Как поймать то, чего нет. часть пятая, дробь два: что нужно знать для покупки сертифицированного продукта. чаво
Как это ни грустно, и что бы мы ни думали о возможности неиспользования сертифицированных средств защиты, но ситуация практически полностью совпадает с известным подходом: «Вы не согласны с результатами проверки? Ваше право! А пока мы заблокируем ваши счета». Поэтому рано или поздно (а для государственных органов и компаний, которым требуется обеспечить защиту гостайны — всегда) приходится обращаться к вендорам за соответствующим ПО. И тут начинается самое интересное.
Как вы думаете, что у нас просят? Для тех, кто сталкивался, ответ загадкой не является: «Нам нужен сертифицированный продукт». Для тех, кто не в курсе, такой запрос фактически соответствует знаменитому анекдоту: «Петька, прибор! 45! Что 45? А что прибор?»
Но не будем жаловаться! Вашему вниманию предлагается список типичных граблей, на которые наступают заказчики, желающие использовать сертифицированные антивирусные средства.
Внимание! Несмотря на то, что правила сертификации, поставки и обслуживания одинаковы для всех компаний, действующих на рынке, возможны мелкие вариации в составе сертифицированных версий, уровне сертификации и т. д. В связи с этим везде, где упоминаются конкретные случаи, указывается наименование компании. Дело в том, что поставка сертифицированных продуктов возможна только в коробке и соответственно автор пощупать руками все коробки всех поставщиков был не в состоянии. Если Хабражители обнаружат ошибку или укажут на иной подход для какой-то компании, соответствующие исправления будут с благодарностью приняты и внесены в статью.
Нам нужен сертифицированный продукт!
К сожалению, поставщику это ничего не говорит. У «Доктор Веб» сертифицирована вся линейка (http://company.drweb.ru/licenses_and_certificates/?lng=ru), у «Лаборатории Касперского» – отдельные продукты (http://www.kaspersky.ru/about/why/certificates/certificates-government), у остальных вендоров, как правило, сертифицируется один, наиболее продаваемый, продукт. «Доктор Веб» сертифицирует все продукты по максимальному уровню, у Лаборатории Касперского для разных продуктов сертификация происходит на различные уровни, остальные вендоры сертифицируют продукты по минимально требуемому уровню. И так далее.
Какую информацию в результате должен предоставить поставщику клиент, чтобы не промахнуться (поставщик-то поставить может все, что угодно, но вряд ли клиент обрадуется, когда в ходе развертывания поймет, что купленный им продукт не работает)?
- Тип сертификата. По каким требованиям должен быть сертифицирован продукт — ФСТЭК, ФСБ, МО, 1С, Газпром и т. д. Достаточно часто заказчики сами не определились, какие сертификаты им нужны. А разница весьма существенна. Скажем, сертифицированные для МО и по требованиям ФСТЭК продукты вполне могут не совпасть по системным требованиям и по требованиям систем сертификации. В системе сертификации МО сертификация осуществляется в том числе и на соответствие реальных и декларируемых в документации функциональных возможностей.
- Уровень защиты. Для разных сертификатов уровни разные. Если требуется продукт, сертифицированный по ФСТЭК, то в большинстве случаев достаточно назвать уровень секретности: совершенно секретно, ДСП и т. д. Достаточно часто заказчики не следят за изменением законодательства и называют отмененные уровни – скажем, для персональных данных просят сертифицированные продукты для первого класса.
- Что нужно защитить. Рабочие станции, файловые серверы, почтовые серверы, шлюзы – мы не шаманы и не можем угадать состав сети заказчика. Достаточно часто нам говорят: вы нам предложите, а мы сами разберемся. Почему-то заказчики считают, что все варианты защиты можно изложить в презентации на 20 минут максимум. Не получится. В результате после долгих мучений вдруг выясняется, что у заказчика (например) используется достаточно редкий почтовый сервер или операционная система – и как мы об этом можем догадаться?
- Операционная система, название почтового сервера, шлюза (с битностью, сервиспаками и т. д.). О проблемах, которые в этом отношении вызвали Профили защиты, мы еще поговорим, пока лишь скажем, что зачастую используются устаревшие операционные системы, которые уже никто не поддерживает. DOS, NT4, старые версии Линукс и т. д.
Так, ОС МСВС 3.0 имеет ряд сборок, сильно отличающихся по используемым компонентам (в том числе ядром, библиотекой glibc и версией Squid), но версия ОС – одна и та же. Поэтому перед покупкой или поставкой продукта необходимо убедиться в совместимости решений компании «Доктор Веб» с ОС МСВС 3.0. Список поддерживаемых версий ОС МСВС 3.0 находится в документации по продуктам. - Использование сертифицированных версий операционных систем, шлюзов почтовых серверов и т. д. К сожалению, не все компании, которые разрабатывают и сертифицируют ПО, работают с производителями софта, который потом будет устанавливаться на это сертифицированное ПО. Нет какого-то компонента – и все, до ближайшего инспекционного контроля ничего поделать нельзя. А инспекционный контроль недешев и небыстр.
- Использование средств, ограничивающих работу ПО. Доверенная загрузка, мандатный доступ, запрет на запуск кода из области данных – если что-либо из этого списка используется, обязательно указывайте! Скажем, сейчас достаточно часто используют доверенную загрузку. Но МО не определило в своих требованиях ее использование. В результате в сертификате о возможности работы при ее использовании – ни слова. И что делать заказчику?
А у вас есть продукт, сертифицированный под требования 152-ФЗ?
Наипопулярнейший вопрос, которым в свое время начинался, продолжался и заканчивался рабочий день.
Федеральный закон 152-ФЗ не содержит требований к продуктам и поэтому продукт сертифицировать на соответствие этому закону нельзя! Миф запустила компания Eset. Компания «Лаборатория Касперского» мгновенно выпустила опровержение. Аналогично поступил и «Доктор Веб». Но миф уже зажил своей жизнью. В результате всем компаниям прошлось получать письма от ФСТЭК, что такой-то продукт может использоваться… вплоть до К1.
Сейчас поток таких запросов сошел на нет, но я включил вопрос в список в качестве примера того, как просто создаются мифы.
Как узнать о наличии сертифицированных решений?
Полный список сертифицированных решений размещается на сайте сертифицирующей организации. Так, для Федеральной службы по техническому и экспортному контролю (ФСТЭК России) список находится в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации» (http://my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii).
Почему вашего продукта нет в реестре?
В реестр ФСТЭК о сертифицированных СЗИ информацию вносят раз в три месяца. Скажем, следующее обновление информации о сертифицированных СЗИ будет в декабре. Таким образом, если компания получает сертификат или продлевает его – информация об этом событии может официально отсутствовать до трех месяцев.
Хочу сертифицированную версию!/Почему у вас в релизе продукт версии ххх, а сертифицирован yyy?
Сертификация – вещь не только весьма дорогая, но и весьма длительная. Для получения основных сертификатов — ФСТЭК и ФСБ – требуется никак не менее полугода. А то и восемь месяцев. При этом завершение сертификации еще не означает, что сам сертификат появится в компании, – на это тоже требуется время. Бюрократия-с.
Зачастую сертификация продукта заканчивается тогда, когда подходит к концу разработка следующей, гораздо более функциональной и эффективной версии. В итоге вполне возможна ситуация, когда пользователи сертифицированной версии получают меньшую защищенность, чем с несертифицированной версией.
Почему у вас на сайте нет сертификата для МО?
Сертификаты МО РФ не размещаются на сайте в связи с тем, что имеют статус документов ДСП. Заверенные копии этих сертификатов предоставляются по официальному запросу.
А мы нашли уязвимость! Хотим обновленную версию!
Выпуск обновленной сертифицированной версии возможен только через процедуру Инспекционного контроля. По срокам это примерно месяца три и тоже стоит немалых денег. Поэтому Инспекционный контроль в жизни сертифицированного продукта – вещь нечастая.
В свое время ФСТЭК разработала проект приказа по процедуре обновления сертифицированных продуктов, теоретически позволявших упростить эту процедуру. Но уровень проблем, привносимых документом, видимо, удивил даже привычных к нашей нормативке специалистов.
Хочу одновременно сертификат ФСТЭК и ФСБ!
Естественно, на сертификацию уходят одни и те же продукты, но есть нюансы. Скажем, продукты, сертифицированные по требованиям ФСТЭК, может поставлять практически любая компания, а обновляются они с обычных зон обновления, контролируемых вендором. А в случае ФСБ по всем вопросам, касающимся получения и обслуживания сертифицированных версий продуктов, необходимо обращаться в в/ч 43753. Правда, не так давно поставщики и в частности компания «Доктор Веб» смогли договориться о поставке через вендоров. Так, обновление сертифицированных по требованиям ФСБ продуктов, если клиент стал абонентом их портала, идет через специальные зоны, контролируемые ФСБ (если клиент купил сертифицированное ПО и не прошел процедуру согласования по обслуживанию ПО, то обновления идут с зоны вендора).
Как купить сертифицированную версию?
В случае «Доктор Веб» сертифицированные по требованиям ФСТЭК России продукты можно приобрести через авторизованных партнеров ( partners.drweb.ru/?lng=ru) компании-разработчика или через интернет-магазин ( estore.drweb.ru/home/?lng=ru). В случае «Лаборатории Касперского» приобретение возможно через партнеров ( www.kaspersky.ru/products/business/certified-version).
Сертифицированные по требованиям ФСБ России/МО РФ продукты могут поставляться вендором напрямую в рамках централизованных поставок.
Я купил сертифицированную версию, где скачать дистрибутив?
Нигде. Сертифицированные версии в интернет не выкладываются. В случае «Доктор Веб» (у иных вендоров могут быть иные правила) сама лицензия не отличается для сертифицированных и несертифицированных версий продуктов. Но, поскольку распространение в электронном виде невозможно (в случае версий под ФСТЭК – из-за того, что в комплект должна входить голографическая наклейка), в дополнение к лицензии нужно еще купить коробку с дистрибутивом и входящими в комплект документами.
Я хочу попробовать сертифицированный продукт!
Увы. В связи с проблемами, описанными в предыдущем вопросе, – официально попробовать продукт можно только купив коробку. Сама демолицензия, естественно, бесплатна. Коробку бесплатно поставить нельзя, так как это материальный носитель и бухгалтерия не поймет.
А что входит в коробку?
Комплект поставки сертифицированного по требованиям ФСТЭК или ФСБ ПО (в случае компании «Доктор Веб») включает:
Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации.
Поскольку качество клеящего слоя голографической наклейки не дает гарантии, что она удержится на диске в процессе его эксплуатации в CD/DVD-приводе, а отслоение наклейки может привести к различным негативным последствиям, вплоть до отказа оборудования, то она наклеивается на формуляр, что согласовано со ФСТЭК России.
Эталонные значения контрольных сумм сертифицированных версий Dr.Web заявлены в формулярах на соответствующие продукты и в открытом доступе не публикуются. Подсчет контрольных сумм осуществляется с помощью программы фиксации и контроля исходного состояния программного комплекса «Фикс» (версия 2.0.1), алгоритм «Уровень-1».
Для «Лаборатории Касперского» описание состава поставки более краткое, но в целом отличаться от аналогичной поставки «Доктор Веб» не может в силу единства правил игры ( www.kaspersky.ru/products/business/certified-version)
В случае поставки ПО, сертифицированного для МО РФ в состав поставки входят:
Может ли сертифицированное ПО обновляться?
Сами обновления производятся со специально созданных областей.
Внимание! На сертифицированное ПО нельзя устанавливать несертифицированные обновления.
Пользователь сертифицированных версий может получать обновления безопасности как автоматически, так и на CD-дисках, содержащих сертифицированные обновления (гусары, знающие примеры такого обновления в очень крупных структурах — молчать!).
Наш антивирус установлен внутри сети и не имеет выхода в интернет. Как получать обновления?
Официально – только установив снаружи сети антивирусный продукт и перенеся внутрь обновления вручную. На практике возможны варианты – вплоть до отправки баз по почте и с помощью фельдъегерской службы.
Сертифицирован ли входящий в состав вашего антивируса файрвол на соответствие соответствующим Профилям?
Профили для межсетевых экранов, разработанные ФСТЭК России ( my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty), описывают функционал только межсетевых экранов корпоративного уровня, устанавливаемых на границе сети. Персональные файрволы, входящие в антивирусные продукты, под действие этих профилей не попадают и сертифицируются в составе антивирусных решений – и таким образом могут использоваться в качестве сертифицированных.
Могу ли я купить и использовать продукт, срок действия сертификата которого истек?
Вы можете купить любую версию продукта, в случае наличия коробок на складе. А вот официально использовать согласно правилам – нет.
В связи с тем, что на данный момент действуют так называемые «Профили антивирусной защиты», можно ли использовать продукты, ранее сертифицированные по ТУ и НДВ?
Согласно приказу ФСТЭК №240/24/3095 от 30 июля 2021 г., с 1 августа 2021 г. для антивирусного ПО устанавливается необходимость соответствия «Требованиям к средствам антивирусной защиты» (приказ ФСТЭК №28 от 20 марта 2021 г.) и утвержденным 14 июля 2021 г. «Профилям антивирусной защиты». Размещены Профили для четвертого, пятого и шестого классов на странице my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/470-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2021-g-2. Профили первого, второго и третьего классов в открытый доступ нес выкладываются.
Вместе с этим вводится новая классификация сертифицированных антивирусных программных продуктов: по назначению (А-Г) и уровню защищенности (6-1).
До этого момента никаких требований к антивирусам не существовало, и они сертифицировались на ТУ (технические условия) и НДВ (отсутствие недекларированных возможностей).
Согласно письму ФСТЭК, продукты, созданные ранее выхода профилей и имеющие сертификаты ФСТЭК (а тем более ФСБ и МО, которых приказ не касается), сохраняют свою легитимность.
Что такое сертифицированное ПО?
Сертифицированным программным обеспечением является:
- ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации, что подтверждается Сертификатом соответствия.
ПО сертифицируется на соответствие техническим документам (РД, ТУ и т. д.) и в соответствии с параметрами, указанными в этой документации. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России, МО России и ФСБ России. - ПО, дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре) и (для ФСТЭК) специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
- ПО, установленное и настроенное в соответствии с сертифицированными параметрами.
- ПО, все доработки (обновления) которого, критичные для безопасности, также подвергаются сертификационным испытаниям, до предоставления их пользователю. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
Честно скажем, что для антивируса это фантастика – естественно, обновления баз (которые, кстати, и сами по себе не сертифицируются) никто сертификационным испытаниям не подвергает. Ибо делать такую процедуру для выходящих до трех раз в час обновлений нереально. - ПО, контролируемое в процессе эксплуатации.
Сертифицированное ПО должно иметь встроенные или наложенные средства, предназначенные для выполнения требований в области контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм. - ПО, каждый сертифицированный экземпляр которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ представителей органов, осуществляющих контроль за сертифицированными средствами защиты, к учетной информации.
Таким образом, сертифицированным программным обеспечением является ПО, ранее прошедшее сертификацию, установленное, настроенное и сопровождаемое в соответствии с требованиями, также прошедшими сертификацию.
Применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований по безопасности конфиденциальных данных, необходимо также:
Можно ли самостоятельно сертифицировать ПО?
Можно самостоятельно сертифицировать любое выбранное СЗИ, удовлетворяющее требованиям РД. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, (Приказом Председателя Гостехкомиссии России № 199 от 27.10.1995), необходимо в роли Заявителя согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом Заявитель должен быть лицензиатом ФСТЭК и (или) ФСБ России на деятельность по разработке и производству СЗИ.
Естественно, данный список вопросов не является полным. Достаточно много вопросов связано, например, с использованием ОС Astra Linux. Но наиболее часто спрашивают именно это.
Традиционного итога подводить не буду. Единственное, что хочу сказать:
- подготавливая запрос вендору или поставщику по сертифицированным продуктам, предоставляйте как можно более полную информацию о том, где и как вы собираетесь их применять. Нюансов тут очень много;
- помните, что поставщик осуществит поставку в соответствии с вашими требованиями. И если окажется, что вы запросили не то, то проблемы будут на вашей стороне;
- заранее планируйте процедуру обновления сертифицированных продуктов. Случаи, когда к поставщику приходят за антивирусным решением в момент, когда уже все спроектировано – нередки. И не единичны случаи, когда на стороне заказчика до этого момента вопросы развертывания, обновления и управления ПО не рассматривались вовсе;
- помните, что сертифицированное ПО — по умолчанию устаревшее. Возможно, имеющее известные уязвимости.
cisco anyconnect
This is the latest AnyConnect application for Apple iOS.
Please report any questions to ac-mobile-feedback@my-sertif.ru.
Please consult with your EMM/MDM vendor on configuration changes required to configure this new version if you are not setting it up manually. Samples at: https://community.my-sertif.ru/t5/security-blogs/anyconnect-apple-ios-transition-to-apple-s-latest-vpn-framework/ba-p/3098264
LICENSING AND INFRASTRUCTURE REQUIREMENTS:
You must have an active AnyConnect Plus, Apex or VPN Only term/contract to utilize this software. Use is no longer permitted for older Essentials/Premium with Mobile licensing. AnyConnect may never be used with non-Cisco servers.
Trial AnyConnect Apex (ASA) licenses are available for administrators at www.my-sertif.ru/go/license
AnyConnect for iOS requires Cisco Adaptive Security Appliance (ASA) Boot image 8.0(4) or later.
Per App VPN requires ASA 9.3(2) or later (5500-X/ASAv only) with Plus, Apex or VPN Only licensing and a minimum Apple iOS version of 10.x.
For additional licensing questions, please contact ac-mobile-license-request (AT) my-sertif.ru and include a copy of “show version” from your Cisco ASA.
Licensing Ordering Guide: http://www.my-sertif.ru/c/dam/en/us/products/security/anyconnect-og.pdf
Cisco AnyConnect provides reliable and easy-to-deploy encrypted network connectivity from any Apple iOS by delivering persistent corporate access for users on the go. Whether providing access to business email, a virtual desktop session, or most other iOS applications, AnyConnect enables business-critical application connectivity. Through the use of Datagram Transport Layer Security (DTLS), TCP-based applications and latency-sensitive traffic (such as voice over IP [VoIP]) are provided an optimized communication path to corporate resources.
Additionally, AnyConnect support IPsec IKEv2 with Next Generation Encryption.
Features:
– Automatically adapts its tunneling to the most efficient method possible based on network constraints, using TLS and DTLS.
– DTLS provides an optimized connection for TCP-based application access and latency-sensitive traffic, such as VoIP traffic
– Network roaming capability allows connectivity to resume seamlessly after IP address change, loss of connectivity, or device standby
– Wide Range of Authentication Options: RADIUS, RSA SecurID, Active Directory/Kerberos, Digital Certificates, LDAP, multifactor authentication
– Supports certificate deployment using Apple iOS and AnyConnect integrated SCEP
– Compatible with Apple iOS Connect On Demand VPN capability for automatic VPN connections when required by an application
– Policies can be preconfigured or configured locally, and can be automatically updated from the VPN headend
– Access to internal IPv4 and IPv6 network resources
– Administrator-controlled split / full tunneling network access policy
– Per App VPN (TCP and UDP) – MDM controlled
If you are an end-user and have any issues or concerns, please contact your organization’s support department. If you are a System Administrator having difficulties configuring or utilizing the Application, please contact your designated support point of contact.
If you would like to give feedback, suggestions, or leave comments directly to the team, you can reach us on Twitter @anyconnect.
Release Notes:
https://www.my-sertif.ru/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html
User Guide:
https://www.my-sertif.ru/c/en/us/support/security/anyconnect-secure-mobility-client/products-user-guide-list.html
End user license:
http://www.my-sertif.ru/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/license/end_user/AnyConnect-SEULA-v4-x.html
Безопасность
Схема лицензирования предусматривает четыре вида лицензий:
- Cisco AnyConnect Plus Subscription Licenses
- Cisco AnyConnect Plus Perpetual Licenses
- Cisco AnyConnect Apex Subscription Licenses
- Cisco AnyConnect VPN Only licenses
Тип лицензии определяется требуемой функциональностью решения при его внедрении.
Схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.
Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.
Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.
Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses
Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.
Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).
Cisco AnyConnect Apex Subscription Licenses
Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:
- подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
- проверка устройств на соответствие политикам безопасности;
- криптография нового поколения (Suite B).
Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.
Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.
Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.
Cisco AnyConnect VPN Only licenses
Данный тип лицензий открывает функциональность подключения по VPN:
- подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
- подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
- проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
- криптография нового поколения (Suite B).
В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:
- Network Access Module (NAM) – сапликант 802.1Х;
- ISE Posture – проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
- Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.
Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.
Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество – 25 одновременных сессий, далее есть варианты 50, 100 и т.д.
Установка лицензионных ключей на сетевое оборудование
Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.
При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.
При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.
Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.
Настройка c помощью asdm
Запускаем Cisco ASDM, откроется основной экран

Здесь выбираем «Wizard»—«SSL VPN Wizard». 
В открывшемся окне выбираем пункт «Cisco SSL VPN Client (AnyConnect VPN Client)» и нажимаем «Next»:

Здесь вводим имя нашего профайла, проверяем, что стоит имя нашего внешнего интерфейса (в данном случае Inet). Если на cisco настроено несколько vpn подключений, то также указываем имя алиаса. Запоминаем доступы к SSL VPN Service и ASDM.Затем нажимаем «Next»:
Ставим аутентификацию с использованием локальной базы и создаем нового пользователя (задаем имя и пароль, нажимаем «Add»). Затем нажимаем «Next»:

Здесь указываем имя отдельной групповой политики для SSL клиентов и нажимаем «Next»:
Здесь сначала создаем пул ip адресов, из которого будут выдаваться ip адреса для SSL VPN клиентов.Задаем название pool-а, начальный и конечный адреса и маску подсети. Нажимаем «OK».

На этой же странице загружаем образ клиента Cisco AnyConnect под Windows.
Для того чтобы его загрузить во flash cisco ASA, необходимо нажать в соответствующем пункте «Browse», в следующем появившемся окошке «Upload»,
затем в следующем окошке «Browse local files» и указать нужный файл из списка. Далее нажимаем по порядку «Select»—«Upload File»—«OK»
(после нажатий будут всплывать информационные окошки об успешном выполнении). В итоге, получиться вот такое окно:

Нажимаем «Next»:

Это окно напоминает, что адреса, которые используются в пуле не должны попадать под политики NAT, если он настроен на cisco.
Нажимаем «OK». Здесь показаны все наши настройки, которые будут сконфигурированы. Нажимаем «Finish».
Более точные настройки (не через Wizard) можно посмотреть в разделе Configuration – Remote Access VPN

Нам необходимо добавить образы клиента под Mac и Linux, для этого заходим в раздел Network (Client) Access – AnyConnect Client Settings,
Здесь мы увидим уже загруженный образ клиента под Windows, нажимаем кнопку с зеленым плюсиком Add, и по аналогии как в Wizard добавляем образы под Linux и Mac.
После чего нажимаем кнопку “Aplly” внизу страницы.
По умолчанию весь трафик клиента попадает в туннель, так как эта настройка наследуется из политики по умолчанию.Для того чтобы указать какой трафик должен попадать в туннель, необходимо создать ACL, который будет его описывать и изменить политику туннелирования.
Сначала создадим access-list, под который будет попадать трафик 192.168.2.0/24.Для этого заходим в раздел Configuration – Firewall – Advanced – Standart ACL, нажимаем кнопку с зеленым плюсиком Add, в выпадающем списке выбираем Add ACL.В появившемся окне вводим номер ACL и нажимаем OK.

Теперь нужно добавить содержимое для этого листа, это будет одна строка, встаем на наш аксесс лист 117, нажимаем кнопку с зеленым плюсиком Add, в выпадающем списке выбираем Add ACL.
Появится окно для ввода содержимого, Action оставляем Permit, в строку address вводим 192.168.2.0/24. Нажимаем ОК и Aplly внизу страницы.
Аксесс-лист готов.

Теперь настраиваем split tunneling. Для этого нужно зайти в настройки самой групповой политики. Идем Configuration – Remote Access VPN – Network (Client) Access – Group Policies.В открывшемся окне в списке политик находим нашу SSL_VPN_Group. Встаем на нее, нажимаем кнопку Edit.
Откроется окно настроек групповой политики. Слева разворачиваем вкладку Advanced, выбираем Split Tunneling.Напротив записи Policy убираем галку Inherit, и в выпадающем списке выбираем Tunnel Network List Bellow.Напротив записи Network List убираем галку Inherit, и в выпадающем списке выбираем аксесс-лист 117. Нажимаем ОК и Aplly внизу страницы.
Если имеется локальный DNS сервер также нужно прописать его в групповой политике.
Идем туда же в настройки групповой политики. Слева выбираем Servers. Напротив строки DNS servers убираем галку Inherit и вписываем адрес локального DNS сервера. Нажимаем ОК и Aplly внизу страницы.

Реализация концепции высокозащищенного удаленного доступа
Продолжая серию статьей по теме организации Remote-Access VPN доступа не могу не поделиться интересным опытом развертывания высокозащищенной конфигурации VPN. Задачу нетривиальную подкинул один заказчик (есть выдумщики в Русских селениях), но Challenge Accepted и творчески реализован. В результате получился интересный концепт со следующими характеристиками:
- Несколько факторов защиты от подмены оконечного устройства (с жесткой привязкой к пользователю);
- Многофакторной аутентификацией:
- Оценкой состояния, подключающегося хоста (Posture)
Используемые компоненты решения:
Начнем с требований заказчика:
- Пользователь должен по своей аутентификации Логин/Пароль иметь возможность скачать AnyConnect клиент с VPN шлюза, все необходимые модули AnyConnect должны автоматически ставиться в соответствии с политикой пользователя;
- Пользователь должен иметь возможность автоматической выписки сертификата (для одного из сценариев, основной же сценарий – ручная выписка и заливка на ПК), я же реализовал автовыписку для демонстрации (убрать никогда не поздно).
- Основная аутентификация должна проходить в несколько этапов, сначала идет аутентификация сертификата с анализом необходимых полей и их значений, далее логин/пароль, только на этот раз в окно логина должно подставляться имя пользователя, указанное в поле сертификата Subject Name (CN) без возможности редактирования.
- Необходимо убедиться, что устройство, с которого производится вход это выданный пользователю для удаленного доступа корпоративный ноутбук, а не что-либо иное. (Сделано несколько вариантов удовлетворения этого требования)
- Должна проводиться оценка состояния подключающегося устройства (на этом этапе ПК) с проверкой целой здоровенной таблицы требований заказчика (обобщая):
Для начала я предлагаю в обязательном порядке посмотреть на видео-демонстрацию получившейся реализации на Youtube (5 минут).
Теперь предлагаю рассмотреть детали реализации не освещенные в видео-ролике.
Подготовим профиль AnyConnect:
Пример создания профиля (в плане пункта меню в ASDM) я ранее приводил в своей статье по настройке VPN Load-Balancing кластера. Сейчас я отдельно хочу отметить те опции, что нам понадобятся:
В профиле укажем шлюз VPN и имя профиля для подключения на оконечном клиенте:

Проведем настройки автоматической выписки сертификата со стороны профиля, указав, в частности, параметры сертификата и что характерно, обратим внимание на поле Initials (I), где вручную забито конкретное значение UDID тестовой машины (Уникальный идентификатор устройства, который генерирует Cisco AnyConnect клиент).

Здесь я хочу сделать лирическое отступление, поскольку данная статья описывает концепцию, для демонстрационных целей здесь забит UDID для выписки сертификата в поле Initials профиля AnyConnect. Конечно же в реальной жизни если Вы так сделаете, то все клиенты получат сертификат с одинаковым UDID в данном поле и работать у них ничего не будет, поскольку им то нужен UDID конкретно своего ПК. AnyConnect к сожалению пока не реализует подстановку в профиль запроса сертификата поле UDID через переменную окружения, так как он например делает с переменной %USER%.
Стоит отметить что заказчик (данного сценария) изначально планирует самостоятельно выдавать сертификаты с заданным UDID в ручном режиме на такие Защищенные ПК, что не является для него какой-то проблемой. Однако для большинства из нас хочется автоматизации (ну для меня так точно=) ).
И вот что я могу предложить в плане автоматизации. Если выписать сертификат автоматически AnyСonnect динамически подставив UDID пока не в состоянии, то есть и другой способ, который потребует немного творческой мысли и умелых рук – расскажу концепцию. Для начала давайте рассмотрим, как формируется UDID на разных операционных системах агентом AnyConnect:
Соответственно изготавливаем скрипт для наших корпоративных ОС Windows, этим скриптом локально вычисляем UDID по известным вводным и формируем запрос на выдачу сертификата вписывая в нужное поле этот UDID, кстати можно и машинного сертификата, выданного AD (добавив в схему двойную аутентификацию по сертификату Multiple Certificate).
Подготовим настройки со стороны Cisco ASA:
Создадим TrustPoint для ISE CA сервера, именно он будет выписывать сертификаты клиентам. Процедуру импорта Key-Chain рассматривать не буду, пример описан в моей статье по настройке VPN Load-Balancing кластера.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureНастраиваем распределение по Tunnel-Group на основании правил в соответствии с полями в сертификате, которым проводится аутентификация. Также здесь настраивается профиль AnyConnect, изготовленный нами на прошлом этапе. Обращаю внимание что я использую значение SECUREBANK-RA, для перевода пользователей с выданным сертификатом в туннельную группу SECURE-BANK-VPN, обратите внимание что данное поле у меня проставлено в графе запроса сертификата профиля AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Настраиваем сервера аутентификации. В моем случае это ISE для первой стадии аутентификации и DUO (Radius Proxy) как MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Создаем групповые политики и туннельные группы и вспомогательные их компоненты:
Туннельная группа DefaultWEBVPNGroup будет использована первично для скачивания AnyConnect VPN клиента и выписки сертификата пользователя используя SCEP-Proxy функцию ASA, для этого у нас активированы соответствующие опции как на самой туннельной группе, так и на ассоциированной групповой политике AC-Download, так и на загружаемом профиле AnyConnect (поля выписки сертификата и т.д.). Также в данной групповой политике указываем на необходимость скачивания ISE Posture Module.
Туннельная группа SECURE-BANK-VPN будет автоматически использоваться клиентом при аутентификации выданным сертификатом в предыдущем этапе, поскольку в соответствии с Certificate Map, соединение ляжет именно на данную туннельную группу. Расскажу про интересные опции здесь:
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Далее переходим к ISE:
Настраиваем локального пользователя (можно использовать и AD/LDAP/ODBC и т.д.), для простоты я сделал локального пользователя в самом ISE и назначил в поле descriptionUDID ПК с которого ему разрешен вход по VPN. В случае использования локальной аутентификации на ISE я буду ограничен только одним устройством, поскольку полей не так много, но в сторонних базах аутентификации у меня таковых ограничений не будет.

Посмотрим на политику авторизации, она разделена на четыре этапа соединения:

Посмотрим на интересное условие UUID_VALIDATED, как раз оно и смотрит что аутентифицирующийся пользователь действительно пришел с ПК с разрешенным UDID ассоциированным в поле Description учетной записи, выглядит условия так:

Профиль авторизации, используемый на 1,2,3 этапах выглядит следующим образом:

Проверить как именно нам прилетает UDID от клиента AnyConnect можно посмотрев в ISE детали сессии клиента. В деталях мы увидим, что AnyConnect через механизм ACIDEX присылает не только данные о платформе, но и UDID устройства как Cisco-AV-PAIR:

Обратим внимание на выписанный пользователю сертификат и поле Initials (I), которое используется для того чтобы взять его в роли логина для вторичной аутентификации MFA на Cisco DUO:

На стороне DUO Radius Proxy в логе мы четко видим каким образом идет запрос на аутентификацию, он идет с использованием UDID как имени пользователя:

Со стороны портала DUO видим удачное событие аутентификации:

И в свойствах пользователя у меня установлен ALIAS, который я и использовал для логина, в свою очередь это и есть UDID разрешенного для логина ПК:

В результате мы получили:
Ссылки на статьи серии Cisco VPN:
