Die Secure Enterprise Solutionvon NCP verfügt nicht nur überumfassende Automatisierungs­funktionen, sondern bietet zudemeine grafische Benutzeroberflä­che und eine fein konfigurierbareRechteverwaltung. Dazu kommennoch Funktionen wie WLAN­Ro­aming, eine Friendly Net Detecti­on, mit der der Client feststellenkann, ob er sich in seinem Heim­netz oder außerhalb befindet undeine automatische, standortabhän­gige Anpassung der Firewall­Re­geln.Die Quarantänefunktion stellt beiBedarf sicher, dass nur solche Cli­ents auf die Dienste des internenNetzwerks zugreifen dürfen, diebestimmte Sicherheitsbedingun­gen – wie etwa aktuelle Virensi­gnaturen – erfüllen. Die VPN­Zugriffe selbst lassen sich auf Ba­sis von IPSec und SSL realisierenund Hochverfügbarkeits­Featuresstehen ebenfalls zur Verfügung.Zum Leistungsumfang der VPN­Umgebung von NCP gehört zu­dem ein integrierter, unlimitierterRADIUS­Server, über den die Au­thentifizierung der Benutzer ab­laufen kann. Für Service Providerbesonders interessant ist das so ge­nannte VPN Gateway Sharing.Dieses ermöglicht den gleichzeiti­gen Betrieb mehrerer VPNs fürunterschiedliche Unternehmenüber einen einzigen VPN­Server.

Das macht den Aufbau mehrererEinzelsysteme überflüssig. Da dieSecure Enterprise Solution aus­schließlich aus Software­Kompo­nenten besteht, lässt sie sichdarüber hinaus problemlos in Vir­tualisierungsumgebungenintegrie­ren. An Client­Betriebssystemenunterstützt NCP neben den gängi­gen PC­Operating­Systems wieWindows, Linux und Mac OS Xauch Android, Blackberry, iOS,

Symbian, Windows Mobile undCE. Die Serverkomponentenkönnen auf Linux­ und Windows­Rechnern zum Einsatz kommen.Sie benötigen etwa 512 MByteArbeitsspeicher und 50 MByteFestplattenplatz.Der TestUnsere Testumgebung sah fol­gendermaßen aus: Zunächstspielten wir die drei Serverbe­

Im Test: NCP Secure Enterprise Solution

Vollautomatischer VPN­BetriebDr. Götz Güttich

NCP bietet mit seiner Secure Enterprise Solution eine zentral verwaltete VPN­Lösungfür Unternehmen und Service Provider an, deren Management sich zu großen Teilenautomatisieren lässt. IAIT hat das Produkt in der Praxisgenau unter die Lupe genommen.

1

standteile der NCP Secure Enter­prise Solution in drei dafür vorge­sehene virtuelle Maschinen ein.Als Virtualisierungsumgebungkam dabei eine Vmware­vSphe­re­Installation zum Einsatz. Dievirtuellen Maschinen (VMs) arbei­teten jeweils mit 80 GByte Fest­plattenkapazität, zwei GByteRAM und zwei virtuellen CPUs.Auf der ersten VM (dem späterenManagement­Server) richtetenwir als erstes den Ubuntu Server10.04 LTS mit den Standardein­stellungen ein uns installierten an­schließend die MySQL­Daten­bank und den ODBC­Treiber (lib­myodbc). Die zweite VM, die spä­ter die Gatewayfunktionalitätenrealisieren sollte, lief ebenfalls un­ter einem Ubuntu Server 10.04LTS mit den Default­Installation­Settings. Der dritte Server, aufdem wir den Friendly NetworkDetection Server von NCP unddie Managementkonsole für dieVPN­Umgebung einrichten woll­ten, wurde mit Windows Server2008 R2 als Betriebssystem aus­gestattet. Auch bei diesem Sys­tem kamen beim Setup dieStandardeinstellungen zum Ein­satz.Nach dem Aufsetzen der VMs in­stallierten wir die Secure Enterpri­se Solution, konfigurierten diedazugehörigen Systeme und rich­teten ein so genanntes Personali­sierungsprofil ein, mit dem sichneue Anwender mit Hilfe einesPreshared­Keys beim VPN­Ser­ver anmelden und ihre jeweilige –genau auf sie zugeschnittene –Client­Konfiguration herunterla­den konnten. Zum Schluss stell­ten wir eine Verbindung zwischendem VPN­System und der in unse­rem Testnetz vorhandenen Zertifi­zierungsstelle auf Basis derActive­Directory­Zertifikatsdiens­te unter Windows Server 2008 R2

her und verwendeten die skriptba­sierten Automatisierungsfunktio­nen der NCP­Lösung, um auto­matisch Benutzerkonten für dieSecure Enterprise Solution anzule­gen, die mit Zertifikaten funktio­nierten und die unsere Test­benutzer anschließend verwendenkonnten, um auf das VPN zuzu­greifen.Konkret sah das so aus, dass wirin unserem Active Directory diebeiden Benutzergruppen "NCPU­ser" und "NCPAdmin" anlegtenund Benutzer, die Administrator­rechte auf die VPN­Umgebung er­

halten sollten, in die letzte Grup­pe aufnahmen, während User, diedas VPN lediglich nutzen sollten,in die erste Gruppe kamen. An­schließend lief das Skript, das dieKontoverwaltung automatisierte,auf dem NCP­Server durch, lasdie beiden genannten Active­Di­rectory­Gruppen aus, um die ent­sprechenden Benutzernamen inErfahrung zu bringen, und erzeug­te dann auf dem RADIUS­Serverder NCP­Lösung Benutzerkontengleichen Namens, die über Zertifi­kate auf das VPN zugriffen. Diedazu benötigten Certificates for­derte das Skript automatisch beiunserer Zertifizierungsstelle an,

dazu waren keine Aktionen vonSeiten der IT­Verantwortlichenerforderlich.Um die VPN­Benutzerkontenstets auf dem aktuellen Stand zuhalten, ließ sich das Skript im re­gulären Betrieb regelmäßig auto­matisch ausführen, so dass Än­derungen in der Gruppenmit­gliedschaft im Active Directorybinnen kürzester Zeit auch imRADIUS­Server erschienen. Un­ser Skript entfernte übrigens auchBenutzerkonten und Zertifikateaus der VPN­Umgebung, die wirzuvor aus einer der beiden VPN­

Gruppen im Active Directory ge­löscht hatten. Da wir das erste,Preshared­Key­basierte Profil,das nur zur Personalisierung desVPN­Zugriffs zum Einsatz kam,in die Installationsroutine desVPN­Clients integriert hatten,reichte es nach Abschluss allerVorbereitungen aus, das Client­Setup auf den verwendeten Endu­ser­Systemen (im Test verwende­ten wir dafür Rechner unterWindows XP mit Service Pack 3und Windows 7 mit Service Pack1) auszuführen.Anschließend waren die Anwen­der dazu in der Lage, auf den

2

Der NCP Secure Server im laufenden Betrieb

VPN­Server zuzugreifen, ihr Pro­fil mit den dazugehörigen Regelnund Zertifikaten herunterzuladen,sich erneut mit ihrem eigenen Be­nutzerprofil bei der VPN­Umge­bung zu authentisieren und da­nach mit dem VPN zu arbeiten.InstallationWenden wir uns nun den Schrit­ten zu, die zum Verwirklichen deseben beschriebenen Szenarios er­

forderlich sind: Die Installationder Linux­Komponenten des Se­cure Enterprise Gateway lief ver­hältnismäßig einfach ab. Es reich­te, die entsprechenden Installati­onsdateien auf die jeweiligen Ser­ver zu kopieren und anschließendauszuführen. Zuerst spielten wirauf diese Weise den Secure Enter­prise VPN Server (SES) ein, derdie Gateway­Funktionalitäten be­reit stellte und definierten gleich­zeitig ein Netzwerk mit IP­Adressen, die beim Aufbau derVPN­Verbindungen zum Einsatzkommen konnten. Danach mach­ten wir uns auf der Management­Server­VM daran, die Datenbankvorzubereiten. Dazu legten wir zu­nächst eine MySQL­Datenbanknamens "ncpsem" an und gabendem Administratorkonto "nc­padm" Rechte darauf. Anschlie­ßend stellten wir sicher, dass der

ODBC­Zugriff funktionierte undspielten den NCP Secure Manage­ment Server (SEM) ein. Damitwar das Server­Setup bereits abge­schlossen.Jetzt konnte es daran gehen, aufdem Windows Server 2008 R2die Managementkonsole und denFriendly Network Detection Ser­ver (FND) zu installieren. DerFND hat nur eine Aufgabe: Nach

dem Herstellen der Netzwerkver­bindung mit vordefinierten Cre­dentials fordern die Clients ihnauf, sich bei ihnen einzuloggen.Gelingt das, so gehen sie davonaus, dass sie sich in ihrem HomeNetwork befinden, gelingt esnicht, so schließen sie daraus,dass sie sich in einer fremdenNetzwerkumgebung aufhalten.Die Installation dieses Serversläuft – wie unter Windows üblich– Wizard­gesteuert ab und wirdwohl keinen IT­Spezialisten vorunüberwindliche Schwierigkeitenstellen. Das gleiche gilt für die In­stallation der Verwaltungskonso­le.Das Setup der VPN­Umgebungist allerdings mit dem Einspielender genannten Komponentennoch nicht abgeschlossen. DieManagementkonsole an sich

bringt nur die wesentlichstenFunktionen, beispielsweise zumKonfigurieren der Ansicht, mitsich. Möchte ein Administratordamit sein VPN verwalten, somuss er noch diverse Plugins in­stallieren, die die dafür benötig­ten Funktionalitäten zur Verfü­gung stellen. Auf diese Weiselässt sich die Konfigurationsum­gebung modular aktualisieren.Für unsere Testumgebung spiel­ten wir die Plugins "Client­Kon­figuration", "Endpoint Policy En­forcement", "Firewall­Konfigura­tion", "License Manager", "PKIEnrollment", "RADIUS­Konfigu­ration", "Server­Konfiguration"und "Skript­Verwaltung" ein. Da­mit war der Installationsvorgangvollendet.KonfigurationUm das System in Betrieb zunehmen, meldeten wir uns an­schließend mit der Administrati­onskonsole beim Management­Server an. Nun ging es erst ein­mal daran, die Konfiguration desGateways, also des SES, durch­zuführen. Dazu wechselten wirnach "Server Konfiguration / Se­cure Server Vorlage" und klicktenmit der rechten Maustaste in denArbeitsbereich unten links. Die­ser dient dazu, neue Profile undKonfigurationen anzulegen, Be­nutzerdaten zu kopieren und ähn­liches. Daraufhin erschien eineBefehlsliste und wir wählten dieImport­Funktion aus. Danachkonnten wir die aktuelle Stan­dardkonfiguration von unseremfrisch installierten SES importie­ren, sie dann in der Management­konsole nach unseren Wünschenbearbeiten und dann wieder aufden Gateway ausbringen. Alter­nativ ist es auch möglich, Konfi­gurationen aus Dateien einzule­sen oder manuell selbst neu anzu­legen. Für unsere Testumgebung

3

Nahtlos integriert: das Zertifikatsmanagement

definierten wir in unserer geradeimportierten Server­Vorlage zu­nächst ein Passwort für den Zu­griff auf den SES und passten da­nn die so genannten Benutzer Pa­rameter an. Letztere dienen zurSteuerung des Zugriffs auf einzel­ne Funktionen. Mit ihnen habendie zuständigen Mitarbeiter alsodie Möglichkeit, bestimmten Kon­ten die Arbeit mit bestimmtenKonfigurationsbereichen zu erlau­ben. Auf diese Weise können Un­ternehmen mit mehreren Admini­strations­Accounts arbeiten, vondenen manche das Recht haben,das ganze System zu modifizie­ren, während andere nur Zugriffauf bestimmte Einzelfunktionenerhalten, wie zum Beispiel dasÄndern des Passworts.Nach dem Zuweisen der BenutzerParameter wendeten wir uns denIKE­ und IPSec­Konfigurations­optionen zu. Hier definierten wirden Preshared­Key (PSK) für un­ser später zu erzeugendes Persona­lisierungsprofil. Im nächstenSchritt gingen wir die restlichenPunkte der Server­Vorlage durch.Das Erklären aller vorhandenenFunktionen würde den Rahmendieses Tests sprengen, deswegengehen wir an dieser Stelle nur aufdie wichtigsten Features ein. Die"Filternetze", "Filter" und "Filter­gruppen" ermöglichen das Erstel­len von Regeln für Client­Zu­griffe auf LAN­Ressourcen. ImTest ergaben sich dabei keineSchwierigkeiten.Bei der Konfiguration der IKE­Richtlinie lässt sich über eine Lis­te definieren, welche Authentisie­rungsmethoden das System ak­zeptieren soll. Hier gaben wir zu­nächst die zertifikatsbasierte Au­thentisierung und zusätzlich (fürdas Personalisierungsprofil) dieAuthentisierung über PSKs an.

Bei der IPSec­Standardrichtlinieließen wir als Verschlüsselungsal­gorithmus nur AES zu.Unter den Domain­Gruppen las­sen sich bei Bedarf mehrere Grup­pen anlegen, die die Weiter­leitung des Datenverkehrs in un­terschiedliche Netze übernehmen.Da wir in unserer Testumgebungnur ein Netz hatten, reichte es, ei­ne Default Group zu erzeugenund dort unsere Netzwerkkonfigu­

ration einzutragen. Zu den angege­benen Parametern gehörten dieDNS­ und WINS­Server, dasDNS­Suffix die Adresse desNCP­Management­Servers undähnliches.Als RADIUS­Server gaben wirden lokalen Server auf dem Mana­gement­System an, den wir zuvorüber den RADIUS­Menüpunkt inBetrieb genommen hatten. Dar­über hinaus legten wir noch einenAdresspool fest, der dazu diente,den VPN­Client­Systemen IP­Adressen aus dem VPN­Adressbe­reich des SES zuzuweisen.Um die Konfiguration abzuschlie­ßen, gaben wir noch die Syslog­Server im Netz an, die die Sys­tem­, Error­ und Konfigurations­Logs des VPN­Gateways erhaltensollten. Danach war die Server­Konfigurationsvorlage fertig undwir generierten daraus mit einemKlick der rechten Maustaste und

die Auswahl des Befehls "Konfi­guration erzeugen" die endgültigeKonfiguration. Anschließendmeldeten wir uns bei der lokalenKonsole des SES an und richte­ten diese Konfiguration mit Hilfedes Tools "rsuinst" auf dem Gate­way ein. Der zuletzt genannteSchritt ist nur beim erstmaligenVerbinden des Gateways und desManagement­Servers erforder­lich, um die Authentifizierungder Systeme sicher zu stellen.Die Client­KonfigurationNach dem Abschluss der Server­einstellungen wendeten wir unsder Client­Konfiguration zu. Da­zu generierten wir zunächst un­terhalb des Root­Eintrags derVPN­Umgebung eine Gruppe na­mens "Clients" und erzeugten in­nerhalb dieser eine neue Vorlagenamens "inituser" für das nun zuerstellende Personalisierungspro­fil. Danach wechselten wir imMenü "Software­Verwaltung"zum Konfigurationsdialog "Soft­ware Update Listen" und erzeug­ten eine Default­Update­Liste.Diese enthielt die Client­Konfi­guration und die Zertifikate undstellte so sicher, dass die Clientsstets mit der aktuellen Konfigura­tion und den dazugehörigen Zer­tifikaten versehen wurden. Überdie Software­Update­Liste ist eszudem unter anderem auch mög­lich, den VPN­Client auf den En­duser­Systemen automatisch aufdem aktuellen Stand zu halten.Letzteres funktionierte im Testproblemlos.Nach der Definition der Update­Liste wechselten wir zum PluginFirewall­Konfiguration und er­stellten eine Firewall­Vorlage.Mit dieser ließ sich die Firewallaktivieren und die Administrato­ren hatten die Option, bekannte

4

Die automatische Generierung des Be­nutzerkontos "am" durch unser Skript

Netzwerke zu definieren und Pro­tokolle wie IPSec und L2Sec zu­zulassen.Sobald die Default­Firewall­Vor­lage existierte, konnte es daran ge­hen, die Vorlage für die Client­Konfiguration zu bearbeiten. Da­zu wechselten wir innerhalb unse­rer Client­Gruppe nach "ClientKonfiguration / Client Vorlagen"und riefen die Vorlage für unser"inituser"­Konto auf, das für diePersonalisierung der VPN­Client­Installationen zum Einsatz kam.Bei den Client­Vorlagen gilt, dasssie im Wesentlichen die Featuresumfassen, die der VPN­Client be­reitstellt. Von besonderem Interes­se für die Vorlagenkonfigurationist der Punkt "Berechtigungen",denn hier haben die Administrato­ren die Möglichkeit, den User­Zu­griff auf die Client­Software zusteuern. Geben die IT­Verantwort­lichen im BerechtigungsdialogFunktionen frei, so können dieAnwender die entsprechendenKonfigurationsoptionen in ihremClient modifizieren, geben sie sienicht frei, so bleiben die dazuge­hörigen Punkte ausgegraut undlassen sich nicht ändern. Für Not­fälle sieht die Software auch vor,die Parameter über ein Challen­ge­Response­Verfahren oder überein Administrations­Passwort frei­zugeben, so dass zum Beispielder Support dazu in der Lage ist,im Fehlerfalle den End­Usern dasÄndern bestimmter Settings zu er­lauben.Client­Vorlagen verlangen zu­nächst einmal die Zuweisung vonSoftware­Update­Listen und Fire­wall­Vorlagen, deswegen habenwir diese beiden Einträge bereitsim Vorfeld generiert. Abgesehendavon wählen die Administrato­ren aus, welche Variante der Cli­

ent­Software zu dem jeweiligenRegelsatz gehört (mit Betriebssys­tem und Versionsnummer), obWLAN­Zugriffe erlaubt sind undob die VPN­Lösung die Daten­übertragungen über bestimmteMedien überwachen soll. Dieletztgenannte Funktion dienthauptsächlich der Kostenkontrol­le, sie ermöglicht es nämlich,DSL­, ISDN­, Modem­ undPPTP­Verbindungen zu überwa­chen und Grenzwerte für die Ver­bindungsdauer oder das Verbin­dungsvolumen zu setzen.Bei GPRS/UMTS­Connectionsbesteht die Option, nur Verbindun­gen zu bestimmten Netzbetrei­bern (im In­ und Ausland) zuzu­lassen, um Roaming­Gebühren zusparen oder zu vermeiden. Für

WLAN­Connections haben die zu­ständigen Mitarbeiter darüber hin­aus die Möglichkeit, bestimmteZugriffspunkte zu definieren.Ebenfalls von Interesse sind dieProfil­Filter­Gruppen, denn sie er­möglichen es den Verantwortli­chen, verschiedene Nutzerprofilefür verschiedene Umgebungenfestzulegen. Die Profile steuern

den Verbindungsaufbau, die Si­cherheit (mit IKE­ und IPSec­Richtlinien, PSK und ähnlichem),die Adresszuweisung und so wei­ter. Der Zugriff auf die einzelnenKonfigurationsoptionen inner­halb der Profile wird wieder – ge­nau wie bei der Serverkon­figuration – über Benutzer Para­meter gesteuert. Für unseren in­ituser erzeugten wir an dieserStelle ein Profil namens "Perso­nalisierung", das die VPN­Connection über den bereits er­wähnten PSK realisierte. Damitwar die Konfiguration der erstenClient­Vorlage abgeschlossen.Die vorhandenen Vorlagen lassensich bei Bedarf jederzeit Expor­tieren, Importieren und an Unter­gruppen vererben, zum Beispiel,

um allen Abteilungen einer Nie­derlassung die gleiche Vorlagezuzuordnen. Sobald die Vorlagefertig ist, können die Verantwort­lichen durch einen Rechtsklickauf den entsprechenden Eintragdie dazugehörige Client­Konfigu­ration erzeugen. Im Anschluss andiesen Arbeitsschritt erschien derClienteintrag in unserem Test un­ter "Client Configuration / Cli­

5

Skripts wie dieses übernehmen das Endpoint Policy­Enforcement

ents". Dort hatten wir dann dieMöglichkeit, die Konfigurationdes initusers als File auf unsererFestplatte zu speichern.Die dabei generierte Profildateibenannten wir anschließend in"ncpphone.cnf" um und kopiertensie in das Installationsverzeichnisdes NCP­Secure­Clients, das wirzuvor auf einem Netzwerkshareangelegt hatten. Jetzt brauchtendie Clients nur noch auf diesesShare zuzugreifen, die Setup­Rou­tine für den Client aufrufen unddie Installation durchlaufen zu las­

sen. Alle Standardparameter holtesich der Installationswizard dabeiaus dem ncpphone­File, so dasswährend des Setups keine weite­ren Angaben nötig waren. Nachder Installation stand das Persona­lisierungsprofil innerhalb der Cli­ent­Software sofort zur Ver­fügung und die Anwender des je­weiligen Clients konnten sich mitdem VPN­System verbinden.Die Einbindung der EnduserZu diesem Zeitpunkt war es in un­serem Test also bereits möglich,über den inituser via PSK eine

Verbindung zum VPN aufzubau­en. Diese Verbindung diente abernur dazu, die Konfigurationenund Zertifikate für die einzelnenpersonalisierten VPN­Benutzer­konten auf den Clients zu installie­ren. Da diese Einträge jetzt nochnicht existierten, machten wir unsnun daran, die entsprechenden Be­nutzerkonten zu generieren.Die Einbindung der Zertifizie­rungsstelleDamit die Verwaltung der Zertifi­kate direkt aus dem NCP­Konfi­gurationswerkzeug aus geschehen

kann, müssen die Administrato­ren im nächsten Schritt eine Ver­bindung zur Zertifizierungsstelleaufbauen. Diese wird über einenNCP­Dienst realisiert, der aufdem gleichen Server wie die Zerti­fizierungsdienste läuft.Die Installationsdateien für die­sen Service finden sich auf demManagement­Server. Es genügt,die darin enthaltenen Daten aufdas Zielsystem zu kopieren undden Dienst von der Kommando­zeile aus mit dem Parameter "­in­stall" einzuspielen und anschlie­

ßend zu starten. Damit sind dieArbeiten auf Seiten der Zertifi­zierungsstelle abgeschlossen. Diezuständigen Mitarbeiter müssenjetzt allerdings noch in der NCP­Verwaltungskonsole unter PKIden Typ und die IP­Adresse so­wie den Port der Zertifikatsdiens­te eintragen, damit die Kommu­nikation zwischen den Systemenfunktioniert.Als alle vorbereitenden Arbeitenerledigt waren, wechselten wir zudem Plugin "PKI Enrollment"und legten dort zunächst eineZertifikatsvorlage mit den dazu­gehörigen Angaben wie "Com­mon Name", "Organization","Country" und ähnlichem an. An­schließend erzeugten wir einenStandardregelsatz, der auf derneuen Zertifikatsvorlage basierteund die später generierten Zertifi­kate auf dem Management­Ser­ver hinterlegte. Außerdem legtenwir an dieser Stelle auch dieSchlüssellänge fest.Nun generierten wir eine neueClient­Default­Vorlage mit einemzusätzlichen Profil namens "Cert­Profile". Innerhalb dieser Vorlageerzeugten wir eine "Default PKIConfiguration". Diese legte fest,welches Benutzerzertifikat zumEinsatz kam, ob der User die PINändern durfte und ähnliches. Wirverwendeten diese PKI­Standard­konfiguration anschließend imCert­Profil, um die Authentisie­rung abzuwickeln.Damit war auch die Konfigurati­on des zweiten Client­Profils ab­geschlossen und es blieb uns nurnoch die Aufgabe übrig, über dieServerkonfiguration das Server­zertifikat einzurichten. Das ge­nannte Zertifikat lässt sich direktaus der Verwaltungskonsole her­aus bei der Zertifizierungsstelle

6

Wenn ein Anwender sich über das Personalisierungsprofil mit dem VPN­Gate­way verbindet und seine Konfiguration mit Zertifikat erhält, lasst sich bei Be­darf auch gleich seine Client­Software auf den aktuellen Stand bringen

anfordern, so dass Administrato­ren beim Einspielen desselbennur minimalen Aufwand haben.Das Automatisieren der Benut­zerverwaltungUm die User­Verwaltung so zu au­tomatisieren, wie zuvor beschrie­ben, legten wir jetzt unter "Ma­nagement Server / Scripte" einSkript an, das regelmäßig unserenDomänencontroller abfragte undin Erfahrung brachte, ob die Do­mänengruppen "NCPUser" und"NCPAdmin" neue Mitglieder hat­ten oder ob Mitglieder aus diesenGruppen entfernt wurden. Fallsneue User dazukamen, generierte

dieses Skript automatisch ein ent­sprechendes Benutzerkonto undforderte beim Active­Directory­Zertifizierungsdienste auch gleichdas dazugehörige Zertifikat an.Musste ein Benutzer gelöscht wer­den, so wiederrief das Skript dasZertifikat und löschte den UserAccount. Im Test ergaben sich da­nach bei der praktischen Arbeitkeine Probleme und wir hattenbeim Hinzufügen und Entfernenvon VPN­Usern nichts anderes zutun, als die gewünschten Benut­zerkonten in die genannten Acti­ve­Directory­Gruppen einzufügenbeziehungsweise daraus zu entfer­nen.

Im Betrieb lief daraufhin alles soab, wie zu Beginn angekündigt:Die User verbanden sich nach derInstallation der Client­Softwarezunächst über das Personalisie­rungsprofil mit der VPN­Lösungund gaben ihre Benutzerkennungan. Daraufhin lud der Client dieAnwenderkonfiguration und dasZertifikat herunter und stelltedem jeweiligen Mitarbeiter an­schließend sein eigenes Profil fürdie VPN­Verbindungsaufnahmezur Verfügung. Die Personalisie­rungsverbindung wurde anschlie­ßend automatisch getrennt undder User konnte sich danach mitseinem eigenen Profil und seinempersönlichen Zertifikat mit demVPN­Gateway verbinden.Das Endpoint Policy­Enforce­ment und der System MonitorMöchten die IT­Mitarbeiter sicher­stellen, dass etwa Client­Systemeohne aktuelle Virensignaturen vordem Zugriff auf das Unterneh­mens­LAN erst einmal in einemQuarantäne­Bereich landen, bissie ihre Signaturen aktualisiert ha­ben, so können sie dies durch dasPlugin "Endpoint Policy Enforce­ment" realisieren. Die Policieswerden hier in Form von Skriptseingetragen.Dabei ist es sowohl möglich, eige­ne Skripts anzulegen, als auchVorlagen des Herstellers zu ver­wenden. NCP hat an dieser Stelleunter anderem Skripts mitgelie­fert, die überprüfen, ob die Cli­ents alle Service Packs undHotfixes installiert haben, ob be­stimmte Dienste installiert sind,ob bestimmte Dateien existierenund so weiter. Im Test ergabensich bei der Arbeit mit den Poli­cies keine Schwierigkeiten.Das Plugin "System Monitor" er­möglicht es den Administratoren

im Gegensatz dazu, die VPN­In­frastruktur und ­Last grafischdarzustellen. Darüber hinaus istes unter anderem auch möglich,die Zahl der Logins zu erfassenoder auch die Menge der übertra­genen Daten zu messen. Das Pro­dukt bringt sehr viele vorde­finierte Monitoring­Funktionenmit, so dass jeder Administratordie für ihn relevanten Datenschnell in Erfahrung bringenkann.Der NCP Secure EnterpriseClientIn unserem Test kam der NCPSecure Enterprise Client in derVersion 9.2 zum Einsatz. DieseSoftware bringt viele interessanteFunktionen mit sich und lässtsich dank ihrer Standardkonfor­mität auch in VPN­Umgebungenohne NCP­Server nutzen. Deswe­gen ergibt es an dieser StelleSinn, kurz auf das Produkt einzu­gehen.Nach dem Start des Programmshat der Anwender zunächst dieMöglichkeit, ein Profil zu selek­tieren und sich dann über diesesmit dem VPN zu verbinden. Dar­über hinaus ist es möglich, Ver­bindungsinformationen einzu­sehen, zu prüfen, welche Medienfür die Verbindung mit der Zen­trale zur Verfügung stehen (LAN,WLAN, GPRS, etc.) und denBudget­Manager zu verwenden,um Statistiken oder auch die His­torie einzusehen.Außerdem besteht die Option, dieZertifikate anzuzeigen und beiBedarf die oben bereits erwähnteParametersperre aufzuheben, da­mit die Anwender lokale Konfi­gurationsänderungen vornehmenkönnen. Dann lassen sich Profilesowie IPSec­, WLAN­ und Fire­wall­Einstellungen bearbeiten.

Nach erfolgreicher Erkennung desHeimnetzes wird die Firewalldarstel­lung des NCP­VPN­Clients grün

7

Die WLAN­Konfiguration ermög­licht es den Mitarbeitern unter an­derem, WLAN­Profile zu er­stellen. Damit richten die Verant­

wortlichen bekannte WLANs ein,so dass die Endanwender sichnicht mit WPA­Keys und den üb­rigen WLAN­Konfigurationsein­stellungen herumschlagen müs­sen. Im Test ergaben sich dabeikeine Schwierigkeiten.Darüber hinaus erfolgt dank derWLAN Konfigurationsoptionendie gesamte Netzwerkkonfigurati­on der Clients unter einer Oberflä­che, so dass die Benutzer nichtgezwungen sind, mit verschiede­nen Tools zu arbeiten. Zusätzlichlassen sich Profile auch Sichernund Wiederherstellen und es istmöglich, Software­Updates überdas LAN durchzuführen. An Spra­chen unterstützt das ProgrammDeutsch, Englisch und Franzö­sisch.FazitIm Test konnte die Secure Enter­prise Solution von NCP voll über­

zeugen. Auch wenn die in diesemTest beschriebenen Konfigurati­onsschritte etwas langwierig er­scheinen mögen, so waren sie

doch in der Praxis schnell durch­geführt und nach dem Abschlussder Konfiguration haben die Ad­ministratoren mit dem VPN­Pro­dukt kaum noch Arbeit, solangenicht das Unternehmen umstruktu­riert wird oder neue Komponen­ten ins Haus kommen, dieeingebunden werden müssen.Besonders gut hat uns die Anbin­dung der Windows­Zertifikats­dienste über den auf dem Zertifi­zierungsserver laufenden Servicegefallen, da damit sämtliche mitder Zertifikatsverwaltung zusam­menhängenden Arbeitsschritte di­rekt über das NCP­Konfigura­tionstool ablaufen können. Es istalso nicht nötig, manuell mitWeb­Interfaces, Certificate­Re­quests und Zertifikatsdateien zuarbeiten, was den ganzen Vor­gang sehr transparent und einfachmacht. Ebenfalls positiv hervorzu­heben: die leistungsfähige Skript­

Sprache, die das Automatisierenfast aller Arbeitsgänge ermög­licht. Unser Skript übernahmkomplett die Kommunikationzwischen Management Server,Active­Directory­Controller undZertifizierungsstelle, um den An­wendern genau auf sie zuge­schnittene Nutzerprofile mit Ze­rtifikaten zur Verfügung zu stel­len, die diese dann nur noch aufihre Client­Systeme importierenmussten.Einfacher geht es definitiv nichtund sowohl Benutzer als auchAdministratoren haben mit derVerwaltung beziehungsweiseKonfiguration der VPN­Zugängekaum Arbeit. Der leistungsfähigeClient, die Monitoring­Funktio­nen und das Policy­Enforcementrunden den positiven Gesamtein­druck des Produkts ab.Dr. Götz Güttich leitet das Insti­tut zur Analyse von IT­Kompo­nenten in Korschenbroich. SeinBlog: www.iait.euNCP Secure EnterpriseSolutionVollautomatische, zentral ver­waltete VPN­Umgebung fürUnternehmen und Service Pro­vider.Merkmale:­ Vollständig automatisierbar­ Nahtlose Integration von

Zertifizierungsstellen­ Leistungsfähiger Client­ Policy­EnforcementHersteller:NCP engineering GmbHDombühler Str. 290449 Nürnbergwww.ncp­e.com

Wenn Installation und Konfiguration abgeschlossen sind, ist es unter anderemmöglich, die VPN­Umgebung mit Hilfe einer grafischen Darstellung zu über­wachen

8