| VPN d'accès à distance |
| Prise en charge étendue des systèmes d'exploitation |
● Windows 10, 8.1, 8 et 7
● Mac OS X 10.8 et versions ultérieures
● Linux Intel (x64)
● Consultez la fiche technique AnyConnect Mobile pour obtenir des informations sur la plate-forme mobile.
|
Accès réseau optimisé : VPN, choix de protocole SSL
(TLS et DTLS); IKEv2 IPsec |
● AnyConnect offre un choix de protocoles VPN, de sorte que les administrateurs peuvent utiliser le protocole le mieux adapté aux besoins de leur entreprise.
● La prise en charge de la transmission tunnel inclut SSL (TLS 1.2 et DTLS) et IPsec IKEv2 de nouvelle génération.
● DTLS fournit une connexion optimisée pour le trafic sensible à la latence, tel que le trafic VoIP ou l'accès aux applications basé sur TCP.
● TLS 1.2 (HTTP sur TLS ou SSL) permet de garantir la disponibilité de la connectivité réseau via des environnements verrouillés, y compris ceux utilisant des serveurs proxy Web.
● IPsec IKEv2 fournit une connexion optimisée pour le trafic sensible à la latence lorsque les stratégies de sécurité nécessitent l'utilisation d'IPsec.
|
| Sélection de passerelle optimale |
● Détermine et établit la connectivité au point d’accès réseau optimal, ce qui évite aux utilisateurs finaux de devoir déterminer l’emplacement le plus proche.
|
| Adapté à la mobilité |
● Conçu pour les utilisateurs mobiles
● Peut être configuré de sorte que la connexion VPN reste établie pendant les changements d’adresse IP, la perte de connectivité, ou la mise en veille prolongée ou en veille.
● Avec la détection de réseau fiable, la connexion VPN peut se déconnecter automatiquement lorsqu'un utilisateur final se trouve au bureau et se connecter lorsqu'un utilisateur se trouve sur un site distant.
|
| Chiffrement |
● AES-256 et 3DES-168. (Une licence de chiffrement fort doit être activée sur le périphérique de passerelle de sécurité.)
● Algorithmes NSA Suite B, ESPv3 avec IKEv2, clés RSA 4096 bits, groupe Diffie-Hellman 24 et SHA2 amélioré (SHA-256 et SHA-384). S'applique uniquement aux connexions IPsec IKEv2. Une licence AnyConnect Apex est requise.
|
| Large éventail d'options de déploiement et de connexion |
Options de déploiement:
● Prédéploiement, y compris Microsoft Installer
● Déploiement automatique de la passerelle de sécurité (des droits d'administration sont requis pour l'installation initiale) par ActiveX (Windows uniquement) et Java
Modes de connexion :
● Icône Autonome par système
● Lancée par le navigateur (lancement Web)
● Lancement du portail sans client
● Lancement de CLI
● API initiée
|
| Large éventail d'options d'authentification |
● RAYON
● RADIUS avec expiration du mot de passe (MSCHAPv2) vers NT LAN Manager (NTLM)
● Prise en charge du mot de passe à usage unique (OTP) RADIUS (attributs des messages d'état et de réponse)
● RSA SecurID (y compris intégration SoftID)
● Active Directory ou Kerberos
● Autorité de certification (CA) intégrée
● Certificat numérique ou carte à puce (y compris prise en charge des certificats machine), sélection automatique ou par l'utilisateur
● Protocole LDAP (Lightweight Directory Access Protocol) avec expiration et vieillissement du mot de passe
● Prise en charge LDAP générique
● Authentification multifacteur par certificat et nom d'utilisateur/mot de passe combinés (double authentification)
|
| Expérience utilisateur homogène |
● Le mode client Full-Tunnel prend en charge les utilisateurs d’accès à distance qui ont besoin d’une expérience utilisateur cohérente de type LAN.
● Plusieurs méthodes de livraison permettent d’assurer une compatibilité étendue d’AnyConnect.
● L’utilisateur peut différer les mises à jour différées.
● Une option de commentaires sur l'expérience client est disponible.
|
| Contrôle et gestion centralisés des politiques |
● Les stratégies peuvent être préconfigurées ou configurées localement et peuvent être mises à jour automatiquement à partir de la passerelle de sécurité VPN.
● L'API pour AnyConnect facilite les déploiements via des pages Web ou des applications.
● La vérification et les avertissements des utilisateurs sont émis pour les certificats non approuvés.
● Les certificats peuvent être affichés et gérés localement.
|
| Connectivité réseau IP avancée |
● Connectivité publique vers et depuis les réseaux IPv4 et IPv6
● Accès aux ressources réseau IPv4 et IPv6 internes
● Politique d’accès réseau à transmission tunnel partagée et à transmission tunnel intégrale contrôlée par l’administrateur
● Politique de contrôle d'accès
● Politique VPN par application pour Google Android (Lollipop) et Samsung KNOX (nouveauté de la version 4.0 ; nécessite Cisco ASA 5500-X avec OS 9.3 ou version ultérieure et licences AnyConnect 4.0)
Mécanismes d’attribution des adresses IP :
● Statique
● Pool interne
● Protocole DHCP (Dynamic Host Configuration Protocol)
● RADIUS/LDAP
|
Conformité robuste des terminaux unifiés
(Licence Apex requise)
|
● L'évaluation et la correction de la position des terminaux sont prises en charge pour les environnements filaires et sans fil (en remplacement de l'agent NAC de Cisco Identity Services Engine). Nécessite Identity Services Engine 1.3 ou version ultérieure avec une licence Apex Identity Services Engine.
● Cisco Hostscan cherche à détecter la présence d'un logiciel antivirus, d'un pare-feu personnel et de Service Packs Windows sur le système d'extrémité avant d'accorder l'accès au réseau.
● Les administrateurs ont également la possibilité de définir des vérifications de position personnalisées en fonction de la présence de processus en cours d'exécution.
● Hostscan détecte la présence d'un filigrane sur un système distant. Le filigrane peut être utilisé pour identifier les ressources appartenant à l'entreprise et fournir ainsi un accès différencié. La fonctionnalité de vérification de filigrane comprend des valeurs de registre système, une existence de fichier correspondant à une somme de contrôle CRC32 requise, une correspondance de plage d'adresses IP et des certificats émis par ou à une autorité de certification correspondante. Des fonctionnalités supplémentaires sont prises en charge pour les applications non conformes.
● Les fonctions varient selon le système d’exploitation. Consultez les graphiques de prise en charge de Host Scan pour des informations détaillées.
|
| Stratégie de pare-feu client |
● Offre une protection supplémentaire pour les configurations de transmission tunnel partagée.
● Utilisé avec le client AnyConnect pour autoriser les exceptions d’accès local (par exemple, l’impression, la prise en charge des périphériques connectés, etc.).
● Prend en charge les règles basées sur les ports pour IPv4 et les listes de contrôle d'accès (ACL) réseau et IP pour IPv6.
● Disponible pour les plates-formes Windows et Mac OS X.
|
| Localisation |
Outre l'anglais, les traductions suivantes sont incluses :
● tchèque (cs-cz)
● Allemand (de-de)
● Espagnol (es-es)
● Français (fr-fr)
● Japonais (ja-jp)
● Coréen (ko-kr)
● Polonais (pl-pl)
● Chinois simplifié (zh-cn)
● Chinois (Taïwan) (zh-tw)
● néerlandais (nl-nl)
● Hongrois (hu-hu)
● Italien (it-it)
● Portugais (Brésil) (pt-br)
● Russe (ru-ru)
|
| Facilité d'administration client |
● Les administrateurs peuvent distribuer automatiquement les mises à jour des logiciels et des stratégies à partir de l'appliance de sécurité de tête de réseau, éliminant ainsi l'administration associée aux mises à jour des logiciels clients.
● Les administrateurs peuvent déterminer les fonctionnalités à mettre à disposition pour la configuration de l’utilisateur final.
● Les administrateurs peuvent déclencher un script de point de terminaison aux heures de connexion et de déconnexion lorsque les scripts de login de domaine ne peuvent pas être utilisés.
● Les administrateurs peuvent entièrement personnaliser et localiser les messages visibles par l’utilisateur final.
|
| Éditeur de profil |
● Les stratégies AnyConnect peuvent être personnalisées directement à partir de Cisco Adaptive Security Device Manager (ASDM).
|
| Diagnostics |
● Des statistiques et des informations de journalisation sont disponibles sur le périphérique.
● Les journaux peuvent être affichés sur le périphérique.
● Les journaux peuvent être facilement envoyés par e-mail à Cisco ou à un administrateur pour analyse.
|
| Norme FIPS (Federal Information Processing Standard) |
● Conformité FIPS 140-2 niveau 2 (restrictions de plate-forme, de fonctionnalité et de version applicables)
|
| Mobilité sécurisée et visibilité sur le réseau
|
Intégration de la sécurité Web
(Licence Cloud Web Security requise)
|
● Utilise Cloud Web Security, le plus grand fournisseur mondial de logiciels en tant que service (SaaS) de sécurité Web, pour empêcher les programmes malveillants d'accéder aux réseaux d'entreprise et pour contrôler et protéger l'utilisation du Web par les employés.
● Prend en charge les configurations hébergées dans le cloud et le chargement dynamique.
● Offre aux entreprises la flexibilité et le choix en prenant en charge des services cloud en plus des services sur site.
● S'intègre à l'appliance de sécurité Web.
● Prend En Charge La Détection De Réseau Fiable.
● Applique la stratégie de sécurité à chaque transaction, indépendamment de l'emplacement de l'utilisateur.
● Nécessite une connectivité réseau hautement sécurisée et toujours active, avec une stratégie d’autorisation ou de refus de la connectivité réseau si l’accès devient indisponible.
● Détecte les hotspots et les portails captifs.
|
Module de visibilité réseau
(Licence Apex requise) |
● Détecter les anomalies de comportement potentielles en surveillant l'utilisation des applications.
● Permet de prendre des décisions de conception de réseau plus avisées.
● Peut partager des données d'utilisation avec un nombre croissant d'outils d'analyse réseau compatibles IPFIX (Internet Protocol Flow Information Export).
|
Advanced Malware Protection (AMP) pour Endpoints Enabler
(AMP for Endpoints sous licence séparée) |
● Simplifie l'activation des services de protection contre les menaces sur les terminaux AnyConnect en distribuant et en activant CiscoAMP for Endpoints.
● Étend les services de protection des terminaux aux terminaux distants, augmentant ainsi la couverture des terminaux.
● Offre une protection plus proactive pour garantir une réduction plus rapide des risques d'attaque au niveau du terminal distant.
|
| Prise en charge étendue des systèmes d'exploitation |
● Windows 10, 8.1, 8 et 7
● Mac OS X 10.8 et versions ultérieures
|
| Network Access Manager et 802.1X
|
| support média |
● Ethernet (IEEE 802.3)
● Wi-Fi (IEEE 802.11a/b/g/n)
|
| Authentification réseau |
● IEEE 802.1X-2001, 802.1X-2004 et 802.1X-2010
● Permet aux entreprises de déployer un cadre d'authentification 802.1X unique pour accéder aux réseaux filaires et sans fil.
● Gère l’identité des utilisateurs et des périphériques ainsi que les protocoles d’accès réseau requis pour un accès hautement sécurisé.
● Optimise l'expérience utilisateur lors de la connexion à un réseau filaire et sans fil unifié Cisco.
|
| Méthodes EAP (Extensible Authentication Protocol) |
● EAP-TLS (Transport Layer Security)
● PEAP (EAP-Protected Extensible Authentication Protocol) avec les méthodes internes suivantes :
- EAP-TLS
- EAP-MSCHAPv2
- Carte à jeton générique EAP (GTC)
● EAP-Flexible Authentication via Secure Tunneling (FAST) avec les méthodes internes suivantes :
- EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
● EAP-Tunneled TLS (TTLS) avec les méthodes internes suivantes :
- Protocole PAP (Password Authentication Protocol).
- Protocole CHAP (Challenge Handshake Authentication Protocol).
- Microsoft CHAP (MSCHAP).
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
● LEAP (Lightweight EAP), Wi-Fi uniquement
● EAP-Message Digest 5 (MD5), administrateur configuré, Ethernet uniquement
● EAP-MSCHAPv2, configuré pour l'administration, Ethernet uniquement
● EAP-GTC, configuré pour l'administration, Ethernet uniquement
|
| Méthodes de cryptage sans fil (nécessite la prise en charge de la carte réseau 802.11 correspondante) |
● Ouvert
● WEP (Wired Equivalent Privacy)
● WEP dynamique
● Wi-Fi Protected Access (WPA) Enterprise
● WPA2 Entreprise
● WPA personnel (WPA-PSK)
● WPA2 personnel (WPA2-PSK)
● CCKM (nécessite une carte réseau sans fil Cisco CB21AG)
|
| Protocoles de cryptage sans fil |
● Mode compteur avec protocole CCMP (Cipher Block Chaining Message Authentication Code Protocol) utilisant l’algorithme AES (Advanced Encryption Standard)
● Protocole TKIP (Temporal Key Integrity Protocol) utilisant le chiffrement de flux Rivest Cipher 4 (RC4)
|
| Reprise de session |
● Reprise de session RFC2716 (EAP-TLS) avec EAP-TLS, EAP-FAST, EAP-PEAP et EAP-TTLS
● Reprise de session sans état EAP-FAST
● Mise en cache PMK-ID (Proactive Key Caching ou Opportunistic Key Caching), Windows XP uniquement
|
| Cryptage Ethernet |
● Contrôle d'accès au support : IEEE 802.1AE (MACsec)
● Gestion des clés : Accord de clé MACsec (MKA)
● Définit une infrastructure de sécurité sur un réseau Ethernet câblé afin d’assurer la confidentialité, l’intégrité et l’authentification de l’origine des données.
● Protège la communication entre les composants sécurisés du réseau.
|
| Une connexion à la fois |
● Autorise une seule connexion au réseau, déconnectant toutes les autres.
● Pas de pontage entre les cartes.
● Les connexions Ethernet sont automatiquement prioritaires.
|
| Validation de serveur complexe |
● Prend en charge les règles « se termine par » et « correspondance exacte ».
● Prise en charge de plus de 30 règles pour les serveurs sans homogénéité de nom.
|
| Chaînage EAP (EAP-FASTv2) |
● Différencie l'accès en fonction des actifs de l'entreprise et des actifs hors entreprise.
● Valide les utilisateurs et les périphériques dans une transaction EAP unique.
|
| Application de la connexion d'entreprise (ECE) |
● Permet de s’assurer que les utilisateurs se connectent uniquement au réseau d’entreprise approprié.
● Empêche les utilisateurs de se connecter à un point d'accès tiers pour surfer sur Internet lorsqu'ils sont au bureau.
● Empêche les utilisateurs d’établir l’accès au réseau invité.
● Élimine les listes noires fastidieuses.
|
| Cryptage de nouvelle génération (Suite B) |
● Prend en charge les dernières normes cryptographiques.
● Échange de clés Diffie-Hellman à courbe elliptique
● Certificats ECDSA (Elliptic Curve Digital Signature Algorithm)
|
| Types d'informations |
● Mots de passe utilisateur interactifs ou Windows
● Jetons RSA SecurID
● Jetons OTP (One-time password)
● Cartes à puce (Axalto, Gemplus, SafeNet iKey, Alladin).
● Certificats X.509.
● Certificats ECDSA (Elliptic Curve Digital Signature Algorithm).
|
| Assistance Bureau à distance |
● Authentifie les informations d’identification de l’utilisateur distant sur le réseau local lorsque le protocole RDP (Remote Desktop Protocol) est utilisé.
|
| Systèmes d'exploitation pris en charge |
● Windows 10, 8.1, 8 et 7
|
Commentaires