Secure Enterprise Server€¦ · Management Plugin - Server Configuration: ab Version 10.00 r26953...

© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx

Technische Änderungen vorbehalten Seite 1 von 13

Release Notes

NCP Secure Enterprise HA Server

Major Release 10.0 r26952 (Windows) Dezember 2015

Voraussetzungen

Microsoft Windows Betriebssysteme:

Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:

Windows Server 2008 R2 64 Bit


Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)

Secure Enterprise Management Server: ab Version 3.02

Management Plugin - Server Configuration: ab Version 10.00 r26953

Bitte beachten Sie: Ab den Software-Versionen 10.x wird ein Lizenzschlüssel der gleichen Version

benötigt, um den Secure Enterprise VPN Server mit dem Secure Enterprise HA Server produktiv nutzen zu können.

Für den Betrieb dieses HA Servers (10.0 r26952) wird ein Secure Enterprise Server der Version 10.0

r26968 benötigt.

1. Neue Leistungsmerkmale und Erweiterungen

Keine

2. Fehlerbehebung und Änderungen

Anzahl der Domain-Gruppen

Der Funktionsfehler des Management-Dienstes, der bei einer großen Anzahl von Domain-Gruppen

auftrat, wurde behoben. Das Server Configuration Plugin ab Version 10.00 r26953 wurde dementsprechend angepasst.

Fehlerkorrektur bei der Annahme von IPv6-Adressen

IPv6-Adressen wurden nicht immer korrekt interpretiert. Dieser Fehler ist behoben.

3. Bekannte Einschränkungen

Keine



Release Notes

Major Release 10.0 rev 25085 (Windows 64) August 2015

Voraussetzungen






Secure Enterprise Management Server: ab Version 3.02

Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051

1. Neue Leistungsmerkmale und Erweiterungen Anpassung an die neuen Funktionalitäten des NCP Secure Enterprise Servers 10.0.

2. Fehlerbehebung und Änderungen Keine

3. Bekannte Einschränkungen Keine



Release Notes

Service Release 3.04 Build 29 (Windows 64) Oktober 2014

Voraussetzungen




Windows Server 2012 64 Bit



Secure Enterprise Management Server: ab Version 3.01 015


1. Neue Leistungsmerkmale und Erweiterungen Keine


CVE-2014-3566 / "POODLE" Sachverhalt – SSL Version 2.0 und 3.0 aus diesem Produkt

entfernt

Das SSL-Protokoll 3.0, implementiert in OpenSSL bis Version 1.0.1i und anderen Produkten, nutzt eine

CBC-Auffüllung, bei welcher nicht nur definierte und reproduzierbare Zustände auftreten können.

Dadurch entsteht eine Sicherheitslücke, über die bei einer Man-in-the-Middle-Attacke unter Verwendung einer Auffüll-Vorhersage, auch als „POODLE“ Sachverhalt bekannt, Daten im Klartext gewonnen werden

können.

Aus diesem Grund werden die SSL-Protokolle Version 2.0 und 3.0 mit diesem Produkt nicht mehr

eingesetzt. Das TLS-Protokoll versorgt alle grundlegenden Web-Dienste (HTTPS) mit Verschlüsselungs-

und Authentisierungs-Algorithmen.




Release Notes

Service Release 3.04 Build 28 (Windows 64) Juli 2014

Voraussetzungen




Windows Server 2012 64 Bit







Open SSL 1.0.1 H nach dem Sicherheitsgutachten vom 5. Juni 2014

Die im Gutachten vom 5.6. 14 aufgeführten Sicherheitslücken wurden mit Open SSL 1.0.1 H geschlossen und diese Version im aktuellen NCP Secure Enterprise HA Server implementiert.

(Siehe https://www.openssl.org/news/secadv_20140605.txt)




Release Notes

Service Release 3.04 Build 27 (Windows 32/64) Mai 2014

Voraussetzungen



Windows Server 2003 R2 Enterprise Edition 32/64 Bit

Windows Server 2008 Enterprise 32/64 Bit

Windows Server 2008 R2 Enterprise 64 Bit

Windows Server 2012 Datacenter 64 Bit

Windows Server 2012 R2 Datacenter 64 Bit






Sporadisch auftretenden Deadlocks

Behebung eines sporadisch auftretenden Deadlocks welches den HA Server in seiner Funktion blockierte

und den Neustart des HA Servers notwendig machte.

Fehler behoben.




Release Notes

Service Release 3.04 Build 24 (Windows 32/64) April 2014

Voraussetzungen












Keine


Open SSL Heartbleed-Bugs (CVE-2014-0160)

Behebung des sog. Heartbleed-Bugs (CVE-2014-0160) in der Krypto-Bibliothek OpenSSL.


Keine



Release Notes

Service Release 3.04 Build 23 (Windows 32/64) April 2014

Voraussetzungen












Keine


Keine


Keine



Release Notes

Service Release 3.04 Build 22 (Windows 32/64) März 2014

Voraussetzungen












Windows Internet Explorer Version 11 Support

Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server-Konfiguration genutzt werden.


Keine


Keine



Release Notes

Service Release 3.04 Build 20 (Windows 32/64) August 2013

Voraussetzungen










In diesem Release sind folgende neue Leistungsmerkmale enthalten:

Adressierung des Gateways

Der NCP Secure Enterprise VPN Server kann vom HA Server über IPv6 adressiert werden.

Voraussetzungen:

HA Server (Win): Version 3.04 ab Build 020

Secure Enterprise Server (Win): Version 8.11 ab Build 168

Server Plug-in (SEM): Version 8.11 ab Build 48

Priorisierung der Clients

NCP Secure Enterprise VPN Server, die im Load Balancing Modus eines HA Servers in Betrieb sind,

können vom HA Server (bzw. durch das Secure Enterprise Management) für die Bereitstellung eines VPN-Tunnels gemäß Benutzer-Priorisierung konfiguriert werden.

Dies ist dann wichtig, wenn beispielsweise die Kapazitäten der HA-Server ausgelastet sind, bzw. nicht ausreichend viele Lizenzen für alle Clients vorhanden sind. Nur Benutzer mit einer entsprechend hohen

Priorität erhalten dann Zugang.

Setzen der Priorität in der Server-Konfiguration:

Server-seitig wird die Benutzer-Priorität in der HA Server-Konfiguration festgelegt. Dies erfolgt zentral in

deren Vorlage des jeweiligen HA Servers für alle an ihn angebundenen Gateways. Die Benutzer-Priorität, die dort für die Benutzer (einer Domain-Gruppe) definiert wird, sagt aus, dass der VPN-Zugang nur den

Clients gestattet wird, die mindestens eine ebenso hohe Priorität genießen.

Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer

mit der höchsten, der ersten Priorität mit "1", abgestuft bis zur "255", der niedrigsten Priorität.

Die Standardeinstellung ist "0", bedeutet, dass die Funktionalität des priorisierten Zugangs ausgeschaltet ist. Alle VPN-Benutzer haben Zugang.

Wird die Funktionalität der Benutzer-Priorität gesetzt, so werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als die hier angegebene Priorität genießen. Höchste Priorität ist die

erste, "1".

Wird am Server der Level für die Benutzer-Priorität z. B. auf "5" gesetzt, so werden alle Benutzer ausgesperrt, die eine niedrigere Priorität (6 bis 255) genießen. Dies erfolgt unmittelbar mit Festsetzen

der Benutzer-Priorität am Server. VPN-Verbindungen von Clients, die zu diesem Zeitpunkt bestehen, werden getrennt, sofern die Clients nicht der gesetzen Priorisierung gerecht werden. Erneute



Release Notes

Verbindungsversuche dieser Clients werden abgelehnt. Zu Trennung und Ablehnung einer VPN-Verbindung erhalten die Clients eine entsprechende Meldung.

Die Benutzer-Priorität in der Client-Konfiguration zuweisen:

Welche Priorität ein Benutzer genießt, kann nur in der RADIUS- oder LDAP-Konfiguration für den

jeweiligen Client definiert werden.

Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", usw. abgestuft bis zur "255", der niedrigsten Priorität.

Zur Beachtung: Der voreingestellte Standardwert für die Benutzer-Priorität am Client ist "0". Diese Einstellung bewirkt, das die zentralseitig definierte Zugangsbeschränkung für Clients mit der Benutzer-

Priorität "0" nicht gilt. Diese Clients erhalten unabhängig von der zentralseitigen Priorisierung immer

VPN-Zugang.

Text in der Oberfläche (Domain-Gruppen):

Sobald die Funktionalität der Benutzer-Priorität eingesetzt wird, werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als hier am HA Server angegebene Priorität (oder keine) genießen.

Höchste Priorität ist die erste, "1".

Aktuell bestehende VPN-Tunnel-Verbindungen von Benutzern einer niedrigeren (oder keiner) Priorität

werden sofort getrennt.

"0" schaltet die Funktionalität der priorisierten Tunnel-Nutzung aus.

2. Fehlerbehebungen

Keine


Keine



Release Notes

Service Release 3.03 Build 7 (Windows 32/64) Juni 2012


In diesem Release sind folgende neue Leistungsmerkmale enthalten:

Seamless Roaming – Force Single VPN Connection

Mit diesem Schalter wird verhindert, dass mehrere VPN Verbindungen von einem Client der Seamless Roaming nutzt, parallel bestehen bleiben können.

Ist der neue Schalter „Force single VPN Connection“ unter „General“ aktiv (ist default Wert), sendet bei einer VPN Anmeldung das GW mit der eingehenden VPN Verbindung eine Nachricht zu allen anderen

GW in LB Verbund, das dieser Benutzer auf GW x ist. Sollte für diesen Benutzer ein VPN Tunnel auf eine anderen GW noch Aktiv, wird dieser Tunnel abgebaut.

Voraussetzungen:

HA Server (Win): Version 3.03 ab Build 004

Secure Enterprise Server (Win): Version 8.10 ab Build 051

Server Plug-in (SEM): ab Build 15

2. Fehlerbehebungen

Keine


Keine

4. Hinweise zum NCP Secure Enterprise Management Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: http://www.ncp-e.com/de/downloads

Weitere Unterstützung bei Fragen zum NCP Secure Enterprise Management, erhalten Sie über die Mail-Adressen auf folgender Seite: http://www.ncp-e.com/de/support.html Mail: [email protected]



Release Notes

5. Leistungsmerkmale

Die NCP Secure Enterprise High Availability Services sind Komponenten der ganzheitlichen NCP

Enterprise-Lösung. Sie sorgen für die Hochverfügbarkeit eines oder mehrerer NCP Secure Enterprise VPN Server und damit des Virtual Private Network eines Unternehmens durch ein Backup-System und

die gleichmäßige Lastverteilung auf mehrere NCP Secure Enterprise VPN Server (VPN Gateways). Dabei stehen ständig alle VPN-Tunnel für die Kommunikation mit dem zentralen Datennetz zur Verfügung.

Funktionalität

Der HA Server übernimmt je nach Auslastung oder Störungsfall die automatische Umschaltung zwischen

den VPN Gateways. Aus Sicherheitsgründen ist er redundant ausgelegt und benötigt jeweils eine eigene

offizielle IP-Adresse. In einem Failsafe-System ist er darüber informiert, welches der beiden Gateways aktiv ist und welches sich im Backup-Status befindet. Im Load Balancing-System weiß er, welches der

VPN Gateways am wenigsten ausgelastet ist.

Betriebsmodi

Failsafe

Im Failsafe-Modus ist nur ein VPN Gateway aktiv. Ein zweites wird als Backup-System (Hot

Standby Backup) installiert, um Stillstand oder Ausfall des aktiven (ersten) Gateways kompensieren zu können.

Load Balancing Der Load Balancing-Modus wird dazu genutzt, die Tunnelverbindungen der Clients gleichmäßig

über mehrere aktive VPN Gateways verteilen zu können.

VRRP

NCP HA Server unterstützen zusätzlich zu Failsafe und Load Balancing auch den VRRP-

Betriebsmodus. Dieser Betriebsmodus ist jeweils kostenfrei in der HA-Lizenz beinhaltet und wird dann benötigt, wenn das HA-System parallel zu native VPN-Tunnelverbindungen auch SSL VPN-

Tunnelverbindungen verwalten soll.

Zentrale Verwaltung, Management

Für die Konfiguration und Administration stellt NCP das Web-Interface für den HA Server zur Verfügung.

Konfigurationsänderungen oder Erweiterungen können sowohl lokal als auch remote vorgenommen

werden. Darüber hinaus gestattet das Server Plug-in des zentralen Secure Enterprise Managements (SEM) die Erstellung und die Übertragung der Server-Konfigurationen an die jeweiligen Komponenten

des HA-Systems.

Lizenzmodell

Die HA-Lizenz gilt immer für einen Primary und einen Backup HA Server im FS- oder LB-Modus mit der

gewünschten Anzahl von VPN-Tunnels. Die Software ist dann vollständig lizenziert, wenn an beiden

Servern die gleiche Seriennummer und der gleiche Aktivierungsschlüssel eingegeben wird. Nach der Lizenzierung kann der Betriebsmodus eingestellt werden. (Im Load Balancing-Modus ist darauf zu

achten, dass die Anzahl der Tunnel-Lizenzen für IPsec Clients am HA Server mindestens der Summe der Tunnel-Lizenzen an den eingesetzten VPN Gateways entspricht. Eine Reservierung der Tunnels ist im

Load Balancing-Modus nicht möglich. Der HA Server errechnet selbständig die Anzahl der Tunnels, die

er den VPN Gateways zuweist. Zudem ist eine zweite Gateway-Lizenz nötig.)



Release Notes

Soll alternativ oder zusätzlich eine Anzahl von SSL VPN-Tunnelverbindungen gemanagt werden, so muss zur Lizenzierung der gewünschten Anzahl (Concurrent Users) ein eigener Aktivierungsschlüssel über das

Web-Interface eingegeben werden. Beachten Sie, dass die Nutzung einer SSL VPN-Lizenz für eine native VPN-Verbindung nicht möglich ist.

Optional können weitere Tunnel-Lizenzen für IPsec- oder SSL VPN Clients in beliebiger Anzahl hinzu

erworben werden.

Voraussetzungen für den HA Server

32-Bit Betriebssysteme

Windows Server 2003 R2, Windows Server Enterprise 2008 SP2

64-Bit Betriebssysteme Windows Server Enterprise 2008 SP2, Windows Server Enterprise 2008 R2 SP1

CPU empfohlen Dual Core

Arbeitsspeicher min. 1 GB

Festplattenspeicher

ca. 400 MB freier Speicher auf der Festplatte

Web Interface Web-Browser Unterstützung Bitte verwenden Sie einen der folgenden Web-Browser in einer neueren Version:

Internet Explorer

Firefox u.a. Mozilla-Browser

Safari

Chrome

Secure Enterprise Server€¦ · Management Plugin - Server Configuration: ab Version 10.00 r26953...

Documents

Transcript of Secure Enterprise Server€¦ · Management Plugin - Server Configuration: ab Version 10.00 r26953...