Vă prezentăm mai jos o serie de recomandări pentru configurarea unei soluții Cisco pentru Remote Access, care pot fi utile atât în etapa de analiză a scalabilității și disponibilității rețelei dumneavoastră, cât și în cea de implemementare.
Etapa de analiză a rețelei existente
- Verificarea capacității echipamentelor actuale, în funcție de generația acestora. Mai jos regăsiți datele de catalog pentru modelele noastre de concentratoare:
a. ASA5500 modele 5510,5520,5540,5550
b. ASA5500-X modele 5512, 5515, 5525, 5545,5555
c. FPR2100 – https://www.cisco.com/c/en/us/products/collateral/security/firepower-2100-series/datasheet-c78-742473.html
d. FPR4110 – https://www.cisco.com/c/en/us/products/collateral/security/firepower-4100-series/datasheet-c78-742474.html
e. Dacă scalabilitatea este o problemă, luați în considerare minimul necesar din punct de vedere al conectivității pentru acțiunile de bază ale angajaților.
- Verificarea lățimii de bandă – dacă șasiul licențiat la capacitatea sa are și bandă suficientă de internet pentru preluarea utilizatorilor ce se conectează cu un throughput mulțumitor, spre exemplu 1.000 de utilizatori RAVPN peste 1Gbps, înseamnă că fiecare utilizator va primi sub 1Mbps, ceea ce pentru unele aplicații s-ar putea să nu fie suficient.
- Verificarea VPN IP Pool – dacă are suficiente adrese care să absoarbă creșterea de utilizatori ce se leagă prin remote access VPN.
- Recomandăm ca nu tot traficul să fie tunelat către interior, folosind split-VPN, acolo unde este posibil. Definiți care aplicații trebuie tunelate către HQ și care nu.
https://www.youtube.com/watch?v=wPJzx96f8GI – varianta de RAVPN cu Firepower Threat Defense.
Luați în considerare măsuri de securitate complementare în cazul în care traficul nu va fi tunelat către HQ și nu va utiliza componentele centrale de DNS Protection, Web Security, Anti-Malware etc. Puteți folosi o soluție complementară pe client (cum ar fi DNS Protection).
- Dacă utilizați ISE ca server de AAA pentru utilizatorii remote, verificați numărul și tipul licențelor existente
- Verificați dacă politica existentă acum permite accesul utilizatorilor conectați prin VPN la aceleași resurse și aplicații ca și în scenariul conectării din rețeaua internă.
Etapa de implementare – pași utili
- Dacă nu aveți nici o soluție existentă de Remote Access și aveți nevoie de o soluție implementată în cel mai scurt timp posibil, începeți cu un concentrator virtual (ASAv) până la sosirea echipamentelor hardware.
2. Dacă nu aveți deja, creați un Smart Account pentru a putea beneficia de licențe de demo sau temporare, oferite gratuit în această perioadă pentru 90 de zile.
Dacă aveți deja un Smart Account, îl puteți accesa la adresa: https://software.cisco.com/ > Smart Software Licensing.
Dacă nu aveți un Smart Account, accesați https://software.cisco.com/ > Request a SmartAccount.
Pentru mai multe detalii, vă invităm să consultați: https://www.cisco.com/c/en/us/products/software/smart-accounts.html#~stickynav=4
- Alegeți tehnologia de VPN dorită (IPSEC VPN, SSL VPN, L2TP, WebVPN) pe baza funcționalităților disponibile pe concentrator și pe clienți.
- Pentru a mări capacitatea unei soluții de Remote Access VPN cu ASA, puteți lua în considerare o configurare de tip „VPN Load Balancing”. Acest lucru permite extinderea capacității sistemului, prin adăugarea temporară a unor mașini virtuale de ASAv. https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generationfirewalls/68328-remotevpn-loadbal-asa.html)
- Alegeți tipul de autentificare dorit – utilizator/parolă, certificate, autentificare multi-factor.
- Alegeți ce verificări suplimentare doriți să fie rulate pe client pentru a permite accesul (Posture Assessment), cum ar fi: anumite aplicații instalate, antivirus updatat, certificate etc.
- Luați în considerare funcționalitățile de Remote Access VPN în funcție de sistemul de operare al echipamentului (ASA vs FTD || Local Device Manager vs FMC). Despre limitările VPN-urilor de tip client-based pe FTD, aici: https://www.cisco.com/c/en/us/support/docs/network-management/remoteaccess/212424-anyconnect-remote-access-vpn-configurati.html#anc13
- Configurați concentratorul cu regulile de acces corecte pentru profilele VPN, configurați session timeouts.
- Dacă considerați necesar, configurați Geolocation și/sau Time-based access.
Ghiduri de bune practici pentru soluțiile de Remote Access
Dacă doriți să aflați mai multe detalii despre soluțiile de Remote Access, vă invităm să consultați următoarele ghiduri de bune practici:
- Firewall Best Practices (based on ASA):
https://tools.cisco.com/security/center/resources/firewall_best_practices
- Malware Protection Best Practices:
- Meraki General MX Best Practices
- Meraki MX Templates Best Practices
Resurse pentru configurarea soluției Cisco pentru Remote Access
Iată și câteva resurse pe care le puteți accesa gratuit, dacă doriți mai multe informații despre soluțiile Remote Access.
- Prezentare CiscoLive BRKSEC-2051 – Deploying AnyConnect SSL VPN with ASA (and Firepower Threat Defense), Barcelona 2018
Pe site-ul ciscolive.com, puteți accesa un Breakout session foarte util. Se poate conecta oricine, cu un cont de cisco.com. Aveți acces la un material PDF și la înregistrarea video/audio. Trebuie doar să căutați în catalog după BRKSEC-2051.
- CVD (Cisco Validated Design) pe Remote VPN
Un document foarte detaliat, de 91 de pagini, care poate fi accesat aici:
- Ghid de configurare, care poate fi accesat aici:
Pentru activare și detalii, ne puteți contacta la solutiicisco@cisco.com.