Upload
nguyenkiet
View
296
Download
0
Embed Size (px)
Citation preview
Hassan DORAMANEIngénieur Avant Vente [email protected]
Atelier Atelier SecuritSecuritéé: ASA &VPN : ASA &VPN AnyconnectAnyconnect 3.03.0
11 Octobre 2011
Tech Data Confidential
AgendaAgenda
L’offre FW Cisco La gamme ASA
Les fonctions avancés de l’ASA
Les Fonctions FW
Les fonctions IPS
Les fonctions VPN
Administration
Tech Data Confidential
Firewalls CiscoFirewalls Cisco
FWSMFWSM
• Sécurité intégré au Catalyst 65xx
• Services collaboratifs avec la SUP
• Campus et Data-center
• Sécurité intégré au Catalyst 65xx
• Services collaboratifs avec la SUP
• Campus et Data-center
ASA 5500ASA 5500
• Plateforme dédiée à la sécurité
• Intégration IPSec/SSL VPN
• Services IPS• DMZ, Campus et DC
• Plateforme dédiée à la sécurité
• Intégration IPSec/SSL VPN
• Services IPS• DMZ, Campus et DC
Cisco ISR-G2Cisco ISR-G2
• Plateforme all in one• Routage, Qos, Sécurité• Fonctions VPN avancées• Accès Wan, services
managés
• Plateforme all in one• Routage, Qos, Sécurité• Fonctions VPN avancées• Accès Wan, services
managés
Cisco ASRCisco ASR
• Routeur/FW 40 Gbps• Plateforme multi-
processeurs• Routage, Qos avancés• WAN haut débit, DC
• Routeur/FW 40 Gbps• Plateforme multi-
processeurs• Routage, Qos avancés• WAN haut débit, DC
Tech Data Confidential
AgendaAgenda
L’offre FW cisco
La gamme ASA Les fonctions avancés de l’ASA
Les fonctions FW
Les fonctions IPS
Les fonctions VPN
Administration
Tech Data Confidential
Teleworker Branch Office
InternetEdge
ASA 5550 1.2 Gbps,
ASA 5580-20 5-10 Gbps,
ASA 5580-40 10-20 Gbps
ASA 5505 150 Mbps
Data Center
ASA 5540 650 Mbps,
ASA 5520 450 Mbps
ASA 5510 300 Mbps,
Campus
5585 / SSP-20 5-10 Gbps,
5585 / SSP-4010-20 Gbps,
5585 / SSP-6015-30 Gbps
Plateformes multi-services (FW, IPS et VPN)
Plateformes Firewall et VPN
5585 / SSP-10 2-4 Gbps
Pe
rfo
rma
nce
sPositionnement de la gamme Cisco ASADu 5505 au 5585
PositionnementPositionnement de la de la gammegamme Cisco ASACisco ASADuDu 5505 au 55205505 au 5520
Tech Data Confidential
PositionnementPositionnement de la de la gammegamme Cisco ASACisco ASADuDu 5505 au 55205505 au 5520
Positionnement
PerformancesFirewall Max IPSec VPN MaxIPSec/SSL VPN Peers Max
CapacitésNbs Max de Connections (FW)Nbs Max Conns/SecondPackets/Second (64 byte)Base I/OMax I/OVLANs SupportésHaute dispo SupportéeNbr de contextes max
ASA 5520
Accèsinternet
450 Mbps225 Mbps750 / 750
280,00012,000320,0004 GE + 1 FE8 GE + 1 FE150A/A et A/S20
ASA 5510Security +
Accèsinternet
300 Mbps170 Mbps250 / 250
130,0009,000
190,0002 GE + 3 FE6 GE + 1 FE100A/A et A/S5
ASA 5510
Accèsinternet
300 Mbps170 Mbps250 / 250
50,0009,000
190,0005 FEidem50Non1
ASA 5505Security+
CPEHome Office
150 Mbps100 Mbps
25 / 25
25,0004,00085,000
8 FE (2 PoE)idem20Non1
Tech Data Confidential
PositionnementPositionnement de la de la gammegamme Cisco ASACisco ASADuDu 5540 au 55805540 au 5580
Positionnement
PerformancesFirewall Max (Real-world HTTP)Firewall Max (UDP 1400/Jumbo)IPSec VPN MaxIPSec/SSL VPN Peers Max
CapacitésNbs Max de Connections (FW)Nbs Max Conns/SecondPackets/Second (64 byte)Base I/OMax I/OVLANs SupportésHaute dispo SupportéeNbr de contextes max
ASA 5550
Segmentation Campus
1 Gbps1.2 Gbps425 Mbps5000 / 5000
650,00036,000600,0008 GE + 1 FE8 GE + 1 FE250A/A et A/S50
ASA 5580-20
SegmentationCampus
/ Data Center
5 Gbps10 Gbps1 Gbps10,000 / 10,000
1,000,00090,0002,500,0002 Mgmt24 GE / 12 10GE100 (250*)A/A et A/S50
ASA 5540
Accès Internet
500 Mbps650 Mbps325 Mbps5000 / 2500
400,00025,000500,0004 GE + 1 FE8 GE + 1 FE200A/A et A/S50
ASA 5580-40
Data Center
10 Gbps20 Gbps1 Gbps10,000 / 10,000
2,000,000150,0004,000,0002 Mgmt24 GE / 12 10GE100 (250*)A/A et A/S50
Tech Data Confidential 8
PositionnementPositionnement de la de la gammegammeASA 5585ASA 5585
New
Platform
PerformanceMax Firewall (Large Packet)Max Firewall (Multi-Protocol)Max IPS (Media Rich)Max IPSec VPNMax IPSec/SSL VPN Peers
Platform CapabilitiesMax Firewall ConnsMax Conns/SecondPackets/Second (64 byte)Base I/OMax I/OVLANs SupportedHA Supported
ASA 5585-XSSP-20
IPS SSP-20
10 Gbps5 Gbps3 Gbps2 Gbps10,000
1,000,000125,000
3,000,0008 GE + 2 10 GE16 GE + 4 10 GE
250A/A and A/S
ASA 5585-XSSP-40
IPS SSP-40
20 Gbps10 Gbps5 Gbps3 Gbps10,000
2,000,000200,000
5,000,0006 GE + 4 10GE12 GE + 8 10GE
250A/A and A/S
ASA 5585-XSSP-60
IPS SSP-60
30 Gbps20 Gbps10 Gbps5 Gbps10,000
2,000,000350,0009,00,000
6 GE + 4 10GE12 GE + 8 10GE
250A/A and A/S
ASA 5585-XSSP-10
IPS SSP-10
4 Gbps2 Gbps2 Gbps1 Gbps
5000
750,00050,000
1,000,0008 GE + 2 10 GE
16 GE + 4 10 GE250
A/A and A/S
New NewNewNew
Tech Data Confidential
Cisco ASA 5505Cisco ASA 5505
8-port 10/100 configurable avec support des VLANs8-port 10/100 configurable avec support des VLANs
© 2004 Cisco Systems, Inc. All rights reserved.ASA 5500 Intro 999
Module IPS
2 ports PoE2 ports PoE
Tech Data Confidential
Chassis ASA 5585Chassis ASA 5585--XX
ASA SSP FW/VPN dans le Slot 0 En option IPS SSP dans le Slot 1
Chassis 2U 19” 2 modules pleine largeur 2 modules ½ largeur
Slot-1
Slot-0
Alimentations redondantes et Hot Swappable6 ventilateurs hot swappable
Multi Gigabit FabricPorts4 x 10G SFP+ sur SSP40 etSSP60 hotswapables10 x 1GbESlots SFP sur tous les modules
eUSB2 Gb InternalConvenience storageSecurity credentials
Tech Data Confidential 11
Les modules FW/VPN SSP Les modules FW/VPN SSP dudu 55855585ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60
Processor1 x 2.0 GHz Intel
E5508(2 Core/2 Threads)
1 x 2.13 GHz Intel L5518
(4 Cores/8 Threads)
2 x 2.13 GHz Intel L5518
(8 Cores/16 Threads)
2 x 2.46 GHz Intel E5645
(12 Cores/24 Threads)
MaximumMemory 6 GB 12 GB 12 GB 24 GB
Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB
Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt
2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt
4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt
4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt
Security 1 x Cavium Nitrox
1620 1.5Gbps AES 256
2 x Cavium Nitrox1620
3 Gbps AES 256)
3 x Cavium Nitrox1620
4.5 Gbps AES 256
4 x Cavium Nitrox1620
6 Gbps AES 256
Tech Data Confidential 12
Modules IPS 5585Modules IPS 5585--XXIPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60
Processor1 x 2.0 GHz Intel
E5508(2 Core/2 Threads)
1 x 2.13 GHz Intel L5518
(4 Cores/8 Threads)
2 x 2.13 GHz Intel L5518
(8 Cores/16 Threads)
2 x 2.46 GHz Intel E5645
(12 Cores/24 Threads)
MaximumMemory
6 GBDDR3-800
12 GBDDR3-1066
24 GBDDR3-1066
48 GBDDR3-1066
Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB
Ports
2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu
Mgmt
2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt
4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt
4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt
Mezzanine Card
1 x LSI RegexAccelerator -2G
1 x LSI RegexAccelerator-2G
1 x LSI RegexAccelarator-10G
2 x LSI RegexAccelerator-10G
Tech Data Confidential
AgendaAgenda
L’offre FW cisco
La gamme ASA
Les fonctions avancés de l’ASA
Les fonctions FW
Les fonctions IPS
Les fonctions VPN Administration
Tech Data Confidential
Solution VPN ASASolution VPN ASATouteToute uneune gammegamme dd’’optionsoptions de de connectivitconnectivitéé
Mobile Access
IPsec VPNTunneling
DTLS (voice/video)Tunneling
ClientlessVPN Access
Cisco ASA
SSL VPNTunneling
Tech Data Confidential
SSL VPNSSL VPN IPSec VPNIPSec VPN
SSL VPN vs SSL VPN vs IPSecIPSec
Accès de n’importe ou à une liste d’applications définies en utilisant un navigateur WEB
Traversée facile des FirewallPortail WEB pour l’accès aux applicationsPas de client à installer
Les applications client/serveur nécessitent une applet spécifique.
Mode tunnel avec installation d’un client pour un accès illimité
Système de connexion robuste qui permet l’accès àtoutes les applications de l’entreprise à partir d’un site distant
Accès à toutes les applications et au type de traficLe client VPN permet un accès transparents aux applications
Fonctionnalités maximales pour les postes concernés
Transport sécurisé voix et données
FlexibilitFlexibilitéé de dde dééploiement ploiement -- solution simple solution simple àà mettre en placemettre en place
Tech Data Confidential
TraverserTraverser un Firewallun Firewall
Les ports et protocoles listés doivent être ouvert pour permettre la connexion d’un utilisateur distant.
La plupart du temps le port 443 est ouvert sur les FW alors que les ports pour IPSec ne le sont pas systématiquement.
.
Les ports et protocoles listés doivent être ouvert pour permettre la connexion d’un utilisateur distant.
La plupart du temps le port 443 est ouvert sur les FW alors que les ports pour IPSec ne le sont pas systématiquement.
.
• Standard IPSecESP (Protocol 50)IKE (UDP 500)
• Standard NAT/PAT TraversalIKE (UDP 500)ESP sur UDP (UDP 4500)
• Encapsulation propriétaire TCPN° de port TCP défini par l’administrateur
HTTPS (TCP 443)
HTTP (TCP 80)
SSL VPN IPSec VPN
Tech Data Confidential
Gamme ASA / VPNGamme ASA / VPN
ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550 ASA
5580
ASA
5585Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps 1 Gbps 1 à 2 Gbps
Sessions IPSec max
25 250 750 5 000 5 000 10 000 10 000 (5000 SSP10)
Sessions SSL max
25 250 750 2 500 5 000 10 000 10 000 (5000 SSP10)
Tech Data Confidential
Solution VPN Sites Solution VPN Sites àà SitesSites
QoS-Enabled VPN
Support de LLQ pour les flux sensibles à la latence comme la
VoIP
QoS-Enabled VPN
Support de LLQ pour les flux sensibles à la latence comme la
VoIP
IPSec Stateful FailoverSupport de la redondance Active-
Standby avec synchronisation automatique des SA.
IPSec Stateful FailoverSupport de la redondance Active-
Standby avec synchronisation automatique des SA.
Routage Dynamique
OSPF sur IPSec
Routage Dynamique
OSPF sur IPSecInternet
Support des architectures PKIEnrôlement manuel ou automatique (SCEP)
RSA jusqu’à 4096-bit RSA
Support des architectures PKIEnrôlement manuel ou automatique (SCEP)
RSA jusqu’à 4096-bit RSA
Internet
Easy VPN
Support des fonction EasyVPN serveur et client
Easy VPN
Support des fonction EasyVPN serveur et client
Tech Data Confidential
Mise en place dMise en place d’’un cluster : un cluster : loadload balancingbalancing
10.10.1.X
.1
.2
.3
.4
124.118.24.X
.31
.32
.33
.34
Adresse IP virtuelle du cluster = 124.118.24.50
Master du cluster
Le client demande une connexion IPSec ou SSL au 124.118.24.50
Le Master du Cluster répond avec 124.118.24.33 (Concentrateur le moins chargé)
Le Client se connecte en IPSec ou SSL au 124.118.24.33
• Le Master est sélectionné en fonction :• Premier à démarrer• Priorité ( 1 à 10 )• Adresse IP la plus basse
Internet
Tech Data Confidential
RemoteRemote AccesAcces : Deux modes: Deux modesASA
ServeurIntranet
Utilisateurdistant
Connexion 1 PC -> ASASSL
Connexion 2 ASA->applicatif
Parsing des pages pour sa présentation par l’ASA Clie
ntle
ssC
lient
less
HTTP HTTPSFTPCIFSSMTP,POP3IMAP4Citrixtelnet, SSHTN3270, 5350RDP, VNC
Tunnel SSL ou IPsec Accès directe aux applications
@ip du réseau interne
anyconnect
Mod
e Tu
nnel
Mod
e Tu
nnel
Illimité…..
Tech Data Confidential
Mode Clientless (proxy)Mode Clientless (proxy)
• Interface Web pour un accès complet aux ressources du réseau de l’entreprise• Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java• Support de navigateurs multiples• Portail customizable par groupe d’utilisateurs• Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP• Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH, 5250, 3270
ASA 5500
Tech Data Confidential
VPN en mode Tunnel : VPN en mode Tunnel : anyconnectanyconnect
Résultat de l’expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter
ASA 5500
Tech Data Confidential
Choix multiplesChoix d’équipements et OS
SecuritéSécurité complète de
La solution
ExperienceConnectivité permanente,
Expérience utilisateur unique
Cisco Cisco AnyConnectAnyConnectSolution de connection VPN de nouvelle Solution de connection VPN de nouvelle ggéénnéérationration
Acceptable Use Access Control
Intranet
Corporate File Sharing
Acces authorisé
Data Loss Prevention
Threat Prevention
Tech Data Confidential
Cisco Cisco AnyconnectAnyconnect VPN clientVPN client
• Multiples OS supportés• Mac OS X 10.5, 10.6.x ou + (32/64 bits)• Win XP, VISTA, Windows 7 (32/64 bits)• Linux :
– RedHat linux 5 desktop– unbuntu 9.x– autres distributions linux sur demande
– mode autonome (sans navigateur Web)– Start Before Login (SBL) pour Windows– API pour le pilotage a partir d’une application externe– Installation à partir d’un navigateur java, ActiveX ou via un MSI– Mise à jour auto sans nécessité des droits d’administrateur– Accès aux ressources internes IPv6 (dans un tunnel IPv4)– Support de DTLS (optimisation pour les flux sensibles à la latence) auto-
détection à la connexion (le protocole utilise UDP)
Tech Data Confidential
Cisco Cisco AnyconnectAnyconnect MobileMobile
• Windows Mobile 5.0, 6.0, 6.1 et 6.5
Tech Data Confidential
AnyConnectAnyConnect iPhoneiPhone
• Iphone 3G, 3GS, 4 avec IOS 4.1
• Tunnels SSL (DTLS et TLS)
• Roaming entre le 3G et le WiFi
• Méthodes Multiples d’authentifications
• Imports des profiles de connexions via l’ASA
• Enrollement des Certificats
• Interface Iphone Native
• Intégration forte avec l’IOS Apple iPhone
• Logs intégrés au client
• Futur support IPAD après mise à jour de l’OS
Tech Data Confidential
Trusted Network Detection (TND)Détection du réseau de confiance
Réseau de confiance (entreprise)
Réseau externe àl’entreprise
Connexions et déconnexions automatiques en fonction des conditions suivantes :
Réseau de l’entreprise
Réseau externe à l’entreprise
Détermination de la location en fonction du nom de domaine et de l’adresse IP du DNS
D’autre méthodes dans le futur
Authentification par certificat pour une authentification transparente
Windows XP, Vista, 7 & Mac OS X
Tech Data Confidential
Untrusted NetworkDNS Address161.44.124.22
DNS Suffixcisco.com
Détection du réseau de confiance
Active ou désactive le VPN en fonction du réseau détecté
Réseau d’entreprise
Home Office
DHCP Request
DHCP Response
Détection : DNS et domaine de l’entreprise
Tech Data Confidential
Untrusted NetworkDNS Address161.44.124.22
DNS Suffixcisco.com
Home Office
Active ou désactive le VPN en fonction du réseau détecté
Détection : DNS et domaine de l’entreprise
Détection du réseau de confiance
Réseau d’entreprise
Tech Data Confidential
DNS Server IP68.87.78.130
DNS Suffixcomcast.net
Réseau externe détecté
DHCP Request
Home Office
DHCP Response
Trusted Network
Active ou désactive le VPN en fonction du réseau détecté
Détection du réseau de confiance
Réseau d’entreprise
Tech Data Confidential
Persistance des sessions (Auto Reconnect) Trusted Network Detection Always-On VPN portail captif selection automatique du point d’acc-s
Trusted Network DetectionTrusted Network DetectionASDM configuration ASDM configuration dudu Profile Profile dansdans ASDMASDM
Tech Data Confidential
ConnectivitConnectivitéé persistantepersistante
La connexion VPN est maintenue
Lors d’un changement de réseau (3G, WiFi, LAN, etc)
En cas de perte du réseau
Pendant une hybernation ou un standby du poste
Politique contrôlé par l’administrateur
Compatible avec toutes les méthodes d’authentification
AnyConnect 3.0
Tech Data Confidential
AlwaysAlways On / SOn / Séécuritcuritéé persistantepersistanteExpExpéérience utilisateursrience utilisateurs
Reconnexion de cours
Reconnexion de cours
Fail Close
• Accès réseaux bloqués
• Tentative continue de contacter le concentrateur VPN.
Fail Open
• Accès réseaux autorisés
• Tentative continue de contacter le concentrateur VPN.
Active
• Réseau sécurisé disponible
• Tunnel VPN actif
Tech Data Confidential
DDéétection des tection des hotspothotspotExpExpéérience utilisateurs : rience utilisateurs : éétat de la connexiontat de la connexion
L’utilisateur est derrière un portail captif, il doit s’authentifier sur ce portail pour avoir accès au réseau et monter son VPN
L’utilisateur est derrière un portail captif, il doit s’authentifier sur ce portail pour avoir accès au réseau et monter son VPN
Captive Portal
• (Web) Authentification nécessaire
• “Pour obtenir un accès au réseau ouvrez votre navigateur Web”
Pas de connectivité DNS
• Service DNS non disponible
• Pas d’interface réseau
• Pas de réseau détecté
• “Vérifiez que votre câble réseau est bien branché ou que votre Wifi est activé.”
Proxy Détecté
• Authentification nécessaire auprès d’un proxy
Tech Data Confidential
SSéélection automatique du point dlection automatique du point d’’accaccèès VPNs VPN
Politique contrôlé par l’administrateur
Détermination automatique du meilleur point d’accès (en fonction du temps de réponse)
Reconnexion vers un autre point d’accès uniquement si la qualité de la liaison est meilleure.
Un changement de point d’accès nécessite une réauthentification
SélectionautomatiqueSélection
automatique
Tech Data Confidential
Solution SSLSolution SSL--VPN CiscoVPN CiscoSSéélection optimale du point dlection optimale du point d’’accaccèèss
Los AngelesParis
Connexion automatique au meilleur point d’accèsRequête HTTPS calcul du meilleur délai aller retour
Tokyo
Time = 25ms
Time = 24msTime = 23ms
Time = 33ms
Time = 26msTime = 35ms
Time = 28ms
Time = 25msTime = 27ms
Marseille
Tech Data Confidential
Los AngelesParis
Tokio
Time = 23ms
Time = 26ms
Time = 25ms
Marseille
Connexion automatique au meilleur point d’accèsRequête HTTPS calcul du meilleur délai aller retour
Solution SSL-VPN CiscoSélection optimale du point d’accè
Tech Data Confidential
Los AngelesParis
Tokio
Time = 23ms
Marseille
Paramètres importants: Suspension Time Threshold (heures)
Performance Improvement Threshold (%)
Connexion automatique au meilleur point d’accèsRequête HTTPS calcul du meilleur délai aller retour
Solution SSL-VN CiscoSélection optimale du point d’accès
Tech Data Confidential
NAC : Analyse de conformitNAC : Analyse de conformitéé du postedu posteExpExpéérience utilisateurs rience utilisateurs
Message à l’utilisateur sur la raison de sa mise en quarantaine
Une fois remis en conformité l’utilisateur doit se reconnecter
En cas de connexion persistante le VPN sera automatiquement rétabli
AnyConnect 2.5
Mise en quarantaine, l’Antivirus est absentMise en quarantaine, l’Antivirus est absent
Tech Data Confidential
RRèèglesgles dudu Firewall:Firewall:AjoutAjout dd’’uneune protection pour le Split Tunnelingprotection pour le Split Tunneling
règles de FW supportées : ACLs simple pour IPv6 Port TCP/UDP pour IPv4 Pas de FW applicatif
Windows et Mac OS X
Anyconnect3.0
Anyconnect3.0
Tech Data Confidential
AnyConnectAnyConnect SecureSecure MobilityMobilityvisualisation des rvisualisation des rèègles FW dans gles FW dans AnyconnectAnyconnect
Réseau local (hors Split tunneling) règles du Firewall (impression locale
Du coté du profild’AnyConnect :
Tech Data Confidential
Règles d’accès au réseau corp(dans le vpn)
Configuration Configuration dudu FW FW dansdans ASDMASDM
Règles d’accès au réseau local
Tech Data Confidential
Les Les utilisateursutilisateurs mobiles mobiles aujourdaujourd’’huihui
At Home
Coffee Shop
Airport
Broad Range of Devices
At Work
Social Networking
Enterprise SaaS
News
Applications
Access Points
L’utilisateur n’est pas protégélorsqu’il accède directement àinternet sans monter son VPN
L’utilisateur n’est pas protégélorsqu’il accède directement àinternet sans monter son VPN
Tech Data Confidential
ASA + WSAASA + WSAASA / WSA ASA / WSA offrentoffrent uneune connectivitconnectivitéé sséécuriscuriséé permanentepermanente
Corporate Datacenter avec ASA et WSA
At Home
Coffee Shop
Airport
Access PointsBroad Range of Devices
At Work
INTERNET
Applications
Social Networking
Enterprise SaaS
News
AnyConnect Client
Tech Data Confidential
AnyconnectAnyconnect 3.03.0IntIntéégrationgration des services SAAS et des services SAAS et entrepriseentreprise
News Email
Social Networking Enterprise SaaS
Cisco Web Security Appliance
Corporate AD
ASAAnyConnect 3.0
Tech Data Confidential
AnyconnectAnyconnect 3.0 (Q1/2011)3.0 (Q1/2011)– Client VPN • SSL et IPSec ikev2
– HostScan intégré
• Contrôle OS, Process, AV, FW …..
– Sécurité mode SAAS• Intégration du client scansafe anywere +
Authentification Wifi• EAP TLS, TTLS, PEAP, GTC …
Authentification 802.1x• Client 802.1x intégré• MACsec (encryption)
Diagnostic intégré
Tech Data Confidential
Cisco VPN SSL Cisco VPN SSL ASA 8.4 ASA 8.4 -- Licensing Licensing dd’’EntrepriseEntreprise
Cisco AnyConnect Essentials et MobileLicences à coût abordableAccès en mode tunnel completPostes de travail fixes et mobilesPas de portail Web et d’accès
sans client => voir Premium
Licence Premium “Single” ou “Shared”(partagée)Souplesse opérationnelleLimitation des licences inutilesActive les fonctions “Premium”
Client AnyConnect “full tunnel” Clientless SSL VPN : mode portail (Web
proxy) Cisco Secure Desktop (CSD) Suite de
protection du poste (hostcan, advanced assessment vault cache cleaner)
Cisco Cisco AnyConnectAnyConnectEssentials et Essentials et
Mobile Mobile
Tech Data Confidential
LicencesLicences Premium VPN SSL SharedPremium VPN SSL Shared
• Fonctions Premium :• Client AnyConnect, Mode
Portail, Cisco Secure Desktop
• Avantages:
Simplicité
Souplesse– e.g ajout de licences
Déploiements incrémentaux
ASAASA ASAASA
ASA Licenseserver
ASA Licenseserver
Shared license
ASAASAASAASA …Participant License Participant License Participant License
Tech Data Confidential
VPN SSL avec VPN SSL avec ll’’ASAASAmultiples options de multiples options de licencelicence
• http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html • * bureau virtuel, vérification de posture, détection de keylogger, nettoyeur de cache
** Requiert AnyConnect Essentials, Premium Shared ou Premium Single Device
AnyConnectEssentials
AnyConnectMobile
Premium (Clientless
Edition)-Single Device
Premium (Clientless
Edition)–Shared
Premium (Clientless
Edition)– VPN FLEX license
AnyConnect(mode tunnel)
**
WebVPN(mode portail)
AnyConnectsmartphone
Ajouter la licenceAnyConnect
Mobile **
Ajouter la licenceAnyConnect
Mobile
Ajouter la licenceAnyConnect
Mobile
Ajouter la licenceAnyConnect
Mobile
Cisco Secure Desktop*
Advanced Endpoint Assessment (Option)
Licencespartagées“Shared”