🚯 🙍 🎚️ Por qué Cisco AnyConnect no es solo un cliente VPN 📺 👨🏿‍🤝‍👨🏻 👩🏾‍🔬

La semana pasada tuve una discusión sobre el tema del acceso remoto y varios clientes VPN que se pueden poner en el lugar de trabajo de un empleado enviado al trabajo a casa. Un colega defendió una posición "patriótica" de que los "puntos de suscriptor" deberían usarse para encriptadores domésticos. Otro insistió en el uso de clientes de soluciones VPN extranjeras. Me adhirí a la tercera posición, que consiste en el hecho de que dicha solución no debería ser un apéndice del codificador perimetral y ni siquiera la parte del cliente de la puerta de enlace VPN. Incluso en una computadora productiva, no es correcto instalar varios clientes de seguridad que resuelvan diferentes tareas: VPN, identificación / autenticación, acceso seguro, evaluación de conformidad, etc. Idealmente, cuando todas estas funciones, así como otras, se combinan en un solo cliente, lo que reduce la carga en el sistema,así como la probabilidad de incompatibilidad entre diferentes programas de seguridad. Uno de esos clientes esCisco AnyConnect , sobre las capacidades que me gustaría contar brevemente.

imagen

Cisco AnyConnect es un desarrollo lógico del Cisco VPN Client, que durante muchos años no solo se ha rusificado, sino que también se ha enriquecido con muchas características y capacidades diferentes para el acceso remoto seguro a la infraestructura corporativa o en la nube utilizando uno de los tres protocolos: TLS, DTLS e IPSec (también compatible Flexvpn) El primero es bastante tradicional para clientes VPN y utiliza TCP como transporte para su trabajo. Sin embargo, hacer un túnel a través de TLS significa que las aplicaciones basadas en TCP lo duplicarán (una vez para organizar TLS, la segunda por su trabajo ya dentro de TLS). Y los protocolos basados en UDP ... usarán TCP de todos modos. Esto puede provocar ciertos retrasos, por ejemplo, para aplicaciones multimedia, que son muy populares para el trabajo remoto. La solución a este problema fue el desarrollo del protocolo DTLS, que en lugar de TCP usa UDP para TLS. AnyConnect admite ambas implementaciones de TLS, basadas en TCP y UDP, lo que les permite ser utilizadas de manera flexible dependiendo de las condiciones de trabajo remotas.Por lo general, TCP / 443 o UDP / 443 están permitidos en firewalls o servidores proxy, por lo que usar TLS y DTLS no es un gran problema. Pero en algunos casos puede ser necesario usar el protocolo IPSec, que también es compatible con AnyConnect (IPSec / IKEv2).

imagen

¿Y en qué dispositivos se puede terminar el túnel VPN creado por AnyConnect? Simplemente los enumeraré:

Cortafuegos Cisco ASA 5500 y Cisco ASA 5500-X
Dispositivos de protección todo en uno Cisco Firepower
Cisco ASAv y Cisco ASAv Virtual ITUs en AWS y Azure
Cisco ISR 800/1000/4000 y ASR 1000 Routers con Cisco IOS o Cisco IOS XE Network OS
Los enrutadores virtuales Cisco CSR 1000v, y se implementan, incluidos varios proveedores de nube rusos.

Cabe señalar que, con una probabilidad muy alta, ya tiene algo mencionado anteriormente en el perímetro de su red corporativa o departamental y puede usar estos dispositivos para organizar el acceso remoto seguro (lo principal es que hacen frente a la creciente carga ). Además, Cisco ahora tiene una oferta de licencia gratuita AnyConnect.

imagen

Curiosamente, a diferencia de muchos otros clientes VPN, tiene muchas opciones para instalar Cisco AnyConnect en su computadora personal o dispositivo móvil. Si les entrega dichos dispositivos de su propio inventario o compra computadoras portátiles especialmente para los empleados, simplemente puede preinstalar el cliente protector en lugar del resto del software requerido para el trabajo remoto. Pero, ¿qué hacer para los usuarios que están lejos de los profesionales de TI corporativos y no pueden proporcionarles su computadora portátil para instalar el software necesario? Por supuesto, puede usar software especializado como SMS, SCCM o Microsoft Installer, pero Cisco AnyConnect tiene otro método de instalación: al acceder a la puerta de enlace VPN mencionada, el cliente mismo se descarga en la computadora del usuario que ejecuta Windows, Linux o macOS.Esto le permite implementar rápidamente una red VPN, incluso en dispositivos personales de trabajadores enviados a trabajo remoto. Los usuarios de dispositivos móviles simplemente pueden descargar Cisco AnyConnect desde Apple AppStore o Google Play.

imagen

Pero como escribí anteriormente, Cisco AnyConnect no es solo un cliente VPN, es mucho más. Pero no quisiera reescribir la documentación aquí, sino tratar de describir las funciones clave en el modo de preguntas y respuestas (FAQ).

¿Y cómo puedo garantizar que un usuario doméstico no recoja nada en Internet?

AnyConnect tiene una función de este tipo: VPN siempre activa, que impide el acceso directo a Internet si el usuario no se encuentra en la llamada red confiable, que puede ser su infraestructura corporativa. Pero tenga en cuenta que esta función funciona de manera muy flexible. Si el usuario está en la red corporativa, la VPN se desconecta automáticamente, y cuando se va (por ejemplo, si el usuario está trabajando desde una computadora portátil, tableta o teléfono inteligente), la VPN se vuelve a encender; además transparente e invisible para el usuario. Por lo tanto, el usuario siempre estará protegido por las herramientas de seguridad corporativas instaladas en el perímetro: un firewall, un sistema de prevención de intrusiones, un sistema de análisis de anomalías, un proxy, etc. Muchas compañías que emiten dispositivos corporativos a trabajadores remotosestablezca la condición para usarlos solo con fines oficiales. Y para monitorear la implementación de este requisito, AnyConnect incluye configuraciones que prohíben que el usuario acceda a Internet directamente.

imagen

¿Pero puedo cifrar no todo el tráfico, sino solo el corporativo?

La función VPN siempre activa es muy útil para proteger el acceso remoto de los dispositivos que ha emitido, pero lejos de siempre podemos obligar al usuario a hacer lo que queramos, especialmente cuando se trata de su computadora personal en la que no podemos establecer nuestras propias reglas. Y el usuario no querrá que su tráfico personal atraviese el perímetro corporativo y sus administradores controlarán qué sitios visita el usuario durante el trabajo a domicilio. Como dicen, "es difícil hablar de moralidad con el administrador que vio los registros de su proxy" :-)

En este caso, puede habilitar la función de túnel dividido en Cisco AnyConnect, es decir, la separación del túnel. Algunos tipos de tráfico, por ejemplo, a la infraestructura corporativa y las nubes de trabajo, el tráfico se cifrará y el tráfico a las redes sociales o cines en línea irá como de costumbre, sin protección de AnyConnect. Esto le permite tener en cuenta los intereses tanto de la empresa como de sus empleados que se ven obligados a compartir la computadora personal del empleado entre dos áreas de la vida: personal y comercial. Pero vale la pena recordar que la función de túnel dividido puede reducir la seguridad de su red, ya que el usuario puede detectar algún tipo de infección en Internet y luego ingresará a la empresa a través de un canal seguro.

imagen

¿Puedo cifrar el tráfico de ciertas aplicaciones, por ejemplo, corporativas?

Además de la separación de tráfico confiable / no confiable, Cisco AnyConnect admite la función VPN por aplicación, que permite cifrar el tráfico de aplicaciones individuales (incluso en dispositivos móviles). Esto le permite cifrar (leer, iniciar en la red corporativa) solo ciertas aplicaciones, por ejemplo, 1C, SAP, Sharepoint, Oracle, y dejar que Facebook, LinkedIn u Office365 personal recorran el perímetro corporativo. En este caso, para diferentes grupos de dispositivos remotos o usuarios pueden tener sus propias reglas de seguridad.

Pero el usuario puede detectar malware en una computadora doméstica, que luego ingresa a la red corporativa. Como lidiar con esto?

Por un lado, Cisco AnyConnect puede verificar si tiene Cisco AMP para la seguridad de Endpoints e instalarlo si no lo tiene. Pero quizás el usuario ya haya instalado su propio antivirus o usted ya instaló este antivirus cuando transfirió a los empleados al trabajo remoto. Sin embargo, todos sabemos que el antivirus hoy en día atrapa muy pocas amenazas graves y sería bueno complementarlo con soluciones más avanzadas para detectar malware, anomalías y otros ataques. Si Cisco Stealthwatch se implementa en su infraestructura corporativa, puede integrar fácilmente los agentes de Cisco AnyConnect instalados en las computadoras domésticas de sus empleados. AnyConnect integra un módulo especial de Módulo de visibilidad de red (NVM) que traduce la actividad de un nodo en el protocolo nvzFlow especialmente desarrollado para esta tarea.que lo complementa con información adicional y transferencias aNetflow-collector , que puede ser tanto Cisco Stealthwatch Enterprise como cualquier SIEM, por ejemplo, Splunk. Entre otras cosas, el módulo NVM puede transmitir la siguiente información, en base a la cual es posible detectar actividad anormal y maliciosa en la computadora del hogar, que permaneció invisible para el antivirus instalado:

datos de actividad de red en un formato similar a IPFIX
ID del dispositivo, dirección y nombre
Nombre de usuario
tipo de cuenta de usuario
nombres e identificadores de procesos y aplicaciones en ejecución, incluidos los datos de sus "padres".

Esta funcionalidad es esencialmente una UEBA liviana (User Entity Behavior Analytics), una nueva tecnología para analizar el comportamiento de los usuarios y las aplicaciones / procesos lanzados en su nombre.

¿Cómo autentico a los usuarios?

Cuando los usuarios trabajan en computadoras corporativas, generalmente se autentican en Active Directory u otro directorio LDAP. Me gustaría tener la misma oportunidad con el acceso remoto, y Cisco AnyConnect permite que se realice mediante la autenticación de inicio de sesión / contraseña, incluidas las contraseñas de un solo uso (por ejemplo, LinOTP), certificados de usuario o máquina, tokens de hardware (por ejemplo, tarjetas inteligentes o Yubikey) e incluso biometría y otros métodos de autenticación multifactor. Todas estas opciones se pueden integrar fácilmente con sus soluciones de autenticación y administración de autenticación utilizando los protocolos RADIUS, RSA SecurID, SAML, Kerberos, etc.

imagen

Y si uso plataformas en la nube, por ejemplo, Amazon AWS o MS Azure, ¿cómo puedo proteger el acceso de los usuarios domésticos a ellas?

Cisco tiene un enrutador virtual Cisco CSR 1000 que se puede implementar en entornos de nube como Amazon AWS o MS Azure, y que puede terminar los túneles VPN creados por Cisco AnyConnect.

Si un usuario trabaja desde un dispositivo personal, ¿cómo puedo aumentar la seguridad de mi red con este acceso?

¿Intentamos descubrir qué puede hacer un usuario mal o mal en una computadora mientras trabaja de forma remota? Instale software que contenga vulnerabilidades, o simplemente no las arregle de manera oportuna con parches. No actualice su antivirus o no lo tenga en absoluto. Usa contraseñas débiles. Instalar software con funcionalidad maliciosa. Esto es algo que podría poner en riesgo su red corporativa y ninguna VPN lo protegerá de ella. Pero Cisco AnyConnect puede, debido a la función de evaluación de conformidad, que le permite verificar todas las políticas de TI / IB necesarias y necesarias para la configuración: disponibilidad de parches, versiones actualizadas de software, antivirus actualizado, características de seguridad y la longitud correcta de la contraseña antes de proporcionar acceso remoto de la computadora a los recursos corporativos , cifrado del disco duro, ciertas configuraciones de registro, etc.Esta característica se implementa utilizando la función de escaneo de host (para esto necesita Cisco ASA como puerta de enlace de acceso remoto) o usando la función de escaneo del sistema, que es proporcionada porsistemas de control de acceso a redes Cisco ISE .

imagen

Y si trabajo con una tableta o teléfono inteligente y me muevo constantemente. ¿Se romperá mi conexión VPN y tendré que restablecerla cada vez?

No, no lo hagas. Cisco AnyConnect tiene un módulo de itinerancia especial que le permite no solo reconectar la VPN de forma automática y transparente al cambiar entre diferentes tipos de conexiones (3G / 4G, Wi-Fi, etc.), sino que también protege automáticamente su dispositivo móvil (después de todo, es poco probable que lo haga) llevar un dispositivo estacionario) usando la solución Cisco Umbrella, que inspeccionará todo el tráfico DNS para acceder a sitios de phishing, servidores de equipo, botnets, etc. Es necesario conectarse a Umbrella si habilitó al usuario con la función de túnel dividido y puede conectarse a varios recursos de Internet directamente, evitando la puerta de enlace de acceso remoto. El módulo para conectarse a Cisco Umbrella será útil incluso si no está utilizando una VPN, entonces todo el tráfico se verificará a través de este servicio de seguridad.

imagen

¿Y su AnyConnect no reducirá la calidad de las teleconferencias de video y voz?

No. Como describí anteriormente, Cisco AnyConnect admite el protocolo DTLS, que está dirigido específicamente a proteger el tráfico multimedia.

De hecho, Cisco AnyConnect tiene muchas más funciones. Puede funcionar en modo oculto, seleccionar dinámicamente la puerta de enlace de acceso remoto más óptima, admite IPv6, tiene un firewall personal incorporado, se controla de forma remota, proporciona control de acceso, admite RDP, etc. También está rusificado para que los usuarios no tengan preguntas sobre esos mensajes raros que Cisco AnyConnect puede emitir. Por lo tanto, Cisco AnyConnect no es solo un cliente VPN, sino una solución mucho más interesante para proporcionar acceso remoto seguro, que en las últimas semanas ha comenzado a ganar popularidad debido a la pandemia de coronavirus, lo que obliga a los empleadores a transferir ciertas categorías de sus empleados a una ubicación remota.

Por qué Cisco AnyConnect no es solo un cliente VPN