Datei: NEUES.TXT Produkt: FEC Secure IPSec Client Version: Version 2.00 Funkwerk Enterprise Communications GmbH ------------------------------------------------------------------------------- Neueste Informationen zum IPSec Client unter Win 2000/XP/Vista ------------------------------------------------------------------------------- Neue Features der Version 2.00 gegenüber Version 1.30 ------------------------------------------------------------------------------- 1. Betriebssystem Windows Vista Mit der Version 9.0 des NCP Secure Entry Clients wird neben den Betriebssystemen Windows 2000 und Windows XP auch das Betriebssystem Windows Vista unterstützt. Die Oberfläche des Clients wurde dem Betriebssystem Windows Vista optisch angepasst, ohne den Zusammenhang zwischen den Symbolen und dem funktionalen Ablauf von Verbindungsaufbau und Authentisierung zu ändern. Die Installation der Client Software 9.0 unter Microsoft Vista erfordert einen Lizenzschlüssel für diese Version. Unter einem älteren Lizenzschlüssel kann diese Software nicht betrieben werden. Die Eingabe eines älteren Lizenzschlüssels verursacht eine Fehlermeldung. 2. Multifunktionskarte Im Monitormenü "Verbindung" ist der Menüpunkt "Multifunktionskarte" sichtbar, wenn eine Multifunktionskarte gesteckt und vom Client erkannnt wurde. (Zu den unterstützten Multifunktionskarten sind neu hinzugekommen: integrierte Karte des Lenovo Notebooks (Sierra Chipset) ab der Version 8.31 und Vodafone EasyBox USB- Adapter für UMTS/GPRS.) Über den Menüpunkt "Multifunktionskarte" können folgende Funktionen ausgeführt werden: - Netzsuche - UMTS bzw. GPRS aktivieren - SIM PIN eingeben bzw. ändern Ein PIN-Dialog zur Eingabe der SIM PIN erscheint außerdem immer dann, wenn in einem Profil der Mediatyp "UMTS/GPRS" konfiguriert wurde und eine Multifunktionskarte gesteckt wurde, die der Client erkennt. Die Funktionen "Netzsuche" und "UMTS bzw. GPRS aktivieren" können außerdem über das Feld zur grafischen Anzeige der Signalstärke ausgelöst werden. Dieses Feld wird automatisch geöffnet, wenn ein Profil mit der Verbindungsart "UMTS/GPRS" aus den Profil-Einstellungen selektiert wurde. 3. WLAN-Panel Im Monitormenü "Fenster" unter "WLAN-Status anzeigen" kann unabhängig vom Verbindungsmedium des aktuell selektierten Linkprofils ein eigenes Feld zur grafischen Anzeige der WLAN-Feldstärke geöffnet bzw. geschlossen werden, wenn im Monitormenü "Konfiguration" unter "WLAN-Einstellungen" eine WLAN-Konfiguration aktiviert wurde. Ein Button [...] in diesem Panel führt direkt in das Konfigurationsfeld der "WLAN-Einstellungen". Wurde eine Multifunktionskarte konfiguriert, ist der Menüpunkt "WLAN-Panel" nicht aktiv. 4. UDP-Filter In den Firewall-Einstellungen des Monitormenüs kann im Konfigurationsfeld "Optionen" ein UDP-Filter eingestellt werden. In der Standardeinstellung werden bei gestartetem Client (unabhängig von der Firewall) UDP-Pakete ausgefiltert, so dass eine Verbindung von außen zum Client PC nicht möglich ist. Ist auf dem Client PC eine Anwendung mit Server-Funktion gestartet, die auf UDP- Datentransfer basiert (wie z. B. Terminalanwendungen oder NTP), kann sich diese Standardeinstellung störend auf die Datenkommunikation auswirken. Daher kann diese Standardeinstellung ausgeschaltet oder auf die UDP-Pakete unbekannter Netze beschränkt werden. immer: Standardeinstellung. In dieser Schalterstellung gelangen bei gestartetem Client keine UDP-Pakete auf den Client PC. nur bei unbekannten Netzen: In dieser Schalterstellung wirkt der UDP-Filter nur auf Pakete, die über Adapter unbekannter Netze eintreffen. aus: Wird der Filter ausgeschaltet, gelangen alle UDP-Pakete auf den Client PC. Diese Einstallung sollte nur verwendet werden, wenn Probleme mit einer Anwendung auftreten. 5. Betriebssysteme Die aktuelle Version und künftige Versionen des Secure Clients werden von der Qualitätssicherung nur noch für die Windows-Betriebssysteme Windows 2000, Windows XP und Windows Vista getestet. Für Windows NT sowie Windows 98 oder älter kann somit keine Gewähr mehr für die volle Funktionsfähigkeit der Client Software übernommen werden. 6. Zur Installation des Clients Ab Version 1.31 wird der Client bei einer Neu-Installation in das Programm- Verzeichnis des Betriebssystems(Programme\Funkwerk Secure IPSec Client) installiert. Bei einem Update wird weiterhin der Pfad genutzt, der bei der letzten Installation eingetragen war. 7. Neue UMTS/GPRS Karte Die integrierte Karte des Lenovo Notebooks (Sierra Chipset) wird ab der Version 1.31 unterstützt. 8. Das Löschen des Telefonbuchs Die Personal Firewall des Clients kann unter Umständen dann geöffnet oder deaktiviert werden, wenn das Telefonbuch des Clients versehentlich gelöscht wird. Ab Version 1.31 ist das Löschen des Telefonbuchs durch den Benutzer nicht mehr möglich. Auch nach einem Update auf diese Version und einem ersten Speichern des Telefonbuchs ist das Löschen durch den Benutzer nicht mehr möglich. 9. Unterstützung von UDP-Encapsulation Wird die UDP-Encapsulation verwendet, so kann der Port frei gewählt werden. Standard für IPSec mit UDP ist der Port 4500, für IPSec ohne UDP der Port 500. Das NCP Gateway erkennt die UDP-Encapsulation automatisch. Der Parameter ist zu finden unter: Konfiguration / Profil-Einstellungen / Erweiterte IPSec-Optionen 10. EAP-Zugangsdaten aus Zertifikat Bei EAP-TLS (mit Zertifikat) kann jetzt der EAP-Benutzername direkt aus der Zertifikats-Konfiguration bezogen werden. Folgende Inhalte des konfigurierten Zertifikats können genutzt werden, indem in die EAP-Konfiguration die entsprechenden Platzhalter eingegeben werden: Commonname : %CERT_CN% E-Mail : %CERT_EMAIL% Nach der Konfiguration des Zertifikats werden diese Platzhalter im Monitormenü eingegeben unter: Konfiguration / EAP-Optionen / Benutzername und Passwort. 11. EAP-Authentisierung In den "EAP-Optionen" des Monitor-Menüs kann angegeben werden, ob die EAP- Authentisierung nur über WLAN-, LAN- oder alle Netzwerkkarten erfolgen soll. Die hier gemachte Einstellung gilt global für alle Einträge des Telefonbuchs. In einer Aktivierungsbox kann die EAP-Authentisierung wie folgt eingestellt werden: - Deaktiviert - Für alle Netzwerkkarten - Nur für WLAN-Karten - Nur für LAN-Karten 12. EAP-Authentisierung vor der Zielauswahl bei Einsatz der Gina Unter den "Logon-Optionen" des Monitor-Menüs wurde der Parameter "EAP- Authentisierung vor Zielauswahl durchführen" hinzugefügt. Ist dieser Parameter aktiviert, wird vor dem Zielauswahl-Dialog in der Gina die EAP-Authentisierung durchgeführt und nach der erforderlichen PIN gefragt, unabhängig davon, ob zur späteren Einwahl EAP benötigt wird oder nicht. Dieser Parameter kann z.B. dann verwendet werden, wenn die NCP Gina nur für die EAP-Authentisierung verwendet werden soll, ohne dass eine Verbindung zu einem Zielsystem aufgebaut wird (Verwendung als reinen EAP-Client). 13. EAP für WPA-Verschlüsselung Im Monitormenü kann unter "Konfiguration / WLAN-Profile" für die WPA- Verschlüsselung unter "Schlüsselverwaltung" die Option "EAP" hinzugefügt werden. Vorausgesetzt, es wurde ein Zertifikat konfiguriert. Unabhängig von der EAP- Konfiguration wird hier immer EAP mit Zertifikat genutzt. 14. Zertifikatsüberprüfung bei HTTP-Authentisierung mit Script Ab sofort können auch die eingehenden Zertifikate bei der HTTP-Authentisierung überprüft werden. Hierzu muss im Script die Variable CACERTDIR gesetzt worden sein. Desweiteren können auch Inhalte des WEB Server-Zertifikats überprüft werden. Hierzu stehen weitere Variablen zur Verfügung: CACERTVERIFY_SUBJECT : Überprüft den Inhalt des Subjects (z.B. cn=WEB Server 1) CACERTVERIFY_ISSUER : Überprüft den Inhalt der Issuers CACERTVERIFY_FINGERPRINT : Überprüft den MD5 Fingerprint des Aussteller- Zertifiats Stimmt der Inhalt der Variable mit dem eingegebenen Zertifikat nicht überein, wird die SSL-Verbindung nicht hergestellt und eine Log-Meldung im Monitor ausgegeben. 15. Erweiterung der IPSec Hash-Algorithmen Sowohl für die IKE-Richtlinien als auch für die IPSec-Richtlinien können zur Authentisierung die Algorithmen SHA 256, SHA 384 und SHA 512 Bit eingesetzt werden. Diese Einstellung wird im Monitor-Menü vorgenommen unter: Konfiguration / Profil-Einstellungen / IPSec-Einstellungen 16. Anwendungsausführung für spezifischen Telefonbucheintrag Im Konfigurations-Menü des Monitors können unter "Verbindungssteuerung / Ext. Anwendungen" Programme eingetragen werden, die nach dem Verbindungsaufbau automatisch gestartet werden. Zusätzlich können diese auszuführenden Anwendungen auch an einen bestimmten Telefonbucheintrag gebunden werden. Der Dialog, aus dem die verfügbaren Ziele auswählbar sind, ist mit einer Combo-Box versehen. 17. WLAN-Automatik Mit der Version 8.31 steht eine intelligente WLAN-Automatik zur Verfügung, über die im Hintergrund das passende Profil für das aktuell vorliegende WLAN eingesetzt wird. Die Konfiguration erfolgt über das Monitor-Menü unter "Konfiguration / WLAN- Einstellungen" und die Unterrubrik "WLAN-Profil". Unter "WLAN-Profil / Allgemein" kann als "Verbindungsart" für ein selektiertes Profil "manuell" oder "automatisch" gewählt werden. In den "WLAN-Einstellungen" wird unter "WLAN-Profil" das Profil selektiert, über das eine Verbindung zum Access Point hergestellt werden soll. Außer diesem hier selektierten Profil können automatisch noch weitere Profile zur Anwahl an den Access Point verwendet werden, wenn diese mit Verbindungsart "automatisch" konfiguriert wurden und in den "WLAN-Einstellungen" die Funktion "Für Verbindungsaufbau Profile mit automatischer Verbindungsart verwenden" aktiviert wird. D.h. wurden mehrere Profile mit der Verbindungsart "automatisch" angelegt und wird die Funktion "Für Verbindungsaufbau Profile mit automatischer Verbindungsart verwenden" genutzt, so wird zunächst das zuletzt selektierte Profil für einen möglichen Verbindungsaufbau herangezogen. Ist die SSID nicht passend, sodass mit diesem Profil keine Verbindung zum Access Point hergestellt werden kann, so werden anschließend die als "automatisch" konfigurierten Profile für den Verbindungsaufbau herangezogen und das mit der passenden SSID verwendet. 18. HotSpot-Anmeldung Die HotSpot-Anmeldung erfolgt über das Monitor-Menü "Verbindung / HotSpot- Anmeldung". Nachdem dieser Menüpunkt angeklickt wurde, können verschiedene Verbindungsmeldungen am Bildschirm erscheinen: - Wenn sich der Benutzer bereits im Internet befindet, wird er mit der Startseite http://www.ncp.de verbunden. Es erscheint ein Fenster mit folgender Meldung: "Sie befinden sich bereits im Internet. Eine Anmeldung am HotSpot ist nicht notwendig oder wurde bereits durchgeführt." Dieser Text kann vom Administrator ausgetauscht werden, indem die Adresse einer anderen HTML- Startseite in der Form angegeben wird "http://www.mycompagnie.de/error.html" und der Text von error.html entsprechend geändert wird. - Wenn der Benutzer noch nicht angemeldet ist, erscheint ein Fenster mit der Aufforderung Benutzername und Passwort für die Anmeldung am HotSpot-Betreiber einzugeben. - Wenn der Benutzer keine Website erreicht, erscheint die Microsoft- Fehlermeldung "... not found". Die Konfiguration zur HotSpot-Anmeldung erfolgt im Monitor-Menü unter "Konfiguration / HotSpot". Folgende Einstellungen sind möglich: - "Standard-Browser für HotSpot-Anmeldung verwenden" ist die Standardeinstellung. Wird der Haken in der Checkbox entfernt, kann ein anderer Browser angegeben werden in der Form: %PROGDIR%\Mozilla\Firefox\firefox.exe. Der alternative Browser kann speziell für die Anforderungen am Hotspot konfiguriert werden. D. h. es wird kein Proxy Server konfiguriert und alle Aktiven Elemente (Java, Javascript, ActiveX) werden deaktiviert. (Der alternative Browser ist nicht Bestandteil der Client Software!) Darüber hinaus kann der MD5-Hash-Wert der Browser-Exe-Datei ermittelt und in das Feld "MD5- Hash" eingetragen werden. Auf diese Weise wird sichergestellt, dass nur mit diesem Browser eine HotSpot-Verbindung zustande kommt. - Unter "Startseite / Adresse" wird die oben beschriebene Startseite eingegeben in der Form: http://www.mycompagnie.de/error.html. Die Konfiguration über das Management Sytem ist möglich ab der Version 1.04 Build 9. 19. Im Client-Monitor kann ein Projekt-Logo hinzugefügt werden Das Logo erscheint in einem Panel des Clients ganz unten über die ganze Breite des Monitors. Für das Logo muss eine Ini-Datei (ProjectLogo.ini) angelegt werden, in der folgendes angegeben werden kann: - ProjektLogo für kleine Schriftarten - ProjektLogo für große Schriftarten - Info-Text (ToolTip) wenn sich der Mauszeiger über dem Logo befindet - HTML-Datei wenn ein Maus-Click auf das Logo erfolgt. Bei der Installation wird eine "ProjectLogo.ini" ins Installations-Verzeichnis kopiert, in der weitere Erläuterungen zum Anlegen des Logos enthalten sind. Neue Features der Version 1.30 gegenüber Version 1.10 ------------------------------------------------------------------------------- 1. Neue Verbindungsarten Im Parameterfeld "Zielsystem" des Telefonbuchs wurden zwei neue Verbindungsarten für den Client hinzugefügt: - WLAN - Automatische Medienerkennung WLAN: Die Konfiguration eines Zielsystems mit Verbindungsart WLAN ermöglicht das direkte Ansteuern und Konfigurieren der WLAN-Karte. Die Installation der Managementsoftware kann entfallen (nur unter Windows 2000/XP). Automatische Medienerkennung: Diese Verbindungsart kann dann eingesetzt werden, wenn wechselweise unterschiedliche Verbindungsarten genutzt werden. Der Client erkennt dann automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus. 2. Integrierte WLAN-Konfiguration für Windows 2000/XP Unter Windows 2000/XP kann der WLAN-Adapter mit der Verbindungsart "WLAN" betrieben werden. Im Monitormenü erscheint eigens der Menüpunkt "WLAN- Einstellungen", worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden können. Wird diese "WLAN-Konfiguration aktiviert", so muss das Management-Tool der WLAN-Karte bzw. das Microsoft-Tool deaktiviert werden. Alternativ kann auch das Management-Tool der WLAN-Karte oder das Microsoft-Tool genutzt werden. Die jeweils nicht eingesetzten Tools müssen deaktiviert werden. Wird die Verbindungsart WLAN für ein Profil eingestellt, so wird unter dem grafischen Feld des Client-Monitors eine weitere Fläche eingeblendet, auf der die Feldstärke und das WLAN-Netz dargestellt werden. Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum Parameter "Verbindungsart" im Abschnitt "Konfigurationsparameter / Telefonbuch" und den Anhang "Mobile Computing via GPRS / UMTS / WLAN". Wird WPA mit EAP (TLS) genutzt, so müssen die EAP-Optionen im Konfigurations- Menü des Monitors aktiviert werden und ein Zertifikat konfiguriert sein (im Monitor-Menü unter "Konfiguration / Zertifikate"). 3. Automatische Medienerkennung Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch diejenige Verbindungsart erkannt und eingesetzt, die für den Client-PC aktuell zur Verfügung steht, wobei bei mehreren alternativen Übertragungswegen automatisch der schnellste gewählt wird. In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. DSL, 4. UMTS/GPRS, 5. ISDN, 6. MODEM. Die Konfiguration erfolgt mit der Verbindungsart "automatische Medienerkennung" in den Profil-Einstellungen unter "Zielsystem". Alle für diesen Client-PC vorkonfigurierten Zielsysteme zum VPN Gateway des Firmennetzes können dieser automatischen Medienerkennung, sofern gewünscht, zugeordnet werden. Damit erübrigt sich die manuelle Auswahl eines Mediums (UMTS, DSL, ISDN, Modem) aus den Telefonbucheinträgen. Die Eingangsdaten für die Verbindung zum ISP werden für den Anwender transparent aus den vorhandenen Telefonbucheinträgen übernommen. 4. Verfügbare Verbindungsmedien Dieses Fenster dient ausschließlich der Benutzerinformation über die zur Verfügung stehenden Verbindungsarten und die aktuell genutzte. Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus. Die zur Verfügung stehenden Verbindungsarten werden mit gelber Signallampe dargestellt, die ausgewählte Verbindungsart mit einer grünen. Zur Konfiguration der "automatischen Medienerkennung" beachten Sie im Telefonbuch das Parameterfeld "Zielsystem". 5. Lizenzierung Die Lizenzierung erfolgt nicht mehr über das Popup-Menü, sondern über das Monitor-Menü "Hilfe / Lizenzinfo und Aktivierung". Unter dem Menüpunkt "Lizenzinfo und Aktivierung" wird die eingesetzte Software- Version und gegebenenfalls die lizenzierte Version mit Seriennummer angezeigt. Wird die Software als Testversion eingesetzt, so kann die verbliebene Dauer der Gültigkeit im Popup-Menü abgelesen werden. Um eine zeitlich unbegrenzt gültige Vollversion nutzen zu können, muss die Software mit dem erhaltenen Lizenzschlüssel und der Seriennummer freigeschaltet werden. Mit der Lizenzierung der Software akzeptieren Sie die Lizenzbedingungen, die nach einem Klick auf "Lizenzbedingungen" eingesehen werden können. Zur Eingabe von Lizenzschlüssel und Seriennummer klicken Sie auf den Button "Aktivierung". Anschließend können die Lizenzdaten wahlweise online oder offline über einen Assistenten eingegeben werden. In der Offline-Variante muss eine Datei, die nach Eingabe von Lizenzschlüssel und Seriennummer erzeugt wird, an den NCP Web Server geschickt werden und der auf der daraufhin auf der Website angezeigte Aktivierungsschlüssel notiert werden. Dieser Aktivierungsschlüssel kann zu einem späteren Zeitpunkt im Lizenzierungsfenster des Monitormenüs eingegeben werden. In der Online-Variante werden die Lizenzierungsdaten über einen Assistenten unmittelbat nach Eingabe an den Web Server weitergegeben und die Software damit unverzüglich freigeschaltet. 6. Friendly Net Detection (FND) FND ermöglicht dem NCP Secure Enterprise Client automatisch zu erkennen, ob er sich in einem Friendly Net (FN) befindet oder nicht. Integrierte intelligente Automatismen in der Personal Firewall ersetzen manuelle Eingriffe. Was ein FN ist, kann vom Administrator in den Firewall-Einstellungen des Monitors festgelegt werden. Die Signalisierung eines FN erfolgt im Monitor; das Firewall Icon färbt sich grün. Erforderlich ist ein Friendly Net Detection Server (FNDS), d.h. eine Softwarekomponente von NCP, die in einem als "Friendly Net" definierten Netz installiert werden muss. Die Authentifizierung des FNDS erfolgt mittels EAP bzw. EAP-TLS. Der Anwender muss sich nicht um die Einstellung der Personal Firewall kümmern. Je nach Kommunikationsumgebung greift der NCP Secure Enterprise Client dynamisch auf ein passendes Firewall-Regelwerk zu. Versehentliches Benutzen falscher Firewall-Konfigurationen und damit Attacken auf das Firmennetz werden verhindert. Um die Redundanz zu erhöhen, kann die IP-Adresse eines zweiten FND-Servers nach einem Strichpunkt nach der ersten IP-Adresse eingetragen werden. Die IP-Adresse des ersten verfügbaren FND-Servers wird automatisch zur Erkennung der bekannten Netze selektiert. 7. Erweiterung der unterstützten Chipkarten Folgende Chipkarten werden direkt über die PC/SC- oder CT-API-Schnittstelle unterstützt: - Signtrust - NetKey 2000 - TC Trust (CardOS M4) - Telesec PKS SigG 8. Statusanzeige der Endpoint Policy und Friendly Net Detection Werden zwischen Client und VPN Gateway Endpunkt-Sicherheitsrichtlinien eingesetzt, so wird bei einem Verbindungsaufbau das Policy-Symbol dargestellt. Während der Prüfung der Policy, nachdem die Verbindung aufgebaut wurde, erscheint es mit gelben Haken, wenn die Richtlinien erfüllt werden mit grünen Haken, wenn die Richtlinien nicht erfüllt werden mit roten Haken, wonach die Verbindung zum Gateway wieder abgebaut wird. Wurde vom Administrator ein Friendly Net (z.B. Firmennetz) festgelegt, und greift der Secure Client darauf zu, so färbt sich das Firewall-Symbol grün. Die Friendly Net Detection wird im Monitor-Konfigurationsmenü unter "Firewall- Einstellungen / Bekannte Netze" vorgenommen, entweder indem statische Netzwerk- Routen angegeben werden, oder indem die automatische Erkennung der bekannten Netze aktiviert wird. Siehe dazu die Beschreibung unter "Firewall-Einstellungen / Konfigurationsfeld - Bekannte Netze". 9. Externe Anwendungen Über dieses Konfigurationsfeld der Verbindungssteuerung im Monitormenü können in Abhängigkeit vom Client Monitor Anwendungen oder Batch-Dateien gestartet werden. In einer weiterführenden Konfiguration kann bestimmt werden wann die Anwendung getartet werden soll: - vor Verbindungsaufbau starten (precon) - nach Verbindungsaufbau starten (postcon) - nach Verbindungsabbau starten (discon) Die Wait-Funktion "Warten bis Anwendung ausgeführt und beendet ist" kann dann von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander ausgeführt werden soll. 10. Externe Anwendungen vor Windows-Anmeldung Über den Menüpunkt "Logon-Optionen" im Monitormenü "Konfiguration" können externe Anwendungen (Consolen-Anwendungen oder Batch-Dateien, keine Windows- Programme!) auch mit der NCP Gina gestartet werden. - vor Verbindungsaufbau starten (precon) - nach Verbindungsaufbau starten (postcon) Die Anwendung kann außerdem in Abhängigkeit von der Verbindungsart des im Gina Dialog selektierten Zielsystems gestartet werden. Die Applikation wird immer gestartet, wenn als Verbindungsart "Alle" gewählt wurde. "Domänenvorbereitung abwarten (postdom)" bedeutet, dass die Anwendung nach der Initialisierungszeit unmittelbar vor der Domänenanmeldung gestartet wird. Die Wait-Funktion "Warten bis Anwendung ausgeführt und beendet ist" kann dann von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander ausgeführt werden soll. 11. Dialoge und Installation der NCP Gina Die Dialoge der NCP Gina können über das Monitor-Menü ausgeblendet werden, ohne dass dabei die Gina deinstalliert wird. Für die jeweilige Arbeitsumgebung eventuell nötige Gina-Verkettungen bleiben auf diese Weise bestehen. Soll der Gina-Dialog eingeblendet werden, so ist darauf zu achten, dass die NCP Gina auf jeden Fall installiert sein muss. Dies kann auf dreierlei Weise stattfinden: - Bei der Software-Installation; hierbei wird der Benutzer gefragt, ob er die Windows-Anmeldung über die NCP Gina nutzen will. Wenn ja, wird sie installiert. - Eine nachträgliche Installation ist über die Kommandozeilen-Schnittstelle rwscmd.exe möglich, ebenso die nachträgliche Deinstallation. - Die Gina wird auch installiert, wenn über das Secure Enterprise Management ein entsprechendes Telefonbuch bereitgestellt wird. Standardmäßig erfolgt die EAP-Authentisierung vor dem Verbindungsaufbau zum VPN Gateway. Soll EAP genutzt werden, ohne dass anschließend eine Verbindung über den Client (reiner EAP Client) aufgebaut werden soll, so muss diese Funktion aktiviert werden. Wird EAP mit Zertifikat eingesetzt, so erscheint der PIN- Dialog zur Authentisierung an den Netzwerkkomponenten. Danach kann die Zielauswahl erfolgen. Wird die Funktion nicht aktiviert, findet die EAP-Authentisierung erst nach der Zielauswahl statt. 12. HotSpot-Anmeldung für externe Dialer zulassen Wenn diese Funktion aktiviert ist, kann über einen externen Dialer eine HotSpot- Anmeldung erfolgen. Dazu wird die Kommandozeilen-schnittstelle rwscmd.exe aufgerufen. (Beachten Sie dazu die Beschreibung im Anhang "Services" in diesem Handbuch!) Mit dem Befehl rwscmd /logonhotspot [Timeout] wird die Firewall für die Ports 80 (HTTP) und 443 (HTTPS) freigeschaltet. Damit wird eine dynamische Regel erzeugt, die den Datenverkehr für diese HotSpot- Anmeldung zulässt, bis der übergebene Timeout (in Sekunden) abgelaufen ist. 13. Initialisierungszeit nach Netzwerk-Logon Zwischen Netzanmeldung und Domänenanmeldung kann Windows eine gewisse Initialisierungszeit benötigen. Diese Vorbereitungszeit für die Domänenanmeldung kann hier aktiviert und eingestellt werden. Die Windows-Anmeldung findet erst nach der hier eingestellten Initialisierungs-Zeit nach dem Verbindungsaufbau statt. Der Standardwert beträgt 45 Sekunden und kann nach Bedarf verändert werden. 14. Neues Parameterfeld in den Profil-Einstellungen "Authentisierung vor VPN" Dieses Parameterfeld erscheint nur, wenn für das Zielsystem die Verbindungsart "LAN" oder "WLAN" konfiguriert wurde, bzw. ein externer Dialer eingesetzt wird oder das Zielsystem für die automatische Medienerkennung konfiguriert wurde. Beachten Sie dazu die Beschreibungen zum Parameterfeld "Zielsystem / Verbindungsart". 15. Neues Parameterfeld in den Telefonbuch "HTTP-Authentisierung" Die "HTTP-Authentisierung" gestattet eine automatische scriptgesteuerte Anmeldung mobiler Nutzer an Hotspots (auch DSL). Bei einem Link mit der Verbindungsart WLAN wird die HTTP-Anmeldung in den Profil-Einstellungen nicht zugeschaltet! Statt dessen wird mit der Aktivierung dieser Funktion bewirkt, dass für dieses Zielsystem die Authentisierungsdaten aus den WLAN-Einstellungen im Monitor-Menü zum Einsatz kommen. Wenn der Access Point einen HTTP-Redirect ausführt, kann die Eingabe von Benutzername und Passwort in einem Browser-Fenster entfallen. Statt dessen werden die Authentisierungsdaten hier eingegeben. Die Authentisierung erfolgt über ein entsprechendes Script. Beispiele befinden sich im Installationsverzeichnis ncple\scripts\sample. Bei der Verbindungsart WLAN werden die Authentisierungsdaten für den Hotspot aus den WLAN-Einstellungen übernommen. Der Benutzer baut die Verbindung zum Hotspot automatisch auf, wenn die HTTP- Anwendung aktiviert ist. Eine Message-Box weist den Benutzer darauf hin, dass diese Verbindung gebührenpflichtig ist und er die Vertragsbedingungen des HotSpot-Betreibers akzeptiert. 16. Unterstützung von UDP-Encapsulation Wird die UDP-Encapsulation verwendet, so kann der Port frei igewählt werden. Standard für IPSec mit UDP ist der Port 4500, für IPSec ohne UDP der Port 500. Das NCP Gateway erkennt die UDP-Encapsulation automatisch. 17. Voice over IP (VoIP) priorisieren Wird der Client für Kommunikation mit Voice over IP genutzt, so sollte diese Funktion "Voice over IP (VoIP) priorisieren" (im Telefonbuch unter "Line- Management") aktiviert werden, um die Sprachdaten verzögerungs- und verzerrungsfrei senden und empfangen zu können. 18. Unterstützung von Multifunktionskarten für UMTS/GPRS Ist eine Multifunktionskarte für UMTS/GPRS installiert, erscheint bei der Verbindungsart "GPRS/UMTS" ein zusätzliches Feld über das die Feldstärke, die Verbindungsart (UMTS oder GPRS) und das Netz angezeigt werden. Zusätzlich kann die aktuelle Verbindungsart umgeschaltet und das Netz gewechselt werden. 19. Menüpunkt zur Eingabe der SIM PIN für Multifunktionskarten Das Menü für die Multifunktionskarte wurde um den Punkt "SIM PIN Eingabe" erweitert. Der Menüpunkt ist nur aktiv, wenn die SIM PIN nicht konfiguriert oder nicht eingegeben wurde. 20. PIN-Handling für SIM überarbeitet Für die Unterstützung der Multifunktionskarte (UMTS/GPRS) wurde das PIN-Handling für die SIM komplett überarbeitet. Es erfolgt automatisch die notwendige Aufforderung zur Eigabe der PIN bzw. PUK. Wird die Eingabe der PIN/PUK abgebrochen, kann diese später über das Menü aufgerufen werden. Zusätzlich kann über das Menü die aktuelle PIN der SIM geändert werden. 21. Korrektur der Konfiguration für die SIM PIN bei UMTS/GPRS Wurde die SIM PIN der Multifunktionskarte in der Konfiguration falsch eingetragen, erfolgt bei einem Verbindungsaufbau die Aufforderung zur Eingabe der PIN, die anschließend in der Konfiguration korrigiert wird. 22. Erweiterung der Anzeige für die Feldstärke bei Multifunktionskarten Die Feldstärke wird zusätzlich zum grafischen Balkenpegel auch mit Prozentwerten im Feld für die Multifunktionskarte angezeigt. 23. Log-Datei für Multifunktionskarte Ist eine Multifunktionskarte für UMTS/GPRS installiert, wird eine Log-Datei mit folgenden Spalten ins Log-Verzeichnis des Secure Client geschrieben. 1. Spalte: Zeit 2. Spalte: Aktuelle Feldstärke 3. Spalte: Durchschnittliche Feldstärke der letzten Minute 4. Spalte: Durchschnittliche Feldstärke der letzten 5 Minuten 5. Spalte: Durchschnittliche Feldstärke der letzten 10 Minuten 6. Spalte: Aktueller Netztyp (UMTS oder GPRS) 7. Spalte: Aktuelles Netz Alle 10 Sekunden wird ein Eintrag erstellt, jedoch nur alle 5 Minuten die Einträge in die Datei geschrieben. Für jeden Tag wird eine Log-Datei mit dem Namen "mfc.log" erstellt. Es werden die Log-Dateien der letzten 7 Tage gespeichert. 24. Log-Eintrag bei Verbindungsabbau (Grund des Abbaus) Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log- Eintrag mit dem Grund des Verbindungsabbaus geschrieben. 25. Log-Eintrag bei Verbindungsabbau (Status der Feldstärke) Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log- Eintrag mit den letzten Statuswerten der Feldstärke für UMTS/GPRS geschrieben. 26. Parameter "MAC-Adresse" in den Firewall-Regeln In den Firewall-Einstellungen wurde in den Regeln unter "Allgemein" der Parameter "MAC-Adresse" entfernt. Neue Features der Version 1.10 gegenüber Version 1.0 ------------------------------------------------------------------------------- 1. Installationsverzeichnis In der benutzerdefinierten Installation kann ein beliebiges Installationsverzeichnis für die Software gewählt werden. Dies ist insbesondere dann wichtig, wenn der Benutzer keine Rechte auf das System-Root-Verzeichnis hat. 2. Firewall Die Personal Firewall kann im Monitormenü "Konfiguration" eingestellt werden und ist fester Bestandteil des Secure Clients. Alle Firewall-Mechanismen sind optimiert für Remote Access-Anwendungen und werden bereits beim Start des Rechners aktiviert. D.h. im Gegensatz zu VPN-Lösungen mit eigenständiger Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN-Nutzung gegen Angriffe geschützt. Die Firewall bietet auch im Fall einer Deaktivierung der Client-Software vollen Schutz des Endgerätes. Alle Firewall- Regeln können zentral vom Administrator vorgegeben und deren Einhaltung erzwungen werden. Voraussetzung hierfür ist das zentrale NCP Secure Enterprise Management, mit dessen Hilfe die Konfiguration des Clients fest, für den Anwender nicht änderbar, vorgegeben werden kann. 3. Automatische HotSpot-Anmeldung Damit der remote Client in jeder Phase des Verbindungsaufbaus auch in WLANs mit HotSpots ohne Zutun des Benutzers gegenüber jeglichen Attacken geschützt ist, wurde die Firewall fest in die Secure Client-Software integriert. Sie verfügt über intelligente Automatismen für eine sichere HotSpot-Anmeldung. Funktionsbeschreibung: Befindet sich ein Benutzer mit seinem Endgerät im Empfangsbereich eines öffentlichen WLAN, wählt er im Hauptmenü "Verbindung" den Menüpunkt "HotSpot- Anmeldung". Der Client sucht daraufhin automatisch den HotSpot und öffnet die Website zur Anmeldung im Standard-Browser. Nach erfolgreicher Eingabe der Zugangsdaten und Freischaltung durch den Betreiber, kann die VPN-Verbindung z.B. zur Firmenzentrale aufgebaut und sicher wie an einem Büroarbeitsplatz kommuniziert werden. Damit der PC bei der Anmeldung im WLAN zu keiner Zeit angreifbar ist, gibt die Firewall dynamisch die Ports für http bzw. https für die Anmeldung bzw. Abmeldung am HotSpot frei. Dabei ist nur Datenverkehr mit dem HotSpot-Server des Betreibers möglich. Nicht angeforderte Datenpakete werden abgewiesen. Auf diese Weise ist garantiert, dass ein öffentliches WLAN ausschließlich für die VPN- Verbindung zum zentralen Datennetz genutzt wird und kein direkter Internet- Zugriff erfolgt. Die direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist ausgeschlossen, aufgrund der bereits beschriebenen dynamischen Firewall-Regeln, die von der integrierten Personal Firewall des NCP Secure Clients selbständig gesetzt werden. Für die Anmeldung über den Standard-Browser am HotSpot ist zu beachten, dass eventuell eingetragene Proxy-Einstellungen angepasst bzw. deaktiviert werden müssen. Sollte vom NCP Secure Client keine HotSpot-Anmeldung durchgeführt werden, wird dies durch die Meldung "HotSpot konnte nicht gefunden werden" mitgeteilt. Für einen solchen Fall ist zu klären, ob über diesen HotSpot-Betreiber ein generelles Problem in Verbindung mit den von NCP implementierten Mechanismen besteht. 4. Import von Konfigurationsdaten Über die Funktion "Profile importieren" im Konfigurationsmenü des Monitors können Profil-Einstellungen vom Client eingelesen werden. Diese Profil- Einstellungen können in Form einer INI-Datei vom Zielsystem erstellt oder manuell editiert werden. Im Installationsverzeichnis befinden sich dazu die Beispieldateien IMPORT_D.TXT und IMPORT_E.TXT. In den Beispieldateien sind auch Syntax und Parameterwerte beschrieben. 5. Kompressionstyp Deflate Der Kompressionstyp Deflate wird unterstützt. Im Telefonbuch erscheint unter "IPSec-Einstellungen" der Parameter "IP-Kompression verwenden". Wird diese Funktion aktiviert, so werden beide Kompressionstypen, LZS und Deflate, ausgehandelt. 6. Domain Name In den Profil-Einstellungen des Secure Clients kann unter "IP-Adressen- Zuweisung" neben einem DNS/WINS-Server auch ein "Domain Name" angegeben werden. Dies ist der Domain Name der sonst per DHCP dem System in den Netzwerkeinstellungen übergeben wird. 7. Nutzung mehrerer Soft-Zertifikate an einem Client-PC Soll ein PC-Sharing für mehrere Benutzer, die jeweils ein eigenes Zertifikat einsetzen, eingerichtet werden, so kann dazu im Hauptmenü des Client-Monitors unter "Konfiguration - Zertifikate - Benutzer-Zertifikat" eine Konfiguration vorgenommen werden. Unter "Benutzer-Zertifikat" muss der Menüpunkt "Softzertifikatsauswahl aktivieren" eingeschaltet werden und ein "Zertifikatspfad" angegeben werden. Dieser Pfad kann über den Auswahl-Button gewählt werden, wenn er vorher angelegt wurde. (Z.B. C:\WINNT\ncple\usercert). Unter diesem Pfad müssen anschließend die verschiedenen Benutzer-Zertifikate abgelegt werden. Werden diese Einstellungen mit "OK" gespeichert, so erscheint unter dem grafischen Feld des Monitors die Zertifikatsleiste mit der Liste aller unter dem Zertifikatspfad gespeicherten Benutzer-Zertifikaten (z.B. user1 bis user4). Hat der Benutzer sein Soft-Zertifikat ausgewählt (z.B. user2) und stellt eine Verbindung zum zentralen VPN Gateway her, so muss er zunächst seine PIN eingeben. Danach wird die Verbindung zum Zielsystem aufgebaut. 8. Einsatz von EAP 802.1x Zur Port-Authentisierung im WLAN und an Switches unterstützt der Client EAP- MD5/TLS. Dadurch ist ein separater EAP-Client überflüssig. EAP-MD5: Benutzername und Passwort werden zur Authentisierung genutzt. Beide Größen können auch vom Zertifikat bezogen werden, das für die VPN-Verbindung genutzt wird. EAP-TLS: Zertifikate werden genutzt und aus der NCP-Zertifikats-Konfiguration gelesen. EAPOL KEY (Dynamic WEP key) wird unterstützt. 9. Statefull Packet Inspection Statefull Packet Inspection (SPI) ist immer aktiv. Dies bedeutet, dass SPI automatisch auch bei Verbindungen ohne VPN, z.B. Provider-Verbindungen, eingesetzt wird. 10. XAUTH-Protokoll Das XAUTH-Protokoll kann auch für OTP mit Netscreen eingesetzt werden. ------------------------------------------------------------------------------- Zur weiteren Information besuchen Sie bitte die Web-Site: www.funkwerk-ec.com ------------------------------------------------------------------------------- Funkwerk Enterprise Communications GmbH, Nürnberg, Germany 27.02.2007