Cisco Easy VPN Remote позволяет автоматически управлять такими параметрами:
- Устанавливать общие параметры для установки туннеля — адреса, алгоритмы, время жизни туннеля
- Установка туннелей в соответствии с установленными параметрами
- Автоматическое создание правил трансляции адресов (NAT или PAT) и, при необходимости, соответствующих ACL
- Аутентификация пользователей — имена пользователей, имена групп, пароли
- Управление ключами для шифрование и расшифровки данных
- Аутентификация, шифрование, дешифрование данных в туннеле
Ограничения
Easy VPN Server
Настройка AAA
aaa new-model aaa authentication login [list-name method1] [method2. ] aaa authorization network list-name local group radius username name password encryption-type encrypted-password
Пример настройки авторизации пользователей:
R_2(config)# aaa new-model R_2(config)# aaa authorization network grouplist local group radius
(опционально) Настройка вида строки запроса аутентификации:
Что такое VPN за 8 минут. Анонимный интернет — как работает и что выбрать?
aaa authentication password-prompt text-string aaa authentication username prompt text-string
Настройка политики isakmp
Настройка политики isakmp:
R_2(config)#crypto isakmp policy 10 R_2(config-isakmp)#authentication pre-share R_2(config-isakmp)#encryption 3des R_2(config-isakmp)#group 2
Настройка групповой политики
После XAUTH-аутентификации, на Easy VPN клиента передаются настройки, которые хранятся для него на сервере. Настройки хранятся в соответствующей групповой политике и передаются на фазе, которая называется Mode Configuration.
Создание групповой политики (Group Policy):
crypto isakmp client configuration group
Параметры, которые могут быть назначены в групповой политике:
R_2(config)#crypto isakmp client configuration group testgroup R_2(config-isakmp-group)#? ISAKMP group policy config commands: access-restrict Restrict clients in this group to an interface acl Specify split tunneling inclusion access-list number auto-update Configure auto-upgrade backup-gateway Specify backup gateway banner Specify mode config banner browser-proxy Configure browser-proxy configuration Push configuration to the client crypto Client group crypto aaa attribute list dhcp Configure DHCP parameters dns Specify DNS Addresses domain Set default domain name to send to client exit Exit from ISAKMP client group policy configuration mode firewall Enforce group firewall feature group-lock Enforce group lock feature include-local-lan Enable Local LAN Access with no split tunnel key pre-shared key/IKE password max-logins Set maximum simultaneous logins for users in this group max-users Set maximum number of users for this group netmask netmask used by the client for local connectivity no Negate a command or set its defaults pfs The client should propose PFS pool Set name of address pool save-password Allows remote client to save XAUTH password split-dns DNS name to append for resolution wins Specify WINS Addresses
Пример настройки групповой политики:
Создание политики с именем testgroup:
R_2(config)# crypto isakmp client configuration group testgroup
Если аутентификация выполняется по pre-shared key, то обязательно нужно указать его в настройках группы:
R_2(config-isakmp-group)# key vpnpassword
R_2(config-isakmp-group)# domain unix.nt
Название пула адресов из которого клиентам будут выдаваться адреса:
R_2(config-isakmp-group)# pool easypool
Настройка crypto map
Настройка transform set
R_2(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac
Настройка динамической crypto map
R_2(config)#crypto dynamic-map DYNAMIC 10
R_2(config-crypto-map)#set transform-set VPNTRANS
R_2(config-crypto-map)#reverse-route
Создание crypto map
R_2(config)#crypto map EASY client configuration address respond
R_2(config)#crypto map EASY isakmp authorization list grouplist
R_2(config)#crypto map EASY 65535 ipsec-isakmp dynamic DYNAMIC
Применение crypto map
R_2(config)#int fa0/1 R_2(config-if)#crypto map EASY
черновик
(Optional) Create IP address pool for connecting clients Enable group policy lookup via AAA Create an ISAKMP policy for remote VPN Client access R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption 3des R1(config-isakmp)# group 2 R1(config-isakmp)# end Define a group policy for mode configuration push Step 1: Add the group profile to be defined. Step 2: Configure the ISAKMP pre-shared key. Step 3: Specify the DNS servers. Step 4: Specify the Microsoft WINS servers. Step 5: Specify the DNS domain. Step 6: Specify the local IP address pool.
Apply mode configuration and XAUTH Step 1: Configure the router to respond to mode configuration requests. Step 2: Enable IKE querying for a group policy. Step 3: Enforce XAUTH Step 3: Apply the dynamic crypto map to the crypto map. Enable RRI for the client Enable IKE DPD Configure XAUTH (Optional) Enable the XAUTH Save Password feature Create Transform Sets Step 1: Create a dynamic crypto map. Step 2: Assign a transform set. Step 3: Enable RRI.
Easy VPN Client
Configure the DHCP server pool. Configure the Cisco Easy VPN Remote client profile. Group and key Peer Mode Manual or automatic tunnel control (Optional) Configure XAUTH Save Password Feature Assign the Cisco Easy VPN Remote client profile to the interfaces. Verify the Cisco Easy VPN configuration.
dyn3(config)#aaa new-model dyn3(config)#aaa authorization network vpn-group local dyn3(config)#username cisco password 0 cisco
dyn3(config)#ip local pool Remote-Pool 192.168.1.30 192.168.1.40
dyn3(config)#crypto isakmp policy 10 dyn3(config-isakmp)#authentication pre-share dyn3(config-isakmp)#encryption 3des dyn3(config-isakmp)#group 2 dyn3(config-isakmp)#end
dyn3(config)#crypto isakmp client configuration group DYN dyn3(config-isakmp-group)#key VPNKEY dyn3(config-isakmp-group)#domain cisco.com dyn3(config-isakmp-group)#pool Remote-Pool dyn3(config-isakmp-group)#exit
dyn3(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac
dyn3(config)#crypto dynamic-map DYNAMIC 10 dyn3(config-crypto-map)#set transform-set VPNTRANS dyn3(config-crypto-map)#reverse-route
dyn3(config)#crypto map ClientMap client configuration address respond dyn3(config)#crypto map ClientMap isakmp authorization list vpn-group dyn3(config)#crypto map ClientMap 65535 ipsec-isakmp dynamic DYNAMIC
dyn3(config)#int fa0/0 dyn3(config-if)#cryp dyn3(config-if)#crypto map ClientMap dyn3(config-if)#end
dyn3#sh crypto map Crypto Map «ClientMap» 65535 ipsec-isakmp Dynamic map template tag: DYNAMIC Interfaces using crypto map ClientMap: FastEthernet0/0
Cisco Easy VPN Client Profile
dyn1(config)#crypto ipsec client ezvpn Client dyn1(config-crypto-ezvpn)#group DYN key VPNKEY dyn1(config-crypto-ezvpn)#peer 192.168.2.3 dyn1(config-crypto-ezvpn)#mode client dyn1(config-crypto-ezvpn)#connect auto
dyn1(config)#int fa1/0 dyn1(config-if)#crypto ipsec client ezvpn Client
dyn1(config-if)#int fa0/0 dyn1(config-if)#crypto ipsec client ezvpn Client inside
Проверка работы
show crypto ipsec client ezvpn
show crypto session
| Cisco 871 • Cisco Router • Cisco Switch • Сisco Сatalyst • Cisco IPS • Cisco ASA • PIX • Dynamips |
| Cisco Security • Port security • DHCP snooping • Dynamic ARP Protection • IP Source Guard • Аутентификация при доступе к сети • 802.1X в Cisco • Zone-Based Policy Firewall • Cisco NAT • NAT в Cisco • Cisco SSH |
| Cisco ASA/NAT • Cisco ASA/Troubleshooting • Cisco ASA/IPS • Cisco ASA failover • Cisco ASA/Transparent firewall • Cisco ASA/Site-to-Site_VPN • Cisco ASA/Easy_VPN • Cisco ASA/WebVPN • Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) • Центр сертификатов на Cisco ASA |
| IPsec в Cisco • Cisco IOS Site-to-Site VPN • DMVPN • Cisco Easy VPN • Cisco Web VPN • Cisco ipsec preshared |
| CDP • VLAN в Cisco • ISL • VTP • STP в Cisco • Cisco Express Forwarding • Агрегирование каналов • Зеркалирование трафика • QinQ • Frame Relay |
| Маршрутизация в Cisco • RIP • EIGRP • IS-IS • OSPF • BGP • PIM • Multicast • GLBP • VRRP • HSRP • DHCP • IPv6 • IPv6 vs IPv4 • Резервирование Интернет-каналов без использования BGP • Использование BGP для резервирования Интернет-каналов |
| Режим ROMMON в Cisco • Опция 82 DHCP • 802.1X и RADIUS • SNMP в Cisco • QoS в Cisco • EEM • Troubleshooting • Автоматизация работы устройств Cisco • Cisco NTP • Cisco IP SLA • Cisco Enhanced Object Tracking |
Источник: xgu.ru
Три простых шага к защите угроз
Традиционного периметра сети больше нет. Как можно быстро и просто обеспечить корпоративную информационную безопасность в условиях новой реальности?
Шаг первый : обеспечиваем безопасный доступ в сеть через VPN – когда угодно, откуда угодно и с любого устройства
Не просто VPN — Cisco Anyconnect
Решение Cisco AnyConnect расширяет возможности традиционных сетей VPN за счет разнообразных услуг. Решение осуществляет контроль состояния соединений, оно гарантирует их всестороннюю защиту, посторонний доступ к сети полностью исключается. Время и месторасположение пользователей значения не имеют, также как и сетевые параметры конкретной организации.
Плюсы для пользователя:
- бесшовно и без заморочек получить защищенный доступ в корпоративную сеть откуда и когда угодно
Плюсы для администратора:
- всегда известно, кто из сотрудников входит в систему и какое устройство для этого используется.
- постоянная проверка устройств на соответствие нормативным требованиям
- защита веб-трафика
- раздельное туннелирование и шифрование трафика
Cisco AnyConnect не только обеспечивает доступ к VPN через Secure Sockets Layer (SSL) и IPsec IKEv2, но и предлагает повышенную безопасность с помощью различных встроенных модулей. Эти модули предоставляют такие возможности, как, например, защита сети от устройств, не отвечающих требованиям безопасности (Cisco ISE), проверка идентификационных данных пользователя (Cisco Duo), расширение защиты на ситуации, когда пользователи подключаются к сети, не используя VPN (Cisco Umbrella), создания системы раннего предупреждения об угрозах (Cisco Endpoint Security Analytics).
Бесплатная пробная версия на 2 месяца: убедитесь в эффективности сами!
Шаг второй : убеждаемся, что подключившийся пользователь именно тот, за кого себя выдает
Адаптивная многофакторная аутентификация – Cisco Duo
Cisco Duo помогает защитить пользователей и их устройства от кражи учетных данных, фишинга и других атак с использованием идентификационных данных. Прежде чем предоставить доступ к приложениям, система проверяет идентификационные данные пользователей и назначает уровень доверия устройствам.
Из чего состоит адаптивная многофакторная аутентификация?
Идентификация пользователя
Проверка идентификационных данных пользователей с помощью многофакторной аутентификации (2FA)
Проверка устройств
Выполняет мониторинг устройств и обеспечивает доверие устройству проверкой его состояния
Адаптивная аутентификация
Применяет политики доступа для каждого приложения с помощью адаптивного контроля доступа на основе ролей отслеживая индикаторы компрометации
Cистема единого входа (SSO)
Cisco Duo предоставляет пользователям безопасный доступ ко всем защищенным приложениям (локальным или облачным) через единый удобный интерфейс, доступный из любого места.
Бесплатная пробная версия на 2 месяца: убедитесь в эффективности сами!
Шаг третий : защита от сложных угроз и предотвращение атак на облачные почтовые ящики
Полный контроль над почтовыми ящиками с Cisco Cloud Mailbox Defense for Office 365
Почему стоит выбрать Cisco Secure Firewall?
Cisco Secure Firewall является базой для самой полной и открытой платформы безопасности в отрасли.
Средства управления безопасностью мирового класса
Для защиты сетей от усложняющихся угроз требуются лучшая в отрасли аналитика и согласованная защита. Повысьте свой статус безопасности уже сегодня с помощью Cisco Secure Firewall.
Согласованные политики и мониторинг
Сети становятся все более взаимосвязанными, что затрудняет проведение всестороннего мониторинга угроз и согласованное управление политиками. Упростите управление безопасностью и организуйте мониторинг распределенных и гибридных сетей.
Интеграция сетей и решений безопасности
Cisco Secure Firewall закладывает основу для интеграции мощных средств предотвращения угроз с существующей сетевой инфраструктурой.
Полная прозрачность без перенаправления потока обработки почты
Контроль всей внутренней и внешней переписки, не внося изменения в записи MX и не прерывая доставку сообщений
Повышение производительности специалистов по безопасности благодаря расстановке приоритетов и открытым API-интерфейсам
Сокращение расходов на администрирование благодаря простому и мощному инструменту контроля
Оперативные поиск и оценка важности инцидентов для максимально эффективного реагирования
Решение Cloud Mailbox Defense, основанное на ведущих технологиях безопасности Cisco, эффективно защищает корпоративную систему электронной почты Microsoft 365 благодаря уникальному сочетанию контроля, удобства, интеграции и аналитики.
Бесплатная пробная версия на 2 месяца: убедитесь в эффективности сами!
Источник: comptek.ru
Cisco vpn что это за программа
РОСТ ЧИСЛА НАДОМНЫХ РАБОТНИКОВ И ВОЗРОСШАЯ МОБИЛЬНОСТЬ ПОЛЬЗОВАТЕЛЕЙ ВСЕ ЧАЩЕ СТАВЯТ ПЕРЕД НЕБОЛЬШИМИ КОМПАНИЯ ЗАДАЧУ ОБЕСПЕЧЕНИЯ УДАЛЕННОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ ( REMOTE ACCESS VPN ). А ПОВСЕМЕСТНОЕ РАСПРОСТРАНЕНИЕ НЕДОРОГОГО ШИРОКОПОЛОСНОГО ДОСТУПА ПО ТЕХНОЛОГИЯМ DSL , WIFI И ETHERNET , КАК И ОБОРУДОВАНИЯ ПРЕДОСТАВЛЯЮЩЕГО ТАКИЕ ТЕХНОЛОГИИ , СОЗДАЕТ ВСЕ УСЛОВИЯ ДЛЯ ТОГО, ЧТОБЫ УДАЛЕННЫЙ ДОСТУП СТАЛ РЕАЛЬНОСТЬЮ
Цель состоит в том, чтобы обеспечить одинаковый уровень производительности и безопасности при работе с критически важными приложениями для всех сотрудников компании, независимо от того, находятся они в головном офисе или в филиалах, работают дома или в пути. В первую очередь, это требует обеспечения защиты данных, передаваемых по открытым каналам связи (например, через интернет). Сохранение конфиденциальности и целостности данных является обязательным элементом современных бизнес-приложений. Это требование достигается за счет стратегии Cisco Secure Connectivity System , которая, используя механизмы шифрования и аутентификации, одинаково эффективно защищает данные, голос и видео, передаваемые как по проводным, так и по беспроводным соединениям. Составной частью Secure Connectivity System являются такие технологии, как IPSec , Easy VPN , SSL , SSH , GRE и MPLS .
Работу любой технологии, обеспечивающей защищенную передачу данных через неподконтрольную, а потому всегда потенциально опасную среду, можно условно разделить на две фазы. Первая фаза представляет собой установление соединения с обязательной проверкой подлинности взаимодействующих сторон (аутентификацию), применением политик безопасности (авторизацию) и установлением ключей шифрования для второй фазы. На второй фазе происходит непосредственно передача зашифрованных ранее установленными ключами данных, целостность (неизменность) которых обязательно проверяется при приеме.
Первая фаза на примере технологии IPSec Easy VPN
Перед тем, как пользователь сможет передавать зашифрованные данные в удаленную сеть, он должен осуществить процесс подключения. При этом происходит процедура аутентификации, во время которой пользователь должен подтвердить, что он именно тот, за кого себя выдает, и действительно имеет право произвести удаленное подключение. Аналогом этого процесса из реальной жизни является предъявление паспорта сотруднику банка. В IPSec VPN сетях для аутентификации удаленных пользователей может использоваться заранее заданное на клиентских устройствах и сервере секретное значение (ключ), цифровые сертификаты формата x.509, основанные на использовании технологий цифровой подписи, групповые и персональные имена пользователей и пароли, а так же различные комбинации этих методов.
В настоящее время наиболее защищенным способом аутентификации является использование цифровых сертификатов. Аутентификация с использованием цифровых сертификатов не подвержена наиболее совершенному методу атак «man in the middle» ( MITM , человек посередине).
Суть этого метода состоит в том, что злоумышленник некоторым образом получает возможность пропустить через себя весь трафик между двумя взаимодействующими устройствами. При этом он выступает в качестве своеобразного proxy-сервера, который может выборочно пропускать через себя трафик легитимных устройств, подменяя часть данных на собственные. Из перечисленных методов только использование цифровых сертификатов позволяет полностью исключить возможность успешного проведения подобного типа атак. Но для того, чтобы использовать цифровые сертификаты, в сети обязательно должен присутствовать сервер цифровых сертификатов (Certification Authority).
Операционная система Cisco IOS , под управлением которой работают все маршрутизаторы Cisco, такие как: Cisco 800 , Cisco 1800 , Cisco 2800 , Cisco 1900 и Cisco 2900 серии, содержит встроенный сервер цифровых сертификатов, предназначенный для использования совместно с технологиями IPSec VPN и SSL VPN.
Remote Access VPN
Представь себе следующую ситуацию. Тебе нужно обеспечить удаленный доступ к корпоративной сети нескольким десяткам сотрудников. Ты можешь использовать для этого технологию шифрованных VPN. Но чем больше сотрудников будет пользоваться удаленным доступом, тем больше компьютеров со всеми детальными политиками безопасности нужно будет настроить.
Как же избежать головной боли с настройкой и поддержкой столь большого числа клиентских устройств? А если не все сотрудники используют ноутбуки? И кто-то из надомных сотрудников захочет получать доступ со своего домашнего компьютера, который он настраивает сам. Сможет ли он так же аккуратно и правильно настроить свой компьютер для удаленного доступа к корпоративной сети, как это сделает системный администратор? Ответом на эти вопросы является использование технологии Cisco Easy VPN . Ее основное преимущество — использование «глупых» клиентов, конфигурирование которых сведено к минимуму.
Когда пользователю уже выдан цифровой сертификат, для создания VPN-соединения в Cisco Easy VPN Client достаточно настроить IP-адрес маршрутизатора компании, подключенного к интернету. Никаких настроек, связанных с использованием алгоритмов шифрования, аутентификации, хеширования для обеспечения целостности, распространения ключей шифрования для протоколов второй фазы и т.п., производить не нужно. Причем для установления VPN-соединения клиентским устройствам совсем не обязательно иметь публичные IP-адреса. За счет передачи IPSec трафика поверх протокола TCP или UDP пользователи могут находиться за устройствами, осуществляющими трансляцию адресов с использованием технологий NAT/PAT.
При выдаче сертификата пользователю, ему автоматически передается корневой сертификат сервера цифровых сертификатов, содержащий только публичный ключ. Он будет использоваться при подключении перед аутентификацией, для проверки подлинности сервера, к которому производится подключение, и исключения атаки MITM.
Итак, есть задача — в короткие сроки развернуть для сотрудников компании защищенную по последнему слову техники сеть удаленного доступа. При этом нужно постараться избежать использования дополнительных компонентов, усложняющих и удорожающих решение.
Для этого возьмем маршрутизатор Cisco 1941 W . Помимо всех функций маршрутизации и обеспечения безопасности, у этого устройства есть еще и встроенная беспроводная точка доступа и RADIUS-сервер. Наличие RADIUS-сервера позволяет защитить небольшую сеть на несколько точек доступа в соответствии с последними рекомендациями WiFi-форума по защите корпоративных беспроводных сетей.
Синхронизация времени по протоколу NTP
Для нормальной работы инфраструктуры PKI очень важно, чтобы на всех взаимодействующих устройствах было установлено точное время и дата. В цифровом сертификате формата x.509 присутствуют поля с явным указанием его срока действия. В случае сильного расхождения времени на двух устройствах при проведении процедуры аутентификации одно из них решит, что срок действия сертификата другого устройства уже истек или еще не наступил. При этом сертификат считается недействительным, и успешное завершение процедуры аутентификации становится невозможным.
На любых устройствах, работающих под управлением OC Cisco IOS , точное время можно устанавливать при помощи протокола NTP (Network Time Protocol). Рекомендуется использовать NTP-серверы, имеющие наивысший Stratum1. Это означает, что NTP-сервер напрямую подключен к источнику точного времени, такому как атомные часы или GPS приемник. В свою очередь, Stratum2 получает точное время от Stratum1 и т.д.
Если у тебя нет подконтрольного NTP-сервера, рекомендуется настроить для синхронизации сразу несколько внешних серверов. На любом NTP-сервере может произойти сбой, в результате которого он начнет распространять значительно отличающееся от реального время. Если на маршрутизаторе настроено несколько NTP-серверов, алгоритм тут же определит неожиданно большую разницу между получаемыми значениями и не будет использовать вышедший из строя сервер.
!указано отличие московского времени от времени по Гринвичу
clock timezone Moscow 3
!алгоритм перевода часов для соответствия российскому летнему времени
clock summer-time Moscow recurring last Sun Mar 3:00 last Sun Oct 4:00
!не обязательно использовать приведенные ниже серверы
!список публичных серверов Stratum 1 и 2 найдешь на сайте www.ntp.org
ntp server 195.68.135.5
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
Сервер сертификатов Cisco IOS
Сервер сертификатов Cisco IOS Certificate Server внедрен в программное обеспечение Cisco IOS и дает маршрутизатору возможность действовать в сети в качестве центра сертификации (выпускать и отзывать цифровые сертификаты). Традиционно, генерирование криптографической информации и управление ею — непростая задача, по мере роста количества VPN. Сервер сертификатов Cisco IOS решает эти проблемы при помощи масштабируемого и несложного в управлении центра сертификации, который встроен в ту же аппаратуру поддержки IPSec VPN . Программное обеспечение Cisco IOS также поддерживает встроенные клиентские функции PKI, которые взаимодействуют с сервером сертификатов и с центрами сертификатов сторонних производителей.
Возможности PKI клиента:
- поддержка локальных списков ACL для принятия или отклонения сертификатов на основании полей сертификации;
- интеграция с AAA для авторизации сертификатов на базе имени пользователя и других атрибутов;
- поддержка онлайнового протокола статуса сертификата (Online Certificate Status Protocol, OCSP);
- поддержка списков отзыва сертификатов и автоматического переиздания.
Настройка сервера цифровых сертификатов на маршрутизаторе
Встроенный в Cisco IOS Сервер цифровых сертификатов имеет богатые возможности по настройке. Приведем минимально необходимое количество команд для создания работоспособной конфигурации.
!задай имя для сервера цифровых сертификатов
crypto pki server certsrv
database level names
issuer-name CN=certsrv, OU=client-group-1, O=Cisco Systems
grant auto
!настройку параметров можно производить только в выключенном состоянии, после завершения настройки сервер нужно перевести в рабочее состояние
no shutdown
После этого будет сгенерирована ключевая пара для корневого сертификата сервера. При помощи ее частного ключа в дальнейшем будут подписываться все выдаваемые сервером сертификаты.
Команда grant auto позволяет автоматически выдавать сертификаты на запросы пользователей, что значительно упрощает процедуру выдачи сертификатов большому числу клиентов. Если канал между клиентом и сервером цифровых сертификатов во время выписки защищен, то сохраняется должный уровень безопасности. Например, выдачу сертификатов онлайн можно разрешить только пользователям внутри корпоративной сети.
Технология Cisco Easy VPN
Технология Cisco Easy VPN упрощает администрирование и управление сетями VPN, которые связывают различные узлы сети между собой, за счет активного продвижения новых политик безопасности из головного узла в сети на удаленные площадки. Для простоты конфигурации и высокой масштабируемости в решении Easy VPN применяется технология «проталкивания политики» (policy-push), но при этом сохраняется широкий спектр настроек и контроль над соблюдением политики.
Сервер Easy VPN, сконфигурированный в центральном офисе компании, передает политики безопасности на удаленные устройства VPN, обеспечивая реализацию на таких соединениях действующих политик еще до установки соединения.
7 преимуществ Easy VPN
- Easy VPN Server и Easy МЗТ Client поддерживается на маршрутизаторах с интеграцией сервисов, VPN-концентраторах, межсетевых экранах Cisco PIX и многофункциональных защитных устройствах Cisco ASA.
- Клиентское программное обеспечение Cisco VPN Client можно инсталлировать без дополнительных затрат на компьютерах PC, Mac и в системах UNIX, для удаленного доступа к VPN-маршрутизатору. Поскольку одна и та же технология ( Easy VPN ) используется на аппаратуре у клиента (CPE) и программном обеспечении, общая стоимость владения снижается за счет упрощения и унификации в обслуживании, мониторинге и сервисов AAA.
- В Easy VPN предусмотрены опции локальной (на базе маршрутизаторов) и централизованной аутентификации RADIUS. Аутентификацию на базе стандарта 802.1x также можно использовать для аутентификации хостов в каждом местоположении CPE.
- Easy VPN предлагает цифровые сертификаты, повышая уровень безопасности по сравнению с preshared keys.
- Балансировка нагрузки для нескольких находящихся на центральной площадке концентраторов Easy VPN автоматически распределяет нагрузку между несколькими серверами Easy VPN. Принудительная передача политик с резервных концентраторов на CPE позволяет компаниям масштабировать решение без переконфигурации CPE.
- Easy VPN предлагает полнофункциональную интеграцию, включая динамическое назначение политики QoS, межсетевые экраны и IPS, раздельное туннелирование и Cisco Service Assurance Agent и NetFlow для мониторинга.
- Cisco SDM дает возможность на базе мастер-программы быстро развернуть Easy VPN совместно с сервисами AAA и межсетевого экрана, а также возможность графического мониторинга удаленных клиентов Easy VPN в реальном времени.
Cisco Easy VPN Client
Программное обеспечение Cisco VPN Client предназначено для удаленного подключения к корпоративной сети с помощью VPN-туннеля. Cisco VPN Client не требует почти никакой настройки со стороны пользователя. Все параметры соединения и политики безопасности передаются клиенту во время подключения к шлюзу доступа. Cisco VPN Client бесплатно доступен всем пользователям продуктов Cisco со встроенной функциональностью Easy VPN-сервера. К таким продуктам относятся маршрутизаторы с интеграцией сервисов, VPN-концентраторы, межсетевые экраны Cisco PIX и многофункциональные защитные устройства Cisco ASA .
Настройка Cisco Easy VPN Client
Для настройки VPN-клиента достаточно создать соединение, указав IP-адрес сервера. Нужно использовать IP-адрес подключенного к интернету интерфейса маршрутизатора. На этот интерфейс был назначен crypto map при настройке Easy VPN-сервера.
Чтобы начать процедуру получения цифрового сертификата в меню VPN-клиента, нужно выбрать Certificates -> Enroll. Для выдачи сертификата пользователю должна существовать IP-достижимость между компьютером и интерфейсом локальной сети маршрутизатора.
CA URL: http://192.168.0.1:80/cgi-bin/pkiclient.exe
CA Domain: router.homelinux.org
Обязательно нужно указать домен, даже если он не настроен на маршрутизаторе. Без указания домена выдача сертификата невозможна!
Name[CN]: Dmitry Ryzhavsky (имя пользователя)
Department [OU]: client-group-1 (должен совпадать crypto isakmp client configuration group, задаваемой при настройке Easy VPN-сервера)
При выдаче сертификата пользователю в VPN-клиенте также будет передан корневой сертификат CA, содержащий публичный ключ сервера цифровых сертификатов. С его помощью при установлении соединения будет проверяться подлинность сертификата Easy VPN-сервера. За счет этого становится возможным исключение атаки типа MITM.
Если обеспечить доступ клиента по IP к серверу цифровых сертификатов невозможно, выписку сертификатов пользователям можно осуществлять в ручном режиме. При этом сгенерированный клиентом запрос на получение цифрового сертификата в виде двоичной последовательности вводится в командную строку сервера цифровых сертификатов. Выданный пользователю сертификат в том же виде импортируется в Cisco VPN Client.
WWW.CISCO.COM — CISCO EASY VPN CLIENT — БЕСПЛАТНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, ДОСТУПНОЕ ДЛЯ СВОБОДНОЙ ЗАГРУЗКИ
ПРИВЕДЕННЫЕ В ЭТОЙ СТАТЬЕ НАСТРОЙКИ МОГУТ БЫТЬ ИСПОЛЬЗОВАНЫ НА ЛЮБОМ МАРШРУТИЗАТОРЕ CISCO , НА КОТОРОМ УСТАНОВЛЕННОЕ ПО CISCO IOS СОДЕРЖИТ РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ.
NStor | ООО «Нстор» | Комплексные поставки и интеграция интеллектуального оборудования для бизнеса, предприятий, образования, торговли: по обработке, хранению, передаче и презентации данных, автоматизации торговли и производства.
Данная информация не является публичной офертой, определяемой положениями статей 435,437 Гражданского Кодекса РФ
Источник: www.nstor.ru