Remote-Access VPN |
Brede ondersteuning voor besturingssystemen |
● Windows 10, 8.1, 8 en 7 ● Mac OS X 10.8 en hoger
● Linux Intel (x64) ● Raadpleeg het AnyConnect Mobile-gegevensblad voor informatie over het mobiele platform.
|
Geoptimaliseerde netwerktoegang: VPN-protocolkeuze SSL (TLS en DTLS); IPsec IKEv2 |
● AnyConnect biedt een keuze uit VPN-protocollen, zodat beheerders de protocollen kunnen gebruiken die het beste bij hun bedrijfsbehoeften passen. ●-tunnelondersteuning omvat SSL (TLS 1.2 en DTLS) en IPsec IKEv2 van de volgende generatie. ● DTLS biedt een geoptimaliseerde verbinding voor latentiegevoelig verkeer, zoals VoIP-verkeer of TCP-gebaseerde toegang voor toepassingen. ● TLS 1.2 (HTTP over TLS of SSL) helpt de beschikbaarheid van netwerkconnectiviteit te garanderen via vergrendelde omgevingen, waaronder omgevingen die gebruik maken van webproxyservers. ● IPsec IKEv2 biedt een geoptimaliseerde verbinding voor latentiegevoelig verkeer wanneer voor beveiligingsbeleid IPsec moet worden gebruikt.
|
Optimale gatewayselectie |
● Bepaalt en vestigt connectiviteit aan het optimale netwerk-access point, eliminerend de behoefte aan eind - gebruikers om de meest dichtbijgelegen plaats te bepalen.
|
Mobiliteitsvriendelijk |
● Ontworpen voor mobiele gebruikers ● Kan zo worden geconfigureerd dat de VPN-verbinding tot stand wordt gebracht tijdens wijzigingen in IP-adres, verlies van connectiviteit, winterslaap of stand-by.
● Met Trusted Network Detection kan de VPN-verbinding automatisch worden verbroken wanneer een eindgebruiker in het kantoor is en verbinding maken wanneer een gebruiker zich op een externe locatie bevindt.
|
Versleuteling |
● AES-256 en 3DES-168. (Het security gateway-apparaat moet een strong-crypto-licentie hebben ingeschakeld.) ● NSA Suite B-algoritmen, ESPv3 met IKEv2, 4096-bits RSA-sleutels, Diffie-Hellman groep 24 en verbeterde SHA2 (SHA-256 en SHA-384). Is alleen van toepassing op IPsec IKEv2-verbindingen. Er is een AnyConnect Apex-licentie vereist.
|
Breed scala aan implementatie- en verbindingsopties |
Implementatieopties: ●, inclusief Microsoft Installer
● Automatische security gateway-implementatie (beheerrechten zijn vereist voor eerste installatie) door ActiveX (alleen Windows) en Java Verbindingsmodi:
● Standalone op systeempictogram ● Door browser geïnitieerd (webstart)
● geïnitieerd clientloos portal ● CLI gestart ● API gestart
|
Breed scala aan verificatieopties |
● ● RADIUS met wachtwoordverloop (MSCHAPv2) naar NT LAN Manager (NTLM) Ondersteuning van ● RADIUS-eenmalig wachtwoord (OTP) (kenmerken van stats- en antwoordberichten)
● RSA SecurID (inclusief SoftID-integratie) ● Active Directory voor Kerberos ● ingesloten certificeringsinstantie (CA) ● Digitaal certificaat of smartcard (inclusief ondersteuning voor machinecertificaat), automatisch of door de gebruiker geselecteerd ● Lichtgewicht Directory Access Protocol (LDAP) met wachtwoordverloop en veroudering ● generieke LDAP-ondersteuning ● Gecombineerde verificatie van certificaat en gebruikerswachtwoord met meerdere factoren (dubbele verificatie)
|
Consistente gebruikerservaring |
● Full-tunnel clientmodus ondersteunt gebruikers met externe toegang die een consistente LAN-achtige gebruikerservaring nodig hebben. ● Meerdere leveringsmethoden helpen een brede compatibiliteit van AnyConnect te garanderen. ● Gebruiker kan gedrukte updates uitstellen. ● Optie voor feedback van de klantervaring is beschikbaar.
|
Gecentraliseerde beleidscontrole en -beheer |
● Beleid kan lokaal worden vooraf geconfigureerd of geconfigureerd en kan automatisch worden bijgewerkt via de VPN-beveiligingsgateway. ● API voor AnyConnect maakt implementaties eenvoudig via webpagina's of toepassingen. ● Controle en gebruikerswaarschuwingen worden afgegeven voor onbetrouwbare certificaten.
● Certificaten kunnen lokaal worden bekeken en beheerd.
|
Geavanceerde IP-netwerkconnectiviteit |
● Publieke connectiviteit naar en van IPv4- en IPv6-netwerken ● toegang tot interne IPv4- en IPv6-netwerkbronnen ● door beheerder gecontroleerd gesplitste tunneling en een volledige tunneling van het netwerktoegangsbeleid ●-toegangscontrolebeleid ● Per-app VPN-beleid voor Google Android (Lollipop) en Samsung KNOX (nieuw in release 4.0; vereist Cisco ASA 5500-X met OS 9.3 of hoger en AnyConnect 4.0-licenties) Mechanismen voor IP-adrestoewijzing: Statisch ● ● Intern zwembad
● Dynamic Host Configuration Protocol (DHCP) ● RADIUS/LDAP
|
Robuuste Unified Endpoint compliance (Apex-licentie vereist)
|
● Endpoint posture-evaluatie en -herstel worden ondersteund voor bekabelde en draadloze omgevingen (ter vervanging van de Cisco Identity Services Engine NAC Agent). Vereist Identity Services Engine 1.3 of hoger met Identity Services Engine Apex-licentie. ● Cisco Hostscan probeert de aanwezigheid van antivirussoftware, persoonlijke firewallsoftware en Windows-servicepacks op het endpointsysteem te detecteren voordat u netwerktoegang verleent. ● Beheerders hebben ook de mogelijkheid om aangepaste posteringscontroles te definiëren op basis van de aanwezigheid van actieve processen. ● Hostscan detecteert de aanwezigheid van een watermerk op een afgelegen systeem. Het watermerk kan worden gebruikt om activa te identificeren die het eigendom van de onderneming zijn en als resultaat daarvan gedifferentieerde toegang verlenen. De mogelijkheid om watermerken te controleren omvat systeemregisterwaarden, bestandsexistentie die overeenkomen met een vereiste CRC32-checksum, IP-adresbereik matching, en certificaten die zijn afgegeven door of aan een overeenkomende certificeringsinstantie. Aanvullende functies worden ondersteund voor toepassingen die niet aan de vereisten voldoen. ● functies variëren per besturingssysteem. Zie de Host Scan Support-kaarten voor meer informatie.
|
Clientfirewallbeleid |
● Biedt extra bescherming voor configuraties met splitter/tunneling. ● Wordt gebruikt in combinatie met de AnyConnect-client om uitzonderingen voor lokale toegang mogelijk te maken (bijvoorbeeld ondersteuning voor afdrukken, aangesloten apparaten enzovoort). ● Ondersteunt poortgebaseerde regels voor IPv4 en netwerk- en IP-toegangscontrolelijsten (ACL’s) voor IPv6. ● Beschikbaar voor Windows- en Mac OS X-platforms.
|
Lokalisatie |
Naast het Engels zijn de volgende vertalingen in de taal opgenomen:
● Tsjechisch (CS-cz) ● Duits (de-de) ● Spaans (es-es)
● Frans (fr-fr) ● Japans (ja-jp) ● Koreaans (ko-kr)
●-pl) ● Vereenvoudigd Chinees (zh-cn) ● Chinees (Taiwan) (zh-tw) ● Nederlands (nl-nl) ● Hongaars (hu-hu)
● Italiaans (it-it) ● Portugees (Brazilië) (pt-br) ● Russisch (ru-ru)
|
Gemak van clientbeheer |
● Beheerders kunnen automatisch software- en beleidsupdates van het head-end security apparaat distribueren, waardoor het beheer van client-software-updates overbodig wordt.
● beheerders kunnen bepalen welke functies beschikbaar moeten worden gesteld voor de configuratie van de eindgebruiker. ● Beheerders kunnen een endpointscript starten op connect- en disconnect-tijden wanneer domeinlogscripts niet kunnen worden gebruikt. ● Beheerders kunnen zichtbare berichten van eindgebruikers volledig aanpassen en lokaliseren.
|
Profieleditor |
● AnyConnect-beleid kan rechtstreeks worden aangepast vanuit Cisco Adaptive Security Device Manager (ASDM).
|
Diagnostiek |
● Er zijn statistieken over het apparaat en registratiegegevens beschikbaar. ● Logs kunnen op apparaat worden bekeken. ● Logs kunnen eenvoudig per e-mail naar Cisco of een beheerder worden verzonden voor analyse.
|
Federal Information Processing Standard (FIPS) |
● FIPS 140-2 niveau 2 compatibel (platform, functie en versie beperkingen van toepassing)
|
Beveiligde mobiliteit en netwerkzichtbaarheid
|
Integratie van webbeveiliging (Licentie voor Cloud Web Security vereist)
|
● maakt gebruik van Cloud Web Security, de grootste wereldwijde provider van Software-as-a-Service (SaaS) webbeveiliging, om malware uit bedrijfsnetwerken te houden en het webgebruik van werknemers te controleren en te beveiligen. ● Ondersteunt cloudgehoste configuraties en dynamisch laden. ● Biedt organisaties flexibiliteit en keuzevrijheid door cloudgebaseerde services te ondersteunen in aanvulling op op locatie gebaseerde services. ● wordt geïntegreerd in de Web security applicatie. ● ondersteunt betrouwbare netwerkdetectie. ● Dwingt het veiligheidsbeleid in elke transactie af, onafhankelijk van de plaats van de gebruiker. ● Vereist altijd-op hoogst veilige netwerkconnectiviteit met een beleid om netwerkconnectiviteit toe te laten of te ontkennen als de toegang niet beschikbaar wordt. ● Detecteert hotspots en captive portals.
|
Netwerkzichtbaarheidsmodule (Apex-licentie vereist) |
● Ontdek mogelijke gedragsanomalieën door het gebruik van toepassingen te controleren.
● Maakt geïnformeerde beslissingen over netwerkontwerp mogelijk. ● Kan gebruiksgegevens delen met een groeiend aantal IPFIX-geschikte netwerkanalysetools (Internet Protocol Flow Information Export).
|
Advanced Malware Protection (AMP) voor endpoints (Advanced Malware Protection voor endpoints, afzonderlijk gelicentieerd) |
● Vereenvoudigt het inschakelen van bedreigingsservices voor AnyConnect-endpoints door Cisco Advanced Malware Protection voor endpoints te distribueren en in te schakelen. ● Breidt endpointbedreigingsservices uit naar externe endpoints, waardoor de dekking van endpointbedreigingen toeneemt. ● Biedt een meer proactieve bescherming om er zeker van te zijn dat een aanval op het externe eindpunt snel wordt verzacht.
|
Brede ondersteuning voor besturingssystemen |
● Windows 10, 8.1, 8 en 7 ● Mac OS X 10.8 en hoger
|
Network Access Manager en 802.1X
|
Mediaondersteuning |
● Ethernet (IEEE 802.3) ● Wi-Fi (IEEE 802.11a/b/g/n)
|
Netwerkverificatie |
● IEEE 802.1X-201, 802.1X-2004 en 802.1X-2010 ● Hiermee kunnen bedrijven één 802.1X-verificatiekader implementeren voor toegang tot zowel bekabelde als draadloze netwerken.
● Beheer van de gebruiker en de identiteit van het apparaat en van de netwerktoegangsprotocollen die vereist zijn voor zeer beveiligde toegang. ● Optimaliseert de gebruikerservaring bij het aansluiten op een Cisco Unified bekabeld en draadloos netwerk.
|
EAP-methoden (Extensible Verification Protocol) |
● EAP-Transport Layer Security (TLS) ● EAP-Protected Extensible Verification Protocol (PEAP) met de volgende interne methoden: - EAP-TLS
- EAP-MSCHAPv2 - EAP-Generic Token Card (GTC)
● EAP-Flexibele verificatie via Secure Tunneling (FAST) met de volgende interne methoden:
- EAP-TLS - EAP-MSCHAPv2 - EAP-GTC
● EAP-Tunneling TLS (TTLS) met de volgende interne methoden: - Wachtwoordverificatieprotocol (PAP). - Challenge Handshake Verification Protocol (CHAP). - Microsoft CHAP (MSCHAP). - MSCHAPv2
- EAP-MD5 - EAP-MSCHAPv2 ● Lichtgewicht EAP (LEAP), alleen Wi-Fi ● EAP-Message Digest 5 (MD5), geconfigureerd voor beheer, alleen Ethernet
● EAP-MSCHAPv2, alleen geconfigureerd voor beheer, Ethernet ● EAP-GTC, geconfigureerd voor beheer, alleen Ethernet
|
Draadloze coderingsmethoden (hiervoor is 802.11 NIC-ondersteuning vereist) |
● openen ● Wired Equivalent Privacy (WEP) ● Dynamisch WEP
● Wi-Fi Protected Access (WPA) voor ondernemingen ● WPA2 Enterprise
● WPA Personal (WPA-PSK) ● WPA2 Personal (WPA2-PSK) ● CCKM (vereist Cisco CB21AG draadloze NIC)
|
Draadloze coderingsprotocollen |
● Counter mode met Cycle Block Chaining Message Authentication Protocol (CCMP) met behulp van het algoritme Advanced Encryption Standard (AES) ● TKIP (Temporal Key Integrity Protocol) met behulp van het Rivest Cycle 4 (RC4)-stream-algoritme
|
Sessiehervatting |
● RFC2716 (EAP-TLS)-sessiehervatting met EAP-TLS, EAP-FAST, EAP-PEAP en EAP-TTLS
● EAP-FAST-hervatting van stateless sessies ● PMK-ID-caching (proactieve sleutelcaching of opportunistische sleutelcaching), alleen Windows XP
|
Ethernet-encryptie |
●-toegangscontrole voor media: IEEE 802.1AE (MACsec) ● Beheer sleutel: MACsec-sleutelovereenkomst (MKA) ● definieert een beveiligingsinfrastructuur op een bekabeld Ethernet-netwerk om vertrouwelijkheid van gegevens, gegevensintegriteit en verificatie van herkomst van gegevens te bieden. ● Beschermt de communicatie tussen vertrouwde componenten van het netwerk.
|
Eén verbinding per keer |
● Maakt slechts één verbinding met het netwerk mogelijk en koppelt alle andere verbindingen los.
● Geen overbrugging tussen adapters. ● Ethernet-verbindingen krijgen automatisch prioriteit.
|
Complexe servervalidatie |
● Ondersteunt "eindigt met" en "exacte overeenkomst" regels. ● Ondersteuning voor meer dan 30 regels voor servers zonder gemeenschappelijke naamgeving.
|
EAP-ketening (EAP-FASTv2) |
● Maakt toegang gedifferentieerd op basis van bedrijfsmiddelen en activa die niet tot het bedrijf behoren.
● Valideert gebruikers en apparaten in één EAP-transactie.
|
Enterprise Connection Enforcement (ECE) |
● Zorg ervoor dat gebruikers alleen verbinding maken met het juiste bedrijfsnetwerk.
● Verhindert gebruikers om met een derdetoegangspunt te verbinden om op Internet te surfen terwijl in het bureau. ● Voorkomt dat gebruikers toegang krijgen tot het gastennetwerk.
● Maakt een einde aan omslachtige zwarte lijsten.
|
Next-generation encryptie (Suite B) |
● Ondersteunt de nieuwste cryptografische standaarden. ● Elliptic Curve Diffie-Hellman toetsuitwisseling ● ECDSA-certificaten (Elliptic Curve Digital Signature Algorithm)
|
Credentietypen |
● interactieve gebruikerswachtwoorden of Windows-wachtwoorden ● RSA SecurID-tokens
● eenmalige wachtwoordtoken (OTP) ● Smartcards (Axalto, Gemplus, SafeNet iKey, Alladin). ● X.509-certificaten. ● Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten.
|
Ondersteuning voor Remote desktop |
● Verifieert externe gebruikersreferenties naar het lokale netwerk wanneer het Remote Desktop Protocol (RDP) wordt gebruikt.
|
Ondersteunde besturingssystemen |
● Windows 10, 8.1, 8 en 7
|