VollautomatischerVPNBetrieb · NCP bietet mit seiner Secure Enterprise Solution eine zentral...
Transcript of VollautomatischerVPNBetrieb · NCP bietet mit seiner Secure Enterprise Solution eine zentral...
Die Secure Enterprise Solutionvon NCP verfügt nicht nur überumfassende Automatisierungsfunktionen, sondern bietet zudemeine grafische Benutzeroberfläche und eine fein konfigurierbareRechteverwaltung. Dazu kommennoch Funktionen wie WLANRoaming, eine Friendly Net Detection, mit der der Client feststellenkann, ob er sich in seinem Heimnetz oder außerhalb befindet undeine automatische, standortabhängige Anpassung der FirewallRegeln.Die Quarantänefunktion stellt beiBedarf sicher, dass nur solche Clients auf die Dienste des internenNetzwerks zugreifen dürfen, diebestimmte Sicherheitsbedingungen – wie etwa aktuelle Virensignaturen – erfüllen. Die VPNZugriffe selbst lassen sich auf Basis von IPSec und SSL realisierenund HochverfügbarkeitsFeaturesstehen ebenfalls zur Verfügung.Zum Leistungsumfang der VPNUmgebung von NCP gehört zudem ein integrierter, unlimitierterRADIUSServer, über den die Authentifizierung der Benutzer ablaufen kann. Für Service Providerbesonders interessant ist das so genannte VPN Gateway Sharing.Dieses ermöglicht den gleichzeitigen Betrieb mehrerer VPNs fürunterschiedliche Unternehmenüber einen einzigen VPNServer.
Das macht den Aufbau mehrererEinzelsysteme überflüssig. Da dieSecure Enterprise Solution ausschließlich aus SoftwareKomponenten besteht, lässt sie sichdarüber hinaus problemlos in Virtualisierungsumgebungenintegrieren. An ClientBetriebssystemenunterstützt NCP neben den gängigen PCOperatingSystems wieWindows, Linux und Mac OS Xauch Android, Blackberry, iOS,
Symbian, Windows Mobile undCE. Die Serverkomponentenkönnen auf Linux und WindowsRechnern zum Einsatz kommen.Sie benötigen etwa 512 MByteArbeitsspeicher und 50 MByteFestplattenplatz.Der TestUnsere Testumgebung sah folgendermaßen aus: Zunächstspielten wir die drei Serverbe
Im Test: NCP Secure Enterprise Solution
Vollautomatischer VPNBetriebDr. Götz Güttich
NCP bietet mit seiner Secure Enterprise Solution eine zentral verwaltete VPNLösungfür Unternehmen und Service Provider an, deren Management sich zu großen Teilenautomatisieren lässt. IAIT hat das Produkt in der Praxisgenau unter die Lupe genommen.
1
standteile der NCP Secure Enterprise Solution in drei dafür vorgesehene virtuelle Maschinen ein.Als Virtualisierungsumgebungkam dabei eine VmwarevSphereInstallation zum Einsatz. Dievirtuellen Maschinen (VMs) arbeiteten jeweils mit 80 GByte Festplattenkapazität, zwei GByteRAM und zwei virtuellen CPUs.Auf der ersten VM (dem späterenManagementServer) richtetenwir als erstes den Ubuntu Server10.04 LTS mit den Standardeinstellungen ein uns installierten anschließend die MySQLDatenbank und den ODBCTreiber (libmyodbc). Die zweite VM, die später die Gatewayfunktionalitätenrealisieren sollte, lief ebenfalls unter einem Ubuntu Server 10.04LTS mit den DefaultInstallationSettings. Der dritte Server, aufdem wir den Friendly NetworkDetection Server von NCP unddie Managementkonsole für dieVPNUmgebung einrichten wollten, wurde mit Windows Server2008 R2 als Betriebssystem ausgestattet. Auch bei diesem System kamen beim Setup dieStandardeinstellungen zum Einsatz.Nach dem Aufsetzen der VMs installierten wir die Secure Enterprise Solution, konfigurierten diedazugehörigen Systeme und richteten ein so genanntes Personalisierungsprofil ein, mit dem sichneue Anwender mit Hilfe einesPresharedKeys beim VPNServer anmelden und ihre jeweilige –genau auf sie zugeschnittene –ClientKonfiguration herunterladen konnten. Zum Schluss stellten wir eine Verbindung zwischendem VPNSystem und der in unserem Testnetz vorhandenen Zertifizierungsstelle auf Basis derActiveDirectoryZertifikatsdienste unter Windows Server 2008 R2
her und verwendeten die skriptbasierten Automatisierungsfunktionen der NCPLösung, um automatisch Benutzerkonten für dieSecure Enterprise Solution anzulegen, die mit Zertifikaten funktionierten und die unsere Testbenutzer anschließend verwendenkonnten, um auf das VPN zuzugreifen.Konkret sah das so aus, dass wirin unserem Active Directory diebeiden Benutzergruppen "NCPUser" und "NCPAdmin" anlegtenund Benutzer, die Administratorrechte auf die VPNUmgebung er
halten sollten, in die letzte Gruppe aufnahmen, während User, diedas VPN lediglich nutzen sollten,in die erste Gruppe kamen. Anschließend lief das Skript, das dieKontoverwaltung automatisierte,auf dem NCPServer durch, lasdie beiden genannten ActiveDirectoryGruppen aus, um die entsprechenden Benutzernamen inErfahrung zu bringen, und erzeugte dann auf dem RADIUSServerder NCPLösung Benutzerkontengleichen Namens, die über Zertifikate auf das VPN zugriffen. Diedazu benötigten Certificates forderte das Skript automatisch beiunserer Zertifizierungsstelle an,
dazu waren keine Aktionen vonSeiten der ITVerantwortlichenerforderlich.Um die VPNBenutzerkontenstets auf dem aktuellen Stand zuhalten, ließ sich das Skript im regulären Betrieb regelmäßig automatisch ausführen, so dass Änderungen in der Gruppenmitgliedschaft im Active Directorybinnen kürzester Zeit auch imRADIUSServer erschienen. Unser Skript entfernte übrigens auchBenutzerkonten und Zertifikateaus der VPNUmgebung, die wirzuvor aus einer der beiden VPN
Gruppen im Active Directory gelöscht hatten. Da wir das erste,PresharedKeybasierte Profil,das nur zur Personalisierung desVPNZugriffs zum Einsatz kam,in die Installationsroutine desVPNClients integriert hatten,reichte es nach Abschluss allerVorbereitungen aus, das ClientSetup auf den verwendeten EnduserSystemen (im Test verwendeten wir dafür Rechner unterWindows XP mit Service Pack 3und Windows 7 mit Service Pack1) auszuführen.Anschließend waren die Anwender dazu in der Lage, auf den
2
Der NCP Secure Server im laufenden Betrieb
VPNServer zuzugreifen, ihr Profil mit den dazugehörigen Regelnund Zertifikaten herunterzuladen,sich erneut mit ihrem eigenen Benutzerprofil bei der VPNUmgebung zu authentisieren und danach mit dem VPN zu arbeiten.InstallationWenden wir uns nun den Schritten zu, die zum Verwirklichen deseben beschriebenen Szenarios er
forderlich sind: Die Installationder LinuxKomponenten des Secure Enterprise Gateway lief verhältnismäßig einfach ab. Es reichte, die entsprechenden Installationsdateien auf die jeweiligen Server zu kopieren und anschließendauszuführen. Zuerst spielten wirauf diese Weise den Secure Enterprise VPN Server (SES) ein, derdie GatewayFunktionalitäten bereit stellte und definierten gleichzeitig ein Netzwerk mit IPAdressen, die beim Aufbau derVPNVerbindungen zum Einsatzkommen konnten. Danach machten wir uns auf der ManagementServerVM daran, die Datenbankvorzubereiten. Dazu legten wir zunächst eine MySQLDatenbanknamens "ncpsem" an und gabendem Administratorkonto "ncpadm" Rechte darauf. Anschließend stellten wir sicher, dass der
ODBCZugriff funktionierte undspielten den NCP Secure Management Server (SEM) ein. Damitwar das ServerSetup bereits abgeschlossen.Jetzt konnte es daran gehen, aufdem Windows Server 2008 R2die Managementkonsole und denFriendly Network Detection Server (FND) zu installieren. DerFND hat nur eine Aufgabe: Nach
dem Herstellen der Netzwerkverbindung mit vordefinierten Credentials fordern die Clients ihnauf, sich bei ihnen einzuloggen.Gelingt das, so gehen sie davonaus, dass sie sich in ihrem HomeNetwork befinden, gelingt esnicht, so schließen sie daraus,dass sie sich in einer fremdenNetzwerkumgebung aufhalten.Die Installation dieses Serversläuft – wie unter Windows üblich– Wizardgesteuert ab und wirdwohl keinen ITSpezialisten vorunüberwindliche Schwierigkeitenstellen. Das gleiche gilt für die Installation der Verwaltungskonsole.Das Setup der VPNUmgebungist allerdings mit dem Einspielender genannten Komponentennoch nicht abgeschlossen. DieManagementkonsole an sich
bringt nur die wesentlichstenFunktionen, beispielsweise zumKonfigurieren der Ansicht, mitsich. Möchte ein Administratordamit sein VPN verwalten, somuss er noch diverse Plugins installieren, die die dafür benötigten Funktionalitäten zur Verfügung stellen. Auf diese Weiselässt sich die Konfigurationsumgebung modular aktualisieren.Für unsere Testumgebung spielten wir die Plugins "ClientKonfiguration", "Endpoint Policy Enforcement", "FirewallKonfiguration", "License Manager", "PKIEnrollment", "RADIUSKonfiguration", "ServerKonfiguration"und "SkriptVerwaltung" ein. Damit war der Installationsvorgangvollendet.KonfigurationUm das System in Betrieb zunehmen, meldeten wir uns anschließend mit der Administrationskonsole beim ManagementServer an. Nun ging es erst einmal daran, die Konfiguration desGateways, also des SES, durchzuführen. Dazu wechselten wirnach "Server Konfiguration / Secure Server Vorlage" und klicktenmit der rechten Maustaste in denArbeitsbereich unten links. Dieser dient dazu, neue Profile undKonfigurationen anzulegen, Benutzerdaten zu kopieren und ähnliches. Daraufhin erschien eineBefehlsliste und wir wählten dieImportFunktion aus. Danachkonnten wir die aktuelle Standardkonfiguration von unseremfrisch installierten SES importieren, sie dann in der Managementkonsole nach unseren Wünschenbearbeiten und dann wieder aufden Gateway ausbringen. Alternativ ist es auch möglich, Konfigurationen aus Dateien einzulesen oder manuell selbst neu anzulegen. Für unsere Testumgebung
3
Nahtlos integriert: das Zertifikatsmanagement
definierten wir in unserer geradeimportierten ServerVorlage zunächst ein Passwort für den Zugriff auf den SES und passten dann die so genannten Benutzer Parameter an. Letztere dienen zurSteuerung des Zugriffs auf einzelne Funktionen. Mit ihnen habendie zuständigen Mitarbeiter alsodie Möglichkeit, bestimmten Konten die Arbeit mit bestimmtenKonfigurationsbereichen zu erlauben. Auf diese Weise können Unternehmen mit mehreren AdministrationsAccounts arbeiten, vondenen manche das Recht haben,das ganze System zu modifizieren, während andere nur Zugriffauf bestimmte Einzelfunktionenerhalten, wie zum Beispiel dasÄndern des Passworts.Nach dem Zuweisen der BenutzerParameter wendeten wir uns denIKE und IPSecKonfigurationsoptionen zu. Hier definierten wirden PresharedKey (PSK) für unser später zu erzeugendes Personalisierungsprofil. Im nächstenSchritt gingen wir die restlichenPunkte der ServerVorlage durch.Das Erklären aller vorhandenenFunktionen würde den Rahmendieses Tests sprengen, deswegengehen wir an dieser Stelle nur aufdie wichtigsten Features ein. Die"Filternetze", "Filter" und "Filtergruppen" ermöglichen das Erstellen von Regeln für ClientZugriffe auf LANRessourcen. ImTest ergaben sich dabei keineSchwierigkeiten.Bei der Konfiguration der IKERichtlinie lässt sich über eine Liste definieren, welche Authentisierungsmethoden das System akzeptieren soll. Hier gaben wir zunächst die zertifikatsbasierte Authentisierung und zusätzlich (fürdas Personalisierungsprofil) dieAuthentisierung über PSKs an.
Bei der IPSecStandardrichtlinieließen wir als Verschlüsselungsalgorithmus nur AES zu.Unter den DomainGruppen lassen sich bei Bedarf mehrere Gruppen anlegen, die die Weiterleitung des Datenverkehrs in unterschiedliche Netze übernehmen.Da wir in unserer Testumgebungnur ein Netz hatten, reichte es, eine Default Group zu erzeugenund dort unsere Netzwerkkonfigu
ration einzutragen. Zu den angegebenen Parametern gehörten dieDNS und WINSServer, dasDNSSuffix die Adresse desNCPManagementServers undähnliches.Als RADIUSServer gaben wirden lokalen Server auf dem ManagementSystem an, den wir zuvorüber den RADIUSMenüpunkt inBetrieb genommen hatten. Darüber hinaus legten wir noch einenAdresspool fest, der dazu diente,den VPNClientSystemen IPAdressen aus dem VPNAdressbereich des SES zuzuweisen.Um die Konfiguration abzuschließen, gaben wir noch die SyslogServer im Netz an, die die System, Error und KonfigurationsLogs des VPNGateways erhaltensollten. Danach war die ServerKonfigurationsvorlage fertig undwir generierten daraus mit einemKlick der rechten Maustaste und
die Auswahl des Befehls "Konfiguration erzeugen" die endgültigeKonfiguration. Anschließendmeldeten wir uns bei der lokalenKonsole des SES an und richteten diese Konfiguration mit Hilfedes Tools "rsuinst" auf dem Gateway ein. Der zuletzt genannteSchritt ist nur beim erstmaligenVerbinden des Gateways und desManagementServers erforderlich, um die Authentifizierungder Systeme sicher zu stellen.Die ClientKonfigurationNach dem Abschluss der Servereinstellungen wendeten wir unsder ClientKonfiguration zu. Dazu generierten wir zunächst unterhalb des RootEintrags derVPNUmgebung eine Gruppe namens "Clients" und erzeugten innerhalb dieser eine neue Vorlagenamens "inituser" für das nun zuerstellende Personalisierungsprofil. Danach wechselten wir imMenü "SoftwareVerwaltung"zum Konfigurationsdialog "Software Update Listen" und erzeugten eine DefaultUpdateListe.Diese enthielt die ClientKonfiguration und die Zertifikate undstellte so sicher, dass die Clientsstets mit der aktuellen Konfiguration und den dazugehörigen Zertifikaten versehen wurden. Überdie SoftwareUpdateListe ist eszudem unter anderem auch möglich, den VPNClient auf den EnduserSystemen automatisch aufdem aktuellen Stand zu halten.Letzteres funktionierte im Testproblemlos.Nach der Definition der UpdateListe wechselten wir zum PluginFirewallKonfiguration und erstellten eine FirewallVorlage.Mit dieser ließ sich die Firewallaktivieren und die Administratoren hatten die Option, bekannte
4
Die automatische Generierung des Benutzerkontos "am" durch unser Skript
Netzwerke zu definieren und Protokolle wie IPSec und L2Sec zuzulassen.Sobald die DefaultFirewallVorlage existierte, konnte es daran gehen, die Vorlage für die ClientKonfiguration zu bearbeiten. Dazu wechselten wir innerhalb unserer ClientGruppe nach "ClientKonfiguration / Client Vorlagen"und riefen die Vorlage für unser"inituser"Konto auf, das für diePersonalisierung der VPNClientInstallationen zum Einsatz kam.Bei den ClientVorlagen gilt, dasssie im Wesentlichen die Featuresumfassen, die der VPNClient bereitstellt. Von besonderem Interesse für die Vorlagenkonfigurationist der Punkt "Berechtigungen",denn hier haben die Administratoren die Möglichkeit, den UserZugriff auf die ClientSoftware zusteuern. Geben die ITVerantwortlichen im BerechtigungsdialogFunktionen frei, so können dieAnwender die entsprechendenKonfigurationsoptionen in ihremClient modifizieren, geben sie sienicht frei, so bleiben die dazugehörigen Punkte ausgegraut undlassen sich nicht ändern. Für Notfälle sieht die Software auch vor,die Parameter über ein ChallengeResponseVerfahren oder überein AdministrationsPasswort freizugeben, so dass zum Beispielder Support dazu in der Lage ist,im Fehlerfalle den EndUsern dasÄndern bestimmter Settings zu erlauben.ClientVorlagen verlangen zunächst einmal die Zuweisung vonSoftwareUpdateListen und FirewallVorlagen, deswegen habenwir diese beiden Einträge bereitsim Vorfeld generiert. Abgesehendavon wählen die Administratoren aus, welche Variante der Cli
entSoftware zu dem jeweiligenRegelsatz gehört (mit Betriebssystem und Versionsnummer), obWLANZugriffe erlaubt sind undob die VPNLösung die Datenübertragungen über bestimmteMedien überwachen soll. Dieletztgenannte Funktion dienthauptsächlich der Kostenkontrolle, sie ermöglicht es nämlich,DSL, ISDN, Modem undPPTPVerbindungen zu überwachen und Grenzwerte für die Verbindungsdauer oder das Verbindungsvolumen zu setzen.Bei GPRS/UMTSConnectionsbesteht die Option, nur Verbindungen zu bestimmten Netzbetreibern (im In und Ausland) zuzulassen, um RoamingGebühren zusparen oder zu vermeiden. Für
WLANConnections haben die zuständigen Mitarbeiter darüber hinaus die Möglichkeit, bestimmteZugriffspunkte zu definieren.Ebenfalls von Interesse sind dieProfilFilterGruppen, denn sie ermöglichen es den Verantwortlichen, verschiedene Nutzerprofilefür verschiedene Umgebungenfestzulegen. Die Profile steuern
den Verbindungsaufbau, die Sicherheit (mit IKE und IPSecRichtlinien, PSK und ähnlichem),die Adresszuweisung und so weiter. Der Zugriff auf die einzelnenKonfigurationsoptionen innerhalb der Profile wird wieder – genau wie bei der Serverkonfiguration – über Benutzer Parameter gesteuert. Für unseren inituser erzeugten wir an dieserStelle ein Profil namens "Personalisierung", das die VPNConnection über den bereits erwähnten PSK realisierte. Damitwar die Konfiguration der erstenClientVorlage abgeschlossen.Die vorhandenen Vorlagen lassensich bei Bedarf jederzeit Exportieren, Importieren und an Untergruppen vererben, zum Beispiel,
um allen Abteilungen einer Niederlassung die gleiche Vorlagezuzuordnen. Sobald die Vorlagefertig ist, können die Verantwortlichen durch einen Rechtsklickauf den entsprechenden Eintragdie dazugehörige ClientKonfiguration erzeugen. Im Anschluss andiesen Arbeitsschritt erschien derClienteintrag in unserem Test unter "Client Configuration / Cli
5
Skripts wie dieses übernehmen das Endpoint PolicyEnforcement
ents". Dort hatten wir dann dieMöglichkeit, die Konfigurationdes initusers als File auf unsererFestplatte zu speichern.Die dabei generierte Profildateibenannten wir anschließend in"ncpphone.cnf" um und kopiertensie in das Installationsverzeichnisdes NCPSecureClients, das wirzuvor auf einem Netzwerkshareangelegt hatten. Jetzt brauchtendie Clients nur noch auf diesesShare zuzugreifen, die SetupRoutine für den Client aufrufen unddie Installation durchlaufen zu las
sen. Alle Standardparameter holtesich der Installationswizard dabeiaus dem ncpphoneFile, so dasswährend des Setups keine weiteren Angaben nötig waren. Nachder Installation stand das Personalisierungsprofil innerhalb der ClientSoftware sofort zur Verfügung und die Anwender des jeweiligen Clients konnten sich mitdem VPNSystem verbinden.Die Einbindung der EnduserZu diesem Zeitpunkt war es in unserem Test also bereits möglich,über den inituser via PSK eine
Verbindung zum VPN aufzubauen. Diese Verbindung diente abernur dazu, die Konfigurationenund Zertifikate für die einzelnenpersonalisierten VPNBenutzerkonten auf den Clients zu installieren. Da diese Einträge jetzt nochnicht existierten, machten wir unsnun daran, die entsprechenden Benutzerkonten zu generieren.Die Einbindung der ZertifizierungsstelleDamit die Verwaltung der Zertifikate direkt aus dem NCPKonfigurationswerkzeug aus geschehen
kann, müssen die Administratoren im nächsten Schritt eine Verbindung zur Zertifizierungsstelleaufbauen. Diese wird über einenNCPDienst realisiert, der aufdem gleichen Server wie die Zertifizierungsdienste läuft.Die Installationsdateien für diesen Service finden sich auf demManagementServer. Es genügt,die darin enthaltenen Daten aufdas Zielsystem zu kopieren undden Dienst von der Kommandozeile aus mit dem Parameter "install" einzuspielen und anschlie
ßend zu starten. Damit sind dieArbeiten auf Seiten der Zertifizierungsstelle abgeschlossen. Diezuständigen Mitarbeiter müssenjetzt allerdings noch in der NCPVerwaltungskonsole unter PKIden Typ und die IPAdresse sowie den Port der Zertifikatsdienste eintragen, damit die Kommunikation zwischen den Systemenfunktioniert.Als alle vorbereitenden Arbeitenerledigt waren, wechselten wir zudem Plugin "PKI Enrollment"und legten dort zunächst eineZertifikatsvorlage mit den dazugehörigen Angaben wie "Common Name", "Organization","Country" und ähnlichem an. Anschließend erzeugten wir einenStandardregelsatz, der auf derneuen Zertifikatsvorlage basierteund die später generierten Zertifikate auf dem ManagementServer hinterlegte. Außerdem legtenwir an dieser Stelle auch dieSchlüssellänge fest.Nun generierten wir eine neueClientDefaultVorlage mit einemzusätzlichen Profil namens "CertProfile". Innerhalb dieser Vorlageerzeugten wir eine "Default PKIConfiguration". Diese legte fest,welches Benutzerzertifikat zumEinsatz kam, ob der User die PINändern durfte und ähnliches. Wirverwendeten diese PKIStandardkonfiguration anschließend imCertProfil, um die Authentisierung abzuwickeln.Damit war auch die Konfiguration des zweiten ClientProfils abgeschlossen und es blieb uns nurnoch die Aufgabe übrig, über dieServerkonfiguration das Serverzertifikat einzurichten. Das genannte Zertifikat lässt sich direktaus der Verwaltungskonsole heraus bei der Zertifizierungsstelle
6
Wenn ein Anwender sich über das Personalisierungsprofil mit dem VPNGateway verbindet und seine Konfiguration mit Zertifikat erhält, lasst sich bei Bedarf auch gleich seine ClientSoftware auf den aktuellen Stand bringen
anfordern, so dass Administratoren beim Einspielen desselbennur minimalen Aufwand haben.Das Automatisieren der BenutzerverwaltungUm die UserVerwaltung so zu automatisieren, wie zuvor beschrieben, legten wir jetzt unter "Management Server / Scripte" einSkript an, das regelmäßig unserenDomänencontroller abfragte undin Erfahrung brachte, ob die Domänengruppen "NCPUser" und"NCPAdmin" neue Mitglieder hatten oder ob Mitglieder aus diesenGruppen entfernt wurden. Fallsneue User dazukamen, generierte
dieses Skript automatisch ein entsprechendes Benutzerkonto undforderte beim ActiveDirectoryZertifizierungsdienste auch gleichdas dazugehörige Zertifikat an.Musste ein Benutzer gelöscht werden, so wiederrief das Skript dasZertifikat und löschte den UserAccount. Im Test ergaben sich danach bei der praktischen Arbeitkeine Probleme und wir hattenbeim Hinzufügen und Entfernenvon VPNUsern nichts anderes zutun, als die gewünschten Benutzerkonten in die genannten ActiveDirectoryGruppen einzufügenbeziehungsweise daraus zu entfernen.
Im Betrieb lief daraufhin alles soab, wie zu Beginn angekündigt:Die User verbanden sich nach derInstallation der ClientSoftwarezunächst über das Personalisierungsprofil mit der VPNLösungund gaben ihre Benutzerkennungan. Daraufhin lud der Client dieAnwenderkonfiguration und dasZertifikat herunter und stelltedem jeweiligen Mitarbeiter anschließend sein eigenes Profil fürdie VPNVerbindungsaufnahmezur Verfügung. Die Personalisierungsverbindung wurde anschließend automatisch getrennt undder User konnte sich danach mitseinem eigenen Profil und seinempersönlichen Zertifikat mit demVPNGateway verbinden.Das Endpoint PolicyEnforcement und der System MonitorMöchten die ITMitarbeiter sicherstellen, dass etwa ClientSystemeohne aktuelle Virensignaturen vordem Zugriff auf das UnternehmensLAN erst einmal in einemQuarantäneBereich landen, bissie ihre Signaturen aktualisiert haben, so können sie dies durch dasPlugin "Endpoint Policy Enforcement" realisieren. Die Policieswerden hier in Form von Skriptseingetragen.Dabei ist es sowohl möglich, eigene Skripts anzulegen, als auchVorlagen des Herstellers zu verwenden. NCP hat an dieser Stelleunter anderem Skripts mitgeliefert, die überprüfen, ob die Clients alle Service Packs undHotfixes installiert haben, ob bestimmte Dienste installiert sind,ob bestimmte Dateien existierenund so weiter. Im Test ergabensich bei der Arbeit mit den Policies keine Schwierigkeiten.Das Plugin "System Monitor" ermöglicht es den Administratoren
im Gegensatz dazu, die VPNInfrastruktur und Last grafischdarzustellen. Darüber hinaus istes unter anderem auch möglich,die Zahl der Logins zu erfassenoder auch die Menge der übertragenen Daten zu messen. Das Produkt bringt sehr viele vordefinierte MonitoringFunktionenmit, so dass jeder Administratordie für ihn relevanten Datenschnell in Erfahrung bringenkann.Der NCP Secure EnterpriseClientIn unserem Test kam der NCPSecure Enterprise Client in derVersion 9.2 zum Einsatz. DieseSoftware bringt viele interessanteFunktionen mit sich und lässtsich dank ihrer Standardkonformität auch in VPNUmgebungenohne NCPServer nutzen. Deswegen ergibt es an dieser StelleSinn, kurz auf das Produkt einzugehen.Nach dem Start des Programmshat der Anwender zunächst dieMöglichkeit, ein Profil zu selektieren und sich dann über diesesmit dem VPN zu verbinden. Darüber hinaus ist es möglich, Verbindungsinformationen einzusehen, zu prüfen, welche Medienfür die Verbindung mit der Zentrale zur Verfügung stehen (LAN,WLAN, GPRS, etc.) und denBudgetManager zu verwenden,um Statistiken oder auch die Historie einzusehen.Außerdem besteht die Option, dieZertifikate anzuzeigen und beiBedarf die oben bereits erwähnteParametersperre aufzuheben, damit die Anwender lokale Konfigurationsänderungen vornehmenkönnen. Dann lassen sich Profilesowie IPSec, WLAN und FirewallEinstellungen bearbeiten.
Nach erfolgreicher Erkennung desHeimnetzes wird die Firewalldarstellung des NCPVPNClients grün
7
Die WLANKonfiguration ermöglicht es den Mitarbeitern unter anderem, WLANProfile zu erstellen. Damit richten die Verant
wortlichen bekannte WLANs ein,so dass die Endanwender sichnicht mit WPAKeys und den übrigen WLANKonfigurationseinstellungen herumschlagen müssen. Im Test ergaben sich dabeikeine Schwierigkeiten.Darüber hinaus erfolgt dank derWLAN Konfigurationsoptionendie gesamte Netzwerkkonfiguration der Clients unter einer Oberfläche, so dass die Benutzer nichtgezwungen sind, mit verschiedenen Tools zu arbeiten. Zusätzlichlassen sich Profile auch Sichernund Wiederherstellen und es istmöglich, SoftwareUpdates überdas LAN durchzuführen. An Sprachen unterstützt das ProgrammDeutsch, Englisch und Französisch.FazitIm Test konnte die Secure Enterprise Solution von NCP voll über
zeugen. Auch wenn die in diesemTest beschriebenen Konfigurationsschritte etwas langwierig erscheinen mögen, so waren sie
doch in der Praxis schnell durchgeführt und nach dem Abschlussder Konfiguration haben die Administratoren mit dem VPNProdukt kaum noch Arbeit, solangenicht das Unternehmen umstrukturiert wird oder neue Komponenten ins Haus kommen, dieeingebunden werden müssen.Besonders gut hat uns die Anbindung der WindowsZertifikatsdienste über den auf dem Zertifizierungsserver laufenden Servicegefallen, da damit sämtliche mitder Zertifikatsverwaltung zusammenhängenden Arbeitsschritte direkt über das NCPKonfigurationstool ablaufen können. Es istalso nicht nötig, manuell mitWebInterfaces, CertificateRequests und Zertifikatsdateien zuarbeiten, was den ganzen Vorgang sehr transparent und einfachmacht. Ebenfalls positiv hervorzuheben: die leistungsfähige Skript
Sprache, die das Automatisierenfast aller Arbeitsgänge ermöglicht. Unser Skript übernahmkomplett die Kommunikationzwischen Management Server,ActiveDirectoryController undZertifizierungsstelle, um den Anwendern genau auf sie zugeschnittene Nutzerprofile mit Zertifikaten zur Verfügung zu stellen, die diese dann nur noch aufihre ClientSysteme importierenmussten.Einfacher geht es definitiv nichtund sowohl Benutzer als auchAdministratoren haben mit derVerwaltung beziehungsweiseKonfiguration der VPNZugängekaum Arbeit. Der leistungsfähigeClient, die MonitoringFunktionen und das PolicyEnforcementrunden den positiven Gesamteindruck des Produkts ab.Dr. Götz Güttich leitet das Institut zur Analyse von ITKomponenten in Korschenbroich. SeinBlog: www.iait.euNCP Secure EnterpriseSolutionVollautomatische, zentral verwaltete VPNUmgebung fürUnternehmen und Service Provider.Merkmale: Vollständig automatisierbar Nahtlose Integration von
Zertifizierungsstellen Leistungsfähiger Client PolicyEnforcementHersteller:NCP engineering GmbHDombühler Str. 290449 Nürnbergwww.ncpe.com
Wenn Installation und Konfiguration abgeschlossen sind, ist es unter anderemmöglich, die VPNUmgebung mit Hilfe einer grafischen Darstellung zu überwachen
8