Versions-Hinweise

Datei: SecEntryCl-Mac-Versions-Hinweise.html
Produkt: Secure Entry Client Mac, Wartungs-Version 1.01 Build 10
Hersteller: NCP Engineering GmbH, Nürnberg, Germany

1. Fehlerbehebung

Im Folgenden sind die Fehlerbehebungen beschrieben, die für dieses Wartungs-Release des NCP Secure Mac Clients erfolgten.

Unwirksame Firewall nach Löschen des System-Cache

Nachdem die Mac OS X System-Caches gelöscht wurden (z. B. mit Wartungs-Tools), werden sie beim nächsten Neustart automatisch vom System neu generiert. Die Erzeugung der System-Caches nimmt einige Zeit in Anspruch, so dass die Startphase des Rechners deutlich verlängert wird. Ein in dieser verlängerten Startphase ablaufender Timer konnte die Firewall des VPN Clients unwirksam schalten.

Der Timer wurde so heraufgesetzt, dass diese Fehlfunktion nicht mehr vorkommt.

Kein funktionierender VPN-Tunnel bei Verbindungen von Mac OS X über PPPoE oder GPRS / UMTS

Wurde die Internet-Verbindung von Mac OS X über PPPoE (Point to Point over Ethernet) oder GPRS / UMTS hergestellt, so konnte die Firewall die über diese Verbindung transferierten Daten nicht filtern und es konnte kein funktionierender VPN-Tunnel aufgebaut werden.

Durch die zusätzliche Implementierung eines Treibers für den PPP-Adapter, über den sich einige GPRS / UMTS-Adapter integrieren, wurde dieses Problem gelöst.

Überschreiben von gesicherten Profil-Einstellungen bei mehrfachem Start des Clients

Der Secure Entry Mac Client kann nur einmal pro Rechner gestartet werden. Damit wird unter anderem verhindert, dass bei gestartetem Client und einem „schnellen Benutzerwechsel“ mit erneutem Start des Clients vom zweiten Benutzer Einstellungen des Clients überschrieben werden.

Eine eventuell bestehende VPN-Verbindung des Clients wird vom Benutzerwechsel nicht berührt, sodass diese bestehen bleibt.

Fehlerhafte Behandlung der IP-Adressen bei Konfigurationsimport

Bei Konfigurationsimporten wurden die IP-Adressen aus den Konfigurationsbereichen der Profil-Einstellungen „IPsec-Adresszuweisung“ und „Split Tunneling“ fehlerhaft behandelt.

Mit diesem Wartungs-Release erfolgt die Zuordnung der IP-Adressen korrekt.

Unwirksamkeit des Timeouts bei vorgeschaltetem NAT-Gerät

Befindet sich der Secure Entry Mac Client hinter einem NAT-Gerät (Router, der Network Address Translation betreibt), so sendet er selbständig in einem festgelegten Polling-Intervall IKE-Keep-Alive-Pakete. Dieses Datenaufkommen verhinderte in der letzten Version, dass ein Timeout, der in den Profil-Einstellungen unter „Verbindungssteuerung“ konfiguriert wurde, wirksam werden konnte.

Diese Fehlfunktion wurde beseitigt.

Fehlermeldungen des Clients

Die Fehlermeldung des Clients im Monitor und im Log-Fenster wurden überarbeitet.

Unvollständige Meldungen im Firewall-Log

Nach dem Entfernen eines Netzwerk-Adapters oder dem Beenden einer PPP-basierten Verbindung wurde das Firewall-Log nicht weiter gefüllt, ohne dass von diesem Fehler die Funktion der Firewall beeinträchtigt wurde.

Dieser Fehler ist nun beseitigt, so dass das Firewall-Log korrekt gefüllt wird.

PAP/CHAP-Fehler bei Verbindung mit XAUTH

Wurde unmittelbar nach dem Start des VPN Clients eine zertifikatsbasierte VPN-Verbindung initiiert, ohne das voreingestellte Profil zu wechseln, so kam die Verbindung wegen eines PAP/CHAP-Fehlers während der XAUTH-Verhandlung nicht zustande.

Dieser Fehler ist nun behoben, so dass nach der PIN-Abfrage die VPN-Verbindung korrekt aufgebaut wird.

2. Änderungsstand

Leistungsmerkmale der Vorgängerversion 1.00 Build 78

Betriebssysteme

Mac OS X 10.5 Leopard (Intel) und Mac OS X 10.6 Snow Leopard

Security Features

Unterstützung aller IPsec Standards nach RFC

Personal Firewall

Stateful Packet Inspection

IP-NAT (Network Address Translation)

Friendly Net Detection (automatische Umschaltung der Firewall-Regeln bei Erkennung des angeschlossenen Netzwerkes anhand des IP-Adressbereiches oder eines NCP FND-Servers*)

differenzierte Filterregeln bezüglich: Protokolle, Adressen und Ports, Schutz des LAN-Adapters

Im Gegensatz zur applikationsbasierten Konfiguration der Mac OS X-Firewall ist die Konfiguration dieser Firewall portbasierend.

Virtual Private Networking

Unterstützung aller IPsec Standards nach RFC

IPsec (Layer 3 Tunneling), RFC-konform

IPsec-Proposals können determiniert werden durch das IPsec -Gateway (IKE, IPsec Phase 2)

Event log

Kommunikation nur im Tunnel

MTU Size Fragmentation und Reassembly

Dead Peer Detection (DPD)

Network Address Translation-Traversal (NAT-T)

IPsec Tunnel Mode

Verschlüsselung (Encryption)

Symmetrische Verfahren: AES 128,192,256 Bits; Blowfish 128,448 Bits; Triple-DES 112,168 Bits;

Dynamische Verfahren für den Schlüsselaustausch: RSA bis 2048 Bits; Seamless Rekeying (PFS);

Hash Algorithmen: SHA-256, SHA-384, SHA-512, MD5, DH Gruppe 1,2,5,14

FIPS Inside

Der IPsec Client integriert kryptografische Algorithmen nach FIPS-Standard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS 140-2 zertifiziert (Zertifikat #1051).
Die FIPS Kompatibilität ist immer gegeben, wenn die folgenden Algorithmen für Aufbau und Verschlüsselung der IPsec-Verbindung genutzt werden:

DH-Gruppe: Gruppe 2 oder höher (DH ab einer Länge von 1024 Bit);

Hash-Algorithmen: SHA1, SHA 256, SHA 384 oder SHA 512 Bit;

Verschlüsselungsalgorithmen: AES mit 128, 192 und 256 Bit oder Triple DES

Authentisierunmgsverfahren

IKE (Aggressive und Main Mode), Quick Mode; XAUTH für erweiterte User-Authentisierung;

IKE-Config-Mode für die dynamische Zuteilung einer virtuellen Adresse aus dem internen Adressbereich (private IP); PFS;

Unterstützung von Zertifikaten in einer PKI: Soft-Zertifikate, Smart Cards und USB Tokens; Multi-Zertifikatskonfiguration;Pre-Shared Secrets; One-Time Passwords und Challenge Response Systeme; ORSA SecurID Ready.

Starke Authentisierungs-Standards

X.509 v.3 Standard;

PKCS#11 Interface für Verschlüsselungs-Tokens (USB und Smart Cards);

PKCS#12 Interface für Private Schlüssel in Soft Zertifikaten;

PIN-Richtlinie; administrative Vorgabe für die Eingabe beliebig komplexer PINs;

Revocation: EPRL (End-entity Public-Key Certificate Revocation List, vorm. CRL), CARL (Certification Authority Revocation List, vorm. ARL).

Networking Features

Beliebige Netze, iPhone Tethering via USB oder Bluetooth

Netzwerkprotokoll

VPN Path Finder

NCP VPN Path Finder Technology, Fallback IPsec /HTTPS (Port 443) wenn Port 500 bzw. UDP Encapsulation nicht möglich ist (Voraussetzung: NCP Secure Enterprise Server 8.0)

IP Address Allocation

DHCP (Dynamic Host Control Protocol); DNS: Anwahl des zentralen Gateways mit wechselnder öffentlicher IP-Adresse durch Abfrage der IP-Adresse über einen DNS-Server

Line Management

DPD mit konfigurierbarem Zeitintervall

Datenkompression

IPCOMP (LZS), Deflate

Weitere Features

UDP-Encapsulation; Importfunktion der Dateiformate: *.ini, *.pcf, *.wgx, *.wge und *.spd.

Internet Society RFCs und Drafts

Security Architecture for the Internet Protocol and assoc. RFCs (RFC4301 – 4304, 4385, 4307 – 4309),

Internet Key Exchange Protocol V2 (IKEV2) (includes IKMP/Oakley) (RFC 4306),

Negotiation of NAT-Traversal in the IKE (RFC 3947),

UDP encapsulation of IPsec Packets (RFC 3948),

IKE Extended Authentication (XAUTH), IKE configure (IKECFG) and Dead Peer Detection (DPD)

Client Monitor (intuitive, grafische Benutzeroberfläche)

Mehrsprachig (Deutsch, Englisch); Konfiguration, Verbindungssteuerung und -überwachung, Verbindungsstatistik, Log-Files (farbige Darstellung, Trace-Werkzeug für Fehlerdiagnose; Ampelsymbol für Anzeige des Verbindungsstatus Konfigurations- und Profil-Management mit Passwortschutz, Konfigurationsparametersperre

*) Der NCP FND- Server kann kostenlos als Add-On hier heruntergeladen werden: http://www.ncp-e.com/de/downloads/software.html

Weitere Informationen zum NCP Secure Entry Mac Client finden Sie hier: http://www.ncp-e.com/de/loesungen/produkte/universeller-ipsec-client.html

Eine kostenlose 30-Tage Vollversion können Sie hier herunterladen: http://www.ncp-e.com/de/downloads/software.html

NCP engineering GmbH, Juli 2010