Der Client Zugriff auf das Firmennetzwerk wird über eine VPN Verbindung durch austausch von Zetrtifikaten geregelt. Die in Windows implementierte Verbindung zu VPN Netzwerken beinhaltet NICHT die Verschlüsselung auf Basis von IPSec und Zertifikaten, deshalb muss man sich mit einem VPN Connector behelfen.
Mit SoftRemote von SafeNet installieren wir einen Client, mit dem es möglich ist, ohne weitere Zusatzprogramme (u.A. den Windows Support - oder Müller Tools) oder systemnahmen Konfigurationen (über MMC und Zertifikatskonsolen) eine VPN Verbindung herzustellen.
Nach der Installation des SafeNet Client ist ein Neustart erforderlich, da massive Eingriffe in das Netzwerkprotokoll durchgeführt werden. In der Gruppe „Autostart“ befindet sich nun das Programm „IPSec Dial Client“, welches automatisch erkennt, wohin die Zugriffe im Netzwerk erfolgen sollen. Da sich die Programmverknüpfung im Autostart Ordner befindet, wird das Programm ausgeführt und erscheint in der Taskleiste neben der Uhr als Symbol „S“.
Diese Art der Verbindung kann von einem Windows Client genutzt werden, der sich immer an ein und dem selben Standort (mittels fester IP oder Diensten wie dyndns.org oder no-ip.com) befindet. Der FQDN oder die IP Adresse ist dem VPNSERVER bekannt!
Das Programme „Security Police Editor“
Unter dem Punkt „My Connections“ erstellen wir eine neue Verbindung:
Bei „IP Type“ muss „IP Subnetz“ eingestellt werden, da wir uns mit einem Netz verbinden möchten
„Subnetz“ 192.168.1.0
„Mask“ 255.255.255.0
Das Zielsystem muss noch angegeben werden: Connect using „Secure Gateway Tunnel“ aktivieren ID_Type Any
„Gateway IP Adress“ dadrunter in dem Falle die IP-Adresse des VPN Servers
My Identity
Als nächstes kommen wir zur Eingabe der Authentifizierungsinformationen. Da wir eine Verbindung mit PSK einrichten möchten, wählen wir als Zertifikat NONE und klicken auf den Button Pre-Shared Key , dann auf den Button Enter Key und geben unseren Key ein.
Den Rest lassen wir unverändert.
Security Policy
Zu der Standartauswahl aktivieren wir zusätzlich den Punkt Enable Perfect Forward Secrecy (PFS) weitere Änderungen sind nicht erforderlich
Authentication (Phase 1)
Proposal 1 Authentication Method Pre-Shared Key Encrypt Alg = Tripple DES Hash Alg.= MD5
Key Exchange (Phase 2))
Proposal 1 Encrypt Alg = Tripple DES Hash Alg.=MD5 Encapulation =Tunnel
Die Verbindungseinstellungen müssen abgespeichert werden! Mit diesen Einstellungen haben wir die Verbindungsdefinition abgeschlossen und können diese nun über das Icon rechts unten in der Taskleiste starten. Dazu klicken wir mit der rechten Maustaste auf das Icon, wählen Connect und die entsprechende Verbindung. Auf dem Connection Monitor können wir uns von der erfolgreich aufgebauten Verbindung überzeugen. Mit dem Lo Viewer können wir den Verbindungsaufbau beobachten, der zeigt die aktuellen Statusmeldungen an und ist im Falle einer Fehlkonfiguration sehr hilfreich.
Wenn von verschiedenen Aussenstellen auf das Firmennetzwerk zugegriffen werden muss, kann man die Pre-Shared Key Methode nicht verwenden, da im VPN Server kein Client über den FQDN oder die IP Adresse voreingestellt werden kann.
Die einzige Lösung zur Authentifizierung besteht im Austausch von Zetrtifikaten. Das setzt natürlich voraus, das der Mitarbeiter im Besitz des Eigenen und des Firmenzertifikates ist.
Um das Zetrifikat dem Computer hinzuzufügen, öffnen wir wieder mit einem Rechtsklick auf das Icon in der Taskleiste den Certificate Manager . Falls das Zertifikat noch nicht importiert wurde müssen wir dies als erstes tun und klicken auf den Import Certificate Button .
Das persönliche Zertifikat wurde bei der Erstellung mit einem Kennwort versehen, welches beim Importvorgang unbedingt mit angegeben werden muss!
Zertifikatsmanager
Als nächstes zu den Root CA Certificates wechseln und dort all roots und anschliessend das soeben importierte Root- Zertifikat anklicken. Auf den Button Verify und anschliessend OK drücken.
Das Root Zertifikat ist nun validiert und wir wechseln erneut zu My Certificates. Auch dort klicken wir das soeben importierte Zertifikat an und validieren es über den Button Verify
Police Editor
Zurück im Policy Editor erstellen wir erneut eine Verbindung und geben die Informationen wie folgt ein: Der Unterschied zur Pre-Shared Key Methode besteht darin, dass hier unter dem ID Type nicht mehr ANY steht, sondern Distinguished Name
Der wichtigste Punkt
Es folgt nun ein wichtiger Punkt, der nicht vergessen werden darf! Wir klicken auf den Button Edit Name und geben die Informationen zum Distinguished Name des Gateways ein.
Die Eingabe muss Zeichengenau mit denen aus dem Zertifikat übereinstimmen!!! Sonst kommt es später beim Verbindungsaufbau zu folgender Fehlermeldung im Log: NO_PROPOSAL_CHOSEN
My Identity
Unter My Identity wählen wir nun zur Authentifizierung unser vorher importiertes Zertifikat aus
Abspeichern, Schliessen.
Der „Connection Monitor“ zeigt aktuelle Verbindungen an Mit dem „Log Viewer“ kann man sich den aktuellen Stand der Verbindung und die gesendeten Befehle anzeigen lassen.
