Lesezeit
3 Minuten
Seite 2 - IAIT-Test: Pulse Policy Secure von PulseSecure
Host Checking
Die Host Checking-Funktion lässt sich nutzen, um sicher zu stellen, dass die Endbenutzersysteme bestimmte, zuvor festgelegte, Voraussetzungen erfüllen, bevor sie Zugriff auf das Unternehmensnetz erhalten. Dabei kann es sich beispielsweise um das Vorhandensein eines Antivirus-Programms mit aktuellen Virendefinitionen oder eine aktive Firewall handeln.
Im Betrieb wird der Host Checker während des Logins aktiv und prüft, ob die vorgegebenen Voraussetzungen erfüllt werden. Falls ja, erteilt er den Zugriff auf die Unternehmensressourcen, falls nein, sind die Administratoren dazu in der Lage, eine Remediation Page anzulegen, die Informationen und Links darüber enthält, was der Endanwender machen muss, um sein System regelkonform zu gestalten. Alternativ kann der Host Checker auch selbst versuchen, Compliance zu den Regeln herzustellen.
Im Test legten wir eine Host-Checking-Regel an, die überprüfte, on der Windows Defender auf unserem Test-Client aktiv und auf dem aktuellen Stand war. Dazu wechselten wir nach „Authentication / Endpoint Security / Host Checker“ und erzeugten eine neue Antivirus-Regel. Dort selektierten wir den Eintrag „Require Specific Products“ und wählten dort den „Windows Defender“. Anschließend gaben wir an, dass das System die Virus Definition Files prüfen sollte und legten fest, wie alt diese Daten sein durften, bevor ein Alarm ausgelöst wurde.
Zum Schluss war es nur noch erforderlich, die neue Regel unter „Users / User Realms / {Name der Benutzerrolle} / Authentication Policy / Host Checker“ zu aktivieren. Danach prüfte der Host Checker unseren Client während des Logins und ließ uns nur mit aktiver und aktueller Antivirus-Software ins Netz.
Das Layer 2-Enforcement
Über das Layer 2-Enforcement lässt sich – wie bereits erwähnt – eine Umgebung konfigurieren, die nur authentifizierten Geräten den Zugriff ins LAN erlaubt. In unserem Netz verwendeten wir neben der Pulse Secure-Appliance beim Einrichten dieses Szenarios einen Cisco Catalyst 2960-C-Switch, der dazu in der Lage war, das 802.1X-Protokoll zu unterstützen.
Wir planten im Test eine Konfiguration, in der sich der Anwender über den Pulse Secure Access Client auf seinem Rechner mit Benutzername und Passwort, Zertifikat oder Token beim System authentifiziert. Zunächst fragt dabei der Cisco-Switch bei der als Radius Server arbeitenden Policy Secure-Appliance nach, ob die Authentifizierung in Ordnung geht. Die Appliance und der Endpoint tauschen dann EAP-Nachrichten durch den Switch aus. Läuft die Authentifizierung erfolgreich ab, so erhält der User Zugriff auf das Netz, indem die Appliance dem Switch, der als Radius Client arbeitet, mitteilt, dass er die vorhandenen Assets nutzen darf.
Im Test verwendeten wir als Authentifizierungsmethode Benutzername und Passwort. Um das beschriebene Szenario umzusetzen, steht im Konfigurationswerkzeug der Pulse Policy Secure-Appliance ein Wizard zur Verfügung, der die Administratoren durch die Konfiguration der Layer-2-Authentifizierung der Benutzersitzungen führt.
Nach dem Abarbeiten dieses Assistenten und der in der Dokumentation detailliert beschriebenen Konfiguration des Cisco-Switches war die Einrichtung abgeschlossen und das System ging in Betrieb. Anschließend verhielt es sich so wie erwartet und oben beschrieben.
Das Layer 3-Enforcement
Die Pulse Policy Secure-Appliance ist wie gesagt nicht nur dazu in der Lage, NAC-Funktionalitäten auf Layer 2 mit Hilfe eines kompatiblen Switches zu konfigurieren, sondern kann auch in Zusammenarbeit mit den bereits erwähnten Firewalls das Netz auf Layer 3-Ebene absichern. In diesem Fall fungieren die Firewalls genauso wie zuvor der Switch als Enforcement Point.
Auch hier authentifiziert die PPS-Appliance die Anwender, stellt sicher, dass die Endpoints die Sicherheits-Policies erfüllen und leitet dann Benutzer- beziehungsweise Geräteinformationen darüber, welche Ressourcen dem jeweiligen Anwender oder Gerät zur Verfügung stehen sollen, an die Firewall weiter.
Im Test verwendeten wir eine virtuelle Firewall-Appliance von Palo Alto. Die Konfiguration läuft ähnlich ab, wie bei dem Layer 2-Enforcement. Wir arbeiteten dazu wieder einen Assistenten ab und konfigurierten die Firewall entsprechend der Vorgaben in der Dokumentation. Dabei konnten wir unter anderem Zeiträume für die Gültigkeit der Firewall-Regeln festlegen. Nach dem Abschluss dieser Tätigkeiten nahmen wir das System in Betrieb und konnten auf die beschriebene Art und Weise damit arbeiten.
Fazit
Die Pulse Policy Secure-Lösung konnte uns im Test überzeugen. Das Produkt verfügt über einen eindrucksvollen Funktionsumfang mit vielen mächtigen Features. Außerdem arbeitet die Appliance auch mit vielen anderen Produkten aus der IT-Sicherheit zusammen, an dieser Stelle seien nur exemplarisch die MDM-Lösungen von MobileIron, die Switches von Cisco und die Firewalls von Checkpoint sowie Palo Alto genannt.
Im Betrieb verhält sich das Produkt zuverlässig und unauffällig. Auch die Konfiguration dürfte aufgrund der vorhandenen Wizards keinen Administratoren vor unüberwindliche Hindernisse stellen. Eine gewisse Einarbeitungszeit ist zwar erforderlich, danach können die zuständigen IT-Mitarbeiter die Sicherheit ihrer Netze aber deutlich erhöhen, weswegen sich der Aufwand in den meisten mittleren und großen Unternehmensumgebungen lohnen dürfte.
Seite 1: Das Enterprise Onboarding
Seite 2: Host Checking und Layer 2/3-Enforcement
Dr. Götz Güttich, Institut zur Analyse von IT-Komponenten (IAIT)
[1] Langversion des PulseSecure-Tests
Die Host Checking-Funktion lässt sich nutzen, um sicher zu stellen, dass die Endbenutzersysteme bestimmte, zuvor festgelegte, Voraussetzungen erfüllen, bevor sie Zugriff auf das Unternehmensnetz erhalten. Dabei kann es sich beispielsweise um das Vorhandensein eines Antivirus-Programms mit aktuellen Virendefinitionen oder eine aktive Firewall handeln.
Im Betrieb wird der Host Checker während des Logins aktiv und prüft, ob die vorgegebenen Voraussetzungen erfüllt werden. Falls ja, erteilt er den Zugriff auf die Unternehmensressourcen, falls nein, sind die Administratoren dazu in der Lage, eine Remediation Page anzulegen, die Informationen und Links darüber enthält, was der Endanwender machen muss, um sein System regelkonform zu gestalten. Alternativ kann der Host Checker auch selbst versuchen, Compliance zu den Regeln herzustellen.
Im Test legten wir eine Host-Checking-Regel an, die überprüfte, on der Windows Defender auf unserem Test-Client aktiv und auf dem aktuellen Stand war. Dazu wechselten wir nach „Authentication / Endpoint Security / Host Checker“ und erzeugten eine neue Antivirus-Regel. Dort selektierten wir den Eintrag „Require Specific Products“ und wählten dort den „Windows Defender“. Anschließend gaben wir an, dass das System die Virus Definition Files prüfen sollte und legten fest, wie alt diese Daten sein durften, bevor ein Alarm ausgelöst wurde.
Zum Schluss war es nur noch erforderlich, die neue Regel unter „Users / User Realms / {Name der Benutzerrolle} / Authentication Policy / Host Checker“ zu aktivieren. Danach prüfte der Host Checker unseren Client während des Logins und ließ uns nur mit aktiver und aktueller Antivirus-Software ins Netz.
Das Layer 2-Enforcement
Über das Layer 2-Enforcement lässt sich – wie bereits erwähnt – eine Umgebung konfigurieren, die nur authentifizierten Geräten den Zugriff ins LAN erlaubt. In unserem Netz verwendeten wir neben der Pulse Secure-Appliance beim Einrichten dieses Szenarios einen Cisco Catalyst 2960-C-Switch, der dazu in der Lage war, das 802.1X-Protokoll zu unterstützen.
Wir planten im Test eine Konfiguration, in der sich der Anwender über den Pulse Secure Access Client auf seinem Rechner mit Benutzername und Passwort, Zertifikat oder Token beim System authentifiziert. Zunächst fragt dabei der Cisco-Switch bei der als Radius Server arbeitenden Policy Secure-Appliance nach, ob die Authentifizierung in Ordnung geht. Die Appliance und der Endpoint tauschen dann EAP-Nachrichten durch den Switch aus. Läuft die Authentifizierung erfolgreich ab, so erhält der User Zugriff auf das Netz, indem die Appliance dem Switch, der als Radius Client arbeitet, mitteilt, dass er die vorhandenen Assets nutzen darf.
Im Test verwendeten wir als Authentifizierungsmethode Benutzername und Passwort. Um das beschriebene Szenario umzusetzen, steht im Konfigurationswerkzeug der Pulse Policy Secure-Appliance ein Wizard zur Verfügung, der die Administratoren durch die Konfiguration der Layer-2-Authentifizierung der Benutzersitzungen führt.
Nach dem Abarbeiten dieses Assistenten und der in der Dokumentation detailliert beschriebenen Konfiguration des Cisco-Switches war die Einrichtung abgeschlossen und das System ging in Betrieb. Anschließend verhielt es sich so wie erwartet und oben beschrieben.
Das Layer 3-Enforcement
Die Pulse Policy Secure-Appliance ist wie gesagt nicht nur dazu in der Lage, NAC-Funktionalitäten auf Layer 2 mit Hilfe eines kompatiblen Switches zu konfigurieren, sondern kann auch in Zusammenarbeit mit den bereits erwähnten Firewalls das Netz auf Layer 3-Ebene absichern. In diesem Fall fungieren die Firewalls genauso wie zuvor der Switch als Enforcement Point.
Bild 2: Bei der Konfiguration unserer Palo Alto-Appliance verwendeten wir drei Netzwerkinterfaces.
Das Management-Netz erscheint in dieser Übersicht nicht, nur die beiden Interfaces für interne und externe Zugriffe.
Das Management-Netz erscheint in dieser Übersicht nicht, nur die beiden Interfaces für interne und externe Zugriffe.
Auch hier authentifiziert die PPS-Appliance die Anwender, stellt sicher, dass die Endpoints die Sicherheits-Policies erfüllen und leitet dann Benutzer- beziehungsweise Geräteinformationen darüber, welche Ressourcen dem jeweiligen Anwender oder Gerät zur Verfügung stehen sollen, an die Firewall weiter.
Im Test verwendeten wir eine virtuelle Firewall-Appliance von Palo Alto. Die Konfiguration läuft ähnlich ab, wie bei dem Layer 2-Enforcement. Wir arbeiteten dazu wieder einen Assistenten ab und konfigurierten die Firewall entsprechend der Vorgaben in der Dokumentation. Dabei konnten wir unter anderem Zeiträume für die Gültigkeit der Firewall-Regeln festlegen. Nach dem Abschluss dieser Tätigkeiten nahmen wir das System in Betrieb und konnten auf die beschriebene Art und Weise damit arbeiten.
Fazit
Die Pulse Policy Secure-Lösung konnte uns im Test überzeugen. Das Produkt verfügt über einen eindrucksvollen Funktionsumfang mit vielen mächtigen Features. Außerdem arbeitet die Appliance auch mit vielen anderen Produkten aus der IT-Sicherheit zusammen, an dieser Stelle seien nur exemplarisch die MDM-Lösungen von MobileIron, die Switches von Cisco und die Firewalls von Checkpoint sowie Palo Alto genannt.
Im Betrieb verhält sich das Produkt zuverlässig und unauffällig. Auch die Konfiguration dürfte aufgrund der vorhandenen Wizards keinen Administratoren vor unüberwindliche Hindernisse stellen. Eine gewisse Einarbeitungszeit ist zwar erforderlich, danach können die zuständigen IT-Mitarbeiter die Sicherheit ihrer Netze aber deutlich erhöhen, weswegen sich der Aufwand in den meisten mittleren und großen Unternehmensumgebungen lohnen dürfte.
Seite 1: Das Enterprise Onboarding
Seite 2: Host Checking und Layer 2/3-Enforcement
<< Vorherige Seite | Seite 2 von 2 |
Dr. Götz Güttich, Institut zur Analyse von IT-Komponenten (IAIT)
[1] Langversion des PulseSecure-Tests