🐍 😝 🕯️ لماذا Cisco AnyConnect ليس مجرد عميل VPN 🉑 ⛹🏻 🚛

في الأسبوع الماضي ، قمت بمناقشة حول موضوع الوصول عن بعد والعديد من عملاء VPN الذين يمكن وضعهم في مكان عمل الموظف المرسل إلى المنزل. دافع أحد الزملاء عن موقف "وطني" مفاده أنه يجب استخدام "نقاط المشتركين" للمشفرات المحلية. أصر آخر على استخدام العملاء من حلول VPN الأجنبية. لقد التزمت بالمركز الثالث ، والذي يتمثل في حقيقة أن مثل هذا الحل لا ينبغي أن يكون ملحقًا لمشفّر المحيط ولا حتى جزء العميل من بوابة VPN. حتى على جهاز الكمبيوتر المنتج ، ليس من المناسب تمامًا تثبيت العديد من عملاء الأمان الذين سيحلون المهام المختلفة - VPN ، التعريف / المصادقة ، الوصول الآمن ، تقييم المطابقة ، إلخ. من الناحية المثالية ، عندما يتم دمج كل هذه الوظائف ، بالإضافة إلى الوظائف الأخرى ، في عميل واحد ، مما يقلل من الحمل على النظام ،بالإضافة إلى احتمال عدم التوافق بين برامج الأمان المختلفة. أحد هؤلاء العملاء هوCisco AnyConnect ، حول القدرات التي أود أن أخبرها بإيجاز.

إن Cisco AnyConnect هو تطوير منطقي لـ Cisco VPN Client ، والذي لم يكن لسنوات عديدة ليس فقط ينال الجنسية الروسية ، ولكنه غني أيضًا بالعديد من الميزات والقدرات المختلفة للوصول الآمن عن بُعد إلى البنية التحتية للشركات أو السحابة باستخدام واحد من ثلاثة بروتوكولات - TLS و DTLS و IPSec (مدعوم أيضًا Flexvpn) الأول هو تقليدي تمامًا لعملاء VPN ويستخدم TCP كنقل لعمله. ومع ذلك ، يعني النفق عبر TLS أن التطبيقات المستندة إلى TCP ستقوم بتكرارها (مرة واحدة لتنظيم TLS ، والثانية لعملها بالفعل داخل TLS). والبروتوكولات المستندة إلى UDP ستستخدم TCP على أي حال. يمكن أن يؤدي هذا إلى بعض التأخيرات ، على سبيل المثال ، لتطبيقات الوسائط المتعددة ، والتي تحظى بشعبية كبيرة للعمل عن بعد. كان حل هذه المشكلة هو تطوير بروتوكول DTLS ، والذي يستخدم UDP لـ TLS بدلاً من TCP. يدعم AnyConnect كلا من تطبيقات TLS - استنادًا إلى TCP و UDP ، مما يسمح باستخدامهما بمرونة وفقًا لظروف العمل عن بُعد.عادة ، يُسمح باستخدام TCP / 443 أو UDP / 443 على جدران الحماية أو الوكلاء ، وبالتالي فإن استخدام TLS و DTLS ليس مشكلة كبيرة. ولكن في بعض الحالات قد يكون من الضروري استخدام بروتوكول IPSec ، والذي يدعمه أيضًا AnyConnect (IPSec / IKEv2).

وعلى أي أجهزة يمكن إنهاء نفق VPN الذي أنشأه AnyConnect؟ سوف أسردها ببساطة:

Cisco ASA 5500 وجدران حماية Cisco ASA 5500-X
أجهزة Cisco Firepower All-In-One الوقائية
Cisco ASAv و Cisco ASAv Virtuals ITU في AWS و Azure
موجهات Cisco ISR 800/1000/4000 و ASR 1000 مع Cisco IOS أو Cisco IOS XE Network OS
أجهزة التوجيه الافتراضية Cisco CSR 1000v ، ويتم نشرها بما في ذلك عدد من مزودي السحابة الروسية.

يمكن ملاحظة أنه مع احتمال كبير للغاية ، لديك بالفعل شيء مذكور أعلاه على محيط شبكة الشركة أو القسم الخاصة بك ويمكنك استخدام هذه الأجهزة لتنظيم الوصول الآمن عن بعد (الشيء الرئيسي هو أنها تتعامل مع الحمل المتزايد ). علاوة على ذلك ، تتمتع Cisco الآن بعرض ترخيص AnyConnect مجانًا .

من المثير للاهتمام ، على عكس العديد من عملاء VPN الآخرين ، لديك العديد من الخيارات لتثبيت Cisco AnyConnect على جهاز الكمبيوتر الشخصي أو الجهاز المحمول الخاص بك. إذا منحتهم هذه الأجهزة من مخزونك الخاص أو اشتريت أجهزة كمبيوتر محمولة خصيصًا للموظفين ، فيمكنك ببساطة تثبيت عميل الحماية مسبقًا بدلاً من بقية البرامج المطلوبة للعمل عن بُعد. ولكن ماذا تفعل للمستخدمين البعيدين عن محترفي تكنولوجيا المعلومات في الشركات ولا يمكنهم تزويدهم بأجهزة الكمبيوتر المحمول الخاصة بهم لتثبيت البرامج الضرورية؟ يمكنك بالطبع استخدام برامج متخصصة مثل SMS أو SCCM أو Microsoft Installer ، ولكن لدى Cisco AnyConnect طريقة تثبيت أخرى - عند الوصول إلى بوابة VPN المذكورة ، يتم تنزيل العميل نفسه على كمبيوتر المستخدم الذي يعمل بنظام Windows أو Linux أو macOS.هذا يسمح لك بنشر شبكة VPN بسرعة ، حتى على الأجهزة الشخصية للعاملين المرسلين إلى العمل عن بعد. يمكن لمستخدمي الهواتف المحمولة ببساطة تنزيل Cisco AnyConnect من Apple AppStore أو Google Play.

ولكن كما كتبت أعلاه ، فإن Cisco AnyConnect ليس مجرد عميل VPN ، بل هو أكثر من ذلك بكثير. لكني لا أريد إعادة كتابة الوثائق الموجودة عليها هنا ، ولكن أحاول وصف الوظائف الرئيسية في وضع الأسئلة والإجابات عليها (الأسئلة الشائعة).

وكيف أضمن أن المستخدم المنزلي لا يلتقط أي شيء على الإنترنت؟

يحتوي AnyConnect على مثل هذه الميزة - Always-On VPN ، والتي تمنع الوصول المباشر إلى الإنترنت إذا لم يكن المستخدم في ما يسمى بالشبكة الموثوقة ، والتي يمكن أن تكون البنية التحتية لشركتك. لكن لاحظ أن هذه الوظيفة تعمل بمرونة كبيرة. إذا كان المستخدم على شبكة الشركة ، فسيتم قطع اتصال VPN تلقائيًا ، وعندما يغادر (على سبيل المثال ، إذا كان المستخدم يعمل من كمبيوتر محمول أو جهاز لوحي أو هاتف ذكي) ، يتم تشغيل VPN مرة أخرى ؛ وعلاوة على ذلك شفافة وغير مرئية للمستخدم. وبالتالي ، ستتم حماية المستخدم دائمًا من خلال أدوات أمان الشركة المثبتة على المحيط - جدار الحماية ، ونظام منع التطفل ، ونظام تحليل الشذوذ ، الوكيل ، إلخ. العديد من الشركات التي تصدر أجهزة الشركات للعاملين عن بعدتحديد شرط استخدامها فقط للأغراض الرسمية. ولرصد تنفيذ هذا المطلب ، يتضمن AnyConnect الإعدادات التي تمنع المستخدم من الوصول إلى الإنترنت مباشرة.

ولكن هل يمكنني تشفير كل حركة المرور ، ولكن ليس الشركات فقط؟

تعد وظيفة Always-On VPN مفيدة جدًا لحماية الوصول عن بعد من الأجهزة التي أصدرتها ، ولكن بعيدًا عن كل شيء يمكننا أن نجبر المستخدم على القيام بما نريد ، خاصة عندما يتعلق الأمر بجهاز الكمبيوتر الشخصي الذي لا يمكننا وضع قواعدنا الخاصة به. ولن يرغب المستخدم في مرور حركة المرور الشخصية الخاصة به من خلال محيط الشركة وسيراقب المشرفون المواقع التي يزورها المستخدم أثناء العمل في المنزل. كما يقولون ، "من الصعب التحدث عن الأخلاق مع المسؤول الذي رأى سجلات وكيلك" :-)

في هذه الحالة ، يمكنك تمكين ميزة تقسيم الأنفاق على Cisco AnyConnect ، أي فصل النفق. بعض أنواع حركة المرور ، على سبيل المثال ، إلى البنية التحتية للشركة وسحب العمل ، سيتم تشفير حركة المرور ، وستسير حركة المرور على الشبكات الاجتماعية أو دور السينما عبر الإنترنت كالمعتاد ، دون حماية من AnyConnect. يسمح لك هذا بمراعاة مصالح كل من الشركة وموظفيها الذين يضطرون إلى مشاركة الكمبيوتر الشخصي للموظف بين مجالين من مجالات الحياة - الشخصية والتجارية. ولكن تجدر الإشارة إلى أن وظيفة تقسيم الأنفاق يمكن أن تقلل من أمان شبكتك ، حيث يمكن للمستخدم التقاط نوع من العدوى على الإنترنت ، ومن ثم ستدخل الشركة عبر قناة آمنة.

هل يمكنني تشفير حركة مرور تطبيقات معينة ، على سبيل المثال ، الشركات؟

بالإضافة إلى الثقة / عدم الثقة في حركة المرور ، يدعم Cisco AnyConnect ميزة VPN لكل تطبيق ، والتي تسمح بتشفير حركة مرور التطبيقات الفردية (حتى على الأجهزة المحمولة). يتيح لك هذا تشفير (قراءة ، تشغيل على شبكة الشركة) فقط تطبيقات معينة ، على سبيل المثال ، 1C ، SAP ، Sharepoint ، Oracle ، والسماح لـ Facebook أو LinkedIn أو Office365 الشخصي بالالتفاف حول محيط الشركة. في هذه الحالة ، بالنسبة لمجموعات مختلفة من الأجهزة البعيدة أو المستخدمين قد يكون لديهم قواعد الأمان الخاصة بهم.

ولكن يمكن للمستخدم التقاط البرامج الضارة على جهاز كمبيوتر منزلي ، والذي يدخل بعد ذلك في شبكة الشركة. كيفية التعامل مع هذا؟

من ناحية ، يمكن لـ Cisco AnyConnect التحقق مما إذا كان لديك أمان Cisco AMP for Endpoints وتثبيته إذا لم يكن لديك. ولكن ربما يكون المستخدم قد قام بالفعل بتثبيت برنامج مكافحة الفيروسات الخاص به أو تم تثبيت برنامج مكافحة الفيروسات هذا بالفعل عند نقل الموظفين إلى العمل عن بعد. ومع ذلك ، فإننا نعلم جميعًا أن برامج مكافحة الفيروسات اليوم تكشف عن عدد قليل جدًا من التهديدات الخطيرة وسيكون من الجيد تكميلها بحلول أكثر تقدمًا للكشف عن البرامج الضارة والشذوذ والهجمات الأخرى. إذا تم نشر Cisco Stealthwatch في البنية الأساسية لشركتك ، يمكنك بسهولة دمج وكلاء Cisco AnyConnect المثبتين على أجهزة الكمبيوتر المنزلية للموظفين لديك. يدمج AnyConnect وحدة نمطية خاصة لرؤية الشبكة (NVM) تترجم نشاط العقدة إلى بروتوكول nvzFlow المطور خصيصًا لهذه المهمة.الذي يكملها بمعلومات إضافية ويرسل إلىNetflow-collector ، والتي يمكن أن تكون Cisco Stealthwatch Enterprise وأيًا من SIEM ، على سبيل المثال ، Splunk. من بين أمور أخرى ، يمكن لوحدة NVM نقل المعلومات التالية ، والتي يمكن على أساسها الكشف عن نشاط غير طبيعي وضار على جهاز الكمبيوتر المنزلي ، والذي ظل غير مرئي لمكافحة الفيروسات المثبتة:

بيانات نشاط الشبكة بتنسيق مشابه لـ IPFIX
معرف الجهاز وعنوانه واسمه
اسم المستخدم
نوع حساب المستخدم
أسماء ومُعرّفات العمليات والتطبيقات قيد التشغيل ، بما في ذلك بيانات عن "آبائهم".

هذه الوظيفة هي في الأساس UEBA خفيف الوزن (تحليلات سلوك كيان المستخدم) ، وهي تقنية جديدة لتحليل سلوك المستخدمين والتطبيقات / العمليات التي يتم إطلاقها نيابة عنهم.

كيف أقوم بمصادقة المستخدمين؟

عندما يعمل المستخدمون على أجهزة كمبيوتر الشركة ، فإنهم عادةً ما يقومون بالمصادقة في Active Directory أو دليل LDAP آخر. أود أن أحصل على نفس الفرصة مع الوصول عن بُعد ، ويسمح Cisco AnyConnect بتحقيقها من خلال دعم مصادقة تسجيل الدخول / كلمة المرور ، بما في ذلك كلمات المرور لمرة واحدة (على سبيل المثال ، LinOTP) ، وشهادات المستخدم أو الجهاز ، أو رموز الأجهزة (على سبيل المثال ، البطاقات الذكية أو Yubikey) ، وحتى القياسات الحيوية وطرق المصادقة متعددة العوامل الأخرى. يمكن دمج جميع هذه الخيارات بسهولة مع حلول المصادقة وإدارة المصادقة باستخدام بروتوكولات RADIUS و RSA SecurID و SAML و Kerberos وما إلى ذلك.

وإذا كنت أستخدم الأنظمة الأساسية السحابية ، على سبيل المثال ، Amazon AWS أو MS Azure ، فكيف يمكنني حماية المستخدمين المنزليين من الوصول إليها؟

تمتلك Cisco جهاز توجيه افتراضي Cisco CSR 1000 يمكن نشره في البيئات السحابية مثل Amazon AWS أو MS Azure ، والتي يمكنها إنهاء أنفاق VPN التي أنشأتها Cisco AnyConnect.

إذا كان المستخدم يعمل من جهاز شخصي ، فكيف يمكنني زيادة أمان شبكتي باستخدام هذا الوصول؟

دعنا نحاول معرفة ما يمكن للمستخدم القيام به بشكل سيئ أو خاطئ على جهاز الكمبيوتر أثناء العمل عن بعد؟ قم بتثبيت البرامج التي تحتوي على ثغرات أمنية ، أو ببساطة لا تقم بإصلاحها في الوقت المناسب باستخدام التصحيحات. لا تقم بتحديث مضاد الفيروسات الخاص بك أو لا تمتلكه على الإطلاق. استخدم كلمات مرور ضعيفة. تثبيت البرنامج بوظائف ضارة. هذا شيء يمكن أن يعرض شبكة شركتك للخطر ولن يحميك أي VPN منها. ولكن يمكن لـ Cisco AnyConnect ، بسبب وظيفة تقييم المطابقة ، التي تسمح لك بالتحقق من جميع سياسات IT / IB اللازمة والمطلوبة للإعدادات - توفر التصحيحات ، وإصدارات البرامج الحديثة ، وبرامج مكافحة الفيروسات المحدثة ، وميزات الأمان ، وطول كلمة المرور الصحيحة قبل توفير وصول الكمبيوتر البعيد إلى موارد الشركة ، تشفير محرك الأقراص الثابتة ، إعدادات تسجيل معينة ، إلخ.يتم تنفيذ هذه الميزة إما باستخدام وظيفة Host Scan (لهذا تحتاج إلى Cisco ASA كبوابة وصول عن بعد) ، أو باستخدام وظيفة Scan System ، التي يتم توفيرها بواسطةأنظمة التحكم في الوصول إلى الشبكة Cisco ISE .

وإذا كنت أعمل مع جهاز لوحي أو هاتف ذكي وكنت أتحرك باستمرار. هل سينقطع اتصال VPN الخاص بي وسأحتاج إلى إعادة إنشائه في كل مرة؟

لا لا. يحتوي Cisco AnyConnect على وحدة تجوال خاصة تسمح لك بإعادة ربط VPN تلقائيًا وبشفافية عند التبديل بين أنواع الاتصالات المختلفة (3G / 4G و Wi-Fi وما إلى ذلك) ، ولكن أيضًا حماية هاتفك المحمول تلقائيًا (بعد كل شيء ، من غير المحتمل أن حمل جهاز كمبيوتر منزلي ثابت) باستخدام حل Cisco Umbrella ، الذي سيفحص جميع حركة مرور DNS للوصول إلى مواقع التصيد ، وخوادم الفريق ، وشبكات الروبوت ، وما إلى ذلك. يلزم الاتصال بـ Umbrella إذا قمت بتمكين المستخدم من خلال وظيفة تقسيم الأنفاق ويمكنه الاتصال بموارد الإنترنت المختلفة مباشرة ، متجاوزًا بوابة الوصول عن بُعد. ستكون الوحدة النمطية للاتصال بـ Cisco Umbrella مفيدة حتى إذا كنت لا تستخدم VPN - سيتم التحقق من كل حركة المرور من خلال خدمة الأمان هذه.

وهل AnyConnect الخاص بك لن يقلل من جودة مؤتمرات الفيديو والصوت؟

لا. كما وصفت أعلاه ، يدعم Cisco AnyConnect بروتوكول DTLS ، الذي يهدف بشكل خاص إلى حماية حركة مرور الوسائط المتعددة.

في الواقع ، يحتوي Cisco AnyConnect على الكثير من الميزات. يمكن أن يعمل في وضع التخفي ، واختيار ديناميكيًا لأفضل بوابة وصول عن بعد ، ويدعم IPv6 ، ولديه جدار حماية شخصي مدمج ، ويتم مراقبته عن بُعد ، ويوفر التحكم في الوصول ، ويدعم RDP ، إلخ. كما أنه يحمل الطابع الروسي حتى لا يكون لدى المستخدمين أسئلة تتعلق بتلك الرسائل النادرة التي يمكن لـ Cisco AnyConnect إصدارها. لذا ، فإن Cisco AnyConnect ليس مجرد عميل VPN ، ولكنه حل أكثر إثارة للاهتمام لتوفير وصول آمن عن بعد ، والذي بدأ في الأسابيع الأخيرة يكتسب شعبية بسبب وباء الفيروسات التاجية ، مما يجبر أصحاب العمل على نقل فئات معينة من موظفيهم إلى موقع بعيد.

لماذا Cisco AnyConnect ليس مجرد عميل VPN