Комментарии 120
Он может работать в скрытом режиме…
Можно подробнее?
Один из самых глючных клиентов с которым приходилось имеет дело. Я не знаю что оно делает с настройками сети, но половина приложений перестает нормально функционировать, начиная от моргающего рдп-клиента каждые 5 минут и заканчивая настольными приложениями которые перестают видеть сервера в сети, а то что оно само себя включает даже если останавливаешь сервис, ну вообще не серьезно.
Эксплуатирую его с первых релизов в разных режимах, разных организациях и конфигурациях — один из самых стабильных и функциональных VPN клиентов. У моих друзей также
Из последнего что реально понравилось — Pulse Secure. Заходило в сеть клиента в 1-2 клика. После классических VPN клиентов — как глоток свежего воздуха.
Единственное, как мне кажется, автор погорячился с тем, что его можно легко и просто скачать… на сколько помню, надо проходить достаточно сложную регистрацию, или, что правильнее, — получить линк на скачивание от корпоративного пользователя в лице своей компании. (банально не помню проблем, но помню, что после обновления системы пришлось повозиться с получением инсталляшки, в конце концов dmg прислал сисадмин).
Ага, раньше действительно этот клинет еще и скачать просто так нельзя было, было за стеной паролей и логиной на сайте Ciscо (еще один огромный минус кмк)
Это до сих пор так, к сожалению (проверял буквально ПОЗАВЧЕРА)
В cisco_collection всё есть.
можно при подключении к шлюзу
Особо актуально при использовании личных устройств, когда шлюз не обновлен (пример с 32-битным клиентом под мак)… Лучше уж (обращение к Cisco) — пожалуйста, сделайте клиента доступным для скачивания в открытую, свободно. На безопасности решений это не скажется. Тем более, что все равно можно скачать циско клиента через сторонние сайты (достаточно загуглить установочный файл)
[1/4] Resolving packages…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
error An unexpected error occurred: «registry.yarnpkg.com/@prisma-cms%2fcontext: ETIMEDOUT».
4 раза пробовал — результат один и тот же. Откулючил anyconnect, все запустилось с первого раза.
docker и впны — это вообще отдельная головная боль, не понимаю, что тут особенного в anyconnect
Еще раз — если у Вас используется какой-нибудь OpenVPN, то Вы точно так же можете поймать проблемы с докером. Почему? Да потому что докер резервирует под себя отдельную сеть (172.xx.xx.xx). И контейнеры работают через этот бридж. Или еще хуже — если у Вас винда или мак, то докер так вообще в виртуальной машине работает и там с роутингом происходит просто ад. Какие решения могут быть? Ну, руками роутинг настраивать, перевешивать докер на отдельную подсеть, которая не имеет пересечений с vpn сетями, возможно — перейти с anyconnect на openconnect и отключить интернет через корп сеть…
Совсем недавно прришлось с ним столкнуться и не понравилось только то, что вроде надо всего дна один "RDP IP" ходить и вся основная работа потом там, но он рубит всю локальную (домашнюю) сеть и весь трафик реально гонит через себя из за чего на пример запросы на поиск ранее обрабатывались 1-3 мс., а после подключения 50-200 т.к. образно через всю планету вертеться надо, ну вот зачем это сделано не понятно. В плане безопасности типа объясняют, там что проще проставить там СОВ на один адрес (копирование и т.п. по РДП там и так отключено сразу) и его контролировать или в итоге все запросы какие только могут идти от всего обрабатывать. А так по работе нареканий нет, работает вроде стабильно и все приложение.
его контролировать или в итоге все запросы какие только могут идти от всего обрабатывать.
плохая аргументация. Все равно весь внешний трафик TLS, без установки прокси и переподписывания сертификатов - ничего не перехватить. Лучше уж ставить локальные Endpoint Security и штуки вроде https://www.netskope.com/ Они на локальных машинах перехватывают трафик и шлют его на оконечные узлы напрямую, без VPN. Политики точно так же распределяются централизованно с единой консоли администратора
Так все зависит от настроек. Можно сделать так, чтобы локальная сетка не рубилась
Ну и в целом — хочется не по приложениям разделить «зоны влияния», а просто, чтобы непересекающиеся роуты разных туннелей мирно сосуществовали.
Cisco Adaptive Security Appliance Software Version 9.1(7)32
Device Manager Version 7.8(1)150
Security Plus
Что касается 5510, то я бы рекомендовал подумать о переходе на более новую железку. Мы объявили окончание поддержки этой платформы в 2013-м году, а в 2018-м прекратили выпускать для нее обновления и оказывать поддержку.
Какой-то странный подход. Лучше же, наверное, покупать железки с пожизненной гарантией, а то, что Вы при этом переплатите 300% — пофиг? Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна? И секурити апдейты не нужны — надо будет — новую железку купим?
Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна?Ну, вообще говоря, гарантия вам даст только замену устройства на рабочее. В течение 2 недель. В течение которых вы будете без железки.
В то время, как можно просто за те же деньги купить хоть четыре девайса подешевле, тех же Микротиков (с пожизненной лицензией на RouterOS), три из которых будут стоять горячим резервом.
Пожизненный бесплатный NBD? (кстати, оноразве тоженазывается «гарантия», ане расширенное сервисное обслуживание, или как-то так?) Ну, и сутки (а то и целую праздничную неделю) простоять без связи — тоже невесело, особенно по сравнению с горячим резервом за четверть той цены.
UPD. Немного не тот вариант. Это все работает для мобильных платформ. На десктопе может быть запущено более чем один VPN клиента, один из них это Anyconnect, а второй OpenVPN запущенный после Anyconnect. Так вот Anyconnect с радостью затирает роуты полученные OpenVPN клиентом.
Сейчас используем массово (до 700 подключений)
1. Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.
2. Во время работы пропадает связь на порт RDP хотя пинги идут, при использовании другого впн клиента такого не наблюдается, админы говорят что отдельного фаервола нет — лечится переподключением впн клиента
Возможно, есть какие то преимущества если использовать на ноутбуке выдаваемом организацией сотруднику.
Крайне неудобен при использовании на личном ноутбуке.
Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.
У меня всегда клиент нужен
В том то и дело. Я работаю с личного ноутбука с несколькими оргацизациями, использую разные клиенты. И клиент от Cisco мне нужен 4-5 часов в неделю.
Учитывая, что политики в том числе маршрутизации настраивается админом сторонней организации меня на личном ноутбуке они чаще всего не устраивают. Например, не удалось объяснить (тикет в SD обрабатывается неделями) что заворачивать весь мой трафик через сеть организации мне совсем не удобно, оссобенно когда у меня окрыт гугл с документацией и SO, а часто и SO с Google Drive и почтовиками из внутренней сети заблокированны.
Пока использую такие клиенты от подрядчиков только из под виртуальных машин. Одна ВМ — один подрядчик. А все что нужно в интернете — из хостовой системы. Такая вот куча из… и палок. Удобство использования конечно не радует.
К сожалению, вот эта возможность использовать виртуалки и показывает театр безопасности, который творится. Кстати, даже если у клиента физ устройство и нет виртуалок, то где гарантия, что у него рядом второй ноут, например, не стоит. Т.е. эти меры с заворотом трафика абсолютно не страхуют от утечек данных… Ну, может разве что чутка их усложняют.
Если рассматривать каждый неудобный момент при использовании решений от Cisco не как недостаток (при конкурентном сравнении vpn решений), а как особенность значительно влияющую на безопасность, то, при обсуждении (клиента) эти преимущества и стоит обсуждать. В соседнем комментарии использовали фразу «театр безопасности». И, по моему мнению, эта фраза замечательно характеризует текущее состояние vpn-решений.
Ветку комментариев я начинал как мнение одного из пользователей клиента vpn. В большинстве организаций все же предлагают выбор какой клиент использовать. И, пока, в этом выборе решения от Cisco занимаю последние строчки. При этом, к сожалению, уже не обсуждаются какие то конкретные решения. Как только упоминается Cisco — сразу интересуйся наличием альтернатив.
- Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.
нет таких проблем — сколько с AnyConnect работал
Крайне неудобен при использовании на личном ноутбуке.
Терпимо. Все неудобства, которые есть — они как правило не из-за клиента, а из-за идиотских настроек корп файрволла и VPN с серверной стороны
Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.
На маке и линуксе все прекрасно
Я разрабатываю системы с веб-частью сразу на серверах заказчика. Сервера доступны только из локальной сети. Тестирование SPA требуется проводить и с мобильных и с десктопа (причем одновременно). Можно ли настроить soho-роутер (сейчас использую Microtik) для того чтобы одновременно пробросить несколько устройств в сеть за AnyConnect или Check Point Endpoint?
Приобретение старого Cisco адаптера рассматривать большого желания нет (лишняя железка, да и нет опыта настройки cisco-роутеров). Сейчас использую отдельную виртуалку на которой поднят шлюз, но это решение ложится когда админы а стороне заказчика начинаю играться с настройками маршрутизации.
В Cisco AnyConnect встроен специальный роуминговый модуль
Подтверждаю — это скорее работает, чем нет
Ставил any connect на centos 7. С гуём работает нормально. Без гуя — постоянно отваливается коннект через разные промежутки времени ( может 2 часа поработать, а может и пару секунд). Причину так и не нашел. Так и сижу со скриптом, который мониторит пинги и выполняет переподключение при необходимости. Такая вот ерунда...
вряд ли — как он узнает, что записи изменились? Фильтрация же по IP работает, а не по. DNS
Именно для облачных сервисов есть неплохая статья на community — community.cisco.com/t5/vpn/split-tunnel-webex-outlook365-zoom-skype/m-p/4049533#M270748
Мой коллега, Дмитрий Казаков, также написал статью здесь, на Хабре, с разбором этой темы. habr.com/ru/company/cisco/blog/493774
P.S: Есть важное уточнение — если вы используете домен верхнего уровня, все нижестоящие также идут в исключение, я попросил Диму про это в статье добавить подробнее.
И почему актуальные модели ASA до сих пор не поддерживают DTLS 1.2, хотя древняя 5515-X его умеет?
После перезагрузки в журнале «Cisco AnyConnect Secure Mobility Client» появилось 133 сообщения из которых лишь 17 несут хоть какую-то пользу, а остальные 116 содержат бессмысленный дебаг с именами функций от acvpnui и acvpnagent.
В лучшем случае TAC создаст feature request, который никогда не будет выполнен (как для ветки 3.1), в худшем ответят что-то в духе «это нам нужно для вашей поддержки».
Оно пишет в логи про отсутствующие модули (на компьютерах установлен только core vpn) и окружение (нет IPv6, смарткарты, публичного IP и т.п.).
configure mode commands/options:
default Specify the set of ciphers for outbound connections
dtlsv1 Specify the ciphers for DTLSv1 inbound connections
dtlsv1.2 Specify the ciphers for DTLSv1.2 inbound connections
tlsv1 Specify the ciphers for TLSv1 inbound connections
tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections
tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections
vpn-demo-1(config)# sh ver
Cisco Adaptive Security Appliance Software Version 9.12(3)7
Согласен, выглядит глупо. Но зато… Как бы секурно, лол ))
Кстати, линуксовый клиент (openconnect) пароль сохраняет без проблем
Чушь. Лучший пароль — пароль, которого нет. Я уж не говорю о том, что я даже пережил бы привязку клиента к конкретному устройству или закрытому перечную устройств, лишь бы не применять лишний раз пароль. И, да, Вы правда верите, что пароль поможет в случае, если, например, машина работника протроянена и там установлены кейлоггеры-вредоносы? Или враг глядит через плечо?
MFA, кстати, у нас тоже есть — но от него больше фикция защиты, т.к. через смс. Начать с того, что СМС негарантированно доходят и это прям боль, а второе — лучше был бы способ через программу генерировать коды (это решает целый пласт проблем — от перехвата СМС и их недоставки и кончая аппаратными проблемами вроде "телефон сел, а впн нужен)".
Или надо проводить мероприятия по обучению пользователей умению выбирать запоминающиеся пароли :-)
фейспалм
p.s. зачастую пароль для VPN тот же самый доменный пароль, который годится для всех остальных корпоративных сервисов
Функционал инспектирования DNS doctoring позволяет устройству безопасности ASA перезаписывать (rewrite) DNS A-записи и PTR-записи.
DNS Rewrite нужен если:
- Используется NAT64 или NAT 46, DNS-сервер во внешней сети. Тогда нужно делать конвертацию DNS-ответов между форматами DNS A-записей (для IPv4) и AAAA-записей (IPv6).
- DNS-сервер во внешней сети, клиент во внутренней, требуется разрешать fully-qualified domain names для других хостов во внутренней сети (например, корпоративный веб-портал и т.д.).
- DNS-сервер во внутренней сети и отвечает на запросы ответами с внутренними адресами, клиенты снаружи, и клиенты запрашивают fully-qualified domain names серверов, которые находятся во внутренней сети.
www.cisco.com/c/en/us/td/docs/security/asa/asa912/configuration/firewall/asa-912-firewall-config/nat-reference.html#ID-2091-0000048c
Только это все выглядит как сомнительный функционал.
Объясню.
Есть портал компании www.acme.org. Он доступен через публичную сеть по HTTPS протоколу и обеспечивает некий функционал. Зачем его заворачивать еще раз в VPN?
А если портал обеспечивает некий БАЗОВЫЙ функционал, а РАСШИРЕННЫЙ включается только при работе через корп. сеть с одним и тем же ДНС, то там начинаются чудеса в решете — т.к. сессии протухают, куки кривые и все прочие радости отличной архитектуры (да, это пример из жизни, причем очень сложно диагностируемый). А всего-то нужно было разные части портала разнести на разные домены (внешний и внутренний)…
Я уж не говорю, что если клиентская машина протроянена, то VPN-не-VPN — тут уже поздно пить Боржоми.
Несомненно, что VPN добавляет к защите. Но типичные реализации сетей… скорее создают неудобства.
Если клиентская машина протроянена, то включаются иные механизмы защиты. VPN — это всего лишь защита канала, но никак не точек подключения к нему. Для защиты ПК и защиты корпсети нужны и иные решения применять. Это ж вроде и так понятно
когда доступ на публичные порталы или облака не заворачиваются в VPN, а идут напрямую.
тут немного другой кейс я описывал — когда вроде FQDN портала одинаковый, но из паблика он в "ограниченном" режиме, а из корп сети и VPN по "полноценному"
я просто делюсь болью. К сожалению, зачастую я выступаю как пользователь инфры с минимальными возможностями по предложениям по ее улучшению. А любая мощная и потенциально полезная "фича" может быть как использована во благо, так и по не знанию или лени — неправильно и создавая неудобства (в лучшем случае) легальным пользователям.
The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server. This seems anything but secure to me, especially given their history of trivially-exploitable bugs.
Мне тут в связи со всеми удаленками пришлось пользоваться этим (через openconnect). Вот эта цитата из мануала к openconnect мне всё еще не дает покоя (с какой целью ему запускать что-то на моем личном компьютере)
>Этот функционал может быть отключен.
Ну я так понимаю не со стороны клиента?
Почему Cisco AnyConnect — это не просто VPN-клиент