Datei:          NEUES.TXT
Produkt:        NCP Secure Entry Client
Version:        Version 8.30
Hersteller:     NCP Engineering GmbH

-------------------------------------------------------------------------------
Neueste Informationen zum NCP Secure Entry Client unter Win 98se/ME/NT/2000/XP
-------------------------------------------------------------------------------
Neue Features der Version 8.30 gegenber Version 8.21
-------------------------------------------------------------------------------

1. Neue Verbindungsarten

Im Parameterfeld "Zielsystem" des Telefonbuchs wurden zwei neue Verbindungsarten 
fr den Client hinzugefgt:
- WLAN
- Automatische Medienerkennung

WLAN: Die Konfiguration eines Zielsystems mit Verbindungsart WLAN ermglicht das 
direkte Ansteuern und Konfigurieren der WLAN-Karte. Die Installation der 
Managementsoftware kann entfallen (nur unter Windows 2000/XP).

Automatische Medienerkennung: Diese Verbindungsart kann dann eingesetzt werden, 
wenn wechselweise unterschiedliche Verbindungsarten genutzt werden. Der Client 
erkennt dann automatisch, welche Verbindungsarten aktuell zur Verfgung stehen 
und whlt davon die schnellste aus. 


2. Integrierte WLAN-Konfiguration fr Windows 2000/XP

Unter Windows 2000/XP kann der WLAN-Adapter mit der Verbindungsart "WLAN" 
betrieben werden. Im Monitormen erscheint eigens der Menpunkt "WLAN-
Einstellungen", worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt 
werden knnen. Wird diese "WLAN-Konfiguration aktiviert", so muss das 
Management-Tool der WLAN-Karte bzw. das Microsoft-Tool deaktiviert werden.

Alternativ kann auch das Management-Tool der WLAN-Karte oder das Microsoft-Tool 
genutzt werden. Die jeweils nicht eingesetzten Tools mssen deaktiviert werden.

Wird die Verbindungsart WLAN fr ein Profil eingestellt, so wird unter dem 
grafischen Feld des Client-Monitors eine weitere Flche eingeblendet, auf der 
die Feldstrke und das WLAN-Netz dargestellt werden.

Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum 
Parameter "Verbindungsart" im Abschnitt "Konfigurationsparameter / Telefonbuch" 
und den Anhang "Mobile Computing via GPRS / UMTS / WLAN".

Wird WPA mit EAP (TLS) genutzt, so mssen die EAP-Optionen im Konfigurations-
Men des Monitors aktiviert werden und ein Zertifikat konfiguriert sein (im 
Monitor-Men unter "Konfiguration / Zertifikate").


3. Automatische Medienerkennung

Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch diejenige 
Verbindungsart erkannt und eingesetzt, die fr den Client-PC aktuell zur 
Verfgung steht, wobei bei mehreren alternativen bertragungswegen automatisch 
der schnellste gewhlt wird. In einer Suchroutine ist die Priorisierung der 
Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. DSL,  
4. UMTS/GPRS, 5. ISDN, 6. MODEM.

Die Konfiguration erfolgt mit der Verbindungsart "automatische Medienerkennung" 
in den Profil-Einstellungen unter "Zielsystem". Alle fr diesen Client-PC 
vorkonfigurierten Zielsysteme zum VPN Gateway des Firmennetzes knnen dieser 
automatischen Medienerkennung, sofern gewnscht, zugeordnet werden. Damit 
erbrigt sich die manuelle Auswahl eines Mediums (UMTS, DSL, ISDN, Modem) aus 
den Telefonbucheintrgen. Die Eingangsdaten fr die Verbindung zum ISP werden 
fr den Anwender transparent aus den vorhandenen Telefonbucheintrgen 
bernommen.


4. Verfgbare Verbindungsmedien

Dieses Fenster dient ausschlielich der Benutzerinformation ber die zur 
Verfgung stehenden Verbindungsarten und die aktuell genutzte. Werden 
wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt der Client 
automatisch, welche Verbindungsarten aktuell zur Verfgung stehen und whlt 
davon die schnellste aus. 

Die zur Verfgung stehenden Verbindungsarten werden mit gelber Signallampe 
dargestellt, die ausgewhlte Verbindungsart mit einer grnen.

Zur Konfiguration der "automatischen Medienerkennung" beachten Sie im 
Telefonbuch das Parameterfeld "Zielsystem".


5. Lizenzierung

Die Lizenzierung erfolgt nicht mehr ber das Popup-Men, sondern ber das 
Monitor-Men "Hilfe / Lizenzinfo und Aktivierung".

Unter dem Menpunkt "Lizenzinfo und Aktivierung" wird die eingesetzte Software-
Version und gegebenenfalls die lizenzierte Version mit Seriennummer angezeigt.

Wird die Software als Testversion eingesetzt, so kann die verbliebene Dauer der 
Gltigkeit im Popup-Men abgelesen werden.

Um eine zeitlich unbegrenzt gltige Vollversion nutzen zu knnen, muss die 
Software mit dem erhaltenen Lizenzschlssel und der Seriennummer freigeschaltet 
werden.

Mit der Lizenzierung der Software akzeptieren Sie die Lizenzbedingungen, die 
nach einem Klick auf "Lizenzbedingungen" eingesehen werden knnen.

Zur Eingabe von Lizenzschlssel und Seriennummer klicken Sie auf den Button 
"Aktivierung". Anschlieend knnen die Lizenzdaten wahlweise online oder offline 
ber einen Assistenten eingegeben werden.

In der Offline-Variante muss eine Datei, die nach Eingabe von Lizenzschlssel 
und Seriennummer erzeugt wird, an den NCP Web Server geschickt werden und der 
auf der daraufhin auf der Website angezeigte Aktivierungsschlssel notiert 
werden. Dieser Aktivierungsschlssel kann zu einem spteren Zeitpunkt im 
Lizenzierungsfenster des Monitormens eingegeben werden.

In der Online-Variante werden die Lizenzierungsdaten ber einen Assistenten 
unmittelbat nach Eingabe an den Web Server weitergegeben und die Software damit 
unverzglich freigeschaltet.


6. Friendly Net Detection (FND)

FND ermglicht dem NCP Client automatisch zu erkennen, ob er sich in einem 
Friendly Net (FN) befindet oder nicht.
 
Integrierte intelligente Automatismen in der Personal Firewall ersetzen manuelle 
Eingriffe. Was ein FN ist, kann vom Administrator in den Firewall-Einstellungen 
des Monitors festgelegt werden. Die Signalisierung eines FN erfolgt im Monitor; 
das Firewall Icon frbt sich grn.
 
Erforderlich ist ein Friendly Net Detection Server (FNDS), d.h. eine 
Softwarekomponente von NCP, die in einem als "Friendly Net" definierten Netz 
installiert werden muss. Die Authentifizierung des FNDS erfolgt mittels EAP bzw. 
EAP-TLS.

Der Anwender muss sich nicht um die Einstellung der Personal Firewall kmmern. 
Je nach Kommunikationsumgebung greift der NCP Client dynamisch auf ein passendes 
Firewall-Regelwerk zu. Versehentliches Benutzen falscher Firewall-Konfigurationen 
und damit Attacken auf das Firmennetz werden verhindert.

Um die Redundanz zu erhhen, kann die IP-Adresse eines zweiten FND-Servers nach 
einem Strichpunkt nach der ersten IP-Adresse eingetragen werden. Die IP-Adresse 
des ersten verfgbaren FND-Servers wird automatisch zur Erkennung der bekannten 
Netze selektiert.


7. Erweiterung der untersttzten Chipkarten

Folgende Chipkarten werden direkt ber die PC/SC- oder CT-API-Schnittstelle 
untersttzt:
- Signtrust
- NetKey 2000
- TC Trust (CardOS M4)
- Telesec PKS SigG


8. Externe Anwendungen

ber dieses Konfigurationsfeld der Verbindungssteuerung im Monitormen knnen in 
Abhngigkeit vom Client Monitor Anwendungen oder Batch-Dateien gestartet werden. 

In einer weiterfhrenden Konfiguration kann bestimmt werden wann die Anwendung 
getartet werden soll:
- vor Verbindungsaufbau starten (precon)
- nach Verbindungsaufbau starten (postcon)
- nach Verbindungsabbau starten (discon)

Die Wait-Funktion "Warten bis Anwendung ausgefhrt und beendet ist" kann dann 
von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander ausgefhrt 
werden soll.


9. Externe Anwendungen vor Windows-Anmeldung

ber den Menpunkt "Logon-Optionen" im Monitormen "Konfiguration" knnen 
externe Anwendungen (Consolen-Anwendungen oder Batch-Dateien, keine Windows-
Programme!) auch mit der NCP Gina  gestartet werden.
- vor Verbindungsaufbau starten (precon)
- nach Verbindungsaufbau starten (postcon)

Die Anwendung kann auerdem in Abhngigkeit von der Verbindungsart des im Gina 
Dialog selektierten Zielsystems gestartet werden. Die Applikation wird immer 
gestartet, wenn als Verbindungsart "Alle" gewhlt wurde.

"Domnenvorbereitung abwarten (postdom)" bedeutet, dass die Anwendung nach der 
Initialisierungszeit unmittelbar vor der Domnenanmeldung gestartet wird.

Die Wait-Funktion "Warten bis Anwendung ausgefhrt und beendet ist" kann dann 
von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander ausgefhrt 
werden soll.


10. Dialoge und Installation der NCP Gina

Die Dialoge der NCP Gina knnen ber das Monitor-Men ausgeblendet werden, ohne 
dass dabei die Gina deinstalliert wird. Fr die jeweilige Arbeitsumgebung 
eventuell ntige Gina-Verkettungen bleiben auf diese Weise bestehen.

Soll der Gina-Dialog eingeblendet werden, so ist darauf zu achten, dass die NCP 
Gina auf jeden Fall installiert sein muss. Dies kann auf dreierlei Weise 
stattfinden:
- Bei der Software-Installation; hierbei wird der Benutzer gefragt, ob er die 
Windows-Anmeldung ber die NCP Gina nutzen will. Wenn ja, wird sie installiert.
- Eine nachtrgliche Installation ist ber die Kommandozeilen-Schnittstelle 
rwscmd.exe mglich, ebenso die nachtrgliche Deinstallation.

Standardmig erfolgt die EAP-Authentisierung vor dem Verbindungsaufbau zum VPN 
Gateway. Soll EAP genutzt werden, ohne dass anschlieend eine Verbindung ber 
den Client (reiner EAP Client) aufgebaut werden soll, so muss diese Funktion 
aktiviert werden. Wird EAP mit Zertifikat eingesetzt, so erscheint der PIN-
Dialog zur Authentisierung an den Netzwerkkomponenten. Danach kann die 
Zielauswahl erfolgen.

Wird die Funktion nicht aktiviert, findet die EAP-Authentisierung erst nach der 
Zielauswahl statt.


11. HotSpot-Anmeldung fr externe Dialer zulassen

Wenn diese Funktion aktiviert ist, kann ber einen externen Dialer eine HotSpot-
Anmeldung erfolgen. Dazu wird die Kommandozeilen-schnittstelle rwscmd.exe 
aufgerufen. (Beachten Sie dazu die Beschreibung im Anhang "Services" in diesem 
Handbuch!) Mit dem Befehl
rwscmd /logonhotspot [Timeout]
wird die Firewall fr die Ports 80 (HTTP) und 443 (HTTPS) freigeschaltet. Damit 
wird eine dynamische Regel erzeugt, die den Datenverkehr fr diese HotSpot-
Anmeldung zulsst, bis der bergebene Timeout (in Sekunden) abgelaufen ist. 


12. Initialisierungszeit nach Netzwerk-Logon

Zwischen Netzanmeldung und Domnenanmeldung kann Windows eine gewisse 
Initialisierungszeit bentigen. Diese Vorbereitungszeit fr die Domnenanmeldung 
kann hier aktiviert und eingestellt werden. Die Windows-Anmeldung findet erst 
nach der hier eingestellten Initialisierungs-Zeit nach dem Verbindungsaufbau 
statt.

Der Standardwert betrgt 45 Sekunden und kann nach Bedarf verndert werden. 


13. Neues Parameterfeld in den Profil-Einstellungen "Authentisierung vor VPN"

Dieses Parameterfeld erscheint nur, wenn fr das Zielsystem die Verbindungsart 
"LAN" oder "WLAN" konfiguriert wurde, bzw. ein externer Dialer eingesetzt wird 
oder das Zielsystem fr die automatische Medienerkennung konfiguriert wurde. 
Beachten Sie dazu die Beschreibungen zum Parameterfeld "Zielsystem / 
Verbindungsart".


14. Neues Parameterfeld in den Telefonbuch "HTTP-Authentisierung"

Die "HTTP-Authentisierung" gestattet eine automatische scriptgesteuerte 
Anmeldung mobiler Nutzer an Hotspots (auch DSL). 

Bei einem Link mit der Verbindungsart WLAN wird die HTTP-Anmeldung in den 
Profil-Einstellungen nicht zugeschaltet! Statt dessen wird mit der Aktivierung 
dieser Funktion bewirkt, dass fr dieses Zielsystem die Authentisierungsdaten 
aus den WLAN-Einstellungen im Monitor-Men zum Einsatz kommen.

Wenn der Access Point einen HTTP-Redirect ausfhrt, kann die Eingabe von 
Benutzername und Passwort in einem Browser-Fenster entfallen. Statt dessen 
werden die Authentisierungsdaten hier eingegeben.

Die Authentisierung erfolgt ber ein entsprechendes Script. Beispiele befinden 
sich im Installationsverzeichnis <system root> ncple\scripts\sample.

Bei der Verbindungsart WLAN werden die Authentisierungsdaten fr den Hotspot aus 
den WLAN-Einstellungen bernommen.

Der Benutzer baut die Verbindung zum Hotspot automatisch auf, wenn die HTTP-
Anwendung aktiviert ist. Eine Message-Box weist den Benutzer darauf hin, dass 
diese Verbindung gebhrenpflichtig ist und er die Vertragsbedingungen des 
HotSpot-Betreibers akzeptiert.


15. Untersttzung von UDP-Encapsulation

Wird die UDP-Encapsulation verwendet, so kann der Port frei igewhlt werden. 
Standard fr IPSec mit UDP ist der Port 4500, fr IPSec ohne UDP der Port 500.
Das NCP Gateway erkennt die UDP-Encapsulation automatisch.


16. Voice over IP (VoIP) priorisieren

Wird der Client fr Kommunikation mit Voice over IP genutzt, so sollte diese 
Funktion "Voice over IP (VoIP) priorisieren" (im Telefonbuch unter "Line-
Management") aktiviert werden, um die Sprachdaten verzgerungs- und 
verzerrungsfrei senden und empfangen zu knnen.



Neue Features der Version 8.21 gegenber Version 8.20
-------------------------------------------------------------------------------

1.  Untersttzung von Multifunktionskarten fr UMTS/GPRS

Ist eine Multifunktionskarte fr UMTS/GPRS installiert, erscheint bei der
Verbindungsart "GPRS/UMTS" ein zustzliches Feld ber das die Feldstrke, die 
Verbindungsart (UMTS oder GPRS) und das Netz angezeigt werden. Zustzlich kann
die aktuelle Verbindungsart umgeschaltet und das Netz gewechselt werden.

2.  Menpunkt zur Eingabe der SIM PIN fr Multifunktionskarten

Das Men fr die Multifunktionskarte wurde um den Punkt "SIM PIN Eingabe"
erweitert. Der Menpunkt ist nur aktiv, wenn die SIM PIN nicht konfiguriert
oder nicht eingegeben wurde.

3.  PIN-Handling fr SIM berarbeitet

Fr die Untersttzung der Multifunktionskarte (UMTS/GPRS) wurde das PIN-Handling 
fr die SIM komplett berarbeitet. Es erfolgt automatisch die notwendige 
Aufforderung zur Eigabe der PIN bzw. PUK. Wird die Eingabe der PIN/PUK 
abgebrochen, kann diese spter ber das Men aufgerufen werden. Zustzlich kann 
ber das Men die aktuelle PIN der SIM gendert werden.

4.  Korrektur der Konfiguration fr die SIM PIN bei UMTS/GPRS

Wurde die SIM PIN der Multifunktionskarte in der Konfiguration falsch 
eingetragen, erfolgt bei einem Verbindungsaufbau die Aufforderung zur Eingabe 
der PIN, die anschlieend in der Konfiguration korrigiert wird.

5.  Erweiterung der Anzeige fr die Feldstrke bei Multifunktionskarten

Die Feldstrke wird zustzlich zum grafischen Balkenpegel auch mit Prozentwerten 
im Feld fr die Multifunktionskarte angezeigt.

6.  Log-Datei fr Multifunktionskarte

Ist eine Multifunktionskarte fr UMTS/GPRS installiert, wird eine Log-Datei mit 
folgenden Spalten ins Log-Verzeichnis des Secure Client geschrieben.
 1. Spalte:  Zeit
 2. Spalte:  Aktuelle Feldstrke
 3. Spalte:  Durchschnittliche Feldstrke der letzten Minute
 4. Spalte:  Durchschnittliche Feldstrke der letzten 5 Minuten
 5. Spalte:  Durchschnittliche Feldstrke der letzten 10 Minuten
 6. Spalte:  Aktueller Netztyp (UMTS oder GPRS)
 7. Spalte:  Aktuelles Netz
Alle 10 Sekunden wird ein Eintrag erstellt, jedoch nur alle 5 Minuten die 
Eintrge in die Datei geschrieben. Fr jeden Tag wird eine Log-Datei mit dem 
Namen "mfc<DATUM>.log" erstellt. Es werden die Log-Dateien der letzten 7 Tage 
gespeichert.

7.  Log-Eintrag bei Verbindungsabbau (Grund des Abbaus)

Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log-
Eintrag mit dem Grund des Verbindungsabbaus geschrieben.

8.  Log-Eintrag bei Verbindungsabbau (Status der Feldstrke)

Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log-
Eintrag mit den letzten Statuswerten der Feldstrke fr UMTS/GPRS geschrieben.

9.  Parameter "MAC-Adresse" in den Firewall-Regeln

In den Firewall-Einstellungen wurde in den Regeln unter "Allgemein" der 
Parameter "MAC-Adresse" entfernt.



Neue Features der Version 8.20 gegenber Version 8.12
-------------------------------------------------------------------------------

1. Installationsverzeichnis

In der benutzerdefinierten Installation kann ein beliebiges 
Installationsverzeichnis fr die Software gewhlt werden. Dies ist insbesondere 
dann wichtig, wenn der Benutzer keine Rechte auf das System-Root-Verzeichnis 
hat.


2. Firewall

Die Personal Firewall kann im Monitormen "Konfiguration" eingestellt werden und 
ist fester Bestandteil des Secure Clients. Alle Firewall-Mechanismen sind 
optimiert fr Remote Access-Anwendungen und werden bereits beim Start des 
Rechners aktiviert. D.h. im Gegensatz zu VPN-Lsungen mit eigenstndiger 
Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN-Nutzung gegen 
Angriffe geschtzt. Die Firewall bietet auch im Fall einer
Deaktivierung der Client-Software vollen Schutz des Endgertes. Alle Firewall-
Regeln knnen zentral vom Administrator vorgegeben und deren Einhaltung 
erzwungen werden. Voraussetzung hierfr ist das zentrale NCP Secure Enterprise 
Management, mit dessen Hilfe die Konfiguration des Clients fest, fr den 
Anwender nicht nderbar, vorgegeben werden kann.


3. Automatische HotSpot-Anmeldung

Damit der remote Client in jeder Phase des Verbindungsaufbaus auch in WLANs mit 
HotSpots ohne Zutun des Benutzers gegenber jeglichen Attacken geschtzt ist, 
wurde die Firewall fest in die Secure Client-Software integriert. Sie verfgt 
ber intelligente Automatismen fr eine sichere HotSpot-Anmeldung.

Funktionsbeschreibung:
Befindet sich ein Benutzer mit seinem Endgert im Empfangsbereich eines 
ffentlichen WLAN, whlt er im Hauptmen "Verbindung" den Menpunkt "HotSpot-
Anmeldung". Der Client sucht daraufhin automatisch den HotSpot und ffnet die 
Website zur Anmeldung im Standard-Browser. Nach erfolgreicher Eingabe der 
Zugangsdaten und Freischaltung durch den Betreiber, kann die VPN-Verbindung z.B. 
zur Firmenzentrale aufgebaut und sicher wie an einem Broarbeitsplatz 
kommuniziert werden.
Damit der PC bei der Anmeldung im WLAN zu keiner Zeit angreifbar ist, gibt die 
Firewall dynamisch die Ports fr http bzw. https fr die Anmeldung bzw. 
Abmeldung am HotSpot frei. Dabei ist nur Datenverkehr mit dem HotSpot-Server des 
Betreibers mglich. Nicht angeforderte Datenpakete werden abgewiesen. Auf diese 
Weise ist garantiert, dass ein ffentliches WLAN ausschlielich fr die VPN-
Verbindung zum zentralen Datennetz genutzt wird und kein direkter Internet-
Zugriff erfolgt.
Die direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist 
ausgeschlossen, aufgrund der bereits beschriebenen dynamischen Firewall-Regeln, 
die von der integrierten Personal Firewall des NCP Secure Clients selbstndig 
gesetzt werden.
Fr die Anmeldung ber den Standard-Browser am HotSpot ist zu beachten, dass 
eventuell eingetragene Proxy-Einstellungen angepasst bzw. deaktiviert werden 
mssen.
Sollte vom NCP Secure Client keine HotSpot-Anmeldung durchgefhrt werden, wird 
dies durch die Meldung "HotSpot konnte nicht gefunden werden" mitgeteilt.
Fr einen solchen Fall ist zu klren, ob ber diesen HotSpot-Betreiber ein 
generelles Problem in Verbindung mit den von NCP implementierten Mechanismen 
besteht.


4. Import von Konfigurationsdaten

ber die Funktion "Profile importieren" im Konfigurationsmen des Monitors 
knnen Profil-Einstellungen vom Client eingelesen werden. Diese Profil-
Einstellungen knnen in Form einer INI-Datei vom Zielsystem erstellt oder 
manuell editiert werden. Im Installationsverzeichnis befinden sich dazu die 
Beispieldateien IMPORT_D.TXT und IMPORT_E.TXT. In den Beispieldateien sind auch 
Syntax und Parameterwerte beschrieben.


Neue Features der Version 8.12 gegenber Version 8.11
-------------------------------------------------------------------------------

1. Kompressionstyp Deflate

Der Kompressionstyp Deflate wird untersttzt. In den Profil-Einstellungen 
erscheint unter "IPSec-Einstellungen" der Parameter "IP-Kompression verwenden". 
Wird diese Funktion aktiviert, so werden beide Kompressionstypen, LZS und 
Deflate, ausgehandelt. 

2. Domain Name

In den Profil-Einstellungen des Secure Clients kann unter "IP-Adressen-
Zuweisung" neben einem DNS/WINS-Server auch ein "Domain Name" angegeben werden. 
Dies ist der Domain Name der sonst per DHCP dem System in den 
Netzwerkeinstellungen bergeben wird. 

3. Nutzung mehrerer Soft-Zertifikate an einem Client-PC

Soll ein PC-Sharing fr mehrere Benutzer, die jeweils ein eigenes Zertifikat 
einsetzen, eingerichtet werden, so kann dazu im Hauptmen des Client-Monitors 
unter "Konfiguration - Zertifikate - Benutzer-Zertifikat" eine Konfiguration 
vorgenommen werden.

Unter "Benutzer-Zertifikat" muss der Menpunkt "Softzertifikatsauswahl 
aktivieren" eingeschaltet werden und ein "Zertifikatspfad" angegeben werden. 
Dieser Pfad kann ber den Auswahl-Button gewhlt werden, wenn er vorher angelegt
wurde. (Z.B. C:\WINNT\ncple\usercert). Unter diesem Pfad mssen anschlieend
die verschiedenen Benutzer-Zertifikate abgelegt werden. Werden diese 
Einstellungen mit "OK" gespeichert, so erscheint unter dem grafischen Feld des 
Monitors die Zertifikatsleiste mit der Liste aller unter dem Zertifikatspfad
gespeicherten Benutzer-Zertifikaten (z.B. user1 bis user4).
Hat der Benutzer sein Soft-Zertifikat ausgewhlt (z.B. user2) und stellt eine 
Verbindung zum zentralen VPN Gateway her, so muss er zunchst seine PIN 
eingeben. Danach wird die Verbindung zum Zielsystem aufgebaut.

4. Einsatz von EAP 802.1x

Zur Port-Authentisierung im WLAN und an Switches untersttzt der Client EAP-
MD5/TLS. Dadurch ist ein separater EAP-Client berflssig.
EAP-MD5: Benutzername und Passwort werden zur Authentisierung genutzt. Beide 
Gren knnen auch vom Zertifikat bezogen werden, das fr die VPN-Verbindung 
genutzt wird.
EAP-TLS: Zertifikate werden genutzt und aus der NCP-Zertifikats-Konfiguration 
gelesen. EAPOL KEY (Dynamic WEP key) wird untersttzt.

5. Statefull Packet Inspection

Statefull Packet Inspection (SPI) ist immer aktiv. Dies bedeutet, dass SPI 
automatisch auch bei Verbindungen ohne VPN, z.B. Provider-Verbindungen, 
eingesetzt wird. 

6. XAUTH-Protokoll

Das XAUTH-Protokoll kann auch fr OTP mit Netscreen eingesetzt werden. 
 


Neue Features der Version 8.11 gegenber Version 8.10
-------------------------------------------------------------------------------

Die kontextsensitive Online-Hilfe fr den Client wurde auf das HTML-Format 
umgestellt. In folgenden Bereichen wurden neue Features implementiert:
I.   Allgemeine Parameter im Telefonbuch (Profil-Einstellungen)
II.  Funktionen zu Verbindungsart und Verbindungsaufbau
III. Neue Funktionen im PKI-Umfeld
IV.  Rechtestruktur zu Systemdateien
V.   Statusanzeigen


I. Allgemeine Parameter im Telefonbuch (Profil-Einstellungen)
-------------------------------------------------------------------------------

1. Umbenennung des Telefonbuchs und seiner Parameterfelder

Das Telefonbuch wurde in "Profil-Einstellungen" umbenannt. Entsprechend sind 
die Zielsysteme bzw. Ziele in "Profile" umbenannt worden. Folgende 
Parameterfelder wurden umbenannt:
Zielsystem           -> Grundeinstellungen
Verbindungssteuerung -> Line Management
Security             -> IPSec-Einstellungen (IPSec-Optionen entfllt)
                 und -> Identitt
DNS/WINS             -> IP-Adressen-Zuweisung


2. Bei Verwendung des RAS Dialers nur Kommunikation im Tunnel zulassen

In den Profil-Einstellungen wurde unter "Firewall-Einstellungen" der Parameter 
"Bei Verwendung des Microsoft RAS Dialers auschlielich Kommunikation im Tunnel 
zulassen" neu hinzugefgt. Ist z.B. bereits eine VPN-Verbindung ber den NCP 
Dialer aufgebaut, und dieser Parameter gesetzt, kann ber den RAS-Dialer keine 
Verbindung parallel zum Internet aufgebaut werden.


3. Auch lokale Netze im Tunnel weiterleiten

Wenn der Datenverkehr des lokalen Netzes ber VPN-Tunneling weitergeleitet 
werden soll, so muss diese Funktion aktiviert werden.


4. Erweiterte Firewall-Einstellungen

Unter dem Konfigurations-Men im Monitor wurde der Menpunkt "Erweiterte 
Firewall-Einstellungen" hinzugefgt. Mit diesem Filter-Editor knnen Filter 
fr ein- und ausgehenden Datenverkehr definiert werden. Die Filter knnen fr 
Protokolle, Ports, Netzwerk- und Host-IP-Adressen gesetzt werden. 

Die SPD-Konfiguration in den IPSec-Einstellungen frherer Versionen entfllt.


5. IPSec-Einstellungen

Die IPSec-Konfiguration, die in lteren Versionen ber den Monitor unter 
"Konfiguration - IPSec" geffnet werden konnte, erfolgt nun mit dem IPSec-
Editor im Parameterfeld "IPSec-Einstellungen" in den "Profil-Einstellungen".


6. Konfigurations-Sperren

ber die Konfigurations-Sperren im Monitormen "Konfiguration" kann das 
Konfigurations-Hauptmen im Monitor so modifiziert werden, dass der Benutzer 
die voreingestellten Konfigurationen nicht mehr abndern kann, bzw. ausgewhlte 
Parameterfelder fr den Benutzer nicht sichtbar sind.

Die Konfigurations-Sperren werden in der definierten Form erst wirksam, wenn 
die Einstellungen mit "OK" bernommen werden. Wird der "Abbrechen"-Button 
gedrckt, wird auf die Standard-Einstellung zurckgesetzt.

Um die Konfigurations-Sperren wirksam festlegen zu knnen, muss eine ID 
eingegeben werden, die sich aus "Benutzer" und "Passwort" zusammensetzt. 
Das Passwort muss anschlieend besttigt werden.

Bitte beachten Sie, dass die ID fr die Konfigurations-Sperre unbedingt ntig 
ist, die Sperren wirksam werden zu lassen oder die Konfigurations-Sperren auch 
wieder aufzuheben. Wird die ID vergessen, besteht keine Mglichkeit mehr, die 
Sperren wieder aufzuheben!


7. DPD (Dead Peer Detection) deaktivieren

DPD (Dead Peer Detection) und NAT-T (NAT Traversal) werden automatisch im 
Hintergrund ausgefhrt, sofern dies das Ziel-Gateway untersttzt. Der IPSec 
Client nutzt DPD, um in regelmigen Intervallen zu prfen, ob die Gegenstelle 
noch aktiv ist. Ist dies nicht der Fall erfolgt ein automatischer 
Verbindungsabbau. Mit dieser Funktion kann DPD ausgeschaltet werden.


8. Diesen Eintrag nach jedem Neustart verwenden

In den Profil-Einstellungen wurde unter "Zielsystem" der Parameter "Diesen 
Eintrag nach jedem Neustart des Systems verwenden" neu hinzugefgt. Ist der 
Parameter gesetzt, wird beim Neustart dieses Zielsystem verwendet, unabhngig 
davon welches Zielsystem beim Herunterfahren des Systems aktiv war.


II. Funktionen zu Verbindungsart und Verbindungsaufbau
-------------------------------------------------------------------------------


1. DSL ohne PPPOE-Protokoll

Um DSL nutzen zu knnen, braucht kein NCP PPPOE-Protokoll installiert zu sein.


2. Neue Verbindungsart GPRS

GPRS kann nun als eigene Verbindungsart ausgewhlt werden. Im Telefonbuch unter 
"Modem" knnen hierzu noch 3 neue Parameter angeben werden:
- PIN fr GPRS Karte
- APN
- AT-Kommando fr SIM-PIN

3. Bei der Amtsholung auch das Komma zugelassen

nderung: Im Feld fr die Amtsholung ist jetzt neben den Zeichen "1234567890#*" 
auch das Komma "," zugelassen. Somit kann mit dem Komma ber die Amtsholung eine 
Whlpause konfiguriert werden.


4. Fehlermeldungen wenn der Verbindungsaufbau fehlschlgt

Schlgt ein Verbindungsaufbau fehl, so werden Fehlercodes als roter Text im 
grafischen Feld des Monitors angezeigt. Diese Fehlercodes wurden so erweitert, 
dass bei einem Scheitern eines Verbindungsaufbaus immer ein Text angezeigt wird, 
wenn der Client den Fehlversuch erkennt. Es kann z. B. kein Fehler angezeigt 
werden, wenn die Verbindung ber den Server wieder getrennt wurde.


5. Nach Verbindungsaufbau minimieren

Im Monitor wurde die Option "Nach Verbindungsaufbau minimieren" hinzugefgt. Sie 
kann im Men des Monitors unter "Fenster" aktiviert werden.


III. Neue Funktionen im PKI-Umfeld
-------------------------------------------------------------------------------

1. Die PC/SC-Schnittstelle wird nur noch bei Kartenzugriffen geffnet

Die PC/SC-Schnittstelle wird nur noch bei einem Verbindungsaufbau bei dem ein 
Chipkartenzugriff erfolgt geffnet. D.h. andere Applikationen knnen jetzt auch 
im "exclusiven" Modus die PC/SC-Schnittstelle ffnen. 


2. berwachung, ob die PKCS#12-Datei vorhanden ist

Ab sofort wird berwacht, ob die PKCS#12-Datei vorhanden ist. Wird diese z.B. 
auf einem USB Stick oder einer SD-Karte gespeichert, so wird nach dem Ziehen der 
SD-Karte die PIN zurckgesetzt und eine bestehende Verbindung abgebaut. Dieser 
Vorgang entspricht dem "Verbindungsabbau bei gezogener Chipkarte", der bei 
Verwendung einer Chipkarte im Monitormen unter "Konfiguration, Zertifikate" 
eingestellt werden kann. Wird spter die SD-Karte wieder gesteckt, kann nach der 
erneuten PIN-Eingabe die Verbindung wieder hergestellt werden.


3. PKCS#11-Module automatisiert suchen und auswhlen

Am Monitor kann fr die Zertifikatskonfiguration (siehe -> Monitormen, 
Konfiguration, Zertifikate) mit Hilfe eines Assistenten nach installierten 
PKCS#11-Modulen gesucht werden und das gewnschte Modul mit dem dazugehrigen 
Slot selektiert werden.


4. Verwenden von Umgebungsvariablen bei Zertifikats-Konfiguration

In der Zertifikats-Konfiguration knnen fr die Pfad-Angaben die 
Umgebungsvariablen (Benutzer) des Betriebssystems eingesetzt werden. Die 
Variablen werden beim Schieen des Dialogs und beim Einlesen des Telefonbuches 
umgewandelt und in die Konfiguration zurck geschrieben. Existiert eine 
Umgebungsvariable nicht, wird sie aus dem Pfad beim Umwandeln entfernt und ein 
Log-Eintrag ins Logbuch geschrieben. Fehlt ein %-Zeichen (Syntax), bleibt die 
Variable stehen und es wird ebenfalls ein Log-Eintrag geschrieben.


5. RWSCMD erweitert um VPN-Benutzername aus Zertifikat

Das Tool "RWSCMD" untersttzt jetzt auch Zielsysteme, bei denen die VPN-
Benutzerdaten aus einem Zertifikat gelesen werden. Voraussetzung ist, dass die 
PIN vorher eingegeben wurde, damit die Zertifikats-Daten gelesen werden knnen.


6. Auswertung der Zertifikatserweiterung KeyUsage

Ist in einen eingehenden Zertifikat die Erweiterung KeyUsage enthalten, so wird 
diese berprft. Folgende KeyUsage-Bits werden akzeptiert:
- Digital Signatur
- Key Encipherment (Schlsseltransport, Schlsselverwaltung)
- Key Aggrenment (Schlsselaustaschverfahren)
Ist eines des Bits nicht gesetzt, wird die Verbindung abgebaut. Der 
Verbindungsabbau wegen nicht gesetzter Bits unterbleibt, wenn in der Datei 
ncppki.conf die Prfung des KeyUsage ausgeschaltet wird:
[General]
DisableKeyUsageCheck = 1
1 = bei der Zertifikatsberprfung wird die Erweiterung KeyUsage nicht berprft
0 = (Standard) bei der Zertifikatsberprfung wird die Erweiterung KeyUsage 
berprft


7. Auswertung der Zertifikatserweiterung CDP (Certificate Distribution Point)

Im CDP ist die URL fr den Download einer CRL hinterlegt. Ist im Zertifikat die 
Erweiterung CDP enthalten, wird nach dem Verbindungsaufbau die CRL ber die 
angegebene URL heruntergeladen und berprft. Wird dabei festgestellt, dass das 
Zertifikat ungltig ist, wird die Verbindung abgebaut. Die CRL wird dabei unter 
dem Common-Name der CA im Verzeichniss ncple\crls gespeichert. Der 
Verbindungsabbau wegen ungltigen Zertifikats kann mit einem Eintrag in der 
Datei ncppki.conf, der den Download der CRL ausschaltet, unterdrckt werden:
[General]
DisableCrlDownLoad = 1
1 = Bei einen eingehenden Zertifikat mit der Erweiterung CDP wird die CRL nicht 
ber die angegebenen URLs heruntergeladen
0 = (Standard) Bei einen eingehenden Zertifikat mit der Erweiterung CDP wird die 
CRL ber die angegebenen URLs heruntergeladen


8. HTTP Proxy fr CRL Download

In der Datei ncppki.conf kann in der Gruppe "HttpProxy" ein Proxy fr den CRL 
Download ber HTTP konfiguriert werden:
[HttpProxy]
ProxyHost = xxx.xxx.xxx.xxx
#IP Adresse des Proxy Server fr CRL Download ber HTTP
ProxyPort = 80
#Port des Proxy Server fr CRL Download ber HTTP
ProxyUser = xyz
#Benutzername des Proxy Server fr CRL Download ber HTTP
ProxyPw = xxxx
#Passwort des Proxy Server fr CRL Download ber HTTP


9. Minimale PIN-Lnge unter PIN-Richtlinie

Unter "Konfiguration - Zertifikate - PIN-Richtlinie" wurde der mgliche 
Minimalwert fr die PIN-Lnge von 6 auf 4 Zeichen gendert.


IV. Statusanzeigen
-------------------------------------------------------------------------------


1. Statusanzeigen im grafischen Feld des Monitors (auch Gina)

Folgende Statusanzeigen werden im grafischen Feld angezeigt:
- Chipkarte 
- PIN-Status 
- Firewall-Option 
- EAP-Status (der EAP-Status wird als MD5 oder TLS angezeigt)
Die Symbole in der Statusanzeige sind um Tool-Tipps (Quickinfos) erweitert, wenn 
der Mauszeiger auf ein Symbol zeigt.


2. EAP zurcksetzen

nderung: Durch einen Doppelklick auf das EAP-Symbol in der Status-Anzeige im 
grafischen Feld des Monitors, kann das EAP zurckgesetzt werden. Anschlieend 
erfolgt die EAP-Verhandlung erneut.


-------------------------------------------------------------------------------
Zur weiteren Information besuchen Sie bitte die Web-Site: www.ncp.de
-------------------------------------------------------------------------------
NCP engineering GmbH, Nrnberg, Germany
07.04.2006
