пятница, 6 декабря 2013 г.

Распространенные вопросы по VPN клиенту AnyConnect (Q&A Cisco AnyConnect)

Совсем недавно столкнулся с лицензированием Cisco ASA серии 5500-X (в моем случае это 5512-X - самая младшая модель в семействе). Решил написать небольшой ликбез по лицензированию Cisco ASA для использования Cisco AnyConnect, т. к. у большинства возникают абсолютно одинаковые вопросы.
Задача была купить самый дешевый (но в тоже время современный) межсетевой экран Cisco с функцией удаленного доступа, а именно с использованием клиента Cisco AnyConnect. Существуют версии клиента для ПК (windows, linux, mac os), а так же для мобильных устройств (android, ios). 
  • Какая Cisco ASA поддерживает работу с AnyConnect?
Есть следующие модели: ASA5512-K7, ASA5512-K8 и ASA5512-K9. Причем стоят они совершенно одинаково. 
Сделаем небольшое отступление от темы. В чем разница между K7, K8 и K9? Если кратко то можно сказать следующее:
-K7 говорит нам о том, что на ASA залита NPE прошивка. Т.е. нет шифрования передаваемых данных, есть шифрование только управляющего трафика (SSH, SSL, HTTPS и SNMPv3). Данное оборудование можно завозить без каких-либо дополнительных разрешений (категория C2).
-K8 это устройство с прошивкой, которая поддерживает шифрование передаваемых данных, но шифрование - слабое, с длинной ключа менее 56 бит, например DES. Ввоз - разрешен без дополнительных разрешений (категория C2).
-K9 это устройство с прошивкой, которая поддерживает шифрование передаваемых данных с использованием стойких алгоритмов шифрования 3DES/AES. Оборудование с такой прошивкой попадает в категорию C3.
Небольшая справка объясняющая разницу между категориями C1, C2, C3 и C4:
-С1 - устройства с данной категорией не требуют какого-либо разрешения для ввоза на территорию РФ.
-С2 - устройства попадающие под данную категорию имеют зарегистрированные нотификации и разрешены для ввоза без разрешения и лицензий.
-С3 - здесь все немного сложнее. Для ввоза данного оборудования требуется лицензия Минпромторга России. А выдавать эту лицензию должен Центр по лицензированию (т.е ФСБ). Для не государственной организации получить подобною лицензию не так уж сложно.
-С4 - это все оставшиеся устройства, которые по тем или иным причинам не попали ни в одну из предыдущих категорий.
Вернемся к теме. После недолгого поиска удалось выяснить что сервис Cisco AnyConnect использует SSL при VPN подключении. Все современные версии Windows (Vista, 7, 8) для протокола SSL используют алгоритмы шифрования 3DES/AES по умолчанию. Т.е. нам подойдет только ASA5512-K9. Причем если посмотреть спецификацию при заказе, то можно увидеть прошивку SF-ASA-X-9.1-K8 (ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM). Но почему K8, мы же выбрали K9? Не пугайтесь, если еще раз посмотреть спецификацию то можно увидеть лицензию ASA5500-ENCR-K9(ASA 5500 Strong Encryption License (3DES/AES)), она собственно и делает K9 из K8. Кстати дистрибьютор (тот у кого вы покупаете) может предложить купить K8, а затем уже с помощью бесплатной лицензии сделать K9, это ускорит процесс покупки. С моделью определились.
  • Какая лицензия необходима для Cisco AnyConnect?
Если на МЭ набрать команду show ver, то можно увидеть примерно следующее:
Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited
Maximum VLANs                  : 150
Inside Hosts                   : Unlimited
Failover                       : Active/Active
VPN-DES                        : Enabled
VPN-3DES-AES                   : Enabled
Security Contexts              : 2
GTP/GPRS                       : Disabled
SSL VPN Peers                  : 2
Total VPN Peers                : 750
Shared License                 : Disabled
AnyConnect for Mobile          : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials          : Disabled
Advanced Endpoint Assessment   : Disabled
UC Phone Proxy Sessions        : 2
Total UC Proxy Sessions        : 2
Botnet Traffic Filter          : Disabled

Видим два интересных нам пункта:
SSL VPN Peers                  : 2
Total VPN Peers                : 750
Клиент AnyConnect использует SSL VPN Peers, т.е при данной конфигурации возможно всего два подключения с использованием AnyConnect клиента. Total VPN Peers используется при построении site-to-site VPN подключения (например VPN до МЭ или роутера в удаленном филиале). Соответственно нам нужна лицензия на расширение SSL VPN Peers.
Существует два типа таких лицензий: Anyconnect Premium и Anyconnect Essentials. Главное отличие Essentials от Premium - лицензия Essentials позволяет VPN подключение только с использование VPN-клиента и не позволяет безклиентное (clientless) подключение, например использование web портала. Для нашей задачи хватает лицензии Essentials, тем более что она гораздо дешевле чем Premium.
Добавляем в спецификацию ASA-AC-E-5512 (AnyConnect Essentials VPN License - ASA 5512-X (250 Users)) - стоимость 150$ по GPL прайсу. С лицензией разобрались.
  • Какая лицензия нужна для использования AnyConnect на мобильных устройствах?
Клиент Cisco AnyConnect можно использовать на мобильных устройствах (смартфоны, планшеты). Но для этого нам необходима лицензия AnyConnect for Mobile. Добавляем в спецификацию ASA-AC-M-5512 (AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium)). Из описания видим, что к ней обязательно должна прилагаться лицензия Essentials или Premium. Вопрос с доступом с мобильных устройств - решен.
В итоге получилась следующая спецификация:

ASA5512-K9 ASA 5512-X with SW, 6GE Data, 1GE Mgmt, AC, 3DES/AES - $ 3,995.00
CON-SNT-A12K9 SMARTNET 8X5XNBD ASA 5512-X with SW, Duration : 12 Month(s) - $ 550.85
SF-ASA-X-9.1-K8 ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM - $ 0.00
ASA-AC-E-5512 AnyConnect Essentials VPN License - ASA 5512-X (250 Users) - $ 150.00
ASA-AC-M-5512 AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium) - $ 150.00
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M - $ 0.00
ASA-VPN-CLNT-K9 Cisco VPN Client Software (Windows, Solaris, Linux, Mac) - $ 0.00
ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) - $ 0.00
ASA-ANYCONN-CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Software - $ 0.00
ASA5512-MB ASA 5512 IPS Part Number with which PCB Serial is associated - $ 0.00
Общее: $ 4,845.85

Надеюсь данная статья была вам полезна. Если кому-то есть что добавить, пишите в комментариях.

0 коммент.:

Отправить комментарий

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers