Cisco Anyconnect 3 - NGS

Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
Nell’ultimo paio d’anni si è verificato un grande interesse e relativo sviluppo tecnico delle
modalità di accesso VPN di tipo remote access per il mondo enterprise.
In particolar modo vi è stato un grande impulso all’accesso sfruttando la tecnologia SSL/TLS.
Motivazioni di pura innovazione, semplificata connettività, migliori performance e caratteristiche
di sicurezza aggiuntive assieme a considerazioni geopolitiche hanno fatto delle VPN SSL una
tecnologia emergente in grande crescita.
Quasi tutti i grandi vendor che propongono apparati di sicurezza per l’accesso remoto hanno
sviluppato una loro particolare versione della tecnologia SSL, abilitata direttamente sui
router/firewall perimetrali oppure usando server/concentratori interni alle reti aziendali.
Un buon punto di partenza per individuare i differenti vendor è quello proposto da Gartner nel
suo Magic Quadrant, qui riportato nella sua ultima versione datata Dicembre 2010. Il grafico
rappresenta il rapporto di forza tra i maggiori vendor sulla tecnologia VPN SSL a livello
enterprise. Da un lato viene valutata la tecnologia nel suo insieme mentre dall’altro viene
evidenziata l’abilità di fornire il servizio, anche considerando il lato puramente commerciale.
Tale quadrante riflette in maniera qualitativa una serie molto vasta di parametri quantitativi e
fornisce, tanto all’utilizzatore finale che all’integrato di sistemi, il posizionamento attuale e il
trend di mercato dei vari vendor in competizione in un mercato molto promettente.
1/6
Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
Pur fornendo una prodotto similare, ogni soluzione è unica nelle sue caratteristiche e andrebbe
valutata per esteso prima di essere applicata o anche solo proposta. Normalmente però questa
operazione non viene effettuata perché altamente dispendiosa e costosa in termini temporali.
Spesso si preferisce concentrare gli sforzi restringendo l’attenzione alle soluzioni proposte da
quei vendor principali presenti nei quadranti dei leaders, challengers e visionaries.
Tra i leaders di questo mercato le soluzioni proposte da Cisco Systems per la connettività
perimetrale VPN SSL di tipo remote access sono tra le più interessanti dell’intero lotto.
Dall’introduzione del firewall Adaptive Security Appliance (ASA) la visione di Cisco prevede per
questi apparati la funzione preferenziale di terminatore delle connessioni VPN di tipo remote
access prima con tecnologia IPSec e poi SSL. La decisione di sostituire progressivamente i
vecchi firewall PIX e i VPN 3000 Concentrator con gli ASA rinforza questa visione, lasciando in
pratica alle varie linee dei router il compito principale di terminare le connessioni VPN di tipo
Lan-to-Lan.
La connettività VPN SSL di Cisco Systems, inizialmente basata su semplice software
scaricabile come plug-in dal portale web, ha ormai raggiunto una maturità tale da prevedere
l’accesso alla rete enterprise mediante semplice browser, integrando estensioni java, oppure
mediante software proprietario client denominato AnyConnect, attualmente alla versione 2.5.
Tale software è disponibile per i maggiori sistemi operativi e permette, attraverso il controllo dei
sotto-sistemi delle interfacce di rete, l’instaurazione di un tunnel VPN client di tipo remote
access tra il dispositivo remoto e il terminatore VPN aziendale usando la tecnologia SSL per
l’interscambio delle chiavi e sistema di cifratura avanzata come RC4, 3DES o AES per fornire la
parte di cifratura dei dati interscambiati.
All’interno di questa semplice descrizione di base sono presenti innumerevoli caratteristiche
avanzate aggiuntive proprietarie Cisco tali da rendere l’intera soluzione proposta molto
sofisticata se confrontata con altri vendor. Tutte le caratteristiche aggiuntive sono abilitabili in
configurazione del firewall/terminatore come Cisco Secure Desktop (caratteristicha di HostScan
e pre-posture) o Dynamic Access Policies pensate appositamente per funzionare in concerto
con la modalità VPN SSL.
2/6
Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
Tutte le caratteristiche e le licenze vengono gestite dal sistema operativo del terminatore VPN
(predefinito il firewall Cisco ASA) e seguono nel loro aggiornamento e miglioramento continuo il
trend di sviluppo pensato da Cisco e implementato nelle varie versioni dell’Adaptive Security
Algorithm.
Con la versione ASA 8.22 di fine 2009 sono state finalmente introdotte riviste e introdotte nuove
licenze che aumentano l’offerta di connettività remote access disponibili per soddisfare le
sempre differenti richieste del mercato VPN SSL. E’ stato finalmente rivista la modalità di
conteggio licenze per cercare di soddisfare i clienti entry level, visto l’alto costo delle licenze
standard, caratteristica poco gradevole per un’espansione di mercato.
1. Licenza AnyConnect Essentials
- Singola
licenza abilitata direttamente sul dispositivo terminatore di VPN(Firewall
Cisco ASA) ad un costo nominale molto basso, almeno per gli standard
Cisco Systems.
- Abilita
la connessione VPN ti tipo SSL Remote Access attraverso solo client
software AnyConnect disponibile per le maggiori piattaforme OS (non
mobile) e permette
l’instaurazione di tunnel cifrati ad alta sicurezza
con caratteristiche di authentication
e
confidentiality
di livello enterprise.
- Licenza AnyConnect Premium
- Permette
l’utilizzo della connettività VPN SSL di tipo Remote Access clientless,
attraverso portale web assieme alle caratteristiche client presenti nella
licenza Essential.
- Prevede
l’utilizzo del modulo Cisco Secure Desktop per verifica dell’host, in
di fornire una pre-posture assessment.
- Licenza
fornita in base al numero di utenti contemporaneamente attivi.
grado
- Licenza AnyConnect Mobile
- Abilita
la compatibilità con dispositivi
mobili, come ad esempio Apple iOS 4
abilitato a dialogare in VPN SSL da metà
2010.
- Licenza
fornita in base al numero di dispositivi in aggiunta ad una licrenza di
tipo Essentials or Premium.
Cisco AnyConnect Secure Mobility Solution
3/6
Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
Con la futura introduzione del software AnyConnect versione 3.x, prevista in uscita nel primo
quarto del 2011, Cisco Systems ha deciso di estendere le funzionalità del client VPN SSL
remote access dotandolo di una struttura modulare innovativa.
Tale innovazione riflette interesse dell’azienda californiana nel fornire un nuovo strumento in
grado di soddisfare le richieste di robusta connettività e controllo del traffico sia per utenti remoti
tradizionali sia per quella nuova fascia di utenti mobile in forte crescita negli ultimi mesi grazie
alla consumerizzazione dei dispositivi mobili (smartphone e tablet in primis) e al loro forte
impatto lavorativo. Sono infatti complesse le sfide per gli amministratori di rete nel tentativo di
fornire una infrastruttura controllata ed efficiente per il lavoro quando si parla di dispositivi non
tradizionali, come gli smartphone, che hanno il loro punto di forza nell’essere costantemente
attivi sia fuori che dentro la rete aziendale, in grado si potare grande valore aggiunto all’attività
lavorativa ma al contempo veicoli di rischi e vulnerabilità non indifferenti che devono essere
attentamente valutate. Lo sviluppo di una infrastruttura che tenga conto di queste particolarità è
in linea con l’avanzamento tecnologico di altre serie di prodotti nel mondo della sicurezza Cisco
riconosciuti dai progetti TrustSec e Borderless networks dei quali vengono estese ed enfatizzate
alcune caratteristiche innovative.
La nuova versione di AnyConnect prenderà il nome di AnyConnect Secure Mobility Client, e
sarà in grado di gestire le licenze precedentemente disponibili per l’accesso VPN di tipo remote
access. Prevede inoltre l’utilizzo dei seguenti nuovi moduli sviluppati ad-hoc :
- VPN module – connessione mediante il nuovo protocollo IPsec VPN (IKEv2) con
possibilità di fall-back su SSL
- Web Security for ScanSafe module –
gestisce il servizio protezione per
l’accesso
web usando l’infrastruttura Scansafe SaaS cloud di Cisco Systems
- Network Access Manager module – funzionalità
e cifratura MACsec
avanzate di autenticazione 802.1X,
4/6
Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
I nuovi moduli verranno installati come semplici estensioni del software AnyConnect e si
attiveranno in base alle licenze disponibili sul terminatore VPN. In tal modo la soluzione Secure
Mobility integrerà funzionalità di autenticazione avanzate, VPN remote access SSL e IPSec con
caratteristiche di Web Security sia all’interno del perimetro di rete che al suo esterno.
La necessità di implementare il VPN module è diretta conseguenza dell’evoluzione troppo
rapida della tecnologia SSL. Da un lato infatti è avvenuta una dismissione troppo rapida da
parte di Cisco del precedente software Cisco VPN Client, in grado di gestire le connessioni con
il vecchio ma sempre valido IPSec (IKE v1), mentre al contempo la tecnologia SSLVPN non era
ancora sufficientemente matura. Numerosi bug anche gravi sono stati riscontrati nelle versioni
AnyConnect precedenti alla 2.5 e nel software di terminazione ASA prima della versione 8.3.
La combinazione di questi due fattori ha provocato non pochi problemi di sicurezza e gestione a
quelle infrastrutture aziendali in procinto di modificare radicalmente le loro tipologie di accesso
remoto, inoltre molte aziende di livello enterprise sono ad oggi ancora costrette ad
implementare tecnologia IPSec perché presente nelle loro documentazioni di Security Policy in
quanto si è dimostrata negli anni valida e affidabile.
La volontà di integrare SSL e IPSec (IKE v2) in un unico prodotto software estende le
caratteristiche di sicurezza e flessibilità, superando i limiti del classico IPSec (IKE v1) con il
supporto di caratteristiche avanzate come hostscan, Dynamic access policies e secure mobility.
Per poter usare il nuovo modulo VPN è però necessario attendere ancora qualche mese perché
è necessario anche il componente nel terminatore VPN, ovvero il firewall Cisco ASA, non
ancora disponibile. Questo aggiornamento metterà finalmente la parola fine alla serie PIX e ai
VPN Concentrator, ormai in end-of-sale e end-of-life, perchè non saranno in grado di gestire
tale innovazione.
Il modulo Web Security for Scansafe abilita le funzionalità del prodotto Cisco Scansafe
mettendo a disposizione degli amministratori una tecnologia cloud SaaS (Security as a Service)
per controllare e verificare il traffico web anche quando le connessioni avvengono al di fuori del
perimetro della rete aziendale. Il servizio permette inoltre l’uso di acceptable use policy (AUP)
control malware filtering, data security, application visibily & control.
5/6
Cisco Anyconnect 3
Martedì 24 Maggio 2011 23:43
Questa soluzione è in grado di superare i limiti di configurazione e latenza del collegamento
quanto è necessaria la verifica di tutto il traffico web una volta instaurato il collegamento
VPN. Non saranno più necessarie alchimie con split-tunnel, proxy server o WCCP router per
filtrare e controllare il traffico web, bensì sarà un sistema cloud-based indipendente e altamente
efficiente ad agire direttamente.
La scelta di Cisco di integrare Scansafe come modulo per AnyConnect può sembrare in
contrasto con il suo prodotto premises-based Cisco IronPort Web Security Appliance. In verità,
nella visione di Cisco quando un utente risulta connesso alla rete corporate agisce l’appliance
IronPort, al di fuori è Scansafe a verificare il traffico.
Il modulo Network Access Manager è forse l’innovazione più interessante della versione
AnyConnect 3.0. Integra infatti l’autenticazione 802.1X per Ethernet (IEEE 802.3) e WIFI (IEEE
802.11) e si pone come sostituto del software
Cisco
Secure Services Client
(CSSC) almeno per la sue funzioni di autenticazione. E’ previsto un uso indipendente dagli altri
moduli VPN e Web Security pertanto il software Anyconnect è pensato per un suo uso operativo
always-on sul dispositivo interessato, che sia workstation, laptop o smartphone, fornendo al
contempo caratteristiche di autenticazione wireless come WPA2 enterprise e autenticazione di
rete integrandosi con strumenti avanzati come Cisco ACS.
Il nuovo modulo è inoltre in grado di fornire la funzionalità MACsec (IEEE 801.1AE) introdotta
con la nuova linea di prodotti TrustSec. In pratica viene abilitata la cifratura del frame Ly2
attraverso algoritmi AES per quelle infrastrutture enterprise, governative o militari che
necessitano di un alto grado di confidenzialità a basso livello della pila ISO/OSI. La tecnologie
MACsec può essere abilitata, a lato client, sia in hardware che in software e prevede l’uso delle
nuove linee di switch Cisco Catalyst serie 2960-S e 3750 o i nuovi Nexus.
6/6