen Geb hrenimpuls erh lt verwendet die Client Software das Impulsintervall um den optimalen Zeitpunkt des Verbindungsab baus bez glich dem von Ihnen gesetzten Wert zu ermitteln Der nach Geb hrentakt op timierte Timeout l uft im Hintergrund und hilft die Verbindungskosten zu reduzieren Hinweis Um den Timeout zu aktivieren ist es n tig einen Wert zwischen 1 und 65356 einzutragen Mit dem Wert OT wird der automatische Timeout Verbindungsabbau nicht ausgef hrt Der Wert 0 bedeutet dass das Trennen der Verbindung manuell durchgef hrt werden muss Ziehen Sie bei diesem Parameter bitte Ihren Internet Provi der oder Ihren Systemadministrator zu Rate Wichtig Der Timer f r das gew hlte Zeitintervall l uft erst dann an wenn keine Da tenbewegung oder Handshaking mehr auf der Leitung st
10. m 207 B Abk rzungen und Begriffe Kryptographie Anwendungen sind Verschl sselung elektronische Signatur Authentifikation und Hash Wert Berech nung Mathematische Verfahren die mit Schl ssel verwendet werden LCP Link Control Protocol LDAP Lightweight Directory Access Protocol siehe Di rectory Service MAC Adresse Medium Access Control Layer Adresse Physikali sche Adresse im Netzwerk MIB Management Information Base Beschreibt die Struktur der Managementinformationen beim SNMP MDS5 Message Digit 5 Verfahren zur Bildung eines Hash Werts NAS Network Access System NetBios Network Basic Input Output System Schnittstelle die Datagramm und streamorientierte Kommuni kation bietet OCSP Online Certificate Status Protocol Wird als Proto koll f r die Online Pr fung von Zertifikaten ver wendet OSI Referenzmodell Von der ISO standardisiertes Modell das Kommu nikation in sieben Schichten beschreibt 7 Anwen dungsschicht application layer 6 Darstellungs schicht presentation layer 5 Steuerungsschicht session layer 4 Transportschicht transport lay er 3 Netzwerkschicht network layer 2 Daten verbindungsschicht data link layer 1 physikali sche Schicht physical layer Die im Netz zu ber mittelnden Daten durchlaufen auf der Senderseite die Schichten von 7 1 auf der Empf ngerseite in umgekehrter Reihenfolge PAP Password Authentication Protocol Sicherungsme chanismus inner
11. Benutzerhandbuch FEC Secure IPSec Client mm m 69 Client Monitor 70 Konfigurationsfeld Firewall Regeln In diesem Konfigurations Firewall Einstellungen v v v DNS Aktiviert icmp Deaktiviert unbekannte Deaktiviert ivi CT fenster werden die Regeln f r die Firewall zusam mengestellt Die Anzeige Optionen sind standard m ig alle aktiv Mittels dieser wird eingestellt wel che Regeln in Abh ngig keit ihrer Zuordnung in der bersicht angezeigt wget Deaktiviert unbekannte wg werden Gg Eet FE ER zZ unbekannte Netze ee bekannte Neto EN VPN Netze anwendungsabh ngig unabh ngig Diese Auswahlfelder f r die Anzeigen der Regeln dienen nur der bersichtlichkeit und haben keine Auswirkung auf die Anwendung einer Filterregel F r jede definierte Regel werden die wichtigsten Eigenschaften gezeigt Name Status Netz Anwendung Durch Klick auf diese Eigenschafts Buttons k nnen die eingeblendeten Regeln sortiert werden Erstellen einer Firewall Regel ber die Buttons unterhalb der Anzeigezeilen werden die Regeln erzeugt oder bearbei tet Um eine Firewall Regel zu erstellen klicken Sie auf Hinzuf gen Die Erstellung einer Filterregel erfolgt ber vier Konfigurationsschritte bzw Registerkarten Allgemein In diesem Konfigurationsfeld wird festgelegt f r welche Netze und wel ches Protokoll die Regel gelten soll
12. Verhandlungwunsch mit folgenden Parameter auf Kanal 1 gesendet Maximum Receive Unit 1500 Verhandlungwunsch mit folgenden Parameter auf Kanal 1 gesendet Maximum Receive Unit 1500 Verbindung normal beendet zl Die hier abgebildeten Daten werden bis zum n chsten Reboot im Speicher gehalten Eine zus tzliche Log Datei speichert die Aktionen des Clients selbst ndig f r die letz ten sieben Tage Log Ausgaben die lter als sieben Betriebstage sind werden automat isch gel scht Die Datei steht unter NCPLE LOG und hei t NCPyymmdd LOG Sie wird mit Datumsangabe yymmdd immer bei Beenden des Monitors geschrieben Die Datei kann mit einem Texteditor ge ffnet und analysiert werden Logbuch Die Buttons des Logbuchfensters haben folgende Funktionen ffne Datei Schlie e Datei L schen Fensterinhalt Schlie en Log Fenster ffne Datei Benutzerhandbuch A Instnt5 exe 8 12195 dll L2198 dll A Lbtrace exe al Deutsch dat English det Hirweise txt Infoger txt A Inst95 exe FEC Secure IPSec Client Wenn Sie auf diesen Button klicken erhalten Sie in einem weiteren Fenster die M glichkeit Name und Pfad einer Datei einzugeben in die der Inhalt des Log Fensters geschrieben wird Standard ncptrace log 101 Client Monitor Alle Transaktionen mit der IPSec Client Software wie Anwahl und Empfang ein schlie lich der Rufnummern werden automatisch mitprotokolliert und
13. fang ihrer Verkaufs und Lieferbedingungen und ber nimmt keine Gew hr f r technische Ungenauigkeiten und oder Auslastungen Die Informationen in diesem Handbuch k nnen ohne Ank ndigung ge ndert werden Zus tzliche Informa tionen sowie nderungen zu diesem Produkt finden Sie unter www funkwerk ec com 4 nmmmm FEC Secure IPSec Client Benutzerhandbuch A A Inhalt 1 Produkt bersicht e sss e 8 A a se 13 1 1 Zum Umgang mit diesem Handbuch WK 1 2 FEC Secure IPSec Client universelle L sung f r eh VPN EE 14 1 3 Leistungsumfang E E E 1 3 1 Client Monitor Gaiei A A ed 1 3 2 Dialer e Pee eea e E 1 3 3 Line Keeser DEENEN 1 3 4 Personal Firewall eos WIRE e e a me er e ei 6 1 3 5 PKI Unterst tzung lt 5 58 2 2 0 AE en e a 10 Public Key Infrastruktur 2 2 2 2 2 nn nenn 17 Smart Card p es sada 4 ad a ee ed 2 Installation lt gt z u amp 2 2 50 amp eg 5 8 Ss Sa a eu 19 2 1 Installationsvoraussetzungen 2 En m m nn 20 Betriebssystem 2 0 m u m a nu a WER a e ei wi 20 Et SEENEN Lokales System N Voraussetzungen f r den Einst von Zertifikaten ee 2 2 Installation der Client Software a amp 8 amp amp 8 a amp amp amp 2 4 52 Installation und Lizenzierung 2 2 2 vn nn nn 29 2 2 1 Standard Installation 420 2 2 2 Benutzerdefinierte Installation md Abschiies unter Wn 98 ME 30
14. 0 0 0 0 All Zero Broadcast Ung ltige Adresse Bitte beachten Sie dass diese Adresse oft f r Standard Einstellungen benutzt wird 7 1 4 Zum Umgang mit IP Adressen Jede IP Adresse im unternehmensweiten Netz sollte nur einmalig vorhanden sein Be achten Sie dies bei Internet Anschluss und Anschluss neuer Netze Benutzen Sie ein nachvollziehbar logisches Schema bei der Adress Vergabe z B Ver waltungseinheiten Geb ude Abteilungen etc F r den Anschluss ans Internet ben tigen Sie eine offizielle einmalige Internet Adres se Vergeben Sie wenn m glich keine IP Adresse deren Netzwerk oder Host Abschnitt mit 0 endet Dies k nnte zu Fehlinterpretationen und undefinierbaren Fehlern im Netz f hren Netzmasken werden vom Internet Protokoll nur ausgewertet wenn die Netzwerknum mern der Kommunikationspartner gleich sind Wie die Adress Klassen haben auch die Netz Masken unterschiedlich lange Netzwerk Abschnitte 180 m FEC Secure IPSec Client Benutzerhandbuch 7 2 7 2 1 Security Im Parameterfeld IPSec Einstellungen der Profil Einstellungen sind die Konfigu rationsparameter zu IPSec f r den Einsatz in Remote Access Umgebungen gesam melt Im folgenden wird auf einige Konfigurationsm glichkeiten Bezug genommen IPSec bersicht IPSec kann nur f r IP Datenverkehr eingesetzt werden Die IPSec Spezifikation um fasst nicht nur das Layer 3 Tunneling sondern auch alle n
15. 2 2 3 Benutzerdefinierte Installation und Abschluss unter Win NT 2000 XP 34 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP 37 2 3 Vor der Inbetriebnahme 3 0 a E E ad b sd 24 Deinstallahon 3 ss Y sos edog gor Eu ee E ais Client Monitor s ss esas ss 41 3 1 Die Oberfl che des Client Monitors 2 2 2 2 2 nn nn nn 42 3 1 1 Bedien und Anzeigefelder 2 2 2 2 2 nn nn nn 42 3 1 2 Das Erscheinungsbild des Monitors 2 2 2 2 22 nen 43 Modifikationen der Oberfl che 2 2 2 2 2 nn nn nn 43 3 1 3 Statusanzeigen x le e u wu a e ea a dl Chipka rte e s lt gt s soa ee a a ea ss PIN Status e A4 Endpoint Policy EE a a a EE EA Firewall R yeah a ae re ee ee ie ee A Friendly Net Dessen Pa e EEE EEE EAP Status y e e ss gt 3 1 4 Anwahl ber das Profil an ES listen nas ss o RO Benutzerhandbuch FEC Secure IPSec Client m m m 5 Wes 4 Monitor Bedienung l 47 4 1 Verbindung RER a esas aaa AS Schell Verbinden s s von 2 2 a ae een ee rr mr A 4 1 2 Trennen eom As As sea 4 1 3 HotSpot Anmeld ne boe oe oea bos e poa os oaa dos ee 49 4 1 4 Verbindungs Informationen e 90 Verbindunsszeit art m RR een 50 KC ee 2 Richt ng s s sos s e sa a ea aaa ee W Durchsatz e d 2 um 0 2 5 aaa AU MUI css sosa ee A Verbindungsmedium xx lt lt sms sd al Kompression 0 2 w eu es we ea ess Dl Verschl
16. Gegenstellen Die Gegenstellen des lokalen Multiprotokoll Routers im LAN xDSL PPPoE Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine AVM Fritz DSL Karte einge setzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netzwerkkarte ben tigt Netze xDSL Gegenstellen Access Router im xDSL Bitte beachten Sie dass je nach gew hlter Verbindungsart die daf r erforderliche Hard ware und ggf die Treiber dazu installiert sein m ssen GPRS UMTS Dieses Einwahlmedium w hlen Sie wenn die Einwahl ber das Mobilfunknetz GPRS oder UMTS erfolgen soll Beachten Sie dazu den Hinweis unter den Installationsvor aussetzungen zu Analoges Modem PPTP Microsoft Point to Point Tunnel Protocol Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL 128 mwm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen WLAN Hardware WLAN Adapter Netze Fu
17. LZS verwenden L DPD Dead Peer Detection deaktivieren 1 UDP Encapsulation verwenden Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 151 Konfigurationsparameter Profil Einstellungen a IP Kompression LZS verwenden Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um maximal das 3 fache a DPD Dead Peer Detection deaktivieren DPD Dead Peer Detection und NAT T NAT Traversal werden automatisch im Hin tergrund ausgef hrt sofern dies das Ziel Gateway unterst tzt Der IPSec Client nutzt DPD um in regelm igen Intervallen zu pr fen ob die Gegenstelle noch aktive ist Ist dies nicht der Fall erfolgt ein automatischer Verbindungsabbau Mit dieser Funktion kann DPD ausgeschaltet werden a UDP Encapsulation verwenden Mit UDP Encapsulation muss an der externen Firewall nur der Port 4500 freigeschaltet werden anders bei NAT Traversal oder UDP 500 mit ESP Das NCP Gateway erkennt die UDP Encapsulation automatisch Wird die UDP Encapsulation verwendet so kann der Port frei gew halt werden Stand ard f r IPSec mit UDP ist der Port 4500 f r IPSec ohne UDP der Port 500 152 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 8 Identitat Frofil Einstellungen Zentrale Grundenstellungen Hetzeinmahl deeg IFSec Einstellungen Hz TEE E El IP Adressen Zumeisung PR IP Netze zerthik
18. Shut Down des Computers eventuell gemappte Laufwerke korrekt getrennt wurden Diese Option ist nur bei einem NT Server als Gegenstelle einsetzbar Wurde die Verwendung eines Soft Zerti f kats konfiguriert so muss zun chst die Abbrechen FEC Secure IPSec Client Gel Die weiteren Stationen des Verbindungs Gera aufbaus erfolgen genau so wie oben un ter Verbinden beschrieben WPN Einwahl Server bis die Verbindung steht 170 nmmmm FEC Secure IPSec Client Benutzerhandbuch A E Passworter und Benutzernamen Das Passwort siehe Netzeinwahl Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewiesen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort genau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Auch wenn Sie f r den Verbindungsaufbau automatisch gew hlt haben siehe oben gt Verbindungsaufbau zum Zielsystem m ssen Sie die Verbindung beim ersten Mal ma nuell aufbauen und das Passwort eingeben
19. auch beachtet werden dass vom Protokoll her ICMP zugelassen ist Beachten Sie dass auch der zugeh rige Port selektiert sein muss F r eine E Mail Anwendung 80 Benutzerhandbuch Monitor Bedienung O Konfigurationsfeld Bekannte Netze Firewall Einstellungen Wurde im Konfigurati onsfeld Firewall Re geln definiert dass eine Regel auf Verbindungen mit bekannten Netzen Friendly Nets anzuwen den ist so wird diese Re gel immer angewendet wenn ein Netz nach den hier anzugebenden Krite rien als Friendly Net identifiziert werden kann bzw der LAN Adapter sich in einem Friendly Net befindet Der LAN Adapter des Clients befindet sich dann in einem Friendly Net wenn IP Netze und Netzmaske die IP Adresse des LAN Adapters aus dem angegebenen Netzbereich stammt Ist z B das IP Netz 192 168 254 0 mit der Maske 255 255 255 0 angegeben so w rde die Adresse 192 168 254 10 auf dem LAN Adapter eine Zuordnung zum bekannten Netz bewirken DHCP Server diese IP Adresse von dem DHCP Server zugewiesen wurde der die hier angegebene IP Adresse besitzt DHCP MAC Adresse wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Diese Option kann nur dann verwendet werden wenn sich der DHCP Server im selben IP Subnet be findet wie der DHCP Client Je mehr dieser Bedingungen erf llt werden desto pr ziser ist der Nachweis dass es sich um ein vertrautes Netz handelt Die Zuord
20. dis connect bat nicht zulassen Diese Funktion sollte immer aktiviert sein wenn nicht unbedingt f r eine gew nsch te Anwendung die Ausf hrung der genannten Batch Dateien mit Administrator Sy stem Rechten erforderlich ist Beachten Sie dazu die Beschreibung im Handbuchan hang Services Die Anwendungen Batch Dateien f r deren Ausf hrung Benutzer rechte gen gen k nnen oben im Monitormen Externe Anwendungen starten einge tragen werden siehe oben FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung m berwachung Verbindungssteuerung Die Verbindungssteuerung kann eine automatische berwachung bewirken So k nnen Sie w hlen welche der Limits Sie sich f r Ihre Kommunikation setzen berwachen des Zeitlimits der maximalen Verbindungs aufbauten und oder der maximalen Geb hrenein heiten f r welchen Zeitraum diese Limits g ltig sein sollen Zeitraum der berwachung und wie Sie von Limit berschreitungen in Kenntnis gesetzt werden m chten Meldung und Vorwarnung oder ob ein automatischer Verbindungsabbau stattfinden soll E Wenn ein von Ihnen definiertes Limit berschritten wurde Bild links wird jede weitere Kommunikation unterbunden bis Sie die Sperre wieder aufgehoben haben siehe gt Verbindung Sperre aufheben Client Benutzerhandbuch FEC Secure IPSec Client m m m 93 Client Monitor 4 2 7 EAP Optionen Hier kann de
21. ffentlichen und einem privaten Schl ssel In der Welt des elektronischen globalen Informationsaustausches wird so eine Vertrauensbasis aufgebaut wie wir sie in der traditionellen Gesch ftswelt auf Papierbasis kennen Die digitale Signatur in Verbindung mit Datenverschl sselung ist das elektronische quivalent zur h ndisch geleisteten Unterschrift und belegt Ursprung sowie die Authentizit t von Daten und Teilnehmer Eine PKI basiert auf digitalen Zertifikaten die von einer ffentlichen Zertifizierungs stelle Trust Center ausgestellt als pers nliche elektronische Ausweise fungieren und idealerweise auf einer Smart Card abgespeichert sind Sicherheitsexperten und der IETF Internet Engineering Task Force sind sich dar ber einig dass ein nachhaltiger Schutz vor Man In The Middle Attacken nur durch den Einsatz von Smart Cards mit Zertifikaten erreicht werden kann Smart Card Smart Cards sind die ideale Erg nzung f r hochsichere Remote Access L sungen Sie bieten doppelte Sicherheit beim Login Vorgang n mlich Wissen ber PIN Pers nli che Identifikations Nummer und Besitz der Smart Card Der Anwender identifiziert sich mit der Eingabe der PIN eindeutig als rechtm iger Besitzer Strong Authenticati on Die PIN ersetzt das Passwort und die Eingabe der User ID Basistechnologie f r Single Sign On Der Anwender weist sich nur noch gegen ber der Smart Card aus Der Check gegen ber dem Netz erfolgt zwischen Smart Car
22. gangs in Verbindung mit dem FEC Secure IPSec Client finden Sie unter www funk werk ec com Verbindungsaufbau zum Zielsystem Sobald die Software installiert und ein Profil korrekt konfiguriert wurden kann die Anwahl ber das Profil an das Zielsystem stattfinden Dabei ist auch die Art der An wahl Bestandteil der Konfiguration eines Profils Sie k nnen aus drei Anwahl Modi f r den Verbindungsaufbeu w hlen automatisch manuell und wechselnd Sie definieren den Modus des Verbindungsaufbaus zu einem Zielsystem in der Profil Einstellungen unter Verbindungsaufbau im Parameterfeld Line Management Automatischer Verbindungsaufbau Im Unterschied zu Microsoft RAS bei dem jedes Ziel manuell angew hlt werden muss arbeitet die Client Software nach dem Prinzip der LAN Emulation Dabei ist es lediglich erforderlich die entsprechende Applikations Software zu starten Email In ternet Browser Terminal Emulation etc Die Verbindung wird dann entsprechend den Parametern des Zielsystems automatisch aufgebaut und gehalten Manueller Verbindungsaufbau Daneben ist es auch m glich manuell die Verbindung zu einem ausgew hlten Ziel her zustellen indem Sie im Monitor Verbindung anklicken und Verbinden w hlen Wechselnder Verbindungsaufbau Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut wer den Danach wechselt der Modus je nach Verbindungsabbau wie folgt Wird die Verbindung
23. ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss Sind eingehende Zertifikate in den Listen von CRL oder ARL enthalten wird die Ver bindung nicht zugelassen Sind CRLs oder ARLs nicht vorhanden findet keine diesbez gliche berpr fung statt 164 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 12Link Firewall Frofil Einstellungen Zentrale Grundenstellungen Hetzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zumeisung Link Firewall Die Link Firewall kann f r alle Netzwerkadapter wie auch f r RAS Verbindungen ge nutzt werden Die aktivierte Firewall wird in der grafischen Oberfl che des Clients als Symbol Mauer mit Pfeil dargestellt Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus anderen bzw externen Netzen Internet in das ei gene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und Internet installiert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher festgelegter Konfigurationen ob ein Datenpaket durchgelassen wird oder nicht Die hier zu aktivierende Firewall arbeitet nach dem Prinzip der Stateful Inspection Sicherheit wird dabei in zwei
24. 149 Hash IKE Richtlinie 2 2 2 2 2 nn 2 nn nenn 149 DH Gruppe IKE Richtlinie 2 2 2 2 22 nennen 149 IPSec Richtlinie editieren 2 2 2 22 2220202 150 Name IPSec Richtlinie 2 2 2 2 2 2 2 2222 150 Protokoll IPSec Richtlinie 2 2 2 2 2 2 222220 150 Transformation IPSec Richtlinie 150 Transformation Comp IPSec Richtlinie 150 Authentisierung IPSec Richtlinie 150 5 1 7 Erweiterte IPSec Optionen paee paa a an kl IP Kompression LZS reden u E DPD Dead Peer Detection deaktivieren 2 2 2 2 2 2 152 UDP Encapsulation verwenden 2 2 2 222222 152 Sdo Tdentitite a s e r a m es na s rewa E Typ l Identit t a 2 u aer sa E ID Identit t E E Pre shared Key EEN SC ee E ss ADA Extended Authentication XAUTH nn Da os a O Benutzername Identit t 2 2 2 2 nn nn nn 155 Benutzerhandbuch FEC Secure IPSec Client m m m 9 E Passwort Identit t so o e m ee be Zugangsdaten aus Konfiemration de ee gt gt 5 1 9 IP Adressen Zuweisung zz va u e e wv 156 IKE Config Mode verwenden 2 2 2 2 2 2a 0 0 un 157 Lokale IP Adresse verwenden 2 2 2 2222202 157 IP Adresse manuell vergeben amp lt lt ex e amp 197 DNS WINS a s s m a eo e onok a aa ee E ei DNS e s s 3 ers mess oa a ase L WINS Server 2 2 a a a m m nee 157 Domain
25. 2 222 111 Onlne Varane 2 x xa a ES made essa 2 Offline Variante 2 2 2 oo nn nee 114 a VD ee g g kal 5 Konfigurationsparameter 2 2 2 so so e nr nen 123 5 1 Profil Einstellungen 2 22 2 Em nn nen 124 5 1 1 Grundeinstellungen 2 2 2 2 2 nn nn 126 Profil Name 24 2 0 um 2 2 0 u en ess y 127 Verbindungstyp a E e VPN zu IPSec oe ee ee be Internet Verbindung ohne VPN a 127 Verbindungssmedium 2 2 m nn nn 127 LON x zu 4 2 e amp 2 u mm a 0 Ases DT Moden a s ep a u E sig ara SE LAN over IP s s u a u 4 2 u 2 8 u u aras ea 8 xDSL PPPoE ee ss EE xDSL AVM PPP over CAPD A E GPRS UMIS e lt amp sa ax saaw a ch aa oa J28 PPIP a 425 020 0 005 40343068896 e MLAN as ea acaso ea y a a Y Ext Dialer A EG gt Automatische Melk nen DREES Profil f r automatische Medienerkennung Verwenden ee a 180 Dieses Profil nach jedem Neustart des Systems verwenden 131 Benutze Microsoft DF Dialer 22 222 222 131 31 2 Netzeinwahl s s s 2 c AN E e r HE Benutzername 2 2 a 0 nem hm na nee re ds CASSWO u a a a u e Passwort speichern lt 0 u u 2 4m mm nu a ia 133 RufnummertZiel s s s x sera wa x es a e a I3 Alternative Rufnummern 2 2 2 2 2 m nn nn 134 GEELEN x s ee er 4 5 1 3 HTTP Anmeldung ee KE Benutzername HTTP Ai Ee EE Passwort IHTTP Anmeldu
26. A A e 204 DF Dialer o 131 166 DH Gruppe IKE Richtlinie o 149 DEEP scsi ee E ia 30 34 DHCP Dynamic Host Control Protocol 30 EM EE ss E en a e a a a a 159 Dienst zur Erkennung der bekannten Netze 78 Dithie Hellman s ss 0 200 Ka a a a aa ee 188 Directory Service 2 a ea Er ea e 203 ENEE sus ai e 92 DNS essa aaa sol EE E de 204 EE aan dal dead o Y A e Reg 30 DNS ed ral a E 157 Domain Name lt gt sesos E ee EE E 157 Domanen Anmeldune x 32 225 da ass se abe 170 DPD Dead Peer Detection 152 157 192 dynamische Linkzuschaltung 16 142 E EAP MPS eaea aoe a ap a an serra G a a E re 94 EAP Authentisierung se EE ENEE EEN NEE E 143 EAP Authentisierung vor Zielauswahl durchf hren 97 BFAP Optonen aereas dotes HE ehr 94 143 EAP Status e as ne na ae aa 45 Encapsulating Security Payload 182 Endiste MEN urea reo res 181 Endpoint PONCY EE EEN Endpunkt Sicherheitsrichtlinien 35 Erweiterte Authentisierung gt 4 coc sae 4 a4 ds 23 4 23 ESP sn osas rara 150 182 ESP 3DES MDS u a u 2 2 0 2 ora iu 146 EXCH Modea E EE E EN 146 Extended Authentication e 42 2 044 ame 190 Extended Authentication XAUTH 154 172 exiendedKeylsage 3 6 sas 4 804 ay 54 56 externer Dialer cosas ito eek 129 F Biete eo 1 22 20 00 20 0002 E 68 FISCO ee ee ee a era a 32 18 Fingerprint des
27. Aussteller Zertifikats 162 a AE 44 204 Firewall Firewall Regeln 70 Firewall Grundeinstellungen 68 Firewall Binstell ngen a 8 2 2 sau a0 2 66 183 Firewall Regel Anwendungen 76 Firewall Regel Bekannte Netze 77 Friendly Net Detection Server FNDS 78 Fendy A EE E EE EE 411 G Gateway IPSC cis u un ER ade ne sender 145 Globale Firewall ress 2 4a 254 perso ad Eau 4 GRES aunado eTa Ena rEg ar 20 128 Ceh E Sen een Die 20 Gultiskeitsd uer 2 u es 3 u a0 ds seh ae ed 32 H Hash IKE Richtlinie mea a a a deu sea 149 Hayes Befehlssalz oe saca ade a ad e i 20 Hotspot sacs aoe a A E A a a a 15 HotSpot Anmeld ng 24 2 2482 2 w 2 2 4 7 10 04 49 216 nmmmm FEC Secure IPSec Client Benutzerhandbuch A BR ISSO 1 253 ases aa A nun a EE 20 HTTP Authentisierungs Script HTTP Anmeldung 136 HTIP Anmeldune 9 nessa 135 143 HTTP Authentisierung gt 3 000 3 0 285 3 04 136 143 Hybride Verschl sselung o oc m0 lt o o mon 205 I IDI Identitat A 154 Identity Protection Mode aana 186 URBE e e E E EE ee 181 IKE IPS C s ree carp a e de a ee e 51 IKE Config Mode verwenden 157 IKE ID Type 2 2 renos ee a AN 193 IKE Colt ao 2 sites oa ner o ra 192 IKE Config Mode 2 a2 24 8 wer E E 192 IKE M di e erario ARA 186 IKE Mod s esas 4 020 na was ns nes ae 186 IKE Richtlinie 1 eg EE NN 145 148 184
28. Authentisie rung gew hlt so muss im Monitormen unter Konfiguration EAP Optionen das Ex tended Authentication Protocol f r LAN aktiviert werden sowie Benutzername und Passwort eingegeben werden Erst dann ist das EAP Symbol sichtbar Benutzerhandbuch FEC Secure IPSec Client m m mu m 45 Client Monitor 3 1 4 Anwahl ber das Profil an das Zielsystem Sobald die Software installiert mit einem Profil korrekt konfiguriert wurde siehe unten 3 2 3 Konfiguration Kann die Anwahl an dieses Zielsystem stattfinden FEC Secure IPSec Client IST Das gewunschte Profil wird Verbind Kofi i L F ui ber die Auswahl Box unter er ung Konfiguration Log Fenster Hilfe de eo Klick auf die rechte Maustaste aus einer Liste gew hlt siehe nebenstehendes Bild Um eine Verbindung ber EE Client herzustellen ist es nicht Verbinden n tig den Client Monitor Werbinden Trennen eigens zu starten oder die Statistik en Anwahl manuell durchzu SE S f hren Lediglich die ge verbindungszeft 00 00 00 Timeout ect 0 wiinschte Applikations Soft A en Ano ware muss gestartet werden Daten Rx in Byte 0 verbindungsart ISON Die Verbindung wird dann entsprechend den Parame tern des Profils automatisch aufgebaut siehe gt Durchsatz KBs 0 000 verschl sselung Verbindungssteuerung Verbindungsaufbau auto FEC Secure IPSec Client JE matisch Daneben ist es Yerbindung Konfiguration Log Fenster
29. Authentisierung von IP Pa keten Die SA beschreibt auch in welcher Betriebsart das Sicherheitsprotokoll benutzt werden soll Tunnel oder Transportmodus Im Tunnelmodus wird ein IP Header hin zugef gt im Transportmodus wird der Original Header verwendet Weiter beschreibt die SA welcher Algorithmus zur Authentisierung verwendet werden soll welche Ver schl sselungsmethode bei ESP und welcher Schl ssel zur Anwendungen kommen sollen Die Gegenstelle muss selbstverst ndlich nach der gleichen SA arbeiten Ist die SA ausgehandelt wird jedes Datenpaket gem Betriebsmodus Tunnel oder Transport und Protokoll ESP oder AH bearbeitet Der IPSec Client nutzt immer das ESP Protokoll im Tunnelmodus 182 nmmmm FEC Secure IPSec Client Benutzerhandbuch 7 2 2 Firewall Einstellungen Firewall Settings Die Firewall Einstellungen bestehen haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des Regel Eintrags bereinstimmen wird aus den Regel Eintr gen weiter ermittelt wie mit diesem IP Paket zu verfahren ist Im folgenden die Eintr ge zur Konfiguration im IPSec Client Ausf hrung Command gestatten permit sperren deny inaktiv disabled LI IP Protokoll IP Protocol Dies ist das Transportprotokoll ICMP TCP oder UDP Eines der angebotenen Proto kolle kann ausgew hlt werden oder ein beliebiges alle any wird genu
30. F r jeden weiteren automatischen Verbin dungsaufbau wird das Passwort selbst ndig bernommen bis der PC erneut gebootet oder das Zielsystem gewechselt wird D h f r eine Reihe von automatischen Verbin dungsaufbaus wird das Passwort nach der ersten Eingabe und dem ersten Verbindungs aufbau selbst ndig bernommen auch wenn die Funktion Passwort speichern siehe Netzeinwahl nicht aktiviert wurde Erst ein Boot Vorgang l scht das einmal einge gebene Passwort Beachten Sie dazu auch Logon Optionen Soll das Passwort mit dem Booten nicht gel scht werden so muss die Funktion Pass wort speichern aktiviert werden siehe Netzeinwahl Bitte beachten Sie dabei dass im Falle gespeicherter Passw rter jedermann mit Ihrer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt Passwort f r NAS Einwahl Profil Einstellungen Zentrale sl Wird das Passwort f r N WA die NAS Einwahl nicht Netzeinwahl Line Management CG eingegeben oder nicht nen gespeichert so wird es EEN bei einem Verbindungs Zettifikats berpr fung aufbau in einem eigenen Firewall E instellungen Dialog abgefragt 09119968154 2 02 5 Der Benutzername f r die Netzeinwahl muss immer in der Konfigu om oe Abbrechen ration f r das Ziel eingegeben werden Ohne ihn kann keine Einwahl an den NAS erfolgen Siehe gt Profil Einstellungen Netzeinwahl NAS Passwort Benutzerhandbuch F
31. Firewall Technologie der Stateful Inspection kann f r alle Netzwerkadapter wie auch fiir RAS Verbindungen eingesetzt werden Sie wird am Client im Telefonbuch un ter Firewall Einstellungen aktiviert siehe Konfigurations Parameter Firewall Ein stellungen Am Gateway ist sie dann aktiv wenn im Server Manager unter Routing Interfaces Allgemein die Funktion LAN Adapter sch tzen eingeschaltet wird Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus an deren bzw externen Netzen Internet in das eigene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und z B Internet installiert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher fest gelegter Konfigurationen ab ein Datenpaket durchgelassen wird oder nicht Stateful Inspection ist die Firewall Technologie die den derzeit h chstm glichen Si cherheitsstandard f r Internet Verbindungen und somit das Firmennetz bietet Sicher heit wird in zweierlei Hinsicht gew hrleistet Zum einen verhindert diese Funktionali t t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum an deren berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Inter net Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting de
32. Gateway sind drei Erweiterungen von Bedeutung extendedKeyUsage subjectKeyldentifier authorityKeyldentifier 54 m mmmFEO Secure IPSec Client Benutzerhandbuch Monitor Bedienung 5 Anzeige der Erweiterungen Extensions Um sich die Erweiterungen eines eingehenden oder CA Zertifikats anzeigen zu lassen kann wie folgt vorgegangen werden Das CA Zertifikat dessen Erweiterungen angezeigt werden sollen muss mit einem Doppelklick im Fenster f r CA Zertifikate siehe oben ge ffnet werden Damit wird nebenstehendes Anzeigefeld mit den allgemeinen Daten General ge ffnet F r das jeweils eingehende Zertifikat wird dieses Feld bereits ge ffnet nachdem Eingehendes Zertifikat anzeigen im Zertifikats Men gew hlt wurde Das Ansichtsfeld Subject Key Identifier 24 AE GO DE DI EORZEGTIGAF CFE 35 10 FD B5 S SG i Authority Key Identifier Ke AE 60 BF D1 F9 63 F6144F CF 351D FD 65 General zeigt die Authority Key Identifier Serial Number ON g allgemeinen Zertifikatsdaten siehe Bild oben Das Ansichtsfeld Extensions zeigt die Zertifikatserweiterungen sofern sie vorhanden sind siehe Bild links Benutzerhandbuch FEC Secure IPSec Client m m 55 Client Monitor Auswertung der Erweiterungen Extensions KeyUsage Ist in einen eingehenden Zertifikat die Erweiterung KeyUsage enthalten so wird diese berpr ft Folgende KeyUsage Bits werden akzeptiert Digital Signatur
33. Hetze zertifik ats ber Link Firewall vorgegeben werden welche Eintr ge in einem Zertifikat der Gegenstelle Gateway 1 Im Parameterfeld Zertifikats berpr fung kann pro Zielsystem des IPSec Clients vorhanden sein m ssen siehe Eingehendes Zertifikat anzeigen Allgemein Siehe auch Benutzer des eingehenden Zertifikats Aussteller des eingehenden Zertifikats Fingerprint des Aussteller Zertifikats 1 SHAI Fingerprint verwenden Weitere Zertifikats berpr fungen 160 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzer des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Benutzers soweit bekannt auch mit Wildcards verwendet werden Vergleichen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Benutzer aufge f hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name S Surname Nachname g Givenname Vorname t Title Titel O Organisation Firma ou Organization Unit Abteilung E Country Land st State Bundesland Provinz 1 Location Stadt Ort email E mail Beispiel cn VPNGW o ABC c de Der Common Name des Security Servers wird hier nur bis zur Wildcard berpr ft Alle nachfolgenden Stellen k nnen beliebig sein et
34. IKE Policy Der Kontrollkanal wird im Tunnelmodus von IPSec ber das IKE Protokoll zur IP Adresse des Gateways aufgebaut im Transportmodus direkt zur IP Adresse der Gegen stelle Parameter zur Festlegung von Verschl sselungs und Authentisierungsart ber das IKE Protokoll definieren Sie in den IKE Richtlinien Dabei kann die Authentisierung ber einen Pre shared Key oder eine RSA Signatur erfolgen Entsprechende Richtlini en sind im Richtlinien Editor vorkonfiguriert E Phase 2 Parameter der IPSec Richtlinie IPSec Policy Die SA Verhandlung wird ber den Kontrollkanal abgewickelt Von der IPSec Maschi ne wird die SA an das IKE Protokoll bergeben das sie ber den Kontrollkanal zur IP Sec Maschine der Gegenstelle bertr gt 184 mmmmm FEC Secure IPSec Client Benutzerhandbuch Kontrollkanal und SA Verhandlung Kontrollkanal Phase 1 SA Verhandlung Phase 2 NIC WSUP NIC1 WSUP Bildbeschreibung Damit der IPSec Prozess in Gang kommen kann muss vorher die SA verhandelt worden sein Diese SA Verhandlung findet pro SPD die f r verschiedene Ports Adressen und Protokolle angelegt sein k nnen einmal statt F r diese SA Verhandlung wird ein Kontrollkanal ben tigt Im Client muss nun zun chst eine Layer 2 PPP Verbindung zum Provider hergestellt wer den Dabei bekommt er bei jeder Einwahl ei
35. Kon puani DEENEN Externe Anwendungen e 92 berwachung 3 4 2 7 EAP Optionen 2 2 aa rennen 9 4 2 8 Logon Optionen x gt Ewa da En Eee Annielden s s e s socs smetan E Abmelden gt s a s e e a ac eor aace a es r a aa a SEI Externe Anwendungen 2 2 2 2 2 a a nn 9 Optionen 4 2 9 Konfigurations Sn Er DEENEN Allgemein Konfigurations Sperren sas AO Profile Konfigurations Sperren 22 2 2 nn nn nn 99 Allgemeine Rechte o ss sI Sichtbare Parameterfelder der Protile ss 4 2 10 Profile importieren 2 8 ds 8 2 28 En a 509 4 2 11 Profil Sicherung 2 2 2 2 m m nn 100 Erstellen a e e saos e s ac cea ea ee OD Wiederherstellen lt a s ww W iee ie jee a A o 100 SSES 4 4 Fenster Bs poy G ee ee a A 4 4 1 Profilanswahl anzeigen es mear assess asas 103 4 4 2 Buttonleiste anzeigen 2 2 2 2 m nn nn nn 104 Benutzerhandbuch FEC Secure IPSec Client m m m 7 E 4 4 3 Statistik anzeigen 104 4 4 4 Immer im en E u 4 4 5 Autostart A ee a ee ee SL 4 4 6 Beim Schlie en minimieren 2 2 2 2 nn 105 4 4 7 Nach Verbindungsaufbau minimieren e 106 JAS Sprache sxe u 5 ie EEE EEE 106 Ao SEE ee a nee A Ee 4 5 1 Lizenzinfo und Aktivierung a 2 22 nn nn 107 452 Inf s s serar ee 108 4 6 Lizenzierung sae paaa ER 4 6 1 G ltigkeitsdauer der ren ces casas are LO 4 6 2 Software Aktivierung 2 2 2
36. Lizenzinfo und Aktivierung wird die eingesetzte Software Version und gegebenenfalls die lizenzierte Version mit Seriennummer angezeigt Wir die Software als Testversion eingesetzt so kann die verbliebene Dauer der G ltigkeit im Popup abgelesen werden Um eine zeitlich unbegrenzt g ltige Vollversion nutzen zu k nnen muss die Software mit dem erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet werden Mit der Aktivierung der Software akzeptieren Sie die Lizenzbedingungen die nach einem Klick eingesehen werden k nnen Die Aktivierung kann wahlwei se online oder offline erfolgen Beachten Sie dazu den Hand buchabschnitt Lizenzierung a Schlie en Benutzerhandbuch FEC Secure IPSec Client EEEE 107 Assistent f r Software Aktivierung Lizenzdaten Wie lauten die Lizenzdaten lA nn ES 4 5 2 Info Mobile Office funkwerk funkwerk enterprise communications FEC Secure IPSec Client version 1 30 Build 28 FEC Secure powered by IPSec Client NCP NCP engineering GmbH www ncp de Schlie en 108 nmmmm FEC Secure IPSec Client Client Monitor Die Eingabe von Lizenzschl ssel und Seriennummer kann erfolgen nachdem Sie auf den Aktivierungsbutton geklickt haben Korrekt eingegebene Lizenzdaten k nnen zu einem sp teren Zeitpunkt an dieser Stelle nicht mehr ausgelesen werden Das Info Fenster zeigt die Produktbezeichnung u
37. MD5 PSK RS SECONDS 28800 128 ABS CBC SHA AAUTE PSK DE2 SECONDS 28800 128 AES CBC MD5 XAUTH_PSK DH2 SECONDS 28800 128 AES _ CBC SHA PSK DH2 SECONDS 28800 128 ARS CBC Er PSK DH2 SECONDS 28800 128 DES3 SHA XAUTH_PSK DAS SECONDS 28800 0 DES3 MD 5 XAUTH_PSK DAS SECONDS 28800 0 DES3 SHA PSK DIAS SECONDS 28800 0 DES3 MD5 PSK DES SECONDS 28800 0 DES3 SHA XAUTE_ PSK DH SECONDS 28800 0 DES3 MD5 XZAUTH_PSK DH2 SECONDS 28800 0 DES3 SHA PSK DEA SECONDS 28800 0 DES3 MD5 PSK DH2 SECONDS 28800 O Als Vorschl ge f r die IPSec Richtlinie Phase 2 wird standardm ig versendet Notation PROTO Protocol Protokoll TRANS Transform Transformation ESP LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge COMP IP Compression Transformation Comp PROTO TRANS AUTH LT LS KL COMP LZS ESP AES MD5 SECONDS 28800 128 Yes Yes ESP AES SHA SECONDS 28800 128 Yes Yes ESP AES MDS SECONDS 28800 125 No No ESP AES SHA SECONDS 28800 128 No No ESP AES MD5 SECONDS 28800 192 Yes Yes ESP AES SHA SECONDS 28800 192 Yes Yes ESP AES MD5 SECONDS 28800 192 No No ESP AES SHA SECONDS 28800 192 No No ESP AES MD5 SECONDS 28800 256 Yes Yes ESP AES SHA SECONDS 28800 256 Yes Yes ESP AES MD5 SECONDS 28800 256 NO No ESP AES SHA SECONDS 28800 256 No No ESP DES3 MD5 SECONDS 28800 0 Yes Yes ESP DES3 MD5 SECONDS 28800 amp No No Benutzerhandbuch FEC Secure IPSec Client m m m 191 Beispiele und Erkl rungen 7 2 5 Zur weiteren
38. Major Release handelt erkennbar an der nderung der ersten Dezimal stelle hinter dem Komma Zum Beispiel Ist eine Version 1 11 installiert und die n ch ste Software Version hat die Nummer 1 30 so ist ein Software Update von 1 11 auf 1 30 sowie insbesondere die Nutzung der neuen Features kostenpflichtig Die neuen Features k nnen nur genutzt werden wenn die neue Software nach Installation mit ei nem neuen Lizenzschl ssel aktiviert wurde wie oben unter Software Aktivierung be schrieben Der neue Lizenzschl ssel wird erzeugt indem Seriennummer und Update Schl ssel der ber den Reseller vorort erworben werden kann auf folgender Website eingetragen werden funkwerk enderpride Comm o enterprise communications dd vi FEC Online Services Generierung des Lizenzschl ssels f r FEC Secure IPSec Client Updates Auf dieser Seite k nnen Sie mit Ihrem erworbenen Update Schl ssel einen neuen Lizenzschl ssel f r den bintec Secure Dec Client generieren Hierf r geben Sie die Seriennummer des bintec Secure Dec Clients und den Update Schl ssel in die daf r vorgesehenen Felder ein die sich auf dieser Sete weiter unten befinden Die Seriennummer finden Sie im Mopttor Men des bintec Secure Dec Clients unter Hilfe gt Lizenzinto und Aktivierung Anschlie end klicken Sie auf Absenden Der neue Lizenzs chl s el wird in der Antwortseite auf Ihrem Bildschirm angezeigt Diesen Schl ssel tragen Sie dann im Motor Me
39. Modem aus der entsprechend konfigurierte Com Port wird dann automatisch ge setzt E Baudrate Die Baudrate beschreibt die bertragungsgeschwindigkeit zwischen Com Port und Mo dem Wenn Ihr Modem z b mit 14 4 Kbits bertragen kann sollten sie die n chsth he re Baudrate 19200 w hlen Folgende Baudraten k nnen gew hlt werden 1200 2400 4800 9600 19200 38400 57600 und 115200 a Com Port freigeben Wenn Sie f r Ihren Client ein analoges Modem verwenden kann es w nschenswert sein dass der Com Port nach Beendigung der Kommunikation f r andere Applikatio nen freigegeben wird z B Fax In diesem Fall stellen Sie den Parameter auf Ein Solange der Parameter in der Standardstellung auf Aus bleibt wird der Com Port ausschlie lich von der Client Software genutzt 138 m mmw FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen O Modem Init String Je nach eingesetzem Handy oder Modem und der jeweiligen Verbindungsart k nnen AT Kommandos n tig sein In diesem Fall m ssen die jeweiligen Kommandos dem zu geh rigen Benutzerhandbuch oder den Mitteilungen der Telefongesellschaft bzw des Providers entnommen werden Jedes der in diesem Fall einzutragenden Kommandos muss mit einem lt cr gt Carriage Return abgeschlossen werden E Dial Prefix Dieses Feld ist optional Ist das Modem korrekt installiert und steht der Software als Standardtreiber zur Verf gung so muss hier kein Eintrag vo
40. Parameter Tunnelendpunkt IP Adresse gt Zugangsdaten fur VPN Gateway XAUTH Benutzername Passwort IPSec Konfiguration Exch Mode PFS Gruppe Kompression Statischer Schl ssel Preshared Key ohne Zertifikat IKE ID Typ IKE ID IP Adressen Konfiguration IP Adresse des Clients DNS WINS Server Firewall Einstellungen Verbindung mit dem Internet herstellen Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzer Passwort Rufnummer Das neue Profil erscheint nun in der Liste der Profile mit dem von Ihnen vergebenen Namen Wenn keine weiteren Parameter Einstellungen n tig sind k nnen Sie die Liste mit Ok schlie en Das neue Profil ist im Monitor sofort verf gbar Es kann im Monitor ausgew hlt werden und ber das Men Verbindung gt Verbinden kann das zugeh ri ge Ziel sofort angew hlt werden FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung O Konfigurieren Profil Um die Standard Werte eines Profils zu editieren w hlen Sie mit der Maus das Pro fil dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Die Profil Einstellungen zeigen nun in ihrem linken Fenster eine Liste von Begriffen denen jeweils ein Parameterfeld zugeordnet ist Profil Einstellungen Zentrale al Grundeinstellungen Grundeinstelungen Netzeinwahl elzeinWa Ces geg ES on IPSec E dcir Line Management IP AdressenZuneisung IPS ec E
41. Rx und Tx Bytes zeigt die Datenmenge an die gesendet out und empfangen in wird Die Gesamtmenge Total und die nach Protokoll unterschiedenen Datenmnegen wer den in Bytes angezeigt 1 Byte 1 Zeichen 4 1 5 Verf gbare Verbindungsarten Verbindungsarten Dieses Fenster dient ausschlie lich der Benutzerin formation ber die zur Verf gung stehenden Verbindungsarten und die aktuell genutzte Werden wechselweise unterschiedliche Verbindungsarten genutzt so erkennt der Client automatisch welche Verbindungsarten aktuell zur Verf gung stehen und w hlt davon die schnellste aus Die zur Verf gung stehenden Verbindungsarten werden mit gelber Signallampe dargestellt die ausgew hlte Verbindungsart mit einer gr nen Zur Konfiguration der automatischen Mediener kennung beachten Sie im Telefonbuch das Parameterfeld Zielsystem Benutzerhandbuch FEC Secure IPSec Client m m m 51 Client Monitor 4 1 6 Zertifikate O Im Pulldown Men Verbindung finden Sie den Men punkt Zertifikate mit den i Men abzweigungen Konfiguration Aussteller Zertifikat anzeigen Eingehendes Zertifikat anzeigen und CA Zertifikate anzeigen Zertificate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt und auf eine Smart Card Chipkarte gebrannt Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status ei nes digi
42. Subnet 4 an Bin re Darstellung 135 96 7 230 10000111 11000000 00000111 11100110 135 96 4 190 10100000 10010101 00000100 10111110 255 255 255 0 21171111 1a 2 00000000 Netzwerk Subnet 255 255 248 0 1111111 311117211 11111000 00000000 178 mmmmm FEC Secure IPSec Client Benutzerhandbuch IP Funktionen H tte die Netz Maske in obigem Beispiel nicht den Standardwert 255 255 255 0 son dern 255 255 248 0 bef nden sich die IP Adressen im gleichen Subnet und Routing wiirde nicht stattfinden Beispiel 2 Zwei IP Adressen mit 160 149 115 8 und 160 149 117 201 und der Netz Maske 255 255 252 0 befinden sich im gleichen Netzwerk 160 149 geh ren aber unterschied lichen Subnets an Bin re Darstellung 160 149 115 8 160 149 117 201 255 255 2520 10100000 10010101 011100 11 00001000 10100000 10010101 011101 01 11001001 11111111 11111111 111111 00 00000000 Netzwerk Subnet Die Wahl einer geeigneten Netzmaske h ngt von der Netzwerk Klasse der Beschaffen heit der m glichen Subnets ihrer Anzahl und ihrem Wachstum ab Ziehen Sie zur Pla nung einschl gige Tabellen oder einen Subnet Taschenrechner zu Rate Subnet Tabelle Klasse C Subnet Bits Host Bits Netz Maske Subnets Rechner 2 6 255 255 255 192 2 62 3 5 255 255 42554224 6 30 4 4 255 255 255 240 14 14 5 3 255 255 255 248 30 6 6 2 255 255 255 252 62 2 Berechnung 2 hoch n minus 2 Anzahl der Subnets Rechner n Anzahl der
43. Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname xyz PKCS 11 DLL Name der DLL Slotindex M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration gt Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser oder Token 24 FEC Secure IPSec Client Benutzerhandbuch Installation der Client Software 2 2 Installation der Client Software Die Software wird unter den Betriebssystemen Windows 98 ME und Windows NT 2000 XP mit geringf gigen Unterschieden auf hnliche Weise installiert Bitte achten Sie jedoch darauf ob Sie von Festplatte CD oder Wechseldatentr ger installie ren Sie k nnen die Software in Form einer ZIP Datei als Download von den Internetseiten unter www funkwerk ec com beziehen Installation und Lizenzierung Der FEC Secure IPSec Client wird zun chst immer als Testversion installiert Haben Sie eine Lizenz erworben so k nnen die Lizenzierungsdaten nach der Installation und einem Reboot im Monitor Men Hilfe Lizenzinfo und Aktivierung eingegeben wer den Sp testens in den letzten 10 Tagen vor Ablauf der 30 t gigen G ltigkeitsdauer der Testversion werden Sie im Client Monitor daran erinnert dass eine Lizenzierung vorgenommen werden muss wenn die Client Software weiter verwendet werden soll Bitte beachten Sie zur Lizenzierung die Beschreibung im Handb
44. Zertifikate genutzt werden sollen wie die Verbindungssteuerung arbeiten soll und welche Konfigurations Rechte der Be nutzer erh lt Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Testzu gang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem FEC Secure IPSec Client finden Sie unter www funkwerk ec com FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 2 1 Profil Einstellungen Die Eintr ge der Profil Einstellungen Bei einer Erstinstallation der IPSec Client Software ist noch kein Profil vorhanden In diesem Fall wird automatisch ein Konfiguartions Assistent eingeblendet der Ihnen hilft eine Konfiguration anzulegen Damit wird zugleich das erste Profil der IPSec Cli ent Software angelegt Dieser Assistent wird auch gestartet bei Klick auf Neuer Ein trag siehe unten Neuer Eintrag Profil Mit den Profil Einstellungen kann die Parametrisierung f r die Zielsysteme Profil durchgef hrt und die bertragungsart den Benutzeranforderungen entsprechend bis ins Detail konfiguriert werden Nachdem Sie auf Profil Einstellungen im Monitor Men Konfiguration geklickt haben ffnet sich das Men und zeigt in einer Liste der bereits verf gbaren Profile de ren Namen und die Rufnummern der zugeh rigen Zielsysteme Frofil Ei
45. Zertifikats Das eingehende Zertifikat des FNDS wird auf diesen String hin gepr ft Nur bei Gleichheit handelt es sich um ein Friendly Net Fingerprint des Aussteller Zertifikats Um ein H chstma an F lschungssicherheit bieten zu k nnen muss der Fingerprint des Aussteller Zertifikats berpr ft werden k nnen Er muss mit dem hier eingegebenen Hash Wert bereinstimmen Friendly Net Detection mittels TLS Soll die Friendly Net Detection mittels TLS erfolgen einschlie lich einer Authentisie rung ber den Fingerprint des Aussteller Zertifikats so muss sich im Programmver zeichnis CaCerts obiges Aussteller Zertifikat befinden und dessen Fingerprint muss mit dem hier konfigurierten bereinstimmen mmama FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung y Konfigurationsfeld Optionen Bei gesperrter Grundein stellung kann der Aufbau von VPN Verbindungen ber dieses Register glo bal zugelassen werden Folgende f r den Tunnel aufbau ben tigten Proto kolle und Ports werden per automatisch generier ter Filter freigegeben Firewall Einstellungen F r L2Sec UDP 1701 L2TP UDP 67 DHCPS UDP 68 DHCPC F r IPSec UDP 500 IKE ISAKMP IP Protokoll 50 ESP UDP 4500 NAT T UDP 67 DHCPS UDP 68 DHCPC Diese globale Definition erspart die Einrichtung dedizierter Einzelregeln f r die jewei lige VPN Variante Bitte beachten Sie dass dadurch lediglich der Tunnelaufbau erm gl
46. Zugangsdaten f r das VPN k nnen folgende Eintr ge ausgelesen und verwendet werden Zugangsdaten aus Konfiguration verwenden Dies bedeutet dass die in diesem Parameterfeld unter Benutzername und Passwort gemachten Angaben zur erweiterten Authentisierung verwendet werden Zugangsdaten aus Zertifikat E Mail verwenden Dies bedeutet dass statt Benutzername und Passwort der E Mail Eintrag des Zerti fikats verwendet wird Zugangsdaten aus Zertifikat Common Name verwenden Dies bedeutet dass statt Benutzername und Passwort der Benutzer Eintrag des Zertifikats verwendet wird Zugangsdaten aus Zertifikat Seriennummer verwenden Dies bedeutet dass statt Benutzername und Passwort die Seriennummer des Zerti fikats verwendet wird Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 155 Konfigurationsparameter Profil Einstellungen 5 1 9 IP Adressen Zuweisung Frofil Einstellungen Zentrale Grundenstellungen Hetzeinmahl Line Management IPSec Einstellungen Identit t IF Adressenzumeizung WPN IP Hetze 000 0 Zertifik ate Ll berpriifung Link Firewall 255 255 255 0 len Au erdem kann der durch die PPP Verhandlung automatisch zugewiesene Server durch alternative Server ersetzt werden Dazu muss in den Netzwerk Einstellungen des Betriebssystems der DNS Modus eingestellt sein 1 In diesem Parameterfenster wird eingestellt wie die IP Adressen vergeben werden sol
47. ats berprofung Link Firewall Entsprechend des Sicherheitsmodus IPSec k nnen noch detailliertere Sicherheitsein stellungen vorgenommen werden Parameter LI Typ Identit t 17 ID Identit t Pre shared Key verwenden Extended Authentication XAUTH verwenden Benutzername Identit t Passwort Identit t Zugangsdaten aus Konfiguration verwenden Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 153 Konfigurationsparameter Profil Einstellungen 154 Typ Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID f r eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Folgende ID Typen stehen zur Auswahl IP Address Fully Qualified Domain Name Fully Qualified Username entspricht der E Mail Adresse des Benutzers IP Subnet Address ASNI Distinguished Name ASNI Group Name Free String used to identify Groups ID Identitat Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID f r eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Entsprechend dem ID Typ muss die zugeh rige ID als String eingetragen werden Pre shared Key verwenden Der Pre shared Key ist ein String beliebiger Zeichen in einer maximalen L
48. auf einem Zertifi kat Der authorityKeyldentifier SHA 1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kein CA Zertifikat gefunden werden wird die Verbindung abgelehnt CDP Certificate Distribution Point Im Certificate Distribution Point ist die URL f r den Download einer CRL hinterlegt Ist im Zertifikat die Erweiterung CDP enthalten wird nach dem Verbindungsaufbau die CRL ber die angegebene URL heruntergeladen und berpr ft Wird dabei festgestellt dass das Zertifikat ung ltig ist wird die Verbindung abgebaut Die CRL wird dabei un ter dem Common Name der CA im Verzeichniss ncple crls gespeichert 56 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 1 7 PIN eingeben Die PIN Eingabe kann bereits vor einem Verbindungsaufbau erfolgen nachdem der Mo nitor gestartet wurde Wird zu einem sp teren Zeitpunkt eine Verbindung aufgebaut die ein Zertifikat erfordert so kann dann die PIN Eingabe unterbleiben es sei denn die Konfiguration zum Zertifikat verlangt dies siehe gt Konfiguration Zertifikate FEC Secure IPSec Client Wenn Sie den IPSec Client zur La g Fenster Verwendung einer Smart Card Zentrale ISDN konfiguriert haben siehe gt mi Konfiguration Zertifikate erscheint ein e hellblaues Symbol f r die Smart Card Cien W Wenn Sie I
49. der Boot Phase die Verbindung zum VPN Gateway hergestellt werden kann F r diesen Verbindungsaufbau m ssen ggf die Zugangsdaten f r die Netzeinwahl bzw PIN und SIM PIN vor der Windows Anmeldung eingegeben werden Windows Anmeldung Die nachfolgende Windows Anmeldung kann je nach Konfiguration manuell durchge f hrt werden oder automatisch Benutzerhandbuch FEC Secure IPSec Client mm m m 95 Client Monitor Manuell durchfiihren bedeutet dass der Benutzer seine Anmeldedaten per Hand in 96 die Windows Anmeldemaske eingibt Automatisch bedeutet dass die Client Software die hier eingetragenen Daten ohne Zutun des Benutzers an die Microsoft Gina bergibt Wenn Sie die Logon Option mit R ckruf nutzen muss Verhandle PPP Callback akti viert werden siehe gt Parameterfeld R ckruf im Telefonbuch Zur Anwahl an das Zielsystem mit der Logon Option beachten Sie bitte den Abschnitt Eine Verbindung herstellen Client Logon und den Anhang zum Mobile Computing Abmelden Logon Optionen Externe Anwendungen Logon Optionen CAMINAN TA ncple AMS CMDO ESE postcon A A precon FEC Secure IPSec Client Alle Alle Die Verbindung des Clients zum VPN Gateway oder ISP kann beibehalten werden wenn eine Windows Abmeldung erfolgt Dies gestattet einen Windows Benutzerwechsel am Rechner vornehmen zu k nnen ohne die VPN Verbindung abbauen zu m ssen ber di
50. der Einrichtung eines Profils kann eine Verbindung zum eingestellten Zielsystem hergestellt werden Siehe dazu 6 Eine Verbindung her stellen Zur Software Aktivierung beachten Sie bitte die Abschnitte 4 5 Hilfe und 4 6 Lizen zierung in diesem Handbuch Um die Einstellungen Ihres IPSec Clients auf Funktionstuchtigkeit hin zu uberpr fen bietet Funkwerk Enterprise Communications einen entsprechenden offentlichen Testzu gang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem FEC Secure IPSec Client finden Sie unter www funkwerk ec com 1 38 FEC Secure IPSec Client Benutzerhandbuch Deinstallation 2 4 Deinstallation Zum Entfernen der Client Software kann zwischen zwei Optionen gew hlt werden Sie w hlen im Windows Startmen aus der Programmgruppe FEC Secure IPSec Client das Programm Uninstall siehe Bild unten Progra mme nm LS FEC Secure IPSec Client E Uninstall Wenn Sie die Sicherheitsabfrage FEC Secure IPSec Client deinstallieren mit Ja be antworten entfernt das Uninstall Shield Programm die Client Software von Ihrem PC Sie w hlen im Windows Startmen nach den Einstellungen die Gruppe System steuerung Klicken Sie nun auf Software und w hlen Sie den Client aus der Liste Klicken Sie dann auf den Button mit Hinzuf gen Entfernen Das Uninstall Shield Programm l scht nun die Client S
51. der definierten Form erst wirksam wenn die Einstellungen mit OK bernommen werden Wird der Abbrechen Button gedr ckt wird auf die Standard Einstellung zur ckgesetzt Allgemein Konfigurations Sperren K onfigurations Sperren FEC Secure IPSec Client Um die Konfigurations Sperren wirksam festlegen zu k nnen muss eine ID eingegeben werden die sich aus Benutzer und Passwort zusammensetzt Das Passwort muss anschlie end best tigt werden Bitte beachten Sie dass die ID f r die Konfigurations Sperre unbedingt n tig ist die Sperren wirksam werden zu lassen oder die Konfigurations Sperren auch wieder aufzuheben Wird die ID vergessen besteht keine M glichkeit mehr die Sperren wieder aufzuheben Anschlie end kann die Berechtigung die Men punkte unter dem Hauptmen punkt Konfiguration zu ffnen f r den Benutzer eingeschr nkt werden Standardm ig kann der Benutzer alle Men punkte ffnen und die Konfigurationen bearbeiten Wird zu einem Men punkt der zugeh rige Haken mit einem Mausklick entfernt so kann der Benutzer diesen Men punkt nicht mehr ffnen Benutzerhandbuch Monitor Bedienung i E Profile Konfigurations Sperren Die Bearbeitungsrechte f r die Parameter in den Profil Einstellungen sind in zwei Sparten unterteilt Allgemeine Rechte Sichtbare Parameterfelder der Profile St Allgemeine Rechte Konfiguration Sperren Die al
52. die Sie die Eintr ge des Telefonbuchs Zielsysteme modifizieren k nnen Frofil Einstellungen Zentrale Um ein neues Profil zu definieren klicken Sie in der Men leiste des Monitors auf Profil Einstellungen Das Men ffnet sich nun und zeigt die bereits definierten Pro file Klicken Sie jetzt auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Pro fil mit Ihrer Hilfe ein neues an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen haben ist ein neues Profil angelegt F r alle weiteren Parameterfelder werden Standardwerte eingetragen Um diese Standardwerte zu editieren d h weitere Parameter so einzustellen wie es den Verbindungsanforderungen zum zugeh rigen Zielsystem entspricht w hlen Sie mit der Maus das Profil aus dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Um die Definitionen eines bereits definierten Profils zu kopieren klicken Sie Kopie 29 ren Um ein Profil zu l schen w hlen Sie es aus und klicken L schen nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Parameterfelder Die Parameter die die jeweilige Verbindung ber das Profil zu den Zielen spezifizie ren sind in verschiedenen Parameterfeldern gesammelt In der Kopfzeile steht der Name des Profils siehe auch Profil Einstellungen Konfigurieren Seitlich sind die Titel der Parameterfel
53. die PIN bereits eingegeben erscheint im Monitor die Einblendung PIN mit ei nem gr nen Haken Wurde die PIN noch nicht korrekt eingegeben fehlt das Symbol siehe oben Statusanzeigen O PIN Eingabezwang nach Abmeldung oder Sleep Mode Wird unter den Betriebssystemen Windows NT 2000 XP der Benutzer gewechselt wird der PIN Status zur ckgesetzt und die PIN muss erneut eingegeben werden Wechselt der Computer in den Sleep Modus wird ebenfalls der PIN Status zur ckgesetzt O Anzeige der Meldungen des ACE Servers f r RSA Token Werden vom ACE Server auf Grund des RSA Tokens Nachrichten versendet werden diese am Monitor in einem Eingabefeld angezeigt z B Ablauf der g ltigen PIN 58 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung k 4 1 9 PIN ndern PIN ndern Gel Unter diesem Men punkt kann die PIN f r eine Smart Card oder ein Soft Zertifikat ge ndert werden wenn vorher _ die richtige PIN eingegeben wurde siehe gt PIN eingeben Ohne die vorherige Eingabe einer g ltigen PIN wird dieser Men punkt nicht aktiviert Aus Sicherheitsgr nden um die PIN nderung nur f r den authorisierten Benutzer zuzulassen muss nach ffnen dieses Dialogs die noch g ltige PIN ein zweites Mal eingegeben werden Die Ziffern der PIN werden in diesem und den n chsten Eingabefeldern als Sterne dargestellt letzten Eingabefeld Mit Klick auf OK haben Sie Ihre PIN ge ndert Die
54. einen das Auffinden eines Rechners im Ge samtnetz WAN Man kann sich dies vorstellen analog zur Nomenklatur im Telefon netz wo zum Beispiel die Ortsvorwahl aussagt in welchem Bereich sich ein Anschluss befindet Diese Hierarchie gew hrt auch eine gewisse Zugriffssicherheit So kann in ei nem Firmennetz zum Beispiel der Rechner eines Subnets nicht ohne weiteres auf Res sourcen eines anderen Subnets zugreifen etwa ein Mitarbeiter aus der Fertigungsab teilung auf Datenbest nde aus der Personalabteilung wenn die Netz Masken nach Fir menabteilungen entsprechend gew hlt sind Die Netz Maske Subnet Mask gibt den Standort des Subnet Felds in einer IP Adresse an Die Netz Maske ist eine bin re 32 Bit Zahl wie eine IP Adresse Sie hat eine 1 an allen Stellen des Netzwerk Abschnitts der IP Adresse je nach Netzwerk Klasse in nerhalb des ersten bis dritten Oktetts Das darauf folgende Oktett gibt die Position des Subnet Feldes an Die im Subnet Feld an den Netzwerk Abschnitt aufschlie enden Einsen geben die Subnet Bits an Alle brigen Stellen mit 0 verbleiben f r den Host Abschnitt a Beispiele Beispiel 1 Die Netzmaske dient der Interpretation der IP Adresse So kann eine Adresse 135 96 7 230 mit der Maske 255 255 255 0 so interpretiert werden Das Netzwerk hat die Adresse 135 96 0 0 das Subnet hat die Nummer 7 der Rechner Nummer 230 Eine IP Adresse mit 135 96 4 190 geh rt dem gleichen Netzwerk aber einem anderen
55. einzuhalten den PIN Richtlinien werden unter den Eingabefeldern eingeblendet Sie k nnen im Hauptmen unter Zertifikate gt PIN Richtlinien eingestellt werden Bild oben LA Anschlie end geben Sie Ihre neue PIN ein und best tigen diese durch Wiederholung im W hrend der Eingabe einer neuen PIN wird vor die jeweils erf llten Richtlinien das rote Kreuz durch einen gr nen Haken ausgetauscht Bild oben Benutzerhandbuch FEC Secure IPSec Client m m m 59 Statistik der Verbindungssteuerung 4 1 11 Sperre aufheben Yerbindungssteuerung FEC Secure IPSec Client Testverbindung mit SSL 60 FEC Secure IPSec Client Client Monitor 4 1 10 Verbindungssteuerung Statistik Die Statistik gibt Ihnen Auskunft ber Ihre Datenkommunikation In ihr werden sowohl gesondert als auch aufaddiert die gesamten Online Zeiten die gesamte Anzahl der Verbindungen und die gesamten Einheiten sowie empfangene und gesendete Kbytes f r den aktuellen Tag den laufenden Monat und das laufende Jahr angezeigt Je nachdem wie die Verbindungssteuerung eingestellt ist erhalten Sie bei berschreiten eines Limits Meldungen auf dem Bildschirm Wird ein Limit berschritten und die Verbindung automatisch abgebaut wird eine Sperre aktiv die jeden weiteren Verbindungsaufbau unterbindet siehe gt Verbindung Men im Monitor Eine Verbindung kann erst dann wieder neu aufgebaut werden wenn Sie die Sperr
56. erfolgt ist einschlie lich Handshake beginnt die Uhr fur den Timeout zu laufen Siehe Telefonbuch Line Managment Richtung Unter dieser Rubrik wird die Richtung der Kommunikation wie folgt angezeigt Out ein ausgehender Ruf wird auf diesem Kanal registriert In ein ankommender Ruf wird auf diesem Kanal registriert Durchsatz Die angezeigte Zahl schwankt entsprechend dem aktuellen Datendurchsatz Multilink Besteht die Verbindung ber mehrere ISDN B Kanale so wird hier on angezeigt am mmmFEO Secure IPSec Client Benutzerhandbuch Monitor Bedienung 8 Verbindungsmedium Folgende Verbindungsmedium werden unterst tzt ISDN Modem LAN over IP xDSL PPPoE xDSL AVM PPP over CAPI GPRS WLAN und PPTP E Kompression Kompression wird immer vom Gateway definiert IPSec Kompression wird mit IPSec Compression LZS angezeigt A Verschl sselung Der verwendete Verschl sselungsalgorithmus wird angezeigt Folgende Typen werden unterst tzt AES Blowfish 3DES Die Verschl sselungsart wird vom Zentralsystem vorgegeben E Schl sselaustausch Hier wird angezeigt auf welche Art der Austausch des Session Keys erfolgt StaticKey Der Schl ssel muss am Client und am Zentralsystem ubereinstimmen Er wird in der Profil Einstellung unter Identit t eingetragen IKE IPSec Zur bertragung des Session Keys wird der verschl sselte Kontrollkanal der Phase 1 Verhandlung verwendet O Rx und Tx Bytes
57. kann ber den Monitor Men punkt PIN eingeben somit nicht mehr eingege ben werden Damit ist sichergestellt dass erst unmittelbar vor dem Verbindungsaufbau die PIN abgefragt wird und eingegeben werden muss Bei Aktivierung dieser Funktion ist damit ausgeschlossen dass ein unbefugter Benut zer bei bereits eingegebener PIN eine unerw nschte Verbindung aufbaut Ebenso wird f r die Aktivschaltung der Funktion PIN ndern nicht mehr die bereits in anderem Funktionszusammenhang abgeforderte PIN verwendet wie beim Verbin dungsaufbau oder im Verbindungs Men PIN eingeben Sondern der Men punkt PIN ndern ist immer selektierbar und die neue PIN wird unmittelbar nach der n derung sogleich wieder zur ckgesetzt Damit ist sichergestellt dass bei Konfiguration der PIN Abfrage bei jedem Verbin dungsaufbau an einem unbeaufsichtigten Client Monitor zu keinem Zeitpunkt eine be reits eingegebene PIN von einem unbefugten Benutzer f r einen Verbindungsaufbau genutzt werden kann 4 1 8 PIN zur cksetzen Dieser Men punkt kann gew hlt werden um die PIN zu l schen d h um die aktuell g ltige PIN f r einen anderen Benutzer unbrauchbar zu machen Dies kann dann sinn voll sein wenn der Aebeitsplatz vor bergehend verlassen wird oder wenn der Benutzer gewechselt wird Danach muss erneut eine g ltige PIN eingegeben werden um eine Authentisierung durchf hren zu k nnen E PIN Status im Client Monitor Wurde
58. online ist und wo letzt lich die Geb hren anfallen Dialer Ein eigener Dialer ersetzt den sonst blichen Microsoft DF Dialer Daraus ergeben sich Vorteile gleich in mehrfacher Hinsicht intelligentes Line Management Short Hold Mode in W hlnetzen Steuerung der Bandbreite Kanalb ndelung im ISDN integrierte Personal Firewall Mechanismen Schutz vor automatischen Dialern Benutzerhandbuch FEC Secure IPSec Client mm m mu m Produkt bersicht 1 3 3 Line Management Um die bertragungsgeb hren m glichst gering zu halten werden aktive Verbindun gen automatisch unterbrochen wenn keine Daten flie en Liegen erneut Daten f r die bertragung vor wird die ruhende Verbindung ohne Einwirkung des Benutzers akti viert Geb hren fallen immer nur dann an wenn Daten bertragen werden Bei der In terneteinwahl via ISDN k nnen beide Nutzkan le geb ndelt werden dynamische Linkzuschaltung falls f r den Transfer gr erer Datenmengen eine hohe bertragsra te ben tigt wird Ein weiteres Instrument zur Kostenkontrolle ist die intelligente Verbindungssteuerung Hier werden Online Sessions nach Zeit nach Anzahl der Verbindungsaufbauten oder Geb hreneinheiten angezeigt und bei Bedarf berwacht 1 3 4 Personal Firewall Der IPSec Client verf gt ber alle erforderlichen Personal Firewall Funktionalit ten um den PC Arbeitsplatz umfassend gegen ber Angriffen aus dem Internet und anderer LAN Teilnehm
59. tig wenn der Einwahlpunkt ein Einwahl Script ben tigt Der DF Dialer unterst tzt dieses Script Im Parameterfenster Netzeinwahl wird anschlie end die Script Datei unter Eingabe von Pfad und Namen zur eingespiel ten Script Datei eingetragen siehe Script Datei Mit der Einstellung nie wird ausschlie lich der NCP Dialer zur Einwahl verwendet Soll der DF Dialer nur bei Script Einwahl verwendet werden so w hlen Sie diese Option Bei einem Einwahlpunkt der kein Script verlangt wird automatisch auf den NCP Dialer umgeschaltet Soll der DF Dialer immer verwendet werden muss die ent sprechende Einstellung vorgenommen werden Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 131 Konfigurationsparameter Profil Einstellungen 5 1 2 Netzeinwahl Frofil Einstellungen Zentrale Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zumeisung PR IF Netze zertfik ats berprofung Link Firewall 0391139360154 Dieses Parameterfeld beinhaltet den Benutzernamen und das Passwort die bei der An wahl an das Zielsystem zur Identifizierung ben tigt werden Diese beiden Gr en wer den auch f r die PPP Verhandlung zum ISP Internet Service Provider ben tigt Das Parameterfeld erscheint berhaupt nicht wenn der IPSec Client mit dem Verbindungs medium LAN over IP betrieben wird Parameter Benutzername Passwort Passwort speichern Rufnummer
60. wie der Klick auf den Minimieren Button der Kopfzeile In der Darstellung des Ampelsymbols in der Task Leiste kann nach einem rechten Mausklick auf das Symbol das m gliche Zielsystem abgelesen und die Verbindung auf gebaut oder getrennt werden bzw bei abgebauter Verbindung der Monitor auch been det werden Das Beenden des Monitors ist nur noch ber das Hauptmen Verbindung Beenden UL 28 m glich Benutzerhandbuch FEC Secure IPSec Client mmm ma ma m 105 Client Monitor 4 4 7 Nach Verbindungsaufbau minimieren Ist dieser Men punkt aktiviert so wird der Monitor nach erfolgreichem Verbindungs aufbau automatisch minimiert nicht jedoch beendet Das Beenden des Monitors ist nur ber das Hauptmen Verbindung Beenden m g 1 31 ich 4 4 8 Sprache Die IPSec Client Software ist mehrsprachig angelegt Die Standardsprache bei Auslie ferung ist Deutsch Um eine andere Sprache zu w hlen klicken Sie Language Spra che im Pulldown Men Fenster und w hlen die gew nschte Sprache 106 nmmmm FEC Secure IPSec Client Benutzerhandbuch Hilfe Hilfe Lizenzinfo und Aktivierung Info Monitor Bedienung 4 5 Hilfe Unter dem Men punkt Hilfe kann die Online Hilfe kontextunabh ngig mit Inhaltsverzeich nis und Index ge ffnet werden Au erdem kann hier der Lizenzschl ssel eingegeben und die Versionsnummer der Software abgelesenn werden 4 5 1 Lizenzinfo und Aktivieru
61. zus tzliche Netzwerk karte ben tigt Multifunktionskarte GPRS UMTS Wird eine Multifunktionskarte f r UMTS GPRS WLAN eingesetzt so k nnen mit der Client Software spezielle Features des Mobile Computings unter Einbeziehung der Karteneigenschaften genutzt werden siehe Handbuch Anhang Mobile Computing via GPRS UMTS Aufgrund der direkten Unterst tzung einer Multifunktionskarte durch den Secure Client kann die Installation einer Management Software von der ein gesetzten Karte entfallen Die VPN Verbindung wird unabh ngig vom Microsoft DF Netzwerk ber den integrierten NCP Dialer aufgebaut Derzeit werden folgende Multi funktionskarten unterst tzt T Mobile Multimedia NetCard Vodafone Mobile Connect Card KPN Mobile Connect Card T Mobile DSL card 1800 WLAN Adapter unter Windows 98 NT LAN over IP Adapter f r ein wireless LAN WLAN Adapter werden genauso behandelt wie norma le LAN Adapter Auch fir WLAN kann als Verbindungsart LAN over IP gew hlt werden Dazu wird das Tool der WLAN Karte oder das von Windows zur Konfigurati on der Funknetzverbindung genutzt Benutzerhandbuch FEC Secure IPSec Client m m mu m 21 Installation O WLAN Adapter unter Windows 2000 XP WLAN Unter Windows 2000 XP kann der WLAN Adapter mit der Verbindungsart WLAN betrieben werden Im Monitormen erscheint eigens der Men punkt WLAN Einstel lungen worin die Zugangsdaten zum Funknetz in
62. 0 aufforderung mit dem TCP 172 16 113 140 139 0 0 0 0 ABH REN K d TCP 172 16 113 140 1032 62 153 165 34 21 HERGESTELLT AN UDP 8 8 0 0 162 er RH H H ELE nerstat n A UDP 60 8 0 0 445 SE d ktuell Netzstat UDP 8 8 0 0 1827 b s en aktuellen etzstatus ok ARA ur UDP 8 8 8 8 1828 LH anzeigen lassen In der In een bn S UDP 172 16 113 140 123 Abbildung rechts erken UDP 172 16 113 149 137 Da S 16 148 LH nen Sie dass der UDP UDP 172 16 113 148 1988 x Port 500 genutzt wird 2 Wird der Port genutzt so eme 7 Dienste muss im Windows Start men das Fenster Sytem gt 5 29 Sa Distributed Transaction Koordiniert Tra Manuell LocalSystem gt D enste V erw altun 8 Be DNS Client wertet DNS N Gestartet Automatisch LocalSystem g e f f n et W erden E D O rt Be Druckwarteschlange L dt die Datei Gestartet Automatisch LocalSystem ii S g Sy Ereignisprotokoll Protokolliert v Gestartet Automatisch LocalSystem wird der IPSEC Ric htl 1 Bs Faxdienst Unterst tzt Sie Manuell LocalSystem N Se k r d Be Gemeinsame Nutzung Bietet allen Co Manuell LocalSystem n en ag ent markierT t gt er Be Gesch tzter Speicher Bietet gesch t Gestartet Automatisch LocalSystem Dienst gestoppt und der re a Wie Auto st arttyp au f s M a Intelligenter Hintergrun bertr gt Dat Manuell LocalSystem EE u IPSEC Richtlinienagent Werwaltet IP Si Manuell LocalSystem nu ell 8 es tellt B 1 l d Be Leistungsdatenproto
63. 0 128 DES3 SHA XAUTH_RSA DES SECONDS 28800 0 DES3 MD5 XAUTHA RSA DAS SECONDS 28800 0 DES3 SHA RSA DH5 SECONDS 28800 0 DES3 MD RSA DH5 SECONDS 28800 0 DES3 SHA XAUTH_RSA DH2 SECONDS 28800 0 DES3 MD5 AAUTH RSA DH2 SECONDS 28800 0 DES3 SHA RSA DH2 SECONDS 23800 DES3 MD5 RSA DH2 SECONDS 28800 0 Wird ein spezifischer IKE Vorschlag in der IPSec Konfiguration der Profil Einstellun gen eingestellt so wird immer auch automatisch der gleiche Vorschlag zus tzlich mit Extended Authentication generiert und versendet mmm FEC Secure IPSec Client Benutzerhandbuch 2 Wird in das Feld f r Pre shared Key ein String eingetragen so werden an die Gegen stelle standardm ig folgende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer ohne Zertifikat erfolgt EA HASH AUTH GROUP LT LS KL ABS CBE SHA AAUTE PSK DAS SECONDS 28800 256 AES CBC MD5 XAUTH_PSK DH5 SECONDS 28800 256 ABS _ CBC SHA PSK DHs SECONDS 28800 256 ABS CBC MDS PSK DAS SECONDS 28800 256 AES EBE SHA XAUTH_ PSK DH2 SECONDS 28800 256 ABS CBC MD5 XAUTH PSK DEH2 SECONDS 28800 256 ABS CBC SHA PSK DH2 SECONDS 28800 256 ARS CBE MDS PER DH2 SECONDS 28800 256 AES CBC SHA XAUTH_PSK DES SECONDS 28800 192 ARS CBC MD5 XAUTH_PSK DAS SECONDS 28800 192 ABS CBC SHA PSK DH5 SECONDS 28800 192 AES CBC MD5 PSK DES SECONDS 28800 192 AES CBC SHA XAUTH _PSK DH5 SECONDS 28800 128 AES CBE IX AAUTH PSK DES SECONDS 28800 128 ARS CBC SHA PSK AS SECONDS 28800 128 ABS CBC
64. 186 Infrarot Schnittstelle a u ze 0 e u aE a 20 Internet Key Exchanpe oo e SE E e 181 186 IP Network Address Translation 206 IP Adresse manuell vergeben 2 2 2 2 157 193 IP Adressen Zuweisung 156 IP Nelzmaske 3 2224 e 2080 ez 178 179 180 IPCOMP CEA ai E e esse ad e E A 189 DES en ne we Eee 181 IPSec Einstellungen aa ax sa ads 144 IPSee K fnpression o au 28 aaa 0 das 8 8 au au Ei 51 IPSec Maschine isc isis 181 IPSec Richtlinie 2 3 eu se 5 rar 146 184 IPSec Richtlinienagent gt 42 254 se A E 194 IPSee Tunnelins s s sea s ur cts desa aha a 154 157 ISBN prisen gyi arranca trar 127 142 ISDN Adapler crop vos at A 20 K Kommunikation im Tunnel 166 Konfigur tions Sperten ss sa 30 s ars nu he a 98 Kontrollkanal 24 0 5 4 0 8 6 a a nn nd er es 185 L LAN Emula isos aria 13 LAN IP Adresse lt lt 4 2 2 E00 0 8 4 e ini 177 LAN Adapter sch tzen e at EE Ee a 197 Layer 3 Tunneling s 2 3 esera er 181 Limit berschreitung 93 Line Management sess erica en 140 Link Firewall 20 40 5 28 0 su ae 44 66 165 Lizenz Update osas ss 8 204 220 0 he 113 119 Liz nr Pine a aurora ra ENEE 25 Lizenzinfo und Aktivierung cronicas 4a 2a 00 C 25 Eor Bialrase o a seues was a a a AAA 101 Logon Optionen ZE amp 5 sa aa aaa data nu E 95 Lokale IP Adresse verwenden 157 193 lokale Netze im Tunnel weite
65. 32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname SCM Swapsmart CT API XyZ DLLWIN9S5 sem20098 dll gt ct32 dll DLLWINNT sem200nt dll gt ct32 dll Benutzerhandbuch FEC Secure IPSec Client m m mu m 23 Installation M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration gt Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser A Chipkarten Folgende Chipkarten werden unterst tzt Signtrust NetKey 2000 TC Trust CardOS M4 Telesec PKS SigG 8 Soft Zertifikate PKCS 12 Statt einer Smart Card k nnen auch Soft Zertifikate genutzt werden R Chipkarten oder Token PKCS 11 Mit der Software f r die Smart Card oder den Token werden Treiber in Form einer PKCS 11 Bibliothek DLL mitgeliefert Diese Treiber Software muss zun chst instal liert werden Anschlie end muss die Datei NCPPKI CONF editiert werden M Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCII Editor indem Sie als Modulname den Namen des angeschlossenen Le sers oder Tokens xyz eintragen Als PKCS 11 DLL muss der Name der DLL einge geben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Wichtig Nur die
66. 69 Software um eine korrekt aktivierte erviICerack gt Vollversion handelt Lizenzierte Software Version A Produkt FEC Secure IPSec Client 1 30 adk l Die Nummer der Software Version und der enennummer Typ Vollversion lizenzierten Version sollten bereinstimmen Aktivierung OK ansonsten muss mit einem neueren Aktivierung Lizenzierung ob R g SC Die Software mu zur Lizenzierung als Vollversion mit dem Lizenzschl ssel die Lizenz aktualisiert en und der Seriennummer freigeschaltet werden Dazu klicken Sie den Button Mit der Lizenzierung der Software akzeptieren Sie die Lizenzierung _Beachten Sie dazu auch die LIi2zen2bedingungen Beschreibung am Ende der Offline Variante Schlie en Benutzerhandbuch FEC Secure IPSec Client m m m 113 Client Monitor 114 Offline Variante Die Offline Variante wird in zwei Schritten durchgef hrt Im ersten Schritt muss eine Datei die nach Eingabe von Lizenzschl ssel und Seriennummer erzeugt wird an den FEC Web Server geschickt werden Die URL lautet http www unkwerk ec com onlineservices_de Auf der Website wird daraufhin ein Aktivierungsschl ssel angezeigt der notiert wer den muss um im zweiten Schritt der auch zu einem sp teren Zeitpunkt vorgenommen werden kann im Lizenzierungsfenster des Monitormen s eingegeben werden zu k n nen Assistent fur Software Aktivierung Die Offline Variante wird ber RE d
67. ARCOS Betriebssystem f r Smartcards Symmetrische Verschl sselung Sender und Empf nger verwenden bei der symme trischen Chiffrierung und Dechiffrierung den glei chen Schl ssel Symmetrische Algorithmen sind sehr schnell und sehr sicher dies allerdings nur dann wenn die Schl ssel bergabe zwischen dem Sender und dem Empf nger ungef hrdet erfolgen kann Gelangt ein Unbefugter in den Besitz des Schl ssels so kann dieser alle Nachrichten ent 212 m FEC Secure IPSec Client Benutzerhandbuch A BR schl sseln bzw sich unter Verwendung des Schl ssels als Absender von Nachrichten ausge ben Soll bei der symmetrischen Verschl sselung in gr eren Gruppen jeder Teilnehmer nur an ihn adressierte Nachrichten lesen k nnen so ist f r je des Sender Empf nger Paar ein eigener Schl ssel notwendig Die Folge ein aufwendiges Schl ssel management So sind bei 1 000 Teilnehmern be reits 499 500 unterschiedliche Schl ssel erfor derlich um s mtliche Wechselbeziehungen zu un terst tzen Bekannteste symmetrische Verschl sse lung ist heute der DES Algorithmus TCP IP Transmission Control Protocol Internet Protocol TCP IP ist ein Netzwerkprotokoll f r heterogene Netze und an kein Transportmedium gebunden Es kann auf X 25 Token Ring oder einfach auf die serielle Schnittstelle aufsetzen und eignet sich des halb besonders als Kommunikati onsprotokoll f r unterschiedliche Netz Topologien und Rechner Plattform
68. Bm ES Hilfe Amtshalung ei Verbinden Trennen 4 4 3 Statistik anzeigen FEC Secure IPSec Client Yerbindung Konfiguration Log Fenster Profil Zentrale ISOM Fils Hilfe Amtshalung in Client Verbinden Trennen Statistik erbindung zeit Daten Tx in Byte 0 Daten Rx in Byte O 00 00 00 Timeout sec LU Richtung werbindungsart ISDN Durchsatz HB 1 0 000 verschl sselung 4 4 4 Immer im Vordergrund Wenn Sie auf Buttonleiste anzeigen klicken werden Buttons f r die Men punkte Verbinden und Trennen aus dem Hauptmen Verbindung eingeblendet Wenn Sie auf Statistik anzeigen klicken werden Informationen zu Datenmenge Verbindungszeit Timeout etc angezeigt Die Monitor Oberfl che ist dann entsprechend gr er Wenn Sie Immer im Vordergrund geklickt haben wird der Monitor immer im Bild schirmvordergrund angezeigt unabh ngig von der jeweils aktiven Anwendung 104 m mmw FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 4 5 Autostart Mit diesem Men punkt wird der Monitor so eingestellt dass er nach dem Booten selb st ndig startet Autostart ersetzt den Men punkt Fenster Nach Booten starten Uber den neuen Men punkt k nnen folgende Optionen eingestellt werden kein Autostart nach dem Booten nicht automatisch starten minimiert starten nach dem Booten den Monitor starten
69. DRAFT draft 1etf 1psec nat t 1ke 02 NAT T DRAFT draft 1etf 1psec nat t 1ke 03 NAT T DRAFT draft 1etf 1psec nat t 1ke 05 NAT T DRAFT draft 1etf 1psec udp encaps 06 UDP ENCAP Implementierte Algorithmen f r Phase 1 und 2 Unterst tzte Authentisierung fur Phase 1 IKE Richtlinie RSA Signatur PSK Pre shared Key Unterst tzte symmetrische Verschl sselungsalgorithmen Phase 1 2 DES 3DES AES 128 AES 192 AES 256 Unterst tzte asymmetrische Verschl sselungsalgorithmen Phase 1 2 DH 1 2 5 Diffie Hellmann RSA m FEC Secure IPSec Client Benutzerhandbuch Unterst tzte Hash Algorithmen MD5 SHA I Zus tzliche Unterst tzung f r Phase 2 PFS Perfect Forward Secrecy IPCOMP LZS Seamless re keying In den Profil Einstellungen des IPSec Clients werden automatisch einige Standards ge setzt IKE Phase 1 Richtlinie Automatischer Modus IKE Phase 2 Richtlinie Automatischer Modus IKE Phase 1 Modus RSA Main Mode IKE Phase 1 Modus PSK Aggressive Mode Diese automatisch gesetzten Richtlinien und Verhandlungsmodi sind in den Profil Ein stellungen konfigurierbar gehalten sodass sie anderslautenden Verbindungsanforderun gen entsprechend modifiziert werden k nnen Benutzerhandbuch FEC Secure IPSec Client m m m 189 Beispiele und Erkl rungen m Standard IKE Vorschl ge 1 Wenn f r die IKE Richtlinie der autom
70. Deutschland aus w hlen 44 dies ist die landesspezifische Vorwahl f r England 171 Vorwahl f r London 1234567 die Nummer die Sie zu erreichen w nschen Insgesamt wird nach diesem Beispiel folgende Nummer im Telefonbuch gespeichert und f r die Anwahl verwendet 00441711234567 Die Rufnummer des Ziels kann bis zu 30 Ziffern beinhalten Hinweis Wenn ein Zielsystem eine Verbindung zu Ihrem PC ber R ckruf aufbauen will ben tigt der Client diese Rufnummer in diesem Feld um den R ckruf entspre chend des gew hlten R ckrufmodus annehmen zu k nnen Alternative Rufnummern M slicherweise st das Zielsystem ein Network Access Server NAS der mit mehre ren SO Anschl ssen f r verschiedene Rufnummern ausgestattet ist In diesen Fall emp fiehlt es sich alternative Rufnummern einzugeben falls zum Beispiel die erste Num mer besetzt ist Die alternativen Rufnummern werden der ersten Nummer angeh ngt nur mit einem Doppelpunkt oder einem Semikolon getrennt Maximal werden 8 alternative Rufnummern unterst tzt Beispiel 000441711234567 000441711234568 Die erste Nummer ist die Standard Rufnummer und wird immer zuerst gew hlt Kann keine Verbindung hergestellt werden weil besetzt ist wird die zweite Nummer ge w hlt usw Wichtig Bitte beachten Sie dass der Verbindungsaufbau nur funktionieren kann wenn die Protokoll Eigenschaften f r die Anschl sse der alternativen Rufnummern die glei chen sind Script Da
71. EC Secure IPSec Client m m m 171 D Verbindungsaufbau Benutzername und Passwort f r Extended Authentication Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identitat IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Firewall Einstellungen 1 2 mmm FEC Secure IPSec Client P Adresse Wird Extended Authentication eingesetzt so m ssen Benutzername und Passwort in der Konfiguration des Pofils eingegeben werden sonst findet kein Verbindungsaufbau statt siehe gt Profil Einstellungen Identit t Extended Authentication XAUTH verwenden Benutzerhandbuch A FEC Secure IPSec Client a LO Zentrale Client FEC Secure IPSec Client Zentrale pr Client Trennen FEC Secure IFSec Client Z entrale Client Benutzerhandbuch Verbindungsabruch und Fehler Ereignet sich ein Fehler so wird die Verbindung nicht hergstellt und die Fehlerursache im Monitor angezeigt beachten Sie dazu den Abschnitt Fehler und ISDN Meldungen Mit der Funktion Trennen wird der Abbau der aktuell bestehenden Verbindung manuell durchgef hrt Wenn Sie die M glichkeit behalten wollen jederzeit die Verbindung manuell abbauen zu k nnen setzen Sie den Verbindungsaufbau auf manuell und deaktivieren den automatischen Timeout indem Sie ihn auf Null 0 setzen gt Verbindungsaufbau Wenn die V
72. EEES ee E Se e 23 Timeout xo ae a hal a a 50 141 173 TES aia en a dr EEE EE 45 78 TOKEN EE 24 Token PKCS 11 344 2 28 raschen 24 Transtormation COMP ces sisa sie E e 150 Transformation IPSec Richtlinie 150 Transportmodus aoaaa iia 182 Treibersisnatut eses AA a ae 23 Trennen AI 173 Triple DES 6300 de 2 css 51 149 150 Tu nnelmod s Sean eE AAA 182 Benutzerhandbuch FEC Secure IPSec Client m m m 219 220 nmmmm FEC Secure IPSec Client Eemere es e vano dead 154 UDP POSO moros raras ae 194 UDP Encapsulation 152 UMIS eg ur ester rra 20 128 139 VD ee er ee 121 UpdaterKey so eca i eana aap Erna e 121 NL apra ea aaa 20 KEN ue es iaa rotando sd 167 Verbindungs Inform ti nen NNN sur as ze Eu 50 Verbindungsabbau bei gezogener Chipkarte 90 Verbindunssabruch sesi e eras zer Ken 173 Verbindungsaufbau zu cuarto 141 167 Verbindungsmedium ss 3 5 7 444 51 127 VerbindinestyPp u 20 nA sra ge ases an 127 Verbindinsszeit ua u no 0 ARA A e ae 50 Verschl sselung IKE Richtlinie correos 149 Virtual Private Network erica 48 8 au AC 214 wechselnde Verbindunesatt o oooo o cs 130 wechselnder Verbindungsaufbau 167 Windows Logon u ou a na ni ase Eee 95 Windows LO70B exo deso ern 170 WINS SEEVEL gt po iaa be OR a ee a 157 WLAN unter Windows 2000 XP 129 WLAN unter Windows 98 NT o
73. FEC Secure IPSec Client Version 1 3 Juni 2006 Benutzerhandbuch FEC Secure IPSec Client m m 1 Wl Copyright Alle Rechte sind vorbehalten Kein Teil dieses Hand buches darf ohne schriftliche Genehmigung der Firma Funkwerk Enterprise Communications GmbH in ir gendeiner Form reproduziert oder weiterverwendet werden Auch eine Bearbeitung insbesondere eine bersetzung der Dokumentation ist ohne Genehmi gung der Firma Funkwerk Enterprise Communications GmbH nicht gestattet Marken Funkwerk Enterprise Communications FEC und das FEC Logo sind eingetragene Warenzeichen Erw hnte Firmen und Produktnamen sind in der Regel eingetra gene Warenzeichen der entsprechenden Hersteller 2 nmmmm FEC Secure IPSec Client Benutzerhandbuch A A funkwerk enterprise communications Wie Sie Funkwerk Enterprise Communications erreichen Funkwerk Enterprise Communications GmbH S dwestpark 94 D 90449 N rnberg Germany Telephone 49 180 300 9191 0 Fax 49 180 300 9193 0 Internet www funkwerk ec com Benutzerhandbuch FEC Secure IPSec Client m m ma mu m 3 Wl Haftung Alle Programme und das Handbuch wurden mit gr ter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit berpr ft Alle Haftungsanspr che in folge direkter oder indirekter Fehler oder Zerst run gen die im Zusammenhang mit dem Programm ste hen sind ausdr cklich ausgeschlossen Funkwerk Enterprise Communications GmbH haftet nur im Um
74. Farben der Symbole je nach aktuellem Sta tus hellblau Station des Verbin verbindung Konfiguration Log Fenster Hilfe dung sanibang dunkelblau Station wird gera de durchlaufen HAS Einwahl Client FIN 168 nmmmm FEC Secure IPSec Client Benutzerhandbuch FEC Secure IPSec Client Ml EM Yerbindung FEonfiguraton Log Fenster Hilfe Zentrale e MAS Authentisierang Clent PIH lt FEC Secure IPSec Client Mal ES Yerbindung Konfigurator Log Fenster Hilfe Zentrale MAS Authentisierung PIN E Client Eie E FEC Secure lP5ec Client Yerbindung Konfiguration Log Fenster Hilfe Zentrale WPH Einwahl Client PIN Y Server FEC Secure IPSec Client Mal EX Yerbindung Eonfiguraton Log Fenster Hilfe Zentrale VPN Einwahl ESA 5 ervrer Pins ED Client FEC Secure IP ec Client al ES verbindung Konfiguration Log Fenster Client Hilfe Zentrale FIN Benutzerhandbuch gr n Station erfolgreich durchlaufen links der Globus Die erfolgreich durchlaufenen Stationen werden als verkleiner te Symbole dargestellt Nach der Verbindung zum ISP gr ne Linie und der Authenti sierung am Network Access Server gr nes H ndesch tteln wird der Tunnel aufgebaut gelbe dicke Linie und die Einwahl am Server VPN Gate way beginnt Auch hier muss eine Authentisierung stattfin den Die Verschl sselung der IPSec Richtli
75. HA 1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst 7 3 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss 196 nmmmm FEC Secure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen 7 4 Stateful Inspection Technologie fur die Firewall Einstellungen Die
76. Hilfe auch moglich manuell die Verbindung herzustellen indem Sie im Monitor den Hauptmen punkt Verbindung anklicken erbindung ist hergestellt WW und Verbinden w hlen GOTT Alternativ kann auch der Button Verbinden E Trennen l erkK angeklickt werden siehe gt Verbindungsaufbau _ Eine bestehende Verbindung siehe gt Bild oben wird mit einem dicken gr nen IS durchgehenden Balken zwischen Client und Server dargestellt unter dem der Text Verbindung ist hergestellt eingeblendet wird Gleichzeitig wird die Icon Ampel gr n Damit werden Sie darauf aufmerksam gemacht dass fur eine Remote Verbindung Geb hren anfallen Zentrale ISDN 46 FEC Secure IPSec Client Benutzerhandbuch Die Benutzung der Monitors 4 Monitor Bedienung Diese Beschreibung folgt den Men punkten in der Men leiste Die Hauptmen punkte in der Men leiste von links nach rechts sind Verbindung Konfiguration Log Fenster Ll Hilfe Benutzerhandbuch FEC Secure IPSec Client m m m m 47 Client Monitor Verbindung a diesem Men punkt befinden sich die Kommandos zum Aufbau und Trennen ei ner Verbindung Informationsfenster zum aktuellen Verbindungsaufbau sowie zur Dar U der eingesetzten Zertifikate Die PIN f r das Zertifikat kann hier eingegeben und ggf ge ndert werden Au erdem kann hier die Statistik der Verbindungsteuerung abgelesen werden und gegebenenfalls die Sperre der Verbi
77. Key 2000 befinden sich drei Zertifikate 1 zum Siginieren 2 zum Ver und Entschl sseln 3 zum Authentisieren optional bei NetKey 2000 PKCS 12 Dateiname Nutzen S e das PKCS 12 Format so erhalten Sie von Ihrem Systemadministrator eine Datei die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname der PKCS 12 Datei eingegeben bzw nach einem Klick auf den Button Auswahl Button die Date ausgew hlt werden PKCS 11 Modul Nutzen Sie das PKCS 11 Format so erhalten Sie eine DLL vom Hersteller des Chip kartenlesers oder des Tokens die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname des Treibers eingegeben werden Statt den Verzeichnisnamen f r die PKCS 11 DLL komplett einzugeben kann der Name dynamisch zusammengesetzt werden Z B SYSTEMRROT ncple pkcs 11 dll SYSTEMDRIVE winxxx ncple pkcs 11 dll Wichtig Die Strings f r das Modul k nnen mit Variablen eingegeben werden Dies er leichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Mana ger da nun f r alle Benutzer die gleichen Strings mit Umgebungsvariablen eingegeben werden k nnen Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCI Editor indem Sie als Modulname den Namen des angeschlossenen Le sers oder Tokens xy
78. Konfiguration Pre shared Key oder RSA Signatur Entsprechend den Vorgaben durch die Gegenstelle kann als IKE Richtlinie die automatisch vorgenommene Einstellung Automatischer Modus auf Pre shared Key oder RSA Signatur Zertifikat abge ndert werden Er wartet die Gegenstelle Pre shared Key so muss der Schl ssel in das Feld eingetragen werden Der Pre shared Key muss in diesem Fall f r alle Clients identisch sein IP Adressen und DNS Server k nnen ber das Protokoll IKE Config Mode Draft 2 zugewiesen werden F r die NAS Einwahl k nnen alle blichen WAN Schnittstellen verwendet werden Die Authentisierung bei IPSec Tunneling kann ber das XAUTH Protokoll Draft 6 er folgen Dazu m ssen au erdem noch folgende Parameter im Konfigurationsfeld Iden tit t gesetzt werden Benutzername Kennwort des IPSec Benutzers Passwort Passwort des IPSec Benutzers Zugangsdaten aus verwenden optional Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der IPSec Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Unter st tzt die Gegenstelle DPD nicht so kann DPD im Parameterfeld IPSec Einstellun gen deaktiviert werden Der Einsatz von NAT Traversal erfolgt beim IPSec Client au
79. Name 2 m m m nee 157 5 1 10 VPN IP Netze EENHEETEN Netzwerk Adressen VPN IP NEE LEA a a a a a N Subnet Masken E O E Auch lokale Netze 1m game een ee ES 5 1 11 Zertifikats berpr fung cases assess L D Benutzer des eingehenden ia E O E el Aussteller des eingehenden Zertifikats 2 161 Fingerprint des Aussteller Zertifikats 2 162 SHAI Fingerprint verwenden 2 22 2 222222 162 Weitere Zertifikats berpr fungen 162 5 1 12 Link Firewall A gt Stateful Inspection vien A e o 166 Ausschlie lich Kommunikation im Tunnel N ae a e NetBIOS ber IP zulassen 166 Bei Verwendung des Microsoft DF Dale le Kommunikation im Tunnel zulassen 166 6 Verbindungsaufbau s sos e o 167 Verbindungsaufbau zum Zielsystem e 167 Verbinden amp he 4 8 ne 5 u na Se u ee a 107 Client Logon noes sosa GE Passw rter und EE E el Passwort f r NAS Einwahl see LITA Benutzername und Passwort f r Extended Atencion sa AZ Verbindungsabruch und Fehler 2 2 22 2 222 173 Trennen gt ee ee ere Trennen und Beenden geg Monor E a a ze A 7 Beispiele und Erkl rungen nn 175 7 1 IP Funktionen DEENEN er 7 1 1 Ger te eines IP Nelzwerks ES 7 1 2 IP Adress Struktur ee e 7 1 3 Netzmasken Subnet NV ee ae Le E A ee Standard Macken LI 0 Reservier
80. Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht 1 Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Aussteller Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden Nachtr glich k nnen Aussteller Zertifikate automatisch ber den Secure Up date Server verteilt werden siehe Handbuch zum Update Server oder sofern der Benutzer ber die notwendigen Schreibrechte in genanntem Verzeichnis verf gt von diesem selbst eingestellt werden siehe CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zertifi kate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der Cli ent den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zustan de Sind ke
81. P Dynamic Host Control Protocol zu kommunizieren bedeutet dass f r jede Session automatisch eine IP Adresse zugewiesen wird Directory Service Remote Access Zug nge werden wie E Mail Adressen Telefonnummern etc in Verzeichnissen auf unterschiedlichen Datenbanken abgelegt Das Problem bei dieser Vielzahl von Verzeichnissen ist dass einerseits viele Daten mehrfach erfasst werden und zudem die einzelnen Eintr ge nicht untereinander verkn pft sind Der Pflegeaufwand ist enorm und Inkonsistenzen sind nicht auszu schlie en Gefordert ist ein standardisiertes Proze dere mit Hilfe dessen die Erfassung und Pflege al ler Informationen in einer zentralen Directory er m glicht wird Das T Online Security Manage ment unterst tzt die standardisierten Protokolle Radius Remote Authorization Dial In User Ser vice und LDAP Lightweight Directory Access Protocol wobei letztere den Zugriff auf zentrali sierte Verzeichnisdienste gew hrleistet Benutzerhandbuch FEC Secure IPSec Client m m m 203 B Abk rzungen und Begriffe DMZ Demilitarisierte Zone zwischen Firewall und Un ternehmensnetz zum Beispiel mit Web Email und VPN Server DNS Der Domain Name Server DNS stellt die IP Adresse f r eine Internet Sitzung zur Verf gung nachdem die Anwahl mit Benutzername und Pass wort erfolgte Er routet weiter im Internet indem er die Namen die im Browser als gew nschtes Ziel angegeben werden in IP Adressen r ck ber
82. PSec Client Me E3 pelanzeige LI der Hauptmen leiste 1 der Profilauswahl mit einem Feld f r die Amtsholung dem grafischen Statusfeld zur Anzeige des Verbin dungsstatus Client Das Feld mit der Anzeige der Signalst rke wird nur f r die Verbindungsarten UMTS Aktives Metz GPRS WLAN ge ffnet Signal Ll der Buttonleiste mit Ver binden und Trennen CI und einem Statistikfeld Die Benutzeroberf che ist Windows konform gestaltet und der Bedienung anderer Windows Anwendungen angepasst Die Bedienung erfolgt ber die Pulldown Men s der Men leiste ber die Buttons der Buttonleiste oder ber das Kontextmen rechte Maustaste 42 FEC Secure IPSec Client Benutzerhandbuch A A H 3 1 2 Das Erscheinungsbild des Monitors Je nach gew hlter Einstellung im Monitor Menu Fenster erscheint der Monitor nach Ausblenden seiner Bestandteile siehe gt 3 2 5 Fenster in verschiedenen Gr en Das Verbindungsmedium l sst sich im Statistikfeld ablesen oder kann bei der Zentrale ISDN Namensvergabe an das Profil mit eingegeben werden sodass sie auch im grafischen Statusfeld FIERI erscheint FEC Secure IPSec Client Modifikationen der Oberfl che Bitte beachten Sie dass das Erscheinungsbild des Client Monitors vom Administrator ver ndert werden kann Dies betrifft insbesondere die Men punkte Verbindungs In formationen Zertifikate Verbindungssteuerung und
83. Subnet Host Bits Mit einer Netz Maske 255 255 255 240 wird ein Netz der Klasse C in Subnets geteilt Mit dieser Netz Maske sind insgesamt 14 Subnets mit jeweils max 14 Rechnern m g lich 255 255 255 240 11111111 11111111 11111111 1111 0000 199 9 99 130 11000111 00001001 01100011 1000 0010 Subnet Nummer 8 199 9 99 146 11000111 00001001 01100011 1001 0010 Subnet Nummer 9 Netzwerk Subnet Host El Standard Masken Netzmaske f r Klasse A 255 0 0 O Netzmaske f r Klasse B 255 255 0 0 Netzmaske f r Klasse C 255 255 255 0 Benutzerhandbuch FEC Secure IPSec Client m m m 179 Beispiele und Erkl rungen E Reservierte Adressen Einige IP Adressen d rfen Ger ten eines Netzwerks nicht zugeordnet werden Dazu ge h ren die Netzwerk oder Subnet Adresse und die Rundsendungsadresse f r Netzwerke bzw Subnets Netzwerk Adressen bestehen aus der Netzwerknummer und dem Host Feld das mit bin ren Nullen gef llt ist z B 200 1 2 0 162 66 0 0 10 0 0 0 auch Loop Back es findet keine bertragung ins Netzwerk statt Die Rundsendungsadresse eines Netzwerks besteht aus der Netzwerknummer und dem Host Feld mit bin ren Ein sen z B 200 1 2 255 162 66 255 255 10 255 255 255 daher auch All One Broadcast alle Stationen eines Netzwerks werden adressiert Beispiel 198 10 2 255 adressiert alle Stationen im Netz 198 10 2 2525293239235 adressiert alle Stationen in allen angeschlossenen Netzen
84. Ziel Alternative Rufnummern Seript Datei 132 mmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen E Benutzername Mit dem Benutzernamen weisen Sie sich gegen ber dem Network Access Server NAS aus wenn Sie eine Verbindung zum Zielsystem aufbauen wollen Bei Kommu nikation ber das Internet ben tigen Sie den Benutzernamen zur Identifikation am ISP Internet Service Provider Der Name f r den Benutzer kann bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Benutzername vom Zielsystem zugewiesen da Sie vom Zielsystem auch Radius oder LDAP Server erkannt werden m ssen Sie er halten ihn von Ihrem Stammhaus vom Internet Service Provider oder dem Systemad ministrator E Passwort Das Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewie sen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort ge nau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Wird der Parameter Passwort speichern nicht aktivier
85. achricht IETF Internet Engineering Task Force Interessenge meinschaft die sich mit Problemen des TCP IP und dem Internet befasst unter anderem den Well Known Ports Ports O bis 1023 Benutzerhandbuch FEC Secure IPSec Client m m m 205 B Abk rzungen und Begriffe IKE Internet Key Exchange Bestandteil von IPsec f r sicheres Schl ssel Management Separate security association negotiation and key management pro tocol RFC 2409 Internet Das Internet ist ein weltweites offenes Rechner netz Es ist allgemein zug nglich Jeder Betrieb und jede Privatperson kann sich daran anschlie en und mit allen anderen angeschlossenen Benutzern kommunizieren unabh ngig von der eingesetzten Rechnerplattform oder der jeweiligen Netztopolo gie Damit der Datenaustausch zwischen den un terschiedlichen Rechnern und Netzen innerhalb des Internets m glich wird ist ein allen gemeinsa mes Netzwerkprotokoll n tig siehe TCP IP IP Adresse Jeder Rechner im Internet besitzt f r die Dauer seiner Zugeh rigkeit zum Internet eine IP Adresse Internet Protokoll Adresse die ihn eindeutig identifiziert Eine IP Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte ge trennte Zahlen F r jede Zahl stehen 8 Bits zur Verf gung womit sie 256 Werte annehmen kann Die Anzahl der m glichen IP Adressen insgesamt bleibt jedoch begrenzt Der Internet User bekommt daher nicht einmalig eine unver nderliche IP Adresse zugeteilt son
86. allation FEC Secure IPSec Client InstallShield Wizard Netzwerk Einstellungen Nur bei benutzerdefinierter Installation 34 mmama FEC Secure IPSec Client Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so mu der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben weiter n chste Seite Benutzerhandbuch Installation der Client Software bintec Secure IPSec Client InstallShield Wizard sa Unter Windows NT k nnen Sie angeben welche weiteren funkwerk ee und Dienste Sie installieren wollen Halten Sie daf r den Datentr ger zu Ihrem Betriebssystem bereit da eventuell Treiber von diesem Datentr ger ben tigt werden Mit Weiter schlie en Sie die Benutzerdefinitionen ab Netzwerk Protokolle und Dienste CC m m u Nur bei benutzerdefinierter Installation enter Windows NE Ende der benutzerdefinierten In stallation Sie k nne
87. als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem Richtlinien Editor entfallen ESP 3DES MD5 oder anderer Name Wenn Sie den Namen der vorkonfigurierten IPSec Richtlinie w hlen muss die gleiche Richtlinie mit all ihren Vorschl gen f r alle Benutzer g ltig sein Dies bedeutet dass sowohl auf Client als auch auf Server Seite die gleichen Vorschl ge f r die Richtlinien zur Verf gung stehen m ssen E Exch Mode Der Exchange Mode Austausch Modus bestimmt wie der Internet Key Exchange von statten gehen soll Zwei unterschiedliche Modi stehen zur Verf gung der Main Mode auch Identity Protection Mode und der Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messages und durch deren Verschl sselung Main Mode Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollkanal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Protection Mode Aggressive Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontroll kanal wobei nichts verschl sselt wird E PFS Gruppe Mit Auswahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt ob ein kompletter Diffie Hellman Schl sselaustausch PFS Perfect For
88. as Monitormen Hilfe a el rgern funkwerk ss Se 5 welche Art der Aktivierung soll durchgef hrt werden 7 Lizenzinfo und Aktivierung gestartet und im ersten Fenster des Aktivierungs Assistenten selektiert Klicken Sie auf Weiter Im zweiten Fenster des Aktivierungs Assistenten Assistent fur Software Aktivierung Offline Aktivierung A Welcher Schritt soll durchgef hrt werden funkwerk werden die beiden Schritte der enterprise communications Offline Aktivierung erkl rt Der erste Schritt die Erstellung der Aktivierungsdatei ist automatisch selektiert Klicken Sie auf den Button mit Weiter nmmmm FEC Secure IPSec Client Benutzerhandbuch Im folgenden Fenster geben Sie die Lizenzdaten ein und klicken auf Weiter Assistent fur Software Aktivierung E Lizenzdaten funkwerk Wie lauten die Lizenzdaten un r enterprise communications A HE HE S Geben Sie nun Name und Pfad ae f r die Aktivierungsdatei ein Wo soll die Aktivierungsdatei gespeichert werden funkwerk z B auf dem Desktop Standardm ig wird das Installationsverzeichnis der Software und der Name ActiData txt mit a Seriennummer eingesetzt CAWINNTAncples A ctiData22222222 txt A Assistent fur Software Aktivierung Nun wird die Aktivierungsdatei Status Offline Aktivierung erstellt die an den Die Aktivierungsdatei wird erstellt funkwerk Aktivierun gs Ser ver ber g eben werd
89. atische Modus in den IPSec Einstellungen ge w hlt wurde und im Parameterfeld Identit t die Verwendung eines Pre shared Keys nicht aktiviert wurde ohne Haken so werden an die Gegenstelle standardm ig fol gende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer mit Zertifikat erfolgt 190 Notation EA Encryption Algorithm Verschl sselung HASH Hash Algorithm Hash AUTH Authentication Method Authentisierung GROUP Diffie Hellmann Group Number DH Gruppe LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge EA HASH AUTH GROUP LT LS KL AES _ CBC SHA XAUTH_RSA DAS SECONDS 28800 256 AES _ CBC MODOS XAUTH_RSA DAS SECONDS 28800 256 AES _ CBC SHA RSA DAS SECONDS 28800 256 AES CBC MD5 RSA DHS SECONDS 28800 256 AES EBC SHA XAUTH_RSA DH2 SECONDS 28800 256 AES EBC MX XAUTH_RSA DH2 SECONDS 28800 256 AES CBC SHA RSA DH2 SECONDS 28800 256 AES CBC MI RSA DH2 SECONDS 28800 256 AES CBC SHA XAUTH_RSA DH5 SECONDS 28800 192 AES _ CBC MDS XAUTH_RSA DES SECONDS 28800 192 ABS CBC SHA RSA DH5 SECONDS 28800 192 AES CBC MD5 RSA DH5 SECONDS 28800 192 AES CBC SHA XAUTH_RSA DAS SECONDS 28800 128 AES CBC MD5 XAUTH_RSA DH5 SECONDS 28800 128 AES CBC SHA RSA DAS SECONDS 28800 128 AES CBC MD5 RSA DH5 SECONDS 28800 128 ABS CBC SHA XAUTH_RSA DH2 SECONDS 28800 128 AES CBC MD5 XAUTH_RSA DH2 SECONDS 28800 128 AES _ CBC SHA RSA DH2 SECONDS 28800 128 AES CBC MD5 RSA DH2 SECONDS 2880
90. attfindet 141 Konfigurationsparameter Profil Einstellungen E Voice over IP VolP priorisieren Wird dieser Client f r Kommunikation mit Voice over IP genutzt so sollte diese Funk tion aktiviert werden um die Sprachdaten verz gerungs und verzerrungsfrei senden und empfangen zu k nnen O Dynamische Linkzuschaltung Nur f r ISDN Mit dynamischer Linkzuschaltung f r ISDN kann die Client Software bis zu 8 ISDN B Kan le b ndeln Um diese Funktion in vollem Umfang nutzen zu k nnen muss al lerdings Ihr PC wie auch das Zielsystem mit der n tigen Anzahl von So Schnittstellen 4 ausgestattet sein Die dynamische Linkzuschaltung funktioniert nur wenn sie auch vom Network Access Server des Zielsystems unterst tzt wird Mit dynamischer Linkzuschaltung erh hen sich zwar die Kosten f r jeden zugeschalteten B Kanal gleichzeitig verringern sie sich jedoch in gleichem Ma e weil sich die bertragungsdauer entsprechend verk rzt Mit diesem Parameter bestimmen Sie wie die Linkzuschaltung erfolgen soll Drei M glichkeiten stehen zur Auswahl Aus standard Tx Links werden zugeschaltet entsprechend der Bitrate abgehender Daten Rx Links werden zugeschaltet entsprechend der Bitrate eingehender Daten TxRx Links werden sowohl nach der Bitrate sowohl eingehender als auch abgehender Daten zugeschaltet 8 Schwellwert f r Linkzuschaltung Nur f r ISDN Der Wert dieses Parameters teilt der Client Software die Bitrate mit a
91. b der ein weiterer Link Kanal zugeschaltet werden soll Der Wert entspricht Prozenten der maximalen Bitrate M gliche Werte sind von 1 bis 100 Prozent Standardwert ist 20 Diese Einstellung gilt f r Sender und Empf nger Die Zuschaltung eines weiteren Links erfolgt 8 Sekunden nach dem Erreichen des ein gestellten Schwellwerts Diese Einstellung kommt nur zum Tragen wenn die Linkzuschaltung aktiviert wurde 142 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen EAP Authentisierung Muss sich der Client mit EAP Extensible Authentication Protocol authentisieren so muss diese Funktion aktiviert werden Sie bewirkt dass f r dieses Zielsystem die EAP Konfiguration im Monitor Men unter EAP Optionen zum Einsatz kommt Bitte beachten Sie dass die EAP Konfiguration im Monitor Men f r alle Zielsysteme g ltig ist und aktiv geschaltet sein muss wenn diese linkspezifische Einstellung wirk sam sein soll EAP wird dann eingesetzt wenn f r das wireless LAN ein Access Point verwendet wird der 802 1x f hig ist und eine entsprechende Authentisierung verlangt EAP kann aber auch dann eingesetzt werden wenn der Client ber einen Router auf ein anderes Netzsegment des Firmennetzes zugreifen m chte Generell wird mit EAP verhindert dass sich unberechtigte Benutzer ber die Hardware Schnittstelle in das LAN einklin ken Nach Konfiguration des EAP muss eine Statusanzeige im grafischen Feld des Monit
92. bei der Datenfern bertragung im allgemeinen zwischen Datenendeinrichtung und Daten bertra gungseinrichtung erforderlichen elektrischen Verbindungsleitungen der auf diesen herrschen den elektrischen Werten der zur Funktion erfor derlichen Signale sowie der Betriebsweise und Be deutung dieser Signale Man unterscheidet nach parallelen und seriellen Interfaces SHA Secure Hash Algorithm siehe auch Signatur Signatur Bei der digitalen Signatur wird mathematisch eine Verkn pfung zwischen Dokument und dem gehei men pers nlichen Signaturschl ssel des Teilneh mers erzeugt Der Absender des Dokuments gene riert eine Pr fsumme sogenannter Hash Wert diese codiert er wiederum mit seinem Geheim schl ssel und erzeugt so einen digitalen Signatur zusatz zur urspr nglichen Nachricht Der Empf n ger des Dokuments kann mit dem ffentlichen Schl ssel des Absenders die Signatur pr fen in dem er seinerseits den Hash Wert aus der Nach richt bildet und diesen mit der entschl sselten Si gnatur vergleicht Da die Signatur des Absenders unmittelbar in das Dokument eingebunden ist w rde jede sp tere nderung bemerkt Auch ein Abfangen oder Abh ren der Signatur ber Lau schangriffe erwiese sich als zwecklos Die digitale Signatur ist nicht nachahmbar da sie den gehei men privaten Schl ssel verwendet eine Ermitt lung des geheimen Schl ssels aus der Signatur ist nicht m glich Benutzerhandbuch FEC Secure IPSec Client m m
93. ben tigt Lese und Schreibrechte Statistik Verbindungs Steuerung 3 Die Datei NCPPHONE CFG ben tig Lese und Schreibrechte 4 Die Datei NCP DB Installationsverzeichnis standard Unterverzeichnis NCPLE ben tigt ebenfalls Schreib und Leserechte 5 Unter Windows XP m ssen f r das Installationsverzeichnis standard Unterverzeichnis NCPLE zus tzlich Vollrechte vergeben sein Benutzerhandbuch FEC Secure IPSec Client mm m mu m 37 Installation 2 3 Vor der Inbetriebnahme Nach der Installation zeigt sich der Client Monitor auf dem Bildschirm Um den Client nutzen zu k nnen muss zun chst unter den Profil Einstellungen ein Eintrag erzeugt werden d h das Profil zu einem Zielsystem definiert werden zu dem eine IPSec Ver bindung hergestellt werden kann FEC Secure IFSec Client Client venden MENTE Bestatigung Q Sie konnen dazu den angebotenen Assistenten benutzen wenn Sie im Best tigungsfen ster auf Ja klicken siehe Bild oben rechts Der Assistent kann auch zu einem spate ren Zeitpunkt gestartet werden Dazu wird der Menupunkt Profil Einstellungen im Hauptmen des Monitors unter Konfiguration aktiviert Siehe dazu 4 Client Moni tor Konfiguration Profil Einstellungen F r die weitergehende Konfiguration eines Profils beachten Sie bitte die Beschreibun gen unter 4 Client Monitor Profil Einstellungen und 4 Konfigurationsparameter IPSec Einstellungen Erst nach
94. bindung zum Access Point Die Statistik erg nzt die grafische Anzeige im Monitor worin die Feldst rke des Funknetzes angezeigt wird um zus tzliche Daten Der Verbindungsstatus zwischen Client und Server wird davon nicht ber hrt Benutzerhandbuch Monitor Bedienung 4 2 4 Amtsholung Amtsholung w bite ox abbrechen Benutzerhandbuch Eine Amtsholung ist dann n tig wenn der IPSec Client an einer Nebenstellenanlage betrieben wird Damit die definierten Profile des IPSec Clients auch im mobilen Einsatz verwendbar bleiben ohne Rufnummern umkonfigurieren zu m ssen kann sofern an einem Anschluss eine Amtsholung n tig wird diese hier eingetragen werden Die Nummer f r die Amtsholung wird dann f r alle Zielrufnummern der Profile automatisch mitgew hlt Bei der Eingabe der Amtsholung sind als Eingabezeichen die Zahlen 0 9 und die Zeichen und m glich Wird ein Komma eingegeben so wird ber die Amtsholung eine W hlpause konfiguriert FEC Secure IPSec Client m m 85 Client Monitor 4 2 5 Zertifikate Konfiguration den ob Soft Zertifikate oder Zertifikate auf Chipkarten Smart Cards und wo diese Zertifikate auf dem Rechnersystem zu finden sind Deweiteren wird die Dauer der G l tigkeit eines Zertifikats festgelegt und k nnen die Richtlinien f r die PIN definiert wer den i Unter diesem Men punkt wird konfiguriert welche Art von Zertifikaten eingesetzt w
95. chlie end auf OK Wenn Sie uber eine Installatlonsdiskette f r die gt Komponente verf gen klicken Sie auf Diskette w hlen dazu den Treiber auf der rechten Seite Nach dem H Bet tigen des OK Buttons EE NEE wird der Treiber installiert Damit ist die Installation der Hersteller Hetzwerkkarten u Client Software mit Setup ya unter Windows 98 ME abgeschlossen Diskette Abbrechen gt weiter n chste Seite za mmm FEC Secure IPSec Client Benutzerhandbuch Installation der Client Software Anschlie end ist die gew hlte Netzwerkkarte mit dem Identifikation Zugrittssteuerung TCP IP Protokoll im Netzwerk verf gbar siehe links Netzwerk Client fur Microsoft Netzwerke FR PEC Secure IPSec Client 5 TCPAP gt FEC Secure IPSec Client e o LE oh GEN p eege F LE MENE EIGERSERTEND Client f r Netware Netzwerke ei EE Unter Umst nden m ssen nun noch Dateien vom Windows Datentr ger kopiert werden Datentr ger einlegen Lo Legen Sie dazu die CD ein oder geben Sie den Pfad an Anschlie end bet tigen Sie den Ja Button und booten Sie damit das System Ge nderte 5ystemeinstellungen AAA we Benutzerhandbuch FEC Secure IPSec Client m m 33 2 2 3 Benutzerdefinierte Installation Installation und Abschluss unter Windows NT 2000 XP FEC Secure IPSec Client InstallShield Wizard DHCP Einstellungen Nur bei benutzerdefinierter Inst
96. d Verbindungssteuerung unter Logon am Netzwerk Die Logon Optionen werden erst dann wirksam wenn der Rechner gebootet wird 1 Der Men punkt Logon Optionen erscheint nur unter den Betriebssystemen Windows m Anmelden Da der Verbindungsaufbau zum Gateway vor dem Windows Logon stattfindet erfolgt die Anmeldung an der remote Domain bereits verschl sselt und mit aktivierter Firewall Dialog f r Verbindungsaufbau vor Windows Anmeldung anzeigen deinstalliert wird F r die jeweilige Arbeitsumgebung eventuell n tige Gina Verkettun gen bleiben auf diese Weise bestehen Soll der Gina Dialog eingeblendet werden so ist darauf zu achten dass die NCP Gina auf jeden Fall installiert sein muss Dies kann auf dreierlei Weise stattfinden er Die Dialoge der NCP Gina k nnen hier ausgeblendet werden ohne dass dabei die Gina Bei der Software Installation hierbei wird der Benutzer ge fragt ob er die Windows An meldung ber die NCP Gina nutzen will Wenn ja wird sie installiert Eine nachtr gliche Installa tion ist ber die Kommandozei len Schnittstelle rwscmd exe m glich ebenso die nachtr g liche Deinstallation Siehe dazu den Anhang Services Die Gina wird auch installiert wenn ber das Enterprise Mana gement ein entsprechendes Telefonbuch bereitgestellt wird Logon Optionen Sie m ssen den Dialog f r Verbindungsaufbau vor Windows Anmeldung anzeigen lassen damit bereits in
97. d Phase 2 Verhandlung verwendet werden sollen Sofern der automatische Modus genutzt wird akzeptiert der Client die Richtlinien wie sie vom Gateway der Gegenstelle vorgegeben werden Soll der IPSec Client als Initiator der Verbindung eigene Richtlinien verwen den so m ssen diese mit dem Richtlinien Editor konfiguriert werden Die erweiterten Optionen k nnen nach Abstimmung mit der Gegenstelle eingesetzt werden Parameter Gateway Exch Mode L IKE Richtlinie LI PFS Gruppe L IPSec Richtlinie LI Richtlinien G ltigkeit C Richtlinien Editor nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Gateway Dies ist die IP Adresse des IPSec Gateways auch Tunnel Endpunkt Sie erhalten die Adresse von Ihrem Administrator entweder als Hex Adresse wenn das Gateway ber eine feste offizielle IP Adresse verf gt oder als Namens String wenn das Gateway eine wechselnde IP Adresse von einem Internet Service Provider erh lt Hex Adresse Die Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte getrennte Zahlen Namens String Sie tragen den Namen ein den Sie von Ihrem Administrator erhalten haben Es handelt sich dabei um den DNS Namen des Gateways der beim DynDNS Service Provider hinterlegt wurde Ein zweites Gateway kann in der gleichen Syntax nach dem ersten durch ein Semikolon getrennt eingetragen werden IKE Richtlinie Die IKE Richtlinie wird aus der Listbox ausgew hlt In de
98. d und Security System Alle si cherheitsrelevanten Operationen laufen vollst ndig im Inneren der Karte also au er halb des PCs ab Das System ist neben individuellen Anpassungen an Schutzmecha nismen offen f r multifunktionalen Einsatz z B als Company Card Auch biometri sche Verfahren lassen sich integrieren Benutzerhandbuch FEC Secure IPSec Client m m ma m m Produkt bersicht 18 mm FEC Secure IPSec Client Benutzerhandbuch A gt 2 Installation Die Installation der Secure Software f r Windows Systeme erfolgt komfortabel ber Setup Der Installationsablauf ist f r alle Versionen des Secure Clients identisch Im folgenden ist die Installation f r Windows 98 ME und Windows NT 2000 XP be schrieben Bevor Sie die Software installieren m ssen zur vollen Funktionsf higkeit die In stallationsvoraussetzungen wie im folgenden Kapitel beschrieben erf llt sein Benutzerhandbuch FEC Secure IPSec Client mm m m 19 Installation 2 1 Installationsvoraussetzungen Betriebssystem Die Software kann auf Computern min 32 MB RAM mit den Betriebssystemen Mi crosoft Windows 98se Millenium Windows NT 3 5 oder h her ab Service Pack 4 oder h her oder Windows 2000 oder Windows XP installiert werden Halten Sie f r die Dauer der Installation unbedingt die Datentr ger CD oder Disketten f r das je weils im Einsatz befindliche Betriebssystem bereit um Daten f r die Treiberdatenbank des Betriebssy
99. der WLAN Karte oder das Microsoft Tool genutzt werden dann m ssen die jeweils nicht eingesetzten Tools deaktiviert werden Adapter Sofern ein WLAN Adapter installiert ist wird dieser angezeigt Nach einem automatischen Scan Vorgang von wenigen Sekunden der manuell auch mit dem Button Scannen ausgel st werden kann werden die derzeit verf gbaren Net ze mit den Daten zu SS ID Feldst rke Verschl sselung und Netzwerktyp angezeigt In einem zugeh rigen Profil m ssen diese Werte entsprechend konfiguriert werden SS ID Der Name f r die SS ID Standard Security wird vom Netz Feldst rke betreiber vergeben und unter dem grafischen Feld des Moni Verschl sselung tors ebenso angezeigt wie die Feldst rke Bild unten Die Netzwerktyp SS ID wird nach einem Doppelklick auf das zu w hlende Netz automatisch in ein WLAN Profil f r diesen Adapter bernommen wenn zu diesem Netz noch kein Profil erstellt wurde siehe unten gt WLAN Profile Allgemein Feldst rke f2 ncptest 003 Benutzerhandbuch FEC Secure IPSec Client mm m m m 81 Client Monitor 82 WLAN Profile WLAN Einstellungen x Netzsuche Profile Statistik WLAN Profile Name 8 541D Verschl sselung Netzwerktyp a net a net Nein Infrastrukture AES1 dhcp A4ES1 Nein Infrastrukture AES2 dhcp AES2 Nein Infrastrukture ET E EE Te Fe AO RET TEST static AES1 Nein Infrastrukture TKIP1 dhcp TKIP1 Nein Infrastrukture TKIP2 dhc
100. der angeordnet 1 Grundeinstellungen Frofil Einstellungen Testrerbindun 2 Netzeinwahl Grundeinstellungen Hetzeinwahl Line Management 3 HTTP Anmeldung IPSec Einstellungen Identit t a M m IP Adressenzumeisung SES PR IF Netze zertifikats berprafung 5 Line Management Link Firewall 6 IPSec Einstellungen 7 Erweiterte IPSec Optionen 8 Identit t 9 IP Adressen Zuweisung 10 VPN IP Netze 11 Zertifikats berpr fung 12 Link Firewall Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 125 Konfigurationsparameter Profil Einstellungen 5 1 1 Grundeinstellungen 126 Frofil Einstellungen Testverbindung IPSec native Grundeinstellungen Netzemaabl ie Identit t IP Adressen Zumeisung FH IP Netze zertfik ats berprofung Link Firewall Im Parameterfeld Grundeinstellungen wird der Profil Name den Verbindung styp und das Verbindungsmedium zu einem Profil eingegeben Parameter LI Profil Name Verbindungstyp Verbindungsmedium Profil f r automatische Medienerkennung verwenden Dieses Profil nach jedem Neustart des Systems verwenden Cl Benutze Microsoft DF Dialer mmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen E Profil Name Wenn Sie ein neues Profil definieren sollten Sie zun chst einen unverwechselbaren Namen f r dieses System eintragen z B IBM London Der Name des Profils darf je den gew nschten Buchstaben wie auch Zi
101. dern f r jede seiner Sessions die IP Adresse die gerade noch nicht vergeben ist Die IP Adressen werden also f r die Dauer eines Zeitschlitzes zugeteilt Diese Adress Zuteilung er folgt im Regelfall automatisch per PPP Verhand lung ber DHCP Die IP Adresse kann von spezi ellen Programmen in einen Namen bersetzt wer den Diese Programme laufen auf einem Domain Name Server DNS IP Network Address Translation IP Network Address Translation wird bei der In stallation der Workstation Software bereits vorge sehen und ist standardm ig beim Anlegen eines neues Zielsystems aktiviert Wenn IP Network Address Translation verwendet wird werden alle bertragenen Frames mit der ausgehandelten PPP IP Adresse verschickt Die Workstation Software bersetzt diese ffentliche IP Adresse in die syste meigene des Intranets oder im Falle der Worksta tion in deren eigene vom Benutzer festgelegte Allgemein ber NAT ist es m glich in einem LAN mit inoffiziellen IP Adressen die nicht im 206 m m FEC Secure IPSec Client Benutzerhandbuch A BR Internet g ltig sind zu arbeiten und trotzdem vom LAN aus auf das Internet zuzugreifen Dazu wer den die inoffiziellen IP Adressen von der Software in offizielle IP Adressen bersetzt Dies spart zum einen ofizielle IP Adressen die nicht in unbe grenzter Anzahl zur Verf gung stehen Zum ande ren wird damit ein gewisser Schutz Firewall f r das LAN aufgebaut IPCP Internet Pro
102. e arbeitet werden Gesperrte Grundeinstellung empfohlen Wird diese Einstellung gew hlt so sind die Sicherheitsmechanismen der Firewall im mer aktiv D h ohne zus tzlich konfigurierte Regeln wird jeglicher IP Datenverkehr unterbunden Ausgenommen sind die Datenpakete die durch eigens erstellte aktive Firewall Regeln gestattet durchgelassen werden Permit Filter Trifft eine der Eigenschaften eines Datenpakets auf die Definition einer Firewall Regel zu wird an dieser Stelle die Abar beitung der Filterregeln beendet und das IP Paket weitergeleitet Im Modus der gesperrten Grundeinstellung kann auf komfortable Weise eine L2Sec IP Sec Tunnelkommunikation freigeschaltet werden Dazu kann im Konfigurationsfeld Optionen der Datenverkehr ber VPN Protokolle L2Sec IPSec global zugelassen werden Offene Grundeinstellung In der offenen Grundeinstellung sind zun chst alle IP Pakete zugelassen Ohne weitere Filterregeln werden alle IP Pakete weitergeleitet Ausgenommen sind die Datenpakete die durch eigens erstellte aktive Firewall Regeln ausgefiltert nicht durchgelassen werden Deny Filter Trifft eine der Eigenschaften eines beim Server Client ankommenden IP Pakets auf die Definition eines Deny Filters zu wird an dieser Stelle die sequentielle Abarbeitung der Filterregeln beendet und das IP Paket von der Weiterleitung ausgeschlossen Daten Pakete die auf keinen passen den Deny Filter treffen werden weitergeleitet
103. e 7 3 1 Auswahl der CA Zertifikate Ee A Ne 7 3 2 berpr fung der Zertifikats nio A e a OG extendedKeyUsage DEENEN subjectKeyldentifier oie E 7 3 3 berpr fung von Sperrlisten ee L90 7 4 Stateful Inspection Technologie f r die Be se ineen sae w a k 197 Abk rzungen und Begriffe 2 2 Er o nn 201 Index amp 5 0 wo 0 0 ma 2 09 DEAR a 215 Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 11 Wes 12 m mmw FEC Secure IPSec Client Benutzerhandbuch SO 1 Produkt bersicht Dieses Handbuch beschreibt Installation Konfiguration Leistungsumfang und Benut zeroberfl che des FEC Secure IPSec Client und seiner Komponenten Die FEC IPSec Client Software arbeitet nach dem Prinzip einer LAN Emulation f r Ethernet und unterst tzt die routbaren Protokolle TCP IP Weitere Informationen zur Realisierung einer sicheren VPN Kommunikation erhalten Sie auf der Website unter www funkwerk ec com 1 1 Zum Umgang mit diesem Handbuch Damit Sie sich in dieser Dokumentation schnell zurecht finden ist im folgenden kurz ihr Aufbau dargestellt Das Handbuch ist in sechs gr ere Abschnitte untergliedert die Step by Step oder dem Aufbau der grafischen Benutzeroberfl che folgend den jeweiligen Gegenstand be schreiben Diesen Abschnitten folgen zwei Anh nge die dem Verst ndnis und dem Auffinden von Fachbegriffen dienen Kapitel 1 Produkt bersicht mit kurzer Beschreibung des Leistungsumfangs der S
104. e aufheben Benutzerhandbuch Monitor Bedienung 4 1 12Beenden des Monitors Wurde die Verbindung bereits getrennt beendet ein Klick auf diesen Men punkt oder der Schlie en Button den Monitor Ben Button der Monitor ebenfalls beendet werden Beachten Sie jedoch unbedingt dass die Verbindung dabei nicht automatisch getrennt wird Soll die m glicherweise kosten pflichtige Verbindung bestehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Best tigung von der Software verlangt O Besteht noch eine Verbindung kann nach Klick auf diesen Men punkt oder den Schlie Terre x Klicken Sie in diesem Best tigungsfen ster auf Nein so haben Sie auf Ihrer Desktop Oberfl che kein Icon und keinen Hinweis mehr darauf dass noch eine Ver bindung aktiv ist und Geb hren anfallen k nnen In diesem Fall m ssen Sie den Monitor erneut starten um eine bestehen de Verbindung korrekt zu beenden Benutzerhandbuch FEC Secure IPSec Client m m m m 61 Client Monitor 4 2 Konfiguration 62 Unter diesem Men punkt k nnen s mtliche Einstellungen f r die Arbeit mit dem IPSec Client vorgenommen werden die l nger als eine Session bestehen sollen Dies betrifft das Anlegen der Profile die Konfiguration der IPSec Verbindungen die Wahl der Ver bindungsart sowie die Eingabe einer Amtsholung f r Anschl sse an Telekommunikati onsanlagen Dar ber hinaus kann eigens konfiguriert werden wie
105. e Umgebungsvariable nicht wird sie aus dem Pfad beim Umwandeln entfernt und ein Log Eintrag ins Logbuch geschrieben Fehlt ein Zeichen Syntax bleibt die Variable stehen und es wird ebenfalls ein Log Ein trag geschrieben 86 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung Zertifikate Zertifikat Benutzer Zertifikat Konfiguration aus Chipkartenleser aus Chipkartenleser aus PECS HI Al atei PECS411 Mmodul Puna Klicken Sie auf die Men abzweigung Konfiguration Zertifikate so k nnen Sie zu n chst bestimmen ob Sie die Zertifikate und damit die Erweiterte Authentisierung nutzen wollen und wo Sie die Benutzer Zertifikate hinterlegen wollen In weiteren Konfigurationsfeldern werden die Richtlinien zur PIN Eingabe festgelegt und das Zeitintervall eingestellt innerhalb dessen das Zertifikat abl uft bzw eine Zerti fikatsverl ngerung beantragt werden muss ohne aus Chipkartenleser aus PKCS 12 Datei PKCS 11 Modul Benutzerhandbuch W hlen Sie in der Listbox Zertifikat die Einstellung ohne so wird kein Zertifikat ausgewertet und die Erwei terte Authentisierung findet nicht statt W hlen Sie aus Chipkartenleser in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in ihrem Chipkartenleser ausgele sen W hlen Sie aus PKCS 12 Datei aus der Listbox so wer den bei der Er
106. e Zertifizierungsstellen bed rfen nicht der Ge nehmigung durch den Staat Sie haften f r die Richtigkeit der Zertifikate CAPI Common Application Programm Interface Diese Schnittstelle wird im ISDN als Common ISDN API bezeichnet und entspricht der PCI Schnittstel le Programmable Communication Interface Die Schnittstelle erlaubt den direkten Zugang zum ISDN und den unteren Protokoll schichten Ebene 1 3 H here Protokolle Anwendungen wie Telex oder Filetransfer k nnen unabh ngig von der ein gesetzten Hardware Plattform verwendet werden Die CAPI gibt es in zwei Versionen 1 1 und 2 0 202 nmmmm FEC Secure IPSec Client Benutzerhandbuch A BR Entsprechend sind auch dielSDN Anwendungspro gramme programmiert die entweder auf CAPI 1 1 oder CAPI 2 0 aufsetzen bzw die jeweilige CAPI voraussetzen Eine Hybrid CAPI gestattet sowohl den Einsatz einer Anwendungs Software f r CAPI 1 1 als auch den von CAPI 2 0 Software Siehe Hybrid CAPI CCP Compression Control Protocol CHAP Challenge Handshake Authentication Protocol CLI Calling Line Identification Rufnummern Identifi zierung im Euro ISDN COSO Charge One Side Only COSO R ckruf auch Low Level oder D Kanal R ckruf F r den Initiator des R ckrufs im D Kanal fallen keine Geb hren an CTAPI Schnittstelle zu Smartcard Readern CUG Closed User Group geschlossene Benutzergruppe m Euro ISDN DES Datenverschl sselungsnorm Data Encryption Standard DHCP Mit DHC
107. eas sd ana ae en en 146 PIN ndern 5 2 zu 2 42 E ira E 58 59 PIN lt ADITASS s s 7 a3 Pocas e A a 90 EIERE s s ada ala a add de 58 PIN Eingabezwang A ea e RA 58 PIN Richtlinie us criar m ach a a a 91 PIN Status u a Ap e a a a A 44 58 PKCS 11 DLL ua an a ek ae re Ae e 24 PKCS 12 Datei ius 800 8 04 A en re a he 87 PKCS 12 Dateiname 222 oo on 90 PRI Unersiutzung bes sehen e a geg 16 Bol ao cores el o e a a 184 AE 128 Pressh red Key uice 2 sh osos 145 191 192 Pre shared Key verwenden 2 3 es 25048 RG 154 Profil f r automatische Medienerkennung 130 Proul Einstellunsen e cuicos san hei 63 124 Profil Name 0 4 2 0 28 08 Es a Bea he nen 127 Pioul Sicherune lt lt osease san aha 100 Protokoll I IPSec Richtlinie 150 PSec Richtlinie cerrado ea aa 150 PSK Preshared Key zu 4484 2 wos rado 188 R Revocation List 28 u 8 20 aan re ae ihn 196 RECI sora se na Dean naar 181 RFC 2401 2409 aa sa Da van ch are 181 RFC 2409 cris ae a a a wa rn 181 Richtlinien risas orense ar 184 RSA Signatif parese REA 145 186 187 R ckrufmodus serra AAA ARA A 134 218 nmmmm FEC Secure IPSec Client Benutzerhandbuch A A Rufnummer Ziel ss ocres As oh eat 133 LC ENEE EE 142 S AP IEEE 181 182 SA Verhandlung lt lt 184 185 Schwellwert f r Linkzuschaltung 142 ScrapisDaldl u a dir a as AA eh 134 Seamless re keying ei cecce aa ech 189 S
108. ecure Policy Database uma 181 DOCU sece RO A eneee e Ke 181 Security Association 4 ua ee aan 181 SECULIIY RICH I INIe o a s er a a ae do e er aa an 181 SECUIIIy Richllinien 22 i zu 04 sensor 181 Selektor eca aaa aa 181 SEHENNUMMER Ai s ea E A EE AR 32 Service Release u errar 121 SHA ER 149 150 Sl ass AAA 189 SHA 1 Fingerprint verwenden 22 pe 162 GEES 3 05 an a AAA AA 154 Short Hold Mode e ee se sa 0 amp 0 2 Sun ah ae 15 SIENS te peo DA 24 AMPI 22 en wenn seen a 139 Siteto Site VPN or see nissan 181 ico AMATER 17 23 Smart Card Symbol ss a ss e aa au oa asas 57 DOMEZETUTIKAL xicos rodas rai 24 Software Updale u 424 84 4 8 Ks 0280 E EI 121 Source Routing 2 0 8 ze ario Sasse 212 SPD Enty so ee rra a 181 Sperre lchebeB ses ea s wu au u a dena a iaoi rien 93 SPETSEN caos ie EE hear ek 196 Split T nelin s ga 2 EE 158 SSL Server Authentisierung 2 222220 56 196 Statetul Inspection sas ms endoso u 197 Stateful Inspection aktivieren 2 22 222er 166 Sale Rey ou errar ad 51 QU 2 wu 8 6 veredas reste a 50 Statistik Verbindungssteuerung 2 2 2 20004 60 SAMSAT eca za wenn aa ar Biere 44 Strong Authentication 2 4 0 08 was a en a da 23 subjeetKeyldentifier 20 0 000 Ae erro 54 56 195 Subnet Masken A 7 zus 1 2 208 Se a Eh ad 159 Symmetrische Verschl sselung 212 T TC Trust CardOS M4 wg 3 4 aseo Sea ae IE di 24 TCP IP e de
109. egistrie rungsstelle die Stelle die die Daten f r die Bean tragung eines Zertifikats entgegen nimmt Die RA ist auch die Stelle der der Verlust oder der Verfall eines g ltigen Zertifikats gemeldet wird und die eine Widerrufsliste Revocation List ung ltig ge wordener Zertifikate herausgibt RAS Remote Access Services Firmenspezifische Mi crosoft Einwahlhilfe f r Remote Access RIP Routing Information Protocol auch Routing Modus RFC Request for Comment Normentwurf Vornorm die im Internet diskutiert wird und so lange in der Liste der RFCs gehalten wird so lange sie sich in der Praxis bew hrt Vorformen der RFCs sind Drafts Routing Tabellen Router ben tigen f r die Wegewahl im Netz Infor mationen ber die g nstigsten Routen von der Quelle zum Ziel Mit Hilfe der Routing Tabellen werden diese Strecken vom Router kalkuliert 210 m FEC Secure IPSec Client Benutzerhandbuch A A W hrend beim statischen Routing die Tabellen fest vorgegeben sind erh lt der Router beim dynami schen Routing ber Router Informationsprotokolle z B RIP NLSP OSPF Informationen ber das Netz die zu selbst erlernten Routing Tabellen zu sammengesellt werden und st ndig aktualisiert werden RSA Das erste Verfahren das die Anforderungen an die Public Key Kryptographie erf llte Wurde 1977 von Ron Rivest Ad Shamier und Leonard Adle mann erfunden Schnittstelle Interface Festlegung der zwischen zwei Ger ten
110. ehe Pre shared Key verwenden Shared Secret im Parameterfeld Identit t RSA Signatur Diese vorkonfigurierte Richtlinie kann nur mit PKI Unterst tzung ein gesetzt werden Als zus tzliche verst rkte Authentisierung ist der Einsatz der RSA Si gnatur nur sinnvoll unter Verwendung einer Smart Card oder eines Soft Zertifikats Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 145 Konfigurationsparameter Profil Einstellungen E IPSec Richtlinie Die IPSec Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IP Sec Richtlinien aufgef hrt die Sie mit dem Richtlinien Editor angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den sie bei der Konfiguration verge ben haben Funktional unterscheiden sich zwei IPSec Richtlinien nach dem IPSec Sicherheitspro tokoll AH Authentication Header oder ESP Encapsulating Security Payload Da der IPSec Modus mit AH Sicherung f r flexiblen Remote Access v llig ungeeignet ist wird nur die IPSec Richtlinie mit ESP Protokoll ESP 3DES MD5 standardm ig vorkonfiguriert mit der Software ausgeliefert Jede Richtlinie listet mindestens einen Vorschlag Proposal zu IPSec Protokoll und Authentisierung auf siehe gt IPSec Richtlinie editieren d h eine Richtlinie besteht aus verschiedenen Vorschl gen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite
111. einem Profil hinterlegt werden k n nen Wird diese WLAN Konfiguration aktiviert so muss das Management Tool der WLAN Karte deaktiviert werden Alternativ kann auch das Management Tool der WLAN Karte genutzt werden dann muss die WLAN Konfiguration im Monitormen deaktiviert werden Wird die Verbindungsart WLAN f r ein Zielsystem im Telefonbuch eingestellt so wird unter dem grafischen Feld des Client Monitors eine weitere Fl che eingeblendet auf der die Feldst rke und das WLAN Netz dargestellt werden Bitte beachten Sie zur Konfiguration der WLAN Einstellungen die Beschreibung zum Parameter Verbindungsart im Handbuchabschnitt Profile und den Anhang Mobile Computing Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt so erkennt der Client automatisch welche Verbindungsarten aktuell zur Verf gung stehen und w hlt davon die schnellste aus Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch die Verbindungs art erkannt und eingesetzt die f r den Client PC aktuell zur Verf gung steht wobei bei mehreren alternativen bertragungswegen automatisch der schnellste gew hlt wird In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt 1 LAN 2 WLAN 3 DSL 4 UMTS GPRS 5 ISDN 6 MODEM Die Konfiguration erfolgt mit der Verbindungsart automatische Medienerkennung im Telefonbuch unter Zielsyste
112. eitsbereich liegt Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Daten pakete werden nach au en gelas sen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpaketen werden die durchgelassen deren Ziel Port Destination Port unter die Definition der lokalen Ports f llt Alle IP Adressen umfasst alle Quell IP Adressen abgehender bzw Ziel IP Adressen eingehender Pake te unabh ngig vom lokalen Netzwerkadapter Eindeutige IP Adresse ist die f r den lokalen Netzwerkadapter definierte IP Adresse Sie kann je nach Ver bindung z B der Adresse der Ethernet Karte der WLAN Karte oder auch dem VPN Adapter zugeordnet sein Mehrere IP Adressen bezeichnet einen Adressbereich oder Pool Z B kann dies der IP Adress Pool sein aus dem die vom DHCP Server an den Client zugewiesene Adresse stammt Alle Ports erlaubt Kommunikation ber alle Quellports bei ausgehenden und Ziel Ports bei ein gehenden Paketen Eindeutiger Port Diese Einstellung sollte nur dann verwendet werden wenn dieses System einen Serv er Dienst zur Verf gung stellt z B Remote Desktop auf Port 3389 Mehrere Ports Diese Einstellung sollte nur dann verwendet werden wenn sich die lokalen Ports zu einem Bereich zusammenfassen lassen die von einemDienst ben tigt werden der auf diesem System zur Verf gung gestellt wird z B FTP Ports 20 21 Benut
113. eme M Einwahl ber alle bertragungsnetze M Kompatibilit t mit den VPN Gateways unterschiedlichster Hersteller M Integrierte Personal Firewall f r mehr Sicherheit M Dialer Schutz keine Bedrohung durch 0190er und 0900er Dialer M H here Geschwindigkeit im ISDN Kanalb ndelung M Geb hrenersparnis Kosten und Verbindungskontrolle M Bedienungskomfort grafische Oberfl che 14 m mmmFEO Secure IPSec Client Benutzerhandbuch Leistungsumfang 1 3 1 3 1 1 3 2 Leistungsumfang Der IPSec Client unterst tzt alle g ngigen Betriebssysteme Windows 98se ME NT 2000 und Windows XP Die Einwahl in das Firmennetz erfolgt unabh ngig vom Me diatyp d h neben ISDN PSTN analoges Fernsprechnetz GSM GPRS und xDSL wird auch LAN Technik wie im WLAN am Firmengel nde und Hotspot oder lokalen Netzwerk z B Filialnetz unterst tzt Auf diese Weise kann mit ein und demselben Endger t von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden in der Filiale ber WLAN in der Zentrale ber LAN unterwegs an Hotspots und beim Kunden ber WLAN bzw GPRS im Home Office ber xDSL oder ISDN Client Monitor Grafische Benutzeroberfl che Die grafische Oberfl che siehe Client Monitor des IPSec Clients schafft Transpa renz w hrend des Einwahlvorganges und Datentransfers Sie informiert u a ber den aktuellen Datendurchsatz Der Anwender ist zu jeder Zeit dar ber informiert ob sein PC
114. en Dies wird auch als Split Tunneling bezeichnet Parameter LI Netzwerk Adressen VPN IP Netze CI Subnet Masken Cl Auch lokale Netze im Tunnel weiterleiten 158 nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Klicken Sie auf den Button Neu so k nnen Sie in das daraufhin erscheinende Fenster links die IP Adresse des Netzes und der Netzmaske eintragen E Netzwerk Adressen VPN IP Netze In diesem Parameterfenster definieren Sie in welchem IP Netz oder welchen IP Netzen der Client ber VPN Tunneling kommunizieren kann Sie erhalten die Adresse n von Ihrem Systemadministrator Bitte achten Sie ferner darauf daf die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt Subnet Masken Hier tragen Sie die zugeh rige Netzmaske des IP Netzes ein Sie erhalten die Adres se n von Ihrem Systemadministrator Bitte achten Sie darauf da die IP Adresse des Gateways nicht im Bereich der Netz IS Adresse liegt El Auch lokale Netze im Tunnel weiterleiten Wenn der Datenverkehr des lokalen Netzes ber VPN Tunneling weitergeleitet werden soll so muss diese Funktion aktiviert werden Benutzerhandbuch FEC Secure IPSec Client mmm ma ma m 159 Konfigurationsparameter Profil Einstellungen 5 1 11 Zertifikats berpr fung Frofil Einstellungen Zentrale Grundenstellungen Hetzeinmahl Line Management IPSec Einstellungen Identit t IF Adressenzuweisung WPN IP
115. en wie sie im Internet gekoppelt sind Dabei wird jeder Rechner im Netzverbund Internet durch seine IP Adresse identifiziert TCP IP um fa t au erdem vier Internet Standardfunktonen 1 FTP File Transfer Protocol f r den Dateitransfer von einem zum anderen Rechner 2 SMTP Simple Mail Transport Protocol f r E Mail 3 TELNET Teletype Network f r Terminalemulati on 4 RLOGIN Remote Login zur Rechnerfernbe dienung TECOS Betriebssystem f r Smartcards Versionen 1 2 2 0 Token Ring Netzwerktopologie mit Ringstruktur von IBM UDP User Data Protocol Baut direkt auf dem darunter liegenden Internet Protokoll auf Wurde definidert um auch Anwendungsprozessen die direkte M g lichkeit zu geben Datagramme zu versenden UDP liefert ber die Leistungen von IP hinaus lediglich eine Portnummer und eine Pr fsumme der Daten Durch das Fehlen des Overheads mit Quittungen und Sicherungen ist es besonders schnell und effi zient Benutzerhandbuch FEC Secure IPSec Client m m m 213 B Abk rzungen und Begriffe UMTS Universal Mobile Telecommunications Service K nftiger Standard f r schnelle Handy Kommuni kation VPN Virtual Private Network Ein VPN kann als virtu elles Netz grunds tzlich ber alle IP Tr gernetze also auch das Internet eingerichtet werden F r die Realisation haben sich zwei Spezifikationen herauskristallisiert L2F Layer 2 Forwarding und L2TP Layer 2 Tunneling Protocol Beide Verfah ren d
116. en Features aktivieren m chten notieren Sie sich den neuen Lizenzschl ssel f hren Sie die Aktivierung zu Ende und verwenden anschlie end den neuen Lizenzschl ssel Benutzerhandbuch FEC Secure IPSec Client m m m 117 118 Assistent fur Software Aktivierung Offline Aktivierung Welcher Schritt soll durchgef hrt werden Assistent fur Software Aktivierung Aktivierungs Code Wie lautet der Aktivierungs Code Assistent fur Software Aktivierung Status Offline Aktivierung Die Aktivierung wird durchgef hrt nmmmm FEC Secure IPSec Client Client Monitor Der zweite Schritt der Offline Variante wird ber das Monitormen Hilfe Lizenzinfo und Aktivierung angesto en Nachdem die Offline Variante gew hlt wurde selektieren Sie den zweiten Schritt Daraufhin ffnet sich ein Fenster des Aktivierungs Assistenten zur Eingabe des Aktivierungs Codes Wenn Sie ihn eingetragen haben k nnen Sie Weiter klicken Mit dem folgenden Fenster wird die Offline Aktivierung abgeschlossen Benutzerhandbuch sy Nach Abschluss der Aktivierung kann im Fenster f r die Lizenzdaten abgelesen werden dass es sich bei der eingesetzten Software um eine korrekt aktivierte Vollversion handelt Lizenz D aten Die Nummer der Software Version und der lizenzierten Version k nnen sich unterscheiden sofern die Lizenzierung nur f r eine ltere Version g ltig ist Sollten Sie vom Aktivierungs Server
117. en ist RSA Nachteil der asymmetrischen Ver fahren Sie sind rechenintensiv und damit ver gleichsweise langsam Benutzerhandbuch FEC Secure IPSec Client m m m 201 B Abk rzungen und Begriffe Basisanschluss ISDN Anschlusstyp mit So Schnittstelle S f r So BRI Basic Rate Interface Subscriber Interface Benutzerschnittstelle beste hend aus einem D Kanal Bandbreite 16 kBit s f r die Steuerung und zwei B Kan len Bandbreite jeweils 64 kBit s f r die bertragung von Nutzin formationen BCP Bridge Control Protocol BITS Bump In The Stack Art der Implementierung von IPsec BITW Bump In The Wire Art der Implementierung von IPsec Blowfish Verschl sselungsstandard mit 128 448 Bit BRI Basic Rate Interface ISDN Schnittstelle Basis So mit 2 B Kan len und 1 D Kanal Browser Der Browser stellt die Anwender Schnittstelle zum Internet dar Mit seiner HTTP F higkeit Hyper text Transfer Protokoll kann er verschiedene For mate z B HTML GIF CAD die f r eine multi mediale Darstellung der Information ben tigt wer den in Sound und Grafik umsetzen CA Certification Authority auch Trust Center z B D Trust ein Gemeinschaftsunternehmen der Bundes druckerei und Debis Eine CA stellt mittels PKI Manager Software digital signierte Best tigun gen Zertifikate aus und brennt sie auf eine Smartcard Chipkarte Eine CA kann ein privater Dienstleister oder eine ffentiche Einrichtung sein Dies
118. en muss Assistent fur Software Aktivierung Dazu muss die FEC Website aufgerufen werden http www funkwerk ec com onlineservices de Benutzerhandbuch FEC Secure IPSec Client m m m 115 Client Monitor 116 funkwerk Eire COP O enterprise communications adi Bitte kopieren Sie den Inhalt der vom FEC Secure IPSec Client erzeugten Aktivierungsdatei Offline Aktivierung Schritt 1 in das daf r vorgesehene Textfeld Anschliefgend klicken Sie bitte auf den Knopf Absenden um die Daten zum Aktivierungs Server zu bertragen Alternativ k nnen Sie die Aktivierungsdatei auch direkt zum Aktivierungs Server hochladen Hierf r klicken Sie auf den Knopf Durchsuchen und w hlen anschlie end die Datei mit den Aktivierungsdaten aus Danach klicken Sie bitte auf den Kropf Absenden um die Datei zum Aktivierungs Server zu bertragen Nach dem Absenden der Aktivierungsdaten bzw der Datei erhalten Sie einen Aktivierungs Code Bitte setzen Sie nun die Software Aktivierung im FEC Secure IPSec Client fort indem Sie das Monftor Mend ffnen Hilfe Lizenzinfo und Aktivierung gt Offline amp ktivierung Unter Schritt 2 wird der im folgenden angezeigte Aktivierungs Code abgefragt Mach diesem Schritt ist die Soft ware Aktivierung abgeschlossen Inhalt der Aktivierungsdatei Dateiname CXWINNTAncplesActiD ata22222222 tet Browse Dieses Fenster chlie en 5 2006 by Funkwerk Enterprise Communication
119. en wird zum Beispiel geregelt durch Herausfiltern bestimmter Netzteilnehmer und Netzdienste und Festlegung der Zugriffsbe rechtigungen Vom WAN aus betrachtet stehen hinter der Firewall in der DMZ f r gew hnlich Web Server Email Server und VPN Server FTP File Transfer Protocol Basiert auf TCP und dem Terminalprotokoll TELNET Port 21 GPRS Standard f r schnelle Handy Kommunikation GRE Generic Router Encapsulation CISO Spezifisches Tunnel Protokoll GSM Global System Mobile Standard f r Handy Kom munikation Hash Wert siehe Signatur HBCI Standard f r Smartcard Reader Online Banking HTTP Hypertext Transfer Protocol Multimedia Network m Internet Port 80 Hybride Verschl sselung Hohe Performance plus viel Sicherheit Hybride Verschl sselung vereint die Vorteile symmetri scher und asymmetrischer Verfahren W hrend die Inhalte der Kommunikation mit schnellen symme trischen Algorithmen gesichert werden erfolgen Authentisierung der Teilnehmer und Schl sselaus tausch auf Basis asymmetrischer Verfahren Die eigentliche Verschl sselung der Daten eines Doku ments geschieht auf Basis einer Zufallszahl Sessi on Key die f r jede einzelne Kommunikations verbindung neu erzeugt wird Dieser Einmal schl ssel wird mit dem ffentlichen Schl ssel des Empf ngers chiffriert und der Nachricht beigef gt Der Empf nger wiederum rekonstruiert mit seinem privaten Schl ssel den Session Key und entschl s selt die N
120. en zum Aktivierungs Server gesenden u Software wird aktiviert FESTES an EL Ar kv Lizenzdaten werden aktuz Y Werbind ird getrennt Status Online Aktivierung a E A Die Online Aktivierung wird durchgef hrt fu nkwerk enierprise communications Verbindung zum Internet wird aufgebaut und die Online 4ktivierung wird durchgef hrt VK ktivierungsdaten werden erstellen v Daten werden zum ktivierungs Server gesenden v Software wird aktiviert kv Lizenzdaten werden aktuallisiert Sobald der Aktivierungs Server erkennt dass Ihnen eine neuere EE E Software Lizenz zusteht und der Neuer Lizenzschl ssel 0580 l Sie haben Anspruch auf eine neuere Software Lizenz mit neuen Features Der Lizenzschl ssel zur installierten neue Lizenzschlussel wird automatisch von der Software bernommen Bitte notieren Sie dennoch den aktualisierten Lizenzschl ssel f r die n chste Softw are passt wird mit der Aktivierung bei Neuinstallation Online Aktivierung automatisch der neue Lizenzschl ssel bertra gen Lizenz Update und damit die neuen Features der Software freigeschaltet lt Zur ck Ebbrechen Bitte beachten Sie dazu den Abschnitt Updates am Ende dieses Kapitels Lizenz Daten bh Nach Abschluss der Aktivierung kann im Fenster f r die Lizenzdaten abgelesen werden dass es sich bei der eingesetzten Installierte Software Version Produkt FEC Secure IPSec Client a id 1 30 Build
121. end ber RWSCMD connect der VPN Verbindungsaufbau des Clients ange sto en Der NCP Dialer arbeitet unter dieser Konfiguration im LAN Modus Diese Verbindungsart funktioniert nur wenn im Parameterfeld Verbindungssteue rung der Verbindungsaufbau auf manuell geschaltet wird Je nach installiertem Dialer iPass oder T Online muss in der Konfigurationsdatei EXTDIAL INI f r den Eintrag ExeName die EXE Datei des Dialers eingetragen wer den Um nicht den kompletten Pfad f r den Dialer in der DAT Datei angeben zu m s sen kann optional der Pfad aus der Registry gelesen und in die INI Datei eingetragen werden Der genaue Wortlaut der Kopfzeile des Dialers unter Beachtung der Gro und Kleinschreibung muss in der INI Datei unter Caption eingetragen werden Beispiel der INI Datei f r IPass in der Registry findet sich unter InstallPath der In stallations Pfad des IPass Dialers Software lpass iPassConnectEngine DialerInstallPathKey Software Ipass iPassConnectEngine DialerInstallPathValue InstallPath DialerExec IPassConnectGUl exe Caption iPassConnect Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 129 130 Konfigurationsparameter Profil Einstellungen Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt wie zum Beispiel Modem und ISDN so kann die manuelle Auswahl des Zielsystems mit dem jeweils zur Verf gung stehenden Verbindung
122. enth lt Frofil Sicherung Erstellen a Wiederherstellen Nach jedem Klick auf Wiederherstellen wird die letzte Profil Sicherung eingelesen nderungen in der Konfiguration die seit der letzten Profil Sicherung vorgenommen wurden gehen damit verloren 100 mmm FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 3 Log Mit der Log Funktion werden die Kommunikationsereignisse der IPSec Client Software mitprotokolliert W hlen Sie die Log Funktion an ffnet sich das Fenster des Logbuches 13 04 02 09 37 01 LCP 19 04 02 09 37 01 13 04 02 09 37 07 LCP 13 04 02 09 37 07 13 04 02 09 37 14 LCP 19 04 02 09 37 14 19 04 02 09 37 22 LCP 19 04 02 09 37 22 19 04 02 09 37 30 LCP 19 04 02 09 37 30 19 04 02 09 37 41 LCP 19 04 02 09 37 41 19 04 02 09 37 53 L2TP tunnel client connection closed 13 04 02 09 37 53 L2TP tunnel control connection closed 19 04 02 09 37 53 ISDN trennen von Test connection SSL auf Kanal 1 19 04 02 09 37 53 ISDN getrennt 349F von Test connection SSL auf Kanal 1 13 04 02 09 37 53 Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Verhandlungwunsch mit folgenden Parameter auf Kanal 1 gesendet Maximum Receive Unit 1500
123. enung PIN Richtlinie Benutzer Zertifikat PIN Richtlinie Zertiikatsverl ngerung Minimale Anzahl der Zeichen le PIN darf nur Zahlen enthalten FF FIN muss ein Sonderzeichen enthalten FT FIN muss einen Kleinbuchstaben enthalten FIN muss eine Zahl enthalten PIN darf kein Zeichen fter als die H lfte der PIN L nge wiederholen Hite os abbrechen Minimale Anzahl der Zeichen F r die PIN k nnen Richtlinien festgelegt werden die bei Eingabe oder nderung der PIN beachtet werden m ssen Standard ist eine 6 stellige PIN Aus Sicherheitsgr nden werden 8 Stellen empfohlen Weitere Richtlinien Es wird empfohlen alle PIN Richtlinien einzusetzen au er der dass nur Zahlen enthal ten sein d rfen Zudem sollte die PIN nicht mit einer Zahl beginnen Die vorgegebenen Richtlinien werden eingeblendet wenn die PIN ge ndert wird und die Richtlinien die bei der Eingabe erf llt werden werden gr n markiert siehe gt PIN ndern Zertifikatsverl ngerung Benutzer Zertifikat PIM Richtlinie Zertifikatsverl ngerung 30 Tage vor Zertifikatsablauf Warnung anzeigen Hite os abbrechen Benutzerhandbuch In diesem Konfigura tionsfeld kann eingestellt werden ob und wie viele Tage vor Ablauf der G l tigkeit des Zertifikats eine Meldung ausgege ben werden soll die vor dem Ablauf der G ltig keit warnt Sobald die eingestellte Zeitspanne vor Ablauf in Kraft tritt wird bei jeder Zertifikats v
124. er Zertifikate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt Sie k nnen als Soft Zertifikat in Dateiform ausgelie fert werden oder auf eine Smart Card Chipkarte gebrannt werden Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises verleihen Es k nnen Zertifikate eingesetzt werden die einen priva ten Schl ssel bis zu einer L nge von 2048 Bits haben Als Gegenstelle muss der NCP Secure Server 5 21 oder h her eingesetzt werden Die Client Software berwacht ob eine PKCS 12 Datei vorhanden ist Wird eine PKCS 12 Datei Soft Zertifikat eingesetzt z B auf einem USB Stick oder einer SD Karte gespeichert so wird nach dem Ziehen der SD Karte die PIN zur ckgesetzt und eine bestehende Verbindung abgebaut Dieser Vorgang entspricht dem Verbindungs abbau bei gezogener Chipkarte der bei Verwendung einer Chipkarte im Monitormen unter Konfiguration Benutzer Zertifikat eingestellt werden kann Wird sp ter die SD Karte wieder gesteckt kann nach der erneuten PIN Eingabe die Verbindung wieder hergestellt werden In der Zertifikats Konfiguration k nnen f r die Pfad Angaben die Umgebungsvariablen Benutzer des Betriebssystems eingesetzt werden Die Variablen werden beim Schie Ben des Dialogs und beim Einlesen des Telefonbuches umgewandelt und in die Konfi guration zur ck geschrieben Existiert ein
125. er WLAN oder LAN zu sch tzen Weiter besteht keine M glichkeit dass der Dialer von automatischen 0190er und 0900er Dialern f r ungewollte Verbin dungen missbraucht wird Die wesentlichen Security Mechanismen sind IP NAT und Protokollfilter NAT Network Address Translation ist ein Security Standard zum Ver bergen der individuellen IP Adressen gegen ber dem Internet NAT bewirkt eine ber setzung der von au en sichtbaren Adresse in entsprechende Client Adressen und umge kehrt Ankommende Datenpakete werden auf der Basis eines ausgekl gelten Filterings nach genau definierten Eigenschaften berpr ft und bei Nicht bereinstimmung abge wiesen Das hei t Der Internet Port des jeweiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen unm glich 1 3 5 PKI Unterst tzung Die Zugangssicherheit zum PC und damit dem Firmennetz kann durch den Einsatz elektonischer Zertifikate in Form von Software PKCS 12 oder Smart Cards PKCS 11 CT API PC SC erh ht werden Der IPSec Client unterst tzt hierf r die Einbindung in eine PKI Public Key Infrastruktur 16 FEC Secure IPSec Client Benutzerhandbuch Leistungsumfang Public Key Infrastruktur Public Key Infrastrukturen PKI beschreiben ein weltweit genutztes Verfahren um zwischen beliebigen Kommunikationspartnern auf elektronischem Wege Schl ssel si cher auszutauschen Die PKI bedient sich dabei sogenannter Schl sselp rchen aus je weils einem
126. erbindung abgebaut wird wechselt die farbliche Darstellung der Verbindungslinie bis sie verschwindet und die Ampellampen des Monitors f r die gesamte Offline Dauer von gr n zu rot FEC Secure IPSec Client m m m 173 D Verbindungsaufbau 174 Trennen und Beenden des Monitors Besteht eine Verbindung noch und wird der Monitor beendet so wird nicht automat isch die Verbindung getrennt Soll die m glicherweise kostenpflichtige Verbindung be stehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Be st tigung von der Software verlangt siehe Bild unten Klicken Sie in diesem Best ti gungsfenster auf Nein so haben Sie auf Ihrer Desktop Oberfl che kein Icon und kei nen Hinweis mehr darauf dass noch eine Verbindung aktiv ist und Geb hren anfal len k nnen In diesem Fall m ssen Sie den Monitor er neut starten um eine beste hende Verbindung korrekt zu beenden Best tigung mmm FEC Secure IPSec Client Benutzerhandbuch IP Funktionen 7 Beispiele und Erkl rungen In diesem Abschnitt des Handbuchs werden einige Grundbegriffe des Routings und des IPSec Verkehrs erkl rt Anhand von Beispielen wird die Konfiguration des IPSec Clients f r bestimmte Funktionalit ten dargestellt Benutzerhandbuch FEC Secure IPSec Client m m m 179 Beispiele und Erkl rungen 7 1 IP Funktionen Um ein IP Netzwerk korrekt zu konfigurieren m ssen die Regeln der IP Adressie
127. erlei Hinsicht gew hrlei stet Zum einen verhindert diese Funktionalit t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum anderen berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Internet Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete ebenfalls weitergelei tet werden m ssen F r die Kommunikationspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln ent sprechenden Datenaustausch genutzt werden darf siehe Handbuch Beispiele und Er kl rungen Parameter LI Stateful Inspection aktivieren C Bei Verwendung des Micro soft DF Dialers ausschlie Ausschlie lich Kommunikation im Tunnel zulassen lich Kommunikation im Tun nel zulassen LI NetBIOS ber IP zulassen Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 165 Konfigurationsparameter Profil Einstellungen A Stateful Inspection aktivieren aus Die Sicherheitsmechanismen der Firewall werden nicht in Anspruch genommen immer Die Sicherheitsmechanismen der Firewall werden immer in Anspruch genom men d h auch wenn keine Verbindung aufgebaut ist ist der PC vor unberechtigten Zu griffen gesch tzt bei bestehender Verbindung Der PC ist dann nicht angreifbar wenn eine Verbindung beste
128. erwendung eine Meldung aufgeblendet die auf das Ablaufdatum des Zertifikats hinweist FEC Secure IPSec Client m m mu m 91 Client Monitor 4 2 6 Verbindungssteuerung Konfiguration 92 Externe Anwendungen Yerbindungssteuerung 2 Programme Windows NTkZubeborua postcon D VGopuvcop bat discon Anwendung CAProgrammerafindows NT Zubehor wordpad exe E Anwendung nach Yerbindungsaufbau starten postcon D E Uber dieses Konfigurationsfeld k nnen in Abh ngigkeit vom Client Monitor Anwendungen oder Batch Dateien gestartet werden Die externen Anwendungen werden wie unten beschrieben eingef gt Die Reihenfolge ihres Aufrufs von oben nach unten kann mit den gr nen Pfeiltasten ver ndert werden Wollen Sie nach dem Verbindungsaufbau den Standard Browser starten so aktivieren Sie diese Funktion und tragen die Website des Browsers ein Nachdem Sie die Funktion Externe Anwendungen oder Batch Dateien starten selektiert haben k nnen Sie ber den Button mit Hinzuf gen eine Anwendung oder Batch Datei vom Rechner selektieren die je nach Startoption geladen wird vor Verbindungsaufbau starten precon nach Verbindungsaufbau starten postcon nach Verbindungsabbau starten discon Die Wait Funktion Warten bis Anwendung ausgef hrt und beendet ist kann dann von Bedeutung sein wenn eine Reihe von Batch Dateien nacheinander ausgef hrt werden soll Ausf hrung von
129. eses Konfigurationsfeld k nnen in Abh ngigkeit vom Client Monitor Consolen Anwendungen oder Batch Dateien gestartet werden keine Windows Programme Die externen Anwendungen werden wie auf der n chsten Seite beschrieben eingef gt Die Reihenfolge ihres Aufrufs von oben nach unten kann mit den gr nen Pfeiltasten ver ndert werden Benutzerhandbuch Monitor Bedienung Benutzerhandbuch FEC Secure IPSec Client m m mu m Nachdem Sie die Funktion Externe Anwendungen oder Batch Dateien starten selektiert haben k nnen Sie ber den Button mit Hinzuf gen siehe vorige Seite eine Anwendung nach Verbindungsaufbau starten postcon E Anwendung oder Batch Datei vom Rechner ae selektieren die je nach Startoption geladen wird C u vor Verbindungsaufbau starten precon nach Verbindungsaufbau starten postcon Die Anwendung kann au erdem in Abh ngigkeit von der Verbindungsart des im Gina Dialog selektierten Zielsystems gestartet werden Die Applikation wird immer gestar tet wenn als Verbindungsart Alle gew hlt wurde Dom nenvorbereitung abwarten postdom bedeutet dass die Anwendung nach der Initialisierungszeit unmittelbar vor der Dom nenanmeldung gestartet wird Die Wait Funktion Warten bis Anwendung ausgef hrt und beendet ist kann dann von Bedeu tung sein wenn eine Reihe von Batch Dateien nacheinander ausgef hrt werden soll Optionen Zwischen Netzanmeldung
130. esse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben Wenn Sie die IP Adresse selbst festlegen geben Sie sie in diesem Fenster ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so muss der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben Ist auf Ihrem Rechner bereits eine Client Software installiert m ssen sie sich nun entscheiden ob Sie die Software deinstallieren oder updaten m chten siehe gt Update und Deinstallation Anschlie end werden die Programmdateien geladen und eingespielt Ende der benutzerdefinierten In stallation zum Abschluss weiter auf der n chsten Seite Benutzerhandbuch Installation der Client Software FEC Secure IPSec Client InstallShield Wizard funkwerk enterprise communications re GE on Secure H Informationen Q Benutzerhandbuch InstallShield Wizard abgeschlossen InstallShield Wizard hat die FEC Secure IPSec Client Software erfolgreich installiert Der Computer muss neu gestartet werden bevor das installierte Programm verwendet werden kann O Nein Computer wird sp ter neu gestartet Nehmen Sie alle Disketten aus den Laufwerken und klicken Sie a
131. estellt werden soll Sofern der WLAN Adapter dies gestattet kann der Energie Mode f r ihn ausgew hlt werden Allgemein Verschl sselung IP Adressen Authentisierung Verschl sselung ay Verschl sselung WEP 7 Authentisierung Open System E Schl ssell nge Pos Br d Schliisselformat AsCIl Zeichen El M Schl ssel1 p000000000000 I Schl ssel 2 A F Schl ssel 3 A Schl ssel 4 boom AA Hilfe x Abbrechen FEC Secure IPSec Client Verschl sselung Der Verschl sselungsmechanis mus wird vom Access Point WLAN Router vorgegeben und ber den Administrator mitgeteilt Wird WPA mit EAP TLS genutzt so m ssen die EAP Optionen im Konfigurations Men des Monitors aktiviert werden und ein Zertifikat konfiguriert sein im Monitor Men unter Konfiguration Zertifikate Benutzerhandbuch Monitor Bedienung WLAN Profile IP Adressen In diesem Fenster wird die IP Adress Konfiguration der WLAN Karte vorgenommen Die hier gemachten Einstellungen werden dann wirksam wenn die WLAN Konfiguration wie oben beschrieben aktiviert wurde In diesem Fall wird die hier 0 0 0 0 00 00 eingetragene Konfiguration in die D nn hun Microsoft Konfiguration der Netzwerkverbindungen bernommen Siehe dort gt Netzwerkverbindungen Eigenschaften von Internetprotokoll TCP IP Authentisierung WLAN Profile 00 x In diesem Fenster k nnen die
132. et so wird das Symbol mit einem grunen und einem roten Pfeil dargestellt Wird Stateful Inspection nur bei einer bestehenden Verbindung aktiviert so erscheinen die Symbole nur nach einem Verbindungsaufbau E Friendly Net Detection Wurde vom Administrator ein Friendly Net z B Firmennetz festgelegt und greift der Secure Client darauf zu so f rbtsich das Firewall Symbol gr n Die Friendly Net De tection wird im Monitor Konfigurationsmen unter Firewall Einstellungen Bekannte Netze vorgenommen entweder indem statische Netzwerk Routen angegeben werden oder indem die automatische Erkennung der bekannten Netze aktiviert wird Siehe dazu die Beschreibung unter Firewall Einstellungen Konfigurationsfeld Bekannte Net KK Ze E EAP Status Eine erweiterte Authentisierung mit MD5 oder TLS vor dem Tunnelaufbau wird mit EAP symbolisiert Die Farbe Gelb symbolisiert die EAP Verhandlungsphase Gr n die erfolgreiche Authentisierung mit EAP Rot eine fehlgeschlagene Authentisierung Durch einen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt werden Anschlie end erfolgt automatisch eine erneute EAP Verhandlung Bei erfolgreicher Authentisierung gegen ber einer Netzerkkomponente gibt die Gegenstelle zur ck wel ches Protokoll MD5 oder TLS verwendet wurde Eine erweiterte Authentisierung kann im Telefonbuch f r LAN oder WLAN Verbin dungen unter Authentisierung vor VPN konfiguriert werden Wird EAP
133. f Ihrem Computer Klicken Sie auf Weiter um fortzufahren FEC Secure IPSec Client InstallShield Wizard Anschlie end werden die Lizenzvereinbarung Lizenzbedingungen gezeigt Stimmen Sie dem Vertag mit Ja zu sonst wird die Installation abgebrochen Bitte lesen Sie die nachfolgende Lizenzvereinbarung sorgf ltig durch weiter n chste Seite Benutzerhandbuch FEC Secure IPSec Client m m 27 FEC Secure IPSec Client InstallShield Wizard Setup Typ w hlen Sie den Setup Typ aus der Ihren Anforderungen am ehesten entspricht open Installshiela FEC Secure IPSec Client InstallShield Wizard Setup Typ W hlen Sie den Setup Typ aus der Ihren Anforderungen am ehesten entspricht Installshiela FEC Secure IPSec Client InstallShield Wizard Programmordner auswahlen Bitte w hlen Sie einen Programmordner aus FEC Secure IPSec Client Autostart nstalShiela FEC Secure IPSec Client 5 funkwerk Installation Unabh ngig von Standard oder benutzerdefinierter Installation k nnen Sie einen beliebigen Zielordner f r die Software w hlen wenn Sie Durchsuchen anklicken Dies ist insbesondere dann wichtig wenn der Benutzer keine Rechte auf das System Root Verzeichnis hat Bei Standard Installation ist das Setup mit diesem Fenster links abgeschlossen Nehmen Sie eine Benutzerdefinierte Installation vor so k nnen Sie weitere Einstellungen vorne
134. ff auf WLANs zur Verf gung Die Firewall des Secure IPSec Clients sorgt daf r dass lediglich die IP Adresszuwei sung per DHCP erfolgen darf weitere Zugriffe ins WLAN bzw vom WLAN werden unterbunden Die Firewall gibt dynamisch die Ports f r http bzw https f r die Anmel dung bzw Abmeldung am HotSpot frei Dabei ist nur Datenverkehr mit dem HotSpot Server des Betreibers m glich Ein ffentliches WLAN wird auf diese Weise aus schlie lich f r die VPN Verbindung zum zentralen Datennetz genutzt Direkter Inter net Zugriff ist ausgeschlossen Damit die Anmeldeseite des HotSpots im Browser ge ffnet werden kann muss eine eventuelle Proxy Konfiguration deaktiviert werden Derzeit unterst tzt die HotSpot Anmeldung des Clients ausschlie lich HotSpots die mit einer Umleitung Redirect einer Anfrage mit einem Browser auf die Anmeldeseite des ffentlichen WLAN Betreibers arbeiten z B T Mobile oder Eurospot Sind obige Voraussetzungen erf llt so ffnet ein Klick auf den Men punkt HotSpot Anmeldung die Website zur Anmeldung im Standard Browser Nach Eingabe der Zu gangsdaten kann die VPN Verbindung z B zur Firmenzentrale aufgebaut und sicher kommuniziert werden Sollte vom Client keine HotSpot Anmeldung durchgef hrt wer den wird dies durch die Meldung HotSpot konnte nicht gefunden werden mitgeteilt F r einen solchen Fall ist zu kl ren ob ber diesen HotSpot Betreiber ein generelles Problem in Verbindung mit den v
135. ffern beinhalten und darf Leerzeichen mitge z hlt bis zu 39 Zeichen lang sein E Verbindungstyp Alternativ stehen mit dem IPSec Client zwei Verbindungstypen zur Wahl VPN zu IPSec Gegenstelle In diesem Fall w hlen Sie sich mit dem IPSec Client in das Firmennetz ein bzw an das Gateway an Dazu wird ein VPN Tunnel aufgebaut Internet Verbindung ohne VPN In diesem Fall nutzen Sie den IPSec Client nur zur Einwahl in das Internet Dabei wird Network Address Translation IPNAT weiterhin im Hintergrund genutzt sodass nur Datenpakete akzeptiert werden die angefordert wurden Verbindungsmedium Das Verbindungsmedium kann f r jedes Profil eigens eingestellt werden vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem Windows System installiert DSL Av PPP over CAPI GPRS UMTS WLAN Automatische Medien Erkennung PPTP Ext Dialer ISDN Angeschlossene Hardware ISDN Hardware mit Capi 2 0 Unterst tzung Netze ISDN Festnetz Gegenstellen ISDN Hardware Modem Angeschlossene Hardware Asynchrone Modems PCMCIA Modem GSM Karte mit Com Port Unterst tzung Netze Analoges Fernsprechnetz PSTN auch GSM Gegenstellen Modem oder ISDN Karte mit digitalem Modem Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 127 Konfigurationsparameter Profil Einstellungen LAN over IP Angeschlossene Hardware LAN Adapter Netze Local Area Network mit Ethernet oder Token Ring
136. h das Verzeichnis DISK1 angelegt W hlen Sie im Windows Hauptmen Start gt Einstellungen gt Systemsteuerung In der Windows Systemsteuerung w hlen Sie Software oder Neue Programme hin zuf gen Klicken Sie anschlie end auf den Button zum Installieren von CD oder Dis kette El Wenn nebenstehendes Fenster erscheint klicken Sie auf Weiter Programm von Diskette oder CD ROM installieren Im daraufhin erscheinenden Fenster klicken Sie auf Durchsuchen um im Verzeichnis mit der ZIP Datei das Unterverzeichnis Disk und dort das Programm SETUP EXE zu suchen Installationsprogramm ausf hren rog FELC_EntyC wina 130 069 exe Wenn SETUP EXE angezeigt wird klicken Sie auf Fertigstellen gt weiter n chste Seite FEC Secure IPSec Client Benutzerhandbuch Installation der Client Software W hlen Sie eme Setup Sprache aus Im folgenden Fenster k nnen Sie die Setup Sprache ausw hlen Klicken Sie danach auf OK Deutsch IS a Anschlie end bereitet das Setup Programm den Install Shield Assistenten vor mit dessen Hilfe die Installation fortgesetzt wird FEC Secure IPSec Client InstallShield Wizard eil Lesen Sie bitte die Hinweise f k im Willkommen Fenster des unkwer Setup Programms bevor Sie 66 e 39 5 auf Weiter klicken FEC Secure IPSec Client 1 30 Build 70 Setup InstallShield r Wizard installiert die FEC Secure IPSec Client Software au
137. halb des PPP zur Authentisierung der Gegenstelle PAP definiert eine Methode nach dem Aufbau einer Verbindung anhand eines Be nutzernamens und eines Passworts die Rechte des Senders zu pr fen Dabei geht das Passwort im Klartext ber die Leitung Der Empf nger ver 208 nmmmm FEC Secure IPSec Client Benutzerhandbuch A BR gleicht die Parameter mit seinen Daten und gibt bei bereinstimmung die Verbindung frei PC SC Schnittstelle zu Smartcard Readern PEM ltere Form von Soft Zertifikaten ohne Private Key Personal Firewall Die Security Mechanismen der Client Software vereinigen Tunneling Verfahren und Personal Firewalling IP Network Address Translationen IP NAT sowie universelle Filtermechanismen Von zentraler Bedeutung ist IP NAT denn es sorgt daf r dass nur vom Rechner ins Internet aus gehende Verbindungen m glich sind Ankommen de Datenpakete werden auf der Basis eines ausge kl gelten Filterings nach genau definierten Eigen schaften berpr ft und bei Nicht bereinstimmung abgewiesen Das hei t Der Internet Port des je weiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen un m glich PIN Personal Identification Number PKCS Public Key Cryptography Standard Verschl sse lungssystem mit ffentlichem Schl ssel PKCS 10 Die Form wie ein Zertifikat vom PKI Manager an die CA Certification Authority bertragen wird Meist geschieht dies per Http mit SSL versc
138. hentication Header sosa 4 a4 abs asa 182 Authentisierung IKE Richtlinie 149 authorityKeyldentifier 2 222 22200 54 56 195 automatische Dialer 15 16 Automatische Erkennung der bekannten Netze 78 automatische Medienerkennung 130 Automatischer Modus zu a a rss 146 automatischer Verbindungsaufbau 167 AWOSE occ rason a ea 105 Autostarttyp manuell 3222202 8 eses 194 Baudtale secarse E a e 138 Beenden des Monitors ss au u 04 4 aa sau i A 174 Benutzername zZ rs sa a a aa air 133 171 Benutzername XAUTH 154 155 172 Benutzername HTTP Anmeldung 136 Betriebssystem as dias rada a 20 21 23 BlOWHS aes ua adas r k 51 149 150 DICO lt a aos EE 20 CA Certification Authority o 52 CASZETUH Kat osa gadaa aro 54 CDP Certificate Distribution Point 2 222220 56 Certification Authority 2 22 22mm o 202 Chipkarte 20 2 IEEE 44 Chipka rten 2 seci 2 00 00 Ernie e er 24 Chipkartenleser u 2 A AE sir ses 23 44 87 Client Logon dera E L E a a nn 170 Com POTE seede cepa a da oracion g dopor A 138 Com Port freigeben s es sau a un ana seas 138 connect bat se ses 0 0 aapa cete A AR 92 DatendurchsatZz o 23 44 se 2a os Ye a che ea 50 Default Gateway es 88 kai A tada ieioea erg 30 FEC Secure IPSec Client m m m 215 Wes Demilitarisierie Zone eh E NN a e e
139. hl s selt als Https PKCS 11 Basis des Smartcard Standards PKCS 12 Soft Zertifikat Standard der die Syntax der Da teistruktur beschreibt PKCS 15 Pointerbeschreibung Wo befindet sich was auf der Smartcard PKI Public Key Infrastructure Die erforderliche Schl sselinfrastrukur zur authentischen Verteilung ffentlicher Schl ssel wird PKI genannt Private und ffentliche Schl ssel werden f r asymmetri sche Kryptographie verwendet Transaktionsbezo gene Sicherheit erfordert eine eindeutige Partner Authentisierung mittels Zertifikaten die von einer Benutzerhandbuch FEC Secure IPSec Client m m m m 209 B Abk rzungen und Begriffe vertrauensw rdigen PKI ausgestellt wurden Insbe sondere f r E Commerce bietet PKI den Rahmen f r Vertraulichkeit Geheimhaltung Integrit t F lschungssicherheit Authentizit t Identit tssi cherheit und Nichtbestreitbarkeit PoP Point of Presence POP3 Protokoll zum Download von E Mails Gegenst ck zu SMTP Port 110 PPP Point to Point Protokoll bertragunsprotokoll in verbindungsorienten Netzen PPP Verhandlung Point to Point Protokoll In einer PPP Verhand lung wird die IP Adresse nach Anwahl an den Pro vider automatisch bergeben PRI Primary Rate Interface ISDN Schnittstelle Pri m r Multiplex S2m mit 30 B Kan len und 2 D Kan len Radius Remote Authentication Dial In User Service siehe Directory Service RA Registration Authority Meist ist die R
140. hlie lich Kommunikation im Tunnel zulassen eingestellt kann trotz evtl anders lautender Regeln der globalen Konfiguration nur ein Tunnel aufgebaut und dar ber kommuni ziert werden Jeglicher anderer Verkehr wird von der Link Firewall verworfen Konfiguration der Firewall Einstellungen Die Filterregeln der erweiterten Firewall k nnen sowohl anwendungsbezogen als auch zus tzlich adressorientiert bez glich bekannter unbekannter Netze definiert werden Um Konflikte zwischen den Regeln der verbindungsorientierten Firewall des Telefon buchs und der erweiterten Firewall zu vermeiden wird empfohlen die Firewall des Te lefonbuchs auf inaktiv zu schalten wenn die erweiterte Firewall eingesetzt wird Die IP Adressen der jeweiligen Verbindung zum Ziel Gateway k nnen stattdessen in den Filterregeln der erweiterten Firewall eingesetzt werden Benutzerhandbuch FEC Secure IPSec Client m m mu m 67 Client Monitor O Konfigurationsfeld Grundeinstellungen Eemer Einsielungen In den Grundeinstellungen wird festgelegt mit wel cher Basis Policy die Fire wall arbeiten soll 68 mmmn Secure IPSec Client Benutzerhandbuch Monitor Bedienung Firewall deaktiviert Wird die erweiterte Firewall deaktiviert so wird in diesem Kompatibilit tsmodus nur die im Telefonbuch konfigurierte Firewall genutzt Dies bedeutet dass alle Datenpake te nur ber die Sicherheitsmechanismen dieser verbindungsorientierten Firewall abg
141. hmen Im folgenden Fenster der Benutzerdefinierten Installation bestimmen Sie den Programmordner f r die Client Software Standard ist FEC Secure IPSec Client weiter n chste Seite Benutzerhandbuch Installation der Client Software FEC Secure IPSec Client InstallShield Wizard Au erdem kann das Icon auf Programm Icon dem Desktop angezeigt werden Zu den weiteren Einstellungen bez glich Ihres Gateways sind n here Informationen von Ihrem Administrator oder Internet Service Provider n tig Im folgenden unterscheiden sich die Installationsschritte unter Windows 98 ME und Windows NT 2000 XP geringf gig f r Windows 98 ME weiter unter 2 2 4 f r Windows NT 2000 XP weiter unter 2 2 5 Benutzerhandbuch FEC Secure IPSec Client m m m 29 2 2 2 Benutzerdefinierte Installation 30 und Abschluss unter Windows 98 ME FEC Secure IPSec Client InstallShield Wizard Ki open DHCP Einstellungen Nur bei benutzerdefinierter Installation Installshiela FEC Secure IPSec Client InstallShield Wizard x open Netzwerk E instellungen Nur bei benutzerdefinierter Installation nstallshlela ee EE FEC Secure IPSec Client InstallShield Wizard x open Setup Status Instalsmiela FEC Secure IPSec Client Installation Mit DHCP Dynamic Host Control Protocol zu kommuni zieren bedeutet dass Sie f r jede Session automatisch eine IP Adr
142. hre Smart Card in den Reader gesteckt haben ndert sich die Farbe von hellblau zu gr n Bild links Sobald Sie die erste Verbindung aufbauen wollen f r die ein Zertifikat genutzt wird wird ein Dialog zur PIN Eingabe ge ffnet sofern Sie die PIN noch nicht vorher eingegeben haben Bei einem wiederholten manuellen Verbindungsaufbau kann die PIN Eingabe unterbleiben wenn nicht anders konfiguriert siehe gt Konfiguration Zertifikat PIN Eingabe Wird ein Soft Zertifikat verwendet so kann die PIN 4 stellig ein Wird eine Chipkarte verwendet muss die PIN mindestens 6 stellig sein werden nach ca 3 Sekunden mit einer Fehlermeldung quittiert Ein Verbindungsaufbau ist dann nicht m glich Nach dreimaliger fehlerhafter Eingabe der PIN wird die PIN gesperrt Wenden Sie sich in diesem Fall an Ihren Remote Administrator Wenn die Chipkarte w hrend des laufenden Betriebs entfernt wird findet ein Verbindungsabbau statt O Fehlerhafte Eingaben und falsche PINs FEC Secure IPSec Client Zentrale ISDN Erst nach korrekter PIN Eingabe erfolgt ko der Verbindugsaufbau Bild links i WPH Einwahl Client FIN Server Benutzerhandbuch FEC Secure IPSec Client mm mu m 57 Client Monitor Sicherung der PIN Benutzung Ist in der Zertifikatskonfiguration die Funktion PIN Abfrage bei jedem Verbindungs aufbau aktiviert wird der Men punkt PIN eingeben automatisch inaktiv geschaltet Die PIN
143. ht D Ausschlie lich Kommunikation im Tunnel zulassen Ausschlie lich Kommunikation m Tunnel zulassen Bei aktivierter Firewall kann diese Funktion zus tzlich eingeschaltet werden um in ein und ausgehender Richtung aus schlie lich VPN Verbindungen zuzulassen NetBIOS ber IP zulassen Mit diesem Parameter wird ein Filter aufgehoben der Microsoft NetBios Frames unter dr ckt Diesen Filter aufzuheben um den Verkehr von NetBios Frames zu gestatten ist immer dann zweckm ig wenn Sie zum Beispiel Microsoft Networking ber den IP Sec Client nutzen In der Standardeinstellung ist dieser Filter gesetzt das hei t der Checkbutton nicht mit einem Haken markiert so dass Microsoft NetBios Frames unterdr ckt werden damit sie den Datenverkehr nicht unn tig belasten Markieren Sie den Checkbutton mit einem Haken werden NetBios Frames over IP erlaubt O Bei Verwendung des Microsoft DF Dialers ausschlie lich Kommunikation im Tunnel zulassen Bei Verwendung des Client Monitors wird bei Aktivierung dieser Funktion verhindert dass eine Kommunikation ber den DF Dialer zum Internet stattfinden kann 166 nmmmm FEC Secure IPSec Client Benutzerhandbuch Doo Verbindungsaufbau Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Test zugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzu
144. icht wird Existie ren keine weiteren Regeln f r VPN Netze die eine Kommunikation im Tunnel zulas sen kann ber die VPN Verbindung kein Datenaustausch erfolgen Firewall bei gestopptem Client weiterhin aktivieren Die Firewall kann auch bei gestopptem Client aktiv sein wenn diese Funktion selek tiert wird In diesem Zustand wird jedoch jede ein und ausgehende Kommunikation unterbunden so dass keinerlei Datenverkehr m glich ist solange der Client deaktiviert ist Wird oben genannte Funktion nicht genutzt und der Client gestoppt so wird auch die Firewall deaktiviert HotSpot Anmeldung f r externe Dialer zulassen Wenn diese Funktion aktiviert ist kann ber einen externen Dialer eine HotSpot An meldung erfolgen Dazu wird die Kommandozeilen schnittstelle rwscmd exe aufgeru fen Beachten Sie dazu die Beschreibung im Anhang Services in diesem Handbuch Mit dem Befehl rwscmd logonhotspot Timeout wird die Firewall f r die Ports 80 HTTP und 443 HTTPS freigeschaltet Damit wird eine dynamische Regel erzeugt die den Datenverkehr zul sst bis der bergebene Ti meout in Sekunden abgelaufen ist Benutzerhandbuch FEC Secure IPSec Client m m m 79 Client Monitor 80 Konfigurationsfeld Protokollierung Firewall Einstellungen Die Aktivit ten der Firewall werden je nach Einstellung in eine Log Datei geschrieben Das Ausgabeverzeichnis f r Log Dateien befindet sich standardm ig i
145. ie Name IPSec Richtlinie Geben Sie dieser Richtlinie einen Namen ber den Sie sie sp ter einer SPD zuordnen k nnen Protokoll IPSec Richtlinie Der fest eingestellte Standardwert ist ESP Transformation IPSec Richtlinie Wenn das Sicherheitsprotokoll ESP eingestellt wurde kann hier definiert werden wie mit ESP verschl sselt werden soll Zur Wahl stehen die gleichen Verschl sselungsalgo rithmen wie f r Layer 2 DES Triple DES Blowfish AES 128 AES 192 AES 256 Transformation Comp IPSec Richtlinie IPSec Kompression Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um ma ximal das 3 fache Nach Selektion des Protokolls Comp Kompression kann zwi schen LZS und Deflate Kompression gew hlt werden Authentisierung IPSec Richtlinie F r das Sicherheitsprotokoll ESP kann der Modus der Authentisierung eigens einge stellt werden Zur Wahl stehen MD5 und SHA SHA 256 SHA 384 und SHA 512 Bit nmmmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 7 Erweiterte IPSec Optionen Frofil Einstellungen Zentrale Grundeinstellungen Line Management IPSec Einstellungen Erweiterte IPSec ptianen Identit t IP Adressenzumeisung FH IF Netze zertifik ats berprofung Link Firewall 1 In diesem Parameterfeld k nnen weiterte Einstellungen vorgenommen werden Parameter LI IP Kompression
146. ienen dazu einen Tunnel aufzubauen den man als eine Art virtuelle Standleitung bezeich nen kann ber eine solche logische Verbindung lassen sich neben IP Frames auch IPX SNA und NetBIOS Daten transparent bertragen Am Tun nelende m ssen die Datenpakete interpretiert und zu einem Datenstrom auf der Basis des verwende ten Protokolls umgewandelt werden WAP Wireless Application Protocol Entwicklung von Nokia Ericson und Motorola X 509 v3 Standard Zertifizierung Zertifikate Zertificate Certificates werden von einer CA Certification Authority mit tels PKI Manager Software ausgestellt und auf eine Smartcard Chipkarte gebrannt Diese Smartcard enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises ver leihen 214 nmmmm FEC Secure IPSec Client Benutzerhandbuch Index Benutzerhandbuch Useras a an ee ea 94 Advanced Encryption Standard 2 222200 201 BES von ne Bes abe seine ee ei 51 149 150 AES 128 AES 192 AES 256 188 Aggressive Mode o 146 186 12 AE EII IE 182 Alternative Rufnummern 2 cross 134 AMIKON a o eses een arar a A 85 134 analoges Modem eo u 22 0 5 04 2 m ah ner 20 Anschluss A a en er a Se 138 Anschluss Mode 138 APN sea 05 Bone ende eo 139 Asymmetrische Verschl sselung 201 Aussteller CA vu van ah wand a ana 32 Austausch Modus 2 2 Coon 186 Aut
147. ieren Sie die Datei NCPPKI CONF befindlich im Win dows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit einem ASCII Editor indem Sie als ReaderName den Namen des angeschlossenen Chipkartenlesers xyz eintragen und als DLLWIN95S bzw DLLWINNT den Namen des installierten Treibers eintragen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden ReaderName DLLWIN95 DLLWINNT SCM Swapsmart CT API gt xyz scm20098 dl1l gt ct32 dll sem200 nt all gt ct32 dll Nach einem Boot Vorgang erscheint der ReaderName im Monitor Men an dieser Stelle wenn in der Datei NCPPKI CONF f r den Treiber visible 1 gesetzt wurde Port Der Port wird bei korrekter Installation des Leseger ts automatisch bestimmt Bei Un stimmigkeiten k nnen die COM Ports 1 4 gezielt angesteuert werden Auswahl Zertifikat 1 Zertifikat 3 Standard 1 Aus der Listbox kann aus bis zu drei ver schiedenen Zertifikaten gew hlt werden die sich auf der Chipkarte befinden Die Anzahl der Zertifikate auf der Chip karte ist abh ngig von der Registration Authority die diese Karte brennt Wenden Sie sich zu weiteren Fragen bitte an Ihren Systemadministrator 88 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung La Si Auf den Chipkarten von Signtrust und Net
148. in den Zu stand normale Verbindung gesetzt Da der jeweilige Status einer Verbindung st ndig berwacht wird bleibt Unbefugten der Zugriff auf das interne Unternehmensnetz ver wehrt Der Vorteil gegen ber statischen Paketfiltern ist dass die Entscheidung ob ein Secure Gateway oder Client ein Paket weiterleitet oder nicht nicht nur auf Grund von Quell und Zieladresse oder Ports f llt Das Security Management pr ft dar ber hinaus den Benutzerhandbuch FEC Secure IPSec Client m m m 197 Beispiele und Erkl rungen Zustand state der Verbindung zu einem Partner Weitergeleitet werden ausschlie lich die Pakete die zu einer aktiven Verbindung geh ren Datenpakete die sich keiner eta blierten Verbindung zuordnen lassen werden verworfen und im Log File protokolliert Neue Verbindungen lassen sich nur entsprechend der konfigurierten Regeln ffnen In der einfachsten Firewall Funktion werden nur die ein und ausgehenden Verbindun gen im Hinblick auf das Protokoll TCP IP UDP IP ICMP IPX SPX die entspre chenden Ports und die beteiligten Rechner berpr ft und berwacht Verbindungen werden in Abh ngigkeit eines festgelegten Regelwerkes erlaubt oder gesperrt Weitere Pr fungen z B Inhalt der bertragenen Daten finden nicht statt Die Stateful Inspection Filter sind eine Weiterentwicklung der dynamischen Packet Fil ter und bieten eine komplexere Logik Die Firewall pr ft ob eine am Portfilter erlaubte Verbind
149. in diese Datei geschrieben bis Sie auf den Button mit Schlie e Datei klicken Wenn Sie eine Log Datei anlegen k nnen Sie die Transaktionen mit dem IPSec Client ber einen l ngeren Zeitraum verfolgen Schlie e Datei Wenn Sie auf diesen Button klicken wird die Datei geschlossen die Sie mit ffne Datei angelegt haben Die geschlossene Log Datei kann zur Analyse der Transaktio nen mit dem IPSec Client oder zur Fehlersuche verwendet werden L schen Fensterinhalt Wenn Sie auf diesen Button dr cken wird der Inhalt des Log Fensters gel scht Schlie en Log Fenster Wenn Sie auf Schlie en klicken schlie en Sie das Fenster des Logbuches und keh ren zum Monitor zur ck 102 m mmwm FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 4 Fenster Unter dem Men punkt Fenster k nnen Sie die Bedienoberfl che des Monitors variie ren und die Sprache f r die Monitoroberfl che festlegen 4 4 1 Profilauswahl anzeigen FEC Secure IPSec Client ul 2 N DINERE Darstellung entrale ISDN Chent a Wenn Sie auf FEC Secure lP5ec Client Profilauswahl anzeigen klicken kann aus der Liste der konfigurierten Profile das gew nschte ausgew hlt werden Bild unten Client Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 103 Client Monitor 4 4 2 Buttonleiste anzeigen FEC Secure IPSec Client Yerbindung Konfiguration Log Fenster Profil Zentrale ISOM
150. in zwei unter schiedlichen Modi ausgef hrt werden dem Main Mode auch Identity Protection Mode oder dem Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messa ges und durch die Verschl sselung Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollka nal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Pro tection Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontrollkanal wobei nichts verschl sselt wird Den IKE Modus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode bestimmen Sie in den Profil Einstellungen im Parameterfeld IPSec Einstellun 22 gen IKE Main Mode Identity Protection Mode mit Preshared Keys Initiator Gegenstelle o MN Message 1 Header Security Association e d gt l Message 2 Header Security Association N unver schl sselt x Message 3 Header Key Exchange Nonce d A Diffie Hellmann gt l Gruppe Message 4 Header Key Exchange Nonce Message 5 Header ID Hash ymmetrische Verschl sselung ver und Hash schl sselt Message 6 Header ID Hash Wird die Pre shared Key Methode im Main Mode genutzt Bild oben so muss der Client am VPN GW durch seine IP Adresse eindeutig identifizierbar sein da der Pre shared Key mit in die symmetrische Schl s
151. ine Aussteller Zertifikate vorhanden wird keine Verbindung zugelassen 162 mmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 2 Uberpriifung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revo cation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Extensions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung extendedKeyUsage subjectKeyldentifier authorityKeyldentifier extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Er weiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle da
152. inien die Sie hier konfigurieren werden zur Auswahl gelistet Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richt linien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf d h eine Richtli nie kann aus mehreren Vorschl gen bestehen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie 148 mmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Name IKE Richtlinie Geben Sie dieser Richtlinie einen Namen ber den sie sp ter einer SPD zugeordnet werden kann Authentisierung IKE Richtlinie Bevor der Kontrollkanal f r die Phase 1 Verhandlung IKE Security Association auf gebaut werden kann muss beidseitig eine Authentisierung stattgefunden haben Zur gegenseitigen Authentisierung wird der allen gemeinsame pre shared Key stati scher Schl ssel verwendet Diesen Schl ssel definieren Sie im Parameterfeld Identi t t Verschl sselung IKE Richtlinie Nach einem der optionalen Verschl sselungsalgorithmen erfolg
153. installierte Leser ausgew hlt und genutzt werden Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein unter Konfiguration gt Zertifikate Nachdem Sie die Smart Card in den Chipkartenleser gesteckt haben k n nen Sie Ihre PIN eingeben E Chipkartenleser CT API konform Wenn Sie einen CT API konformen Chipkartenleser nutzen beachten Sie bitte folgendes M Mit der aktuellen Software werden Treiber f r die Modelle Kobil B0 B1 Kobil KAAN SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Diese Chipkartenleser k nnen im Monitor unter Konfiguration gt Zertifikate eingestellt werden Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller des Chip kartenlesers bzw konsultieren Sie die entsprechende Website bez glich aktueller Hard ware Treiber um den aktuellsten CT API Treiber zu erhalten und zu installieren Neh men Sie au erdem folgende Einstellung in der Client Software vor M Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCII Editor indem Sie als Modulname den Namen des angeschlossenen Chip kartenlesers xyz eintragen und als DLLWIN95 bzw DLLWINNT den Namen des in stallierten Treibers eintragen Der Standardname f r CT API konforme Treiber ist CT
154. instellungen Ca song Identit t Firewall E instellungen IP A d ressen Zuweisung VPN IP Netze Zertifikats berpr fung Firewall Einstellungen g o CE D Je nachdem welcher Begriff markiert wird zeigt sich das entsprechende Feld mit den zugeh rigen Parametern siehe gt 4 Konfigurationsparameter Ok Profil Die Konfiguration eines Profils ist abgeschlossen wenn Sie das Konfigurationsfenster mit OK schlie en Das neue oder ge nderte Profil ist im Monitor sofort verf gbar Es kann im Monitor ber die Profilauswahl selektiert werden und ber das Men Verbin dung Verbinden sofort zur Anwahl an das Zielsystem verwendet werden O Kopieren Profil Um die Parameter Einstellungen eines bereits definierten Profils zu kopieren markie ren sie das zu kopierende Profil in der Liste und klicken Sie auf den Kopieren Button Daraufhin wird das Grundeinstellungen Parameterfeld ge ffnet ndern Sie nun den Eintrag in Profil Name und klicken Sie anschlie end Ok Nur wenn Sie den Namen des Profils ndern kann es auch als neuer Eintrag in der Liste der Profile vermerkt werden Ein kopiertes Profil muss einen neuen noch nicht vergebenen Namen erhalten Nur so kann es in der Liste der Profile abgelegt werden L schen Profil Um ein Profil zu l schen w hlen Sie es aus und klicken den L schen Button Benutzerhandbuch FEC Secure IPSec Client mm mu m 65 Client Monitor 4 2 2 F
155. irewall Einstellungen Alle Firewall Mechanismen sind optimiert f r Remote Access Anwendungen und wer den bereits beim Start des Rechners aktiviert D h im Gegensatz zu VPN L sungen mit eigenst ndiger Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN Nut zung gegen Angriffe gesch tzt Die Firewall bietet auch im Fall einer Deaktivierung der Client Software vollen Schutz des Endger tes FEC Secure IPSec Client lux Bitte beachten Sie dass die Firewall Einstellungen global d h f r alle Zielsysteme des Firewall Einstellaungen Telefonbuchs g ltig sind Client Server funkwerko den kann nur f r den dazu geh renden Telefonbuch Eintrag Zielsystem und die Ver Dagegen ist die Einstellung der Link Firewall die im Telefonbuch vorgenommen wer NEE bindung zu diesem Zielsystem wirksam 66 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung Eigenschaften der Firewall Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit Stateful Packet Inspection SPI Die Firewall pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks ob ein Datenpaket weiterge leitet oder verworfen wird Sicherheit wird in zweierlei Hinsicht gew hrleistet Zum einen wird der unbefugte Zu griff auf Daten und Ressourcen im zentralen Datennetz verhindert Zum anderen wird mittels Stateful Inspection der jeweilige Status bestehender Ve
156. ko Konfiguriert Le Manuell LocalSystem Be Nachrichtendienst Sendet und e Gestartet Automatisch LocalSystem rechts e neprusnt Provides HCP Gestartet Automatisch LocalSystem Be NcpSec Gestartet Automatisch LocalSystem A e NetMeeting Remotede Erm glicht aut Manuell LocalSystem 3 a Wurde d 1e Anderun g de S Be Netzwerk DDE Dienst Netzwerktrans Manuell LocalSystem Bs Netzwerk DDE Server Verwaltet den Manuell LocalSystem Auto star ttyp S durchg K Be Netzwerkverbindungen Werwaltet Obje Manuell LocalSystem fi h k d K Be NT LM Sicherheitsdienst Bietet Sicherh Manuell LocalSystem unr t SO ann as om Ra Automatisch LocalSystem mando 194 netsetat erneut ausgef hrt wer den Der UDP Port 500 darf dann unter den akti ven Verbindungen nicht mehr aufgef hrt sein m a nmmmm FEC Secure IPSec Client Benutzerhandbuch Zertifikats berpr fungen 7 3 7 3 1 7 3 2 Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Aussteller Zer
157. ler Zertifikate im Windows Verzeichnis NCPLE CACERTS gesammelt werden Im Monitor des Clients wird die Liste der eingespielten CA Zertifikate angezeigt unter dem Men pukt Verbindung Zertifikate gt CA Zertifikate e C DE ST Bayern L Nuernberg O Test OU Test CN NCF Test CA tEmail infotincp c Wird das Aussteller Zertifikat einer Gegenstelle empfangen so ermittelt der Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Ist das Aussteller Zertifikat nicht bekannt kommt die Verbindung nicht zustande No Root Certificate found Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS vorhanden so wird keine Verbindung unter Einsatz von Zertifika ten zugelassen z Anzeige und Auswertung von Erweiterungen bei eingehenden Zertifikaten und CA Zertifikaten Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Re vocation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterun gen Extensions werden von der ausstellenden Certification Authority in das Zertifikat geschrieben F r den IPSec Client und das
158. lgemeinen Rechte beziehen sich nur auf die Konfiguration der Profile Wird festgelegt Profile diirfen neu angelegt werden Profile diirfen konfiguriert werden bleibt jedoch ausgeschlossen so k nnen zwar mit dem Assistenten neue Profile definiert werden eine nachfolgende nderung einzelner Parameter ist dann jedoch nicht mehr m glich 11111 111 11 Sichtbare Parameterfelder der Profile Die Parameterfelder der Profil Einstellungen k nnen f r den Benutzer ausgeblendet werden Beachten Sie dass Parameter eines nicht sichtbaren Feldes auch nicht konfiguriert werden k nnen 4 2 10 Profile importieren ber diese Funktion k nnen Profil Einstellungen vom Client eingelesen werden Diese Profil Einstellungen k nnen in Form einer INI Datei vom Zielsystem erstellt oder ma nuell editiert werden Im Installationsverzeichnis befinden sich dazu die Beispieldatei en IMPORT_D TXT und IMPORT_E TXT In den Beispieldateien sind auch Syntax und Parameterwerte beschrieben Benutzerhandbuch FEC Secure IPSec Client m m m 99 Client Monitor 4 2 11 Profil Sicherung Existiert noch kein gesichertes Profil zum Beispiel bei einer Erstinstallation so wird automatisch ein erstes angelegt NCPPHONE SAV Erstellen FEC Secure IPSec Client Nach jedem Klick auf den Men punkt Erstellen wird nach einer Sicherheitsabfrage eine Profil Sicherung angelest die die Konfiguration zu Client diesem Zeitpunkt
159. lle Parameter sind auf Standardwerte gesetzt bis auf den Namen Benutzerhandbuch FEC Secure IPSec Client m ma ma ma 147 Konfigurationsparameter Profil Einstellungen Kopieren Um die Parameter Einstellungen eines bereits definierten Richtlinie oder SPD zu ko pieren markieren sie die zu kopierende Richtlinie oder SPD und klicken auf Kopie ren Daraufhin wird das Parameterfeld ge ffnet ndern Sie nun den Namen und klik ken Sie anschlie end Ok Die neue Richtlinie oder SPD ist nun angelegt Die Parame terwerte sind zu denen der kopierten identisch bis auf den Namen L schen Wenn Sie eine Richtlinie oder SPD aus dem Konfigurationsbaum l schen wollen se lektieren Sie sie und klicken auf L schen Die Richtlinie oder SPD ist damit auf Dau er aus der IPSec Konfiguration gel scht Schlie en Wenn Sie das IPSec Feld schlie en kehren Sie zum Monitor zur ck Die Daten werden so wie sie konfiguriert wurden behalten IKE Richtlinie editieren IKE Richtlinie E Die Parameter in diesem Feld beziehen sich auf die Phase 1 des Internet Key Exchange IKE mit dem der Kontroll L kanal f r die SA Verhandlung Preshared Key AES 128 Bit SHA DH Gruppe 2 1024 Bit auf g ebaut wird Den IKE Mo dus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode Preshared ke bestimmen Sie in dem AES 128Bt s Sep Parameterfeld IPSec Einstel sa lungen im Telefonbuch Die DH Gruppe 2 1024 8 E IKE Richtl
160. m Alle f r diesen Client PC vorkonfigurierten Zielsyste me zum VPN Gateway des Firmennetzes k nnen dieser automatischen Medienerken nung sofern gew nscht zugeordnet werden ber das Parameterfeld Zielsystem im Telefonbuch Damit er brigt sich die manuelle Auswahl eines Mediums WLAN UMTS Netzwerk DSL ISDN Modem aus den Telefonbucheintr gen Die Eingangs daten f r die Verbindung zum ISP werden f r den Anwender transparent aus den vor handenen Telefonbucheintr gen bernommen Beachten Sie dazu die Beschreibung zu Profil Einstellungen Verbindungsart 22 FEC Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen Voraussetzungen f r den Einsatz von Zertifikaten O Wenn Sie die Software mit Zertifizierung X 509 nutzen so miissen folgende Voraus i setzungen erf llt sein E TCP IP Das Netzwerk Protokoll TCP IP muss auf dem Rechner installiert sein O Chipkartenleser Wenn Sie die Erweiterte Authentisierung Strong Authentication mit Smart Cards nutzen wollen muss ein Chipkartenleser an Ihr System angeschlossen sein Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen nachdem der Leser angeschlossen und die zugeh rige Treiber Software installiert wurde Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automat isch Erst dann kann der
161. m Installationsverzeichnis unter lt windows gt ncple log Die Log Dateien f r die Firewall sind im reinen Textformat geschrieben und benannt als Firewallyymmdd log Sie beinhalten eine Beschreibung vom abgelehnten Daten verkehr und oder zugelassenen Datenverkehr Wurde keine dieser Optionen selek tiert so werden nur Statusinformationen zur Firewall hinterlegt Die Log Dateien werden bei jedem Start der Firewall geschrieben Maximal werden da von so viele im Log Verzeichnis gehalten wie als Anzahl der Tage der Protokollie rung eingegeben wurde FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 2 3 WLAN Einstellungen Integrierte WLAN Konfiguration f r Windows 2000 XP Unter Windows 2000 XP kann der WLAN Adapter mit der Verbindungsart WLAN betrieben werden siehe gt Telefonbuch Parameter Zielsystem Im Monitormen Konfiguration WLAN Einstellungen k nnen die Zugangsdaten zum Funknetz in ei nem Profil hinterlegt werden Netzsuche WLAN Einstellungen WLAN ZD1211 802 11b g Wireless LAN Microsoft s Packet Scheduler Feldst rke Verschl sselung Netzwerktyp ncptest2003 72 31 dBm Nein Infrastrukture NCP 0G 4 57 LO dBm Nein Infrastrukture TKIP1 68 69 dBm Ja Infrastrukture WLAN Netze Wird diese WLAN Konfiguration aktiviert so muss das Management Tool der WLAN Karte deaktiviert werden Alternativ kann auch das Management Tool
162. mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wieder manuell aufgebaut werden Verbinden Gleich wie die Verbindung aufgebaut wird der Monitor sofern er im Vordergrund sicht bar ist zeigt immer den Status des Verbindungsaufbaus wie in folgendem Beispiel an Benutzerhandbuch FEC Secure IPSec Client m m m 167 6 Verbindungsaufbau FEC Secure ID ec Client Pie Ez Zun chst wird das Zielsystem Yerkindang Konfiguration Log Fenster Hilfe ausgew hlt u hier ber das Men das nach einem rechten Mausklick erscheint entrale verbinden Trennen Beenden 3 Danach wird die Verbindung ee EE Yerbindung Konfiguration Log Fenster Hilfe das Men das nach dem rechten Zentrale Mausklick erscheint Frofil Chent verbinden rar FIN Eingabe E LI Bitte geben Sie Ihre PIN ein Wurde die Verwendung eines Soft Zertifikats konfiguriert wie bei der Testverbindung mit SSL so muss zun chst die PIN eingegeben werden o Abbrechen Anschlie end wird eine Verbin PAI ler Ele DES dung zum Internet Service Pro verbindung Konfiguration Log Fenster Hilfe vider ISP hergestellt gelbe Zentrale az Linie Die Einwahl dorthin wird nun mit einem Globus die Authentisierung beim ISP als H ndesch tteln dargestellt Da Client FIN bei wechseln die
163. mm FEC Secure IPSec Client funkwerk Zee Hd Soll der IPSec Client zum Verbindungsaufbau ins Internet genutzt werden Bild links so muss zun chst ein geeignetes Profil f r den IPSec Client hergestellt werden Dabei ist darauf zu achten dass bei aktivierter Firewall der Port 80 f r HTTP freigeschaltet ist Sollte ein Proxy Server im Betriebssystem konfiguriert sein K nnen dessen Einstellungen nach Klick auf Proxy Einstellungen bernommen werden Nachdem das Profil selektiert wurde klicken Sie auf Weiter Benutzerhandbuch Die Internetverbindung ber den IPSec ETE Eonfiguration Log Fenster Hilfe u Client muss nicht eigens vor der Aktivierung aufgebaut werden Sie wird automatisch Testverbindung ISDN Es aufgebaut nachdem das gewinschte bestehende Profil im Assistenten f r Software Aktivierung ausgew hlt wurde und Verbindung ist hergestellt 6 A der Button Weiter angeklickt wird Chent FIN Server Assistent fur Software Aktivierung FE Secure IPSec Client Verbin Die Software Status Online Aktivierung o Statisa Die Online Aktivierung wird durchgef hrt funkwerk Aktivi erung erfolgt verbind automatisch in der Daten iT Daten R Verbindung zum Internet wird aufgebaut und die Online Aktivierung wird durchgef hrt ang eg ebenen Durchsal Reihenfolge i v Verbindung zum Internet wird hergestellt v ktivierungsdaten werden erstellen v Daten werd
164. n anschlie end FEC Secure IPSec Client InstallShield Wizard entscheiden ob vor dem Windows Logon an einer funkwerk remote Dan die Verbindung zum Network Access Server aufgebaut werden soll F r diesen Verbindungsaufbau m ssen Sie gegebenenfalls die PIN f r ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben Nachdem die Verbindung zum NAS hergestellt wurde k nnen Sie sich an die remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt Windows Logon Optionen Bitte beachten Sie Aktivieren Sie diese Option vor dem Windows Logon so wird hiermit automatisch die NCP Gina installiert Nur wenn die NCP Gina wie in diesem Setup Fnenter m glich nach der Windows Gina installiert ist k nnen die Logon Optionen auch genutzt werden Diese Logon Optionen k nnen ber das Monitormen des Clients unter Konfiguration gesetzt werden Wird die Logon Option hier nicht aktiviert und soll sie jedoch zu einem sp teren Zeit punkt genutzt werden so kann die NCP Gina nach diesem Setup mit dem Kommando rwscmd ginainstall dauerhaft installiert werden Beachten Sie dazu die Beschreibung Secure Client Services im Anhang dieses Handbuchs weiter n chste Seite Benutzerhandbuch FEC Secure IPSec Client m m 35 Installation FEC Secure IPSec Client InstallShield Wizard Setup Status fabor IFEC Secure IPSec Client InstallShield Wiza
165. n einer Message Box ab der verbliebenen Zeitspanne der G ltigkeit von 10 Tagen nachdr cklich darauf aufmerksam gemacht dass die Software noch nicht lizenziert ist Diese Message Box erscheint einmalig pro Tag Bild links Auch der Ablauf der Testversion wird in der Message Box angezeigt Ist die Testphase abgelaufen k nnen mit der Client Software nur noch Verbindungen zu Zielsystemen aufgebaut werden die der Software Aktivierung Lizenzierung dienen So kann eines der Profile des Clients dazu verwendet werden eine Internet Verbindung zum Zweck der Lizenzierung aufzubauen Benutzerhandbuch Fehler 4 6 2 Software Aktivierung Sp testens wenn die Testphase abgelaufen ist muss die Software aktiviert oder Die Testversion ist abgelaufen Bitte aktivieren oder deinstallieren Sie die Software deinstlliert werden Zur Aktivierung selektieren Sie im Monitormen Hilfe den Men punkt Lizenzinfo und Aktivierung Lizenz Daten El Installierte Software Version Produkt Version ServicePack FEC Secure IPSec Client 1 30 Build 69 Lizenzierte Software Version Produkt FEC Secure IPSec Client Ge Version 1 30 Seriennummer Typ Testversion noch 12 Tage g ltig Aktivierung Nicht aktiviert Aktivierung Lizenzierung Die Software mu zur Lizenzierung als Vollversion mit dem erhaltenen Lizenzschl ssel und der Seriennummer freigeschaltet bzw aktiviert werden Mi
166. nd die Versionsnummer Ihrer eingesetzten Software Benutzerhandbuch A A H 4 6 Lizenzierung Im Monitormen Hilfe wird unter dem Men punkt Lizenzinfo und Aktivierung die eingesetzte installierte Software Version und gegebenenfalls die lizenzierte Software Version mit Seriennummer angezeigt Die Client Software wird zun chst immer als Testversion installiert sofern noch keine Client Software installiert wurde oder aber mit einer bereits installierten lteren Version noch keine Software Aktivierung stattgefunden hat Dies gilt auch f r den Fall wenn die ltere Version bereits lizenziert wurde dann n m lich wird diese Version auf den Status einer Testversion zur ckgesetzt und die Lizenzdaten m ssen innerhalb von 30 Tagen nochmals ber den Aktivie rungs Dialog eingegeben werden FEC Secure IPSec Client Biel ES ES E A Die verbliebene Zeitdauer bis zur Software Aktivierung d h die G ltig keitsdauer der Testversion wird in der Hinweisleiste des Monitors neben dem Aktivierungs Button angezeigt Bild links Um eine zeitlich unbegrenzt g ltige Vollversion nutzen zu k nnen muss die Software mit dem erhaltenen Lizenzschl ssel und der Seriennummer im Aktivierungs Dialog freigeschaltet werden Mit der Aktivierung akzeptieren Sie die Lizenzbedingungen die Sie nach einem Klick auf den entsprechenden Button einsehen k nnen Der Aktivierungs Dialog kann sowohl ber den Aktivierungs Button in de
167. ndungssteuerung gel st wer den wenn ein von Ihnen gesetztes Limit berschritten wurde FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 1 1 4 1 2 4 1 3 Loy Verbinden Eine Verbindung wird aufgebaut Eine Verbindung kann nur aufgebaut werden wenn ein Profil aus der Liste der Profil Einstellungen selektiert ist Das selektierte Pro fil wird in der Monitoroberfl che unter der Men leiste angezeigt Wenn Sie die Funktion Verbinden w hlen wird die Anwahl an das Ziel ber das aus gew hlte Profil manuell durchgef hrt Wenn Sie je nach Profil die Verbindung manu ell oder automatisch herstellen wollen so k nnen Sie dies in den Profil Einstellungen mit dem Parameter Verbindungsaufbau im Feld Verbindungsdauer definieren sie he gt Profil Einstellungen Line Management Verbindungsaufbau Trennen Eine Verbindung kann manuell abgebaut werden mit der Funktion Trennen im Pull down Men oder nach Klick auf die rechte Maustaste Wenn die Verbindung abgebaut wurde wechseln die Signallampen des Monitors f r die gesamte Offline Dauer von gr n zu rot HotSpot Anmeldung Voraussetzungen Der Rechner muss sich mit aktivierter WLAN Karte im Empfangsbe reich eines HotSpots befinden Die Verbindung zum HotSpot muss hergestellt und eine IP Adresse f r den Wireless Adapater muss zugewiesen sein Unter Windows XP steht eine entsprechende Konfiguration f r den Zugri
168. ne neue IP Adresse Das IPSec Modul im Client bekommt ein IP Paket mit der Zieladresse der Firmenzentrale Ein SPD Eintrag f r dieses IP Paket wird gefunden aber es existiert noch keine SA Das IPSec Modul stellt die Anforde rung an das IKE Modul eine SA auszuhandeln Dabei werden auch die angeforderten Si cherheits Richtlinien wie sie im SPD Eintrag vorhanden sind an das IKE Modul bergeben Eine IPSec SA auszuhandeln wird als Phase 2 Verhandlung bezeichnet Bevor jedoch eine IPSec SA mit der Gegenstelle Gateway ausgehandelt werden kann muss ein Kontrollkanal vom Client zum Gateway existieren Dieser Kontrollkanal wird ber die Phase 1 Verhand lung hergestellt deren Ergebnis eine IKE SA ist Die Phase 1 Verhandlung bernimmt somit die komplette Authentisierung vom Client gegen ber dem VPN Gateway und erzeugt einen verschl sselten Kontrollkanal ber diesen Kontrollkanal kann dann rasch die Phase 2 IP Sec SA durchgef hrt werden Die Phase 1 Verhandlung ist ein Handshake ber den auch der Austausch von Zertifikaten m glich ist und die den Schl sselaustausch f r den Kontroll kanal beinhaltet Benutzerhandbuch FEC Secure IPSec Client m m m m 185 Beispiele und Erkl rungen E IKE Modi Im wesentlichen k nnen zwei Arten der IKE Richtlinien konfiguriert werden Sie un terscheiden sich durch die Art der Authentisierung entweder ber Pre shared Key oder ber RSA Signatur Beide Arten des Internet Key Exchanges k nnen
169. ng TE e Passwort speichern HTTP ld O 8 FEC Secure IPSec Client Benutzerhandbuch A A HTTP Authentisierungs Script HTTP Anmeldung 136 dvd Moden s a r s s nde sones sal Modem s e s s 4 ea ea ec 138 Anschluss e 2 0 u u eh a a we ne a ae 138 BALTA s sa RR a ss A Com Port freigeben y 2 2 5 0 a seee a 1588 Modem Init String s s sos amp 3 da a a 2 En 19 Dial Piel e i oa s so ma ee ARA A KE APN EN E SIM PIN s i s r se s paaa pada eaa a css KE 5 1 4 Line Management e 140 Verbindungsaufbau amp a 2 a 4 3 SN e a wn A Timeout naaa ere e ea Al Voice over IP VoIP p priorisieren nn 142 Dynamische Linkzuschaltung Nur f r ISDN car asa 02 Schwellwert f r Linkzuschaltung Nur f r ISDN 142 EAP Authentisierung 2 2 2 2 2 nn nn nn 143 HTTP Authentisierung 2 2 2 22 143 5 1 6 IPSec Einstellungen 2 2 2 2 2 nn nn nenn 144 Gateway s s som a sorpa A E IKE Richtlinie a 2 m nn nn 145 IPSee Riehllinie s a s s s ao s S vosos a adria aa da 146 Exch Mode e Ne a e e er sa e a I PFS Gruppe En a age Are ae ae A E e Richtlinien G ltigkeit ee Eer Dauer A E Ger Richtlinien Editor A A IKE Richtlinie editieren 148 Name IKE Richtlinie O E gt Authentisierung IKE Bene een E Verschl sselung IKE Richtlinie
170. ng Im folgenden Fenster k nnen Sie zwischen einer Online und einer Offline Variante w hlen In der Offline Variante muss eine Datei die nach Eingabe von Lizenzschl ssel und Seriennummer erzeugt wird an den NCP Web Server geschickt werden und der daraufhin auf der Website angezeigte Aktivierungsschl ssel notiert werden In der Online Variante werden die Lizenzierungsdaten ber einen Assistenten unmittelbar nach Eingabe an den Web Server weitergegeben und die Software damit unverz glich freigeschaltet FEC Secure IPSec Client m m m m 112 Assistent fur Software Aktivierung Lizenzdaten Wie lauten die Lizenzdaten Online Variante Client Monitor Nach der Wahl der Aktivierungsart werden die Lizenzdaten in die daf r vorgesehenen Felder eingetragen Klicken Sie anschlie end auf Weiter Bei der Online Aktivierung werden die Lizenzdaten ber eine Internetverbindung zum Aktivierungs Server bertragen Diese Internetverbindung kann entweder ber den DF Dialer oder DSL hergestellt werden oder ber den IPSec Client Soll die Internetverbindung nicht ber den IPSec Client hergestellt werden so muss die Verbindung zun chst hergestellt werden um anschlie end ber das Monitormen Hil fe Lizenzinfo und Aktivierung den Aktivierungs Assistenten zu starten Assistent fur Software Aktivierung Internet Einwahl Wie soll die Verbindung zum Internet hergestellt werden nmm
171. ng Lizenz Daten Installierte Software Yersion Produkt Version ServicePack FEC Secure IPSec Client 1 30 Build 63 Lizenzierte Software Version Produkt FEC Secure IPSec Client Z Version 1 30 Seriennummer Typ Testversion noch 12 Tage gultig Aktivierung Nicht aktiviert Aktivierung Lizenzierung Die Software mu zur Lizenzierung als Yollwersion mit dem erhaltenen Lizenzschlussel und der Seriennummer freigeschaltet bzw aktiviert werden Mt der Lizenzierung der Software akzeptieren Sie die Lizenzbedingungen FEC Secure IPSec Client Software Lizenzvertrag Nachfolgend sind die Yertragsbestimmungen fur die Benutzung von FEC Software durch Sie den Endanwender im folgenden auch Lizenznehmer aufgef hrt Durch Ihre Best tigung nach dem Lesen dieser Meldung erkl ren Sie sich mit diesen Vertragsbedingungen einverstanden Daher lesen Sie bitte den nachfolgenden Text vollst ndig und genau durch Wenn Sie mit diesen Yertragsbedingungen nicht einverstanden sind so ist die Software nicht benutzbar Werragsbedingungen 1 Gegenstand des Vertrages Gegenstand des Vertrages ist die in Dateiform vorliegende Software inkl der zugeh rigen Programmbeschreibung NCP macht darauf aufmerksam da es nach dem Stand der Technik nicht m glich ist Computer Software so zu erstellen da sie in allen Anwendungen und Kombinationen fehlerfrei arbeitet Gegenstand des Vertrages ist Gell Unter dem Men punkt
172. nge von 255 Zeichen Alle alphanumerischen Zeichen k nnen verwendet werden Wenn die Ge genstelle einen pre shared Key w hrend der IKE Verhandlung erwartet dann muss die ser Schl ssel in das Feld Shared Secret eingetragen werden Best tigen Sie das Shared Secret im darunter liegenden Feld Der gleiche pre shared Key muss auf beiden Seiten verwendet werden Extended Authentication XAUTH verwenden Wird IPSec Tunneling genutzt so kann die Authentisierung ber Extended Authenti cation XAUTH Protokoll Draft 6 erfolgen Wird XAUTH eingesetzt und vom Gate way unters tzt so aktivieren Sie Benutze erweiterte Authentisierung XAUTH Zu s tzlich zum pre shared Key k nnen dann noch folgende Parameter gesetzt werden Benutzername Benutzername des IPSec Benutzers Passwort Kennwort des IPSec Benutzers m wm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen u Benutzername Identit t Den Benutzernamen f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen Passwort Identit t Das Passwort f r XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen A Zugangsdaten aus Konfiguration verwenden Als
173. ngswegen automatisch der schnellste gew hlt wird In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt 1 LAN 2 WLAN 3 DSL 4 UMTS GPRS 5 ISDN 6 MODEM Die Eingangsdaten f r die Verbindung zum ISP werden aus den Telefonbucheintr gen bernommen die f r die automatische Medienerkennung konfiguriert wurden Profil f r automatische Medienerkennung verwenden Mit Aktivierung dieser Funktion wird dieses Zielsystem an den Telefonbucheintrag f r automatische Medienerkennung gebunden und bei Verf gbarkeit des entsprechenden Mediums automatisch f r einen potentiellen Verbindungsaufbau herangezogen Beach ten Sie dazu die Beschreibung zur Verbindungsart Dieses Zielsystem kann auch manuell selektiert werden um eine Verbindung herzustel len sofern die Tunnel Parameter f r den Zugang zum VPN Gateway korrekt eingetra gen sind m m wm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Dieses Profil nach jedem Neustart des Systems verwenden Normalerweise wird der Client Monitor nach einem Neustart mit dem zuletzt genutzten Profil ge ffnet Wird diese Funktion aktiviert wird nach einem Neustart des Systems immer das hierzu geh rige Profil geladen unabh ngig davon welches Profil zuletzt ge nutzt wurde Benutze Microsoft DF Dialer Zur Einwahl am ISP Internet Service Provider kann der Microsoft DF Dialer ge nutzt werden Dies ist immer dann n
174. nie wird mit ei nem Schl ssel angezeigt Wenn die Konfiguration der Ge genstelle darauf eingestellt ist kann auch Kompression konfi guriert werden Ist die letzte Station des Verbin dungsaufbaus hier die Ver schl sselung durchlaufen schaltet das Ampellicht auf gr n wie auch anschlie end die Tun nelverbindung Die Verbindung ist damit hergestellt Beachten Sie dass gr ne Am pellampen eine stehende Ver bindung und anfallende Geb h ren signalisieren FEC Secure IPSec Client m m m 169 D Verbindungsaufbau O Client Logon Erfolgt das Client Logon am Network Access Server vor dem Windows Logon an der remote Dom ne indem die Logon Optionen genutzt werden siehe Monitor Logon Optionen so erfolgt der Verbindungsaufbau prinzipiell genau so wie oben unter Ver binden beschrieben Nach der Auswahl des Zielsystems wird mit Klick auf den OK Button der Verbin W hlen Sie Ihr Zielsystem aus RE dugsaufbau eingeleitet Zielsystem Zentrale v Amtsholung Lokal anmelden Ein Klick auf diesen Button bricht den Dialog zum Verbindungsaufbau ab I Dom nen Anmeldung aktivieren Lokal anmelden Dom nen Anmeldung Mit dieser Option ist eine sichere WAN Dom nen Anmel aktivieren dung m glich auch wenn vorher keine ordnungsgem e Ab meldung erfolgte Die Anmeldung dauert einige Sekunden Diese Funktion wird nicht ben tigt wenn bei einem ord nungsgem en Herunterfahren
175. nknetz Gegenstellen Access Point Die Verbindungsart WLAN kann nur unter Windows 2000 XP genutzt werden Unter Windows 98 NT wird der Adapter f r ein wireless LAN WLAN Adapter genauso be handelt wie normale LAN Adapter D h auch f r WLAN wird als Verbindungsart LAN over IP gew hlt Dazu wird das Tool der WLAN Karte oder das von Win dows zur Konfiguration der Funknetzverbindung genutzt Unter Windows 2000 XP kann der WLAN Adapter mit der Verbindungsart WLAN betrieben werden Im Monitormen erscheint eigens der Men punkt WLAN Einstel lungen worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden k n nen Wird diese WLAN Konfiguration aktiviert so muss das Management Tool der WLAN Karte deaktiviert werden Alternativ kann auch das Management Tool der WLAN Karte genutzt werden dann muss die WLAN Konfiguration im Monitormen deaktiviert werden Wird die Verbindungsart WLAN f r ein Zielsystem im Telefonbuch eingestellt so wird unter dem grafischen Feld des Client Monitors eine weitere Fl che eingeblendet auf der die Feldst rke und das WLAN Netz dargestellt werden siehe gt WLAN Einstel lungen Ext Dialer Ist die Verbindungsart Ext Dialer ber externen Dialer eingestellt wird beim Dr k ken des Verbinden Buttons eine vorkonfigurierte EXE Datei z B der iPass Dialer gestartet ber diese EXE Datei wird die Verbindung zum Internet hergestellt und an schlie
176. nschlie end auf Fertig stellen um das Setup abzuschlie en Nachdem alle ben tigten Dateien eingespielt wurden und die Programmgruppe angelegt wurde klicken Sie auf Fertigstellen um das Setup abzuschlie en Jetzt muss nur noch der Treiber FEC Secure IPSec Client als Adapter installiert werden Fahren Sie fort indem Sie auf OK klicken weiter n chste Seite FEC Secure IPSec Client m m 31 Installation 32 ls Nach dem Bet tigen des OK Buttons wird der Dialog Netzwerk ge ffnet siehe links Klicken Sie Hinzuf gen Konfiguration Identifikation Zugriffssteueruna Die folgenden Netzwerkkompanenten sind installiert EI Ve Client Fur Microsoft Netzwerke Bei Windows ME wird ein entsprechender gesonderter Dialog zu Hardware A hinzuf gen eingeblendet Frimare Netzwerk anmeldung Client fur Metware Hetzwerke r Dater und Druckerfreigabe Beschreibung OR Abbrechen eS w hlen Sie Netzwerkkarte und bet tigen Sie nochmals Klicken Sie auf die zu installierende Metzwerkkomponente Hinzuf gen Hinzuf gen Abbrechen Eine Netzwerkkarte izt eine Hardwarekomponente Uber die der Computer an das Netzwerk angeschlossen wird ch Unter der Rubrik Hersteller s 9 27 EE Klicken Ge auf die Netzwerkkarte die Ihrer Hardware entspricht und w hlen Sie FEC aus und ans
177. nstellungen Testrerkindung IPSec native LAN WLAN Zentrale ISON Auf der rechten Seite der Profil Einstellungen sind Buttons angebracht zu folgenden Funktio nen Konfigurieren Neuer Eintrag Kopieren L schen OK Hilfe und Abbrechen Neuer Eintrag Profil Um ein neues Profil zu definieren klicken Sie auf Profil Einstellungen Wenn sich das Fenster des Men s ffnet klicken Sie auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Profil mit Ihrer Hilfe ein neues Profil an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen ha ben ist ein neues Profil angelegt F r alle weiteren Parameterfelder des Profils werden Standardwerte eingetragen Benutzerhandbuch FEC Secure IPSec Client m m m 63 64 Client Monitor Ass stent fur neues Profil El Mit dem Konfigurations ER Assistenten k nnen Verbin erbindungstpp A Welche Werbindung soll zum zelsystem hergestellt werden fu nkwerk dungen mit dem Internet sepia coereragnicaligrs oder zum Firmennetz rasch hergestellt werden Je nach Auswahl des ge w nschten Verbindung styps wird das Profil nach wenigen Konfigurationsab fragen angelegt Im folgenden die jeweils notigen Daten zur Konfiguration Verbindung zum Firmennetz ber IPSec Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzername Passwort Rufnummer VPN Gateway
178. nu des Clients unter dem Men Punkt Hilfe gt Lizenzinto und Aktivierung ein Seriennummer I Update Rer PEA Dieses Fenster Schlie en 212006 by Funkwerk Enterprise Communications GmbH Benutzerhandbuch FEC Secure IPSec Client m m m 121 Client Monitor 122 m FEC Secure IPSec Client Benutzerhandbuch A gt 5 Konfigurationsparameter Die IPSec Client Software gestattet die Einrichtung individueller Profile f r entspre l chende Zielsysteme die nach den Benutzeranforderungen konfiguriert werden k nnen Im folgenden sind alle Parameterbeschreibungen aufgef hrt und sie sind so angeord net wie sie auf der Oberfl che des Client Monitors erscheinen Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr RR fen bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Sa Testzugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzugangs in Verbindung mit dem FEC Secure IPSec Client finden Sie unter www funkwerk ec com Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 123 Konfigurationsparameter Profil Einstellungen 9 1 124 Profil Einstellungen Nachdem Sie Profil Einstellungen im Men des Monitors angeklickt haben ffnet sich das Men und zeigt eine bersicht ber die bereits definierten Profile und die Ruf nummern der zugeh rigen Ziele Seitlich finden Sie Buttons ber
179. nung eines Adapters zu unbekannten oder bekannten Netzen wird automat isch protokolliert im Log Fenster des Client Monitors und in der Log Date1 der Fire wall siehe gt Protokollierung wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Automatische Erkennung der bekannten Netze aktivieren Zur automatischen Friendly Net Detection beachten Sie bitte das Parameterfeld auf der folgenden Seite Benutzerhandbuch FEC Secure IPSec Client m m mu m T7 Client Monitor 78 Automatische Erkennung der bekannten Netze Re Re RE Was ein Friendly Net ist er wird vom Administrator zentral verbindlich festgelegt Die Signalisierung eines Friendly Net erfolgt im Monitor durch das Firewall Symbol das sich gr n f rbt sobald sich der Client in ein Friendly Net eingew hlt hat IP Adresse des Dienstes zur Erkennung der bekannten Netze Erforderlich ist ein Friendly Net Detection Server FNDS d h eine Softwarekompo nente von NCP in einem als Friendly Net definierten Netz Dieser FND Server muss ber IP erreichbar sein und seine IP Adresse hier eingetragen werden Die Adresse ei nes zweiten Servers kann als Ersatz nach einem Semikolon eingetragen werden Benutzername Passwort FNDS Die Authentisierung des Friendly Net Detection Servers erfolgt ber MD3 oder TES Hier einzutragender Benutzername und Passwort m ssen mit jenen am FNDS hinterleg ten bereinstimmen Benutzer Subject des eingehenden
180. o 129 AUD spetti app rad EE 23 XAUTH 2 0 80000 ae era de 154 192 xDSL AVM PPP over CAPD 128 XDSL PPFPOE A usa E oA BR ren e 128 Zertifikats Erweiterungen Extensions 54 Zertifikats Konfiguration o nn 87 Zertifikats berpr fung 160 Zertifikats berpr fungen 2 22 cc onen 195 Zertifikatsverl ngerung 4 48 ae E 2 91 Zugangsdaten ica ais a da e a 155 Benutzerhandbuch
181. oftware Kapitel 2 Installationsanweisungen Kapitel 3 Beschreibung der grafischen Benutzeroberfl che Kapitel 4 Beschreibung der Konfigurationsm glichkeiten Kapitel 5 Beschreibung der in den Profil Einstellungen aufgelisteten Parameter Kapitel 6 Beschreibung eines Verbindungsaufbaus Kapitel 7 Beispiele und Erkl rungen insbesondere zu IPSec Glossar f r Abk rzungen und Begriffe Index Querverweise sind im Text in Klammern gesetzt und geben die Verweisstelle mit dem Titel bzw nach einem Komma mit dem Untertitel an Texte die am Seitenrand mit einem Ausrufezeichen markiert sind sollten besonders beachtet werden E Weiterf hrende Hilfestellungen k nnen jederzeit ber die kontextsensitive Online Hil LU te abgerufen werden Benutzerhandbuch FEC Secure IPSec Client m m mu m 13 Produkt bersicht 1 2 FEC Secure IPSec Client universelle L sung fur sichere VPN L sungen Der FEC Secure IPSec Client kann in beliebigen VPN Umgebungen eingesetzt werden Er kommuniziert auf der Basis des IPSec Standards mit den Gateways verschiedenster Hersteller und ist die Alternative zu der am Markt angebotenen einheitlichen IPSec Client Technologie Die Client Software emuliert einen Ethernet LAN Adapter Der IPSec Client verf gt ber zus tzliche Leistungsmerkmale die dem Anwender den Ein stieg in eine ganzheitliche Remote Access VPN L sung erm glichen Der IPSec Client bietet M Unterst tzung aller g ngigen Betriebssyst
182. oftware von Ihrem PC Wichtig Nachdem die Komponenten entfernt wurden sind die Profil Einstellungen des Clients erhalten geblieben so dass sie f r neuere Versionen des Clients genutzt werden k nnen Um die Dateien vollst ndig vom PC zu l schen m ssen Sie sie per Hand ge l scht werden je nach Windows Betriebssystem aus einem der beiden Verzeichnisse C Windows ncple oder C WINNT ncple Benutzerhandbuch FEC Secure IPSec Client m m m 39 Installation 40 FEC Secure IPSec Client Benutzerhandbuch A ES 3 Client Monitor Wenn die Software installiert wurde kann der Monitor ber das Start Men Pro gramme FEC Secure IPSec Client gt Secure Client Monitor aktiviert werden Damit ffnet sich das Fenster des Monitors auf dem Bildschirm Hinweis Wenn der Monitor geladen wurde erscheint er entweder auf dem Bildschirm oder wenn er dort nicht dargestellt wird in der Taskleiste FEC Secure IPSec Client Mal zl IS 7 Der Monitor hat 4 wichtige Funktionen M den aktuellen Status der Kommunikation wiederzugeben M den Verbindungsmodus einzustellen M die Limits der Verbindungssteuerung bestimmen E die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem Benutzerhandbuch FEC Secure IPSec Client m m m 41 Client Monitor 3 1 Die Oberfl che des Client Monitors 3 1 1 Bedien und Anzeigefelder Der Client Monitor besteht aus Dl einer Titelzeile mit Am FEC Secure I
183. on Funkwerk Enterprise Communications implemen tierten Mechanismen besteht Benutzerhandbuch FEC Secure IPSec Client m m mu m 49 4 1 4 90 Client Monitor Verbindungs Informationen Wenn Sie den Men punkt Verbindungs Informationen anklicken werden statistische Werte gezeigt Dar ber hinaus aber auch welche Security Schl ssel SSL mit Zertifi kat Blowfish verwendet werden und welche IP Adressen ber PPP Verhandlung zwischen Client und Server ausgetauscht werden Die Verbindungs Informationen k nnen vom Administrator ausgeblendet werden so dass der Men punkt nicht aktiviert werden kann Verbindungs Informationen zl Sind die Verbindungs Informationen ausgeblendet so k nnen die wichtigsten Daten aus den Feldern der Daten bertragung derStatistik Daten bertragung 5 5 und der Sicherheit auch aus dem Statistik Fenster des Clients abgelesen werden siehe gt 3 2 5 Fenster O Statistik anzeigen SCH ze Verbindungszeit Als Verbindungszeit wird die gesamte Zeit angezeigt w hrend der Sie an ein bestimm tes Gateway angew hlt sind unabhangig von irgendwelchen Timeouts Der Wert f r die Verbindungszeit wird nur dann auf null 0 gesetzt wenn die Verbindung zu einem anderen Gateway hergestellt oder der PC gebootet wird Timeout Der Monitor zeigt die Zeit an die bis zum n chsten Timeout noch verbleibt Unmittel bar nachdem der letzte Datenaustausch
184. ors erscheinen Ist dies nicht der Fall so muss die EAP Konfiguration im Monitor Men aktiv geschaltet werden Durch einen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt werden Anschlie end erfolgt die EAP Verhandlung erneut HTTP Authentisierung F r die automatische HTTP Authentisierung am Access Point HotSpot muss diese Funktion aktiviert werden Damit wird ein weiteres Parameterfeld HTTP Anmeldung im Telefonbuch zugeschal tet in welches im folgenden die Authentisierungsdaten eingegeben werden k nnen siehe oben HTTP Anmeldung Bei einem Link mit der Verbindungsart WLAN wird die HTTP Anmeldung im Tele fonbuch nicht zugeschaltet Statt dessen wird mit der Aktivierung dieser Funktion be wirkt dass f r dieses Zielsystem die Authentisierungsdaten aus den WLAN Einstellun gen im Monitor Men zum Einsatz kommen Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 143 Konfigurationsparameter Profil Einstellungen 5 1 6 IPSec Einstellungen 144 Frofil Einstellungen Zentrale Grundenstellungen Line Management IPSec Einstellungen T 0 0 0 0 Erweiterte Psec O ptioner Identit t IP Adressen Zumeisung VPN IP Netze Automatischer Modus H ertifikate Uberpriiung Link Firewall Automatischer Modus r Main Mode Noe E In diesem Parameterfeld geben Sie die IP Adresse des Gateways ein Dar ber hinaus legen Sie die Richtlinien fest die f r die IPSec Verbindung in der Phase 1 un
185. ort unterbrochen Weiter ist ein Stateful Inspection Filter in der Lage Regeln in Abh n gigkeit von notwendigen Kommunikationsprozessen anzupassen Wenn z B eine abge hende FTP Verbindung erlaubt ist so erm glicht die Firewall auch automatisch die Etablierung des zugeh rigen R ckkanals Die entsprechenden Informationen Ports werden aus der Kontrollverbindung herausgelesen Ein vorteilhafter Aspekt von Stateful Inspection Filtern ist die F higkeit die Daten auf allen Protokollebenen d h von Netzwerk bis Anwendungsebene zu pr fen So kann z B ein FTP GET erlaubt ein FTP PUT jedoch verboten werden Ein positiver Effekt der im Vergleich zu konventionellen Paketfiltern erh hten Eigenintelligenz ist die Op tion einzelne Pakete w hrend einer Kommunikationsbeziehung zu assemblieren und 198 nmmmm FEC Secure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen damit erweiterte M glichkeiten zur Benutzer Authentisierung zur Anwendung zu brin gen Als Folge der nicht verl sslichen Trennung der Netzwerksegmente sind Stateful Inspection Filter nicht immun gegen bestimmte auf unteren Protokollebenen stattfin dende Angriffe So z B werden fragmentierte Pakete i d R von au en nach innen ohne weitere Pr fung durchgelassen Benutzerhandbuch FEC Secure IPSec Client m m m 199 Beispiele und Erkl rungen 200 nmmmm FEC Secure IPSec Client Benutzerhandbuch A A Abk rzungen und Beg
186. otwendigen Sicherheitsme chanismen wie starke Authentisierung Schl sselaustausch und Verschl sselung Mit den IPSec RFCs 2401 2409 l sst sich ein VPN mit vorgegebener Security f r IP realisieren Tunneling und Security sind f r IPSec vollst ndig beschrieben so dass ein komplettes Rahmenwerk f r das VPN zur Verf gung steht Prinzipiell ist es m glich herstellerunabh ngige veschiedene Komponenten zu nutzen In Site to Site VPNs etwa k nnten die VPN Gateways von veschiedenen Herstellern stammen in End to Site VPNs k nnten die Clients von einem anderen Hersteller als die Gateways sein Der Verbindungsaufbau zum IPSec Verkehr erfolgt auf Basis des Internet Key Ex change Protokolls IKE IPSec allgemeine Funktionsbeschreibung In jedem IP Host Client oder Gateway der IPSec unterst zt gibt es ein IPSec Modul bzw eine IPSec Maschine Dieses Modul untersucht jedes IP Paket nach bestimmten Eigenschaften um die jeweils entsprechende Security Behandlung darauf anzuwenden Die Pr fung der vom IP Stack ausgehenden IP Pakete erfolgt bez glich einer Secure Policy Database SPD Dabei werden alle konfigurierten SPDs abgearbeitet Bei Ein satz des IPSec Clients werden die SPDs nur zentralseitig am Gateway gehalten Die SPD besteht aus mehreren Eintr gen SPD Entries die wiederum einen Filterteil beinhalten Der Filterteil siehe Erweiterte Firewall Einstellungen oder Selektor ei nes SPD Eintrags besteht haupts chlich au
187. p TKIP2 Nein Infrastrukture WEP dhcp WER Nein Infrastrukture WEP static WER Nein Infrastrukture Neu Bearbeiten Kopieren L schen Schlie en WLAN Profile x Allgemein Verschl sselung IP Adressen Authentisierung Allgemeine Profil Einstellungen ST Name ncptest2003 SSAD ncptest2003 Netzwerktyp Infrastructure El Energie Mode Continuous Access Mode CAM zl Continuous Access Mode CAM Maximum Power Saving Mode Fast Power Saving Mode Hilfe Lox Abbrechen Bereits erstellte Profile zum oben selektierten Adapter werden in ei ner Liste dargestellt Netzwerktyp Verschl sselung und SS ID m s sen mit den obigen Netzwerkpara metern bereinstimmen Ein neues Profil wird erzeugt in dem der Button Neu gedr ckt wird oder im vorigen Fenster auf das zugeh rige Netz ein Doppel klick ausge bt oder die rechte Maustaste geklickt wird ber die Buttons k nnen Profile auch bearbeitet oder gel scht werden Allgemeine Profil Einstellungen Der Name kann frei vergeben werden und ist bei einer neuen Profilerzeugung nach Doppelklick auf das gescannte Netz zun chst identisch mit der SS ID dieses Netzes Ebenso verh lt es sich mit dem Netzwerktyp der identisch sein muss mit dem im Broadcast des Funknetzes gesendeten Der Netzwerktyp muss dann manuell auf Ad Hoc umgestellt werden wenn ein Profil f r eine Direktverbindung von PC zu PC herg
188. ption dass die hier konfigurierte Regel nur g ltig bei inaktiver VPN Verbindung ist wenn Sie w nschen dass z B eine Internet Verbindung bei gleichzeitig bestehender VPN Verbindung ausgeschlossen wird ansonsten aber Inter net Verbindungen zu unbekannten Netzen zugelassen sein sollen Dazu muss diese Re gel f r unbekannte Netze angewendet werden d h diese Regel muss den Zugang zu unbekannten Netzen zulassen Die Option kein automatischer Verbindungsaufbau steht nur bei gesperrter Grundein stellung zur Verf gung Sie ist nur sinnvoll wenn im Telefonbuch im Parameterfeld Verbindungssteuerung der Verbindungsaufbau auf automatisch gestellt wurde F r die ber diese Regel definierten Datenpakete findet bei Aktivierung dieser Funktion kein automatischer Verbindungsaufbau statt f r andere Datenpakete schon 72 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung O Firewall Regel Lokal A Auf dieser Registerkarte werden die Filter f r die lokalen IP Adressen und IP Ports eingestellt Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der Firewall nach au en durchge lassen deren Quelladresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Von den eingehenden Datenpaketen werden diejenigen durchgelassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigk
189. r ffentlichen IP Adresse gesetzt die der Client pro Internet Session vom Provider erh lt oder unter der Verbindungsart LAN die Adresse die der LAN Adapter besitzt Wird die lokale IP Adresse verwendet und der Typ im Parameterfeld Identit t steht auf IP Adresse dann darf im Feld f r die ID keine IP Adresse eingetragen sein Nur dann ist gew hrleistet dass die jeweils aktuelle ffentliche IP Adresse automatisch zur Identifikation f r Phase 1 an das Gateway bertragen wird Benutzerhandbuch FEC Secure IPSec Client m m m 193 Beispiele und Erkl rungen 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr Bitte beachten Sie dass der IPSec Client exklusiven Zugriff auf den UDP Port 500 be n tigt Sofern NAT Traversal eingesetzt wird wird auch Zugriff auf Port 4500 ben tigt Ohne NAT Traversal wird das IP Protokoll ESP Protokoll ID 50 benutzt Standardm ig wird der Port 500 der f r den Verbindungsaufbau genutzt wird unter Windows Systemen von den IPSec Richtlinien genutzt Um dies zu ndern gehen Sie wie folgt vor 1 Um sich zu vergewissern F gt netstat n welche Ports aktuell von PESA IT Ihrem System genutzt Aktive Verbindungen ji Proto Lokale Adresse Remoteadresse Status werden k nnen Sie unter TCP 6 8 0 0 135 8 8 0 0 0 ABH REN TCP Hp HH AAb 89 8 8 8 ABHOREN Fi 5 TCP 8 0 0 8 1025 8 8 8 0 8 ABH REN na gep EE WERE E E H MM H xbk d MH H
190. r Einsatz des Extensible Authentication Protocols Message Digest5 EAP MP5 eingestellt werden Dieses Protokoll kann dann zum Einsatz kommen wenn fiir den Zugang zum LAN ein Switch oder f r das wireless LAN ein Access Point verwendet werden die 802 1x f hig sind und eine entsprechende Authentisierung unterst tzen EAF Optionen Mit dem Extensible Authentication Protocol EAP MP5 kann verhindert werden dass sich unberechtigte Benutzer ber die Hardware Schnittstelle in das LAN einklinken Zur Authentisierung kann wahlweise VPN Benutzername mit VPN Passwort aus dem Konfigurationsfeld Identit t verwendet werden oder ein eigener EAP Benut zername mit einem EAP Passwort fonbuch unter Tunnel Parameter VPN Benutzername und VPN Passwort vom Zerti fikat bernommen werden und in den EAP Optionen Verwende VPN Benutzername und VPN Passwort aktiviert wird LA Zertifikatsinhalte k nnen dergestalt automatisch bernommen werden indem im Tele Monitors Durch einen Doppelklick auf das EAP Symbol kann das EAP zur ckgesetzt Nach Konfiguration des EAP erscheint eine Statusanzeige im grafischen Feld des l werden Anschlie end erfolgt die EAP Verhandlung erneut 94 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 2 8 Logon Optionen NT 2000 und Windows XP Den entsprechenden Parameter zur Anmeldung an ein re mote Netz unter Windows 95 98 finden Sie im Parameterfel
191. r HSCSD muss die Gegenstelle ber die entsprechende Einwahlplattform verf gen Der in die Modemkonfiguration des Secure Clients einzutragende Initialisierungs String ist vom ISP oder dem Hersteller des Mobiltelefons zu beziehen 20 FEC Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen LAN Adapter LAN over IP Um die Client Software mit der Verbindungsart LAN in einem Local Area Network betreiben zu k nnen muss zus tzlich zum bereits installierten LAN Adapter Ethernet kein weiterer Adapter installiert werden Die Verbindung der LAN Clients ins WAN stellt ein beliebiger Access Router her Einzige Voraussetzung IP Verbindung zum Zielsystem muss m glich sein Die VPN Funktionalit t liefert die Client Software xDSL Modem PPPoE Die Verbindungsart PPP over Ethernet setzt voraus dass eine Ethernet Karte installiert und dar ber ein xDSL Modem mit Splitter korrekt angeschlossen ist xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine AVM Fritz DSL Karte einge setzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate
192. r Hinweislei ste des Monitors als auch ber das Monitormen Hilfe Lizenzinfo und Aktivierung ge ffnet werden Im folgenden k nnen die Lizenzdaten wahlweise online oder offline ber einen Assistenten eingegeben werden In der Offline Variante muss eine Datei die nach Eingabe von Lizenzschl ssel und Se riennummer erzeugt wird an den NCP Web Server geschickt werden und der daraufhin auf der Website angezeigte Aktivierungsschl ssel notiert werden Dieser Aktivierungs schl ssel kann zu einem sp teren Zeitpunkt im Lizenzierungsfenster des Monitormen s eingegeben werden In der Online Variante werden die Lizenzierungsdaten ber einen Assistenten unmittel bar nach Eingabe an den Web Server weitergegeben und die Software damit unverz g lich freigeschaltet Benutzerhandbuch FEC Secure IPSec Client mm m 109 Client Monitor 4 6 1 Gultigkeitsdauer der Testversion Die G ltigkeitsdauer der Testversion betr gt 30 Tage Ohne Software Aktivierung bzw Lizenzierung ist nach dieser Zeitspanne kein Verbindungsaufbau mehr m glich FEC Secure IPSec Client Al zl ES E Client Wope jee Fehler x 110 nmmmm FEC Secure IPSec Client Ab dem Zeitpunkt der Installation wird bei jedem Start der Software im Meldungsfenster des Monitors eingeblendet wie lange die Testversion noch verwendet werden kann Ab der verbliebenen Zeitspanne von 10 Tagen wird diese Meldung rot angezeigt Bild links Zus tzlich wird i
193. r Listbox werden alle IKE Richtlinien aufgef hrt die Sie im Richtlinien Editor unter der Verzweigung IKE Richtlinie angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den Sie bei der Konfiguration vergeben haben Sie finden zwei vorkonfigurierte Richtlinien im Richtlinien Editor unter IKE Richtli nie als Pre shared Key und RSA Signatur Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtlinien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf siehe AKE Richtlinie editieren d h eine Richtli nie besteht aus verschiedenen Vorschl gen Funktional unterscheiden sich diese Richt linien durch Verwendung eines statischen Schl ssels bzw einer RSA Signatur F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem im Richtlinien Editor entfallen Die Richtlinie wird vom Gateway der Gegenstelle vorgegeben und vom Client akzeptiert Pre shared Key Diese vorkonfigurierte Richtlinie kann ohne PKI Unterst tzung ge nutzt werden Beidseitig wird der gleiche Statische Schl ssel verwendet si
194. rbindungen berwacht Die Firewall kann dar ber hinaus erkennen ob eine Verbindung Tochterverbindun gen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete eben falls weitergeleitet werden m ssen Wird eine Regel f r eine ausgehende Verbindung definiert die einen Zugriff erlaubt so gilt die Regel automatisch f r entsprechende R ckpakete F r die Kommunikationspartner stellt sich eine Stateful Inspection Ver bindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entspre chenden Datenaustausch genutzt werden darf Die Firewall Regeln k nnen dynamisch konfiguriert werden d h ein Anhalten der Software oder ein Reboot ist nicht n tig Die Firewall Einstellungen im Konfigurationsmen des Client Monitors gestatten eine genauere Spezifikation von Firewall Filterregeln Sie wirken global D h unabh ngig vom aktuell gew hlten Zielsystem werden immer zuerst die Regeln der erweiterten Firewall Einstellungen abgearbeitet bevor die Regeln der Firewall aus dem Telefon buch angewendet werden Eine Kombination der globalen und link bezogenen Firewall kann in bestimmten Szen arien durchaus sinnvoll sein Im Allgemeinen sollten jedoch nahezu alle Anforderun gen ber die globalen Einstellungm glichkeiten abzudecken sein Bitte beachten Sie dass die link bezogenen Firewall Einstellungen bei Aktivierung Vorrang den globalen haben Ist z B die Link Firewall auf immer und Aussc
195. rd funkwerk InstallShield Wizard abgeschlossen 36 InstallShield Wizard hat die FEC Secure IPSec Client Software erfolgreich installiert Der Computer muss neu gestartet werden bevor das installierte Programm verwendet werden kann O Nein Computer wird sp ter neu gestartet Nehmen Sie alle Disketten aus den Laufwerken und klicken Sie anschlie end auf Fertig stellen um das Setup abzuschlie en FEC Secure IPSec Client Danach werden die Dateien der Client Software eingespielt Anschliefend werden die Netzwerkkomponenten installiert Damit ist die Installation der Client Software unter Windows NT 2000 XP abgeschlossen Die neuen Einstellungen werden erst wirksam wenn Sie den Computer neu starten Klicken Sie Ja Computer jetzt neu starten und bet tigen Sie den Button mit Fertig stellen um Ihr System zu booten Hinweise f r Benutzerberechtigungen finden Sie im Abschnitt Zum Betrieb des Entry Clients unter Windows NT 2000 XP auf der folgenden Seite Benutzerhandbuch Installation der Client Software 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP Um mit der Client Software arbeiten zu k nnen ohne Administratorrechte zu be sitzen m ssen Schreib und Leserechte f r folgende Dateien eingerichtet sein 1 Alle Dateien im Installationsverzeichnis standard Unterverzeichnis NCPLE m ssen Leserechte besitzen unter Windows NT 2 Die Datei NCPBM DAT
196. ren Pakete ebenfalls weitergeleitet werden m ssen F r die Kommuni kationspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt werden darf Alternative Bezeichnungen f r Stateful Inspection sind Stateful Packet Filter Dynamic Packet Filter Smart Filtering Adaptive Screening Stateful Inspection vereinigt konzeptionell die Schutzm glichkeiten von Packet Filter und Application Level Gateways d h sie integriert als Hybrid die Funktionen beider Security Verfahren und arbeitet sowohl auf der Netz als auch Anwenderschicht Bei der zustandsabh ngigen Paket Filterung werden nicht nur die Internet und Trans portschicht sondern auch Abh ngigkeiten vom Zustand einer Verbindung ber cksich tist Alle aktuellen und initiierten Verbindungen werden mit Adresse und zugeordne tem Port in einer dynamischen Verbindunsstabelle hinterlegt Der Stateful Inspection Filter entscheidet anhand festgelegter Raster Informationen welche Pakete zu wel cher Verbindung geh ren Zust nde k nnen sein Verbindungsaufbau bertragung Verbindungsabbau und gelten sowohl f r TCP als auch UDP Verbindungen Ein Bei spiel an einer Telnet Sitzung Der Zustand Verbindungsaufbau wird dadurch defi niert dass noch keine Benutzer Authentisierung stattgefunden hat Hat der Benutzer sich mit Benutzername und Kennwort angemeldet wird diese Verbindung
197. rgenommen werden Der Dial Prefix ist nur in seltenen Ausnahmef llen n tig Ziehen Sie dazu das Modem Handbuch zu Rate Im folgenden einige Beispiele f r Dial Prefix ATDT ATDP ATDI ATDX E APN Der APN Access Point Profil Einstellungen Zentrale Name wird f r die Ski GPRS und UMTS Ein Netzeinwahl Modem Sei s _ Line Management wahl ben tigt Sie erhal PSeoEindehungen ten ihn von Ihrem Provi Identit t j g IP Adressen Zuweisung der Der APN wird insbe VPN IP Netze 9 j Zertifikats Uberpr fung sondere zu administrati Link Firewall ven Zwecken genutzt E SIM PIN Benutzen Sie eine SIM Einsteckkarte f r GPRS oder UMTS so geben Sie hier die PIN f r diese Karte ein Benutzen Sie ein Handy so muss diese PIN am Mobiltelefon ein gegeben werden Benutzerhandbuch FEC Secure IPSec Client m ma 139 Konfigurationsparameter Profil Einstellungen 5 1 4 Line Management Frofil Einstellungen Zentrale Line Management sc IPSec Einstellungen N manuell e Erweiterte IPSec ptionen e Identit t IP Adressen Zumeisung PR IF Netze zerthik ats berprofung Link Firewall In diesem Parameterfeld bestimmen Sie wie der Verbindungsaufbau erfolgen soll und stellen die Timeout Werte ein Wenn der Client das Verbindungsmedium ISDN nutzt k nnen Sie in diesem Parame terfeld auch eine Kanalb ndelung aktivieren Bitte beachten Sie dabei dass die Kanal b ndelung nur funk
198. riffe 3DES TripleDES Verschl sselungsstandard mit 112 Bit AES Advanced Encryption Standard Europ ische Ent wicklung der belgischen Verschl sselungsexperten Joan Daemen und Vincent Rijmen Rijndael Al gorithmus Nachfolger von DES Data Encrypti on Standard Verschl sselungsalgorithmus der bis zu 256 Bit Schl ssell nge besitzt n hoch 256 gilt als Ma einheit f r die m gliche Anzahl der Schl ssel die mit diesem Algorithmus generiert werden k nnen Trotz steigender Prozessorge schwindigkeiten wird erwartet dass der AES Al gorithmus eine akzeptable Sicherheit f r die n ch sten 30 Jahre bietet Wird in VPN und SSL Ver schl sselungen bald gro e Verbreitung finden AH Authentication Header RFC 2402 Asymmetrische Verschl sselung Public Key Verfahren Bei einer asymmetrischen Verschl sselung besitzt jeder Teilnehmer zwei Schl ssel einen geheimen privaten und einen f fentlichen Schl ssel Beide Schl ssel stehen in ei ner mathematisch definierten Beziehung zueinan der Der private Schl ssel des Teilnehmer ist streng geheim der ffentliche Schl ssel f r jeder mann zug nglich Das Schl sselmanagement ge staltet sich auch bei gro en Teilnehmerzahlen berschaubar Zwei Schl ssel pro Teilnehmer er gibt insgesamt 2 000 Schl ssel um 1 000 Teilneh mern in allen Sender Empf nger Kombinationen die sichere Kommunikation zu erm glichen Das bekannteste asymmetrische Verschl sselungsver fahr
199. rleiten 159 Lokales System caaea oda A a 26 IN er ra 51 152 M Main Mode 146 186 Major Release 2 sera AA at 121 manueller Verbindungsaufbau 167 Benutzerhandbuch FEC Secure IPSec Client m m m 217 Wes MOS 23 Ee EE a da CH 45 78 149 150 189 Meldungen des ACE Servers f r RSA Token 58 Modem ss ew AN a rasos e E er aa 127 137 Modem Init String o u 2 u a 2 odas ade 139 N Name IKE Riehtlinie ee EE NEE 5 u 4 8 2 04 149 Name IPSec Richtlinie 150 NAT Traversal 157 194 NAT T NAT Traversal 192 NEPPRI COND ai a e EA de E Hr na 24 NetBIOS uber IP zulassen 4 3 2 4 8 2 2 04 44 166 NetKey 2000 s ss Su 0 88 ess ros adigan ai 24 MEUS caca errar rasa AAA 194 Netzeinwahl A E na a ne a 132 Netzstatus u 3 5 0 2a a rra ARA 194 Netzwerk Adressen VPN IP Netze 159 Netzwerkkarte IN 03 34 48 is a ss aaa E A 32 P Passw ll 22 aaa aa AA 133 171 174 Passwort XAUTH EN NN 154 155 172 Passwort IHTTP Anmeldung 136 Passwort f r VPN Einwahl 172 Passwort speichern o 22 4 4 a 22 0 5 8 da 133 Passwort speichern IHTTP Anmeldung 136 Passw rter und Benutzernamen 171 Personal Firewall 2 x 2 2 4 cr za 004 15 16 44 PFS Perfect Forward Secrecy 22 2 2 24 054 189 PFS GiVppe lt lt id
200. rung eingehalten werden Untenstehend sind einige Richtlinien und Terminologien aufge f hrt Zu weiteren Informationen ber IP Netzwerke wird entsprechende Fachliteratur empfohlen 7 1 1 Ger te eines IP Netzwerks IP Adressen werden den Schnittstellen der Ger te eines IP Netzwerks zugewiesen Die se Ger te werden auch als Hosts oder Rechner bezeichnet Mehrfach vernetzten Ger ten z B Router k nnen auch mehrere Adressen zugeordnet werden Der Begriff Host Adresse bezeichnet die IP Adresse des Rechners eines IP Prozesses unabh ngig von der tats chlichen physikalischen Struktur des Ger ts oder der Schnittstellen 7 1 2 IP Adress Struktur IP Adressen haben eine L nge von vier Oktetten 32 Bits 4 Bytes und werden in de zimaler oder hexadezimaler Schreibweise mit Punkt getrennt notiert Zum Beispiel 198 10 6 27 oder C6 0A 06 1B oder OXC6 OXDOA 0OX06 0XLB Die Adressen werden getrennt in einen Netzwerk Abschnitt der das zugeh rige Netz adressiert und eine lokale Adresse dem sogenannten Restfeld auch Host Ab schnitt der das jeweilige Ger t innerhalb des Netzwerks adressiert Alle Ger te inner halb eines einzelnen Netzwerks haben denselben Netzwerk Abschnitt gemeinsam Je des Ger t Host hat dabei sein eigenes Restfeld Es gibt drei Klassen von Internet Adressen je nachdem wieviele Bytes der IP Adresse f r Netzwerk Abschnitt und Restfeld verwendet werden Klasse Class A gro e Netzwerke Ne
201. s sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA 1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 163 Konfigurationsparameter Profil Einstellungen 3 Uberpriifung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis
202. s GmbH Die Daten bergabe von der Aktivierungsdatei an den Aktivierungs Server kann auf zweierlei Weise erfolgen Entweder kopieren Sie den Inhalt der Aktivierungsdatei mit Copy amp Paste nachdem Sie die Aktivierungsdatei mit dem Notepad ASCII Editor ge ffnet haben in das auf der Website ge ffnete Fenster Inhalt der Aktivierungsdatei oder Sie klicken auf den Button Durchsuchen und selektieren die Aktivierungsdatei Anschlie end klicken Sie auf Absenden nmmmm FEC Secure IPSec Client Benutzerhandbuch funkwerk nterprise communications Neuer Aktivierungs Code Aktivierungs Code KT 48KK7AMEESK7 AU MMEESDES Bitte notieren Sie sich den oben gezeigten Aktivierungs Code und setzen die Aktivierung mit der Offline Aktivierung unter dem Men Punkt Hilfe Lizenzinto und Aktivierung fort Schritt 2 Dieses Fenster schlie en 5 2006 by Funkwerk Enterprise Communications GmbH Daraufhin wird der Aktivierungs Code generiert und auf der Website angezeigt Notieren Sie sich den Aktivierungs Code und setzen Sie die Aktivierung fort unter dem Men punkt Hilfe Lizenzinfo und Aktivierung indem Sie in der Offline Variante den zweiten Schritt der Aktivierung ausf hren Sollte der Aktivierungs Server erkennen dass Ihnen eine neuere Software Lizenz zusteht und der Lizenzschl ssel zur installierten Software passt wird mit der Online Aktivierung automatisch der neue Lizenzschl ssel angezeigt Wenn Sie die neu
203. s IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des SPD Eintrags bereinstimmen wird aus den SPD Eintr gen wei ter ermittelt wie mit diesem IP Paket zu verfahren ist Das Paket kann einfach durch gelassen werden permit es kann abgelehnt bzw weggeworfen werden deny oder be stimmte Security Richtlinien des IPSec Prozesses kommen an ihm zur Anwendung Diese Security Richtlinien stehen auch im SPD Eintrag beschrieben Wird auf diese Weise festgestellt dass ein IP Paket mit einem SPD Eintrag verkn pft ist der einen IPSec Prozess einleitet so wird berpr ft ob bereits eine Sicherheits Verkn pfung Security Association SA f r diesen SPD Eintrag existiert Existiert Benutzerhandbuch FEC Secure IPSec Client m m m 181 Beispiele und Erkl rungen noch keine SA wird vor dem Aushandeln einer SA zun chst eine Authentisierung und ein Schl sselaustausch siehe unten AIPSec Verhandlung Phase 1 vorgenommen Nach der SA Verhandlung erfolgen in einem weiteren Schritt siehe unten gt IPSec Verhandlung Phase 2 die Verhandlungen f r eine Verschl sselung ESP und oder Au thentisierung AH der Datenpakete Die SA beschreibt welches Sicherheitsprotokoll verwendet werden soll ESP Encap sulating Security Payload unterst tzt die Verschl sselung und die Authentisierung von IP Paketen AH Authentication Header unterst zt nur die
204. s sowie der Domain Name zugewiesen Wird diese Funktion aktiviert so kann alternativ zudem DNS WINS Server der auto matisch w hrend der PPP Verhandlung zum NAS ISP zugewiesen wird ein anderer DNS WINS Server bestimmt werden DNS Server Der zuerst eingetragene DNS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt WINS Server Der zuerst eingetragene WINS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt Domain Name Dies ist der Domain Name der sonst per DHCP dem System in den Netzwerkeinstellun gen bergeben wird Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 1397 Konfigurationsparameter Profil Einstellungen 5 1 10 VPN IP Netze Frofil Einstellungen Zentrale Grundenstellungen Hetzeinmahl Line Management IPSec Einstellungen Identit t IP Adressen Zumeisung VPN IP Hetze ertifikate Uberprii ung Link Firewall Hier k nnen genau die IP Netze definiert werden ber die der Client via VPN Tunnel komunizieren kann Wenn Tunneling genutzt wird und hier keine Eintr ge erfolgen so wird die Verbindung immer zum Tunnel Endpunkt des Gateways aufgebaut Soll alter nierend einerseits ein Tunneling zur Zentrale erfolgen andererseits ber das Internet kommuniziert werden so m ssen hier die IP Netze eingetragen werden die vom Client erreicht werden sollen Sie k nnen dann zwischen dem Internet und dem Gateway der Firmenzentrale hin und her spring
205. schlie lich wenn Sie als Verbindungmedium Parameter Modem Anschluss Baudrate Com Port freigeben Modem Init String Dial Prefix LI APN LI SIM PIN Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 137 Konfigurationsparameter Profil Einstellungen E Modem Dieses Parameterfeld zeigt die auf dem PC installierten Modems W hlen Sie aus der Liste das gew nschte Modem aus Je nachdem welches Modem Sie w hlen werden die zugeh rigen Parameter Com Port und Modem Init String automatisch in die Konfigurationsfelder des Telefon buchs aus der Treiberdatenbank des Systems bernommen Weitere Parameter f r dieses Kommunikationsmedium k nnen auch ber die System steuerung des PCs konfiguriert werden k Hinweis Bitte beachten Sie dass Sie das Modem vor der Konfiguration der Verbin eS dung im Telefonbuch installiert haben miissen um es korrekt fiir Kommunikationsver bindungen nutzen zu k nnen e Anschluss An dieser Stelle bestimmen Sie welcher Com Port von Ihrem Modem genutzt werden soll Wenn Sie bereits Modems unter Windows installiert haben wird der w hrend die ser Installation festgesetzte Com Port automatisch bernommen sobald Sie das ent sprechende Ger t unter Modem ausw hlen Hinweis Wenn Sie ein bereits unter Ihrem System installiertes Modem nutzen m ch ten so w hlen Sie vor der Einstellung des Com Ports zuerst das gew nschte Ger t un ter
206. selberechnung einbezogen und verschl sselt wird bevor sonstige In formationen bertragen werden die den Client identifizieren k nnten Ein Client der sich beim Provider einw hlt ist jedoch nicht durch die IP Adresse zu erkennen da er bei jeder Provider Anwahl eine neue zugewiesen bekommt Letztlich kann im Main Mode an alle Cli ents nur derselbe Pre shared Key vergeben werden was allerdings die Authentisierung ab schw cht 186 nmmmm FEC Secure IPSec Client Benutzerhandbuch Security H IKE Aggressive Mode mit Preshared Keys Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID gt BS e p Diffie Hellmann gt Gruppe Se Message 2 Header SA Key Exchange Nonce ID Hash schl sselt Hash Message 3 Header Hash Eine M glichkeit einen allgmeinen Pre shared Key zu vermeiden w re den Aggressive Mode zu nutzen Bild oben doch wird dabei die ID des Clients nicht verschl sselt IKE Main Mode Identity Protection Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header Security Association Message 2 Header Security Association unver K gt schl sselt x Message 3 Header Key Exchange Nonce gt A Diffie Hellmann gt Gruppe lt Message 4 Header Key Exchange Nonce Message 5 Header ID Zertifikat Signatur e ymmetrische S Verschl sselung Sch l sselt u Message 6 Header ID Zertifikat Signatur Werden RSA Signa
207. setzt und die Verbindung zu dieser Adresse her stellt D Kanal Protokoll Das D Kanal Protokoll sorgt daf r dass sich End ger te mit dem Netz verst ndigen k nnen Es steu ert unter anderem Verbindungsauf und abbau Es umfasst Schicht 2 und 3 Auf Schicht 2 von ISDN ist HDLC f r die logische Daten bertragungs steuerung eingesetzt Das eigentliche D Kanal Protokoll ist auf Schicht 3 angesiedelt Mittlerwei le ist DSS1 als europaweites D Kanal Protokoll verf gbar DSA Directory System Agent DSS1 European Digital Subscriber System No 1 Euro p isches ISDN Protokoll f r den D Kanal DUA Directory User Agent ECP Encryption Control Protocol ESP Encapsulating Security Payload RFC 2406 Euro ISDN ITU Standard f r Europ isches ISDN bezieht sich auf das D Kanal Protokoll DSS1 und m gliche Dienstmerkmale wie Geb hrenanzeige Advice of Charge R ckruf bei Besetzt Completion of Calls to Busy Subscriber Rufumleitung Call Forwar ding Anklopfen Call Waiting etc Im Euro ISDN mit dem D Kanal Protokoll DSS1 werden einzelne Endger te mit der Multible Subscriber Number MSN adressiert Firewall Trennt Public Netz von Private Netz Schutzme chanismus in Netzen der den Zugriff der Stationen regelt Ein Firewall Rechner schottet ein Netzwerk 204 nmmmm FEC Secure IPSec Client Benutzerhandbuch A BR vor allem WAN seitig gegen unautorisierten Zu griff ab Die Berechtigung kommender und abge hender Verbindung
208. smedium entfallen wenn ein Zielsystem f r Auto matische Medienerkennung konfiguriert wurde und je ein Zielsystem mit den alterna tiv verf gbaren Verbindungsarten wie zum Beispiel Modem und ISDN Profil Einstellungen Firmenzentrale auto Grundeinstellungen Line Management en S IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung al Link Firewall ii Automatische Medienerkennung r 12 Erofil f r automatische Medienerkennung verwenden Profil Einstellungen Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Dabei ist zu beachten dass das Zielsystem mit automatischer Medienerkennung mit allen f r die Verbindung zum VPN Gateway n tigen Parametern konfiguriert ist Bild links oben wohingegen die Zielsysteme mit den alternativen Verbindungsarten so konfiguriert sein m ssen dass die jeweils gew nschte Verbindungsart evtl auch die Modemparameter einge stellt ist und die Funktion Eintrag f r automatische Medienerkennung aktiviert ist Bild links unten Au erdem m ssen f r das jeweili ge Verbindungsmedium die Ein gangsdaten zum ISP im Parame terfeld Netzeinwahl gesetzt sein Bei einem Verbindungsaufbau er kennt der Client automatisch wel che Verbindungsarten aktuell zur Verf gung stehen und w hlt davon die schnellste aus wobei bei mehreren alternativen bertragu
209. sselung IN Rum EIN e m bein Dl Schl sselaustausch e Al Rx und Tx Bytes Las ses al 4 1 5 Verf gbare Verbindungsartn A u u gt 4 1 6 Zertifikate a E ENEE Aussteller Zertifikat anzeigen 2 2 2 2 m m nn 2 Benutzer Zertifikat anzeigen 2 2 nm nn nen 93 Eingehendes Zertifikat anzeigen o 2x 3 s u 8 a a 53 CA Zertifikate anzeigen aa een A Anzeige und Auswertung von Een ee re ee 54 Anzeige der Erweiterungen Extensions 2 59 Auswertung der Erweiterungen Extensions 56 4 1 7 PIN eingeben RE Ee EE Sicherung der PIN Bea een 4 1 8 PIN zur cksetzen a se sas OO PIN Status im Client Monitor o a as 28 PIN Eingabezwang nach Abmeldung EES teg Mode sa eaa 38 Anzeige der Meldungen des ACE Servers f r RSA Token AN 4 1 9 PIN ndern E A E gt 4 1 10 ein dun sien Statistik ee ee en BO 4 1 11 Sperre aufheben 2 KL Er rn 60 4 1 12 Beenden des Monitors 2 2 2 2 2 m m nn nn nn 61 4 2 Konfiguration AAA EAN e 4 2 1 Profil Binde ineen TE a a DS Die Eintr ge der Profil Einstellungen A E 4 2 2 Firewall Einstellungen DEENEN Eigenschaften der Firewall a cosas O Konfiguration der Firewall Einstellungen NEEN N Konfigurationsfeld Grundeinstellungen 68 Firewall deaktiviert gt Gesperrte Grundeinstellung Cmon en e Offene Grundeinstellung e D I Konfigurationsfeld Firewall Regeln
210. stellen kann so muss die PIN zur ckgesetzt werden siehe Monitormen Verbindung PIN zur cksetzen oder unter Konfiguration Zertifikat die Funktion PIN Abfrage bei jedem Verbindungsaufbau aktiviert sein u Endpoint Policy Werden zwischen Client und VPN Gateway Endpunkt Sicherheitsrichtlinien eingesetzt so wird bei einem Verbindungsaufbau das Policy Symbol dargestellt W hrend der Pr fung der Policy nachdem die Verbindung aufgebaut wurde erscheint es mit gelben Ha ken wenn die Richtlinien erf llt werden mit gr nen Haken wenn die Richtlinien nicht erf llt werden mit roten Haken wonach die Verbindung zum Gateway wieder abgebaut wird E Firewall Das Firewall Symbol ist immer dann sichtbar wenn eine Firewall aktiviert ist Ist die globale Firewall Personal Firewall mit definierten Regeln aktiv und die link spezifi sche Firewall nicht aktiv so wird das Symbol ohne Pfeile dargestellt Bei aktivierter Link Firewall wird das Symbol mit Pfeilen dargestellt gleich ob die globale Firewall aktiv oder inaktiv ist 44 FEC Secure IPSec Client Benutzerhandbuch II E Wird die Link Firewall im Telefonbuch aktiv geschaltet mit Stateful Inspection akti vieren gt immer und wird konfiguriert dass eine Kommunikation ausschlieslich im Tunnel zugelassen wird so wird das Firewall Symbol mit zwei roten Pfeilen darge stellt Wird die Option Ausschlieslich Kommunikation im Tunnel zulassen ausge schalt
211. stems nachladen zu k nnen Zielsystem Die Parameter f r das Zielsystem werden ber die Profil Einstellungen eingegeben Entsprechend der m glichen Verbindungsarten des Clients muss das Zielsystem eine der folgenden Verbindungsarten unterst tzen ISDN PSTN analoges Modem LAN over IP WLAN oder PPP over Ethernet Lokales System Eines der folgenden Kommunikationsger te und der entsprechende Treiber muss auf dem Client PC installiert sein ISDN Adapter ISDN Der ISDN Adapter muss die ISDN CAPI 2 0 unterst tzen Wenn Sie PPP Multilink nutzen kann die Software bis zu 8 ISDN B Kan le je nach Kanalanzahl des Adapters b ndeln Prinzipiell kann jeder ISDN Adapter der die ISDN Schnittstelle CAPI 2 0 unterst tzt eingesetzt werden F r gew hnlich wird die CAPI bei der Installation ei nes ISDN Adapters automatisch eingerichtet E Analoges Modem Modem F r die Kommunikation ber Modem PSTN muss das Modem korrekt installiert sein sowie Modem Init String und COM Port Definition zugewiesen sein Das Modem muss den Hayes Befehlssatz unterst tzen Ebenso k nnen Mobiltelefone f r die Datenkommunikation genutzt werden nachdem die zugeh rige Software installiert wurde die sich f r den Client genauso darstellt wie ein analoges Modem Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle die IR Schnittstelle Infrarot oder Bluetooth genutzt werden Je nach bertragungsart GSM V 110 GPRS UMTS ode
212. t so muss er bei jedem Verbin dungsaufbau das Passwort per Hand eingeben R Passwort speichern Dieser Parameter muss aktiviert angeklickt werden wenn gew nscht wird dass das Passwort und das Passwort Ziel sofern es eingegeben ist gespeichert wird Andern falls werden die Passw rter gel scht sobald der PC gebootet wird oder ein Zielsystem gewechselt wird Standard ist die aktivierte Funktion Wichtig Bitte beachten Sie dass im Falle gespeicherter Passw rter jedermann mit Ih rer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt A Rufnummer Ziel F r jedes Ziel muss eine Rufnummer definiert sein da der Client sonst keine Verbin dung herstellen kann Diese Rufnummer muss genauso eingetragen werden als w rden Sie diese Telefonnummer per Hand w hlen D h Sie m ssen alle notwendigen Vor wahlziffern ber cksichtigen Landesvorwahl Ortsvorwahl Durchwahlziffern etc etc Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 133 Konfigurationsparameter Profil Einstellungen 134 Tragen Sie jedoch nicht die Amtsholung ein auch wenn Sie an einer Nebenstellenanla ge angeschlossen sind Die Amtsholung wird unter dem Monitor Men punkt Konfigu ration eingetragen und hat auf diese Weise G ltigkeit f r alle Rufe siehe Amtsho lung Beispiel Sie wollen eine Verbindung von Deutschland nach England herstellen 00 f r die internationale Verbindung wenn Sie von
213. t der Lizenzierung der Software akzeptieren Sie die Lizenzbedingunge Hilfe Schlie en Assistent f r Software Aktivierung Aktivierungsart Welche Art der Aktivierung soll durchgef hrt werden funkwerk emerprise communications TTT AAA Bei der Online Aktivierung werden die angegebenen Lizenzdaten ber eine bestehende Internetverbindung zum Aktivierungs Server bertragen und gepr ft Nach erfolgreicher Pr fung der Lizenzdaten wird anschlie end die FEC Secure IPSec Client Software automatisch als lizenzierte Yollversion aktiviert Dffline Aktivierung Bei der Offline Aktivierung wird nach der Eingabe der Lizenzdaten eine Datei mit den erforderlichen Daten f r die Aktivierung erzeugt Diese Datei muss anschlie end manuell ber den Browser an den Aktivierungs Server bergeben werden Anschlie end muss mit dem zuruckgegebenen ktivierungs Code die Software als lizenzierte Yollversion aktiviert werden lt zur ck Abbrechen Benutzerhandbuch Sie k nnen hier ablesen um welche Software Version es sich handelt und wie die Software lizenziert ist d h dass die Testversion abgelaufen und die Software noch nicht aktiviert lizenziert ist Mit Klick auf die Lizenzbedingungen wird der entsprechende Vertragstext eingeblendet Mit der Aktivierung Lizenzierung der Software akzeptieren Sie die Lizenzbedingungen Zur Aktivierung der Software klicken Sie auf den Button Aktivieru
214. t die symmetrische Ver schl sselung der Messages 5 und 6 im Kontrollkanal sofern der Main Mode Identity Protection Mode gefahren wird Zur Wahl stehen DES Triple DES Blowfish AES 128 AES 192 AES 256 Hash IKE Richtlinie Modus wie der Hash Wert ber die ID bzw das Zertifikat der Messages im Kontroll kanal gebildet wird Zur Wahl stehen MD5 Message Digest Version 5 und SHA Secure Hash Alogrithm SHA 256 SHA 384 und SHA 512 Bit DH Gruppe IKE Richtlinie Mit der Wahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt wie si cher der Key Exchange im Kontrollkanal erfolgen soll nach dem der sp tere symmetri sche Schl ssel erzeugt wird Je h her die DH Group desto sicherer ist der Key Ex change Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 149 150 Konfigurationsparameter Profil Einstellungen IPSec Richtlinie editieren IPSec Richtlinie x Pie IPSec Richtlinien Phase 2 Parameter die Sie hier occ Dale Auswahl f r die SPD gelistet 2 F r alle Benutzer sollten die gleichen Richtlinien samt zu geh riger Vorschl ge Proposals gelten D h sowohl Ei auf Client Seite als auch am AES 128Bt H A Zentralsystem sollten f r die MDS El Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlin
215. t eines Browser Starts zur HTTP Authentisierung erfolgt mit den hier gemachten Eingaben die Authen tisierung automatisch im Hintergrund F r die script gesteuerte Anmeldung kann ein Script aus dem Installationsverzeichnis lt install gt scripts samples f r weitere HotSpots entsprechend angepasst werden Bei der Verbindungsart WLAN werden die Authentisierungsdaten f r den Hotspot aus den WLAN Einstellungen bernommen bzw wenn diese deaktiviert sind aus dem Management Tool der WLAN Karte Benutzername HTTP Anmeldung Dies ist der Benutzername den Sie von Ihrem HotSpot Betreiber erhalten haben a Passwort HTTP Anmeldung Dies 1st das Passwort das Sie von Ihrem HotSpot Betreiber erhalten haben Das Pass wort wird mit verdeckter Schreibweise mit eingegeben O Passwort speichern HTTP Anmeldung Nachdem das Passwort eingegeben wurde kann es gespeichert werden u HTTP Authentisierungs Script HTTP Anmeldung Hier kann nach Klick auf den Suchen Button das hinterlegte Anmelde Script selek tiert werden 136 mmm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 4 Modem Frofil Einstellungen Zentrale Hetzeinwa hl Modern Line Management IPSec Einstellungen Identit t IP Adressenzumeisung PH IF Netze Zzerhfikats berprafung Link Firewall Modem gew hlt haben Alle n tigen Parameter zu dieser Verbindungsart sind hier gesammelt 1 Dieses Parameterfeld erscheint aus
216. t verschiedenen IP Adressen auf der Gegenseite ent sprechend der Eintr ge Mit den Einstellungen unter Remote Ports l sst sich festlegen ber welche Ports mit entfernten Systemen kommuniziert werden darf Alle Ports setzt keinerlei Beschr nkungen hinsichtlich Ziel Port bei abgehenden bzw Quell Port bei eingehenden Paketen m mmmFEO Secure IPSec Client Benutzerhandbuch Monitor Bedienung Eindeutiger Port l sst nur eine Kommunikation ber den angegebenen Port zu wenn dieser als Ziel Port im abgehenden bzw als Quell Port im eingehenden Paket vorkommt Soll z B eine Regel nur Telnet zu einem anderen System zulassen ist hier Port 23 einzutragen Mehrere Ports Bereiche k nnen verwendet werden wenn mehrere Ports f r eine Regel verwendet werden sol len z B FTP Port 20 21 Benutzerhandbuch FEC Secure IPSec Client m m mu m 75 E Firewall Regel Anwendungen Firewall Aegel LA Programme ping exe AA http 80 pop e In LI 76 FEC Secure IPSec Client Client Monitor Regel einer bestimmten Anwendung zuweisen besagt dass bei gesperrter Grundeinstellung f r diese Anwendung eine Verbindung m glich ist Wird ber den Button Anwendung ausw hlen eine lokal installierte Anwendung wie z B ping exe selektiert so kann nur diese Applikation kommunizieren In diesem Fall d rfen nach dieser Regel nur Pings ausgef hrt werden In diesem Beispiel sollte dann
217. talen Personalausweises verleihen E Aussteller Zertifikat anzeigen Wenn Sie sich das Aussteller Zertifikat anzeigen lassen k nnen Sie sehen welche Merkmale zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adresse Benutzer und Aussteller eines Aussteller Zertifikates sind f r gew hnlich identisch selfsigned certificate Der Aus steller des Aussteller Zertifikats muss mit dem Aussteller des Benutzer Zertifikats identisch sein siehe gt Benutzer Zertifikat anzeigen Aussteller CA Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revocation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit dem Er l schen der G ltigkeit des Aussteller Zertifikats erlischt automatisch die G ltigkeit eines vom gleichen Aussteller ausgestellten Benutzer Zertifikates Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats 52 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedienung O Benutzer Zertifikat anzeigen Wenn Sie sich Ihr Benutzer Zertifikat anzeigen lassen k nnen Sie sehen welche Merk male zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adres se Der Aussteller Ihres Benu
218. te Adressen E E ee 7 1 4 Zum Umgang mit IP Adresse Bok m e e a a a ss ES 7 2 SEENEN e e 4 DEA E sa el 7 2 1 IPSec ber TREN EEE gt 10 nmammm FEC Secure IPSec Client Benutzerhandbuch A A IPSec allgemeine Funktionsbeschreibung e IS 7 2 2 Firewall Einstellungen Firewall Settings 183 7 2 3 SA Verhandlung und Richtlinien Policies 2 184 Phase 1 Parameter der IKE Richtlinie IKE ale 2 184 Phase 2 Parameter der IPSec Richtlinie IPSec Policy 184 Kontrollkanal und SA Verhandlung 2 2 2 2 2 2 185 IKE Moodi 2 s NN ee SO 7 2 4 IPSec Tunneling roa Br a LS Implementierte ege f r Phase 1 n 2 188 Unterst tzte Authentisierung f r Phase 1 IKE NO 188 Unterst tzte sym Verschl sselungsalgorithmen Phase 1 2 188 Unterst tzte asym Verschl sselungsalgorithmen Phase 1 2 188 Unterst tzte Hash Algorithmen 189 Zus tzliche Unterst tzung fir Phase 2 189 Standard IKE Vorschl ge 2 2 2 2 2 2 190 7 2 5 Zur weiteren Konfiguration s e 192 Basiskonfigurationen in bh npiskeits vom IPSec er se 192 Gateway unterst tzt nicht XAUTH 192 Gateway unterst tzt IKE Config Mode 192 Gateway unterst tzt IKE Config Mode nicht 193 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr 194 7 3 Zertifikats berpr fungen se pent aeree ranra
219. tei Wenn Sie den Microsoft DF Dialer benutzen tragen Sie hier die Script Datei unter Eingabe von Pfad und Namen ein Siehe Grundeinstellungen Micosoft DF Dialer verwenden mm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 3 HTTP Anmeldung Frofil Einstellungen Zentrale HTTF Anmeldung Line Management IPSec Einstellungen Identit t IP Adressenzumeisung FH IF Netze zertifik ats berprofung Link Firewall dung vorgenommen werden Zentral erstellte Anmelde Scripts und die hinterlegten An meldedaten k nnen vom Access Point HotSpot bernommen werden ohne dass ein Browserfenster ge ffnet wird 1 Mit den Einstellungen in diesem Parameterfeld kann die automatische HTTP Anmel tig ist Sie m ssen den Gesch ftsbedingungen des HotSpot Betreibers zustimmen wenn die Verbindung aufgebaut werden soll LA Bitte beachten Sie dass die Verbindung ber einen HotSpot Betreiber geb hrenpflich Parameter Benutzername HTTP Anmeldung Passwort HTTP Anmeldung Passwort speichern HTTP Anmeldung L HTTP Authentisierungs Script HTTP Anmeldung Benutzerhandbuch FEC Secure IPSec Client mmm ma ma ma 135 Konfigurationsparameter Profil Einstellungen Mit diesen Daten wird die Anmeldung am HotSpot automatisiert Dies geschieht in der Weise dass bei einem Verbindungsaufbau zum Access Point von dort ein HTTP Redi rect an den Client mit einer Website zur Anmeldung erfolgt Anstat
220. tifikate bei der Installation der Software im Root Verzeichnis der ersten Diskette befinden siehe CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zerti fikate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der IPSec Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CA CERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbin dung nicht zustande Sind keine Aussteller Zertifikate vorhanden wird keine Verbin dung zugelassen berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Revo cation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterungen Extensions werden von der ausstellenden Certification Authority in das Zertifikat ge schrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeu tung extendedKeyUsage subjectKeyldentifier
221. tionieren kann wenn sowohl der Client als auch der NAS f r eine Verbindung ber gleich viele m gliche Kan le verf gen Welche Authentisierung vor dem Tunnelaufbau erforderlich ist wird vom Zielnetzwerk oder dem HotSpot Betreiber vorgegeben Parameter Verbindungsaufbau Timeout Voice over IP VoIP priorisieren Dynamische Linkzuschaltung Schwellwert f r Linkzuschaltung LI EAP Authentisierung LI HTTP Authentisierung 140 m mwm FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzerhandbuch FEC Secure IPSec Client mmm ma ma m Verbindungsaufbau Hier definieren Sie wie die Verbindung zu einem im Telefonbuch eingetragenen Ziel system aufgebaut werden soll Drei Modi stehen zur Wahl automatisch default Dies bedeutet dass die Client Software die Verbin dung zum Zielsystem automatisch herstellt Das Trennen der Verbindung erfolgt je nach Protokoll Ihres Systems entspre chend den Anforderungen der Anwendung und den Einstel lungen im Telefonbuch manuell In diesem Fall m ssen Sie die Verbindung zum Zielsystem manuell herstellen Ein Trennen der Verbindung erfolgt je nach eingestelltem Wert f r den Timeout wechselnd Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut werden Danach wechselt der Modus je nach Verbindungsabbau Wird die Verbindung nun mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch
222. tocol Control Protocol IPsec Standards festgelegt von IETF RFCs 2401 2412 12 98 IPX Internet Packet Exchange Netware Protokoll von Novell IPXCP Internetwork Packet Exchange Control Protocol ISDN Integrated Services Digital Network Dienste inte grierendes digitales Fernmeldenetz Digitales Netz mit Integration aller Schmalband Kommunikati onsdienste z B Fernsprechen Telex Telefax Te letext Bildschirmtext bestehend aus Kan len mit einer bertragungsgeschwindigkeit von 64 000 bit s Ein Basisanschluss im sogenannten Schmal band ISDN besitzt drei bertragungskan le Kanal Bl 64 000 bit sKanal B2 64 000 bit sKanal D 16 000 bit sDie Gesamt bertragungsrate betr gt 144 000 bit s Dieses Netz soll bis zum Ende die ses Jahrtausends europaweit einheitlich aufgebaut werden Die Spezifikationen hierf r werden von ITU und CEPT erarbeitet ISDN Adapter ISDN Adapter erm glichen den Anschluss von vorhandenen nicht ISDN f higen Endger ten an das ISDN Der Adapter bernimmt dabei die so wohl soft als auch hardwarem ige Anpassung der Endger teschnittstelle an die ISDN Schnittstel le So Ein ISDN Adapter mit Upo Schnittstelle erm glicht an ISDN TK Anlagen die Umsetzung der ISDN Zweidraht Schnittstelle Upo Reichwei te ca 3 5km auf die busf hige ISDN Vierdraht Schnittstelle So Reichweite ca 150m nach den Richtlinien der Telekom ISP Internet Service Provider Benutzerhandbuch FEC Secure IPSec Client m m
223. tomatisch und ist immer n tig wenn auf dem weg zum Zielsystem ein Ger t mit Net work Address Translation zum Einsatz kommt O Basiskonfigurationen in Abh ngigkeit vom IPSec Gateway Im folgenden sind Konfigurationsm glichkeiten aufgef hrt die zu beachten sind je nachdem ob das IPSec Gateway Extended Authentication XAUTH und IKE Config Mode unterst tzt oder nicht Gateway unterst tzt nicht XAUTH Der IPSec Client als Initiator der IPSec Verbindung schl gt standardm ig immer die Extended Authentication vor Diese Eigenschaft kann nicht konfiguriert werden Unter st tzt das Gateway die Extended Authentication nicht so wird sie auch nicht durchge f hrt Gateway unterst tzt IKE Config Mode Sofern das Gateway den IKE Config Mode unterst tzt kann im Parameterfeld IP Adressen Zuweisung die Funktion IKE Config Mode verwenden aktiviert werden 192 nmmmm FEC Secure IPSec Client Benutzerhandbuch Gateway unterst tzt IKE Config Mode nicht Unterst tzt das Gateway den IKE Config Mode nicht so sind zwei Konfigurationen m glich 1 Wird die Funktion IP Adresse manuell vergeben siehe Profil Einstellungen IP Adressen Zuweisung aktiviert so muss die IP Adresse eingetragen werden die vom Gateway bzw Administrator f r diesen Client bzw Benutzer vorgegeben wurde 2 Wird Lokale IP Adresse verwenden siehe Profil Einstellungen IP Adressen Zu weisung aktiviert so wird die IP Adresse gleich de
224. turen eingesetzt Bild oben und unten so bedeutet dies dass Zertfikate zum Einsatz kommen womit die Vorkonfiguration jedweder Secrets berfl ssig wird IKE Aggressive Mode mit RSA Signaturen Initiator Gegenstelle N D Message 1 Header SA Key Exchange Nonce ID Diffie Hellmann B Gruppe el Message 2 Header SA Key Exchange Nonce ID Zertifikat Signatur schl sselt x l he Hash Message 3 Header Zertifikat Signatur Benutzerhandbuch FEC Secure IPSec Client m m m 187 Beispiele und Erkl rungen 7 2 4 IPSec Tunneling 188 Der IPSec Client kann gegen ber IPSec Gateways unterschiedlicher anderer Hersteller zum Einsatz kommen Die Kompatibilit t mit den IPSec Modi der anderen Hersteller beruht auf der Konfor mit t mit folgenden RFCs und Drafts zu IPSec RFC 2104 Keyed Hashing for Message Authentication RFC 2401 Security Architecture for the Internet Protocol RFC 2403 The Use of HMAC MD5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2406 IP Encapsulating Security Payload ESP RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol ISAKMP RFC 2409 The Internet Key Exchange IKE DRAFT draft beaulieu ike xauth 05 XAUTH DRAFT draft dukes ike mode cfg 02 IKECFG DRAFT draft 1etf 1psec dpd 01 DPD DRAFT draft 1etf 1psec nat t 1ke 01 NAT T
225. tzer Zertifikates muss mit dem Aussteller des Aussteller Zertifikates identisch sein siehe gt Aussteller Zertifikat anzeigen Austeller CA Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revokation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit Erl schen der G ltigkeit geht auch die Funktion des Zertifikats verloren Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats O Eingehendes Zertifikat anzeigen Anzeige des Zertifikats das bei der SSL Verhandlung von der Gegenstelle VPN Gate way bermittelt wird Sie k nnen z B sehen ob Sie den hier gezeigten Aussteller in der Liste Ihrer CA Zertifikate siehe unten aufgenommen haben Ist das eingehende Benutzer Zertifikat einer der CAs aus der Liste CA Zertifikate an zeigen nicht bekannt kommt die Verbindung nicht zustande Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS gespeichert so findet keine berpr fung statt Benutzerhandbuch FEC Secure IPSec Client mm m 53 Client Monitor m CA Zertifikate anzeigen E Mit der Client Software werden mehrere Aussteller Zertifikate unterst tzt Multi CA Unterst tzung Dazu m ssen die Ausstel
226. tzt LI IP Adresse Quelle Source IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Ausgangssysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall Ll IP Adresse Ziel Destination IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Zielsysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall LI Port Quelle Source Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton Port Ziel Destination Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton Benutzerhandbuch FEC Secure IPSec Client m m m 183 Beispiele und Erkl rungen 7 2 3 SA Verhandlung und Richtlinien Policies Damit der IPSec Filter Prozess in Gang kommen kann m ssen vorher verschiedene SAs verhandelt worden sein Es wird eine SA f r Phase 1 IKE Richtlinie sowie min destens zwei je f r ein und ausgehende Verbindung f r Phase 2 IPSec Richtlinie ausgehandelt F r jedes Zielnetz siehe Profil Einstellungen VPN Networks wer den ebenfalls zwei SAs ausgehandelt u Phase 1 Parameter der IKE Richtlinie
227. tzwerknummern 1 127 Bei Adressen der Klasse A ist das h chste Bit gleich Null die n chsten sieben Bits ent sprechen dem Netzwerk und die verbleibenden 24 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 1 Byte max 126 unterschiedliche Netzwerke Restfeld beansprucht 3 Bytes max 2 hoch 24 16 777 216 verschiedene Ger te Damit k nnen max 127 unterschiedliche Netzwerke jedes mit max 16 777 216 ver schiedenen Ger ten adressiert werden 176 mn mmm FEC Secure IPSec Client Benutzerhandbuch IP Funktionen Klasse Class B mittlere Netzwerke Netzwerknummern 128 191 Bei Adressen der Klasse B haben die beiden h chsten Bits die Werte 1 und 0 die n ch sten 14 Bits entsprechen dem Netzwerk und die verbleibenden 16 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 2 Byte max 16 384 unterschiedliche Netzwerke Restfeld beansprucht 2 Bytes max 2 hoch 16 65 536 verschiedene Ger te Damit k nnen max 16 384 unterschiedliche Netzwerke jedes mit max 65 526 ver schiedenen Ger ten adressiert werden Klasse Class C kleine Netzwerke Netzwerknummern 192 223 Bei Adressen der Klasse C haben die drei h chsten Bits die Werte 1 1 und 0 die fol genden 21 Bits entsprechen dem Netzwerk und die letzten 8 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 3 Bytes max 2 097 152 unterschiedliche Netzwerke Restfeld beansprucht 1 Byte max 256 verschiedene Ger te Damit k nnen max 2 097 152
228. uchabschnitt zum Mo nitor Men punkt Hilfe Lizenzinfo und Aktivierung Bitte beachten Sie bei der Installation des FEC Secure IPSec Clients unter Windows XP Die Systemeigenschaften des Betriebssystems Windows XP sind bei Neueinrichtung restriktiv beschaffen Sie sind standardm ig so eingestellt dass bei der Installation von Treiber Software die nicht von Microsoft lizenziert wurde ein MS spezifischer sogenannter Windows Logo Test durchgef hrt wird in dessen Folge das Betriebssy stem davor warnt die Treiber Software zu installieren Dem kann auf zwei Arten be gegnet werden M ndern Sie die restriktive Standardeinstellung des Systems Unter System Systemei genschaften Hardware Ger temanager Treibersignaturoptionen ndern Sie das Vorgehen von Windows auf Ignorieren Software unabh ngig von Zulassung instal lieren M Nehmen Sie die obige Einstellungs nderung nicht vor erscheint w hrend des Setups nach dem Kopieren der Dateien eine Meldung die vor der Installation des Client Adap ters warnt ignorieren Sie diese Meldung und klicken Sie auf Installation fortsetzen Benutzerhandbuch FEC Secure IPSec Client mm mu m 29 Installation 2 2 1 Standard Installation 26 Die ZIP Datei die Sie mit einem Download oder mit der CD erhalten haben kopieren Sie auf die Festplatte des PCs und entpacken sie in einem Verzeichnis Ihrer Wahl Beim Entpacken wird automatisc
229. und Dom nen Anmeldung kann Windows eine gewisse Initialisie rungszeit ben tigen Diese Vorbe reitungszeit f r die Dom nenan meldung kann hier aktiviert und eingestellt werden Die Windows Anmeldung findet erst nach der hier eingestellten Initialisierungs Zeit nach dem Verbindungsaufbau statt Der Standardwert betr gt 45 Sekunden und kann nach Bedarf ver ndert werden Logon Optionen EAP Authentisierung vor Zielauswahl durchf hren Standardm ig erfolgt die EAP Authentisierung vor dem Verbindungsaufbau zum VPN Gateway Soll EAP genutzt werden ohne dass anschlie end eine Verbindung ber den Client reiner EAP Client aufgebaut werden soll so muss diese Funktion aktiviert werden Wird EAP mit Zertifikat eingesetzt so erscheint der PIN Dialog zur Authenti sierung an den Netzwerkkomponenten Danach kann die Zielauswahl erfolgen Wird die Funktion nicht aktiviert findet die EAP Authentisierung erst nach der Zielauswahl statt Beachten Sie zu den Logon Optionen auch die Beschreibung Dom nenanmeldung mit der NCP Gina im Anhang Mobile Computing via GPRS UMTS 97 4 2 9 Konfigurations Sperren 98 Client Monitor Uber die Konfigurations Sperren kann das Konfigurations Hauptmen im Monitor so modifiziert werden dass der Benutzer die voreingestellten Konfigurationen nicht mehr ab ndern kann bzw ausgew hlte Parameterfelder f r den Benutzer nicht sichtbar sind Die Konfigurations Sperren werden in
230. und minimiert darstellen maximiert starten nach dem Booten den Monitor starten und in normaler Gr e dar stellen Wenn Sie oft mit der IPSec Client Software arbeiten und die Informationen des Moni LU tors ben tigen so sollten Sie die Einstellung maximiert starten w hlen Prinzipiell ist es f r die Kommunikation mit dem Zielsystem nicht n tig den Monitor zu starten 4 4 6 Beim Schlie en minimieren Wird der Monitor bei einer bestehenden Verbindung ber den Schlie en Button x rechts in der Kopfzeile oder das Systemmen links in der Kopfzeile geschlossen Alt F4 so informiert ein Meldungsfenster dar ber dass kein Ampelsymbol Tray Icon mehr in der Task Leiste erscheint wor ber der Status dieser Verbindung kontrolliert werden k nnte d h der Benutzer kann dann auf der Oberfl che seines Desktops nicht erkennen ob und wie lange noch Verbindungsgeb hren anfallen oder ob die Verbin dung bereits beendet wurde Um in diesem Fall den Status der Verbindung zu erfahren und sie gegebenenfalls kor rekt zu beenden muss der Monitor erneut gestartet werden Ist dieser Men punkt aktiviert so wird der Monitor beim Schlie en ber den Button x rechts in der Kopfzeile oder ber Alt F4 nur minimiert und erscheint als Ampel symbol in der Task Leiste wor ber der Status der Verbindung abgelesen werden kann Der Klick auf den Schlie en Button x der Kopfzeile hat in dieser Einstellung die glei che Wirkung
231. ung auch zu dem definierten Zweck aufgebaut wird Es werden folgende zus tzliche Informationen zu einer Verbindung verwaltet Nr zur Identifizierung einer Verbindung Zustand der Verbindung z B Aufbau Daten bertragung Abbau Quell Adresse des ersten Pakets Ziel Adresse des ersten Pakets Interface durch welches das erste Paket kam Interface durch welches das erste Paket verschickt wurde Anhand dieser Informationen kann der Filter entscheiden welche nachfolgenden Pake te zu welcher Verbindung geh ren So kann ein Stateful Inspection System auch das UDP Problem ausschalten Hintergrund ist die verh ltnism ig leichte F lschbarkeit von UDP Paketen z B beim UDP basierten Dienst DNS Da Stateful Inspection Filter in der Lage sind sich die aktuelle Status und Kontextinformation einer Kommunikati onsbeziehung zu merken ist es erforderlich dass neben der Quell und Zieladresse so wie Quell und Zielport auch der DNS Header im Anfrage Paket in die Speicherung der Status und Kontextinformation einbezogen wird Es erfolgt eine Interpretation auf der Anwendunssschicht Beispiel Eine gehenden Verbindung zum Port 21 eines Rechners ist f r einen reinen Portfilter eine FTP Verbindung Eine weitere berpr fung findet nicht statt Der State ful Inspection Filter pr ft zus tzlich ob die ber diese Verbindung bertragenen Daten zu einer etablierten FTP Verbindung geh ren Wenn nicht wird die Verbindung sof
232. unterschiedliche Netzwerke jedes mit max 256 ver schiedenen Ger ten adressiert werden Beispiel Netz HOSE Klasse A 122 087 156 045 Klasse B 162 143 085 132 Klasse C 195 076 212 024 Bitte beachten Sie bei der Adressvergabe dass f r einen einzelnen physikalischen Rechner mehrere IP Adressen verwendbar sein m ssen Eine Workstation kann mit ei ner IP Adresse auskommen Ein Router ben tigt f r jede seiner Schnittstellen eine IP Adresse mindestens jedoch zwei eine f r den Anschluss zum lokalen Netz LAN IP Adresse eine f r den Anschluss zur WAN Seite Benutzerhandbuch FEC Secure IPSec Client m m m 177 Beispiele und Erkl rungen 7 1 3 Netzmasken Subnet Masks In einem Wide Area Network k nnen verschiedene physikalisch getrennte Netze LANs dem gleichen Netzwerk WAN mit der gleichen Netzwerknummer angeh ren Anhand dieser Netzwerknummer allein kann kein Router entscheiden ob er bei einer IP Kommunikation eine Verbindung zu einem physikalisch anderen Netz innerhalb des WANs aufbauen soll Das Netzwerk WAN muss daher in kleinere Abschnitte LANs unterteilt werden die einen eigenen Adressblock erhalten Jeder Adressblock der ein zelnen physikalischen Netze wird als Subnet bezeichnet Durch diese Unterteilung ei nes Netzwerks in Subnets wird die Hierarchie aus Netzwerk und Rechner zu einer Hier archie erweitert aus Netzwerk Subnet und Rechner Diese erweiterte Hierarchie erleichtert zum
233. w h rend der Offline Aktivierung einen neuen Lizenzschl ssel erhalten haben siehe oben bei Anzeige des Aktivierungs Codes so geben Sie diesen Lizenzschl ssel f r ein Lizenz Update ein indem Sie den Button Lizenzierung klicken Assistent fur Software Lizenzierung S i In dem folgenden Fenster des Wie len Leder funkwerk Assistenten geben Sie den AA neuen Lizenzschl ssel ein und klicken auf Weiter 9 E E So Assistent fur Software Lizenzierung Die Lizenzdaten werden Dio Lizenzierung eiert N Klicken Sie Fertigstellen wenn die Pr fung abgeschlossen ist Benutzerhandbuch FEC Secure IPSec Client m m m m 119 Client Monitor Im Fenster mit den Lizenzdaten sehen Sie nun dass die Nummer der Software Version und der lizenzierten Version bereinstimmen Lizenz D aten 120 m FEC Secure IPSec Client Benutzerhandbuch Lizenzierung 4 7 Updates Auf der Website von Funkwerk Enterprise Communications werden Sie st ndig ber Updates zu Ihrem Produkt auf dem Laufenden gehalten Das Software Update ist immer dann kostenfrei wenn es sich bei der neueren Version um ein Service Release handelt das unter anderm Bugfixes eine Erweiterung der Hardware Unterst tzung und Kompatibilit tserweiterungen enthalten kann Diese Software k nnen Sie jederzeit von der Website downloaden Das Software Update ist immer dann kostenpflichtig wenn es sich bei der neueren Version um ein
234. wa 1 5 als Numerierung Die Or ganzation Unit muss in diesem Fall immer ABC sein und das Land Deutschland Aussteller des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Ausstellers soweit bekannt auch mit Wildcards verwendet werden Verglei chen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Aussteller aufgef hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name S Surname Nachname g Givenname Vorname t Title Titel O Organisation Firma ou Organization Unit Abteilung Country Land st State Bundesland Provinz 1 Location Stadt Ort email E mail Benutzerhandbuch FEC Secure IPSec Client mmm ma ma m 161 Konfigurationsparameter Profil Einstellungen Beispiel cn ABC GmbH Hier wird nur der Common Name des Ausstellers berpr ft u Fingerprint des Aussteller Zertifikats Um zu verhindern dass ein Unberechtigter der die vertrauensw rdige CA imitiert ein gef lschtes Aussteller Zertifikat verwenden kann kann zus tzlich der Fingerprint des Ausstellers soweit bekannt eingegeben werden u SHA1 Fingerprint verwenden Der Algorithmus zur Erzeugung des Fingerprints kann MD5 Message Digit 5 oder SHA1 Secure Hash Algorithm 1 sein Weitere Zertifikats Uberpr fungen
235. ward Secrecy in Pha se 2 zus tzlich zur SA Verhandlung stattfinden soll Standard ist keine 146 m m FEC Secure IPSec Client Benutzerhandbuch Profil Einstellungen Richtlinien G ltigkeit Die hier definierte Dauer der G ltigkeit gilt re f r alle Richtlinien gleicherma en E Dauer 000 08 00 00 Die Menge der kBytes oder die Gr e der Zeitspanne kann eigens eingestellt wer den DUU UG UU OU Richtlinien Editor Zur Konfiguration der Richtlinien und Ge IKE Richtlinie gegebenenfalls einer l statischen Secure Policy Database wird dieser Men punkt angeklickt Damit ffnet sich ein Konfigurationsfenster mit der Verzweigung der Richtlinien und Secure Policy Database zu IPSec sowie Buttons zur Bedienung auf der rechten Seite des Konfigurationsfensters Dec Konfiguration Um die Standard Werte der Richtlinien zu editieren w hlen Sie mit der Maus die Richtlinie deren Werte Sie ndern m chten die Buttons zur Bedienung werden dann aktiv Konfigurieren Um eine Richtlinie oder eine SPD abzu ndern w hlen Sie mit der Maus den Namen der Gruppe deren Werte Sie ndern m chten und klicken auf Konfigurieren Dann ffnet sich das entsprechende Parameterfeld mit den IPSec Parametern Neuer Eintrag Wenn Sie eine neue Richtlinie oder SPD anlegen m chten selektieren Sie eine der Richtlinien oder die SPD und klicken auf Neuer Eintrag Die neue Richtlinie oder SPD wird erzeugt A
236. weiterten Authentisierung die relevanten Zertifikate aus einer Datei auf der Festpplatte Ihres Rechners gelesen W hlen Sie PKCS 11 Modul in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in einem Chipkartenleser oder von einem Token gelesen FEC Secure IPSec Client m m 87 Client Monitor Chipkartenleser Wenn Sie die Zertifikate von der Smart Card mit Ihrem Leseger t nutzen wollen w h len Sie Ihren Chipkartenleser aus der Listbox Siehe auch PIN eingeben Chipkartenleser PC SC konform Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automatisch Erst dann kann der installierte Leser ausgew hlt und genutzt werden Die PC SC Schnittstelle wird nur ge ffnet wenn ein Verbindungsaufbau stattfindet bei dem ein Chipkartenzugriff erfolgt D h auch andere Applikationen k nnen im ex clusiven Modus die PC SC Schnittstelle ffnen Chipkartenleser CT API konform Mit der aktuellen Software werden Treiber f r die Modelle SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller Nehmen Sie au erdem folgende Einstellung in der Client Software vor Edit
237. z eintragen Als PKCS 11 DLL muss der Name der DLL einge geben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Modulname xyz PKCS 11 DLL Name der DLL Slotindex Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitormen an dieser Stelle wenn in der Datei NCPPKI CONF f r den Treiber visible 1 gesetzt wurde Sie k nnen auch mit Hilfe eines Assistenten nach installierten PKCS 11 Modulen su chen und das gew nschte Modul mit dem dazugeh rigen Slot selektieren Dazu klicken Sie auf den Button in der Zeile mit PKCS 11 Modul Benutzerhandbuch FEC Secure IPSec Client mm ma m 89 Client Monitor Kein Verbindungsabbau bei gezogener Chipkarte Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut Damit Kein Verbindungsabbau bei gezogener Chipkarte erfolgt muss diese Funktion akti viert werden PIN Abfrage bei jedem Verbindungsaufbau Standardeinstellung Wird diese Funktion nicht genutzt so wird die PIN nur einmalig beim ersten Verbindungsaufbau des IPSec Clients abgefragt Wird diese Funktion aktiviert so wird bei jedem Verbindungsaufbau die PIN erneut abgefragt wird bei einem automatischen Verbindungsaufbau die Verbindung ohne erneute PIN O Wichtig Ist der Monitor nicht gestartet kann kein PIN Dialog erfolgen In diesem Fall Eingabe hergestellt 90 FEC Secure IPSec Client Benutzerhandbuch Monitor Bedi
238. ze angewendet werden Beim Neuanlegen einer Regel ist diese zun chst keinem Netz zugeordnet Eine Regel kann erst dann gespeichert werden wenn die gew nschte Zuordnung erfolgt ist und ein Name vorgegeben wurde Unbekannte Netze sind alle Netze IP Netzwerkschnittstellen die weder einem bekannten noch einem VPN Netz zugeordnet werden k nnen Darunter fallen z B Verbindungen ber das DFU Netzwerk von Microsoft oder auch direkte und unverschl sselte Verbindungen mit dem integrierten Dialer des Clients wie auch HotSpot WLAN Verbindungen Soll eine Regel f r unbekannte Netze gelten so muss diese Option aktiviert werden Benutzerhandbuch FEC Secure IPSec Client m m 71 Client Monitor Bekannte Netze werden im gleichnamigen Register im Fenster Firewall Einstellungen definiert Solle eine Regel f r bekannte Netze gelten muss diese Option aktiviert werden VPN Netze sind alle L2Sec oder IPSec Verbindungen in aufgebautem Zustand Dar ber hinaus fallen unter diese Gruppe auch alle verschl sselten Direkteinwahlverbindungen ber den integrierten Dialer des Clients Solle eine Regel f r VPN Netze gelten so muss diese Option aktiviert werden Protokoll Je nach Anwendung oder Art der Verbindung ist das entsprechende Protokoll zu w h len TCP UDP ICMP GRE ESP AH IGRP RSVP IPv6 oder IPv4 Alle Verbindungssteuerung Uber diese Parameter wird die Art der Verbindung beeinflusst Sie w hlen z B die O
239. zerhandbuch FEC Secure IPSec Client m m m Client Monitor 74 Firewall Regel Remote Auf dieser Registerkarte werden die Filter f r die remote IP Adres sen und IP Ports eingestellt Firewall Regel Bei gesperrter Grundein stellung werden diejenigen Datenpakete von der Firewall nach au en durchselassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liest Von den eingehenden IC Datenpaketen werden diejeni gen durchgelassen deren Quell adresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Datenpakete werden von der Firewall nach au en gelassen deren Ziel Port Destinati on Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpake ten werden die durchgelassen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Mit den Einstellungen unter Remote IP Adressen l sst sich festlegen mit welchen ent fernten IP Adressen das system kommunizieren darf Alle IP Adressen erlaubt die Kommunikation mit beliebigen IP Adressen der Gegenseite ohne Ein schr nkung Eindeutige IP Adresse l sst nur Kommunikation mit der hier angegebenen IP Adresse auf der Gegenseite zu Mehrere IP Adressen Bereiche gestattet die Kommunikation mi
Download Pdf Manuals
Related Search