Pulse Policy Secure (PPS) bringtneben einer identitätsbasiertenZugriffssteuerung ein DeviceOnboarding mit, über das sichBYOD­Geräte automatisch inBezug auf die WiFi­ und VPN­Einstellungen sowie die verwen­dete Software in eine Unterneh­mensumgebung integrieren las­sen. Außerdem lässt sich die Lö­sung zum Sicherstellen der Com­pliance verwenden, da sie dieGeräte im Netz erkennt, unter­

sucht und überwacht und den Si­cherheitsstatus der Endpoints so­wohl vor dem Aufbau als auchwährend der Verbindungen im

Auge behält. Die Konfigurationerfolgt über ein zentrales Verwal­tungswerkzeug mit vielen Assis­tenten und Vorlagen und sollte

deshalb verhältnismäßig unpro­blematisch ablaufen. Da das Pro­dukt mit externen Mobile DeviceManagement­Lösungen (Pulse

Workspace sowie Lösungen vonAirWatch, MobileIron und Mi­crosoft) zusammenarbeitet, ist eszudem dazu in der Lage, Infor­mationen von diesen Produktenzum Durchsetzen der NAC­Poli­cies (Network Access Control) zuverwenden. Darüber hinaus kannes auch in viele vorhandeneKomponenten integriert werden,wie das Active Directory, Fire­walls, IDS­Lösungen, SIEM­Produkte, Switches und WLAN­Controller.

Umfassende Klassifizierungs­,Inspektions­ und Logging­Funk­tionen helfen beim Inventory undder Überwachung der Geräte so­wie beim Troubleshooting vonProblemen wie zum BeispielCompliance­Verletzungen benö­tigter Anwendungen. Das "PatchAssessment" sorgt dafür, dass aufden Endgeräten immer die

Im Test: Pulse Policy Secure von PulseSecure

Flexible NAC­Lösung für Network

Dr. Götz Güttich

Mit Pulse Policy Secure bietet PulseSecure ein Network Access Control­Produkt an,das genau steuert, wer beziehungsweise was wann auf ein Netzwerk zugreifenkann. Gleichzeitig behält die Lösung das Netz im Blick und ermöglicht so eine

unternehmensweite Visibility sowie das Auditing und Monitoring derNetzwerkkomponenten. Das Produkt konnte im Testlabor zeigen,

was in ihm steckt.

1

Visibility und Zugriffskontrolle

Die Appliance während der Installation

neuesten Applikationen und letz­ten Upgrades laufen. Sollte daseinmal nicht der Fall sein, so löstdas Patch Assessment über Sys­tem Management Server (SMS)beziehungsweise System CenterConfiguration Manager (SCCM)Update­Vorgänge aus. Um dieEndpoints zu überwachen, setztPulse Policy Secure aufCDP/LLDP, DHCP­Fingerprin­ting, HTTP User Agent, MACOUI, MDM, Nmap, SNMP undSNMP Traps sowie WMI. Aufdiese Weise bleibt das Systemstets auf dem aktuellen Stand undkennt den Status der verbunde­nen Geräte.

Netzwerks­ und Anwendungs­zugriffsschutzPPS wendet auf den Netzwerkge­räten mit agenten­ und agentenlo­sen Methoden Indentitäts­, Kon­figurations­, Verhaltens­ undStateful Security­Bewertungenan. Dabei kann die Lösung – jenach Policy – den Zugriff aufNetzwerkressourcen erlauben,einschränken oder blockieren.

Zum Schützen des Netzwerksund der darin vorhandenen Ap­plikationen sowie Dienste ver­

wendet Pulse Policy Secure ver­schiedene Ansätze. Dazu gehört

eine rollenbasierte Absicherungauf Anwendungsebene. Dabeikommuniziert das System mitNext Generation Firewalls vonCheckpoint, Fortinet, Juniper undPalo Alto Networks. Auf dieseWeise ist es unter anderem mög­lich, die Gültigkeit der Firewall­

Regeln für bestimmte Benutzeroder Geräte abhängig von der Ta­geszeit zu modifizieren und die

Bandbreiten für bestimmte An­wendungen zu beschränken. Die

Zugriffe im Netz sind also gra­nular steuerbar.

Zur Authentifizierung externerBenutzer stellt das Produkt einCaptive Portal bereit. In Zusam­menarbeit mit der Pulse ConnectSecure SSL­VPN­Lösung desgleichen Herstellers lassen sichauch Remote Access­User naht­los einbinden. Zur Authentifizie­rung kommen neben einem loka­len Login mit Passörtern bei Be­darf auch 802.1X, CA Site Min­der, LDAP, Microsoft Active Di­rectory, NIS, Radius, RSA Au­thentication Manager und RSAClear Trust zum Einsatz.

Da die Lösung auch mit offenenStandards für die Netzwerkzu­griffskontrolle und Sicherheit wieTNC IF­MAP und TNC SOH ar­beitet, lässt sie sich auf dieseWeise auch in die Netzwerk­ undSicherheitsprodukte vieler weite­rer Hersteller integrieren. Eineautomatische Threat Response,die aktiv wird, sobald das Systemeine Bedrohung erkennt, rundet

2

Über die Profiling­Funktion erkennt die PPS­Appliance die im Netz vorhande­nen Komponenten

Einige grundlegende Administrationsarbeiten lassen sich direkt auf der Kom­

mandozeile der Appliance durchführen

den Leistungsumfang der PulsePolicy Secure­Lösung ab.

Der TestIm Test installierten wir zunächsteine virtuelle Appliance mit Pul­se Policy Secure in unserem Netzund machten uns mit dem Leis­

tungsumfang der Lösung und denvorhandenen Assistenten ver­traut. Außerdem nahmen wir dieFunktionen zum Device Onboar­ding, zum Host Checking undzum Profiling unter die Lupe.

Darüber hinaus befassten wir unsauch noch mit den Gastzugängenund setzen die Lösung in Kombi­nation mit einem WS­C2960C­8TC­S­Switch von Cisco ein, umLayer 2­Funktionen, wie die Ar­beit mit 802.1X zu analysieren.Auch die Layer 3­Features mitder dynamischen Firewall­Konfi­guration blieben im Test nicht au­ßen vor: Dazu verwendeten wireine virtuelle Firewall­Appliancevon Palo Alto Networks unterPAN­OS 7.1.

InstallationDie Installation der virtuellenPPS­Appliance gestaltete sichverhältnismäßig einfach. DerHersteller hatte uns für den Testzu diesem Zweck eine virtuelleMaschine (VM) auf OVF­Basiszur Verfügung gestellt, die wir

auf einem Vmware ESXi­Systemmit der Version 6.7 importierten.

Der verwendete Host verfügteüber eine Intel i7­8­Core­CPUund 32 GByte RAM. Für die VMbenötigten wir aber nur zweiCPU­Kerne und zwei GByte Ar­beitsspeicher. Nachdem der Im­port abgeschlossen war, fuhrenwir die Appliance hoch, worauf­hin diese sofort automatisch mitder Installation der Pulse PolicySecure­Lösung begann.

Die Setup­Routine arbeitet imGroßen und Ganzen ohne Inter­aktion mit dem Administrator,wir mussten im Test im Wesentli­chen nur die Konfiguration fürdas interne Netzwerkinterface

vornehmen und ein Administra­torkonto definieren. Nach demAbschluss des Setups, das aufunserem System nur ein paar Mi­nuten in Anspruch nahm, konntenwir uns beim Konfigurations­In­terface der Lösung unter htt­ps://{IP­Adresse der Applian­ce}/admin mit unserem kurz zu­vor angelegten Administrator­konto anmelden. Sobald das erle­digt war, spielten wir zunächsteinmal die Testlizenz ein, die unsder Hersteller zuvor geliefert hat­te und brachten das System dannmit einer Patch­Datei auf die zumTestzeitpunkt aktuelle Version9.0R1. Danach war die Lösungeinsatzbereit.

InbetriebnahmeUm den IT­Mitarbeitern die In­betriebnahme der Lösung zu er­leichtern, hat PulseSecure in dasWeb­Interface des Produkts einen„Initial Setup Wizard“ integriert.Dieser lässt sich nicht nur nutzen,um die Zeitzone und den NTP­Server festzulegen, sondern kannauch zum Einsatz kommen, umandere Funktionen wie das Profi­ling zu konfigurieren. Letzteresidentifiziert und klassifiziert dy­namisch die verwalteten undnicht verwalteten Endpoints imNetz und ermöglicht es so, denZugriff auf das Netz und die dar­in enthaltenen Ressourcen aufBasis des Geräte­Typs und derjeweiligen Konfiguration zusteuern.

Damit das Profiling funktioniert,müssen die zuständigen Mitar­beiter eine so genannte Finger­print­Database auf die Appliancehochzuladen, die beim Herstellerbezogen werden kann. Nach demHochladen dieser Datenbank liefdas Profiling wie erwartet. PPSunterstützt bei Bedarf übrigensauch selbstdefinierte Klassifika­

3

Zu Authentifizierung lassen sich unter anderem auch Active Directory­Server

nutzen

tionen. Im nächsten Schritt desEinrichtungsassistenten ging esan die Konfiguration des Layer­2­Enforcements.

Dieses steuert den Netzwerkzu­griff von dem Moment an, zudem sich ein Anwender mit demNetz verbindet. In einem kabel­basierten Netz, wie in unseremTest, erfolgt diese Steuerung anden Switch Ports, in einem draht­losen Netz über den Wireless Ac­cess Point. Die Zugriffssteuerungläuft im Betrieb über das Authen­tifizierungsprotokoll 802.1X ab.Der verwendete Switch oder Ac­cess Point muss dieses also be­herrschen. Außerdem kommtnoch Radius zum Einsatz, derRadius­Server kann hierbei diePPS­Appliance sein. Neben der802.1X­Authentifizierung unter­stützt das System bei Bedarfauch MAC­ und SNMP­Authen­tication. Auf das Layer 2­Enfor­cement gehen wir später noch ge­nauer ein.

Der Initial Setup Wizard lässtsich zusätzlich übrigens auchnutzen, um Gastzugänge einzu­richten. Dabei können die Admi­nistratoren unter anderem ein Ad­ministratorkonto für die Gastzu­gänge definieren und die Regis­trierungsfunktion aktivieren, diees Gästen ermöglicht, sich selbstbei dem System einzutragen. ImTest ergaben sich anschließendbei der Arbeit mit Gastkontenkeine Probleme.

Die ZugriffsregelnEin weiterer Assistent hilft denAdministratoren dabei, Zugriffs­Policies für die Benutzer anzule­gen. Dazu ist es in der Regel zu­nächst einmal erforderlich, Au­thentifizierungs­Server zu defi­nieren. Zur Authentifizierung derBenutzer und Geräte unterstützt

die PPS­Appliance an dieserStelle das Microsoft Active Di­rectory und LDAP, wobei LDAPzur Authentifizierung von Gerä­ten auf Basis von MAC­Adressenzum Einsatz kommen sollte. BeiBedarf besteht aber auch dieMöglichkeit, einen lokalen Au­thentifizierungs­Server aufzuset­zen, der mit Benutzerkonten ar­beitet, die direkt auf der Applian­ce gespeichert werden. Im Test

entschieden wir uns zu diesemZeitpunkt für diese Option.

Zur Konfiguration der Zugriffsre­geln müssen die zuständigen Mit­arbeiter zunächst einmal die URLfestlegen, über die sich die An­wender bei der Appliance anmel­den können. Danach kommt dieKonfiguration des eben genann­ten Authentifizierungsservers andie Reihe. Anschließend geht esdaran, den User Realm und dieUser Role einzurichten. Der UserRealm legt fest, welche Benut­zerrollen über welche Authentifi­zierungs­Server authentifiziertwerden. Über die User Roles de­

finiert PulseSecure im Gegensatzdazu Sitzungsparameter wie dieSession Settings und die Perso­nalisierungseinstellungen.

Zum Schluss legen die zuständi­gen Mitarbeiter noch fest, obBrowser­Zugriffe für die jeweili­ge Rolle erlaubt sein sollen undob das System den Pulse Secure­Client auf den Endpoints instal­liert. Letzteres ist aber nicht im­

mer zwingend erforderlich, dadas System agentenlose Konfi­gurationen unterstützt. Damit istdie Konfiguration abgeschlossenund die Zugriffsregel geht in Be­trieb.

Die Guidance­EinträgeZusätzlich zu den genannten As­sistenten existiert auch noch imWeb Interface eine Sammlungvon Hilfeseiten namens "Gui­dance", die die Anwender Schrittfür Schritt durch die Konfigurati­on der wichtigsten Funktionender Appliance führt. Sie hilft un­ter anderem beim Einstellen derZeitzone, beim Einspielen der

4

Die Einbindung des SCEP­Servers für die Zertifikatsvergabe beim Enterprise

Onboarding

Lizenz und der Zertifikate, beimInstallieren von Updates, beimAnlegen von Authentifizierungs­Servern für Gastbenutzer und beider Definition der Authentifizie­rungs­Realms sowie User Roles.Außerdem lassen sich über dieGuidance­Seiten auch noch RoleMappings anlegen, die festlegen,welche Benutzerrollen welcheUser zugewiesen bekommen, ab­hängig von ihrem Benutzerna­men, ihrem Zertifikat oder einembenutzerdefinierten Ausdruck.

Die Guidance­Einträge helfenzudem beim Sichern der Konfi­guration und beim Definierenvon Ressource Access Policies,die festlegen, auf welche Res­sourcen im Netz – also Anwen­dungen, Server und so weiter –die Anwender und Gäste zugrei­fen dürfen. Der Eintrag "ManageUsers" unterstützt die Adminis­tratoren schließlich beim Anle­gen und Verwalten von Benutzer­konten.

Das Enterprise OnboardingKommen wir nun einmal im De­tail auf die wichtigsten Funktio­nen der PPS­Lösung zu sprechen:Über das Enterprise Onboardinglassen sich fremde Geräte, diebeispielsweise aufgrund von BY­OD­Regelungen im Unterneh­mensnetz auftauchen, automati­siert so konfigurieren, dass sieauf die Netzwerkumgebung zu­greifen können. Konkret siehtdas so aus, dass sich der Anwen­der mit dem neuen Gerät über einPortal bei der PPS anmeldet undanschließend bei Bedarf Softwa­re, wie etwa den PulseSecure­Client, auf seinem Endpoint in­stallieren kann. Sobald dieserSchritt erledigt wurde, erhält dasSystem von der Appliance Konfi­gurationsdaten für den Verbin­dungsaufbau via VPN oder Wifi

oder, falls erforderlich, auch Zer­tifikate zur Authentifizierung.Anschließend ist der Benutzerdann dazu in der Lage, die fürihn freigegebenen Unterneh­mensressourcen zu verwenden,

ohne dass die IT­Abteilung fürdie Konfiguration seines Endge­räts aktiv werden muss.

Das Enterprise Onboarding funk­tioniert mit Geräten unter Andro­id, iOS, MacOS und Windows,wobei die beiden Apple­Betriebs­systeme dazu in der Lage sind,das Onboarding auch ohne dievorherige Installation des Pulse­Secure­Clients durchzuführen.Im Test verwendeten wir als Cli­ents ein Huawei P9 unter Andro­id 7 und eine Windows 10­Ma­schine.

Um das Onboarding einzurich­ten, müssen die zuständigen Mit­arbeiter diese Funktion zunächstfür die Benutzerrolle aktivieren,die die Anwender, die ihre Devi­ces einbringen dürfen, verwen­den. Das geht unter „Users / UserRoles / {Name der betroffenenBenutzerrolle} / General / Over­view“. Nach dem Aktivieren ha­ben die zuständigen Mitarbeiter

Gelegenheit, auszuwählen, obdas System nach dem Benutzer­Login eine Onboarding­Seite an­zeigt, über die der Anwenderdann das Onboarding startenkann, oder ob das System den

PulseSecure­Client automatischauf MacOS­ und Windows­Rechnern einspielen soll. Alter­nativ gibt es auch die Möglich­keit, eine externe MDM­Lösungfür das Onboarding mobiler Ge­räte einzusetzen. Im Test ent­schieden wir uns für die ersteOption.

Jetzt konnte es daran gehen, dasOnboarding selbst einzurichten.Dazu wechseln die Administrato­ren nach „Users / Enterprise On­boarding“ und haben dort Gele­genheit, einen SCEP­Server indie Konfiguration einzubinden,Templates für Certificate SigningRequests anzulegen und Profilefür VPN­ beziehungsweise Wifi­Verbindungen sowie Zertifikatezu erzeugen.

Der SCEP­Server (Simple Certi­ficate Enrollment Protocol)kommt in Verbindung mit denCertificate­ Signing­ Request­Templates (CSR) zum Einsatz,

5

Der Host Checker bei der Arbeit

um den Endbenutzergeräten an­hand der Zertifikatsprofile auto­matisch jeweils eigene Zertifika­te zur Verfügung zu stellen, mitdenen sich diese dann im Betriebbei der PPS­Appliance oder ei­nem Pulse Connect Secure­Sys­tem (ebenfalls von PulseSecure)authentifizieren können.

Ein SCEP­Server ist übrigensnicht die einzige Möglichkeit,Zertifikate an die Clients zu ver­teilen. Es existieren auch Optio­nen, ein globales Zertifikat zuimportieren, oder ein CA­Zertifi­kat zu verwenden. Das globaleZertifikat stellt das Zertifikat derPPS selbst dar. Die Verwendungvon CA­Zertifikaten kann bei­

spielsweise Sinn ergeben, wennes um den Einsatz in Wifi­Profi­len geht. Im Test verwendetenwir die Konfiguration mit demSCEP­Server. Dazu gaben wir imWesentlichen seine URL und dasZugriffspasswort an und ludenein CSR­Template hoch, das wirzuvor über das PPS­Web­Inter­face erzeugt hatten. Anschließendwar die Verbindung aktiv und wir

konnten die Zertifikate zur Au­thentifizierung nutzen.

Im nächsten Schritt erzeugten wirnoch ein VPN­Profil, über dasdie Anwender Zugriff auf unsereRessourcen erhielten. Dazumussten wir lediglich einen Na­men vergeben, sagen ob das Pro­fil für Android­ oder iOS­ClientsGültigkeit haben sollte und denVPN­Gateway angeben. Im Testwar das unsere PPS­Appliance.Zum Schluss legten wir nochfest, welcher Realm, welche Be­nutzerrolle und welcher Userna­me zum Einsatz kamen undwählten die Authentifizierungs­methode (Zertifikate) aus. An­stelle der Zertifikate ist auch eine

Passwort­Authentifizierung mög­lich, über die sich die Benutzerim Betrieb selbst beim VPN an­melden können. Das gestaltetsich zwar nicht so komfortabel,erspart den Administratoren aberdie Arbeit mit der Zertifikats­Konfiguration.

Nachdem wir die genanntenSchritte durchgeführt hatten,

konnten wir uns mit unserenTest­Clients bei dem Benutzer­Portal anmelden und das On­boarding durchführen. Die ganzeKonfiguration der genanntenFunktion nahm im Test wenigerals zehn Minuten in Anspruchund hinterließ bei uns einen sehrguten Eindruck.

Host CheckingDie Host Checking­Funktionlässt sich nutzen, um sicher zustellen, dass die Endbenutzersys­teme bestimmte, zuvor festgeleg­te, Voraussetzungen erfüllen, be­vor sie Zugriff auf das Unterneh­mensnetz erhalten. Dabei kann essich beispielsweise um das Vor­handensein eines Antivirus­Pro­gramms mit aktuellen Virendefi­nitionen, eine aktive Firewalloder auch um einen bestimmtenPatch­Level handeln.

Im Betrieb wird der Host Che­cker während des Logins aktivund prüft, ob die vorgegebenenVoraussetzungen erfüllt werden.Falls ja, erteilt er den Zugriff aufdie Unternehmensressourcen,falls nein, sind die Administrato­ren dazu in der Lage, eine Reme­diation Page anzulegen, die In­formationen und Links darüberenthält, was der Endanwendermachen muss, um sein Systemregelkonform zu gestalten, bei­spielsweise durch das Aktivierender Firewall. Alternativ kann derHost Checker auch selbst versu­chen, Compliance zu den Regelnherzustellen. Dazu hält er aufWunsch Prozesse an, löscht Da­teien oder führt Aktionen durch,die zuvor im Rahmen einer Anti­virus­ oder Firewall­Policy defi­niert wurden. Dazu später mehr.

Im Test legten wir eine Host­Checking­Regel an, die über­prüfte, on der Windows Defender

6

Bei der Konfiguration unserer Palo Alto­Appliance verwendeten wir drei

Netzwerkinterfaces. Das Management­Netz erscheint in dieser Übersicht nicht,

nur die beiden Interfaces für interne und externe Zugriffe

auf unserem Test­Client aktiv undauf dem aktuellen Stand war. Da­zu wechselten wir nach „Authen­tication / Endpoint Security /Host Checker“ und erzeugten ei­

ne neue Antivirus­Regel. Dort se­lektierten wir den Eintrag „Re­quire Specific Products“ undwählten dort den „Windows De­fender“. Anschließend gaben wiran, dass das System die Virus De­finition Files prüfen sollte undlegten fest, wie alt diese Datensein durften, bevor ein Alarmausgelöst wurde. Außerdemkonnten wir noch angeben, obdas System die Einhaltung derRegel nur während des Loginsoder auch während des Betriebsim Auge behalten sollte und wel­che Remediation­Aktionen derHost Checker im Fall der Nicht­einhaltung der Policies durchzu­führen hatte. Hier standen uns dieOptionen „Download the latestVirus Definition Files“, „Turn onReal Time Protection“ und „StartAntivirus Scan“ zur Verfügung.Wir wählten die beiden ersten ausund speicherten die Regel. BeiBedarf lassen sich auch mehrerePolicies in einer Regel zusam­menfassen. Zum Schluss war esnur noch erforderlich, die neueRegel unter „Users / User Realms

/ {Name der Benutzerrolle} / Au­thentication Policy / Host Che­cker“ zu aktivieren. Danach prüf­te der Host Checker unseren Cli­ent während des Logins und ließuns nur mit aktiver und aktuellerAntivirus­Software ins Netz.

Das Layer 2­EnforcementÜber das Layer 2­Enforcementlässt sich – wie bereits erwähnt –eine Umgebung konfigurieren,die nur authentifizierten Gerätenden Zugriff ins LAN erlaubt. Inunserem Netz verwendeten wirneben der Pulse Secure­Applian­ce beim Einrichten dieses Szena­rios einen Cisco Catalyst 2960­C­Switch, der dazu in der Lage war,das 802.1X­Protokoll zu unter­stützen.

Wir planten im Test eine Konfi­guration, in der sich der Anwen­der über den Pulse Secure AccessClient auf seinem Rechner mitBenutzername und Passwort,Zertifikat oder Token beim Sys­tem authentifiziert. Zunächstfragt dabei der Cisco­Switch beider als Radius Server arbeitendenPolicy Secure­Appliance nach,ob die Authentifizierung in Ord­nung geht. Die Appliance und derEndpoint tauschen dann EAP­Nachrichten durch den Switchaus. Läuft die Authentifizierungerfolgreich ab, so erhält der UserZugriff auf das Netz, indem dieAppliance dem Switch, der alsRadius Client arbeitet, mitteilt,dass er die vorhandenen Assetsnutzen darf.

Im Test verwendeten wir als Au­thentifizierungsmethode Benut­zername und Passwort. Um dasbeschriebene Szenario umzuset­zen, steht im Konfigurations­werkzeug der Pulse Policy Secu­re­Appliance ein Wizard zur Ver­fügung, der die Administratoren

durch die Konfiguration derLayer­2­Authentifizierung derBenutzersitzungen führt.

Im ersten Schritt zeigt der Wizardeinen Willkommensbildschirman, der die durchzuführendenSchritte beschreibt. Danach gehtes gleich in Medias Res und da­mit an die Definition des RadiusClients. In unserem Test war das,wie gesagt, der Cisco Switch. Umdiesen als Radius Client einzu­richten, mussten wir ihm zu­nächst einen Namen geben, seineIP­Adresse definieren und einShared Secret festlegen, um dieDatenübertragungen zwischenSwitch und Appliance abzusi­chern. Danach gaben wir an, dasses sich bei dem Gerät um eineCisco­Lösung handelte und akti­vierten den Support für Dis­connect Messages.

Im nächsten Schritt wählten wirdie Location Group, die für die

Konfiguration zum Einsatz kom­men sollte, damit war der Wizardabgeschlossen und die Konfigu­ration ging in Betrieb. Jetztmussten wir nur noch den Cisco­Switch so konfigurieren, dass er

Nach dem Login mit unserem Win­

dows­Testclient überprüft die Client­

Software von PulseSecure erst einmal

die Kompatibilität des Systems

Eine laufende Verbindung mit einem

Windows­Client

7

mit der PPS­Appliance zusam­menarbeitete. Dazu wechseltenwir auf die Kommandozeile desSwitches und führten dort die da­für erforderlichen Befehle aus.

Es würde den Rahmen diesesTests sprengen, im Detail auf je­den Befehl einzugehen. Das istauch nicht nötig, da das ganzeVorgehen recht gut in der Doku­mentation beschrieben wurde. ImWesentlichen reicht es an dieserStelle aus, zu sagen, dass wir ei­ne Radius Server­Gruppe ein­richten und die PPS­Applianceals Radius Server definierenmussten. Danach war die Konfi­guration abgeschlossen und dasSystem ging in Betrieb. An­schließend verhielt es sich so wieerwartet und oben beschrieben.

Das Layer 3­EnforcementDie Pulse Policy Secure­App­liance ist wie gesagt nicht nur da­zu in der Lage, NAC­Funktiona­litäten auf Layer 2 mit Hilfe ei­nes kompatiblen Switches zukonfigurieren, sondern kann auchin Zusammenarbeit mit Firewallsvon Checkpoint, Fortinet, Juniperund Palo Alto das Netz auf Layer3­Ebene absichern. In diesemFall fungieren die Firewalls ge­nauso wie zuvor der Switch als

Enforcement Point. Auch hier au­thentifiziert die PPS­Appliancedie Anwender, stellt sicher, dassdie Endpoints die Sicherheits­Po­licies erfüllen und leitet dann Be­nutzer­ beziehungsweise Geräte­informationen darüber, welcheRessourcen dem jeweiligen An­wender oder Gerät zur Verfügungstehen sollen, an die Firewallweiter.

Im Test verwendeten wir einevirtuelle Firewall­Appliance vonPalo Alto. Die Konfigurationläuft ähnlich ab, wie bei demLayer 2­Enforcement. Zunächststarteten wir im PPS­Konfigura­tionswerkzeug den Wizard zumEinrichten des "Intranet Enfor­cers". Dieser wollte im Wesentli­chen wissen, welche Firewall wirfür die Konfiguration verwendenwollten (mit Hersteller und IP­Adresse sowie Zugriffsdaten)und welche Policy für das Map­ping der Authentifizierungs­Ta­bles zum Einsatz kommen sollte.

Die Policy gibt in diesem Zusam­menhang an, welche Firewall fürdie jeweilige User Role Verwen­dung findet. Auf diese Weise ver­hindert das System, dass die PPSauf allen angeschlossenen Fire­walls teilweise unnötige Regelnerzeugt. Die genannte Regelkonnten wir gleich innerhalb desWizards definieren.

Sobald das erledigt war, wende­ten wir uns der Konfiguration derFirewall selbst zu. Auch hierwürde es wieder den Rahmen desTests sprengen, im Detail daraufeinzugehen und auch hier werdendie einzelnen Schritte wieder imDetail in der Dokumentation be­schrieben. Es genügt an dieserStelle zu sagen, dass wir in denZonen der Firewall die UserIdentification aktivieren mussten,

eine dynamische Adress­Gruppeanlegten und eine Sicherheitspo­licy hinzufügten, die den Zugriffauf die Ressourcen regelte. Beider Policy lassen sich unter an­derem auch Zeiträume für dieGültigkeit der Regel hinzufügenund ähnliches. Nach dem Ab­schluss der Konfiguration nah­men wir das System in Betriebund konnten auf die beschriebeneArt und Weise damit arbeiten.

FazitDie Pulse Policy Secure­Lösungkonnte uns im Test voll überzeu­gen. Das Produkt verfügt übereinen eindrucksvollen Funkti­onsumfang mit vielen mächtigenFeatures wie beispielsweise demHost Checking, dem EnterpriseOnboarding und dem Enforce­ment auf Layer 2 und 3 des OSI­Schichtenmodells. Außerdem ar­beitet die Appliance auch mitvielen anderen Produkten aus derIT­Sicherheit zusammen, an die­ser Stelle seien nur exemplarischdie MDM­Lösungen von Mobi­leIron, die Switches von Ciscound die Firewalls von Check­point sowie Palo Alto genannt.

Im Betrieb verhält sich das Pro­dukt zuverlässig und unauffälligund die Konfiguration dürfteaufgrund der vorhandenen Wi­zards keinen Administratoren vorunüberwindliche Hindernissestellen. Eine gewisse Einarbei­tungszeit ist zwar erforderlich,danach können die zuständigenIT­Mitarbeiter die Sicherheit ih­rer Netze aber deutlich erhöhen,weswegen sich der Aufwand inden meisten mittleren und großenUnternehmensumgebungen loh­nen dürfte. Wegen des großenFunktionsumfangs verleihen wirdem Pulse Policy Secure­Produktdas Prädikat "IAITested and re­commended".

Der PulseSecure­Client liefert im Be­

trieb diverse Informationen über die

aktiven Sitzungen

8