Как удалить cisco anyconnect secure mobility client с компьютера

Обновлено: 07.07.2024

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описывается, как настроить клиент защищенного мобильного доступа Cisco AnyConnect Secure Mobility с помощью диспетчера устройств Cisco Adaptive Security Device Manager на многофункциональном устройстве обеспечения безопасности Cisco ASA с ПО версии 9.3(2).

Предварительные условия

Требования

Веб-пакет развертывания клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility необходимо загрузить на локальный компьютер, на котором имеется доступ ASDM к ASA. Загрузить клиентский пакет можно на веб-странице клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility. Веб-пакеты развертывания для различных операционных систем (ОС) можно загрузить на ASA одновременно.

Имена файлов веб-пакетов развертывания для различных ОС:

победа AnyConnect Г¦¦ 

- <версия>-k9.pkg

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

В этом документе представлены пошаговые инструкции по использованию мастера настройки AnyConnect Cisco в ASDM, позволяющего настроить клиент AnyConnect и включить раздельное туннелирование.

Раздельное туннелирование используется в случаях, когда необходимо туннелировать только определенный трафик, в отличие от ситуаций, в которых весь поток трафика, создаваемый клиентскими компьютерами, проходит через VPN, если она подключена. При использовании мастера настройки AnyConnect по умолчанию на ASA создается конфигурация tunnel-all. Раздельное туннелирование необходимо настраивать отдельно, о чем подробно рассказывается в разделе Разделенное туннелирование этого документа.

В этом примере конфигурации предполагается передавать трафик для подсети 10.10.10.0/24, которая является подсетью локальной сети за устройством ASA, по VPN-туннелю, а весь остальной трафик с клиентского компьютера передавать через его собственный канал в Интернете.

Информация о лицензии AnyConnect

Далее приведены некоторые ссылки на полезные сведения о лицензиях клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility:

Настройка

В этом разделе описывается настройка клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility на ASA.

Схема сети

Это топология, которая используется для примеров в данном документе:

Мастер настройки AnyConnect ASDM

Мастер настройки AnyConnect может использоваться для настройки клиента защищенного мобильного доступа AnyConnect Secure Mobility. Прежде чем продолжить, убедитесь, что пакет клиента AnyConnect загружен на флеш-накопитель или диск межсетевого экрана ASA.

Для того чтобы настроить клиент защищенного мобильного доступа AnyConnect Secure Mobility с помощью мастера настройки, выполните следующие действия:

Примечание. Этот сертификат является предоставляемым сертификатом серверной части. Если на ASA нет установленных сертификатов и необходимо создать самозаверенный сертификат, нажмите кнопку Manage (Управление).

Примечание. В данном примере настраивается аутентификация LOCAL. Это означает, что для аутентификации будет использоваться локальная база данных пользователей на ASA.

Установите флажок Exempt VPN traffic from network address translation (Не подвергать трафик VPN преобразованию сетевых адресов) и настройте интерфейсы LAN и WAN, которые будут использоваться в этом исключении:

Теперь настройка клиента AnyConnect завершена. Однако при настройке AnyConnect в мастере настройки политика раздельного туннелирования настраивается как Tunnelall по умолчанию. Для туннелирования только определенного трафика необходимо реализовать раздельное туннелирование.

Примечание. Если раздельное туннелирование не будет настроено, политика раздельного туннелирования будет унаследована от групповой политики по умолчанию (DfltGrpPolicy), которая по умолчанию установлена как Tunnelall. Это означает, что после подключения клиента по VPN весь трафик (включая трафик Интернета) передается по туннелю.

Только трафик, предназначенный для IP-адреса глобальной сети ASA (или внешнего IP-адреса), будет обходить туннелирование на клиентском компьютере. Это можно видеть в выходных данных команды route print на компьютерах Microsoft Windows.

Настройка раздельного туннелирования

Раздельное туннелирование — это функция, с помощью которой можно определить трафик для подсетей или хостов, который должен шифроваться. Сюда входит настройка списка контроля доступа (ACL), который будет связан с этой функцией. Трафик для подсетей или хостов, определенный в этом ACL, будет шифроваться в туннеле с клиентской стороны, и маршруты для этих подсетей устанавливаются в таблице маршрутизации ПК.

Для того чтобы перейти от конфигурации Tunnel-all к конфигурации Split-tunnel, выполните следующие действия:

После подключения маршруты для подсетей или хостов в ACL разделения добавляются в таблицу маршрутизации клиентского компьютера. На компьютерах Microsoft Windows это можно увидеть в выходных результатах команды route print. Следующим переходом для этих маршрутов будет IP-адрес подсети из пула IP-адресов клиента (обычно первый IP-адрес подсети):

На компьютерах MAC OS для просмотра таблицы маршрутизации компьютера введите команду netstat-r:

Загрузка и установка клиента AnyConnect

Существует два способа развертывания клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility на пользовательском компьютере:

Оба эти способа подробно описываются в последующих разделах.

Развертывание через Интернет

Примечание. Если используется Internet Explorer (IE), установка выполняется в основном через ActiveX, если не включено принудительное использование Java. Во всех остальных браузерах используется Java.

После входа на эту страницу должна начаться установка на клиентском компьютере, а клиент должен подключиться к ASA после завершения установки.

Примечание. Может быть запрошено разрешение на запуск ActiveX или Java. Необходимо дать разрешение, чтобы продолжить установку.

Автономное развертывание

Для того чтобы воспользоваться способом автономного развертывания, выполните следующие действия:

Примечание. После этого будет загружен ISO-образ установщика (такой как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

Конфигурация интерфейса командой строки CLI

В этом разделе представлена конфигурация интерфейса командой строки (CLI) для клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility в целях справки.

Проверка

Выполните следующие действия для проверки клиентского подключения и различных параметров этого подключения:

Совет: Сеансы можно дополнительно фильтровать с помощь других условий, таких как имя пользователя и IP-адрес.

Устранение неполадок

С помощью инструмента диагностики и создания отчетов (DART) AnyConnect можно собрать данные для поиска и устранения неполадок c установкой AnyConnect и проблем с подключением. Мастер DART используется на компьютере, на котором работает AnyConnect. DART собирает информацию журналов, информацию о состоянии и диагностическую информацию для анализа в Центре технической поддержки Cisco TAC, и для его запуска на клиентском компьютере не требуются права администратора.

Установка DART

Для установки DART выполните следующие действия:

Примечание. После этого будет загружен ISO-образ установщика (такой как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

Запуск DART

Перед запуском DART учтите следующие важные аспекты:

Запустите DART из меню «Пуск» на клиентском компьютере:

Можно выбрать режим Default (По умолчанию) или Custom (Пользовательский). Cisco рекомендует запускать DART в режиме по умолчанию, чтобы вся информация могла быть захвачена за один раз.

Сейчас многие люди переходят на удаленную работу. Среди прочего часто используется программа Cisco Anyconnect. И многие, пользуясь инструкцией своих администраторов, спокойно запускают эту мерзость на своих домашних устройствах. Вот зря. Во-первых, спокойно зря, во-вторых зря запускают.

У меня этот вид доступа был уже очень давно. И в один прекрасный момент он вдруг перестал работать. Подчеркну, что у меня Linux, что меня и спасло. Выяснилось, что в параметрах сервера включили CSD Host Scan.

С сайта Cisco описание

Using the secure desktop manager tool in the Adaptive Security Device Manager (ASDM), you can create a prelogin policy which evaluates the operating system, anti-virus, anti-spyware, and firewall software Host Scan identifies. Based on the result of the prelogin policy’s evaluation, you can control which hosts are allowed to create a remote access connection to the security appliance.

The Host Scan support chart contains the product name and version information for the anti-virus, anti-spyware, and firewall applications you use in your prelogin policies. We deliver Host Scan and the Host Scan support chart, as well as other components, in the Host Scan package.

Расшифровываю: когда вы подключаетесь к VPN, к вам на устройство загружается троян, который проверяет его (или делает, что угодно другое) и сообщает по сети что-то на сервер VPN. Поскольку для мака или для Linux наши . умельцы из безопасности троянов не завезли, я и обламывался.

Ради интереса поставил в виртуалку Anyconnect

Антивирусы эту штуку не детектят. Зато в man openconnect, например, именно и называют ее трояном, что по сути так и есть

Что мне в этой гадости не нравится, помимо того, что я в принципе категорически против, чтобы что-то без моего ведома скачивалось хз откуда и запускалось:
1. Это не в составе вашего VPN, а совершенно отдельная хреновина, которая каждый раз при изменении скачивается с сервера VPN. Теоретически администратор сервера VPN может запускать у вас все, что ему угодно.
2. В моем случае софтинка еще и сильно старая, 2016 года. А, например, в 2018 были отзывы сертификатов. Т.е. зависимость от кривых рук администратора сильно напрягает, превращая удаленный доступ в потенциальную дыру.

Всем использующим Cisco AnyConnect настоятельно рекомендую запускать ее в изолированном окружении. Т.е. на отдельном ноуте (выданном на предприятии, например) или в виртуальной среде.

Сейчас все большие и больше людей начинают работать из дома на своих корпоративных или личных устройствах. И часто таким сотрудникам нужен доступ в корпоративную сеть. С помощью Cisco AnyConnect Secure Mobility можно предоставить необходимый удаленный доступ, при этом обеспечив необходимый уровень безопасности. В этой статье мы расскажем как установить Cisco AnyConnect и как с его помощью подключиться к VPN.

Обзор Cisco AnyConnect

Cisco AnyConnect это VPN клиент (который является развитием Cisco VPN Client ), позволяющий вам устанавливать защитное подключение к корпоративной сети. Cisco AnyConnect включает в себя такие функции, как удаленный доступ, контроль состояния, функции веб-безопасности и защита в роуминге.

Клиент доступен на огромном количестве платформ:

Интересная особенность AnyConnect заключается в том, что это модульный программный продукт. Он не только обеспечивает VPN-доступ через Secure Sockets Layer (SSL) и IPsec IKEv2 , но также обеспечивает повышенную безопасность с помощью различных встроенных модулей. Помимо VPN-подключения, основные преимущества AnyConnect включают безопасность конечных точек для предприятий, телеметрию, веб-безопасность, управление доступом к сети и так далее.

Установка Cisco AnyConnect

Загрузите последнюю версию Cisco AnyConnect. Обратите внимание, что вам нужно иметь активную подписку AnyConnect Apex, Plus или VPN Only с Cisco для загрузки последней версии программного обеспечения клиента AnyConnect VPN. Просто войдите в систему, используя свой идентификатор Cisco и пароль, и вы сможете загрузить программное обеспечение без проблем.

Если вы являетесь пользователем Windows 10 , вы можете легко загрузить VPN-клиент Cisco AnyConnect из Магазина Windows . Существует никаких ограничений на загрузку, и это бесплатно.

Для обычных конечных пользователей чаще всего установочные файлы предоставляют администраторы, поэтому для них нет необходимости скачивать их отдельно. Также в большинстве случаев администраторы сами устанавливают AnyConnect на ПК пользователя, поэтому можно перейти сразу к следующему пункту.

На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.

Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect'ом (IPSec/IKEv2).

А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:

Межсетевые экраны Cisco ASA 5500 и Cisco ASA 5500-X
Многофункциональные защитные устройства Cisco Firepower
Виртуальные МСЭ Cisco ASAv и Cisco ASAv в AWS и Azure
Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 c сетевой ОС Cisco IOS или Cisco IOS XE
Виртуальные маршрутизаторы Cisco CSR 1000v, а они развернуты в том числе и ряда российских облачных провайдеров.

Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.

А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?

В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.

А могу ли я шифровать не весь трафик, а только корпоративный?

Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» :-)

В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.

А могу ли я шифровать трафик определенных, например, корпоративных, приложений?

Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.

А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?

С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:

данные сетевой активности в схожем с IPFIX формате
идентификатор, адрес и имя устройства
имя пользователя
тип учетной записи пользователя
имена и идентификаторы запускаемых процессов и приложений, включая и данные по их «родителям».

А как мне аутентифицировать пользователей?

Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.

А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?

У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.

Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?

Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.

А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?

Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.

А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?

Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.

Читайте также: