secure enterprise server€¦ · management plugin - server configuration: ab version 10.00 r26953...
TRANSCRIPT
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 1 von 13
Release Notes
NCP Secure Enterprise HA Server
Major Release 10.0 r26952 (Windows) Dezember 2015
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2008 R2 64 Bit
Windows Server 2012 R2 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.02
Management Plugin - Server Configuration: ab Version 10.00 r26953
Bitte beachten Sie: Ab den Software-Versionen 10.x wird ein Lizenzschlüssel der gleichen Version
benötigt, um den Secure Enterprise VPN Server mit dem Secure Enterprise HA Server produktiv nutzen zu können.
Für den Betrieb dieses HA Servers (10.0 r26952) wird ein Secure Enterprise Server der Version 10.0
r26968 benötigt.
1. Neue Leistungsmerkmale und Erweiterungen
Keine
2. Fehlerbehebung und Änderungen
Anzahl der Domain-Gruppen
Der Funktionsfehler des Management-Dienstes, der bei einer großen Anzahl von Domain-Gruppen
auftrat, wurde behoben. Das Server Configuration Plugin ab Version 10.00 r26953 wurde dementsprechend angepasst.
Fehlerkorrektur bei der Annahme von IPv6-Adressen
IPv6-Adressen wurden nicht immer korrekt interpretiert. Dieser Fehler ist behoben.
3. Bekannte Einschränkungen
Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 2 von 13
Release Notes
Major Release 10.0 rev 25085 (Windows 64) August 2015
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2008 R2 64 Bit
Windows Server 2012 R2 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.02
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen Anpassung an die neuen Funktionalitäten des NCP Secure Enterprise Servers 10.0.
2. Fehlerbehebung und Änderungen Keine
3. Bekannte Einschränkungen Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 3 von 13
Release Notes
Service Release 3.04 Build 29 (Windows 64) Oktober 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2008 R2 64 Bit
Windows Server 2012 64 Bit
Windows Server 2012 R2 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen Keine
2. Fehlerbehebung und Änderungen
CVE-2014-3566 / "POODLE" Sachverhalt – SSL Version 2.0 und 3.0 aus diesem Produkt
entfernt
Das SSL-Protokoll 3.0, implementiert in OpenSSL bis Version 1.0.1i und anderen Produkten, nutzt eine
CBC-Auffüllung, bei welcher nicht nur definierte und reproduzierbare Zustände auftreten können.
Dadurch entsteht eine Sicherheitslücke, über die bei einer Man-in-the-Middle-Attacke unter Verwendung einer Auffüll-Vorhersage, auch als „POODLE“ Sachverhalt bekannt, Daten im Klartext gewonnen werden
können.
Aus diesem Grund werden die SSL-Protokolle Version 2.0 und 3.0 mit diesem Produkt nicht mehr
eingesetzt. Das TLS-Protokoll versorgt alle grundlegenden Web-Dienste (HTTPS) mit Verschlüsselungs-
und Authentisierungs-Algorithmen.
3. Bekannte Einschränkungen Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 4 von 13
Release Notes
Service Release 3.04 Build 28 (Windows 64) Juli 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2008 R2 64 Bit
Windows Server 2012 64 Bit
Windows Server 2012 R2 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen Keine
2. Fehlerbehebung und Änderungen
Open SSL 1.0.1 H nach dem Sicherheitsgutachten vom 5. Juni 2014
Die im Gutachten vom 5.6. 14 aufgeführten Sicherheitslücken wurden mit Open SSL 1.0.1 H geschlossen und diese Version im aktuellen NCP Secure Enterprise HA Server implementiert.
(Siehe https://www.openssl.org/news/secadv_20140605.txt)
3. Bekannte Einschränkungen Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 5 von 13
Release Notes
Service Release 3.04 Build 27 (Windows 32/64) Mai 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2003 R2 Enterprise Edition 32/64 Bit
Windows Server 2008 Enterprise 32/64 Bit
Windows Server 2008 R2 Enterprise 64 Bit
Windows Server 2012 Datacenter 64 Bit
Windows Server 2012 R2 Datacenter 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
4. Neue Leistungsmerkmale und Erweiterungen Keine
5. Fehlerbehebung und Änderungen
Sporadisch auftretenden Deadlocks
Behebung eines sporadisch auftretenden Deadlocks welches den HA Server in seiner Funktion blockierte
und den Neustart des HA Servers notwendig machte.
Fehler behoben.
6. Bekannte Einschränkungen Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 6 von 13
Release Notes
Service Release 3.04 Build 24 (Windows 32/64) April 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2003 R2 Enterprise Edition 32/64 Bit
Windows Server 2008 Enterprise 32/64 Bit
Windows Server 2008 R2 Enterprise 64 Bit
Windows Server 2012 Datacenter 64 Bit
Windows Server 2012 R2 Datacenter 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen
Keine
2. Fehlerbehebung und Änderungen
Open SSL Heartbleed-Bugs (CVE-2014-0160)
Behebung des sog. Heartbleed-Bugs (CVE-2014-0160) in der Krypto-Bibliothek OpenSSL.
3. Bekannte Einschränkungen
Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 7 von 13
Release Notes
Service Release 3.04 Build 23 (Windows 32/64) April 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2003 R2 Enterprise Edition 32/64 Bit
Windows Server 2008 Enterprise 32/64 Bit
Windows Server 2008 R2 Enterprise 64 Bit
Windows Server 2012 Datacenter 64 Bit
Windows Server 2012 R2 Datacenter 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen
Keine
2. Fehlerbehebung und Änderungen
Keine
3. Bekannte Einschränkungen
Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 8 von 13
Release Notes
Service Release 3.04 Build 22 (Windows 32/64) März 2014
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2003 R2 Enterprise Edition 32/64 Bit
Windows Server 2008 Enterprise 32/64 Bit
Windows Server 2008 R2 Enterprise 64 Bit
Windows Server 2012 Datacenter 64 Bit
Windows Server 2012 R2 Datacenter 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen
Windows Internet Explorer Version 11 Support
Ab der aktuellen Version kann der Windows Internet Explorer 11 als Browser für das Web-Interface der Server-Konfiguration genutzt werden.
2. Fehlerbehebung und Änderungen
Keine
3. Bekannte Einschränkungen
Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 9 von 13
Release Notes
Service Release 3.04 Build 20 (Windows 32/64) August 2013
Voraussetzungen
Microsoft Windows Betriebssysteme:
Die folgenden Microsoft Windows Betriebssystemen sind mit diesem Release unterstützt:
Windows Server 2003 R2 Enterprise Edition 32/64 Bit
Windows Server 2008 Enterprise 32/64 Bit
Windows Server 2008 R2 Enterprise 64 Bit
Voraussetzungen für Server-Konfiguration mit dem Secure Enterprise Management (SEM)
Secure Enterprise Management Server: ab Version 3.01 015
Management Plugin - Server Configuration: ab NCP_MgmPlugin_SrvCfg_Win32_811_051
1. Neue Leistungsmerkmale und Erweiterungen
In diesem Release sind folgende neue Leistungsmerkmale enthalten:
Adressierung des Gateways
Der NCP Secure Enterprise VPN Server kann vom HA Server über IPv6 adressiert werden.
Voraussetzungen:
HA Server (Win): Version 3.04 ab Build 020
Secure Enterprise Server (Win): Version 8.11 ab Build 168
Server Plug-in (SEM): Version 8.11 ab Build 48
Priorisierung der Clients
NCP Secure Enterprise VPN Server, die im Load Balancing Modus eines HA Servers in Betrieb sind,
können vom HA Server (bzw. durch das Secure Enterprise Management) für die Bereitstellung eines VPN-Tunnels gemäß Benutzer-Priorisierung konfiguriert werden.
Dies ist dann wichtig, wenn beispielsweise die Kapazitäten der HA-Server ausgelastet sind, bzw. nicht ausreichend viele Lizenzen für alle Clients vorhanden sind. Nur Benutzer mit einer entsprechend hohen
Priorität erhalten dann Zugang.
Setzen der Priorität in der Server-Konfiguration:
Server-seitig wird die Benutzer-Priorität in der HA Server-Konfiguration festgelegt. Dies erfolgt zentral in
deren Vorlage des jeweiligen HA Servers für alle an ihn angebundenen Gateways. Die Benutzer-Priorität, die dort für die Benutzer (einer Domain-Gruppe) definiert wird, sagt aus, dass der VPN-Zugang nur den
Clients gestattet wird, die mindestens eine ebenso hohe Priorität genießen.
Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer
mit der höchsten, der ersten Priorität mit "1", abgestuft bis zur "255", der niedrigsten Priorität.
Die Standardeinstellung ist "0", bedeutet, dass die Funktionalität des priorisierten Zugangs ausgeschaltet ist. Alle VPN-Benutzer haben Zugang.
Wird die Funktionalität der Benutzer-Priorität gesetzt, so werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als die hier angegebene Priorität genießen. Höchste Priorität ist die
erste, "1".
Wird am Server der Level für die Benutzer-Priorität z. B. auf "5" gesetzt, so werden alle Benutzer ausgesperrt, die eine niedrigere Priorität (6 bis 255) genießen. Dies erfolgt unmittelbar mit Festsetzen
der Benutzer-Priorität am Server. VPN-Verbindungen von Clients, die zu diesem Zeitpunkt bestehen, werden getrennt, sofern die Clients nicht der gesetzen Priorisierung gerecht werden. Erneute
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 10 von 13
Release Notes
Verbindungsversuche dieser Clients werden abgelehnt. Zu Trennung und Ablehnung einer VPN-Verbindung erhalten die Clients eine entsprechende Meldung.
Die Benutzer-Priorität in der Client-Konfiguration zuweisen:
Welche Priorität ein Benutzer genießt, kann nur in der RADIUS- oder LDAP-Konfiguration für den
jeweiligen Client definiert werden.
Eine hohe Priorität wird durch eine niedrige Ordnungszahl ausgedrückt. Zugang erhalten die Benutzer mit der höchsten, der ersten Priorität mit "1", usw. abgestuft bis zur "255", der niedrigsten Priorität.
Zur Beachtung: Der voreingestellte Standardwert für die Benutzer-Priorität am Client ist "0". Diese Einstellung bewirkt, das die zentralseitig definierte Zugangsbeschränkung für Clients mit der Benutzer-
Priorität "0" nicht gilt. Diese Clients erhalten unabhängig von der zentralseitigen Priorisierung immer
VPN-Zugang.
Text in der Oberfläche (Domain-Gruppen):
Sobald die Funktionalität der Benutzer-Priorität eingesetzt wird, werden alle VPN-Benutzer vom Gateway ausgesperrt, die eine niedrigere als hier am HA Server angegebene Priorität (oder keine) genießen.
Höchste Priorität ist die erste, "1".
Aktuell bestehende VPN-Tunnel-Verbindungen von Benutzern einer niedrigeren (oder keiner) Priorität
werden sofort getrennt.
"0" schaltet die Funktionalität der priorisierten Tunnel-Nutzung aus.
2. Fehlerbehebungen
Keine
3. Bekannte Einschränkungen
Keine
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 11 von 13
Release Notes
Service Release 3.03 Build 7 (Windows 32/64) Juni 2012
1. Neue Leistungsmerkmale und Erweiterungen
In diesem Release sind folgende neue Leistungsmerkmale enthalten:
Seamless Roaming – Force Single VPN Connection
Mit diesem Schalter wird verhindert, dass mehrere VPN Verbindungen von einem Client der Seamless Roaming nutzt, parallel bestehen bleiben können.
Ist der neue Schalter „Force single VPN Connection“ unter „General“ aktiv (ist default Wert), sendet bei einer VPN Anmeldung das GW mit der eingehenden VPN Verbindung eine Nachricht zu allen anderen
GW in LB Verbund, das dieser Benutzer auf GW x ist. Sollte für diesen Benutzer ein VPN Tunnel auf eine anderen GW noch Aktiv, wird dieser Tunnel abgebaut.
Voraussetzungen:
HA Server (Win): Version 3.03 ab Build 004
Secure Enterprise Server (Win): Version 8.10 ab Build 051
Server Plug-in (SEM): ab Build 15
2. Fehlerbehebungen
Keine
3. Bekannte Einschränkungen
Keine
4. Hinweise zum NCP Secure Enterprise Management Weitere Informationen zum letzten Stand der Entwicklung der NCP-Produkte erhalten Sie auf der Website: http://www.ncp-e.com/de/downloads
Weitere Unterstützung bei Fragen zum NCP Secure Enterprise Management, erhalten Sie über die Mail-Adressen auf folgender Seite: http://www.ncp-e.com/de/support.html Mail: [email protected]
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 12 von 13
Release Notes
5. Leistungsmerkmale
Die NCP Secure Enterprise High Availability Services sind Komponenten der ganzheitlichen NCP
Enterprise-Lösung. Sie sorgen für die Hochverfügbarkeit eines oder mehrerer NCP Secure Enterprise VPN Server und damit des Virtual Private Network eines Unternehmens durch ein Backup-System und
die gleichmäßige Lastverteilung auf mehrere NCP Secure Enterprise VPN Server (VPN Gateways). Dabei stehen ständig alle VPN-Tunnel für die Kommunikation mit dem zentralen Datennetz zur Verfügung.
Funktionalität
Der HA Server übernimmt je nach Auslastung oder Störungsfall die automatische Umschaltung zwischen
den VPN Gateways. Aus Sicherheitsgründen ist er redundant ausgelegt und benötigt jeweils eine eigene
offizielle IP-Adresse. In einem Failsafe-System ist er darüber informiert, welches der beiden Gateways aktiv ist und welches sich im Backup-Status befindet. Im Load Balancing-System weiß er, welches der
VPN Gateways am wenigsten ausgelastet ist.
Betriebsmodi
Failsafe
Im Failsafe-Modus ist nur ein VPN Gateway aktiv. Ein zweites wird als Backup-System (Hot
Standby Backup) installiert, um Stillstand oder Ausfall des aktiven (ersten) Gateways kompensieren zu können.
Load Balancing Der Load Balancing-Modus wird dazu genutzt, die Tunnelverbindungen der Clients gleichmäßig
über mehrere aktive VPN Gateways verteilen zu können.
VRRP
NCP HA Server unterstützen zusätzlich zu Failsafe und Load Balancing auch den VRRP-
Betriebsmodus. Dieser Betriebsmodus ist jeweils kostenfrei in der HA-Lizenz beinhaltet und wird dann benötigt, wenn das HA-System parallel zu native VPN-Tunnelverbindungen auch SSL VPN-
Tunnelverbindungen verwalten soll.
Zentrale Verwaltung, Management
Für die Konfiguration und Administration stellt NCP das Web-Interface für den HA Server zur Verfügung.
Konfigurationsänderungen oder Erweiterungen können sowohl lokal als auch remote vorgenommen
werden. Darüber hinaus gestattet das Server Plug-in des zentralen Secure Enterprise Managements (SEM) die Erstellung und die Übertragung der Server-Konfigurationen an die jeweiligen Komponenten
des HA-Systems.
Lizenzmodell
Die HA-Lizenz gilt immer für einen Primary und einen Backup HA Server im FS- oder LB-Modus mit der
gewünschten Anzahl von VPN-Tunnels. Die Software ist dann vollständig lizenziert, wenn an beiden
Servern die gleiche Seriennummer und der gleiche Aktivierungsschlüssel eingegeben wird. Nach der Lizenzierung kann der Betriebsmodus eingestellt werden. (Im Load Balancing-Modus ist darauf zu
achten, dass die Anzahl der Tunnel-Lizenzen für IPsec Clients am HA Server mindestens der Summe der Tunnel-Lizenzen an den eingesetzten VPN Gateways entspricht. Eine Reservierung der Tunnels ist im
Load Balancing-Modus nicht möglich. Der HA Server errechnet selbständig die Anzahl der Tunnels, die
er den VPN Gateways zuweist. Zudem ist eine zweite Gateway-Lizenz nötig.)
© NCP engineering GmbH, e-mail: [email protected] www.ncp-e.com NCP_RN_Secure_Enterprise_HA_Server_10_0_Win_26952_de.docx
Technische Änderungen vorbehalten Seite 13 von 13
Release Notes
Soll alternativ oder zusätzlich eine Anzahl von SSL VPN-Tunnelverbindungen gemanagt werden, so muss zur Lizenzierung der gewünschten Anzahl (Concurrent Users) ein eigener Aktivierungsschlüssel über das
Web-Interface eingegeben werden. Beachten Sie, dass die Nutzung einer SSL VPN-Lizenz für eine native VPN-Verbindung nicht möglich ist.
Optional können weitere Tunnel-Lizenzen für IPsec- oder SSL VPN Clients in beliebiger Anzahl hinzu
erworben werden.
Voraussetzungen für den HA Server
32-Bit Betriebssysteme
Windows Server 2003 R2, Windows Server Enterprise 2008 SP2
64-Bit Betriebssysteme Windows Server Enterprise 2008 SP2, Windows Server Enterprise 2008 R2 SP1
CPU empfohlen Dual Core
Arbeitsspeicher min. 1 GB
Festplattenspeicher
ca. 400 MB freier Speicher auf der Festplatte
Web Interface Web-Browser Unterstützung Bitte verwenden Sie einen der folgenden Web-Browser in einer neueren Version:
Internet Explorer
Firefox u.a. Mozilla-Browser
Safari
Chrome