📌 😄 🕴️ Mengapa Cisco AnyConnect Bukan Hanya Klien VPN 😥 😥 👷🏻

Minggu lalu saya berdiskusi tentang topik akses jarak jauh dan berbagai klien VPN yang dapat diletakkan di tempat kerja karyawan yang dikirim ke rumah. Seorang kolega membela posisi "patriotik" bahwa "poin pelanggan" harus digunakan untuk enkripsi dalam negeri. Lain bersikeras pada penggunaan klien dari solusi VPN asing. Saya berpegang pada posisi ketiga, yang terdiri dari kenyataan bahwa solusi seperti itu seharusnya tidak menjadi tambahan dari perimeter enkripsi dan bahkan bukan bagian klien dari gateway VPN. Bahkan pada komputer yang produktif, tidak cukup tepat untuk menginstal beberapa klien keamanan yang akan menyelesaikan berbagai tugas - VPN, identifikasi / otentikasi, akses aman, penilaian kesesuaian, dll. Idealnya, ketika semua fungsi ini, serta yang lainnya, digabungkan dalam satu klien, yang mengurangi beban pada sistem,serta kemungkinan ketidakcocokan antara berbagai perangkat lunak keamanan. Salah satu pelanggan tersebut adalahCisco AnyConnect , tentang kapabilitas yang ingin saya sampaikan secara singkat.

gambar

Cisco AnyConnect adalah pengembangan logis dari Cisco VPN Client, yang selama bertahun-tahun tidak hanya telah di Russifikasi, tetapi juga diperkaya dengan banyak fitur dan kemampuan yang berbeda untuk akses jarak jauh yang aman ke infrastruktur perusahaan atau cloud menggunakan salah satu dari tiga protokol - TLS, DTLS dan IPSec (juga didukung Flexvpn) Yang pertama cukup tradisional untuk klien VPN dan menggunakan TCP sebagai transportasi untuk pekerjaannya. Namun, tunneling melalui TLS berarti bahwa aplikasi berbasis TCP akan menduplikatnya (satu kali untuk mengatur TLS, yang kedua untuk pekerjaannya sudah ada di dalam TLS). Dan protokol berbasis UDP akan ... tetap menggunakan TCP. Ini dapat menyebabkan penundaan tertentu, misalnya, untuk aplikasi multimedia, yang sangat populer untuk pekerjaan jarak jauh. Solusi untuk masalah ini adalah pengembangan protokol DTLS, yang alih-alih TCP menggunakan UDP untuk TLS. AnyConnect mendukung implementasi TLS - berdasarkan TCP dan UDP, yang memungkinkannya digunakan secara fleksibel tergantung pada kondisi kerja jarak jauh.Biasanya, TCP / 443 atau UDP / 443 diizinkan di firewall atau proxy, dan menggunakan TLS dan DTLS bukan masalah besar. Tetapi dalam beberapa kasus mungkin perlu untuk menggunakan protokol IPSec, yang juga didukung oleh AnyConnect (IPSec / IKEv2).

gambar

Dan di perangkat mana terowongan VPN yang dibuat oleh AnyConnect dapat diakhiri? Saya hanya akan daftar mereka:

Firewall Cisco ASA 5500 dan Cisco ASA 5500-X
Cisco Firepower All-In-One Alat Pelindung
Cisco ASAv dan Cisco ASAv Virtual ITUs dalam AWS dan Azure
Cisco ISR 800/1000/4000 dan ASR 1000 Routers dengan Cisco IOS atau Cisco IOS XE Network OS
Router virtual Cisco CSR 1000v, dan mereka digunakan termasuk sejumlah penyedia cloud Rusia.

Dapat dicatat bahwa dengan probabilitas yang sangat tinggi, Anda sudah memiliki sesuatu yang disebutkan di atas pada perimeter jaringan perusahaan atau departemen Anda dan Anda dapat menggunakan perangkat ini untuk mengatur akses jarak jauh yang aman (hal utama adalah mereka mengatasi peningkatan beban ). Apalagi, Cisco sekarang memiliki penawaran lisensi AnyConnect gratis .

gambar

Menariknya, tidak seperti banyak klien VPN lainnya, Anda memiliki banyak opsi untuk menginstal Cisco AnyConnect di komputer pribadi atau perangkat seluler Anda. Jika Anda memberi mereka perangkat seperti itu dari inventaris Anda sendiri atau membeli laptop khusus untuk karyawan, maka Anda dapat dengan mudah menginstal klien pelindung daripada perangkat lunak lain yang diperlukan untuk pekerjaan jarak jauh. Tetapi apa yang harus dilakukan untuk pengguna yang jauh dari profesional IT korporasi dan tidak dapat menyediakan laptop mereka untuk menginstal perangkat lunak yang diperlukan? Anda tentu saja dapat menggunakan perangkat lunak khusus seperti SMS, SCCM atau Microsoft Installer, tetapi Cisco AnyConnect memiliki metode instalasi lain - ketika mengakses gateway VPN yang disebutkan, klien itu sendiri diunduh ke komputer pengguna yang menjalankan Windows, Linux atau macOS.Ini memungkinkan Anda untuk dengan cepat menyebarkan jaringan VPN, bahkan pada perangkat pribadi pekerja yang dikirim ke pekerjaan jarak jauh. Pengguna seluler dapat mengunduh Cisco AnyConnect dari Apple AppStore atau Google Play.

gambar

Tetapi seperti yang saya tulis di atas, Cisco AnyConnect bukan hanya klien VPN, tetapi lebih dari itu. Tetapi saya tidak ingin menulis ulang dokumentasi yang ada di sini, tetapi cobalah untuk menggambarkan fungsi-fungsi utama dalam mode pertanyaan dan jawaban mereka (FAQ).

Dan bagaimana saya bisa menjamin bahwa pengguna rumahan tidak mengambil apa pun di Internet?

AnyConnect memiliki fitur seperti itu - Always-On VPN, yang mencegah akses langsung ke Internet jika pengguna tidak berada dalam jaringan yang disebut tepercaya, yang dapat menjadi infrastruktur perusahaan Anda. Tetapi perhatikan bahwa fungsi ini bekerja sangat fleksibel. Jika pengguna berada di jaringan perusahaan, VPN terputus secara otomatis, dan ketika ia pergi (misalnya, jika pengguna bekerja dari laptop, tablet atau smartphone), VPN dihidupkan lagi; apalagi transparan dan tidak terlihat oleh pengguna. Dengan demikian, pengguna akan selalu dilindungi oleh alat keamanan perusahaan yang diinstal pada perimeter - firewall, sistem pencegahan intrusi, sistem analisis anomali, proksi, dll. Banyak perusahaan yang mengeluarkan perangkat perusahaan untuk pekerja jarak jauhatur kondisi untuk menggunakannya hanya untuk tujuan resmi. Dan untuk memantau implementasi persyaratan ini, AnyConnect termasuk pengaturan yang melarang pengguna mengakses Internet secara langsung.

gambar

Tetapi bisakah saya mengenkripsi tidak semua lalu lintas, tetapi hanya perusahaan?

Fungsi Always-On VPN sangat berguna untuk melindungi akses jarak jauh dari perangkat yang telah Anda keluarkan, tetapi jauh dari selalu kami dapat memaksa pengguna untuk melakukan apa yang kami inginkan, terutama ketika menyangkut komputer pribadinya di mana kami tidak dapat menetapkan aturan kami sendiri. Dan pengguna tidak ingin lalu lintas pribadinya melewati batas perusahaan dan administrator Anda akan memantau situs apa yang dikunjungi pengguna selama pekerjaan rumahan. Seperti yang mereka katakan, "sulit untuk berbicara tentang moralitas dengan administrator yang melihat log proxy Anda" :-)

Dalam hal ini, Anda dapat mengaktifkan fitur tunneling split pada Cisco AnyConnect, yaitu, tunnel tunnel. Beberapa jenis lalu lintas, misalnya, ke infrastruktur perusahaan dan cloud yang berfungsi, lalu lintas akan dienkripsi, dan lalu lintas ke jaringan sosial atau teater film online akan berjalan seperti biasa, tanpa perlindungan dari AnyConnect. Ini memungkinkan Anda untuk mempertimbangkan kepentingan perusahaan dan karyawannya yang dipaksa untuk berbagi komputer pribadi karyawan antara dua bidang kehidupan - pribadi dan bisnis. Tetapi perlu diingat bahwa fungsi tunneling split dapat mengurangi keamanan jaringan Anda, karena pengguna dapat mengambil semacam infeksi di Internet, dan kemudian akan masuk ke perusahaan melalui saluran aman.

gambar

Dapatkah saya mengenkripsi lalu lintas aplikasi tertentu, misalnya, perusahaan?

Selain mempercayai / memisahkan lalu lintas yang tidak dipercaya, Cisco AnyConnect mendukung fitur Per App VPN, yang memungkinkan mengenkripsi lalu lintas aplikasi individual (bahkan pada perangkat seluler). Ini memungkinkan Anda untuk mengenkripsi (membaca, meluncurkan di jaringan perusahaan) hanya aplikasi tertentu, misalnya, 1C, SAP, Sharepoint, Oracle, dan membiarkan Facebook, LinkedIn, atau Office365 pribadi berkeliling di sekeliling perusahaan. Dalam hal ini, untuk grup yang berbeda dari perangkat jarak jauh atau pengguna dapat memiliki aturan keamanan sendiri.

Tetapi pengguna dapat mengambil malware di komputer rumah, yang kemudian masuk ke jaringan perusahaan. Bagaimana cara menghadapinya?

Di satu sisi, Cisco AnyConnect dapat memeriksa apakah Anda memiliki Cisco AMP untuk keamanan Endpoints dan menginstalnya jika Anda tidak. Tetapi mungkin pengguna telah menginstal antivirus mereka sendiri atau antivirus ini sudah diinstal oleh Anda saat mentransfer karyawan ke pekerjaan jarak jauh. Namun, kita semua tahu bahwa antivirus hari ini menangkap sangat sedikit ancaman serius dan akan lebih baik untuk menambahkannya dengan solusi yang lebih canggih untuk mendeteksi malware, anomali, dan serangan lainnya. Jika Cisco Stealthwatch digunakan dalam infrastruktur perusahaan Anda, Anda dapat dengan mudah mengintegrasikan agen Cisco AnyConnect yang terinstal di komputer rumah karyawan Anda dengannya. AnyConnect mengintegrasikan modul Network Visibility Module (NVM) khusus yang menerjemahkan aktivitas node ke dalam protokol nvzFlow yang dikembangkan secara khusus untuk tugas iniyang melengkapi dengan informasi tambahan dan mentransmisikan keNetflow-collector , yang dapat berupa Cisco Stealthwatch Enterprise , dan SIEM apa pun, misalnya, Splunk. Di antara hal-hal lain, modul-NVM dapat mengirimkan informasi berikut, atas dasar yang memungkinkan untuk mendeteksi aktivitas abnormal dan berbahaya pada komputer di rumah, yang tetap tidak terlihat oleh antivirus yang diinstal:

data aktivitas jaringan dalam format yang mirip dengan IPFIX
ID perangkat, alamat dan nama
Nama pengguna
tipe akun pengguna
nama dan pengidentifikasi proses dan aplikasi yang sedang berjalan, termasuk data tentang "orang tua" mereka.

Fungsionalitas ini pada dasarnya adalah UEBA (Analisis Entitas Perilaku Pengguna) yang ringan, teknologi baru untuk menganalisis perilaku pengguna dan aplikasi / proses yang diluncurkan atas nama mereka.

Bagaimana cara mengotentikasi pengguna?

Ketika pengguna bekerja di komputer perusahaan, mereka biasanya mengautentikasi di Active Directory atau direktori LDAP lainnya. Saya ingin mendapatkan kesempatan yang sama dengan akses jarak jauh, dan Cisco AnyConnect memungkinkannya direalisasikan dengan mendukung otentikasi login / kata sandi, termasuk kata sandi satu kali (misalnya, LinOTP), sertifikat pengguna atau mesin, token perangkat keras (misalnya, kartu pintar atau Yubikey) , dan bahkan biometrik dan metode otentikasi multi-faktor lainnya. Semua opsi ini dapat dengan mudah diintegrasikan dengan otentikasi Anda dan solusi manajemen otentikasi menggunakan protokol RADIUS, RSA SecurID, SAML, Kerberos, dll.

gambar

Dan jika saya menggunakan platform cloud, misalnya, Amazon AWS atau MS Azure, lalu bagaimana saya bisa melindungi akses pengguna rumahan ke platform itu?

Cisco memiliki router virtual Cisco CSR 1000 yang dapat digunakan di lingkungan cloud seperti Amazon AWS atau MS Azure, dan yang dapat menghentikan terowongan VPN yang dibuat oleh Cisco AnyConnect.

Jika pengguna bekerja dari perangkat pribadi, lalu bagaimana saya bisa meningkatkan keamanan jaringan saya dengan akses ini?

Mari kita coba mencari tahu apa yang dapat dilakukan pengguna atau buruk pada komputer saat bekerja dari jarak jauh? Instal perangkat lunak yang mengandung kerentanan, atau tidak memperbaikinya secara tepat waktu dengan tambalan. Jangan perbarui antivirus Anda atau tidak memilikinya sama sekali. Gunakan kata sandi yang lemah. Instal perangkat lunak dengan fungsi berbahaya. Ini adalah sesuatu yang dapat membahayakan jaringan perusahaan Anda dan tidak ada VPN yang akan melindungi Anda darinya. Tetapi Cisco AnyConnect dapat, karena fungsi penilaian kesesuaian, yang memungkinkan Anda untuk memeriksa semua kebijakan TI / IB yang diperlukan dan diperlukan untuk pengaturan - ketersediaan tambalan, versi perangkat lunak terbaru, antivirus terbaru, fitur keamanan, dan panjang kata sandi yang tepat sebelum memberikan akses komputer jarak jauh ke sumber daya perusahaan , enkripsi hard drive, pengaturan registri tertentu, dll.Fitur ini diimplementasikan baik menggunakan fungsi Host Scan (untuk ini Anda memerlukan Cisco ASA sebagai gateway akses jarak jauh), atau menggunakan fungsi System Scan, yang disediakan olehsistem kontrol akses jaringan Cisco ISE .

gambar

Dan jika saya bekerja dengan tablet atau smartphone dan terus bergerak. Apakah koneksi VPN saya rusak dan apakah saya harus membangun kembali setiap kali?

Tidak, jangan. Cisco AnyConnect memiliki modul roaming khusus yang memungkinkan Anda untuk tidak hanya secara otomatis dan transparan menghubungkan kembali VPN ketika beralih di antara berbagai jenis koneksi (3G / 4G, Wi-Fi, dll.), Tetapi juga secara otomatis melindungi ponsel Anda (setelah semua, Anda tidak akan mungkin untuk membawa perangkat komputer rumah stasioner) menggunakan solusi Cisco Umbrella, yang akan memeriksa semua lalu lintas DNS untuk akses ke situs phishing, server tim, botnet, dll. Menghubungkan ke Payung diperlukan jika Anda mengaktifkan pengguna dengan fungsi tunneling terpisah dan ia dapat terhubung ke berbagai sumber daya Internet secara langsung, melewati gateway akses jarak jauh. Modul untuk terhubung ke Cisco Umbrella akan berguna bahkan jika Anda tidak menggunakan VPN - maka semua lalu lintas akan diperiksa melalui layanan keamanan ini.

gambar

Dan AnyConnect Anda tidak akan mengurangi kualitas telekonferensi video dan suara?

Tidak. Seperti yang saya jelaskan di atas, Cisco AnyConnect mendukung protokol DTLS, yang secara khusus ditujukan untuk melindungi lalu lintas multimedia.

Faktanya, Cisco AnyConnect memiliki lebih banyak fitur. Ia dapat bekerja dalam mode sembunyi-sembunyi, secara dinamis memilih gateway akses jarak jauh yang paling optimal, mendukung IPv6, memiliki firewall pribadi bawaan, dimonitor dari jarak jauh, menyediakan kontrol akses, mendukung RDP, dll. Itu juga Russified sehingga pengguna tidak memiliki pertanyaan tentang pesan langka yang dapat dikeluarkan oleh Cisco AnyConnect. Jadi, Cisco AnyConnect bukan hanya klien VPN, tetapi solusi yang jauh lebih menarik untuk menyediakan akses jarak jauh yang aman, yang dalam beberapa pekan terakhir mulai mendapatkan popularitas karena pandemi coronavirus, memaksa pengusaha untuk memindahkan kategori tertentu dari karyawan mereka ke lokasi yang jauh.

Mengapa Cisco AnyConnect Bukan Hanya Klien VPN