Test Pulse Policy Secure 9 <\/a>Herunterladen<\/a><\/div>\n\n\n\n
![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PSA7000.jpg\")
Pulse Policy Secure (PPS) bringt neben einer identit\u00e4tsbasierten Zugriffssteuerung ein Device Onboarding mit, \u00fcber das sich BYOD-Ger\u00e4te automatisch in Bezug auf die WiFi- und VPN-Einstellungen sowie die verwendete Software in eine Unternehmensumgebung integrieren lassen. Au\u00dferdem l\u00e4sst sich die L\u00f6sung zum Sicherstellen der Compliance verwenden, da sie die Ger\u00e4te im Netz erkennt, untersucht und \u00fcberwacht und den Sicherheitsstatus der Endpoints sowohl vor dem Aufbau als auch w\u00e4hrend der Verbindungen im Auge beh\u00e4lt. Die Konfiguration erfolgt \u00fcber ein zentrales Verwaltungswerkzeug mit vielen Assistenten und Vorlagen und sollte deshalb verh\u00e4ltnism\u00e4\u00dfig unproblematisch ablaufen. Da das Produkt mit externen Mobile Device Management-L\u00f6sungen (Pulse Workspace sowie L\u00f6sungen von AirWatch, MobileIron und Microsoft) zusammenarbeitet, ist es zudem dazu in der Lage, Informationen von diesen Produkten zum Durchsetzen der NAC-Policies (Network Access Control) zu verwenden. Dar\u00fcber hinaus kann es auch in viele vorhandene Komponenten integriert werden, wie das Active Directory, Firewalls, IDS-L\u00f6sungen, SIEM-Produkte, Switches und WLAN-Controller.<\/p>\n\n\n\n Umfassende Klassifizierungs-, Inspektions- und\nLogging-Funktionen helfen beim Inventory und der \u00dcberwachung der Ger\u00e4te sowie\nbeim Troubleshooting von Problemen wie zum Beispiel Compliance-Verletzungen\nben\u00f6tigter Anwendungen. Das „Patch Assessment“ sorgt daf\u00fcr, dass auf\nden Endger\u00e4ten immer die neuesten Applikationen und letzten Upgrades laufen. Sollte\ndas einmal nicht der Fall sein, so l\u00f6st das Patch Assessment \u00fcber System\nManagement Server (SMS) beziehungsweise System Center Configuration Manager\n(SCCM) Update-Vorg\u00e4nge aus. Um die Endpoints zu \u00fcberwachen, setzt Pulse Policy\nSecure auf CDP\/LLDP, DHCP-Fingerprinting, HTTP User Agent, MAC OUI, MDM, Nmap,\nSNMP und SNMP Traps sowie WMI. Auf diese Weise bleibt das System stets auf dem\naktuellen Stand und kennt den Status der verbundenen Ger\u00e4te.<\/p>\n\n\n\n Netzwerks- und\nAnwendungszugriffsschutz<\/strong><\/p>\n\n\n\n PPS wendet auf den Netzwerkger\u00e4ten mit agenten- und agentenlosen Methoden Indentit\u00e4ts-, Konfigurations-, Verhaltens- und Stateful Security-Bewertungen an. Dabei kann die L\u00f6sung \u2013 je nach Policy \u2013 den Zugriff auf Netzwerkressourcen erlauben, einschr\u00e4nken oder blockieren.<\/p>\n\n\n\n Zum Sch\u00fctzen des Netzwerks und der darin vorhandenen\nApplikationen sowie Dienste verwendet Pulse Policy Secure verschiedene Ans\u00e4tze.\nDazu geh\u00f6rt eine rollenbasierte Absicherung auf Anwendungsebene. Dabei\nkommuniziert das System mit Next Generation Firewalls von Checkpoint, Fortinet,\nJuniper und Palo Alto Networks. Auf diese Weise ist es unter anderem m\u00f6glich,\ndie G\u00fcltigkeit der Firewall-Regeln f\u00fcr bestimmte Benutzer oder Ger\u00e4te abh\u00e4ngig von\nder Tageszeit zu modifizieren und die Bandbreiten f\u00fcr bestimmte Anwendungen zu\nbeschr\u00e4nken. Die Zugriffe im Netz sind also granular steuerbar. <\/p>\n\n\n\n Zur Authentifizierung externer Benutzer stellt das\nProdukt ein Captive Portal bereit. In Zusammenarbeit mit der Pulse Connect\nSecure SSL-VPN-L\u00f6sung des gleichen Herstellers lassen sich auch Remote\nAccess-User nahtlos einbinden. Zur Authentifizierung kommen neben einem lokalen\nLogin mit Pass\u00f6rtern bei Bedarf auch 802.1X, CA Site Minder, LDAP, Microsoft\nActive Directory, NIS, Radius, RSA Authentication Manager und RSA Clear Trust zum\nEinsatz. <\/p>\n\n\n\n Da die L\u00f6sung auch mit offenen Standards f\u00fcr die Netzwerkzugriffskontrolle und Sicherheit wie TNC IF-MAP und TNC SOH arbeitet, l\u00e4sst sie sich auf diese Weise auch in die Netzwerk- und Sicherheitsprodukte vieler weiterer Hersteller integrieren. Eine automatische Threat Response, die aktiv wird, sobald das System eine Bedrohung erkennt, rundet den Leistungsumfang der Pulse Policy Secure-L\u00f6sung ab.<\/p>\n\n\n\n Der Test<\/strong><\/p>\n\n\n\n Im Test installierten wir zun\u00e4chst eine virtuelle\nAppliance mit Pulse Policy Secure in unserem Netz und machten uns mit dem\nLeistungsumfang der L\u00f6sung und den vorhandenen Assistenten vertraut. Au\u00dferdem\nnahmen wir die Funktionen zum Device Onboarding, zum Host Checking und zum\nProfiling unter die Lupe. Dar\u00fcber hinaus befassten wir uns auch noch mit den\nGastzug\u00e4ngen und setzen die L\u00f6sung in Kombination mit einem WS-C2960C-8TC-S-Switch\nvon Cisco ein, um Layer 2-Funktionen, wie die Arbeit mit 802.1X zu analysieren.\nAuch die Layer 3-Features mit der dynamischen Firewall-Konfiguration blieben im\nTest nicht au\u00dfen vor: Dazu verwendeten wir eine virtuelle Firewall-Appliance\nvon Palo Alto unter PAN-OS 7.1.<\/p>\n\n\n\n Installation<\/strong><\/p>\n\n\n\n Die Installation der virtuellen PPS-Appliance\ngestaltete sich verh\u00e4ltnism\u00e4\u00dfig einfach. Der Hersteller hatte uns f\u00fcr den Test\nzu diesem Zweck eine virtuelle Maschine (VM) auf OVF-Basis zur Verf\u00fcgung gestellt,\ndie wir auf einem Vmware ESXi-System mit der Version 6.7 importierten. Der\nverwendete Host verf\u00fcgte \u00fcber eine Intel i7-8-Core-CPU und 32 GByte RAM. F\u00fcr\ndie VM ben\u00f6tigten wir aber nur zwei CPU-Kerne und zwei GByte Arbeitsspeicher.\nNachdem der Import abgeschlossen war, fuhren wir die Appliance hoch, woraufhin\ndiese sofort automatisch mit der Installation der Pulse Policy Secure-L\u00f6sung\nbegann. Die Setup-Routine arbeitet im Gro\u00dfen und Ganzen ohne Interaktion mit\ndem Administrator, wir mussten im Test im Wesentlichen nur die Konfiguration\nf\u00fcr das interne Netzwerkinterface vornehmen und ein Administratorkonto\ndefinieren. Nach dem Abschluss des Setups, das auf unserem System nur ein paar\nMinuten in Anspruch nahm, konnten wir uns beim Konfigurations-Interface der\nL\u00f6sung unter https:\/\/{IP-Adresse\nder Appliance}\/admin mit unserem kurz zuvor angelegten Administratorkonto\nanmelden. Sobald das erledigt war, spielten wir zun\u00e4chst einmal die Testlizenz\nein, die uns der Hersteller zuvor geliefert hatte und brachten das System dann\nmit einer Patch-Datei auf die zum Testzeitpunkt aktuelle Version 9.0R1. Danach\nwar die L\u00f6sung einsatzbereit.<\/p>\n\n\n\n Inbetriebnahme<\/strong><\/p>\n\n\n\n Um den IT-Mitarbeitern die Inbetriebnahme der L\u00f6sung zu erleichtern, hat PulseSecure in das Web-Interface des Produkts einen \u201eInitial Setup Wizard\u201c integriert. Dieser l\u00e4sst sich nicht nur nutzen, um die Zeitzone und den NTP-Server festzulegen, sondern kann auch zum Einsatz kommen, um andere Funktionen wie das Profiling zu konfigurieren. Letzteres identifiziert und klassifiziert dynamisch die verwalteten und nicht verwalteten Endpoints im Netz und erm\u00f6glicht es so, den Zugriff auf das Netz und die darin enthaltenen Ressourcen auf Basis des Ger\u00e4te-Typs und der jeweiligen Konfiguration zu steuern.<\/p>\n\n\n\n Damit das Profiling funktioniert, m\u00fcssen die\nzust\u00e4ndigen Mitarbeiter eine so genannte Fingerprint-Database auf die Appliance\nhochzuladen, die beim Hersteller bezogen werden kann. Nach dem Hochladen dieser\nDatenbank lief das Profiling wie erwartet. PPS unterst\u00fctzt bei Bedarf \u00fcbrigens\nauch selbstdefinierte Klassifikationen.<\/p>\n\n\n\n Im n\u00e4chsten Schritt des Einrichtungsassistenten ging\nes an die Konfiguration des Layer-2-Enforcements. Dieses steuert den\nNetzwerkzugriff von dem Moment an, zu dem sich ein Anwender mit dem Netz\nverbindet. In einem kabelbasierten Netz, wie in unserem Test, erfolgt diese\nSteuerung an den Switch Ports, in einem drahtlosen Netz \u00fcber den Wireless\nAccess Point. Die Zugriffssteuerung l\u00e4uft im Betrieb \u00fcber das\nAuthentifizierungsprotokoll 802.1X ab. Der verwendete Switch oder Access Point\nmuss dieses also beherrschen. Au\u00dferdem kommt noch Radius zum Einsatz, der\nRadius-Server kann hierbei die PPS-Appliance sein. Neben der\n802.1X-Authentifizierung unterst\u00fctzt das System bei Bedarf auch MAC- und SNMP-Authentication.\nAuf das Layer 2-Enforcement gehen wir sp\u00e4ter noch genauer ein.<\/p>\n\n\n\n Der Initial Setup Wizard l\u00e4sst sich zus\u00e4tzlich \u00fcbrigens auch nutzen, um Gastzug\u00e4nge einzurichten. Dabei k\u00f6nnen die Administratoren unter anderem ein Administratorkonto f\u00fcr die Gastzug\u00e4nge definieren und die Registrierungsfunktion aktivieren, die es G\u00e4sten erm\u00f6glicht, sich selbst bei dem System einzutragen. Im Test ergaben sich anschlie\u00dfend bei der Arbeit mit Gastkonten keine Probleme.<\/p>\n\n\n\n\n\n\n\n Die\nZugriffsregeln<\/strong><\/p>\n\n\n\n Ein weiterer Assistent hilft den Administratoren\ndabei, Zugriffs-Policies f\u00fcr die Benutzer anzulegen. Dazu ist es in der Regel zun\u00e4chst\neinmal erforderlich, Authentifizierungs-Server zu definieren. Zur\nAuthentifizierung der Benutzer und Ger\u00e4te unterst\u00fctzt die PPS-Appliance an\ndieser Stelle das Microsoft Active Directory und LDAP, wobei LDAP zur\nAuthentifizierung von Ger\u00e4ten auf Basis von MAC-Adressen zum Einsatz kommen\nsollte. Bei Bedarf besteht aber auch die M\u00f6glichkeit, einen lokalen\nAuthentifizierungs-Server aufzusetzen, der mit Benutzerkonten arbeitet, die\ndirekt auf der Appliance gespeichert werden. Im Test entschieden wir uns zu\ndiesem Zeitpunkt f\u00fcr diese Option.<\/p>\n\n\n\n Zur Konfiguration der Zugriffsregeln m\u00fcssen die zust\u00e4ndigen Mitarbeiter zun\u00e4chst einmal die URL festlegen, \u00fcber die sich die Anwender bei der Appliance anmelden k\u00f6nnen. Danach kommt die Konfiguration des eben genannten Authentifizierungsservers an die Reihe. Anschlie\u00dfend geht es daran, den User Realm und die User Role einzurichten. Der User Realm legt fest, welche Benutzerrollen \u00fcber welche Authentifizierungs-Server authentifiziert werden. \u00dcber die User Roles definiert PulseSecure im Gegensatz dazu Sitzungsparameter wie die Session Settings und die Personalisierungseinstellungen.<\/p>\n\n\n\n Zum Schluss legen die zust\u00e4ndigen Mitarbeiter noch\nfest, ob Browser-Zugriffe f\u00fcr die jeweilige Rolle erlaubt sein sollen und ob\ndas System den Pulse Secure-Client auf den Endpoints installiert. Letzteres ist\naber nicht immer zwingend erforderlich, da das System agentenlose\nKonfigurationen unterst\u00fctzt. Damit ist die Konfiguration abgeschlossen und die\nZugriffsregel geht in Betrieb.<\/p>\n\n\n\n Die Guidance-Eintr\u00e4ge<\/strong><\/p>\n\n\n\n Zus\u00e4tzlich zu den genannten Assistenten existiert\nauch noch im Web Interface eine Sammlung von Hilfeseiten namens\n„Guidance“, die die Anwender Schritt f\u00fcr Schritt durch die\nKonfiguration der wichtigsten Funktionen der Appliance f\u00fchrt. Sie hilft unter\nanderem beim Einstellen der Zeitzone, beim Einspielen der Lizenz und der\nZertifikate, beim Installieren von Updates, beim Anlegen von Authentifizierungs-Servern\nf\u00fcr Gastbenutzer und bei der Definition der Authentifizierungs-Realms sowie\nUser Roles. Au\u00dferdem lassen sich \u00fcber die Guidance-Seiten auch noch Role\nMappings anlegen, die festlegen, welche Benutzerrollen welche User zugewiesen\nbekommen, abh\u00e4ngig von ihrem Benutzernamen, ihrem Zertifikat oder einem\nbenutzerdefinierten Ausdruck.<\/p>\n\n\n\n Die Guidance-Eintr\u00e4ge helfen zudem beim Sichern der Konfiguration und beim Definieren von Ressource Access Policies, die festlegen, auf welche Ressourcen im Netz \u2013 also Anwendungen, Server und so weiter \u2013 die Anwender und G\u00e4ste zugreifen d\u00fcrfen. Der Eintrag „Manage Users“ unterst\u00fctzt die Administratoren schlie\u00dflich beim Anlegen und Verwalten von Benutzerkonten.<\/p>\n\n\n\n Das Enterprise\nOnboarding<\/strong><\/p>\n\n\n\n Kommen wir nun einmal im Detail auf die wichtigsten\nFunktionen der PPS-L\u00f6sung zu sprechen: \u00dcber das Enterprise Onboarding lassen\nsich fremde Ger\u00e4te, die beispielsweise aufgrund von BYOD-Regelungen im\nUnternehmensnetz auftauchen, automatisiert so konfigurieren, dass sie auf die Netzwerkumgebung\nzugreifen k\u00f6nnen. Konkret sieht das so aus, dass sich der Anwender mit dem\nneuen Ger\u00e4t \u00fcber ein Portal bei der PPS anmeldet und anschlie\u00dfend bei Bedarf\nSoftware, wie etwa den PulseSecure-Client, auf seinem Endpoint installieren\nkann. Sobald dieser Schritt erledigt wurde, erh\u00e4lt das System von der Appliance\nKonfigurationsdaten f\u00fcr den Verbindungsaufbau via VPN oder Wifi oder, falls\nerforderlich, auch Zertifikate zur Authentifizierung. Anschlie\u00dfend ist der\nBenutzer dann dazu in der Lage, die f\u00fcr ihn freigegebenen\nUnternehmensressourcen zu verwenden, ohne dass die IT-Abteilung f\u00fcr die\nKonfiguration seines Endger\u00e4ts aktiv werden muss.<\/p>\n\n\n\n Das Enterprise Onboarding funktioniert mit Ger\u00e4ten\nunter Android, iOS, MacOS und Windows, wobei die beiden Apple-Betriebssysteme\ndazu in der Lage sind, das Onboarding auch ohne die vorherige Installation des\nPulseSecure-Clients durchzuf\u00fchren. Im Test verwendeten wir als Clients ein\nHuawei P9 unter Android 7 und eine Windows 10-Maschine.<\/p>\n\n\n\n Um das Onboarding einzurichten, m\u00fcssen die\nzust\u00e4ndigen Mitarbeiter diese Funktion zun\u00e4chst f\u00fcr die Benutzerrolle\naktivieren, die die Anwender, die ihre Devices einbringen d\u00fcrfen, verwenden.\nDas geht unter \u201eUsers \/ User Roles \/ {Name der betroffenen Benutzerrolle} \/\nGeneral \/ Overview\u201c. Nach dem Aktivieren haben die zust\u00e4ndigen Mitarbeiter\nGelegenheit, auszuw\u00e4hlen, ob das System nach dem Benutzer-Login eine\nOnboarding-Seite anzeigt, \u00fcber die der Anwender dann das Onboarding starten\nkann, oder ob das System den PulseSecure-Client automatisch auf MacOS- und Windows-Rechnern\neinspielen soll. Alternativ gibt es auch die M\u00f6glichkeit, eine externe MDM-L\u00f6sung\nf\u00fcr das Onboarding mobiler Ger\u00e4te einzusetzen. Im Test entschieden wir uns f\u00fcr\ndie erste Option.<\/p>\n\n\n\n Jetzt konnte es daran gehen, das Onboarding selbst einzurichten. Dazu wechseln die Administratoren nach \u201eUsers \/ Enterprise Onboarding\u201c und haben dort Gelegenheit, einen SCEP-Server in die Konfiguration einzubinden, Templates f\u00fcr Certificate Signing Requests anzulegen und Profile f\u00fcr VPN- beziehungsweise Wifi-Verbindungen sowie Zertifikate zu erzeugen.<\/p>\n\n\n\n Der SCEP-Server (Simple Certificate Enrollment Protocol)\nkommt in Verbindung mit den Certificate-Signing-Request-Templates (CSR) zum\nEinsatz, um den Endbenutzerger\u00e4ten anhand der Zertifikatsprofile automatisch\njeweils eigene Zertifikate zur Verf\u00fcgung zu stellen, mit denen sich diese dann\nim Betrieb bei der PPS-Appliance oder einem Pulse Connect Secure-System\n(ebenfalls von PulseSecure) authentifizieren k\u00f6nnen.<\/p>\n\n\n\n Ein SCEP-Server ist \u00fcbrigens nicht die einzige\nM\u00f6glichkeit, Zertifikate an die Clients zu verteilen. Es existieren auch\nOptionen, ein globales Zertifikat zu importieren, oder ein CA-Zertifikat zu\nverwenden. Das globale Zertifikat stellt das Zertifikat der PPS selbst dar. Die\nVerwendung von CA-Zertifikaten kann beispielsweise Sinn ergeben, wenn es um den\nEinsatz in Wifi-Profilen geht. Im Test verwendeten wir die Konfiguration mit\ndem SCEP-Server. Dazu gaben wir im Wesentlichen seine URL und das\nZugriffspasswort an und luden ein CSR-Template hoch, das wir zuvor \u00fcber das\nPPS-Web-Interface erzeugt hatten. Anschlie\u00dfend war die Verbindung aktiv und wir\nkonnten die Zertifikate zur Authentifizierung nutzen.<\/p>\n\n\n\n Im n\u00e4chsten Schritt erzeugten wir noch ein\nVPN-Profil, \u00fcber das die Anwender Zugriff auf unsere Ressourcen erhielten. Dazu\nmussten wir lediglich einen Namen vergeben, sagen ob das Profil f\u00fcr Android-\noder iOS-Clients G\u00fcltigkeit haben sollte und den VPN-Gateway angeben. Im Test\nwar das unsere PPS-Appliance. Zum Schluss legten wir noch fest, welcher Realm,\nwelche Benutzerrolle und welcher Username zum Einsatz kamen und w\u00e4hlten die\nAuthentifizierungsmethode (Zertifikate) aus. Anstelle der Zertifikate ist auch\neine Passwort-Authentifizierung m\u00f6glich, \u00fcber die sich die Benutzer im Betrieb\nselbst beim VPN anmelden k\u00f6nnen. Das gestaltet sich zwar nicht so komfortabel,\nerspart den Administratoren aber die Arbeit mit der Zertifikats-Konfiguration.<\/p>\n\n\n\n Nachdem wir die genannten Schritte durchgef\u00fchrt hatten, konnten wir uns mit unseren Test-Clients bei dem Benutzer-Portal anmelden und das Onboarding durchf\u00fchren. Die ganze Konfiguration der genannten Funktion nahm im Test weniger als zehn Minuten in Anspruch und hinterlie\u00df bei uns einen sehr guten Eindruck.<\/p>\n\n\n\n\n\n\n\n Host Checking<\/strong><\/p>\n\n\n\n Die Host Checking-Funktion l\u00e4sst sich nutzen, um\nsicher zu stellen, dass die Endbenutzersysteme bestimmte, zuvor festgelegte,\nVoraussetzungen erf\u00fcllen, bevor sie Zugriff auf das Unternehmensnetz erhalten.\nDabei kann es sich beispielsweise um das Vorhandensein eines\nAntivirus-Programms mit aktuellen Virendefinitionen, eine aktive Firewall oder\nauch um einen bestimmten Patch-Level handeln.<\/p>\n\n\n\n Im Betrieb wird der Host Checker w\u00e4hrend des Logins aktiv und pr\u00fcft, ob die vorgegebenen Voraussetzungen erf\u00fcllt werden. Falls ja, erteilt er den Zugriff auf die Unternehmensressourcen, falls nein, sind die Administratoren dazu in der Lage, eine Remediation Page anzulegen, die Informationen und Links dar\u00fcber enth\u00e4lt, was der Endanwender machen muss, um sein System regelkonform zu gestalten, beispielsweise durch das Aktivieren der Firewall. Alternativ kann der Host Checker auch selbst versuchen, Compliance zu den Regeln herzustellen. Dazu h\u00e4lt er auf Wunsch Prozesse an, l\u00f6scht Dateien oder f\u00fchrt Aktionen durch, die zuvor im Rahmen einer Antivirus- oder Firewall-Policy definiert wurden. Dazu sp\u00e4ter mehr.<\/p>\n\n\n\n Im Test legten wir eine Host-Checking-Regel an, die\n\u00fcberpr\u00fcfte, on der Windows Defender auf unserem Test-Client aktiv und auf dem\naktuellen Stand war. Dazu wechselten wir nach \u201eAuthentication \/ Endpoint\nSecurity \/ Host Checker\u201c und erzeugten eine neue Antivirus-Regel. Dort\nselektierten wir den Eintrag \u201eRequire Specific Products\u201c und w\u00e4hlten dort den\n\u201eWindows Defender\u201c. Anschlie\u00dfend gaben wir an, dass das System die Virus\nDefinition Files pr\u00fcfen sollte und legten fest, wie alt diese Daten sein\ndurften, bevor ein Alarm ausgel\u00f6st wurde. Au\u00dferdem konnten wir noch angeben, ob\ndas System die Einhaltung der Regel nur w\u00e4hrend des Logins oder auch w\u00e4hrend\ndes Betriebs im Auge behalten sollte und welche Remediation-Aktionen der Host\nChecker im Fall der Nichteinhaltung der Policies durchzuf\u00fchren hatte. Hier\nstanden uns die Optionen \u201eDownload the latest Virus Definition Files\u201c, \u201eTurn on\nReal Time Protection\u201c und \u201eStart Antivirus Scan\u201c zur Verf\u00fcgung. Wir w\u00e4hlten die\nbeiden ersten aus und speicherten die Regel. Bei Bedarf lassen sich auch\nmehrere Policies in einer Regel zusammenfassen.<\/p>\n\n\n\n Zum Schluss war es nur noch erforderlich, die neue\nRegel unter \u201eUsers \/ User Realms \/ {Name der Benutzerrolle} \/ Authentication\nPolicy \/ Host Checker\u201c zu aktivieren. Danach pr\u00fcfte der Host Checker unseren\nClient w\u00e4hrend des Logins und lie\u00df uns nur mit aktiver und aktueller\nAntivirus-Software ins Netz.<\/p>\n\n\n\n Das Layer\n2-Enforcement<\/strong><\/p>\n\n\n\n \u00dcber das Layer 2-Enforcement l\u00e4sst sich \u2013 wie bereits erw\u00e4hnt \u2013 eine Umgebung konfigurieren, die nur authentifizierten Ger\u00e4ten den Zugriff ins LAN erlaubt. In unserem Netz verwendeten wir neben der Pulse Secure-Appliance beim Einrichten dieses Szenarios einen Cisco Catalyst 2960-C-Switch, der dazu in der Lage war, das 802.1X-Protokoll zu unterst\u00fctzen.<\/p>\n\n\n\n Wir planten im Test eine Konfiguration, in der sich\nder Anwender \u00fcber den Pulse Secure Access Client auf seinem Rechner mit\nBenutzername und Passwort, Zertifikat oder Token beim System authentifiziert. Zun\u00e4chst\nfragt dabei der Cisco-Switch bei der als Radius Server arbeitenden Policy\nSecure-Appliance nach, ob die Authentifizierung in Ordnung geht. Die Appliance\nund der Endpoint tauschen dann EAP-Nachrichten durch den Switch aus. L\u00e4uft die\nAuthentifizierung erfolgreich ab, so erh\u00e4lt der User Zugriff auf das Netz,\nindem die Appliance dem Switch, der als Radius Client arbeitet, mitteilt, dass er\ndie vorhandenen Assets nutzen darf.<\/p>\n\n\n\n Im Test verwendeten wir als\nAuthentifizierungsmethode Benutzername und Passwort. Um das beschriebene\nSzenario umzusetzen, steht im Konfigurationswerkzeug der Pulse Policy\nSecure-Appliance ein Wizard zur Verf\u00fcgung, der die Administratoren durch die\nKonfiguration der Layer-2-Authentifizierung der Benutzersitzungen f\u00fchrt.<\/p>\n\n\n\n Im ersten Schritt zeigt der Wizard einen\nWillkommensbildschirm an, der die durchzuf\u00fchrenden Schritte beschreibt. Danach\ngeht es gleich in Medias Res und damit an die Definition des Radius Clients. In\nunserem Test war das, wie gesagt, der Cisco Switch. Um diesen als Radius Client\neinzurichten, mussten wir ihm zun\u00e4chst einen Namen geben, seine IP-Adresse\ndefinieren und ein Shared Secret festlegen, um die Daten\u00fcbertragungen zwischen\nSwitch und Appliance abzusichern. Danach gaben wir an, dass es sich bei dem\nGer\u00e4t um eine Cisco-L\u00f6sung handelte und aktivierten den Support f\u00fcr Disconnect\nMessages.<\/p>\n\n\n\n Im n\u00e4chsten Schritt w\u00e4hlten wir die Location Group, die f\u00fcr die Konfiguration zum Einsatz kommen sollte, damit war der Wizard abgeschlossen und die Konfiguration ging in Betrieb. Jetzt mussten wir nur noch den Cisco-Switch so konfigurieren, dass er mit der PPS-Appliance zusammenarbeitete. Dazu wechselten wir auf die Kommandozeile des Switches und f\u00fchrten dort die daf\u00fcr erforderlichen Befehle aus. Es w\u00fcrde den Rahmen dieses Tests sprengen, im Detail auf jeden Befehl einzugehen. Das ist auch nicht n\u00f6tig, da das ganze Vorgehen recht gut in der Dokumentation beschrieben wurde. Im Wesentlichen reicht es an dieser Stelle aus, zu sagen, dass wir eine Radius Server-Gruppe einrichten und die PPS-Appliance als Radius Server definieren mussten. Danach war die Konfiguration abgeschlossen und das System ging in Betrieb. Anschlie\u00dfend verhielt es sich so wie erwartet und oben beschrieben.<\/p>\n\n\n\n Das Layer 3-Enforcement<\/strong><\/p>\n\n\n\n Die Pulse Policy Secure-Appliance ist wie gesagt nicht\nnur dazu in der Lage, NAC-Funktionalit\u00e4ten auf Layer 2 mit Hilfe eines\nkompatiblen Switches zu konfigurieren, sondern kann auch in Zusammenarbeit mit\nFirewalls von Checkpoint, Fortinet, Juniper und Palo Alto das Netz auf Layer 3-Ebene\nabsichern. In diesem Fall fungieren die Firewalls genauso wie zuvor der Switch\nals Enforcement Point.<\/p>\n\n\n\n Auch hier authentifiziert die PPS-Appliance die\nAnwender, stellt sicher, dass die Endpoints die Sicherheits-Policies erf\u00fcllen\nund leitet dann Benutzer- beziehungsweise Ger\u00e4teinformationen dar\u00fcber, welche\nRessourcen dem jeweiligen Anwender oder Ger\u00e4t zur Verf\u00fcgung stehen sollen, an die\nFirewall weiter.<\/p>\n\n\n\n Im Test verwendeten wir eine virtuelle Firewall-Appliance von Palo Alto. Die Konfiguration l\u00e4uft \u00e4hnlich ab, wie bei dem Layer 2-Enforcement. Zun\u00e4chst starteten wir im PPS-Konfigurationswerkzeug den Wizard zum Einrichten des „Intranet Enforcers“. Dieser wollte im Wesentlichen wissen, welche Firewall wir f\u00fcr die Konfiguration verwenden wollten (mit Hersteller und IP-Adresse sowie Zugriffsdaten) und welche Policy f\u00fcr das Mapping der Authentifizierungs-Tables zum Einsatz kommen sollte. Die Policy gibt in diesem Zusammenhang an, welche Firewall f\u00fcr die jeweilige User Role Verwendung findet. Auf diese Weise verhindert das System, dass die PPS auf allen angeschlossenen Firewalls teilweise unn\u00f6tige Regeln erzeugt. Die genannte Regel konnten wir gleich innerhalb des Wizards definieren.<\/p>\n\n\n\n Sobald das erledigt war, wendeten wir uns der\nKonfiguration der Firewall selbst zu. Auch hier w\u00fcrde es wieder den Rahmen des\nTests sprengen, im Detail darauf einzugehen und auch hier werden die einzelnen\nSchritte wieder im Detail in der Dokumentation beschrieben. Es gen\u00fcgt an dieser\nStelle zu sagen, dass wir in den Zonen der Firewall die User Identification\naktivieren mussten, eine dynamische Adress-Gruppe anlegten und eine\nSicherheitspolicy hinzuf\u00fcgten, die den Zugriff auf die Ressourcen regelte. Bei\nder Policy lassen sich unter anderem auch Zeitr\u00e4ume f\u00fcr die G\u00fcltigkeit der\nRegel hinzuf\u00fcgen und \u00e4hnliches. Nach dem Abschluss der Konfiguration nahmen wir\ndas System in Betrieb und konnten auf die beschriebene Art und Weise damit\narbeiten.<\/p>\n\n\n\n Fazit<\/strong><\/p>\n\n\n\n Die Pulse Policy Secure-L\u00f6sung konnte uns im Test\nvoll \u00fcberzeugen. Das Produkt verf\u00fcgt \u00fcber einen eindrucksvollen Funktionsumfang\nmit vielen m\u00e4chtigen Features wie beispielsweise dem Host Checking, dem\nEnterprise Onboarding und dem Enforcement auf Layer 2 und 3 des\nOSI-Schichtenmodells. Au\u00dferdem arbeitet die Appliance auch mit vielen anderen\nProdukten aus der IT-Sicherheit zusammen, an dieser Stelle seien nur\nexemplarisch die MDM-L\u00f6sungen von MobileIron, die Switches von Cisco und die\nFirewalls von Checkpoint sowie Palo Alto genannt.<\/p>\n\n\n\n Im Betrieb verh\u00e4lt sich das Produkt zuverl\u00e4ssig und unauff\u00e4llig und die Konfiguration d\u00fcrfte aufgrund der vorhandenen Wizards keinen Administratoren vor un\u00fcberwindliche Hindernisse stellen. Eine gewisse Einarbeitungszeit ist zwar erforderlich, danach k\u00f6nnen die zust\u00e4ndigen IT-Mitarbeiter die Sicherheit ihrer Netze aber deutlich erh\u00f6hen, weswegen sich der Aufwand in den meisten mittleren und gro\u00dfen Unternehmensumgebungen lohnen d\u00fcrfte. Wegen des gro\u00dfen Funktionsumfangs verleihen wir dem Pulse Policy Secure-Produkt das Pr\u00e4dikat „IAITested and recommended“.<\/p>\n\n\n\n Der gesamte Test steht auch als PDF-Datei zur Verf\u00fcgung: <\/p>\n\n\n\n Anmerkung:<\/strong><\/p>\n\n\n\n Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Mit Pulse Policy Secure bietet PulseSecure ein Network Access Control-Produkt an, das genau steuert, wer beziehungsweise was wann auf ein Netzwerk zugreifen kann. Gleichzeitig beh\u00e4lt die L\u00f6sung das Netz im Blick und erm\u00f6glicht so eine unternehmensweite Visibility sowie das Auditing und Monitoring der Netzwerkkomponenten. Das Produkt konnte im Testlabor zeigen, was in ihm steckt.<\/p>\n","protected":false},"author":3,"featured_media":14295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[442,6914,12118,342,6258,221,12358,312,825,11936,4312,231,5274,467,9943,4638,764,175,3555,1261,1794,11217,4535,1862,3811,12352,1549,12354,12356,12353,1942,1426,4256,269,9447,21,180,2245,64],"class_list":["post-14294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-active-directory","tag-airwatch","tag-auditing","tag-authentifizierung","tag-byod","tag-cisco","tag-enforcement","tag-esxi","tag-firewall","tag-host-checker","tag-ids","tag-ips","tag-klassifizierung","tag-layer-2","tag-layer-3","tag-logging","tag-mdm","tag-microsoft","tag-mobileiron","tag-monitoring","tag-nac","tag-onboarding","tag-palo-alto","tag-patch","tag-policy","tag-pps","tag-profiling","tag-pulse-policy-secure","tag-pulse-workspace","tag-pulsesecure","tag-sccm","tag-siem","tag-sms","tag-switch","tag-visibility","tag-vmware","tag-vpn","tag-wifi","tag-wlan"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14294"}],"version-history":[{"count":3,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14294\/revisions"}],"predecessor-version":[{"id":14312,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14294\/revisions\/14312"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14295"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS06.png\")
Die virtuelle Appliance w\u00e4hrend der Installation <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS07.png\")
Einige grundlegende Administrationsarbeiten lassen sich direkt auf der Kommandozeile der Appliance durchf\u00fchren <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/Profiler.png\")
\u00dcber die Profiling-Funktion erkennt die PPS-Appliance die im Netz vorhandenen Komponenten <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/Join_Domain.png\")
Zu Authentifizierung lassen sich unter anderem auch Active Directory-Server nutzen <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS_SCEP.png\")
Die Einbindung des SCEP-Servers f\u00fcr die Zertifikatsvergabe beim Enterprise Onboarding <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS_Hostheck.png\")
Der Host Checker bei der Arbeit <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/Palo_Alto_Net.png\")
Bei der Konfiguration unserer Palo Alto-Appliance verwendeten wir drei Netzwerkinterfaces. Das Management-Netz erscheint in dieser \u00dcbersicht nicht, nur die beiden Interfaces f\u00fcr interne und externe Zugriffe <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS0AA.png\")
Nach dem Login mit unserem Windows-Testclient \u00fcberpr\u00fcft die Client-Software von PulseSecure erst einmal die Kompatibilit\u00e4t des Systems <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS_Zert01.png\")
Eine laufende Verbindung mit einem Windows-Client <\/figcaption><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/05\/PPS_Zert02.png\")
Der PulseSecure-Client liefert im Betrieb diverse Informationen \u00fcber die aktiven Sitzungen <\/figcaption><\/figure>\n\n\n\n