antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Апрель 16th, 2010

Опубликовано 16 Апрель , 2010

Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN

У данной технологии удаленного доступа есть несколько приятных моментов:
1.  Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2.  Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3.  Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4.  Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5.  На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory

Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 3 комментария »