Sysbus
CloudManagementSecurityTests

Im Test: NCP Secure Enterprise Solution – Zentral verwaltetes VPN mit starken Clients

gg

Das Einbinden von Clients unter Android

Um Android-Clients in die VPN-Umgebung zu integrieren, stellt NCP den “Android Secure Managed Client” zur Verfügung. Dabei handelt es sich um eine Android-App, die den Aufbau der VPN-Verbindung realisiert und dabei auch die Arbeit mit unterschiedlichen Verbindungsprofilen ermöglicht. Die Software läuft auf allen Android-Versionen von 4.0 bis 5.0 und ist in unterschiedlichen Varianten für ARM- und x86-CPUs erhältlich.

Um den Client auf einem Android-Gerät zu installieren, müssen die Benutzer zunächst einmal die Installation von Software aus unbekannten Quellen auf ihrem Mobile Device zulassen. Anschließend können sie dann die Installations-APK-Datei der Client-Software, die den Kunden von NCP zur Verfügung gestellt wird und die bereits die Konfiguration und die einzusetzenden Zertifikate enthält, auf die Android-Lösung kopieren und dort einspielen. Das Setup verwendet die benötigten Zertifikate und die dazugehörige Konfiguration in diesem Fall automatisch, so dass die Anwender direkt nach der Installation dazu in der Lage sind, eine Verbindung aufzubauen. Bei Bedarf ist es auf dem Gerät jederzeit möglich, die Konfiguration nachträglich zu bearbeiten und andere Zertifikate zu selektieren.

Wie bereits angesprochen unterstützt die Software – genau wie der Windows-Client – alle IPSec-Standards nach RFC sowie alle gängigen Verschlüsselungsmethoden, Schlüsselaustauschverfahren und Hash-Algorithmen. Abgesehen davon wurde auch hier das verwendete Kryptografiemodul nach FIPS 140-2 zertifiziert. Außerdem ermöglicht die Android App ebenfalls den nahtlosen Wechsel von einer Umgebung in die nächste, ohne dass dabei die Verbindung zusammenbricht.

Im Test funktionierte der Verbindungsaufbau zu unserer VPN-Umgebung nach der Installation der Client-App auf Anhieb. Die Einbindung von Android-Systemen läuft demzufolge sehr einfach ab.

Gehen wir an dieser Stelle noch kurz etwas genauer auf den Leistungsumfang der App von NCP ein. Ruft der Benutzer diese Software über ihr Icon auf dem Android-Startbildschirm auf, so landet er in einer Übersichtsanzeige, die der des Windows-Clients nachempfunden wurde. Hier kann er das zu verwendende Verbindungsprofil auswählen, die Verbindung ein- oder ausschalten und Statistiken zur Verbindung einsehen. Das Icon der NCP-Lösung, das in der Statusleiste von Android erscheint, visualisiert zudem noch den aktuellen VPN-Zustand und zeigt auch Lizenzprüfung und Roaming an.

Über die Menüeinstellungen sind die Benutzer zudem noch dazu in der Lage, ähnlich wie bei der Windows-Version umfassendere Statistiken aufzurufen, das Log einzusehen und diverse Einstellungen vorzunehmen. So können sie beispielsweise die Verbindungsstatistiken und das Icon ausblenden oder auch die Profile bearbeiten. Dabei stehen – ähnlich wie bei der Windows-Variante – diverse Optionen zur Wahl, wie Auswahl des Tunnel-Endpoints oder auch der Inaktivitäts-Timeout.

Der Android-Client im laufenden Betrieb

Eine Funktion für den Im- und Export der Konfiguration, der Log-Dateien und der Zertifikate rundet zusammen mit einer Funktion zum Zurücksetzen der PINs und der bereits von dem Windows-Client her bekannten Option zum Aufheben der Parametersperre den Leistungsumfang des Android-Clients ab.

NCP stellt zusätzlich noch Widgets zur Verfügung, die sich mit bestimmten Verbindungsprofilen verknüpfen lassen und es den Usern anschließend ermöglichen, direkt vom Android-Startbildschirm aus VPN-Verbindungen auf- und abzubauen. Der Status des VPN-Tunnels wird dann im Betrieb über das Widget-Icon visualisiert.

Die Arbeit mit iOS- und Windows Phone-Clients

Im Test integrierten wir auch zwei Clients (ein iPad und ein iPhone) unter iOS 8.3 und ein Nokia Lumia 930 unter Windows Phone 8.1 in unsere VPN-Umgebungen. Hier läuft die Konfigurationsarbeit anders ab, da keine dedizierte NCP-App zur Verfügung steht. Stattdessen müssen die Anwender den VPN-Client von iOS beziehungsweise Windows Phone für den Verbindungsaufbau nutzen.

Im Wesentlichen geht es bei der Konfiguration von Clients, die unter den mobilen Betriebssystemen von Apple und Microsoft laufen darum, die richtigen Richtlinien festzulegen und die benötigten Zertifikate zu verteilen. Das dabei erforderliche Vorgehen wird sehr genau in der Dokumentation von NCP beschrieben. Deswegen genügt es an dieser Stelle, darauf hinzuweisen, dass sich die genannten Endgeräte im Test ohne Schwierigkeiten mit dem NCP-VPN nutzen ließen.

Das zentrale Management

Gehen wir zum Schluss noch kurz auf die zentrale Management-Umgebung der NCP-Lösung ein. Es handelt sich dabei um eine Windows- oder Linux-Applikation, mit der sich die Verbindungskonfigurationen und Profilvorlagen für die einzelnen Clients genauso verwalten lassen, wie die Firewall-Konfigurationen und die Firewall-Konfigurationsvorlagen. Das gleiche gilt für die zum Einsatz kommenden VPN-Gateways (einschließlich Hochverfügbarkeitskonfigurationen) und die Zertifikate. Ein Systemmonitor schließt den Leistungsumfang der Managementumgebung ab.

Das Konfigurationswerkzeug übernimmt aber nicht nur Aufgaben des Managements und der Überwachung von VPN-Installationen, sondern ist auch dazu in der Lage, Software Update-Listen zu verwalten und bringt zudem die bereits angesprochene Skriptsprache mit, über die sich viele Aufgaben automatisieren lassen. In unserem Test erzeugten wir ein Skript, das regelmäßig nachsah, ob in unserer Active Directory-Umgebung neue User in die Gruppe “VPNUser” aufgenommen worden waren. War dies der Fall, so erzeugte dieses Skript für die neuen User mit Hilfe einer Client-Profilvorlage automatisch Benutzerprofile, die diese dann verwenden konnten, um sich mit dem VPN zu verbinden. Manuelle Aktionen der Administratoren waren dazu nicht erforderlich, auch nicht zum Löschen überflüssiger User-Accounts: wurden Benutzerkonten aus der Gruppe “VPNUser” entfernt, so löschte das Skript automatisch die dazugehörigen Verbindungsprofile. Auf diese Weise sparen die IT-Verantwortlichen nicht nur Zeit, sondern sorgen auch dafür, dass keine obsoleten Zugangskonten im System verbleiben und erhöhen so das Sicherheitsniveau. Bei uns im Test klappte das ganz hervorragend.

Die zentrale Managementkonsole der VPN-Lösung

Was die Überwachung der aktiven VPN-Gateways angeht, so ermöglicht die Managementkonsole nicht nur das Einsehen und Durchsuchen von System-, Error-, Filter- und Trace-Logs, sondern auch die Betrachtung von Statistiken mit Informationen über die Betriebsdauer, die CPU-Last, die übertragenen Bytes, die Zahl der genutzten IPSec-Objekte und vieles mehr. Dazu kommen noch Übersichten über die vorhandenen Link-Profile, ungültige empfangene Zertifikate und den Replikationsstatus. Da alle diese Daten an einer zentralen Stelle vorliegen, sind die Verantwortlichen jederzeit dazu in der Lage, sich einen detaillierten Überblick über den Zustand ihrer VPN-Umgebung zu schaffen.

Fazit

Mit der NCP Secure Enterprise Solution erhalten Administratoren ein Werkzeug in die Hand, das ihnen – wenn es einmal fertig konfiguriert wurde und sich im Betrieb befindet – kaum Arbeit macht. Die zentrale Verwaltungsoberfläche mit der Skriptsprache zur Automatisierung sorgt dafür, dass sowohl den Benutzerverwaltung als auch die Konfigurationsupdates im Netz sehr einfach ablaufen.

Die leistungsfähigen Clients stellen gleichzeitig sicher, dass die Anwender dazu in der Lage sind, produktiv mit dem VPN zu arbeiten. Auch die Einbindung von Client-Systemen unter iOS und Windows Phone lässt sich im Betrieb relativ einfach bewerkstelligen. Die umfassenden Monitoring-Funktionen sorgen schließlich dafür, dass die IT-Verantwortlichen stets über den Status ihrer VPN-Umgebung im Bilde sind.

In den letzten Jahren hat NCP seine VPN-Lösung übrigens um einige interessante neue Funktionen ergänzt. Dazu gehören unter anderem eine Zwei-Faktor-Authentifizierung mit SMS sowie Access-Listen im Gateway zum Beschränken der Zugriffe. Letztere lassen sich auch zum Policy-Enforcement einsetzen, beispielsweise durch das Prüfen der OS-Version oder des Status der Antivirus-Lösung beim Verbindungsaufbau. Damit lässt das Produkt von NCP praktisch keine Wünsche offen.

Ähnliche Beiträge:

  1. Test Pulse Policy Secure: Flexible NAC-Lösung für Network Visibility und Zugriffskontrolle
  2. NCP bringt Version 10.0 des Secure Enterprise Clients für Windows
  3. NCP VPN Clients für MacOS Catalina
  4. Neue Version des NCP Secure Entry Clients und des NCP Secure Clients

Das könnte dir auch gefallen

White Paper: Netzwerk-Monitoring als unverzichtbarer Baustein im IT-Sicherheitskonzept

gg

mailbox.org startet verbessertes Cloud Office

gcg

ExtraHop präsentiert Reveal(x) Cloud: Bedrohungserkennung, analyse und abwehr für Hybrid-Umgebungen

gcg
Die mobile Version verlassen
%%footer%%