Remote-Access-VPN |
Unterstützung zahlreicher Betriebssysteme |
● Windows 10, 8.1, 8 und 7 ● Mac OS X 10.8 und höher
● Linux Intel (x64) ● Informationen zur mobilen Plattform finden Sie im Datenblatt zu AnyConnect Mobile.
|
Optimierter Netzwerkzugriff: VPN-Protokollauswahl - SSL TLS und DTLS; IPsec-IKEv2 |
● AnyConnect bietet eine Auswahl an VPN-Protokollen, sodass Administratoren das Protokoll verwenden können, das ihren geschäftlichen Anforderungen am besten entspricht. ● Tunneling-Unterstützung umfasst SSL (TLS 1.2 und DTLS) und IPsec IKEv2 der nächsten Generation. ● DTLS sorgt für eine optimierte Verbindung für latenzempfindlichen Datenverkehr wie VoIP-Datenverkehr oder TCP-basierten Anwendungszugriff. ● TLS 1.2 (HTTP über TLS oder SSL) gewährleistet die Verfügbarkeit von Netzwerkverbindungen in gesperrten Umgebungen, einschließlich Umgebungen, in denen Web-Proxy-Server verwendet werden. ● IPsec IKEv2 bietet eine optimierte Verbindung für latenzempfindlichen Datenverkehr, wenn Sicherheitsrichtlinien die Verwendung von IPsec erfordern.
|
Auswahl des optimalen Gateways |
● Konnektivität zum optimalen Access Point für das Netzwerk wird ermittelt und eingerichtet. Endbenutzer müssen so nicht mehr den nächstgelegenen Standort bestimmen.
|
Mobilitätsfreundliche |
● Entwickelt für mobile Benutzer ● Kann so konfiguriert werden, dass die VPN-Verbindung bei IP-Adressänderungen, Verbindungsausfällen oder im Ruhe- oder Standby-Modus aufrechterhalten wird.
● Mit Trusted Network Detection kann die VPN-Verbindung automatisch getrennt werden, wenn sich ein Endbenutzer im Büro befindet, und hergestellt werden, wenn sich ein Benutzer an einem entfernten Standort befindet.
|
Verschlüsselung |
● AES-256 und 3DES-168. (Auf dem Sicherheits-Gateway-Gerät muss eine Lizenz für starke Verschlüsselung aktiviert sein.) ● NSA Suite B-Algorithmen, ESPv3 mit IKEv2, 4096-Bit-RSA-Schlüssel, Diffie-Hellman-Gruppe 24 und erweitertes SHA2 (SHA-256 und SHA-384). Gilt nur für IPsec-IKEv2-Verbindungen. Eine AnyConnect Apex-Lizenz ist erforderlich.
|
Breite Palette von Bereitstellungs- und Verbindungsoptionen |
Bereitstellungsoptionen: ● Vorabbereitstellung, einschließlich Microsoft Installer
● Automatische Sicherheits-Gateway-Bereitstellung (für die Erstinstallation sind Administratorrechte erforderlich) über ActiveX (nur Windows) und Java Verbindungsmodi:
● Standalone über Systemsymbol ● Über den Browser initiiert (Start über das Internet)
● Clientless-Portal wurde initiiert ● CLI initiiert ● API initiiert
|
Breite Palette von Authentifizierungsoptionen |
● RADIUS ● RADIUS mit Kennwortablauf (MSCHAPv2) an NT LAN Manager (NTLM) ● RADIUS One Time Password (OTP)-Unterstützung (Status- und Antwortattribute)
● RSA SecurID (einschließlich SoftID-Integration) ● Active Directory oder Kerberos ● Eingebettete Zertifizierungsstelle ● Digitales Zertifikat oder Smartcard (einschließlich Systemzertifikatunterstützung), automatische oder Benutzerauswahl ● Lightweight Directory Access Protocol (LDAP) mit Kennwortablauf und zeitlicher Befristung von Kennwörtern ● Allgemeine LDAP-Unterstützung ● Kombinierte mehrstufige Zertifikats- und Benutzernamen-Kennwort-Authentifizierung (doppelte Authentifizierung)
|
Konsistentes Anwendererlebnis |
● Der Full-Tunnel-Client-Modus unterstützt Remote-Benutzer, die ein konsistentes, LAN-ähnliches Benutzererlebnis benötigen. ● Eine Vielzahl von Bereitstellungsmethoden sorgt für umfassende AnyConnect-Kompatibilität. ● Der Benutzer kann Push-Updates zurückstellen. ● Feedback-Option zum Kundenerlebnis ist verfügbar.
|
Zentrale Richtlinienkontrolle und -verwaltung |
● Richtlinien können vorkonfiguriert oder lokal konfiguriert und automatisch über das VPN-Sicherheits-Gateway aktualisiert werden. ● Eine API für AnyConnect vereinfacht die Bereitstellung über Webseiten oder Anwendungen. ● Überprüfung und Ausgabe von Benutzerwarnungen für nicht vertrauenswürdige Zertifikate.
● Zertifikate können lokal angezeigt und verwaltet werden.
|
Erweiterte IP-Netzwerkverbindungen |
● Öffentliche Verbindungen zu und von IPv4- und IPv6-Netzwerken ● Zugriff auf interne IPv4- und IPv6-Netzwerkressourcen ● Administratorgesteuerte Netzwerkzugriffsrichtlinien für Split-Tunneling und für das Senden aller Daten über den Tunnel ● Zugriffskontrollrichtlinie ● Anwendungsbasierte VPN-Richtlinie für Google Android (Lollipop) und Samsung KNOX (neu in Version 4.0; erfordert Cisco ASA 5500-X mit OS 9.3 oder höher und AnyConnect 4.0-Lizenzen) Zuweisungsmechanismen für IP-Adressen: ● Statisch ● Interner Pool
● Dynamic Host Configuration Protocol (DHCP) ● RADIUS/LDAP
|
Robuste einheitliche Endgeräte-Compliance (Apex-Lizenz erforderlich)
|
● Für kabelgebundene und Wireless-Umgebungen (die den Cisco Identity Services Engine NAC-Agenten ersetzen) werden Statusanalysen und Problembehebung für Endpunkte unterstützt. Identity Services Engine 1.3 oder höher mit Identity Services Engine-Apex-Lizenz erforderlich ● Cisco Host Scan sucht auf dem Endgerätesystem nach Antivirus-Software, persönlicher Firewall-Software und Windows Service Packs, bevor der Netzwerkzugriff gewährt wird. ● Administratoren können außerdem benutzerdefinierte Statusprüfungen auf Basis der ausgeführten Prozesse definieren. ● Host Scan erkennt das Vorhandensein eines Wasserzeichens auf einem Remote-System. Das Wasserzeichen kann verwendet werden, um Ressourcen zu identifizieren, die sich im Besitz des Unternehmens befinden, und bietet dadurch einen differenzierten Zugriff. Die Funktion zur Überprüfung von Wasserzeichen umfasst Registrierungswerte, das Vorhandensein einer Datei, die mit einer erforderlichen CRC32-Prüfsumme übereinstimmt, die Übereinstimmung mit dem IP-Adressbereich und Zertifikate, die von einer entsprechenden Zertifizierungsstelle oder an eine entsprechende Zertifizierungsstelle ausgestellt wurden. Für nicht konforme Anwendungen werden zusätzliche Funktionen unterstützt. ● Die Funktionen variieren je nach Betriebssystem. Detaillierte Informationen finden Sie in den Diagrammen zur Host-Scan-Unterstützung.
|
Client-Firewall-Richtlinie |
● Bietet zusätzlichen Schutz für Split-Tunneling-Konfigurationen. ● Wird in Verbindung mit dem AnyConnect-Client verwendet, um Ausnahmen für den lokalen Zugriff zu ermöglichen (z. B. Drucken, Tethering-Unterstützung für Geräte usw.). ● Unterstützt portbasierte Regeln für IPv4 sowie Netzwerk- und IP-Zugriffskontrolllisten (ACLs) für IPv6. ● Verfügbar für Windows- und Mac OS X-Plattformen.
|
Lokalisierung |
Zusätzlich zu Englisch sind die folgenden Übersetzungen enthalten:
● Tschechisch (cs-cz) ● Deutsch (de-de) ● Spanisch (es-es)
● Französisch (fr-fr) ● Japanisch (ja-jp) ● Koreanisch (ko-kr)
● Polnisch (pl-pl) ● Vereinfachtes Chinesisch (zh-cn) ● Chinese (Taiwan) (zh-tw) ● Niederländisch (nl-nl) ● Ungarisch (hu-hu)
● Italienisch (it-it) ● Portugiesisch (Brasilien) (pt-br) ● Russisch (ru-ru)
|
Einfache Client-Verwaltung |
● Administratoren können Software- und Richtlinien-Updates automatisch über die Sicherheitslösung am Headend verbreiten und damit aufwändige Client-Software-Updates vermeiden.
● Administratoren können festlegen, welche Funktionen für die Endbenutzerkonfiguration zur Verfügung gestellt werden. ● Administratoren können ein Endpunktskript zu Verbindungs- und Verbindungsunterbrechungszeiten auslösen, wenn Domänen-Anmeldeskripts nicht verwendet werden können. ● Administratoren können die für Endbenutzer angezeigten Meldungen vollständig anpassen und lokalisieren.
|
Profil-Editor |
● AnyConnect-Richtlinien können direkt über den Cisco Adaptive Security Device Manager (ASDM) angepasst werden.
|
Diagnose |
● Statistiken und Protokollierungsinformationen sind direkt auf dem Gerät verfügbar. ● Protokolle können auf dem Gerät angezeigt werden. ● Protokolle können problemlos zur Analyse per E-Mail an Cisco oder einen Administrator gesendet werden.
|
Federal Information Processing Standard (FIPS) |
● FIPS 140-2 Level 2-konform (es gelten Einschränkungen hinsichtlich Plattform, Funktionen und Version)
|
Sichere Mobilität und Netzwerktransparenz
|
Integration von Web Security (Cloud Web Security-Lizenz erforderlich)
|
● Nutzt Cloud Web Security, den weltweit größten Anbieter von Software-as-a-Service (SaaS)-Websicherheit, um Malware von Unternehmensnetzwerken fernzuhalten und die Internetnutzung der Mitarbeiter zu kontrollieren und zu schützen. ● Unterstützt in der Cloud gehostete Konfigurationen und dynamisches Laden. ● Mehr Flexibilität und Auswahl für Unternehmen durch die Unterstützung von Cloud-basierten Services zusätzlich zu standortbasierten Services. ● lässt sich in die Web Security Appliance integrieren ● Unterstützt Trusted Network Detection ● Sicherheitsrichtlinien werden bei jeder Transaktion unabhängig vom Benutzerstandort durchgesetzt. ● Erfordert eine stets verfügbare, hochsichere Netzwerkverbindung mit einer Richtlinie zum Zulassen oder Verweigern der Netzwerkverbindung, wenn der Zugriff nicht verfügbar ist. ● Erkennt Hotspots und Captive Portals.
|
Network Visibility-Modul (Apex-Lizenz erforderlich) |
● Erkennung potenzieller Verhaltensanomalien durch Überwachung der Anwendungsnutzung
● Ermöglicht fundiertere Entscheidungen hinsichtlich des Netzwerkdesigns. ● Gemeinsame Nutzung von Nutzungsdaten mit einer wachsenden Anzahl IPFIX-fähiger (Internet Protocol Flow Information Export) Netzwerkanalysetools
|
Enabler für Advanced Malware Protection (AMP) für Endgeräte (AMP für Endgeräte wird separat lizenziert) |
● Vereinfacht die Bereitstellung von Bedrohungsdiensten für AnyConnect-Endgeräte durch die Verteilung und Aktivierung von Cisco AMP für Endgeräte. ● Ermöglicht die Erweiterung der Services für Endpunktbedrohungen auf Remote-Endpunkte und erhöht so die Abdeckung von Endpunktbedrohungen. ● Bietet proaktiveren Schutz, um sicherzustellen, dass Angriffe auf entfernte Endgeräte schnell abgewehrt werden.
|
Unterstützung zahlreicher Betriebssysteme |
● Windows 10, 8.1, 8 und 7 ● Mac OS X 10.8 und höher
|
Network Access Manager und 802.1X
|
Medienunterstützung |
● Ethernet (IEEE 802.3) ● Wi-Fi (IEEE 802.11a/b/g/n)
|
Netzwerkauthentifizierung |
● IEEE 802.1X-2001, 802.1X-2004 und 802.1X-2010 ● Stellt ein zentrales 802.1X-Authentifizierungs-Framework für den Zugriff auf kabelgebundene und Wireless-Netzwerke bereit.
● Verwaltet die Benutzer- und Geräteidentität sowie die Netzwerkzugriffsprotokolle, die für den hochsicheren Zugriff erforderlich sind. ● Optimiert das Anwendererlebnis bei der Verbindung mit einem einheitlichen kabelgebundenen und Wireless-Netzwerk von Cisco.
|
Extensible Authentication Protocol (EAP)-Methoden |
● EAP-Transport Layer Security (TLS) ● EAP-Protected Extensible Authentication Protocol (PEAP) mit folgenden internen Verfahren: - EAP-TLS
- EAP-MSCHAPv2 - EAP-GTC (Generic Token Card)
● EAP-Flexible Authentication via Secure Tunneling (FAST) mit folgenden internen Verfahren:
- EAP-TLS - EAP-MSCHAPv2 - EAP-GTC
● EAP-Tunneled TLS (TTLS) mit folgenden internen Verfahren: - Password Authentication Protocol (PAP) - Challenge Handshake Authentication Protocol (CHAP) - Microsoft CHAP (MSCHAP) - MSCHAPv2
- EAP-MD5 - EAP-MSCHAPv2 ● LEAP (Lightweight EAP), nur Wi-Fi ● EAP-Message Digest 5 (MD5), vom Administrator konfiguriert, nur für Ethernet
● EAP-MSCHAPv2, vom Administrator konfiguriert, nur für Ethernet ● EAP-GTC, vom Administrator konfiguriert, nur für Ethernet
|
Wireless-Verschlüsselungsmethoden (entsprechende 802.11 NIC-Unterstützung erforderlich) |
● Offen ● Wired Equivalent Privacy (WEP) ● Dynamisches WEP
● Wi-Fi Protected Access (WPA) Enterprise ● WPA2 Enterprise
● WPA-Personal (WPA-PSK) ● WPA2-Personal (WPA2-PSK) ● CCKM (erfordert Cisco CB21AG Wireless NIC)
|
Wireless-Verschlüsselungsprotokolle |
● Zählermodus mit Cipher Block Chaining Message Authentication Code Protocol (CCMP) unter Verwendung des Advanced Encryption Standard (AES)-Algorithmus ● Temporal Key Integrity Protocol (TKIP) unter Verwendung der Rivest Cipher 4 (RC4)-Stream-Verschlüsselung
|
Sitzungswiederaufnahme |
● RFC2716 (EAP-TLS)-Sitzungswiederaufnahme unter Verwendung von EAP-TLS, EAP-FAST, EAP-PEAP und EAP-TTLS
● Stateless EAP-FAST-Sitzungswiederaufnahme ● PMK-ID-Caching (Proactive Key Caching oder Opportunistic Key Caching), nur Windows XP
|
Ethernet-Verschlüsselung |
● Medienzugriffskontrolle: IEEE 802.1AE (MACsec) ● Schlüsselverwaltung: MACsec-Schlüsselvereinbarung (MKA) ● Definiert eine Sicherheitsinfrastruktur in einem kabelgebundenen Ethernet-Netzwerk, um Datenvertraulichkeit, Datenintegrität und Datenursprungsauthentifizierung zu ermöglichen. ● Schützt die Kommunikation zwischen vertrauenswürdigen Netzwerkkomponenten.
|
Eine Verbindung nach der anderen |
● Nur eine Verbindung mit dem Netzwerk zulassen, alle anderen trennen
● Kein Bridging zwischen Adaptern. ● Ethernet-Verbindungen haben automatisch Priorität.
|
Komplexe Servervalidierung |
● Unterstützt Regeln für "ends with" (endet mit) und "exact match" (exakte Übereinstimmung). ● Unterstützung von mehr als 30 Regeln für Server ohne Gemeinsamkeiten im Namen.
|
EAP-Verkettung (EAP-FASTv2) |
● Differenziert den Zugriff basierend auf Enterprise- und Nicht-Enterprise-Ressourcen.
● Validiert Benutzer und Geräte in einer einzigen EAP-Transaktion.
|
Enterprise Connection Enforcement (ECE) |
● Stellt sicher, dass Benutzer nur mit dem richtigen Unternehmensnetzwerk verbunden sind.
● Verhindert, dass sich Benutzer mit einem Access Point eines Drittanbieters verbinden, um im Büro im Internet zu surfen. ● Verhindert, dass Benutzer auf das Gastnetzwerk zugreifen.
● Macht umständliches Blacklisting überflüssig
|
Verschlüsselungstechnologie der nächsten Generation (Suite B) |
● Unterstützt die neuesten Verschlüsselungsstandards. ● Elliptic Curve Diffie-Hellman-Schlüsselaustausch ● ECDSA-Zertifikate (Elliptic Curve Digital Signature Algorithm)
|
Zertifikatstypen |
● Interaktive Benutzerkennwörter oder Windows-Kennwörter ● RSA SecurID-Token
● One Time Password (OTP)-Token ● Smartcards (Axalto, Gemplus, SafeNet iKey, Alladin). ● X.509-Zertifikate. ● ECDSA-Zertifikate (Elliptic Curve Digital Signature Algorithm)
|
Remote-Desktop-Unterstützung |
● Authentifiziert die Anmeldeinformationen von Remote-Benutzern für das lokale Netzwerk bei Verwendung des Remote Desktop Protocol (RDP).
|
Unterstützte Betriebssysteme |
● Windows 10, 8.1, 8 und 7
|