VPN-Testserie, Teil 2: Cisco und Pulse Secure
Mächtige VPN-Clients
Wer an VPN-Clients denkt, kommt um Cisco und Pulse Secure (vormals die VPN-Lösung von Juniper) nicht herum. Eine kleine Bestandsaufnahme der LANline zeigt, wie es um diese beiden VPN-Lösungen derzeit bestellt ist.
In Sachen VPN kann Cisco auf eine lange Tradition zurückblicken. 1998 beispielsweise stellte der Hersteller das von ihm maßgeblich mitentwickelte, proprietäre Layer 2 Forwarding Protocol (L2F) vor. Mit Übernahmen von Anbietern wie Altiga im Jahr 2000 baute Cisco seine Position im VPN-Marktsegment weiter aus. Nachdem sich im Lauf der Jahre einige VPN-Tools und zugehörige Techniken - zum Beispiel NAC (Network Access Control) zur Durchsetzung von Richtlinien für den sicheren Zugriff auf Netzwerkressourcen - im Portfolio des kalifornischen Herstellers angesammelt hatten, führte Cisco diese in einer neuen Client-Lösung zusammen. Heraus kam der Cisco Anyconnect VPN Client, der inzwischen Cisco Anyconnect Secure Mobility Client heißt und sowohl IPSec (nur IKEv2) als auch SSL-basierte VPN-Tunnels beherrscht.
Cisco Anyconnect Secure Mobility Client
Aktuell ist die Version 4.1, die ab dem Release 4.1.04011 auch Windows 10 unterstützt. Daneben gibt es die Client-Software auch in Varianten für Mac OS X 10.8 und höher sowie für Linux-Distributionen etwa von Red Hat und Ubuntu. Zusätzlich existieren mobile Clients für Android und IOS. Allerdings sind auf diesen Client-Plattform nicht alle Features der Windows-Fassung vorhanden. So weisen die Linux-Varianten keine Unterstützung für ein Auto-Reconnect nach dem Aufwachen des Computers auf, während das zur Absicherung der Ethernet-Kommunikation dienende und als IEEE 802.1AE standardisierte Verfahren "Media Access Control Security" (MACsec) rein dem Windows-Client vorbehalten ist.
Zusätzlich zum Anyconnect-VPN-Client finden sich mitunter auch Verweise auf den ehemaligen Cisco-VPN-Client. Im Gegensatz zur aktuellen Anyconnect-Software verstand diese früher am Markt stark präsente VPN-Client-Software von Cisco lediglich IPSec (nur IKEv1), aber kein SSL. Außerdem war sie nur für die 32-Bit-Windows-Versionen Windows 2000, XP und Vista gedacht. 64-Bit-Varianten für Windows Vista und Windows 7 hingegen blieben außen vor und wurden erst im letzten Release im Dezember 2011 berücksichtigt. Schon seit Jahren entwickelt Cisco diesen VPN-Client nicht mehr weiter, doch ist er vereinzelt immer noch anzutreffen. Am 29. Juli 2014 jedoch trat er in seine End-of-Life-Phase ein und kann daher nicht mehr bestellt werden.
Weit mehr als nur VPN
Ursprünglich besaß der Anyconnect-VPN-Client eine enge Verwandschaft zu der Open-Source-VPN-Lösung OpenVPN. Mittlerweile ist der VPN-Part jedoch nur noch ein Aspekt in der Client-Software, die Cisco zu einer Art universeller Frontend-Schutzwall ausgebaut hat. Die Unterstützung für 802.1X zum Beispiel gestattet es, den Zugang zum LAN oder WLAN auf bestimmte Benutzer und Geräte einzugrenzen.
Das Posture-Modul der Identity Services Engine (ISE) ermöglicht es, die Compliance des Client-PCs etwa im Hinblick auf die Verwendung aktueller Virenschutzsignaturen zu überprüfen. Abhängig vom Ergebnis dieser Prüfung gewährt ISE entweder den Zugang zum lokalen Netzwerk oder aber stößt Sanierungsmaßnahmen an der Client-Konfiguration an, um den Computer auf aktuellen Stand zu bringen. ISE Posture führt dazu Untersuchungen auf Seiten des Clients durch. Für den Benutzer sind diese Vorgänge unter dem Begriff "System Scan" subsumiert.
Das Web-Security-Modul der Anyconnect-Software kann HTTP-Verkehr zu einem Cisco-Proxy umleiten, der den Inhalt inspiziert und unerwünschte Elemente gemäß einer zentral vorgegebenen Sicherheitsrichtlinie blockiert. Des Weiteren beherbergt der Cisco Anyconnect Secure Mobility Client den AMP Enabler (AMP: Advanced Malware Protection) zur Erkennung und Blockierung von Schadsoftware auf dem Computer. In Kombination mit der Lösung AMP for Endpoint Protection lassen sich Malware-Angriffe auf die hauseigenen Rechner laut Hersteller dadurch in Echtzeit verfolgen.
Seine Intelligenz erlangt der Anyconnect-VPN-Client nicht zuletzt durch passende Gegenstücke auf Server-Seite. Von dort lassen sich Konfigurationseinstellungen ebenso wie Aktualisierungen der Client-Software automatisch beziehen. Entsprechende Sicherheitsgeräte von Cisco gehören zur ASA-Gerätefamilie (Adaptive Security Appliance). Diese sind in einer Reihe von Formfaktoren erhältlich und vereinen beispielsweise VPN-Server, identitätsbasierte Firewall und IPS-Funktionen (Intrusion Prevention System) in einem Gehäuse. ASAs gibt es aber nicht nur in physischer Form, sondern auch in Form einer virtuellen Appliance (ASAV). Diese lassen sich beispielsweise in lokalen VMware-ESX- und Red-Hat-KVM-Umgebungen respektive in der Public Cloud in Kombination mit Amazon Web Services betreiben. Wer möchte, kann somit auch in Public-Cloud- und Hybrid-Cloud-Szenarien auf die vertraute ASA-Funktionalität setzen.
Pulse Secure Desktop Client
Ebenfalls kein Nobody im VPN-Bereich ist der Anbieter Pulse Secure, auch wenn dieser Name bislang vielen noch nicht geläufig ist. Das hat seinen Grund: Im Wesentlichen handelt es sich hier um das Pulse-SSL-VPN-Produktportfolio von Juniper Networks, das in seinen Grundzügen wiederum auf die Übernahme von Neoteris zurückgeht - eines auf SSL-VPN-Fernzugriffe spezialisierten Herstellers. Im Juli 2014 gaben die Verantwortlichen bei Juniper bekannt, den Geschäftsbereich Junos Pulse Mobile Security an die Beteiligungsgesellschaft Siris Capital verkaufen zu wollen. Diese schloss die Transaktion im Oktober 2014 ab und gründete für den Junos-Pulse-Geschäftsbereich die neue, in San José ansässige Firma Pulse Secure.
Seit dem 1. August 2015 werden alle ehedem von Juniper mit dem "Junos Pulse"-Label versehenen Hard- und Softwarelösungen nun ausschließlich von Pulse Secure verkauft und mit Support versehen. Dies betrifft auch die VPN-Client-Software, die nunmehr schlichtweg "Pulse Secure Desktop Client" heißt und aktuell in der Version 5.1.5 vorliegt. Ab dem Release 5.1R4 unterstützt der Pulse-Secure-Desktop-Client auch Windows 10. Varianten für Mac OS X sind ebenso erhältlich wie Clients für Mobilgeräte auf Android- und IOS-Basis.
In Windows 8.1 (und zwar auch in Windows RT, der Spielart für Rechner mit ARM-Prozessor) ist zudem das Junos Pulse In-Box VPN Plug-in enthalten, das Microsoft bei seinem Betriebssystem kostenlos mitliefert. Dieses gestattet den Aufbau einer einzelnen SSL-VPN-Verbindung und unterstützt rudimentäre Funktionen wie das Split-Tunneling. Weitergehende Optionen des vollständigen Pulse Secure Desktop Clients lässt dieses kostenlose VPN-Client-Plug-in jedoch vermissen, darunter auch die Möglichkeit, einen VPN-Tunnel pausieren zu lassen und danach wiederherzustellen.
Standortbestimmung per WLAN
Technisch ist der Pulse Secure Desktop Client auf der Höhe der Zeit. Funktionen wie Location Awareness (Standortkenntnis) gestatten zum Beispiel den automatischen Aufbau der VPN-Verbindung, wenn sich der Benutzer mit seinem Notebook zu Hause befindet. Die Standortbestimmung erfolgt dabei aber nicht über GPS-Positionsdaten, da ein GPS-Modul sich ohnehin nur bei sehr wenigen PCs (meist Notebooks) an Bord befindet. Stattdessen nutzt Pulse Secure zweckmäßigerweise eine Standortbestimmung, die sich der IP-Adresse und des verwendeten Netzwerks bedient. Zur Steigerung der Sicherheit beim Fernzugriff wird eine Zwei-Faktor-Authentifitierung (2FA) unterstützt. Dazu setzt Pulse Secure auf die RSA-Securid-Authentifizierung mittels Hard- oder Soft-Token oder Smartcard.
Angenehm ist auch die Zugangsportalerkennung für WLANs, wie sie beispielsweise in vielen Hotels anzutreffen ist. Oft erfordert solch ein "Captive Portal" die manuelle Eingabe einer Kennung oder die Bestätigung der Nutzungsbedingungen durch den Benutzer, bevor der Zugang zum jeweiligen lokalen Netzwerk und darüber dann zum Internet gewährt wird. Der Pulse Secure Desktop Client für Windows und Mac OS X versucht, derartige Zugangsportale automatisch zu erkennen und initiiert dann keinen automatischen Aufbau der VPN-Verbindung, da ein solcher Versuch ohnehin nur zu einem Fehler führen würde.
Ein nettes Schmankerl ist die Möglichkeit, der Client-GUI ein eigenes Branding zu verpassen und so beispielsweise das firmeneigene Logo oder das Logo des IT-Service-Anbieters in die Benutzeroberfläche der VPN-Client-Software für Windows und Mac OS X aufzunehmen. Durchführbar ist diese Logo-Implantation allerdings nur mit einem Windows-Tool, das beim Hersteller in der Download-Sektion zur Verfügung steht. Sein Einsatz auf einem mit Windows 7 oder höher arbeitenden PC erfordert zudem, dass dort der Pulse Secure Desktop Client bereits installiert ist. Anpassbar sind übrigens nicht nur grafische Elemente in der GUI der VPN-Software, sondern auch die Textinhalte der in verschiedenen Sprachen angezeigten Meldungen. Abschließend muss der Administrator ein neues Client-Paket erstellen und es auf die in Frage kommenden Rechner verteilen.
Auch der Pulse Secure Desktop Client kann seine volle Vielfalt erst in der Zusammenarbeit mit einem Server-Gegenstück aus demselben Hause entfalten - etwa, um von dort automatisiert neue Client-Software zu beziehen, was im Test reibungslos vonstatten ging. Zu diesem Zweck bietet Pulse Secure entsprechende "Secure Access"-Appliances an, die beispielsweise SSL-VPN-Verbindungen und NAC bieten. Neben physischen Varianten sind die Appliances auch als virtuelle Maschine für VMware-ESX- und Red-Hat-KVM-Umgebungen erhältlich.
Fazit
Ciscos Anyconnect Secure Mobility Client ist eine überaus mächtige Lösung mit einer Vielzahl von Optionen, die weit über den reinen VPN-Client-Bereich hinausragen. Die größte Herausforderung für Unternehmen, die diese VPN-Lösung nutzen wollten, lag lange Zeit nicht in der Funktionsvielfalt, sondern der richtigen Lizenzierung. War diese bei der Dreier-Vorgängerversion der Anyconnect-Software noch recht unübersichtlich, hat Cisco das Lizenzmodell bei der Vierer-Version stark vereinfacht. So gibt es jetzt nur noch die beiden Varianten Apex und Plus. Details dazu finden sich im Cisco Anyconnect Ordering Guide.
Angesichts ihrer Funktionsvielfalt kann die VPN-Software von Pulse Secure eine probate Alternative zu Cisco Anyconnect sein - wobei sich die Entscheidung für die eine oder andere Plattform nicht zuletzt an der entweder bereits vorhandenen oder aber künftig gewünschten Server-Lösung orientieren dürfte. In der aktuellen Übergangszeit verweisen manche Links auf der Pulse-Secure-Website noch auf die einst zuständige Juniper-Website, wobei wir ab und an auf nicht vorhandene Webseiten (404-Fehler) stießen. Es bleibt zu hoffen, dass das noch junge Unternehmen Pulse Secure derlei Anfangsschwierigkeiten rasch in den Griff bekommt.
Info: CiscoTel.: 0800/1873652Web: www.cisco.de
Info: Pulse SecureTel.: 0031/20/7125857Web: www.pulsesecure.net
Der Autor auf LANline.de: Eric Tierling
Lesen Sie mehr zum Thema
