Cisco AnyConnect Secure Mobility Client
Empower your employees to work from anywhere, on company laptops or personal mobile devices, at any time. AnyConnect simplifies secure endpoint access and provides the security necessary to help keep your organisation safe and protected.
Partner Help
- Open a Case
- Get technical support
- All partner support
Learn how Duo can secure your Cisco AnyConnect VPN
Get the most from your AnyConnect deployment
Cisco AMP For Endpoints
Prevent threats at point of entry, then continuously tracks every file it lets onto your endpoints.
Cisco Security Connector
For the first time ever, businesses can gain visibility into network traffic on iOS devices.
Cisco Umbrella
Easily protect users when they’re off the VPN.
Why add Duo MFA?
Establish trust
Learn the five reasons you should secure your VPN with MFA to ensure trusted access.
Protect your data
Hear why MFA is your first line of defense against data breaches.
Integrate in minutes
Set up Duo with AnyConnect in less than 30 minutes. Duo provides several easy ways to integrate with AnyConnect.
Features and benefits
Access from anywhere
Give any user highly secure access to the enterprise network, from any device, at any time, in any location.
Greater visibility
Gain more insight into user and endpoint behavior with full visibility across the extended enterprise. With AnyConnect’s Network Visibility Module (NVM), you can defend more effectively and improve network operations.
Comprehensive protection
Defend against threats, no matter where they are. With Cisco Identity Services Engine (ISE), you can prevent noncompliant devices from accessing the network. You can gain secure remote access with Duo’s multi-factor authentication (MFA) for verifying user identities. And with Cisco Umbrella Roaming, you can extend protection when users are off the VPN.
Simplified management and usability
Provide a consistent user experience across devices, both on and off premises, without creating a headache for your IT teams. Simplify management with a single agent.
Cisco AnyConnect Secure Mobility Client – последняя версия
Cisco AnyConnect Secure Mobility Client – это VPN-клиент на основе веб-интерфейса, которому не требуются какие-либо клиентские конфигурации.
AnyConnect не ограничивается предоставлением только функций VPN, но также поставляется с другими функциями, которые позволяют предприятию защищать свои конечные точки доступа. Другие функции AnyConnect включают телеметрию, веб-безопасность, управление доступом к сети и т. д. Но в целом это полезно только для тех, кто уже пользуется услугами Cisco.
Особенности клиента Cisco AnyConnect VPN
AnyConnect, как известно, обеспечивает лучшую безопасность и соединение / повторное соединение даже в общественных сетях, где интернет-соединение нестабильно.
Он также предоставляет функцию многофакторной аутентификации, что делает вашу систему или сеть более безопасной. Дополнительные функции включают Cloud Web Security, VPN Posture, ISE Posture, DART, обратную связь с клиентом, модуль видимости сети, AMP Enabler, Umbrella Roaming Security.
Системные требования для Cisco VPN Client
Java Runtime Environment требуется перед установкой Anyconnect. Вы можете установить последнее обновление Java 8. Я также попытался запустить Cisco AnyConnect 4.6 с установленной Java 11, и он работает отлично. Я не пробовал веб-версию.Возможно, вам придется установить Java 8 для запуска веб-версии клиента Cisco VPN, но я не уверен.
URL VPN на доверенных сайтах
Если вы ранее включили опцию, к которой имеют доступ только доверенные веб-сайты, следует добавить URL-адрес сервера. Перейдите в «Настройки Windows» и выполните поиск по параметрам Интернета. Затем перейдите на вкладку « Безопасность » и выберите « Надежные сайты» и добавьте URL-адрес сервера в доверенные сайты.
Используйте AnyConnect. Просто добавьте URL-адрес VPN-сервера и нажмите «Подключиться». Это создаст безопасное VPN-соединение с VPN-маршрутизатором систем Cisco. Теперь вы можете безопасно просматривать ресурсы в удаленной сети.Весь трафик проходит через VPN-туннель, что означает, что никто не может прочитать информацию, кроме сервера и клиента.
Проверьте, какая версия AnyConnect в настоящее время установлена на вашем компьютере
Чтобы проверить, какая версия клиента AnyConnect установлена на вашем компьютере, выполните следующие действия:
- Откройте AnyConnect VPN-клиент
- Нажмите на значок i (информация) рядом со значком шестеренки в левом нижнем углу окна клиента.
- Это покажет полную версию нет. VPN-клиента, работающего на вашем компьютере.
Если у вас не установлена последняя версия AnyConnect, вы можете скачать ее по ссылкам, приведенным ниже.
Загрузите последнюю версию клиента Cisco AnyConnect Mobility
Cisco AnyConnect Secure Mobility Client 4.7 был выпущен и доступен для загрузки. Если вы установили более раннюю версию программного обеспечения, оно должно автоматически обновиться до последней версии. Но по любой причине, если вы не можете выполнить обновление, мы предоставим ссылки для загрузки AnyConnect 4.7 для всех операционных систем.
Что нового в Cisco AnyConnect
Это основной выпуск программного обеспечения, поскольку он содержит множество исправлений ошибок и новых функций. Я перечислю некоторые из функций.
- Туннель управления VPN позволяет клиенту автоматически подключаться к VPN при запуске компьютера. Это полезно для всегда подключенных удаленных компьютеров.
- TLS v1.2 полностью поддерживается, включая подтверждение связи и аутентификацию сертификата.
- Фильтр потока NVM теперь отслеживает отфильтрованный трафик, облегчая администраторам работу с журналами.
- AnyConnect 4.7 поставляется с новыми значками и изображениями.
- Многие новые комплекты шифров поддерживаются для соединений SSL / TLS.
Если вы хотите ознакомиться со всеми функциями этого выпуска, вы можете посетить эту страницу
Установка Cisco AnyConnect 4.7
Установка AnyConnect 4.7 немного отличается от предыдущих версий. Версия клиента AnyConnect для Windows поставляется в виде Zip-файла. Вам нужно будет разархивировать все содержимое zip-файла, чтобы запустить установку. Есть два установочных файла, setup.hta и setup.exe.
Запуск любого из файлов установки откроет окно выбора установщика:
Вы можете выбрать компоненты, которые хотите установить с этой версией VPN-клиента cisco. Если вы не уверены, обратитесь к сетевому администратору, который проведет вас через этот процесс.
Использование Cisco AnyConnect 4.7
Использовать AnyConnect с точки зрения клиента довольно просто. Вы просто должны запустить клиент, дать URL-адрес сервера, имя пользователя и пароль, и он просто подключается. Мы дадим вам пошаговый обзор того, как запустить клиент и отключиться от VPN при необходимости.
Запуск и подключение к VPN с помощью AnyConnect
Убедитесь, что вы успешно установили AnyConnect. Для запуска VPN-клиента выполните следующие действия:
- Откройте Cisco AnyConnect Secure Mobility Client из меню Пуск
- Выберите соединение из выпадающего меню.Если это поле пустое, вы должны вручную ввести URL-адрес сервера. В большинстве случаев сетевые администраторы настраивают профиль VPN для пользователей. Таким образом, соединение по умолчанию будет автоматически указано в раскрывающемся меню.
- Нажмите Подключиться
- Вам будет предложено ввести имя пользователя и пароль.
- После ввода учетных данных нажмите ОК.
Как только соединение успешно, AnyConnect автоматически свернет себя в системном трее.
Чтобы отключиться от VPN, дважды щелкните значок AnyConnect на панели задач и нажмите кнопку « Отключить» .
Почему Cisco AnyConnect — это не просто VPN-клиент
На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.
Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect’ом (IPSec/IKEv2).
А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:
- Межсетевые экраны Cisco ASA 5500 и Cisco ASA 5500-X
- Многофункциональные защитные устройства Cisco Firepower
- Виртуальные МСЭ Cisco ASAv и Cisco ASAv в AWS и Azure
- Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 c сетевой ОС Cisco IOS или Cisco IOS XE
- Виртуальные маршрутизаторы Cisco CSR 1000v, а они развернуты в том числе и ряда российских облачных провайдеров.
Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.
Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).
А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?
В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.
А могу ли я шифровать не весь трафик, а только корпоративный?
Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» 🙂
В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.
А могу ли я шифровать трафик определенных, например, корпоративных, приложений?
Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.
А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?
С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:
- данные сетевой активности в схожем с IPFIX формате
- идентификатор, адрес и имя устройства
- имя пользователя
- тип учетной записи пользователя
- имена и идентификаторы запускаемых процессов и приложений, включая и данные по их «родителям».
А как мне аутентифицировать пользователей?
Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.
А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?
У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.
Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?
Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.
А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?
Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.
А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?
Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.
На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.
Скачать бесплатно Cisco AnyConnect Secure Mobility Client 4.5.02033
Cisco AnyConnect Secure Mobility Client – это официальная программа компании Cisco, предназначенная для работы с сетевым оборудованием одноименной организации. Стоит отметить, что при взаимодействии с устройствами программное обеспечение используется протоколы DTLS, TLS и SSL. Также особого внимания заслуживает поддержка практически всех мобильных и компьютерных операционных систем. Данный софт способен подключать к устройствам на базе iOS и сетевым экранам типа Cisco.
Еще одно достоинство заключается в том, что с помощью данной утилиты пользователи могут организовывать подключения в безопасном режиме. Также многие пользователи благоприятно отзываются о возможности полноценной работы с VPN и обмена данными посредством защищенного протокола. Напоследок стоит отметить довольно простую графическую оболочку, благодаря которой с управлением справятся даже неопытные пользователи.