что такое cisco anyconnect secure mobility client
Cisco AnyConnect
Защищенный доступ через VPN для удаленных сотрудников
Cisco AnyConnect Secure Mobility Client предлагает удаленным сотрудникам удобный и защищенный доступ к корпоративной сети когда угодно, откуда угодно и с любого устройства без рисков для организации.
Связаться с Cisco
Оперативная защита удаленных сотрудников
Если вы ищете способ повысить уровень защиты удаленных сотрудников, чтобы они могли работать в любое время, где угодно и на любом устройстве, обратите внимание на решение Cisco Secure Remote Worker.
В чем преимущество Cisco AnyConnect?
Решения Cisco помогут ускорить развитие бизнеса за счет быстрого развертывания каналов гибкого доступа на основе политик для удаленных сотрудников, подключающихся к корпоративной среде через проводные и беспроводные сети или VPN.
Эффективность
Расширьте возможности традиционных сетей VPN за счет разнообразных услуг, чтобы гарантировать удаленным сотрудникам по-настоящему защищенный доступ и при этом снизить совокупную стоимость владения инфраструктурой.
Мониторинг
Возьмите корпоративную сеть под контроль — вы всегда будете знать, кто из распределенного штата сотрудников входит в систему и какое устройство для этого используется.
Автоматизация
Автоматизируйте непрерывную проверку и исправление состояния оконечных устройств, чтобы контролировать, насколько вы соответствуете нормативным требованиям, и повысить уровень безопасности.
Используйте весь потенциал развертывания AnyConnect
Подтверждение личности пользователя при авторизации
Защитите доступ к сети VPN и контролируйте все устройства пользователей благодаря функции многофакторной аутентификации.
Нейтрализация угроз в точке входа
Отслеживайте активность на всех оконечных устройствах, чтобы блокировать атаки еще до того, как они нанесут ущерб вашему бизнесу.
Защита пользователей вне сети VPN
Защитите пользователей за несколько минут при помощи гибкой облачной системы, всегда доступной в нужное время и в нужном месте.
Улучшение защиты благодаря средствам контроля и анализа
Выявляйте слепые зоны, существующие в сети, и создавайте информативные отчеты, которые сразу помогут увидеть уязвимости.
Оконечные устройства как на ладони
Выявляйте различные угрозы (вредоносное ПО неизвестного типа, опасные действия пользователей и утечку данных) и останавливайте их, прежде чем потенциальная проблема превратится в реальную.
Мониторинг трафика на устройствах iOS
Оптимизируйте мониторинг сетевого трафика на устройствах iOS и блокируйте попытки подключения к вредоносным сайтам.
Характеристики и преимущества
Доступ из любого места
Предоставьте любому пользователю возможность защищенного доступа в корпоративную сеть с любого устройства, в любое время и из любого местоположения.
Расширенные возможности мониторинга
Воспользуйтесь возможностями более глубокого анализа поведения пользователей и оконечных устройств с помощью полномасштабного мониторинга корпоративных сетевых ресурсов предприятия. Воспользуйтесь телеметрией Secure VPN для углубленного мониторинга оконечных устройств и создания системы раннего предупреждения об угрозах с помощью Cisco Endpoint Security Analytics. AnyConnect поможет повысить уровень защиты и эффективность сетевых операций.
Всесторонняя защита
Защититесь от угроз независимо от их источника. Платформа Cisco Identity Services Engine (ISE) помогает защитить сеть от устройств, не отвечающих требованиям безопасности. Вы можете устанавливать безопасный удаленный доступ с помощью многофакторной аутентификации Duo (MFA) для проверки идентификационных данных пользователя. А сервис Umbrella Roaming поможет вам распространить защиту на ситуации, когда пользователи подключаются к сети, не используя VPN.
Простое управление и использование
Обеспечьте удобство работы пользователей на любых устройствах как внутри организации, так и за ее пределами, не создавая лишних проблем для сотрудников ИТ-отдела. Упростите управление за счет использования единого агента.
Почему Cisco AnyConnect — это не просто VPN-клиент
На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.
Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect’ом (IPSec/IKEv2).
А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:
Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.
Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).
А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?
В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.
А могу ли я шифровать не весь трафик, а только корпоративный?
Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» 🙂
В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.
А могу ли я шифровать трафик определенных, например, корпоративных, приложений?
Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.
А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?
С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:
А как мне аутентифицировать пользователей?
Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.
А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?
У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.
Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?
Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.
А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?
Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.
А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?
Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.
На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.
Cisco AnyConnect Secure Mobility Client
В наше время обеспечение безопасности доступа к сети имеет очень важное значение. Существует огромное количество различных бесплатных VPN-сервисов, но ни одному из них не стоит доверять на 100%. Но как же быть в такой ситуации, как посещать заблокированные сайты, оставаясь нераспознанным? Все очень просто, необходимо использовать универсальное приложение, которое поддерживается на персональном компьютере, ноутбуке, а также смартфоне, работающем на Google Android или Apple iOS. Сначала мы рассмотрим возможности программы, обсудим, где ее бесплатно скачать, как установить, а также как пользоваться. А в самом конце странички будет предложено бесплатно скачать последнюю русскую версию Cisco AnyConnect Secure Mobility Client с официального сайта.
Приложение, о котором пойдет речь в статье, может работать на ПК, Android-смартфоне или iPhone.
Что это за программа?
Итак, изначально давайте разберемся, что же это за приложение, и какими возможностями оно обладает. Список основных, а также дополнительных функций клиента Cisco AnyConnect можно выразить примерно следующим образом:
Данный список включает не все возможности приложения, о котором мы сегодня рассказываем. Остальные нюансы станут понятными при более близком знакомстве с программой.
Кстати, шифровать свое местоположение и список сайтов, которые вы посещаете, можно также при помощи одной из программ для смены IP.
Как скачать и установить
Теперь, когда мы рассмотрели возможности приложения, давайте переходить дальше и разбираться, как установить Cisco AnyConnect на компьютер и телефон. И первый, и второй случай мы рассмотрим пошагово в соответствующих инструкциях, отдельно приведенных ниже.
На компьютер
Начинать давайте именно с ПК. Для того чтобы установить обозреваемую утилиту на компьютер, необходимо придерживаться следующей последовательности:
Если у вас более ранняя операционная система, например, Windows 7 или 8, скачивать приложение придется с его официального сайта, в связи с отсутствием магазина Microsoft на таких ОС.
Попав на домашнюю страничку программой, вы сможете скачать ее для разных платформ, включая macOS Catalina и Linux Ubuntu или Mint, а также отдельно загрузить файл локализации, для того чтобы перевести утилиту на русский.
Если программа не устанавливается на Windows 7, и мы видим сообщение «connection attempt has failed», попробуйте запустить инсталлятор от имени администратора. Таким же образом можно исправить ошибку «certificate validation failure cisco anyconnect» (когда при подключении пропадает интернет).
На телефон
Теперь давайте поговорим и о том, как установить данную программу на смартфон. Причем последовательно разберем процесс инсталляции для телефонов, работающих на базе операционной системы Google Android, а потом поговорим и про iPhone, функционирующих на Apple iOS.
В дальнейшем открывать программу вы сможете при помощи появившегося на домашнем экране Android значка.
Как пользоваться
Теперь, когда мы рассмотрели процесс установки Cisco AnyConnect Asa на компьютер и телефон, можно переходить дальше и рассказывать, как пользоваться данным приложением. Аналогично приведенной выше пошаговой инструкции, мы разберем процесс эксплуатации Cisco AnyConnect для ПК и смартфона отдельно.
Работаем с ПК
Раз уж мы начали с установки программы для компьютера, инструкцию по работе с ней тоже будем рассматривать для данной платформы. Как только приложение будет запущено (для этого, как мы уже говорили, можно использовать меню «Пуск» Windows), следует сразу перейти к его настройкам и активировать блокировку серверов с низким доверием (blocked untrusted server). Это защитит пользователя от потери личных данных.
Дальше переходим на вкладку VPN и жмем по обозначенной на скриншоте ниже кнопке.
В результате запустятся настройки ОС, в которых мы можем добавить данные VPN, а также настроить его использование.
Вот и все, на компьютере основные настройки данного приложения выглядит именно так.
На смартфоне
На телефоне, сразу после того, как мы запустим программу, нам понадобится принять лицензионное соглашение Cisco AnyConnect. Для этого жмем кнопку, обозначенную красной рамкой.
В первую очередь необходимо запустить настройки приложения, нажав на иконку с изображением трех вертикальных точек, расположенную в правом верхнем углу окна.
Дальше в выпадающем меню мы жмем по «Settings».
Настройки программы содержат следующие пункты:
Для того чтобы запустить защищенное соединение нам необходимо нажать на обозначенную ниже иконку.
Дальше мы должны активировать отмеченный на скриншоте переключатель.
Соответственно, при помощи этого же триггера можно отключиться от защищенной сети.
Следующий пункт переводит нас к дополнительным настройкам.
Например, мы можем добавить здесь новое VPN-подключение.
Присутствует описание будущего соединения, графа для внесения настроек сервера, а также дополнительные параметры, включающие в себя, например, расширенные настройки сертификата протокола.
На iPhone последовательность действий для установки выглядит похожим образом. Отличие заключается лишь в том, что мы вместо Google Play Market посещаем Apple AppStore. Затем, воспользовавшись поиском, находим нужную нам программу и автоматически скачиваем ее.
Плюсы и минусы
Также давайте рассмотрим список положительных и отрицательных особенностей, с которыми придется столкнуться, используя рассматриваемое в статье приложение:
Аналоги
Для того чтобы у вас был выбор, мы предлагаем рассмотреть список похожих приложений:
Скачать
Теперь, когда мы рассмотрели возможности приложения, описали процесс его установки, а также предоставили краткую инструкцию по использованию лицензии Cisco AnyConnect, вы можете переходить непосредственно к скачиванию программы с ее официального сайта.
| Разработчик: | Cisco Systems Inc. |
| Год выхода: | 2021 |
| Название: | Cisco AnyConnect |
| Платформа: | Windows XP, 7, 8, 10, Linux, macOS, Android, Apple. |
| Язык: | Русский (для компьютера требуется отдельная установка файлов локализации) |
Инсталляция данного софта для мобильных платформ производится из присущих им магазинов приложений. Поэтому ссылку на загрузку мы представляем только для десктопной платформы.
Видеообзор
Для того чтобы вам было проще понять, что же это за программа и как ею пользоваться, мы предлагаем просмотреть полный курс инструкций CCNA, в котором автор подробно показывает все на собственном компьютере.
Вопросы и ответы
Теперь, когда вопрос исчерпан на 100%, мы можем заканчивать свою инструкцию, а вы, соответственно, переходи к делу. Загружайте приложение на компьютер и пользуйтесь анонимностью в сети. Если в процессе появятся какие-то вопросы, пишите в комментариях, а мы обязуемся ответить и поможем, если появится проблема.