tom's networking guide
 
Anzeige

Test NCP Secure Enterprise Solution V2

Vollautomatischer VPN-Betrieb

Konfiguration

Um das System in Betrieb zu nehmen, meldeten wir uns anschließend mit der Administrations-Konsole beim Management-Server an. Nun ging es erst einmal daran, die Konfiguration des Gateways, also des SES, durchzuführen. Dazu wechselten wir nach "Server Konfiguration / Secure Server Vorlage" und klickten mit der rechten Maustaste in den Arbeitsbereich unten links. Dieser dient dazu, neue Profile und Konfigurationen anzulegen, Benutzerdaten zu kopieren und ähnliches. Daraufhin erschien eine Befehlsliste und wir wählten die Import-Funktion aus. Danach konnten wir die aktuelle Standard-Konfiguration von unserem frisch installierten SES importieren, sie dann in der Management-Konsole nach unseren Wünschen bearbeiten und dann wieder auf den Gateway ausbringen. Alternativ ist es auch möglich, Konfigurationen aus Dateien einzulesen oder manuell selbst neu anzulegen.

Die automatische Generierung des Benutzerkontos durch unser Skript. (©Smartmedia PresSservice)

Für unsere Testumgebung definierten wir in unserer gerade importierten Server-Vorlage zunächst ein Passwort für den Zugriff auf den SES und passten dann die so genannten Benutzer Parameter an. Letztere dienen zur Steuerung des Zugriffs auf einzelne Funktionen. Mit ihnen haben die zuständigen Mitarbeiter also die Möglichkeit, bestimmten Konten die Arbeit mit bestimmten Konfigurations-Bereichen zu erlauben. Auf diese Weise können Unternehmen mit mehreren Administrations-Accounts arbeiten, von denen manche das Recht haben, das ganze System zu modifizieren, während andere nur Zugriff auf bestimmte Einzelfunktionen erhalten, wie zum Beispiel das Ändern des Passworts.

Nach dem Zuweisen der Benutzer-Parameter wendeten wir uns den Konfigurations-Optionen für IKE und IPSec zu. Hier definierten wir den Preshared-Key (PSK) für unser später zu erzeugendes Personalisierungs-Profil. Im nächsten Schritt gingen wir die restlichen Punkte der Server-Vorlage durch. Das Erklären aller vorhandenen Funktionen würde den Rahmen dieses Tests sprengen, deswegen gehen wir an dieser Stelle nur auf die wichtigsten Features ein. Die "Filternetze", "Filter" und "Filtergruppen" ermöglichen das Erstellen von Regeln für Client-Zugriffe auf LAN-Ressourcen. Im Test ergaben sich dabei keine Schwierigkeiten.

Bei der Konfiguration der IKE-Richtlinie lässt sich über eine Liste definieren, welche Authentisierungs-Mmethoden das System akzeptieren soll. Hier gaben wir zunächst die zertifikatsbasierte Authentisierung und zusätzlich (für das Personalisierungs-Profil) die Authentisierung über PSKs an. Bei der IPSec-Standard-Richtlinie ließen wir als Verschlüsselungs-Algorithmus nur AES zu.

Unter den Domain-Gruppen lassen sich bei Bedarf mehrere Gruppen anlegen, die die Weiterleitung des Datenverkehrs in unterschiedliche Netze übernehmen. Da wir in unserer Testumgebung nur ein Netz hatten, reichte es, eine Default Group zu erzeugen und dort unsere Netzwerk-Konfiguration einzutragen. Zu den angegebenen Parametern gehörten die DNS- und WINS-Server, das DNS-Suffix die Adresse des NCP-Management-Servers und ähnliches. Als RADIUS-Server gaben wir den lokalen Server auf dem Management-System an, den wir zuvor über den RADIUS-Menüpunkt in Betrieb genommen hatten. Darüber hinaus legten wir noch einen Adress-Pool fest, der dazu diente, den VPN-Client-Systemen IP-Adressen aus dem VPN-Adressbereich des SES zuzuweisen.

Um die Konfiguration abzuschließen, gaben wir noch die Syslog-Server im Netz an, die die System-, Error- und Konfigurations-Logs des VPN-Gateways erhalten sollten. Danach war die Server-Konfigurationsvorlage fertig und wir generierten daraus mit einem Klick der rechten Maustaste und die Auswahl des Befehls "Konfiguration erzeugen" die endgültige Konfiguration. Anschließend meldeten wir uns bei der lokalen Konsole des SES an und richteten diese Konfiguration mit Hilfe des Tools "rsuinst" auf dem Gateway ein. Der zuletzt genannte Schritt ist nur beim erstmaligen Verbinden des Gateways und des Management-Servers erforderlich, um die Authentifizierung der Systeme sicher zu stellen.

Skripts wie dieses übernehmen das Endpoint Policy-Enforcement. (©Smartmedia PresSservice)

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige