Cisco France Blog

Anyconnect Mobile 3.0 est disponible

2 min read



 1

La version 3.0 d’anyconnect Mobile est disponible pour Android et IOS

 2

IPsec IKEv2

La  version 3.0 apporte le support des tunnels IPsec avec IKEv2 en complement du support déjà existant du SSL-VPN, avec comme méthodes d’authentifications supportées :

–       EAP-GTC, EAP-MD5, et EAP-MSCHAPv2

–       Méthode IKE RSA

Pour le support d’IKEv2 sur les mobiles vous devez disposer du code ASA 9.0 ou supérieur

3

FIPS et Crypto Suite B

Crypto conforme FIPS 140-2 et Crypto NSA Suite B (next-gen crypto nécéssite le code ASA 9.0 et des ASA de nouvelle génération (5512, 5515, 5525, 5545, 5555 et 5585)

Algorithms Suite B supportés:

–       AES-GCM (clés de 128, 192, et 256-bits) pour le chiffrement symetrique et l’intégrité

–       IKEv2 payload chiffrement et authentification (AES-GCM)

–       Paquets ESP chiffrement et authentication

–       SHA-2 (SHA avec 256/384/512 bits)

–       Authentification payload IKEv2

–       Support ECDH pour l’échange des clés

–       Echange des clés, groupes 19, 20, et 21 IKEv2 et IKEv2 PFS

–       Support ECDSA (256, 384, 512-bit elliptic curves) pour signature digitale, authentification et encryption asymétrique

–       Authentification des utilisateurs et verification certificate serveur IKEv2

–       Diffie-Hellman Groupes 14 et 24 pour IKEv2

–       Certificats RSA avec clés de 4096 bit pour DTLS et IKEv2

Attention : le support de la crypto suite B ou de FIPS nécessite une license Anyconnect Premium !

Amelioration de la gestion des certificats

Anyconnect permet l’importation par les utilisateurs des certificats de confiance durant la connexion, cela conçerne les certificats valides qui ne sont pas automatiquement accepté par Anyconnect.

Anyconnect dispose également d’ un système de bloquage automatiques des certificats qui ne sont pas de confiance.

SCEP-Proxy

En compléments de la version d’anyconnect 3.1, anyconnect mobile 3.0 supporte maintenant la fonction SCEP-Proxy qui permet via l’ASA de récupérer automatiquement un certificats.

Trusted Network Detection

Apple a ajouté à l’IOS 6 une fonction Trusted Network Detection (TND) lors de l’utilisation de connect on demand, c’ette fonction qui permet de déterminer si on est sur un réseau de confiance ou pas doit être configurée via le loficiel « Iphone Configuration Utility » et s’applique au Wifi uniquement.

Amélioration de l’interface utilisateurs

Les nouvelles fonction ont été ajoutés à l’interface utilisateur, on en a profité pour améliorer certains point de l’ergonomie.

Posture mobile Android

L’algorithme  pour générer le Device ID sur android a change avec Anyconnect 3.0. Anyconnect utilise matenant un ID unique de 40 octets au moment de son installation. Cet ID est basé sur l’android ID + lorsqu’ils sont disponibles l’IMEI et l’adresse MAC (voir release notes pour plus de détail sur le mode de calcul de l’ID)

Liens de référence

Release notes Anyconnect 3.0 Android

Release Notes Anyconnect 3.0 Apple IOS

Authors

Christophe Sarrazin

Consultant Sécurité Cisco France

Laisser un commentaire