I Moduli Cisco AnyConnect Secure Mobility Solution

Vuoi sapere quali moduli sono attivabili nella soluzione Cisco AnyConnect Secure Mobility Client? Vuoi sapere  se è possibile integrare funzionalità di autenticazione avanzate, VPN remote access SSL e IPSec con caratteristiche di Web Security per proteggere la tua rete dall'utilizzo disparato di apparecchi mobili e per loro natura sempre più connessi quali smartphone e tablet?

Con l'introduzione nel 2009 da parte di Cisco Systems di una nuova serie di licenze specifiche per il mondo Mobile, attivabili direttamente sul terminatore di VPN SSL (predefinito il firewall Cisco Adaptive Security Appliance - ASA), la comunità ha aspettato poco per vedere all'opera la prima versione di AnyConnect costruita per i dispositivi mobili di nuova generazione come Iphone con OS 4.

Tale innovazione, insieme alla prospettiva di future versioni per Android e per il prossimo Tablet Cisco Cius, hanno permesso all'azienda di San Jose di essere annoverata tra gli attuali leader del mercato delle VPN SSL. Le innovazioni previste per la versione 3.0 di AnyConnect prevedono una maggior focalizzazione al mondo mobile enterprise e per questo sono stati pensati una serie di moduli software aggiuntivi in grado di fornire connettività ad alto livello di cifratura, controllo del traffico web sensible anche al di fuori del perimetro aziendale e forte integrazione con gli strumenti di autenticazione.

VPN module

La necessità di implementare  il VPN module è diretta conseguenza dell’evoluzione troppo rapida della tecnologia SSL.Da un lato infatti è avvenuta una dismissione troppo rapida da parte di Cisco del precedente software Cisco VPN Client, in grado di gestire le connessioni con il vecchio ma sempre valido IPSec (IKE v1), mentre al contempo la tecnologia SSL VPN non era ancora sufficientemente matura. Numerosi bug anche gravi sono stati riscontrati nelle versioni AnyConnect precedenti alla 2.5 e nel software di terminazione ASA prima della versione 8.3. La combinazione di questi due fattori ha provocato non pochi problemi di sicurezza e gestione a quelle infrastrutture aziendali in procinto di modificare radicalmente le loro tipologie di accesso remoto, inoltre  molte aziende di livello enterprise sono ad oggi ancora costrette ad implementare tecnologia IPSec perché presente nelle loro documentazioni di Security Policy in quanto si è dimostrata negli anni valida e affidabile.La volontà di integrare SSL e IPSec (IKE v2) in un unico prodotto software estende  le caratteristiche di sicurezza e flessibilità, superando i limiti del classico IPSec (IKE v1) con il supporto di caratteristiche avanzate come hostscan, Dynamic access policies e secure mobility.

Per poter usare il nuovo modulo VPN è però necessario attendere ancora qualche mese perché è necessario anche il componente nel terminatore VPN, ovvero il firewall Cisco ASA, non ancora disponibile. Questo aggiornamento metterà finalmente  la parola fine alla serie PIX e ai VPN Concentrator, ormai in end-of-sale e end-of-life, perchè non saranno in grado di gestire tale innovazione.

Web Security for Scansafe module

Il modulo Web Security for Scansafe abilita le funzionalità del prodotto Cisco Scansafe mettendo a disposizione degli amministratori una tecnologia cloud SaaS (Security as a Service) per controllare e verificare il traffico web anche quando le connessioni avvengono al di fuori del perimetro della rete aziendale. Il servizio permette inoltre l’uso di acceptable use policy (AUP) control malware filtering, data security, application visibily & control.

Questa soluzione è in grado di superare i limiti di configurazione e latenza  del collegamento quanto è necessaria la verifica di tutto il traffico web una volta instaurato il collegamento VPN. Non saranno più necessarie alchimie con  split-tunnel,  proxy server o WCCP router per filtrare e controllare il traffico web, bensì sarà un sistema cloud-based indipendente e altamente efficiente ad agire direttamente. La scelta di Cisco di integrare Scansafe come modulo per AnyConnect può sembrare in contrasto con il suo prodotto premises-based Cisco IronPort Web Security Appliance. In verità, nella visione di Cisco quando un utente risulta connesso alla rete corporate agisce l’appliance IronPort, al di fuori è  Scansafe a verificare il traffico.

Network Access Manage module

Il modulo Network Access Manager è forse l’innovazione più interessante della versione AnyConnect 3.0. Integra infatti l’autenticazione 802.1X per Ethernet (IEEE 802.3) e WIFI (IEEE 802.11) e si pone come sostituto del software Cisco Secure Services Client (CSSC) almeno per la sue funzioni di autenticazione. 

È previsto un uso indipendente dagli altri moduli VPN e Web Security pertanto il software Anyconnect è pensato per un suo uso operativo always-on sul dispositivo interessato, che sia workstation, laptop o smartphone, fornendo al contempo caratteristiche di autenticazione wireless come WPA2 enterprise e autenticazione di rete integrandosi con strumenti avanzati come Cisco ACS. Il nuovo modulo è  inoltre in grado di fornire la funzionalità MACsec (IEEE 801.1AE) introdotta con la nuova linea di prodotti TrustSec.

In pratica viene abilitata la cifratura del frame Ly2 attraverso algoritmi AES per quelle infrastrutture enterprise, governative o militari che necessitano di un alto grado di confidenzialità a basso livello della pila ISO/OSI. La tecnologie MACsec può essere abilitata, a lato client, sia in hardware che in software e prevede l’uso delle nuove linee di switch Cisco Catalyst serie 2960-S e 3750 o i nuovi Nexus.

Articoli correlati

• Novità del nuovo software Cisco ASA Release 8.4
• Firewall Cisco ASA e Protocollo LACP
• I Moduli Cisco AnyConnect Secure Mobility Solution
• Cisco AnyConnect Secure Mobility Solution
• Cisco AnyConnect: sviluppo e prospettive