Get best of the week

Warum Cisco AnyConnect nicht nur ein VPN-Client ist

Letzte Woche hatte ich eine Diskussion über das Thema Fernzugriff und verschiedene VPN-Clients, die am Arbeitsplatz eines Mitarbeiters eingesetzt werden können, der nach Hause geschickt wurde. Ein Kollege verteidigte eine "patriotische" Position, wonach "Abonnentenpunkte" für inländische Verschlüsseler verwendet werden sollten. Ein anderer bestand auf der Verwendung von Clients aus ausländischen VPN-Lösungen. Ich habe mich an die dritte Position gehalten, die darin besteht, dass eine solche Lösung kein Anhang des Perimeter-Verschlüsselers und nicht einmal des Client-Teils des VPN-Gateways sein sollte. Selbst auf einem produktiven Computer ist es nicht ganz richtig, mehrere Sicherheitsclients zu installieren, die unterschiedliche Aufgaben lösen - VPN, Authentifizierung / Authentifizierung, sicherer Zugriff, Konformitätsbewertung usw. Wenn alle diese und andere Funktionen in einem einzigen Client zusammengefasst sind, wird das System idealerweise reduziert.sowie die Wahrscheinlichkeit einer Inkompatibilität zwischen verschiedenen Sicherheitssoftware. Ein solcher Kunde istCisco AnyConnect , über dessen Funktionen ich kurz berichten möchte.

Bild

Cisco AnyConnect ist eine logische Entwicklung des Cisco VPN-Clients, der seit vielen Jahren nicht nur russifiziert, sondern auch mit vielen verschiedenen Funktionen und Fähigkeiten für den sicheren Remotezugriff auf Unternehmens- oder Cloud-Infrastrukturen unter Verwendung eines von drei Protokollen - TLS, DTLS und IPSec (ebenfalls unterstützt - angereichert wurde Flexvpn) Der erste ist für VPN-Clients recht traditionell und verwendet TCP als Transportmittel für seine Arbeit. Das Tunneln durch TLS bedeutet jedoch, dass TCP-basierte Anwendungen es duplizieren (einmal zum Organisieren von TLS, das zweite für seine Arbeit bereits in TLS). Und UDP-basierte Protokolle ... verwenden sowieso TCP. Dies kann zu gewissen Verzögerungen führen, beispielsweise bei Multimedia-Anwendungen, die für Remote-Arbeiten sehr beliebt sind. Die Lösung für dieses Problem war die Entwicklung des DTLS-Protokolls, das anstelle von TCP UDP für TLS verwendet. AnyConnect unterstützt beide TLS-Implementierungen - basierend auf TCP und UDP, sodass sie je nach Remote-Arbeitsbedingungen flexibel verwendet werden können.In der Regel sind TCP / 443 oder UDP / 443 auf Firewalls oder Proxys zulässig. Daher ist die Verwendung von TLS und DTLS kein großes Problem. In einigen Fällen kann es jedoch erforderlich sein, das IPSec-Protokoll zu verwenden, das auch von AnyConnect (IPSec / IKEv2) unterstützt wird.

Bild

Und auf welchen Geräten kann der von AnyConnect erstellte VPN-Tunnel beendet werden? Ich werde sie einfach auflisten:

  • Cisco ASA 5500- und Cisco ASA 5500-X-Firewalls
  • Cisco Firepower All-In-One-Schutzgeräte
  • Virtuelle ITUs von Cisco ASAv und Cisco ASAv in AWS und Azure
  • Cisco ISR 800/1000 / 4000- und ASR 1000-Router mit Cisco IOS- oder Cisco IOS XE-Netzwerkbetriebssystem
  • Virtuelle Router Cisco CSR 1000v, die unter anderem von einer Reihe russischer Cloud-Anbieter bereitgestellt werden.

Es kann festgestellt werden, dass Sie mit sehr hoher Wahrscheinlichkeit bereits etwas oben Erwähntes am Umfang Ihres Unternehmens- oder Abteilungsnetzwerks haben und diese Geräte verwenden können, um einen sicheren Fernzugriff zu organisieren (Hauptsache, sie bewältigen die zunehmende Belastung ). Darüber hinaus bietet Cisco jetzt ein kostenloses AnyConnect-Lizenzangebot an .

Bild

Interessanterweise haben Sie im Gegensatz zu vielen anderen VPN-Clients viele Möglichkeiten, Cisco AnyConnect auf Ihrem PC oder Mobilgerät zu installieren. Wenn Sie ihnen solche Geräte aus Ihrem eigenen Inventar geben oder Laptops speziell für Mitarbeiter kaufen, können Sie den Schutzclient anstelle des Restes der für Remote-Arbeiten erforderlichen Software einfach vorinstallieren. Aber was tun für Benutzer, die weit entfernt von IT-Fachleuten sind und ihnen keinen Laptop zur Installation der erforderlichen Software zur Verfügung stellen können? Sie können natürlich spezielle Software wie SMS, SCCM oder Microsoft Installer verwenden, aber Cisco AnyConnect verfügt über eine andere Installationsmethode: Beim Zugriff auf das erwähnte VPN-Gateway wird der Client selbst auf den Computer des Benutzers unter Windows, Linux oder macOS heruntergeladen.Auf diese Weise können Sie schnell ein VPN-Netzwerk bereitstellen, selbst auf persönlichen Geräten von Mitarbeitern, die zur Remote-Arbeit geschickt wurden. Mobile Benutzer können Cisco AnyConnect einfach aus dem Apple AppStore oder Google Play herunterladen.

Bild

Aber wie ich oben geschrieben habe, ist Cisco AnyConnect nicht nur ein VPN-Client, es ist viel mehr. Aber ich möchte die Dokumentation hier nicht neu schreiben, sondern versuchen, die Schlüsselfunktionen im Modus der Fragen und Antworten auf diese zu beschreiben (FAQ).

Und wie kann ich garantieren, dass ein Heimanwender nichts im Internet aufnimmt?


AnyConnect verfügt über eine solche Funktion - Always-On VPN, die den direkten Zugriff auf das Internet verhindert, wenn sich der Benutzer nicht im sogenannten vertrauenswürdigen Netzwerk befindet, das Ihre Unternehmensinfrastruktur sein kann. Beachten Sie jedoch, dass diese Funktion sehr flexibel funktioniert. Wenn sich der Benutzer im Unternehmensnetzwerk befindet, wird das VPN automatisch getrennt, und wenn es das Unternehmen verlässt (z. B. wenn der Benutzer von einem Laptop, Tablet oder Smartphone aus arbeitet), wird das VPN erneut aktiviert. darüber hinaus transparent und für den Benutzer unsichtbar. Auf diese Weise wird der Benutzer immer durch am Perimeter installierte Unternehmenssicherheitstools geschützt - eine Firewall, ein Intrusion Prevention-System, ein Anomalie-Analysesystem, ein Proxy usw. Viele Unternehmen geben Unternehmensgeräte an Remote-Mitarbeiter ausLegen Sie die Bedingung für die Verwendung nur für offizielle Zwecke fest. Um die Implementierung dieser Anforderung zu überwachen, enthält AnyConnect Einstellungen, die den Benutzer daran hindern, direkt auf das Internet zuzugreifen.

Bild

Aber kann ich nicht den gesamten Datenverkehr verschlüsseln, sondern nur den Unternehmensverkehr?


Die Always-On-VPN-Funktion ist sehr nützlich, um den Remotezugriff vor von Ihnen ausgegebenen Geräten zu schützen. Wir können den Benutzer jedoch keineswegs dazu zwingen, das zu tun, was wir wollen, insbesondere wenn es um seinen PC geht, auf dem wir keine eigenen Regeln festlegen können. Und der Benutzer möchte nicht, dass sein persönlicher Datenverkehr den Unternehmensbereich durchläuft, und Ihre Administratoren überwachen, welche Websites der Benutzer während der Heimarbeit besucht. Wie sie sagen, "ist es schwierig, mit dem Administrator, der die Protokolle Ihres Proxys gesehen hat, über Moral zu sprechen" :-)

In diesem Fall können Sie die Split-Tunneling-Funktion in Cisco AnyConnect aktivieren, dh die Tunneltrennung. Bei einigen Arten von Datenverkehr, z. B. zur Unternehmensinfrastruktur und zu funktionierenden Clouds, wird der Datenverkehr verschlüsselt und der Datenverkehr zu sozialen Netzwerken oder Online-Kinos wird wie gewohnt ohne Schutz vor AnyConnect ausgeführt. Auf diese Weise können Sie die Interessen des Unternehmens und seiner Mitarbeiter berücksichtigen, die gezwungen sind, den PC des Mitarbeiters zwischen zwei Lebensbereichen zu teilen - persönlich und geschäftlich. Beachten Sie jedoch, dass die Split-Tunneling-Funktion die Sicherheit Ihres Netzwerks beeinträchtigen kann, da der Benutzer eine Infektion im Internet erkennen kann und diese dann über einen sicheren Kanal in das Unternehmen gelangt.

Bild

Kann ich den Datenverkehr bestimmter beispielsweise Unternehmensanwendungen verschlüsseln?


Zusätzlich zur Trennung von vertrauenswürdigem und nicht vertrauenswürdigem Datenverkehr unterstützt Cisco AnyConnect die VPN-Funktion pro App, mit der der Datenverkehr einzelner Anwendungen (auch auf Mobilgeräten) verschlüsselt werden kann. Auf diese Weise können Sie nur bestimmte Anwendungen verschlüsseln (lesen, im Unternehmensnetzwerk starten), z. B. 1C, SAP, Sharepoint, Oracle, und Facebook, LinkedIn oder Personal Office365 können den Unternehmensumfang umgehen. In diesem Fall können für verschiedene Gruppen von Remote-Geräten oder Benutzern eigene Sicherheitsregeln gelten.

Der Benutzer kann jedoch Malware auf einem Heimcomputer abrufen, die dann in das Unternehmensnetzwerk gelangt. Wie gehe ich damit um?


Einerseits kann Cisco AnyConnect prüfen, ob Sie über Cisco AMP for Endpoints-Sicherheit verfügen, und diese installieren, wenn Sie dies nicht tun. Möglicherweise hat der Benutzer jedoch bereits ein eigenes Antivirenprogramm installiert, oder dieses Antivirenprogramm wurde bereits von Ihnen installiert, als Mitarbeiter auf Remote-Arbeit übertragen wurden. Wir alle wissen jedoch, dass das Antivirenprogramm heutzutage nur sehr wenige ernsthafte Bedrohungen abfängt, und es wäre schön, es durch fortschrittlichere Lösungen zur Erkennung von Malware, Anomalien und anderen Angriffen zu ergänzen. Wenn Cisco Stealthwatch in Ihrer Unternehmensinfrastruktur bereitgestellt wird, können Sie problemlos Cisco AnyConnect-Agenten integrieren, die auf den Heimcomputern Ihrer Mitarbeiter installiert sind. AnyConnect integriert ein spezielles NVM-Modul (Network Visibility Module), das die Aktivität eines Knotens in das speziell für diese Aufgabe entwickelte nvzFlow-Protokoll übersetzt.welches es mit zusätzlichen Informationen ergänzt und an überträgtNetflow-Collector , der sowohl Cisco Stealthwatch Enterprise als auch ein beliebiges SIEM sein kann, z. B. Splunk. Das NVM-Modul kann unter anderem folgende Informationen übertragen, anhand derer auf dem Heimcomputer abnormale und böswillige Aktivitäten erkannt werden können, die für das installierte Antivirus unsichtbar blieben:

  • Netzwerkaktivitätsdaten in einem ähnlichen Format wie IPFIX
  • Geräte-ID, Adresse und Name
  • Benutzername
  • Benutzerkontotyp
  • Namen und Kennungen laufender Prozesse und Anwendungen, einschließlich Daten zu ihren „Eltern“.

Diese Funktionalität ist im Wesentlichen eine einfache UEBA (User Entity Behavior Analytics), eine neue Technologie zur Analyse des Verhaltens von Benutzern und Anwendungen / Prozessen, die in ihrem Namen gestartet wurden.

Wie authentifiziere ich Benutzer?


Wenn Benutzer auf Unternehmenscomputern arbeiten, authentifizieren sie sich normalerweise in Active Directory oder einem anderen LDAP-Verzeichnis. Ich möchte die gleiche Möglichkeit mit Remotezugriff erhalten, und Cisco AnyConnect ermöglicht die Implementierung, indem die Authentifizierung durch Login / Passwort unterstützt wird, einschließlich Einmalkennwörtern (z. B. LinOTP), Benutzer- oder Maschinenzertifikaten, Hardware-Token (z. B. Smartcards oder Yubikey). und sogar biometrische Daten und andere Multi-Faktor-Authentifizierungsmethoden. Alle diese Optionen können mithilfe der Protokolle RADIUS, RSA SecurID, SAML, Kerberos usw. problemlos in Ihre Authentifizierungs- und Authentifizierungsverwaltungslösungen integriert werden.

Bild

Und wenn ich Cloud-Plattformen verwende, z. B. Amazon AWS oder MS Azure, wie kann ich dann den Zugriff von Heimbenutzern auf diese Plattformen schützen?


Cisco verfügt über einen virtuellen Cisco CSR 1000-Router, der in Cloud-Umgebungen wie Amazon AWS oder MS Azure bereitgestellt werden kann und von Cisco AnyConnect erstellte VPN-Tunnel beenden kann.

Wenn ein Benutzer von einem persönlichen Gerät aus arbeitet, wie kann ich dann mit diesem Zugriff die Sicherheit meines Netzwerks erhöhen?


Versuchen wir herauszufinden, was ein Benutzer auf einem Computer schlecht oder falsch machen kann, wenn er remote arbeitet. Installieren Sie Software, die Schwachstellen enthält, oder beheben Sie sie einfach nicht rechtzeitig mit Patches. Aktualisieren Sie Ihr Antivirenprogramm nicht oder haben Sie es überhaupt nicht. Verwenden Sie schwache Passwörter. Installieren Sie Software mit schädlichen Funktionen. Dies könnte Ihr Unternehmensnetzwerk gefährden, und kein VPN schützt Sie davor. Aufgrund der Konformitätsbewertungsfunktion kann Cisco AnyConnect jedoch alle erforderlichen und erforderlichen IT / IB-Richtlinien auf Einstellungen überprüfen - Verfügbarkeit von Patches, aktuelle Softwareversionen, aktualisierte Antivirenprogramme, Sicherheitsfunktionen und die richtige Kennwortlänge, bevor Remotecomputerzugriff auf Unternehmensressourcen gewährt wird , Festplattenverschlüsselung, bestimmte Registrierungseinstellungen usw.Diese Funktion wird entweder mithilfe der Host-Scan-Funktion (hierfür benötigen Sie Cisco ASA als RAS-Gateway) oder mithilfe der System-Scan-Funktion implementiert, die von bereitgestellt wirdNetzwerkzugriffskontrollsysteme Cisco ISE .

Bild

Und wenn ich mit einem Tablet oder Smartphone arbeite und mich ständig bewege. Wird meine VPN-Verbindung unterbrochen und muss ich sie jedes Mal neu herstellen?


Nein, nicht. Cisco AnyConnect verfügt über ein spezielles Roaming-Modul, mit dem Sie das VPN nicht nur automatisch und transparent wieder verbinden können, wenn Sie zwischen verschiedenen Verbindungstypen (3G / 4G, Wi-Fi usw.) wechseln, sondern auch Ihr Mobiltelefon automatisch schützen (schließlich ist dies unwahrscheinlich) Tragen Sie einen stationären Heimcomputer mit der Cisco Umbrella-Lösung, die den gesamten DNS-Verkehr auf Zugriff auf Phishing-Sites, Team-Server, Botnets usw. überprüft. Eine Verbindung zu Umbrella ist erforderlich, wenn Sie den Benutzer mit der Split-Tunneling-Funktion aktiviert haben und er unter Umgehung des RAS-Gateways direkt eine Verbindung zu verschiedenen Internetressourcen herstellen kann. Das Modul für die Verbindung mit Cisco Umbrella ist auch dann nützlich, wenn Sie kein VPN verwenden. Der gesamte Datenverkehr wird über diesen Sicherheitsdienst überprüft.

Bild

Und Ihr AnyConnect wird die Qualität von Video- und Sprachtelekonferenzen nicht beeinträchtigen?


Nein. Wie oben beschrieben, unterstützt Cisco AnyConnect das DTLS-Protokoll, das speziell auf den Schutz des Multimedia-Verkehrs abzielt.

Tatsächlich bietet Cisco AnyConnect viel mehr Funktionen. Es kann im Stealth-Modus arbeiten, dynamisch das optimalste RAS-Gateway auswählen, unterstützt IPv6, verfügt über eine integrierte persönliche Firewall, wird fernüberwacht, bietet Zugriffskontrolle, unterstützt RDP usw. Es ist auch russifiziert, damit Benutzer keine Fragen zu den seltenen Nachrichten haben, die Cisco AnyConnect ausgeben kann. Cisco AnyConnect ist also nicht nur ein VPN-Client, sondern eine viel interessantere Lösung für die Bereitstellung eines sicheren Remotezugriffs, der in den letzten Wochen aufgrund der Coronavirus-Pandemie immer beliebter wurde und Arbeitgeber dazu zwingt, bestimmte Kategorien ihrer Mitarbeiter an einen Remote-Standort zu übertragen.

More articles:


All Articles