👘 👟 🤳🏾 Por que o Cisco AnyConnect não é apenas um cliente VPN 👩🏾‍🤝‍👩🏻 🥃 🚿

Na semana passada, tive uma discussão sobre o tópico de acesso remoto e vários clientes VPN que podem ser colocados no local de trabalho de um funcionário enviado para trabalhar em casa. Um colega defendeu uma posição "patriótica" de que "pontos de assinante" deveriam ser usados para criptografadores domésticos. Outro insistiu no uso de clientes de soluções de VPN estrangeiras. Eu aderi à terceira posição, que consiste no fato de que essa solução não deve ser um apêndice do criptografador de perímetro e nem mesmo a parte do cliente do gateway da VPN. Mesmo em um computador produtivo, não é correto instalar vários clientes de segurança que resolverão tarefas diferentes - VPN, autenticação / autenticação, acesso seguro, avaliação de conformidade etc. Idealmente, quando todas essas funções, assim como outras, são combinadas em um único cliente, o que reduz a carga no sistema,bem como a probabilidade de incompatibilidade entre diferentes softwares de segurança. Um desses clientes éCisco AnyConnect , sobre os recursos dos quais gostaria de contar brevemente.

imagem

O Cisco AnyConnect é um desenvolvimento lógico do Cisco VPN Client, que por muitos anos não só foi russificado, mas também enriquecido com muitos recursos e capacidades diferentes para acesso remoto seguro à infraestrutura corporativa ou de nuvem usando um dos três protocolos - TLS, DTLS e IPSec (também suportado Flexvpn) O primeiro é bastante tradicional para clientes VPN e usa o TCP como transporte para seu trabalho. No entanto, o tunelamento através do TLS significa que aplicativos baseados em TCP o duplicarão (uma vez para organizar o TLS, o segundo por seu trabalho já dentro do TLS). E protocolos baseados em UDP ... usarão o TCP de qualquer maneira. Isso pode levar a alguns atrasos, por exemplo, para aplicativos multimídia, muito populares no trabalho remoto. A solução para esse problema foi o desenvolvimento do protocolo DTLS, que em vez do TCP usa UDP para TLS. O AnyConnect suporta as duas implementações TLS - baseadas em TCP e UDP, o que permite que elas sejam usadas de maneira flexível, dependendo das condições de trabalho remotas.Normalmente, o TCP / 443 ou o UDP / 443 são permitidos em firewalls ou proxies; portanto, o uso de TLS e DTLS não é um grande problema. Mas em alguns casos, pode ser necessário usar o protocolo IPSec, que também é suportado pelo AnyConnect (IPSec / IKEv2).

imagem

E em quais dispositivos o túnel VPN criado por AnyConnect pode ser encerrado? Vou simplesmente listá-los:

Cisco ASA 5500 e Cisco ASA 5500-X Firewalls
Dispositivos de proteção da Cisco Firepower All-In-One
ITUs virtuais Cisco ASAv e Cisco ASAv na AWS e Azure
Roteadores Cisco ISR 800/1000/4000 e ASR 1000 com Cisco IOS ou Cisco IOS XE Network OS
Roteadores virtuais Cisco CSR 1000v, e eles são implantados, incluindo vários provedores de nuvem russos.

Pode-se observar que, com uma probabilidade muito alta, você já possui algo mencionado acima no perímetro da sua rede corporativa ou departamental e pode usar esses dispositivos para organizar o acesso remoto seguro (o principal é que eles lidam com o aumento da carga ). Além disso, a Cisco agora possui uma oferta de licença gratuita do AnyConnect.

imagem

Curiosamente, ao contrário de muitos outros clientes VPN, você tem muitas opções para instalar o Cisco AnyConnect em seu computador pessoal ou dispositivo móvel. Se você fornecer esses dispositivos a partir de seu próprio inventário ou comprar especificamente laptops para funcionários, poderá simplesmente pré-instalar o cliente de proteção em vez do restante do software necessário para o trabalho remoto. Mas o que fazer para usuários que estão longe de profissionais de TI corporativos e não podem fornecer seu laptop para instalar o software necessário? É claro que você pode usar software especializado, como SMS, SCCM ou Microsoft Installer, mas o Cisco AnyConnect possui outro método de instalação - ao acessar o gateway VPN mencionado, o próprio cliente é baixado no computador do usuário executando Windows, Linux ou macOS.Isso permite implantar rapidamente uma rede VPN, mesmo em dispositivos pessoais de trabalhadores enviados para trabalho remoto. Os usuários móveis podem simplesmente fazer o download do Cisco AnyConnect na Apple AppStore ou no Google Play.

imagem

Mas, como escrevi acima, o Cisco AnyConnect não é apenas um cliente VPN, é muito mais. Mas eu não gostaria de reescrever a documentação aqui, mas tente descrever as funções principais no modo de perguntas e respostas a elas (FAQ).

E como posso garantir que um usuário doméstico não receba nada na Internet?

O AnyConnect possui esse recurso - VPN sempre ativa, que impede o acesso direto à Internet se o usuário não estiver na chamada rede confiável, que pode ser sua infraestrutura corporativa. Mas observe que essa função funciona de maneira muito flexível. Se o usuário estiver na rede corporativa, a VPN será desconectada automaticamente e, quando sair (por exemplo, se o usuário estiver trabalhando em um laptop, tablet ou smartphone), a VPN será ativada novamente; além disso, transparente e invisível para o usuário. Assim, o usuário sempre estará protegido pelas ferramentas de segurança corporativa instaladas no perímetro - um firewall, sistema de prevenção de intrusões, sistema de análise de anomalias, proxy, etc. Muitas empresas emitem dispositivos corporativos para trabalhadores remotosdefina a condição de usá-los apenas para fins oficiais. E para monitorar a implementação deste requisito, o AnyConnect inclui configurações que proíbem o usuário de acessar a Internet diretamente.

imagem

Mas posso criptografar não todo o tráfego, mas apenas corporativo?

A função VPN sempre ativa é muito útil para proteger o acesso remoto dos dispositivos que você emitiu, mas longe de sempre podemos forçar o usuário a fazer o que queremos, especialmente quando se trata de seu computador pessoal no qual não podemos definir nossas próprias regras. E o usuário não deseja que seu tráfego pessoal passe pelo perímetro corporativo e seus administradores monitoram os sites que o usuário visita durante o trabalho em casa. Como se costuma dizer, "é difícil falar sobre moralidade com o administrador que viu os registros do seu proxy" :-)

Nesse caso, você pode habilitar o recurso de tunelamento dividido no Cisco AnyConnect, ou seja, separação de túnel. Alguns tipos de tráfego, por exemplo, para a infraestrutura corporativa e as nuvens de trabalho, o tráfego será criptografado e o tráfego para redes sociais ou cinemas on-line continuará normalmente, sem a proteção do AnyConnect. Isso permite que você leve em consideração os interesses da empresa e de seus funcionários que são forçados a compartilhar o computador pessoal do funcionário entre duas áreas da vida - pessoal e comercial. Mas vale lembrar que a função de tunelamento dividido pode reduzir a segurança da sua rede, pois o usuário pode detectar algum tipo de infecção na Internet e entrar na empresa por um canal seguro.

imagem

Posso criptografar o tráfego de certos aplicativos, por exemplo, corporativos?

Além da separação de tráfego confiável / não confiável, o Cisco AnyConnect suporta o recurso VPN por aplicativo, que permite criptografar o tráfego de aplicativos individuais (mesmo em dispositivos móveis). Isso permite criptografar (ler, iniciar na rede corporativa) apenas alguns aplicativos, por exemplo, 1C, SAP, Sharepoint, Oracle e permitir que o Facebook, o LinkedIn ou o Office365 pessoal percorram o perímetro corporativo. Nesse caso, para diferentes grupos de dispositivos remotos ou usuários podem ter suas próprias regras de segurança.

Mas o usuário pode pegar malware em um computador doméstico, que entra na rede corporativa. Como lidar com isso?

Por um lado, o Cisco AnyConnect pode verificar se você possui segurança do Cisco AMP for Endpoints e instalá-lo, se não tiver. Mas talvez o usuário já tenha instalado seu próprio antivírus ou esse antivírus já tenha sido instalado por você ao transferir funcionários para o trabalho remoto. No entanto, todos sabemos que hoje o antivírus captura muito poucas ameaças sérias e seria bom complementá-lo com soluções mais avançadas para detectar malware, anomalias e outros ataques. Se o Cisco Stealthwatch estiver implantado em sua infraestrutura corporativa, você poderá integrar facilmente os agentes do Cisco AnyConnect instalados nos computadores domésticos de seus funcionários. O AnyConnect integra um módulo NVM (Network Visibility Module) especial que traduz a atividade de um nó no protocolo nvzFlow desenvolvido especialmente para esta tarefaque o complementa com informações adicionais e transmite paraNetflow-coletor , que pode ser o Cisco Stealthwatch Enterprise e qualquer SIEM, por exemplo, Splunk. Entre outras coisas, o módulo NVM pode transmitir as seguintes informações, com base nas quais é possível detectar atividades anormais e maliciosas no computador doméstico, que permaneceu invisível para o antivírus instalado:

dados de atividade da rede em um formato semelhante ao IPFIX
ID do dispositivo, endereço e nome
Nome do usuário
tipo de conta de usuário
nomes e identificadores de processos e aplicativos em execução, incluindo dados sobre seus "pais".

Essa funcionalidade é essencialmente um UEBA (User Entity Behavior Analytics) leve, uma nova tecnologia para analisar o comportamento de usuários e aplicativos / processos lançados em seu nome.

Como autentico usuários?

Quando os usuários trabalham em computadores corporativos, eles geralmente se autenticam no Active Directory ou em outro diretório LDAP. Gostaria de ter a mesma oportunidade com acesso remoto, e o Cisco AnyConnect permite que isso seja realizado com suporte à autenticação de login / senha, incluindo senhas únicas (por exemplo, LinOTP), certificados de usuário ou máquina, tokens de hardware (por exemplo, cartões inteligentes ou Yubikey) , e até biometria e outros métodos de autenticação multifator. Todas essas opções podem ser facilmente integradas às suas soluções de gerenciamento de autenticação e autenticação usando os protocolos RADIUS, RSA SecurID, SAML, Kerberos etc.

imagem

E se eu usar plataformas em nuvem, por exemplo, Amazon AWS ou MS Azure, como posso proteger o acesso de usuários domésticos a eles?

A Cisco possui um roteador virtual Cisco CSR 1000 que pode ser implantado em ambientes em nuvem, como Amazon AWS ou MS Azure, e que pode terminar os túneis VPN criados pelo Cisco AnyConnect.

Se um usuário trabalha em um dispositivo pessoal, como posso aumentar a segurança da minha rede com esse acesso?

Vamos tentar descobrir o que um usuário pode fazer de errado ou errado em um computador enquanto trabalha remotamente? Instale um software que contenha vulnerabilidades ou simplesmente não as corrija em tempo hábil com patches. Não atualize seu antivírus ou não o possua. Use senhas fracas. Instale software com funcionalidade maliciosa. Isso pode colocar sua rede corporativa em risco e nenhuma VPN o protegerá. Porém, o Cisco AnyConnect pode, devido à função de avaliação de conformidade, que permite verificar todas as políticas de TI / IB necessárias e necessárias para obter configurações - disponibilidade de patches, versões atualizadas de software, antivírus atualizado, recursos de segurança e o tamanho correto da senha antes de fornecer acesso remoto ao computador para recursos corporativos , criptografia do disco rígido, determinadas configurações do registro etc.Esse recurso é implementado usando a função Host Scan (para isso, você precisa do Cisco ASA como um gateway de acesso remoto) ou usando a função System Scan, fornecida porsistemas de controle de acesso à rede Cisco ISE .

imagem

E se eu trabalhar com um tablet ou smartphone e me mover constantemente. Minha conexão VPN será interrompida e precisarei restabelecê-la toda vez?

Não, não O Cisco AnyConnect possui um módulo de roaming especial que permite não apenas reconectar automaticamente e transparentemente a VPN ao alternar entre diferentes tipos de conexões (3G / 4G, Wi-Fi etc.), mas também proteger automaticamente seu celular (afinal, é improvável que você transportar um dispositivo doméstico estacionário) usando a solução Cisco Umbrella, que inspecionará todo o tráfego DNS para acessar sites de phishing, servidores de equipe, redes bot, etc. É necessário conectar-se ao Umbrella se você ativou o usuário com a função de tunelamento dividido e ele pode se conectar a vários recursos da Internet diretamente, ignorando o gateway de acesso remoto. O módulo para conectar-se ao Cisco Umbrella será útil mesmo se você não estiver usando uma VPN - todo o tráfego será verificado através deste serviço de segurança.

imagem

E o seu AnyConnect não reduzirá a qualidade das teleconferências de vídeo e voz?

Não. Como eu descrevi acima, o Cisco AnyConnect suporta o protocolo DTLS, que visa especificamente proteger o tráfego de multimídia.

De fato, o Cisco AnyConnect possui muito mais recursos. Pode funcionar no modo furtivo, selecionar dinamicamente o gateway de acesso remoto ideal, suportar IPv6, possuir um firewall pessoal embutido, ser monitorado remotamente, fornecer controle de acesso, suportar RDP, etc. Também é russificado para que os usuários não tenham dúvidas sobre as raras mensagens que o Cisco AnyConnect pode emitir. Portanto, o Cisco AnyConnect não é apenas um cliente VPN, mas uma solução muito mais interessante para fornecer acesso remoto seguro, que nas últimas semanas começou a ganhar popularidade devido à pandemia de coronavírus, forçando os empregadores a transferir determinadas categorias de seus funcionários para um local remoto.

Por que o Cisco AnyConnect não é apenas um cliente VPN