Zdalny dostęp VPN. AnyConnect, ASA, IOS(- XE) Mateusz Grzesiak Cisco TAC VPN Kraków CCIE# 45900

Podobne dokumenty
VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

VPN Dobre praktyki. Często spotykane problemy z perspektywy Cisco TAC. Piotr Kupisiewicz Krakow TAC VPN Lead CCIE #39762.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Serwery autentykacji w sieciach komputerowych

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Metody uwierzytelniania klientów WLAN

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Windows Server Serwer RADIUS

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Metryka dokumentu. str. 2. Tytuł. CEPiK 2 dostęp VPN. Centralny Ośrodek Informatyki. Zatwierdzający. Wersja Data Kto Opis zmian.

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Eduroam - swobodny dostęp do Internetu

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

ZiMSK. Konsola, TELNET, SSH 1

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Konfiguracja aplikacji ZyXEL Remote Security Client:

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

CCNA Security : przygotowanie do egzaminu na certyfikat : oficjalny przewodnik / Omar Santos, John Stuppi. Warszawa, 2016.

Wymagania systemowe dla Qlik Sense. Qlik Sense June 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

CEPiK 2 dostęp VPN v.1.7

Bezpieczeństwo systemów informatycznych

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

12. Wirtualne sieci prywatne (VPN)

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Konfiguracja serwera FreeRADIUS

Windows Server Ochrona dostępu do sieci z wykorzystaniem 802.1X

Systemy bezpieczeństwa sieciowego

Zdalne logowanie do serwerów

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Zdalne zarządzanie systemem RACS 5

Laboratorium nr 6 VPN i PKI

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Marcin Szeliga Sieć

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Bezpieczeństwo Systemów Sieciowych

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Usługi terminalowe

Połączenie VPN LAN-LAN PPTP

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Zdalny dostęp SSL. Przewodnik Klienta

Badanie bezpieczeństwa IPv6

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Serwery LDAP w środowisku produktów w Oracle

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

R o g e r A c c e s s C o n t r o l S y s t e m 5

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

System Kancelaris. Zdalny dostęp do danych

SIWZ cz. II. Opis Przedmiotu Zamówienia

Sieci VPN SSL czy IPSec?

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Laboratorium Ericsson HIS NAE SR-16

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Wyspecjalizowani w ochronie urządzeń mobilnych

11. Autoryzacja użytkowników

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

Konfiguracja punktu dostępowego Cisco Aironet 350

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

PARAMETRY TECHNICZNE I FUNKCJONALNE

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Tworzenie połączeń VPN.

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Opis przedmiotu zamówienia

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

ZAPYTANIE OFERTOWE NR 2/2017/IA/Małopolska. dotyczące wyboru dostawcy koncentratorów VPN

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

Wymagania systemowe dla Qlik Sense. Qlik Sense February 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

Transkrypt:

Zdalny dostęp VPN AnyConnect, ASA, IOS(- XE) Mateusz Grzesiak Cisco TAC VPN Kraków CCIE# 45900

Agenda Nowości w TAC Wyróżniki metod zdalnego dostępu Platformy i Protokoły VPN Klienci VPN i dodatkowe funkcje klient AnyConnect Metody uwierzytelniania klientów VPN Przegląd metod zdalnego dostępu z podziałem na platformy Funkcje Dostępne metody uwierzytelniania Podsumowanie

Nowości w TAC Automatyczne wykrywanie znanych problemów show tech! ASA / IOS Crypto map L2L Checker https://cway.cisco.com/tools/l2l- Checker ASA CLI analyzer: https://cway.cisco.com/go/sa Możliwość kopiowania show tech z urządzenia do zgłoszenia: ftp://support- ftp.cisco.com/<numer_zgłoszenia><nazwa_pliku> show tech file ftp://support- ftp.cisco.com/<numer_zgłoszenia> show tech redirect ftp://support- ftp.cisco.com/<numer_zgłoszenia>

Wyróżniki metod zdalnego dostępu Wspierane platformy Protokoły zestawiania / transmisji danych Klienci VPN Wspierane funkcje: Instalacja / aktualizacja klienta Badanie stanu klienta HostScan / ISE Posture Metoda uwierzytelniania użytkowników

Platformy zdalnego dostępu Cisco Cisco ASA Routery IOS Routery IOS- XE: ASR ISR4K CSR1000V

Protokoły IKEv1 / IKEv2 IPSEC UDP 500 / ESP / UDP4500 SSL Clientless TLS TCP 443 SSL Client TLS TCP 443 DTLS TLS przez UDP 443

Metody dostępu a platformy Cisco ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2)

Dostęp IPSEC - IKEv1 ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2) Od Lipca 2014 koniec wsparcia technicznego. Najczęstsze problemy: Windows 8 i nowsze systemy operacyjne. Karty 3G.

Dostęp WebVPN ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2) 1 październik 2015 (End of SW Maintenance) 30 wrzesień 2019 (Last Date of Support)

Dostęp SSLVPN Klient AnyConnect ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2)

Dostęp IPSEC - IKEv2 ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client IPSec (IKEv2)

Protokoły / Klienci IKEv1 IPSEC Standardowi klienci zdalnego dostępu IKEv1 / IPSEC Clientless SSL Przeglądarka WWW Klient SSLVPN Cisco AnyConnect IKEv2 IPSEC Cisco AnyConnect Standardowi klienci IKEv2

Klient AnyConnect Jedna aplikacja na wiele platform. Desktop: Windows, Mac OS X, Linux Mobile: Apple ios, Android, Windows Phone 8.1, BlackBerry 10. Jedna aplikacja wiele modułów (VPN, NAM, Posture / HostScan, WebSecurity,...). Interfejs w języku polskim. Zuinifikowany wygląd interfejsu na wszystkich platformach. Wsparcie rozwiązania przez Cisco TAC od początku do końca.

Funkcje AnyConnect - ISE Posture Moduł konfigurowany / kontolowany przez ISE. Moduł ISE posture komunikuje się bezpośrednio z ISE. Z punktu widzenia ASA: Uwierzytelnienie użytkownika przez ISE. URL redirect ACL przekierowanie ruchu do ISE. Change of Authorization (COA) usunięcię URL redirect ACL / zmiana przypisanej ACL po weryfikacji stanu stacji. Działa również przez IKEv2, brak konieczności połączenia SSL. Możliwość przywrócenia zgodności klienta z polityką.

Funkcje AnyConnect - HostScan / ASA DAP Moduł konfigurowany / kontolowany przez ASA Z punktu widzenia ASA: HostScan przesyła raport o stanie stacji. Polityka DAP na ASA decyduje o autoryzacji klienta. Działa przez SSL - nawet dla połączenia IKEv2 konieczne jest nawiązanie połączenia SSL. Możliwość przywrócenia zgodności klienta z polityką.

Metody uwierzytelniania klientów SSL AnyConnect SSL + Aggregate Authentication IKEv2 IKEv2 EAP EAP- AnyConnect

Uwierzytelnianie SSLVPN AnyConnect Klient crt SSL AnyConnect Aggregate Auth Router / ASA Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / LDAP... Lokalna baza użytkowników Zdalna baza użytkowników Certifikat klienta AnyConnect Aggregate Auth: Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Secondary authentication e.g.: (certyfikat) + OTP + login / hasło (tylko ASA)

Protokół IKEv2 Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator... IKE_SA_INIT...... IKE_AUTH... CFG_REPLY... CREATE_CHILD_SA... Parametry IKEv2 SA algorytmy, klucz DH Uwierzytelnianie PSK, Cert, EAP Zestawienie IPSEC SA - tunelu Tunel IPSEC Szyfrowanie kluczem DH

Uwierzytelnianie IKEv2 - cert / PSK / EAP Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP PSK IKEv2 RADIUS Certyfika klienta Certyfikat serwera IKEv2 Lokalna baza PSK Zdalna baza PSK - RADIUS IKEv2 EAP RADIUS

Uwierzytelnianie IKEv2 - EAP- GTC, EAP- MSCHAPv2,... Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP IKEv2 EAP-GTC, EAP-MSCHAPv2,... RADIUS Użytkownik-Hasło / Token / Uwierzytelnianie SIM (tylko klient uwierzytelniany)

Uwierzytelnianie IKEv2 - EAP- TLS Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP TLS IKEv2 EAP-TLS RADIUS TLS Uwierzytelnianie z użyciem certyfikatów protokół TLS (wzajemne uwierzytelnienie klienta i serwera AAA)

Uwierzytelnianie IKEv2 - EAP- PEAP, EAP- TTLS Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP TLS IKEv2 EAP-PEAP / EAP-TTLS EAP-MSCHAPv2 / EAP-TLS /... RADIUS TLS Klient może posiadać certyfikat. (opcjonalne) Zagnieżdżone uwierzytelnianie chronione w tunelu TLS (uwierzytelniany klient lub klient i serwer AAA)

Uwierzytelnianie IKEv2 EAP- AnyConnect Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP IKEv2 EAP-AnyConnect RADIUS / Tacacs / LDAP / SDI Lokalna baza użytkowników EAP AnyConnect: Certyfikat klienta / maszyny (wewnątrz EAP!) Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Zdalna baza użytkowników

Metody uwierzytelniania IKEv2 standardowi klienci VPN IKEv2 EAP: Certyfikat klienta PSK EAP- MSCHAPv2 EAP- PEAP (np. PEAP- MSCHAPv2) EAP- TLS

Metody uwierzytelniania IKEv2 AnyConnect IKEv2 - certyfikat klienta autentykacja IKEv2 bez EAP EAP: EAP- MSCHAPv2 (oparty na MS- CHAPv2) EAP- GTC (OTP/tokeny) EAP- MD5 (uwierzytelnianie w oparciu o MD5 hash) EAP- AnyConnect: Certyfikat klienta Użytkownik / hasło / OTP Certyfikat + Użytkownik / Hasło / OTP

Metody zdalnego dostępu a platformy IOS / IOS- XE ASA IOS SSLVPN FlexVPN IOS- XE FlexSSL IOS/IOS- XE FlexVPN SSLVPN IKEv2

Zdalny dostęp na IOS/IOS- XE IOS IOS- XE IPSec (IKEv1) * * SSL clientless * SSL client * IPSec (IKEv2) EZVPN IPSec IKEv1, brak wspieranego klienta Cisco WebVPN wsparcie jedynie na IOS classic (EOL) FlexVPN IPSec IKEv2 FlexVPN SSL - FlexSSL (nowa implemetacja, inna niż na IOS classic)

IOS AnyConnect SSLVPN - funkcjonalności Wspierane funkcjonalności: TLS TCL przez TCP. DTLS TLS przez UDP. WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Instalacja i aktualizacja profilu xml klienta (uwaga na CSCus88090). http://goo.gl/lusfbf Certyfikaty SSL SHA- 2. Niewspierane funkcje: DAP HostScan. Posture ISE. Łatwe tworzenia profili XML, jak w ASA ASDM ręczne lub AnyConnect Profile Editor.

IOS AnyConnect SSLVPN - uwierzytelnianie Klient crt Router Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt Serwer AAA Serwer RADIUS / LDAP... SSL AnyConnect Aggregate Auth RADIUS / Tacacs / LDAP Lokalna baza użytkowników Uwierzytelnianie klientów: Certyfikat klienta Lokalne Zdalne lista AAA Radius, Tacacs, LDAP,... OTP Podwójne uwierzytelnianie certyfikat klienta +... Brak Secondary Authentication Zdalna baza użytkowników

IOS AnyConnect SSLVPN - dokumentacja AnyConnect VPN (SSL) Client on IOS Router with CCP Configuration Example: http://goo.gl/t8kovj RSA SecurID Authentication for AnyConnect Clients on a Cisco IOS Headend Configuration Example: http://goo.gl/jjkxcs SSL VPN Configuration Guide, Cisco IOS Release 15M&T: http://goo.gl/vqlgpa AnyConnecy XML profile configuration: http://goo.gl/kb6ouy

IOS / IOS- XE FlexVPN Ujednolicony zestaw komend do konfiguracji tuneli w topologiach: remote access, site- to- site, hub- spoke, spoke- spoke. Dostępny dla: IKEv2 FlexVPN SSL - FlexSSL

IOS/IOS XE czym jest FlexVPN Tun0 site- to- site Serwer FlexVPN VA1 VA2 VA3 zdalny dostęp IKEv2 / SSL AAA VT1 VA4 hub- spoke Różne topologie. Ujednolicony CLI + Smart Defaults. Integracja z AAA. Kompatybilnyze standardem IKEv2 (ASA, Windows, strongswan,...). Ujednoliconainfrastruktura korzystająca z interfejsów typu tunel (punkt- punkt). spoke- spoke Tun0 10.0.1.10/32 10.0.1.11/32 10.0.1.12/32 Tun0 10.0.1.12/32 Tun0

IOS XE FlexSSL ASDM Koncentratory SSL VPN Klienci Desktop Windows Mac OS X Linux Cisco ASR Mobile Apple ios Android Windows Phone iphone and ipad Smartphones Tablets BB10 Smartphone Playbook 8.1 HTC Lenovo Motorola Samsung Version 4.0+ IOS- XE 3.16 / 15.5(3)S Wczesny dostęp dla zainteresowanych Cisco Cloud Services Router 1000V IOS- XE 3.12.1S / 15.4(2).1S

IOS XE FlexSSL Konfiguracja podobna do FlexVPN - ujednolicony CLI. Tylko dostęp dla klientów VPN, brak WebVPN. Platformy: CSR1000V: Wspierany od IOS- XE 3.12.1S / 15.4(2).1S ASR - od XE3.16 limitowana dostępność - brak wsparcia TAC. Tylko nowe modele routerów ASR: ASR1001- x, ASR1002- x, ASR1006 i ASR1013 z ESP- 100 lub ESP- 200. ISR4K brak wsparcia.

IOS XE FlexSSL - funkcjonalności Wspierane funkcjonalności: TLS TCL przez TCP. Instalacja i aktualizacja profilu xml klienta (uwaga na CSCus88090). http://goo.gl/lusfbf Niedostępne funkcjonalności: DTLS tunel tylko poprzez TLS przy użyciu TCP. WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Posture: DAP HostScan / Posture ISE. Name mangler (znany z IKEv2). IPv6 Mixed- Mode / Dual- Stack. DVTI brak możliwości konfiguracji Virtual- template z atrybutami interfejsu. (Będzie dostępne na ASR). Suite- B i SHA- 2 - tylko na ASR. Adresy IPv4 i IPv6 dla VPN jednocześnie. Slit- Tunnel na ASR - możliwe do skonfigurowanie, nie działa. Komendy ukryte w XE3.15.

IOS XE FlexSSL - uwierzytelnianie Klient Router Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt Serwer AAA Serwer RADIUS / LDAP... SSL AnyConnect Aggregate Auth RADIUS / Tacacs / LDAP Lokalna baza użytkowników Dostępne metody uwierzytelniania klientów: Lokalne, Zdalne lista AAA Radius, Tacacs, LDAP,... Zdalna baza użytkowników Niedostępne metody: Certyfikat klienta. ENH CSCuv63926 OTP. ENH CSCuv63932 Podwójne uwierzytelnianie certyfikat klienta +...

IOS XE FlexSSL - dokumentacja SSL VPN Configuration Guide for Cisco Cloud Services Router 1000V Series http://goo.gl/t2t2re

IOS / IOS- XE FlexVPN - funkcjonalności Interfejsy wirtualne ACL, QOS, VRF. Konfigurowalne w procesie autoryzacji. COA / POD możliwość zmiany autoryzacji bądź rozłączenia klienta z serwera AAA. FlexVPN client router jako klient IKEv2. Odpowiednik EzVPN hardware client. Routing IKEv2 ustawianie statycznych tras na kliencie / serwerze podczas zestawiania tunelu.

IOS / IOS- XE FlexVPN - uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router Serwer IKEv2 RADIUS NAS EAP Autentykator IKEv2 EAP-AnyConnect crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP IKEv2 RADIUS EAP- GTC / EAP- MD5 / EAP- MSCHAPv2 / EAP- AKA / EAP- SIM / EAP- TLS / EAP- PEAP / EAP- TTLS... Uwierzytelnianie IKEv2 certyfikat, PSK Uwierzytelnianie EAP- AnyConnect: Lokalni użytkownicy Zdalne lista AAA: Radius, Tacacs, LDAP,... Brak uwierzytelniania certyfikatem klienta w EAP- AnyConnect podwójne uwierzytelnianie ENH CSCuu30635 Uwierzytelnianie EAP (EAP- PEAP, EAP- TLS,...)

IOS FlexVPN - dokumentacja FlexVPN and Internet Key Exchange Version 2 Configuration Guide http://goo.gl/qmkklo FlexVPN and AnyConnect IKEv2 Client Configuration Example http://goo.gl/6eqjcf

Zdalny dostęp na ASA ASA IPSec (IKEv1) * SSL clientless SSL client IPSec (IKEv2)

ASA SSLVPN klient AnyConnect - funkcje Wspierane funkcjonalności: TLS/DTLS WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Instalacja i aktualizacja profilu xml klienta. Certyfikaty SSL SHA- 2 DAP - HostScan, Posture ISE. Łatwe tworzenia profili XML edytor profili w ASDM.

ASA SSLVPN klient uwierzytelnianie Klient crt SSL AnyConnect Aggregate Auth Router / ASA Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / LDAP... Lokalna baza użytkowników Zdalna baza użytkowników Certifikat klienta AnyConnect Aggregate Auth: Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Secondary authentication e.g.: (certyfikat) + OTP + login / hasło

ASA IKEv2 AnyConnect - funkcje Wspierane funkcjonalności: WebLaunch instalacja klienta przez przeglądarkę z ASA. Automatyczna aktualizacja klienta Anyconnect z ASA. Instalacja i aktualizacja profilu xml klienta. DAP - HostScan. Wymagany włączony webvpn Wymagany włączony SSL Crypto ikev2 enable outside client- services port 443 Posture ISE. Suite- B. Łatwe tworzenia profili XML edytor profili w ASDM.

ASA IKEv2 AnyConnect uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt ASA Serwer IKEv2 RADIUS NAS EAP Autentykator IKEv2 EAP-AnyConnect RADIUS IKEv2 RADIUS EAP-MSCHAPv2, EAP-GTC (OTP/tokeny), EAP-MD5 Uwierzytelnianie IKEv2 certyfikat Uwierzytelnianie EAP- AnyConnect: Lokalni użytkownicy Certyfikat klienta Zdalne lista AAA: Radius, Tacacs, LDAP,... Uwierzytelnianie certyfikat + login / hasło, OTP,... Brak secondary authentication login / hasło + OTP Uwierzytelnianie EAP (EAP- MSCHAPv2, EAP- GTC (OTP/tokeny), EAP- MD5 crt / Tacacs / LDAP Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP

ASA IKEv2 - standardowi klienci - funkcje Wspierane funkcjonalności: VPN Suite- B / SHA- 1.

ASA IKEv2 - standardowi klienci - uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP IKEv2 / Tacacs / LDAP IKEv2 EAP RADIUS Uwierzytelnianie IKEv2: Certyfikat. PSK. Uwierzytelnianie EAP.

ASA IKEv2 przetestowani klienci / serwery Klienci / Metody uwierzytelniania EAP- TLS EAP- MSCHAPv2 PEAP- MSCHAPv2 EAP- MD5 Cert- Only PSK StrongSwan on Linux NA ISE No ACS No FreeRadius- Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? ISE Yes ACS Yes FreeRadius - Yes AD via FreeRadius - Yes Yes Yes StrongSwan on Android NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRad -? No Yes NA Windows 7/8/8.1 ISE - - Yes ACS - - Yes FreeRadius- Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? NA Yes NA Windows Phone ISE - - Yes ACS - - Yes FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - No AD via FreeRadius No NA NA NA Knox/Mocana NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? ISE - - Yes ACS - - Yes FreeRad- Yes AD via FreeRad - Yes Yes NA ios 8 ISE - - Yes ACS - - Yes FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE No ACS No FreeRadius -? AD via FreeRadius -? NA Yes Yes Android Native Client NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius-? AD via FreeRadius -? NA Yes Yes

Podsumowanie - zestawienie Klient VPN Uwierzytelnianie IOS / IOS- XE IKEv2 SSL IKEv2 SSL AnyConnect Klienci firm trzecich Certyfikat EAP Radius EAP AnyConnect : Radius, Tacacs, LDAP, Lokalne, Certyfikat (CSCuu30635) AnyConnect (ASR 1, CSR, ISR- G2) Certyfikat (IOS- XE CSCuv63926) Radius Tacacs LDAP Lokalne OTP (CSCuv63932) AnyConnect Klienci firm trzecich EAP Anyconnect : Certyfikat (+...), Radius, Tacacs, LDAP, Kerberos OTP, Lokalne. Certyfikat EAP Radius ASA AnyConnect Certyfikat Radius Tacacs LDAP Lokalne OTP Kerberos Secondary Authentication Certyfikat +... DAP / Hostscan X X Tak (Posture przez SSL) Tak ISE Posture X X Tak Tak Web Deployment X Tak (tylko IOS) Tak (wymaga Webvpn) Tak 1 Tylko na wspieranych platformach, obecnie brak wsparcia TAC wczesne testy dla zainteresowanych klientów.

Podsumowanie - funkcje DAP / HostScan ASA, raczej SSL. Posture ISE ASA IKEv2 lub SSL. Instalacja klienta AC przez Web ASA, IOS. ISE potrafi instalować klienta i profil. Użyteczne dla ASA z IKEv2, także dla IOS/IOS- XE IKEv2. Autoryzacja klientów: FlexVPN z DVTI QOS, ACL. ASA mnogość sprawdzonych i udokumentowanych scenariuszy.

Podsumowanie - uwierzytelnianie ASA SSL najwięcej metod, działające zaawansowane scenariusze. ASA IKEv2 wiele metod. IOS SSLVPN dużo metod, sprawdzone. FlexVPN duża ilość metod. Porównywalny z ASA IKEv2. FlexSSL produkt nowy. Podstawowe metody, podstawowe scenariusze.

Podsumowanie SSL czy IKEv2 ASA: SSL Sprawdzony. Pojawiają się podatności. IKEv2 Mniej popularny na ASA mniej sprawdzona implementacja. Sprawdzony jako protokół. Łatwiejszy w diagnozowaniu problemów. IOS Oba protokoły sprawdzone. Decydujące inne wymagania. IKEv2 łatwiejszy w diagnozowaniu problemów. IOS- XE IKEv2 Sprawdzony. Dostępny na wszystkich platformach. Jedyny wybór na ISR4K. SSL Nowa implementacja tylko podstawowe funkcje. Na razie tylko TLS gorsza wydajność w porównaniu do DTLS / IPSEC.

Zakończenie Pytania Demo L2L Checker i CLI Analyzer

Dziękuję!