Скачать Cisco AnyConnect — корпоративная безопасность для iPhone, IPad и iPod Touch [App Store]

Содержание

А как я могу гарантировать, что домашний пользователь не подцепит ничего в интернет?
Anticisco blogs » blog archive » anyconnect с аутентификацией по сертификатам ldap
Backgound information
‎cisco anyconnect
Configurations
Radius аутентификация
Requirements
Troubleshoot
Verify
Vpn cisco anyconnect, сертификаты crt, rdp-клиент с поддержкой подключения через шлюз и debian 7 64 |
А ваш anyconnect не снизит качество видео- и голосовых телеконференций?
А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. как с этим бороться?
А если я работаю с планшета или смартфона и постоянно перемещаюсь. у меня будет рваться vpn-соединение и мне надо будет каждый раз устанавливать его заново?
Используемые компоненты
Как импортировать сертификаты в приложение cisco anyconnect для iphone? | 2021
Какие характеристики предлагает нам cisco anyconnect?
Настройка asa через asdm
Настройка asa через интерфейс командной строки
Настройка и включение webvpn контекста
Настройка и включение webvpn шлюза
Настройка клиента cisco anyconnect secure mobility
Общие сведения
Проверка
Проверка доступа к локальной сети с помощью эхо-запроса
Требования

А как я могу гарантировать, что домашний пользователь не подцепит ничего в интернет?

В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко.

Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п.

Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.

Anticisco blogs » blog archive » anyconnect с аутентификацией по сертификатам ldap

Задача — дать людям доступ во внутреннюю сеть конторы через Cisco Anyconnect. Для пущей безопасности добавим требование аутентификации людей учетке в Active directory и наличию сертификата. Также попытаемся сразу решить вопрос использования Anyconnect под разными ОС.

Задачу можно разделить на несколько пунктов:

Настройка CA и выпуск сертификатов
Настройка Active directory
Настройка ASA

В такой же последовательности опишу решение.

I. Certificate Authority.
Мы тут всё-таки на my-sertif.ru, а не на linux.org.ru, поэтому вопрос развёртывания CA позволю себе опустить Остановлюсь только на деталях.
В качестве CA используется решение на openssl, после установки и настройки рекомендуется сделать под свои нужды несколько скриптов — для выпуска сертификатов и для генерации из них контейнера типа .p12.
Что следует учесть при выпуске сертификата? Для Cisco VPN Client под MacOS было актуально, чтобы DNS Name, на которое выпущен сертификат, совпадало с именем ASA, к которой вы подключаетесь. Для Anyconnect эта практика полезна (человеку будет проще разобраться в куче сертификатов, лежащих в хранилище), но не необходима. Полезным будет также детально заполнить поля Subject, нам потом по ним сопоставлять пользователя с его профилем VPN. Я выпускаю цепочку сертификатов, делаю из них .p12. Для импорта этого контейнера на ASA следует сделать из .p12 выжимку в 64-битном формате, примерно так:

openssl base64 -in /usr/local/etc/certificates/Project01.p12 -out /root/tmp.dmp

Содержимое tmp.dmp нам понадобится единожды. В дальнейшем все клиенты будут пользоваться .p12, но есть тонкий момент — клиенты под linux, им нужен не контейнер, а пара ключей. Теоретически каждый линуксоид может сам поставить себе openssl и раздербанить контейнер на составляющие двумя командами:

openssl pkcs12 -in Project01.p12 -nocerts -out Project01.key
openssl pkcs12 -in Project01.p12 -clcerts -nokeys -out Project01.pem

Результат сохраняется в каталоги /way/to/.cisco/certificates/client/private и /way/to/.cisco/certificates/client соответственно.
Под всеми остальными системами вы просто два раза дважды щёлкаете на Project01.p12 и устанавливаете его в хранилище.
Пусть результатом наших усилий будет установленный сертификат Project01.p12 с нижеприведёнными данными. Если есть нужда разводить разные группы VPN, различать сертификаты легко, варьируя значения CN и OU.
Subject Alternative Name: DNS Name = ciscoasa.test.ru
Subject: E = admin@test.ru
CN = Project01.test.ru
OU = Project01
O = Test
L = City
S = Region
C = RU

II. Active Directory.
Поднятие и общую настройку AD я тоже опущу (technet.microsoft.com в помощь ), остановлюсь только на нужных для решения задачи деталях, их мало.
ASA должна иметь учетную запись, чтобы спрашивать всякие вещи у AD. Заведите какой-нибудь бесправный ldapauth, пароль будет лежать на asa в полуприкрытом виде.
Заведите группу, членство в которой будет разрешать человеку подключаться к VPN, пусть будет VPN_Project01.

III. Cisco ASA.
Вот мы и подошли к самому главному. Дальнейшее верно для версий 8.4(4)1 и 9.1(4).
Для начала введём общие настройки. Включим сам Anyconnect, выберем приемлемые для нас техники шифрования, укажем (у меня самоподписанный) сертификат, которым представляется ASA клиенту, перевесим ASDM с 443 порта на 8443, повесим Anyconnect на 443.

http server enable 8443
ssl encryption aes256-sha1 aes128-sha1 3des-sha1
ssl trust-point Trustpoint_Self external
ssl certificate-authentication interface external port 443
webvpn
enable external       // я включаю Anyconnect только для подключений снаружи, external — имя внешнего интерфейса
no anyconnect-essentials
anyconnect enable
tunnel-group-list enable       // разрешим клиенту смотреть список возможных профилей подключений
tunnel-group-map enable rules       // включим возможность поиска профиля по сертификату

Какой путь проходит клиент при попытке подключения? Сначала клиент показывает установленные сертификаты. Если какой-то из показанных подходит (импортирован на ASA в нашем случае), железка ищет соответствие между ним и профилем подключения. Соответствие задаётся через certificate map, профиль подключения называется tunnel-group. Если требуемое находится, из профиля берётся информация, у какого сервера, как и что спрашивать (authentication-server-group, в нашем случае — логин-пароль в AD). Если аутентификация проходит успешно, то человека пускают в профиль и навешивают на него групповую политику, политика берётся исходя из членства в группе в AD. Если в какой-то момент наша логика даёт сбой, т.е. клиент везде аутентифицировался, но конкретную политику на него применить не выходит (map’ы криво настроили), клиент получает политику по умолчанию (default-group-policy). Я предпочитаю политику по умолчанию делать в духе deny ip any any.

Импортируем .p12 на ASA, используя ранее сделанный tmp.dmp.

crypto ca import TrustPoint_Project01 pkcs12 PASSWORD
JNVDdP8Eku lKGZcCdhynzLY A1P9mD2plXwTcU/V9h0rXLvuucnzohJo Ej7Fv1
…
2 PRpnH6K5Qb DvVuJqjaXV9ibw8sZcJiv7oE29X6tqy3zIn3RtPF0H392Vk68dY
quit

В перспективе будет возможно, что одна железка будет содержать разные группы VPN, а один человек сможет иметь членства в более, чем одной группе AD. Чтобы сразу пресечь возможные проблемы, будем создавать по «опросной группе» на ASA для каждой потенциальной группы VPN. Под опросной группой я подразумеваю настройки сервера aaa и соответствия ldap к политикам.
map-value — устанавливаем соответствие группы AD (VPN_Project01) к групповой политике, применяемой к подключению (GP_Project01).
ldap-login-dn и иже с ним — детали по учетке ldapauth, созданной для того, чтобы ASA могла ходить на AD. Пароль, скрытый за звёздочками, можно себе напомнить через more system:running-config.

ldap attribute-map LDAPMap-Project01
map-name memberOf IETF-Radius-Class
map-value memberOf CN=VPN_Project01,CN=Users,DC=test,DC=ru GP_Project01       // та самая группа в AD и политика, ей соответствующая
aaa-server ldap_Project01 protocol ldap
aaa-server ldap_Project01 (local) host 192.168.0.10       // для отказоустойчивости можно добавить ещё один сервер ldap с аналогичными настройками
server-port 636       // ldaps лучше, чем ldap
ldap-base-dn OU=Managed Objects,DC=test,DC=ru       // где искать учетку пользователя
ldap-scope subtree
ldap-login-password *****
ldap-login-dn ldapauth       // здесь и выше — ранее упомянутая учетка ldapauth
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map LDAPMap-Project01

Создадим политику по умолчанию.

group-policy GP_NO_Access internal
group-policy GP_NO_Access attributes
banner value NO ACCESS
wins-server none
dns-server none
vpn-simultaneous-logins 0
vpn-tunnel-protocol ssl-client
default-domain value test.ru

Создаём профиль подключения, к нему будут применяться групповые политики.

tunnel-group TG_Project01 type remote-access
tunnel-group TG_Project01 general-attributes
authentication-server-group ldap_Project01
default-group-policy GP_NO_Access
authorization-required
tunnel-group TG_Project01 webvpn-attributes
authentication aaa certificate
group-alias Project01_VPN enable

Зададим соответствие между сертификатом и профилем подключения (если показан сертификат для Project01, то идём в тоннельную группу для Project01). Условие — операции сравнения свойств сертификата, я сравниваю поля из Subject name. В данном случае смотрю, содержит ли CN слово project01. Можно использовать eq (равно) заместо co (содержит) и над другими полями. Map создан сразу в двух местах, чтобы наша конфигурация работала и в новых версиях аса, и в старых.

crypto ca certificate map CM_Project01 10
subject-name attr cn co project01
tunnel-group-map CM_Project01 10 TG_Project01
webvpn
certificate-group-map CM_Project01 10 TG_Project01

Для создания рабочей групповой политики нужно заранее создать некоторые детали.
Создадим блок адресов, которые ASA будет раздавать подключившимся (DHCP), отдельно создадим группу с этой подсетью, настроим правила фильтрации и список маршрутов, которые будут выдаваться клиентам (т.н. Split-tunneling). В данном примере подключившийся клиент сможет ходить в сеть проекта по ssh и в сеть с корпоративными серверами (по портам, ограниченным группой SG_2Servers). Возможно, что придётся настроить nat (не транслировать трафик из VPN).

ip local pool Project01_pool 172.31.205.10-172.31.205.30 mask 255.255.255.0
object-group network Project01_RAS
network-object 172.31.205.0 255.255.255.0
// список маршрутов, задаётся через ACL такого формата
access-list ACL_Project01_VPN_nets extended permit ip object-group Project01_nets any
access-list ACL_Project01_VPN_nets extended permit ip object-group Servers_nets any
// ACL для фильтрации трафика
access-list ACL_VPN_filter_Project01 extended permit tcp object-group Project01_RAS object-group Project01_nets eq 22
access-list ACL_VPN_filter_Project01 extended permit object-group SG_2Servers object-group Project01_RAS object-group Servers_nets
nat (external,local) source static Project01_RAS Project01_RAS destination static Project01_nets Project01_nets
nat (external,local) source static Project01_RAS Project01_RAS destination static Servers_nets Servers_nets

Про сертификаты: STELLOX: запчасти оптом и в розницу, на складе и под заказ

Теперь мы готовы к созданию групповых политик. Ничего нового тут нет.

group-policy GP_Project01 internal
group-policy GP_Project01 attributes
banner value VPN for Project01
wins-server none
dns-server value 192.168.0.10 192.168.10.10
vpn-simultaneous-logins 1
vpn-filter value ACL_VPN_filter_Project01
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_Project01_VPN_nets
default-domain value test.ru
address-pools value Project01_pool

На этом всё, можно подключаться. Не забываем в клиенте убрать галку «Block connections to untrusted servers» (у нас тут самоподписки) и поставить галку «Allow LAN access when using VPN» (чтобы работал Split tunneling).
Если что-то не отрабатывает, в отладке нам помогут:

debug aaa authentication
debug aaa authorization
debug webvpn 255
debug webvpn anyconnect 255
debug crypto ca 255

Если есть подозрение, что что-то не то в ASA закэшировалось, на этапе настройки можно попробовать сделать так (в рабочем окружении такое могут не оценить):

webvpn
no enable external
no anyconnect enable
enable external
anyconnect enable

Метки: anyconnect, certificate, ldap
Опубликовано: Безопасность cisco

Backgound information

For a successful client certificate authentication on Linux devices, AnyConnect secure mobility client supports the following certificate stores:

1. Linux OS (PEM) certificate store 2. Firefox (NSS) certificate store

This document is based on client certificate authentication using a Linux OS (PEM) certificate store.

1. To use Linux OS certificate store, PEM file-based certificates are placed in these directories.

Note: By default, the path for installing client certificate and the private key is not present so it needs to be manually created using this command.

mkdir -p .cisco/certificates/client/private/

If you are using a Windows Certificate Authority,

‎cisco anyconnect

This is the latest AnyConnect application for Apple iOS.

Please report any questions to ac-mobile-feedback@my-sertif.ru.

Please consult with your EMM/MDM vendor on configuration changes required to configure this new version if you are not setting it up manually. Samples at: https://community.my-sertif.ru/t5/security-blogs/anyconnect-apple-ios-transition-to-apple-s-latest-vpn-framework/ba-p/3098264

LICENSING AND INFRASTRUCTURE REQUIREMENTS:

You must have an active AnyConnect Plus, Apex or VPN Only term/contract to utilize this software. Use is no longer permitted for older Essentials/Premium with Mobile licensing. AnyConnect may never be used with non-Cisco servers.

Trial AnyConnect Apex (ASA) licenses are available for administrators at www.my-sertif.ru/go/license

AnyConnect for iOS requires Cisco Adaptive Security Appliance (ASA) Boot image 8.0(4) or later.

Per App VPN requires ASA 9.3(2) or later (5500-X/ASAv only) with Plus, Apex or VPN Only licensing and a minimum Apple iOS version of 10.x.

For additional licensing questions, please contact ac-mobile-license-request (AT) my-sertif.ru and include a copy of “show version” from your Cisco ASA.

Licensing Ordering Guide: http://www.my-sertif.ru/c/dam/en/us/products/security/anyconnect-og.pdf

Cisco AnyConnect provides reliable and easy-to-deploy encrypted network connectivity from any Apple iOS by delivering persistent corporate access for users on the go. Whether providing access to business email, a virtual desktop session, or most other iOS applications, AnyConnect enables business-critical application connectivity. Through the use of Datagram Transport Layer Security (DTLS), TCP-based applications and latency-sensitive traffic (such as voice over IP [VoIP]) are provided an optimized communication path to corporate resources.
Additionally, AnyConnect support IPsec IKEv2 with Next Generation Encryption.

Features:

– Automatically adapts its tunneling to the most efficient method possible based on network constraints, using TLS and DTLS.
– DTLS provides an optimized connection for TCP-based application access and latency-sensitive traffic, such as VoIP traffic
– Network roaming capability allows connectivity to resume seamlessly after IP address change, loss of connectivity, or device standby
– Wide Range of Authentication Options: RADIUS, RSA SecurID, Active Directory/Kerberos, Digital Certificates, LDAP, multifactor authentication
– Supports certificate deployment using Apple iOS and AnyConnect integrated SCEP
– Compatible with Apple iOS Connect On Demand VPN capability for automatic VPN connections when required by an application
– Policies can be preconfigured or configured locally, and can be automatically updated from the VPN headend
– Access to internal IPv4 and IPv6 network resources
– Administrator-controlled split / full tunneling network access policy
– Per App VPN (TCP and UDP) – MDM controlled

If you are an end-user and have any issues or concerns, please contact your organization’s support department. If you are a System Administrator having difficulties configuring or utilizing the Application, please contact your designated support point of contact.

If you would like to give feedback, suggestions, or leave comments directly to the team, you can reach us on Twitter @anyconnect.

Release Notes:
https://www.my-sertif.ru/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html

User Guide:
https://www.my-sertif.ru/c/en/us/support/security/anyconnect-secure-mobility-client/products-user-guide-list.html

End user license:
http://www.my-sertif.ru/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/license/end_user/AnyConnect-SEULA-v4-x.html

Configurations

Linux Client Setup

Step 1. Download the Anyconnect package, extract the contents and install the Anyconnect application on the Linux client.

tactest:Documents$ pwd
/home/tactest/Documents
tactest:Documents$ ls
anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz 
tactest:Documents$ tar -xvf anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz 
tactest:Documents$ ls
anyconnect-linux64-4.6.03049  anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz
tactest:Documents$ cdanyconnect-linux64-4.6.03049/vpn/
tactest:vpn$ sudo su
[sudo] password for tactest: 
root:vpn# pwd
/home/tactest/Documents/anyconnect-linux64-4.6.03049/vpn
root:vpn# ./vpn_install.sh 
Installing Cisco AnyConnect Secure Mobility Client...

Step 2. Create a certificate signing request for the identity certificate on Linux client using OpenSSL.

[dime@localhost ~]$ openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus
..................................   
............................................   
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[dime@localhost ~]$ 
[dime@localhost ~]$ openssl rsa -in server.key -out server.key.insecure
Enter pass phrase for server.key:
writing RSA key
[dime@localhost ~]$ mv server.key server.key.secure
[dime@localhost ~]$ 
[dime@localhost ~]$ mv server.key.insecure server.key
[dime@localhost ~]$ 
[dime@localhost ~]$ !  The insecure key is now named server.key, and you can use this file to generate the CSR without passphrase. 
[dime@localhost ~]$ 
[dime@localhost ~]$ openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:CA
Locality Name (eg, city) [Default City]:SJ
Organization Name (eg, company) [Default Company Ltd]:Cisco
Organizational Unit Name (eg, section) []:HTTS
Common Name (eg, your name or your server's hostname) []:dimenet
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[dime@localhost ~]$ 
[dime@localhost ~]$ ls | grep -i server
server.csr  server.key  server.key.secure 
[dime@localhost ~]$ 
[dime@localhost ~]$ cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICvTCCAaUCAQAwYTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQswCQYDVQQH
DAJTSjEOMAwGA1UECgwFQ2lzY28xDTALBgNVBAsMBEhUVFMxGTAXBgNVBAMMEGRp
bWViCG5lCAgICAgICAgwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC/
0e5PF09y45/ vlfZbuWRaw1vUiJPxy8OdXZhKT7VmDSitdTnPs2Q7cfzVaM1GdIw
c/HoHTL rmmCn2Ccc9NGoWok3damhhu19xAt2VXz8jS6mV5bqTeBLYEWJ2Tgh7wA
4/0aPGILZCkQNNn3PruTLe8dqfEhFU6nGp7iJKNjlvyd34Di5YL1NhEQGdZ9q7aK
5VE3nBhgELmPOle53Pt/ZYWwji138QN8Qo9bXOZmQmRXgRucFaeN0VJVF 0EnnAJ
Y58 yiImEvqKe8h1OCxT2H/TH 5 XRHmggee/zZvis7JMWWcKACOUjQ9scTrjp z
TW4CM2Cmox3AEcOJ9yg/AgMBAAGgFzAVBgkqhkiG9w0BCQcxCAwGY2lzY28IMA0G
CSqGSIb3DQEBCwUAA4IBAQC7uRbj 0JxUw7REXc41Ma30WIxhhzvn6QGax8 EPlL
c7wpsMtCSwV7BOgFLKqI7h dcME CfBYlcPre2/5LMYo336i9i0tsodV/ EU3NBg
L/RSoH099wBIEo7Xxx30xi38PvnCPnbZZEL2IWrgTyO4ohEOUjEOYnD16kUJvISy
Ky8z/3gGDRuhks2Yv4CTTRcvQAvljsLCOZiyaVVrp2xmsPtHxrd6vLrupoxdNpJy
xG1P/67JMLS3qqpTuvAqXT5uT2OBAC2hBgMGuKZCOC3mR4WlmoED9woFPESUUMQf
mKOksgQfrrxOZKPyhV8J4jByAjLSw6vh41dJHY9qKaGo
-----END CERTIFICATE REQUEST-----
[dime@localhost ~]$

Radius аутентификация

Как настроить Radius аутентификацию с Windows Server 2021 NPS (Network Policy Server) на Cisco IOS можно посмотреть в статье. Принцип настройки аналогичен, с небольшими изменениями.

Requirements

This document assumes that the ASA is fully operational and configured to allow the Cisco Adaptive Security Device Manager (ASDM) or Command Line Interface (CLI) to make configuration changes.

Cisco recommends that you have knowledge of these topics:

Basic knowledge of ASA’s CLI and ASDM SSLVPN configuration on the Cisco ASA Head EndFundamental knowledge of PKI Familiarity with Linux OS

Troubleshoot

This section provides the information you can use in order to troubleshoot your configuration.

Note: Refer to Important Information on Debug Commands before you use debug commands.

Caution: On the ASA, you can set various debug levels; by default, level 1 is used. If you change the debug level, the verbosity of the debugs might increase. Do this with caution, especially in production environments.

To troubleshoot an incoming AnyConnect client connection from Linux OS client, you can use the following:

For AnyConnect process on an ASA
debug webvpn anyconnect 255

Here is a sample debug taken on an ASA from a working scenario:

Verify

Use this section in order to confirm that your configuration works properly.

Note: The Output Interpreter Tool (registered customers only) supports certain show commands. Use the Output Interpreter Tool in order to view an analysis of show command output.

Vpn cisco anyconnect, сертификаты crt, rdp-клиент с поддержкой подключения через шлюз и debian 7 64 |

И так стояла задача подключится к рабочему компьютеру.
Имеется Инструкция для винды, два сертификата ROOTCA.CRT и CORPCA.CRT, линуксовая версия Cisco Anyconnect и Debian GNU/Linux 7.2 (wheezy) x86_64.
Краткое изложение инструкции:
1 Установить ROOTCA.CRT в «Доверенные корневые центры сертификации».
2 Установить CORPCA.CRT в «Промежуточные центры сертификации».
3 Установить Cisco Anyconnect.
4 Настроить подключение в Cisco Anyconnect.
5 Подключится через rdb к рабочему компьютеру.

Про сертификаты: Сертификат безопасности отменили. Как его удалить и можно ли отслеживать трафик без него? | Hi-Tech | Селдон Новости

В таком изложении различий между установкой в винде и линуксе нет (только пункт 3 надо выполнить до пункта 1), но для тех кто не в курсе обозначу основные проблемы:
1 первые 2 пункта в винде выполняются через двойной клик по файлам и выбором нескольких настроек в инсталяторе. Но в линуксе я не нашел простых путей.
2 пункт 4 у пользователей ubuntu i386 тоже не вызовет особых проблем ubuntu x86_64 не проверял, но в моем дебиане gui не запустилось. Правда в консоле все работает замечательно, но я не сразу об этом догадался.
3 подключение к рабочему столу через шлюз. Этого почти никто не умеет.

Приступаем в начале как я уже писал устанавливаем Cisco Anyconnect, ни каких проблем тут нет запускаем в командной строке vpn_install.sh
я выполнял
$sudo sh vpn_install.sh
только запускать надо из папки с файлом, иначе пути к устанавливаемым библиотекам не находит. Дальше в /opt/ все разворачивается.
запуск гуи /opt/cisco/anyconnect/bin/vpnui у меня падал из за нехватки зависимостей от разных библиотек i386. Несколько из них поставилось, но одна сказала что снесет пол системы. Тогда я стал изучать /opt/cisco/anyconnect/bin/vpn консольный вызов. Он работает без проблем.

Оказалось не все так просто. в очередной раз при установке возникли проблемы нехватка библиотек
добавляем архитектуру i386
$dpkg --add-architecture i386
устанавливаем библиотеки
$sudo apt-get install libxml2:i386 libstdc 6-4.9-dbg:i386 lib32z1 lib32ncurses5 network-manager-openconnect

Для решения проблемы 1 установка сертификатов, мне помогла статья Импорт сертификата webmoney в Chrome (Ubuntu) и просмотром папок с установленным Cisco Anyconnect
В Cisco Anyconnect есть папка /opt/.cisco/certificates/ca
где и должны лежать сертификаты, но простое копирование ROOT.CRT и CORP.CRT в нее не помогает,так как они не того вида.
Для того что бы они стали нужного нам вида их надо установить в Firefox (я устанавливал в iceweasel поскольку дебиан)
по инструкции из ссылки выше
Открываем в браузере пункт меню Правка – Настройки. В открывшемся окне – раздел Дополнительные, вкладка Шифрование. Нажимаем кнопку Просмотр сертификатов. Переключаемся на вкладку Центры сертификации
дальше жмем импортировать и выбираем ROOTCA.CRT. Затем проделываем тоже самое для CORPCA.CRT.
Когда сертификаты установились делаем им экспорт. У меня получилось два файла ROOTCA и CORPCA без разрешения.
Поместив полученные файлы в папку, я все равно не добился нужного мне результата, пока не добавил им расширение pem (CORPCA.pem ROOTCA.pem).
Теперь запуск
/opt/cisco/anyconnect/bin/vpn connect host
выдает долгожданное
Copyright (c) 2004 - 2021 Cisco Systems, Inc. All Rights Reserved.

>> state: Connected
>> state: Connected
>> state: Connected
>> notice: Connected to Not Available.
>> registered with local VPN subsystem.

дальше пошло изучение rdp.
попытки скормить krdc и remmina файла *.rdp закончились не чем, как и попытки ручной настройки. Там просто не было нужных мне пунктов.
Но вот в одной из инструкций я все таки нашел строчку
При удаленном подключении к рабочему компьютеру из ОС не из семейства Windows необходимо использовать rdp-клиент с поддержкой подключения через шлюз, настроив его в соответствии с инструкцией по эксплуатации для подключения через шлюз
которая помогла мне сформулировать правильный вопрос мировому разуму и получить в ответ
Remote Desktop from Debian through Terminal Services Gateway
однако и тут мне пришлось повоевать, версия freerdp поддерживающая этот функционал нашлась только в экспериментальной ветке.
В конечном итоге я все таки увидел меню входа винды.
На этом я закругляюсь, инфы как установить experimental в сети достаточно.

А ваш anyconnect не снизит качество видео- и голосовых телеконференций?

Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.

На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п.

А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.

А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. как с этим бороться?

С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу.

Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников.

, которым может являться как

, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:

А если я работаю с планшета или смартфона и постоянно перемещаюсь. у меня будет рваться vpn-соединение и мне надо будет каждый раз устанавливать его заново?

Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п.

Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Cisco ASA 5500 версии 9(2)1
Cisco Adaptive Security Device Manager (ASDM) версии 7.1.6
Cisco VPN Client версии 5.0.07.0440
Cisco AnyConnect Secure Mobility версии 3.1.05152

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Как импортировать сертификаты в приложение cisco anyconnect для iphone? | 2021

Для подключения к частной сети соединение должно иметь IKE RSA – IPSEC. В настройках VPN-подключения по умолчанию, которые есть в настройках iPhone, этого нет. У приложения Cisco AnyConnect есть эта опция, но цифровые сертификаты, которые видны в VPN по умолчанию, не видны в приложении AnyConnect. Также при импорте сертификата в приложении AnyConnect запрашивается URL-адрес вместо открытия файлового браузера.

Как установить сертификат, чтобы его обнаружило приложение AnyConnect

Редактировать: После долгих поисков я обнаружил, что сертификаты, обнаруженные Cisco AnyConnect, должны быть в шаблоне SSL, а не в другом шаблоне. Итак, как мне преобразовать имеющийся у меня сертификат p12 в шаблонный сертификат SSL.

Вам следует установить Cisco Legacy AnyConnect.

Самый простой способ – отправить сертификаты на свой iphone по электронной почте и установить оттуда.

1. Tap attached certificate in the email sent to your iphone 2. Tap install

Затем вы свяжете сертификат в Cisco AnyConnect:

3. Choose desired conection > then select detail disclosure button 4. Tap Advanced > Certificate 5. Tap the name of the certificate you just imported

Я сделал это, но сертификат не отображается в разделе «Дополнительно»> «Сертификат». Я импортировал сертификат p12. Но тот же сертификат отображается в настройке VPN по умолчанию, которая поставляется с телефоном.

Для приложения Cisco Any Connection на iOS существует ограничение. Определенный сертификат не будет виден. Однако, если сертификат имеет KU цифровой подписи, он должен появиться.

X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment, Data Encipherment

Вы можете проверить следующую команду, чтобы сбросить сертификат:

openssl x509 -noout -text -in my_cert.pem

Какие характеристики предлагает нам cisco anyconnect?

Удобство. Прежде всего, это удобство пользовательских функций. Это удобство достигается благодаря сочетанию уже существующих функций Cisco AnyConnect, особенность которых заключается в поддержке непрерывного подключения виртуальных частей сетей (VPN)

для PC и встроенных функций iOS, с помощью которых устанавливается VPN-соединения. Cisco AnyConnect способен автоматически создавать защищенные туннели в том случае, когда пользователю необходима безопасная связь на высоком профессиональном уровне.

Безопасность. Повышение уровеня безопасности удалось достичь благодаря 256-разрядному шифрованию по стандарту AES и с DTLS или SSL туннелями. С его помощью администраторы сетей смогут распределять и регулировать доступ к ресурсам компании.

Про сертификаты: CCNA Routing and Switching (Сетевой специалист) - Дополнительное образование и повышение квалификации в ТУСУРе

Устойчивость.Cisco AnyConnect продолжает автоматически поддерживать безопасный доступ даже при переходе из зоны сети Wi-Fi в зону мобильной связи и в обратном направлении. Настройка данного функционала производится с помощью опции межсетевого роуминга.

Легкость настройки. Данные о политике и профиле соединения можно заранее настроить и обновлять автоматически при помощи устройств Cisco ASA 5500. Если при использовании приложения у Вас возникли вопросы, то Вы всегда можете пройти обучение Cisco.

Аутентификация. Утилита поддерживает широкий спектр функций аутентификации Cisco ASA, в том числе мультифакторную аутентификацию и цифровые сертификаты на основе протокола Simple Certificate Enrollment Protocol.

Производительность. Доскональная оптимизация производительности приложения теперь позволит без задержек использовать такие услуги как передачу видео и голоса. Это достигается благодаря туннелированию DTLS VPN.

Подробнее о работе приложения Вы можете узнать из этого видеоролика:

Настройка asa через asdm

Выполните следующие действия в ASDM, чтобы разрешить клиентам VPN доступ к локальной сети при наличии подключения к устройству ASA:

Выберите Configuration> Remote Access VPN> Network (Client) Access> Group Policy (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиент) > Групповая политика) и выберите групповую политику, в которой следует включить доступ к локальной сети. Затем нажмите Edit (Редактировать).
Перейдите в меню Advanced > Split Tunneling (Дополнительно > Разделенное туннелирование).
Снимите флажок Inherit (Наследовать) для политики и выберите Exclude Network List Below (Исключить список сетей ниже).
Снимите флажок Inherit (Наследовать) для списка сетей и затем нажмите Manage (Управление), чтобы запустить диспетчер списков контроля доступа (ACL Manager).
В приложении ACL Manager, последовательно выберите Add > Add ACL…, чтобы создать новый список доступа.
Укажите имя ACL и нажмите кнопку OK.
После создания списка ACL выберите Добавить > Добавить ACE…, чтобы добавить элемент контроля доступа (ACE).
Определите элемент контроля доступа, соответствующий локальной сети клиента.
1. Выберите Permit (Разрешить).
2. Выберите IP-адрес 0.0.0.0
3. Выберите маску подсети /32.
4. Введите описание (необязательно).
5. Нажмите кнопку ОК.
Нажмите кнопку OK, чтобы завершить работу с приложением ACL Manager.
Убедитесь, что только что созданный список контроля доступа выбран для списка сетей разделенных туннелей.
Нажмите кнопку OK, чтобы вернуться к настройке групповой политики.
Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.

Настройка asa через интерфейс командной строки

Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:

Переход в режим конфигурирования.

ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#

Создайте список контроля доступа, чтобы разрешить доступ к локальной сети.
```
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
```
Внимание. : Из-за различий в синтаксисе списка контроля доступа в версиях 8.x и 9.x программного обеспечения ASA этот список контроля доступа стал некорректным, и администраторы будут получать следующее сообщение об ошибке при попытке его настройки:
rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
Ошибка: недопустимый IP-адрес
Можно использовать только следующую команду:
rtpvpnoutbound6(config)# access-list test standard permit any4
Это известная неполадка, для обхода которой был создан идентификатор ошибки Cisco CSCut3131. Выполните обновление до версии, в которой исправлена эта ошибка, чтобы иметь возможность настроить доступ к локальной сети.
Перейдите в режим настройки для групповой политики, которую необходимо изменить.
```
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
```
Укажите политику раздельных туннелей. В данном случае используется политика excludespecified.
```
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
```
Укажите список доступа к разделенным туннелям. В данном случае используется список Local_LAN_Access.
```
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
```

Введите следующую команду:

ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes

Привяжите групповую политику к туннельной группе
```
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
```
Выйдите из обоих режимов конфигурирования.
```
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
```
Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника.
```
ciscoasa#copy running-config startup-configSource filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
```

Настройка и включение webvpn контекста

Контекст WebVPN используется для настройки ряда параметров для нашего VPN-сервера.

Пример типовой настройки контекста WebVPN:

Пояснения по командам:

Задаем текст, который будет отображаться в заголовке страницы веб-браузера.
Задаем текст, который будет отображаться в разделе входа в веб-страницу webvpn.
Указываем какой шаблон Virtual-Template интерфейса использовать.
Указываем какой список аутентификации использовать.
Указываем какой использовать шлюз WebVPN.
Задаем максимальное кол-во пользователей, которые могут подключится к данному VPN-соединению.
Указываем использовать проверку подлинности SSL.
(Далее идет настройка политики пользователей)
Включаем туннельный режим. Подключившийся VPN-пользователь, получит возможность загрузить на свой ПК клиентское программное обеспечение AnyConnect.
Задаем время простоя, после которого пользователь будет отключен.
Указываем какой пул IP-адресов использовать, для выдачи IP-адресов подключившимся пользователям.
Указываем какой домен использовать по-умолчанию (Если таковой имеется в вашей инфраструктуре).
Команды svc split (dns, include) позволяет разделить туннелирование, указав, какой сетевой трафик и dns запросы домена будут отправлены через туннель VPN. Если эта команда не включена, пользователям VPN не будет разрешен доступ к Интернету при подключении к VPN.
Указываем какой DNS-сервер использовать при подключении к VPN.
Назначаем групповую политику используемую по-умолчанию.
Активируем работу контекста.

Настройка и включение webvpn шлюза

Виртуальный шлюз WebVPN позволяет использовать интерфейс или IP-адрес и номер порта, на котором служба WebVPN будет «прослушивать» входящие соединения:

Пояснения по командам:

Создаем шлюз WebVPN.
Указываем используемый интерфейс и порт (GigabitEthernet0/1 — порт провайдера).
Указываем какой trustpoint использовать (используем ранее созданный).
Включаем логирование.
Активируем работу шлюза.

Настройка клиента cisco anyconnect secure mobility

Для настройки клиента Cisco AnyConnect Secure Mobility обратитесь к разделу Установление VPN-соединения на базе SSL с SVC документа ASA 8.x: Разрешить раздельное туннелирование для VPN Client AnyConnect на примере конфигурации ASA.

Для раздельного туннелирования типа Split-exclude необходимо включить AllowLocalLanAccess в клиенте AnyConnect. Раздельное туннелирование типа All split-exclude рассматривается как доступ к локальной сети. Для использования функции исключения в раздельном туннелировании необходимо включить опцию AllowLocalLanAccess в настройках VPN-клиента AnyConnect. По умолчанию доступ к локальной сети отключен.

Общие сведения

В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента.

Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться. Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети.

Примечание. Когда клиент подключен и настроен для доступа к локальной сети, вы не можете выполнять печать или просмотр по имени в локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. См. раздел Поиск и устранение неполадок этого документа для получения дополнительной информации, а также сведений о временных решениях для этой ситуации.

Проверка

Выполните действия, описанные в этих разделах, чтобы проверить конфигурацию.

Подключите клиент Cisco AnyConnect Secure Mobility к устройству ASA, чтобы проверить конфигурацию.

Выберите запись соединения из списка серверов и нажмите Connect (Подключить).
Выберите Advanced Window for All Components > Statistics… (Дополнительное окно для всех компонентов > Статистика…) для отображения туннельного режима.
Нажмите вкладку Route Details (Сведения о маршрутах), чтобы просмотреть маршруты, к которым у клиента Cisco AnyConnect Secure Mobility Client по-прежнему есть локальный доступ.
В данном примере клиенту разрешен доступ к локальной сети по адресу 10.150.52.0/22 и 169.254.0.0/16, а весь прочий трафик зашифрован и передается через туннель.

Проверка доступа к локальной сети с помощью эхо-запроса

Дополнительный способ проверить наличие доступа VPN-клиента к локальной сети при использовании туннелирования к головному устройству VPN состоит в использовании команды ping в командной строке Microsoft Windows. В приведенном примере локальная сеть клиента имеет адрес 192.168.0.0/24, а другой хост находится в сети с IP-адресом 192.168.0.3.

C:>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Требования

В этом документе предполагается, что функциональная конфигурация VPN для удаленного доступа уже существует на устройстве ASA.

См. PIX/ASA 7.x как удаленный VPN-сервер на примере конфигурации ASDM для клиента Cisco VPN Client, если он еще не настроен.

См. Доступ к VPN через ASA 8.x на примере конфигурации клиента AnyConnect SSL VPN Client для клиента Cisco AnyConnect Secure Mobility Client, если он еще не настроен.

Скачать Cisco AnyConnect — корпоративная безопасность для iPhone, IPad и iPod Touch [App Store] | Яблык