poniedziałek, 23 maja 2011

Brno

Wróciłem z Australii wiec mam nadzieje że częściej uda mi sie uaktualniać bloga :)
Niestety długo w Polsce nie zabawiłem wyjechałem do Brna do pracy :)
Firma daje dużo możliwości nauki więc zabrałem się za certyfikat na ccnp security
Co wiąże się także z większą ilością postów w tym kierunku :)
Autor: Piotr Kaminski o 17:08 0 komentarze
Etykiety:

niedziela, 15 maja 2011

Anyconnect ssl vpn ASA

Mówiłem już że ASA to naprawdę świetne urządzenie ??
Jeśli nie to powiem jest genialna !! :D

Ostatni miałem przyjemność wdrażania anyconnecta w mojej byłej firmie :)

Poprzednio korzystaliśmy z cisco vpn client czyli ipsec-remote . Niestety same były z nim problemy a to ciągle komuś nie działało z jakiś hotspotów w hotelach a to ciągle się rozłącza a to nagle jakaś dziwna awaria w iplusie że wszystko działa a nie można się połączyć przez ipsec , albo sam client nie chciał współgrać z wbudowanymi modemami na sim karty Della .

Ale zawsze działał testowy anyconnect !!
Przed instalacja na większą ilość użytkowników wprowadziłem uwierzytelnianie RSA . Świetna sprawa szczególnie kiedy sie już używa certyfikatów do podłączenia do wifi. Użytkownikowi się wgrywa główny i prywatny certyfikat i anyconnect może pobierać nazwę z prywatnego certyfikatu a hasło wpisuje sam . Dzięki temu odpadają pomyłki ze złym wpisanym loginem :).

I wszystko pięknie gra !! bezpieczeństwo wzrasta bo nie wykorzystujemy pre shared key który łatwo wyciągnąć z pliku pcf z cisco client ale certyfikatu wgranego na kompa i to jeszcze z datą ważności. Po za tym do autoryzacji użytkownika wykorzystujemy prywatny certyfikat i hasło.

Anyconnect także używa zwykłego ssl czyli portu 443 który jest prawie w każdym hotspocie otwartym co więcej nawet możemy zmienić port na 80 wtedy już z prawie zewsząd się połączysz.

Działają także access listy które zdefiniowałem na ACS :) anyconnect bez problemu importuje je i ustawia na firewallu na kompie .

Także testowi użytkownicy zauważyli że lepiej działa, nie rozłącza się jeśli korzystają z iplusa i są gdzieś gdzie jest mały zasięg i podobno jakoś lepiej działa :)

Po za tym licencja na 500 użytkowników kosztuje tylko coś około 500 dolarów czyli prawie nic za takie możliwości !!!

Niestety zdążyłem już zmienić pracę przed instalacją anyconnecta dla wszystkich użytkowników ale na razie jak mam wieści idzie to bez problemów :)

Do przetestowania zostało także uaktualnienia które podobno nie potrzebują praw administratora !! ale to sam sprawdzę w labie :P

Aktualnie robię ccnp security :) i naprawdę jestem pod wrażeniem technologi jakie daje Cisco ASA vpn :D
Autor: Piotr Kaminski o 13:52 0 komentarze
Etykiety: , , , ,
Subskrybuj: Posty (Atom)