WIXLIB

Lizenz und der Zertifikate, beimInstallieren von Updates, beimAnlegen von Authentifizierungs Servern für Gastbenutzer und beider Definition der Authentifizie rungs Realms sowie User Roles.Außerdem lassen sich über dieGuidance Seiten auch noch RoleMappings anlegen, die festlegen,welche Benutzerrollen welcheUser zugewiesen bekommen, ab hängig von ihrem Benutzerna men, ihrem Zertifikat oder einembenutzerdefinierten Ausdruck.oder, falls erforderlich, auch Zer tifikate zur Authentifizierung.Anschließend ist der Benutzerdann dazu in der Lage, die fürihn freigegebenen Unterneh mensressourcen zu verwenden,Die Guidance Einträge helfenzudem beim Sichern der Konfi guration und beim Definierenvon Ressource Access Policies,die festlegen, auf welche Res sourcen im Netz – also Anwen dungen, Server und so weiter –die Anwender und Gäste zugrei Der Host Checker bei der Arbeitfen dürfen. Der Eintrag "ManageUsers" unterstützt die Adminis ohne dass die IT Abteilung fürtratoren schließlich beim Anle die Konfiguration seines Endge gen und Verwalten von Benutzer räts aktiv werden muss.konten.Das Enterprise Onboarding funk Das Enterprise Onboardingtioniert mit Geräten unter Andro Kommen wir nun einmal im De id, iOS, MacOS und Windows,tail auf die wichtigsten Funktio wobei die beiden Apple Betriebs nen der PPS Lösung zu sprechen: systeme dazu in der Lage sind,Über das Enterprise Onboarding das Onboarding auch ohne dielassen sich fremde Geräte, die vorherige Installation des Pulse beispielsweise aufgrund von BY Secure Clientsdurchzuführen.OD Regelungen im Unterneh Im Test verwendeten wir als Cli mensnetz auftauchen, automati ents ein Huawei P9 unter Andro siert so konfigurieren, dass sie id 7 und eine Windows 10 Ma auf die Netzwerkumgebung zu schine.greifen können. Konkret siehtdas so aus, dass sich der Anwen Um das Onboarding einzurich der mit dem neuen Gerät über ein ten, müssen die zuständigen Mit Portal bei der PPS anmeldet und arbeiter diese Funktion zunächstanschließend bei Bedarf Softwa für die Benutzerrolle aktivieren,re, wie etwa den PulseSecure die die Anwender, die ihre Devi Client, auf seinem Endpoint in ces einbringen dürfen, verwen stallieren kann. Sobald dieser den. Das geht unter „Users / UserSchritt erledigt wurde, erhält das Roles / {Name der betroffenenSystem von der Appliance Konfi Benutzerrolle} / General / Over gurationsdaten für den Verbin view“. Nach dem Aktivieren ha dungsaufbau via VPN oder Wifi ben die zuständigen Mitarbeiter5Gelegenheit, auszuwählen, obdas System nach dem Benutzer Login eine Onboarding Seite an zeigt, über die der Anwenderdann das Onboarding startenkann, oder ob das System denPulseSecure Client automatischauf MacOS und Windows Rechnern einspielen soll. Alter nativ gibt es auch die Möglich keit, eine externe MDM Lösungfür das Onboarding mobiler Ge räte einzusetzen. Im Test ent schieden wir uns für die ersteOption.Jetzt konnte es daran gehen, dasOnboarding selbst einzurichten.Dazu wechseln die Administrato ren nach „Users / Enterprise On boarding“ und haben dort Gele genheit, einen SCEP Server indie Konfiguration einzubinden,Templates für Certificate SigningRequests anzulegen und Profilefür VPN beziehungsweise Wifi Verbindungen sowie Zertifikatezu erzeugen.Der SCEP Server (Simple Certi ficateEnrollmentProtocol)kommt in Verbindung mit denCertificate Signing Request Templates (CSR) zum Einsatz,

um den Endbenutzergeräten an hand der Zertifikatsprofile auto matisch jeweils eigene Zertifika te zur Verfügung zu stellen, mitdenen sich diese dann im Betriebbei der PPS Appliance oder ei nem Pulse Connect Secure Sys tem (ebenfalls von PulseSecure)authentifizieren können.Ein SCEP Server ist übrigensnicht die einzige Möglichkeit,Zertifikate an die Clients zu ver teilen. Es existieren auch Optio nen, ein globales Zertifikat zuimportieren, oder ein CA Zertifi kat zu verwenden. Das globaleZertifikat stellt das Zertifikat derPPS selbst dar. Die Verwendungvon CA Zertifikaten kann bei konnten die Zertifikate zur Au thentifizierung nutzen.Im nächsten Schritt erzeugten wirnoch ein VPN Profil, über dasdie Anwender Zugriff auf unsereRessourcenerhielten.Dazumussten wir lediglich einen Na men vergeben, sagen ob das Pro fil für Android oder iOS ClientsGültigkeit haben sollte und denVPN Gateway angeben. Im Testwar das unsere PPS Appliance.Zum Schluss legten wir nochfest, welcher Realm, welche Be nutzerrolle und welcher Userna me zum Einsatz kamen undwählten die Authentifizierungs methode (Zertifikate) aus. An stelle der Zertifikate ist auch eineBei der Konfiguration unserer Palo Alto Appliance verwendeten wir dreiNetzwerkinterfaces. Das Management Netz erscheint in dieser Übersicht nicht,nur die beiden Interfaces für interne und externe Zugriffespielsweise Sinn ergeben, wennes um den Einsatz in Wifi Profi len geht. Im Test verwendetenwir die Konfiguration mit demSCEP Server. Dazu gaben wir imWesentlichen seine URL und dasZugriffspasswort an und ludenein CSR Template hoch, das wirzuvor über das PPS Web Inter face erzeugt hatten. Anschließendwar die Verbindung aktiv und wirPasswort Authentifizierung mög lich, über die sich die Benutzerim Betrieb selbst beim VPN an melden können. Das gestaltetsich zwar nicht so komfortabel,erspart den Administratoren aberdie Arbeit mit der Zertifikats Konfiguration.Nachdem wir die genanntenSchritte durchgeführt hatten,6konnten wir uns mit unserenTest Clients bei dem Benutzer Portal anmelden und das On boarding durchführen. Die ganzeKonfiguration der genanntenFunktion nahm im Test wenigerals zehn Minuten in Anspruchund hinterließ bei uns einen sehrguten Eindruck.Host CheckingDie Host Checking Funktionlässt sich nutzen, um sicher zustellen, dass die Endbenutzersys teme bestimmte, zuvor festgeleg te, Voraussetzungen erfüllen, be vor sie Zugriff auf das Unterneh mensnetz erhalten. Dabei kann essich beispielsweise um das Vor handensein eines Antivirus Pro gramms mit aktuellen Virendefi nitionen, eine aktive Firewalloder auch um einen bestimmtenPatch Level handeln.Im Betrieb wird der Host Che cker während des Logins aktivund prüft, ob die vorgegebenenVoraussetzungen erfüllt werden.Falls ja, erteilt er den Zugriff aufdieUnternehmensressourcen,falls nein, sind die Administrato ren dazu in der Lage, eine Reme diation Page anzulegen, die In formationen und Links darüberenthält, was der Endanwendermachen muss, um sein Systemregelkonform zu gestalten, bei spielsweise durch das Aktivierender Firewall. Alternativ kann derHost Checker auch selbst versu chen, Compliance zu den Regelnherzustellen. Dazu hält er aufWunsch Prozesse an, löscht Da teien oder führt Aktionen durch,die zuvor im Rahmen einer Anti virus oder Firewall Policy defi niert wurden. Dazu später mehr.Im Test legten wir eine Host Checking Regel an, die über prüfte, on der Windows Defender

auf unserem Test Client aktiv undauf dem aktuellen Stand war. Da zu wechselten wir nach „Authen tication / Endpoint Security /Host Checker“ und erzeugten ei Nach dem Login mit unserem Win dows Testclient überprüft die Client Software von PulseSecure erst einmaldie Kompatibilität des Systemsne neue Antivirus Regel. Dort se lektierten wir den Eintrag „Re quire Specific Products“ undwählten dort den „Windows De fender“. Anschließend gaben wiran, dass das System die Virus De finition Files prüfen sollte undlegten fest, wie alt diese Datensein durften, bevor ein Alarmausgelöstwurde. Außerdemkonnten wir noch angeben, obdas System die Einhaltung derRegel nur während des Loginsoder auch während des Betriebsim Auge behalten sollte und wel che Remediation Aktionen derHost Checker im Fall der Nicht einhaltung der Policies durchzu führen hatte. Hier standen uns dieOptionen „Download the latestVirus Definition Files“, „Turn onReal Time Protection“ und „StartAntivirus Scan“ zur Verfügung.Wir wählten die beiden ersten ausund speicherten die Regel. BeiBedarf lassen sich auch mehrerePolicies in einer Regel zusam menfassen. Zum Schluss war esnur noch erforderlich, die neueRegel unter „Users / User Realms/ {Name der Benutzerrolle} / Au thentication Policy / Host Che cker“ zu aktivieren. Danach prüf te der Host Checker unseren Cli ent während des Logins und ließuns nur mit aktiver und aktuellerAntivirus Software ins Netz.Das Layer 2 EnforcementÜber das Layer 2 Enforcementlässt sich – wie bereits erwähnt –eine Umgebung konfigurieren,die nur authentifizierten Gerätenden Zugriff ins LAN erlaubt. Inunserem Netz verwendeten wirneben der Pulse Secure Applian ce beim Einrichten dieses Szena rios einen Cisco Catalyst 2960 C Switch, der dazu in der Lage war,das 802.1X Protokoll zu unter stützen.Wir planten im Test eine Konfi guration, in der sich der Anwen der über den Pulse Secure AccessClient auf seinem Rechner mitBenutzername und Passwort,Zertifikat oder Token beim Sys tem authentifiziert. Zunächstfragt dabei der Cisco Switch beider als Radius Server arbeitendenPolicy Secure Appliance nach,ob die Authentifizierung in Ord nung geht. Die Appliance und derEndpoint tauschen dann EAP Nachrichten durch den Switchaus. Läuft die Authentifizierungerfolgreich ab, so erhält der UserZugriff auf das Netz, indem dieAppliance dem Switch, der alsRadius Client arbeitet, mitteilt,dass er die vorhandenen Assetsnutzen darf.durch die KonfigurationLayer 2 AuthentifizierungBenutzersitzungen führt.derderIm ersten Schritt zeigt der WizardeinenWillkommensbildschirman, der die durchzuführendenSchritte beschreibt. Danach gehtes gleich in Medias Res und da mit an die Definition des RadiusClients. In unserem Test war das,wie gesagt, der Cisco Switch. Umdiesen als Radius Client einzu richten, mussten wir ihm zu nächst einen Namen geben, seineIP Adresse definieren und einShared Secret festlegen, um dieDatenübertragungenzwischenSwitch und Appliance abzusi chern. Danach gaben wir an, dasses sich bei dem Gerät um eineCisco Lösung handelte und akti vierten den Support für Dis connect Messages.Im nächsten Schritt wählten wirdie Location Group, die für dieEine laufende Verbindung mit einemIm Test verwendeten wir als Au Windows Clientthentifizierungsmethode Benut zername und Passwort. Um das Konfiguration zum Einsatz kom beschriebene Szenario umzuset men sollte, damit war der Wizardzen, steht im Konfigurations abgeschlossen und die Konfigu werkzeug der Pulse Policy Secu ration ging in Betrieb. Jetztre Appliance ein Wizard zur Ver mussten wir nur noch den Cisco fügung, der die Administratoren Switch so konfigurieren, dass er7

mit der PPS Appliance zusam menarbeitete. Dazu wechseltenwir auf die Kommandozeile desSwitches und führten dort die da für erforderlichen Befehle aus.Enforcement Point. Auch hier au thentifiziert die PPS Appliancedie Anwender, stellt sicher, dassdie Endpoints die Sicherheits Po licies erfüllen und leitet dann Be nutzer beziehungsweise Geräte informationen darüber, welcheRessourcen dem jeweiligen An wender oder Gerät zur Verfügungstehen sollen, an die Firewallweiter.Im Test verwendeten wir einevirtuelle Firewall Appliance vonPalo Alto. Die Konfigurationläuft ähnlich ab, wie bei demLayer 2 Enforcement. Zunächststarteten wir im PPS Konfigura tionswerkzeug den Wizard zumDer PulseSecure Client liefert im Be Einrichten des "Intranet Enfor trieb diverse Informationen über diecers". Dieser wollte im Wesentli aktiven Sitzungenchen wissen, welche Firewall wirEs würde den Rahmen dieses für die Konfiguration verwendenTests sprengen, im Detail auf je wollten (mit Hersteller und IP den Befehl einzugehen. Das ist Adresse sowie Zugriffsdaten)auch nicht nötig, da das ganze und welche Policy für das Map Vorgehen recht gut in der Doku ping der Authentifizierungs Ta mentation beschrieben wurde. Im bles zum Einsatz kommen sollte.Wesentlichen reicht es an dieserStelle aus, zu sagen, dass wir ei Die Policy gibt in diesem Zusam ne Radius Server Gruppe ein menhang an, welche Firewall fürrichten und die PPS Appliance die jeweilige User Role Verwen als Radius Server definieren dung findet. Auf diese Weise ver mussten. Danach war die Konfi hindert das System, dass die PPSguration abgeschlossen und das auf allen angeschlossenen Fire System ging in Betrieb. An walls teilweise unnötige Regelnschließend verhielt es sich so wie erzeugt. Die genannte Regelerwartet und oben beschrieben.konnten wir gleich innerhalb desWizards definieren.Das Layer 3 EnforcementDie Pulse Policy Secure App Sobald das erledigt war, wende liance ist wie gesagt nicht nur da ten wir uns der Konfiguration derzu in der Lage, NAC Funktiona Firewall selbst zu. Auch hierlitäten auf Layer 2 mit Hilfe ei würde es wieder den Rahmen desnes kompatiblen Switches zu Tests sprengen, im Detail daraufkonfigurieren, sondern kann auch einzugehen und auch hier werdenin Zusammenarbeit mit Firewalls die einzelnen Schritte wieder imvon Checkpoint, Fortinet, Juniper Detail in der Dokumentation be und Palo Alto das Netz auf Layer schrieben. Es genügt an dieser3 Ebene absichern. In diesem Stelle zu sagen, dass wir in denFall fungieren die Firewalls ge Zonen der Firewall die Usernauso wie zuvor der Switch als Identification aktivieren mussten,8eine dynamische Adress Gruppeanlegten und eine Sicherheitspo licy hinzufügten, die den Zugriffauf die Ressourcen regelte. Beider Policy lassen sich unter an derem auch Zeiträume für dieGültigkeit der Regel hinzufügenund ähnliches. Nach dem Ab schluss der Konfiguration nah men wir das System in Betriebund konnten auf die beschriebeneArt und Weise damit arbeiten.FazitDie Pulse Policy Secure Lösungkonnte uns im Test voll überzeu gen. Das Produkt verfügt übereinen eindrucksvollen Funkti onsumfang mit vielen mächtigenFeatures wie beispielsweise demHost Checking, dem EnterpriseOnboarding und dem Enforce ment auf Layer 2 und 3 des OSI Schichtenmodells. Außerdem ar beitet die Appliance auch mitvielen anderen Produkten aus derIT Sicherheit zusammen, an die ser Stelle seien nur exemplarischdie MDM Lösungen von Mobi leIron, die Switches von Ciscound die Firewalls von Check point sowie Palo Alto genannt.Im Betrieb verhält sich das Pro dukt zuverlässig und unauffälligund die Konfiguration dürfteaufgrund der vorhandenen Wi zards keinen Administratoren vorunüberwindlicheHindernissestellen. Eine gewisse Einarbei tungszeit ist zwar erforderlich,danach können die zuständigenIT Mitarbeiter die Sicherheit ih rer Netze aber deutlich erhöhen,weswegen sich der Aufwand inden meisten mittleren und großenUnternehmensumgebungen loh nen dürfte. Wegen des großenFunktionsumfangs verleihen wirdem Pulse Policy Secure Produktdas Prädikat "IAITested and re commended".

dukt mit externen Mobile Device Management Lösungen (Pulse Workspace sowie Lösungen von AirWatch, MobileIron und Mi crosoft) zusammenarbeitet, ist es zudem dazu in der Lage, Infor mationen von diesen Produkten zum Durchsetzen der NAC Poli cies (NetworkAccess Control) zu verwenden. Darüber hinaus kann es auch in viele vorhandene