3 novembre 2017

Pulse Secure Access

 

La solution NAC de Pulse Secure voit sa nouvelle version arriver à maturité. Elle ajoute en plus du 802.1x classique,  l’utilisation du SNMP et l’ajout de connecteurs (intégrés pour plus d’interaction). Elle se positionne comme un outsider crédible face à Cisco ISE et Forescout CounterACT. Nous vous proposons de vous en présenter les points forts.

Parmi les offres Pulse Secure, nous retrouvons toute une gamme de solutions :

  • Cloud Secure, la sécurisation du Cloud
  • Connect Secure, le VPN
  • Workspace, le BYOD
  • One, le management centralisé de Pulse
  • Et enfin Pulse Policy Secure, le NAC (Network Access Control ou contrôle d’accès au réseau en français)

L’ensemble des solutions Pulse partagent un même but : offrir un accès sécurisé à l’utilisateur, quelque soit le terminal, l’OS, la localisation, etc.

Authentification

L’authentification avec Pulse Policy Secure repose sur 3 schémas types :

  • Authentification 802.1X classique de niveau 2

Authentification

L’utilisateur se connecte, à l’aide du client natif ou celui de Pulse. Connexion effectuée en filaire à un switch ou en Wi-Fi sur une borne AP, contrôlés en 802.1X. La demande RADIUS une fois générée,  est communiquée à l’Infranet Controller. Il s’agit du serveur RADIUS Pulse Policy Secure (lui-même communiquant avec des serveurs d’authentification pour prendre sa décision d’autorisation totale / partielle ou de refus). Le client RADIUS s’adaptera selon la décision d’autorisation, pour permettre ou non l’accès à l’utilisateur, jusqu’aux ressources protégées. Il contrôle alors son port d’accès en lui attribuant un VLAN plus ou moins restrictif.

  •  Authentification 802.1X de niveau 2 avec Infranet Enforcer

Authentification2

L’utilisateur se connecte cette fois-ci au client RADIUS uniquement avec le client Pulse Secure. Lors de sa prise de décision, l’Infranet Controller (le serveur RADIUS Pulse Policy Secure) va pousser dynamiquement des politiques sur un Infranet Enforcer configuré. Cet équipement peut être un firewall pour s’intégrer avec la solution Pulse Policy Secure (voir partie intégration pour les solutions compatibles). Le contrôle d’accès ne se fera alors non plus sur le client RADIUS comme dans le premier schéma avec l’attribution de VLAN, mais sur l’Infranet Enforcer qui autorisera les flux de l’utilisateur (ou non) à parvenir jusqu’aux ressources protégées.

  • Authentification 802.1X de niveau 3 avec Infranet Enforcer

Authentification3

Ce troisième schéma présente des similitudes avec le  second.  Une seule différence notable :  l’utilisateur se connecte directement à l’Infranet Controller (le serveur RADIUS Pulse Policy Secure) à l’aide de son client Pulse.

Client Pulse ou non ?

Il faut savoir qu’avec un supplicant natif, le Host Checking (vérification de la conformité du poste : présence d’un antivirus, d’une clé de registre, etc.) sera possible seulement via redirection web sur une page Pulse demandant de télécharger et d’installer le composant Host Checker. Il n’est pas indispensable d’installer l’agent Pulse Secure dans sa totalité. Il est nécessaire d’être administrateur de son poste, Java ou Active X sont requis au préalable.

Quelques limitation de l’utilisation sans agent :

  • démarrer un script à l’ouverture d’une session ,
  • vérifier le certificat machine
  •  L’EAP-Chaining (authentification utilisateur et machine simultanée). Le protocole EAP-FAST pour cette méthode d’authentification est un protocole propriétaire Cisco, l’authentification machine n’est pas envisageable sans le client Pulse
  • le LDAP sur Pulse Policy Secure ne supporte pas le protocole CHAP avec un supplicant natif. Il faut utiliser à la place une authentification Active Directory.

Similitudes avec Pulse Connect Secure

Pulse Policy Secure ressemble à Pulse Connect Secure (VPN SLL).

Schéma de fonctionnement de Pulse Connect Secure :

FonctionnementPulseConnect

Schéma de fonctionnement de Pulse Policy Secure :

FonctionnementPulseSecuritySecure

Nous retrouvons les mêmes notions : Sign-in Policies, Sign-in Pages, Realms, Roles, Role Mapping, Auth Servers.

Les Policies côté Pulse Connect Secure (ressources web, TSE, SSH, VPN, etc. atteignables par l’utilisateur connecté en VPN) sont remplacées par des clients RADIUS. Leurs attributs sont eux substitués par des Infranet Enforcers et des Location Groups (liens entre les clients RADIUS / Infranet Enforcers et les Sign-in Policies).

Dans l’interface, nous retrouvons ces similitudes entre les interfaces d’administration web des deux solutions  :

InterfaceAdmin1 InterfaceAdmin2

 

La base des deux solutions reste la même : le clustering, le troubleshooting, le Host Checking, la configuration système / réseau, etc.

Intégration

L’intégration entre les deux solutions permet une seule authentification et un seul contrôle d’accès.

Un autre atout de Pulse Policy Secure est de s’intégrer avec plusieurs solutions partenaires :

ntegrationPolicySecure

En effet, la solution est en capacité de se lier via IF-MAP (protocole non propriétaire ouvert et standardisé), à un Pulse Connect Secure. Ce procédé a pour but de ne pas rejouer l’authentification et le contrôle d’accès à la fois sur Pulse Connect Secure et Pulse Policy Secure.

L’utilisateur connecté comptera pour une seule licence.

Un autre bénéfice à intégrer les deux solutions Pulse : récupérer et exploiter sur Pulse Policy Secure les données de profiling des utilisateurs connectés à distance en VPN.

Pour les Infranet Inforcers, Pulse Policy Secure est compatible avec certaines versions et modèles ScreenOS, Palo Alto, SRX et EX.

Côté MDM, Pulse Policy Secure s’interface avec les solutions AirWatch, MobileIron et Pulse Workspace.

Ces compatibilités évolueront et les solutions supportées avec Pulse Policy Secure seront maintenues à jour dans les Supported Platforms Guides.

Configuration Hardware

Il est possible de reprendre une appliance dédiée initialement pour du Pulse Connect Secure pour l’utiliser pour du Pulse Policy Secure et dans ce cas seulement les licences seront à acheter. Il est même possible de partager des licences communes entre les solutions Pulse Connect Secure et Pulse Policy Secure si l’on possède un serveur de licence Pulse et des licences spécifiques communes.

Licences

La licence dépend du nombre d’adresses IP utilisées par les utilisateurs.

Toutes les fonctionnalités sont comprises dans la licence, contrairement pour obtenir à Cisco ISE, qui demande une licence en plus pour utiliser les fonctionnalités BYOD ou profiling. 

Un avantage méconnu de Pulse Policy Secure : les hôtes authentifiés par adresse MAC ne sont pas comptés dans les licences, contrairement à Cisco ISE et ForeScout.

L’intégration avec des solutions tierces, telles que Palo Alto pour de l’Infranet Enforcer ou MobileIron pour du MDM, est aussi native. ForeScout, par exemple, nécessite une licence supplémentaire pour s’intégrer avec Palo Alto.

Un licence provisoire, non limitée dans le temps, est proposée pour la mise en place d’une maquette (nombre d’utilisateurs limités).

Conclusion

Pulse Connect Secure pour du VPN constitue une raison majeure à intégrer Pulse Policy Secure pour du NAC.

L’interface d’administration web et le principe de fonctionnement de Pulse Policy Secure se veulent intuitifs si l’on connait déjà Pulse Connect Secure. Il n’y a pas besoin de déployer un nouvel agent si l’on utilise déjà celui de Pulse Connect Secure (notion de client Pulse unifié).

Les ingénieurs de Nomios sont disponibles pour mettre en place une maquette dans votre environnement.

 

 

 

Partager :

Auteurs