Alle Zugriffswege abgesichert

Im Test: Pulse Connect Secure 9.0R1

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Die Pulse Connect Secure-Appliance kann sichere Zugriffswege über alle möglichen Arten von Verbindungen auf Unternehmensressourcen herstellen.
Die Pulse Connect Secure-Appliance kann sichere Zugriffswege über alle möglichen Arten von Verbindungen auf Unternehmensressourcen herstellen. (Bild: gemeinfrei / CC0)

Mit Pulse Connect Secure bietet PulseSecure eine VPN-Lösung der Enterprise-Klasse für mobile Geräte und Desktops unter Android, ChromeOS, iOS, Linux, MacOS und Windows, die einen einfachen und sicheren Zugriff von jedem Endpoint auf Anwendungen und Ressourcen im Unternehmen sicherstellen soll. Wir haben uns im Testlabor angesehen, wie die Arbeit mit diesem Produkt für den hybriden Secure Access abläuft.

Pulse Connect Secure arbeitet als Appliance oder als virtuelle Appliance im Unternehmensnetz und regelt den Zugriff der Anwender von externen Netzen auf die vorhandenen Dienste. Bei Bedarf ist es auch möglich, das Produkt in einer Private oder Public Cloud (AWS oder Azure) zu betreiben. Damit alle Benutzer jederzeit die Services ihrer Organisation verwenden können, bietet die Lösung eine große Zahl an Funktionen. Dazu gehören der Schutz von Anwendungen und Daten, die sich an beliebigen Orten befinden, einschließlich SaaS-Applikationen wie Office 365.

Hinzu kommen außerdem der Clienten-lose Zugriff über ein Web-Interface, die Integration von Diensten wie Active Directory und LDAP sowie Unterstützung für Zwei-Faktor-Authentifizierung, SAML 2.0, PKI und IAM beziehungsweise digitale Zertifikate. Ein so genannter Host Checker, der sicherstellt, dass das sich verbindende Gerät den Security-Anforderungen des Unternehmens entspricht, gehört ebenfalls zum Leistungsumfang. Dazu stuft das System die Endgeräte vor der Authentifizierung anhand vordefinierter Policies ein und lässt den Zugriff nur zu, wenn die in den Policies festgelegten Bedingungen erfüllt werden.

Dazu kommen noch ein sicherer Zugriff auf die Virtual Desktop-Lösungen (VDI) der führenden Hersteller (Citrix XenApp/XenDesktop und Vmware Horizon), ein granulares Auditing zum Sicherstellen der Compliance, die Integration von Mobile Device Management-Produkten (MDM) und ein universeller Client für den Einsatz sowohl remote als auch onsite, um ein problemloses Roaming sicher zu stellen. Das Management der Lösung erfolgt über ein zentrales Web-Interface.

Dieser Test wurde für die Veröffentlichung auf IP-Insider.de gekürzt. Den vollständigen Test können Sie im verlinkten PDF-Dokument lesen.

Der Test

Im Test installierten wir in unserem Netz eine virtuelle PCS-Appliance, konfigurierten sie und griffen anschließend über das von ihr bereitgestellte VPN auf unsere Backend-Dienste zu. Außerdem nahmen wir die Authentifizierung mit einem lokalen Benutzerkonto, die Zwei-Faktor-Authentifizierung mit einem lokalen Benutzerkonto und einem One-Time-Passwort über Google Authenticator und Funktionen wie das Host Checking sowie das Enterprise Onboarding unter die Lupe.

Erstkonfiguration

Um unser System in Betrieb zu nehmen, machten wir uns nach der Inbetriebnahme der virtuellen Appliance daran, diverse Benutzerkonten anzulegen, die aus dem WAN auf unterschiedliche Ressourcen in unserem LAN zugreifen durften. Dazu erzeugten wir zunächst die Accounts, definierten dann die freigegebenen Ressourcen wie Web-Applikationen, Shares und SSH-Zugänge und legten zum Schluss fest, wer welche Ressource nutzen konnte. Die Konfiguration dieser Punkte gestaltet sich verhältnismäßig einfach, da der Hersteller einen Guide für die Erstkonfiguration in das Web-Interface integriert hat, den man lediglich abarbeiten muss.

Die Arbeit mit einem zweiten Authentifizierungs-Server

Nach dem Abschluss der Erstkonfiguration verfügten wir über einen sicheren externen Zugang auf die bei uns im Testlabor als Monitoring Tool verwendete web-basierte Lösung „PRTG“ von Paessler und ein Windows-Share auf einem Windows Server 2016. Darüber hinaus hatten wir auch einen ssh-Zugang auf ein Linux-System freigeschaltet. Für die ganze Konfiguration des Systems bis zu diesem Punkt brauchten wir lediglich eine halbe Stunde.

Jetzt gingen wir daran, unser Setting zu perfektionieren. Dazu änderten wir die Benutzerauthentifizierung so, dass neben der Angabe von Username und Passwort auch der Google Authenticator zum Einsatz kam. Dazu spielten wir zunächst auf einem Smartphone vom Typ Huawei P9 unter Android 7 die Google Authenticator App ein. Anschließend definierten wir unter "Authentication" einen neuen Authentifizierungsserver vom Typ "Google Authenticator".

Nachdem das erledigt war, öffneten wir die Konfiguration unseres zuvor angelegten „Authentication Realms“ und fügten diesem einfach den neuen Server hinzu. Die Konfiguration zusätzlicher Authentifizierungs-Server gestaltet sich folglich sehr einfach, da wir die sonstigen Einstellungen dazu nicht anrühren mussten.

Jetzt loggten wir uns wieder mit unseren User-Credentials bei der PCS-Appliance ein. Das Web-Interface präsentierte uns daraufhin nicht wie zuvor die Webseite mit den Links auf die freigegebenen Ressourcen, sondern stellte einen QR-Code dar, den wir mit unserem Test-Smartphone scannen mussten, um in der Authenticator App das Konto für den PCS-Zugriff hinzuzufügen. Danach zeigte uns die App einen Zahlencode an, der regelmäßig wechselte und der nach dem Login mit den Anwender-Credentials im Web-Interface als zweiter Authentifizierungsschritt eingegeben werden musste, um den Zugriff auf die freigegebenen Ressourcen zu ermöglichen. Im Test funktionierte dies wie erwartet.

Das Enterprise Onboarding

In der nächsten Phase des Tests befassten wir uns mit der Enterprise Onboarding-Funktion. Enterprise Onboarding bedeutet, dass Geräte, die mit dem System Verbindung aufnehmen, auf einfache Weise in die Unternehmensumgebung integriert und dann über diese verwaltet werden. Konkret können sich die Anwender mit einem neuen Device bei der PCS-Lösung anmelden und erhalten dann automatisiert Wifi- und VPN-Verbindungsdefinitionen beziehungsweise Zertifikatsprofile, mit denen sie dann im Betrieb die Unternehmensressourcen nutzen. Dazu sind bei einer korrekt konfigurierten Umgebung keine Aktivitäten von Seiten der IT-Abteilungen erforderlich.

PulseSecure unterstützt Enterprise Onboarding für Geräte unter Android 4 oder neuer, iOS 6 oder neuer, MacOS X und Windows seit Windows 7. Im Test setzten wir wieder unser Test-Smartphone vom Typ Huawei P9 unter Android 7 ein, um das Onboarding zu analysieren.

Die Enterprise Onboarding-Funktion wird auf Ebene der Benutzerrollen definiert. Dabei haben die zuständigen Mitarbeiter die Möglichkeit, entweder die Auto Launch-Funktion zu aktivieren, die direkt nach dem Login einen Download-Link für die Client-Software anbietet, oder den Client automatisch auf Windows-Systemen einzuspielen. Alternativ lässt sich auch ein externes Mobile Device Management-System für das Onboarding einbinden. Im Test verwendeten wir die Auto Launch-Funktion.

Um das Onboarding zu nutzen, müssen sich die Anwender zunächst mit Benutzername und Passwort bei der PCS-Appliance anmelden. Danach wird die Client-Software – falls erforderlich, bei iOS und MacOS funktioniert das Onboarding auch ohne – entweder manuell oder automatisch installiert und das Onboarding läuft durch. Das heißt, die neuen Geräte erhalten die vordefinierten Profile für VPN- und Wifi-Verbindungen und die Zertifikate. Letztere lassen sich nutzen, um die Devices nach dem Onboarding direkt bei den VPN- und Wireless-Systemen zu authentifizieren. Alternativ kann diese Authentifizierung auch mit Login-Credentials erfolgen, in dem Fall müssen die Administratoren kein Onboarding von Zertifikatsprofilen konfigurieren.

Egal welche Authentifizierungsmethode im Betrieb zum Einsatz kommt, die Administratoren müssen immer eine VPN-Verbindung anlegen, damit die mobilen User, die sich über das Enterprise Onboarding anmelden, anschließend via VPN auf das Netzwerk zugreifen können. Die Konfiguration dieser VPN-Profile erfolgt im Bereich "Users / Enterprise Onboarding". Im Wesentlichen besteht ein solches Profil aus einem Namen, der Server-URL (der VPN-Server war in unserem Test die PCS selbst), der Benutzerrolle mit den Mapping Rules und der Authentifizierungsmethode, also Passwörtern oder Zertifikaten.

Damit war unsere Konfiguration bereits abgeschlossen und wir konnten uns über unser Android-Device mit der PCS-Appliance verbinden. Anschließend führte das System das Onboarding durch. Danach griffen wir ohne Probleme via VPN auf das Netzwerk zu. Unter Windows funktionierte das ähnlich.

Der Host Checker

Jetzt war es an der Zeit, auf den Funktionsumfang des Host Checkers einzugehen. Dieser überprüft wie gesagt, ob auf dem Endgerät Sicherheits-Applikationen wie Antivirus und Firewall arbeiten und analysiert zudem auch die Betriebssystemversion, den Patch Level, den Browser-Typ und viele andere Anforderungen. Darüber hinaus führt er auch ein Vulnerability Assessment durch, um erfolgreiche Malware-Angriffe auszuschließen. Stellt sich ein Endgerät als nicht compliant heraus, so versucht der Host Checker, durch Updates der betroffenen Softwarekomponenten Compliance herzustellen. Gelingt das nicht, so kann das Endgerät in Quarantäne verschoben werden. Alternativ wird ihm – je nach Konfiguration – der Zugriff erlaubt oder komplett gesperrt.

Um die Host Checking-Funktion zu testen, erzeugten wir über das Konfigurationswerkzeug unter "Authentication / Endpoint Security / Host Checker" eine entsprechende Regel, die sicherstellen sollte, dass auf unserem Windows 10-Client eine Firewall aktiv war. Dieser Regel mussten wir zunächst einen Namen geben, außerdem wählten wir das Firewall-Produkt aus, das auf dem Client installiert war. Dafür hat PulseSecure bereits eine große Zahl unterstützter Firewalls in die Sicherheitslösung integriert, so dass die Selektion schnell und einfach ablief. Im Rahmen der Regeldefinition konnten wir zusätzlich noch dafür sorgen, dass das System den Client ständig überwachte und so nicht nur bei der Anmeldung sondern auch im laufenden Betrieb dazu in der Lage war zu erkennen, ob die Firewall aktiviert oder deaktiviert wurde.

Im nächsten Schritt aktivierten wir die Regel über den User Authentication Realm. Als die Regel aktiv war, loggten wir uns mit dem Test-Client bei der Sicherheits-Appliance ein, woraufhin sich erwartungsgemäß der PulseSecure Host-Checker installierte und uns erst ins Netz ließ, als die Überprüfung erfolgreich abgeschlossen war.

Fazit

Die Pulse Connect Secure-Appliance eignet sich hervorragend, um sichere Zugriffswege über alle möglichen Arten von Verbindungen auf Unternehmensressourcen herzustellen. Die Lösung konnte im Test mit einem sehr großen Funktionsumfang punkten, in diesem Zusammenhang seien nur die Client-losen und Client-basierten Zugriffsoptionen, das Enterprise Onbording und der Host Checker genannt.

Trotz des großen Leistungsspektrums lassen sich Inbetriebnahme und Verwaltung der Systeme relativ problemlos durchführen. Dabei helfen die vorhandenen Wizards genauso wie die umfangreiche Dokumentation. Im Test ließ sich unsere Appliance auch problemlos in das zentrale, cloud-basierte Managementwerkzeug PulseOne integrieren. Administratoren, die nach einer leistungsfähigen Lösung zum Absichern der Zugriffe auf ihre Unternehmensressourcen suchen, sollten auf jeden Fall einen Blick auf das Produkt werfen.

Über den Autor: Dr. Götz Güttich ist Leiter des Instituts zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Anmerkung: Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.

Dieser Test wurde für die Veröffentlichung auf IP-Insider.de gekürzt. Den vollständigen Test lesen Sie im nachfolgend verlinkten PDF-Dokument.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45641394 / Equipment und Services)