思科设置​​了移动安全的酒吧

以前的 12 第2页

难以描述Anyconnect客户体验的完整性是如何进行的，而不会将这次测试转变为衣物的功能列表。思科做得很好地覆盖所有基地，支持严格和松散的安全策略，以及多个部署选项（例如预安装客户或让最终用户使用Web浏览器从ASA设备下载它）和身份验证设置（例如VPN客户端是否在用户登录到Windows或之后启动）。我们尝试了良好的各种各样的这些功能，发现在此区域中，AnyConnect客户端按照广告工作。

我们与终点安全姿势检查混合了成功。基本主机扫描包含作为ASA AnyConnect Premium许可证的一部分，而修复功能（例如强制执行反恶意软件更新或打开桌面防火墙）需要高级端点评估许可证。

AnyConnect客户端终端安全的部分困难在于，该策略分散在ASDM的不同部分。例如，您在ASDM的一个部分中查找特定的杀毒包，但您要确保没有在虚拟机中执行策略的完全不同的部分。

ASDM管理工具允许您使用传统的流程​​图符号构建一个姿势检查决策树，这是一种可疑地看起来像在其SSL VPN产品中开创的一个F5的技术。在任何情况下，这种配置方法到终点姿势检查的方法大约可以比思科的基于ACS RADIUS / TACAC的旧方法更加可理解和可扩展服务器。

AnyConnect客户端的终点安全方法代表思科的当前关于如何在同一客户端进行NAC和VPN姿势检查的目前的思考。思科正在继续避免可信计算集团的姿势检查的开放标准，并通过单一供应商解决方案进行了伪造，并将其思科安全桌面和OPSCAT的终点姿势检查工具包一起集成到一个单一合并的解决方案中。（OPSCAT产品的OESS框架是一种在其他安全产品中包含的软件库，可检测各种终点安全产品的存在和状态。）

总体而言，网络经理将不得不平衡思科的策略的简单性，这只需要一个客户，而不是终点安全供应商没有特别合作，并锁定思科和opswat愿意支持的内容。

我们对OPSCAT的经验，这些经验已经在我们的NAC和SSL VPN安全测试中展示了多年，这一般都很好，尽管我们在对我们实验室标准的防病毒包，Sophos进行了测试时，我们的经常性困难会得到一致的结果。该测试在该测试中回应了这种经验，其中相同的防病毒包的不同配置在任何相同的抗病毒包中提供了不同的结果。使用AnyConnect客户端进行终点姿势检查的网络管理员将想要尝试自己的配置和端点以避免误报和负面结果。

Web安全进入云

思科的安全移动解决方案有三种特定的策略来保护终端用户免受互联网的巨大冲击:终端安全、基于云的安全以及企业代理保护。

在终点上，与其Cisco Secure Desktop功能集的任何连接客户端都没有提供了许多保护本身（超出基本个人防火墙），但可用于检测端点安全的状态，并购买高级端点评估许可证，执行一些有限的控件。

第二次策略，基于云的安全性与Scansafe一起提供了最近的思科获取。思科已将ScanSafe客户端工具纳入AnyConnect客户端和Scansafe策略管理工具中的ASDM，可以选择部署基于云的恶意软件扫描和Web过滤功能。Scansafe许可与所有其他安全移动许可完全分开，并且SCANSAFE仅支持Windows平台。

虽然集成使得企业可以很容易地选择基于云的扫描，但我们认为大多数企业会将基于云的扫描与企业代理保护视为一个“非此即”的选择。从政策的角度来看，思科对整个ScanSafe界面的影响很小。

例如，当AnyConnect客户端具有可信网络检测功能时，SCASSafe也具有类似的特征。每个都是独立运行的，而不是组合两个，而是让Scansafe在非Anyconnect环境中工作。同样，在IronPort S系列Web代理上建立的所有基于Web的安全策略都完全独立于为Scansafe设置的策略;您无法重用任何组件，您无法轻易将策略从一个转换为另一个组件。

我们选择关注第三种类型的Web安全:Web代理。Cisco将基于Web的安全应用到VPN用户的方法要求ASA VPN集中器和s系列Web代理之间紧密连接，以便将认证信息传递给Web代理。链接非常简单——你只需要在两个设备中放入一个公共的端口号和共享的秘密，点击“测试”按钮，如果一切都是正确的，你就完成了。

ASA将用户名发送到IronPort S系列的任何组成员身份信息，因此我们必须链接到我们的Active Directory（支持NTLM或LDAP）来获取此信息。一旦结算，我们就可以应用基于用户和基于组的Web安全策略。

AnyConnect客户端，ASA设备和IronPort S系列之间集成的最重要部分之一是将代理信息自动下载到AnyConnect客户端。我们用Windows（Internet Explorer），Mac（Safari，Chrome和Firefox）测试了这一点，以及所有运行AnyConnect客户端的iPhone系统，并通过VPN隧道浏览无缝体验，传递给IronPort S系列代理，然后关闭互联网。

IronPort S系列具有相当标准的保护集，包括URL过滤（例如，阻塞赌博站点），使用两种不同的引擎（我们的测试系统中的WebRoot和McAfee），以及用于阻止访问的Web声名检查已知坏网页或对象。IronPort S系列也支持通过假装成为带有假公钥基础结构证书的加密Web服务器，以“中间的制裁中间，以”打破“到SSL对话的方式。

我们简要测试了恶意软件扫描和URL过滤。与所有URL过滤产品一样，我们的成功率非常高，但能够通过违反政策的几个URL来滑动。最近传输到我们测试实验室网络的10个病毒的选择全部被恶意软件扫描仪捕获。

我们'喜欢'Facebook控件

IronPort S系列中的一个新功能是应用可见性和控制。这使得网络管理器能够直接监视并阻止各种基于Web的应用程序，与产品的URL过滤部分分开。我们测试的版本更像是一个概念验证，而不是完全烘焙的应用程序可见性工具，只有八类，包括“博客”，“Facebook”，“IM，”“LinkedIn”，“Media，”P2P/文件共享，“会议”和“社交网络”。

这些是不同应用程序的Mish-mish，其中许多可以通过简单的URL过滤捕获。但是，应用程序可见关系背后的想法似乎超出了URL过滤的简单块/允许/警告，并在控件中获得更具体。

例如，Facebook被分解为15个子类别，例如“Facebook应用程序：游戏”和“Facebook应用程序：教育”，这将允许您区分不同类型的Facebook使用情况，阻止您不允许的类型。在我们的测试中，S系列能够区分不同类型的Facebook使用情况并相应地阻止访问权限。事实上，Facebook是最复杂的控件之一。例如，您可以阻止所有Facebook事件，或者您只能阻止发布事件但允许“喜欢”事件。在LinkedIn的控件中，您可以将就业部分与消息组部分分开阻止，或者您可以将作业分开地从作业帖子中进行阻止。

在我们的测试中，IronPort s系列做到了它所说的那样——将应用程序和应用程序控制，包括带宽限制，作为一个Web代理。但是，显然要使其工作，您需要一个适当的配置。

例如，现在许多Facebook用户正在选择加密他们的会话时，必须使用中间的制裁中的中间来解密SSL，或者没有可能应用细粒度的应用程序控件。同样，如果您想控制BitTorrent，您必须通过阻止尝试并绕过代理的VPN用户来强制流量。

总的来说，思科安全移动解决方案中的Web安全选项为网络管理员提供了足够的选择，以便为最终用户提供强大的策略实施。

斯奈德是阿里兹图森Opus One的高级伙伴。他可以达到joel.snyder@opus1.com.。