Produktbeschreibung, Installation und Lizenzierung

Dokumentation mit dem Client-Navigator

Die Dokumentation zum Secure Client erfolgt ab dieser Version am komfortabelsten mit dem Client-Navigator, einer PDF-Datei (Client-Navigator-d.pdf), die eine strukturierte Übersicht über die Leistungsmerkmale und Konfigurationsmöglichkeiten des Clients zeigt und von der per Mausklick eine schnelle und zielgenaue Navigation zu den entsprechenden Beschreibungen erfolgt.
Download: http://www.ncp-e.com/de/downloads/handbuecher.html

Produktbeschreibung

Die Client-Software besteht aus den Komponenten:
- NCP Secure Enterprise Client
- NCP Secure Enterprise Client Monitor

Der NCP Secure Enterprise Client ist eine Komponente der ganzheitlichen NCP Secure Enterprise Solution. Die Kommunikationssoftware dient dem universellen Teleworking in beliebigen Remote Access VPN-Umgebungen. Auf Basis des IPSec-Standards können hochsichere Datenverbindungen sowohl zu NCP Secure Enterprise Servern als auch zu VPN Gateways aller namhaften Anbieter hergestellt werden. Der Datentransfer erfolgt unabhängig vom Mediatyp (any network) über Festnetze, öffentliche Funknetze, LANs (z. B. im Filialnetz), das Internet sowie Nahbereichs-Funknetze wie Wireless LANs am Firmengelände und an Hotspots. Mittels beliebiger Endgeräte (any device) können Teleworker von jedem Standort (any location) auf zentrale Datenbestände und Anwendungen (any application) zugreifen.

Universelle Einsatzmöglichkeiten fordern umfangreiche Sicherheitsmechanismen zur Abwehr von Attacken in jeder Remote Access-Umgebung. Auch an Hotspots während des An- und Abmeldevorganges. Die wichtigsten, integrierten Security-Bausteine sind neben dem VPN-Tunneling: Datenverschlüsselung, eine dynamische Personal Firewall, die Unterstützung von OTP-Token (One Time Passwort) und Zertifikaten in einer PKI (Public Key Infrastructure). Mittels der Personal Firewall können Regelwerke und Applikationen definiert werde für: Ports, IP-Adressen und Segmente. Ein weiteres Sicherheitskriterium ist Friendly Net Detection", d. h. die automatische Erkennung von sicheren und unsicheren Netzen. In Abhängigkeit davon werden die entsprechenden Firewall-Regeln aktiviert bzw. deaktiviert. Alle Konfigurationen können zentral vom Administrator so eingegeben werden, dass sie durch den Anwender nicht veränderbar sind. Mechanismen des zentralen Managements (Secure Enterprise Management) ermoglichen eine automatische Übernahme aller Konfigurationsparameter in den Client. Der NCP Dialer bietet zudem Schutz vor kostenintensiven Fremd-Dialern.

Stationäre und mobile PC-Arbeitsplätze werden über öffentliche Netze (via Internet) hinweg als vollwertige Teilnehmer in das Firmennetz integriert. Teleworker arbeiten in gewohnter Weise wie an einem Büroarbeitsplatz. Ihnen stehen alle LAN-Applikationen und -Ressourcen 1:1 am remote PC zur Verfügung.

Die Software arbeitet nach dem Prinzip der LAN-Emulation, d. h. sie erscheint dem PC-Betriebssystem gegenüber als LAN-Adapter (virtueller Netzwerkadapter). Deshalb ist es u.a. möglich, dem remote Client vom zentralen Secure Enterprise Gateway eine private IP-Adresse zuzuweisen. Diese kann je nach Anforderung fest oder variabel (dynamisch) aus einem Adresspool zugeordnet werden. Bei Bedarf kann eine einmal zugewiesene IP-Adresse trotz physikalischem Verbindungsabbau (z. B. bei Short-Hold-Mode) beibehalten werden, d. h. die logische Verbindung zwischen remote Client und zentraler LAN-Ressource bleibt erhalten. Auch die Einwahl in verschiedene Standort-Netze bereitet trotz wechselnder IP-Adressen keine Probleme. Der remote User ist immer mit demselben Namen im Unternehmensnetz identifizierbar, wo immer er sich auch befindet. Weiter ist die Einbindung in eine DDNS-Struktur (Dynamic Domain Name Service-Protokoll ) möglich. Optional kann der Verbindungsaufbau und die Überwachung mit dem zentralen Server für den Anwender unbemerkt automatisiert im Hintergrund seiner Tätigkeiten erfolgen.

Der NCP Secure Enterprise Client ist in jeder Remote Access-Umgebungen universell einsetzbar und unterstützt die routbaren Protokolle TCP/IP und IPX/SPX.

Der Client (für ISDN) wurde für den Einsatz mit dem D-Kanal-Protokoll DSS1 getestet. Darüber hinaus unterstützt sie jedoch auch andere D-Kanal-Protokolle, wie VN3/4, NT1, CT1, 5ESS, Austel, usw.

Weitere Informationen erhalten Sie auf der NCP Website: http://www.ncp-e.com

Hinweise zu Installation und Deinstallation

Die Installation der Software für Windows-Systeme erfolgt komfortabel über Setup. Der Installationsablauf ist für alle Versionen des Clients identisch. Im folgenden ist die Installation für Windows XP, Windows Vista und Windows 7 beschrieben.

Bevor Sie die Software installieren, müssen, zur vollen Funktionsfähigkeit die Installationsvoraussetzungen, wie im folgenden Kapitel beschrieben, erfüllt sein.

Beachten Sie außerdem, das der Client ab Version 8.31 bei einer Neu-Installation in das Programm-Verzeichnis des Betriebssystems (Programme\NCP\SecureClient) installiert wird.

Alter Pfad: %Windows%\ncple
Neuer Pfad: %Programme%\NCP\SecureClient

Bei einem Update wird weiterhin der Pfad genutzt, der bei der letzten Installation eingetragen war.

Wenn Sie den Client deinstalliert haben, erhalten Sie die Möglichkeit Ihre Konfigurationen und Profil-Einstellungen im Installationsverzeichnis des Clients zu behalten. Wird zu einem späteren Zeitpunkt eine neuere Version des Clients im gleichen Verzeichnis installiert, so können diese persönlichen Daten wieder genutzt werden. Sollen die persönlichen Daten des Clients auch gelöscht werden, so müssen Sie dies eigens bestätigen. In diesem Fall werden restlos alle Daten und Verzeichnisse des Clients entfernt.

Bei jeder Neuinstallation des Clients, d. h. auch wenn eine ältere Version deinstalliert wurde, überprüft das Setup-Programm die Registry-Einträge. Werden problematische Einträge gefunden, so werden bereinigt. Das Setup-Programm generiert dazu eine Meldung, wonach der PC neu gestartet werden sollte.

Installationsvoraussetzungen

Die Software kann auf Computern (min. 128 MB RAM) mit den Betriebssystemen Microsoft Windows XP, Windows Vista oder Windows 7 installiert werden. Halten Sie für die Dauer der Installation die Datenträger für das jeweils im Einsatz befindliche Betriebssystem bereit, um Daten für die Treiberdatenbank des Betriebssystems nachladen zu können!

Das Zielsystem muss eine der folgenden Verbindungsarten unterstützen: ISDN, PSTN (analoges Modem), GSM, GPRS/UMTS, LAN over IP, WLAN oder PPP over Ethernet.

Eines der folgenden Kommunikationsgeräte muss installiert sein.

Voraussetzungen für Zertifikatsverwendung

Unterstützte Schnittstellen und Formate

Der Secure Client kann in Public Key Infrastrukturen nach X.509 V.3 Standard eingesetzt werden und unterstützt folgende Schnittstellen / Formate:
- Smartcards, USB-Token: PKCS#11, TCOS 1.2 und 2.0, CSP
- Soft-Zertifikate: PKCS#12-Datei
- PC/SC-konforme Chipkartenleser: Die Client Software unterstützt alle Chipkartenleser, die PC/SC-konform sind. Diese Chipkartenleser werden in einer Liste des Clients aufgenommen, wenn der Leser angeschlossen und die zugehörige Treiber-Software installiert wurde.
- Automatische Erkennung des angeschlossenen PC/SC-Lesers: Ist für das PKI-Umfeld die Verwendung eines PC/SC Chipkartenlesers am Client konfiguriert, so erkennt und verwendet der Client automatisch den jeweils angeschlossenen.
Durch diesen Automatismus wird das Anlegen von Profilen am Enterprise Management-System vereinfacht, da in der zentralen Zertifikats-Konfiguration keine benutzerspezifischen Chipkartenleser vorkonfiguriert werden müssen.
Erhält der Benutzer vom Management System eine Konfiguration ohne Eintrag für einen Chipkartenleser und ist ein Zertifikat vorkonfiguriert, so liest der Client automatisch die Daten des PC/SC-Lesers ein, der am Benutzer-PC installiert ist und verwendet diesen Leser. Dieses Feature ist nur nutzbar in Verbindung mit Smartcards die ohne Schnittstellen-Software direkt angesprochen werden können, wie NetKey-Chipkarten (Telesec).
- PKCS#11-Modul: Mit der Software für die Smartcards oder den Tokens werden Treiber in Form einer PKCS#11-Bibliothek (DLL) mitgeliefert. Diese Treiber-Software muss zunächst installiert werden. Anschließend kann über einen Assistenten das entsprechende PKCS#11-Modul selektiert werden.

CA-Zertifikate

Der Administrator des Firmennetzes legt fest, welchen Ausstellern von Zertifikaten vertraut werden kann. Dies geschieht dadurch, dass er die CA-Zertifikate seiner Wahl in das Installationsverzeichnis unter einspielt. Das Einspielen kann bei der Software-Distribution automatisiert stattfinden, wenn sich die Aussteller-Zertifikate bei der Installation der Software von einem Datenträger dort im Verzeichnis befinden. Nachträglich können Aussteller-Zertifikate automatisch über den Secure Management Server (nur zu Enterprise Clients) verteilt werden oder, sofern der Benutzer über die notwendigen Schreibrechte in genanntem Verzeichnis verfügt, von diesem selbst eingestellt werden.
Derzeit werden die Formate *.pem und *.crt für Aussteller-Zertifikate unterstützt. Sie können im Monitor unter dem Hauptmenüpunkt "Verbindung / Zertifikate / CA-Zertifikate anzeigen" eingesehen werden.
Wird am Secure Client das Zertifikat einer Gegenstelle empfangen, so ermittelt der NCP Client den Aussteller indem er das Aussteller-Zertifikat, zunächst auf Smartcard bzw. USB-Token oder in der PKCS#12-Datei, anschließend im Installationsverzeichnis unter sucht. Kann das Aussteller-Zertifikat nicht gefunden werden, kommt die Verbindung nicht zustande. Sind keine Aussteller-Zertifikate vorhanden, wird keine Verbindung zugelassen.
Werden Soft-Zertifikate mit dem PKI Plug-in des Management Servers erstellt, so wird das Aussteller-Zertifikat in der PKCS#12-Datei gespeichert.

Verwendung einer Sperrliste (CRL)

Zu jedem Aussteller-Zertifikat kann dem Secure Client die zugehörige CRL (Certificate Revocation List) zur Verfügung gestellt werden. Sie wird in das Installationsverzeichnis unter gespielt. Ist eine CRL vorhanden, so überprüft der Secure Client eingehende Zertifikate daraufhin, ob sie in der CRL geführt sind. Der Client lädt die zugehörige CRL automatisch herunter wenn das eingehende Benutzer-Zertifikat des Servers die Zertifikatserweiterung CDP enthält. Werden Sperrlisten eingesetzt, so werden normalerweise dann keine Meldungen ausgegeben, wenn am Client keine Sperrliste für eingehende Zertifikate hinterlegt ist. Soll in solchen Fällen dennoch eine Meldung ausgegeben werden, muss die Datei NCPPKI.CONF editiert werden. Sie befindet sich im Installations-Verzeichnis. Der Standardeintrag im Abschnitt [General] lautet:
Enablecrlinfo = 0
Dies bewirkt, dass keine Meldungen ausgegeben werden, wenn zu einem Zertifikat der Gegenstelle keine Sperrliste am Client gefunden wird. Soll eine Meldung ausgegeben werden, so muss diese Einstellung abgeändert werden auf:
Enablecrlinfo = 1

Installation der Software

Die vorliegende Version und künftige Versionen des Clients werden von der Qualitätssicherung nur noch für die Windows-Betriebssysteme Windows XP, Windows Vista und Windows 7 getestet. Für ältere Windows Betriebssysteme kann somit keine Gewähr mehr für die volle Funktionsfähigkeit der Client Software übernommen werden.

Sie können die Software in Form einer ZIP-Datei als Download von der NCP- Internetseite unter www.ncp-e.com beziehen. Die Installation erfolgt für die Betriebssysteme Windows XP, Windows Vista und Windows 7 im Wesentlichen gleich.

Installation von der CD

Nachdem Sie die CD in das Laufwerk Ihres Computers eingelegt haben, erscheint unter Windows Vista eine Maske in der Sie unter "Programm installieren" ncpsetup.exe ausführen. Das weitere Verfahren ist mit der Standard-Installation ab "Wählen der Setup-Sprache" identisch. Nachdem die NCP-Begrüßungsmaske erscheint, wählen Sie aus, welches Produkt Sie installieren möchten und klicken anschließend auf "Installieren".

Standard-Installation

Wenn Sie die Software als Testversion nach einem Download installieren möchten, entpacken Sie zunächst die ZIP-Datei. Beim Entpacken wird automatisch das Verzeichnis angelegt.

Starten Sie die Installation unter dem Windows Explorer mit Aufruf von Setup.exe aus dem Disk1-Verzeichnis.

Im folgenden Fenster können Sie die Setup-Sprache auswählen. Klicken Sie danach auf "OK".

Anschließend bereitet das Setup-Programm den Install-Shield Assistenten vor, mit dessen Hilfe die Installation fortgesetzt wird.

Lesen Sie bitte die Hinweise im Willkommen-Fenster des Setup-Programms bevor Sie auf "Weiter" klicken.

Bitte beachten Sie den Hinweis und deaktivieren Sie VPN Client und Personal Firewall eines fremden Herstellers, um Instabilität oder Datenverlust zu vermeiden.

Anschließend werden die Lizenzbedingungen gezeigt. Stimmen Sie dem Vertag mit "Ja" zu, sonst wird die Installation abgebrochen.

Testversion

Haben Sie noch keine Lizenz erworben, so wählen Sie in diesem Fenster die Installation einer Testversion. (Sollten Sie eine Testversion installieren, so ist diese vom Zeitpunkt der Installation für 30 Tage gültig und kann danach nicht mehr gestartet werden.)

Der NCP Secure Enterprise Client lässt sich durch Auswahl wahlweise als
- NCP Dynamic Personal Firewall oder
- NCP Secure Enterprise Client
installieren.

Anwender die die Vorteile einer zentral administrierbaren Firewall inkl. friendly Net Detection nutzen möchten, jedoch keine VPN Funktionalität benötigen, können diese Lösung nun als Testversion installieren.

Ein späteres Upgrade auf den vollständigen Enterprise Client ist mit dem entsprechenden Lizenzschlüssel möglich.

Lizenzierung

Haben Sie eine Lizenz für die Software erworben, so wählen Sie "Installation als Vollversion" und klicken "Weiter". Die Vollversion der Software wird aktiviert, indem Sie anschließend Aktivierungsschlüssel und Seriennummer Ihrer Software-Lizenz in die dafür vorgesehenen Felder eintragen. Sind diese Codes korrekt eingetragen, wird der "Weiter"-Button in diesem Fenster aktiviert. Mit "Weiter" schalten Sie die Software für den uneingeschränkten Funktionsumfang frei. Ihre Software ist damit voll einsatzfähig.

Wählen Sie im folgenden Fenster eine Standard-Installation, so ist das Setup mit dieser Wahl abgeschlossen.

Benutzerdefinierte Installation

Nehmen Sie eine "Benutzerdefinierte Installation" vor, so können Sie weitere Einstellungen vornehmen.

Im ersten Fenster der benutzerdefinierten Installation kann ein beliebiges Installationsverzeichnis für die Software gewählt werden. Dies ist insbesondere dann wichtig, wenn der Benutzer keine Rechte auf das System-Root-Verzeichnis hat. Standard-Installationsverzeichnis ist %Programme%\NCP\SecureClient.

Im folgenden Fenster der "Benutzerdefinierten Installation" bestimmen Sie den Programmordner für die NCP Client Software. (Standard ist "NCP Secure Client").

Außerdem können Sie das Programm-Icon auf dem Desktop anzeigen lassen.

Firewall-Funktion dauerhaft aktivieren (nur bei Installation als Secure Enterprise Client)

In der benutzerdefinierten Installation kann auch die Firewall-Funktion dauerhaft aktiviert werden. Dies entspricht der Link Firewall-Einstellung "Aktivierung = immer" in den Profil-Einstellungen. Wird diese Einstellung während der Installation vorgenommen, so gilt sie global für alle Zielsysteme und zudem auch wenn der Client gestoppt ist. In den Einstellungen der Firewall im Monitor, die immer global gelten, ist daher die Option "Firewall bei gestopptem Client weiterhin aktivieren" eingeschaltet und nicht änderbar. Eine Deaktivierung der Firewall ist nur möglich wenn die Client Software deinstalliert und danach neu installiert wird.

Zu den weiteren Einstellungen bezüglich Ihres Kommunikations-Gateways sind nähere Informationen von Ihrem Administrator oder Internet Service Provider nötig.

Mit DHCP (Dynamic Host Control Protocol) zu kommunizieren, bedeutet, dass Sie für jede Session automatisch eine IP-Adresse zugewiesen bekommen. In diesem Fall klicken Sie auf "IP-Adresse wird von Server vergeben". Wenn Sie die "IP-Adresse selbst festlegen", geben Sie in diesem Fenster die IP-Adressen ein. Bitte beachten Sie: Ist bereits eine Netzwerkkarte mit Default Gateway installiert, so muss der Eintrag "Default Gateway" hier gelöscht werden. Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein. Die DNS-Adresse bitte nur eintragen, wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verfügung gestellt bekommen haben.

Wenn Sie die "IP-Adresse selbst festlegen", ist es erforderlich, daß Sie IP-NAT (Network Address Translation) einschalten. IP-NAT ist standardmäßig immer eingeschaltet (siehe -> Parameter IP Network Address Translation).

Sie können anschließend entscheiden, ob vor dem Windows-Logon an einer remote Domain die Verbindung zum VPN Gateway aufgebaut werden soll. Für diesen Verbindungsaufbau müssen Sie gegebenenfalls die PIN für ihr Zertifikat und das (nicht gespeicherte) Passwort für die Client Software eingeben. Nachdem die Verbindung zum Gateway hergestellt wurde, können Sie sich an die remote Domain anmelden. Diese Anmeldung erfolgt dann bereits verschlüsselt über den VPN-Tunnel.

Bitte beachten Sie: Aktivieren Sie diese Option vor dem Windows Logon, so wird hiermit automatisch die NCP Gina installiert. Nur wenn die NCP Gina - wie in diesem Setup-Fnenter möglich - nach der Windows Gina installiert ist, können die Logon-Optionen auch genutzt werden. Diese Logon-Optionen können über das Monitormenü des Clients unter "Konfiguration" gesetzt werden.

Wird die Logon-Option hier nicht aktiviert, und soll sie jedoch zu einem späteren Zeit-punkt genutzt werden, so kann die NCP Gina nach diesem Setup mit dem Kommando "rwscmd / ginainstall" dauerhaft installiert werden.

Nachdem alle benötigten Dateien von den Installationsdisketten eingespielt wurden und die Programmgruppe angelegt wurde, klicken Sie auf "Beenden", um das Setup abzuschließen.

Assistent für erste Konfiguration

Nachdem Sie die Software installiert haben und zum Abschluss der Installation den Rechner gebootet haben, wird der Client Monitor automatisch nach dem Booten geladen. Außerdem wird automatisch der "Assistent für die erste Konfiguration" gestartet - vorausgesetzt, Sie haben den Secure Client zum ersten Mal installiert oder die Profil-Einstellungen gelöscht. Sie befinden sich im Installationsverzeichnis (siehe oben "Hinweise zur Installation").

Der "Assisitent für erste Konfiguration" bietet Ihnen die Möglichkeit, Test-Verbindungen anzulegen. Wenn Sie diese Möglichkeit nutzen, führt Sie der Assistent durch die Konfiguration der wichtigsten Parameter und legt nach der Vorgabe Ihrer Daten ein Profil für Testverbindungen an.

Für die Profil-Einstellungen, die Sie mit diesem Assistenten erstellt haben, werden die Zugangsdaten verwendet, die unter "Tests des Clients" beschrieben sind. Sie können diese Einträge anschließend zum Testen der Software benutzen.

Wenn Sie keine Test-Verbindungen anlegen und den "Assistent für erste Konfiguration" abbrechen, erstellen Sie die ersten Profile wie im Handbuch zum Client-Monitor beschrieben.

Tests des Clients

Während der Installation wurde im Startmenü die Programmgruppe "NCP Secure Client" angelegt. Starten Sie nun aus der Programmgruppe "NCP Secure Client" das Programm "Client Monitor".

Das Telefonbuch des Clients enthält vorkonfigurierte Zielsysteme für Testzwecke:
"Testverbindung"
"Testverbindung IPSec native"
"Testverbindung IPSec über L2TP"
"Testverbindung L2TP"
"Testverbindung L2Sec"

Ebenfalls für Testzwecke wurde ein "X.509 Soft-Zertifikat" beigegeben. Es wird bei der Installation als PKCS#12-Datei im Installationsverzeichnis gespeichert. Der Dateiname ist "user1.p12" und die PIN "1234". Dieses Zertifikat kann genutzt werden, um die Strong Security-Version PKI/VPN Client zu testen.

Testverbindung (testet ISDN, Modem, GSM)

Testverbindung IPSec native (über LAN)

Testverbindung IPSec native (über ISDN)

Testverbindung IPSec über L2TP (testet IPSec über L2TP mit Preshared Key)

Testverbindung über L2TP (testet L2TP-Protokoll)

Testverbindung L2Sec (testet SSL-Verschlüsselung und Zertifikat)

Testen mit Ping