Come funziona Cisco Anyconnect VPN?

-1

Sto cercando una spiegazione tecnica approfondita su come funziona.

La mia comprensione è una VPN SSL e funziona come segue:

- Anyconnect creates a TLS session to the configured remote servers, authenticate the user and fetch some network details like the IP address 

- sets a local tunnel interface with that IP

- configures the routing on the host to point all traffic to the tunnel.

Supponendo che sia corretto, come vengono inviati i pacchetti di interfaccia tunnel sulla connessione TLS?

Uno dei vantaggi menzionati di SSL VPN su VPN IPSec è che il primo non ha bisogno di un software client. Se Cisco Anyconnect deve essere installato comunque, c'è ancora un vantaggio con SSL VPN?

    
posta Manohar 12.08.2018 - 00:46
fonte

2 risposte

1

Penso che le descrizioni comuni di "VPN SSL" confettino tre cose diverse:

  1. VPN che utilizzano TLS o DTLS come protocollo di base. (Esempi: AnyConnect, SSTP, probabilmente anche OpenVPN.) Questi richiedono ancora un client come qualsiasi altro protocollo - non c'è nulla di magico nell'uso di SSL / TLS qui, e nessun grande vantaggio (tranne forse il passaggio attraverso i sistemi IDS inosservati).

  2. VPN che, indipendentemente dal protocollo utilizzato, lanciano un'applet JavaWS o ClickOnce direttamente da un sito Web. Questo è ancora tecnicamente un client, solo uno che non deve essere installato esplicitamente. Non capisco perché la gente chiami questo tipo di "SSL VPN" (è perché il client viene eseguito da un sito Web HTTPS?), Ma lo fanno comunque.

  3. Infine, "VPN" che in realtà non sono VPN a livello IP ma semplicemente gateway basati su Web (proxy, portali) a webapp interne. Questi non richiedono un client dedicato perché in realtà non intercettano i pacchetti IP dal sistema operativo - funzionano come normali siti web visitati su HTTPS (quindi SSL).

Quindi ciò che rende le cose confuse è che lo stesso prodotto Cisco AnyConnect può contenere qualsiasi di queste descrizioni: il suo protocollo è basato su DTLS; fornisce un client Java-applet; e fornisce un gateway webapp oltre alla VPN tradizionale.

Ma ciò non significa che la stessa modalità soddisfi contemporaneamente tutte e tre le descrizioni: ad es. se si desidera utilizzare la modalità VPN a livello di sistema, richiede comunque un client che viene eseguito sul computer locale, crea un'interfaccia virtuale e così via.

    
risposta data 10.12.2018 - 15:08
fonte
0

Cisco AnyCconnect è VPN SSL. Esiste anche WebVPN senza client in cui si accede a un sito interno su ASA, si autentica proprio come si sta utilizzando AnyConnect, ma si accede ai server interni tramite tale portale Web. Il vantaggio è che la tua intera connessione non è sottoposta a tunnel: è solo l'accesso a chiunque tramite il portale web. Ad esempio, si seleziona Telnet, HTTP (s), RDP, SSH da un campo a discesa e quindi viene indicato l'IP o il nome a cui si desidera connettersi sulla pagina Web.

Cisco ha un altro client chiamato Cisco VPN Client che è un client IPSEC. Ancora per l'accesso remoto del client, ma usando semplicemente IPSEC. Il vantaggio è che gli ASA vengono forniti con licenza per IPSECright, mentre per acquistare AnyConnect è necessario acquistare la licenza Cisco APEX. Diventa costoso.

Uno svantaggio nell'usare Cisco VPN Client invece di AnyConnect è che non è compatibile con Windows 10 e versioni successive. Devi fare alcuni hack che coinvolgono il client VPN di SonicWall o usare qualcos'altro come Shrewsoft VPN.

    
risposta data 12.08.2018 - 02:21
fonte

Leggi altre domande sui tag