Die Übernahme von Pulse Secure durch Ivanti ist nun schon eine Weile vollzogen. Es hat sich einiges getan und die neue Plattform ist nun auch in der Entwicklung 1. Priorität. Die neue Generation startete mit 21.9R1 ja schon im Oktober 2021 und mit dem aktuellen Release 22.4R2 und dem TLS 1.3 Support ist man nun Security-technisch auf der Höhe der Zeit angekommen. Das Pulse Secure Release 9.1Rx wird noch bis Dezember 2025 weitergepflegt. Die Feature Parität wird aber wohl verloren gehen, hier wird es zum Beispiel keinen TLS1.3 Support geben.

Alle Neuerungen werden nun auf der Ivanti Connect Secure vorangetrieben. Der Umstieg ist mit Export und Import der Konfiguration auf die neuen Ivanti Secure Access Appliances recht einfach, was aber nicht die eigene Verifizierung und das Testen abnimmt.

Alle aktuellen Features findet man natürlich in den Release Notes oder auch hier in einer Übersicht: www.ivanti.com/resources/v/doc/ivi/2516/9c01b1c709cb


Geschichtliches

Juniper Networks Secure Access SSL VPN
Quelle: www.amazon.com.br/Kevin-Miller/e/B002IYX8TG%3Fref=dbs_a_mng_rwt_scns_share, abgerufen am 26.04.2023.

Wer sich gern an die guten alten Zeiten erinnern mag, kann ja mal den Werdegang vom Instant Virtual Environment (IVE) von Neoteris – Netscreen – Juniper – Pulse Secure – Ivanti nachvollziehen. Irgendwie scheint die Idee die Zeiten zu überdauern.


Abschied von der Dana-Street

Auch die Dana-Street verschwindet langsam aus der URL. Das ist vielleicht so ein kleines sentimentales Easteregg, wie man es früher ab und zu in den Produkten fand. Das konnte man mal in einem Buch nachlesen. Heute muss es schnell gehen und man nimmt eine online Version zur Hand.

Note Neoteris Dana Street Roasting Company
Quelle: Juniper(r) Networks Secure Access SSL VPN Configuration Guide, Rob Cameron, Neil R. Wyler, Elsevier Inc., 2007, Seite xii.

Aber Namen sind bekanntlich «Schall und Rauch» und dennoch ein paar hoffentlich aufklärende Tipps für die Akronyme. Aus der Pulse Connect Secure – PCS – wurde nun die Ivanti Connect Secure – ICS – und diese Software läuft auf einer virtuellen oder physischen Ivanti Secure Appliance – ISA. Die Variante für die Network Authentication Pulse Policy Secure – PPS – wurde zur Ivanti Policy Secure – IPS.

Der Pulse Desktop Client wird nun zu Ivanti Secure Access Client – ISAC – oder auch zu Ivanti Unified Client.


Was hat sich nun alles geändert und was darf man erwarten?

Hardware

Ivanti Security Appliance
Quelle: https://help.ivanti.com/ps/help/en_US/ISA/6000hw/resources/images/isa6000-hardware-guide-v1.0/isa6000-hardware-guide-v1.0_1.png, abgerufen am 25.04.2023.

Mit den Hardware-basierten Appliances bietet Ivanti eine eigenständige Basis für schnelles und effektives Client VPN in allen seinen Varianten an.

Einen Quick Overview gibt es hier: www.ivanti.com/resources/library/datasheets/ivi-2648-ivanti-security-appliance.pdf

Details zur Hardware findet man hier: help.ivanti.com/ps/help/en_US/ISA/6000hw/isa-hardware/hardware_specifications.htm

help.ivanti.com/ps/help/en_US/ISA/8000hw/isa-hardware/hardware_specifications.htm

Virtual Appliances

Die virtuellen Varianten bieten auf nahezu allen wichtigen Virtualisierungsplattformen und auch in der Cloud eine Alternative und damit freie Wahl.

VMWare, KVM, Hyper-V und Nutanix für on premise Virtualisierung und Microsoft Azure, AWS und Google Cloud Plattform werden unterstützt.

Kernel Updates

    • Bessere Performance, was man nicht nur anhand der Daten spürt
    • New Kernel SELinux, für eine noch bessere Sicherheit
    • Kernel Updates sollen in Zukunft möglich sein
    • TPM Support für die Hardware based Appliances
    • Client VPN based on WireGuard Encryption

 

Die Performance und insbesondere der VPN-Durchsatz wurden Dank eines neuen Kernels, TLS 1.3 und mehr Cores deutlich gesteigert.

Delivering Performance for Remote First Work
Quelle: Produktpräsentation Ivanti "Benefit of ICS/ISA over PCS/PSA", 2022, Folie 11. Mit freundlicher Unterstützung von Ivanti.

Beim Client entfiel der Support der Juniper SRX Gateways schon mit 9.1R15, was sicherlich ein Plus ist und der embedded Browser für HotSpot und SAML Authentication ist für die Windows Platform auch auf Microsoft Edge WebView2 based Embedded Browser umgestellt.

MS Edge wird nun als externer Browser angesprochen.

help.ivanti.com/ps/help/en_US/ISAC/22.X/rn-22.X/new-features.htm

TLS 1.3

Mit der nun verfügbaren Version 1.3 für die Transport Layer Security sind wir auf dem aktuellen Stand für die Security und etwas schneller.

    • Nur noch Cipher mit perfect forward secrecy
    • Keine Neuaushandlung mehr im Nachhinein
    • Reduzierung von optionalen Möglichkeiten und beim Handshake
    • Reduzierung der Cipher Suites

TLS 1.3 muss nach dem Update auf 22.4R2 manuell konfiguriert werden.

ICS Inbound Settings

Wie gewohnt, können auch hier die Cipher selektiv bestimmt werden.

ICS SSL Cipher Selection

Für die Nutzung im Client VPN benötigt man den neuen Client ab 22.4 oder höher.

Mit den Browsern gibt es wohl generell ein Problem, da der Enabling TLS 1.3 version for inbound SSL connections cause the older version of Pulse/ISAC client or ICS clients (Terminal services, Citrix etc) connections to fail. (ivanti.com)

Wenn certificate based Authentication mit den Browsern auf der ICS mit TLS1.3 enabled verwendet werden soll, geht das nur mit dem Firefox und dem entsprechenden Workaround. Also bitte vorab testen. Die Post-handshake-Authentication ist immer noch ein offenes Problem. Siehe Bugreport 91153 oder Impact on browser based Certificate Authentication with TLS 1.3 Enforcement (ivanti.com)

ICS Secure Connection Settings

IPv6 Extension

Einige Erweiterungen für IPv6 wie Static routing, LDAP Server with IPv6, File Resource Profiles, Support für Log Archiving, hostChecker und, und, und sind dazu gekommen.

Links zu den new Features

Zur Anpassung an die Anforderungen vom Microsoft Active Directory wurde die Unterstützung der AES 256 e-type encryption sowohl in 9.1R17 und in 22.3R1 implementiert. Die OAuth2 Unterstützung, auch ein paar SAML enhancements und vieles mehr findet man in den Release Notes.

UEBABehaviour analytics und GeoIP-basierte Zugriffsbeschränkungen auf Realm-Ebene.

OIDC – OpenID Connect wird nun auch bei den Authentication Servern angeboten und ist für die Anbindung heutiger cloud-basierter Identity Provider wichtig. Dafür sind auch Guides verfügbar, die bei der Implementierung helfen.

Oberflächliches

Für den Admin wurde die alte UI aus der Juniper-Zeit beziehungsweise davor entfernt und die neue UI von 2015 ist nun die einzige verfügbare Variante, die durchaus einige Vorteile hat.

Für die Benutzer gibt es eine neuere Version in dem Portal und auch der Client bekommt eine modernere Alternative, wenn man mag.

Das mag zwar nur ein neues Look and Feel sein, aber es trägt auch zu Akzeptanz bei den Endbenutzern bei.

Hier die Browser Variante

AVALAB SSLVPN Ivanti

Oder im Ivanti Secure Access Client, der als universelle Client auch für ZTA verwendet wird.

VPN Ivanti Secure Access Client
Ivanti Secure Access Client

Altlasten entsorgt

Zu den Features, die es nun nicht mehr gibt, gehören vor allem die Unterstützung von alten Backend-Systemen, ein paar Authentisierungsmethoden und das Secure Meeting und dazu findet man in der Knowledge Base von Pulse Secure noch alle Details: kb.pulsesecure.net/articles/Pulse_Secure_Article/KB45044/?kA13Z000000L3mE

Das Basic HTML5 – basierend auf dem Open Source Projekt Guacamole wurde nun endgültig durch das advanced HTML5 von BeyondSSL ersetzt. Das bietet nicht nur mehr Protokolle wie VNC, sondern auch im Detail mehr Möglichkeiten. Zum Beispiel Multimonitoring, Session Recording und einiges mehr.

Dieser reine browser-basierte Zugriff mag vielleicht nicht alle Wünsche erfüllen, aber die Inkompatibilitäten mit Client Versionen, das Deployment dieser Komponenten ist man damit los. Die Unterstützung quasi aller Plattformen ist ein nicht zu unterschätzender Gewinn.

Migration

Eigentlich ist mit dem Export der Konfigurationen und dem Import auf der neuen ISA alles passiert, aber dennoch müssen wir das ganze sinnvoll planen und testen. Dafür gibt es diesen Guide help.ivanti.com/ps/help/en_US/ICS/22.x/mig/landingpage.htm und auch wir stehen mit Rat und Tat parat. Die neueren Clients sind mit der aktuellen Version der Appliances compatible und die Erfahrungen mit dem ISAC 22.3R1 sind wirklich positiv.

Ivanti Product Roadmap
Quelle: Produktpräsentation Ivanti "Pulse Secure Appliance and 9.1Rx Release EOL Announcement ", 07/2022, Folie 3. Mit freundlicher Unterstützung von Ivanti.

Zentrales Management – nSA – neurons for Secure Access

Ivanti hat auch das zentrale Management Pulse One durch Ivanti neurons ersetzt. Die Cloud-basierte Lösung bietet zentrales Policy Management und die erweiterten Analyse-Möglichkeiten der Log-Informationen machen den Einsatz vor allem in grösseren Umgebungen interessant und es ist auch ein Schritt hin zum Zero Trust Access Ansatz.

    • Single Instance for Connect Secure and Zero Trust Gateways
    • Central Configuration Management
    • Hybrid Cloud Configuration Support
    • User Behaviour Analytics
    • Gateway Lifecycle Management
    • Mit Integrationen in weitere Ivanti oder Thirdparty Produkte SIEM, UEM, Vulnerability Management und mehr

www.ivanti.com/products/ivanti-neurons-for-secure-access

Zero Trust Access

ZTA ist eigentlich in aller Munde und auch Pulse Secure hat die eine und andere Variante dazu vorangetrieben.

www.ivanti.com/products/ivanti-neurons-zero-trust-access

Schon 2018 auf einer Pulse Secure Konferenz in Madrid ging es um die Themen, Zugriff erst nach Authentisierung, natürlich starke Authentisierung, und mit Überpüfung der Clients – compliance checks, egal wo man ist – on the road oder im Office.

Heute bietet das Neurons for Zero Trust Access (nZTA) von Ivanti einen dynamischen Übergang vom heutigen bestehenden Client VPN auf Basis der Connect Secure hin zu einer ZTA-Lösung, die ICS als Möglichkeit in sich aufnimmt. Der Client ist dafür vorbereitet und kann mehrere Tunnel gleichzeitig zu ZTA-Gateways und zur ICS aufbauen. Die Control-Plane wird dann in die Cloud verschoben und bietet den Dark-Cloud-Ansatz («access to resources after authN und establishing connection») und die Ivanti Connect Secure den Zugriff auf die internen Ressourcen. Die anderen Gateways bilden damit die Data-Plane ab.

Architecture for a hybrid zero trust secure access solution
Quelle: Ivanti Produktpräsentation vom November 2022, Folie 28. Mit freundlicher Unterstützung von Ivanti.

Fazit

Die Möglichkeiten sind immer noch kaum mit anderen Mitbewerbern zu vergleichen. Wer eine Lösung für Clientless Access zu internen Ressourcen wie Web, Files, Terminal-Services, ssh, telnet, VNC und Client-VPN mit IPSec, SSL oder via IKEv2 benötigt, sucht wohl vergeblich bei anderen Herstellern.

Weiterführende Links:
www.telerik.com/blogs/tls-1-3-what-is-it-why-use-it
www.avantec.ch/loesungen/ivanti-connect-secure/