NCP Secure Enterprise Solution im Test

VPN-Gateway mit automatisierter Benutzerkonto- und Client-Konfiguration

| Autor / Redakteur: Götz Güttich / Stephan Augsten

Gateway-Konfiguration

Um das System in Betrieb zu nehmen, meldeten wir uns mit der Administrationskonsole beim Management-Server an. Nun ging es erst einmal daran, die Konfiguration des Gateways, also des SES, durchzuführen. Dazu wechselten wir nach "Server Konfiguration / Secure Server Vorlage" und klickten mit der rechten Maustaste in den Arbeitsbereich unten links. Dieser dient dazu, neue Profile und Konfigurationen anzulegen, Benutzerdaten zu kopieren und ähnliches.

Daraufhin erschien eine Befehlsliste und wir wählten die Import-Funktion aus. Danach konnten wir die aktuelle Standardkonfiguration von unserem frisch installierten SES importieren, sie in der Management-Konsole bearbeiten und dann wieder auf das Gateway ausbringen. Alternativ ist es auch möglich, Konfigurationen aus Dateien einzulesen oder manuell selbst neu anzulegen.

Für unsere Testumgebung definierten wir in unserer gerade importierten Server-Vorlage zunächst ein Passwort für den Zugriff auf den SES und passten dann die so genannten Benutzer-Parameter an. Letztere dienen zur Steuerung des Zugriffs auf einzelne Funktionen. Mit ihnen haben die zuständigen Mitarbeiter also die Möglichkeit, bestimmten Konten die Arbeit mit bestimmten Konfigurationsbereichen zu erlauben.

Auf diese Weise können Unternehmen mit mehreren Administrations-Accounts arbeiten, von denen manche das Recht haben, das ganze System zu modifizieren. Andere erhalten derweil nur Zugriff auf bestimmte Einzelfunktionen, wie zum Beispiel zum Ändern des Passworts.

IKE und IPSecVPN einrichten

Nach dem Zuweisen der Benutzer-Parameter wendeten wir uns der Konfiguration von IKE (Internet Key Exchange) und IPSec-SSL-VPN zu. Hier definierten wir den Preshared-Key (PSK) für unser später zu erzeugendes Personalisierungsprofil. Im nächsten Schritt gingen wir die restlichen Punkte der Server-Vorlage durch.

Das Erklären aller vorhandenen Funktionen würde den Rahmen dieses Tests sprengen, deswegen gehen wir an dieser Stelle nur auf die wichtigsten Features ein. Die "Filternetze", "Filter" und "Filtergruppen" ermöglichen das Erstellen von Regeln für Client-Zugriffe auf LAN-Ressourcen.

Bei der Konfiguration der IKE-Richtlinie lässt sich über eine Liste definieren, welche Authentisierungsmethoden das System akzeptieren soll. Hier gaben wir zunächst die zertifikatsbasierte Authentisierung und zusätzlich (für das Personalisierungsprofil) die Authentisierung über PSKs an. Bei der IPSec-Standardrichtlinie ließen wir als Verschlüsselungsalgorithmus nur AES zu.

Netzwerk-Parameter festlegen

Unter den Domain-Gruppen lassen sich bei Bedarf mehrere Gruppen anlegen, die die Weiterleitung des Datenverkehrs in unterschiedliche Netze übernehmen. Da wir in unserer Testumgebung nur ein Netz hatten, reichte es, eine Default Group zu erzeugen und dort unsere Netzwerk-Konfiguration einzutragen.

Zu den angegebenen Parametern gehörten die DNS- und WINS-Server, das DNS-Suffix die Adresse des NCP-Management-Servers und ähnliches. Als RADIUS-Server gaben wir den lokalen Server auf dem Management-System an, den wir zuvor über den RADIUS-Menüpunkt in Betrieb genommen hatten. Darüber hinaus legten wir noch einen Adresspool fest, der dazu diente, den VPN-Client-Systemen IP-Adressen aus dem VPN-Adressbereich des SES zuzuweisen.

Um die Konfiguration abzuschließen, gaben wir noch die Syslog-Server im Netz an, die die System-, Error- und Konfigurations-Logs des VPN-Gateways erhalten sollten. Danach war die Server-Konfigurationsvorlage fertig und wir generierten daraus mit einem Klick der rechten Maustaste und die Auswahl des Befehls "Konfiguration erzeugen" die endgültige Konfiguration.

Anschließend meldeten wir uns bei der lokalen Konsole des SES an und richteten diese Konfiguration mit Hilfe des Tools "rsuinst" auf dem Gateway ein. Der zuletzt genannte Schritt ist nur beim erstmaligen Verbinden des Gateways und des Management-Servers erforderlich, um die Authentifizierung der Systeme sicher zu stellen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30738930 / VPN (Virtual Private Network))