| VPN ad accesso remoto |
| Ampio supporto del sistema operativo |
● Windows 10, 8.1, 8 e 7
● Mac OS X 10.8 e versioni successive
● Linux Intel (x64)
● Per informazioni sulla piattaforma mobile, vedere il foglio dati AnyConnect Mobile.
|
Accesso alla rete ottimizzato: Scelta protocollo VPN SSL
(TLS e DTLS); IPsec IKEv2 |
● AnyConnect offre una scelta di protocolli VPN, in modo che gli amministratori possano utilizzare il protocollo più adatto alle loro esigenze aziendali.
● Il supporto del tunneling include SSL (TLS 1.2 e DTLS) e IPsec IKEv2 di nuova generazione.
● DTLS fornisce una connessione ottimizzata per il traffico sensibile alla latenza, come il traffico VoIP o l'accesso alle applicazioni basato su TCP.
● TLS 1.2 (HTTP su TLS o SSL) aiuta a garantire la disponibilità della connettività di rete tramite ambienti bloccati, inclusi quelli che utilizzano server proxy Web.
● IPsec IKEv2 offre una connessione ottimizzata per il traffico sensibile alla latenza quando i criteri di sicurezza richiedono l'uso di IPsec.
|
| Selezione ottimale del gateway |
● Determina e stabilisce la connettività al punto di accesso alla rete ottimale, eliminando la necessità per gli utenti finali di determinare la posizione più vicina.
|
| Facile da utilizzare |
● Progettato per gli utenti mobili
● Può essere configurato in modo che la connessione VPN rimanga stabilita durante la modifica dell'indirizzo IP, la perdita di connettività, l'ibernazione o lo standby.
● Con Trusted Network Detection, la connessione VPN può disconnettersi automaticamente quando un utente è in ufficio e connettersi quando un utente si trova in una postazione remota.
|
| Crittografia |
● AES-256 e 3DES-168. (Il dispositivo gateway di sicurezza deve avere una licenza strong-crypto abilitata.)
● Algoritmi NSA Suite B, ESPv3 con IKEv2, chiavi RSA a 4096 bit, gruppo Diffie-Hellman 24 e SHA2 migliorato (SHA-256 e SHA-384). Si applica solo alle connessioni IPsec IKEv2. È richiesta una licenza AnyConnect Apex.
|
| Ampia gamma di opzioni di distribuzione e connessione |
Opzioni di implementazione:
● Predistribuzione, incluso Microsoft Installer
● Distribuzione automatica del gateway di sicurezza (per l'installazione iniziale sono necessari diritti amministrativi) da parte di ActiveX (solo Windows) e Java
Modalità di connessione:
● Indipendente dall'icona di sistema
● Avviato dal browser (avvio dal Web)
● Portale senza client avviato
● CLI avviata
● API avviata
|
| Vasta gamma di opzioni di autenticazione |
● RAGGIO
● RADIUS con scadenza password (MSCHAPv2) per NT LAN Manager (NTLM)
● Supporto OTP (One-Time Password) RADIUS (attributi del messaggio di stato e risposta)
● RSA SecurID (inclusa l'integrazione SoftID)
● Active Directory o Kerberos
● Autorità di certificazione (CA) incorporata
● Certificato digitale o smart card (incluso il supporto per certificati del computer), auto o selezionato dall'utente
● Lightweight Directory Access Protocol (LDAP) con scadenza e durata della password
● Supporto LDAP generico
● Autenticazione multifattore combinata nome utente e password (doppia autenticazione)
|
| Esperienza utente coerente |
● La modalità client full-tunnel supporta gli utenti con accesso remoto che richiedono un'esperienza utente coerente simile a quella di una LAN.
● L'uso di più metodi di consegna garantisce un'ampia compatibilità di AnyConnect.
● L'utente può rinviare gli aggiornamenti push.
● L'opzione per il feedback sull'esperienza del cliente è disponibile.
|
| Gestione e controllo centralizzati delle policy |
● I criteri possono essere preconfigurati o configurati localmente e possono essere aggiornati automaticamente dal gateway di sicurezza VPN.
● L'API per AnyConnect semplifica le distribuzioni tramite pagine Web o applicazioni.
● La verifica e gli avvisi utente vengono emessi per i certificati non attendibili.
● I certificati possono essere visualizzati e gestiti localmente.
|
| Connettività di rete IP avanzata |
● Connettività pubblica da e verso reti IPv4 e IPv6
● Accesso alle risorse di rete IPv4 e IPv6 interne
● Criteri di accesso alla rete per lo split-tunneling e il tunneling completo controllati dall'amministratore
● Criteri di controllo di accesso
● Criteri VPN per app per Google Android (Lollipop) e Samsung KNOX (novità della release 4.0; richiede Cisco ASA 5500-X con OS 9.3 o versioni successive e licenze AnyConnect 4.0)
Meccanismi di assegnazione degli indirizzi IP:
● Statico
● Pool interno
● DHCP (Dynamic Host Configuration Protocol)
● RADIUS/LDAP
|
Solida conformità degli endpoint unificati
(è richiesta la licenza Apex)
|
● La valutazione e la correzione della postura dell'endpoint sono supportate per ambienti cablati e wireless (in sostituzione dell'agente NAC Cisco Identity Services Engine). Richiede Identity Services Engine 1.3 o versione successiva con licenza Identity Services Engine Apex.
● Cisco Hostscan cerca di rilevare la presenza di software antivirus, software firewall personale e service pack di Windows sul sistema dell'endpoint prima di concedere l'accesso alla rete.
● Gli amministratori hanno anche la possibilità di definire controlli di postura personalizzati in base alla presenza di processi in esecuzione.
● Hostscan rileva la presenza di una filigrana su un sistema remoto. La filigrana può essere utilizzata per identificare i cespiti di proprietà dell'azienda e fornire di conseguenza un accesso differenziato. La funzionalità di verifica della filigrana include i valori del Registro di sistema, l'esistenza dei file corrispondente al checksum CRC32 richiesto, la corrispondenza dell'intervallo di indirizzi IP e i certificati rilasciati da o a un'autorità di certificazione corrispondente. Sono supportate funzionalità aggiuntive per le applicazioni non conformi.
● Le funzioni variano a seconda del sistema operativo. Per informazioni dettagliate, vedere i grafici Host Scan Support.
|
| Criteri firewall client |
● Offre una maggiore protezione per le configurazioni di tunneling con split.
● Utilizzato in combinazione con il client AnyConnect per consentire eccezioni di accesso locale (ad esempio, stampa, supporto di dispositivi collegati e così via).
● Supporta regole basate sulle porte per IPv4 e elenchi di controllo di accesso (ACL) IPv6 e di rete.
● Disponibile per piattaforme Windows e Mac OS X.
|
| Localizzazione |
Oltre all'inglese, sono incluse le seguenti traduzioni:
● Ceco (cs-cz)
● Tedesco (de-de)
● Spagnolo (es-es)
● Francese (fr-fr)
● Giapponese (ja-jp)
● Coreano (ko-kr)
● Polacco (pl-pl)
● Cinese semplificato (zh-cn)
● Cinese (Taiwan) (zh-tw)
● Olandese (nl-nl)
● Ungherese (hu-hu)
● Italiano (it-it)
● Portoghese (Brasile) (pt-br)
● Russo (ru-ru)
|
| Facilità di amministrazione dei client |
● Gli amministratori possono distribuire automaticamente gli aggiornamenti di software e policy dall'appliance di sicurezza headend, eliminando così l'amministrazione associata agli aggiornamenti software del client.
● Gli amministratori possono determinare quali funzionalità rendere disponibili per la configurazione dell'utente finale.
● Gli amministratori possono attivare uno script endpoint quando non è possibile utilizzare gli script di accesso al dominio durante i tempi di connessione e disconnessione.
● Gli amministratori possono personalizzare e localizzare completamente i messaggi visibili all'utente finale.
|
| Editor profili |
● Le policy AnyConnect possono essere personalizzate direttamente da Cisco Adaptive Security Device Manager (ASDM).
|
| Diagnostica |
● Sono disponibili le statistiche e le informazioni di registrazione sul dispositivo.
● È possibile visualizzare i log sul dispositivo.
● I log possono essere facilmente inviati via e-mail a Cisco o a un amministratore per l'analisi.
|
| FIPS (Federal Information Processing Standard) |
● FIPS 140-2 conforme al livello 2 (restrizioni per piattaforma, funzionalità e versione applicate)
|
| Mobilità sicura e visibilità della rete
|
Integrazione della sicurezza Web
(licenza Cloud Web Security richiesta)
|
● Utilizza Cloud Web Security, il più grande fornitore globale di sicurezza Web SaaS (Software-as-a-Service), per tenere il malware lontano dalle reti aziendali e controllare e salvaguardare l'uso Web dei dipendenti.
● Supporta configurazioni ospitate nel cloud e caricamento dinamico.
● Offre alle organizzazioni flessibilità e scelta supportando servizi basati sul cloud oltre a servizi basati sulla sede.
● Si integra con Web Security Appliance.
● Supporta Il Rilevamento Di Reti Attendibili.
● Impone i criteri di sicurezza in ogni transazione, indipendentemente dalla posizione dell'utente.
● Richiede una connettività di rete altamente sicura sempre attiva con un criterio per autorizzare o negare la connettività di rete se l'accesso non è disponibile.
● Rileva gli hotspot e i portali in cattività.
|
Network Visibility Module
(è richiesta la licenza Apex) |
● Scoprire potenziali anomalie di comportamento monitorando l'utilizzo delle applicazioni.
● Consente decisioni di progettazione della rete più informate.
● Può condividere i dati di utilizzo con un numero crescente di strumenti di analisi della rete compatibili con IPFIX (Internet Protocol Flow Information Export).
|
Advanced Malware Protection (AMP) per Endpoints Enabler
(AMP for Endpoints concesso in licenza separatamente) |
● Semplifica l'abilitazione dei servizi di minacce agli endpoint AnyConnect distribuendo e abilitando Cisco AMP for Endpoints.
● Estende i servizi minacce endpoint agli endpoint remoti, aumentando la copertura delle minacce endpoint.
● Fornisce una protezione più proattiva per garantire ulteriormente che un attacco venga rapidamente mitigato sull'endpoint remoto.
|
| Ampio supporto del sistema operativo |
● Windows 10, 8.1, 8 e 7
● Mac OS X 10.8 e versioni successive
|
| Network Access Manager e 802.1X
|
| Supporto dei supporti |
● Ethernet (IEEE 802.3)
● Wi-Fi (IEEE 802.11a/b/g/n)
|
| Autenticazione di rete |
● IEEE 802.1X-2001, 802.1X-2004 e 802.1X-2010
● Consente alle aziende di distribuire un singolo framework di autenticazione 802.1X per accedere a reti cablate e wireless.
● Gestisce l'identità dell'utente e del dispositivo e i protocolli di accesso alla rete necessari per un accesso altamente sicuro.
● Ottimizza l'esperienza dell'utente durante la connessione a una rete cablata e wireless unificata di Cisco.
|
| Metodi EAP (Extensible Authentication Protocol) |
● EAP-Transport Layer Security (TLS)
● EAP-Protected Extensible Authentication Protocol (PEAP) con i seguenti metodi interni:
- EAP-TLS
- EAP-MSCHAPv2
- GTC (EAP-Generic Token Card)
● EAP-Flexible Authentication via Secure Tunneling (FAST) con i seguenti metodi interni:
- EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
● EAP-Tunneled TLS (TTLS) con i seguenti metodi interni:
- Protocollo PAP (Password Authentication Protocol).
- Protocollo CHAP (Challenge Handshake Authentication Protocol).
- CHAP Microsoft (MSCHAP).
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
● EAP leggero (LEAP), solo Wi-Fi
● EAP-Message Digest 5 (MD5), configurazione amministrativa, solo Ethernet
● EAP-MSCHAPv2, configurato per l'amministrazione, solo Ethernet
● EAP-GTC, configurato per l'amministrazione, solo Ethernet
|
| Metodi di crittografia wireless (è necessario il supporto NIC 802.11 corrispondente) |
● Apri
● WEP (Wired Equivalent Privacy)
● WEP dinamico
● WPA (Wi-Fi Protected Access) Enterprise
● WPA2 Enterprise
● WPA - Personale (WPA-PSK)
● WPA2 Personal (WPA2-PSK)
● CCKM (richiede una scheda di interfaccia di rete wireless Cisco CB21AG)
|
| Protocolli di crittografia wireless |
● Modalità contatore con CCMP (Cipher Block Chaining Message Authentication Code Protocol) che utilizza l'algoritmo AES (Advanced Encryption Standard)
● TKIP (Temporal Key Integrity Protocol) con la cifratura di flusso RC4 (Rivest Cipher 4)
|
| Ripresa della sessione |
● RFC2716 (EAP-TLS) - Ripresa della sessione con EAP-TLS, EAP-FAST, EAP-PEAP e EAP-TTLS
● Ripresa della sessione senza stato EAP-FAST
● Cache PMK-ID (Proactive Key Caching o Opportunistic Key Caching), solo Windows XP
|
| crittografia Ethernet |
● Controllo accesso ai supporti: IEEE 802.1AE (MACsec)
● Gestione chiavi: Contratto chiave MACsec (MKA)
● Definisce un'infrastruttura di sicurezza su una rete Ethernet cablata per fornire la riservatezza, l'integrità e l'autenticazione dei dati di origine.
● Salvaguarda la comunicazione tra i componenti attendibili della rete.
|
| Una connessione alla volta |
● Consente una sola connessione alla rete, disconnettendo tutte le altre.
● Nessun bridging tra schede.
● Le connessioni Ethernet hanno automaticamente la priorità.
|
| Convalida complessa dei server |
● Supporta le regole "termina con" e "corrispondenza esatta".
● Supporto di oltre 30 regole per i server senza compatibilità dei nomi.
|
| Concatenamento EAP (EAP-FASTv2) |
● Differenziazione dell'accesso in base alle risorse aziendali e non aziendali.
● Convalida utenti e dispositivi in una singola transazione EAP.
|
| Applicazione Enterprise Connection (ECE) |
● Garantisce che gli utenti si connettano solo alla rete aziendale corretta.
● Impedisce agli utenti di connettersi a un punto di accesso di terze parti per navigare su Internet mentre sono in ufficio.
● Impedisce agli utenti di stabilire l'accesso alla rete guest.
● Elimina la fastidiosa blacklist.
|
| Crittografia di nuova generazione (Suite B) |
● Supporta gli standard di crittografia più recenti.
● Scambio chiavi Diffie-Hellman a curva ellittica
● Certificati ECDSA (Elliptic Curve Digital Signature Algorithm)
|
| Tipi di credenziali |
● Password utente interattive o password di Windows
● Token RSA SecurID
● Token One-Time Password (OTP)
● Smartcard (Axalto, Gemplus, SafeNet iKey, Alladin).
● Certificati X.509.
● Certificati ECDSA (Elliptic Curve Digital Signature Algorithm).
|
| Supporto desktop remoto |
● Autentica le credenziali dell'utente remoto nella rete locale quando si utilizza Remote Desktop Protocol (RDP).
|
| Sistemi operativi supportati |
● Windows 10, 8.1, 8 e 7
|
Feedback