本文回顾了PulseConnectSecure被Ivanti收购后的变化,包括ZTNA产品、认证流程、用户权限管理、日志记录、排障工具和升级策略。作者分享了个人维护经历,以及对Ivanti产品安全性和支持的评价。
曾经担任过公司该产品服务的维护,对了解到的状况和曾经的工作做一个记录。 Pulse Connect Secure在2020年被收购,现已变为Ivanti Connect Secure。
Pulse Secure提供了一套ZTNA产品组合,公司主要采用的是vpn软件产品,部署形态上包括硬件和虚拟化。
Pulse Secure主要特点:
一般性的本地+OTP认证拓扑为如下,psa系列的认证阶段还要经过license server,在dc有机柜的项目还可以选择AD,SAML等外部认证,作为厂家安全推荐为LDAP+OTP的组合认证:
不同用户分组对应不同链接,对应不同地址池,不同的角色,主机检查,不同的访问控制等,示例image如下:
给客户的管理员分为PSA和otp两种,PSA管理员一般包含portal查看,日志导出,基本的用户管理权限;otp管理员一般可以进行用户目录查询,本地二维码手机重置等功能。
PSA的日志管理较为丰富,包含admin,user,event等日志默认portal保存5000条左右,按网安法的要求一般还会发往syslog服务器以备需要时导出调查。
排障方面,由于vc后台只能看到基本操作菜单(如重启,清理,创建管理用户等),不对用户提供命令行,GUI上提供的排查工具还是比较多的,包含用户会话,监控,tcpdump,telnet,ntpq等命令集,系统快照,及debug工具。一般排障续约提供所有IVE日志,故障时期的system snapshot。后者用特殊手段加密(日志内容为文本)外人无法解压调查;不过大多时候提供给Ivanti support也查不到个所以,最常用的解决手段莫过于【重启大法】。
在客户端方面PSA支持web和PSA客户端两种,被Ivanti收购后,客户端UI发生了较大变化。
因为收购发生在PSA15版本,所以16以后的版本都是Ivanti logo,PSA本身值更新的18.5,ISA4000或ISA6000都属于Ivanti系列,从PSA无法平滑升级到Ivanti系列,25年末PSA系列将整体EOL。
license server其实也是Ivanti的一台虚机,安装iso时有选项可以安装为license server而已,它本身只为管理客户订阅,版本并不随严格依照EOL,并且不会暴露在公网上。
可选安全选项包括:
1.主机检查:OS种类-杀软,进程,注册表值,MAC,File等 2.Session Number Per User推荐为1 3.用户密码有效期 4.最大会话保持时间 5.密码到期提醒 6.定制Web界面 7.会话空闲超时 8.会话到期提醒 9.不同网络之间会话漫游-默认disable 10.隧道分离-默认关-全隧道 11.always-on等
OTP选项包括:认证密码强度,刷新时间,密码长度,用户数据源(分为本地和AD-LDAPS)
日常工作内容:
1.既存十来个项目的PSA服务日常维护和管理(订阅续约,证书管理,监控,升级和排障等)
2.平台设备(外网FW,License server,otp各个站点,syslog服务器等)的维护和管理
3.和项目经理对应客户咨询,和工程人员对接新增工事等。
众所周知,Ivanti年初发生过如CVE-2024-21887等重大脆弱性,虽然受影响大多为美国主机,国内用户也都心有余悸,加之这个厂家support是一群老印,水平实在不敢恭维,文件下载需要科学上网,所以对Ivanti厂家并没什么好感。仅是因为曾经维护过一段这个产品,简要做一个记录罢了。
扫一扫
2991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
