🚵 🙅🏿 🏎️ Pourquoi Cisco AnyConnect n'est pas seulement un client VPN 🖐🏻 🕺 🧙🏻

La semaine dernière, j'ai eu une discussion sur le thème de l'accès à distance et de divers clients VPN qui peuvent être placés sur le lieu de travail d'un employé envoyé à son domicile. Un collègue a défendu une position «patriotique» selon laquelle les «points d'abonné» devraient être utilisés pour les chiffreurs nationaux. Un autre a insisté sur l'utilisation de clients provenant de solutions VPN étrangères. J'ai adhéré à la troisième position, qui consiste dans le fait qu'une telle solution ne doit pas être un appendice du chiffreur de périmètre et même pas la partie cliente de la passerelle VPN. Même sur un ordinateur productif, il n'est pas tout à fait correct d'installer plusieurs clients de sécurité qui résoudront différentes tâches - VPN, identification / authentification, accès sécurisé, évaluation de la conformité, etc. Idéalement, lorsque toutes ces fonctions, ainsi que d'autres, sont combinées au sein d'un même client, ce qui réduit la charge sur le système,ainsi que la probabilité d'incompatibilité entre différents logiciels de sécurité. Un de ces clients estCisco AnyConnect , sur les capacités dont je voudrais parler brièvement.

Cisco AnyConnect est un développement logique du client VPN Cisco, qui depuis de nombreuses années a non seulement été russifié, mais aussi enrichi de nombreuses fonctionnalités et capacités différentes pour un accès distant sécurisé à l'infrastructure d'entreprise ou cloud en utilisant l'un des trois protocoles - TLS, DTLS et IPSec (également pris en charge Flexvpn) Le premier est assez traditionnel pour les clients VPN et utilise TCP comme transport pour son travail. Cependant, le tunneling via TLS signifie que les applications basées sur TCP le dupliqueront (une fois pour l'organisation de TLS, la seconde pour son travail déjà à l'intérieur de TLS). Et les protocoles basés sur UDP utiliseront TCP de toute façon. Cela peut entraîner certains retards, par exemple pour les applications multimédias, qui sont très appréciées pour le travail à distance. La solution à ce problème a été le développement du protocole DTLS, qui au lieu de TCP utilise UDP pour TLS. AnyConnect prend en charge les deux implémentations TLS - basées sur TCP et UDP, ce qui leur permet d'être utilisées de manière flexible en fonction des conditions de travail à distance.En règle générale, TCP / 443 ou UDP / 443 sont autorisés sur les pare-feu ou les proxys, et donc l'utilisation de TLS et DTLS n'est pas un gros problème. Mais dans certains cas, il peut être nécessaire d'utiliser le protocole IPSec, qui est également pris en charge par AnyConnect (IPSec / IKEv2).

Et sur quels appareils le tunnel VPN créé par AnyConnect peut-il être terminé? Je vais simplement les énumérer:

Pare-feu Cisco ASA 5500 et Cisco ASA 5500-X
Dispositifs de protection tout-en-un Cisco Firepower
UIT virtuels Cisco ASAv et Cisco ASAv dans AWS et Azure
Routeurs Cisco ISR 800/1000/4000 et ASR 1000 avec Cisco IOS ou Cisco IOS XE Network OS
Routeurs virtuels Cisco CSR 1000v, et ils sont déployés, y compris un certain nombre de fournisseurs de cloud russes.

On peut noter qu'avec une probabilité très élevée, vous avez déjà quelque chose mentionné ci-dessus sur le périmètre de votre réseau d'entreprise ou départemental et vous pouvez utiliser ces appareils pour organiser un accès distant sécurisé (l'essentiel est qu'ils font face à la charge croissante ). De plus, Cisco propose désormais une offre de licence AnyConnect gratuite .

Fait intéressant, contrairement à de nombreux autres clients VPN, vous disposez de nombreuses options pour installer Cisco AnyConnect sur votre ordinateur personnel ou appareil mobile. Si vous leur donnez de tels appareils à partir de votre propre inventaire ou achetez des ordinateurs portables spécialement pour les employés, vous pouvez simplement préinstaller le client de protection au lieu du reste du logiciel requis pour le travail à distance. Mais que faire pour les utilisateurs qui sont loin des professionnels de l'informatique d'entreprise et qui ne peuvent pas leur fournir leur ordinateur portable pour installer les logiciels nécessaires? Vous pouvez bien sûr utiliser des logiciels spécialisés tels que SMS, SCCM ou Microsoft Installer, mais Cisco AnyConnect a une autre méthode d'installation - lors de l'accès à la passerelle VPN mentionnée, le client lui-même est téléchargé sur l'ordinateur de l'utilisateur exécutant Windows, Linux ou macOS.Cela vous permet de déployer rapidement un réseau VPN, même sur les appareils personnels des travailleurs envoyés au travail à distance. Les utilisateurs mobiles peuvent simplement télécharger Cisco AnyConnect depuis l'AppStore d'Apple ou Google Play.

Mais comme je l'ai écrit ci-dessus, Cisco AnyConnect n'est pas seulement un client VPN, c'est bien plus. Mais je ne voudrais pas réécrire la documentation à ce sujet ici, mais essayez de décrire les fonctions clés dans le mode de questions et réponses (FAQ).

Et comment puis-je garantir qu'un utilisateur à domicile ne récupère rien sur Internet?

AnyConnect a une telle fonctionnalité - Always-On VPN, qui empêche l'accès direct à Internet si l'utilisateur n'est pas dans le soi-disant réseau de confiance, qui peut être votre infrastructure d'entreprise. Mais notez que cette fonction fonctionne de manière très flexible. Si l'utilisateur se trouve sur le réseau d'entreprise, le VPN est automatiquement déconnecté et lorsqu'il quitte (par exemple, si l'utilisateur travaille à partir d'un ordinateur portable, d'une tablette ou d'un smartphone), le VPN est réactivé; en outre transparent et invisible pour l'utilisateur. Ainsi, l'utilisateur sera toujours protégé par des outils de sécurité d'entreprise installés sur le périmètre - un pare-feu, un système de prévention des intrusions, un système d'analyse des anomalies, un proxy, etc. De nombreuses entreprises émettant des appareils d'entreprise aux travailleurs à distancedéfinir la condition pour les utiliser uniquement à des fins officielles. Et pour surveiller la mise en œuvre de cette exigence, AnyConnect inclut des paramètres qui interdisent à l'utilisateur d'accéder directement à Internet.

Mais puis-je chiffrer pas tout le trafic, mais uniquement les entreprises?

La fonction VPN Always-On est très utile pour protéger l'accès à distance des appareils que vous avez émis, mais loin de toujours, nous pouvons forcer l'utilisateur à faire ce que nous voulons, surtout en ce qui concerne son ordinateur personnel sur lequel nous ne pouvons pas définir nos propres règles. Et l'utilisateur ne voudra pas que son trafic personnel passe par le périmètre de l'entreprise et vos administrateurs surveilleront les sites que l'utilisateur visite pendant le travail à domicile. Comme on dit, "il est difficile de parler de moralité avec l'administrateur qui a vu les journaux de votre proxy" :-)

Dans ce cas, vous pouvez activer la fonctionnalité de tunneling fractionné sur Cisco AnyConnect, c'est-à-dire la séparation de tunnel. Certains types de trafic, par exemple, vers l'infrastructure d'entreprise et les nuages de travail, le trafic sera crypté et le trafic vers les réseaux sociaux ou les cinémas en ligne ira comme d'habitude, sans protection contre AnyConnect. Cela vous permet de prendre en compte les intérêts de l'entreprise et de ses employés qui sont obligés de partager l'ordinateur personnel de l'employé entre deux domaines de la vie - personnel et professionnel. Mais il convient de se rappeler que la fonction de tunneling fractionné peut réduire la sécurité de votre réseau, car l'utilisateur peut détecter une sorte d'infection sur Internet, puis il entrera dans l'entreprise via un canal sécurisé.

Puis-je chiffrer le trafic de certaines applications, par exemple, d'entreprise?

En plus de la séparation du trafic approuvée / non approuvée, Cisco AnyConnect prend en charge la fonction VPN par application, qui permet de chiffrer le trafic des applications individuelles (même sur les appareils mobiles). Cela vous permet de crypter (lire, lancer sur le réseau d'entreprise) uniquement certaines applications, par exemple 1C, SAP, Sharepoint, Oracle et de laisser Facebook, LinkedIn ou Office365 personnel faire le tour du périmètre de l'entreprise. Dans ce cas, pour différents groupes d'appareils distants ou les utilisateurs peuvent avoir leurs propres règles de sécurité.

Mais l'utilisateur peut détecter des logiciels malveillants sur un ordinateur personnel, qui pénètre ensuite dans le réseau d'entreprise. Comment y faire face?

D'une part, Cisco AnyConnect peut vérifier si vous disposez de la sécurité Cisco AMP for Endpoints et l'installer s'il ne l'est pas. Mais peut-être que l'utilisateur a déjà installé son propre antivirus ou que cet antivirus a déjà été installé par vous lors du transfert d'employés vers un travail à distance. Cependant, nous savons tous que l'antivirus n'attrape aujourd'hui que très peu de menaces graves et il serait bon de le compléter avec des solutions plus avancées pour détecter les logiciels malveillants, les anomalies et autres attaques. Si Cisco Stealthwatch est déployé dans votre infrastructure d'entreprise, vous pouvez facilement y intégrer des agents Cisco AnyConnect installés sur les ordinateurs personnels de vos employés. AnyConnect intègre un module NVM (Network Visibility Module) spécial qui traduit l'activité d'un nœud dans le protocole nvzFlow spécialement développé pour cette tâche.qui le complète avec des informations complémentaires et le transmet àNetflow-collector , qui peut être à la fois Cisco Stealthwatch Enterprise et n'importe quel SIEM, par exemple Splunk. Entre autres choses, le module NVM peut transmettre les informations suivantes, sur la base desquelles il est possible de détecter une activité anormale et malveillante sur l'ordinateur domestique, qui est restée invisible pour l'antivirus installé:

données d'activité réseau dans un format similaire à IPFIX
ID, adresse et nom de l'appareil
Nom d'utilisateur
type de compte utilisateur
noms et identifiants des processus et applications en cours d'exécution, y compris les données sur leurs «parents».

Cette fonctionnalité est essentiellement un UEBA léger (User Entity Behavior Analytics), une nouvelle technologie pour analyser le comportement des utilisateurs et des applications / processus lancés en leur nom.

Comment authentifier les utilisateurs?

Lorsque les utilisateurs travaillent sur des ordinateurs d'entreprise, ils s'authentifient généralement dans Active Directory ou dans un autre annuaire LDAP. Je voudrais obtenir la même opportunité avec l'accès à distance et Cisco AnyConnect permet sa mise en œuvre en prenant en charge l'authentification par identifiant / mot de passe, y compris les mots de passe à usage unique (par exemple, LinOTP), les certificats d'utilisateur ou de machine, les jetons matériels (par exemple, les cartes à puce ou Yubikey) , et même la biométrie et d'autres méthodes d'authentification multifacteur. Toutes ces options peuvent être facilement intégrées à vos solutions d'authentification et de gestion de l'authentification à l'aide des protocoles RADIUS, RSA SecurID, SAML, Kerberos, etc.

Et si j'utilise des plates-formes cloud, par exemple, Amazon AWS ou MS Azure, comment puis-je protéger les utilisateurs à domicile qui y accèdent?

Cisco dispose d'un routeur virtuel Cisco CSR 1000 qui peut être déployé dans des environnements cloud tels qu'Amazon AWS ou MS Azure, et qui peut mettre fin aux tunnels VPN créés par Cisco AnyConnect.

Si un utilisateur travaille à partir d'un appareil personnel, comment puis-je augmenter la sécurité de mon réseau avec cet accès?

Essayons de comprendre ce qu'un utilisateur peut faire de mal ou de mal sur un ordinateur tout en travaillant à distance? Installez des logiciels qui contiennent des vulnérabilités, ou tout simplement ne les corrigez pas en temps opportun avec des correctifs. Ne mettez pas à jour votre antivirus ou ne l'avez pas du tout. Utilisez des mots de passe faibles. Installez un logiciel avec des fonctionnalités malveillantes. C'est quelque chose qui pourrait mettre votre réseau d'entreprise en danger et aucun VPN ne vous en protégera. Mais Cisco AnyConnect peut, en raison de la fonction d'évaluation de la conformité, qui vous permet de vérifier toutes les politiques IT / IB nécessaires et requises pour les paramètres - disponibilité des correctifs, versions de logiciel à jour, antivirus mis à jour, fonctionnalités de sécurité et la longueur de mot de passe correcte avant de fournir un accès à distance à l'ordinateur aux ressources de l'entreprise , chiffrement du disque dur, certains paramètres de registre, etc.Cette fonctionnalité est implémentée soit à l'aide de la fonction Host Scan (pour cela, vous avez besoin de Cisco ASA comme passerelle d'accès à distance), soit à l'aide de la fonction System Scan, qui est fournie parsystèmes de contrôle d'accès réseau Cisco ISE .

Et si je travaille avec une tablette ou un smartphone et que je bouge constamment. Ma connexion VPN sera-t-elle interrompue et devrai-je la rétablir à chaque fois?

Non, non. Cisco AnyConnect dispose d'un module d'itinérance spécial qui vous permet non seulement de reconnecter automatiquement et de manière transparente le VPN lors du basculement entre différents types de connexions (3G / 4G, Wi-Fi, etc.), mais également de protéger automatiquement votre mobile (après tout, il est peu probable que vous transporter un ordinateur fixe à la maison) à l'aide de la solution Cisco Umbrella, qui inspectera tout le trafic DNS pour accéder aux sites de phishing, aux serveurs d'équipe, aux réseaux de zombies, etc. La connexion à Umbrella est requise si vous avez activé l'utilisateur avec la fonction de tunneling divisé et qu'il peut se connecter directement à diverses ressources Internet, en contournant la passerelle d'accès à distance. Le module de connexion à Cisco Umbrella sera utile même si vous n'utilisez pas de VPN - alors tout le trafic sera vérifié via ce service de sécurité.

Et votre AnyConnect ne réduira pas la qualité des téléconférences vidéo et vocales?

Non. Comme je l'ai décrit ci-dessus, Cisco AnyConnect prend en charge le protocole DTLS, qui vise spécifiquement à protéger le trafic multimédia.

En fait, Cisco AnyConnect a beaucoup plus de fonctionnalités. Il peut fonctionner en mode furtif, sélectionner dynamiquement la passerelle d'accès à distance la plus optimale, prend en charge IPv6, possède un pare-feu personnel intégré, est surveillé à distance, fournit un contrôle d'accès, prend en charge RDP, etc. Il est également russifié afin que les utilisateurs n'aient pas de questions concernant ces messages rares que Cisco AnyConnect peut émettre. Cisco AnyConnect n'est donc pas seulement un client VPN, mais une solution beaucoup plus intéressante pour fournir un accès distant sécurisé, qui ces dernières semaines a commencé à gagner en popularité en raison de la pandémie de coronavirus, forçant les employeurs à transférer certaines catégories de leurs employés vers un emplacement distant.

Pourquoi Cisco AnyConnect n'est pas seulement un client VPN