Почему Cisco AnyConnect — это не просто VPN-клиент

    На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.

    image

    Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect'ом (IPSec/IKEv2).

    image

    А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:

    • Межсетевые экраны Cisco ASA 5500 и Cisco ASA 5500-X
    • Многофункциональные защитные устройства Cisco Firepower
    • Виртуальные МСЭ Cisco ASAv и Cisco ASAv в AWS и Azure
    • Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 c сетевой ОС Cisco IOS или Cisco IOS XE
    • Виртуальные маршрутизаторы Cisco CSR 1000v, а они развернуты в том числе и ряда российских облачных провайдеров.

    Можно отметить, что с очень высокой вероятностью, у вас уже стоит что-то вышеупомянутое на периметре вашей корпоративной или ведомственной сети и вы можете задействовать эти устройства для организации защищенного удаленного доступа (главное, чтобы они справились с возрастающей нагрузкой). Тем более, что сейчас у Cisco действует бесплатное предложение по получению лицензий AnyConnect.

    image

    Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.

    image

    Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).

    А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?


    В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.

    image

    А могу ли я шифровать не весь трафик, а только корпоративный?


    Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» :-)

    В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.

    image

    А могу ли я шифровать трафик определенных, например, корпоративных, приложений?


    Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.

    А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?


    С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:

    • данные сетевой активности в схожем с IPFIX формате
    • идентификатор, адрес и имя устройства
    • имя пользователя
    • тип учетной записи пользователя
    • имена и идентификаторы запускаемых процессов и приложений, включая и данные по их «родителям».

    Данный функционал по сути представляет собой облегченную UEBA (User Entity Behaviour Analytics), новую технологию анализа поведения пользователей и приложений/процессов, запускаемых от их имени.

    А как мне аутентифицировать пользователей?


    Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.

    image

    А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?


    У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.

    Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?


    Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.

    image

    А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?


    Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.

    image

    А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?


    Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.

    На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.
    Cisco
    Cisco – мировой лидер в области сетевых технологий

    Комментарии 109

      +2
      Он может работать в скрытом режиме…

      Можно подробнее?
        0
        Иконки в статус-баре не будет и никакого взаимодействия с пользователем
        +6

        Один из самых глючных клиентов с которым приходилось имеет дело. Я не знаю что оно делает с настройками сети, но половина приложений перестает нормально функционировать, начиная от моргающего рдп-клиента каждые 5 минут и заканчивая настольными приложениями которые перестают видеть сервера в сети, а то что оно само себя включает даже если останавливаешь сервис, ну вообще не серьезно.

          +7

          Эксплуатирую его с первых релизов в разных режимах, разных организациях и конфигурациях — один из самых стабильных и функциональных VPN клиентов. У моих друзей также

            +2
            Поддержу. По работе периодически использую. Проблем нет.
            +6
            Я работаю удаленно уже лет 8, и должен сказать что Cisco AnyConnect — самый глючный VPN что я использовал. Доходило до того что приходилось ставить опен-сурс клиенты на винду (ShrewSoft VPN Client) чтобы добратся до сети клиента. Может конечно Cisco сейчас и подтянулась (ибо конкуренция жмет), но раньше этот клиент был «говном мамонта» имхо и впаривался этот клиент в довесок к сетевому оборудованию. Оно совершенно точно жестко глючило на девелоперских системах — там где постоянно меняеются таблицы роутинга, добавляются новые сетевые адаптеры (для виртуальных машин) и так далее. Рано или подзно в такой системе AnyConnect сносило мозг и он терял связь с реальностью (и таблицой роутинга).

            Из последнего что реально понравилось — Pulse Secure. Заходило в сеть клиента в 1-2 клика. После классических VPN клиентов — как глоток свежего воздуха.

            +2
            Год в новой компании, год использую AnyConnect на удаленке. Проблем вообще не наблюдается (MacBook Pro). После OpenVPN, которое использовалось 3 года в предыдущей компании и имело тенденцию останавливать работу на часы по крайней мере раз в месяц из-за каких-то собственных проблем, использование данного клиента просто незаметно и совершенно не доставляет хлопот.
            Единственное, как мне кажется, автор погорячился с тем, что его можно легко и просто скачать… на сколько помню, надо проходить достаточно сложную регистрацию, или, что правильнее, — получить линк на скачивание от корпоративного пользователя в лице своей компании. (банально не помню проблем, но помню, что после обновления системы пришлось повозиться с получением инсталляшки, в конце концов dmg прислал сисадмин).
              +1
              Ага, раньше действительно этот клинет еще и скачать просто так нельзя было, было за стеной паролей и логиной на сайте Ciscо (еще один огромный минус кмк). Но судя по всему что у конкурентов все качалось просто прямо с сайта они решили эту «фичу» закапать и теперь гугл находит клиента прямо на сайте Cisco — не прошло и 10ли лет хаха…
                0
                Ну, этот опыт установки датируется январем-февралем этого года, так что история не очень давняя, и проблема оставалась ))) Хотя для мобильной платформы действительно, проблем нет.
                  0
                  Ага, раньше действительно этот клинет еще и скачать просто так нельзя было, было за стеной паролей и логиной на сайте Ciscо (еще один огромный минус кмк)

                  Это до сих пор так, к сожалению (проверял буквально ПОЗАВЧЕРА)

                    0
                    Так получилось скачать? Вышла версия 4.8.03036 Помогите скачать, в интернетах нет нигде пока, кроме как на офф сайте…
                0
                У вас разные варианты «скачивания» есть — можно с сайта, можно при подключении к шлюзу, можно раскатать через системы управления ПО. А что касается регистрации, то не дело каждого пользователя регистрироваться на cisco.com — все-таки этот процесс должен быть регулируемым именно админом
                  +1
                  можно при подключении к шлюзу

                  Особо актуально при использовании личных устройств, когда шлюз не обновлен (пример с 32-битным клиентом под мак)… Лучше уж (обращение к Cisco) — пожалуйста, сделайте клиента доступным для скачивания в открытую, свободно. На безопасности решений это не скажется. Тем более, что все равно можно скачать циско клиента через сторонние сайты (достаточно загуглить установочный файл)

                +1
                может быть его просто не умеют готовить ваши сетевые инженеры?
                +3
                Когда Эниконнект перестанет трогать чужие роуты, вычищая постоянно всё, кроме своих? Надоело для подключения какого-нибудь Вайргарда отключать циско-впн.
                  0
                  А вы Per App VPN пробовали?
                    0
                    Неа, не пробовали. А он поддерживается в ASA 5500?

                    Ну и в целом — хочется не по приложениям разделить «зоны влияния», а просто, чтобы непересекающиеся роуты разных туннелей мирно сосуществовали.
                      0
                      Именно ASA 5500? Или все-таки ASA 5500-X? Какая у вас модель железа и версия софта?
                        0
                        5510,

                        Cisco Adaptive Security Appliance Software Version 9.1(7)32
                        Device Manager Version 7.8(1)150
                        Security Plus
                          0
                          Нужна версия ПО ASA 9.3.1 и выше

                          Что касается 5510, то я бы рекомендовал подумать о переходе на более новую железку. Мы объявили окончание поддержки этой платформы в 2013-м году, а в 2018-м прекратили выпускать для нее обновления и оказывать поддержку.
                            +1
                            вот поэтому я и не перейду на Cisco. Стоит себе железяка, работает. Все вроде хорошо. И вдруг — купите новую железку, нам надоело старую поддерживать. Не «обновите софт», а «купите железо». да ещё и за много денег :(
                              0

                              Какой-то странный подход. Лучше же, наверное, покупать железки с пожизненной гарантией, а то, что Вы при этом переплатите 300% — пофиг? Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна? И секурити апдейты не нужны — надо будет — новую железку купим?

                                0
                                Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна?
                                Ну, вообще говоря, гарантия вам даст только замену устройства на рабочее. В течение 2 недель. В течение которых вы будете без железки.
                                В то время, как можно просто за те же деньги купить хоть четыре девайса подешевле, тех же Микротиков (с пожизненной лицензией на RouterOS), три из которых будут стоять горячим резервом.
                                  0
                                  NBD — Next Business Day
                                    0

                                    Пожизненный бесплатный NBD? (кстати, оноразве тоженазывается «гарантия», ане расширенное сервисное обслуживание, или как-то так?) Ну, и сутки (а то и целую праздничную неделю) простоять без связи — тоже невесело, особенно по сравнению с горячим резервом за четверть той цены.

                                      0
                                      Тогда давайте не путать стандартную гарантию и сервисную поддержку. При покупке любых сложных технических изделий вы не получаете сразу замену (исключение бывают, но это политика отдельных магазинов), а его берут на диагностику, потом принимают решение и т.д. Срок замены может достигать 45 дней. По гарантии. У нас есть гарантия и условия ее предоставления. Есть техническая поддержка, которая в зависимости от уровня, подразумевает замену оборудования в режиме NBD в течение всего срока ее действия.
                                        0
                                        Так я и писал, что ориентироваться на гарантию на само железо смысла нет. На ту самую, которая до 45 дней. А вот на пожизненную поддержку софта (RouterOS) — есть.
                      0
                      Алексей, а можно немного побольше подробностей? Железо 5515X/5516X/5545X/5585X софт 9.6.4-36.

                      UPD. Немного не тот вариант. Это все работает для мобильных платформ. На десктопе может быть запущено более чем один VPN клиента, один из них это Anyconnect, а второй OpenVPN запущенный после Anyconnect. Так вот Anyconnect с радостью затирает роуты полученные OpenVPN клиентом.
                  +3
                  Поставил openvpn и не знаю бед, дополнительные примочки тут выглядят как реклама, а вообще скоро vpn будет в шита в ядро линукс вот тогда и заживем
                    0
                    Если рассматривать только VPN-функциональность, то да. Но AnyConnect дает больше и именно для корпоративного применения
                    +1
                    Поддерживаю. Был опыт перехода с Cisco VPN Client на Any Connect, и стабильность работы не в пользу последнего. Да, соглашусь, что функционал у Any Connect богаче, моет, стирает, есть готовит… Но для выполнения своего функционала мне старого-доброго VPN клиента хватает более чем.
                      0
                      Соглашусь с тем, что если речь идет только о шифровании трафика, то старого VPN Client хватало. Но мы то говорим как раз о том, что при удаленной работе функционал нужен чуть шире
                      +1
                      Не лучшая реализация клиента (по моему мнению, как пользователя).
                      Сейчас используем массово (до 700 подключений)
                      1. Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.
                      2. Во время работы пропадает связь на порт RDP хотя пинги идут, при использовании другого впн клиента такого не наблюдается, админы говорят что отдельного фаервола нет — лечится переподключением впн клиента
                      Возможно, есть какие то преимущества если использовать на ноутбуке выдаваемом организацией сотруднику.
                      Крайне неудобен при использовании на личном ноутбуке.
                      Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.
                        0
                        Вот не знаю. У меня всегда клиент нужен — если не для VPN, то для проброса трафика до Umbrella, когда VPN не поднят, или для контроля сетевого доступа, если я в доверенной сети. Поэтому у него и нет просто кнопки «выключить».
                          0
                          У меня всегда клиент нужен

                          В том то и дело. Я работаю с личного ноутбука с несколькими оргацизациями, использую разные клиенты. И клиент от Cisco мне нужен 4-5 часов в неделю.
                          Учитывая, что политики в том числе маршрутизации настраивается админом сторонней организации меня на личном ноутбуке они чаще всего не устраивают. Например, не удалось объяснить (тикет в SD обрабатывается неделями) что заворачивать весь мой трафик через сеть организации мне совсем не удобно, оссобенно когда у меня окрыт гугл с документацией и SO, а часто и SO с Google Drive и почтовиками из внутренней сети заблокированны.
                          Пока использую такие клиенты от подрядчиков только из под виртуальных машин. Одна ВМ — один подрядчик. А все что нужно в интернете — из хостовой системы. Такая вот куча из… и палок. Удобство использования конечно не радует.
                            0

                            К сожалению, вот эта возможность использовать виртуалки и показывает театр безопасности, который творится. Кстати, даже если у клиента физ устройство и нет виртуалок, то где гарантия, что у него рядом второй ноут, например, не стоит. Т.е. эти меры с заворотом трафика абсолютно не страхуют от утечек данных… Ну, может разве что чутка их усложняют.

                              +1
                              Ну согласитесь, что это не проблема AnyConnect, а настроек, сделанных на стороне из ваших заказчиков. Они могли настроить для вас split tunneling, но не стали по своим соображениям. AnyConnect-то позволял это сделать
                                0
                                Возможно я бы и согласился. Если бы у меня не было с чем сравнить. На том же OpenVPN возможность локально изменить настройки маршрутизации есть. И мне не приходится привлекать к этому сторонних исполнителей.
                                Если рассматривать каждый неудобный момент при использовании решений от Cisco не как недостаток (при конкурентном сравнении vpn решений), а как особенность значительно влияющую на безопасность, то, при обсуждении (клиента) эти преимущества и стоит обсуждать. В соседнем комментарии использовали фразу «театр безопасности». И, по моему мнению, эта фраза замечательно характеризует текущее состояние vpn-решений.
                                Ветку комментариев я начинал как мнение одного из пользователей клиента vpn. В большинстве организаций все же предлагают выбор какой клиент использовать. И, пока, в этом выборе решения от Cisco занимаю последние строчки. При этом, к сожалению, уже не обсуждаются какие то конкретные решения. Как только упоминается Cisco — сразу интересуйся наличием альтернатив.
                            0
                            1. Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.

                            нет таких проблем — сколько с AnyConnect работал


                            Крайне неудобен при использовании на личном ноутбуке.

                            Терпимо. Все неудобства, которые есть — они как правило не из-за клиента, а из-за идиотских настроек корп файрволла и VPN с серверной стороны


                            Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.

                            На маке и линуксе все прекрасно

                              0
                              Не в рамках ветки. Возможно сможете что то посоветовать.
                              Я разрабатываю системы с веб-частью сразу на серверах заказчика. Сервера доступны только из локальной сети. Тестирование SPA требуется проводить и с мобильных и с десктопа (причем одновременно). Можно ли настроить soho-роутер (сейчас использую Microtik) для того чтобы одновременно пробросить несколько устройств в сеть за AnyConnect или Check Point Endpoint?
                              Приобретение старого Cisco адаптера рассматривать большого желания нет (лишняя железка, да и нет опыта настройки cisco-роутеров). Сейчас использую отдельную виртуалку на которой поднят шлюз, но это решение ложится когда админы а стороне заказчика начинаю играться с настройками маршрутизации.
                                0

                                не совсем понял вопроса.
                                Т.е. Вы хотите микротик использовать как впн-клиент или ЗА микротиком несколько машин, на каждой свой впн-агент?

                                  0
                                  Я хочу предоставить доступ для устройств из подсети за микротиком в подсеть за vpn. Cоединение с vpn хотелось бы настраивать только на microtik.
                                    0

                                    Нет, это так не работает. Вам придется себе выбивать Cisco IPsec, чтобы сделать сеть-сеть (пир-ту-пир) IPsec VPN

                            +1
                            В Cisco AnyConnect встроен специальный роуминговый модуль

                            Подтверждаю — это скорее работает, чем нет

                              0
                              Очень классно написал! Я бы купил! Почем? )
                                0
                                Тебе для личных целей, для московского офиса или для всей твоей компании? В первом и втором случае бесплатно. В третьем — надо решать через штаб-квартиру, но и это решаемо. Ты же знаешь :-)
                                0
                                После того как пришлось настраивать Firepower и несколько удаленных железок поумирали в процессе раскатки обновления с fmc… Пожалуй лучше остановлюсь на Forticlient.
                                  +1

                                  Глючное говно этот ваш фортиклиент. Зато энтерпрайзненько. Возможно, что у меня biased мнение и мне просто сильно не повезло и ребята, с которыми я работал, не умеют форти настраивать. Но впечатления хуже, чем и от циски, и от бесплатных ркшений

                                  0

                                  Ставил any connect на centos 7. С гуём работает нормально. Без гуя — постоянно отваливается коннект через разные промежутки времени ( может 2 часа поработать, а может и пару секунд). Причину так и не нашел. Так и сижу со скриптом, который мониторит пинги и выполняет переподключение при необходимости. Такая вот ерунда...

                                    0
                                    Ну в списке официально поддерживаемых ОС Centos и нет же :-)
                                      0
                                      т.е. rhel-based не считается? )))
                                      Ок, попробую на ubuntu 16.04 lts (как заявлено в документации к версии 4.4)
                                        0
                                        Официально не считается :-) Не тестировали и поэтому не можем отвечать за работоспособность. Понятно, что он будет работать, но могут быть нюансы, что и всплыло
                                    0
                                    Возможно ли добавить в ACL Split Tunneling FQDN для облачных сервисов? Иначе получается колбаса из подсетей.
                                        0
                                        Спасибо, но в реальности столкнулся с такой проблемой. Облачные сервисы зачастую используют динамические fqdn адреса по типу hhfhdsh2323asd.server.zoom.us. Возможно ли чтобы acl отрабатывал *.zoom.us например?
                                          0

                                          вряд ли — как он узнает, что записи изменились? Фильтрация же по IP работает, а не по. DNS

                                            0
                                            Насколько я знаю, asa резолвит fqdn в момент его добавления в конфиг и открывает динамические правила после этого. Для того, чтобы заработал например *.zoom.us, нужно чтобы asa умел зарезолвить хост в момент обращения.
                                              0

                                              это очень дорого с вычислительной точки зрения… и потенциально путь к граблям — если резолв будет кэшироваться на какое-то время

                                                0
                                                В случае Dynamic Split Tunnel резолв делается на стороне клиента и проблема не актуальна.
                                                  0
                                                  резолв то делается у клиента, но описать его нужно на асе
                                            0
                                            Конкретно у Zoom куча безымянных серверов, так что его даже это не спасёт.
                                              0
                                              Я подумал что написал об этом в своей статье, а забыл. Дописал с примером.
                                              Достаточно домен верхнего уровня указать чтобы все поддомены подпадали.
                                              +1
                                              Да, есть возможность писать FQDN ACL. community.cisco.com/t5/security-documents/using-hostnames-dns-in-access-lists-configuration-steps-caveats/ta-p/3123480

                                              Именно для облачных сервисов есть неплохая статья на community — community.cisco.com/t5/vpn/split-tunnel-webex-outlook365-zoom-skype/m-p/4049533#M270748

                                              Мой коллега, Дмитрий Казаков, также написал статью здесь, на Хабре, с разбором этой темы. habr.com/ru/company/cisco/blog/493774

                                              P.S: Есть важное уточнение — если вы используете домен верхнего уровня, все нижестоящие также идут в исключение, я попросил Диму про это в статье добавить подробнее.
                                          0
                                          Можно ли выключить Engineering Debug Details, который засирает лог на компьютерах пользователей?
                                          И почему актуальные модели ASA до сих пор не поддерживают DTLS 1.2, хотя древняя 5515-X его умеет?
                                            0
                                            Какая у Вас версия клиента? Все кейсы которые я нашел на сей счет связаны с версие AnyConnect 3.x, актуальная 4.х (текущая версия 4.8) не должна иметь таких проблем.
                                              0
                                              4.8.03036 с базовым модулем для VPN.
                                              После перезагрузки в журнале «Cisco AnyConnect Secure Mobility Client» появилось 133 сообщения из которых лишь 17 несут хоть какую-то пользу, а остальные 116 содержат бессмысленный дебаг с именами функций от acvpnui и acvpnagent.
                                                0
                                                Про Engineering Debug Details, нашел его на двух машинах Win10 и Win7, после перезагрузки обе сгенерировали от 3-х до 4-х сообщений. Лог небольшой совсем. Полагаю надо обратиться в ТАС, вероятно они разберут с чем связаны непонятные ошибки. Возможно на этот баг наткнулись — CSCud51993.
                                                  0
                                                  А есть смысл тратить время?
                                                  В лучшем случае TAC создаст feature request, который никогда не будет выполнен (как для ветки 3.1), в худшем ответят что-то в духе «это нам нужно для вашей поддержки».

                                                  Оно пишет в логи про отсутствующие модули (на компьютерах установлен только core vpn) и окружение (нет IPv6, смарткарты, публичного IP и т.п.).
                                              0
                                              vpn-demo-1(config)# ssl cipher?

                                              configure mode commands/options:
                                              default Specify the set of ciphers for outbound connections
                                              dtlsv1 Specify the ciphers for DTLSv1 inbound connections
                                              dtlsv1.2 Specify the ciphers for DTLSv1.2 inbound connections
                                              tlsv1 Specify the ciphers for TLSv1 inbound connections
                                              tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections
                                              tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections
                                              vpn-demo-1(config)# sh ver

                                              Cisco Adaptive Security Appliance Software Version 9.12(3)7
                                                0
                                                Это на ASA 5506-X/5508-X/5516-X (aka Kenton platforms)?
                                                  0
                                                  Этот функционал не ограничен моделью оборудования, это функция софта, я не зря вывод show version приложил.
                                                    0
                                                    То есть в релизнотах и багтрекере указана неверная информация про отсутствие поддержки DTLS 1.2 на указанных моделях?
                                                      0
                                                      Посмотрел, и всё таки это исключение из правил, баг.
                                                      На текущий момент да, в обозначенной серии этот баг не решен, вывод я предоставил с ASAv.
                                                        0
                                                        ASA 9.14 также не поддерживает DTLS 1.2 на 5506/5508/5516.
                                              +3
                                              Этот AnyConnect пароль не может запомнить. Приходится каждый раз из 1Password копировать :-)
                                                0

                                                Согласен, выглядит глупо. Но зато… Как бы секурно, лол ))
                                                Кстати, линуксовый клиент (openconnect) пароль сохраняет без проблем

                                                  +2
                                                  Поэтому у нас все «линуксоиды» переходят на openconnect. И пароль сохраняет и сильно стабильнее работает. Ну и можно настроить разные DNS правила для разных доменов.
                                                  0
                                                  Ну а какой тогда смысл в средстве защиты, которое таким перестает быть, если любой желающий может зайти в корпоративную сетку под сохраненным паролем? У нас в компании так вообще MFA внедрили для AnyConnect, чтобы не только пароль вводить, но и второй фактор отрабатывал.
                                                    +1
                                                    У нас тоже 2FA. Все очень просто: если пароль нельзя запомнить, его запишут на бумажке и приклеят к монитору.
                                                      0
                                                      Или надо проводить мероприятия по обучению пользователей умению выбирать запоминающиеся пароли :-)
                                                        0

                                                        Чушь. Лучший пароль — пароль, которого нет. Я уж не говорю о том, что я даже пережил бы привязку клиента к конкретному устройству или закрытому перечную устройств, лишь бы не применять лишний раз пароль. И, да, Вы правда верите, что пароль поможет в случае, если, например, машина работника протроянена и там установлены кейлоггеры-вредоносы? Или враг глядит через плечо?
                                                        MFA, кстати, у нас тоже есть — но от него больше фикция защиты, т.к. через смс. Начать с того, что СМС негарантированно доходят и это прям боль, а второе — лучше был бы способ через программу генерировать коды (это решает целый пласт проблем — от перехвата СМС и их недоставки и кончая аппаратными проблемами вроде "телефон сел, а впн нужен)".


                                                        Или надо проводить мероприятия по обучению пользователей умению выбирать запоминающиеся пароли :-)

                                                        фейспалм


                                                        p.s. зачастую пароль для VPN тот же самый доменный пароль, который годится для всех остальных корпоративных сервисов

                                                          +1
                                                          Сгенерированные коды — это тоже пароли, только одноразовые :-) А использование одного пароля для VPN и домена — это скорее косяк системы ИБ
                                                            +1
                                                            Видел жуткую схему с нечитаемыми логинами из генератора, правда мучаться приходилось только админам — пользователи входили по смарт-карте.
                                                              0
                                                              Накосячить можно даже при использовании идеального решения :-) Даже если его разработчик считает, что его нельзя использовать не так, всегда найдется кто-то, кто будет использовать его не так
                                                  +1
                                                  AnyConnect — единственный известный мне VPN который имеет наглость подменять DNS трафик. Вот прям реально на клиенте смотрит на имя в DNS пакете и отвечает от имени сервера. Причём настолько «удачно», что даже не сразу разобрались, что это не сервер отвечает, а именно клиент. Вобщем openvpn оказался заметно удобнее в конфигурации и использовании.
                                                    0
                                                    Ой. openconnect конечно же. Ошибся
                                                      0
                                                      Эта описанная в документации функция необходима для реализации split tunneling
                                                        0
                                                        Вообще-то это стандартная функция, и зависит она не от клиента, а от VPN-шлюза. Реализована почти на любом VPN-шлюзе, претендующем на звание энтерпрайзного. Обычно называется DNS doctoring, DNS rewrite и т.д., нужна если вы используете NAT или split-tunneling.
                                                        Функционал инспектирования DNS doctoring позволяет устройству безопасности ASA перезаписывать (rewrite) DNS A-записи и PTR-записи.
                                                        DNS Rewrite нужен если:
                                                        • Используется NAT64 или NAT 46, DNS-сервер во внешней сети. Тогда нужно делать конвертацию DNS-ответов между форматами DNS A-записей (для IPv4) и AAAA-записей (IPv6).
                                                        • DNS-сервер во внешней сети, клиент во внутренней, требуется разрешать fully-qualified domain names для других хостов во внутренней сети (например, корпоративный веб-портал и т.д.).
                                                        • DNS-сервер во внутренней сети и отвечает на запросы ответами с внутренними адресами, клиенты снаружи, и клиенты запрашивают fully-qualified domain names серверов, которые находятся во внутренней сети.

                                                        www.cisco.com/c/en/us/td/docs/security/asa/asa912/configuration/firewall/asa-912-firewall-config/nat-reference.html#ID-2091-0000048c
                                                          0

                                                          Только это все выглядит как сомнительный функционал.
                                                          Объясню.
                                                          Есть портал компании www.acme.org. Он доступен через публичную сеть по HTTPS протоколу и обеспечивает некий функционал. Зачем его заворачивать еще раз в VPN?
                                                          А если портал обеспечивает некий БАЗОВЫЙ функционал, а РАСШИРЕННЫЙ включается только при работе через корп. сеть с одним и тем же ДНС, то там начинаются чудеса в решете — т.к. сессии протухают, куки кривые и все прочие радости отличной архитектуры (да, это пример из жизни, причем очень сложно диагностируемый). А всего-то нужно было разные части портала разнести на разные домены (внешний и внутренний)…
                                                          Я уж не говорю, что если клиентская машина протроянена, то VPN-не-VPN — тут уже поздно пить Боржоми.


                                                          Несомненно, что VPN добавляет к защите. Но типичные реализации сетей… скорее создают неудобства.

                                                            0
                                                            Так Дмитрий уже давал ссылку на свою статью, где он описывал кейс, когда доступ на публичные порталы или облака не заворачиваются в VPN, а идут напрямую.

                                                            Если клиентская машина протроянена, то включаются иные механизмы защиты. VPN — это всего лишь защита канала, но никак не точек подключения к нему. Для защиты ПК и защиты корпсети нужны и иные решения применять. Это ж вроде и так понятно
                                                              +1
                                                              когда доступ на публичные порталы или облака не заворачиваются в VPN, а идут напрямую.

                                                              тут немного другой кейс я описывал — когда вроде FQDN портала одинаковый, но из паблика он в "ограниченном" режиме, а из корп сети и VPN по "полноценному"

                                                                0
                                                                Ну у нас в Cisco таких сервисов много. Уточню, как у нас устроено. Возможно split tunelling + MFA решит проблему, если портал поддерживает MFA
                                                              0
                                                              При чём тут «сомнительный»? Оно либо работает, либо нет, разрешение имён либо корректно, либо нет. Если вам эта функция не нужна — просто настройте правильно VPN, DNS и инфраструктуру. То, о чём вы пишете, отношения к AnyConnect'у в любом случае не имеет.
                                                                0

                                                                я просто делюсь болью. К сожалению, зачастую я выступаю как пользователь инфры с минимальными возможностями по предложениям по ее улучшению. А любая мощная и потенциально полезная "фича" может быть как использована во благо, так и по не знанию или лени — неправильно и создавая неудобства (в лучшем случае) легальным пользователям.

                                                          0
                                                          Есть аппаратные пользовательские устройства Cisco с встроенным Anyconnect клиентом с авторизацией по зашитому в устройство сертификату? Не нашёл в RV160, к примеру, этого функционала.
                                                            0
                                                            Увы, AnyConnect не поддерживается на RV160 — только на RV34X. Посмотрите вот это описание — www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/1399-tz-best-practices-vpn.html Более того, Cisco практически не занимается пользовательскими устройствами. Наше оборудование ориентировано на организации, начиная с малого бизнеса
                                                              0
                                                              Исторически оч. странная позиция компании, когда в каком-то направлении нет нормального нижнего сегмента клиентского оборудования, в данном случае ориентированного на удаленный доступ сотрудников организаций неважно какого бизнеса. В RV130/160 могли бы и AnyConnect клиент запихать, для тех самых телеворкеров, технических препятствий там не видно, из препятствий только очень странный маркетинг.
                                                                0
                                                                Мы уже работали в нижнем сегменте, купив в свое время компанию Linksys. Опыт показал, что это не наша тема и Linksys был продан. Поэтому, увы, мы не можем реализовать в каждом нашем устройстве весь функционал, который мы умеем реализовывать. У каждого устройства есть своя сфера применения и свое предназначение, которое определяется на этапе проектирования. Если нужен удаленный доступ, то мы рекомендуем использовать немного иные модели устройств
                                                              +1
                                                              The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server. This seems anything but secure to me, especially given their history of trivially-exploitable bugs.


                                                              Мне тут в связи со всеми удаленками пришлось пользоваться этим (через openconnect). Вот эта цитата из мануала к openconnect мне всё еще не дает покоя (с какой целью ему запускать что-то на моем личном компьютере)
                                                                0
                                                                Эээ, Cisco Secure Desktop — продукт, разработка которого была прекращена много лет назад. И это было решение класса контейнера ИБ, который загружался на компьютер пользователя и внутри которого и запускались разные приложения. Но данный подход мы признали неудачным много лет назад и этого продукта уже давно не существует
                                                                  0
                                                                  Однако при подключении без CSD wrapper я получаю вот такое «Error: Server asked us to run CSD hostscan.»
                                                                    0
                                                                    А что за openconnect? Может AnyConnect? Допускаю, что речь идет о функциональности Posture, то есть проверки выполнения на удаленном компьютере требования ИБ — наличие патчей, парольная политика, актуальный антивирус и т.п. Если проверка не проходит, то компьютер не пускается в сеть. Этот функционал может быть отключен.
                                                                      0
                                                                      www.infradead.org/openconnect/index.html вот этот openconnect (клиент для Cisco AnyConnect да). Цисковский клиент под моим дистрибутивом не завелся, официальная поддержка у вас вроде только под centos.

                                                                      >Этот функционал может быть отключен.
                                                                      Ну я так понимаю не со стороны клиента?
                                                                        0
                                                                        Ну так это не наше ПО. Я тогда не знаю, что он запускает и почему. Тут уже вопросы его разработчикам надо задавать.

                                                                        Нет, все управление политиками делается на стороне шлюза.
                                                                          0
                                                                          Так запускает то оно как раз то что сервер запросил — CSD hotscan; как написано выше. Сервер то ваш как раз.
                                                                            0
                                                                            Не могу прокомментировать ситуацию с openconnect. Но отключается функция posture (hostscan) на шлюзе

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое