VPN de acesso remoto |
Amplo suporte a sistemas operacionais |
● Windows 10, 8.1, 8 e 7 ● Mac OS X 10.8 e posterior
● Linux Intel (x64) ● Consulte a folha de dados do AnyConnect Mobile para obter informações sobre a plataforma móvel.
|
Acesso otimizado à rede: SSL de escolha de protocolo VPN (TLS e DTLS) IPsec IKEv2 |
● O AnyConnect oferece uma opção de protocolos de VPN, para que os administradores possam usar o protocolo que melhor se adapte às suas necessidades de negócios. O suporte a encapsulamento ● inclui SSL (TLS 1.2 e DTLS) e IPsec IKEv2 de próxima geração. ● DTLS fornece uma conexão otimizada para tráfego sensível à latência, como o tráfego VoIP ou o acesso a aplicativos baseados em TCP. O ● TLS 1.2 (HTTP sobre TLS ou SSL) ajuda a garantir a disponibilidade da conectividade de rede através de ambientes bloqueados, incluindo aqueles que usam servidores proxy da Web. ● IPsec IKEv2 fornece uma conexão otimizada para tráfego sensível à latência quando políticas de segurança exigem o uso de IPsec.
|
Seleção de gateway ideal |
● Determina e estabelece a conectividade para o ponto de acesso de rede ideal, eliminando a necessidade de os usuários finais determinarem o local mais próximo.
|
Amigável para mobilidade |
● Projetado para usuários móveis ● Pode ser configurado para que a conexão VPN permaneça estabelecida durante alterações de endereço IP, perda de conectividade ou hibernação ou standby.
● Com o Trusted Network Detection, a conexão VPN pode se desconectar automaticamente quando um usuário final está no escritório e se conectar quando um usuário está em um local remoto.
|
Criptografia |
● AES-256 e 3DES-168. (O dispositivo de gateway de segurança deve ter uma licença de criptografia forte ativada.) ● algoritmos NSA Suite B, ESPv3 com IKEv2, chaves RSA de 4096 bits, grupo Diffie-Hellman 24 e SHA2 aprimorado (SHA-256 e SHA-384). Aplica-se somente a conexões IPsec IKEv2. É necessária uma licença Apex do AnyConnect.
|
Ampla variedade de opções de implantação e conexão |
Opções de implantação: Pré-implantação ●, incluindo o Microsoft Installer
● Implantação automática do gateway de segurança (são necessários direitos administrativos para a instalação inicial) por AtiveX (somente Windows) e Java Modos de conexão:
● Ícone Autônomo pelo sistema Iniciado pelo navegador ● (início na Web)
● Portal sem cliente iniciado CLI ● iniciado API ● iniciada
|
Ampla gama de opções de autenticação |
RAIO ● ● RADIUS com expiração de senha (MSCHAPv2) para NT LAN Manager (NTLM) Suporte a senha única (OTP - one-time password) do RADIUS ● (atributos de mensagem de estado e resposta)
● RSA SecurID (incluindo integração com SoftID) ● Ative Diretory ou Kerberos ● Autoridade de Certificação (CA) Incorporada ● Certificado digital ou smartcard (incluindo suporte a certificado de máquina), selecionado automaticamente ou pelo usuário ● Lightweight Diretory Access Protocol (LDAP) com expiração e vencimento da senha ● Suporte LDAP genérico ● Certificado combinado e autenticação multifator nome-senha (autenticação dupla)
|
Experiência de usuário consistente |
● Modo cliente de túnel completo suporta usuários de acesso remoto que necessitam de uma experiência de usuário consistente, semelhante à da LAN. ● Vários métodos de entrega ajudam a garantir ampla compatibilidade do AnyConnect. ● Usuário pode adiar atualizações enviadas por push. ● A opção Comentários sobre a experiência do cliente está disponível.
|
Controle e gerenciamento centralizados de políticas |
As Políticas de ● podem ser pré-configuradas ou configuradas localmente e podem ser atualizadas automaticamente a partir do gateway de segurança da VPN. ● API para AnyConnect facilita as implantações por meio de páginas da Web ou aplicativos. ● A verificação e os avisos do usuário são emitidos para certificados não confiáveis.
● Os certificados podem ser exibidos e gerenciados localmente.
|
Conectividade de rede IP avançada |
● Conectividade pública de e para redes IPv4 e IPv6 ● Acesso a recursos de rede IPv4 e IPv6 internos ● Política de acesso à rede de tunelamento dividido e de tunelamento completo controlada pelo administrador ● Política de controle de acesso ● Política de VPN por aplicativo para Google Android (Lollipop) e Samsung KNOX (novo no Release 4.0; requer o Cisco ASA 5500-X com OS 9.3 ou posterior e licenças do AnyConnect 4.0) Mecanismos de atribuição de endereços IP: ● estática ● Pool interno
Protocolo de Configuração Dinâmica de Host (DHCP - Dynamic Host Configuration Protocol) ● ● RADIUS/LDAP
|
Conformidade robusta de endpoint unificado (Licença Apex necessária)
|
● A avaliação e a correção da postura do endpoint são compatíveis com ambientes com e sem fio (substituindo o Cisco Identity Services Engine NAC Agent). Requer o Identity Services Engine 1.3 ou posterior com a licença Apex do Identity Services Engine. ● Cisco Hostscan procura detectar a presença de software antivírus, software de firewall pessoal e service packs do Windows no sistema de endpoint antes de conceder acesso à rede. ● administradores também têm a opção de definir verificações de postura personalizadas com base na presença de processos em execução. ● O Hostscan detecta a presença de uma marca d'água em um sistema remoto. A marca d'água pode ser usada para identificar ativos que são de propriedade da empresa e, como resultado, fornecer acesso diferenciado. O recurso de verificação de marca d’água inclui valores de registro do sistema, existência de arquivo correspondendo a um checksum CRC32 necessário, correspondência de intervalo de endereço IP e certificados emitidos por ou para uma autoridade de certificação correspondente. Recursos adicionais são suportados para aplicativos fora de conformidade. ● As funções variam conforme o sistema operacional. Consulte os gráficos de Suporte de Host Scan para obter informações detalhadas.
|
Política de firewall do cliente |
● Fornece proteção adicional para configurações de separação de túneis. ● Usado em conjunto com o cliente AnyConnect para permitir exceções de acesso local (por exemplo, impressão, suporte a dispositivo limitado e assim por diante). ● Suporta regras baseadas em porta para IPv4 e listas de controle de acesso (ACLs) de rede e IP para IPv6. ● Disponível para plataformas Windows e Mac OS X.
|
Localização |
Além do inglês, estão incluídas as seguintes traduções:
● Tcheco (cs-cz) ● alemão (de-de) ● espanhol (es-es)
● francês (fr-fr) ● japonês (ja-jp) ● Coreano (ko-kr)
● Polonês (pl-pl) Chinês simplificado ● (zh-cn) Chinês ● (Taiwan) (zh-tw) ● Holandês (nl-nl) ● Húngaro (hu-hu)
● Italiano (it-it) ● Português (Brasil) (pt-br) ● Russo (ru-ru)
|
Facilidade de administração do cliente |
Os administradores do ● podem distribuir automaticamente atualizações de software e políticas a partir do dispositivo de segurança de headend, eliminando assim a administração associada às atualizações de software do cliente.
● Administradores podem determinar quais recursos disponibilizar para a configuração do usuário final. ● Administradores podem acionar um script de endpoint nos momentos de conexão e desconexão quando os scripts de login de domínio não puderem ser utilizados. ● Os administradores podem personalizar e localizar completamente as mensagens visíveis do usuário final.
|
Editor de perfil |
● As políticas do AnyConnect podem ser personalizadas diretamente do Cisco Adaptive Security Device Manager (ASDM).
|
Diagnósticos |
● As estatísticas e informações de registro no dispositivo estão disponíveis. ● registros podem ser visualizados no dispositivo. ● registros podem ser facilmente enviados por e-mail para a Cisco ou um administrador para análise.
|
FIPS (Federal Information Processing Standard, padrão federal de processamento de informações) |
● compatível com FIPS 140-2 nível 2 (restrições de plataforma, recursos e versão se aplicam)
|
Mobilidade segura e visibilidade da rede
|
Integração de segurança da Web (É necessária a licença do Cloud Web Security)
|
A ● usa o Cloud Web Security, o maior provedor global de segurança da Web Software-as-a-Service (SaaS), para manter o malware fora das redes corporativas e controlar e proteger o uso da Web pelos funcionários. ● Oferece suporte a configurações hospedadas em nuvem e carregamento dinâmico. ● Proporciona flexibilidade e escolha às empresas, oferecendo suporte a serviços baseados em nuvem além de serviços baseados no local. O ● se integra ao Web Security Appliance. O ● Suporta Detecção de Rede Confiável. ● Aplica a política de segurança em todas as transações, independentemente da localização do usuário. ● Requer conectividade de rede altamente segura sempre ativa com uma política para permitir ou negar conectividade de rede se o acesso ficar indisponível. ● Detecta pontos de acesso e portais cativos.
|
Módulo de visibilidade de rede (Licença Apex necessária) |
● Descobrir possíveis anomalias de comportamento monitorando o uso do aplicativo.
● Permite decisões de projeto de rede mais informadas. ● Pode compartilhar dados de uso com um número cada vez maior de ferramentas de análise de rede compatíveis com o protocolo IPFIX (Internet Protocol Flow Information Export).
|
Advanced Malware Protection (AMP) para ativador de endpoints (AMP para endpoints licenciados separadamente) |
● Simplifica a habilitação de serviços de ameaças para endpoints do AnyConnect, distribuindo e habilitando o Cisco AMP para endpoints. ● Estende serviços de ameaças de endpoint para endpoints remotos, aumentando a cobertura contra ameaças de endpoint. ● Fornece proteção mais proativa para garantir que um ataque seja atenuado no endpoint remoto rapidamente.
|
Amplo suporte a sistemas operacionais |
● Windows 10, 8.1, 8 e 7 ● Mac OS X 10.8 e posterior
|
Network Access Manager e 802.1X
|
Suporte de mídia |
Ethernet ● (IEEE 802.3) Wi-Fi ● (IEEE 802.11a/b/g/n)
|
Autenticação de rede |
● IEEE 802.1X-2001, 802.1X-2004 e 802.1X-2010 ● Permite que as empresas implantem uma única estrutura de autenticação 802.1X para acessar redes com e sem fio.
● Gerencia a identidade do usuário e do dispositivo e os protocolos de acesso à rede necessários para um acesso altamente seguro. ● Otimiza a experiência do usuário ao conectar-se a uma rede com e sem fio unificada da Cisco.
|
Métodos EAP (Extensible Authentication Protocol) |
● EAP - Transport Layer Security (TLS) ● PEAP (EAP-Protected Extensible Authentication Protocol) com os seguintes métodos internos: - EAP-TLS
- EAP-MSCHAPv2 - EAP - Placa de token genérica (GTC)
● EAP-Flexible Authentication via Secure Tunneling (FAST) com os seguintes métodos internos:
- EAP-TLS - EAP-MSCHAPv2 - EAP-GTC
● TTLS em túnel EAP (TTLS) com os seguintes métodos internos: - Password Authentication Protocol (PAP) (Protocolo de autenticação de senha). - Challenge Handshake Authentication Protocol (CHAP) (Protocolo de autenticação de handshake de desafio). - Microsoft CHAP (MSCHAP). - MSCHAPv2
- EAP-MD5 - EAP-MSCHAPv2 ● EAP leve (LEAP), somente Wi-Fi ● EAP-Message Digest 5 (MD5), configurado pelo administrador, somente Ethernet
● EAP-MSCHAPv2, configurado pelo administrador, somente Ethernet ● EAP-GTC, configurado administrativamente, somente Ethernet
|
Métodos de criptografia sem fio (requer suporte à NIC 802.11 correspondente) |
● Aberto WEP (Wired Equivalent Privacy, Privacidade Equivalente com Fio) ● ● WEP dinâmico
● WPA (Wi-Fi Protected Access) Enterprise ● WPA2 Enterprise
● WPA-Personal (WPA-PSK) ● WPA2-Personal (WPA2-PSK) ● CCKM (requer placa de rede sem fio Cisco CB21AG)
|
Protocolos de criptografia sem fio |
Modo de Contador de ● com o Protocolo de Código de Autenticação de Mensagem de Encadeamento de Blocos de Criptografia (CCMP) usando o algoritmo AES (Advanced Encryption Standard) ● TKIP (Temporal Key Integrity Protocol) usando a cifra de fluxo RC4 (Rivest Cipher 4)
|
Reinício da sessão |
● Retomada da sessão RFC2716 (EAP-TLS) usando EAP-TLS, EAP-FAST, EAP-PEAP e EAP-TTLS
● retomada de sessão stateless EAP-FAST Cache ● PMK-ID (cache de chave proativa ou de chave oportunista), somente Windows XP
|
Criptografia Ethernet |
Controle de Acesso ao Meio ●: IEEE 802.1AE (MACsec) ● Gerenciamento de chaves: Contrato de chave MACsec (MKA) ● Define uma infraestrutura de segurança em uma rede Ethernet com fio para fornecer confidencialidade de dados, integridade de dados e autenticação da origem de dados. ● Protege a comunicação entre componentes confiáveis da rede.
|
Uma conexão de cada vez |
● Permite apenas uma única conexão com a rede, desconectando todas as outras.
● Sem bridging entre adaptadores. ● as conexões Ethernet automaticamente têm prioridade.
|
Validação de servidor complexa |
● Suporta as regras "termina com" e "correspondência exata". ● Suporte para mais de 30 regras para servidores sem compatibilidade de nomes.
|
Encadeamento EAP (EAP-FASTv2) |
● Diferencia o acesso com base em ativos empresariais e não empresariais.
● Valida usuários e dispositivos em uma única transação EAP.
|
Aplicação da conexão corporativa (ECE) |
● Ajuda a garantir que os usuários se conectem apenas à rede corporativa correta.
● Impede que os usuários se conectem a um ponto de acesso de terceiros para navegar na Internet enquanto estiverem no escritório. ● Impede que os usuários estabeleçam acesso à rede de convidados.
● Elimina a lista negra incômoda.
|
Criptografia de última geração (Suite B) |
● Suporta os mais recentes padrões criptográficos. ● Chave Diffie-Hellman de Curva Elíptica ● Certificados ECDSA (Elliptic Curve Digital Signature Algorithm)
|
Tipos de credencial |
● Senhas de usuário interativas ou senhas do Windows ● tokens RSA SecurID
● Tokens de senha ocasional (OTP) ● Smartcards (Axalto, Gemplus, SafeNet iKey, Alladin). ● certificados X.509. ● Certificados ECDSA (Elliptic Curve Digital Signature Algorithm).
|
Suporte a desktop remoto |
● Autentica as credenciais do usuário remoto na rede local ao usar o protocolo RDP.
|
Sistemas operacionais suportados |
● Windows 10, 8.1, 8 e 7
|