Flexible NACLösung für Network Visibility und …...Flexible NAC Lösung für Network Dr. Götz...
Transcript of Flexible NACLösung für Network Visibility und …...Flexible NAC Lösung für Network Dr. Götz...
Pulse Policy Secure (PPS) bringtneben einer identitätsbasiertenZugriffssteuerung ein DeviceOnboarding mit, über das sichBYODGeräte automatisch inBezug auf die WiFi und VPNEinstellungen sowie die verwendete Software in eine Unternehmensumgebung integrieren lassen. Außerdem lässt sich die Lösung zum Sicherstellen der Compliance verwenden, da sie dieGeräte im Netz erkennt, unter
sucht und überwacht und den Sicherheitsstatus der Endpoints sowohl vor dem Aufbau als auchwährend der Verbindungen im
Auge behält. Die Konfigurationerfolgt über ein zentrales Verwaltungswerkzeug mit vielen Assistenten und Vorlagen und sollte
deshalb verhältnismäßig unproblematisch ablaufen. Da das Produkt mit externen Mobile DeviceManagementLösungen (Pulse
Workspace sowie Lösungen vonAirWatch, MobileIron und Microsoft) zusammenarbeitet, ist eszudem dazu in der Lage, Informationen von diesen Produktenzum Durchsetzen der NACPolicies (Network Access Control) zuverwenden. Darüber hinaus kannes auch in viele vorhandeneKomponenten integriert werden,wie das Active Directory, Firewalls, IDSLösungen, SIEMProdukte, Switches und WLANController.
Umfassende Klassifizierungs,Inspektions und LoggingFunktionen helfen beim Inventory undder Überwachung der Geräte sowie beim Troubleshooting vonProblemen wie zum BeispielComplianceVerletzungen benötigter Anwendungen. Das "PatchAssessment" sorgt dafür, dass aufden Endgeräten immer die
Im Test: Pulse Policy Secure von PulseSecure
Flexible NACLösung für Network
Dr. Götz Güttich
Mit Pulse Policy Secure bietet PulseSecure ein Network Access ControlProdukt an,das genau steuert, wer beziehungsweise was wann auf ein Netzwerk zugreifenkann. Gleichzeitig behält die Lösung das Netz im Blick und ermöglicht so eine
unternehmensweite Visibility sowie das Auditing und Monitoring derNetzwerkkomponenten. Das Produkt konnte im Testlabor zeigen,
was in ihm steckt.
1
Visibility und Zugriffskontrolle
Die Appliance während der Installation
neuesten Applikationen und letzten Upgrades laufen. Sollte daseinmal nicht der Fall sein, so löstdas Patch Assessment über System Management Server (SMS)beziehungsweise System CenterConfiguration Manager (SCCM)UpdateVorgänge aus. Um dieEndpoints zu überwachen, setztPulse Policy Secure aufCDP/LLDP, DHCPFingerprinting, HTTP User Agent, MACOUI, MDM, Nmap, SNMP undSNMP Traps sowie WMI. Aufdiese Weise bleibt das Systemstets auf dem aktuellen Stand undkennt den Status der verbundenen Geräte.
Netzwerks und AnwendungszugriffsschutzPPS wendet auf den Netzwerkgeräten mit agenten und agentenlosen Methoden Indentitäts, Konfigurations, Verhaltens undStateful SecurityBewertungenan. Dabei kann die Lösung – jenach Policy – den Zugriff aufNetzwerkressourcen erlauben,einschränken oder blockieren.
Zum Schützen des Netzwerksund der darin vorhandenen Applikationen sowie Dienste ver
wendet Pulse Policy Secure verschiedene Ansätze. Dazu gehört
eine rollenbasierte Absicherungauf Anwendungsebene. Dabeikommuniziert das System mitNext Generation Firewalls vonCheckpoint, Fortinet, Juniper undPalo Alto Networks. Auf dieseWeise ist es unter anderem möglich, die Gültigkeit der Firewall
Regeln für bestimmte Benutzeroder Geräte abhängig von der Tageszeit zu modifizieren und die
Bandbreiten für bestimmte Anwendungen zu beschränken. Die
Zugriffe im Netz sind also granular steuerbar.
Zur Authentifizierung externerBenutzer stellt das Produkt einCaptive Portal bereit. In Zusammenarbeit mit der Pulse ConnectSecure SSLVPNLösung desgleichen Herstellers lassen sichauch Remote AccessUser nahtlos einbinden. Zur Authentifizierung kommen neben einem lokalen Login mit Passörtern bei Bedarf auch 802.1X, CA Site Minder, LDAP, Microsoft Active Directory, NIS, Radius, RSA Authentication Manager und RSAClear Trust zum Einsatz.
Da die Lösung auch mit offenenStandards für die Netzwerkzugriffskontrolle und Sicherheit wieTNC IFMAP und TNC SOH arbeitet, lässt sie sich auf dieseWeise auch in die Netzwerk undSicherheitsprodukte vieler weiterer Hersteller integrieren. Eineautomatische Threat Response,die aktiv wird, sobald das Systemeine Bedrohung erkennt, rundet
2
Über die ProfilingFunktion erkennt die PPSAppliance die im Netz vorhandenen Komponenten
Einige grundlegende Administrationsarbeiten lassen sich direkt auf der Kom
mandozeile der Appliance durchführen
den Leistungsumfang der PulsePolicy SecureLösung ab.
Der TestIm Test installierten wir zunächsteine virtuelle Appliance mit Pulse Policy Secure in unserem Netzund machten uns mit dem Leis
tungsumfang der Lösung und denvorhandenen Assistenten vertraut. Außerdem nahmen wir dieFunktionen zum Device Onboarding, zum Host Checking undzum Profiling unter die Lupe.
Darüber hinaus befassten wir unsauch noch mit den Gastzugängenund setzen die Lösung in Kombination mit einem WSC2960C8TCSSwitch von Cisco ein, umLayer 2Funktionen, wie die Arbeit mit 802.1X zu analysieren.Auch die Layer 3Features mitder dynamischen FirewallKonfiguration blieben im Test nicht außen vor: Dazu verwendeten wireine virtuelle FirewallAppliancevon Palo Alto Networks unterPANOS 7.1.
InstallationDie Installation der virtuellenPPSAppliance gestaltete sichverhältnismäßig einfach. DerHersteller hatte uns für den Testzu diesem Zweck eine virtuelleMaschine (VM) auf OVFBasiszur Verfügung gestellt, die wir
auf einem Vmware ESXiSystemmit der Version 6.7 importierten.
Der verwendete Host verfügteüber eine Intel i78CoreCPUund 32 GByte RAM. Für die VMbenötigten wir aber nur zweiCPUKerne und zwei GByte Arbeitsspeicher. Nachdem der Import abgeschlossen war, fuhrenwir die Appliance hoch, woraufhin diese sofort automatisch mitder Installation der Pulse PolicySecureLösung begann.
Die SetupRoutine arbeitet imGroßen und Ganzen ohne Interaktion mit dem Administrator,wir mussten im Test im Wesentlichen nur die Konfiguration fürdas interne Netzwerkinterface
vornehmen und ein Administratorkonto definieren. Nach demAbschluss des Setups, das aufunserem System nur ein paar Minuten in Anspruch nahm, konntenwir uns beim KonfigurationsInterface der Lösung unter https://{IPAdresse der Appliance}/admin mit unserem kurz zuvor angelegten Administratorkonto anmelden. Sobald das erledigt war, spielten wir zunächsteinmal die Testlizenz ein, die unsder Hersteller zuvor geliefert hatte und brachten das System dannmit einer PatchDatei auf die zumTestzeitpunkt aktuelle Version9.0R1. Danach war die Lösungeinsatzbereit.
InbetriebnahmeUm den ITMitarbeitern die Inbetriebnahme der Lösung zu erleichtern, hat PulseSecure in dasWebInterface des Produkts einen„Initial Setup Wizard“ integriert.Dieser lässt sich nicht nur nutzen,um die Zeitzone und den NTPServer festzulegen, sondern kannauch zum Einsatz kommen, umandere Funktionen wie das Profiling zu konfigurieren. Letzteresidentifiziert und klassifiziert dynamisch die verwalteten undnicht verwalteten Endpoints imNetz und ermöglicht es so, denZugriff auf das Netz und die darin enthaltenen Ressourcen aufBasis des GeräteTyps und derjeweiligen Konfiguration zusteuern.
Damit das Profiling funktioniert,müssen die zuständigen Mitarbeiter eine so genannte FingerprintDatabase auf die Appliancehochzuladen, die beim Herstellerbezogen werden kann. Nach demHochladen dieser Datenbank liefdas Profiling wie erwartet. PPSunterstützt bei Bedarf übrigensauch selbstdefinierte Klassifika
3
Zu Authentifizierung lassen sich unter anderem auch Active DirectoryServer
nutzen
tionen. Im nächsten Schritt desEinrichtungsassistenten ging esan die Konfiguration des Layer2Enforcements.
Dieses steuert den Netzwerkzugriff von dem Moment an, zudem sich ein Anwender mit demNetz verbindet. In einem kabelbasierten Netz, wie in unseremTest, erfolgt diese Steuerung anden Switch Ports, in einem drahtlosen Netz über den Wireless Access Point. Die Zugriffssteuerungläuft im Betrieb über das Authentifizierungsprotokoll 802.1X ab.Der verwendete Switch oder Access Point muss dieses also beherrschen. Außerdem kommtnoch Radius zum Einsatz, derRadiusServer kann hierbei diePPSAppliance sein. Neben der802.1XAuthentifizierung unterstützt das System bei Bedarfauch MAC und SNMPAuthentication. Auf das Layer 2Enforcement gehen wir später noch genauer ein.
Der Initial Setup Wizard lässtsich zusätzlich übrigens auchnutzen, um Gastzugänge einzurichten. Dabei können die Administratoren unter anderem ein Administratorkonto für die Gastzugänge definieren und die Registrierungsfunktion aktivieren, diees Gästen ermöglicht, sich selbstbei dem System einzutragen. ImTest ergaben sich anschließendbei der Arbeit mit Gastkontenkeine Probleme.
Die ZugriffsregelnEin weiterer Assistent hilft denAdministratoren dabei, ZugriffsPolicies für die Benutzer anzulegen. Dazu ist es in der Regel zunächst einmal erforderlich, AuthentifizierungsServer zu definieren. Zur Authentifizierung derBenutzer und Geräte unterstützt
die PPSAppliance an dieserStelle das Microsoft Active Directory und LDAP, wobei LDAPzur Authentifizierung von Geräten auf Basis von MACAdressenzum Einsatz kommen sollte. BeiBedarf besteht aber auch dieMöglichkeit, einen lokalen AuthentifizierungsServer aufzusetzen, der mit Benutzerkonten arbeitet, die direkt auf der Appliance gespeichert werden. Im Test
entschieden wir uns zu diesemZeitpunkt für diese Option.
Zur Konfiguration der Zugriffsregeln müssen die zuständigen Mitarbeiter zunächst einmal die URLfestlegen, über die sich die Anwender bei der Appliance anmelden können. Danach kommt dieKonfiguration des eben genannten Authentifizierungsservers andie Reihe. Anschließend geht esdaran, den User Realm und dieUser Role einzurichten. Der UserRealm legt fest, welche Benutzerrollen über welche AuthentifizierungsServer authentifiziertwerden. Über die User Roles de
finiert PulseSecure im Gegensatzdazu Sitzungsparameter wie dieSession Settings und die Personalisierungseinstellungen.
Zum Schluss legen die zuständigen Mitarbeiter noch fest, obBrowserZugriffe für die jeweilige Rolle erlaubt sein sollen undob das System den Pulse SecureClient auf den Endpoints installiert. Letzteres ist aber nicht im
mer zwingend erforderlich, dadas System agentenlose Konfigurationen unterstützt. Damit istdie Konfiguration abgeschlossenund die Zugriffsregel geht in Betrieb.
Die GuidanceEinträgeZusätzlich zu den genannten Assistenten existiert auch noch imWeb Interface eine Sammlungvon Hilfeseiten namens "Guidance", die die Anwender Schrittfür Schritt durch die Konfiguration der wichtigsten Funktionender Appliance führt. Sie hilft unter anderem beim Einstellen derZeitzone, beim Einspielen der
4
Die Einbindung des SCEPServers für die Zertifikatsvergabe beim Enterprise
Onboarding
Lizenz und der Zertifikate, beimInstallieren von Updates, beimAnlegen von AuthentifizierungsServern für Gastbenutzer und beider Definition der AuthentifizierungsRealms sowie User Roles.Außerdem lassen sich über dieGuidanceSeiten auch noch RoleMappings anlegen, die festlegen,welche Benutzerrollen welcheUser zugewiesen bekommen, abhängig von ihrem Benutzernamen, ihrem Zertifikat oder einembenutzerdefinierten Ausdruck.
Die GuidanceEinträge helfenzudem beim Sichern der Konfiguration und beim Definierenvon Ressource Access Policies,die festlegen, auf welche Ressourcen im Netz – also Anwendungen, Server und so weiter –die Anwender und Gäste zugreifen dürfen. Der Eintrag "ManageUsers" unterstützt die Administratoren schließlich beim Anlegen und Verwalten von Benutzerkonten.
Das Enterprise OnboardingKommen wir nun einmal im Detail auf die wichtigsten Funktionen der PPSLösung zu sprechen:Über das Enterprise Onboardinglassen sich fremde Geräte, diebeispielsweise aufgrund von BYODRegelungen im Unternehmensnetz auftauchen, automatisiert so konfigurieren, dass sieauf die Netzwerkumgebung zugreifen können. Konkret siehtdas so aus, dass sich der Anwender mit dem neuen Gerät über einPortal bei der PPS anmeldet undanschließend bei Bedarf Software, wie etwa den PulseSecureClient, auf seinem Endpoint installieren kann. Sobald dieserSchritt erledigt wurde, erhält dasSystem von der Appliance Konfigurationsdaten für den Verbindungsaufbau via VPN oder Wifi
oder, falls erforderlich, auch Zertifikate zur Authentifizierung.Anschließend ist der Benutzerdann dazu in der Lage, die fürihn freigegebenen Unternehmensressourcen zu verwenden,
ohne dass die ITAbteilung fürdie Konfiguration seines Endgeräts aktiv werden muss.
Das Enterprise Onboarding funktioniert mit Geräten unter Android, iOS, MacOS und Windows,wobei die beiden AppleBetriebssysteme dazu in der Lage sind,das Onboarding auch ohne dievorherige Installation des PulseSecureClients durchzuführen.Im Test verwendeten wir als Clients ein Huawei P9 unter Android 7 und eine Windows 10Maschine.
Um das Onboarding einzurichten, müssen die zuständigen Mitarbeiter diese Funktion zunächstfür die Benutzerrolle aktivieren,die die Anwender, die ihre Devices einbringen dürfen, verwenden. Das geht unter „Users / UserRoles / {Name der betroffenenBenutzerrolle} / General / Overview“. Nach dem Aktivieren haben die zuständigen Mitarbeiter
Gelegenheit, auszuwählen, obdas System nach dem BenutzerLogin eine OnboardingSeite anzeigt, über die der Anwenderdann das Onboarding startenkann, oder ob das System den
PulseSecureClient automatischauf MacOS und WindowsRechnern einspielen soll. Alternativ gibt es auch die Möglichkeit, eine externe MDMLösungfür das Onboarding mobiler Geräte einzusetzen. Im Test entschieden wir uns für die ersteOption.
Jetzt konnte es daran gehen, dasOnboarding selbst einzurichten.Dazu wechseln die Administratoren nach „Users / Enterprise Onboarding“ und haben dort Gelegenheit, einen SCEPServer indie Konfiguration einzubinden,Templates für Certificate SigningRequests anzulegen und Profilefür VPN beziehungsweise WifiVerbindungen sowie Zertifikatezu erzeugen.
Der SCEPServer (Simple Certificate Enrollment Protocol)kommt in Verbindung mit denCertificate Signing RequestTemplates (CSR) zum Einsatz,
5
Der Host Checker bei der Arbeit
um den Endbenutzergeräten anhand der Zertifikatsprofile automatisch jeweils eigene Zertifikate zur Verfügung zu stellen, mitdenen sich diese dann im Betriebbei der PPSAppliance oder einem Pulse Connect SecureSystem (ebenfalls von PulseSecure)authentifizieren können.
Ein SCEPServer ist übrigensnicht die einzige Möglichkeit,Zertifikate an die Clients zu verteilen. Es existieren auch Optionen, ein globales Zertifikat zuimportieren, oder ein CAZertifikat zu verwenden. Das globaleZertifikat stellt das Zertifikat derPPS selbst dar. Die Verwendungvon CAZertifikaten kann bei
spielsweise Sinn ergeben, wennes um den Einsatz in WifiProfilen geht. Im Test verwendetenwir die Konfiguration mit demSCEPServer. Dazu gaben wir imWesentlichen seine URL und dasZugriffspasswort an und ludenein CSRTemplate hoch, das wirzuvor über das PPSWebInterface erzeugt hatten. Anschließendwar die Verbindung aktiv und wir
konnten die Zertifikate zur Authentifizierung nutzen.
Im nächsten Schritt erzeugten wirnoch ein VPNProfil, über dasdie Anwender Zugriff auf unsereRessourcen erhielten. Dazumussten wir lediglich einen Namen vergeben, sagen ob das Profil für Android oder iOSClientsGültigkeit haben sollte und denVPNGateway angeben. Im Testwar das unsere PPSAppliance.Zum Schluss legten wir nochfest, welcher Realm, welche Benutzerrolle und welcher Username zum Einsatz kamen undwählten die Authentifizierungsmethode (Zertifikate) aus. Anstelle der Zertifikate ist auch eine
PasswortAuthentifizierung möglich, über die sich die Benutzerim Betrieb selbst beim VPN anmelden können. Das gestaltetsich zwar nicht so komfortabel,erspart den Administratoren aberdie Arbeit mit der ZertifikatsKonfiguration.
Nachdem wir die genanntenSchritte durchgeführt hatten,
konnten wir uns mit unserenTestClients bei dem BenutzerPortal anmelden und das Onboarding durchführen. Die ganzeKonfiguration der genanntenFunktion nahm im Test wenigerals zehn Minuten in Anspruchund hinterließ bei uns einen sehrguten Eindruck.
Host CheckingDie Host CheckingFunktionlässt sich nutzen, um sicher zustellen, dass die Endbenutzersysteme bestimmte, zuvor festgelegte, Voraussetzungen erfüllen, bevor sie Zugriff auf das Unternehmensnetz erhalten. Dabei kann essich beispielsweise um das Vorhandensein eines AntivirusProgramms mit aktuellen Virendefinitionen, eine aktive Firewalloder auch um einen bestimmtenPatchLevel handeln.
Im Betrieb wird der Host Checker während des Logins aktivund prüft, ob die vorgegebenenVoraussetzungen erfüllt werden.Falls ja, erteilt er den Zugriff aufdie Unternehmensressourcen,falls nein, sind die Administratoren dazu in der Lage, eine Remediation Page anzulegen, die Informationen und Links darüberenthält, was der Endanwendermachen muss, um sein Systemregelkonform zu gestalten, beispielsweise durch das Aktivierender Firewall. Alternativ kann derHost Checker auch selbst versuchen, Compliance zu den Regelnherzustellen. Dazu hält er aufWunsch Prozesse an, löscht Dateien oder führt Aktionen durch,die zuvor im Rahmen einer Antivirus oder FirewallPolicy definiert wurden. Dazu später mehr.
Im Test legten wir eine HostCheckingRegel an, die überprüfte, on der Windows Defender
6
Bei der Konfiguration unserer Palo AltoAppliance verwendeten wir drei
Netzwerkinterfaces. Das ManagementNetz erscheint in dieser Übersicht nicht,
nur die beiden Interfaces für interne und externe Zugriffe
auf unserem TestClient aktiv undauf dem aktuellen Stand war. Dazu wechselten wir nach „Authentication / Endpoint Security /Host Checker“ und erzeugten ei
ne neue AntivirusRegel. Dort selektierten wir den Eintrag „Require Specific Products“ undwählten dort den „Windows Defender“. Anschließend gaben wiran, dass das System die Virus Definition Files prüfen sollte undlegten fest, wie alt diese Datensein durften, bevor ein Alarmausgelöst wurde. Außerdemkonnten wir noch angeben, obdas System die Einhaltung derRegel nur während des Loginsoder auch während des Betriebsim Auge behalten sollte und welche RemediationAktionen derHost Checker im Fall der Nichteinhaltung der Policies durchzuführen hatte. Hier standen uns dieOptionen „Download the latestVirus Definition Files“, „Turn onReal Time Protection“ und „StartAntivirus Scan“ zur Verfügung.Wir wählten die beiden ersten ausund speicherten die Regel. BeiBedarf lassen sich auch mehrerePolicies in einer Regel zusammenfassen. Zum Schluss war esnur noch erforderlich, die neueRegel unter „Users / User Realms
/ {Name der Benutzerrolle} / Authentication Policy / Host Checker“ zu aktivieren. Danach prüfte der Host Checker unseren Client während des Logins und ließuns nur mit aktiver und aktuellerAntivirusSoftware ins Netz.
Das Layer 2EnforcementÜber das Layer 2Enforcementlässt sich – wie bereits erwähnt –eine Umgebung konfigurieren,die nur authentifizierten Gerätenden Zugriff ins LAN erlaubt. Inunserem Netz verwendeten wirneben der Pulse SecureAppliance beim Einrichten dieses Szenarios einen Cisco Catalyst 2960CSwitch, der dazu in der Lage war,das 802.1XProtokoll zu unterstützen.
Wir planten im Test eine Konfiguration, in der sich der Anwender über den Pulse Secure AccessClient auf seinem Rechner mitBenutzername und Passwort,Zertifikat oder Token beim System authentifiziert. Zunächstfragt dabei der CiscoSwitch beider als Radius Server arbeitendenPolicy SecureAppliance nach,ob die Authentifizierung in Ordnung geht. Die Appliance und derEndpoint tauschen dann EAPNachrichten durch den Switchaus. Läuft die Authentifizierungerfolgreich ab, so erhält der UserZugriff auf das Netz, indem dieAppliance dem Switch, der alsRadius Client arbeitet, mitteilt,dass er die vorhandenen Assetsnutzen darf.
Im Test verwendeten wir als Authentifizierungsmethode Benutzername und Passwort. Um dasbeschriebene Szenario umzusetzen, steht im Konfigurationswerkzeug der Pulse Policy SecureAppliance ein Wizard zur Verfügung, der die Administratoren
durch die Konfiguration derLayer2Authentifizierung derBenutzersitzungen führt.
Im ersten Schritt zeigt der Wizardeinen Willkommensbildschirman, der die durchzuführendenSchritte beschreibt. Danach gehtes gleich in Medias Res und damit an die Definition des RadiusClients. In unserem Test war das,wie gesagt, der Cisco Switch. Umdiesen als Radius Client einzurichten, mussten wir ihm zunächst einen Namen geben, seineIPAdresse definieren und einShared Secret festlegen, um dieDatenübertragungen zwischenSwitch und Appliance abzusichern. Danach gaben wir an, dasses sich bei dem Gerät um eineCiscoLösung handelte und aktivierten den Support für Disconnect Messages.
Im nächsten Schritt wählten wirdie Location Group, die für die
Konfiguration zum Einsatz kommen sollte, damit war der Wizardabgeschlossen und die Konfiguration ging in Betrieb. Jetztmussten wir nur noch den CiscoSwitch so konfigurieren, dass er
Nach dem Login mit unserem Win
dowsTestclient überprüft die Client
Software von PulseSecure erst einmal
die Kompatibilität des Systems
Eine laufende Verbindung mit einem
WindowsClient
7
mit der PPSAppliance zusammenarbeitete. Dazu wechseltenwir auf die Kommandozeile desSwitches und führten dort die dafür erforderlichen Befehle aus.
Es würde den Rahmen diesesTests sprengen, im Detail auf jeden Befehl einzugehen. Das istauch nicht nötig, da das ganzeVorgehen recht gut in der Dokumentation beschrieben wurde. ImWesentlichen reicht es an dieserStelle aus, zu sagen, dass wir eine Radius ServerGruppe einrichten und die PPSApplianceals Radius Server definierenmussten. Danach war die Konfiguration abgeschlossen und dasSystem ging in Betrieb. Anschließend verhielt es sich so wieerwartet und oben beschrieben.
Das Layer 3EnforcementDie Pulse Policy SecureAppliance ist wie gesagt nicht nur dazu in der Lage, NACFunktionalitäten auf Layer 2 mit Hilfe eines kompatiblen Switches zukonfigurieren, sondern kann auchin Zusammenarbeit mit Firewallsvon Checkpoint, Fortinet, Juniperund Palo Alto das Netz auf Layer3Ebene absichern. In diesemFall fungieren die Firewalls genauso wie zuvor der Switch als
Enforcement Point. Auch hier authentifiziert die PPSAppliancedie Anwender, stellt sicher, dassdie Endpoints die SicherheitsPolicies erfüllen und leitet dann Benutzer beziehungsweise Geräteinformationen darüber, welcheRessourcen dem jeweiligen Anwender oder Gerät zur Verfügungstehen sollen, an die Firewallweiter.
Im Test verwendeten wir einevirtuelle FirewallAppliance vonPalo Alto. Die Konfigurationläuft ähnlich ab, wie bei demLayer 2Enforcement. Zunächststarteten wir im PPSKonfigurationswerkzeug den Wizard zumEinrichten des "Intranet Enforcers". Dieser wollte im Wesentlichen wissen, welche Firewall wirfür die Konfiguration verwendenwollten (mit Hersteller und IPAdresse sowie Zugriffsdaten)und welche Policy für das Mapping der AuthentifizierungsTables zum Einsatz kommen sollte.
Die Policy gibt in diesem Zusammenhang an, welche Firewall fürdie jeweilige User Role Verwendung findet. Auf diese Weise verhindert das System, dass die PPSauf allen angeschlossenen Firewalls teilweise unnötige Regelnerzeugt. Die genannte Regelkonnten wir gleich innerhalb desWizards definieren.
Sobald das erledigt war, wendeten wir uns der Konfiguration derFirewall selbst zu. Auch hierwürde es wieder den Rahmen desTests sprengen, im Detail daraufeinzugehen und auch hier werdendie einzelnen Schritte wieder imDetail in der Dokumentation beschrieben. Es genügt an dieserStelle zu sagen, dass wir in denZonen der Firewall die UserIdentification aktivieren mussten,
eine dynamische AdressGruppeanlegten und eine Sicherheitspolicy hinzufügten, die den Zugriffauf die Ressourcen regelte. Beider Policy lassen sich unter anderem auch Zeiträume für dieGültigkeit der Regel hinzufügenund ähnliches. Nach dem Abschluss der Konfiguration nahmen wir das System in Betriebund konnten auf die beschriebeneArt und Weise damit arbeiten.
FazitDie Pulse Policy SecureLösungkonnte uns im Test voll überzeugen. Das Produkt verfügt übereinen eindrucksvollen Funktionsumfang mit vielen mächtigenFeatures wie beispielsweise demHost Checking, dem EnterpriseOnboarding und dem Enforcement auf Layer 2 und 3 des OSISchichtenmodells. Außerdem arbeitet die Appliance auch mitvielen anderen Produkten aus derITSicherheit zusammen, an dieser Stelle seien nur exemplarischdie MDMLösungen von MobileIron, die Switches von Ciscound die Firewalls von Checkpoint sowie Palo Alto genannt.
Im Betrieb verhält sich das Produkt zuverlässig und unauffälligund die Konfiguration dürfteaufgrund der vorhandenen Wizards keinen Administratoren vorunüberwindliche Hindernissestellen. Eine gewisse Einarbeitungszeit ist zwar erforderlich,danach können die zuständigenITMitarbeiter die Sicherheit ihrer Netze aber deutlich erhöhen,weswegen sich der Aufwand inden meisten mittleren und großenUnternehmensumgebungen lohnen dürfte. Wegen des großenFunktionsumfangs verleihen wirdem Pulse Policy SecureProduktdas Prädikat "IAITested and recommended".
Der PulseSecureClient liefert im Be
trieb diverse Informationen über die
aktiven Sitzungen
8