Cisco Anyconnect 3 - NGS
Transcript
Cisco Anyconnect 3 - NGS
Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 Nell’ultimo paio d’anni si è verificato un grande interesse e relativo sviluppo tecnico delle modalità di accesso VPN di tipo remote access per il mondo enterprise. In particolar modo vi è stato un grande impulso all’accesso sfruttando la tecnologia SSL/TLS. Motivazioni di pura innovazione, semplificata connettività, migliori performance e caratteristiche di sicurezza aggiuntive assieme a considerazioni geopolitiche hanno fatto delle VPN SSL una tecnologia emergente in grande crescita. Quasi tutti i grandi vendor che propongono apparati di sicurezza per l’accesso remoto hanno sviluppato una loro particolare versione della tecnologia SSL, abilitata direttamente sui router/firewall perimetrali oppure usando server/concentratori interni alle reti aziendali. Un buon punto di partenza per individuare i differenti vendor è quello proposto da Gartner nel suo Magic Quadrant, qui riportato nella sua ultima versione datata Dicembre 2010. Il grafico rappresenta il rapporto di forza tra i maggiori vendor sulla tecnologia VPN SSL a livello enterprise. Da un lato viene valutata la tecnologia nel suo insieme mentre dall’altro viene evidenziata l’abilità di fornire il servizio, anche considerando il lato puramente commerciale. Tale quadrante riflette in maniera qualitativa una serie molto vasta di parametri quantitativi e fornisce, tanto all’utilizzatore finale che all’integrato di sistemi, il posizionamento attuale e il trend di mercato dei vari vendor in competizione in un mercato molto promettente. 1/6 Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 Pur fornendo una prodotto similare, ogni soluzione è unica nelle sue caratteristiche e andrebbe valutata per esteso prima di essere applicata o anche solo proposta. Normalmente però questa operazione non viene effettuata perché altamente dispendiosa e costosa in termini temporali. Spesso si preferisce concentrare gli sforzi restringendo l’attenzione alle soluzioni proposte da quei vendor principali presenti nei quadranti dei leaders, challengers e visionaries. Tra i leaders di questo mercato le soluzioni proposte da Cisco Systems per la connettività perimetrale VPN SSL di tipo remote access sono tra le più interessanti dell’intero lotto. Dall’introduzione del firewall Adaptive Security Appliance (ASA) la visione di Cisco prevede per questi apparati la funzione preferenziale di terminatore delle connessioni VPN di tipo remote access prima con tecnologia IPSec e poi SSL. La decisione di sostituire progressivamente i vecchi firewall PIX e i VPN 3000 Concentrator con gli ASA rinforza questa visione, lasciando in pratica alle varie linee dei router il compito principale di terminare le connessioni VPN di tipo Lan-to-Lan. La connettività VPN SSL di Cisco Systems, inizialmente basata su semplice software scaricabile come plug-in dal portale web, ha ormai raggiunto una maturità tale da prevedere l’accesso alla rete enterprise mediante semplice browser, integrando estensioni java, oppure mediante software proprietario client denominato AnyConnect, attualmente alla versione 2.5. Tale software è disponibile per i maggiori sistemi operativi e permette, attraverso il controllo dei sotto-sistemi delle interfacce di rete, l’instaurazione di un tunnel VPN client di tipo remote access tra il dispositivo remoto e il terminatore VPN aziendale usando la tecnologia SSL per l’interscambio delle chiavi e sistema di cifratura avanzata come RC4, 3DES o AES per fornire la parte di cifratura dei dati interscambiati. All’interno di questa semplice descrizione di base sono presenti innumerevoli caratteristiche avanzate aggiuntive proprietarie Cisco tali da rendere l’intera soluzione proposta molto sofisticata se confrontata con altri vendor. Tutte le caratteristiche aggiuntive sono abilitabili in configurazione del firewall/terminatore come Cisco Secure Desktop (caratteristicha di HostScan e pre-posture) o Dynamic Access Policies pensate appositamente per funzionare in concerto con la modalità VPN SSL. 2/6 Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 Tutte le caratteristiche e le licenze vengono gestite dal sistema operativo del terminatore VPN (predefinito il firewall Cisco ASA) e seguono nel loro aggiornamento e miglioramento continuo il trend di sviluppo pensato da Cisco e implementato nelle varie versioni dell’Adaptive Security Algorithm. Con la versione ASA 8.22 di fine 2009 sono state finalmente introdotte riviste e introdotte nuove licenze che aumentano l’offerta di connettività remote access disponibili per soddisfare le sempre differenti richieste del mercato VPN SSL. E’ stato finalmente rivista la modalità di conteggio licenze per cercare di soddisfare i clienti entry level, visto l’alto costo delle licenze standard, caratteristica poco gradevole per un’espansione di mercato. 1. Licenza AnyConnect Essentials - Singola licenza abilitata direttamente sul dispositivo terminatore di VPN(Firewall Cisco ASA) ad un costo nominale molto basso, almeno per gli standard Cisco Systems. - Abilita la connessione VPN ti tipo SSL Remote Access attraverso solo client software AnyConnect disponibile per le maggiori piattaforme OS (non mobile) e permette l’instaurazione di tunnel cifrati ad alta sicurezza con caratteristiche di authentication e confidentiality di livello enterprise. - Licenza AnyConnect Premium - Permette l’utilizzo della connettività VPN SSL di tipo Remote Access clientless, attraverso portale web assieme alle caratteristiche client presenti nella licenza Essential. - Prevede l’utilizzo del modulo Cisco Secure Desktop per verifica dell’host, in di fornire una pre-posture assessment. - Licenza fornita in base al numero di utenti contemporaneamente attivi. grado - Licenza AnyConnect Mobile - Abilita la compatibilità con dispositivi mobili, come ad esempio Apple iOS 4 abilitato a dialogare in VPN SSL da metà 2010. - Licenza fornita in base al numero di dispositivi in aggiunta ad una licrenza di tipo Essentials or Premium. Cisco AnyConnect Secure Mobility Solution 3/6 Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 Con la futura introduzione del software AnyConnect versione 3.x, prevista in uscita nel primo quarto del 2011, Cisco Systems ha deciso di estendere le funzionalità del client VPN SSL remote access dotandolo di una struttura modulare innovativa. Tale innovazione riflette interesse dell’azienda californiana nel fornire un nuovo strumento in grado di soddisfare le richieste di robusta connettività e controllo del traffico sia per utenti remoti tradizionali sia per quella nuova fascia di utenti mobile in forte crescita negli ultimi mesi grazie alla consumerizzazione dei dispositivi mobili (smartphone e tablet in primis) e al loro forte impatto lavorativo. Sono infatti complesse le sfide per gli amministratori di rete nel tentativo di fornire una infrastruttura controllata ed efficiente per il lavoro quando si parla di dispositivi non tradizionali, come gli smartphone, che hanno il loro punto di forza nell’essere costantemente attivi sia fuori che dentro la rete aziendale, in grado si potare grande valore aggiunto all’attività lavorativa ma al contempo veicoli di rischi e vulnerabilità non indifferenti che devono essere attentamente valutate. Lo sviluppo di una infrastruttura che tenga conto di queste particolarità è in linea con l’avanzamento tecnologico di altre serie di prodotti nel mondo della sicurezza Cisco riconosciuti dai progetti TrustSec e Borderless networks dei quali vengono estese ed enfatizzate alcune caratteristiche innovative. La nuova versione di AnyConnect prenderà il nome di AnyConnect Secure Mobility Client, e sarà in grado di gestire le licenze precedentemente disponibili per l’accesso VPN di tipo remote access. Prevede inoltre l’utilizzo dei seguenti nuovi moduli sviluppati ad-hoc : - VPN module – connessione mediante il nuovo protocollo IPsec VPN (IKEv2) con possibilità di fall-back su SSL - Web Security for ScanSafe module – gestisce il servizio protezione per l’accesso web usando l’infrastruttura Scansafe SaaS cloud di Cisco Systems - Network Access Manager module – funzionalità e cifratura MACsec avanzate di autenticazione 802.1X, 4/6 Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 I nuovi moduli verranno installati come semplici estensioni del software AnyConnect e si attiveranno in base alle licenze disponibili sul terminatore VPN. In tal modo la soluzione Secure Mobility integrerà funzionalità di autenticazione avanzate, VPN remote access SSL e IPSec con caratteristiche di Web Security sia all’interno del perimetro di rete che al suo esterno. La necessità di implementare il VPN module è diretta conseguenza dell’evoluzione troppo rapida della tecnologia SSL. Da un lato infatti è avvenuta una dismissione troppo rapida da parte di Cisco del precedente software Cisco VPN Client, in grado di gestire le connessioni con il vecchio ma sempre valido IPSec (IKE v1), mentre al contempo la tecnologia SSLVPN non era ancora sufficientemente matura. Numerosi bug anche gravi sono stati riscontrati nelle versioni AnyConnect precedenti alla 2.5 e nel software di terminazione ASA prima della versione 8.3. La combinazione di questi due fattori ha provocato non pochi problemi di sicurezza e gestione a quelle infrastrutture aziendali in procinto di modificare radicalmente le loro tipologie di accesso remoto, inoltre molte aziende di livello enterprise sono ad oggi ancora costrette ad implementare tecnologia IPSec perché presente nelle loro documentazioni di Security Policy in quanto si è dimostrata negli anni valida e affidabile. La volontà di integrare SSL e IPSec (IKE v2) in un unico prodotto software estende le caratteristiche di sicurezza e flessibilità, superando i limiti del classico IPSec (IKE v1) con il supporto di caratteristiche avanzate come hostscan, Dynamic access policies e secure mobility. Per poter usare il nuovo modulo VPN è però necessario attendere ancora qualche mese perché è necessario anche il componente nel terminatore VPN, ovvero il firewall Cisco ASA, non ancora disponibile. Questo aggiornamento metterà finalmente la parola fine alla serie PIX e ai VPN Concentrator, ormai in end-of-sale e end-of-life, perchè non saranno in grado di gestire tale innovazione. Il modulo Web Security for Scansafe abilita le funzionalità del prodotto Cisco Scansafe mettendo a disposizione degli amministratori una tecnologia cloud SaaS (Security as a Service) per controllare e verificare il traffico web anche quando le connessioni avvengono al di fuori del perimetro della rete aziendale. Il servizio permette inoltre l’uso di acceptable use policy (AUP) control malware filtering, data security, application visibily & control. 5/6 Cisco Anyconnect 3 Martedì 24 Maggio 2011 23:43 Questa soluzione è in grado di superare i limiti di configurazione e latenza del collegamento quanto è necessaria la verifica di tutto il traffico web una volta instaurato il collegamento VPN. Non saranno più necessarie alchimie con split-tunnel, proxy server o WCCP router per filtrare e controllare il traffico web, bensì sarà un sistema cloud-based indipendente e altamente efficiente ad agire direttamente. La scelta di Cisco di integrare Scansafe come modulo per AnyConnect può sembrare in contrasto con il suo prodotto premises-based Cisco IronPort Web Security Appliance. In verità, nella visione di Cisco quando un utente risulta connesso alla rete corporate agisce l’appliance IronPort, al di fuori è Scansafe a verificare il traffico. Il modulo Network Access Manager è forse l’innovazione più interessante della versione AnyConnect 3.0. Integra infatti l’autenticazione 802.1X per Ethernet (IEEE 802.3) e WIFI (IEEE 802.11) e si pone come sostituto del software Cisco Secure Services Client (CSSC) almeno per la sue funzioni di autenticazione. E’ previsto un uso indipendente dagli altri moduli VPN e Web Security pertanto il software Anyconnect è pensato per un suo uso operativo always-on sul dispositivo interessato, che sia workstation, laptop o smartphone, fornendo al contempo caratteristiche di autenticazione wireless come WPA2 enterprise e autenticazione di rete integrandosi con strumenti avanzati come Cisco ACS. Il nuovo modulo è inoltre in grado di fornire la funzionalità MACsec (IEEE 801.1AE) introdotta con la nuova linea di prodotti TrustSec. In pratica viene abilitata la cifratura del frame Ly2 attraverso algoritmi AES per quelle infrastrutture enterprise, governative o militari che necessitano di un alto grado di confidenzialità a basso livello della pila ISO/OSI. La tecnologie MACsec può essere abilitata, a lato client, sia in hardware che in software e prevede l’uso delle nuove linee di switch Cisco Catalyst serie 2960-S e 3750 o i nuovi Nexus. 6/6