Secure Enterprise Server

Release Notes
NCP Secure Enterprise Server
Service Release 8.05 Build 69 (Win) / Build 28 (Linux)
Mai 2011
1. Neue Leistungsmerkmale und Erweiterungen
In diesem Release sind folgende neue Leistungsmerkmale enthalten:
Unterstützte 32/64-Bit Linux-Betriebssysteme
Die Server Software läuft auf folgenden Linux-Betriebssystemen 32/64-Bit:







Debian GNU/Linux 5.0.8 Lenny
Debian GNU/Linux 6.0.0 Squeeze
SLES SuSE Linux Enterprise Server 11
Ubuntu LTS 10.04
Red Hat 5.3
Fedora 14
OpenSuSE 11.4
Unterstützte 32/64-Bit Windows-Betriebssysteme
Die Server Software läuft auf folgenden Windows-Betriebssystemen 32/64-Bit:




Windows
Windows
Windows
Windows
Server 2003 32-Bit
2003 R2 32-Bit
2008 SP2 32/64-Bit
2008 R2 SP1 64-Bit
Erstellen und Verteilen der Server-Zertifikate mit dem PKI Enrollment Plug-in
Der Secure Server nimmt automatisch Server-Zertifikate an, die vom Secure Enterprise Management (SEM)
generiert und verteilt wurden.
Ausstellen eines Zertifikats
Das Ausstellen eines neuen Server-Zertifikats erfolgt am Management-System in der "Server-ZertifikatsKonfiguration", von wo es auch nach der Erzeugung der Server-Konfiguration an das entsprechende VPN Gateway
geschickt wird. Bei dieser Verteilung wird der Dateiname und die PIN aus der Server-Zertifikats-Konfiguration
entnommen. Das Verfahren in Stichworten:
- Server Configuration Plug-in öffnen
- Secure Server selektieren
- unter "Konfiguration" eine "Server-Zertifikats-Konfiguration" selektieren
[für diese wird anschließend das Server-Zertifikat erzeugt]
- Tool-Button "Neues Zertifikat" betätigen
- anschließend öffnet sich der Dialog zum Erzeugen eine Zertifikats
[nach Eingabe der Zertifikatsinhalte wird das Zertifikat am SEM gespeichert]
- vor der Verteilung muss die Server-Konfiguration erzeugt worden sein
Verlängern eines Zertifikats
Ein Server-Zertifikat kann wie jedes andere Zertifikat verlängert werden. Dafür sind zwei Wege möglich:
- über das Server Configration Plug-in: Server-Konfiguration / Secure Server / ausgestellte Zertifikate
- oder über das PKI Enrollment Plug-in: PKI Enrollment / ausgestellte Zertifikate.
Alternativ kann die Verlängerung auch über Script erfolgen.
Bei der Verlängerung eines Zertifikats muss keine Server-Konfiguration erzeugt werden, die Verteilung erfolgt sofort
an das entsprechende Gateway wenn dieses online ist. Es wird immer mit aktuell eingetragenem Dateinamen und
aktuell eingetragener PIN gespeichert.
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 1 von 10
Release Notes
Anzeige der Zertifikate
Unter dem Knoten "Server-Zertifikate" wird immer das Zertifikat angezeigt, das aktuell am Gateway eingesetzt ist.
Unter dem Knoten "ausgestellte Zertifikate" werden die mit dem PKI Plug-in ausgestellten Zertifikate für dieses
Gateway angezeigt.
Unter "Info / Verwendungszweck" wird der Name der verknüpften Server-Zertifikats-Konfiguration angezeigt.
Voraussetzungen





Management Server 2.05 Build 7
Management Console 2.05 Build 3
Server Configuration Plug-in 8.05 Build 14
PKI enrollment Plug-in 2.05 Build 2
NCP Secure Server 8.05 Build 20
SNMP-Abfrage der Server-Zertifikate
Folgende Werte können über SNMP abgefragt werden:

Subject

Issuer

Gültig von

Gültig bis

Seriennummer

Fingerprint MD5 + SHA1
Überprüfung des CRL Datei-Inhalts nach dem Download
Nach dem Download der CRL wird zuerst überprüft, ob die CRL vollständig herunter geladen wurde (nach ASN1
Syntax-Überprüfung). Ist dies nicht der Fall, wird der Download nach 20 Sekunden erneut angestoßen. Danach in
Intervallen von 5 Minuten.
Eine unvollständig geladene CRL konnte bei vorhergehenden Gateway-Versionen zu Systemfehlern führen.
Übertragung der SubCA-Zertifikate
Bei einer Prüfung des Server-Zertifikats durch den Client müssen alle Zertifikate der Kette vom Root-Zertifikat bis
zum Server-Zertifikat geprüft werden. Damit dies erfolgen kann genügt es, dass das Root-Zertifikat lokal am ClientRechner gespeichert ist, die SubCA-Zertifikate der Zertifikatskette werden während der SSL-Verhandlung vom
Server zum Client übertragen und nach der Prüfung wieder gelöscht. Voraussetzung ist eine VPN-Verbindung mit
L2Sec.
Automatische Rück-Routen-Ermittlung (ARRE)
In Umgebungen mit zentralen Secure Enterprise VPN Server Systemen im Load Balancing HA-Verbund sorgt diese
neue Funktion dafür, dass über Weiterleitung angeschlossene Gateways die Information mitführen, welche Clients
über welches zentrale Gateway angebunden sind. Dadurch wird in solchen Konstellation eine korrekte Zuordnung
der Antwortpakete zu den VPN Clients gewährleistet.
ARRE kommt hierbei auf den angeschlossenen Weiterleitungs-Gateways zum Einsatz.
Dynamische Umschaltung der Filterregeln nach Vorgabe der Endpoint Security
Gemäß definierter Regeln wird nur den Clients Zugriff auf das Firmennetz gestattet, die die Sicherheits-Richtlinien
erfüllen. Die Prüfung bezüglich der Richtlinien findet zum ersten Mal während des Verbindungsaufbaus zum
Gateway statt. Werden die Richtlinien nicht erfüllt, kann der Zugriff des Clients (entsprechend der definierten
Regeln) auf eine Quarantänezone beschränkt werden. Die Quarantänezone, ein Netzbereich der am Server (mittels
Filterregeln) eingerichtet wird, kann dazu genutzt werden Updates für den Client bereitzustellen. Werden die
Richtlinien der Endpoint Security nach dem Einspielen der Updates erfüllt, so erhält der Client Zugriff auf das
Firmennetz, da der Secure Server durch dynamisches Umschalten der Filterregeln den Zugriff des Clients auch auf
Netzbereiche bzw. das Firmennetz außerhalb der Quarantänezone zulässt.
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 2 von 10
Release Notes
Während der Dauer der VPN-Verbindung finden nach konfiguriertem Intervall weitere Endpoint Security-Prüfungen
statt. Ergibt eine nachfolgende Prüfung, dass die Richtlinien nicht mehr erfüllt werden weil z. B. in der Zwischenzeit
am Client PC ein Virenscanner deaktiviert wurde, so wird der Zugriffsbereich des Clients gemäß der definierten
Regeln wieder eingeschränkt.
Voraussetzung für diese dynamische Rückschaltung während der Dauer einer VPN-Verbindung ist ein NCP Secure
Enterprise Server ab der Version 8.05 sowie ein NCP Secure Client ab der Version 9.23.
Externe Authentisierung mit LDAP Bind
Sollen Benutzer gleiche Passwörter für die Verbindung zum VPN Gateway wie auch für die Verbindung in ihre
Domäne verwenden, so kann dies durch eine externe Authentisierung mit LDAP Bind bewerkstelligt werden. Dabei
wird das VPN-Passwort vom Gateway (Secure Server) an das Active Directory (LDAP Server) weitergeleitet. Der
LDAP Server vergleicht das Passwort mit seinem Eintrag. Ist das Passwort korrekt, kann der Benutzer die VPNVerbindung aufbauen.
Voraussetzung für diese Art der externen Authentisierung ist, dass die Passwörter im Active Directory bereits
gesetzt sind. Die Passwortverwaltung (Änderung oder Verlängerung) am Active Directory ist über VPN nicht
möglich.
Der Konfigurationsschalter für die Benutzung des LDAP Binds zur Authentisierung befindet sich in der Konfiguration
unter "Domain-Gruppe / LDAP". Wird dieser Schalter auf "ein" gestellt, so wird das Passwort des Benutzers, der sich
zu seinem VPN Gateway verbunden hat, mit dem entsprechenden LDAP-Eintrag verglichen.
Eine externe Authentisierung mit Passwort-Administration über das VPN ist nur unter Einsatz des Secure Enterprise
Managements (SEM) mit dem Microsoft Internet Authentication (RADIUS) Server möglich.
LDAP over SSL
LDAP über SSL kann über den Standard-Port 636 genutzt werden. Voraussetzung ist, dass der LDAP-Server LDAP
über SSL unterstützt.
RADIUS-, LDAP-, SEM-Weiterleitung
Sollte eine Domain-Gruppe in ihrem Subnetzbereich einen eigenen RADIUS-, LDAP- oder SEM-Server statt eines
zentralen Rechners dieser Art nutzen, so muss die RADIUS-, LDAP oder SEM-Weiterleitung zu diesen Maschinen
entsprechend zusätzlich aktiviert werden. (Dies erfolgt in der Konfiguration unter "Domain-Gruppen / Allgemein").
Als Ziel-IP-Adressen der Server werden die Adressen bzw. Namen aus den Konfigurationsfeldern dieser DomainGruppe unter "Allgemein" (Management Server), "RADIUS" und "LDAP" verwendet.
Achten Sie darauf, dass nur eine der drei Weiterleitungsarten aktiv ist:

die Weiterleitung über GRE wird aktiviert, indem der GRE-Endpunkt des Ziel-Gateways eingetragen wird;

die Weiterleitung im VPN-Tunnel wird aktiviert, indem ein Link-Profil, das für eine ausgehende
(IPsec-) Verbindung zum Ziel-Gateway konfiguriert wurde, selektiert wird;

die Weiterleitung über VLAN wird aktiviert, indem die VLAN ID eingetragen wird.
Die Benutzer dieser Domain-Gruppe werden nach den obigen Einstellungen auf ihren Netzbereich weitergeleitet.
Die Weiterleitung erfolgt nicht für Datenpakte, die für einen RADIUS-, LDAP- oder Management-Server bestimmt
sind, da diese Maschinen in den meisten Netzwerkarchitekturen zentral für alle Domain-Gruppen genutzt werden.
Web-Anwendung mit Port-Weiterleitung starten
Sollten Web Proxies nicht für den Aufruf von Web-Anwendungen aus der SSL VPN-Startseite heraus eingesetzt
werden können, können unter Windows die Web-Anwendungen auch über Port-Weiterleitungen gestartet werden.
Dazu stehen zwei Möglichkeiten zur Verfügung.
1. Aufruf einer Website über ein Script
In der Konfiguration der Port-Weiterleitung wird unter Start-Modus "Starte Applikation" selektiert; unter StartKommando wird das Script selektiert, das den "Default Web-Browser" startet; unter Startparameter wird die URL
der gewünschten Website eingegeben.
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 3 von 10
Release Notes
2. Aufruf einer Website aus dem gleichen Browser, worin sich das SSL VPN-Startfenster befindet
In der Konfiguration der Port-Weiterleitung wird unter Start-Modus "Starte Browser" selektiert; unter StartKommando wird die URL der gewünschten Website eingegeben wie in einem Browser (z. B.
http://www.ncp.e.com); als entfernter Host wird der gleiche Hostname oder die gleiche IP-Adresse eingetragen wie
unter Start-Kommando (z. B. www.ncp.e.com). Als entfernter Port wird 80 (http) benötigt. (Voraussetzung:
Internet Explorer >= V. 8.0)
Platzhalter zur Vereinfachung der Konfiguration
Um komplexe Konfigurationsabläufe zu vereinfachen, wurden die "Platzhalter für SSL VPN-Parameter" in der SSL
VPN-Konfiguration des Link-Profils eingeführt.
Für diese Platzhalter (%SSLVPNPARAM1% bis %SSLVPNPARAM5%) können im Konfigurationsfeld "Link-Profile /
SSL VPN" die individuellen Werte für "Remote Host" und "Start-Parameter" eingetragen werden, die dann
benutzerspezifisch über die Zuordnung zum Link-Profil aufgelöst werden.
Mit Hilfe von Platzhaltern kann auch für die SSL VPN-Anwendung der Netzwerkfreigaben das entsprechende
Verzeichnis eingegeben werden. Vorausgesetzt der Name des persönlichen Verzeichnisses des Benutzers ist
identisch mit seinem Benutzernamen, den er auf der Login-Seite eingeben muss, kann das Verzeichnis wie folgt
angegeben werden:
\ncp\%SSLVPNUSERNAME%
Wird der Benutzername auf der Login-Seite mit einem Suffix eingegeben (z. B. ABC@Domaingruppe1), so kann mit
dem Platzhalter %USERNAME% der Suffix abgeschnitten werden, sodass statt des kompletten Benutzernamens nur
der String vor dem @-Zeichen (ABC) verwendet wird.
Der Platzhalter wird durch den individuellen Wert ersetzt. Wird zum Beispiel für %SSLVPNPARAM1% der Wert
"116.2.1" eingetragen, so folgt daraus, dass der Wert für "Entfernter Host" wie folgt ersetzt wird:
Entfernter Host = 198.%SSLVPNPARAM1% ⇒ 198.116.2.1
Diese Platzhalter können in der Konfiguration der SSL VPN-Anwendung Port-Weiterleitung für "Entfernter Host" und
"Start-Parameter", sowie in der Konfiguration der SSL VPN-Anwendung Netzwerkfreigaben für "Verzeichnis"
eingesetzt werden. Dabei können für einen Parameter gleichzeitig mehrere Platzhalter angegeben werden. Die
gleichen Platzhalter können auch in der RADIUS- und der LDAP-Konfiguration eingesetzt werden.
Gestaltung der SSL VPN-Startseite
Für den SSL VPN-Benutzer kann auf der Startseite ein Hinweistext (z. B. Support-Nachricht mit E-Mail oder
Telefonnummer) in Deutsch und Englisch eingegeben werden. Wird nichts eingegeben, wird ein Standardtext
eingeblendet, wird "none" eingegeben, wird kein Text angezeigt. (Die Angaben für die Ansicht erfolgen in der
Konfiguration unter "SSL VPN / Listener).
Das Firmenlogo von NCP und die Produktbezeichnung "SSL VPN" können durch andere Bilder ersetzt werden.

Die "Grafik links" sollte eine Größe von 740 x 180 Pixel bei 72 dpi besitzen,

die "Grafik rechts" sollte eine Größe von 205 x 80 Pixel bei 72 dpi besitzen. Die Grafiken werden in dieser
Größe jeweils von links oben bzw. rechts oben eingeblendet.

Das Format der Grafiken (GIF, JPEG, PNG, etc.) muss vom eingesetzten Browser unterstützt werden. Die
gewünschten Grafiken werden in folgendem Verzeichnis gespeichert:
MS Windows [PROGRAMFILES]\ncp\secureServer\sslvpn\customimages
Linux \usr\local\ncp\ses\sslvpn\customimages
In der Konfiguration genügt die Angabe des Dateinames ohne Pfad.
Erweiterung des DDNS-Konfiguration
In der Domain-Gruppen-Konfiguration unter "DDNS" kann ein Intervall eingestellt werden, in welchem die
Zuordnung von Benutzername und IP-Adresse der aktuell verbundenen Clients aktualisiert und an den DNS Server
geschickt wird (Intervall zwischen Updates). Durch das Update der Namens- bzw. Adressauflösung kann das
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 4 von 10
Release Notes
Löschen der Namens- bzw. Adressauflösung durch den DNS-Server kompensiert werden wenn das Intervall
entsprechend gewählt wird. Das Intervall wird in Sekunden angegeben. Bei 0 Sekunden findet kein Update statt.
Die "Haltedauer" gibt an, für welchen Zeitraum die Namensauflösung für diese Domain im VPN gelten soll. D. h. wie
lange maximal der Benutzername im DNS Server gehalten werden soll. Die Standardeinstellung entspricht einem
Tag. Dies ermöglicht die firmeninterne DNS-Namensauflösung.
Initial-Passwort für neuen Administrator
Wird über das Web-Interface ein neuer Administrator angelegt, so muss für ihn ein Initial-Passwort mitgegeben
werden. Nach der ersten Eingabe des Initial-Passworts durch den neuen Administrator kann dieser das Passwort
ändern. Der Button für das Zurücksetzen des Passworts entfällt dafür.
Das Passwort des ersten Administrators "Administrator" wird weiterhin beim ersten Aufruf vergeben.
Unterstützung von SSL VPN Port-Weiterleitungen unter Mac OS X
Für die Funktionalität der Port-Weiterleitung unter Mac OS X wurden folgende Startscripte implementiert:

SSH Client Session (für Windows, Linux und Mac)

Remote Desktop Client (für Windows und Mac)
Erweiterte SSL VPN-Unterstützung für alle mobilen Endgeräte
Zukünftig können auch folgende Plattformen mittels standardmäßig installiertem Webbrowser via SSL VPN den
Zugriff auf firmeninterne Web-Applikationen, z.B. das Intranet, erhalten:

Apple iOS (iPhone, iPad)

Google Android

Microsoft Windows Phone bzw. Mobile 7

RIM Blackberry (ab Blackberry 6)
VPN via L2TP over IPsec für Android und IPsec für Apple iOS
Das VPN Gateway erlaubt mit L2TP over IPsec die Anbindung von Endgeräten, die auf Android basieren. D. h. jedes
android-basierte Gerät kann mittels des standardmäßig vorinstallierten VPN Clients mit dem VPN Gateway eine
Datenverbindung aufbauen. Das gilt auch für die Anbindung von iOS-Geräten von Apple über den vorinstallierten
VPN IPsec Client.
Web-Proxy Funktionalität verbessert
Die Web-Proxy Funktion wurde komplett überarbeitet und unterstützt jetzt mehr Funktionen und Webseiten, sodass
die Kompatibilität zu Web-Applikationen via SSL VPN wird deutlich gesteigert.
Vermeidung von Cross Side Scripting
Es wurden einige Cross Side Scripting-Möglichkeiten im Web-Interface und SSL VPN korrigiert. Cross Side Scripting
durch Eingabe von Java Script-Elementen in die Konfigurationsfelder des Web-Interfaces und SSL VPN ist damit
ausgeschlossen.
Beschränkung der Cipher Suites
Um die Sicherheit zu erhöhen, sind für den Zugang zum Web-Interface nur noch die folgenden Cipher Suites für die
SSL-Verschlüsselung zugelassen: AES256-SHA / DES-CBC3-SHA / AES128-SHA
Dadurch ist der Zugang zum Web-Interface mit dem Internet Explorer Version < 7 nicht mehr möglich. Weitere
gängige Standard-Browser (z. B. Firefox) sind davon nicht betroffen.
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 5 von 10
Release Notes
3. Bekannte Einschränkungen
Keine
4. Hinweise zum NCP Secure Enterprise Server
Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website:
http://www.ncp-e.com/de/downloads
Weitere Unterstützung bei Fragen zum NCP Secure Enterprise MAC Client, erhalten Sie
über die Mail-Adressen auf folgender Seite:
http://www.ncp-e.com/de/support.html
Mail: [email protected]
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 6 von 10
Release Notes
5. Änderungsstand
Leistungsmerkmale der Vorgängerversion 8.03
Betriebssysteme
32-Bit Betriebssysteme

Windows 2003 Server, Windows 2003 R2, Windows Server 2008; Linux Kernel 2.6 ab Version 2.6.16
(Distributionen auf Anfrage)
64-Bit Betriebssysteme

Windows Server 2008, Windows Server 2008 R2
Empfohlene Systemvoraussetzungen
Rechner:

CPU: Pentium III (oder höher) 150 MHz oder vergleichbarer x86 Prozessor, 512 MB Arbeitsspeicher
(Mindestausstattung ), pro 250 gleichzeitig nutzbarer Tunnel 64 MB Arbeitsspeicher.

Taktung: pro 150 MHz bei einer Single Core CPU ein Datendurchsatz von ca. 4,5 Mbit/s realisiert
werden (incl. symmetrischer Verschlüsselung), pro 150 MHz bei einer Dual/Quad Core CPU kann ein
Datendurchsatz von ca. 9 Mbit/Sek. realisiert werden (incl. symmetrischer Verschlüsselung)
Systemvoraussetzungen bei gleichzeitigen SSL VPN Sessions

10 Concurrent User (CU) CPU: Intel Pentium III 700 MHz oder vergleichbarer x86 Prozessor, 512 MB
Arbeitsspeicher

50 Concurrent User CPU: Intel Pentium VI 1,5 GHz oder vergleichbarer x86 Prozessor, 512 MB
Arbeitsspeicher

100 Concurrent User CPU: Intel Dual Core 1,83 GHz oder vergleichbarer x86 Prozessor, 1024 MB
Arbeitsspeicher

200 Concurrent User CPU: Intel Dual Core 2,66 GHz oder vergleichbarer x86 Prozessor, 1024 MB
Arbeitsspeicher
Es gibt Einschränkungen bei mobilen Endgeräten wie Tablet PCs (z.B. unter IOS, Android), Smartphones,
PDAs etc., abhängig vom jeweiligen Endgerätetyp.
Die angegebenen Werte sind Richtgrößen, die stark vom Benutzerverhalten bzw. den Anwendungen
beeinflusst werden. Wenn mit vielen gleichzeitigen Dateitransfers (Datei Up- und Download) zu rechnen
ist, empfehlen wir den oben angegebenen Speicherwert um den Faktor 1,5 zu erhöhen.
Netzwerkprotokolle
IP (Internet Protocol), VLAN-Support
Management
Konfiguration und Verwaltung erfolgen über das NCP Secure Enterprise Management mittels VPN Server Plug-in
oder über das Web-Interface des Servers
Network Access Control (Endpoint Security)

Endpoint Policy Enforcement für kommende Datenverbindungen

Überprüfung vordefinierter, sicherheitsrelevanter Client-Parameter

Maßnahmen bei Soll-/Ist-Abweichungen im IPsec VPN:
o Disconnect oder Verbleib in die Quarantänezone mit Handlungsanweisungen
o Meldungen in Messagebox oder Starten externer Anwendungen (z.B. Virenscanner-Update)

Protokollierung in Logfiles

Maßnahmen bei Soll-/Ist-Abweichungen im SSL VPN:
o Granulare Abstufung der Zugriffsberechtigungen auf bestimmte Applikationen entsprechend
vorgegebener Sicherheitslevels.
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 7 von 10
Release Notes
Dynamic DNS (DynDNS)

Verbindungsaufbau via Internet mit dynamischen IP-Adressen

Registrierung der jeweils aktuellen IP-Adresse bei einem externen Dynamic DNS-Provider

Die Etablierung des VPN-Tunnels erfolgt dann über Namenszuordnung
o Voraussetzung: VPN Client unterstützt DNS-Auflösung - wie NCP Secure Clients
DDNS

Erweiterung des Domain Name Servers (DNS), Erreichbarkeit des VPN-Clients unter einem (festen)
Namen trotz wechselnder IP-Adresse
Multi Company Support

Gruppenfähigkeit
max. können 256 Domänen-Gruppen konfiguriert werden, die sich zum Beispiel unterscheiden in:
Authentisierung, Weiterleitung, Filtergruppen, IP-Pools, Bandbreitenbegrenzung etc.
Benutzerverwaltung

Lokale Benutzerverwaltung (bis zu 750 Benutzer)

externe Authentiserung über:
o OTP-Server
o RADIUS
o LDAP
o Novell NDS
o MS Active Directory Services
Statistik und Protokollierung

Detaillierte Statistik

Logging-Funktionalität

Versenden von SYSLOG-Meldungen
Client/Benutzer Authentifizierungsverfahren

OTP-Token

Benutzer- und Hardware-Zertifikate (IPsec) nach X.509 v.3

Benutzername und Password (XAUTH)
Zertifikate (X.509 v.3)
Server-Zertifikate
Es können Zertifikate verwendet werden die über folgende Schnittstellen bereitgestellt werden

PKCS#11 Interface für Verschlüsselungs-Tokens (USB und Smart Cards);

PKCS#12 Interface für Private Schlüssel in Soft Zertifikaten
Revocation Lists

Revocation: EPRL (End-entity Public-key Certificate Revocation List, vorm. CRL)

CARL (Certification Authority Revocation List, vorm. ARL)
Online Check

automatische Downloads der Sperrlisten von der CA in bestimmten Zeitintervallen

Überprüfung der Zertifikate mittels OCSP oder OCSP over http gegenüber der CA
VPN mit IPsec und SSL VPN
Übertragungsmedien

LAN

Direktbetrieb am WAN: Unterstützung von max. 120 ISDN B-Kanälen (SO, S2M)
Line Management

DPD mit konfigurierbarem Zeitintervall

Short Hold Mode
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 8 von 10
Release Notes


Kanalbündelung (dynamisch im ISDN) mit frei konfigurierbarem Schwellwert
Timeout (zeit- und gebührengesteuert)
Point-to-Point Protokolle

PPP over ISDN

PPP over GSM

PPP over PSTN

PPP over Ethernet

LCP

IPCP

MLP

CCP

PAP

CHAP

ECP
Pooladressenverwaltung
Reservierung einer IP-Adresse aus einem Pool innerhalb einer definierten Haltedauer (Lease Time)
Lockruf
Direktanwahl des dezentralen VPN Gateways über ISDN, "Anklopfen im D-Kanal"
Virtual Private Networking mit IPsec







IPsec (Layer 3 Tunneling), RFC-konform
MTU Size Fragmentation und Reassembly
DPD (Dead Peer Detection)
NAT-Traversal (NAT-T)
IPsec Modes: Tunnel Mode, Transport Mode
Seamless Rekeying
PFS (Perfect Forward Secrecy)
Internet Society / RFCs und Drafts

RFC 2401 -2409 (IPsec)

RFC 3947 (NAT-T negotiations)

RFC 3948 (UDP encapsulation)

IP Security Architecture

ESP

ISAKMP/Oakley

IKE

XAUTH

IKECFG

DPD

NAT Traversal (NATT)

UDP encapsulation

IPCOMP
Verschlüsselung

Symmetrische Verfahren: AES 128,192,256 Bits; Blowfish 128,448 Bits; Triple-DES 112,168 Bits

Dynamische Verfahren für den Schlüsselaustausch: RSA bis 4096 Bits

Diffie-Hellman Groups 1,2,5,14; Hash Algorithmen: (MD5), SHA1, SHA 256, SHA 384, SHA 512
Firewall

Stateful Packet Inspection

IP-NAT (Network Address Translation)

Port Filtering

LAN-Adapterschutz
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 9 von 10
Release Notes
VPN Path Finder
NCP VPN Path Finder Technology, Fallback IPsec /HTTPS (Port 443) wenn Port 500 bzw. UDP
Encapsulation nicht möglich ist (Voraussetzung: NCP Secure Enterprise VPN Server 8.0)
Authentisierungsverfahren

IKE (Aggressive und Main Mode), Quick Mode

XAUTH für erweiterte User-Authentisierung

Unterstützung von Zertifikaten in einer PKI: Soft-Zertifikate, Smart Cards und USB Tokens

Pre-Shared Keys

One-Time Passwords und Challenge Response Systeme

RSA SecurID Ready
IP Address Allocation

DHCP (Dynamic Host Control Protocol) over IPsec

DNS: Anwahl des zentralen Gateways mit wechselnder öffentlicher IP-Adresse durch Abfrage der IPAdresse über einen DNS-Server

IKE-Config-Mode für die dynamische Zuteilung einer virtuellen Adresse an die Clients aus dem
internen Adressbereich (private IP)
Datenkompression

IPCOMP (lzs)

Deflate
SSL-VPN
Protokolle

SSLv1

SSLv2

TLSv1 (Application-Layer Tunneling)
Web Proxy
Zugriff auf interne Web-Anwendungen und Microsoft Netzlaufwerke über ein Web-Interface.
Voraussetzungen am Endgerät: SSL-fähiger Web-Browser mit Java Script-Funktionalität
Secure Remote File Access*:
Up- und Download, Erstellen und Löschen von Verzeichnissen, entspricht in etwa den Funktionalitäten des
Datei-Explorers unter Windows. Voraussetzungen am Endgerät: siehe Web Proxy
Port Forwarding:
Zugriff auf Client-/Server-Anwendungen (TCP/IP). Voraussetzungen am Endgerät: SSL-fähiger WebBrowser mit Java Script-Funktionalität, Java Runtime Environment (>= V1.5) oder ActiveX, SSL Thin Client
für Windows 7 (32/64 Bit), Windows Vista (32/64 Bit), Windows XP (32/64 Bit) und Linux
Cache Protection für Internet Explorer V.6, 7 und 8:
Alle übertragenen Daten werden nach dem Verbindungsabbau automatisch am Endgerät gelöscht.
Voraussetzungen am Endgerät: SSL-fähiger Web-Browser mit Java Script-Funktionalität, Java Runtime
Environment (>= V5.0), SSL Thin Client für Windows 7 (32/64 Bit), Windows Vista (32/64 Bit), Windows
XP (32/64 Bit)
PortableLAN:
Transparenter Zugriff auf das Firmennetz. Voraussetzungen am Endgerät: SSL-fähiger Web-Browser mit
Java Script-Funktionalität, Java Runtime Environment (>= V5.0) oder ActiveX Control, PortableLAN Client
für Windows 7 (32/64 Bit), Windows Vista (32/64 Bit), Windows XP (32/64 Bit)
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com
NCP_Sec_Ep_Server_RN_805_de_v1.1.docx
Technische Änderungen vorbehalten
Seite 10 von 10