Im Test: NCP Secure Enterprise Solution – Zentral verwaltetes VPN mit starken Clients

Die Installation neuer Clients

Um einen neuen Client in die NCP VPN-Umgebung zu integrieren, erzeugen die Administratoren zunächst die Konfiguration für den entsprechenden Benutzer. Dazu können sie entweder eine Vorlage nutzen oder eine vollkommen neue Konfiguration mit Zugriffsrechten, Firewall-Einstellungen und den anderen eben erwähnten Punkten generieren. Es ist sogar möglich, Benutzer zu Gruppen hinzuzufügen und diesen Gruppen einheitliche Konfigurationsparameter mitzugeben.

Sobald die Konfiguration existiert, lässt sie sich als Datei exportieren und zum Beispiel zusammen mit dem MSI-Installationsfile des Secure Enterprise Clients in einem Verzeichnis abspeichern. Möchten die zuständigen IT-Mitarbeiter ihre Installation personalisieren und beispielsweise ihr Unternehmenslogo zum Arbeitsfenster des Clients hinzufügen, so können sie dies durch das Anpassen einer INI-Datei und das Kopieren des Logos in ein Unterverzeichnis des Installationsordners verwirklichen. Führt der Client nun die Setup-Datei aus dem Installationsordner aus, so spielt er damit nicht nur die VPN-Software auf seinem System ein, sondern erhält auch gleich die richtige Konfiguration und – falls vorhanden – das angepasste Logo, so dass er nach Abschluss des Setups sofort loslegen kann. Weitere Updates erfolgen dann im laufenden Betrieb direkt über das VPN oder aus dem Unternehmensnetzwerk heraus.

Windows Clients im laufenden Betrieb

Der NCP-Client für Windows unterstützt – übrigens genau wie der Android-Client, auf den wir später noch genauer eingehen – alle IPSec-Standards nach RFC sowie alle gängigen Verschlüsselungsmethoden, Schlüsselaustauschverfahren und Hash-Algorithmen (beispielsweise AES, Blowfish, Triple-DES, RSA, PFS, SHA und MD5). Abgesehen davon wurde das verwendete Kryptografiemodul nach FIPS 140-2 zertifiziert. Zusätzlich kann die Lösung neben Pre-Shared Secrets auch IKE in der Version eins und zwei einsetzen. Die integrierte Path Finder-Technologie sorgt dafür, dass der Client auch dann eine Verbindung zur Unternehmenszentrale aufbauen kann, wenn Port 500 nicht offen, beziehungsweise UDP Encapsulation nicht möglich ist. Diese Situation tritt oftmals in öffentlichen Hotel-WLANs auf. Stellt die App fest, dass die genannten Verbindungsoptionen nicht zur Verfügung stehen, so führt sie einen Fallback auf Port 443 durch, der auch in Hotels standardmäßig offen bleibt. Damit dieses Feature funktioniert, muss es allerdings auch am Gateway aktiv sein.

Startet ein Anwender seinen Rechner mit dem installierten NCP Secure Enterprise Client, so kommt standardmäßig direkt nach dem Login das Fenster des Client-Programms hoch und ermöglicht es den Benutzern, eine VPN-Verbindung zum Unternehmens-Gateway herzustellen. Dazu wählen sie zunächst eines der ihnen zur Verfügung stehenden Profile aus und klicken anschließend auf “Verbinden”. Daraufhin stellt der Client die Verbindung her und zeigt anschließend die Verbindungszeit, die übertragenen Daten, die Verschlüsselung, die Verbindungsart und ähnliches an.

Abgesehen davon steht den Benutzern auch noch eine Menüzeile zur Verfügung, über die sie die Funktionalität der Client-Software nutzen können. Der erste Menüpunkt heißt “Verbindung” und ermöglicht nicht nur das Aufbauen und Unterbrechen bestehender VPN-Connections, sondern hilft den Anwendern auch beim Durchführen einer Hotspot-Anmeldung, beim Eingeben, Zurücksetzen und Ändern der PINs für die verwendeten Zertifikate und beim Anzeigen der Verbindungsinformationen und der verfügbaren Verbindungsmedien, also LAN, WLAN, ISDN, UMTS und ähnliches. Was die Verbindungsinformationen angeht, so präsentiert die Software neben den bereits im Zusammenhang mit dem Hauptfenster erwähnten Daten wie Verbindungszeit und Verschlüsselung auch Informationen über die verwendeten IP-Adressen, den DNS-Server und die Datenkompression.

An gleicher Stelle haben die Anwender auch die Option, die Zertifikate anzuzeigen und das SMS-Center aufzurufen. Im SMS-Center können die Benutzer beim Einsatz einer GPRS/UMTS-Karte SMS-Nachrichten verschicken, einsehen, beantworten, weiterleiten und löschen.

Das Verbindungsmenü bietet den Mitarbeitern neben den bereits beschriebenen Funktionen auch die Möglichkeit, die so genannte Parameter-Sperre aufzuheben. Mit der Parameter-Sperre sind die Administratoren dazu in der Lage, den Benutzerzugriff auf die Konfigurationseinstellungen einzuschränken. In manchen Situationen kann es aber sinnvoll sein, den Anwendern dennoch Gelegenheit zu geben, die Konfiguration zu modifizieren. Dann genügt es, dem User einen Benutzernamen und ein einmal gültiges Passwort zu übermitteln. Wenn er dieses eingibt, wird die Parameter-Sperre vorübergehend außer Kraft gesetzt.

Im Menü “Konfiguration” haben die Anwender die Option, Profile hinzuzufügen, zu bearbeiten, zu gruppieren, zu kopieren und zu löschen. Darüber hinaus können sie auch das Standardprofil festlegen. Natürlich lässt sich dieser Menüpunkt auch komplett für Anwender sperren.

Möchten sie ein Profil bearbeiten, so stehen ihnen dazu – wenn der VPN-Administrator dies erlaubt – im Windows-Client die gleichen Optionen zur Verfügung, die auch die zentrale Management-Schnittstelle bietet. So können sie dem Profil einen Namen geben und das Verbindungsmedium (WLAN, UMTS und so weiter) festlegen oder eine freie Medienwahl ermöglichen. Außerdem sind sie auch dazu in der Lage, “Seamless Roaming” zu aktivieren, den Tunnel-Endpunkt zu definieren und das Protokoll sowie die Authentisierung zu konfigurieren. An gleicher Stelle lässt sich auch die Zertifikatskonfiguration vornehmen.

Damit nicht genug ist es auch möglich, die IKE- und IPSec-Richtlinien zu bearbeiten, das Split-Tunneling zu konfigurieren und festzulegen, ob der Verbindungsaufbau manuell oder automatisch stattfinden soll. Zusätzlich lassen sich in der Profilkonfiguration auch noch die DNS-Server angeben und erweiterte Authentisierungsoptionen bearbeiten.

Der nächste Menüpunkt befasst sich mit der in den Client integrierten WLAN-Konfiguration, die anstelle der WLAN-Verwaltung durch das Betriebssystem oder als Ersatz für proprietäre Hersteller-Tools zum Einsatz kommen kann. Hier sind die zuständigen Mitarbeiter zunächst einmal dazu in der Lage, den zu verwendenden Adapter auszuwählen. Anschließend zeigt ihnen die Software die verfügbaren WLAN-Zugriffspunkte und ermöglicht den Aufbau einer Verbindung. Es ist auch möglich, so genannte WLAN-Profile zu hinterlegen, die es der Software ermöglichen, automatisch mit bestimmten WLANs (beispielsweise Hotspots) in Kontakt zu treten. Es besteht sogar die Option, die WLAN-Verbindungen automatisch beim Beenden der VPN-Connection zu trennen. WLAN-Statistiken runden den Leistungsumfang der Verwaltung der Wireless Networks ab.

Ebenfalls von Interesse sind die bereits von der Client-Konfiguration her bekannten Verbindungsoptionen, die sich zum Beispiel nutzen lassen, um die Kosten der Verbindungen über verschiedene Medien wie ISDN, DSL oder Modem im Griff zu behalten. Zu guter Letzt haben die zuständigen Mitarbeiter auch noch die Möglichkeit, externe Anwendungen zu konfigurieren. Dabei ist es beispielsweise möglich, den Standard-Browser automatisch direkt nach dem Verbindungsaufbau zu starten oder auch Batch-Dateien und Applikationen anzugeben, die der Client nach dem Herstellen der Connection selbstständig starten soll. Dieses Feature ermöglicht beispielsweise das automatische Durchführen von Konfigurations-Updates auf dem Client oder den Start eines Anmeldeskriptes. Funktionen zum Laden der letzten Konfiguration und zum Sichern und Wiederherstellen der Profile schließen den Leistungsumfang der Client-Konfiguration ab. Sämtliche genannten Konfigurationsmöglichkeiten werden im Normalfall natürlich über das VPN-Management System gesteuert.

Im Menü “Ansicht” sind die Benutzer dazu in der Lage, einzelne Komponenten der Software, wie etwa die Profilauswahl, die Button-Leiste oder auch die Verbindungsstatistik und den WLAN-Status anzuzeigen oder auszublenden. Außerdem können sie festlegen, ob die Software nach dem System-Boot automatisch starten soll und welche Sprache zum Einsatz kommt (Deutsch, Englisch, Französisch oder Spanisch).

Abgesehen von den genannten Funktionen stellt der Client auch noch ein Hilfe-Menü zur Verfügung, das nicht nur einen Zugriff auf die Hilfetexte ermöglicht, sondern auch eine Netzwerkdiagnosefunktion mit Ping und DNS-Abfragen bietet. Ein “Client Info Center” mit umfassenden Informationen zum Client, dem verwendeten Computersystem, den Verbindungen, dem Dienststatus, der Zertifikatskonfiguration und vielem mehr gehört ebenfalls zum Funktionsumfang des Hilfe-Menüs.

Die Arbeit mit dem Client im laufenden Betrieb

Im Betrieb verwendeten wir unsere Clients sowohl im LAN und WLAN als auch über Mobilfunknetze. Dabei kam es zu keinen unliebsamen Überraschungen. Positiv zu erwähnen ist, dass das VPN von NCP die VPN-Connection bei Verbindungsabbrüchen und Medienwechseln (beispielsweise von einem WLAN zum anderen oder von UMTS ins WLAN) am Leben erhält. In der verbindungslosen Zeit erscheint lediglich eine Meldung, die besagt, dass die Internet-Verbindung unterbrochen sei. Sobald wieder ein Internet-Zugriff existiert, baut das VPN die Connection automatisch wieder auf. Das macht die VPN-Nutzung auf Reisen sehr komfortabel. Generell können wir außerdem sagen, dass die Arbeit mit dem VPN-Client für Windows keinen Anwender vor unüberwindliche Probleme stellen dürfte und dass die Einbindung von Windows-Systemen in die VPN-Umgebung recht einfach erfolgt.