Bintec Secure IPSec Client
Contents
1. Der LAN Adapter des Clients befindet sich dann in einem Friendly Net wenn IP Netze und Netzmaske die IP Adresse des LAN Adapters aus dem angegebenen Netzbereich stammt Ist z B das IP Netz 192 168 254 0 mit der Maske 255 255 255 0 angegeben so w rde die Adresse 192 168 254 10 auf dem LAN Adapter eine Zuordnung zum bekannten Netz bewirken DHCP Server diese IP Adresse von dem DHCP Server zugewiesen wurde der die hier angegebene IP Adresse besitzt DHCP MAC Adresse wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Diese Option kann nur dann verwendet werden wenn sich der DHCP Server im selben IP Subnet be findet wie der DHCP Client Je mehr dieser Bedingungen erf llt werden desto pr ziser ist der Nachweis dass es sich um ein vertrautes Netz handelt Die Zuordnung eines Adapters zu unbekannten oder bekannten Netzen wird automat isch protokolliert im Log Fenster des Client Monitors und in der Log Datei der Fire wall siehe gt Protokollierung wenn dieser DHCP Server die hier angegebene MAC Adresse besitzt Benutzerhandbuch Bintec Secure IPSec Client m Client Monitor a Konfigurationsfeld Optionen Bei gesperrter Grundeinstellung kann der Aufbau von VPN Verbindungen ber das Register Optionen global zugelassen werden Firewall Einstellungen Es werden die folgenden f r den Tunnelaufbau ben tigten Protokolle und Ports per automati2. 148 End ito Site VPN 4 4 12 0 3 0100 e naar 147 Erweiterte Authentisierung o o 19 ESP ici dt en o ae 117 148 ESP 3DES MDS uds aa a 112 Eleh Mode aa en erh 118 Extended Authentication 2 2 2 o o 156 Extended Authentication XAUTH 120 138 extendedKeyUSageia se cora cos are 50 51 F Ellterreseln ads AR ARA A a Ana 64 Finserprint es amp 2 0 0 en se e an aa 48 Fingerprint des Aussteller Zertifikats 128 Firewalls 2 wa i i ee ee ara Bee 170 Firewall Firewall Regeln 2 2 2222 66 Firewall Grundeinstellungen o 64 Firewall Einstellungen o 62 149 Firewall Regel Anwendungen o 72 Firewall Regel Bekannte Netze o 73 Friendly Nets s ui u 0 00 0 Sa Bun 73 G Gateway IP SEC 22 wen ut a een 111 GPRS a ana cone pi e 18 100 GSM ari ta e ae da 18 G ltigkeitsdaner s ici al a e e 48 H Hash l IKE Richtlinie 1 4 paa ea 115 Hayes Befehlss tz v g ecrane 22 0 es i 18 Hotspot sore o e o e G aa a aE e 13 HotSpot Anmeldung oo o 45 HSCSD a is bo Ba da ee ee 18 Hybride Verschl sselung 2 2 o o 171 I ID l Identit t 2 2 24 ur au a an sa wi ee 120 Identity Protection Mode 2 e ssa ve o 152 IKE Liar AA 147 TRE IP SEC yeee was da ee 47 IKE Config Mode verwenden 2 22 22 00 123 IKE ID Typ sont ad sera 159 IKE G pfip e es ia ei ba ae 158 T
3. 3DES AES 128 AES 192 AES 256 Unterst tzte asymmetrische Verschl sselungsalgorithmen Phase 1 2 DH 1 2 5 Diffie Hellmann RSA 2m m2m Bintec Secure IPSec Client Benutzerhandbuch Unterst tzte Hash Algorithmen MD5 SHA 1 Zus tzliche Unterst tzung f r Phase 2 PFS Perfect Forward Secrecy IPCOMP LZS Seamless re keying In den Profil Einstellungen des IPSec Clients werden automatisch einige Standards ge setzt IKE Phase 1 Richtlinie Automatischer Modus IKE Phase 2 Richtlinie Automatischer Modus IKE Phase 1 Modus RSA Main Mode IKE Phase 1 Modus PSK Aggressive Mode Diese automatisch gesetzten Richtlinien und Verhandlungsmodi sind in den Profil Ein stellungen konfigurierbar gehalten sodass sie anderslautenden Verbindungsanforde rungen entsprechend modifiziert werden k nnen Benutzerhandbuch Bintec Secure IPSec Client m 155 Beispiele und Erkl rungen u Standard IKE Vorschl ge 1 Wenn f r die IKE Richtlinie der automatische Modus in den IPSec Einstellungen ge w hlt wurde und im Parameterfeld Identit t die Verwendung eines Pre shared Keys Lor nicht aktiviert wurde ohne Haken so werden an die Gegenstelle standardm ig fol gende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer mit Zertifikat erfolgt Notation EA Encryption Algorithm Verschl sselung HASH Hash Algori
4. Client Modifikationen der Oberfl che z Bitte beachten Sie dass das Erscheinungsbild des Client Monitors vom Administrator i ver ndert werden kann Dies betrifft insbesondere die Men punkte Verbindungs In formationen Zertifikate Verbindungssteuerung und Logon Optionen Auch Pa rameterfelder des Telefonbuchs und einzelne Parameter k nnen vom Administrator ausgeblendet bzw auf nicht konfigurierbar gesetzt werden Die ausgeblendeten und deaktivierten Features und Parameter erleichtern Ihnen den Umgang mit der Software und haben weder Einfluss auf die Leistungsf higkeit der Software noch auf Ihre Ar beit Beachten Sie dazu den Abschnitt 3 3 Konfiguration 3 3 8 Konfigurations Sper ren 42 mm mma Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i 4 Monitor Bedienung Diese Beschreibung folgt den Men punkten in der Men leiste Die Hauptmeniipunkte in der Men leiste von links nach rechts sind O Verbindung O Konfiguration O Log O Fenster O Hilfe Benutzerhandbuch Bintec Secure IPSec Client mmm 43 Client Monitor 4 1 Verbindung E Unter diesem Men punkt befinden sich die Kommandos zum Aufbau und Trennen ei ner Verbindung Informationsfenster zum aktuellen Verbindungsaufbau sowie zur Dar stellung der eingesetzten Zertifikate Die PIN f r das Zertifikat kann hier eingegeben und ggf ge ndert werden Au erdem kann hier die Statistik der Verbindungsteuerung a
5. Unter dem Men punkt Info finden Sie die n tigen Angaben um eine Lizenz erwerben zu k nnen Information Unter dem Men punkt Aktivierungsschl ssel k nnen Aktivierungsschl ssel ER Sie die Testversion freischalten E ON Vor dem Bild des Popup Men s erscheint ein Fenster worin Sie Aktivierungsschl ssel und Seriennummer Ihrer Vollversion eintragen k nnen Tragen Sie nun Aktivierungsschl ssel und Seriennummer ein Wenn Sie korrekt eingetragen sind k nnen Sie den OK Button bedienen Damit ist eine Vollversion freigeschaltet u u E m 36 a m mm Bintec Secure IPSec Client Benutzerhandbuch Update und Deinstallation 2 5 Deinstallation Zum Entfernen der Client Software kann zwischen zwei Optionen gew hlt werden 1 Sie w hlen im Windows Startmen aus der Programmgruppe Bintec Secure IPSec Client das Programm Uninstall siehe Bild unten Programme gt fa Bintec Secure IPSec Client d u a Uninstall Wenn Sie die Sicherheitsabfrage Bintec Secure IPSec Client deinstallieren mit Ja beantworten entfernt das Uninstall Shield Programm die Client Software von Ihrem PC 2 Sie w hlen im Windows Startmen nach den Einstellungen die Gruppe System steuerung Klicken Sie nun auf Software und w hlen Sie den Client aus der Liste Klicken Sie dann auf den Button mit Hinzuf gen Entfernen Das Uninstall Shield Programm l scht nun die Client So
6. nutzt k nnen Sie in diesem Para meterfeld auch eine Kanalb ndelung aktivieren Bitte beachten Sie dabei dass die Ka nalb ndelung nur funktionieren kann wenn sowohl der Client als auch der NAS f r eine Verbindung ber gleich viele m gliche Kan le verf gen Parameter O Verbindungsaufbau O Timeout O Dynamische Linkzuschaltung O Schwellwert f r Linkzuschaltung Benutzerhandbuch Bintec Secure IPSec Client mm mm m 107 Konfigurationsparameter Profil Einstellungen E Verbindungsaufbau Hier definieren Sie wie die Verbindung zu einem im Telefonbuch eingetragenen Ziel system aufgebaut werden soll Drei Modi stehen zur Wahl automatisch default Dies bedeutet dass die Client Software die Verbin dung zum Zielsystem automatisch herstellt Das Trennen der Verbindung erfolgt je nach Protokoll Ihres Systems entspre chend den Anforderungen der Anwendung und den Einstel lungen im Telefonbuch manuell In diesem Fall m ssen Sie die Verbindung zum Zielsystem manuell herstellen Ein Trennen der Verbindung erfolgt je nach eingestelltem Wert f r den Timeout wechselnd Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut werden Danach wechselt der Modus je nach Verbindungsabbau Wird die Verbindung nun mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wie der manuell aufge
7. Au erdem kann das Icon auf dem Desktop angezeigt werden Zu den weiteren Einstellungen bez glich Ihres Gateways sind n here Informationen von Ihrem Administrator oder Internet Service Provider n tig gt f r Windows 98 ME weiter un ter 2 2 4 f r Windows NT 2000 XP wei ter unter 2 2 5 Benutzerhandbuch Installation der Client Software Im folgenden unterscheiden sich die Installationsschritte unter Windows 98 ME und Windows NT 2000 XP geringf gig 2 2 2 Benutzerdefinierte Installation und Abschluss unter Windows 98 ME Komponenten w hlen j Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben er Nur bei benutzerdefinierter Installation Netzwerk Einstellungen Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so muss der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben Ende der benutzerdefinierten In stallation zum Abschluss weiter auf der n chsten Seite Benutzerhandbuch Bintec Secur
8. Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Datenpakete werden von der Firewall nach au en gelassen deren Ziel Port Destinati on Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpake ten werden die durchgelassen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Mit den Einstellungen unter Remote IP Adressen l sst sich festlegen mit welchen ent fernten IP Adressen das system kommunizieren darf Alle IP Adressen erlaubt die Kommunikation mit beliebigen IP Adressen der Gegenseite ohne Ein schr nkung Eindeutige IP Adresse l sst nur Kommunikation mit der hier angegebenen IP Adresse auf der Gegenseite zu Mehrere IP Adressen Bereiche gestattet die Kommunikation mit verschiedenen IP Adressen auf der Gegenseite ent sprechend der Eintr ge Mit den Einstellungen unter Remote Ports l sst sich festlegen ber welche Ports mit entfernten Systemen kommuniziert werden darf Alle Ports setzt keinerlei Beschr nkungen hinsichtlich Ziel Port bei abgehenden bzw Quell Port bei eingehenden Paketen 70 a a mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i Eindeutiger Port l sst nur eine Kommunikation ber den angegebenen Port zu wenn dieser als Ziel Port im abgehenden bzw als Quell Port im eingehenden Paket vorkommt Soll z B eine Regel nur Telnet zu einem anderen System zulassen ist hi
9. Entsprechend sind auch dielSDN Anwendungspro gramme programmiert die entweder auf CAPI 1 1 oder CAPI 2 0 aufsetzen bzw die jeweilige CAPI voraussetzen Eine Hybrid CAPI gestattet sowohl den Einsatz einer Anwendungs Software f r CAPI 1 1 als auch den von CAPI 2 0 Software Siehe Hybrid CAPI CCP Compression Control Protocol CHAP Challenge Handshake Authentication Protocol CLI Calling Line Identification Rufnummern Identifi zierung im Euro ISDN COSO Charge One Side Only COSO Riickruf auch Low Level oder D Kanal R ckruf F r den Initiator des R ckrufs im D Kanal fallen keine Geb hren an CTAPI Schnittstelle zu Smartcard Readern CUG Closed User Group geschlossene Benutzergruppe im Euro ISDN DES Datenverschl sselungsnorm Data Encryption Standard DHCP Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass f r jede Session automatisch eine IP Adresse zugewiesen wird Directory Service Remote Access Zug nge werden wie E Mail Adressen Telefonnummern etc in Verzeichnissen auf unterschiedlichen Datenbanken abgelegt Das Problem bei dieser Vielzahl von Verzeichnissen ist dass einerseits viele Daten mehrfach erfasst werden und zudem die einzelnen Eintr ge nicht untereinander verkn pft sind Der Pflegeaufwand ist enorm und Inkonsistenzen sind nicht auszu schlie en Gefordert ist ein standardisiertes Proze dere mit Hilfe dessen die Erfassung und Pflege al ler Informationen in einer zentrale
10. ISS wird der PIN Status zur ckgesetzt und die PIN muss erneut eingegeben werden Wech selt der Computer in den Sleep Modus wird ebenfalls der PIN Status zur ckgesetzt PIN Status im Client Monitor Wurde die PIN bereits eingegeben erscheint im Monitor die Einblendung PKI Einsatz PIN mit einem gr nen Haken Wurde die PIN noch nicht korrekt eingegeben fehlt der kleine gr ne Haken Bintec Secure IPSec Client Client PIN Benutzerhandbuch Bintec Secure IPSec Client mmm 55 Client Monitor 4 1 9 Verbindungssteuerung Statistik Statistik der Verbindungssteuerung 4 1 10Sperre aufheben Verbindungssteuerung Bintec Secure IPSec Client T estverbindung mit 55 Client 56 u m mm Bintec Secure IPSec Client Die Statistik gibt Ihnen Auskunft ber Ihre Datenkommunikation In ihr werden sowohl gesondert als auch aufaddiert die gesamten Online Zeiten die gesamte Anzahl der Verbindungen und die gesamten Einheiten sowie empfangene und gesendete Kbytes f r den aktuellen Tag den laufenden Monat und das laufende Jahr angezeigt Je nachdem wie die Verbindungssteuerung eingestellt ist erhalten Sie bei berschreiten eines Limits Meldungen auf dem Bildschirm Wird ein Limit berschritten und die Verbindung automatisch abgebaut wird eine Sperre aktiv die jeden weiteren Verbindungsaufbau unterbindet siehe gt Verbindung Men im Monitor Eine Verbindung kann erst dann wieder ne
11. POP3 PPP PPP Verhandlung PRI Radius RA RAS RIP RFC Routing Tabellen 2 m Bintec Secure IPSec Client Authentisierung mittels Zertifikaten die von einer vertrauensw rdigen PKI ausgestellt wurden Ins besondere f r E Commerce bietet PKI den Rah men f r Vertraulichkeit Geheimhaltung Integri t t F lschungssicherheit Authentizit t Identi t tssicherheit und Nichtbestreitbarkeit Point of Presence Protokoll zum Download von E Mails Gegenst ck zu SMTP Port 110 Point to Point Protokoll bertragunsprotokoll in verbindungsorienten Netzen Point to Point Protokoll In einer PPP Verhand lung wird die IP Adresse nach Anwahl an den Pro vider automatisch bergeben Primary Rate Interface ISDN Schnittstelle Pri m r Multiplex S2m mit 30 B Kan len und 2 D Kan len Remote Authentication Dial In User Service siehe Directory Service Registration Authority Meist ist die Registrie rungsstelle die Stelle die die Daten f r die Bean tragung eines Zertifikats entgegen nimmt Die RA ist auch die Stelle der der Verlust oder der Verfall eines g ltigen Zertifikats gemeldet wird und die eine Widerrufsliste Revocation List ung ltig ge wordener Zertifikate herausgibt Remote Access Services Firmenspezifische Mi crosoft Einwahlhilfe f r Remote Access Routing Information Protocol auch Routing Modus Request for Comment Normentwurf Vornorm die im Internet diskutiert wi
12. griff auf Daten und Ressourcen im zentralen Datennetz verhindert Zum anderen wird mittels Stateful Inspection der jeweilige Status bestehender Verbindungen berwacht Die Firewall kann dar ber hinaus erkennen ob eine Verbindung Tochterverbindun gen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete eben falls weitergeleitet werden m ssen Wird eine Regel f r eine ausgehende Verbindung definiert die einen Zugriff erlaubt so gilt die Regel automatisch f r entsprechende R ckpakete F r die Kommunikationspartner stellt sich eine Stateful Inspection Ver bindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln ent sprechenden Datenaustausch genutzt werden darf Die Firewall Regeln k nnen dynamisch konfiguriert werden d h ein Anhalten der Software oder ein Reboot ist nicht n tig Die Firewall Einstellungen im Konfigurationsmen des Client Monitors gestatten eine genauere Spezifikation von Firewall Filterregeln Sie wirken global D h unabh ngig vom aktuell gew hlten Zielsystem werden immer zuerst die Regeln der erweiterten Firewall Einstellungen abgearbeitet bevor die Regeln der Firewall aus dem Telefon buch angewendet werden Eine Kombination der globalen und link bezogenen Firewall kann in bestimmten Szen arien durchaus sinnvoll sein Im Allgemeinen sollten jedoch nahezu alle Anforderun gen ber die globalen Einstellungm glichkeiten abzudecken sein Bitte beachten Si
13. mmm 99 Konfigurationsparameter Profil Einstellungen xDSL PPPoE Angeschlossene Hardware Ethernet Adapter xDSL Modem Netze xDSL Gegenstellen Access Router im xDSL xDSL AVM PPP over CAPI Diese Verbindungsart kann gew hlt werden wenn eine AVM Fritz DSL Karte einge e setzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitialisierungskommandos eingetra gen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine se parate zus tzliche Netzwerkkarte ben tigt Netze xDSL Gegenstellen Access Router im xDSL GPRS UMTS Dieses Einwahlmedium w hlen Sie wenn die Einwahl ber das Mobilfunknetz GPRS oder UMTS erfolgen soll Beachten Sie dazu den Hinweis unter den Installationsvor aussetzungen zu Analoges Modem PPTP Microsoft Point to Point Tunnel Protocol Angeschlossene Hardware Ethernet Adapter DSL Modem Netze xDSL Gegenstellen Access Router im xDSL Microsoft DF Dialer verwenden Zur Einwahl am ISP Internet Service Provider kann der Microsoft DF Dialer ge nutzt werden Dies ist immer dann n tig wenn der Einwahlpunkt ein Einwahl Script ben tigt Der DF Dialer unterst tzt dieses Script Im Parameterf
14. quittiert Ein Verbindungsaufbau ist dann nicht m glich O Fehlerhafte Eingaben und falsche PINs werden nach ca 3 Sekunden mit einer Fehler Benutzerhandbuch Bintec Secure IPSec Client m Client Monitor Bitte beachten Sie dass bei mehrmaliger falscher PIN Eingabe eine Smart Card oder ein Token gesperrt werden kann Wenden Sie sich in diesem Fall an Ihren Administra tor Erst nach korrekter PIN Eingabe kann der Verbindungsaufbau erfolgen Wird eine Smart Card oder ein Token w hrend des laufenden Betriebs entfernt findet standardm ig ein Verbindungsabbau statt Der Verbindungsabbau muss jedoch nicht bei gezogener Chipkarte erfolgen Ob Kein Verbindungsabbau bei gezogener Chipkarte erfolgt wird ber das Hauptmen des Monitors unter dem Men punkt Konfiguration Zertifikate eingestellt fikate festgelegt werden siehe gt Konfiguration Zertifikate PIN Richtlinie Diese Richtlinien m ssen auch befolgt werden wenn die PIN ge ndert wird siehe gt Verbin dung PIN ndern Die Richtlinien zur PIN Eingabe k nnen im Hauptmen unter Konfiguration Zerti nes g Bitte beachten Sie Unter dem Men punkt PIN ndern kann die PIN f r eine Smart os Card oder ein Soft Zertifikat ge ndert werden wenn vorher die richtige PIN eingege ben wurde Ohne die vorherige Eingabe einer g ltigen PIN wird dieser Men punkt nicht aktiviert 4 1 7 PIN zur cksetzen Dieser Men punkt i
15. siehe auch Zum Betrieb des Secure Clients unter Windows NT 2000 XP Bintec Secure IPSec Client m m mm 33 Installation 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP Um mit der Client Software arbeiten zu k nnen ohne Administratorrechte zu be sitzen m ssen Schreib und Leserechte f r folgende Dateien eingerichtet sein M Alle Dateien im Unterverzeichnis NCPLE des Betriebssystems Windows NT m ssen Leserechte besitzen die Datei NCPPHONE CFG ben tigt zus tzlich Schreibrechte Zudem m ssen in diesem Verzeichnis Dateien erzeugt werden k nnen M Die Datei NCPBM DAT ben tigt Lese und Schreibrechte Satistik Budgemanager M Die Datei NCP DB im Verzeichnis WINDOWS SYSTEM32 DRIVERS ben tigt eben falls Schreib und Leserechte 34 m m mm Bintec Secure IPSec Client Benutzerhandbuch Vor der Inbetrieonahme 2 3 Vor der Inbetriebnahme nutzen zu k nnen muss zun chst unter den Profil Einstellungen ein Eintrag erzeugt werden d h das Profil zu einem Zielsystem definiert werden zu dem eine IPSec Ver bindung hergestellt werden kann i Nach der Installation zeigt sich der Client Monitor auf dem Bildschirm Um den Client Bintec Secure IPSec Client Best tigung Sie k nnen dazu den angebote nen Assistenten benutzen wenn Sie im Best tigungsfenster auf Ja klicken siehe Bild rechts Der Assistent kann auch zu einem sp teren Zeitpunkt gestartet werden Dazu wird der Men p
16. waltungseinheiten Geb ude Abteilungen etc O F r den Anschluss ans Internet ben tigen Sie eine offizielle einmalige Internet Adres se O Vergeben Sie wenn m glich keine IP Adresse deren Netzwerk oder Host Abschnitt mit 0 endet Dies k nnte zu Fehlinterpretationen und undefinierbaren Fehlern im Netz f hren O Netzmasken werden vom Internet Protokoll nur ausgewertet wenn die Netzwerknum mern der Kommunikationspartner gleich sind O Wie die Adress Klassen haben auch die Netz Masken unterschiedlich lange Netzwerk Abschnitte 146 2m m Bintec Secure IPSec Client Benutzerhandbuch 7 2 i 7 Zal Security Im Parameterfeld IPSec Einstellungen der Profil Einstellungen sind die Konfigu rationsparameter zu IPSec f r den Einsatz in Remote Access Umgebungen gesam melt Im folgenden wird auf einige Konfigurationsm glichkeiten Bezug genommen IPSec bersicht IPSec kann nur f r IP Datenverkehr eingesetzt werden Die IPSec Spezifikation um fasst nicht nur das Layer 3 Tunneling sondern auch alle notwendigen Sicherheits mechanismen wie starke Authentisierung Schl sselaustausch und Verschl sselung Mit den IPSec RFCs 2401 2409 l sst sich ein VPN mit vorgegebener Security f r IP realisieren Tunneling und Security sind f r IPSec vollst ndig beschrieben so dass ein komplettes Rahmenwerk f r das VPN zur Verf gung steht Prinzipiell ist es m glich herstellerunabh ngige veschiedene
17. Client PIN Bintec Secure IPSec Client A ES Verbindung Konfiguration Log Fenster Hilfe Zentrale NAS Authentisierung PIN 4 O Bintec Secure IPSec Client IOl x Verbindung Konfiguration Log Fenster Hilfe Client Zentrale YPN Einwahl Client PIN Y O Server Bintec Secure IPSec Client o xj Verbindung Konfiguration Log Fenster Hilfe s YPN Einwahl 1 Client PINY es Zentrale Server Bintec Secure IPSec Client al ES Werbindung Konfiguration Log Fenster Hilfe pr Zentrale _A er Client Verbindung ist hergestellt PIN Y gt Server Benutzerhandbuch gr n Station erfolgreich durchlaufen links der Globus Die erfolgreich durchlaufenen Stationen werden als verkleiner te Symbole dargestellt Nach der Verbindung zum ISP gr ne Linie und der Authenti sierung am Network Access Server gr nes H ndesch tteln wird der Tunnel aufgebaut gelbe dicke Linie und die Einwahl am Server VPN Gate way beginnt Auch hier muss eine Authentisierung stattfin den Die Verschl sselung der IPSec Richtlinie wird mit ei nem Schl ssel angezeigt Wenn die Konfiguration der Ge genstelle darauf eingestellt ist kann auch Kompression konfi guriert werden Ist die letzte Station des Verbin dungsaufbaus hier die Ver schl sselung durchlaufen schaltet das Ampellicht auf gr n wie auch anschlie end die Tun nelverbindung Die Verbindung ist damit hergeste
18. IPsec Blowfish Verschl sselungsstandard mit 128 448 Bit BRI Basic Rate Interface ISDN Schnittstelle Basis So mit 2 B Kan len und 1 D Kanal Browser Der Browser stellt die Anwender Schnittstelle zum Internet dar Mit seiner HTTP F higkeit Hy pertext Transfer Protokoll kann er verschiedene Formate z B HTML GIF CAD die f r eine multimediale Darstellung der Information ben tigt werden in Sound und Grafik umsetzen CA Certification Authority auch Trust Center z B D Trust ein Gemeinschaftsunternehmen der Bundes druckerei und Debis Eine CA stellt mittels PKI Manager Software digital signierte Best tigun gen Zertifikate aus und brennt sie auf eine Smartcard Chipkarte Eine CA kann ein privater Dienstleister oder eine ffentiche Einrichtung sein Diese Zertifizierungsstellen bed rfen nicht der Genehmigung durch den Staat Sie haften f r die Richtigkeit der Zertifikate CAPI Common Application Programm Interface Diese Schnittstelle wird im ISDN als Common ISDN API bezeichnet und entspricht der PCI Schnittstel le Programmable Communication Interface Die Schnittstelle erlaubt den direkten Zugang zum ISDN und den unteren Protokoll schichten Ebene 1 3 H here Protokolle Anwendungen wie Telex oder Filetransfer k nnen unabh ngig von der ein gesetzten Hardware Plattform verwendet werden Die CAPI gibt es in zwei Versionen 1 1 und 2 0 168 2 m Bintec Secure IPSec Client Benutzerhandbuch CC A
19. KB s 0 000 Yerschl sselung 4 4 4 Immer im Vordergrund Wenn Sie Immer im Vordergrund geklickt haben wird der Monitor immer im Bild schirmvordergrund angezeigt unabh ngig von der jeweils aktiven Anwendung 92 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i 4 4 5 Autostart Mit diesem Men punkt wird der Monitor so eingestellt dass er nach dem Booten selb st ndig startet Autostart ersetzt den Men punkt Fenster Nach Booten starten ber den neuen Men punkt k nnen folgende Optionen eingestellt werden O kein Autostart nach dem Booten nicht automatisch starten O minimiert starten nach dem Booten den Monitor starten und minimiert darstellen O maximiert starten nach dem Booten den Monitor starten und in normaler Gr e dar stellen tors ben tigen so sollten Sie die Einstellung maximiert starten w hlen Prinzipiell f Wenn Sie oft mit der IPSec Client Software arbeiten und die Informationen des Moni Do ist es f r die Kommunikation mit dem Zielsystem nicht n tig den Monitor zu starten 4 4 6 Beim Schlie en minimieren Wird der Monitor bei einer bestehenden Verbindung ber den Schlie en Button x rechts in der Kopfzeile oder das Systemmen links in der Kopfzeile geschlossen Alt F4 so informiert ein Meldungsfenster dar ber dass kein Ampelsymbol Tray Icon mehr in der Task Leiste erscheint wor ber der Status dieser Verbindung kontrolliert werden k
20. Vorname t Title Titel o Organisation Firma ou Organization Unit Abteilung c Country Land St State Bundesland Provinz 1 Location Stadt Ort email E mail Benutzerhandbuch Bintec Secure IPSec Client mmm ma 127 Konfigurationsparameter Profil Einstellungen Beispiel cn ABC GmbH Hier wird nur der Common Name des Ausstellers berpr ft E Fingerprint des Aussteller Zertifikats Um zu verhindern dass ein Unberechtigter der die vertrauensw rdige CA imitiert ein gef lschtes Aussteller Zertifikat verwenden kann kann zus tzlich der Fingerprint des Ausstellers soweit bekannt eingegeben werden E SHA1 Fingerprint verwenden Der Algorithmus zur Erzeugung des Fingerprints kann MD5 Message Digit 5 oder SHA 1 Secure Hash Algorithm 1 sein Weitere Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht 1 Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Ausstel ler Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Disket te befinden Nachtr glich k nnen Ausstell
21. nnte d h der Benutzer kann dann auf der Oberfl che seines Desktops nicht erkennen ob und wie lange noch Verbindungsgeb hren anfallen oder ob die Verbin dung bereits beendet wurde Um in diesem Fall den Status der Verbindung zu erfahren und sie gegebenenfalls kor rekt zu beenden muss der Monitor erneut gestartet werden Ist dieser Men punkt aktiviert so wird der Monitor beim Schlie en ber den Button x rechts in der Kopfzeile oder ber Alt F4 nur minimiert und erscheint als Ampel symbol in der Task Leiste wor ber der Status der Verbindung abgelesen werden kann Der Klick auf den Schlie en Button x der Kopfzeile hat in dieser Einstellung die gleiche Wirkung wie der Klick auf den Minimieren Button der Kopfzeile In der Darstellung des Ampelsymbols in der Task Leiste kann nach einem rechten Mausklick auf das Symbol das m gliche Zielsystem abgelesen und die Verbindung aufgebaut oder getrennt werden bzw bei abgebauter Verbindung der Monitor auch be endet werden Das Beenden des Monitors ist nur noch ber das Hauptmen Verbindung Beenden l ISS m glich Benutzerhandbuch Bintec Secure IPSec Client m 93 Client Monitor 4 4 7 Nach Verbindungsaufbau minimieren Ist dieser Meniipunkt aktiviert so wird der Monitor nach erfolgreichem Verbindungs aufbau automatisch minimiert nicht jedoch beendet Ly Das Beenden des Monitors ist nur ber das Hauptmen Verbindung Beenden m g l
22. sonst findet kein VE Verbindungsaufbau statt 8 siehe gt Profil Einstellungen gt 2 Identit t Extended Authentication XAUTH verwenden 138 2m m Bintec Secure IPSec Client Benutzerhandbuch A TA E Verbindungsabruch und Fehler Bintec Secure IPSec Client Zentrale pa Client Bintec Secure IPSec Client Zentrale Client o Trennen Bintec Secure IPSec Client Zentrale A Client Benutzerhandbuch Ereignet sich ein Fehler so wird die Verbindung nicht hergstellt und die Fehlerursache im Monitor angezeigt beachten Sie dazu den Abschnitt Fehler und ISDN Meldungen Mit der Funktion Trennen wird der Abbau der aktuell bestehenden Verbindung manuell durchgef hrt Wenn Sie die M glichkeit behalten wollen jederzeit die Verbindung manuell abbauen zu k nnen setzen Sie den Verbindungsaufbau auf manuell und deaktivieren den automatischen Timeout indem Sie ihn auf Null 0 setzen gt Verbindungsaufbau Wenn die Verbindung abgebaut wird wechselt die farbliche Darstellung der Verbindungslinie bis sie verschwindet und die Ampellampen des Monitors f r die gesamte Offline Dauer von grin zu rot Bintec Secure IPSec Client mm m 139 g Verbindungsaufbau 140 Trennen und Beenden des Monitors Besteht eine Verbindung noch und wird der Monitor beendet so wird nicht automat isch die Verbindung getrennt Soll die m glicherweise kostenpflichtige V
23. sselungen bald gro e Verbreitung finden AH Authentication Header RFC 2402 Asymmetrische Verschl sselung Public Key Verfahren Bei einer asymmetrischen Verschl sselung besitzt jeder Teilnehmer zwei Schl ssel einen geheimen privaten und einen f fentlichen Schl ssel Beide Schl ssel stehen in ei ner mathematisch definierten Beziehung zueinan der Der private Schl ssel des Teilnehmer ist streng geheim der ffentliche Schl ssel f r jeder mann zug nglich Das Schl sselmanagement ge staltet sich auch bei gro en Teilnehmerzahlen berschaubar Zwei Schl ssel pro Teilnehmer er gibt insgesamt 2 000 Schl ssel um 1 000 Teilneh mern in allen Sender Empf nger Kombinationen die sichere Kommunikation zu erm glichen Das bekannteste asymmetrische Verschl sselungsver fahren ist RSA Nachteil der asymmetrischen Ver fahren Sie sind rechenintensiv und damit ver gleichsweise langsam Benutzerhandbuch Bintec Secure IPSec Client mm m 167 E Abk rzungen und Begriffe Basisanschluss ISDN Anschlusstyp mit So Schnittstelle S f r So BRI Basic Rate Interface Subscriber Interface Benutzerschnittstelle beste hend aus einem D Kanal Bandbreite 16 kBit s f r die Steuerung und zwei B Kan len Bandbreite jeweils 64 kBit s f r die bertragung von Nutzin formationen BCP Bridge Control Protocol BITS Bump In The Stack Art der Implementierung von IPsec BITW Bump In The Wire Art der Implementierung von
24. 255 255 248 0 bef nden sich die IP Adressen im gleichen Subnet und Routing wiirde nicht stattfinden Beispiel 2 Zwei IP Adressen mit 160 149 115 8 und 160 149 117 201 und der Netz Maske 255 255 252 0 befinden sich im gleichen Netzwerk 160 149 geh ren aber unterschied lichen Subnets an Bin re Darstellung 160 149 115 8 160 149 117 201 255 255 252 0 10100000 10010101 011100 11 00001000 10100000 10010101 o11101 01 11001001 moron 11111111 11111111 111111 00 00000000 Netzwerk Subnet Die Wahl einer geeigneten Netzmaske h ngt von der Netzwerk Klasse der Beschaffen heit der m glichen Subnets ihrer Anzahl und ihrem Wachstum ab Ziehen Sie zur Pla nung einschl gige Tabellen oder einen Subnet Taschenrechner zu Rate Subnet Tabelle Klasse C Subnet Bits Host Bits Netz Maske Subnets Rechner 2 6 255 255 255 192 2 62 3 5 255 255 255 224 6 30 4 4 255 255 255 240 14 14 5 3 255 255 255 248 30 6 6 2 255 255 255 252 62 2 Berechnung 2 hoch n minus 2 Anzahl der Subnets Rechner n Anzahl der Subnet Host Bits Mit einer Netz Maske 255 255 255 240 wird ein Netz der Klasse C in Subnets geteilt Mit dieser Netz Maske sind insgesamt 14 Subnets mit jeweils max 14 Rechnern m g lich 255 255 255 240 11214317111 1411331213 31171222317 1414 0000 199 Sw 39 130 11000111 00001001 01100011 1000 0010 Subnet Nummer 8 199 9 99 146 11000111 00001001 01100011 1001 0010 Subnet Nummer 9 Netzwerk subn
25. API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden ReaderName SCM Swapsmart CT API gt xyz DLLWIN95 scm20098 dl1l gt Ct32 dll DLLWINNT scm200nt dll z gt eeE32 aLL Nach einem Boot Vorgang erscheint der ReaderName im Monitor Men Port Der Port wird bei korrekter Installation des Leseger ts automatisch bestimmt Bei Un stimmigkeiten k nnen die COM Ports 1 4 gezielt angesteuert werden Auswahl Zertifikat 1 Zertifikat 3 Standard 1 Aus der Listbox kann aus bis zu drei ver schiedenen Zertifikaten gew hlt werden die sich auf der Chipkarte befinden Die Anzahl der Zertifikate auf der Chip karte ist abh ngig von der Registration Authority die diese Karte brennt Wenden Sie sich zu weiteren Fragen bitte an Ihren Systemadministrator Benutzerhandbuch Bintec Secure IPSec Client m 79 Client Monitor Auf den Chipkarten von Signtrust und NetKey 2000 befinden sich drei Zertifikate 1 zum Siginieren 2 zum Ver und Entschl sseln 3 zum Authentisieren optional bei NetKey 2000 PKCS 12 Dateiname Nutzen Sie das PKCS 12 Format so erhalten Sie von Ihrem Systemadministrator eine Datei die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname der PKCS 12 Datei eingegeben bzw nach einem Klick auf den Button Auswahl Button die Datei ausgew hl
26. Bintec Secure IPSec Client X Die weiteren Stationen des Verbindungs Zentrale aufbaus erfolgen genau so wie oben un N ter Verbinden beschrieben 2e IPN Einwahl Client Server bis die Verbindung steht 136 2 m Bintec Secure IPSec Client Benutzerhandbuch A A E Passw rter und Benutzernamen Das Passwort siehe gt Netzeinwahl Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zugewiesen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort genau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Auch wenn Sie f r den Verbindungsaufbau automatisch gew hlt haben siehe oben gt Verbindungsaufbau zum Zielsystem m ssen Sie die Verbindung beim ersten Mal manuell aufbauen und das Passwort eingeben F r jeden weiteren automatischen Ver bindungsaufbau wird das Passwort selbst ndig bernommen bis der PC erneut geboo tet oder das Zielsystem gewechselt wird D h f r eine Reihe von automatischen Ver bindungsaufbaus wird d
27. Bintec intec Secure Client Benutzerhandbuch Nach dem Bet tigen des OK Buttons wird der Dialog Netzwerk ge ffnet siehe links Klicken Sie Hinzuf gen Bei Windows ME wird ein entsprechender gesonderter Dialog zu Hardware hinzuf gen eingeblendet w hlen Sie Netzwerkkarte und bet tigen Sie nochmals Hinzuf gen Unter der Rubrik Hersteller w hlen Sie Bintec aus und w hlen dazu den Treiber auf der rechten Seite Nach dem Bet tigen des OK Buttons wird der Treiber installiert Damit ist die Installation der Client Software mit Setup unter Windows 98 ME abgeschlossen gt weiter n chste Seite Bintec Secure IPSec Client m 29 Installation 30 Anschlie end ist die gew hlte Netzwerkkarte mit dem TCP IP Protokoll im Netzwerk verf gbar siehe links Netzwerk 3 Client f r Microsoft Netzwerke Bintec Secure Client TCP IP gt Bintec Secure Client n entremen Client fur Netware Netzwerke Eeo E Uter Umst nden m ssen nun r ger einlegen X noch Dateien vom E Windows Datentr ger kopiert werden Legen Sie dazu die CD ein oder geben Sie den Pfad an Anschlie end bet tigen Sie den Ja Button und booten Sie 17 damit das System m Ge nderte Systemeinstellungen a mma Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software 2 2 3 Benutzerdefinierte Installation und Ab
28. ESP Encapsulating Security Payload RFC 2406 Euro ISDN ITU Standard f r Europ isches ISDN bezieht sich auf das D Kanal Protokoll DSS1 und m gliche Dienstmerkmale wie Geb hrenanzeige Advice of Charge R ckruf bei Besetzt Completion of Calls to Busy Subscriber Rufumleitung Call Forwar ding Anklopfen Call Waiting etc Im Euro ISDN mit dem D Kanal Protokoll DSS1 werden einzelne Endger te mit der Multible Subscriber Number MSN adressiert Firewall Trennt Public Netz von Private Netz Schutzme chanismus in Netzen der den Zugriff der Statio nen regelt Ein Firewall Rechner schottet ein Netz 170 2m m Bintec Secure IPSec Client Benutzerhandbuch I A werk vor allem WAN seitig gegen unautorisierten Zugriff ab Die Berechtigung kommender und ab gehender Verbindungen wird zum Beispiel gere gelt durch Herausfiltern bestimmter Netzteilneh mer und Netzdienste und Festlegung der Zugriffs berechtigungen Vom WAN aus betrachtet stehen hinter der Firewall in der DMZ f r gew hnlich Web Server Email Server und VPN Server FTP File Transfer Protocol Basiert auf TCP und dem Terminalprotokoll TELNET Port 21 GPRS Standard f r schnelle Handy Kommunikation GRE Generic Router Encapsulation CISO Spezifisches Tunnel Protokoll GSM Global System Mobile Standard f r Handy Kom munikation Hash Wert siehe Signatur HBCI Standard f r Smartcard Reader Online Banking HTTP Hypertext Transfer Protocol Multimedia N
29. Filterung werden nicht nur die Internet und Trans portschicht sondern auch Abh ngigkeiten vom Zustand einer Verbindung ber cksich tigt Alle aktuellen und initiierten Verbindungen werden mit Adresse und zugeordne tem Port in einer dynamischen Verbindungstabelle hinterlegt Der Stateful Inspection Filter entscheidet anhand festgelegter Raster Informationen welche Pakete zu wel cher Verbindung geh ren Zust nde k nnen sein Verbindungsaufbau bertragung Verbindungsabbau und gelten sowohl f r TCP als auch UDP Verbindungen Ein Bei spiel an einer Telnet Sitzung Der Zustand Verbindungsaufbau wird dadurch defi niert dass noch keine Benutzer Authentisierung stattgefunden hat Hat der Benutzer sich mit Benutzername und Kennwort angemeldet wird diese Verbindung in den Zu stand normale Verbindung gesetzt Da der jeweilige Status einer Verbindung st ndig berwacht wird bleibt Unbefugten der Zugriff auf das interne Unternehmensnetz ver wehrt Der Vorteil gegen ber statischen Paketfiltern ist dass die Entscheidung ob ein Secure Gateway oder Client ein Paket weiterleitet oder nicht nicht nur auf Grund von Quell und Zieladresse oder Ports f llt Das Security Management pr ft dar ber hinaus den Benutzerhandbuch Bintec Secure IPSec Client mm m 163 Beispiele und Erkl rungen den Zustand state der Verbindung zu einem Partner Weitergeleitet werden aus schlie lich die Pakete die zu einer aktiven Verbindung
30. Message 3 Header Zertifikat Signatur Benutzerhandbuch Bintec Secure IPSec Client mm m 153 Beispiele und Erkl rungen 7 2 4 IPSec Tunneling 154 Der IPSec Client kann gegen ber IPSec Gateways unterschiedlicher anderer Hersteller zum Einsatz kommen Die Kompatibilit t mit den IPSec Modi der anderen Hersteller beruht auf der Konfor mit t mit folgenden RFCs und Drafts zu IPSec RFC 2104 Keyed Hashing for Message Authentication RFC 2401 Security Architecture for the Internet Protocol RFC 2403 The Use of HMAC MD5 96 within ESP and AH RFC 2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 2406 IP Encapsulating Security Payload ESP RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol ISAKMP RFC 2409 The Internet Key Exchange IKE DRAFT draft beaulieu ike xauth 05 XAUTH DRAFT draft dukes ike mode cfg 02 IKECFG DRAFT draft ietf ipsec dpd 01 DPD DRAFT draft ietf ipsec nat t ike 01 NAT T DRAFT draft ietf ipsec nat t ike 02 NAT T DRAFT draft ietf ipsec nat t ike 03 NAT T DRAFT draft ietf ipsec nat t ike 05 NAT T DRAFT draft ietf ipsec udp encaps 06 UDP ENCAP Implementierte Algorithmen f r Phase 1 und 2 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie RSA Signatur PSK Pre shared Key Unterst tzte symmetrische Verschl sselungsalgorithmen Phase 1 2 DES
31. Richtlinie o 22 2 2m none 111 IPpSee Richtlinie p z 20 8 8 2 8 u 2 88 aa aa a as 2 Richtlinien G ltigkeit 2 2 2 2 m nn a 112 Dale a la s o RA Aa Aa e o e L2 Richtlinien Editor 2 2 2 2 on nn nenn 113 IKE Richtlinie editieren 222 2 2 2 m nn 114 Name IKE Richtlinie pr oa s MA Authentisierung IKE Richtlinie Emote ee ID Verschl sselung I IKE Richtlinie 115 Hash IKE Richtlinie s 2 2 scu ow 115 DH Gruppe IKE Richtlinie 2 2222 115 8 a m mm Bintec Secure IPSec Client Benutzerhandbuch I IA IPSec Richtlinie editieren s s s 2 2 saos magpasa a 116 Name IPSec Richtlinie s 2222 so ss soo ro sa a 117 Protokoll IPSec Richtlinie 00a a aaa aaa 117 Transformation IPSec Richtlinie 00a 2 2 2 2 117 Transformation Comp IPSec Richtlinie 2 2 117 Authentisierung IPSec Richtlinie 117 Erweiterte Optionen s o s sos nm nn 118 Exch Mode He E au Anis a a an el a a IAS PFS Gruppe La ne en AS IP Kompression LZS erwandeh pa a e a L18 DPD Dead Peer Detection deaktivieren 118 9 1 6 Identit t o o ser s o cs us 2 119 Typ Identit t s s s poc w cg oa me 120 ID Identit t A A o a IO Pre shared Key versenden Ber ca as 120 Extended Authentication XAUTH vermenden cs a re 120 Benutzername Id
32. SA auszuhandeln wird als Phase 2 Verhandlung bezeichnet Bevor jedoch eine IPSec SA mit der Gegenstelle Gateway ausgehandelt werden kann muss ein Kontroll kanal vom Client zum Gateway existieren Dieser Kontrollkanal wird ber die Phase 1 Ver handlung hergestellt deren Ergebnis eine IKE SA ist Die Phase 1 Verhandlung bernimmt somit die komplette Authentisierung vom Client gegen ber dem VPN Gateway und erzeugt ei nen verschl sselten Kontrollkanal ber diesen Kontrollkanal kann dann rasch die Phase 2 IPSec SA durchgef hrt werden Die Phase I Verhandlung ist ein Handshake ber den auch der Austausch von Zertifikaten m glich ist und die den Schl sselaustausch f r den Kon trollkanal beinhaltet Benutzerhandbuch Bintec Secure IPSec Client m 151 Beispiele und Erkl rungen u IKE Modi Im wesentlichen k nnen zwei Arten der IKE Richtlinien konfiguriert werden Sie un terscheiden sich durch die Art der Authentisierung entweder ber Pre shared Key oder ber RSA Signatur Beide Arten des Internet Key Exchanges k nnen in zwei unter schiedlichen Modi ausgef hrt werden dem Main Mode auch Identity Protection Mode oder dem Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messages und durch die Verschl sselung Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollka nal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert bein
33. Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revocation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit dem Er l schen der G ltigkeit des Aussteller Zertifikats erlischt automatisch die G ltigkeit eines vom gleichen Aussteller ausgestellten Benutzer Zertifikates Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats 48 m mma Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Benutzer Zertifikat anzeigen Wenn Sie sich Ihr Benutzer Zertifikat anzeigen lassen k nnen Sie sehen welche Merk male zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adres se Austeller CA Der Aussteller Ihres Benutzer Zertifikates muss mit dem Aussteller des Aussteller Zertifikates identisch sein siehe gt Aussteller Zertifikat anzeigen Seriennummer Nach der Seriennummer werden die Zertifikate mit den in der Revokation List der Certification Authority gehaltenen verglichen G ltigkeitsdauer Die G ltigkeitsdauer der Zertifikate ist beschr nkt Die G l tigkeitsdauer eines Aussteller Root Zertifikats ist in aller Regel l nger als die eines Benutzer Zertifikats Mit Erl schen der G ltigkeit geht auch d
34. Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCII Editor indem Sie als Modulname den Namen des angeschlossenen Le sers oder Tokens xyz eintragen Als PKCS 11 DLL muss der Name der DLL einge geben werden Der zugeh rige Slotindex ist herstellerabh ngig Standard 0 Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname xyz PKCS 11 DLL Name der DLL Slotindex M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser oder Token Benutzerhandbuch Bintec Secure IPSec Client m 21 Installation 2 2 Installation der Client Software Die Software wird unter den Betriebssystemen Windows 98 ME und Windows NT 2000 XP mit geringf gigen Unterschieden auf hnliche Weise installiert Sie k nnen die Software in Form einer ZIP Datei als Download von den Internetseiten unter www funkwerk ec com beziehen Bitte beachten Sie bei der Installation des IPSec Clients unter Windows XP Die Systemeigenschaften des Betriebssystems Windows XP sind bei Neueinrichtung i restriktiv beschaffen Sie sind standardm ig so eingestellt dass bei der Installation von Treiber Software die nicht von Microsoft lizenziert wurde ein MS spezifischer sogenannter Windows Logo Test durchgef h
35. Zugrif fe Die Einstellung bidirektional ist nur sinnvoll wenn Stateful Inspection nicht zur Verf gung steht z B f r das ICMP Protokoll bei einem Ping Die Regel soll f r folgende Netze angewendet werden Beim Neuanlegen einer Regel ist diese zun chst keinem Netz zugeordnet Eine Regel kann erst dann gespeichert werden wenn die gew nschte Zuordnung erfolgt ist und ein Name vorgegeben wurde Unbekannte Netze sind alle Netze IP Netzwerkschnittstellen die weder einem bekannten noch einem VPN Netz zugeordnet werden k nnen Darunter fallen z B Verbindungen ber das DF Netzwerk von Microsoft oder auch direkte und unverschl sselte Verbindungen mit dem integrierten Dialer des Clients wie auch HotSpot WLAN Verbindungen Soll eine Regel f r unbekannte Netze gelten so muss diese Option aktiviert werden Benutzerhandbuch Bintec Secure IPSec Client m 67 Client Monitor Bekannte Netze werden im gleichnamigen Register im Fenster Firewall Einstellungen definiert Solle eine Regel f r bekannte Netze gelten muss diese Option aktiviert werden VPN Netze sind alle L2Sec oder IPSec Verbindungen in aufgebautem Zustand Dar ber hinaus fallen unter diese Gruppe auch alle verschl sselten Direkteinwahlverbindungen ber den integrierten Dialer des Clients Solle eine Regel f r VPN Netze gelten so muss diese Option aktiviert werden Protokoll Je nach Anwendung oder Art der Verbindung ist das entspr
36. Zur bertragung des Session Keys wird der verschl sselte Kontrollkanal der Phase 1 Verhandlung verwendet E Rx und Tx Bytes Rx und Tx Bytes zeigt die Datenmenge an die gesendet out und empfangen in wird Die Gesamtmenge Total und die nach Protokoll unterschiedenen Datenmnegen werden in Bytes angezeigt 1 Byte 1 Zeichen Benutzerhandbuch Bintec Secure IPSec Client mmm 47 Client Monitor 4 1 5 Zertifikate Im Pulldown Men Verbindung finden Sie den Men punkt Zertifikate mit den Men abzweigungen Konfiguration Aussteller Zertifikat anzeigen Eingehendes Zertifikat anzeigen und CA Zertifikate anzeigen Zertificate Certificates werden von einer CA Certification Authority mittels PKI Manager Software ausgestellt und auf eine Smart Card Chipkarte gebrannt Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status ei nes digitalen Personalausweises verleihen E Aussteller Zertifikat anzeigen Wenn Sie sich das Aussteller Zertifikat anzeigen lassen k nnen Sie sehen welche Merkmale zur Erstellung des Zertifikats genutzt wurden z B die eindeutige E Mail Adresse Aussteller CA Benutzer und Aussteller eines Aussteller Zertifikates sind f r gew hnlich identisch selfsigned certificate Der Aus steller des Aussteller Zertifikats muss mit dem Aussteller des Benutzer Zertifikats identisch sein siehe gt Benutzer Zertifikat anzeigen
37. ae een AO 4 1 3 HotSpot Antmeldungt LR E en A 4 1 4 Verbindungs Informationen 2 2 22 2 a nn nn 46 Verbindungszeit lt s oe go aom aos oma e e a ao oe 46 Timeout 22 20 raras a a a A6 Richtung 4 2a gre e rra a 46 Durchsatz e een AO Varbindungsmediumn Be re A ar et A a A Multilink s s e 2 28 a amp a 2 wa a A Kompression s o s s 2 2 2 nen a 8 a ss 47 Verschl ssel ng ow essere 2 an a een A Schl sselaustausch 2 22 nn mn 47 Rx und Tx Bytes 2 2 ree e p oa 5 san ana 47 4 1 5 Zertifikate ee A Aussteller Zertifikat a anzeigen oe o 2 nn 48 Benutzer Zertifikat anzeigen 2 2 2 2 nn nn nn 49 Eingehendes Zertifikat anzeigen 2 2 222m 49 CA Zertifikate anzeigen par ms aca DO Anzeige und Auswertung von Erwetanngen a Eee 0 Anzeige der Erweiterungen Extensions 222 2 91 Auswertung der Erweiterungen Extensions 2 591 4 1 6 PIN eingeben ioe s s 3 zo m eu 5 poa son neh 93 4 1 7 PIN zur cksetzen 2 2 CL nn nn 54 4 1 8 PIN ndern ne DO PIN Arba dh Abmeldung oder Sleep Mode Loa a PIN Status im Client Monitor ee DS 4 1 9 Verbindungssteuerung Statistik 2 2 nn nn nn 56 4 1 10 Sperre aufheben 2 CL m nommen 56 4 1 11 Beenden des Monitors a a 2 2 mn m nn 57 4 2 Konfiguration ee er 8 4 2 1 Profil Einstellineen EN ow a aa 99 Die Eintr ge der Profil Einstellungen Be pa ee en O 4 2 2 Firewall Ein
38. auf dem darunter liegenden Internet Protokoll auf Wurde definidert um auch Anwendungsprozessen die direkte M g lichkeit zu geben Datagramme zu versenden UDP liefert ber die Leistungen von IP hinaus lediglich eine Portnummer und eine Pr fsumme der Daten Durch das Fehlen des Overheads mit Quittungen und Sicherungen ist es besonders schnell und effi zient Benutzerhandbuch Bintec Secure IPSec Client mm m 179 E Abk rzungen und Begriffe UMTS Universal Mobile Telecommunications Service K nftiger Standard f r schnelle Handy Kommuni kation VPN Virtual Private Network Ein VPN kann als virtu elles Netz grunds tzlich ber alle IP Tr gernetze also auch das Internet eingerichtet werden F r die Realisation haben sich zwei Spezifikationen herauskristallisiert L2F Layer 2 Forwarding und L2TP Layer 2 Tunneling Protocol Beide Verfah ren dienen dazu einen Tunnel aufzubauen den man als eine Art virtuelle Standleitung bezeich nen kann ber eine solche logische Verbindung lassen sich neben IP Frames auch IPX SNA und NetBIOS Daten transparent bertragen Am Tun nelende m ssen die Datenpakete interpretiert und zu einem Datenstrom auf der Basis des verwende ten Protokolls umgewandelt werden WAP Wireless Application Protocol Entwicklung von Nokia Ericson und Motorola X 509 v3 Standard Zertifizierung Zertifikate Zertificate Certificates werden von einer CA Certification Authority mit te
39. beinhalten eine Beschreibung vom abgelehnten Daten verkehr und oder zugelassenen Datenverkehr Wurde keine dieser Optionen selek tiert so werden nur Statusinformationen zur Firewall hinterlegt Die Log Dateien werden bei jedem Start der Firewall geschrieben Maximal werden davon so viele im Log Verzeichnis gehalten wie als Anzahl der Tage der Protokollie rung eingegeben wurde Benutzerhandbuch Bintec Secure IPSec Client m 75 Client Monitor 4 2 3 Amtsholung Amtsholung 76 m mm Bintec Secure IPSec Client Eine Amtsholung ist dann n tig wenn der IPSec Client an einer Nebenstellenanlage betrieben wird Damit die definierten Profile des IPSec Clients auch im mobilen Einsatz verwendbar bleiben ohne Rufnummern umkonfigurieren zu m ssen kann sofern an einem Anschluss eine Amtsholung n tig wird diese hier eingetragen werden Die Nummer fiir die Amtsholung wird dann fiir alle Zielrufnummern der Profile automatisch mitgew hlt Benutzerhandbuch Monitor Bedienung 4 2 4 Zertifikate Konfiguration Unter diesem Men punkt wird konfiguriert welche Art von Zertifikaten eingesetzt wer den ob Soft Zertifikate oder Zertifikate auf Chipkarten Smart Cards und wo diese Zertifikate auf dem Rechnersystem zu finden sind Deweiteren wird die Dauer der G l tigkeit eines Zertifikats festgelegt und k nnen die Richtlinien f r die PIN definiert werden Zertifikate Certificates werden von
40. durch Verwendung eines statischen Schl ssels bzw einer RSA Signatur F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo Lor sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem im Richtlinien Editor entfallen Die Richtlinie wird vom Gateway der Gegenstelle vorgegeben und vom Client akzeptiert Pre shared Key Diese vorkonfigurierte Richtlinie kann ohne PKI Unterst tzung ge nutzt werden Beidseitig wird der gleiche Statische Schl ssel verwendet siehe Pre shared Key verwenden Shared Secret im Parameterfeld Identit t RSA Signatur Diese vorkonfigurierte Richtlinie kann nur mit PKI Unterst tzung ein gesetzt werden Als zus tzliche verst rkte Authentisierung ist der Einsatz der RSA Si gnatur nur sinnvoll unter Verwendung einer Smart Card oder eines Soft Zertifikats Benutzerhandbuch Bintec Secure IPSec Client mmm ma 111 Konfigurationsparameter Profil Einstellungen 2 IPSec Richtlinie Die IPSec Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IP Sec Richtlinien aufgef hrt die Sie mit dem Richtlinien Editor angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den sie bei der Konfiguration ver geben haben Funktional unterscheide
41. einer CA Certification Authority mittels PKI Manager Software ausgestellt Sie k nnen als Soft Zertifikat in Dateiform ausgelie fert werden oder auf eine Smart Card Chipkarte gebrannt werden Diese Smart Card enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises verleihen Es k nnen Zertifikate eingesetzt werden die einen priva ten Schl ssel bis zu einer L nge von 2048 Bits haben Als Gegenstelle muss der NCP Secure Server 5 21 oder h her eingesetzt werden Die Client Software berwacht ob eine PKCS 12 Datei vorhanden ist Wird eine PKCS 12 Datei Soft Zertifikat eingesetzt z B auf einem USB Stick oder einer SD Karte gespeichert so wird nach dem Ziehen der SD Karte die PIN zur ckgesetzt und eine bestehende Verbindung abgebaut Dieser Vorgang entspricht dem Verbindungs abbau bei gezogener Chipkarte der bei Verwendung einer Chipkarte im Monitormen unter Konfiguration Benutzer Zertifikat eingestellt werden kann Wird sp ter die SD Karte wieder gesteckt kann nach der erneuten PIN Eingabe die Verbindung wieder hergestellt werden In der Zertifikats Konfiguration k nnen f r die Pfad Angaben die Umgebungsva riablen Benutzer des Betriebssystems eingesetzt werden Die Variablen werden beim Schie en des Dialogs und beim Einlesen des Telefonbuches umgewandelt und in die Konfiguration zur ck geschrieben Existiert eine Umgebungsvariable nicht wird sie aus dem
42. eingehende Verbindungen gew hlt sein Entsprechend dem ID Typ muss die zugeh rige ID als String eingetragen werden Pre shared Key verwenden Der Pre shared Key ist ein String beliebiger Zeichen in einer maximalen L nge von 255 Zeichen Alle alphanumerischen Zeichen k nnen verwendet werden Wenn die Ge genstelle einen pre shared Key w hrend der IKE Verhandlung erwartet dann muss die ser Schl ssel in das Feld Shared Secret eingetragen werden Best tigen Sie das Shared Secret im darunter liegenden Feld Der gleiche pre shared Key muss auf beiden Seiten verwendet werden Extended Authentication XAUTH verwenden Wird IPSec Tunneling genutzt so kann die Authentisierung ber Extended Authenti cation XAUTH Protokoll Draft 6 erfolgen Wird XAUTH eingesetzt und vom Gate way unters tzt so aktivieren Sie Benutze erweiterte Authentisierung XAUTH Zu s tzlich zum pre shared Key k nnen dann noch folgende Parameter gesetzt werden Benutzername Benutzername des IPSec Benutzers Passwort Kennwort des IPSec Benutzers mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzername Identit t Den Benutzernamen fiir XAUTH erhalten Sie von Ihrem Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen Passwort Identit t Das Passwort f r XAUTH erhalten Sie von Ihre
43. geh ren Datenpakete die sich keiner etablierten Verbindung zuordnen lassen werden verworfen und im Log File protokolliert Neue Verbindungen lassen sich nur entsprechend der konfigurierten Re geln ffnen In der einfachsten Firewall Funktion werden nur die ein und ausgehenden Verbindun gen im Hinblick auf das Protokoll TCP IP UDP IP ICMP IPX SPX die entspre chenden Ports und die beteiligten Rechner berpr ft und berwacht Verbindungen werden in Abh ngigkeit eines festgelegten Regelwerkes erlaubt oder gesperrt Weitere Pr fungen z B Inhalt der bertragenen Daten finden nicht statt Die Stateful Inspection Filter sind eine Weiterentwicklung der dynamischen Packet Filter und bieten eine komplexere Logik Die Firewall pr ft ob eine am Portfilter er laubte Verbindung auch zu dem definierten Zweck aufgebaut wird Es werden folgende zus tzliche Informationen zu einer Verbindung verwaltet Nr zur Identifizierung einer Verbindung Zustand der Verbindung z B Aufbau Daten bertragung Abbau Quell Adresse des ersten Pakets Ziel Adresse des ersten Pakets Interface durch welches das erste Paket kam Interface durch welches das erste Paket verschickt wurde Anhand dieser Informationen kann der Filter entscheiden welche nachfolgenden Pake te zu welcher Verbindung geh ren So kann ein Stateful Inspection System auch das UDP Problem ausschalten Hintergrund ist die verh ltnism ig leichte F lsc
44. kBytes oder die Gr e der Zeitspanne kann eigens eingestellt wer den foco 08 00 00 112 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Richtlinien Editor Zur Konfiguration der IPSec Konfiguration Richtlinien und gegebenenfalls einer statischen Secure Policy Database wird dieser Men punkt angeklickt Damit ffnet sich ein Konfigurationsfenster mit der Verzweigung der Richtlinien und Secure Policy Database zu IPSec sowie Buttons zur Bedienung auf der rechten Seite des Konfigurationsfensters 2 1 IKE Richtlinie YT Pre Shared Key NASA Signatur 3 7 IPSec Richtlinie Y ESP 3DES MD5 Um die Standard Werte der Richtlinien zu editieren w hlen Sie mit der Maus die Richtlinie deren Werte Sie ndern m chten die Buttons zur Bedienung werden dann aktiv Konfigurieren Um eine Richtlinie oder eine SPD abzu ndern w hlen Sie mit der Maus den Namen der Gruppe deren Werte Sie ndern m chten und klicken auf Konfigurieren Dann ffnet sich das entsprechende Parameterfeld mit den IPSec Parametern Neuer Eintrag Wenn Sie eine neue Richtlinie oder SPD anlegen m chten selektieren Sie eine der Richtlinien oder die SPD und klicken auf Neuer Eintrag Die neue Richtlinie oder SPD wird erzeugt Alle Parameter sind auf Standardwerte gesetzt bis auf den Namen Kopieren Um die Parameter Einstellungen eines bereits definierten Richtlinie oder SPD zu ko pieren markier
45. r die ber diese Regel definierten Datenpakete findet bei Aktivierung dieser Funktion kein automatischer Verbindungsaufbau statt f r andere Datenpakete schon 68 u m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Firewall Regel Lokal Firewall Regel Auf dieser Registerkarte werden die az Filter f r die lokalen IP Adressen und IP Ports eingestellt Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der Firewall nach au en durchge lassen deren Quelladresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Von den eingehenden Datenpaketen werden diejenigen durchgelassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Ebenso verh lt es sich bei gesperrter Grundeinstellung mit den IP Ports Diejenigen Daten pakete werden nach au en gelas sen deren Quell Port Source Port unter die Definition der lokalen Ports f llt Von den eingehenden Datenpaketen werden die durchgelassen deren Ziel Port Destination Port unter die Definition der lokalen Ports f llt Alle IP Adressen umfasst alle Quell IP Adressen abgehender bzw Ziel IP Adressen eingehender Pake te unabh ngig vom lokalen Netzwerkadapter Eindeutige IP Adresse ist die f r den lokalen Netzwerkadapter definierte IP Adresse Sie kann je nach Ver bindung z B der Adresse der Ethern
46. 154 Unterst tzte sym Verschl sselungsalgorithmen Phase 1 2 154 Unterst tzte asym Verschl sselungsalgorithmen Phase 1 2 154 Unterst tzte Hash Algorithmen 155 Zus tzliche Unterst tzung f r Phase 2 155 Standard IKE Vorschl ge nn 156 7 2 5 Zur weiteren Konfiguration s a 158 Basiskonfigurationen in Abk ngiekeiew vom IPSec Gawa sa 158 Gateway unterst tzt nicht XAUTH 158 Gateway unterst tzt IKE Config Mode 158 Gateway unterst tzt IKE Config Mode nicht 159 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr 160 7 3 Zertifikats berpr fungen 22 222 222 161 7 3 1 Auswahl der CA Zertifikate pise le es 161 7 3 2 berpr fung der Zertifikats tene a a a a Ol extendedKeyUsage a re 62 subjectKeyldentifier authorityKeyldenitier Gr 102 7 3 3 berpr fung von Sperrlisten ge ei 162 7 4 Stateful Inspection Technologie f r die Firewall Einstellungen pa 169 Abk rzungen und Begriffe 2 2 2 Er Er En o 167 Index u 3 en ee ee te a a a a 181 10 m m Bintec Secure IPSec Client Benutzerhandbuch SO 1 Produkt bersicht Dieses Handbuch beschreibt Installation Konfiguration Leistungsumfang und Benut zeroberfl che des Bintec Secure IPSec Client und seiner Komponenten Die Bintec IPSec Client Software arbeitet nach dem Prinzip einer LAN Emulation f r Ethernet und
47. 2 137 Benutzername XAUTH 120 121 138 Betriebssystem bei u 2 2a a E 18 19 21 Blowfish 5 23 0242 a e a D A 47 115 117 Bluetootha s s ned da ee de a 18 c CA Certification Authority a i a 48 CA Zertifik t zu wu a da e en 50 Certification Authority sacre 22 oo oo o 168 Chipkarten ua ua an poera a ie dept y ee ee 20 Chipkartenleser sa os poipoia wa a ee 19 78 Client L gon au sun ae a nei 136 COMPOT i a i u 2 3 ans nen e aa a ae E 105 Com Port freigeben s 2 24 Sur E us ar 2 anno 105 D D tendurchs tz isis u 028 2 0 e a 46 Default Gateway enie anos nen a ansehe 24 31 Demilitarisierte Zone 170 DF Dialer escote crror agtt e taya 100 132 DH Gruppe IKE Richtlinie 115 DHCP cae am 0 wa is ea Keane 27 31 DHCP Dynamic Host Control Protocol 27 31 Dial Prefix sa i u a Sa aaa and 106 Benutzerhandbuch Bintec Secure IPSec Client mm m 181 Diffie Hellman s sea ea o wire a machen 154 Dir ctory Servi is sorriu na nn A 169 DNS paeta labra aa A a a aan 170 DNS AdreEsse u 204 Kanaren ehe e 27 DNS Server 0 Zara are 123 Dom in Name srera Ss ah are nn han 123 Dom nen Anmeldung oo oo 136 DPD Dead Peer Detection 118 123 158 dynamische Linkzuschaltung 14 109 E EARMPBS aiy aus u Wine ad Ea ee ra 84 B AP Op nen s ul ceda ya Vela nen 84 Encapsulating Security Payload
48. Bintec Secure IPSec Client Version 1 1 April 2005 Benutzerhandbuch Bintec Secure IPSec Client m 1 _ NN Copyright Alle Rechte sind vorbehalten Kein Teil dieses Hand buches darf ohne schriftliche Genehmigung der Firma Funkwerk Enterprise Communications GmbH in ir gendeiner Form reproduziert oder weiterverwendet werden Auch eine Bearbeitung insbesondere eine bersetzung der Dokumentation ist ohne Genehmi gung der Firma Funkwerk Enterprise Communications GmbH nicht gestattet Marken Funkwerk Enterprise Communications Bintec und das Bintec Logo sind eingetragene Warenzeichen Er w hnte Firmen und Produktnamen sind in der Regel eingetragene Warenzeichen der entsprechenden Her steller Gesamtherstellung dieses Handbuchs Michael L sel Dokumentation Publikation ml service t online de Pirckheimerstra e 47 90408 N rnberg 2 2 m Bintec Secure IPSec Client Benutzerhandbuch IN Mi bintec funkwerk Wie Sie Funkwerk Enterprise Communications erreichen Funkwerk Enterprise Communications GmbH S dwestpark 94 D 90449 N rnberg Germany Telephone 49 180 300 9191 0 Fax 49 180 300 9193 0 Internet www funkwerk ec com Benutzerhandbuch Bintec Secure IPSec Client mm 3 _ WE Haftung Alle Programme und das Handbuch wurden mit gr ter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit berpr ft Alle Haftungsanspr che in folge direkter oder indirekter Fehler oder Zers
49. ES3 MD5 XAUTH_PSK DH2 SECONDS 28800 0 DES3 SHA PSK DH2 SECONDS 28800 0 DES3 MD5 PSK DH2 SECONDS 28800 0 Als Vorschl ge f r die IPSec Richtlinie Phase 2 wird standardm ig versendet Notation PROTO Protocol Protokoll TRANS Transform Transformation ESP LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge COMP IP Compression Transformation Comp PROTO TRANS AUTH LT LS KL COMP LZS ESP AES MD5 SECONDS 28800 128 Yes Yes ESP AES SHA SECONDS 28800 128 Yes Yes ESP AES MD5 SECONDS 28800 128 No No ESP AES SHA SECONDS 28800 128 No No ESP AES MD5 SECONDS 28800 192 Yes Yes ESP AES SHA SECONDS 28800 192 Yes Yes ESP AES MD5 SECONDS 28800 192 No No ESP AES SHA SECONDS 28800 192 No No ESP AES MD5 SECONDS 28800 256 Yes Yes ESP AES SHA SECONDS 28800 256 Yes Yes ESP AES MD5 SECONDS 28800 256 No No ESP AES SHA SECONDS 28800 256 No No ESP DES3 MD5 SECONDS 28800 0 Yes Yes ESP DES3 MD5 SECONDS 28800 0 No No Benutzerhandbuch Bintec Secure IPSec Client m 157 Beispiele und Erkl rungen 7 2 5 Zur weiteren Konfiguration Pre shared Key oder RSA Signatur Entsprechend den Vorgaben durch die Gegenstelle kann als IKE Richtlinie die automatisch vorgenommene Einstellung Automatischer Modus auf Pre shared Key oder RSA Signatur Zertifikat abge ndert werden Er wartet die Gegenstelle Pre shared Key so muss der Schliissel in das Feld eingetra gen werde
50. Gateway unterst tzt nicht XAUTH Der IPSec Client als Initiator der IPSec Verbindung schl gt standardm ig immer die Extended Authentication vor Diese Eigenschaft kann nicht konfiguriert werden Unter st tzt das Gateway die Extended Authentication nicht so wird sie auch nicht durchge f hrt Gateway unterst tzt IKE Config Mode Sofern das Gateway den IKE Config Mode unterst tzt kann im Parameterfeld IP Adressen Zuweisung die Funktion IKE Config Mode verwenden aktiviert werden 158 2m 2m Bintec Secure IPSec Client Benutzerhandbuch Gateway unterst tzt IKE Config Mode nicht Unterst tzt das Gateway den IKE Config Mode nicht so sind zwei Konfigurationen m glich 1 Wird die Funktion IP Adresse manuell vergeben siehe gt Profil Einstellungen IP Adressen Zuweisung aktiviert so muss die IP Adresse eingetragen werden die vom Gateway bzw Administrator f r diesen Client bzw Benutzer vorgegeben wurde 2 Wird Lokale IP Adresse verwenden siehe gt Profil Einstellungen IP Adressen Zu weisung aktiviert so wird die IP Adresse gleich der ffentlichen IP Adresse gesetzt die der Client pro Internet Session vom Provider erh lt oder unter der Verbindungsart LAN die Adresse die der LAN Adapter besitzt Wird die lokale IP Adresse verwendet und der Typ im Parameterfeld Identit t steht auf IP Adresse dann darf im Feld f r die ID keine IP Adresse eingetragen sein Nur dan
51. IPSec Client m 11 Produkt bersicht 1 2 Bintec Secure IPSec Client universelle L sung f r sichere VPN L sungen Der Bintec Secure IPSec Client kann in beliebigen VPN Umgebungen eingesetzt wer den Er kommuniziert auf der Basis des IPSec Standards mit den Gateways verschie denster Hersteller und ist die Alternative zu der am Markt angebotenen einheitlichen IPSec Client Technologie Die Client Software emuliert einen Ethernet LAN Adapter Der IPSec Client verf gt ber zus tzliche Leistungsmerkmale die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN L sung erm glichen Der IPSec Client bietet M Unterst tzung aller g ngigen Betriebssysteme M Einwahl ber alle bertragungsnetze M Kompatibilit t mit den VPN Gateways unterschiedlichster Hersteller M Integrierte Personal Firewall f r mehr Sicherheit M Dialer Schutz keine Bedrohung durch 0190er und 0900er Dialer M H here Geschwindigkeit im ISDN Kanalb ndelung M Geb hrenersparnis Kosten und Verbindungskontrolle M Bedienungskomfort grafische Oberfl che 12 a m mm Bintec Secure IPSec Client Benutzerhandbuch Leistungsumfang 1 3 Leistungsumfang Der IPSec Client unterst tzt alle g ngigen Betriebssysteme Windows 98se ME NT 2000 und Windows XP Die Einwahl in das Firmennetz erfolgt unabh ngig vom Me diatyp d h neben ISDN PSTN analoges Fernsprechnetz GSM GPRS und xDSL wird auch LAN Technik wie im WLAN am Firmeng
52. KE Config MOdS e 0 tito aero y ee iia 158 TRE MoOd vi e di re 152 IKE MOdus e sy Sae works a were ras daa aa AA 152 IKE Richtlinie 111 114 150 152 Infrarot Schnittstelle s o sr 18 182 2 m Bintec Secure IPSec Client Benutzerhandbuch I A Internet Key Exchange 147 152 IP Network Address Translation 172 IP Adresse manuell vergeben 2 2 2 123 159 IP Adressen Zuweisung 2 o nme 122 IP Netzmaske 2 22222222 nenn 144 145 146 IPCOMP LZS ccc 0 era 155 IPSec op ti 3 0 83 5 an nen ae 147 IPSec Einstellungen o ooo o 110 IPSec Kompression sa pira ara e ps 47 IPSec Maschine 147 IPSec Richilinie o lt a s a apanr un Ca a sn ans 112 150 IPSec Richtlinienagent a seos econo nenene 160 IPSec Tunneling s core g uya 00 24 0 ea a 120 123 ISDNV ua 28 as A a 99 109 ISDN Ad pter els aca ar ads e aha 18 K Kommunikation im Tunnel 132 Konfigurations Sperten sasas o onen 86 Kontrollkanal 28 2 a 151 L LAN over IP u p arena 99 LAN Emulati n sa 000 0 0 4 000 de os 11 LAN TPS lt Adress v 2 22 0 ee a ds a 143 LAN Adapter suce Back auche od de and 19 LAN Adapter sch tzen o o ooo 163 Layer 3 Tunneling lt lt oo 147 Line Management ce ic 0 e cet ed 107 Link Firewall 2 4 sus lt lt HH RR 8 62 131 LADO vu 28 are 25 36 EIZEnzierung
53. Komponenten zu nutzen In Site to Site VPNs etwa k nnten die VPN Gateways von veschiedenen Herstellern stammen in End to Site VPNs k nnten die Clients von einem anderen Hersteller als die Gateways sein Der Verbindungsaufbau zum IPSec Verkehr erfolgt auf Basis des Internet Key Ex change Protokolls IKE IPSec allgemeine Funktionsbeschreibung In jedem IP Host Client oder Gateway der IPSec unterst zt gibt es ein IPSec Modul bzw eine IPSec Maschine Dieses Modul untersucht jedes IP Paket nach bestimmten Eigenschaften um die jeweils entsprechende Security Behandlung darauf anzuwenden Die Pr fung der vom IP Stack ausgehenden IP Pakete erfolgt bez glich einer Secure Policy Database SPD Dabei werden alle konfigurierten SPDs abgearbeitet Bei Ein satz des IPSec Clients werden die SPDs nur zentralseitig am Gateway gehalten Die SPD besteht aus mehreren Eintr gen SPD Entries die wiederum einen Filterteil beinhalten Der Filterteil siehe gt Erweiterte Firewall Einstellungen oder Selektor ei nes SPD Eintrags besteht haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des SPD Eintrags bereinstimmen wird aus den SPD Eintr gen wei ter ermittelt wie mit diesem IP Paket zu verfahren ist Das Paket kann einfach durch gelassen werden permit es kann abgelehnt bzw weggeworfen werden deny oder bestimmte Security Richtlini
54. Men punkt der zugeh rige Haken mit einem Mausklick entfernt so kann der Benutzer diesen Men punkt nicht mehr ffnen Benutzerhandbuch Monitor Bedienung i Profile Konfigurations Sperren Die Bearbeitungsrechte f r die Parameter in den Profil Einstellungen sind in zwei Sparten unterteilt Allgemeine Rechte Sichtbare Parameterfelder der Profile Konfigurations Sperren 4 2 9 Profile importieren Allgemeine Rechte Die allgemeinen Rechte beziehen sich nur auf die Konfiguration der Profile Wird festgelegt Profile d rfen neu angelegt werden Profile d rfen konfiguriert werden bleibt jedoch ausgeschlossen so k nnen zwar mit dem Assistenten neue Profile definiert werden eine nachfolgende nderung einzelner Parameter ist dann jedoch nicht mehr m glich Sichtbare Parameterfelder der Profile Die Parameterfelder der Profil Einstellungen k nnen f r den Benutzer ausgeblendet werden Beachten Sie dass Parameter eines nicht sichtbaren Feldes auch nicht konfiguriert werden k nnen ber diese Funktion k nnen Profil Einstellungen vom Client eingelesen werden Diese Profil Einstellungen k nnen in Form einer INI Datei vom Zielsystem erstellt oder ma nuell editiert werden Im Installationsverzeichnis befinden sich dazu die Beispieldatei en IMPORT_D TXT und IMPORT_E TXT In den Beispieldateien sind auch Syntax und Parameterwerte beschrieben Benutzerhandbuch Bintec Secure IPS
55. N a A ae 46 108 139 TOKEN misa aa rad 21 Token PROSHLD eo espa aaa de 21 Transformation Comp o ss es eos isece e 117 Transformation IPSec Richtlinie 2 2 2 2 117 Transportmodus ess ceras c aaa ans 148 Treiber Bintec Secure Client o s iess 222202 28 Treibersisnatuf 2 2 a e were E a ae 22 renden 4 sh 304 E s 139 TapE DES 3 4 3 u 4 0 Kaas dia do e 47 115 117 Tunnelmod s 2 4 a e a e a A A 148 DAR medido o li si wech ie de o de ee Ae 109 Typ Identit t oir diras rr 120 UDP Port 500 2 2224 a to ae 160 UMTS u 0000 ios a ehe 18 100 106 VO ae ir ech 18 Verbinden sse as ra we nase ae 133 Verbindungs Informationen 2 22222 46 Verbindungsabbau bei gezogener Chipkarte 81 Verbindungsabruch x Soesan ra e aya a pa E 139 Verbindungsaufbau gt o cea eicd ea pea 108 133 VerbindungsmediUM s e sec rea e e n a pArA a 47 99 Verbindungssteuerung s xo eade g e nenn 83 Verbindungstyp ica E E ie me 99 Verbindungszeit ess pisar 20 ea ah 46 Verschl sselung IIKE Richtlinie 115 Virtual Private Network 2 2 22 222 nennen 180 Vollversion as ar 2 Baer ea 25 36 wechselnder Verbindungsaufbau 2 2 2 133 Windows Logon o o e e 32 85 136 Bintec Secure IPSec Client m 185 WINS Setver dica ar a wand 123 wireless LAN ai aiiiar a e a A Aa 19 WELAN Ad pter u acena enana ae aia 19 X RDO ic e are e E A 19 AUTH e ai a a
56. Pfad beim Umwandeln entfernt und ein Log Eintrag ins Logbuch geschrieben Fehlt ein Zeichen Syntax bleibt die Variable stehen und es wird ebenfalls ein Log Eintrag geschrieben Benutzerhandbuch Bintec Secure IPSec Client mmm 77 Client Monitor m Benutzer Zertifikat Konfiguration Zertifikate Zertifikat Klicken Sie auf die Men abzweigung Konfiguration Zertifikate so k nnen Sie zu n chst bestimmen ob Sie die Zertifikate und damit die Erweiterte Authentisierung nutzen wollen und wo Sie die Benutzer Zertifikate hinterlegen wollen In weiteren Konfigurationsfeldern werden die Richtlinien zur PIN Eingabe festgelegt und das Zeitintervall eingestellt innerhalb dessen das Zertifikat abl uft bzw eine Zerti fikatsverl ngerung beantragt werden muss ohne W hlen Sie in der Listbox Zertifikat die Einstellung ohne so wird kein Zertifikat ausgewertet und die Erwei terte Authentisierung findet nicht statt aus Chipkartenleser W hlen Sie aus Chipkartenleser in der Listbox so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in ihrem Chipkartenleser ausgele sen aus PKCS 12 Datei W hlen Sie aus PKCS 12 Datei aus der Listbox so wer den bei der Erweiterten Authentisierung die relevanten Zertifikate aus einer Datei auf der Festpplatte Ihres Rech ners gelesen PKCS 11 Modul W hlen Sie PKCS 11 Modul in der List
57. Sec Client Verwaltet den Verwaltet Obje Bietet Sicherh Verwaltet Ger Manuell Manuell Manuell Automatisch LocalSystem LocalSystem LocalSystem Benutzerhandbuch Zertifikats berpr fungen 7 3 7 3 1 7 3 2 Zertifikats berpr fungen Neben der Zertifikats berpr fung nach Inhalten erfolgt am IPSec Client eine weitere Zertifikatspr fung in mehrfacher Hinsicht Auswahl der CA Zertifikate Der Administrator des Firmennetzes legt fest welchen Ausstellern von Zertifikaten vertraut werden kann Dies geschieht dadurch dass er die CA Zertifikate seiner Wahl in das Windows Verzeichnis ncple cacerts gespielt Das Einspielen kann bei einer Software Distribution mit Disketten automatisiert stattfinden wenn sich die Ausstel ler Zertifikate bei der Installation der Software im Root Verzeichnis der ersten Disket te befinden siehe gt CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zerti fikate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der IPSec Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CA CERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbin dung nicht zus
58. Verwaltung Sa DNS Client Wertet DNS N Gestartet Automatisch LocalSystem ge ffnet werden Dort 6 Druckwarteschlange L dt die Datei Gestartet Automatisch LocalSystem v i 2 E Sy Ereignisprotokoll Protokolliert v Gestartet Automatisch LocalSystem wird der IPSEC Richtli Es Fardienst Unterst tzt Sie Manuell LocalSystem 5 Gemeinsame Nutzung Bietet allen Co Manuell LocalSystem n enagent markiert der a Gesch tzter Speicher Bietet gesch t Gestartet Automatisch LocalSystem E e Hilfsprogramm Manager Startet und ko Manuell LocalSystem Dienst gestoppt und der y Indexdienst Indiziert Datei Manuell LocalSystem s er ES EN Intelligenter Hintergrun bert Manuell liocs yatei utostarttyp au a nuell gestellt Bild y Li tungedatenprotoko Konfiguriert Manuell LocalSystem Sa Nachrichtendienst Sendet unde Gestartet Automatisch LocalSystem rechts a noprwsnt Provides NCP Gestartet Automatisch LocalSystem Ede Gestartet Automatisch LocalSystem en NetMeeting Remotede Erm glicht aut Manuell LocalSystem 3 Wurde die Anderung des Sa Netzwerk DDE Dienst Netzwerktrans Manuell LocalSystem 160 Autostarttyps durchge fiihrt so kann das Kom mando netstat a erneut ausgef hrt wer den Der UDP Port 500 darf dann unter den akti ven Verbindungen nicht mehr aufgef hrt sein n lg Netzwerk DDE Server e Netzwerkverbindungen amp NT LM Sicherheitsdienst 2m m Bintec Secure IP
59. a 120 158 XDSL AVM PPP over CAPD 100 XDSL PPPOE ota o le a ca 19 100 xDSL Modem sa 4 4 a es 19 Z Zertifikats Erweiterungen Extensions 50 Zertifikats Konfiguration oaoa 78 Zertifikats berpr fung 2 22 2222 22 2 126 Zertifikats berpr fungen 2 2 22 22 222 161 Zertifikatsverl ngerung oo o o 82 Zuganpsd ten o 2 e in a pa a a E A 121 186 2m m Bintec Secure IPSec Client Benutzerhandbuch
60. altiger Schutz vor Man In The Middle Attacken nur durch den Einsatz von Smart Cards mit Zertifikaten erreicht werden kann Smart Card Smart Cards sind die ideale Erg nzung f r hochsichere Remote Access L sungen Sie bieten doppelte Sicherheit beim Login Vorgang n mlich Wissen ber PIN Pers nli che Identifikations Nummer und Besitz der Smart Card Der Anwender identifiziert sich mit der Eingabe der PIN eindeutig als rechtm iger Besitzer Strong Authenticati on Die PIN ersetzt das Passwort und die Eingabe der User ID Basistechnologie f r Single Sign On Der Anwender weist sich nur noch gegen ber der Smart Card aus Der Check gegen ber dem Netz erfolgt zwischen Smart Card und Security System Alle sicherheitsrelevanten Operationen laufen vollst ndig im Inneren der Karte also au erhalb des PCs ab Das System ist neben individuellen Anpassungen an Schutzme chanismen offen f r multifunktionalen Einsatz z B als Company Card Auch biome trische Verfahren lassen sich integrieren Benutzerhandbuch Bintec Secure IPSec Client mmm Produkt bersicht 16 m mm Bintec Secure IPSec Client Benutzerhandbuch IIA TA 2 Installation Die Installation der Secure Software f r Windows Systeme erfolgt komfortabel ber Setup Der Installationsablauf ist f r alle Versionen des Secure Clients identisch Im folgenden ist die Installation f r Windows 98 ME und Windows NT 2000 XP be schrieben Bevor Sie die Software instal
61. arnt Sobald die eingestellte Zeitspanne vor Ablauf in Kraft tritt wird bei jeder Zertifikats verwendung eine Meldung aufgeblendet die auf das Ablaufdatum des Zertifikats hinweist a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung k 4 2 5 Verbindungssteuerung Die Verbindungssteuerung Einstellungen bewirken eine automatische berwachung So k nnen Sie w hlen welche der Limits Sie sich f r Ihre Kommunikation setzen berwachen des Zeitlimits der maximalen Verbindungsaufbauten und oder der maximalen Geb hreneinheiten f r welchen Zeitraum diese Limits g ltig sein sollen Zeitraum der berwachung und wie Sie von Limit berschreitungen in Kenntnis gesetzt werden m chten Meldung und Vorwarnung oder ob ein automatischer Verbindungsabbau stattfinden soll Verbindungssteuerung Wenn ein von Ihnen definiertes Limit berschritten wurde wird jede weitere Kommunikation unterbunden bis Sie die Sperre wieder aufgehoben haben siehe Sperre aufheben Benutzerhandbuch Bintec Secure IPSec Client m 83 Client Monitor 4 2 6 EAP Optionen Der Einsatz des Extensible Authentication Protocols Message Digest5 EAP MP5 kann ber das Hauptmen des Monitors unter Konfiguration EAP Optionen eingestellt werden Dieses Protokoll kann dann zum Einsatz kommen wenn f r den Zugang zum LAN ein Switch oder f r das wireless LAN ein Access Point
62. as Passwort nach der ersten Eingabe und dem ersten Verbin dungsaufbau selbst ndig bernommen auch wenn die Funktion Passwort speichern siehe gt Netzeinwahl nicht aktiviert wurde Erst ein Boot Vorgang l scht das einmal eingegebene Passwort Beachten Sie dazu auch gt Logon Optionen Soll das Passwort mit dem Booten nicht gel scht werden so muss die Funktion Pass wort speichern aktiviert werden siehe gt Netzeinwahl Bitte beachten Sie dabei dass im Falle gespeicherter Passw rter jedermann mit Ihrer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt Passwort f r NAS Einwahl ET Wird das Passwort f r die NAS Einwahl nicht L gement Q eingegeben oder nicht en A gespeichert so wird es N uno GER bei einem Verbindungs it teren lt aufbau in einem eigenen Dialog abgefragt Der Benutzername f r EEE die Netzeinwahl muss m AA immer in der Konfigu ration f r das Ziel eingegeben werden Ohne ihn kann keine Einwahl an den NAS erfolgen Siehe gt Profil Einstellungen Netzeinwahl NAS Passwort Benutzerhandbuch Bintec Secure IPSec Client mm m 137 g Verbindungsaufbau Benutzername und Passwort f r Extended Authentication Profil Einstellungen Zentrale il Wird Extended MN dereishrgen If HO Authentication 2 eingesetzt so m ssen A SE amp 2 Benutzername und VEN ro a Passwort in der Primer Jure pin Konfiguration des Pofils En eingegeben werden
63. bau im Parameterfeld Line Management Automatischer Verbindungsaufbau Im Unterschied zu Microsoft RAS bei dem jedes Ziel manuell angew hlt werden muss arbeitet die Client Software nach dem Prinzip der LAN Emulation Dabei ist es lediglich erforderlich die entsprechende Applikations Software zu starten Email In ternet Browser Terminal Emulation etc Die Verbindung wird dann entsprechend den Parametern des Zielsystems automatisch aufgebaut und gehalten Manueller Verbindungsaufbau Daneben ist es auch m glich manuell die Verbindung zu einem ausgew hlten Ziel her zustellen indem Sie im Monitor Verbindung anklicken und Verbinden w hlen Wechselnder Verbindungsaufbau Wird dieser Modus gew hlt muss zun chst die Verbindung manuell aufgebaut wer den Danach wechselt der Modus je nach Verbindungsabbau wie folgt Wird die Verbindung mit Timeout beendet so wird die Verbindung bei der n chsten Anforderung automatisch hergestellt wird die Verbindung manuell abgebaut muss sie auch wieder manuell aufgebaut werden Verbinden Gleich wie die Verbindung aufgebaut wird der Monitor sofern er im Vordergrund sicht bar ist zeigt immer den Status des Verbindungsaufbaus wie in folgendem Beispiel an Benutzerhandbuch Bintec Secure IPSec Client m 133 6 Verbindungsaufbau Bintec Secure IPSec Client Al E Verbindung Konfiguration Log Fenster Hilfe Zentrale p
64. baut werden Timeout aktivieren um den Verbindungsabbau zu automatisieren Andernfalls k nnten Wichtig Sollten Sie den Verbindungsaufbau auf manuell setzen so sollten Sie den unn tige Verbindungskosten f r Sie entstehen Timeout Mit diesem Parameter wird der Zeitraum festgelegt der nach der letzten Datenbewe gung Empfang oder Versenden verstreichen muss bevor automatisch ein Verbin dungsabbau erfolgt Der Wert wird in Sekunden zwischen 0 und 65535 angegeben Der Standardwert ist 100 Wenn Ihr Anschluss ISDN oder analog einen Geb hrenimpuls erh lt verwendet die Client Software das Impulsintervall um den optimalen Zeitpunkt des Verbindungsab baus bez glich dem von Ihnen gesetzten Wert zu ermitteln Der nach Geb hrentakt op timierte Timeout l uft im Hintergrund und hilft die Verbindungskosten zu reduzieren l Hinweis Um den Timeout zu aktivieren ist es n tig einen Wert zwischen 1 und Lor 65356 einzutragen Mit dem Wert 0 wird der automatische Timeout Verbindungsab bau nicht ausgef hrt Der Wert 0 bedeutet dass das Trennen der Verbindung manu ell durchgef hrt werden muss Ziehen Sie bei diesem Parameter bitte Ihren Internet Provider oder Ihren Systemadministrator zu Rate Wichtig Der Timer f r das gew hlte Zeitintervall l uft erst dann an wenn keine Da tenbewegung oder Handshaking mehr auf der Leitung stattfindet 108 mm Bintec Secure IPSec Client Benutzerhandbuch Profil E
65. befindlich im Windows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit ei nem ASCH Editor indem Sie als Modulname den Namen des angeschlossenen Chip kartenlesers xyz eintragen und als DLLWIN95 bzw DLLWINNT den Namen des in stallierten Treibers eintragen Der Standardname f r CT API konforme Treiber ist CT32 DLL Wichtig Nur die Treiber sind in der Liste sichtbar die mit visible 1 auf sichtbar gesetzt wurden Modulname SCM Swapsmart CT API gt XyZ DLLWIN95 sem20098 dll gt ct32 dll DLLWINNT sem200nt dll gt ct32 dll M Nach einem Boot Vorgang erscheint der von Ihnen eingetragene Modulname im Mo nitor Men unter Konfiguration Zertifikate gt Chipkartenleser Selektieren Sie nun diesen Chipkartenleser E Chipkarten Folgende Chipkarten werden unterst tzt O Signtrust O NetKey 2000 LI TC Trust CardOS M4 20 Bintec Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen E Soft Zertifikate PKCS 12 Statt einer Smart Card k nnen auch Soft Zertifikate genutzt werden n Chipkarten oder Token PKCS 11 Mit der Software fiir die Smart Card oder den Token werden Treiber in Form einer PKCS 11 Bibliothek DLL mitgeliefert Diese Treiber Software muss zun chst instal liert werden Anschlie end muss die Datei NCPPKI CONF editiert werden M Editieren Sie die Datei NCPPKI CONF befindlich im Windows System Verzeichnis unter
66. ber ein generelles Problem in Verbindung mit den von Funkwerk Enterprise Communications implemen tierten Mechanismen besteht Benutzerhandbuch Bintec Secure IPSec Client mmm 45 Client Monitor 4 1 4 Verbindungs Informationen Wenn Sie den Men punkt Verbindungs Informationen anklicken werden statistische Werte gezeigt Dar ber hinaus aber auch welche Security Schl ssel SSL mit Zertifi kat Blowfish verwendet werden und welche IP Adressen ber PPP Verhandlung zwischen Client und Server ausgetauscht werden Der Monitor mit den Verbindungs Informationen hat keinerlei Einfluss auf die Funktionen der Client Software dass der Men punkt nicht aktiviert werden kann Die Verbindungs Informationen k nnen vom Administrator ausgeblendet werden so AEREA Sind die Verbindungs Informationen ausgeblendet so k nnen die wichtigsten Daten aus den Feldern der Daten bertragung derStatistik und der Sicherheit auch aus dem Statistik Fenster des Clients abgelesen werden siehe gt 3 2 5 Fenster Statistik anzeigen Va E Verbindungszeit Als Verbindungszeit wird die gesamte Zeit angezeigt w hrend der Sie an ein bestimm tes Gateway angew hlt sind unabhangig von irgendwelchen Timeouts Der Wert f r die Verbindungszeit wird nur dann auf null 0 gesetzt wenn Sie eine Verbindung zu einem anderen Gateway herstellen oder den PC erneut booten E Timeout Der Monitor zeigt die Zeit an die bi
67. bgelesen werden und gegebenenfalls die Sperre der Verbindungssteuerung gel st wer den wenn ein von Ihnen gesetztes Limit berschritten wurde 44 mm m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i 4 1 1 4 1 2 Verbinden Eine Verbindung wird aufgebaut Eine Verbindung kann nur aufgebaut werden wenn ein Profil aus der Liste der Profil Einstellungen selektiert ist Das selektierte Pro fil wird in der Monitoroberfl che unter der Men leiste angezeigt Wenn Sie die Funktion Verbinden w hlen wird die Anwahl an das Ziel ber das aus gew hlte Profil manuell durchgef hrt Wenn Sie je nach Profil die Verbindung manu ell oder automatisch herstellen wollen so k nnen Sie dies in den Profil Einstellungen mit dem Parameter Verbindungsaufbau im Feld Verbindungsdauer definieren sie he gt Profil Einstellungen Line Management Verbindungsaufbau Trennen Eine Verbindung kann manuell abgebaut werden mit der Funktion Trennen im Pull down Men oder nach Klick auf die rechte Maustaste Wenn die Verbindung abgebaut wurde wechseln die Signallampen des Monitors f r die gesamte Offline Dauer von gr n zu rot HotSpot Anmeldung Voraussetzungen Der Rechner muss sich mit aktivierter WLAN Karte im Empfangs bereich eines HotSpots befinden Die Verbindung zum HotSpot muss hergestellt und eine IP Adresse f r den Wireless Adapater muss zugewiesen sein Unter Windows XP st
68. box so werden bei der Erweiterten Authentisierung die relevanten Zertifi kate von der Smart Card in einem Chipkartenleser oder von einem Token gelesen 78 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Chipkartenleser Wenn Sie die Zertifikate von der Smart Card mit Ihrem Leseger t nutzen wollen w h len Sie Ihren Chipkartenleser aus der Listbox Siehe auch PIN eingeben Chipkartenleser PC SC konform Die Client Software unterst tzt automatisch alle Chipkartenleser die PC SC konform sind Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automatisch Erst dann kann der installierte Leser ausgew hlt und genutzt werden Chipkartenleser CT API konform Mit der aktuellen Software werden Treiber f r die Modelle SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller Nehmen Sie au erdem folgende Einstellung in der Client Software vor Editieren Sie die Datei NCPPKI CONF befindlich im Win dows System Verzeichnis unter Windows 95 98 oder System32 Verzeichnis unter Windows NT 2000 mit einem ASCII Editor indem Sie als ReaderName den Namen des angeschlossenen Chipkartenlesers xyz eintragen und als DLLWIN9S bzw DLLWINNT den Namen des installierten Treibers eintragen Der Standardname f r CT
69. buch konfigurierte Firewall genutzt Dies bedeutet dass alle Datenpake te nur ber die Sicherheitsmechanismen dieser verbindungsorientierten Firewall abge arbeitet werden Gesperrte Grundeinstellung empfohlen Wird diese Einstellung gew hlt so sind die Sicherheitsmechanismen der Firewall im mer aktiv D h ohne zus tzlich konfigurierte Regeln wird jeglicher IP Datenverkehr unterbunden Ausgenommen sind die Datenpakete die durch eigens erstellte aktive Firewall Regeln gestattet durchgelassen werden Permit Filter Trifft eine der Eigenschaften eines Datenpakets auf die Definition einer Firewall Regel zu wird an dieser Stelle die Abar beitung der Filterregeln beendet und das IP Paket weitergeleitet Im Modus der gesperrten Grundeinstellung kann auf komfortable Weise eine L2Sec IP Sec Tunnelkommunikation freigeschaltet werden Dazu kann im Konfigurationsfeld Optionen der Datenverkehr ber VPN Protokolle L2Sec IPSec global zugelassen werden Offene Grundeinstellung In der offenen Grundeinstellung sind zun chst alle IP Pakete zugelassen Ohne weitere Filterregeln werden alle IP Pakete weitergeleitet Ausgenommen sind die Datenpakete die durch eigens erstellte aktive Firewall Regeln ausgefiltert nicht durchgelassen werden Deny Filter Trifft eine der Eigenschaften eines beim Server Client ankommenden IP Pakets auf die Definition eines Deny Filters zu wird an dieser Stelle die sequentielle Abarbeitung der Filter
70. d DNS Server werden ber das Protokoll IKE Config Mode Draft 2 zugewiesen F r die NAS Einwahl k nnen alle bisherigen WAN Schnittstellen verwen det werden Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Der Ein satz von NAT Traversal erfolgt beim Client automatisch und ist immer n tig wenn auf Seiten des Zielsystems ein Ger t mit Network Address Translation zum Einsatz kommt Lokale IP Adresse verwenden In diesem Fall wird die aktuell in den Netzwerkeinstellungen des PCs konfigurierte IP Adresse auch DHCP f r den IPSec Client genutzt IP Adresse manuell vergeben Dies ist die IP Adresse und die Subnet Maske die hier frei eingegeben werden k nnen In diesem Fall wird die hier eingetragene Adresse genutzt unabh ngig von der Konfi guration in den Netzwerkeinstellungen DNS WINS Mit IKE Config Mode werden dynamisch IP Adressen des Clients des DNS und WINS Servers sowie der Domain Name zugewiesen Wird diese Funktion aktiviert so kann alternativ zudem DNS WINS Server der auto matisch w hrend der PPP Verhandlung zum NAS ISP zugewiesen wird ein anderer DNS WINS Server bestimmt werden DNS Server Der zuerst eingetragene DNS Server wird an
71. d im Verzeichnis NCPLE CACERTS Ist das Aussteller Zertifikat nicht bekannt kommt die Verbindung nicht zustande No Root Certificate found Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS vorhanden so wird keine Verbindung unter Einsatz von Zertifika ten zugelassen E Anzeige und Auswertung von Erweiterungen bei eingehenden Zertifikaten und CA Zertifikaten Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Re vocation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterun gen Extensions werden von der ausstellenden Certification Authority in das Zertifikat geschrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung O extendedKeyUsage O subjectKeyIdentifier O authorityKeyIdentifier 50 mm mama Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung k E Anzeige der Erweiterungen Extensions Um sich die Erweiterungen eines eingehenden oder CA Zertifikats anzeigen zu lassen kann wie folgt vorgegangen werden Das CA Zertifikat dessen Erweiterungen angezeigt werden sollen muss mit einem Doppelklick im Fenster f r CA Zertifikate siehe oben ge ffnet werden Dam
72. den Der Begriff Host Adresse bezeichnet die IP Adresse des Rechners eines IP Prozesses unabh ngig von der tats chlichen physikalischen Struktur des Ger ts oder der Schnittstellen 7 1 2 IP Adress Struktur IP Adressen haben eine L nge von vier Oktetten 32 Bits 4 Bytes und werden in de zimaler oder hexadezimaler Schreibweise mit Punkt getrennt notiert Zum Beispiel 198 10 6 27 oder C6 0A 06 1B oder 0xC6 0x0A 0x06 0x1B Die Adressen werden getrennt in einen Netzwerk Abschnitt der das zugeh rige Netz adressiert und eine lokale Adresse dem sogenannten Restfeld auch Host Ab schnitt der das jeweilige Ger t innerhalb des Netzwerks adressiert Alle Ger te inner halb eines einzelnen Netzwerks haben denselben Netzwerk Abschnitt gemeinsam Je des Ger t Host hat dabei sein eigenes Restfeld Es gibt drei Klassen von Internet Adressen je nachdem wieviele Bytes der IP Adresse f r Netzwerk Abschnitt und Restfeld verwendet werden Klasse Class A gro e Netzwerke Netzwerknummern 1 127 Bei Adressen der Klasse A ist das h chste Bit gleich Null die n chsten sieben Bits ent sprechen dem Netzwerk und die verbleibenden 24 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 1 Byte max 126 unterschiedliche Netzwerke Restfeld beansprucht 3 Bytes max 2 hoch 24 16 777 216 verschiedene Ger te Damit k nnen max 127 unterschiedliche Netzwerke jedes mit max 16 777 216 ver schiedenen Ger ten adress
73. den Fenster klicken Sie auf Durchsuchen um im Verzeichnis mit der ZIP Datei das Unterverzeichnis Disk1 und dort das Programm SETUP EXE zu suchen Wenn SETUP EXE angezeigt wird klicken Sie auf Fertigstellen gt weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client mmm 23 Installation W hlen Sie eine Setup Sprache aus ca Deutsch Deutschland Willkommen Software Lizenzvertrag 24 a m mm Bintec Secure IPSec Client Im folgenden Fenster k nnen Sie die Setup Sprache ausw hlen Klicken Sie danach auf OK Anschlie end bereitet das Setup Programm den Install Shield Assistenten vor mit dessen Hilfe die Installation fortgesetzt wird Lesen Sie bitte die Hinweise im Willkommen Fenster des Setup Programms bevor Sie auf Weiter klicken Anschlie end werden die Lizenzbedingungen gezeigt Stimmen Sie dem Vertag mit Ja zu sonst wird die Installation abgebrochen weiter n chste Seite Benutzerhandbuch Installation der Client Software Komponenten w hlen amp j Haben Sie noch keine Lizenz erworben so w hlen Sie in diesem Fenster die Installation einer Testversion Sollten Sie eine Testversion installieren so ist diese vom Zeitpunkt der Installation f r 30 Tage g ltig und kann danach nicht mehr gestartet werden Haben Sie eine Lizenz f r die Software erworben so w h len Sie Installation als Voll version und klicke
74. die Rufnummern der zugeh rigen Zielsysteme AAA Auf der rechten Seite der Profil Einstellun art gen sind Buttons ange ia EIERN bracht zu folgenden Funktionen Konfigu rieren Neuer Eintrag Kopieren L schen OK Hilfe und Abbre chen Neuer Eintrag Profil Um ein neues Profil zu definieren klicken Sie auf Profil Einstellungen Wenn sich das Fenster des Men s ffnet klicken Sie auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Profil mit Ihrer Hilfe ein neues Profil an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen haben ist ein neues Profil angelegt F r alle weiteren Parameterfelder des Profils wer den Standardwerte eingetragen Benutzerhandbuch Bintec Secure IPSec Client mmm 59 Client Monitor 60 Assistent f r neues Profil Mit dem Konfigurations ka Assistenten k nnen Verbin erbindungstyp welche Verbindung soll zum Zielsystem hergestellt werden bintec dungen mit dem Internet Nummer oder zum Firmennetz rasch hergestellt werden Je nach Auswahl des ge w nschten Verbindung styps wird das Profil nach wenigen Konfigurationsab fragen angelegt Im folgenden die jeweils notigen Daten zur Konfiguration Verbindung zum Firmennetz ber IPSec Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzername Passwort Rufnummer VPN Gateway Parame
75. dung PIN eingeben gew hlt kann in das ge ffnete Eingabefeld die PIN mindestens 6 stellig eingegeben wer den und mit OK best tigt werden Die Ziffern der PIN werden als Sterne am Bildschirm dargestellt Sofern die PIN noch nicht vor einem Verbindungsaufbau eingegeben wurde erscheint der Dialog zur PIN Eingabe sp testens wenn die erste Verbindung zu einem Ziel her gestellt werden soll das die Verwendung eines Zertifikats erfordert Nachfolgend kann bei einem wiederholten manuellen Verbindungsaufbau die PIN Eingabe unterbleiben wenn dies so konfiguriert wurde siehe gt Konfiguration Zertifikate Wenn Sie den IPSec Client zur Ver wendung einer Smart Card oder eines Bintec Secure IPSec Client Zentrale ISDN PKCS 11 Moduls konfiguriert haben pa siehe gt Konfiguration Zertifikate erscheint im Statusfeld ein hellblaues aa Symbol f r die Smart Card Bild Client SP links Wenn Sie Ihre Smart Card in das Leseger t gesteckt haben ndert sich die Farbe des Symbols von hell blau zu gr n Wurde der IPSec Client zur Verwen dung eines Soft Zertifikats konfigu riert siehe gt Konfiguration Zertifi Bintec Secure IPSec Client kate erscheint im Statusfeld kein ei genes Symbol Zentrale ISDN Wurde die PIN korrekt eingegeben so wird dies in der Monitoroberfl che mit einem gr nen Haken hinter PIN dar gestellt Bild links Client PIN meldung Falsche PIN
76. e dass die link bezogenen Firewall Einstellungen bei Aktivierung Vorrang den globalen haben Ist z B die Link Firewall auf immer und Ausschlie lich Kommunikation im Tunnel zulassen eingestellt kann trotz evtl anders lautender Regeln der globalen Konfiguration nur ein Tunnel aufgebaut und dar ber kommuni ziert werden Jeglicher anderer Verkehr wird von der Link Firewall verworfen Konfiguration der Firewall Einstellungen Die Filterregeln der erweiterten Firewall k nnen sowohl anwendungsbezogen als auch zus tzlich adressorientiert bez glich bekannter unbekannter Netze definiert werden Um Konflikte zwischen den Regeln der verbindungsorientierten Firewall des Telefon buchs und der erweiterten Firewall zu vermeiden wird empfohlen die Firewall des Te lefonbuchs auf inaktiv zu schalten wenn die erweiterte Firewall eingesetzt wird Die IP Adressen der jeweiligen Verbindung zum Ziel Gateway k nnen stattdessen in den Filterregeln der erweiterten Firewall eingesetzt werden Benutzerhandbuch Bintec Secure IPSec Client m 63 Client Monitor a Konfigurationsfeld Grundeinstellungen FirewalEmstelungen In den Grundeinstellungen wird festgelegt mit wel cher Basis Policy die Fire wall arbeiten soll 64 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i Firewall deaktiviert Wird die erweiterte Firewall deaktiviert so wird in diesem Kompatibilit tsmodus nur die im Telefon
77. e IPSec Client mmm 27 Installation Ist auf Ihrem Rechner bereits eine Client Software installiert miissen sie sich nun entscheiden ob Sie die Software deinstallieren oder updaten m chten siehe gt Update und Deinstallation exwinnAncpieldsutsch det Anschlie end werden die Dateien geladen und eingespielt Nachdem alle ben tigten Dateien von den Installationsdisketten eingespielt wurden und die Programmgruppe angelegt wurde klicken Sie auf Beenden um das Setup Setup abgeschlossen Die Installation des Bintec Secure IPSec Clients ist soweit abgeschlossen Der Treiber f r den IPSec Client muss noch von Ihnen installiert werden Den PC anschie end neu starten abzuschlie en Klicken Sie auf Beenden um das Setup abzuschlie en Informationen Jetzt muss nur noch der Installieren Sie jetzt den Treiber f r den Bintec Secure IPSec Client in den Netzwerkeinstellungen Treiber Bintec Secure Client Nach dem Bet tigen des DI Buttons wird de Dilo zu den Netznerkeinstelungen gene i i Menam aaan ee 9 als Adapter installiert werden Fahren Sie fort indem Sie auf OK klicken gt weiter n chste Seite 28 m mm Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software Netzwerk 2 Client f r Microsoft Netzwerke TA ENEE Client f r Netware Netzwerke y Netzwerkkomponententyp w hlen ETT N arte Dienst Netzwerkkarten ausw hlen
78. ea EIE N he Dr A eve 53 PIN ndern a es su s id ae E a a a ra 55 PIN zur cksetzen siese e a na AOA 54 PIN ADTTaBE vaa da a de A ta 81 PIN Eingabezwang a heraa a a ana a a ee J9 PIN Richtlinie s aida ar a era 82 PINESTAUS ais der a nee 55 PROSHI DEL 4 2 42 ea ia ren 21 PKCS 11 Mod l u 4 2 a2 ana aaa ae 33 PKCS 12 Dalei u ner A 78 PKCS 12 Dateiname o nennen 80 PKI Unterst tzung ei ac 22H RR ar 14 Policies a 3 22 0 ross ne ie 150 PPEP dido as 0 ee eh le 100 Pre shared Key cuco ee e a 111 Pre shared Key verwenden o o 120 Preshared Key euros a e dani 157 138 Profil Einstellungen 2 2 59 96 Profil Einstellungen l schen 2 2 22 0200 37 Prom Names 4 20 0 2 ee ee 99 Profil Sicherung 2 wa Wenns aeg 88 Protokoll I IPSec Richtlinie 2 222222 00 117 PSee Richtlinie ee 2 weh en 116 PSK Presh red Key tipa a ee aa 154 R Revocation List x 4 wo er ana Sa ae E 162 RFC 240 5 252 nee nen Sa ne 147 RFC 2401 2409 x we 2 t wa she E A 147 REC 2409 u ah te ee ee a 147 Richtlinien cir aa 150 RSA Signatur u 2 6 8 202 da E a E 158 RSA Sisn t r o eee ware nee een 111 152 153 R ckrufmeod s sr 4 2 ne re 103 Rufnummer Ziel siria ser le 102 Ra re a A Br neo Bade ande 109 S SA sia ad dd e o a 147 148 SA Verhandlung a sce voa o o teada 150 151 Schwellwert f r Linkzuschaltung 109 SeriptDatel s sue as reed de a 103 Seamles
79. ebootet werden Benutzerhandbuch Bintec Secure IPSec Client m 85 Client Monitor 4 2 8 Konfigurations Sperren ber die Konfigurations Sperren kann das Konfigurations Hauptmen im Monitor so modifiziert werden dass der Benutzer die voreingestellten Konfigurationen nicht mehr ab ndern kann bzw ausgew hlte Parameterfelder fiir den Benutzer nicht sichtbar sind Einstellungen mit OK bernommen werden Wird der Abbrechen Button gedr ckt Ly Die Konfigurations Sperren werden in der definierten Form erst wirksam wenn die wird auf die Standard Einstellung zur ckgesetzt a Allgemein Konfigurations Sperren Konfigurations Sperren 86 mm Bintec Secure IPSec Client Um die Konfigurations Sperren wirksam festlegen zu k nnen muss eine ID eingegeben werden die sich aus Benutzer und Passwort zusammensetzt Das Passwort muss anschlie end best tigt werden Bitte beachten Sie dass die ID f r die Konfigurations Sperre unbedingt n tig ist die Sperren wirksam werden zu lassen oder die Konfigurations Sperren auch wieder aufzuheben Wird die ID vergessen besteht keine M glichkeit mehr die Sperren wieder aufzuheben Anschlie end kann die Berechtigung die Men punkte unter dem Hauptmen punkt Konfiguration zu ffnen f r den Benutzer eingeschr nkt werden Standardm ig kann der Benutzer alle Men punkte ffnen und die Konfigurationen bearbeiten Wird zu einem
80. ec Client mm mmm 87 Client Monitor 4 2 10Profil Sicherung Existiert noch kein gesichertes Profil zam Beispiel bei einer Erstinstallation so wird automatisch ein erstes angelegt NCPPHONE SAV Erstellen Nach jedem Klick auf den Men punkt Erstellen wird nach einer Sicherheitsabfrage eine Profil Sicherung angelegt die die Konfiguration zu diesem Zeitpunkt enth lt Bintec Secure IPSec Client Client Profil Sicherung Erstellen 2 Wiederherstellen Nach jedem Klick auf Wiederherstellen wird die letzte Profil Sicherung eingelesen nderungen in der Konfiguration die seit der letzten Profil Sicherung vorgenommen wurden gehen damit verloren 88 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 3 Log Mit der Log Funktion werden die Kommunikationsereignisse der IPSec Client Software mitprotokolliert W hlen Sie die Log Funktion an ffnet sich das Fenster des Logbuches Die hier abgebildeten Daten werden bis zum 19 04 02 09 37 01 LCP Verhandlungwunsch mit folgenden Parametem auf Kanal 1 gesendet i E 19 04 02 09 37 01 Maximum Receive Unit 1500 n chsten Reboot im 19 04 02 09 37 07 LCP WVerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet A 19 04 02 09 37 07 Maximum Receive Unit 1500 Speicher gehalten 19 04 02 09 37 14 LCP Verhandlungwunsch mit folgenden Parametem auf Kanal 1 gesendet 19 04 02 09 37 14 Maximum Receive Unit 1500 Yerha
81. echende Protokoll zu w h len TCP UDP ICMP GRE ESP AH IGRP RSVP IPv6 oder IPv4 Alle MAC Adresse Die MAC Adresse ist weltweit eindeutig und l sst bei eingehenden Verbindungen nur Datenpakete zu die von dem Gateway mit dieser MAC Adresse stammen Bei einer ausgehenden Verbindung wird unter Angabe der MAC Adresse des Ziel Gateways si chergestellt dass der Client nur eine Verbindung zu diesem Ziel Gateway aufbauen kann Nach Aufbau einer VPN Verbindung ber dieses Gateway hat der Client Zugriff auf das Firmennetz je nach konfiguriertem Link Profil Dies ist eine sehr restriktive Regel die sich nur in ganz speziellen Situationen anwenden l sst Verbindungssteuerung ber diese Parameter wird die Art der Verbindung beeinflusst Sie w hlen z B die Option dass die hier konfigurierte Regel nur g ltig bei inaktiver VPN Verbindung ist wenn Sie w nschen dass z B eine Internet Verbindung bei gleichzeitig bestehender VPN Verbindung ausgeschlossen wird ansonsten aber Inter net Verbindungen zu unbekannten Netzen zugelassen sein sollen Dazu muss diese Re gel f r unbekannte Netze angewendet werden d h diese Regel muss den Zugang zu unbekannten Netzen zulassen Die Option kein automatischer Verbindungsaufbau steht nur bei gesperrter Grundeinstellung zur Verf gung Sie ist nur sinnvoll wenn im Telefonbuch im Para meterfeld Verbindungssteuerung der Verbindungsaufbau auf automatisch gestellt wurde F
82. ecure IPSec Client mmm ma 103 Konfigurationsparameter Profil Einstellungen 5 1 3 Modem Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Modem pp Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Modem gew hlt haben Alle n tigen Parameter zu dieser Verbindungsart sind hier 1 Dieses Parameterfeld erscheint ausschlie lich wenn Sie als Verbindungmedium gesammelt Parameter O Modem O Anschluss O Baudrate C Com Port freigeben O Modem Init String O Dial Prefix O APN O SIM PIN 104 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Modem Dieses Parameterfeld zeigt die auf dem PC installierten Modems W hlen Sie aus der Liste das gew nschte Modem aus Je nachdem welches Modem Sie w hlen werden die zugeh rigen Parameter Com Port und Modem Init String automatisch in die Konfigurationsfelder des Telefon buchs aus der Treiberdatenbank des Systems bernommen Weitere Parameter f r dieses Kommunikationsmedium k nnen auch ber die System steuerung des PCs konfiguriert werden Hinweis Bitte beachten Sie dass Sie das Modem vor der Konfiguration der Verbin dung im Telefonbuch installiert haben m ssen um es korrekt f r Kommunikationsver bindungen nutzen zu k nnen Anschluss An dieser Stelle bestimmen Sie welcher Com Port von Ihrem Modem genutzt werden so
83. eht eine entsprechende Konfiguration f r den Zugriff auf WLANs zur Verf gung Die Firewall des Secure IPSec Clients sorgt daf r dass lediglich die IP Adresszuwei sung per DHCP erfolgen darf weitere Zugriffe ins WLAN bzw vom WLAN werden unterbunden Die Firewall gibt dynamisch die Ports f r http bzw https f r die Anmel dung bzw Abmeldung am HotSpot frei Dabei ist nur Datenverkehr mit dem HotSpot Server des Betreibers m glich Ein ffentliches WLAN wird auf diese Weise aus schlie lich f r die VPN Verbindung zum zentralen Datennetz genutzt Direkter Inter net Zugriff ist ausgeschlossen Damit die Anmeldeseite des HotSpots im Browser ge ffnet werden kann muss eine eventuelle Proxy Konfiguration deaktiviert werden Derzeit unterst tzt die HotSpot Anmeldung des Clients ausschlie lich HotSpots die mit einer Umleitung Redirect einer Anfrage mit einem Browser auf die Anmeldeseite des ffentlichen WLAN Betreibers arbeiten z B T Mobile oder Eurospot Sind obige Voraussetzungen erf llt so ffnet ein Klick auf den Men punkt HotSpot Anmeldung die Website zur Anmeldung im Standard Browser Nach Eingabe der Zu gangsdaten kann die VPN Verbindung z B zur Firmenzentrale aufgebaut und sicher kommuniziert werden Sollte vom Client keine HotSpot Anmeldung durchgef hrt wer den wird dies durch die Meldung HotSpot konnte nicht gefunden werden mitgeteilt F r einen solchen Fall ist zu kl ren ob ber diesen HotSpot Betrei
84. einstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung MAJELE Die Link Firewall kann f r alle Netzwerkadapter wie auch f r RAS Verbindungen ge nutzt werden Die aktivierte Firewall wird in der grafischen Oberfl che des Clients als Symbol Mauer mit Pfeil dargestellt Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus anderen bzw externen Netzen Internet in das ei gene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und Internet installiert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher festgelegter Konfigurationen ob ein Datenpaket durchgelassen wird oder nicht Die hier zu aktivierende Firewall arbeitet nach dem Prinzip der Stateful Inspection Sicherheit wird dabei in zweierlei Hinsicht gew hrlei stet Zum einen verhindert diese Funktionalit t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum anderen berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Internet Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete ebenfalls weiterge leitet werden m ssen F r die Kommunikationspartner stellt sich eine Stateful Inspecti on Verbindung als eine direkte Leitu
85. el nde und Hotspot oder lokalen Netzwerk z B Filialnetz unterst tzt Auf diese Weise kann mit ein und demselben Endger t von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden in der Filiale ber WLAN in der Zentrale ber LAN unterwegs an Hotspots und beim Kunden ber WLAN bzw GPRS im Home Office ber xDSL oder ISDN 1 3 1 Client Monitor Grafische Benutzeroberfl che Die grafische Oberfl che siehe Client Monitor des IPSec Clients schafft Transpa renz w hrend des Einwahlvorganges und Datentransfers Sie informiert u a ber den aktuellen Datendurchsatz Der Anwender ist zu jeder Zeit dar ber informiert ob sein PC online ist und wo letzt lich die Geb hren anfallen 1 3 2 Dialer Ein eigener Dialer ersetzt den sonst blichen Microsoft DF Dialer Daraus ergeben sich Vorteile gleich in mehrfacher Hinsicht intelligentes Line Management Short Hold Mode in W hlnetzen Steuerung der Bandbreite Kanalb ndelung im ISDN integrierte Personal Firewall Mechanismen Schutz vor automatischen Dialern Benutzerhandbuch Bintec Secure IPSec Client mmm 13 Produkt bersicht 1 3 3 Line Management Um die bertragungsgeb hren m glichst gering zu halten werden aktive Verbindun gen automatisch unterbrochen wenn keine Daten flie en Liegen erneut Daten f r die bertragung vor wird die ruhende Verbindung ohne Einwirkung des Benutzers akti viert Geb hr
86. en sind in verschiedenen Parameterfeldern gesammelt In der Kopfzeile steht der Name des Profils siehe auch gt Profil Einstellungen Konfigurieren Seitlich sind die Titel der Parameterfelder angeordnet 1 Grundeinstellungen Profil Einstellungen Zentrale 2 Netzeinwahl Grundeinstellunaen Netzeinwahl Line Management 3 Modem IPSec Einstellungen Identit t 4 Line Man men IP Adressen Zuweisung u ii WPN IP Netze Zertifikats berpr fung 5 IPSec Einstellungen Link Firewall 6 Identit t 7 IP Adressen Zuweisung 8 VPN IP Netze 9 Zertifikats berpr fung 10 Link Firewall Benutzerhandbuch Bintec Secure IPSec Client mmm 97 Konfigurationsparameter Profil Einstellungen 5 1 1 Grundeinstellungen nn Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Im Parameterfeld Grundeinstellungen wird der Profil Name den Verbindung styp und das Verbindungsmedium zu einem Profil eingegeben Parameter O Profil Name O Verbindungstyp O Verbindungsmedium O Microsoft DF Dialer verwenden O Dieses Profil nach jedem Neustart des Systems verwenden 98 u m mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Profil Name Wenn Sie ein neues Profil definieren sollten Sie zun chst einen unverwechselbaren Namen f r dieses System e
87. en des IPSec Prozesses kommen an ihm zur Anwendung Diese Security Richtlinien stehen auch im SPD Eintrag beschrieben Wird auf diese Weise festgestellt dass ein IP Paket mit einem SPD Eintrag verkn pft ist der einen IPSec Prozess einleitet so wird berpr ft ob bereits eine Sicherheits Verkn pfung Security Association SA f r diesen SPD Eintrag existiert Existiert Benutzerhandbuch Bintec Secure IPSec Client mm m 147 Beispiele und Erkl rungen noch keine SA wird vor dem Aushandeln einer SA zun chst eine Authentisierung und ein Schl sselaustausch siehe unten gt IPSec Verhandlung Phase 1 vorgenommen Nach der SA Verhandlung erfolgen in einem weiteren Schritt siehe unten gt IPSec Verhandlung Phase 2 die Verhandlungen f r eine Verschl sselung ESP und oder Authentisierung AH der Datenpakete Die SA beschreibt welches Sicherheitsprotokoll verwendet werden soll ESP Encap sulating Security Payload unterst tzt die Verschl sselung und die Authentisierung von IP Paketen AH Authentication Header unterst zt nur die Authentisierung von IP Pa keten Die SA beschreibt auch in welcher Betriebsart das Sicherheitsprotokoll benutzt werden soll Tunnel oder Transportmodus Im Tunnelmodus wird ein IP Header hin zugef gt im Transportmodus wird der Original Header verwendet Weiter beschreibt die SA welcher Algorithmus zur Authentisierung verwendet werden soll welche Ver schl sselungsmethode bei ESP und welche
88. en fallen immer nur dann an wenn Daten bertragen werden Bei der In terneteinwahl via ISDN k nnen beide Nutzkan le geb ndelt werden dynamische Linkzuschaltung falls f r den Transfer gr erer Datenmengen eine hohe bertragsra te ben tigt wird Ein weiteres Instrument zur Kostenkontrolle ist die intelligente Verbindungssteuerung Hier werden Online Sessions nach Zeit nach Anzahl der Verbindungsaufbauten oder Geb hreneinheiten angezeigt und bei Bedarf berwacht 1 3 4 Personal Firewall Der IPSec Client verf gt ber alle erforderlichen Personal Firewall Funktionalit ten um den PC Arbeitsplatz umfassend gegen ber Angriffen aus dem Internet und anderer LAN Teilnehmer WLAN oder LAN zu sch tzen Weiter besteht keine M glichkeit dass der Dialer von automatischen 0190er und 0900er Dialern f r ungewollte Verbin dungen missbraucht wird Die wesentlichen Security Mechanismen sind IP NAT und Protokollfilter NAT Network Address Translation ist ein Security Standard zum Verbergen der individuellen IP Adressen gegen ber dem Internet NAT bewirkt eine bersetzung der von au en sichtbaren Adresse in entsprechende Client Adressen und umgekehrt Ankommende Datenpakete werden auf der Basis eines ausgekl gelten Fil terings nach genau definierten Eigenschaften berpr ft und bei Nicht bereinstimmung abgewiesen Das hei t Der Internet Port des jeweiligen Rechners wird vollst ndig ge tarnt und der Aufbau von unerw nschten Verbindu
89. en sie die zu kopierende Richtlinie oder SPD und klicken auf Kopie ren Daraufhin wird das Parameterfeld ge ffnet ndern Sie nun den Namen und klik ken Sie anschlie end Ok Die neue Richtlinie oder SPD ist nun angelegt Die Parame terwerte sind zu denen der kopierten identisch bis auf den Namen L schen Wenn Sie eine Richtlinie oder SPD aus dem Konfigurationsbaum l schen wollen se lektieren Sie sie und klicken auf L schen Die Richtlinie oder SPD ist damit auf Dauer aus der IPSec Konfiguration gel scht Schlie en Wenn Sie das IPSec Feld schlie en kehren Sie zum Monitor zur ck Die Daten wer den so wie sie konfiguriert wurden behalten Benutzerhandbuch Bintec Secure IPSec Client mmm ma 113 Konfigurationsparameter Profil Einstellungen 114 IKE Richtlinie editieren IKE Richtlinie Preshaeake i DH Gruppe 2 1024 Bit Preshared Key gt AES 128Bi E E Dire 20102489 E Die Parameter in diesem Feld beziehen sich auf die Phase 1 des Internet Key Exchange IKE mit dem der Kontroll kanal f r die SA Ver handlung aufgebaut wird Den IKE Mo dus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode bestimmen Sie in dem Parameterfeld IPSec Einstellungen im Telefonbuch Die IKE Richtlinien die Sie hier konfigurie ren werden zur Auswahl gelistet Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtl
90. en soll Zwei unterschiedliche Modi stehen zur Verf gung der Main Mode auch Identity Protection Mode und der Aggressive Mode Die Modi unterscheiden sich durch die Anzahl der Messages und durch deren Verschl sselung Main Mode Im Main Mode Standard Einstellung werden sechs Meldungen ber den Kontrollkanal geschickt wobei die beiden letzten welche die User ID das Zertifikat die Signatur und ggf einen Hash Wert beinhalten verschl sselt werden daher auch Identity Protection Mode Aggressive Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontroll kanal wobei nichts verschl sselt wird PFS Gruppe Mit Auswahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt ob ein kompletter Diffie Hellman Schl sselaustausch PFS Perfect Forward Secrecy in Pha se 2 zus tzlich zur SA Verhandlung stattfinden soll Standard ist keine a IP Kompression LZS verwenden Die Daten bertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um maximal das 3 fache E DPD Dead Peer Detection deaktivieren DPD Dead Peer Detection und NAT T NAT Traversal werden automatisch im Hin tergrund ausgef hrt sofern dies das Ziel Gateway unterst tzt Der IPSec Client nutzt DPD um in regelm igen Intervallen zu pr fen ob die Gegenstelle noch aktive ist Ist dies nicht der Fall erfolgt ein automatischer Verbindungsabbau Mit dieser Funktio
91. enster Netzeinwahl wird anschlie end die Script Datei unter Eingabe von Pfad und Namen zur eingespiel ten Script Datei eingetragen siehe gt Script Datei E Dieses Profil nach jedem Neustart des Systems verwenden Normalerweise wird der Client Monitor nach einem Neustart mit dem zuletzt genutz ten Profil ge ffnet Wird diese Funktion aktiviert wird nach einem Neustart des Sy stems immer das hierzu geh rige Profil geladen unabh ngig davon welches Profil zu letzt genutzt wurde 100 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 2 Netzeinwahl Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management IPSec Einstellungen Identit t IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall wahl an das Zielsystem zur Identifizierung ben tigt werden Diese beiden Gr en wer den auch f r die PPP Verhandlung zum ISP Internet Service Provider ben tigt Das Parameterfeld erscheint berhaupt nicht wenn der IPSec Client mit dem Verbindungs medium LAN over IP betrieben wird Dieses Parameterfeld beinhaltet den Benutzernamen und das Passwort die bei der An Parameter O Benutzername O Passwort O Passwort speichern O Rufnummer Ziel O Alternative Rufnummern O Script Datei Benutzerhandbuch Bintec Secure IPSec Client mm mm 101 Konfigurationsparameter Profil Einstellungen Benutzername Mit dem Benutzernamen weise
92. entit t 2 2 2 2 nn nn 121 Passwort Identit t a ee E Zugangsdaten aus Konfigur ti n vermenden ee ee e 5 1 7 IP Adressen Zuweisung 2 22 2 2 nn nn 122 IKE Config Mode verwenden 2 2 2222 nenn 123 Lokale IP Adresse verwenden 2 22 2 22 123 IP Adresse manuell vergeben 2 2 2222 123 DNSIWINS e o 02 2 2 04 0 0 oe ara he ai ne 123 DNS Server oa a a ee ee ee ee 123 WINS SEIVER y poes rn o a 123 Domain Name t s e Ga Lo nn nenn 123 5 1 8 VPNIP Netze a ah a Aani o ia o araia i 2A Netzwerk Adressen VPN IP Netze NS 2 Subnet Masken pi ee 129 Auch lokale Netze im Tunnel weiterleiten spg pS ee DO 5 1 9 Zertifikats berpr fung ee 126 Benutzer des eingehenden Zemitikats eaa ee a e a 127 Aussteller des eingehenden Zertifikats 22 2 2 127 Fingerprint des Aussteller Zertifikats 128 SHAI Fingerprint verwenden 2 2222 128 Weitere Zertifikats berpr fungen 2 2 2 2 128 5 1 10 Link Firewall pd ah Bin Ari de te tn Lal Stateful Inspection aktivieren er E EE Ausschlie lich Kommunikation im Tunnel zulassen ee 132 NetBIOS ber IP zulassen o 132 Bei Verwendung des Microsoft DF Dialers Ausschlie kich Kommunikation im Tunnel zulassen 132 6 Verbindungsaufbau 2 a sasos 133 Verbindungsaufbau zum Zielsystem 133 Automatischer Verbindungsaufbau 2 2 2 2 2 133 Manueller Verbindung
93. er IP 2 2 22 2 2 2 nn 19 xDSL Modem xDSL PPPoE s s 2 2 2 2 2 nn nn 19 xDSL AVM PPP over CAPD 2 2 2 2 222222 19 Voraussetzungen f r den Einsatz von Zertifikaten 19 TEPIP 2 aee aa I Chipkartenleser cana a I Chipkartenleser CT API konfami e ara e ee ee 2 Chipkarten muog is a a a ZO Soft Zertifikate PKCS 12 el Chipkarten oder Token PKCS 11 2 2 222 n 21 2 2 Installation der Client Software de do da de o A ee AA 2 2 1 Standard Installation 23 2 2 2 Benutzerdefinierte Installation und Abschinss unter Win 98 ME 2 27 2 2 3 Benutzerdefinierte Installation und Abschluss unter Win NT 2000 XP 31 2 2 4 Zum Betrieb des IPSec Clients unter Windows NT 2000 XP 34 2 3 Vorder Inbetriebnahme 2 2 2 nn nn nn 39 2 4 Freischalten einer Vollversion 2 2 2 En om m nn 36 2 5 Deinst llation sosa e e e el 3 Client Monitor e s e s ea ss E a a a 39 3 1 Die Benutzung der Monitors maia awg aoi 0 Anwahl ber das Profil an das Zielsystem nn 40 3 1 1 Die Oberfl che des Client Monitors 2 2 222222 41 3 1 2 Das Erscheinungsbild des Monitors 2 22222 nn 42 Modifikationen der Oberfl che 2 22 2 22222 42 Benutzerhandbuch Bintec Secure IPSec Client mm 5 E Inhalt 4 Monitor Bedienung s sosoo 43 4 1 Verbindung nn nenn 44 4 1 1 Verbinden s s s cor 2 3 u z ara Sa u nah ne 4 1 2 Trennen da a
94. er Port 23 einzutragen Mehrere Ports Bereiche k nnen verwendet werden wenn mehrere Ports f r eine Regel verwendet werden sol len z B FTP Port 20 21 Benutzerhandbuch Bintec Secure IPSec Client m 71 Client Monitor m Firewall Regel Anwendungen Firewall Regel v N pop 109 72 mm m mm Bintec Secure IPSec Client C Programme ping exe i Regel einer bestimmten Anwendung zuweisen besagt dass bei gesperrter Grundeinstellung f r diese Anwendung eine Verbindung m glich ist Wird ber den Button Anwendung ausw hlen eine lokal installierte Anwendung wie z B ping exe selektiert so kann nur diese Applikation kommunizieren In diesem Fall d rfen nach dieser Regel nur Pings ausgef hrt werden In diesem Beispiel sollte dann auch beachtet werden dass vom Protokoll her ICMP zugelassen ist Beachten Sie dass auch der zugeh rige Port selektiert sein muss F r eine E Mail Anwendung 80 Benutzerhandbuch Monitor Bedienung Konfigurationsfeld Bekannte Netze Wurde im Konfigurati onsfeld Firewall Re geln definiert dass eine Regel auf Verbindungen mit bekannten Netzen Friendly Nets anzuwen den ist so wird diese Re gel immer angewendet wenn ein Netz nach den hier anzugebenden Krite rien als Friendly Net identifiziert werden kann bzw der LAN Adapter sich in einem Friendly Net befindet Firewall Einstellungen
95. er Zertifikate automatisch ber den Secure Update Server verteilt werden siehe gt Handbuch zum Update Server oder sofern der Benutzer ber die notwendigen Schreibrechte in genanntem Verzeichnis verf gt von diesem selbst eingestellt werden siehe gt CA Zertifikate anzeigen Derzeit werden die Formate pem und crt f r Aussteller Zertifikate unterst tzt Sie k nnen im Monitor unter dem Hauptmen punkt Verbindung Zertifikate CA Zertifi kate anzeigen eingesehen werden Wird am IPSec Client das Zertifikat einer Gegenstelle empfangen so ermittelt der Cli ent den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie end im Verzeichnis NCPLE CACERTS Kann das Aussteller Zertifikat nicht gefunden werden kommt die Verbindung nicht zustan de Sind keine Aussteller Zertifikate vorhanden wird keine Verbindung zugelassen 128 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 2 berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Re vocation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Er
96. er auch automatisch der gleiche Vorschlag zus tzlich mit Extended Authentication generiert und versendet 156 2m m Bintec Secure IPSec Client Benutzerhandbuch 2 Wird in das Feld f r Pre shared Key ein String eingetragen so werden an die Gegen stelle standardm ig folgende Vorschl ge f r die IKE Richtlinie versendet wobei die Authentisierung immer ohne Zertifikat erfolgt EA HASH AUTH GROUP LT LS KL AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 256 AES_CBC SHA PSK DH5 SECONDS 28800 256 AES_CBC MD5 PSK DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 256 AES_CBC SHA PSK DH2 SECONDS 28800 256 AES_CBC MD5 PSK DH2 SECONDS 28800 256 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 192 AES_CBC SHA PSK DH5 SECONDS 28800 192 AES_CBC MD5 PSK DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH5 SECONDS 28800 128 AES_CBC SHA PSK DH5 SECONDS 28800 128 AES_CBC MD5 PSK DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_PSK DH2 SECONDS 28800 128 AES_CBC SHA PSK DH2 SECONDS 28800 128 AES_CBC MD5 PSK DH2 SECONDS 28800 128 DES3 SHA XAUTH_PSK DH5 SECONDS 28800 0 DES3 MD5 XAUTH_PSK DH5 SECONDS 28800 0 DES3 SHA PSK DH5 SECONDS 28800 0 DES3 MD5 PSK DH5 SECONDS 28800 0 DES3 SHA XAUTH_PSK DH2 SECONDS 28800 0 D
97. erbindung be stehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Be st tigung von der Software verlangt siehe Bild unten Klicken Sie in diesem Best ti gungsfenster auf Nein so haben Sie auf Ihrer Desktop Oberfl che kein Icon und kei nen Hinweis mehr darauf dass noch eine Verbindung aktiv ist und Geb hren anfal len k nnen In diesem Fall m ssen Sie den Monitor er neut starten um eine beste hende Verbindung korrekt zu beenden Best tigung 2m m Bintec Secure IPSec Client Benutzerhandbuch IP Funktionen 7 Beispiele und Erkl rungen In diesem Abschnitt des Handbuchs werden einige Grundbegriffe des Routings und des IPSec Verkehrs erkl rt Anhand von Beispielen wird die Konfiguration des IPSec Clients f r bestimmte Funktionalit ten dargestellt Benutzerhandbuch Bintec Secure IPSec Client m 141 Beispiele und Erkl rungen 7 1 IP Funktionen Um ein IP Netzwerk korrekt zu konfigurieren miissen die Regeln der IP Adressierung eingehalten werden Untenstehend sind einige Richtlinien und Terminologien aufge f hrt Zu weiteren Informationen ber IP Netzwerke wird entsprechende Fachliteratur empfohlen 7 1 1 Ger te eines IP Netzwerks IP Adressen werden den Schnittstellen der Ger te eines IP Netzwerks zugewiesen Diese Ger te werden auch als Hosts oder Rechner bezeichnet Mehrfach vernetzten Ge r ten z B Router k nnen auch mehrere Adressen zugeordnet wer
98. erfolgen Entsprechende Richtlini en sind im Richtlinien Editor vorkonfiguriert E Phase 2 Parameter der IPSec Richtlinie IPSec Policy Die SA Verhandlung wird ber den Kontrollkanal abgewickelt Von der IPSec Maschi ne wird die SA an das IKE Protokoll bergeben das sie ber den Kontrollkanal zur IP Sec Maschine der Gegenstelle bertr gt 150 2 2m Bintec Secure IPSec Client Benutzerhandbuch Kontrollkanal und SA Verhandlung Kontrollkanal Phase 1 SA Verhandlung Phase 2 NIC1 WSUP NIC1 WSUP o e Bildbeschreibung Damit der IPSec Prozess in Gang kommen kann muss vorher die SA verhandelt worden sein Diese SA Verhandlung findet pro SPD die f r verschiedene Ports Adressen und Protokolle angelegt sein k nnen einmal statt F r diese SA Verhandlung wird ein Kontrollkanal ben tigt Im Client muss nun zun chst eine Layer 2 PPP Verbindung zum Provider hergestellt wer den Dabei bekommt er bei jeder Einwahl eine neue IP Adresse Das IPSec Modul im Cli ent bekommt ein IP Paket mit der Zieladresse der Firmenzentrale Ein SPD Eintrag f r die ses IP Paket wird gefunden aber es existiert noch keine SA Das IPSec Modul stellt die An Forderung an das IKE Modul eine SA auszuhandeln Dabei werden auch die angeforderten Sicherheits Richtlinien wie sie im SPD Eintrag vorhanden sind an das IKE Modul berge ben Eine IPSec
99. ertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN Ausnahme Bei einem R ckruf des Servers an den Client nach einer Direkteinwahl ohne VPN aber mit PKI pr ft der Server das Zertifikat des Clients auf die Erweiterung extendedKeyUsage Ist diese vorhanden muss der Verwendungszweck SSL Server Authentisierung beinhaltet sein sonst wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert u subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKey Identifier Erweiterung besitzen nicht zu
100. erzeugt Der Absender des Dokuments gene riert eine Pr fsumme sogenannter Hash Wert diese codiert er wiederum mit seinem Geheim schl ssel und erzeugt so einen digitalen Signatur zusatz zur urspr nglichen Nachricht Der Empf n ger des Dokuments kann mit dem ffentlichen Schl ssel des Absenders die Signatur pr fen in dem er seinerseits den Hash Wert aus der Nach richt bildet und diesen mit der entschl sselten Si gnatur vergleicht Da die Signatur des Absenders unmittelbar in das Dokument eingebunden ist w rde jede sp tere nderung bemerkt Auch ein Abfangen oder Abh ren der Signatur ber Lau schangriffe erwiese sich als zwecklos Die digitale Signatur ist nicht nachahmbar da sie den gehei men privaten Schl ssel verwendet eine Ermitt lung des geheimen Schl ssels aus der Signatur ist nicht m glich Benutzerhandbuch Bintec Secure IPSec Client mm m 177 E Abk rzungen und Begriffe Smartcard Wird die Funktionalit t der Smartcard genutzt so wird nach der CHAP Authentisierung User ID und Passwort die Erweiterte Authentisierung Strong Authentication mittels der auf Smartcard und Gateway hinterlegten Zertifikate durchge f hrt Auf der Smartcard befinden sich unter an derm das Benutzer Zertifikat das Root Zertifikat und der geheime private Schl ssel Die Smartcard kann nur mit PIN genutzt werden SMTP Simple Mail Transport Protocol Internet Standard zur Verteilung elektronischer Post Ist textorie
101. esamt bertragungsrate betr gt 144 000 bit s Dieses Netz soll bis zum Ende die ses Jahrtausends europaweit einheitlich aufgebaut werden Die Spezifikationen hierf r werden von ITU und CEPT erarbeitet ISDN Adapter ISDN Adapter erm glichen den Anschluss von vorhandenen nicht ISDN f higen Endger ten an das ISDN Der Adapter bernimmt dabei die so wohl soft als auch hardwarem ige Anpassung der Endger teschnittstelle an die ISDN Schnitt stelle So Ein ISDN Adapter mit Upo Schnitt stelle erm glicht an ISDN TK Anlagen die Umset zung der ISDN Zweidraht Schnittstelle Upo Reichweite ca 3 5km auf die busf hige ISDN Vierdraht Schnittstelle So Reichweite ca 150m nach den Richtlinien der Telekom ISP Internet Service Provider Benutzerhandbuch Bintec Secure IPSec Client mm m 173 E Abk rzungen und Begriffe 174 Kryptographie LCP LDAP MAC Adresse MIB MD5 NAS NetBios OCSP OSI Referenzmodell PAP 2m m Bintec Secure IPSec Client Anwendungen sind Verschl sselung elektronische Signatur Authentifikation und Hash Wert Berech nung Mathematische Verfahren die mit Schl ssel verwendet werden Link Control Protocol Lightweight Directory Access Protocol siehe Di rectory Service Medium Access Control Layer Adresse Physikali sche Adresse im Netzwerk Management Information Base Beschreibt die Struktur der Managementinformationen beim SNMP Message Digit 5 Verfahren zur Bi
102. et zen der Client ber VPN Tunneling kommunizieren kann Sie erhalten die Adresse n von Ihrem Systemadministrator Bitte achten Sie ferner darauf daf die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt Subnet Masken Hier tragen Sie die zugeh rige Netzmaske des IP Netzes ein Sie erhalten die Adres se n von Ihrem Systemadministrator Bitte achten Sie darauf da die IP Adresse des Gateways nicht im Bereich der Netz Adresse liegt Auch lokale Netze im Tunnel weiterleiten Wenn der Datenverkehr des lokalen Netzes ber VPN Tunneling weitergeleitet werden soll so muss diese Funktion aktiviert werden Benutzerhandbuch Bintec Secure IPSec Client mmm ma 125 Konfigurationsparameter Profil Einstellungen 5 1 9 Zertifikats berpr fung Profil Einstellungen Zentrale IP Adressen Zuweisung WPN IP Netze Zertifikats berprufung vorgegeben werden welche Eintr ge in einem Zertifikat der Gegenstelle Gateway Im Parameterfeld Zertifikats berpr fung kann pro Zielsystem des IPSec Clients vorhanden sein m ssen siehe gt Eingehendes Zertifikat anzeigen Allgemein Siehe auch O Benutzer des eingehenden Zertifikats O Aussteller des eingehenden Zertifikats O Fingerprint des Aussteller Zertifikats O SHAI Fingerprint verwenden O Weitere Zertifikats berpr fungen 126 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Benutzer des eingehenden Zertifikats Al
103. et Host a Standard Masken Netzmaske fiir Klasse A 255 0 0 O Netzmaske f r Klasse B 255 255 0 0 Netzmaske f r Klasse C 255 255 255 0 Benutzerhandbuch Bintec Secure IPSec Client mm m 145 Beispiele und Erkl rungen Reservierte Adressen Einige IP Adressen d rfen Ger ten eines Netzwerks nicht zugeordnet werden Dazu geh ren die Netzwerk oder Subnet Adresse und die Rundsendungsadresse f r Netz werke bzw Subnets Netzwerk Adressen bestehen aus der Netzwerknummer und dem Host Feld das mit bin ren Nullen gef llt ist z B 200 1 2 0 162 66 0 0 10 0 0 0 auch Loop Back es findet keine bertragung ins Netzwerk statt Die Rundsendungs adresse eines Netzwerks besteht aus der Netzwerknummer und dem Host Feld mit bi n ren Einsen z B 200 1 2 255 162 66 255 255 10 255 255 255 daher auch All One Broadcast alle Stationen eines Netzwerks werden adressiert Beispiel 198 10 2 255 adressiert alle Stationen im Netz 198 10 2 255 255 255 255 adressiert alle Stationen in allen angeschlossenen Netzen 0 0 0 0 All Zero Broadcast Ung ltige Adresse Bitte beachten Sie dass diese Adresse oft f r Standard Einstellungen benutzt wird 7 1 4 Zum Umgang mit IP Adressen O Jede IP Adresse im unternehmensweiten Netz sollte nur einmalig vorhanden sein Be achten Sie dies bei Internet Anschluss und Anschluss neuer Netze O Benutzen Sie ein nachvollziehbar logisches Schema bei der Adress Vergabe z B Ver
104. et Karte der WLAN Karte oder auch dem VPN Adapter zugeordnet sein Mehrere IP Adressen bezeichnet einen Adressbereich oder Pool Z B kann dies der IP Adress Pool sein aus dem die vom DHCP Server an den Client zugewiesene Adresse stammt Alle Ports erlaubt Kommunikation ber alle Quellports bei ausgehenden und Ziel Ports bei ein gehenden Paketen Eindeutiger Port Diese Einstellung sollte nur dann verwendet werden wenn dieses System einen Serv er Dienst zur Verf gung stellt z B Remote Desktop auf Port 3389 Mehrere Ports Diese Einstellung sollte nur dann verwendet werden wenn sich die lokalen Ports zu einem Bereich zusammenfassen lassen die von einemDienst ben tigt werden der auf diesem System zur Verf gung gestellt wird z B FTP Ports 20 21 Benutzerhandbuch Bintec Secure IPSec Client m Client Monitor a Firewall Regel Remote Auf dieser Registerkarte werden die Filter f r die remote IP Adres sen und IP Ports eingestellt Firewall Regel Bei gesperrter Grundein stellung werden diejenigen Datenpakete von der Firewall nach au en durchgelassen deren Zieladresse Destination Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt Von den eingehenden Datenpaketen werden diejeni gen durchgelassen deren Quell adresse Source Address mit der unter Lokale IP Adressen bereinstimmt oder im G ltigkeitsbereich liegt pon
105. etwork im Internet Port 80 Hybride Verschl sselung Hohe Performance plus viel Sicherheit Hybride Verschl sselung vereint die Vorteile symmetri scher und asymmetrischer Verfahren W hrend die Inhalte der Kommunikation mit schnellen symme trischen Algorithmen gesichert werden erfolgen Authentisierung der Teilnehmer und Schl sselaus tausch auf Basis asymmetrischer Verfahren Die eigentliche Verschl sselung der Daten eines Do kuments geschieht auf Basis einer Zufallszahl Session Key die f r jede einzelne Kommunikati onsverbindung neu erzeugt wird Dieser Einmal schl ssel wird mit dem ffentlichen Schl ssel des Empf ngers chiffriert und der Nachricht beigef gt Der Empf nger wiederum rekonstruiert mit seinem privaten Schl ssel den Session Key und entschl s selt die Nachricht IETF Internet Engineering Task Force Interessenge meinschaft die sich mit Problemen des TCP IP und dem Internet befasst unter anderem den Well Known Ports Ports O bis 1023 Benutzerhandbuch Bintec Secure IPSec Client mm m 171 E Abk rzungen und Begriffe IKE Internet Key Exchange Bestandteil von IPsec f r sicheres Schl ssel Management Separate security association negotiation and key management pro tocol RFC 2409 Internet Das Internet ist ein weltweites offenes Rechner netz Es ist allgemein zug nglich Jeder Betrieb und jede Privatperson kann sich daran anschlie en und mit allen anderen angeschlossenen Benutzern kommun
106. fonbuch gespeichert und f r die Anwahl verwendet 00441711234567 Die Rufnummer des Ziels kann bis zu 30 Ziffern beinhalten Hinweis Wenn ein Zielsystem eine Verbindung zu Ihrem PC ber R ckruf aufbauen Lo will ben tigt der Client diese Rufnummer in diesem Feld um den R ckruf entspre chend des gew hlten R ckrufmodus annehmen zu k nnen E Alternative Rufnummern M glicherweise ist das Zielsystem ein Network Access Server NAS der mit mehre ren SO Anschl ssen f r verschiedene Rufnummern ausgestattet ist In diesen Fall emp fiehlt es sich alternative Rufnummern einzugeben falls zum Beispiel die erste Num mer besetzt ist Die alternativen Rufnummern werden der ersten Nummer angeh ngt nur mit einem Doppelpunkt oder einem Semikolon getrennt Maximal werden 8 alternative Rufnummern unterst tzt Beispiel 000441711234567 000441711234568 Die erste Nummer ist die Standard Rufnummer und wird immer zuerst gew hlt Kann keine Verbindung hergestellt werden weil besetzt ist wird die zweite Nummer ge w hlt usw die Protokoll Eigenschaften f r die Anschl sse der alternativen Rufnummern die glei Wichtig Bitte beachten Sie dass der Verbindungsaufbau nur funktionieren kann wenn chen sind u Script Datei Wenn Sie den Microsoft DF Dialer benutzen tragen Sie hier die Script Datei unter Eingabe von Pfad und Namen ein Siehe gt Grundeinstellungen Micosoft DF Dialer verwenden Benutzerhandbuch Bintec S
107. ftware von Ihrem PC des Clients erhalten geblieben so dass sie f r neuere Versionen des Clients genutzt werden k nnen Um die Dateien vollst ndig vom PC zu l schen m ssen Sie sie per Hand gel scht werden je nach Windows Betriebssystem aus einem der beiden Ver zeichnisse C windows ncple oder C WINNT ncple O Wichtig Nachdem die Komponenten entfernt wurden sind die Profil Einstellungen Benutzerhandbuch Bintec Secure IPSec Client mm mmm 37 Installation 38 mm Bintec Secure IPSec Client Benutzerhandbuch SS 3 Client Monitor Wenn die Software installiert wurde kann der Monitor ber das Start Meni Pro gramme Bintec Secure IPSec Client gt Secure Client Monitor aktiviert werden Da mit ffnet sich das Fenster des Monitors auf dem Bildschirm Hinweis Wenn der Monitor geladen wurde erscheint er entweder auf dem Bildschirm oder wenn er dort nicht dargestellt wird in der Taskleiste Bintec Secure IPSec Client Chient _Yetinden temen Der Monitor hat 4 wichtige Funktionen M den aktuellen Status der Kommunikation wiederzugeben M den Verbindungsmodus einzustellen M die Limits der Verbindungssteuerung bestimmen M die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem Benutzerhandbuch Bintec Secure IPSec Client m 39 Client Monitor 3 1 Die Benutzung der Monitors Anwahl ber das Profil an das Zielsystem Sobald die Software installiert mit einem Profi
108. g VPN IP Netze Zertifikats berpr fung Firewall Einstellungen Grundeinstellungen Je nachdem welcher Begriff markiert wird zeigt sich das entsprechende Feld mit den zugeh rigen Parametern siehe gt 4 Konfigurationsparameter Ok Profil Die Konfiguration eines Profils ist abgeschlossen wenn Sie das Konfigurationsfenster mit OK schlie en Das neue oder ge nderte Profil ist im Monitor sofort verf gbar Es kann im Monitor ber die Profilauswahl selektiert werden und ber das Men Ver bindung gt Verbinden sofort zur Anwahl an das Zielsystem verwendet werden Kopieren Profil Um die Parameter Einstellungen eines bereits definierten Profils zu kopieren markie ren sie das zu kopierende Profil in der Liste und klicken Sie auf den Kopieren Button Daraufhin wird das Grundeinstellungen Parameterfeld ge ffnet ndern Sie nun den Eintrag in Profil Name und klicken Sie anschlie end Ok Nur wenn Sie den Namen des Profils ndern kann es auch als neuer Eintrag in der Liste der Profile vermerkt werden Ein kopiertes Profil muss einen neuen noch nicht vergebenen Namen erhalten Nur so kann es in der Liste der Profile abgelegt werden L schen Profil Um ein Profil zu l schen w hlen Sie es aus und klicken den L schen Button Benutzerhandbuch Bintec Secure IPSec Client mmm 61 Client Monitor 4 2 2 Firewall Einstellungen Alle Firewall Mechanismen sind optimiert fir Remote Access Anwend
109. g 2 2 2 m a nn nn 82 4 2 5 Verbindungssteuerung lt s cs s eaor ma sr emere i 83 4 2 6 EAP Optionen oaoa a a 84 4 2 7 Logon Optionen s e i sae w w se E po 89 4 2 8 Konfigurations Sperren ee Be 00 Allgemein Konfigurations peren Era poa ona BO Profile Konfigurations Sperren 2 oa ooa aaa aa 87 Allgemeine Rechte pl A a O Sichtbare Parameterfelder der Profile a O 4 2 9 Profile importieren 2 2 Lo nn nn 87 4 2 10 Profil Sicherung 2 22 m nn 88 Erstellen ioi g cn g ac a ee E e OS Wiederherstellen cogos aeti yow u 2 8 E28 Sets 88 AS LOS en a a a ie ee e OO Logbuch p s 2 ses un DE ware A aa 8O Schlie e Datei pia sas a e a O L schen Fensterinhalt ee rs ee DO a Ber e E A a O 4 4 Fenster E E al 4 4 1 Pro ilanswahi Anzeigen oo ara e a el 4 4 2 Buttonleiste anzeigen ooe ao coe m nn 92 4 4 3 Statistik anzeigen oos s o soca sc oao s oae e 92 4 4 4 Immer im FARRER LIE pias a rea 4 4 5 Autostart pra 0 4 4 6 Beim Schlie en minimieren 2 2 2 nn nn 93 4 4 7 Nach Verbindungsaufbau minimieren 2 2 2 22mm nn 94 4 4 8 Sprache 2 Lo nn nenn 94 AS Be it E IIA As a re ae A 5 Konfigurationsparameter 95 5 1 Profil Einstellungen s e lt sos ane non m nn 96 Benutzerhandbuch Bintec Secure IPSec Client mm 7 E Inhalt 5 1 1 Grundeinstellungen s a poe ooe nn nn 98 PronkName a a
110. g beinhalten muss subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kein CA Zertifikat gefunden werden wird die Verbindung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichbleibendem Schl ssel ein neues Zertifikat ausstellen l sst 52 mm m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 1 6 PIN eingeben Die PIN Eingabe kann bereits vor einem Verbindungsaufbau erfolgen nachdem der Mo nitor gestartet wurde Wird zu einem sp teren Zeitpunkt eine Verbindung aufgebaut die ein Zertifikat erfordert so kann dann die PIN Eingabe unterbleiben es sei denn die Konfiguration zum Zertifikat verlangt dies siehe gt Konfiguration Zertifikate PIN Eingabe Haben Sie den Men punkt Verbin
111. gungsab teilung auf Datenbest nde aus der Personalabteilung wenn die Netz Masken nach Firmenabteilungen entsprechend gew hlt sind Die Netz Maske Subnet Mask gibt den Standort des Subnet Felds in einer IP Adresse an Die Netz Maske ist eine bin re 32 Bit Zahl wie eine IP Adresse Sie hat eine 1 an allen Stellen des Netzwerk Abschnitts der IP Adresse je nach Netzwerk Klasse in nerhalb des ersten bis dritten Oktetts Das darauf folgende Oktett gibt die Position des Subnet Feldes an Die im Subnet Feld an den Netzwerk Abschnitt aufschlie enden Einsen geben die Subnet Bits an Alle brigen Stellen mit 0 verbleiben f r den Host Abschnitt Beispiele Beispiel 1 Die Netzmaske dient der Interpretation der IP Adresse So kann eine Adresse 135 96 7 230 mit der Maske 255 255 255 0 so interpretiert werden Das Netzwerk hat die Adresse 135 96 0 0 das Subnet hat die Nummer 7 der Rechner Nummer 230 Eine IP Adresse mit 135 96 4 190 geh rt dem gleichen Netzwerk aber einem anderen Sub net 4 an Bin re Darstellung 135 96 71023 0 10000111 11000000 00000111 11100110 135 96 4 190 10100000 10010101 00000100 10111110 255 255 255 0 11111111 11111111 11111111 00000000 Netzwerk Subnet 255 255 248 0 11111111 11111111 11111 000 00000000 144 2m m Bintec Secure IPSec Client Benutzerhandbuch IP Funktionen H tte die Netz Maske in obigem Beispiel nicht den Standardwert 255 255 255 0 son dern
112. h dem Erreichen des ein gestellten Schwellwerts Diese Einstellung kommt nur zum Tragen wenn die Linkzuschaltung aktiviert wurde Benutzerhandbuch Bintec Secure IPSec Client mmm ma 109 Konfigurationsparameter Profil Einstellungen 5 1 5 IPSec Einstellungen Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management O IPSec Einstellungen Identit t IP Adressen Zuweisung WPN IP Netze Zertifikats berpr fung Link Firewall Automatischer Modus Automatischer Modus yl Automatischer Modus lt lt Modus A VE legen Sie die Richtlinien fest die f r die IPSec Verbindung in der Phase 1 und Phase 2 Verhandlung verwendet werden sollen Sofern der automatische Modus genutzt wird akzeptiert der Client die Richtlinien wie sie vom Gateway der Gegenstelle vorgegeben werden Soll der IPSec Client als Initiator der Verbindung eigene Richtlinien verwen den so m ssen diese mit dem Richtlinien Editor konfiguriert werden Die erweiterten Optionen k nnen nach Abstimmung mit der Gegenstelle eingesetzt werden In diesem Parameterfeld geben Sie die IP Adresse des Gateways ein Dar ber hinaus Parameter O Gateway O Exch Mode O IKE Richtlinie O PFS Gruppe O IPSec Richtlinie O IP Kompression LZS verwenden O Richtlinien G ltigkeit O DPD Dead Peer Detection deaktivieren O Richtlinien Editor 110 m m Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Gateway Die
113. halten verschl sselt werden daher auch Identity Pro tection Mode Im Aggressive Mode gehen nur drei Meldungen ber den Kontrollkanal wobei nichts verschl sselt wird Den IKE Modus Austausch Modus Exchange Mode Main Mode oder Aggressive Mode bestimmen Sie in den Profil Einstellungen im Parameterfeld IPSec Einstellun 39 gen IKE Main Mode Identity Protection Mode mit Preshared Keys Initiator Gegenstelle A R Message 1 Header Security Association Message 2 Header Security Association unver lt N schl sselt Message 3 Header Key Exchange Nonce ee Sl le Hellmann a Gruppe lt Message 4 Header Key Exchange Nonce Z N TE i Message 5 Header ID Hash symmetrische i ann gt Verschl sselung u sselt A und Hash Message 6 Header ID Hash y N E Wird die Pre shared Key Methode im Main Mode genutzt Bild oben so muss der Client am VPN GW durch seine IP Adresse eindeutig identifizierbar sein da der Pre shared Key mit in die symmetrische Schl sselberechnung einbezogen und verschl sselt wird bevor sonstige In Formationen bertragen werden die den Client identifizieren k nnten Ein Client der sich beim Provider einw hlt ist jedoch nicht durch die IP Adresse zu erkennen da er bei jeder Provider Anwahl eine neue zugewiesen bekommt Letztlich kann im Main Mode an alle Cli ents nur derselbe Pre shared Key vergeben werden was alle
114. hbarkeit von UDP Paketen z B beim UDP basierten Dienst DNS Da Stateful Inspection Filter in der Lage sind sich die aktuelle Status und Kontextinformation einer Kommunikati onsbeziehung zu merken ist es erforderlich dass neben der Quell und Zieladresse so wie Quell und Zielport auch der DNS Header im Anfrage Paket in die Speicherung der Status und Kontextinformation einbezogen wird Es erfolgt eine Interpretation auf der Anwendungsschicht Beispiel Eine gehenden Verbindung zum Port 21 eines Rechners ist f r einen reinen Portfilter eine FTP Verbindung Eine weitere berpr fung findet nicht statt Der State ful Inspection Filter pr ft zus tzlich ob die ber diese Verbindung bertragenen Daten zu einer etablierten FTP Verbindung geh ren Wenn nicht wird die Verbindung sofort unterbrochen Weiter ist ein Stateful Inspection Filter in der Lage Regeln in Abh n gigkeit von notwendigen Kommunikationsprozessen anzupassen Wenn z B eine abge hende FTP Verbindung erlaubt ist so erm glicht die Firewall auch automatisch die Etablierung des zugeh rigen R ckkanals Die entsprechenden Informationen Ports werden aus der Kontrollverbindung herausgelesen Ein vorteilhafter Aspekt von Stateful Inspection Filtern ist die F higkeit die Daten auf allen Protokollebenen d h von Netzwerk bis Anwendungsebene zu pr fen So kann z B ein FTP GET erlaubt ein FTP PUT jedoch verboten werden Ein positiver Effekt der im Vergleich zu konventione
115. hren und Personal Firewalling IP Network Address Translationen IP NAT sowie universelle Filtermechanismen Von zentraler Bedeutung ist IP NAT denn es sorgt daf r dass nur vom Rechner ins Internet ausgehende Verbindungen m glich sind Ankom mende Datenpakete werden auf der Basis eines ausgekl gelten Filterings nach genau definierten Eigenschaften berpr ft und bei Nicht bereinstim mung abgewiesen Das hei t Der Internet Port des jeweiligen Rechners wird vollst ndig getarnt und der Aufbau von unerw nschten Verbindungen un m glich PIN Personal Identification Number PKCS Public Key Cryptography Standard Verschl sse lungssystem mit ffentlichem Schl ssel PKCS 10 Die Form wie ein Zertifikat vom PKI Manager an die CA Certification Authority bertragen wird Meist geschieht dies per Http mit SSL verschl s selt als Https PKCS 11 Basis des Smartcard Standards PKCS 12 Soft Zertifikat Standard der die Syntax der Da teistruktur beschreibt PKCS 15 Pointerbeschreibung Wo befindet sich was auf der Smartcard PKI Public Key Infrastructure Die erforderliche Schl sselinfrastrukur zur authentischen Verteilung ffentlicher Schl ssel wird PKI genannt Private und ffentliche Schl ssel werden f r asymmetri sche Kryptographie verwendet Transaktionsbezo gene Sicherheit erfordert eine eindeutige Partner Benutzerhandbuch Bintec Secure IPSec Client mm m 175 E Abk rzungen und Begriffe 176 PoP
116. ich 4 4 8 Sprache Die IPSec Client Software ist mehrsprachig angelegt Die Standardsprache bei Auslie ferung ist Deutsch Um eine andere Sprache zu w hlen klicken Sie Language Spra che im Pulldown Men Fenster und w hlen die gew nschte Sprache 4 5 Hilfe Die Hilfe zeigt Ihnen den kompletten Hilfetext mit Inhaltsverzeichnis und Index Unter dem Men punkt Hilfe finden Sie mit Klick auf Info die Versionsnummer Ihrer eingesetzten Software und Treiber 94 m m mm Bintec Secure IPSec Client Benutzerhandbuch II E 5 Konfigurationsparameter Die IPSec Client Software gestattet die Einrichtung individueller Profile fiir entspre eS chende Zielsysteme die nach den Benutzeranforderungen konfiguriert werden k nnen Im folgenden sind alle Parameterbeschreibungen aufgef hrt und sie sind so angeord net wie sie auf der Oberfl che des Client Monitors erscheinen Q Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen A bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Test zugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzu gangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www funk werk ec com Benutzerhandbuch Bintec Secure IPSec Client m mm 95 Konfigurationsparameter Profil Einstellungen 5 1 Profil Einstellungen Nachdem Sie Profil Einstellungen im Men des Monitors angeklick
117. ich wird die CAPI bei der Installation ei nes ISDN Adapters automatisch eingerichtet a Analoges Modem Modem F r die Kommunikation ber Modem PSTN muss das Modem korrekt installiert sein sowie Modem Init String und COM Port Definition zugewiesen sein Das Modem muss den Hayes Befehlssatz unterst tzen Ebenso k nnen Mobiltelefone f r die Datenkommunikation genutzt werden nachdem die zugeh rige Software installiert wurde die sich f r den Client genauso darstellt wie ein analoges Modem Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle die IR Schnittstelle Infrarot oder Bluetooth genutzt werden Je nach bertragungsart GSM V 110 GPRS UMTS oder HSCSD muss die Gegenstelle ber 18 a m mm Bintec Secure IPSec Client Benutzerhandbuch Installationsvoraussetzungen die entsprechende Einwahlplattform verf gen Der in die Modemkonfiguration des Secure Clients einzutragende Initialisierungs String ist vom ISP oder dem Hersteller des Mobiltelefons zu beziehen LAN Adapter LAN over IP Um die Client Software mit der Verbindungsart LAN over IP in einem Local Area Network betreiben zu k nnen muss zus tzlich zum bereits installierten LAN Adapter Ethernet oder Token Ring kein weiterer Adapter installiert werden Die Verbindung der LAN Clients ins WAN stellt ein beliebiger Access Router her Einzige Vorauset zung IP Verbindung zum Zielsystem muss m glich sein Die VPN Funktionalit t lie fer
118. ie Funktion des Zertifikats verloren Fingerprint Hash Wert Der mit dem Private Key der CA verschl sselte Hash Wert ist die Signatur des Zertifikats Eingehendes Zertifikat anzeigen Anzeige des Zertifikats das bei der SSL Verhandlung von der Gegenstelle VPN Gate way bermittelt wird Sie k nnen z B sehen ob Sie den hier gezeigten Aussteller in der Liste Ihrer CA Zertifikate siehe unten aufgenommen haben Ist das eingehende Benutzer Zertifikat einer der CAs aus der Liste CA Zertifikate an zeigen nicht bekannt kommt die Verbindung nicht zustande Sind keine CA Zertifikate im Windows Verzeichnis NCPLE CACERTS gespeichert so findet keine berpr fung statt Benutzerhandbuch Bintec Secure IPSec Client mmm 49 Client Monitor E CA Zertifikate anzeigen CA Zertifikate Mit der Client Software werden mehrere Aussteller Zertifikate unterst tzt Multi CA Unterst tzung Dazu m ssen die Aussteller Zertifikate im Windows Verzeichnis NCPLE CACERTS gesammelt werden Im Monitor des Clients wird die Liste der eingespielten CA Zertifikate angezeigt unter dem Men pukt Verbindung Zertifikate CA Zertifikate lt A C DE ST Bayermn L Nuemberg 0 Test OU Test CN NCP Test CA Email info ncp c Wird das Aussteller Zertifikat einer Gegenstelle empfangen so ermittelt der Client den Aussteller und sucht anschlie end das Aussteller Zertifikat zun chst auf Smart Card oder PKCS 12 Datei anschlie en
119. ie PC SC konform sind Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen nachdem Benutzerhandbuch Bintec Secure IPSec Client mmm Installation der Leser angeschlossen und die zugeh rige Treiber Software installiert wurde Die Client Software erkennt dann den Chipkartenleser nach einem Boot Vorgang automat isch Erst dann kann der installierte Leser ausgew hlt und genutzt werden Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein unter Konfiguration Zertifikate Nachdem Sie die Smart Card in den Chipkartenleser gesteckt haben k nnen Sie Ihre PIN eingeben E Chipkartenleser CT API konform Wenn Sie einen CT API konformen Chipkartenleser nutzen beachten Sie bitte folgendes MI Mit der aktuellen Software werden Treiber f r die Modelle Kobil BO B1 Kobil KAAN SCM Swapsmart und SCM 1x0 PIN Pad Reader mitgeliefert Diese Chipkartenleser k nnen im Monitor unter Konfiguration Zertifikate eingestellt werden Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein wenden Sie sich unbedingt an den Hersteller des Chip kartenlesers bzw konsultieren Sie die entsprechende Website bez glich aktueller Hard ware Treiber um den aktuellsten CT API Treiber zu erhalten und zu installieren Neh men Sie au erdem folgende Einstellung in der Client Software vor M Editieren Sie die Datei NCPPKI CONF
120. iert werden 142 2m m Bintec Secure IPSec Client Benutzerhandbuch IP Funktionen Klasse Class B mittlere Netzwerke Netzwerknummern 128 191 Bei Adressen der Klasse B haben die beiden h chsten Bits die Werte 1 und 0 die n ch sten 14 Bits entsprechen dem Netzwerk und die verbleibenden 16 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 2 Byte max 16 384 unterschiedliche Netzwerke Restfeld beansprucht 2 Bytes max 2 hoch 16 65 536 verschiedene Ger te Damit k nnen max 16 384 unterschiedliche Netzwerke jedes mit max 65 526 ver schiedenen Ger ten adressiert werden Klasse Class C kleine Netzwerke Netzwerknummern 192 223 Bei Adressen der Klasse C haben die drei h chsten Bits die Werte 1 1 und 0 die fol genden 21 Bits entsprechen dem Netzwerk und die letzten 8 Bits der lokalen Adresse Netzwerk Abschnitt beansprucht 3 Bytes max 2 097 152 unterschiedliche Netzwerke Restfeld beansprucht 1 Byte max 256 verschiedene Ger te Damit k nnen max 2 097 152 unterschiedliche Netzwerke jedes mit max 256 ver schiedenen Ger ten adressiert werden Beispiel Netz Host Klasse A 122 087 156 045 Klasse B 162 143 085 132 Klasse C 195 076 212 024 Bitte beachten Sie bei der Adressvergabe dass f r einen einzelnen physikalischen Rechner mehrere IP Adressen verwendbar sein m ssen Eine Workstation kann mit ei ner IP Adresse auskommen Ein Router ben tigt f r jede seiner Schnittste
121. igen Kommandos dem zu geh rigen Benutzerhandbuch oder den Mitteilungen der Telefongesellschaft bzw des Providers entnommen werden Jedes der in diesem Fall einzutragenden Kommandos muss mit einem lt cr gt Carriage Return abgeschlossen werden E Dial Prefix Dieses Feld ist optional Ist das Modem korrekt installiert und steht der Software als Standardtreiber zur Verf gung so muss hier kein Eintrag vorgenommen werden Der Dial Prefix ist nur in seltenen Ausnahmef llen n tig Ziehen Sie dazu das Modem Handbuch zu Rate Im folgenden einige Beispiele f r Dial Prefix ATDT ATDP ATDI ATDX g APN Der APN Access Point Profil Einstellungen Zentrale Name wird f r die j GPRS und UMTS Ein bhi At 4 Es Line Management wahl ben tigt Sie erhal IPSecEindelumgen ten ihn von Ihrem Provi der Der APN wird insbe sondere zu administrati LinkFirewal ven Zwecken genutzt g SIM PIN Benutzen Sie eine SIM Einsteckkarte f r GPRS oder UMTS so geben Sie hier die PIN fiir diese Karte ein Benutzen Sie ein Handy so muss diese PIN am Mobiltelefon ein gegeben werden 106 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 4 Line Management Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl Line Management In diesem Parameterfeld bestimmen Sie wie der Verbindungsaufbau erfolgen soll und stellen die Timeout Werte ein Wenn der Client das Verbindungsmedium ISDN
122. indung abgelehnt Der keyldentifier kennzeichnet den ffentlichen Schl ssel der Zertifizierungsstelle und somit nicht nur eine sondern gegebenenfalls eine Reihe von Zertifikaten Damit er laubt die Verwendung des keyldentifiers eine gr ere Flexibilit t zum Auffinden eines Zertifizierungspfades Au erdem m ssen die Zertifikate die den keyldentifier in der authorityKeyldentifier Erweiterung besitzen nicht zur ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst Benutzerhandbuch Bintec Secure IPSec Client mmm ma 129 Konfigurationsparameter Profil Einstellungen 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss Sind eingehende Zertifikate in den Listen von CRL oder ARL enthalten wird die Ver bindung nicht zugelassen Sind CRLs oder ARLs nicht vorhanden findet keine diesbez gliche berpr fung statt 130 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 10 Link Firewall Profil Einstellungen Zentrale Grund
123. inien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vor schlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf d h eine Richtlinie kann aus mehreren Vorschl gen bestehen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie Parameter O Name IKE Richtlinie O Authentisierung IKE Richtlinie O Verschl sselung IKE Richtlinie O Hash IKE Richtlinie O DH Gruppe IKE Richtlinie mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Name IKE Richtlinie Geben Sie dieser Richtlinie einen Namen ber den sie sp ter einer SPD zugeordnet werden kann u Authentisierung IKE Richtlinie Bevor der Kontrollkanal f r die Phase 1 Verhandlung IKE Security Association auf gebaut werden kann muss beidseitig eine Authentisierung stattgefunden haben Zur gegenseitigen Authentisierung wird der allen gemeinsame pre shared Key stati scher Schl ssel verwendet Diesen Schl ssel definieren Sie im Parameterfeld Identi t t E Verschl sselung IKE Richtlinie Nach einem der optionalen Verschl sselung
124. instellungen Dynamische Linkzuschaltung Nur f r ISDN Mit dynamischer Linkzuschaltung f r ISDN kann die Client Software bis zu 8 ISDN B Kan le b ndeln Um diese Funktion in vollem Umfang nutzen zu k nnen muss al lerdings Ihr PC wie auch das Zielsystem mit der n tigen Anzahl von So Schnittstellen 4 ausgestattet sein Die dynamische Linkzuschaltung funktioniert nur wenn sie auch vom Network Access Server des Zielsystems unterst tzt wird Mit dynamischer Linkzuschaltung erh hen sich zwar die Kosten f r jeden zugeschalteten B Kanal gleichzeitig verringern sie sich jedoch in gleichem Ma e weil sich die bertragungsdauer entsprechend verk rzt Mit diesem Parameter bestimmen Sie wie die Linkzuschaltung erfolgen soll Drei M glichkeiten stehen zur Auswahl Aus standard Tx Links werden zugeschaltet entsprechend der Bitrate abgehender Daten Rx Links werden zugeschaltet entsprechend der Bitrate eingehender Daten TxRx Links werden sowohl nach der Bitrate sowohl eingehender als auch abgehender Daten zugeschaltet Schwellwert f r Linkzuschaltung Nur f r ISDN Der Wert dieses Parameters teilt der Client Software die Bitrate mit ab der ein weite rer Link Kanal zugeschaltet werden soll Der Wert entspricht Prozenten der maxima len Bitrate M gliche Werte sind von 1 bis 100 Prozent Standardwert ist 20 Diese Einstellung gilt f r Sender und Empf nger Die Zuschaltung eines weiteren Links erfolgt 8 Sekunden nac
125. intragen z B IBM London Der Name des Profils darf je den gew nschten Buchstaben wie auch Ziffern beinhalten und darf Leerzeichen mitge z hlt bis zu 39 Zeichen lang sein Verbindungstyp Alternativ stehen mit dem IPSec Client zwei Verbindungstypen zur Wahl VPN zu IPSec Gegenstelle In diesem Fall w hlen Sie sich mit dem IPSec Client in das Firmennetz ein bzw an das Gateway an Dazu wird ein VPN Tunnel aufgebaut Internet Verbindung ohne VPN In diesem Fall nutzen Sie den IPSec Client nur zur Einwahl in das Internet Dabei wird Network Address Translation IPNAT weiterhin im Hintergrund genutzt sodass nur Datenpakete akzeptiert werden die angefordert wurden Verbindungsmedium Die Verbindungsart kann f r jedes Profil eigens eingestellt werden vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem Windows System in stalliert ISDN Angeschlossene Hardware ISDN Hardware mit Capi 2 0 Unterst tzung Netze ISDN Festnetz Gegenstellen ISDN Hardware Modem Angeschlossene Hardware Asynchrone Modems PCMCIA Modem GSM Karte mit Com Port Unterst tzung Netze Analoges Fernsprechnetz PSTN auch GSM Gegenstellen Modem oder ISDN Karte mit digitalem Modem LAN over IP Angeschlossene Hardware LAN Adapter Netze Local Area Network mit Ethernet oder Token Ring Gegenstellen Die Gegenstellen des lokalen Multiprotokoll Routers im LAN Benutzerhandbuch Bintec Secure IPSec Client
126. it wird nebenstehendes Anzeigefeld mit den allgemeinen Daten General ge ffnet F r das jeweils eingehende Zertifikat wird dieses Feld bereits ge ffnet nachdem Eingehendes Zertifikat anzeigen im Zertifikats Men gew hlt wurde Das Ansichtsfeld Subject Key Identifier 24 AE 60 BF D1 F9 63 F6 14 4F CF 35 1D FD B5 Authority Key Identifier Key 24 AE G0 BF DI F963 F6 14 AF CF3510 F0 85 General zeigt die Authority Key Identifier Serial Number 00 all geme in en Zertifikatsdaten siehe Bild oben Das Ansichtsfeld Extensions zeigt die Zertifikatserweiterungen sofern sie vorhanden sind siehe Bild links o Auswertung der Erweiterungen Extensions extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck die SSL Server Authentisierung ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erwei terung nicht im Zertifikat vorhanden so wird diese ignoriert Benutzerhandbuch Bintec Secure IPSec Client m 51 Client Monitor Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h a der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierun
127. izieren unabh ngig von der eingesetzten Rechnerplattform oder der jeweiligen Netztopolo gie Damit der Datenaustausch zwischen den un terschiedlichen Rechnern und Netzen innerhalb des Internets m glich wird ist ein allen gemeinsa mes Netzwerkprotokoll n tig siehe TCP IP IP Adresse Jeder Rechner im Internet besitzt f r die Dauer seiner Zugeh rigkeit zum Internet eine IP Adresse Internet Protokoll Adresse die ihn eindeutig identifiziert Eine IP Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte ge trennte Zahlen F r jede Zahl stehen 8 Bits zur Verf gung womit sie 256 Werte annehmen kann Die Anzahl der m glichen IP Adressen insgesamt bleibt jedoch begrenzt Der Internet User be kommt daher nicht einmalig eine unver nderliche IP Adresse zugeteilt sondern f r jede seiner Sessi ons die IP Adresse die gerade noch nicht verge ben ist Die IP Adressen werden also f r die Dauer eines Zeitschlitzes zugeteilt Diese Adress Zutei lung er folgt im Regelfall automatisch per PPP Verhandlung ber DHCP Die IP Adresse kann von speziellen Programmen in einen Namen ber setzt werden Diese Programme laufen auf einem Domain Name Server DNS IP Network Address Translation IP Network Address Translation wird bei der In stallation der Workstation Software bereits vorge sehen und ist standardm ig beim Anlegen eines neues Zielsystems aktiviert Wenn IP Network Address Translation verwendet wird werden a
128. l korrekt konfiguriert wurde siehe unten 3 2 3 Konfiguration kann die Anwahl an dieses Zielsystem stattfinden Das gewunschte Profil wird er Aral ES ber die Auswahl Box unter Werbindung Konfiguration Log Fenster Hilfe dem Hauptmen oder nach Profil Amtsholung Klick auf die rechte Mausta ste aus einer Liste gew hlt siehe nebenstehendes Bild Um eine Verbindung ber das selektierte Profil herzu stellen ist es nicht n tig den Client Monitor eigens zu starten oder die Anwahl ma nuell durchzufuhren Statistik Lediglich die gew nschte Nollet 00 00 00 Applikations Software muss Daten Tx in Byte 0 gestartet werden Daten Rx in Byte 0 Eistee e Die Verbindung wird dann entsprechend den Parame tern des Profils automatisch aufgebaut siehe gt Verbin dungssteuerung Verbin Bintec Secure IPSec Client A ES dungsaufbau automatisch 5 3 z 2 Daneben ist es auch mo Werbindung Konfiguration Log Fenster Hilfe glich manuell die Verbin Zentrale ISDN dung herzustellen indem Sie im Monitor den Haupt men punkt Verbindung er Client Bea w hlen Alternativ kann auch der Button Verbin den angeklickt werden sie he gt Verbindungsaufbau ba 5 Verbindung ist hergestellt anklicken und Verbinden durchgehenden Balken zwischen Client und Server dargestellt unter dem der Text Verbindung ist hergestellt eingeblendet wird Gleichzeitig wird die Ic
129. ldung eines Hash Werts Network Access System Network Basic Input Output System Schnittstelle die Datagramm und streamorientierte Kommuni kation bietet Online Certificate Status Protocol Wird als Proto koll f r die Online Pr fung von Zertifikaten ver wendet Von der ISO standardisiertes Modell das Kommu nikation in sieben Schichten beschreibt 7 Anwen dungsschicht application layer 6 Darstellungs schicht presentation layer 5 Steuerungsschicht session layer 4 Transportschicht transport lay er 3 Netzwerkschicht network layer 2 Daten verbindungsschicht data link layer 1 physikali sche Schicht physical layer Die im Netz zu bermittelnden Daten durchlaufen auf der Sender seite die Schichten von 7 1 auf der Empf nger seite in umgekehrter Reihenfolge Password Authentication Protocol Sicherungsme chanismus innerhalb des PPP zur Authentisierung der Gegenstelle PAP definiert eine Methode nach dem Aufbau einer Verbindung anhand eines Be nutzernamens und eines Passworts die Rechte des Senders zu pr fen Dabei geht das Passwort im Benutzerhandbuch CC A Klartext ber die Leitung Der Empf nger ver gleicht die Parameter mit seinen Daten und gibt bei bereinstimmung die Verbindung frei PC SC Schnittstelle zu Smartcard Readern PEM ltere Form von Soft Zertifikaten ohne Private Key Personal Firewall Die Security Mechanismen der Client Software vereinigen Tunneling Verfa
130. lieren m ssen zur vollen Funktionsf higkeit die In stallationsvoraussetzungen wie im folgenden Kapitel beschrieben erf llt sein Benutzerhandbuch Bintec Secure IPSec Client m 17 Installation 2 1 Installationsvoraussetzungen Betriebssystem Die Software kann auf Computern min 32 MB RAM mit den Betriebssystemen Mi crosoft Windows 98se Millenium Windows NT 3 5 oder h her ab Service Pack 4 oder h her oder Windows 2000 oder Windows XP installiert werden ten f r das jeweils im Einsatz befindliche Betriebssystem bereit um Daten f r die i Halten Sie f r die Dauer der Installation unbedingt die Datentr ger CD oder Disket Treiberdatenbank des Betriebssystems nachladen zu k nnen Zielsystem Die Parameter f r das Zielsystem werden ber die Profil Einstellungen eingegeben Entsprechend der m glichen Verbindungsarten des Clients muss das Zielsystem eine der folgenden Verbindungsarten unterst tzen ISDN PSTN analoges Modem LAN over IP oder PPP over Ethernet Lokales System Q Eines der folgenden Kommunikationsger te und der entsprechende Treiber muss auf i dem Client PC installiert sein E ISDN Adapter ISDN Der ISDN Adapter muss die ISDN CAPI 2 0 unterst tzen Wenn Sie PPP Multilink nutzen kann die Software bis zu 8 ISDN B Kan le je nach Kanalanzahl des Adapters b ndeln Prinzipiell kann jeder ISDN Adapter der die ISDN Schnittstelle CAPI 2 0 unterst tzt eingesetzt werden F r gew hnl
131. liert Sie pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis vorher festgelegter Konfigurationen ab ein Datenpaket durchgelassen wird oder nicht Stateful Inspection ist die Firewall Technologie die den derzeit h chstm glichen Si cherheitsstandard f r Internet Verbindungen und somit das Firmennetz bietet Sicher heit wird in zweierlei Hinsicht gew hrleistet Zum einen verhindert diese Funktionali t t den unbefugten Zugriff auf Daten und Ressourcen im zentralen Datennetz Zum an deren berwacht sie als Kontrollinstanz den jeweiligen Status aller bestehenden Inter net Verbindungen Die Stateful Inspection Firewall erkennt dar ber hinaus ob eine Verbindung Tochterverbindungen ge ffnet hat wie beispielsweise bei FTP oder Netmeeting deren Pakete ebenfalls weitergeleitet werden m ssen F r die Kommuni kationspartner stellt sich eine Stateful Inspection Verbindung als eine direkte Leitung dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt werden darf Alternative Bezeichnungen f r Stateful Inspection sind Stateful Packet Filter Dynamic Packet Filter Smart Filtering Adaptive Screening Stateful Inspection vereinigt konzeptionell die Schutzm glichkeiten von Packet Filter und Application Level Gateways d h sie integriert als Hybrid die Funktionen beider Security Verfahren und arbeitet sowohl auf der Netz als auch Anwenderschicht Bei der zustandsabh ngigen Paket
132. ll Wenn Sie bereits Modems unter Windows installiert haben wird der w hrend die ser Installation festgesetzte Com Port automatisch bernommen sobald Sie das ent sprechende Ger t unter Modem ausw hlen Hinweis Wenn Sie ein bereits unter Ihrem System installiertes Modem nutzen m ch ten so w hlen Sie vor der Einstellung des Com Ports zuerst das gew nschte Ger t un ter Modem aus der entsprechend konfigurierte Com Port wird dann automatisch gesetzt Baudrate Die Baudrate beschreibt die bertragungsgeschwindigkeit zwischen Com Port und Mo dem Wenn Ihr Modem z b mit 14 4 Kbits bertragen kann sollten sie die n chsth he re Baudrate 19200 w hlen Folgende Baudraten k nnen gew hlt werden 1200 2400 4800 9600 19200 38400 57600 und 115200 Com Port freigeben Wenn Sie f r Ihren Client ein analoges Modem verwenden kann es w nschenswert sein dass der Com Port nach Beendigung der Kommunikation f r andere Applikatio nen freigegeben wird z B Fax In diesem Fall stellen Sie den Parameter auf Ein Solange der Parameter in der Standardstellung auf Aus bleibt wird der Com Port ausschlie lich von der Client Software genutzt Benutzerhandbuch Bintec Secure IPSec Client mmm ma 105 Konfigurationsparameter Profil Einstellungen a Modem Init String Je nach eingesetzem Handy oder Modem und der jeweiligen Verbindungsart k nnen AT Kommandos n tig sein In diesem Fall m ssen die jeweil
133. lle bertragenen Frames mit der ausgehandelten PPP IP Adresse verschickt Die Workstation Software bersetzt diese ffentliche IP Adresse in die systemeigene des Intranets oder im Falle der Workstation in deren eigene vom Benutzer festge legte Allgemein ber NAT ist es m glich in ei nem LAN mit inoffiziellen IP Adressen die nicht 172 2m m Bintec Secure IPSec Client Benutzerhandbuch I A im Internet g ltig sind zu arbeiten und trotzdem vom LAN aus auf das Internet zuzugreifen Dazu werden die inoffiziellen IP Adressen von der Soft ware in offizielle IP Adressen bersetzt Dies spart zum einen ofizielle IP Adressen die nicht in unbegrenzter Anzahl zur Verf gung stehen Zum anderen wird damit ein gewisser Schutz Firewall f r das LAN aufgebaut IPCP Internet Protocol Control Protocol IPsec Standards festgelegt von IETF RFCs 2401 2412 12 98 IPX Internet Packet Exchange Netware Protokoll von Novell IPXCP Internetwork Packet Exchange Control Protocol ISDN Integrated Services Digital Network Dienste inte grierendes digitales Fernmeldenetz Digitales Netz mit Integration aller Schmalband Kommunikati onsdienste z B Fernsprechen Telex Telefax Te letext Bildschirmtext bestehend aus Kan len mit einer bertragungsgeschwindigkeit von 64 000 bit s Ein Basisanschluss im sogenannten Schmal band ISDN besitzt drei bertragungskan le Kanal B1 64 000 bit sKanal B2 64 000 bit sKanal D 16 000 bit sDie G
134. llen Paketfiltern erh hten Eigenintelligenz ist die Op 164 2m 2m Bintec Secure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen tion einzelne Pakete w hrend einer Kommunikationsbeziehung zu assemblieren und damit erweiterte M glichkeiten zur Benutzer Authentisierung zur Anwendung zu brin gen Als Folge der nicht verl sslichen Trennung der Netzwerksegmente sind Stateful Inspection Filter nicht immun gegen bestimmte auf unteren Protokollebenen stattfin dende Angriffe So z B werden fragmentierte Pakete i d R von au en nach innen ohne weitere Pr fung durchgelassen Benutzerhandbuch Bintec Secure IPSec Client m 165 Beispiele und Erkl rungen 166 2 m Bintec Secure IPSec Client Benutzerhandbuch CC A Abk rzungen und Begriffe 3DES TripleDES Verschl sselungsstandard mit 112 Bit AES Advanced Encryption Standard Europ ische Ent wicklung der belgischen Verschl sselungsexperten Joan Daemen und Vincent Rijmen Rijndael Al gorithmus Nachfolger von DES Data Encrypti on Standard Verschl sselungsalgorithmus der bis zu 256 Bit Schl ssell nge besitzt n hoch 256 gilt als Ma einheit f r die m gliche Anzahl der Schl ssel die mit diesem Algorithmus generiert werden k nnen Trotz steigender Prozessorge schwindigkeiten wird erwartet dass der AES Al gorithmus eine akzeptable Sicherheit f r die n ch sten 30 Jahre bietet Wird in VPN und SSL Ver schl
135. llen eine IP Adresse mindestens jedoch zwei eine f r den Anschluss zum lokalen Netz LAN IP Adresse eine f r den Anschluss zur WAN Seite Benutzerhandbuch Bintec Secure IPSec Client m 143 Beispiele und Erkl rungen 7 1 3 Netzmasken Subnet Masks In einem Wide Area Network k nnen verschiedene physikalisch getrennte Netze LANs dem gleichen Netzwerk WAN mit der gleichen Netzwerknummer angeh ren Anhand dieser Netzwerknummer allein kann kein Router entscheiden ob er bei einer IP Kommunikation eine Verbindung zu einem physikalisch anderen Netz innerhalb des WANs aufbauen soll Das Netzwerk WAN muss daher in kleinere Abschnitte LANs unterteilt werden die einen eigenen Adressblock erhalten Jeder Adressblock der ein zelnen physikalischen Netze wird als Subnet bezeichnet Durch diese Unterteilung ei nes Netzwerks in Subnets wird die Hierarchie aus Netzwerk und Rechner zu einer Hierarchie erweitert aus Netzwerk Subnet und Rechner Diese erweiterte Hierarchie erleichtert zum einen das Auffinden eines Rechners im Ge samtnetz WAN Man kann sich dies vorstellen analog zur Nomenklatur im Telefon netz wo zum Beispiel die Ortsvorwahl aussagt in welchem Bereich sich ein Anschluss befindet Diese Hierarchie gew hrt auch eine gewisse Zugriffssicherheit So kann in ei nem Firmennetz zum Beispiel der Rechner eines Subnets nicht ohne weiteres auf Res sourcen eines anderen Subnets zugreifen etwa ein Mitarbeiter aus der Ferti
136. llt Beachten Sie dass gr ne Am pellampen eine stehende Ver bindung und anfallende Geb h ren signalisieren Bintec Secure IPSec Client m 135 6 Verbindungsaufbau u Client Logon Erfolgt das Client Logon am Network Access Server vor dem Windows Logon an der remote Dom ne indem die Logon Optionen genutzt werden siehe gt Monitor Logon Optionen so erfolgt der Verbindungsaufbau prinzipiell genau so wie oben unter Verbinden beschrieben Nach der Auswahl des Zielsystems wird mit Klick auf den OK Button der Verbin Bintec Secure IPSec Client x w hlen Sie Ihr Zi 3 j ea dugsaufbau eingeleitet Zielsystem Zentrale m Lokal anmelden Ein Klick auf diesen Button bricht den Dialog zum Verbindungsaufbau ab Amtsholung TF Dom nen Anmeldung aktivieren Lokal anmelden Dom nen Anmeldung Mit dieser Option ist eine sichere WAN Dom nen Anmel aktivieren dung m glich auch wenn vorher keine ordnungsgem e Ab meldung erfolgte Die Anmeldung dauert einige Sekunden Diese Funktion wird nicht ben tigt wenn bei einem ord nungsgem en Herunterfahren Shut Down des Computers eventuell gemappte Laufwerke korrekt getrennt wurden Diese Option ist nur bei einem NT Server als Gegenstelle einsetzbar Bintec Secure IPSec Client PIN Pe sven Wurde die Verwendung eines Soft Zer tifikats konfiguriert so muss zun chst die PIN eingegeben werden
137. ls Absender von Nachrichten ausge ben Soll bei der symmetrischen Verschl sselung in gr eren Gruppen jeder Teilnehmer nur an ihn adressierte Nachrichten lesen k nnen so ist f r je des Sender Empf nger Paar ein eigener Schl ssel notwendig Die Folge ein aufwendiges Schl ssel management So sind bei 1 000 Teilnehmern be reits 499 500 unterschiedliche Schl ssel erfor derlich um s mtliche Wechselbeziehungen zu un terst tzen Bekannteste symmetrische Verschl sse lung ist heute der DES Algorithmus TCP IP Transmission Control Protocol Internet Protocol TCP IP ist ein Netzwerkprotokoll f r heterogene Netze und an kein Transportmedium gebunden Es kann auf X 25 Token Ring oder einfach auf die serielle Schnittstelle aufsetzen und eignet sich des halb besonders als Kommunikati onsprotokoll f r unterschiedliche Netz Topologien und Rechner Plattformen wie sie im Internet gekoppelt sind Dabei wird jeder Rechner im Netzverbund Internet durch seine IP Adresse identifiziert TCP IP um fa t au erdem vier Internet Standardfunktonen 1 FTP File Transfer Protocol f r den Dateitransfer von einem zum anderen Rechner 2 SMTP Simple Mail Transport Protocol f r E Mail 3 TELNET Teletype Network f r Terminalemulati on 4 RLOGIN Remote Login zur Rechnerfernbe dienung TECOS Betriebssystem f r Smartcards Versionen 1 2 2 0 Token Ring Netzwerktopologie mit Ringstruktur von IBM UDP User Data Protocol Baut direkt
138. ls PKI Manager Software ausgestellt und auf eine Smartcard Chipkarte gebrannt Diese Smartcard enth lt u a mit den Zertifikaten digitale Signaturen die ihr den Status eines digitalen Personalausweises ver leihen 180 2 m Bintec Secure IPSec Client Benutzerhandbuch I A Index IO AA ee ie ir ee E 84 A Advanced Encryption Standard 2 2 2 2 2220 167 AES bdo ls e iaa Base a ra 47 115 117 AES 128 AES 192 AES 256 222222222 154 Aggressive Mode sr 2 222m nennen 118 152 AH een ea 148 Aktivierungsschl ssel 2 222222 o o 25 36 Alternative Rufnummern 2 22 103 Amntsholuns creas are ehe 76 103 analoges Modemi sie sarea sr 18 Anschluss eaa 20 4 a a A 105 Anschluss Moderm se se sa caca sa apao ped aos 105 APN e aaea a aae asco E is 106 Asymmetrische Verschl sselung 167 Aussteller CAD 8 0 2 ara i en a oe a 48 Austausch Modus o 152 Authentication Header 148 Authentisierung IKE Richtlinie 115 authorityKeyldentifier 50 52 161 automatische Dialer lt 13 14 Automatischer Modus se trr perae daka a 112 automatischer Verbindungsaufbau 133 IUUOSTACE u er a ae ee eh 93 Autostarttyp manuell so s erp seien onen 160 AVM PPP over CAPI aie ad dba ph hen 19 B B udrate o 4 0 aa a a rt a 105 Beenden des Monitors 2 222 2 2 22 nn 140 Benutzername sn nun 10
139. m Systemadministrator Der Name kann 256 Zeichen lang sein Hinweis Dieser Parameter wird nur ben tigt um Zugriff auf das Gateway der remote Seite zu bekommen Zugangsdaten aus Konfiguration verwenden Als Zugangsdaten f r das VPN k nnen folgende Eintr ge ausgelesen und verwendet werden Zugangsdaten aus Konfiguration verwenden Dies bedeutet dass die in diesem Parameterfeld unter Benutzername und Passwort gemachten Angaben zur erweiterten Authentisierung verwendet werden Zugangsdaten aus Zertifikat E Mail verwenden Dies bedeutet dass statt Benutzername und Passwort der E Mail Eintrag des Zerti fikats verwendet wird Zugangsdaten aus Zertifikat Common Name verwenden Dies bedeutet dass statt Benutzername und Passwort der Benutzer Eintrag des Zertifikats verwendet wird Zugangsdaten aus Zertifikat Seriennummer verwenden Dies bedeutet dass statt Benutzername und Passwort die Seriennummer des Zerti fikats verwendet wird Benutzerhandbuch Bintec Secure IPSec Client mmm ma 121 Konfigurationsparameter Profil Einstellungen 5 1 7 IP Adressen Zuweisung Profil Einstellungen Zentrale Parameter O IKE Config Mode verwenden O Lokale IP Adresse verwenden O IP Adresse manuell vergeben O DNS WINS O DNS Server O WINS Server O Domain Name 122 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen IKE Config Mode verwenden IP Adressen un
140. main die Verbindung zum Network Access Server aufgebaut werden soll F r diesen Verbindungsaufbau m ssen Sie gegebenenfalls die PIN f r ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben Nachdem die Verbindung zum NAS hergestellt wurde k nnen Sie sich an die remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt weiter n chste Seite Benutzerhandbuch Installation der Client Software El Build 58 e Netzwerk Komponenten werden installiert Bitte warten Setup abgeschlossen Die Dateien wurden auf Ihren Computer kopiert Bevor Sie mit dem Programm arbeiten k nnen m ssen Sie Windows bzw Ihren Computer neu starten Nein Computer wird sp ter neu gestartet Nehmen Sie alle Disketten aus den Laufwerken und klicken Sie anschlie end auf Beenden um das Setup abzuschlie en Benutzerhandbuch Danach werden die Dateien der Client Software eingespielt Anschlie end werden die Netzwerkkomponenten installiert Damit ist die Installation der Client Software unter Windows NT 2000 XP abgeschlossen Die neuen Einstellungen werden erst wirksam wenn Sie den Computer neu starten Klicken Sie Ja Computer jetzt neu starten und bet tigen Sie den Beenden Button um Ihr System zu booten Entfernen Sie die Datentr ger aus den Laufwerken Hinweise f r Benutzerberechtigungen finden Sie in der Datei SECCLIENT_NTD TXT
141. muss diese Funktion akti viert werden PIN Abfrage bei jedem Verbindungsaufbau Standardeinstellung Wird diese Funktion nicht genutzt so wird die PIN nur einmalig beim ersten Verbindungsaufbau des IPSec Clients abgefragt Wird diese Funktion aktiviert so wird bei jedem Verbindungsaufbau die PIN erneut abgefragt wird bei einem automatischen Verbindungsaufbau die Verbindung ohne erneute PIN O Wichtig Ist der Monitor nicht gestartet kann kein PIN Dialog erfolgen In diesem Fall Eingabe hergestellt Benutzerhandbuch Bintec Secure IPSec Client mmm 81 Client Monitor PIN Richtlinie 82 Zertifikate r F r die PIN k nnen Richtlinien festgelegt werden die bei Eingabe oder nderung der PIN beachtet werden m ssen Minimale Anzahl der Zeichen Standard ist eine 6 stellige PIN Aus Sicherheitsgr nden werden 8 Stellen empfohlen Weitere Richtlinien Es wird empfohlen alle PIN Richtlinien einzusetzen au er der dass nur Zahlen enthal ten sein d rfen Zudem sollte die PIN nicht mit einer Zahl beginnen Die vorgegebenen Richtlinien werden eingeblendet wenn die PIN ge ndert wird und die Richtlinien die bei der Eingabe erf llt werden werden gr n markiert siehe gt PIN ndern Zertifikatsverl ngerung In diesem Konfigura tionsfeld kann eingestellt werden ob und wie viele Tage vor Ablauf der G l tigkeit des Zertifikats eine Meldung ausgege ben werden soll die vor dem Ablauf der G ltig keit w
142. n Weiter Aktivierungsschl ssel Die Vollversion der Software wird aktiviert indem Sie anschlie end Aktivierungs schl ssel und Seriennummer Ihrer Software Lizenz in die daf r vorgesehenen Felder eintragen Aktivierungsschl s sel und Seriennummer sind auf dem Beipackzettel zur CD Verpackung Sind diese Codes korrekt eingetragen wird der Weiter Button links aktiviert Mit Weiter schalten Sie die Software f r den uneingeschr nkten Funktionsumfang frei Komponenten w hlen xi Wenn Sie eine Normale Installation vornehmen ist das Setup mit diesem Fenster links abgeschlossen weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client mmm 25 Installation 26 Zielpfad w hlen Programmordner ausw hlen Microsoft Office Tools Netscape 7 1 OmniPage Scanner Total Commander Komponenten w hlen a m mm Bintec Secure IPSec Client Nehmen Sie eine Benutzerdefinierte Installation vor so k nnen Sie weitere Einstellungen vornehmen Im ersten Fenster der benutzer definierten Installation kann ein beliebiges Installations verzeichnis f r die Software gew hlt werden Dies ist insbesondere dann wichtig wenn der Benutzer keine Rechte auf das System Root Verzeichnis hat Im folgenden Fenster der Benutzerdefinierten Installation bestimmen Sie den Programmordner f r die Client Software Standard ist Bintec Secure IPSec Client
143. n Der Pre shared Key muss in diesem Fall f r alle Clients identisch sein IP Adressen und DNS Server k nnen ber das Protokoll IKE Config Mode Draft 2 zugewiesen werden F r die NAS Einwahl k nnen alle blichen WAN Schnittstellen verwendet werden Die Authentisierung bei IPSec Tunneling kann ber das XAUTH Protokoll Draft 6 erfolgen Dazu m ssen au erdem noch folgende Parameter im Konfigurationsfeld Identit t gesetzt werden Benutzername Kennwort des IPSec Benutzers Passwort Passwort des IPSec Benutzers Zugangsdaten aus verwenden optional Bei IPSec Tunneling wird im Hintergrund automatisch DPD Dead Peer Detection und NAT T NAT Traversal ausgef hrt falls dies von der Gegenstelle unterst tzt wird Mit DPD pr ft der IPSec Client in bestimmten Abst nden ob die Gegenstelle noch ak tiv ist Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau Unter st tzt die Gegenstelle DPD nicht so kann DPD im Parameterfeld IPSec Einstellun gen deaktiviert werden Der Einsatz von NAT Traversal erfolgt beim IPSec Client automatisch und ist immer n tig wenn auf dem weg zum Zielsystem ein Ger t mit Network Address Translation zum Einsatz kommt u Basiskonfigurationen in Abh ngigkeit vom IPSec Gateway Im folgenden sind Konfigurationsm glichkeiten aufgef hrt die zu beachten sind je nachdem ob das IPSec Gateway Extended Authentication XAUTH und IKE Config Mode unterst tzt oder nicht
144. n tiert und setzt auf TCP auf Port 25 SNA Systems Network Architecture Hierarchisch ori entiertes Netz zur Steuerung von Terminals und zur Unterst tzung des Zugriffs auf Anwendungen in IBM Host Systemen SNMP Simple Network Management Protocol Netzwerk Managementprotokoll auf Basis von UDP IP Source Routing M glichkeit in Token Ring Netzwerken eine We gewahl zwischen Bridges zu optimieren Dabei werden die Wegeinformationen an den Datenblock angeh ngt mit bertragen Auf diese Weise liegt auch der Weg f r die Best tigung eindeutig fest SPD Security Policy Database SSL Secure Socket Layer Gem dem SSL Protokoll kann der dynamische Schl sselaustausch Dyna mic Key Exchange genutzt werden SSL von Netscape entwickelt ist mittlerweile das Standard Protokoll f r dynamischen Schl sselaustausch SSLCP Secure Socket Layer Control Protocol STARCOS Betriebssystem f r Smartcards Symmetrische Verschl sselung Sender und Empf nger verwenden bei der symme trischen Chiffrierung und Dechiffrierung den glei chen Schl ssel Symmetrische Algorithmen sind sehr schnell und sehr sicher dies allerdings nur dann wenn die Schl ssel bergabe zwischen dem Sender und dem Empf nger ungef hrdet erfolgen kann Gelangt ein Unbefugter in den Besitz des Schl ssels so kann dieser alle Nachrichten ent 178 m m Bintec Secure IPSec Client Benutzerhandbuch CC A schl sseln bzw sich unter Verwendung des Schl ssels a
145. n Directory er m glicht wird Das T Online Security Manage ment unterst tzt die standardisierten Protokolle Radius Remote Authorization Dial In User Ser vice und LDAP Lightweight Directory Access Protocol wobei letztere den Zugriff auf zentrali sierte Verzeichnisdienste gew hrleistet Benutzerhandbuch Bintec Secure IPSec Client mm m 169 E Abk rzungen und Begriffe DMZ Demilitarisierte Zone zwischen Firewall und Un ternehmensnetz zum Beispiel mit Web Email und VPN Server DNS Der Domain Name Server DNS stellt die IP Adresse f r eine Internet Sitzung zur Verf gung nachdem die Anwahl mit Benutzername und Pass wort erfolgte Er routet weiter im Internet indem er die Namen die im Browser als gew nschtes Ziel angegeben werden in IP Adressen r ck ber setzt und die Verbindung zu dieser Adresse her stellt D Kanal Protokoll Das D Kanal Protokoll sorgt daf r dass sich End ger te mit dem Netz verst ndigen k nnen Es steu ert unter anderem Verbindungsauf und abbau Es umfasst Schicht 2 und 3 Auf Schicht 2 von ISDN ist HDLC f r die logische Daten bertragungs steuerung eingesetzt Das eigentliche D Kanal Protokoll ist auf Schicht 3 angesiedelt Mittlerwei le ist DSS1 als europaweites D Kanal Protokoll verf gbar DSA Directory System Agent DSS1 European Digital Subscriber System No 1 Euro p isches ISDN Protokoll f r den D Kanal DUA Directory User Agent ECP Eneryption Control Protocol
146. n Sie sich gegen ber dem Network Access Server NAS aus wenn Sie eine Verbindung zum Zielsystem aufbauen wollen Bei Kommu nikation ber das Internet ben tigen Sie den Benutzernamen zur Identifikation am ISP Internet Service Provider Der Name f r den Benutzer kann bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Benutzername vom Zielsystem zugewiesen da Sie vom Zielsystem auch Radius oder LDAP Server erkannt werden m ssen Sie er halten ihn von Ihrem Stammhaus vom Internet Service Provider oder dem Systemad ministrator E Passwort Das Passwort ben tigen Sie um sich gegen ber dem Network Access Server NAS ausweisen zu k nnen wenn die Verbindung aufgebaut ist Das Passwort darf bis zu 254 Zeichen lang sein F r gew hnlich wird Ihnen ein Passwort vom Zielsystem zuge wiesen da Sie vom Zielsystem auch erkannt werden m ssen Sie erhalten es von Ihrem Stammhaus vom Internet Service Provider oder dem Systemadministrator Wenn Sie das Passwort eingeben werden alle Zeichen als Stern dargestellt um sie vor ungew nschten Beobachtern zu verbergen Es ist wichtig dass Sie das Passwort ge nau nach der Vorgabe eintragen und dabei auch auf Gro und Kleinschreibung achten Wird der Parameter Passwort speichern nicht aktiviert so muss er bei jedem Verbin ey dungsaufbau das Passwort per Hand eingeben u Passwort speichern Dieser Parameter muss aktiviert angeklickt werden wenn gew nscht wi
147. n ist gew hrleistet dass die jeweils aktuelle ffentliche IP Adresse auto matisch zur Identifikation f r Phase 1 an das Gateway bertragen wird Benutzerhandbuch Bintec Secure IPSec Client mm m 159 Beispiele und Erkl rungen 7 2 6 IPSec Ports f r Verbindungsaufbau und Datenverkehr Bitte beachten Sie dass der IPSec Client exklusiven Zugriff auf den UDP Port 500 be n tigt Sofern NAT Traversal eingesetzt wird wird auch Zugriff auf Port 4500 ben tigt Ohne NAT Traversal wird das IP Protokoll ESP Protokoll ID 50 benutzt Standardm ig wird der Port 500 der f r den Verbindungsaufbau genutzt wird unter Windows Systemen von den IPSec Richtlinien genutzt Um dies zu ndern gehen Sie wie folgt vor 1 Um sich zu vergewissern welche Ports aktuell von F retstat n a Aktive Verbindungen Ihrem System genutzt den k Sie unt Ir 0 0 0 0 g ABHOREN werden Konnen LE unter Ich B ABHOREN Ss Y der MS DOS Eingabe I 00 ABHOREN ee a Fep 172 Reihen o 93 165 94 21 AMORIN y Kommando UDP 0 0 135 wi UDP e netstat n a UDP gt UDP o den aktuellen Netzstatus UDE Ea anzeigen lassen In der IE 127 A 1 23 I Abbildung rechts erken TE iR 38 in ala ea UDP 172 16 113 140 138 A nen Sie dass der UDP UDP 172 16 113 140 1998 x Port 500 genutzt wird 2 Wird der Port genutzt so muss im Windows Start men das Fenster Sytem I a S Sa Distributed Transaction Koordiniert Tra Manuell LocalSystem Dienste
148. n kann DPD ausgeschaltet werden 118 m m Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen 5 1 6 Identit t Profil Einstellungen Zentrale IP Adresse y Identitat IP Adressen Zuweisung YPN IP Netze Zertifikats berpr fung Link Firewall Entsprechend des Sicherheitsmodus IPSec k nnen noch detailliertere Sicherheitsein stellungen vorgenommen werden Parameter O Typ Identit t O ID Identit t O Pre shared Key verwenden O Extended Authentication XAUTH verwenden O Benutzername Identit t O Passwort Identit t O Zugangsdaten aus Konfiguration verwenden Benutzerhandbuch Bintec Secure IPSec Client mm mmm 119 Konfigurationsparameter Profil Einstellungen 120 Typ Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID fiir eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r eingehende Verbindungen gew hlt sein Folgende ID Typen stehen zur Auswahl IP Address Fully Qualified Domain Name Fully Qualified Username entspricht der E Mail Adresse des Benutzers IP Subnet Address ASNI Distinguished Name ASNI Group Name Free String used to identify Groups ID Identit t Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden Der Wert den der Initiator als ID f r eine abgehende Verbindung gew hlt hat muss bei der Gegenstelle als ID f r
149. n sich zwei IPSec Richtlinien nach dem IPSec Sicherheitspro tokoll AH Authentication Header oder ESP Encapsulating Security Payload Da der IPSec Modus mit AH Sicherung f r flexiblen Remote Access v llig ungeeignet ist wird nur die IPSec Richtlinie mit ESP Protokoll ESP 3DES MD5 standardm ig vorkonfiguriert mit der Software ausgeliefert Jede Richtlinie listet mindestens einen Vorschlag Proposal zu IPSec Protokoll und Authentisierung auf siehe gt IPSec Richtlinie editieren d h eine Richtlinie besteht aus verschiedenen Vorschl gen F r alle Benutzer sollten die gleichen Richtlinien samt zugeh riger Vorschl ge Propo sals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richtlinien Policies die gleichen Vorschl ge Proposals zur Verf gung stehen Automatischer Modus In diesem Fall kann die Konfiguration der IKE Richtlinie mit dem Richtlinien Editor entfallen ESP 3DES MD5 oder anderer Richtlinien Name Wenn Sie den Namen der vor konfigurierten IPSec Richtlinie w hlen muss die gleiche Richtlinie mit all ihren Vor schl gen f r alle Benutzer g ltig sein Dies bedeutet dass sowohl auf Client als auch auf Server Seite die gleichen Vorschl ge f r die Richtlinien zur Verf gung stehen m ssen Richtlinien G ltigkeit Richtlinien Lifetimes Die hier definierte Dauer der G ltigkeit gilt f r alle Richtlinien gleicherma en J m Dauer Es onono Die Menge der
150. ndard ncptrace log E insta5 exe Liesmich txt Benutzerhandbuch Bintec Secure IPSec Client m 89 Client Monitor Alle Transaktionen mit der IPSec Client Software wie Anwahl und Empfang ein schlieflich der Rufnummern werden automatisch mitprotokolliert und in diese Datei geschrieben bis Sie auf den Button mit Schlie e Datei klicken Wenn Sie eine Log Datei anlegen k nnen Sie die Transaktionen mit dem IPSec Client ber einen l ngeren Zeitraum verfolgen Schlie e Datei Wenn Sie auf diesen Button klicken wird die Datei geschlossen die Sie mit ffne Datei angelegt haben Die geschlossene Log Datei kann zur Analyse der Transaktio nen mit dem IPSec Client oder zur Fehlersuche verwendet werden L schen Fensterinhalt Wenn Sie auf diesen Button dr cken wird der Inhalt des Log Fensters gel scht Schlie en Log Fenster Wenn Sie auf Schlie en klicken schlie en Sie das Fenster des Logbuches und kehren zum Monitor zur ck 90 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 4 Fenster Fenster Profilauswahl anzeigen Buttonleiste anzeigen Statistik anzeigen Immer im Vordergrund Autostart y kein Autostart Beim Schlie en minimieren maximiert starten Nach Yerbindungsaufbau minimieren 5 Sprache minimiert starten Unter dem Men punkt Fenster k nnen Sie die Bedienoberfl che des Monitors variie ren und die Sprache f
151. ndlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Verhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 Yerhandlungwunsch mit folgenden Parametern auf Kanal 1 gesendet Maximum Receive Unit 1500 mnel client connection closed mnel control connection closed D4 137 trennen von Test connection SSL auf Kanal 1 19 04 02 09 37 53 ISDN getrennt 349F von Test connection SSL auf Kanal 1 19 04 02 09 37 53 Verbindung normal beendet Eine zus tzliche Log Datei speichert die Aktionen des Clients selbst ndig f r die letz ten sieben Tage Log Ausgaben die lter als sieben Betriebstage sind werden automat isch gel scht Die Datei steht unter NCPLE LOG und hei t NCPyymmdd LOG Sie wird mit Datumsangabe yymmdd immer bei Beenden des Monitors geschrieben Die Datei kann mit einem Texteditor ge ffnet und analysiert werden Logbuch Die Buttons des Logbuchfensters haben folgende Funktionen ffne Datei Schlie e Datei L schen Fensterinhalt Schlie en Log Fenster ffne Datei Wenn Sie auf diesen Button klicken Sre JAA alea erhalten Sie in einem weiteren Fenster ET instnt exe die M glichkeit Name und Pfad einer a Deutsch dat e 129 cl Datei einzugeben in die der Inhalt English dat L238 d1 a y E Hinweise txt lbtace exe des Log Fensters geschrieben wird E Infoenal txt Licengl txt 5 E inioget tet ee Sta
152. ng dar die nur f r einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt werden darf siehe gt Handbuch Beispiele und Erkl rungen Parameter O Stateful Inspection aktivieren O Bei Verwendung des Micro soft DF Dialers ausschlie O Ausschlie lich Kommunikation im Tunnel zulassen lich Kommunikation im Tun nel zulassen O NetBIOS ber IP zulassen Benutzerhandbuch Bintec Secure IPSec Client mm mm 131 Konfigurationsparameter Profil Einstellungen E Stateful Inspection aktivieren aus Die Sicherheitsmechanismen der Firewall werden nicht in Anspruch genommen immer Die Sicherheitsmechanismen der Firewall werden immer in Anspruch genom men d h auch wenn keine Verbindung aufgebaut ist ist der PC vor unberechtigten Zu griffen gesch tzt bei bestehender Verbindung Der PC ist dann nicht angreifbar wenn eine Verbindung besteht Ausschlie lich Kommunikation im Tunnel zulassen Ausschlie lich Kommunikation im Tunnel zulassen Bei aktivierter Firewall kann die se Funktion zus tzlich eingeschaltet werden um in ein und ausgehender Richtung aus schlie lich VPN Verbindungen zuzulassen NetBIOS ber IP zulassen Mit diesem Parameter wird ein Filter aufgehoben der Microsoft NetBios Frames unter dr ckt Diesen Filter aufzuheben um den Verkehr von NetBios Frames zu gestatten ist immer dann zweckm ig wenn Sie zum Beispiel Microsoft Networking ber den IP Sec Client nutzen In der Standa
153. ngen unm glich 1 3 5 PKI Unterst tzung Die Zugangssicherheit zum PC und damit dem Firmennetz kann durch den Einsatz elektonischer Zertifikate in Form von Software PKCS 12 oder Smart Cards PKCS 11 CT API PC SC erh ht werden Der IPSec Client unterst tzt hierf r die Einbindung in eine PKI Public Key Infrastruktur 14 a m mm Bintec Secure IPSec Client Benutzerhandbuch Leistungsumtang Public Key Infrastruktur Public Key Infrastrukturen PKI beschreiben ein weltweit genutztes Verfahren um zwischen beliebigen Kommunikationspartnern auf elektronischem Wege Schliissel si cher auszutauschen Die PKI bedient sich dabei sogenannter Schl sselp rchen aus je weils einem ffentlichen und einem privaten Schl ssel In der Welt des elektronischen globalen Informationsaustausches wird so eine Vertrauensbasis aufgebaut wie wir sie in der traditionellen Gesch ftswelt auf Papierbasis kennen Die digitale Signatur in Verbindung mit Datenverschl sselung ist das elektronische quivalent zur h ndisch geleisteten Unterschrift und belegt Ursprung sowie die Authentizit t von Daten und Teilnehmer Eine PKI basiert auf digitalen Zertifikaten die von einer ffentlichen Zertifizierungs stelle Trust Center ausgestellt als pers nliche elektronische Ausweise fungieren und idealerweise auf einer Smart Card abgespeichert sind Sicherheitsexperten und der IETF Internet Engineering Task Force sind sich dar ber einig dass ein nachh
154. nn eigens konfiguriert werden wie Zertifikate genutzt werden sol len wie die Verbindungssteuerung arbeiten soll und welche Konfigurations Rechte der Benutzer erh lt Q Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen i bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Test zugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzu gangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www funk werk ec com 58 mmama a Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung a 4 2 1 Profil Einstellungen Die Eintr ge der Profil Einstellungen Bei einer Erstinstallation der IPSec Client Software ist noch kein Profil vorhanden In diesem Fall wird automatisch ein Konfiguartions Assistent eingeblendet der Ihnen hilft eine Konfiguration anzulegen Damit wird zugleich das erste Profil der IPSec Cli ent Software angelegt Dieser Assistent wird auch gestartet bei Klick auf Neuer Ein trag siehe unten Neuer Eintrag Profil Mit den Profil Einstellungen kann die Parametrisierung f r die Zielsysteme Profil durchgef hrt und die bertragungsart den Benutzeranforderungen entsprechend bis ins Detail konfiguriert werden Nachdem Sie auf Profil Einstellungen im Monitor Men Konfiguration geklickt haben ffnet sich das Men und zeigt in einer Liste der bereits verf gbaren Profile de ren Namen und
155. o oc ie Ss a e A 25 36 Log Eintr ge serari os ana Wonder ren 89 Logon Optionen eri une nenne ee 85 Lokale IP Adresse verwenden 123 159 lokale Netze im Tunnel weiterleiten 125 Lokales System s ion ae 4 2000 as nenn 22 AAA Rein Be ee 47 118 M Main Mode eres ek wer wer 118 152 manueller Verbindungsaufbau 133 MD aan ee Year 115 117 155 Modem 30 Here Haar 99 104 Modemy Init SENES 40 40 ea er RR 106 N Name IKE Richtlinie 115 Name IPSec Richtlinie 117 NAT T NAT Traversal 123 158 160 NEPLDB e dus dia ed ur en din a 34 NEPBM DAT ye i ay 0 8 a ad a 34 NCPPHONE CEG oe a 2440 a he ah 34 NEPPKECONE cote 4 22202 a nern 21 NetBIOS ber IP zulassen 2 222222 132 NetKey 2000 ne dass ass a E 20 ELMAR E EE 160 Netzeinw hl riega 8 Rees 101 NETAS u as RR A an A Ea 160 Netzwerk Adressen VPN IP Netze 125 NetzWeErKkarlS visos scada ea is 29 Benutzerhandbuch Bintec Secure IPSec Client mm m 183 e P P ssw rt e 2 22 as a a 102 137 140 Passwort XAUTEO os cis ia 008544 120 121 138 Passwort f r VPN Einwahl 138 Passwort speichern u wa 2 ar ero aca era anal 102 Passw rter und Benutzernamen 222222220 137 Personal Firewall o o ocoo oo 13 14 PFS Perfect Forward Secrecy s ce si mret ega eei 155 PRS Gruppen spark da e e ehe 118 BIN Gac a a p
156. on Ampel gr n Damit werden Sie darauf aufmerksam gemacht dass fur eine Remote Verbin dung Geb hren anfallen Eine bestehende Verbindung siehe Bild oben wird mit einem dicken gr nen gs 40 m mm Bintec Secure IPSec Client Benutzerhandbuch Die Benutzung der Monitors 3 1 1 Die Oberfl che des Client Monitors Der Client Monitor besteht aus O einer Titelzeile mit Am pelanzeige Bintec Secure IPSec Client O der Hauptmen leiste O der Profilauswahl mit einem Feld f r die Amtsholung C dem grafischen Statusfeld zur Anzeige des Verbin dungsstatus O der Buttonleiste mit Ver binden und Trennen O und einem Statistikfeld Die Benutzeroberf che ist Windows konform gestaltet und der Bedienung anderer Windows Anwendungen angepasst Der Monitor kann bedient werden ber die Pulldown Men s der Men leiste ber die Buttons der Buttonleiste oder ber das Kontextmen rechte Maustaste Benutzerhandbuch Bintec Secure IPSec Client mmm 41 Client Monitor 3 1 2 Das Erscheinungsbild des Monitors Je nach gew hlter Einstellung im Monitor Menu Fenster erscheint der Monitor nach Ausblenden seiner Bestandteile siehe 3 2 5 Fenster in verschiedenen Gr en Das Verbindungsmedium 5 z l sst sich im Statistikfeld ab de lesen oder kann bei der Na mensvergabe an das Profil Zentrale ISDN mit eingegeben werden so dass sie auch im grafischen Statusfeld erscheint aii
157. r Client DO y Zen Verbinden Trennen Beenden Bintec Secure IPSec Client Al E Verbindung Konfiguration Log Fenster Hilfe Zentrale gar Profil gt Client S Venden Trennen PIN Eingabe x E Bitte geben Sie Ihre PIN ein Bintec Secure IPSec Client Bije Ea Verbindung Konfiguration Log Fenster Hilfe Zentrale Client PIN Bintec Secure IPSec Client Aa ES Verbindung Konfiguration Log Fenster Hilfe Zentrale gra Client PIN 134 2m m Bintec Secure IPSec Client Zun chst wird das Zielsystem ausgew hlt hier ber das Men das nach einem rechten Mausklick erscheint Danach wird die Verbindung hergestellt hier manuell ber das Men das nach dem rechten Mausklick erscheint Wurde die Verwendung eines Soft Zertifikats konfiguriert wie bei der Testverbindung mit SSL so muss zun chst die PIN eingegeben werden Anschlie end wird eine Verbin dung zum Internet Service Pro vider ISP hergestellt gelbe Linie Die Einwahl dorthin wird nun mit einem Globus die Authentisierung beim ISP als H ndesch tteln dargestellt Da bei wechseln die Farben der Symbole je nach aktuellem Sta tus hellblau Station des Verbin dungsaufbaus dunkelblau Station wird gera de durchlaufen Benutzerhandbuch A A Bintec Secure IPSec Client ej ES Verbindung Konfiguration Log Fenster Hilfe m er Zentrale NAS Authentisierung
158. r Verf gung stehen Mit den Buttons Hinzuf gen und Entfernen erweitern Sie die Liste der Vorschl ge oder l schen einen Vorschlag aus der Liste der Richtlinie Benutzerhandbuch Profil Einstellungen Name IPSec Richtlinie Geben Sie dieser Richtlinie einen Namen ber den Sie sie sp ter einer SPD zuordnen k nnen Protokoll IPSec Richtlinie Der fest eingestellte Standardwert ist ESP Transformation IPSec Richtlinie Wenn das Sicherheitsprotokoll ESP eingestellt wurde kann hier definiert werden wie mit ESP verschl sselt werden soll Zur Wahl stehen die gleichen Verschl sselungsal gorithmen wie f r Layer 2 DES Triple DES Blowfish AES 128 AES 192 AES 256 Transformation Comp IPSec Richtlinie IPSec Kompression Die Daten bertragung mit IPSec kann ebenso komprimiert wer den wie ein Transfer ohne IPSec Dies erm glicht eine Steigerung des Durchsatzes um maximal das 3 fache Nach Selektion des Protokolls Comp Kompression kann zwi schen LZS und Deflate Kompression gew hlt werden Authentisierung IPSec Richtlinie F r das Sicherheitsprotokoll ESP kann der Modus der Authentisierung eigens einge stellt werden Zur Wahl stehen MD5 und SHA Benutzerhandbuch Bintec Secure IPSec Client mmm ma 117 Konfigurationsparameter Profil Einstellungen Erweiterte Optionen Exch Mode Der Exchange Mode Austausch Modus bestimmt wie der Internet Key Exchange von statten geh
159. r ckgezogen werden wenn die CA sich bei gleichblei bendem Schl ssel ein neues Zertifikat ausstellen l sst 7 3 3 berpr fung von Sperrlisten Zu jedem Aussteller Zertifikat kann dem IPSec Client die zugeh rige CRL Certificate Revocation List zur Verf gung gestellt werden Sie wird in das Windows Verzeichnis ncple crls gespielt Ist eine CRL vorhanden so berpr ft der IPSec Client eingehende Zertifikate daraufhin ob sie in der CRL gef hrt sind Gleiches gilt f r eine ARL Authority Revocation List die in das Windows Verzeichnis ncple arls gespielt wer den muss 162 2m m Bintec Secure IPSec Client Benutzerhandbuch Stateful Inspection Technologie f r die Firewall Einstellungen 7 4 Stateful Inspection Technologie fur die Firewall Einstellungen Die Firewall Technologie der Stateful Inspection kann f r alle Netzwerkadapter wie auch fiir RAS Verbindungen eingesetzt werden Sie wird am Client im Telefonbuch unter Firewall Einstellungen aktiviert siehe gt Konfigurations Parameter Firewall Einstellungen Am Gateway ist sie dann aktiv wenn im Server Manager unter Rou ting Interfaces Allgemein die Funktion LAN Adapter sch tzen eingeschaltet wird Grunds tzliche Aufgabe einer Firewall ist es zu verhindern dass sich Gefahren aus anderen bzw externen Netzen Internet in das eigene Netzwerk ausbreiten Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und z B Internet instal
160. r Schl ssel zur Anwendungen kommen sollen Die Gegenstelle muss selbstverst ndlich nach der gleichen SA arbeiten Ist die SA ausgehandelt wird jedes Datenpaket gem Betriebsmodus Tunnel oder Transport und Protokoll ESP oder AH bearbeitet Der IPSec Client nutzt immer das ESP Protokoll im Tunnelmodus 148 2m m Bintec Secure IPSec Client Benutzerhandbuch 7 2 2 Firewall Einstellungen Firewall Settings Die Firewall Einstellungen bestehen haupts chlich aus IP Adressen UDP und TCP Ports sowie anderer IP Header spezifischer Eintr ge Wenn Werte eines IP Pakets mit Werten aus dem Selektorteil des Regel Eintrags bereinstimmen wird aus den Regel Eintr gen weiter ermittelt wie mit diesem IP Paket zu verfahren ist Im folgenden die Eintr ge zur Konfiguration im IPSec Client O Ausf hrung Command gestatten permit sperren deny inaktiv disabled O IP Protokoll IP Protocol Dies ist das Transportprotokoll ICMP TCP oder UDP Eines der angebotenen Proto kolle kann ausgew hlt werden oder ein beliebiges alle any wird genutzt O IP Adresse Quelle Source IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Ausgangssysteme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall O IP Adresse Ziel Destination IP Address Dies kann eine einfache IP Adresse oder ein Adressbereich sein Letzteres ist n tig wenn mehrere Zielsy
161. r die Monitoroberfl che festlegen 4 4 1 Profilauswahl anzeigen z Links Minimierte Bintec Secure IPSec Client l Sl en Verbindung Konfiguration Log Fenster Hilfe Zentrale ISDN Client Wenn Sie auf Bintec Secure IPSec Client Me E Profilauswahl Verbindung Konfiguration Log Fenster Hilfe anzeigen klicken kann Profil Amtsholung aus der Liste der Zentrale ISDN konfigurierten Profile das gew nschte ausgew hlt werden Bild unten Benutzerhandbuch Bintec Secure IPSec Client m 91 Client Monitor 4 4 2 Buttonleiste anzeigen Bintec Secure IPSec Client Ea ES venn Sie auf ER a z Buttonleiste anzeigen Verbindung Konfiguration Log Fenster Hilfe klicken werden Buttons Profil Amtsholung f r die Men punkte Zentrale ISDN Verbinden und Trennen aus dem Hauptmen Verbindung eingeblendet Client Werbinden Trennen 4 4 3 Statistik anzeigen Al E Wenn Sie auf Statistik anzeigen klicken Bintec Secure IPSec Client Verbindung Konfiguration Log Fenster Hilfe Profil Zentrale ISDN al werden Informationen zu Datenmenge Verbindungszeit Timeout etc angezeigt Die Monitor Oberfl che ist dann entsprechend gr er Amtsholung p Werbinden Trennen Statistik Werbindungszeit 00 00 00 Timeout sec 0 Daten Tx in Byte 0 Richtung Daten Rx in Byte 0 Yerbindungsart ISDN Durchsatz
162. rd dass das Passwort und das Passwort Ziel sofern es eingegeben ist gespeichert wird Andern falls werden die Passw rter gel scht sobald der PC gebootet wird oder ein Zielsystem gewechselt wird Standard ist die aktivierte Funktion Wichtig Bitte beachten Sie dass im Falle gespeicherter Passw rter jedermann mit Ih rer Client Software arbeiten kann auch wenn er die Passw rter nicht kennt E Rufnummer Ziel F r jedes Ziel muss eine Rufnummer definiert sein da der Client sonst keine Verbin dung herstellen kann Diese Rufnummer muss genauso eingetragen werden als w rden Sie diese Telefonnummer per Hand w hlen D h Sie m ssen alle notwendigen Vor wahlziffern ber cksichtigen Landesvorwahl Ortsvorwahl Durchwahlziffern etc etc 102 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Tragen Sie jedoch nicht die Amtsholung ein auch wenn Sie an einer Nebenstellenanla ge angeschlossen sind Die Amtsholung wird unter dem Monitor Men punkt Konfi guration eingetragen und hat auf diese Weise G ltigkeit f r alle Rufe gt siehe Amtsholung Beispiel Sie wollen eine Verbindung von Deutschland nach England herstellen 00 f r die internationale Verbindung wenn Sie von Deutschland aus w hlen 44 dies ist die landesspezifische Vorwahl f r England 171 Vorwahl f r London 1234567 die Nummer die Sie zu erreichen w nschen Insgesamt wird nach diesem Beispiel folgende Nummer im Tele
163. rd und so lange in der Liste der RFCs gehalten wird so lange sie sich in der Praxis bew hrt Vorformen der RFCs sind Drafts Router ben tigen f r die Wegewahl im Netz Infor mationen ber die g nstigsten Routen von der Quelle zum Ziel Mit Hilfe der Routing Tabellen Benutzerhandbuch I A werden diese Strecken vom Router kalkuliert W hrend beim statischen Routing die Tabellen fest vorgegeben sind erh lt der Router beim dyna mischen Routing ber Router Informationsproto kolle z B RIP NLSP OSPF Informationen ber das Netz die zu selbst erlernten Routing Tabellen zusammengesellt werden und st ndig aktualisiert werden RSA Das erste Verfahren das die Anforderungen an die Public Key Kryptographie erf llte Wurde 1977 von Ron Rivest Adi Shamier und Leonard Adle mann erfunden Schnittstelle Interface Festlegung der zwischen zwei Ger ten bei der Datenfernibertragung im allgemeinen zwischen Datenendeinrichtung und Daten bertra gungseinrichtung erforderlichen elektrischen Verbindungsleitungen der auf diesen herrschen den elektrischen Werten der zur Funktion erfor derlichen Signale sowie der Betriebsweise und Be deutung dieser Signale Man unterscheidet nach parallelen und seriellen Interfaces SHA Secure Hash Algorithm siehe auch Signatur Signatur Bei der digitalen Signatur wird mathematisch eine Verkn pfung zwischen Dokument und dem gehei men pers nlichen Signaturschl ssel des Teilneh mers
164. rdeinstellung ist dieser Filter gesetzt das hei t der Checkbutton nicht mit einem Haken markiert so dass Microsoft NetBios Frames unterdr ckt werden damit sie den Datenverkehr nicht unn tig belasten Markieren Sie den Checkbutton mit ei nem Haken werden NetBios Frames over IP erlaubt E Bei Verwendung des Microsoft DF Dialers ausschlie lich Kommunikation im Tunnel zulassen Bei Verwendung des Client Monitors wird bei Aktivierung dieser Funktion verhindert dass eine Kommunikation ber den DF Dialer zum Internet stattfinden kann 132 m m Bintec Secure IPSec Client Benutzerhandbuch A A 6 Verbindungsaufbau bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Test zugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzu gangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www funk werk ec com D Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen A Verbindungsaufbau zum Zielsystem Sobald die Software installiert und ein Profil korrekt konfiguriert wurden kann die Anwahl ber das Profil an das Zielsystem stattfinden Dabei ist auch die Art der An wahl Bestandteil der Konfiguration eines Profils Sie k nnen aus drei Anwahl Modi f r den Verbindungsaufbeu w hlen automatisch manuell und wechselnd Sie definieren den Modus des Verbindungsaufbaus zu einem Zielsystem in der Profil Einstellungen unter Verbindungsauf
165. rdings die Authentisierung ab schw cht 152 2m 2m Bintec Secure IPSec Client Benutzerhandbuch IKE Aggressive Mode mit Preshared Keys Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID Diffie Hellmann Gruppe unyen 4 Message 2 Header SA Key Exchange Nonce ID Hash schl sselt gt Hash Message 3 Header Hash Eine M glichkeit einen allgmeinen Pre shared Key zu vermeiden w re den Aggressive Mode zu nutzen Bild oben doch wird dabei die ID des Clients nicht verschl sselt IKE Main Mode Identity Protection Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header Security Association Message 2 Header Security Association unver E schl sselt Message 3 Header Key Exchange Nonce Diffie Hellmann a Gruppe Message 4 Header Key Exchange Nonce F Message 5 Header ID Zertifikat Signatur 8 k ymmetrische ver _ gt 7 Verschl sselung schl sselt lt 3 und Hash lt Message 6 Header ID Zertifikat Signatur gt A E x Werden RSA Signaturen eingesetzt Bild oben und unten so bedeutet dies dass Zertfikate zum Einsatz kommen womit die Vorkonfiguration jedweder Secrets berfl ssig wird IKE Aggressive Mode mit RSA Signaturen Initiator Gegenstelle Message 1 Header SA Key Exchange Nonce ID eia Gruppe unver 4 Message 2 Header SA Key Exchange Nonce ID Zertifikat Signatur schl sselt Hash
166. regeln beendet und das IP Paket von der Weiterleitung ausgeschlossen Daten Pakete die auf keinen passen den Deny Filter treffen werden weitergeleitet Benutzerhandbuch Bintec Secure IPSec Client mm m 65 Client Monitor a Konfigurationsfeld Firewall Regeln Firewall Einstellungen In diesem Konfigurations fenster werden die Regeln f r die Firewall zusam mengestellt Die Anzeige Optionen sind standard m ig alle aktiv Mittels dieser wird eingestellt wel Aktiviert bekannte che Regeln in Abh ngig Deaktiviert unbekannte Aktiviert unbekannte keit ihrer Zuordn ung n Deaktiviert unbekannte Deaktiviert unbekannte mozilla exe 7 3 j Deaktiviert a der Ubersicht angezeigt werden unbekannte Netze bekannte Netze VPN Netze anwendungsabh ngig unabh ngig Diese Auswahlfelder f r die Anzeigen der Regeln dienen nur der bersichtlichkeit und haben keine Auswirkung auf die Anwendung einer Filterregel F r jede definierte Regel werden die wichtigsten Eigenschaften gezeigt Name Status Netz Anwendung Durch Klick auf diese Eigenschafts Buttons k nnen die eingeblendeten Regeln sortiert werden Erstellen einer Firewall Regel ber die Buttons unterhalb der Anzeigezeilen werden die Regeln erzeugt oder bearbei tet Um eine Firewall Regel zu erstellen klicken Sie auf Hinzuf gen Die Erstellung einer Filterregel erfolg
167. rt wird in dessen Folge das Betriebssy stem davor warnt die Treiber Software zu installieren Dem kann auf zwei Arten be gegnet werden M ndern Sie die restriktive Standardeinstellung des Systems Unter System Systemei genschaften Hardware Ger temanager Treibersignaturoptionen ndern Sie das Vorgehen von Windows auf Ignorieren Software unabh ngig von Zulassung instal lieren M Nehmen Sie die obige Einstellungs nderung nicht vor erscheint w hrend des Setups nach dem Kopieren der Dateien eine Meldung die vor der Installation des Client Ad apters warnt ignorieren Sie diese Meldung und klicken Sie auf Installation fortset zen 22 mm m mm Bintec Secure IPSec Client Benutzerhandbuch Installation der Client Software 2 2 1 Standard Installation Die ZIP Datei die Sie mit einem Download oder mit der CD erhalten haben kopieren Sie auf die Festplatte des PCs und entpacken sie in einem Verzeichnis Ihrer Wahl Beim Entpacken werden automatisch die Verzeichnisse DISK1 DISK2 DISK3 etc angelegt W hlen Sie im Windows Hauptmen Start gt Einstellungen gt System steuerung In der Windows Systemsteuerung w hlen Sie Software oder Neue Programme hin zuf gen Klicken Sie anschlie end auf den Button zum Installieren von CD oder Dis kette ee AE AR Wenn nebenstehendes Fenster erscheint klicken Sie auf Weiter Im daraufhin erscheinen
168. s Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Benutzers soweit bekannt auch mit Wildcards verwendet werden Vergleichen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Benutzer aufge f hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name s Surname Nachname g Givenname Vorname E Title Titel o Organisation Firma ou Organization Unit Abteilung c Country Land st State Bundesland Provinz 1 Location Stadt Ort email E mail Beispiel cn VPNGW o ABC c de Der Common Name des Security Servers wird hier nur bis zur Wildcard berpr ft Alle nachfolgenden Stellen k nnen beliebig sein etwa 1 5 als Numerierung Die Or ganzation Unit muss in diesem Fall immer ABC sein und das Land Deutschland Aussteller des eingehenden Zertifikats Als Eintr ge des Benutzer Zertifikats der Gegenstelle Server k nnen alle Attribute des Ausstellers soweit bekannt auch mit Wildcards verwendet werden Verglei chen Sie dazu welche Eintr ge bei eingehendes Zertifikat anzeigen unter Aussteller aufgef hrt sind Verwenden Sie die K rzel der Attributtypen Die K rzel der Attributtypen f r Zertifi katseintr ge haben folgende Bedeutung en Common Name Name s Surname Nachname g Givenname
169. s ist die IP Adresse des IPSec Gateways auch Tunnel Endpunkt Sie erhalten die Adresse von Ihrem Administrator entweder als Hex Adresse wenn das Gateway ber eine feste offizielle IP Adresse verf gt oder als Namens String wenn das Gateway eine wechselnde IP Adresse von einem Internet Service Provider erh lt Hex Adresse Die Adresse ist 32 Bits lang und besteht aus vier voneinander durch Punkte getrennte Zahlen Namens String Sie tragen den Namen ein den Sie von Ihrem Administrator erhalten haben Es handelt sich dabei um den DNS Namen des Gateways der beim DynDNS Service Provider hinterlegt wurde E IKE Richtlinie Die IKE Richtlinie wird aus der Listbox ausgew hlt In der Listbox werden alle IKE Richtlinien aufgef hrt die Sie im Richtlinien Editor unter der Verzweigung IKE Richtlinie angelegt haben Die Richtlinien erscheinen in der Box mit dem Namen den Sie bei der Konfiguration vergeben haben Sie finden zwei vorkonfigurierte Richtlinien im Richtlinien Editor unter IKE Richtli nie als Pre shared Key und RSA Signatur Inhalt und Name dieser Richtlinien k nnen jederzeit ge ndert werden bzw neue Richtlinien k nnen hinzugef gt werden Jede Richtlinie listet mindestens einen Vorschlag Proposal zu Authentisierung und Verschl sselungsalgorithmus auf siehe gt IKE Richtlinie editieren d h eine Richt linie besteht aus verschiedenen Vorschl gen Funktional unterscheiden sich diese Richtlinien
170. s re keying o oo 155 Secure Policy Database o o ooo 147 Security e e re 147 Security ASSOCIALIOM su ice ea ee a 147 Security Richtlinie goss u pe a e des 147 SeloktOr 4 oi a a ee a a 147 Seriennummer sospes ooo ooo HE 25 36 48 SHA 2 u 228 aha meine ne 115 117 155 SHAI Fingerprint verwenden 2 22 22 02 128 184 2 m Bintec Secure IPSec Client Benutzerhandbuch Benutzerhandbuch Shared Secretis dsc e a a 120 Short Hold Mode sis isa on as 13 Signs e e a A A aa 20 SIMIPIN sisi da a a ds A 106 Site to Site VEN Hesse on re dy ais ERE 147 Smart Card see renye HR KH an Hu nn 15 19 Soft Zertifik t 0 u 0 0 00 0 se er ae 21 Softw re Eizenz s sose s eara 0 an 2 a ons 25 SOULCE ROULNB es sor arpon a ea 178 SPD EDY 44 4 Ki au we a 147 SPEIBLISTEN u 0 8 es and era De Ach ae N 162 Split Tunneling its a ao ie Ha a E i A 124 SSL Server Authentisierung 2 2 22 162 Stateful Inspection 2 2 2 222m nennen 132 163 Statie Key ci oca ca aone aya ara as a B 47 Statistics os ca a aire a a e Aa 46 Statistik Verbindungssteuerung o 56 Strong Authentication 2 2 2 rn nenn 19 subjectKeyldentifier eo tereca nee ae aie 50 52 161 Subnet Masken pasi ate 2 0 wenn Bean 125 Symmetrische Verschl sselung 2 2 2 178 TE Trust CardOS M4 isso ad a a 20 TEP IP e Sen PEU Re Area BEE AA 19 Testversion 4 4 wre u Bet de ee en 25 36 TIMO S
171. s zum n chsten Timeout noch verbleibt Unmittel bar nachdem der letzte Datenaustausch erfolgt ist einschlie lich Handshake beginnt die Uhr fur den Timeout zu laufen Der Timeout Wert kann im Telefonbuch unter Line Managment eingestellt werden 2 Richtung Unter dieser Rubrik wird die Richtung der Kommunikation wie folgt angezeigt Out ein ausgehender Ruf wird auf diesem Kanal registriert In ein ankommender Ruf wird auf diesem Kanal registriert a Durchsatz Die angezeigte Zahl schwankt entsprechend dem aktuellen Datendurchsatz 46 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i E Verbindungsmedium Folgende Verbindungsmedium werden unterst tzt ISDN Modem LAN over IP xDSL PPPoE xDSL AVM PPP over CAPI GPRS und PPTP E Multilink Besteht die Verbindung ber mehrere ISDN B Kanale so wird hier on angezeigt E Kompression Kompression wird immer vom Gateway definiert IPSec Kompression wird mit IPSec Compression LZS angezeigt E Verschl sselung Der verwendete Verschl sselungsalgorithmus wird angezeigt Folgende Typen werden unterst tzt AES Blowfish 3DES Die Verschl sselungsart wird vom Zentralsystem vorgegeben E Schl sselaustausch Hier wird angezeigt auf welche Art der Austausch des Session Keys erfolgt Static Key Der Schl ssel muss am Client und am Zentralsystem ubereinstimmen Er wird in der Profil Einstellung unter Identit t eingetragen IKE IPSec
172. salgorithmen erfolgt die symmetrische Verschl sselung der Messages 5 und 6 im Kontrollkanal sofern der Main Mode Iden tity Protection Mode gefahren wird Zur Wahl stehen DES Triple DES Blowfish AES 128 AES 192 AES 256 Hash IKE Richtlinie Modus wie der Hash Wert ber die ID bzw das Zertifikat der Messages im Kontroll kanal gebildet wird Zur Wahl stehen MD3 Message Digest Version 5 und SHA Secure Hash Alogrithm E DH Gruppe IKE Richtlinie Mit der Wahl einer der angebotenen Diffie Hellman Gruppen wird festgelegt wie si cher der Key Exchange im Kontrollkanal erfolgen soll nach dem der sp tere symmetri sche Schl ssel erzeugt wird Je h her die DH Group desto sicherer ist der Key Ex change Benutzerhandbuch Bintec Secure IPSec Client mmm ma 115 Konfigurationsparameter Profil Einstellungen IPSec Richtlinie editieren IPSec Richtlinie AES 128 Bit Parameter O Name IPSec Richtlinie O Protokoll IPSec Richtlinie O Transformation IPSec Richtlinie O Authentisierung IPSec Richtlinie 116 mm Bintec Secure IPSec Client Die IPSec Richtli nien Phase 2 Para meter die Sie hier konfigurieren werden zur Auswahl f r die SPD gelistet F r alle Benutzer sollten die gleichen Richtlinien samt zu geh riger Vorschl ge Proposals gelten D h sowohl auf Client Seite als auch am Zentralsystem sollten f r die Richt linien Policies die gleichen Vorschl ge Proposals zu
173. saufbau 133 Wechselnder Verbindungsaufbau 133 Benutzerhandbuch Bintec Secure IPSec Client mm m mm 9 E Inhalt Verbinden s sos so 0 sao a aoa e aaa aa 133 Client Logon pogue kaoa aa ee 16 Passw rter und Bann z nahen Dee ee ee ee Se der AT Passwort f r NAS Einwahl 137 Benutzername und Passwort f r Ertenkled Authentication zy 138 Verbindungsabruch und Fehler 139 Trennen A A I Trennen und Beenden des Monitors ee ee e A 7 Beispiele und Erkl rungen 2 2 2 2 EEE 141 7 1 IP Funktionen Laa a AZ 7 1 1 Ger te eines IP Netzwerke ee ee a A2 7 1 2 IP Adress Struktur do ee ee a A 7 1 3 Netzmasken Subnet Maske he ce ee eh ee ge zei AA 7 14 Zum Umgang mit IP Adressen 222 22 nn nn nn 146 7 2 Security BR ee ae ee ae A 7 2 1 IPSec bersicht EE E Fe A i T IPSec allgemeine Funkbonsbeschreibung Ey 7 2 2 Firewall Einstellungen Firewall Settings 2 2 2 149 7 2 3 SA Verhandlung und Richtlinien Policies er 150 Phase 1 Parameter der IKE Richtlinie IKE Policy o 150 Phase 2 Parameter der IPSec Richtlinie IPSec PA o 150 Kontrollkanal und SA Verhandlung ee IKE MOdi 2 4 2 00 40 de E ua a tr en a a ae Se OZ 7 2 4 IPSec Tunneling ctas por 184 Implementierte Algarithnen f r Phase 1 ind 2 Eur 154 Unterst tzte Authentisierung f r Phase 1 IKE Richtlinie
174. sch generierter Filter freigegeben F r L2Sec UDP 1701 L2TP UDP 67 DHCPS UDP 68 DHCPC F r IPSec UDP 500 IKE ISAKMP IP Protokoll 50 ESP UDP 4500 NAT T UDP 67 DHCPS UDP 68 DHCPC Diese globale Definition erspart die Einrichtung dedizierter Einzelregeln f r die jewei lige VPN Variante Bitte beachten Sie dass dadurch lediglich der Tunnelaufbau erm glicht wird Existie ren keine weiteren Regeln f r VPN Netze die eine Kommunikation im Tunnel zulas sen kann ber die VPN Verbindung kein Datenaustausch erfolgen Firewall bei gestopptem Client weiterhin aktivieren Die Firewall kann auch bei gestopptem Client aktiv sein wenn diese Funktion selek tiert wird In diesem Zustand wird jedoch jede ein und ausgehende Kommunikation unterbunden so dass keinerlei Datenverkehr m glich ist solange der Client deaktiviert ist Wird oben genannte Funktion nicht genutzt und der Client gestoppt so wird auch die Firewall deaktiviert 74 m m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i E Konfigurationsfeld Protokollierung Firewall Einstellungen Die Aktivit ten der Firewall werden je nach Einstellung in eine Log Datei geschrieben Das Ausgabeverzeichnis f r Log Dateien befindet sich standardm ig im Installationsverzeichnis unter lt windows gt ncple log Die Log Dateien f r die Firewall sind im reinen Textformat geschrieben und benannt als Firewallyymmdd log Sie
175. schluss unter Windows NT 2000 XP Komponenten wahlen Mit DHCP Dynamic Host Control Protocol zu kommunizieren bedeutet dass Sie f r jede Session automatisch eine IP Adresse zugewiesen bekommen In diesem Fall klicken Sie auf IP Adresse wird von Server vergeben Netzwerk Einstellungen Wenn Sie die IP Adresse selbst festlegen geben Sie in diesem Fenster die IP Adressen ein Bitte beachten Sie Ist bereits eine Netzwerkkarte mit Default Gateway installiert so muss der Eintrag Default Gateway hier gel scht werden Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein Die DNS Adresse bitte nur eintragen wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verf gung gestellt bekommen haben weiter n chste Seite Benutzerhandbuch Bintec Secure IPSec Client m 31 Installation Komponenten w hlen M a a ui a a u RE Nur bei benutzerdefinierter Installation Komponenten w hlen 32 a m mm Bintec Secure IPSec Client Schlie lich k nnen Sie angeben welche weiteren Protokolle und Dienste Sie installieren wollen Halten Sie daf r den Datentr ger zu Ihrem Betriebssystem bereit da eventuell Treiber von diesem Datentr ger ben tigt werden Mit Weiter schlie en Sie die Benutzerdefinitionen ab Ende der benutzerdefinierten Installation Sie k nnen anschlie end entscheiden ob vor dem Windows Logon an einer remote Do
176. st nur aktiv wenn die PIN bereits richtig eingegeben wurde d h das Zertifikat f r die aufzubauende Verbindung genutzt werden soll Wird die PIN zur ckgesetzt kann dieses Zertifikat f r einen Verbindungsaufbau nicht mehr genutzt werden bis die dazugeh rige PIN wieder richtig eingegeben wurde 54 m m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung 4 1 8 PIN ndern Unter diesem Men punkt kann die PIN f r eine Smart Card oder ein Soft Zertifikat ge ndert werden wenn vorher die richti ge PIN eingegeben wurde siehe PIN eingeben Ohne die vorherige Eingabe einer g lti gen PIN wird dieser Men punkt nicht aktiviert PIN ndern 2 Aus Sicherheitsgr nden um die PIN nderung nur f r den authorisierten Benutzer zuzulas sen muss nach ffnen dieses Dialogs die noch g ltige PIN ein zweites Mal eingegeben werden Die Ziffern der PIN werden in diesem und den n ch sten Eingabefeldern als Sterne dargestellt Anschlie end geben Sie Ihre neue PIN ein und best tigen diese durch Wiederholung im letzten Eingabefeld Mit Klick auf OK haben Sie Ihre PIN ge ndert Die einzuhal tenden PIN Richtlinien werden unter den Eingabefeldern eingeblendet Sie k nnen im Hauptmen unter Zertifikate gt PIN Richtlinien eingestellt werden Bild oben E PIN Eingabezwang nach Abmeldung oder Sleep Mode Wird unter den Betriebssystemen Windows NT 2000 XP der Benutzer gewechselt
177. statt des ber PPP Verhandlung ermittel ten Servers genutzt WINS Server Der zuerst eingetragene WINS Server wird anstatt des ber PPP Verhandlung ermittel ten Servers genutzt Domain Name Dies ist der Domain Name der sonst per DHCP dem System in den Netzwerkeinstellun gen bergeben wird Benutzerhandbuch Bintec Secure IPSec Client mmm ma 123 Konfigurationsparameter Profil Einstellungen 5 1 8 VPN IP Netze Profil Einstellungen Zentrale Grundeinstellungen Netzeinwahl YPN IP Netze Zertifikats berpr fung Link Firewall komunizieren kann Wenn Tunneling genutzt wird und hier keine Eintr ge erfolgen so wird die Verbindung immer zum Tunnel Endpunkt des Gateways aufgebaut Soll alter nierend einerseits ein Tunneling zur Zentrale erfolgen andererseits ber das Internet kommuniziert werden so m ssen hier die IP Netze eingetragen werden die vom Client erreicht werden sollen Sie k nnen dann zwischen dem Internet und dem Gateway der Firmenzentrale hin und her springen Dies wird auch als Split Tunneling bezeichnet 1 Hier k nnen genau die IP Netze definiert werden ber die der Client via VPN Tunnel Parameter O Netzwerk Adressen VPN IP Netze O Subnet Masken O Auch lokale Netze im Tunnel weiterleiten 124 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Netzwerk Adressen VPN IP Netze In diesem Parameterfenster definieren Sie in welchem IP Netz oder welchen IP N
178. stellungen 2 2 2 m nn nn 62 Eigenschaften der Firewall saton aoi e a 63 Konfiguration der Firewall Einstellungen La a 03 Konfigurationsfeld Grundeinstellungen 64 Firewall deaktiviert E Gesperrte Grundeinstellung empiohleny Pao ed a e Offene Grundeinstellung 65 Konfigurationsfeld Firewall Regeln 66 Erstellen einer Firewall Regel 66 Firewall Regel Allgemein 2 2 22 22mm nn 67 Firewall Regel Lokal o o 2 2 2 awan rea nyeu 69 Firewall Regel Remote 22 2 2 2 m nn nn 70 Firewall Regel Anwendungen 222 222 072 Konfigurationsfeld Bekannte Netze 2222 22 073 6 m m mm Bintec Secure IPSec Client Benutzerhandbuch I A Konfigurationsfeld Optionen 2 2 2 2 nn nn nn nn 74 Konfigurationsfeld Protokollierung 2 22 22 20 4 2 3 Amtsholung ee A O 4 2 4 Zertifikate IKonkientatten EA os a a i T Benutzer Zertifikat Konfiguration De Er a ee O Zertifikat s p 0 4 5 2 S hrs man seen er Chipkartenleser ooo a m sr se TO Port ii e A A a O Auswahl Zertifikat De ee ee PKCS 12 Dateiname 2 2 e e nn nn 80 PKCS 11 Modul u i gO Kein Verbindungsabbau bola gezogener r Chipkarte PIN Abfrage bei jedem Verbindungsaufbau 8 PIN Richtlinie De en ee OL Minimale Anzahl der Zeichen pS a er e re OZ Weitere Richtlinien e co p e e e pos nn 82 Zertifikatsverl ngerun
179. steme mit einer gemeinsamen SA unterst tzt werden sollen z B hinter einer Firewall L Port Quelle Source Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton O Port Ziel Destination Port Dies k nnen einzelne TCP oder UDP Portnummern oder ein Bereich von Portnum mern sein Die Portnummern mit zugeordnetem Service bestimmen Sie ber den Aus wahlbutton Benutzerhandbuch Bintec Secure IPSec Client mm m 149 Beispiele und Erkl rungen 7 2 3 SA Verhandlung und Richtlinien Policies Damit der IPSec Filter Prozess in Gang kommen kann m ssen vorher verschiedene SAs verhandelt worden sein Es wird eine SA f r Phase I IKE Richtlinie sowie min destens zwei je f r ein und ausgehende Verbindung f r Phase 2 IPSec Richtlinie ausgehandelt F r jedes Zielnetz siehe gt Profil Einstellungen VPN Networks wer den ebenfalls zwei SAs ausgehandelt E Phase 1 Parameter der IKE Richtlinie IKE Policy Der Kontrollkanal wird im Tunnelmodus von IPSec ber das IKE Protokoll zur IP Adresse des Gateways aufgebaut im Transportmodus direkt zur IP Adresse der Gegen stelle Parameter zur Festlegung von Verschl sselungs und Authentisierungsart ber das IKE Protokoll definieren Sie in den IKE Richtlinien Dabei kann die Authentisierung ber einen Pre shared Key oder eine RSA Signatur
180. t ber vier Konfigurationsschritte bzw Registerkarten Allgemein In diesem Konfigurationsfeld wird festgelegt f r welche Netze und wel ches Protokoll die Regel gelten soll Lokal In diesem Konfigurationsfeld werden die Werte der lokalen Ports und IP Adressen eingetragen Remote Im Remote Feld werden die Port und Adress Werte der Gegenseite einge tragen Anwendungen In diesem Konfigurationsfeld kann die Regel einer oder mehrerer An wendungen zugeordnet werden 66 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i E Firewall Regel Allgemein Einzelregeln stellen immer Aus nahmen von der Grundeinstellung dar siehe gt Grundeinstellung Firewall Regel j ktiviet Bidirektional pre Name der Regel 00 00 00 00 00 00 Mit diesem Namen erscheint die Regel in der Anzeigeliste Status Die Regel wird nur dann auf Datenpakete angewendet wenn der Status aktiv ist Richtung Mit der Richtung geben Sie an ob diese Regel f r eingehende oder ausgehende Daten pakete gelten soll Wird die Richtung auf ausgehend gesetzt wird nach dem Prinzip von Stateful Inspectiongearbeitet siehe gt Eigenschaften der Firewall Stateful In spection wird jedoch nur f r die Protokolle UDP und TCP angewendet Auf eingehend kann z B dann geschaltet werden wenn von Remote Seite eine Ver bindung aufgebaut werden soll z B f r eingehende Rufe oder Administrator
181. t run gen die im Zusammenhang mit dem Programm ste hen sind ausdr cklich ausgeschlossen Funkwerk Enterprise Communications GmbH haftet nur im Um fang ihrer Verkaufs und Lieferbedingungen und bernimmt keine Gew hr f r technische Ungenauig keiten und oder Auslastungen Die Informationen in diesem Handbuch k nnen ohne Ank ndigung ge ndert werden Zus tzliche Informa tionen sowie nderungen zu diesem Produkt finden Sie unter www funkwerk ec com 4 2 m Bintec Secure IPSec Client Benutzerhandbuch I A Inhalt 1 Produkt bersicht 2 2 2 2 Cr 11 1 1 Zum Umgang mit diesem Handbuch 11 1 2 Bintec Secure IPSec Client universelle L sung f r ee VPN L sungen 12 1 3 Leistungsumfang e E A S 1 3 1 Client Monitor Gratische Benutzeroberfl che a en ea S 1 32 Dialer ci ass dr as o ee re JO 1 3 3 Line Management c ece En m nenn 14 1 3 4 Personal Firewall s e s s so s a s a soer ac on na 14 1 3 5 PKI Unterst tzung oa aaa aaa 14 Public Key Infrastruktur o co s e os maa awe a a 15 Smart Card 3 8 0 8 Ko cs a rs a S ee D 2 Installati n lt s s s os s Won zus ara a a e a o a 17 2 1 Installationsvoraussetzungen 2 2 a a nn nn 18 Betriebssystem s s sos acu aoa a a a a 18 ZAEISYStEM e y e e 2 8 o AS ae Lokales System I a A a a De a ar lS ISDN Adapter ISDN dee Ne are a A a A rs N Analoges Modem Modem 2 2 2 nn nn 18 LAN Adapter LAN ov
182. t die Client Software Adapter f r ein wireless LAN WLAN Adapter werden genauso behandelt wie norma le LAN Adapter Auch f r WLAN muss als Verbindungsart LAN over IP gew hlt werden xDSL Modem xDSL PPPoE Die Verbindungsart xDSL PPPoE setzt voraus dass eine Ethernet Karte installiert und dar ber ein DSL Modem mit Splitter korrekt angeschlossen ist xDSL AVM PPP over CAPI Die Verbindungsart AVM PPP over CAPT kann gew hlt werden wenn eine AVM Fritz DSL Karte eingesetzt wird Im Feld Rufnummer Ziel in der Gruppe Netzeinwahl k nnen f r die Verbindung ber CAPI noch AVM spezifische Intitiali sierungskommandos eingetragen werden Unter Windows Betriebssystemen wird jedoch empfohlen den Standard xDSL PPPoE zu verwenden da damit direkt ber die Netzwerkschnittstelle mit der Karte kommuniziert wird Bei Verwendung der AVM Fritz DSL Karte wird keine separate zus tzliche Netz werkkarte ben tigt Voraussetzungen f r den Einsatz von Zertifikaten Wenn Sie die Software mit Zertifizierung X 509 nutzen so m ssen folgende Voraus setzungen erf llt sein TCP IP Das Netzwerk Protokoll TCP IP muss auf dem Rechner installiert sein Chipkartenleser Wenn Sie die Erweiterte Authentisierung Strong Authentication mit Smart Cards nutzen wollen muss ein Chipkartenleser an Ihr System angeschlossen sein Die Client Software unterst tzt automatisch alle Chipkartenleser d
183. t haben ffnet sich das Men und zeigt eine bersicht ber die bereits definierten Profile und die Rufnummern der zugeh rigen Ziele Seitlich finden Sie Buttons ber die Sie die Eintr ge Zentrale des Telefonbuchs Zielsysteme modifizieren k nnen Um ein neues Profil zu definieren klicken Sie in der Men leiste des Monitors auf Profil Einstellungen Das Men ffnet sich nun und zeigt die bereits definierten Pro file Klicken Sie jetzt auf Neuer Eintrag Jetzt legt der Assistent f r ein neues Pro fil mit Ihrer Hilfe ein neues an Dazu blendet er die unbedingt notwendigen Parameter auf Wenn Sie die Eintr ge in diesen Feldern vorgenommen haben ist ein neues Profil angelegt F r alle weiteren Parameterfelder werden Standardwerte eingetragen Profil Einstellungen Um diese Standardwerte zu editieren d h weitere Parameter so einzustellen wie es den Verbindungsanforderungen zum zugeh rigen Zielsystem entspricht w hlen Sie mit der Maus das Profil aus dessen Werte Sie ndern m chten und klicken anschlie Bend auf Konfigurieren Um die Definitionen eines bereits definierten Profils zu kopieren klicken Sie Kopie ren Um ein Profil zu l schen w hlen Sie es aus und klicken L schen 96 mm Bintec Secure IPSec Client Benutzerhandbuch Profil Einstellungen Parameterfelder Die Parameter die die jeweilige Verbindung ber das Profil zu den Zielen spezifizie r
184. t werden Statt den Verzeichnisnamen komplett einzugeben kann der Name dynamisch zusam mengesetzt werden Z B SYSTEMRROT ncple user1 p1l2 SYSTEMDRIVE winxxx ncple user1 p12 Dies erleichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Manager da nun f r alle Benutzer die gleichen Strings mit Umgebungsvariablen einge geben werden k nnen O Wichtig Die Strings f r den Dateinamen k nnen mit Variablen eingegeben werden PKCS 11 Modul Nutzen Sie das PKCS 11 Format so erhalten Sie eine DLL vom Hersteller des Chip kartenlesers oder des Tokens die auf der Festplatte Ihres Rechners eingespielt werden muss In diesem Fall muss Pfad und Dateiname des Treibers eingegeben werden Statt den Verzeichnisnamen f r die PKCS 11 DLL komplett einzugeben kann der Name dynamisch zusammengesetzt werden Z B SSYSTEMRROT ncple pkcs 11 dll SSYSTEMDRIVE amp winxxx ncple pkcs 11 dll leichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Mana ger da nun f r alle Benutzer die gleichen Strings mit Umgebungsvariablen eingegeben werden k nnen O Wichtig Die Strings f r das Modul k nnen mit Variablen eingegeben werden Dies er 80 mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i Kein Verbindungsabbau bei gezogener Chipkarte Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut Damit Kein Verbindungsabbau bei gezogener Chipkarte erfolgt
185. tande Sind keine Aussteller Zertifikate vorhanden wird keine Verbin dung zugelassen berpr fung der Zertifikats Erweiterung Zertifikate k nnen Erweiterungen Extensions erfahren Diese dienen zur Verkn p fung von zus tzlichen Attributen mit Benutzern oder ffentlichen Schl sseln die f r die Verwaltung und den Betrieb der Zerifizierungshierarchie und der Sperrlisten Re vocation Lists ben tigt werden Prinzipiell k nnen Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter beinhalten Die Zertifikats Erweiterun gen Extensions werden von der ausstellenden Certification Authority in das Zertifikat geschrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Be deutung O extendedKeyUsage O subjectKeyldentifier O authorityKeyldentifier Benutzerhandbuch Bintec Secure IPSec Client m 161 Beispiele und Erkl rungen extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erweiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Z
186. ter Tunnelendpunkt IP Adresse Zugangsdaten fur VPN Gateway XAUTH Benutzername Passwort IPSec Konfiguration Exch Mode PFS Gruppe Kompression Statischer Schl ssel Preshared Key ohne Zertifikat IKE ID Typ IKE ID IP Adressen Konfiguration IP Adresse des Clients DNS WINS Server Firewall Einstellungen Verbindung mit dem Internet herstellen Profil Name Verbindungsmedium Zugangsdaten fur Internet Dienstanbeiter Benutzer Passwort Rufnummer Das neue Profil erscheint nun in der Liste der Profile mit dem von Ihnen vergebenen Namen Wenn keine weiteren Parameter Einstellungen n tig sind k nnen Sie die Liste mit Ok schlie en Das neue Profil ist im Monitor sofort verf gbar Es kann im Monitor ausgew hlt werden und ber das Men Verbindung gt Verbinden kann das zugeh ri ge Ziel sofort angew hlt werden m m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Konfigurieren Profil Um die Standard Werte eines Profils zu editieren w hlen Sie mit der Maus das Pro fil dessen Werte Sie ndern m chten und klicken anschlie end auf Konfigurieren Die Profil Einstellungen zeigen nun in ihrem linken Fenster eine Liste von Begriffen denen jeweils ein Parameterfeld zugeordnet ist Profil Einstellungen Zentrale Grundeinstellungen F HO Netzeinwahl Modem Line Management IPSec Einstellungen Identit t Firewal Einstelungen IP Adressen Zuweisun
187. thm Hash AUTH Authentication Method Authentisierung GROUP Diffie Hellmann Group Number DH Gruppe LT Life Type Dauer LS Life Seconds Dauer KL Key Length Schl ssell nge EA HASH AUTH GROUP LT LS KL AES _ CBC SHA XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 256 AES_CBC SHA RSA DH5 SECONDS 28800 256 AES_CBC MD5 RSA DH5 SECONDS 28800 256 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 256 AES_CBC SHA RSA DH2 SECONDS 28800 256 AES_CBC MD5 RSA DH2 SECONDS 28800 256 AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 192 AES_CBC SHA RSA DH5 SECONDS 28800 192 AES_CBC MD5 RSA DH5 SECONDS 28800 192 AES_CBC SHA XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH5 SECONDS 28800 128 AES_CBC SHA RSA DH5 SECONDS 28800 128 AES_CBC MD5 RSA DH5 SECONDS 28800 128 AES_CBC SHA XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC MD5 XAUTH_RSA DH2 SECONDS 28800 128 AES_CBC SHA RSA DH2 SECONDS 28800 128 AES_CBC MD5 RSA DH2 SECONDS 28800 128 DES3 SHA XAUTH_RSA DH5 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH5 SECONDS 28800 0 DES3 SHA RSA DH5 SECONDS 28800 0 DES3 MD5 RSA DH5 SECONDS 28800 0 DES3 SHA XAUTH_RSA DH2 SECONDS 28800 0 DES3 MD5 XAUTH_RSA DH2 SECONDS 28800 0 DES3 SHA RSA DH2 SECONDS 28800 0 DES3 MD5 RSA DH2 SECONDS 28800 0 Wird ein spezifischer IKE Vorschlag in der IPSec Konfiguration der Profil Einstellun gen eingestellt so wird imm
188. u aufgebaut werden wenn Sie die Sperre aufheben Benutzerhandbuch Monitor Bedienung i 4 1 11 Beenden des Monitors Wurde die Verbindung bereits getrennt beendet ein Klick auf diesen Men punkt oder der Schlie en Button den Monitor Besteht noch eine Verbindung kann nach Klick auf diesen Men punkt oder den Schlie en Button der Monitor ebenfalls beendet werden Beachten Sie jedoch unbedingt dass die Verbindung dabei nicht automatisch getrennt wird Soll die m glicherweise kostenpflichtige Verbindung bestehen bleiben obwohl der Monitor beendet wird so wird dazu ausdr cklich eine Best tigung von der Soft ware verlangt 0 Klicken Sie in diesem Best ti were gungsfenster auf Nein so ha ben Sie auf Ihrer Desktop Ober fl che kein Icon und keinen Hinweis mehr darauf dass noch eine Verbindung aktiv ist und Geb hren anfallen k nnen In diesem Fall m ssen Sie den Mo nitor erneut starten um eine be stehende Verbindung korrekt zu beenden Benutzerhandbuch Bintec Secure IPSec Client mmm 57 Client Monitor 4 2 Konfiguration Unter diesem Men punkt k nnen s mtliche Einstellungen f r die Arbeit mit dem IPSec Client vorgenommen werden die l nger als eine Session bestehen sollen Dies betrifft das Anlegen der Profile die Konfiguration der IPSec Verbindungen die Wahl der Ver bindungsart sowie die Eingabe einer Amtsholung f r Anschl sse an Telekommunikati onsanlagen Dar ber hinaus ka
189. ungen und wer den bereits beim Start des Rechners aktiviert D h im Gegensatz zu VPN L sungen mit eigenst ndiger Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN Nutzung gegen Angriffe gesch tzt Die Firewall bietet auch im Fall einer Deaktivierung der Client Software vollen Schutz des Endger tes Alle Firewall Regeln k nnen zentral vom Administrator vorgegeben und deren Einhaltung erzwungen werden Voraussetzung hierf r ist das zentrale NCP Secure Enterprise Management mit dessen Hilfe die Konfiguration des Clients fest f r den Anwender nicht nderbar vorgegeben werden kann Bitte beachten Sie dass die Firewall Einstellungen global lol o d h fiir alle Zielsysteme des Telefonbuchs giiltig sind NCP YPN PKI Client Client en Dagegen ist die Einstellung der Link Firewall die im Telefonbuch vorgenommen wer den kann nur f r den dazu geh renden Telefonbuch Eintrag Zielsystem und die Ver bindung zu diesem Zielsystem wirksam 62 a m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung Eigenschaften der Firewall Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit Stateful Packet Inspection SPI Die Firewall pr ft alle ein und ausgehenden Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks ob ein Datenpaket weiterge leitet oder verworfen wird Sicherheit wird in zweierlei Hinsicht gew hrleistet Zum einen wird der unbefugte Zu
190. unkt Profil Einstellungen im Hauptmen des Monitors unter Konfiguration aktiviert Siehe dazu gt 3 Client Monitor Konfiguration Profil Einstellungen F r die weitergehende Konfiguration eines Profils beachten Sie bitte die Beschreibun ISS gen unter 3 Client Monitor Profil Einstellungen und 4 Konfigurationsparameter IPSec Einstellungen Erst nach der Einrichtung eines Profils kann eine Verbindung zum eingestellten Zielsy stem hergestellt werden Siehe dazu 5 Eine Verbindung herstellen Um die Einstellungen Ihres IPSec Clients auf Funktionst chtigkeit hin zu berpr fen bietet Funkwerk Enterprise Communications einen entsprechenden ffentlichen Test zugang Eine detaillierte Konfigurationsanleitung zur Nutzung dieses VPN Testzu gangs in Verbindung mit dem Bintec Secure IPSec Client finden Sie unter www funk werk ec com O Benutzerhandbuch Bintec Secure IPSec Client mmm 35 Installation 2 4 Freischalten einer Vollversion Wenn Sie bisher eine Testversion der Client Software benutzt haben und nun eine Vollversion nachinstallieren m chten gehen Sie bitte wie folgt vor El Bintec Secure IPSec Client Popup E Aktivieren Sie in der Windows Programmgruppe Bintec Secure IPSec Client das Programm Secure Client Popup Damit erscheint nebenstehendes Fenster bintec funkwerk powered by SECURE COMMUNICATIONS I Encryption high security remote access
191. unterst tzt die routbaren Protokolle TCP IP Weitere Informationen zur Realisierung einer sicheren VPN Kommunikation erhalten Sie auf der Website unter www funkwerk ec com 1 1 Zum Umgang mit diesem Handbuch Damit Sie sich in dieser Dokumentation schnell zurecht finden ist im folgenden kurz ihr Aufbau dargestellt Das Handbuch ist in sechs gr ere Abschnitte untergliedert die Step by Step oder dem Aufbau der grafischen Benutzeroberfl che folgend den jeweiligen Gegenstand be schreiben Diesen Abschnitten folgen zwei Anh nge die dem Verst ndnis und dem Auffinden von Fachbegriffen dienen Kapitel 1 Produkt bersicht mit kurzer Beschreibung des Leistungsumfangs der Software Kapitel 2 Installationsanweisungen Kapitel 3 Beschreibung der grafischen Benutzeroberfl che Kapitel 4 Beschreibung der Konfigurationsm glichkeiten Kapitel 5 Beschreibung der in den Profil Einstellungen aufgelisteten Parameter Kapitel 6 Beschreibung eines Verbindungsaufbaus Kapitel 7 Beispiele und Erkl rungen insbesondere zu IPSec Glossar f r Abk rzungen und Begriffe Index Querverweise sind im Text in Klammern gesetzt und geben die Verweisstelle mit dem Titel bzw nach einem Komma mit dem Untertitel an Texte die am Seitenrand mit einem Ausrufezeichen markiert sind sollten besonders beachtet werden Weiterf hrende Hilfestellungen k nnen jederzeit ber die kontextsensitive Online Hil Lo fe abgerufen werden Benutzerhandbuch Bintec Secure
192. verwendet werden die 802 1x f hig sind und eine entsprechende Authentisierung unterst tzen Mit dem Extensible Authentication Protocol EAP MP5 kann verhindert werden dass sich unberechtigte Benutzer iiber die Hardware Schnittstelle in das LAN einklinken Zur Authentisierung kann wahlweise Benutzername mit Passwort aus dem Konfi gurationsfeld Identit t verwendet werden oder ein eigener EAP Benutzername mit einem EAP Passwort 84 m mm Bintec Secure IPSec Client Benutzerhandbuch Monitor Bedienung i 4 2 7 Logon Optionen O Diese Funktion kann nur unter Windows NT 2000 und Windows XP genutzt werden Logon Optionen x Wenn Sie diesen Men punkt mit einem Mausklick w hlen k nnen Sie im folgenden Fenster entscheiden ob vor dem Windows Logon an einer remote Domain die Verbindung von d der Client Software zum Network Access Server aufgebaut werden soll oj al Dies bedeutet dass die Client Software beim n chsten Booten die Verbindung aufbaut F r diesen Verbindungsaufbau m ssen Sie gegebenenfalls die PIN f r Ihr Zertifikat und das nicht gespeicherte Passwort f r die Client Software eingeben Nachdem die Verbindung zum Network Access Server von der Client Software hergestellt wurde k nnen Sie sich an der remote Domain anmelden Diese Anmeldung erfolgt dann bereits verschl sselt information Nach jeder nderung der Logon Optionen muss der Rechner g
193. weiterun gen Extensions werden von der ausstellenden Certification Authority in das Zertifikat geschrieben F r den IPSec Client und das Gateway sind drei Erweiterungen von Bedeutung extendedKeyUsage subjectKeyldentifier authorityKeyldentifier extendedKeyUsage Befindet sich in einem eingehenden Benutzer Zertifikat die Erweiterung exten dedKeyUsage so pr ft der IPSec Client ob der definierte erweiterte Verwendungs zweck SSL Server Authentisierung enthalten ist Ist das eingehende Zertifikat nicht zur Server Authentisierung vorgesehen so wird die Verbindung abgelehnt Ist diese Erweiterung nicht im Zertifikat vorhanden so wird diese ignoriert Bitte beachten Sie dass die SSL Server Authentisierung richtungsabh ngig ist D h der Initiator des Tunnelaufbaus pr ft das eingehende Zertifikat der Gegenstelle das sofern die Erweiterung extendedKeyUsage vorhanden ist den Verwendungszweck SSL Server Authentisierung beinhalten muss Dies gilt auch bei einem R ckruf an den Client ber VPN subjectKeyldentifier authorityKeyldentifier Ein keyldentifier ist eine zus tzliche ID Hashwert zum CA Namen auf einem Zertifi kat Der authorityKeyldentifier SHA1 Hash ber den public Key des Ausstellers am eingehenden Zertifikat muss mit dem subjectKeyldentifier SHA1 Hash ber den public Key des Inhabers am entsprechenden CA Zertifikat bereinstimmen Kann kei ne bereinstimmung erkannt werden wird die Verb
194. ws a ren 99 Verbindungstyp dota E p a a 9O VPN zu IPSec Besen elle a ee aa ran 299 Internet Verbindung ohne VPN 99 Verbindungsmedium 2 nn nn 99 ISDN dce 2 4 3 a de ma a e a ee 99 Modem s 2 2 w Sa en nen nen 99 LAN COVE TIP 2 2 28 dal a Er ie 99 XDSL PPPoE pps ga e ADO xDSL AVM PPP over CAPI EE e O GPRS UMTS lt eoe a oae ce w ai a ana a e o LOO PPTP palas ek ee OO Microsoft DF Dialer ersehen ee e 100 Dieses Profil nach jedem Neustart des Systems vemi nden sw 100 3 1 2 Netzeinw hl e so gt e 2 8 ee e 01 Ben tzern me ssp o he ie OZ Passwort De ee OR Passwort en Le b tow ee 02 Rufnummer Ziel gt sp s sea nn nn 102 Alternative Rufnummern 2 2 2 aa 103 Script Datel s s so ecu Swan waua aa e o ai ae a 03 5 13 Modem e so sesos c popoe weie ros a ee Se e e 104 Modem g maere de AA a e 0 Anschluss s e roe e es nen es LOS Baudrate LA a sa OS Com Port a A US Modem Init String gt s s nn nn 106 Dial Prenk s ces ce aa a dr a 06 APN c 22 0 8 0 sie ra m ars 06 SIM PIN e 2 0 25 0 da aa VG 5 1 4 Line Management s s oco os m w nn 107 Verbindungsaufbau 2 nn nn nn 108 Timeout ie ee in OS Dynamische Linkzuschaltung Nur f r ISDN ssl g rup L09 Schwellwert f r a Nur f r ISDN 109 5 1 5 IPSec Einstellungen Lara a es a VO Gateway o orcos ea ss a os ll IKE
Download Pdf Manuals
Related Search