Какие варианты VPN Remote Access предоставляет ASA 5500-X

• 15.06.2016
• 5741

Автор
Борис Усков, CCNP
Системный инженер

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA.

• Классификация VPN
• Соединение по протоколу IPsec
• Соединение по протоколу SSL/TLS
• Подключение с помощью браузера (Clientless Access)
• Port Forwarding (Thin-Client)
• Smart Tunnel

Классификация VPN

Классификация пользовательского VPN, предоставляемого МСЭ Cisco ASA:

По типу туннелирующего протокола:

1. IPsec – устаревший способ (не требует дополнительных лицензий);
2. SSL/TLS – современный способ (требует дополнительные лицензии).

Способ номер 2 - SSL/TLS - в свою очередь подразделяется на два вида:

• a. Подключение с использованием клиентского приложения (Network (Client) Access);
• b. Подключение с помощью браузера (Clientless Access).

Кроме того, способ номер 2 (SSL/TLS) может быть дополнен функционалом Cisco Secure Desktop (лицензируется отдельно), направленным на выполнение определённых проверок пользовательских устройств, с которых осуществляются попытки подключения.

Разберём более подробно каждый из способов.

Соединение по протоколу IPsec

Для соединения по первому способу – IPsec - используется клиентское приложение Cisco VPN Client. Для подключения пользователь должен установить и настроить клиентское приложение самостоятельно.

Соединение по протоколу SSL/TLS

Способ 2а – SSL/TLS с использованием клиентского приложения - является аналогом способа 1. В случае 2а для подключения используется клиентское приложение Cisco Anyconnect Secure Mobility Client (далее Anyconnect). Главное преимущество использования способа 2а заключается в том, что приложение Anyconnect может быть загружено пользователем самостоятельно непосредственно с МСЭ ASA. При этом установка этого приложения будет выполнена в автоматическом режиме. Такое решение во многом упрощает администрирование сервиса Remote Access. Сетевым инженерам достаточно раздать пользователям ссылку, по которой можно скачать и установить клиент Anyconnect и логин/пароль. Кроме того, вместе с клиентом Anyconnect на пользовательское устройство загружается профиль подключения, описывающий все необходимые настройки. Пользователю не требуется настраивать подключение, как это было в случае использования Cisco VPN Client. Если на устройстве пользователя уже установлен клиент Anyconnect для подключения достаточно включить клиент, нажать “Connect” и ввести логин/пароль.

Существуют реализации клиента Anyconnect для мобильных устройств: Android, iOS, Windows mobile. Как правило, VPN на основе SSL\TLS для предоставления сервиса Remote Access показывает более стабильную надёжную связь по сравнению с IPsec.

При использовании клиента пользовательское устройство получат логическое соединение с корпоративной сетью. При необходимости, сетевой администратор может настроить соединение таким образом, чтобы удалённый пользователь получал неограниченный доступ к ресурсам компании, как если бы пользовательское устройство было бы непосредственно включено в один из коммутаторов корпоративной сети.

Подключение с помощью браузера (Clientless Access)

В некоторых случаях, пользователи не могут установить на свои устройства клиентское приложение (AnyConnect или Cisco VPN Client). Например, удалённый пользователь подключается из Интернет-кафе, используя местный компьютер. В таких случаях единственным вариантом подключения становится подключение с помощью браузера (Clientless Access) – способ 2b. При таком виде подключения пользователь получает ограниченный доступ к определённым ресурсам компании. Отсутствует логическое подключение устройства к корпоративной сети.

При использовании подключения с помощью браузера, пользователь заходит на корпоративный портал. Данный порта настраивается на ASA сетевым администратором. В зависимости от типа предоставляемых для удалённого доступа ресурсов на портале пользователь сможет найти следующие основные вкладки:

1. Web Applications
2. Browse Networks
3. Application Access
4. Terminal Servers

Вкладка Web Applications содержит ссылки на web-ресурсы компании, например OWA (Outlook Web Access), web-серверы компании.

Вкладка Browse Networks содержит инструменты доступа к сетевым файловым хранилища компании. Доступ может быть настроен по протоколам CIFS и FTP.

Вкладки Application Access и Terminal Servers содержат инструменты доступа к различным приложениям. С помощью портала можно организовать удалённый доступ к TCP-приложениям, использующим статические номера портов. К таким приложениям относятся приложения на основе следующих протоколов:

• POP3, SMTP, IMAP – для web-based email;
• SSH, и Telnet;
• Citrix Client (rca);
• Terminal Servers (rdp);
• Terminal Servers Vista (rdp2);
• VNC Client.

Для использования сервисов доступа к приложениям на клиентском устройстве необходимо наличие Sun Microsystems Java Runtime Environment (Java). Существует три способа предоставления доступа к приложениям:

1. Port Forwarding
2. Smart Tunnel
3. Plug-ins

Port Forwarding (Thin-Client)

Способ Port Forwarding также называется Thin-Client. При использовании данного способа на пользовательское устройство загружается небольшой Java-аплет. Для получения доступа к серверу приложения пользователь должен знать номер порта, по которому должен быть доступен сервер, а на пользовательском устройстве должно быть установлено соответствующее клиентское программное обеспечение. Так на примере доступа по RDP на терминальный сервер таким клиентским приложением должен служить сервис mstsc.exe. Для получения доступа по RDP на терминальный сервер, пользователь должен нажать на портале Start Applications, запустить на своём устройстве сервис mstsc.exe и ввести адрес 127.0.0.1:<номер порта>. Пользователь должен иметь права администратора для своего устройства, с которого осуществляется подключение.

Smart Tunnel

Способ Smart Tunnel является надстройкой над способом Port Forwarding. Данный способ не требует наличия прав администратора, а также не требует от пользователя знаний, под каким портом сетевой администратор опубликовал на портале тот или иной сервер. Использование Smart Tunnel более предпочтительно по сравнению с использованием Port Forwarding. В данном случае, на примере доступа по RDP пользователь должен нажать на портале Start Smart Tunnel и, после этого, запустить mstsc.exe на своём устройстве. Теперь пользователь может подключиться по RDP к любому терминальному серверу, а не только к серверу, который опубликован сетевым администратором.

Инструменты способа Plug-ins можно найти на вкладке Terminal Servers. Главное отличие данного способа от предыдущих двух заключается в том, что на пользовательском устройстве может отсутствовать клиентского программного обеспечения для установки связи с сервером приложения. Другими словами, на примере RDP, не обязательно наличие mstsc.exe на устройстве. В качестве клиентского программного обеспечения выступает соответствующий приложению загружаемый на пользовательское устройство plug-in для браузера, работающий в среде Java.

Среди перечисленных трёх способов организации доступа к приложениям использование Smart Tunnel является наиболее производительным методом.

В заключении отметим основные возможности технологии Cisco Secure Desktop (CSD). Для многих современных компаний корпоративные политики безопасности требуют определения параметров пользовательских устройств, с которых осуществляется подключение к корпоративной сети. К таким параметрам относятся операционная система устройства, наличие актуального антивируса, наличие актуального программного брандмауэра, наличие актуального решения против шпионящего ПО, и многие другие параметры. Технология Cisco Secure Desktop (CSD), используемая совместно с Anyconnect-подключением или подключением без использования клиентского ПО, помогает решить задачу валидации устройства, подключаемого удалённо к корпоративной сети. Рассматриваемая технология помогает собирать параметры, описывающие подключаемое устройство. В дальнейшем собранные параметры могут быть использованы, чтобы определить, можно ли данному устройству подключаться удалённо к корпоративной сети, и, если подключение разрешено, какой уровень доступа может быть предоставлен для конкретного устройства.

Например, можно настроить политики таким образом, чтобы для устройств с определённой ОС, сертификатом и антивирусом разрешался неограниченный доступ к ресурсам компании, при отсутствии сертификата - разрешался доступ только к определённым IP-адресам и портам, а для всех других устройств разрешался доступ только через корпоративный портал (Clientless Remote Access).

Технология CSD в своей работе опирается на использование программы HostScan. При попытке установления соединения CSD загружает HostScan на подключающееся устройство. HostScan собирает все необходимые параметры устройства.

Проверки устройства происходят в два этапа:

1. Проверка перед аутентификацией (prelogin check). На данном этапе HostScan проверяет:
   • Операционную систему;
   • Присутствие или отсутствие определённого файла на устройстве;
   • Для ОС Windows присутствие или отсутствие определённого ключа в реестре ОС;
   • Наличие цифрового сертификата;
   • Наличие определённого IPv4 и/или IPv6 адреса.
2. Дальнейшая проверка.

Если устройство проходит первый этап проверки, HostScan продолжает свою работу, собирает информацию о таких параметрах как наличие антивируса, его актуальность, вендор, версия базы, наличие программного файервола и его параметры, наличие решения предотвращения шпионящего ПО и его параметры и т.д. В это же время пользователю предлагается ввести аутентификационные данные.

Линейка продуктов Cisco ASA5500-X предоставляет дополнительный функционал – Advanced Endpoint Assessment (лицензируется отдельно, покрывается лицензией AnyConnect Apex). Если на этапе 2 проверки HostScan выявляется несоответствие определённых параметров устройства корпоративным стандартам, HostScan с включённым функционалом Advanced Endpoint Assessment предпринимает попытки исправить параметры устройства. Например, если присутствует антивирусное программное обеспечение обнаружено, но выключено пользователем, HostScan может принудительно активировать ПО. Также, если антивирус обнаружен, но база данных устарела, HostScan может принудительно инициировать попытку обновления базы вирусных сигнатур. Аналогичные исправления могут быть предприняты относительно программного брандмауэра и решения против шпионящего ПО.

По совокупности собранных параметров подключаемого устройства и аутентификационных данных пользователей (логин, принадлежность к определённой группе AD или Cisco, атрибута RADIUS и т.д.) межсетевой экран динамически принимает решение о предоставление доступа удалённому пользователю. Описанная задача решается посредством динамических политик доступа на Cisco ASA (Dynamic Access Policies – DAP).

В статье рассмотрены варианты предоставления сервиса доступа к корпоративным ресурсам компании удалённым пользователям, технологии, использующиеся для решения поставленной задачи, а также возможности, функционал и особенности применения каждой технологии. Основной акцент данной статье сделан на использование продукта Cisco ASA серии 5500-X, как программно-аппаратного решения, реализующего рассматриваемые технологии. Однако стоит отметить, на настоящий момент времени маршрутизаторы Cisco практически полностью поддерживают описанные решения и функционал.

Так, например, маршрутизаторы Cisco ISR G2 (c IOS 12.4(6)T и выше), поддерживают Cisco VPN Client подключения, Anyconnect-подключения, подключения без клиента Clientless VPN и технологию Cisco Secure Desktop. Функциональное отличие от Cisco ASA заключается только в отсутствии Advanced Endpoint Assessment.

Для Cisco ASA основная часть описанного функционала лицензируется отдельно. Ознакомиться с особенностями схемы лицензирования описанного функционала можно по ссылке.

1. Cisco Next Generation Security Solutions All in one Cisco ASA