Datei:          NEUES.TXT
Produkt:        NCP Secure Entry CE Client
Version:        Version 2.33
Hersteller:     NCP Engineering GmbH

-------------------------------------------------------------------------------
Neueste Informationen zum NCP Secure Entry CE Client 
-------------------------------------------------------------------------------
Neue Features der Version 2.33 gegenber Version 2.26
--------------------------------------------------------------------------------


1. Lizenzierung

Die Lizenzierung erfolgt nicht mehr ber das Programm ncppopup, sondern ber das 
Popup-Men am PDA unter dem Menpunkt "Aktivierung".

Unter dem Menpunkt "Lizenz-Informationen" wird die eingesetzte Software-Version 
und gegebenenfalls die lizenzierte Version mit Seriennummer angezeigt. Wird die 
Software als Testversion eingesetzt, so kann hier die verbliebene Dauer der 
Gltigkeit abgelesen werden.

Um eine zeitlich unbegrenzt gltige Vollversion nutzen zu knnen, muss die 
Software mit dem erhaltenen Lizenzschlssel und der Seriennummer freigeschaltet 
werden.

Zur Eingabe von Lizenzschlssel und Seriennummer klicken Sie im Fenster der 
"Lizenz-Informationen" auf den Pfeil (rechts oben). Anschlieend knnen die 
Lizenzdaten wahlweise online oder offline ber einen Assistenten eingegeben 
werden.

In der Offline-Variante muss eine Datei, die nach Eingabe von Lizenzschlssel 
und Seriennummer erzeugt wird, an den NCP Web Server geschickt werden und der 
auf der daraufhin auf der Website angezeigte Aktivierungsschlssel notiert 
werden. Dieser Aktivierungsschlssel kann zu einem spteren Zeitpunkt im 
Lizenzierungsfenster des Monitormens eingegeben werden.

Fr die Online-Variante muss eine IP-Verbindung (HTTP) zum Aktivierungs-Server 
mglich sein. In der Online-Variante werden die Lizenzierungsdaten ber einen 
Assistenten unmittelbar nach Eingabe an den Aktivierungs-Server weitergegeben 
und die Software damit unverzglich freigeschaltet.


2. Betriebssystem des mobilen Gerts

Mit der Version 2.33 des NCP Secure Entry CE Clients wird neben den bereits 
zuvor verfgbaren Windows Mobile Betriebssystemen auch Windows Mobile 6 
untersttzt.

Die Installation der Client Software 2.33 unter Microsoft Windows Mobile 6 
erfordert einen Lizenzschlssel fr diese Version. Unter einem lteren 
Lizenzschlssel kann diese Software nicht betrieben werden. Die Eingabe eines 
lteren Lizenzschlssels verursacht eine Fehlermeldung.

Die Aktivierung der Client Software unter Windows Mobile 6 setzt voraus, dass 
Sie ber einen Lizenzschlssel verfgen, der mindestens der Version 2.3 
entspricht. Sofern Ihnen ein kostenfreies Update auf die Version 2.3 zur 
Verfgung steht, erhalten Sie den zugehrigen Lizenzschlssel, wenn Sie eine 
Software-Aktivierung durchfhren. Fr ein kostenpflichtiges Update auf die 
Version 2.3 wenden Sie sich bitte an Ihren Reseller.


3. Autostart ber HKLM\Init mglich

Unter WinCE knnen mit dem Start des Systems verschiedene andere Programme 
gestartet werden. Dazu mssen unter HKLM\Init neue Registry-Eintrge angelegt 
werden. Derartig gestartete Programme teilen dem System nun mit, dass sie fertig 
gestartet wurden. Diese Meldung kann nun zum Beispiel dazu genutzt werden, eine 
weitere Aktion (PIN-bergabe per API) anzustoen.

Abhngigkeiten: 
Der NCP-Dienst sollte von GWES (30 bzw. 1E 00) und CONNMGR (70 bzw. 4B 00) 
abhngig sein. Auerdem von DEVICE (20 bzw. 1E 00), das aber schon indirekt ber 
GWES abhngig ist. 

Beispiel: 
REGEDIT4 
[HKEY_LOCAL_MACHINE\init] 
"Depend76"=hex:\ 
4b,00 
"Launch76"="\\testapi.exe" 
"Depend75"=hex:\ 
14,00,1e,00,46,00 
"Launch75"="\\Programme\\NCP Secure CE Client\\ncprwsce.exe"


4. Neuer Parameter PPD (Passive Peer Detection)

Mit DPD (Dead Peer Detection) wird das VPN Gateway aktiv (nach eingestelltem 
Zeitintervall) unabhngig vom tatschlichen Nutzdatenverkehr "angepingt" und der 
Tunnel abgebaut, wenn keine Antwort vom Gateway erfolgt oder der Timeout 
abgelaufen ist (unabhngig vom Datenaufkommen). ber eine GPRS/UMTS-Verbindung 
kann DPD daher ein Datenaufkommen erzeugen, das ungewollte Kosten verursacht.

Wenn Hintergrund-Anwendungen aktiv sind bei einer GPRS/UMTS-Verbindung, die 
volumenabhngig (ohne Flatrate) abgerechnet werden, dann ist PPD sinnvoll.

Mit PPD wird der Timeout dann aufgezogen, wenn die Anwendung Daten zum Gateway 
schickt. Eingehende Daten vom Gateway stoppen den Timer wieder. Wenn der Timeout 
fr PPD gnzlich abgelaufen ist, wird der Tunnel abgebaut.

PPD ist ein Feature der Client Software, wobei das Gateway keine zustzliche 
Funktion untersttzen muss. PPD kann im Configurator der PC-Komponente pro 
Zielsystem (Profil) unter der Rubrik IPSec-Optionen mit Timeout konfiguriert 
werden. Die jeweilige Anwendung, fr die PPD genutzt werden soll, wird ber den 
TCP-Ziel-Port identifiziert, der im Telefonbuch der PC-Komponente zur PPD-
Aktivierung eingegeben werden kann.


5. Signatur fr Windows Mobile Smartphone-Version

Windows Mobile 6.0 unterscheidet die Software-Versionen nicht mehr danach, ob 
sie fr PocketPCs oder Smartphones eingesetzt werden, sondern bietet drei 
Software-Versionen an: Standard, Classic und Professional, wobei die Endgerte 
mit Touchscreen (ehemals PocketPCs) mit der Classic- und der Professional-
Version betrieben werden knnen, die ohne Touchscreen (ehemals Smartphones) die 
Standard-Version erfordern. Abhngig von den Gerteherstellern kann die 
Standard-Version eine signierte Client Software erfordern, wohingegen unter dem 
Betriebssystem in der Classic- oder Professional-Version die unsignierte Client 
Software betrieben werden kann. Sie erhalten die signierte Software auf Anfrage. 
Sie ist fr Smartphones Mobile2Market-signiert. Beachten Sie dazu bitte die 
Beschreibung auf der NCP-Website unter:
www.ncp.de/deutsch/services/cekompat


6. Betriebssysteme am PC

Die aktuelle Version und knftige Versionen der PC-Komponente des Secure CE 
Clients werden von der Qualittssicherung nur noch fr die Windows-
Betriebssysteme Windows 2000, Windows XP und Windows Vista getestet. 

Um die PC-Komponente (Configurator) unter diesen Betriebssystemen nutzen zu
knnen sind Administratorrechte ntig.

Fr Windows NT sowie Windows 98 oder lter kann keine Gewhr mehr fr die 
Funktionsfhigkeit bernommen werden.



[Neue Features der Version 2.30, gegenber Version 2.26]


1. DPD-Intervall einstellbar 

Das DPD-Intervall kann im Configurator genau definiert werden. Der Parameter 
befindet sich im Parameterfeld fr "IPSec-Optionen". Mit einem greren 
Intervall werden weniger hufig Pakete geschickt, die prfen ob die Gegenstelle 
noch erreichbar ist.


2. Zugangsdaten speichern im Passwort- und XAUTH-Dialog

Sowohl im Passwort-Dialog als auch im XAUTH-Dialog gibt es jetzt die Mglichkeit 
die Zugangsdaten fr das jeweils aktuelle Profil zu speichern.


3. XAUTH-Dialog mit Tokencode-Eingabefeld

Ist die Option "OTP fr NAS- oder VPN-Passwort" aktiv, so werden in den XAUTH-
Dialogen zwei Eingabefelder angezeigt: 
- eines fr die PIN (mit maskierter Eingabe) 
- eines fr den Tokencode (mit lesbarer Eingabe) 
Das endgltige Passwort ergibt sich durch Aneinanderhngen der Werte beider 
Felder.

Wird ein Passwort gespeichert (siehe oben) erscheint dieser Dialog nicht. Wird 
das Passwort falsch eingegeben oder muss es gendert werden so erscheinen die 
Standard XAUTH-Dialoge, mit den vom Gateway vorgegebenen Eingabefeldern. 


4. Minimierter Autostart

Mithilfe der neuen Kommandozeilenoptionen "-minimize" und "-start" kann man 
eine Verknpfung im Autostart (engl. CE-Version "StartUp") Verzeichnis anlegen 
("ncpmon start minimized.lnk" wird mit ausgeliefert), so dass der NCP Dienst und 
auch der Monitor automatisch minimiert gestartet werden. Bei der Smartphone-
Version wird solch eine Verknpfung standardmig im Autostart/StartUp 
Verzeichnis angelegt. 

Ist der PDA langsam (weil z. B. sehr viele Prozesse gestartet werden) und dauert 
dadurch der Start des Dienstes lnger als 34 Sekunden, so wird der Monitor NICHT 
gestartet!


5. Neue Zertifikats-Quelle: NCP PKI Provider

In der Zertifikats-Konfiguration des Configurators gibt es eine neue 
Zertifikats-Quelle: Externer NCP PKI Provider. Bei Wahl dieses neuen "Mediums" 
muss ein DLL-Name angegeben werden. Die entsprechende DLL muss speziell von NCP 
zur Verfgung gestellt werden (z. B. das Modul fr "certgate" von IICS. Mithilfe 
dieser DLLs knnen kundenspezifische Zertifikatszugriffe gesteuert werden.


6. Untersttzung der certgate-DLL

Die certgate-DLL (ab V 1.1.9) wird untersttzt, so dass der Zugriff auf IICS SD-
Karten mglich ist bzw. das ndern der Benutzer-PIN auf certgate-Karten. Die DLL 
muss dazu im NCP Installations-Verzeichnis oder im Windows-Verzeichnis liegen. 


7. ActiveSync erlauben in der "Link-Firewall"

Wurde bisher im Telefonbuch die Link-Firewall auf "stateful-inspection" gesetzt, 
so konnte eine ActiveSync-Verbindung aufgebaut werden. Wurde die Link-Firewall 
auf "nur im Tunnel" gesetzt, wurde ActiveSync geblockt.

Jetzt gibt es einen neuen Konfigurationsschalter in der Einstellungen der Link-
Firewall, mit dem man ActiveSync auch bei "Nur-Tunnel-Modus" erlauben kann. Bei 
"stateful-inspection" bleibt alles beim alten, d.h. ActiveSync geht immer. 

Hinweis: 
1. ActiveSync muss auch in den Firewall-Einstellungen des Configurator-Mens 
freigeschaltet sein, sonst geht es nicht. 
2. Die Schaltmglichkeit im Popup-Men des bezieht sich nur auf die erweiterte 
Firewall!


8. Neue Verbindungsart

Im Parameterfeld "Grundeinstellungen" der Profil-Einstellungen wurde die neue 
Verbindungsart "Automatische Medienerkennung" hinzugefgt.

Automatische Medienerkennung: Diese Verbindungsart kann dann eingesetzt werden, 
wenn wechselweise unterschiedliche Verbindungsarten genutzt werden. Der Client 
erkennt dann automatisch, welche Verbindungsarten aktuell zur Verfgung stehen 
und whlt davon die schnellere aus. 


9. Automatische Medienerkennung

Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch diejenige 
Verbindungsart erkannt und eingesetzt, die fr den PDA aktuell zur Verfgung 
steht, wobei bei mehreren alternativen bertragungswegen automatisch der 
schnellste gewhlt wird. In einer Suchroutine ist die Priorisierung der 
Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. MODEM.

Die Konfiguration erfolgt mit der Verbindungsart "automatische Medienerkennung" 
im Telefonbuch unter "Zielsystem". Alle fr diesen Client-PC vorkonfigurierten 
Zielsysteme zum VPN Gateway des Firmennetzes knnen dieser automatischen 
Medienerkennung, sofern gewnscht, zugeordnet werden. Damit erbrigt sich die 
manuelle Auswahl eines Mediums aus den Telefonbucheintrgen. Die Eingangsdaten 
fr die Verbindung zum ISP werden fr den Anwender transparent aus den 
vorhandenen Telefonbucheintrgen bernommen.

Hinweis: Durch Verwendung des PocketPC Connection Managers (falls vorhanden) 
kann eine hnliche Funktionalitt erreicht werden.


10. Friendly Net Detection (FND)

FND ermglicht dem NCP Secure Enterprise Client automatisch zu erkennen, ob er 
sich in einem Friendly Net (FN) befindet oder nicht.
 
Integrierte intelligente Automatismen in der Personal Firewall ersetzen manuelle 
Eingriffe. Was ein FN ist, kann vom Administrator in den Firewall-Einstellungen 
des Monitors festgelegt werden. Die Signalisierung eines FN erfolgt im Monitor; 
das Firewall Icon frbt sich grn.
 
Erforderlich ist ein Friendly Net Detection Server (FNDS), d.h. eine 
Softwarekomponente von NCP, die in einem als "Friendly Net" definierten Netz 
installiert werden muss. Die Authentifizierung des FNDS erfolgt mittels EAP bzw. 
EAP-TLS.

Der Anwender muss sich nicht um die Einstellung der Personal Firewall kmmern. 
Je nach Kommunikationsumgebung greift der NCP Secure Enterprise Client dynamisch 
auf ein passendes Firewall-Regelwerk zu. Versehentliches Benutzen falscher 
Firewall-Konfigurationen und damit Attacken auf das Firmennetz werden 
verhindert.


11. Erweiterung der untersttzten Chipkarten

Folgende Chipkarten werden direkt ber die PC/SC- oder CT-API-Schnittstelle 
untersttzt:
- Signtrust
- NetKey 2000
- TC Trust (CardOS M4)
- Telesec PKS SigG


12. Statusanzeige der Endpoint Policy und Friendly Net Detection

Werden zwischen Client und VPN Gateway Endpunkt-Sicherheitsrichtlinien 
eingesetzt, so wird bei einem Verbindungsaufbau das Policy-Symbol dargestellt. 
Whrend der Prfung der Policy, nachdem die Verbindung aufgebaut wurde, 
erscheint es mit gelben Haken, wenn die Richtlinien erfllt werden mit grnen 
Haken, wenn die Richtlinien nicht erfllt werden mit roten Haken, wonach die 
Verbindung zum Gateway wieder abgebaut wird.

Wurde vom Administrator ein Friendly Net (z.B. Firmennetz) festgelegt, und 
greift der Secure Client darauf zu, so frbt sich das Firewall-Symbol grn. Die 
Friendly Net Detection wird im Monitor-Konfigurationsmen unter "Firewall-
Einstellungen / Bekannte Netze" vorgenommen, entweder indem statische Netzwerk-
Routen angegeben werden, oder indem die automatische Erkennung der bekannten 
Netze aktiviert wird. Siehe dazu die Beschreibung unter "Firewall-Einstellungen 
/ Konfigurationsfeld - Bekannte Netze".


13. Untersttzung von UDP-Encapsulation

Wird die UDP-Encapsulation verwendet, so kann der Port frei gewhlt werden. 
Standard fr IPSec mit UDP ist der Port 4500, fr IPSec ohne UDP der Port 500.
Das NCP Gateway erkennt die UDP-Encapsulation automatisch.
Der Parameter ist zu finden unter:
Profil-Einstellungen / Erweiterte IPSec-Optionen / Benutze UDP-Encaplsulation


14. EAP-Zugangsdaten aus Zertifikat

Bei EAP-TLS (mit Zertifikat) kann jetzt der EAP-Benutzername direkt aus der 
Zertifikats-Konfiguration bezogen werden. Folgende Inhalte des konfigurierten 
Zertifikats knnen genutzt werden, indem in die EAP-Konfiguration die 
entsprechenden Platzhalter eingegeben werden: 
Commonname : %CERT_CN% 
E-Mail     : %CERT_EMAIL%
Nach der Konfiguration des Zertifikats werden diese Platzhalter im Monitormen 
eingegeben unter:
Konfiguration / EAP-Optionen / Benutzername und Passwort.


15. EAP beenden

Neuer Menpunkt im EAP Popup-Men. Mit Klick auf "EAP beenden" wird in EAP-
Logoff gesendet.


16. Zertifikatsberprfung bei HTTP-Authentisierung mit Script

Ab sofort knnen auch die eingehenden Zertifikate bei der HTTP-Authentisierung 
berprft werden. Hierzu muss im Script die Variable CACERTDIR gesetzt worden 
sein. Desweiteren knnen auch Inhalte des WEB Server-Zertifikats berprft 
werden. Hierzu stehen weitere Variablen zur Verfgung: 
CACERTVERIFY_SUBJECT  : berprft den Inhalt des Subjects (z.B. cn=WEB Server 1)
CACERTVERIFY_ISSUER   : berprft den Inhalt der Issuers 
CACERTVERIFY_FINGERPRINT : berprft den MD5 Fingerprint des Aussteller-
Zertifiats
Stimmt der Inhalt der Variable mit dem eingegebenen Zertifikat nicht berein, 
wird die SSL-Verbindung nicht hergestellt und eine Log-Meldung im Monitor 
ausgegeben.


17. Erweiterung der IPSec Hash-Algorithmen

Sowohl fr die IKE-Richtlinien als auch fr die IPSec-Richtlinien knnen zur 
Authentisierung die Algorithmen SHA 256, SHA 384 und SHA 512 Bit eingesetzt 
werden. Diese Einstellung wird im Configurator vorgenommen unter:
IPSec / ...Richtlinie / Vorschlge / Authentisierung


18. HotSpot-Anmeldung

Die HotSpot-Anmeldung erfolgt ber das Popup-Men "HotSpot-Anmeldung". Nachdem 
dieser Menpunkt angeklickt wurde, knnen verschiedene Verbindungsmeldungen am 
Bildschirm erscheinen:
- Wenn sich der Benutzer bereits im Internet befindet, wird er mit der 
Startseite http://www.ncp.de verbunden. Es erscheint ein Fenster mit folgender 
Meldung: "Sie befinden sich bereits im Internet. Eine Anmeldung am HotSpot ist 
nicht notwendig oder wurde bereits durchgefhrt." Dieser Text kann vom 
Administrator ausgetauscht werden, indem die Adresse einer anderen HTML-
Startseite in der Form angegeben wird "http://www.mycompagnie.de/error.html" und 
der Text von error.html entsprechend gendert wird.
- Wenn der Benutzer noch nicht angemeldet ist, erscheint ein Fenster mit der 
Aufforderung Benutzername und Passwort fr die Anmeldung am HotSpot-Betreiber 
einzugeben.
- Wenn der Benutzer keine Website erreicht, erscheint die Microsoft-
Fehlermeldung "... not found".

Die Konfiguration zur HotSpot-Anmeldung erfolgt im Configurator unter 
"Konfiguration / HotSpot". Folgende Einstellungen sind mglich:
- "Standard-Browser fr HotSpot-Anmeldung verwenden" ist die 
Standardeinstellung. Wird der Haken in der Checkbox entfernt, kann ein anderer 
Browser angegeben werden. Der alternative Browser kann speziell fr die 
Anforderungen am Hotspot konfiguriert werden. D.h. es wird kein Proxy Server 
konfiguriert und alle Aktiven Elemente (Java, Javascript, ActiveX) werden 
deaktiviert. (Der alternative Browser ist nicht Bestandteil der Client 
Software!) Darber hinaus kann der MD5-Hash-Wert der Browser-Exe-Datei ermittelt 
und in das Feld "MD5-Hash" eingetragen werden. Auf diese Weise wird 
sichergestellt, dass nur mit diesem Browser eine HotSpot-Verbindung zustande 
kommt.
- Unter "Startseite / Adresse" wird die oben beschriebene Startseite eingegeben 
in der Form: http://www.mycompagnie.de/error.html.
Die Konfiguration ber das Management Sytem ist mglich ab der Version 1.04 
Build 9.


19. Neues Parameterfeld in den Profil-Einstellungen "Authentisierung vor VPN"

Dieses Parameterfeld erscheint nur, wenn fr das Zielsystem die Verbindungsart 
"LAN" oder "WLAN" konfiguriert wurde, bzw. ein externer Dialer eingesetzt wird 
oder das Zielsystem fr die automatische Medienerkennung konfiguriert wurde. 
Beachten Sie dazu die Beschreibungen zum Parameterfeld "Zielsystem / 
Verbindungsart".


20. Neues Parameterfeld im Telefonbuch "HTTP-Authentisierung"

Die "HTTP-Authentisierung" gestattet eine automatische scriptgesteuerte 
Anmeldung mobiler Nutzer an Hotspots (auch DSL). 

Wenn der Access Point einen HTTP-Redirect ausfhrt, kann die Eingabe von 
Benutzername und Passwort in einem Browser-Fenster entfallen. Statt dessen 
werden die Authentisierungsdaten hier eingegeben.

Die Authentisierung erfolgt ber ein entsprechendes Script. Ein Beispiel
befindet sich im Installationsverzeichnis am PC unter \scripts\sample.


21. CA-Zertifikate nicht aus CACerts-Verzeichnis verwenden

Ist dies Funktion aktiv, so werden das CA-Zertifikat aus dem lokalen Verzeichnis 
am PDA nicht zur Verifizierung verwendet, sondern ausschlielich das Zertifikat, 
das sich auf einer Chipkarte befindet. Dieses CA-Zertifikat muss 
dasjenige sein, gegen das das eingehende Server-Zertifikat verifiziert wird.
Diese Funktion befindet sich im Konfigurator-Men unter "Konfiguration / 
Zertifikate".



Neue Features der Version 2.26, gegenber Version 2.21
-------------------------------------------------------------------------------

Der NCP Entry CE Client 2.26 untersttzt die aktuellen Versionen des 
Betriebssystems Windows Mobile 5.

Um Gerte mit der aktuellsten Firmware (WLAN-Treiber) nutzen zu knnen, sollte 
immer die aktuellste Version des Clients installiert werden. Sie erhalten den 
neuesten NCP Entry CE Client ber die Web-Seite:
http://www.ncp.de/deutsch/download/testsoftware/index.html




Neue Features der Version 2.21, gegenber Version 2.20
-------------------------------------------------------------------------------

1. Beim Schlieen des Monitors minimieren (neuer Menpunkt im Popup-Men)

Im Popup-Men wurde der Menpunkt "Beim Schlieen minimieren" hinzugefgt. Ist 
dieser Menpunkt aktiviert, so wird der Monitor beim Schlieen ber den 
Button [x] rechts in der Kopfzeile nur minimiert, nicht beendet. Der Monitor
erscheint als Tray Icon in Form eines Ampelsymbols in der Task-Leiste. Am 
Ampellicht kann der Status der Verbindung abgelesen werden (grn = Verbindung 
besteht noch).
Das Beenden des Monitors ist nur noch mglich, indem im geffneten Monitor das 
Popup-Men erneut aktiviert und die Funktion "Beim Schlieen minimieren" wieder 
deaktiviert wird. Erst dann beendet ein erneuter Klick auf den Button [x] rechts 
in der Kopfzeile den Monitor.


2. Zertifikats-Informations-Dialog

Im grafischen Feld des Monitors wurde im Bereich der Smartcard- und PIN-Dar-
stellung ein weiteres Popup-Men fr die Zertifikats-Information hinzugefgt.
Es wird mit Druck auf das Smartcard- oder PIN-Symbol aktiviert und zeigt vier
Menpunkte:
- Zertifikats-Info (zeigt die verwendeten CA- und Benutzer-Zertifikate an;
                    ein Untermen zeigt die Inhalte an.)
- PIN eingeben     (ermglicht die Eingabe der PIN)
- PIN zurcksetzen (um die PIN um erneut eigeben zu mssen)
- ReInit PKI-Modul (bei fehlerhafter Verbindung zum Chipkartenleser kann
                    eine erneute Initialisierung angestoen werden.)


3. Neuer Verbindungsmodus

immer = Dieser Modus ist speziell fr Push-Dienste am PDA gedacht (z.B. E-Mail 
Push-Dienste). In diesem Modus prft der Client, ob eine VPN-Verbindung steht. 
Ist dies nicht der Fall, wird sie aufgebaut. (Steckt der PDA in der Docking-
Station, so wird keine Verbindung hergestellt.)


4. Untersttzung von Windows Mobile 5.0

Der Client untersttzt auf Pocket PCs und MDA Pro von T-Mobile das Windows 
Betriebssystem Mobile 5.0. Dabei ist zu beachten, dass nur der Loopback- und 
Media-Treiber signiert ist, nicht jedoch alle anderen ausfhrbaren Dateien.
(Siehe auch die Datei "Hinweise").


5. ActiveSync-Verbindung zulassen (TCP 990, 999, 5678, 5679)

ActiveSync-Verbindungen werden als normale TCP-Verbindungen von der Link 
Firewall behandelt. Obwohl ActiveSync die TCP-Verbindung in beide Richtungen (PC 
<--> PDA) etabliert, wird die ActiveSync-Kommunikation bei aktiviertem Stateful 
Inspection-Filter in der Link Firewall zugelassen. 

Die ActiveSync-Verbindung wird dann gesperrt, wenn "Ausschlielich Kommunikation 
im Tunnel zulassen" aktiviert ist. Um bei dieser Einstellung die ActiveSync-
Verbindung zuzulassen, muss die Funktion "ActiveSync-Verbindung zulassen" 
aktiviert werden.

Die (globale) Firwall muss bei einer Direktverbindung (ber USB, seriell oder 
Infrarot) fr ActiveSync freigeschaltet werden. Dies erfolgt in den Firewall-
Einstellungen des Monitors unter "Optionen - ActiveSync-Verbindungen (TCP 990, 
999, 5678, 5679) zulassen". Diese Einstellung kann auch am PDA ber das Popup-
Men vorgenommen werden, wenn die (globale) Firewall aktiv ist.

Wird ActiveSync ber Netzwerk betrieben (LAN oder WLAN), so muss zustzlich 
manuell eine eigene Firewall-Regel fr die Namensauflsung (DNS/WINS) erstellt 
werden.



Neue Features der Version 2.20, gegenber Version 2.04
-------------------------------------------------------------------------------


1. Loopback-Adapter standardmig deaktiviert auf PocketPC Platform

Auf Windows CE-Gerten der PocketPC Platform wird der virtuelle Netzwerkadapter 
"NCP Loopback" bei der Neuinstallation standardmig deaktiviert.  

Dadurch sind Profil-Einstellungen mit NCP Dialer und teilweise auch 
automatischem Modus nicht einsetzbar. Diese Profile werden am PDA nach einem 
Upload vom Configurator automatisch ausgeblendet. Dazu erscheint im Log-Fenster 
ein Text, der darauf hinweist, dass die Profile nicht kompatibel zur aktuellen 
Einstellung am PDA sind. 


2. Firewall

Die Personal Firewall kann im Configurator-Men "Konfiguration" eingestellt 
werden und ist fester Bestandteil des Secure Clients. Alle Firewall-Mechanismen 
sind optimiert fr Remote Access-Anwendungen und werden bereits beim Start des 
Rechners aktiviert. D.h. im Gegensatz zu VPN-Lsungen mit eigenstndiger 
Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN-Nutzung gegen 
Angriffe geschtzt. Die Firewall bietet auch im Fall einer Deaktivierung der 
Client-Software vollen Schutz des Endgertes. Alle Firewall-Regeln knnen 
zentral vom Administrator vorgegeben und deren Einhaltung erzwungen werden. 
Voraussetzung hierfr ist das zentrale NCP Secure Enterprise Management, mit 
dessen Hilfe die Konfiguration des Clients fest, fr den Anwender nicht 
nderbar, vorgegeben werden kann.


3. Automatische HotSpot-Anmeldung

Damit der remote Client in jeder Phase des Verbindungsaufbaus auch in WLANs mit 
HotSpots ohne Zutun des Benutzers gegenber jeglichen Attacken geschtzt ist, 
wurde die Firewall fest in die Client Software integriert. Sie verfgt 
ber intelligente Automatismen fr eine sichere HotSpot-Anmeldung.

Funktionsbeschreibung:
Befindet sich ein Benutzer mit seinem Endgert im Empfangsbereich eines 
ffentlichen WLAN, whlt er im Hauptmen "Verbindung" den Menpunkt "HotSpot-
Anmeldung". Der Client sucht daraufhin automatisch den HotSpot und ffnet die 
Website zur Anmeldung im Standard-Browser. Nach erfolgreicher Eingabe der 
Zugangsdaten und Freischaltung durch den Betreiber, kann die VPN-Verbindung z.B. 
zur Firmenzentrale aufgebaut und sicher wie an einem Broarbeitsplatz 
kommuniziert werden.
Damit der PC bei der Anmeldung im WLAN zu keiner Zeit angreifbar ist, gibt die 
Firewall dynamisch die Ports fr http bzw. https fr die Anmeldung bzw. 
Abmeldung am HotSpot frei. Dabei ist nur Datenverkehr mit dem HotSpot-Server des 
Betreibers mglich. Nicht angeforderte Datenpakete werden abgewiesen. Auf diese 
Weise ist garantiert, dass ein ffentliches WLAN ausschlielich fr die VPN-
Verbindung zum zentralen Datennetz genutzt wird und kein direkter Internet-
Zugriff erfolgt.
Die direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist 
ausgeschlossen, aufgrund der bereits beschriebenen dynamischen Firewall-Regeln, 
die von der integrierten Personal Firewall des NCP Secure Clients selbstndig 
gesetzt werden.
Fr die Anmeldung ber den Standard-Browser am HotSpot ist zu beachten, dass 
eventuell eingetragene Proxy-Einstellungen angepasst bzw. deaktiviert werden 
mssen.
Sollte vom NCP Secure Client keine HotSpot-Anmeldung durchgefhrt werden, wird 
dies durch die Meldung "HotSpot konnte nicht gefunden werden" mitgeteilt.
Fr einen solchen Fall ist zu klren, ob ber diesen HotSpot-Betreiber ein 
generelles Problem in Verbindung mit den von NCP implementierten Mechanismen 
besteht.


4. ActiveSync bei Link Firewall

ActiveSync-Verbindungen werden als normale TCP-Verbindungen von der Link 
Firewall behandelt. Obwohl ActiveSync die TCP-Verbindung in beide Richtungen (PC 
<--> PDA) etabliert, wird bei aktiviertem Stateful Inspection-Filter in der Link 
Firewall zugelassen. Die Verbindung wird gesperrt, wenn "Ausschlielich 
Kommunikation im Tunnel zulassen" aktiviert ist.

Auch komprimierte Verbindungen des RAS-Dialers knnen vom Client als normaler 
IP-Verkehr berwacht werden, da sowohl die Kompression (CCP) als auch die 
VanJacobson-IP-Header-Kompression (im IPCP) nicht mehr ausgehandelt werden.

Die (globale) Firwall muss bei einer Direktverbindung (ber USB, seriell oder 
Infrarot) fr ActiveSync freigeschaltet werden. Dies erfolgt in den Firewall-
Einstellungen des Monitors unter "Optionen - ActiveSync-Verbindungen (TCP 990, 
999, 5678, 5679) zulassen". Diese Einstellung kann auch am PDA ber das Popup-
Men vorgenommen werden, wenn die (globale) Firewall aktiv ist.

Wird ActiveSync ber Netzwerk betrieben (LAN oder WLAN), so muss zustzlich 
manuell eine eigene Firewall-Regel fr die Namensauflsung (DNS/WINS) erstellt 
werden.


5. Log-Fenster am Configurator

In der PC-Komponente, dem Configurator, gibt es ein Log-Fenster fr Meldungen. 
Die Texte in diesem Log-Fenster, dessen Gre mit dem Mauszeiger verndert 
werden kann, betreffen die Kommunikation zwischen PDA und PC-Komponente bzw. die 
Kompatibilitt der Profil-Einstellungen des Configurators mit den aktuellen 
Einstellungen des PDAs. So wird zum Beispiel geprft, ob der virtuelle Adapter 
(Loopback-Adapter) am PDA ausgeschaltet ist und beim Kopieren der Profile auf 
den PDA darauf hingewiesen, dass in diesem Fall der NCP Dialer nicht verwendet 
werden kann. Das entsprechende Profil wird am PDA dann nicht angezeigt.
 
rote  Meldungen: Fehler und missglckte Verbindungen
grne Meldungen: OK-Meldungen bei Upload von Profil-Einstellung und Zertifikat 
blaue Meldungen: Hinweise und Warnungen wegen inkompatibler Profile
                 (WAN Support, virtueller Adapter am PDA - Upload auf den PDA)


6. VPN Passwort-Abfrage im automatischen Modus 

Ist kein VPN-Passwort eingegeben, so wird es bei einem Verbindungsaufbau, gleich 
ob manuell, automatisch oder wechselnd, abgefragt. Ein einmal eingegebenes 
Passwort bleibt gespeichert bis
- das Profil gewechelt wird oder  
- der Dienst neu gestartet wird oder  
- ber manuellen Verbindungsaufbau ein anderes Passwort eingegeben wird


7. Monitor im Vordergrund bei Verbindungsstatusnderung

Bei einer nderung des Verbindungsstatus erscheint der Monitor im Vordergrund, 
wenn dies ber die Benutzeroberflche in ncpconfig.exe am PDA eingeschaltet 
wurde. Der Monitor muss nach dem ndern dieser Einstellung neu gestartet werden.


8. Kompressionstyp Deflate

Der Kompressionstyp Deflate wird untersttzt. In den Profil-Einstellungen 
erscheint unter "IPSec-Einstellungen" der Parameter "IP-Kompression verwenden". 
Wird diese Funktion aktiviert, so werden beide Kompressionstypen, LZS und 
Deflate, ausgehandelt. 


9. Kaltstart-Installation

Mit einem eigenen Programm (Admin Pack) kann eine Neuinstallation inklusive 
Profil-Einstellungen ohne PC vorgenommen werden. Dazu wird die Software im 
Flash-ROM des Gerts oder auf Flashcard hinterlegt. Nach einem Kaltstart wird 
sie dann automatisch installiert. Damit gleichzeitig Profil-Einstellungen und 
Lizenzierung bernommen werden knnen, werden drei Dateien bentigt:
- die CAB-Datei der Software vom PC
- ein Installationsprogramm (Admin Pack) mit Anleitung
- ein Konfigurationsprogramm (Script)
Das Installationsprogramm wird durch die Autostart-Mechanismen des Systems 
gestartet. 
Im Konfigurationsprogramm ist angegeben um welche Software es sich handelt 
(Entry oder Enterprise), ob und wo ein Telefonbuch/eine Profil-Einstellung 
vorhanden ist, sowie Informationen ber die Lizenz. Zudem ist vermerkt, ob 
weitere Einstellungen vor bzw. nach der Installation in der Registry vorgenommen 
werden sollen.
Das Admin Pack ist auf Nachfrage direkt bei NCP erhltlich.


10. Angabe des Smartcard-Lesers mit Wildcards

Der Name eines Smartcard-Lesers wird in der Konfiguration festgelegt. Verwendet 
man nun einen anderen Leser so unterscheidet sich der Name und der Leser wird 
nicht gefunden. Bei zwei Lesern, die sich lediglich in der Firmware 
unterscheiden, deswegen jedoch einen anderen Namen haben, kann das evtl. nicht 
erwnscht sein. z.B.: 
SpringCard GCR-R1.44-GI slot A 
SpringCard GCR-R1.44-GH slot A 
--> fr obiges Beispiel kann mit einem Stern "*" als Wildcard z.B. folgenden 
Lesernamen angeben: SpringCard*


11. Integriertes Ping-Utilty

Der CE Client enthlt ein Programm um ICMP-Echo_Requests (Ping) abzusenden. Der 
Aufruf erfolgt ber das Popup-Menu des Clients. Das Programm "Ping.exe" befindet 
sich im Installationsverzeichnis der Client Software und ist jedoch auch stand-
alone verwendbar.


12. Neues Verbindungsmedium PocketPC Connection Manager

In den Profil-Einstellungen kann im Parameterfeld "Grundeinstellungen" das 
Verbindungsmedium "PocketPC Connection Manager" fr PocketPC Plattformen 
eingestellt werden. Dieses Verbindungsmedium ist ideal fr Gerte mit 
integriertem Telefon (MDA). Whrend eine GPRS-Verbindung besteht, kann 
gleichzeitig telefoniert werden. Der PocketPC Connection Manager bernimmt dabei 
automatisch das Parken der GPRS-Verbindung. Bei der Konfiguration eines Profils 
fr diese Anwendung ist darauf zu achten, dass die Timeout-Spanne gengend gro 
gewhlt wird, bzw. der Timeout deaktiviert ist und Dead Peer Detection (DPD) in 
den IPSec-Einstellungen deaktiviert ist.
Bei Einsatz dieses Verbindungsmediums, nur sinnvoll bei deaktiviertem Loopback-
Adapter, kann man das Zielnetzwerk auswhlen: Internet oder Firmennetz. Diese 
Einstellung kann auch nachtrglich am PDA ber das Popup-Men gendert werden. 
Bei Verwendung dieses Medientyps wird der PocketPC Connection Manager dazu 
veranlasst eine Verbindung (ins Internet oder Firmennetz) aufzubauen. D.h. der 
ConnectionManager wird automatisch eine RAS-Verbindung auswhlen und aufbauen, 
oder er erkennt eine schon vorhandene LAN-Karte und baut keine weitere 
Verbindung auf.
Unter "Start -> Einstellungen -> Verbindungen -> Verbindungen", kann mit 
Bordmitteln die entsprechende Internet- und Firmenverbindung konfiguriert 
werden.
Ist der virtuelle Adapter aktiv so ist fr den sinnvollen Einsatz des Connection 
Managers genauere projektspezifische Kenntniss der Umgebung ntig.




Neue Features der Version 2.04, gegenber Version 2.0
-------------------------------------------------------------------------------

Allgemein zum Datenaustausch zwischen PDA und PC:

Bei aktivierter Firewall werden alle unbekannten WAN-Pakete geblockt. Ein 
Verbindungsaufbau funktioniert noch (PPP-Verhandlung sind bekannte Pakete und 
werden nicht geblockt) aber anschlieend ist kein Datenverkehr mehr mglich. 
Dies gilt sowohl fr ActiveSync-Verbindungen als auch fr von Hand gestartete 
RAS-Verbindungen sofern diese Kompression nutzen.

Abhilfe: Whlen Sie im Client-Monitor ein Zielsystem, fr welches keine Firewall 
aktiviert ist oder beenden Sie den NCP Client Driver (falls ein derartiges Ziel 
noch nicht angelegt wurde)!


1. WAN-Support

Mit dem Programm NCPCONFIG.EXE kann die Untersttzung von WAN-Adaptern am PDA 
konfiguriert werden. Dieses Programm steht im Installationsverzeichnis auf dem 
PDA und kann dort von Hand gestartet werden. Im Auslieferungszustand ist der 
WAN-Support eingeschaltet.

Nur bei aktivem WAN-Support ist auch die Firewall-Funktionalitt fr den RAS-
Adapter gegeben. WAN-Support wird auerdem bentigt, um IPSec-Tunneling ber 
RAS-Verbindungen nutzen zu knnen. Alle anderen Verbindungsarten ber den RAS-
Adapter bentigen keinen WAN-Support.

Voraussetzung fr den WAN-Support ist Pocket PC 2002 mit EUU3 oder einem neueren 
System auf dem PDA. Nach der Aktivierung und einem anschlieenden Softreset muss 
eine ActivSync-Verbindung (ber USB oder seriell) zum PC weiterhin mglich sein. 
Ist dies nicht der Fall, so funktioniert der WAN-Support nicht und muss mit 
NCPCONFIG.EXE abgeschaltet werden. Nach einem erneuten Softreset sollte 
ActiveSync 
wieder funktionsfhig sein.

NCP empfiehlt den WAN-Support nur dann zu deaktivieren, wenn Probleme auftreten.


2. Statusanzeigen im grafischen Feld des Monitors

Folgende Statusanzeigen werden im grafischen Feld angezeigt:
- Chipkarte 
- PIN-Status 
- Firewall-Option 
- EAP-Status 


3. Anzeige der Meldungen des ACE Servers

Anfragen des ACE Servers, die ber XAUTH beim Client eintreffen, werden dem 
Benutzer angezeigt.


4. IPSec clearing previous session

Bei einem unerwarteten Verbindungsabbruch speichert der Client die Parameter zur 
letzten ausgehandelten Verbindung und meldet diese bei einem erneuten 
Verbindungsaufbau zunchst ordentlich ab. Anschlieend findet ein erneuter 
Verbindungsaufbau statt.


5. PKCS#11-Module

Der entsprechende PKCS#11-Eintrag erscheint unter "aus Chipkartenleser", nachdem 
das PKCS#11-Modul in der Datei NCPPKI.CONF angelegt wurde.


6. Modemdaten aus RAS-Eintrag bernehmen

Whlt man als Verbindungsart "Modem" und den Microsoft RAS-Dialer so besteht bei 
der Modem-Konfiguration die zustzliche Option "Modemdaten aus RAS-Eintrag 
bernehmen". Wird diese Option selektiert, so werden unter "Modem" alle im PDA 
gefundenen RAS-Eintrge angezeigt. Aus dem gewhlten Eintrag wird die 
Modemkonfiguration incl. gertespezifischer Einstellungen fr den vom NCP-Client 
neu angelegten RAS-Eintrag bernommen.

Zu den gertespezifischen Einstellungen gehrt z.B. die Baudrate und der Init-
String, nicht jedoch die Telefonnummer. Somit ist es mglich einen Modem Init-
String ber den Ras-Dialer zu verwenden.

 
7. Disable Auto-Poweroff

Wird der PDA lngere Zeit nicht benutzt, schaltet er automatisch ab in den 
Stromsparmodus. Dies kann auch geschehen, whrend eine VPN-Verbindung aktiv ist. 
Im Client-Monitor kann dieser Automatismus ausgeschaltet werden. Dazu gehen Sie 
wie folgt vor:

Halten Sie den Eingabestift einige Sekunden auf das grafische Feld des Monitors 
gedrckt, dann erscheint ein Popup-Men ber das sie aktuelle Einstellung 
angezeigt wird und gendert werden kann.


8. Betrieb ohne virtuellen Netzwerkadapter

Der Betrieb ohne virtuellen Netzwerkadapter ist auf Gerten mit Pocket PC 2003 
(Phone Edition) zu empfehlen. Der virtuelle Adapter wird wie folgt 
ausgeschaltet:

- ber den Datei-Explorer wechseln Sie in das Installationsverzeichnis 
(normalerweise: \Programme\NCP Secure CE Client\) und rufen NCPCONFIG.EXE auf.
- Whlen Sie anschlieend den Karteireiter "Loopback" und deaktivieren Sie den 
virtuellen Netzwerkadapter.
- Fhren Sie anschlieend einen Softreset durch.




Neue Features der Version 2.00, gegenber Version 1.22
-------------------------------------------------------------------------------


1. Firewall-Einstellungen (neues Konfigurationsfeld)

An Stelle der Funktion "LAN-Adapter schtzen" in frheren Versionen wurde das 
Konfigurationsfeld "Firewall-Einstellungen" mit erweiterten 
Konfigurationsmglichkeiten eingefgt. Achtung: Es werden nur LAN-Adapter 
geschtzt (Ethernet, WLAN) keine WAN-Adapter wie z.B. der RAS-Adapter.

Grundstzliche Aufgabe einer Firewall ist es, zu verhindern, dass sich Gefahren 
aus anderen bzw. externen Netzen (Internet) in das eigene Netzwerk ausbreiten. 
Deshalb wird eine Firewall auch am bergang zwischen Firmennetz und Internet 
installiert. Sie prft alle ein- und ausgehenden Datenpakete und entscheidet auf 
der Basis vorher festgelegter Konfigurationen, ab ein Datenpaket durchgelassen 
wird oder nicht. Die hier zu aktivierende Firewall arbeitet nach dem Prinzip der 
Stateful Inspection.

Aktivierung aus: Die Sicherheitsmechanismen der Firewall werden nicht in 
Anspruch genommen.
Aktivierung immer: Die Sicherheitsmechanismen der Firewall werden immer in 
Anspruch genommen, d.h. auch wenn keine Verbindung aufgebaut ist, ist der PC vor 
unberechtigten Zugriffen geschtzt.
Aktivierung bei bestehender Verbindung: Der PC ist dann nicht angreifbar, wenn 
eine Verbindung besteht.
Ausschlielich Kommunikation im Tunnel zulassen: Bei aktivierter Firewall kann 
diese Funktion zustzlich eingeschaltet werden, um in ein- und ausgehender 
Richtung ausschlielich VPN-Verbindungen zuzulassen. 


2. Update Server (neuer Parameter)

Im Telefonbuch wurde im Konfigurationsfeld "DNS/WINS" der Parameter "Update 
Server" hinzugefgt. Die IP-Adresse des NCP Update Servers muss hier eingetragen 
werden, wenn das Gateway der Gegenstelle kein NCP-Gateway ist und somit kein 
Update-Server automatisch ber die PPP-Verhandlung bekannt gegeben werden kann.

Wird die IP-Adresse eines Update Servers eingetragen, obwohl die Gegenstelle ein 
NCP-Gateway ist, so wird unabhngig von der eingetragenen IP-Adresse der Update-
Server genutzt, welcher bei der PPP-Verhandlung zwischen NCP-Gateway und NCP 
Secure Client bekannt gegeben wird. Die eingetragene IP-Adresse wird in diesem 
Fall ignoriert.


3. Untersttzung von Dynamic DNS (DynDNS)

Das VPN Gateway bentigt keine feste offizielle IP-Adresse, sodass auch die 
Einrichtung einer Internet-Festverbindung entfllt. Statt dessen erhlt das 
Gateway seine IP-Adresse vom Internet Service Provider. Da vom ISP bei jeder 
erneuten Einwahl seitens des Gateways eine andere Adresse vergeben wird, kann 
die eindeutige Identifikation durch den Secure Client nicht mehr ber eine fest 
konfigurierte IP-Adresse erfolgen. Statt dessen wird dem VPN Gateway vom 
Administrator ein Name zugeordnet (DNS Name), der am DynDNS Server bei der 
Registrierung mit Benutzername (User ID) und Passwort gespeichert wird.

Auf Seiten des Clients wird nun statt der (festen) IP-Adresse fr den Tunnel-
Endpunkt (siehe -> Client-Telefonbuch, Tunnel-Parameter) dieser, beim DynDNS 
Service Provider hinterlegte Name des Gateways eingetragen (DNS Name). Der DNS-
Name wird in das Feld "Tunnel-Endpunkt (Ziel)" eingetragen.

Zur Abfrage der aktuellen IP-Adresse des Gateways findet nun vor dem 
Tunnelaufbau vom Client zum Gateway ein DNS Request statt, ber den eine 
Auflsung des DNS Namens erfolgt. Damit erhlt der Client die jeweils aktuelle 
IP-Adresse des Gateways, und der Tunnelaufbau zum Gateway kann erfolgen.

Beachten Sie bitte, dass eine Verbindung vom Client zum Gateway natrlich nur 
stattfinden kann, solange das Gateway eine Verbindung zum Internet unterhlt 
(z.B. ber DSL Flatrate).


4. Verbindung zu IPSec Gateways anderer Hersteller (neues VPN-Protokoll)

Im Telefonbuch des Clients unter "Tunnel-Parameter" kann zwischen den VPN-
Protokollen "L2TP" (Layer 2) und "IPSec Tunneling" (Layer 3) gewhlt werden. 
Wird das VPN-Protokoll "IPSec Tunneling" gewhlt, so wird die IPSec-Verbindung 
ohne einen Layer 2-Tunnel (L2TP) hergestellt. Bei Auswahl von "IPSec Tunneling" 
wird darauf hingewiesen, dass im Konfigurationsfeld "Security" automatisch 
folgende Einstellungen vorgenommen werden:
Security-Modus   =  IPSec
IKE-Richtlinie   =  Von Gegenstelle bestimmt
IPSec-Richtlinie =  Von Gegenstelle bestimmt
Austausch-Modus  =  Main Mode

Im Telefonbuch unter der Rubrik "Security" werden die Parameter "IKE ID-Typ" und 
"IKE ID" zur Konfiguration eingeblendet:
IKE ID-Typ = Alternativen: IP-Adresse, Fully Qualified Domain Name, Fully 
Qualified Username, IP Subnet-Adresse, ASN1 Distinguished Name, ASN1 Group Name, 
Free String used to identify Groups
IKE ID     = je nach ausgewhltem ID-Typ muss der zugehrige String eingetragen 
werden.

"Preshared Key" oder "RSA Signatur": Entsprechend den Vorgaben durch die 
Gegenstelle kann als "IKE-Richtlinie" die automatisch vorgenommene Einstellung 
"Von Gegenstelle bestimmt" auf "Preshared Key" oder "RSA Signatur" (Zertifikat) 
abgendert werden. Erwartet die Gegenstelle "Preshared Key", so muss der 
Schlssel in das Feld eingetragen werden. (Der Preshared Key muss in diesem Fall 
fr alle Clients identisch sein.)

IP-Adressen und DNS Server werden ber das Protokoll IKE-Config Mode (Draft 2) 
zugewiesen (kompatibel derzeit nur gegen Cisco). Fr die NAS-Einwahl knnen alle 
bisherigen WAN-Schnittstellen verwendet werden.

Die Authentisierung bei "IPSec Tunneling" erfolgt ber das XAUTH Protokoll 
(Draft 6). Dazu mssen auerdem noch folgende Parameter im Konfigurationsfeld 
"Tunnel-Parameter" gesetzt werden:
VPN-Benutzername = Benutzername des IPSec-Benutzers
VPN-Passwort = Kennwort des IPSec-Benutzers
Benutze Zugangsdaten von Zertifikat = optional

Bei "IPSec Tunneling" wird im Hintergrund automatisch DPD (Dead Peer Detection) 
und NAT-T (NAT Traversal) ausgefhrt, falls dies von der Gegenstelle untersttzt 
wird. Mit DPD prft der IPSec Client in bestimmten Abstnden, ob die Gegenstelle 
noch aktiv ist. Bei inaktiver Gegenstelle erfolgt ein automatischer 
Verbindungsabbau. Der Einsatz von NAT Traversal erfolgt beim IPSec Client 
automatisch und ist immer ntig, wenn auf Seiten des Zielsystems ein Gert mit 
Network Address Translation zum Einsatz kommt.


5. Erneuerter Schlsselaustausch ohne Verbindungsabbruch (Seamless Rekeying)

Zehn Sekunden vor Ablauf der Gltigkeitsdauer (siehe -> Parameter "Dauer" in der 
Konfiguration der IKE- und IPSec-Richtlinie) der IKE- oder IPSec-Richtlinie wird 
automatisch eine neue Security Association ausgehandelt. Dies gewhrleistet 
einen nahtlosen Datenaustausch ohne Paketverlust.


6. L2TP-Polling

Der Client prft bei einer Layer-2-Tunnelverbindung mit Polling, ob die 
Gegenstelle noch aktiv ist. Bleibt eine Antwort aus, so wird die Verbindung 
getrennt. Das Polling wird dann aktiv, wenn keine Daten vom Gateway mehr 
empfangen werden und wird alle zehn Sekunden durchgefhrt. Dieses Verfahren hat 
keinen Einfluss auf die Einstellungen des Timeouts.


7. EAP-Optionen (neues Konfigurationsfeld)

Der Einsatz des Extensible Authentication Protocols Message Digest5 (EAP MP5) 
kann ber das Hauptmen des Monitors unter "Konfiguration - EAP-Optionen" 
eingestellt werden. Dieses Protokoll kann dann zum Einsatz kommen, wenn fr den 
Zugang zum LAN ein Switch oder fr das wireless LAN ein Access Point verwendet 
werden, die 802.1x-fhig sind und eine entsprechende Authentisierung 
untersttzen. Mit dem Extensible Authentication Protocol (EAP MP5) kann 
verhindert werden, dass sich unberechtigte Benutzer ber die Hardware-
Schnittstelle in das LAN einklinken. Zur Authentisierung kann wahlweise "VPN-
Benutzername" mit "VPN-Passwort" verwendet werden oder ein eigener "EAP-
Benutzername" mit einem "EAP-Passwort".


8. bertrage CA-Zertifikat zum PDA

Mit diesem Menpunkt in der Overflche der PC-Komponente knnen CA-Zertifikate 
(nur das DER-Format wird vom CE-Client verstanden, kein PEM) ins Verzeichnis 
"cacerts" auf den PDA kopiert werden.


9. Allgemeines zum InitString

Beispiel zu einem InitString fr GPRS ber E-Plus:
AT+cgdcont=1,"IP","internet.eplus.de"<cr>
Wichtig fr die Notation: mit Anfhrungszeichen, ohne Leerzeichen, vorne AT, 
hinten <cr>
Bei Strungen mit einem zustzlichen ATZ<cr> (bewirkt einen Modem-Reset) vor dem 
InitString testen.


10. Aktivierungsschlssel

Ab jetzt wird aus einer vorhandenen CNF-Datei (Telefonbuch vom Update-Server) 
auch der Aktivierungsschlssel und Seriennummer ausgelesen und eingestellt. 

Verndert sich dabei die Produkt-Kategorie (VPN <--> PKI / GovNet), so muss 
anschlieend der "Client Driver" neu gestartet werden, damit der PKI-Teil zu-
/abgeschaltet wird. Auf diesen Umstand wird jedoch NICHT mit einer Box 
hingewiesen. 


11. Verbindungsabbau nach Standby-Modus

Mit Hilfe eines Registry Keys ist es mglich, dass Verhalten nach dem Verlasen 
des StandBy-Moduses (=ausschalten des PDA )zu beeinflussen. Um die Eintrge zu 
ndern bentigt man einen Registry-Editor oder "autoinstall.exe".
Schlssel: [HKEY_LOCAL_MACHINE\SOFTWARE\NCP\NCP Secure CE Client]
Werte: DisconnectAfterPowerOn - 0/1 (Default=1) 
Bestimmt, ob nach dem "Einschalten" eine eventuell noch bestehende VPN-
Verbindung beendet werden soll oder nicht. Dies ist jedoch nur bei (W)LAN 
sinnvoll. PKI-Verbindungen werden immer beendet, weil die PIN ungltig 
geschaltet wird!


12. Autoinstall

Im Installations-Verzeichnis auf dem PC existiert ein autoinstall.exe. Mit 
diesem knnen Einstellungen am NCP Client auf dem PDA vorgenommen werden und die 
Installation kann etwas automatisiert werden. Infos knnen mit "autoinstall -
help" oder in der Datei autoinstall.rtf (liegt auch im Installationverzeichnis) 
abgerufen werden.


13. PKI-berwachung, ob die PKCS12 Datei vorhanden ist

Mit dieser Version wird berwacht, ob die PKCS#12 Datei vorhanden ist. Wird 
diese z.B. auf einem USB Stick oder SD Karte gespeichert, so wird nach dem 
Ziehen der SD Karte die PIN zurckgesetzt und eine Verbindung abgebaut (wie mit 
einer Chipkarte). Wird spter die SD Karte wieder gesteckt, kann nach der PIN-
Eingabe die Verbindung hergestellt werden. 


14. DHCP, Standardeinstellung

Der NCP-Adapter wird bei der Installation auf dem PDA automatisch auf DHCP 
gestellt. Bei einigen Gerten kann diese Einstellung zu Problemen fhren 
(Adapter bekommt keine IP-Adresse). Ist dies der Fall kann die IP-Adresse in 
folgendem Dialog gendert werden: 
StartMen -> Einstellungen -> Verbindungen -> Netzwerk Adapter -> NCP Loopback 


15. PC-Komponente

Bisher musste beim Start der PC-Komponente eine ActivSync Verbindung zum PDA 
bestehen, sonst funktionierte der sptere Telefonbuch Up-/Download nicht. Ab 
jetzt funktioniert der Austausch auch wenn der PDA erst nachtrglich angesteckt 
wird. 
Auch die Daten des Modems und des Smart Card-Lesers knnen nachtrglich vom PDA 
geladen werden; dazu gibt es 2 neue Men-Eintrge.
Beachte: die Infos ber vorhandene Modems werden jedesmal "frisch" auf dem PDA 
erzeugt, die Infos zu  Smart Card-Lesern jedoch nur bei jedem Start des Treibers 
auf dem PDA.


16. Rckruf-Funktion

Im Telefonbuch der PC-Komponente kann eine Rckruf-Funktion konfiguriert werden. 
Sie funktioniert jedoch nur, wenn der NCP-Dialer genutzt wird. Sie wird 
folgendermaen eingesetzt:
- "COM-Port freigeben" auf "Aus" stellen (D.h. COM-Port wird geffnet, sodass 
eine Verbindung zum Modem / Handy aufgebaut wird, sobald der Telefonbucheintrag 
am PDA ausgewhlt wurde. Schon ab diesem Zeitpunkt muss das Modem erreichbar 
sein, d.h. das eventuell eingesetzte Handy muss im IR-Bereich liegen oder die 
Bluetooth-Verbindung muss bereits aufgebaut sein. Ob diese Verbindung steht, 
kann z.B. daran erkannt werden, dass im Handy das Symbol fr die IR-Verbindung 
erscheint. Dieses Symbol muss whrend der ganzen Zeit angezeigt werden, d.h. 
auch nach der Abwahl des Clients, whrend auf den Rckruf gewartet wird. Ist 
dies nicht der Fall, so klappt zwar die Anwahl der Gegenstelle, der Rckruf wird 
jedoch nicht angenommen.





Neue Features der Version 1.22, Build 14 gegenber Version 1.0
-------------------------------------------------------------------------------


1.    NCP-Dialer und Microsoft RAS-Dialer

Die neue Version des NCP Secure CE Clients kann sowohl den Microsoft RAS-Dialer 
als auch den NCP-Dialer nutzen. Mit dem NCP-Dialer knnen Initialisierungs-
Strings an Handys (Modems) gesendet werden, sodass GPRS-Verbindungen mit jedem 
dafr geeigneten Handy aufgebaut werden knnen (auch V.110).

Welcher Dialer genutzt werden soll, hngt davon ab, welche Hardware-Komponente 
bzw. welches Handy oder Modem fr den Verbindungsaufbau eingesetzt wird und ob 
der Einwahlpunkt (ISP) ein Einwahl-Script bentigt. Die entsprechende 
Konfiguration der CE Client Software erfolgt auf der PC-Komponente im 
Telefonbuch. (Siehe -> Liesmich.txt)


2.   Parameterfenster "Modem"

Dieses Parameterfeld erscheint ausschlielich, wenn Sie als "Verbindungsart" 
"Modem" gewhlt haben. Alle ntigen Parameter zu dieser Verbindungsart sind hier 
gesammelt. Bei Einsatz des Microsoft RAS-Dialers sind nur die Parameter 
"Baudrate" und "Modem" konfigurierbar. Je nach Einsatz des vorher unter 
"Zielsystem" festzulegenden Dialers werden zum Modem die zugehrigen 
Treibernamen zur Auswahl gelistet. 
Beachten Sie zur Konfiguration die Datei Liesmich.txt!


3.    Zertifikats-berprfung

Der neue Secure CE Client kann das eingehende Server-Zertifikat berprfen. 
Schlgt die berprfung fehl, wird die Verbindung nicht aufgebaut. Die Ursache 
dafr kann im Log Fenster des Clients beobachtet werden.

Im Parameterfeld "Zertifikats-berprfung" im Telefonbuch kann pro Zielsystem 
des Secure Clients vorgegeben werden, welche Eintrge in einem Zertifikat der 
Gegenstelle (Secure Server) vorhanden sein mssen.
Beachten Sie zur Konfiguration die Datei Liesmich.txt!


4.    Zertifikats-Untersttzung

Es knnen Zertifikate eingesetzt werden, die einen privaten Schlssel bis zu 
einer Lnge von 2048 Bits haben. Als Gegenstelle muss der NCP Secure Server 5.21 
(27) oder hher eingesetzt werden.


5.    Download vom Update Server

In Zusammenspiel mit dem NCP Secure Update Server kann der CE Client den Service 
von Konfigurations- und Zertifikats-Updates nutzen. Die Updates erfolgen 
automatisch, d.h. sobald ein neues Telefonbuch (Konfigurations-Update) oder ein 
neues Zertifikat (Zertifikats-Update) fr den Client am Update Server bereit 
liegt.


6.    Passwort-Abfragen

Bei der Erstellung eines Telefonbucheintrags mit der PC-Komponente kann sowohl 
das Passwort-Feld zur "Netzeinwahl" als auch das Passwort (VPN)-Feld zur Einwahl 
am VPN Gateway (unter "Tunnel-Parameter) leer bleiben. In diesem Fall werden die 
Passwrter vor dem Verbindungsaufbau am PDA abgefragt.


7.    PIN-Abfrage bei jedem Verbindungsaufbau

Die "PIN-Abfrage bei jedem Verbindungsaufbau" kann im Hauptmen der PC-
Komponente unter "Konfiguration - Zertifikate" eingestellt werden. Beachten Sie 
jedoch, dass bei "automatischem Verbindungsaufbau" mit dieser Einstellung und 
geschlossenem Monitor ein Verbindungsaufbau nicht mglich ist.


8.    Autostart des NCP-Treibers am PDA

Der NCP-Treiber muss nach der Installation und nach einem Softreset nicht 
unbedingt manuell aus dem Programmordner gestartet werden. Der Treiber wird 
automatisch gestartet, wenn das Programm ncprwscestart aus dem 
Installationsverzeichnis am PDA in das (anzulegende) Autostart-Verzeichnis unter 
Windows kopiert wurde.


---------------------------------------------------------------------------
Zur weiteren Information besuchen Sie bitte die Web-Site: www.ncp.de
---------------------------------------------------------------------------
NCP engineering GmbH, Nrnberg, Germany
17.07.2007
