von Redaktion IT-A…
Lesezeit
3 Minuten
IAIT-Test: Pulse Policy Secure von PulseSecure
Mit Pulse Policy Secure bietet PulseSecure ein Network Access Control-Produkt an, das genau steuert, wer beziehungsweise was wann auf ein Netzwerk zugreifen kann. Gleichzeitig behält die Lösung das Netz im Blick und ermöglicht so eine unternehmensweite Visibility sowie das Auditing und Monitoring der Netzwerkkomponenten. Das Produkt konnte sich im Testlabor beweisen.
Pulse Policy Secure (PPS) bringt neben einer identitätsbasierten Zugriffssteuerung ein Device Onboarding mit, über das sich BYOD-Geräte automatisch in Bezug auf die WiFi- und VPN-Einstellungen sowie die verwendete Software in eine Unternehmensumgebung integrieren lassen. Außerdem lässt sich die Lösung zum Sicherstellen der Compliance verwenden, da sie die Geräte im Netz erkennt, untersucht und überwacht – und das sowohl vor als auch während der Verbindung.
Umfassende Klassifizierungs-, Inspektions- und Logging-Funktionen helfen bei der Diagnose und Problemlösung. Um die Endpoints zu überwachen, setzt Pulse Policy Secure auf CDP/LLDP, DHCP-Fingerprinting, HTTP User Agent, MAC OUI, MDM, Nmap, SNMP und SNMP Traps sowie WMI.
Netzwerks- und Anwendungszugriffsschutz
PPS wendet auf den Netzwerkgeräten mit agenten- und agentenlosen Methoden Indentitäts-, Konfigurations-, Verhaltens- und Stateful Security-Bewertungen an. Dabei kann die Lösung – je nach Policy – den Zugriff auf Netzwerkressourcen erlauben, einschränken oder blockieren.
Das Enterprise Onboarding
Kommen wir nun im Detail auf die wichtigsten Funktionen der PPS-Lösung zu sprechen: Über das Enterprise Onboarding lassen sich fremde Geräte, die beispielsweise aufgrund von BYOD-Regelungen im Unternehmensnetz auftauchen, automatisiert so konfigurieren, dass sie auf die Netzwerkumgebung zugreifen können. Konkret sieht das so aus, dass sich der Anwender mit dem neuen Gerät über ein Portal bei der PPS anmeldet und anschließend bei Bedarf Software, wie etwa den PulseSecure-Client, auf seinem Endpoint installieren kann. Sobald dieser Schritt erledigt wurde, erhält das System von der Appliance Konfigurationsdaten für den Verbindungsaufbau via VPN oder Wifi oder, falls erforderlich, auch Zertifikate zur Authentifizierung. Anschließend ist der Benutzer dann dazu in der Lage, die für ihn freigegebenen Unternehmensressourcen zu verwenden, ohne dass die IT-Abteilung für die Konfiguration seines Endgeräts aktiv werden muss.
Das Enterprise Onboarding funktioniert mit Geräten unter Android, iOS, MacOS und Windows. Im Test verwendeten wir als Clients ein Huawei P9 unter Android 7 und eine Windows 10-Maschine.
Um das Onboarding einzurichten, müssen die zuständigen Mitarbeiter diese Funktion zunächst für die Benutzerrolle aktivieren, die die Anwender, die ihre Devices einbringen dürfen, verwenden. Nach dem Aktivieren haben die zuständigen Mitarbeiter Gelegenheit, auszuwählen, ob das System nach dem Benutzer-Login eine Onboarding-Seite anzeigt, über die der Anwender dann das Onboarding starten kann, oder ob das System den PulseSecure-Client automatisch einspielen soll. Im Test entschieden wir uns für die erste Option.
Jetzt konnte es daran gehen, das Onboarding selbst einzurichten. Dazu wechseln die Administratoren nach „Users / Enterprise Onboarding“ und haben dort Gelegenheit, einen SCEP-Server in die Konfiguration einzubinden, Templates für Certificate Signing Requests anzulegen und Profile für VPN- beziehungsweise Wifi-Verbindungen sowie Zertifikate zu erzeugen.
Der SCEP-Server (Simple Certificate Enrollment Protocol) kommt in Verbindung mit den Certificate-Signing-Request-Templates (CSR) zum Einsatz, um den Endbenutzergeräten anhand der Zertifikatsprofile automatisch jeweils eigene Zertifikate zur Verfügung zu stellen, mit denen sich diese dann im Betrieb bei der PPS-Appliance authentifizieren können.
Ein SCEP-Server ist übrigens nicht die einzige Möglichkeit, Zertifikate an die Clients zu verteilen. Es existieren auch Optionen, ein globales Zertifikat zu importieren, oder ein CA-Zertifikat zu verwenden. Das globale Zertifikat stellt das Zertifikat der PPS selbst dar. Die Verwendung von CA-Zertifikaten kann beispielsweise Sinn ergeben, wenn es um den Einsatz in Wifi-Profilen geht. Im Test verwendeten wir die Konfiguration mit dem SCEP-Server. Dazu gaben wir im Wesentlichen seine URL und das Zugriffspasswort an und luden ein CSR-Template hoch, das wir zuvor über das PPS-Web-Interface erzeugt hatten. Anschließend war die Verbindung aktiv und wir konnten die Zertifikate zur Authentifizierung nutzen.
Im nächsten Schritt erzeugten wir noch ein VPN-Profil, über das die Anwender Zugriff auf unsere Ressourcen erhielten. Zum Schluss legten wir noch fest, welcher Realm, welche Benutzerrolle und welcher Username zum Einsatz kamen und wählten die Authentifizierungsmethode (Zertifikate) aus.
Nachdem wir die genannten Schritte durchgeführt hatten, konnten wir uns mit unseren Test-Clients bei dem Benutzer-Portal anmelden und das Onboarding durchführen. Die Konfiguration der genannten Funktion nahm im Test weniger als zehn Minuten in Anspruch und hinterließ bei uns einen sehr guten Eindruck.
Seite 1: Das Enterprise Onboarding
Seite 2: Host Checking und Layer 2/3-Enforcement
Dr. Götz Güttich, Institut zur Analyse von IT-Komponenten (IAIT)
Umfassende Klassifizierungs-, Inspektions- und Logging-Funktionen helfen bei der Diagnose und Problemlösung. Um die Endpoints zu überwachen, setzt Pulse Policy Secure auf CDP/LLDP, DHCP-Fingerprinting, HTTP User Agent, MAC OUI, MDM, Nmap, SNMP und SNMP Traps sowie WMI.
Netzwerks- und Anwendungszugriffsschutz
PPS wendet auf den Netzwerkgeräten mit agenten- und agentenlosen Methoden Indentitäts-, Konfigurations-, Verhaltens- und Stateful Security-Bewertungen an. Dabei kann die Lösung – je nach Policy – den Zugriff auf Netzwerkressourcen erlauben, einschränken oder blockieren.
Zum Schützen des Netzwerks und der darin vorhandenen Applikationen sowie Dienste verwendet Pulse Policy Secure verschiedene Ansätze. Dazu gehört eine rollenbasierte Absicherung auf Anwendungsebene. Dabei kommuniziert das System mit Next Generation Firewalls von Checkpoint, Fortinet, Juniper und Palo Alto Networks. Auf diese Weise ist es unter anderem möglich die Bandbreiten für bestimmte Anwendungen zu beschränken.
Der Test
Im Test installierten wir zunächst eine virtuelle Appliance mit Pulse Policy Secure in unserem Netz. Anschließend nahmen wir die Funktionen zum Device Onboarding und zum Host Checking unter die Lupe. Darüber hinaus setzen die Lösung in Kombination mit einem WS-C2960C-8TC-S-Switch von Cisco ein, um Layer 2-Funktionen, wie die Arbeit mit 802.1X zu analysieren. Auch die Layer 3-Features mit der dynamischen Firewall-Konfiguration blieben im Test nicht außen vor: Dazu verwendeten wir eine virtuelle Firewall-Appliance von Palo Alto unter PAN-OS 7.1.
Im Test installierten wir zunächst eine virtuelle Appliance mit Pulse Policy Secure in unserem Netz. Anschließend nahmen wir die Funktionen zum Device Onboarding und zum Host Checking unter die Lupe. Darüber hinaus setzen die Lösung in Kombination mit einem WS-C2960C-8TC-S-Switch von Cisco ein, um Layer 2-Funktionen, wie die Arbeit mit 802.1X zu analysieren. Auch die Layer 3-Features mit der dynamischen Firewall-Konfiguration blieben im Test nicht außen vor: Dazu verwendeten wir eine virtuelle Firewall-Appliance von Palo Alto unter PAN-OS 7.1.
Das Enterprise Onboarding
Kommen wir nun im Detail auf die wichtigsten Funktionen der PPS-Lösung zu sprechen: Über das Enterprise Onboarding lassen sich fremde Geräte, die beispielsweise aufgrund von BYOD-Regelungen im Unternehmensnetz auftauchen, automatisiert so konfigurieren, dass sie auf die Netzwerkumgebung zugreifen können. Konkret sieht das so aus, dass sich der Anwender mit dem neuen Gerät über ein Portal bei der PPS anmeldet und anschließend bei Bedarf Software, wie etwa den PulseSecure-Client, auf seinem Endpoint installieren kann. Sobald dieser Schritt erledigt wurde, erhält das System von der Appliance Konfigurationsdaten für den Verbindungsaufbau via VPN oder Wifi oder, falls erforderlich, auch Zertifikate zur Authentifizierung. Anschließend ist der Benutzer dann dazu in der Lage, die für ihn freigegebenen Unternehmensressourcen zu verwenden, ohne dass die IT-Abteilung für die Konfiguration seines Endgeräts aktiv werden muss.
Das Enterprise Onboarding funktioniert mit Geräten unter Android, iOS, MacOS und Windows. Im Test verwendeten wir als Clients ein Huawei P9 unter Android 7 und eine Windows 10-Maschine.
Um das Onboarding einzurichten, müssen die zuständigen Mitarbeiter diese Funktion zunächst für die Benutzerrolle aktivieren, die die Anwender, die ihre Devices einbringen dürfen, verwenden. Nach dem Aktivieren haben die zuständigen Mitarbeiter Gelegenheit, auszuwählen, ob das System nach dem Benutzer-Login eine Onboarding-Seite anzeigt, über die der Anwender dann das Onboarding starten kann, oder ob das System den PulseSecure-Client automatisch einspielen soll. Im Test entschieden wir uns für die erste Option.
Bild 1: Die Einbindung des SCEP-Servers für die Zertifikatsvergabe beim Enterprise Onboarding.
Jetzt konnte es daran gehen, das Onboarding selbst einzurichten. Dazu wechseln die Administratoren nach „Users / Enterprise Onboarding“ und haben dort Gelegenheit, einen SCEP-Server in die Konfiguration einzubinden, Templates für Certificate Signing Requests anzulegen und Profile für VPN- beziehungsweise Wifi-Verbindungen sowie Zertifikate zu erzeugen.
Der SCEP-Server (Simple Certificate Enrollment Protocol) kommt in Verbindung mit den Certificate-Signing-Request-Templates (CSR) zum Einsatz, um den Endbenutzergeräten anhand der Zertifikatsprofile automatisch jeweils eigene Zertifikate zur Verfügung zu stellen, mit denen sich diese dann im Betrieb bei der PPS-Appliance authentifizieren können.
Ein SCEP-Server ist übrigens nicht die einzige Möglichkeit, Zertifikate an die Clients zu verteilen. Es existieren auch Optionen, ein globales Zertifikat zu importieren, oder ein CA-Zertifikat zu verwenden. Das globale Zertifikat stellt das Zertifikat der PPS selbst dar. Die Verwendung von CA-Zertifikaten kann beispielsweise Sinn ergeben, wenn es um den Einsatz in Wifi-Profilen geht. Im Test verwendeten wir die Konfiguration mit dem SCEP-Server. Dazu gaben wir im Wesentlichen seine URL und das Zugriffspasswort an und luden ein CSR-Template hoch, das wir zuvor über das PPS-Web-Interface erzeugt hatten. Anschließend war die Verbindung aktiv und wir konnten die Zertifikate zur Authentifizierung nutzen.
Im nächsten Schritt erzeugten wir noch ein VPN-Profil, über das die Anwender Zugriff auf unsere Ressourcen erhielten. Zum Schluss legten wir noch fest, welcher Realm, welche Benutzerrolle und welcher Username zum Einsatz kamen und wählten die Authentifizierungsmethode (Zertifikate) aus.
Nachdem wir die genannten Schritte durchgeführt hatten, konnten wir uns mit unseren Test-Clients bei dem Benutzer-Portal anmelden und das Onboarding durchführen. Die Konfiguration der genannten Funktion nahm im Test weniger als zehn Minuten in Anspruch und hinterließ bei uns einen sehr guten Eindruck.
Seite 1: Das Enterprise Onboarding
Seite 2: Host Checking und Layer 2/3-Enforcement
| Seite 1 von 2 | Nächste Seite >> |
Dr. Götz Güttich, Institut zur Analyse von IT-Komponenten (IAIT)
