Организовываем удаленный доступ по VPN с помощью Cisco ASA 5500-X

Модель межсетевого экрана (МСЭ) 5500-Х предоставляет наиболее полный спектр возможностей концентратора абонентских VPN-соединений. Рассмотрим детально, как с помощью сетевого экрана Cisco ASA организовать доступ к корпоративным сетевым конфигурациям. С этой целью проведем классификацию VPN, который предоставляется МСЭ Cisco ASA, по типу используемого туннелирующего протокола.

  • IPsec – этот вариант не требует использования специальных лицензий, но уже является устаревшим методом.
  • SSL/TLS – это новый способ реализации VPN, требующий для своего функционирования дополнительные лицензии.

Второй из предложенных вариантов делится на два типа подключений:

  • коммутация при помощи клиентского плагина Network Client Access;
  • подключение с использованием браузера (Clientless Access).

Кроме этого, способ SSL/TLS может дополняться специальным инструментом Cisco Secure Desktop, нацеленным на выполнение проверки пользовательского устройства, с которого посылается запрос на подключение. Для использования потребуется приобретение дополнительной лицензии.

Проведем детальный анализ каждого из представленных способов.

При организации подключения по варианту с использованием IPsec применяется специальное приложение клиента – Cisco VPN Client. Чтобы создать подключение пользователю потребуется самостоятельно установить и настроить приложение по определенной инструкции.

Использование SSL/TLS может реализовываться в нескольких вариантах. По аналогии с IPsec SSL/TLS он может настраиваться посредством специального клиентского приложения. В этом случае нужно будет использовать плагин Cisco Anyconnect Secure Mobility Client (Anyconnect). Неоспоримым преимуществом этого варианта является возможность закачки клиента непосредственно с межсетевого экрана ASA. После закачивания, установка приложения произойдет полностью в автоматическом режиме. Это существенно упрощает администрирование сервиса. Системному администратору достаточно предоставить пользователю ссылку, по которой скачивается и потом устанавливается клиент, а также логин/пароль для требуемой авторизации. В процессе загрузки пользователь получит также и полный профиль подключения, в котором прописаны все требуемые настройки. Если клиент уже установлен, для его запуска достаточно выполнить включение и произвести авторизацию при помощи пароля и логина.

В процессе работы с клиентом осуществляется логическая коммутация пользовательского устройства с корпоративной сетью. Если возникает необходимость, администратор может настраивать соединения так, чтобы удаленный пользователь имел неограниченный доступ к информационному потенциалу компании, что сравнимо с подключением к одному из коммутационных устройств корпоративной сети.

Кроме стационарных платформ, разработана конфигурация Anyconnect и для мобильных устройств под управлением ОС iOS, Android, Windows mobile. Как показывает практика, использование SSL\TLS для поддержки сервиса Remote Access демонстрирует более стабильную работу, нежели IPsec.

Правда могут быть такие ситуации, когда пользователь не имеет возможности установки на свое устройство одного из приложений Cisco VPN Client или AnyConnect. Например, когда пользователь использует технику интернет-кафе. В таком случае коммутация может быть произведена только при помощи пользовательского браузера Clientless Access. В этом случае логическое подключение к корпоративной сети не поддерживается и пользователю будут доступны ограниченные возможности использования информационных ресурсов. Создавая подключение при помощи браузера, нужно будет заходить на портал, настроенный для ASA администратором сети. Зависимо от того, какие могут предоставляться ресурсы, для пользователя на портале будут доступны следующие функциональные вкладки:

  • Browse Networks
  • Web Applications
  • Terminal Servers
  • Application Access

Вкладка Browse Networks включает в свой состав набор инструментов, используемых для реализации доступа к СХД компании, который реализовывается посредством применения протоколов FTP и CIFS.

Для работы с Web-ресурсами компании используются ссылки, вошедшие в состав вкладки Web Applications.

В меню Terminal Servers и Application Access содержатся инструменты, используемые для реализации доступа к разным TCP-приложениям, которые используют статически номера портов. Эти приложения построены на базе таких протоколов, как:

  • SSH, и Telnet;
  • POP3, SMTP, IMAP;
  • Terminal Servers;
  • Citrix Client;
  • VNC Client;
  • Terminal Servers Vista.

Чтобы иметь возможность пользоваться сервисами доступа к приложениям на клиентских устройствах должен быть установлен и настроен Java-плагин Sun Microsystems Java Runtime Environment. Пользователю будут предложены три варианта доступа к приложениям, а именно:

  • Port Forwarding;
  • Smart Tunnel;
  • Plug-ins.

Для использования первого варианта Port Forwarding (Thin-Client) на пользовательское устройство потребуется установить специальный Java-плагин. Чтобы получить доступ к серверной системе при помощи этого клиентского приложения пользователь должен знать номер порта, по которому можно будет «выйти» на сервер.

В качестве примера, если осуществляется доступ к терминальному серверу через RDP пользователю потребуется задействовать на портале Start Applications. На своем устройстве нужно будет запустить на выполнение mstsc.exe и ввести следующий адрес: 127.0.0.1:, где Np – номер порта для выхода на сервер. Следует помнить, что у пользователя должна быть учетная запись администратора для своего устройства.

Smart Tunnel представляет собой надстройку к Port Forwarding. Для ее использования не потребуются права администратора и номер порта доступа к серверу. Предложенный инструмент более предпочтителен и прост в использовании, нежели Port Forwarding. Например, если настраивать доступ к серверному узлу при помощи RDP пользователю нужно будет активировать на портале вкладку Start Smart Tunnel и запустить на своем устройстве mstsc.exe. После этого будет доступна возможность подключения к любому из терминальных серверов, а не только к тому, который опубликован администратором для доступа.

Основным отличием инструмента Plug-ins от двух предыдущих состоит в том, что для установки коммутации с сервером наличие специального клиентского софта не является обязательным. Приведем пример на основе RDP. Чтобы получить доступ к терминальным серверным системам не обязательно на клиентском устройстве иметь mstsc.exe. В качестве плагина для организации доступа может использоваться загруженный для браузера Plug-In, функционирующий в Java-среде.

Если провести сравнительный анализ трех приведенных инструментов, то можно прийти к выводу, что наиболее оптимальным и производительным инструментом является Smart Tunnel.

Чтобы подвести итоги по всем преимуществам VPN Remote Access, предоставляемых через ASA 5500-X рассмотрим основные возможности CSD-технологии (Cisco Secure Desktop).

Для многих современных компаний характерно использование корпоративной политики безопасности, которая предусматривает получение от пользовательских устройств, подключаемых к корпоративной сети, определенного набора параметров. В основном, к таким параметрам относятся: информация об операционной системе, наличие установленного антивируса, использование программного брандмауэра и прочее. Благодаря применению Cisco Secure Desktop совместно с подключением Anyconnect или без специального клиентского софта поможет выполнить валидацию удаленных пользовательских устройств, подключаемых к корпоративной сети. Благодаря CSD-технологии можно быстро собрать перечисленные выше параметры и использовать их для определения уровня доступа удаленного устройства к конкретной корпоративной среде.

В качестве примера, можно создать конфигурацию политики безопасности так, чтобы для удаленных устройств с конкретной ОС, антивирусом и сертификатом предоставлялся неограниченный доступ. Для тех, которые работают без сертификата – только к определенным номерам портов и IP-адресам, а для остальных пользователей, чтобы доступ шел только через портал Clientless Remote Access.

Использование CSD-технологии основывается на применении специализированного софта HostScan. В процессе установки CSD-соединений на подключающихся устройствах происходит загрузка HostScan, который выполняет сбор необходимых для коммутации параметров. Проверка подключаемых устройств выполняется в два этапа.

  1. Передаутентификационная проверка (Prelogin Check), которая состоит в мониторинге: операционной системы;
    • наличия специального файла доступа на устройстве;
    • наличия ключа в реестре операционной системы (только для ОС Windows);
    • использование устройством цифровых сертификатов;
    • наличие IPv4 и/или IPv6 адресов.
  2. Последующая проверка.

На этом этапе, если успешно прошел первый, программа HostScan выполняет сбор таких данных, как наличие антивирусного софта, актуальность используемых баз, использование файрвола и пр. Кроме этого, пользователю будет предложено ввести свои данные для подтверждения прохождения аутентификации. Если во время прохождения второго этапа HostScan выявит некоторые несоответствия нормам, установленным корпоративной политикой безопасности, плагин постарается исправить ситуацию. Например, программа может заставить пользователя включить антивирус или сделать это самостоятельно, обновить антивирусные базы, если они не актуальны, изменить, на требуемые, настройки брандмауэра и др. Чтобы получить такие возможности пользователю потребуется дополнительная опция Advanced Endpoint Assessment, которая лицензируется отдельно или работает под лицензией AnyConnect Apex.

Анализируя полученные данные об подключаемых устройствах, а также аутентификационные данные пользователя, МСЭ в динамическом режиме принимает решение на предоставление удаленному устройству доступа к информационному сегменту. Для выполнения этой процедуры используются динамические политики доступа Cisco ASA DAP.

Предложенная статья демонстрирует варианты возможной организации доступа удаленных пользователей к корпоративным сетям посредством Cisco ASA серии 5500-Х. Основная часть описанного функционала МСЭ предоставляется по отдельным лицензиям.

Стоит также отметить, что современные маршрутизаторы Cisco могут поддерживать широкий спектр из рассмотренных в статье инструментов. Например, серия Cisco ISR G2 может поддерживать Anyconnect-подключения, VPN Client, технологию Cisco Secure Desktop. Функциональное отличие этой модели маршрутизатора от Cisco ASA является только в отсутствии поддержки Advanced Endpoint Assessment.