Utilizziamo dispositivi Pulse Secure per accesso remoto. Hai alcune domande su come potremmo utilizzare il Secure Application Manager (SAM) per gestire alcuni scenari specifici.
Attualmente utilizziamo SAM per permettere ai dipendenti di connettersi e RDP su un server “jump” dai loro computer di casa (i laptop aziendali ricevono una connessione VPN completa).
SAM funziona bene in questo scenario, ma ho realizzato che non ho la più pallida idea di come funzioni a livello di basso livello. Non è una VPN completa - non c’è un’interfaccia virtuale e il computer client non ottiene un indirizzo IP sulla rete aziendale. Quando ti connetti tramite RDP a un host, l’host vede la connessione come proveniente dall’indirizzo IP di Pulse Secure.
In qualche modo, il client SAM si collega allo stack TCP/IP sul client e proxy traffico destinato alla rete host tramite la scatola Pulse Secure.
Qualcuno ha documentazione su come fa le sue magie SAM? Siamo particolarmente interessati a come vengono gestite le ricerche DNS.
Per tua informazione - hanno terminato WSAM, ma credo che JSAM sarà ancora supportato - https://kb.pulsesecure.net/articles/Pulse_Technical_Bulletin/TSB43810
Per quanto riguarda come funziona WSAM, puoi vedere qui - https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB9536
So di aver visto materiale più approfondito negli ultimi anni su WSAM/JSAM, ma non riesco a trovarlo al momento.
Se usi WSAM o JSAM solo per RDP, puoi farlo senza client direttamente dal sito del portale Pulse.
Con WSAM, ciò che succede è che il client installa un driver tramite l’interfaccia del driver di trasporto (TDI). Quando configurato per singola app, WSAM cerca un processo specifico e intercetta tutto il traffico di quel processo. Anche le query DNS a un host vengono intercettate e risolte dall’Appliance Pulse Secure (PSA). Una volta che l’indirizzo è risolto e l’accesso è concesso, il client WSAM creerà un canale di port forwarding per inviare tutto il traffico al PSA.
Se si utilizza il traffico basato sulla destinazione, si comporta praticamente come JSAM. Devi fornire una ricerca DNS esterna affinché il traffico venga intercettato; altrimenti la connessione fallirà.
Ugh.
JSAM - java - no grazie.
Quel articolo kb aiuta un po’, ma è incompleto. Per esempio, se stiamo utilizzando la modalità IP di destinazione, e sul client utilizzo msctsc.exe /v:host.mycompany.com, come e quando SAM intercetta la query DNS e la invia al dispositivo Pulse per la risoluzione?
Non può lasciare che il client faccia la risoluzione DNS perché l’host DNS nativo del client non conosce mycompany.com.