Cisco anyconnect secure mobility client virtual miniport adapter for windows x64

Objective

This article shows you how to download
and install the Cisco AnyConnect Secure Mobility Client on a
Windows Computer.

This article is ONLY applicable to the Cisco Small Business RV34x series routers, not Enterprise products.

Introduction

AnyConnect Secure Mobility Client is a modular endpoint software product. It not only provides Virtual
Private Network (VPN) access through Secure Sockets Layer (SSL) and Internet Protocol Security (IPsec)
Internet Key
Exchange version2 (IKEv2) but also offers enhanced security through various built-in modules.

AnyConnect Software Version

• AnyConnect | 4.10.x (Download latest)

Install AnyConnect Secure Mobility Client

Beginner Information

This toggled section provides details and tips for beginners.

Prerequisites

• AnyConnect is a licensed product. You need to purchase client license(s) from a partner like CDW or through your company’s device
  procurement. There are options for 1 user (L-AC-PLS-3Y-S5) or packets of licenses including one year
  for 25 users (AC-PLS-P-25-S). Other license options available as well, including perpetual licenses.
  For more details on licensing, check out the links in the Licensing Information section
  below.
• Download the latest version of firmware
  available for your router.

  (Click here for step-by-step instructions on this process.)

• Windows versions 8.1, Microsoft-supported versions of Windows 10 for ARM64-based PCs, current
  Microsoft supported versions of Windows 10 x86(32-bit) and x64(64-bit).

Don’t use Windows? Check these other articles out!

• Install
  AnyConnect on a Mac
• Install
  AnyConnect on an Ubuntu Desktop

Applicable Devices | Software Version

• RV340 | 1.0.03.21 (Download latest)
• RV340W | 1.0.03.21 (Download
  latest)
• RV345 | 1.0.03.21 (Download latest)
• RV345P | 1.0.03.21 (Download
  latest)

Licensing Information

AnyConnect client licenses allow the use of the AnyConnect desktop clients as well
as any of the AnyConnect mobile clients that are available. You will need a
client license to
download and use the Cisco AnyConnect Secure Mobility Client. A client license enables the VPN
functionality
and
are
sold in packs of 25 from partners like CDW or through your company’s device procurement.

Want to know more about AnyConnect licensing? Here are some resources:

• AnyConnect
  Secure Mobility Client Features, Licenses, and OSs, Release 4.10.
• Cisco
  RV340 Series and Cisco Anyconnect Secure Mobility Client Community Discussion
  Forum.
• AnyConnect
  Licensing FAQs.

Step 1

Open a web browser and navigate to the Cisco Software
Downloads webpage.

Step 2

In the search bar, start typing ‘Anyconnect’ and the options will appear. Select AnyConnect Secure
Mobility Client v4.x.

Step 3

Download the Cisco AnyConnect VPN Client. Most users will select the AnyConnect Pre-Deployment Package
(Windows) option.

The images in this article are for AnyConnect v4.10.x, which was latest version at the time of writing
this document.

If you purchased a license and you are unable to download AnyConnect, call Cisco Global Service Relations at +1 919-993-2724. Select option
2. You will need to know your Cisco ID (the one you use to log into Cisco.com) and the sales order
number when you call. They will get that situation all straightened out.

Step 4

Navigate Windows File Explorer to the installer file. Double-click Setup.exe to initiate the
installation process.

Check your Downloads folder to locate the AnyConnect files. Browser based downloads are often deposited
into the downloads folder on your device on windows. The path to the file often resembles
C:Users[Your User ID]Downloads with the C:/ referring to your devices storage drive.

Step 5

A pop-up window may ask for permissions, in this case, select Yes. If your pop-up asks if
you are sure you want to run this software, select Run.

Step 6

Check the check boxes for the modules that you need to install.

• Core & VPN — Includes AnyConnect core client with VPN capability.
• Start Before Login — User sees the AnyConnect GUI logon dialog before the Windows logon dialog
  box appears.
• Network Access Manager — It is a client software that provides a secure Layer 2 network.
• VPN Posture (Hostscan) — Provides the client the ability to identify the operating system,
  anti-virus, anti-spyware, and firewall software installed on the host.
• AMP Enabler — It is used as a medium for deploying Advanced Malware Protection (AMP) for
  endpoints.
• Network Visibility Module — Collects rich flow context from an endpoint on or off premise and
  provides visibility into network connected devices.
• Cloud Web Security — It is an endpoint component that routes HTTP traffic to a Cisco Cloud Web
  Security scanning proxy.
• Umbrella Roaming Security — Provides DNS-layer security when no VPN is active.
• ISE Posture — It is similar to VPN Posture; performs a client-side evaluation.
• Select All — Selects all modules.
• Diagnostic and Reporting Tool — It is used to collect data for troubleshooting AnyConnect
  installation and connection problems.

All modules will be installed by default unless you manually uncheck the boxes.

Step 7

(Optional) Check the Lock Down Component Services check box if
the feature needs to be enabled. Enabling this feature will prevent users from disabling the Windows Web
Security
service.

In this example, Lock Down Component Services is not enabled.

Step 8

Click Install Selected.

Step 9

Click OK.

Step 10

Carefully review the Supplemental End User License Agreement and then click
Accept.

Conclusion and Next Steps after Installation

There you have it! You have now successfully installed the Cisco AnyConnect Secure Mobility Client
on your computer.

Wondering what the next steps are? Don’t worry. If you need help configuring AnyConnect on your router, check
out Configure
AnyConnect VPN Connectivity on the RV34x Series Router.

We want the best for our customers, so you have any comments or suggestions regarding this topic, please send
us an email to the Cisco Content Team.

By the way, once the configurations are complete on the router, you can view your connection on the lower
right-hand of your screen. Click the up arrow and hover over the AnyConnect icon to see the
details.

AnyConnect App

The Anyconnect App can be downloaded from the Google Play store or the Apple store.

Additional Resources

Cisco AnyConnect – это VPN клиент от известной компании Cisco, которая занимается поставками сетевого оборудования. Их устройства дороги и сложны в настройке, но достаточно надежны и приспосабливаются под любую сеть. Настройкой оборудования занимаются или сторонние специалисты, или свои сотрудники, имеющие нужные сертификаты.

Обычный работник имеет возможность столкнуться с настройкой и использование программ от этой фирмы только в случае небольших бесплатных программ, которые они предоставляют. Cisco AnyConnect – это одна из таких программ, которые могут быть установлены на компьютере обычного работника.

Зачем использовать Cisco AnyConnect

Стоит сразу сказать, несмотря на то, что Cisco AnyConnect является бесплатным приложением для использования VPN, он не предоставляет доступа ни к каким платным или бесплатным серверам. Cisco Anyconnect используется для подключения к существующим виртуальным частным сетям или VPN.

Программа является клиентом, так что в ней осуществляется только настройка подключения к самой сети. Все настройки VPN задаются на сервере или на том оборудовании Cisco, что служит шлюзом между интернетом и корпоративной сетью.

Разберем несколько особенностей, которые позволяют предоставлять удаленный доступ через это приложение:

• Возможность получения настроек со шлюза или сервера. Если человек работает через свое оборудование и нет возможности отдать его на установку и настройку техническим специалистам, то AnyConnect может получить настройки с сервера при первом подключении.
• Безопасность конечного устройства. Присутствует возможность настройки проверки компьютера или телефона, на котором установлено. Если устройство не соответствует заданным параметрам безопасности, то подключение не произойдет.
• «Тихая» работа. Можно сделать так, чтобы приложение не отображалось в активных, а значка в трее не было.
• Настройка приложения таким образом, чтобы при работе внутри корпоративной сети, не работал интернет. Это повышает безопасность корпоративной сети от взлома или занесения вредоносных программ.

К сожалению, все это задается в конфиге оборудования Cisco или на серверах компании. В самом клиенте настраивается подключение, производится ввод логина и пароля, а также задаются некоторые параметры установки соединения.

Всем остальным занимается администратор сети внутри компании. Так что вам столкнуться с этим не придется, ведь для работы с цисками требуется довольно долгое обучение и наличие некоторых сертификатов его подтверждающих.

Установка и настройка Cisco AnyConnect Client на ПК

Про места для скачивания поговорим чуть ниже, так что стоит остановиться на самой установке и настройке. Опять же, для каждой системы конкретные действия будут разными, но общий алгоритм такой: распаковать скачанный архив, запустить оттуда установочный файл. Дождаться окончания установки и запустить саму программу.

В некоторых случаях потребуется добавить программу в исключения своего антивируса и брандмауэра, но сначала попробуйте запустить её без этого. Теперь можно переходить к настройке.

Где скачать Cisco AnyConnect Secure?

Скачать программу можно всего с нескольких ресурсов. Основным является официальный сайт производителя.

Текущая версия находится по адресу: https://software.cisco.com/download/home/286281283/type/282364313/release/4.10.05095 , если соединится не получается, что удалите все до последнего слэша, должно перекинуть на последнюю версию. Здесь представлен полный список программ для Линукса, MacOS и Windows. Скачивайте и устанавливайте, для винды рекомендуется брать AnyConnect Pre-Deployment Package.

Проблема в том, что как только вы нажмете на скачивание, выскочит окно с предупреждением. Посторонние люди не могут загружать программы, так что войдите в свой аккаунт, в котором активен сервисный договор с компанией. Если такого нет, то обратитесь к своему дилеру, чтобы он предоставил вам копию программы.

У Microsoft есть свой официальный магазин, работающий с последними операционными системами. Зайдите туда и найдите нужное приложение, можете перейти по ссылке https://apps.microsoft.com/store/detail/anyconnect/9WZDNCRDJ8LH?hl=ru-ru&gl=RU. Нажмите на «Установить» и дождитесь окончания процесса. Это работает только для десятки, для Windows 7 и других ранних версий потребуется воспользоваться первым способом.

На Windows 10

После загрузки из официального магазина, программа станет доступна в списке установленных. Найдите её по ярлыку или через меню пуск и запустите. Нажмите на «Manage VPN», вас перебросит в стандартное окно с ВПН на десятке.

Здесь нужно установить, когда можно использовать ВПН, использовать ли его при роуминге и т.д. После выбора этих опций нажмите на «Add a VPN Connection», на русском будет «Добавить ВПН-соединение».

В открывшемся окне производятся все настройки. Главное, в верхней строке выберите создание соединения через AnyConnect. Дальше введите имя соединения, адрес сервера, а также логин и пароль, если они требуются для входа. Сохраните настройки. Теперь, для запуска соединения, вам нужно снова открыть окно с настройками ВПН и кликнуть там по нужному соединению.

В некоторых случаях может потребоваться настройка самой программы. Тогда из пуска снова запустите её и перейдите в раздел «Settings», здесь найдите настройку «Block Untrusted Servers», часто её требуется отключить для установки соединения. В разделе Diagnostic есть параметр Сertificate, здесь будут храниться сертификаты серверов, сюда же может потребоваться установить выданный вам сертификат, если подключение происходит по нему.

На MacOS

Загрузите программу из указанного источника, а потом дважды кликните на файл для начала установки. В первом окне нажмите «Continue», это просто приветствие, во втором окне выберите место, в которое хотите установить программу. Дальше все понятно, просто введите пароль и дождитесь окончания установки.

Теперь перейдите в раздел с приложениями и найдите там Cisco > Cisco AnyConnect Secure Mobility Client.app. Запустите его, в первом окне укажите точный адрес, выданный вам для подключения к VPN и нажмите на Connect. Появится еще одно окно, в верхней строке выберите группу, а ниже введите логин и пароль.

Теперь вы подключены. Для отключения снова нажмите на приложение, откроется окно с адресом сервера. Нажмите здесь на Disconnect, это позволит отключить соединение.

На Linux Ubuntu

Алгоритм будет одинаковым на всех линуксах, в том числе и на Debian, и Fedora. Скачайте архив из указанных источников. Распакуйте его и перейдите в новый каталог. Откройте и запустите установочный файл. В некоторых случаях все это можно проделать и через графический интерфейс, но можно работать и через консоль.

Запустите программу. На картинке вы видите интерфейс подключения, он выскочит после первого запуска программы. Введите адрес, а через двоеточие порт, если он нужен. Вводите его с точностью до каждого знака такой же, как вам выдали на работе. Потом нажмите на «Connect».

Откроется окно с предупреждениями. Нажмите здесь на «Change Settings», если вы нажмете по второй кнопке, то точно никуда не подключитесь.

Откроется окно с настройками. Вам нужно снять галочку с последнего пункта «Block connections to untrusted servers». Остальные галки расставьте так, как рекомендовали вам в инструкции на работе.

В следующем окне кликните по кнопке «Connect Anyway», а потом введите логин и пароль. Теперь можно пользоваться программой.

Запуск и первые шаги Cisco AnyConnect Mobility для смартфонов

Сильных отличий в работе приложений друг от друга нет. Меню выглядят похоже и алгоритм действий почти не меняется. Вот и получается, что если один раз настроить полностью работу впн, то и в другой раз проблем не будет. Особенно это характерно для телефонов. Здесь расскажем способы настройки приложений на разных аппаратах.

На Android

На андроиде загрузите приложение из официального магазина. После загрузке запустите его и попадете в первое меню. Здесь кликните по «Подключения», в новом окне на «Добавить новое подключение».

Появится стандартное окно для ввода данных. Введите туда информацию, которая предоставили вам для подключения. Теперь нажмите на три точки вверху и выберите «Settings» и снимите галку с «Блокировать недоверенные серверы».

Нажмите на три точки сверху и перейдите на вкладку «Diagnostics», откройте «Управление сертификатом». Снова нажав на три точки вверху выберите «Импортировать», здесь укажите путь до сертификата. Это потребуется, если подключение осуществляется по нему.

На iOS

На iPhone алгоритм ничем не отличается от Андроида. Скачайте и установите приложение из официального магазина. Откройте его. Щелкните по строке Connections, потом кликните по Add VPN Connection. В появившемся окне введите логин и пароль, а также остальные данные для подключения.

Для включения и отключения используйте рычажок, находящийся в верхней строке. Настройки находятся в разделе «Settings», а управление сертификатами в «Diagnostics».

Возможные проблемы

Сама программа проста, потому что представляет собой клиентскую часть программного решения. То есть, все основные действия и настройки происходят где-то далеко, на серверах и оборудовании Cisco, а Cisco AnyConnect представляет собой небольшую программу для подключения ко всей этой конструкции. Тем не менее разработчики сюда заложили и проверку клиентских устройств и ограничение на работу в интернете, так что проблемы возникают с завидным постоянством.

Нет соединения

Если не устанавливается соединение, то причин несколько:

• Включилось ограничение на связь, вшитое в установку программы, так что во время работы не получится соединиться с интернетом.
• Неправильно введены данные сервера, так что приложение не может к нему подключится.
• Несовпадение версий. Эту проблему отметила компания Майрософт, что при включении ВПН от циско, на некотором оборудовании перестает подключаться беспроводной интернет. Тут только ждать обновлений от обеих компаний.

Проблема глобальная, так что стоит сначала уточнить у тех, кто делал настройки на сервере, какие параметры выставлены. Тогда вы не будете удивляться ограничениям.

При отпадании интернета вообще при включении программы, рекомендуется почистить кэш интернет-соединения.

Ошибка инициализации

При запуске программы выскакивает ошибка «failed to initialize connection subsystem». Ошибка возникала на старых версиях программы, но нет гарантий, что она решена.

Есть два способа решения проблемы:

• Найдите исполняемый файл программы. Щелкните по ярлыку правой кнопкой мыши, а потом нажмите на «Расположение файла». Обычно это C:Program Files (x86)CiscoCisco AnyConnect Secure Mobility Client.
  По найденному файлу кликните правой кнопкой мыши и выберите «Исправление неполадок». Дождитесь окончания работы.
  Нажмите на компьютер правой кнопкой, перейдите в управление, потом в службы, найдите Cisco AnyConnect Secure Mobility Agent остановите его и потом снова запустите.
  
• Нажмите Win+R и введите в открывшемся окне regedit. Пройдите по пути HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings и создайте переменную DWORD с именем GlobalUserOffline и значением 0. Перезагрузите компьютер.

Проблема возникает из-за установки некоторых обновлений, так что можете удалить последние обновления и проблема решится. Или установите обновление MS15-018, оно решает эту проблему.

Как удалить клиент

С удалением возникают проблемы. Иногда удаляется не полностью, из-за чего возникают сбои при повторной установке. Так что тут совет один: заходите в папку с установленной программой и запускайте деинсталлятор оттуда. Если этого не сделали, то придется работать с командной строкой.

Для мака введите в терминал следующие команды:

1. sudo /opt/cisco/anyconnect/bin/websecurity_uninstall.sh
2. sudo /opt/cisco/anyconnect/bin/dart_uninstall.sh
3. sudo /opt/cisco/anyconnect/bin/nvm_uninstall.sh
4. sudo /opt/cisco/anyconnect/bin/umbrella_uninstall.sh
5. sudo /opt/cisco/anyconnect/bin/amp_uninstall.sh

Если вы запороли удаление на виндовс, то попробуйте воспользоваться одной из программ, что чистят реестр. Если она не поможет, то остается только откат на точку восстановления или переустановка системы. Так что лучше сразу зайдите в папку с установленным приложением и используйте деинсталлятор оттуда.

Аналоги Cisco VPN Client

Есть и бесплатные аналоги этой программы, которые не предъявляют требований к договорам и остальному. Так что можете использовать их для создания туннелей, виртуальных сетей и организации удаленного доступа.

Однако, я не рекомендую использовать бесплатные решения для чего-то серьезного. Они редко хорошо защищены, да и следят за их безопасностью не очень пристально. Лучше приобрести какое-то корпоративное решение.

Аналоги:

• OpenConnect GUI — это графический клиент OpenConnect для систем Microsoft Windows, бесплатный и с открытым исходным кодом.
• OpenVPN — это полнофункциональное решение SSL VPN с открытым исходным кодом. Это рабочая лошадка большинства предприятия на данный момент. Обеспечивает неплохой уровень безопасности и позволяет задавать много параметров.
• ShrewSoft VPN Client работает через IPsec на Windows 2000, XP, Vista. Можете применять в тех местах, где не подойдут современные программы.

Cisco Anyconnect – это программа для тех организаций, что используют у себя их оборудование. Поэтому проблем с настройкой возникать не должно. Параметры сервера задает специалист, он же выдаст точную инструкцию по подключению.

Программу можно использовать и с другими видами серверов, как простой ВПН-клиент, но полные возможности раскроются только при использовании вместе с сервером от того же производителя. В других случаях стоит поискать аналогичные программы для организации безопасного удаленного доступа в свою корпоративную сеть или для подключения к какому-то оборудованию – применений для VPN много.

В том случае, если вы уже установили на рабочий компьютер Windows 8 (на момент написания статьи это Windows 8 RC) и для удаленного VPN подключения вы используете клиент Cisco AnyConnect, ваш ждет сюрприз: без ручных манипуляций поднять VPN туннель не получиться. Так, например, при попытке подключиться к корпоративной сети c помощью Cisco AnyConnect VPN Client (v 2.2.0140) появляется следующие сообщения об ошибке:

The VPN Client driver has encountered an error или Cannot initiate VPN

В журнале приложений пишется что то о том, что Cisco AnyConnect VPN Client необходимо переустановить после обновления Windows (Cisco AnyConnect VPN Client must be reinstalled after upgrading Windows— естественно, это не помогает).

Cisco AnyConnect VPN Client must be reinstalled after upgrading Windows

Возникает такое ощущение, что текущая версия AnyConnect просто не совместима с Windows 8. Но решение проблемы, к счастью, нашлось в буржунете.

Предлагается следующая инструкция:

1. Откройте редактор реестра (regedit.exe)
2. Перейдите в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvpnva
3. Найдите ключ DisplayName, значение которого что-то типа @oem3.inf,%vpnva_Desc%;Cisco AnyConnect VPN Virtual Miniport Adapter for Windows
4. 4Меняем его на Cisco AnyConnect VPN Virtual Miniport Adapter for Windows x64
5. Перезапускаем VPN клиент Cisco AnyConnect

И, вулая! Проблема решена, надеюсь скоро выйдет соответственное обновление VPN клиента.

На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.

Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect’ом (IPSec/IKEv2).

А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:

• Межсетевые экраны Cisco ASA 5500 и Cisco ASA 5500-X
• Многофункциональные защитные устройства Cisco Firepower
• Виртуальные МСЭ Cisco ASAv и Cisco ASAv в AWS и Azure
• Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 c сетевой ОС Cisco IOS или Cisco IOS XE
• Виртуальные маршрутизаторы Cisco CSR 1000v, а они развернуты в том числе и ряда российских облачных провайдеров.

Можно отметить, что с очень высокой вероятностью, у вас уже стоит что-то вышеупомянутое на периметре вашей корпоративной или ведомственной сети и вы можете задействовать эти устройства для организации защищенного удаленного доступа (главное, чтобы они справились с возрастающей нагрузкой). Тем более, что сейчас у Cisco действует бесплатное предложение по получению лицензий AnyConnect.

Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.

Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).

А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?

В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.

А могу ли я шифровать не весь трафик, а только корпоративный?

Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси»

В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.

А могу ли я шифровать трафик определенных, например, корпоративных, приложений?

Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.

А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?

С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:

• данные сетевой активности в схожем с IPFIX формате
• идентификатор, адрес и имя устройства
• имя пользователя
• тип учетной записи пользователя
• имена и идентификаторы запускаемых процессов и приложений, включая и данные по их «родителям».

Данный функционал по сути представляет собой облегченную UEBA (User Entity Behaviour Analytics), новую технологию анализа поведения пользователей и приложений/процессов, запускаемых от их имени.

А как мне аутентифицировать пользователей?

Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.

А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?

У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.

Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?

Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.

А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?

Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.

А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?

Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.

На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.