Защищенный
удаленный доступ
Михаил Кадер
Инженер
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
1/61
О чем пойдет речь
Когда нужен удаленный доступ?
Защищенная архитектура сети предприятия
Удаленный доступ мобильных работников
Требования к защите удаленного доступа
Защищенный доступ со стороны клиента
Защищенное подключение
Расширенная защита приложений удаленного
доступа
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
2/61
Когда нужен
удаленный
доступ?
2 стороны медали
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
3/61
Потребности и возможности
Достичь большего при тех же
ресурсах и с теми же активами
Сокращение штатов, ограничение
бюджетов и давление со стороны
конкурентов заставляет предприятия
Увеличивать продуктивность
Увеличивать взаимодействие
Снижать затраты
И еще… поддерживать лояльность
сотрудников, удовлетворенность работой и
психологический климат
Глобализация экономики требует
работать не только в режиме 8х5, но
и в нерабочие часы
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
4/61
Работа происходит везде
В ДОРОГЕ
(отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных
компаний и среднего бизнеса
НА РАБОТЕ
(филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди
Источник: Gartner, Cahners Instat,
Wharton Center for Applied Research
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
5/61
Трансформация бизнеса
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
В разное время в разных местах
В одно время в разных местах
В одно время в одном месте
Работа в одиночку
% работы, зависящей от
группового вклада
2000
2005
2010
Сотрудничество – драйвер роста
Взаимодействие с другими, но не лицом к лицу
Рост продуктивности невозможен без поддержки этой
тенденции
Источник: Gartner Group
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
6/61
Рост продуктивности
Предприятие
Филиал Дом
Главный
офис
Отель
Аэропорт
Si
Si
HQ
WAN/Internet
Дорога
Кафе
Вчера: Люди “шли” на работу
Сегодня: Работа “идет” к людям
100
сотрудников
500
сотрудников
1000
сотрудников
$2,5 млн.
$12,5 млн.
$25 млн.
1 час потери продуктивности
$1,200
$6,000
$12,000
Потери в год от 1 часа в неделю
$62,5K
$312,5К
$625К
Зарплата ($25K в год)
Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
Сотрудник в среднем тратит только 30–40% времени в офисе
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
7/61
Архитектура
защищенного
предприятия
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
8/61
Компромисс удобства и безопасности
Многие руководящие документы, стандарты,
требования по ИБ рассматривают безопасность, как
самоцель
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
9/61
Удаленный доступ к корпоративной
сети из Интернет
Загрузить брошюру «Cisco SAFE» можно на сайте my.cisco.ru
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
10/61
Защищенный удаленный доступ
Взгляд со стороны корпоративного центра
Идентификация и
управление доступом:
IPS
Выявление и подавление
угроз:
AXG
MD5
ASA
Межсетевые экраны, IPSec,
SSL VPN, списки ACL, NAC
Si
Si
Устройство
NAC
DMZ
Si
Si
NetFlow,
Syslog,
SNMPv3
IPS
ASA
Списки
ACL
RFC2827
Интернет
NetFlow, Syslog, SNMP, MARS,
NIPS, HIPS
Защита инфраструктуры:
AAA, CoPP, SSH, RFC2827,
SNMP v3, IGP/EGP MD5
Безопасность
приложений:
ACE, ACE XML Gateway
Управление
безопасностью:
CSM, MARS, NCM
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
11/61
Защищенный
удаленный доступ
Взгляд со стороны
клиента
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
12/61
Защита удаленного клиента
Центральный
офис
Офис/Филиал
Мобильный
пользователь
Wi-Fi, CDMA, GPRS
IP/Internet
VPN
Надомный
работник
xDSL, Dial-Up
Интернет-кафе
Неконтролируемый узел
Защита хранимых и передаваемых с клиента данных
Выполнение требований регуляторов и корпоративной политики
Обеспечение работы с недоверенных компьютеров
Интеграция в корпоративную систему обеспечения ИБ
Отсутствие помех работе бизнес-приложений
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
13/61
Вопросы, на которые нужны ответы
КТО получает доступ?
КАК он получает доступ?
КАКИЕ приложения он использует?
Это ЧЕЛОВЕК или обезличенное УСТРОЙСТВО?
ИМЕЕТ ли он право на такой доступ?
ОТКУДА он получает доступ?
Как ЗАЩИТИТЬ обе стороны?
СООТВЕТСТВУЕТ ли узел доступа требованиям
политики безопасности?
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
14/61
Защищенное
подключение
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
15/61
Эволюция удаленного доступа
SSL VPN
Мобильные
сотрудники
IPsec VPN
Сервера
удаленного
доступа
ISDN, Dial и
Frame Relay
• Дорого
• Низкая полоса
пропускания
Начало 90-х
Remote Access
• Нужен клиент для
доступа
• Сложно
управлять
• Немасштабируемо
• Ненадежно
• Низкая полоса
пропускания
Середина 90-х
© 2008 Cisco Systems, Inc. All rights reserved.
• Нужен клиент для
доступа
• Масштабируемо
• Высокая
защищенность
• Низкая или
высокая полоса
пропускания
• Безклиентский
или
автоматически
загружаемый
клиент
• Web-доступ
“Отовсюду”
• Порталы для
пользователей
• Самообновление
VPN-клиента
• Масштабируемо
• Высокая
защищенность
• Низкая или
высокая полоса
пропускания
Конец 90-х
Работники по
контракту
Партнеры по
бизнесу
Увеличение
рабочего дня
Teleworker
VIPсотрудники
2003 и сейчас
16/61
Сравнение технологий удаленного
доступа
Существует 2 основные технологии удаленного доступа: IPSec и SSL. SSL – более новая
технология; обычно более дешевая и обеспечивающая лучший доступ для партнеров и
контрактников (по сравнению с IPSec). SSL обеспечивает более быструю связь, чем
IPSec.
IPSec VPN
SSL VPN
Широко распространенная,
отработанная технология
Расширяет защищенный доступ
для «не-сотрудников»,
например, контрактников и
временных служащих
Хорошо подходит для
расширенного доступа
сотрудников с корпоративнымы
компьютерами
Облегченный доступ для
партнеров
Обеспечивает доступ
“отовсюду”, включая
недоверенные и
неуправляемые ПК (Интернеткафе)
Снижает операционные
затраты, связанные с
клиентским ПО
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
17/61
Cisco ISR или Cisco ASA как VPN?
Cisco ASA 5500
Позиционируется как устройство
защиты
Cisco ISR Router
Позиционируется как маршрутизатор
Содержит последние инновационные
решения по предотвращению
различных угроз и атак
Содержит последние сетевые решения,
тесно интегрированные с
инновационными решениями по
безопасности
Множество функций организации
защищенного удаленного доступа
(VPN)
Богатые функциональные возможности
по построению межофисных VPN (siteto-site VPN)
Специальный функционал,
обеспечивающий простое программное
обновление
Максимально объединены сетевые
возможности и функции защиты на
одной платформе
Специализированные решения,
работающие в любом сценарии внедрения
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
18/61
Cisco ASA или Cisco ISR для SSL VPN?
Cisco ASA 5500
Cisco ISR Router
Ключевой продукт Cisco для
удаленного доступа
• Первый маршрутизатор в мире с
SSL VPN
Ориентирован на любой сегменте
– от SMB до крупного предприятия
• Ориентирован на SMB
Поставляется как «чистый» VPN
или UTM+VPN
Масштабируемость
Функции Clientless
Функции Client
Интеграция СЗИ
Гибкость
Балансировка
Remote Access
• Использует сделанные инвестиции
в маршрутизаторы
ASA 5500
ISR Routers
От 10 до 5000 сессий
Расширенные
Расширенные
Лидирующая
Расширенная
Расширенная
От 10 до 150 сессий
Стандартные
Расширенные
Выше среднего
Не применимо
Не применимо
© 2008 Cisco Systems, Inc. All rights reserved.
19/61
Cisco ASA 5500
МСЭ / Защита
приложений
•
•
•
•
IPS / Анти
Анти-вирусная защита
• Защита от сетевых червей и вирусов
• Обнаружение и фильтрация вредоносного кода
• Технология аккуратного предотвращения и упреждающее
реагирование
• Корреляция событий и упреждающее реагирование
Контроль
доступа и
аутентификация
• Контроль на 4 и 3 уровне
• Контроль состояния
• Гибкость политик для пользователей, сетевых, приложений
Защита
соединений
• Не требующие вмешательства автоматически обновляемый
удаленный доступ по IPSec
• Гибкие и защищенные сервисы SSL VPN
• Поддержка QoS, маршрутизации в VPN
• Интегрированная защита от угроз для VPN
Интеллектуальные
сетевые
сервисы Cisco
Remote Access
Многоуровневый анализ пакетов и трафика
Расширенные службы проверки приложений и протоколов
Контроль сетевых приложений
Расширенная защита мультимедиа и голосовых приложений
• Малая задержка
• Виртуализация сервисов
• Различная топология • Сетевая сегментация
• Поддержка Multicast • Маршрутизация, распределение нагрузки
© 2008 Cisco Systems, Inc. All rights reserved.
20/61
Cisco SSL VPN: расширенные функции
Доступ отовсюду
Доступ с большинства платформ
Расширенная защита
Управление
Защита
соединения
Защита до, в процессе и после
Эффективный контроль
Мониторинг и анализ
Простота управления
Защита
оконечных
устройств
Инфраструктура
сети
Интуитивно понятный интерфейс
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
21/61
Cisco AnyConnect Client
VPN-клиент, доступный на
многих платформах:
Windows Vista 32/64-bit, Windows XP
32/64-bit и Windows 2000
Mac OS X 10.4 (Intel и PPC)
Intel-based Linux
Windows Mobile 5\6 Pocket PC
Edition
Стандартный клиент или
автоматически скачиваемый
через Интернет
Автоматическое обновление
Старт до входа в систему
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
22/61
Сравнение VPN-клиентов
Cisco VPN Client
Cisco SSL VPN
Client
Cisco AnyConnect
VPN Client
Протокол
IPsec
SSL (HTTPS)
DTLS, SSL
(HTTPS) - Auto
Средний размер
10 MБ
400 KБ
1.2 MБ
Автозагрузка
Автозагрузка
Распределение
Только для
инсталляции
Распределение
Только для
инсталляции
(Stub installer
доступен)
(MSI доступен –
Windows)
2K/XP/Vista (32 &
64-bit), Linux, Mac
OS X, Windows
2008 Server
Установка
Распределение
Права
администратора
Поддержка ОС
Перезагрузка
после установка
Head End
Remote Access
Да
2K/XP/Vista 32-bit,
Linux, Mac OS X,
Solaris UltraSparc
2000/XP
Нет
Да
Да
ASA/PIX/3K/IOS
ASA/3K/IOS
ASA/IOS
© 2008 Cisco Systems, Inc. All rights reserved.
23/61
Сравнение VPN-протоколов
HTTPS/SSL
DTLS/SSL
IPsec / IKEv1
Блокирование на
МСЭ
Да
Нет
Через TCP
tunneling
Совместимость с
прокси-серверами
Да
Нет
Нет
Нет
Да
Да
Не применимо
HTTPS/SSL (TCP)
Нет
Возможно
Высокопроизводите
льный транспорт
Резервный
протокол
Поддержка QoS
(DSCP Preservation)
Поддержка
мобильности
Да
Да
Транспорт
TCP
UDP
Ценность для
клиента ($$s)
$$$
$$$
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
Да
Нет
(IKEv2/Mobile
IKE)
ESP, UDP, Fake
TCP
$
24/61
Cisco Secure Desktop
Перед установлением соединения
выполняется проверка:
Местонахождение –
управляемый/неуправляемый
компьютер?
Работает с гостевыми правами
Не требует полномочий администратора
Установленное ПО: AV, МСЭ, malware?
Максимальная защита сессии:
Выделенный сегмент защищает данные
на компьютере
Windows 2000 or XP
Cisco Secure Desktop
Original User Desktop
Temporary CSD Desktop
Обнаружение Malware с помощью
Microsoft free anti-spyware software
Удаление данных после завершения
соединения:
Защищенный сегмент очищается
Cache, history и cookie удаляются
Скачанные файлы удаляются
Пароли удаляются
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
25/61
Расширенная защита ПК
Cisco Secure Desktop (CSD)
поддерживает сотни
предустановленных
приложений
Антивирусы, anti-spyware,
персональные МСЭ и др.
4 основных функции
Host Scan (Windows)
Advanced Endpoint Assessment
Secure Vault (Windows 2K/XP)
Cache Cleaner (Windows, Mac
OS X и Linux)
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
26/61
Собственные проверки
Поддерживаемые
проверки
Проверки реестра
Проверки файлов
Проверки сертификатов
Проверка версии
Windows
Проверка IP-адресов
Визуализация
облегчает
конфигурирование и
снижает число ошибок
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
27/61
Что после проверки?
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
28/61
Пользовательский портал
Доступ к отдельным ресурсам
Новый дизайн портала
Локализация
RSS
Персональные закладки
Доступ с AnyConnect Client
Доступ к файлам (FTP/CIFS)
Поддержка Flash
Поддержка удаленного
управления через telnet, SSH,
RDP и VNC
Перенаправление запросов
на доступ к Windowsприложениям (Smart Tunnel)
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
29/61
Доступ к различным ресурсам
Обеспечивается доступ к web- и традиционным
приложениям через браузер
Технология Smart Tunnel обеспечивает доступ TCP
приложениям
Не требуется полномочий администратора на ПК
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
30/61
Доступ к файловым ресурсам
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
31/61
Smart Tunnel – работа приложений
через SSL
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
32/61
Полная поддержка Citrix
Port Forwarding
загрузка апплета
Медленная загрузка,
Citrix Server
конфликт с ПО, браузер Microsoft Office
Mainframe Access
блокирует апплет
Типичная поддержка
Citrix SSL VPN
Поддержка Citrix требует
специального SSL-клиента или Javaапплета или иного резидентного ПО
Citrix Server
Полная
поддержка
Citrix
Microsoft Office
Mainframe Access
Поддержка
Cisco Citrix
Полная поддержка Citrix без
специального клиента
Медленная инициация приложения
Быстрое время инициализации –
ничего не надо загружать
Может не работать из-за настроек
безопасности браузера
Высокая производительность – нет
локального приложения-транслятора
Потенциальные конфликты ПО,
особенно на неуправляемых узлах
Не зависит от настроек безопасности
и браузера
Высокая стабильность – нет
потенциальных конфликтов с ПО
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
33/61
Терминальный доступ
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
34/61
Поддержка VNC/RDP
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
35/61
Поддержка Telnet/SSH
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
36/61
Локализация интерфейса
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
37/61
Персонализированный портал
Настраиваемые
сообщения
Настраиваемый
баннер
Настраиваемые
методы доступа
Настраиваемые
цвета и разделы
портала
Настраиваемые
ссылки, доступные
сетевые ресурсы
RSS-каналы
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
38/61
Виртуальная клавиатура
Основное
назначение –
защититься от
перехватчиков
ввода с
клавиатуры
Может быть
использована
на любой
странице, где
требуется
ввести пароль
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
39/61
Дополнительные особенности
Поддержка Group/User-to-VLAN mapping
Расширенные механизмы AAA
Аутентификация на LDAP, RADIUS и т.п.
Встроенный Certificate Authority (CA)
SAML Single Sign-On (SSO) совместно с RSA
Access Manager (бывший ClearTrust)
API для интеграции с внешними
системами
Контроль соединений, получение статуса,
разрыв соединения
Cisco IPSec VPN-клиент включен в Apple
iPhone
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
40/61
Расширенная
защита
приложений
удаленного
доступа
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
41/61
Понимание удаленных пользователей
Какие приложения нужны для
работы?
Web-сервисы (включая Web-почту)
Тонкий клиент (TCP)
Полный сетевой доступ
Откуда они могут получать доступ?
Контролируемые компанией компьютеры
Неконтролируемые компьютеры
Интернет-кафе
Как долго пользователь может
оставаться «на связи»?
24x7 или в течение бизнес-часов
Ограниченный период времени
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
42/61
Как меняются требования
приложений?
ТРЕБОВАНИЯ ПОЛЬЗОВАТЕЛЯ
Удаленные пользователи требуют доступа к тем же
приложениям, что и сотрудники центрального офиса
Средства
совместной
работы
Видеоконференции
Транзакции
Video-onDemand
Webсервисы
Голос
E-mail
ДОСТУП ПРИЛОЖЕНИЙ
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
43/61
Защита IP-телефонии
Поддержка SIP,
SCCP, H.323, MGCP
Cisco Unified
Presence Server
Microsoft Presence
Server
Защита от SIP-атак,
включая Rate Limit
SIP-запросов
Контроль звонков
(whitelist, blacklist,
абоненты, SIP URI)
Интернет
MA
ASA Phone Proxy
Предприятие
Динамическое
открытие нужных
портов
Звонки только для
«зарегистрированных» телефонов
Cisco Mobile Communicator
Cisco SSL/IPSec VPN Solutions для
надомных работников
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
Инспекция
зашифрованных
звонков, включая
сигнализацию
(SRTP/TLS)
44/61
Cisco ASA и унифицированные
коммуникации
Контроль
звонков
• SIP, SCCP, MGCP, H.323 • Предотвращение
сервисов для UC
• Контроль и инспекция
• Понимание потока и
заголовка звонка
• Сигнатуры для атак на
UC
• Защита от DoS-атак
• VPN для голоса/видео
(V3PN)
• TLS Proxy для
зашифрованной
сигнализации
• Предотвращение атак
«переполнение
буфера»
• NAT/PAT
Контроль Отражение
доступа
угроз
Remote Access
Endpoints
Приложения
• Инспекция RTP/RTCP
• Инспекция
SIP/SCCP/CTIQBE/TAP/
JTAPI
Инфраструктура
© 2008 Cisco Systems, Inc. All rights reserved.
• SIP и SCCP Video
Endpoints – IP phones,
VT Advantage, Cisco
Unified Personal
Communicator
• Политики разрешить/запретить
звонки с
незарегистрированных
телефонов, абонентов,
whitelist, blacklist
Сетевая
политика
Защита
сервисов
• Контроль доступа и
инспекция для - Cisco
Unity, Meetingplace,
Presence, Cisco
Telepresence, IM over
SIP, Microsoft
• Таймауты для
аудио/видеосоединений
Шифрование
видео & голоса
45/61
Интеграция защитных функций
Удаленный
доступ
по VPN
Прикладной МСЭ и контроль доступа
Отражение угроз
Контроль приложений
Контроль доступа по пользователям/группам
Обнаружение аномалий в протоколах
Фильтрация с контролем состояния
Обнаружение ВПО
Обнаружение червей
Обнаружение
шпионских программ
Червь/
Вирус
Spyware Эксплоит
«Чужое»
приложение
Всесторонняя защита ПК
Предварительная оценка
Отражение вредоносного ПО
Защита данных/сессий
Очистка памяти после сессии
НСД
ASA 5500
Точное применение политик
Корреляционный анализ в режиме
реального времени
Расчет рейтинга риска
Блокирование атак
Завершение опасных сессий
Усиливает эшелонированную оборону, блокируя червей, вирусы и т.п. …
без дополнительных устройств и снижения производительности
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
46/61
Другие
требования по
защите
удаленного
доступа
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
47/61
Что такое контроль доступа к сети?
Использование сети для обеспечения выполнения требований
политик по соответствию состояния подключающихся устройств
их требованиям
Кто пользователь?
Он/она авторизован/авторизована?
Какую роль он/она получает?
Идентификация
Введите имя пользователя:
Безопасность
Безопасность
устройства NAC
сети
Установлено ли
исправление МS?
Есть A/V или A/S?
В данный момент
работает?
Сервисы включены?
Есть необходимые
файлы?
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
Si
Si
Политика установлена?
Несоответствующие
устройства переведены на
карантин?
Есть необходимость в
патче?
Патч доступен?
48/61
Возможность доступа определяется
соответствием состояния
Сначала установите политики доступа. Затем:
Аутентификация и авторизация
Обеспечение выполнения
политик авторизации и
назначения привилегий
Поддержка различных
ролей пользователя
Проверка и оценка
Перевод в карантин и изоляция
Изоляция несоответствующих
устройств от остальной сети
Перевод на карантин на базе
MAC- и IP-адресов на уровне
пользователей
Обновление и лечение
Проверка с помощью агента:
наличие необходимых версий
исправлений, антивирусов и т.д.
Сетевые инструменты
устранения уязвимостей и
предотвращения угроз
Проверка по сети на наличие
вирусов и червей, а также
уязвимости портов
Интеграция со службой
технической поддержки
НЕТ СООТВЕТСТВИЯ = НЕТ ДОСТУПА К СЕТИ
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
49/61
Расширенная безопасность ПК
с Cisco Security Agent
Cisco Security Agent
повышает защиту за счет:
Интернет
Защиты от 0-day-атак, базируясь на
поведении ОС и приложений
Контроля содержимого после
расшифрования или до
зашифрования (например, SSL,
IPsec)
Контроля доступа к устройствам
ввода/вывода, базируясь на
процессе, местоположении в сети и
содержимом файла
Интранет
Централизованного управления и
мониторинга событий
Взаимодействие в рамкахSDN с
другими решениями, такими как
NAC, IPS, QoS, MARS, VOIP и т.д.
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
50/61
Cisco Case Study
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
51/61
История: 1999 год
С ростом Интернет и широкополосного доступа ИТ
начинает проект по организации удаленного
широкополосного доступа для сотрудников с рядом
операторов связи
Главная проблема: Множество поставщиков,
неполное покрытие
Наша цель - обеспечить лучший сервис для всех
сотрудников по разумной цене
Rhythms NetConnections был выбран для
обеспечения защищенного xDSL-доступа для
сотрудников в США
Сервис Rhythms DSL был эффективным «частным" DSL
сервисов, предлагающим прямое виртуальное соединение
с корпоративной сетью Cisco
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
52/61
Кризис удаленного доступа
Август 2001: Rhythms NetConnections обанкротился;
более 9000 сотрудников оказались без доступа,
ранее обеспечиваемого с помощью Rhythms DSL
service
Задача – обеспечить доступ 9000 сотрудников за один месяц
Из опыта ИТ знали, что миграция на другой сервис
обойдется дороже и потребует в 10 раз больше
человеческих ресурсов, чем было в наличии
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
53/61
VPN-решение
Кризис удаленного доступа заставил ИТ задуматься
о других вариантах
Из множества сценариев была выбрана новая
модель:
Пользовательская модель на базе программного VPNклиента
Пользователь сам выбирал способ подключения к сети
(GPRS, CDMA, Wi-Fi, DSL и т.д.)
Cisco оплачивает подключение к оператору связу
Cisco IT обеспечивает и поддерживает VPN-соединение
через Интернет-шлюз в корпоративную сеть Cisco
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
54/61
Влияние на бизнес
Рост продуктивности
Удаленный доступ означает
возможность работать из дома
или в дороге. Для многих
пользователей это значит
увеличение продуктивности на
10-40% в день
Рост удовлетворенности
Сотрудники находят баланс
между работой и семьей, имея
возможность подключаться к
корпоративной сети в любое
время.
В 2001 Cisco® имело 9000 DSL
пользователей, а в 2003 их
стало уже 23,000.
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
55/61
Влияние на бизнес
Глобализация
Глобальная компания должна
предоставлять эффективную возможность
работать всем сотрудникам, находящимся
в разных часовых поясах, в разных точках
земного шара.
Гибкость
Удаленный доступ обеспечивает гибкость во время кризисов,
эпидемий, катастроф и т.д.
Поддержка
Т.к. большинство сотрудников Cisco используют собственное
подключение к оператору связи, мы не тратим усилия на
поддержку и разбор проблем, связанных с подключением к
Интернет
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
56/61
Заключение
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
57/61
Унифицированный доступ с ASA
Аутентификация
Шифрование
Соответствие
Мобильные
устройства
Обычный
IPsec
Clientless
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
SSL
Client
UC /
DTLS
58/61
Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
59/61
Remote Access
© 2008 Cisco Systems, Inc. All rights reserved.
60/61