Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Оптимізація хмарних сервісів в AnyConnect VPN тунелі на Cisco ASA

2020-03-27
Автор: Телесфера

Багато компаній переходять на використання хмарних сервісів в своєму бізнесі по всьому світу, це і офісні додатки, сервіси BigData, чат/відео/аудіо комунікація з метою проведення мітингів/навчання і багато інших. Однак з огляду на масове переведення на віддалену роботу співробітників так чи інакше потрібно отримувати доступ до корпоративної мережі (якщо звичайно замовник не повністю працює на хмарній платформі), для того щоб зробити доступ безпечним, як правило, використовуються сервіси типу Remote-Access VPN.

Класично такі сервіси можуть або повністю направляти весь трафік віддаленого клієнта в VPN тунель, або вибірково направляти або виключати з тунелю трафік грунтуючись на IPv4/IPv6 підмережах.

Багато безпечників вирішать, що найбільш оптимальним було б використовувати опцію повного тунелювання (tunnelall) трафіку для повного контролю за всім трафіком користувача в момент підключення до корпоративної мережі і відсутністю можливості паралельного виводу даних через неконтрольоване інтернет-з'єднання. Однак є й інша чаша вагів ...

  • Як організувати файлообмін Box/Dropbox/SharePoint безпосередньо в хмару зі швидкістю домашнього каналу інтернет, минаючи повільний корпоративний VPN?
  • Як організувати з'єднання Webex/Skype безпосередньо з абонентом, не проводячи його через HQ VPN-шлюз, створюючи затримки зв'язку і знижуючи якість зв'язку?
  • Як змусити тільки певні хмарні сервіси працювати поза VPN тунелем, щоб користувач їх використовував безпосередньо через домашній інтернет і контролювати інші не довірені служби централізовано?
  • Як ефективно знизити навантаження на VPN-шлюз не проводячи через нього трафік довірених хмарних додатків?

З початком масового використання віддаленого доступу у багатьох замовників почалася перевантаження VPN-шлюзів, які не були розраховані на таку хвилю використання при їх проектуванні і будь-який додатковий трафік від клієнтів може запросто перевантажити можливості перевантаженого VPN-шлюзу, таким чином, компанії починають селективно підходити до питання вибору направляємих сервісів в VPN. З іншого боку направляючи весь трафік додатків в VPN, ми:

  • Тунелюємо трафік вже довірених додатків (наприклад Office365, Webex і т.д.)
  • Створюємо часом критичні затримки у клієнта при спілкуванні через сервіси спільного спілкування (Webex, Skype, Jabber і т.д.), які  використовують аудіо/відео потоки критичні до затримок і втрат.

Таким чином ми навантажуємо VPN шлюз абсолютно не потрібним трафіком на шкоду загальній продуктивності шлюзу і якості роботи додатків.

Нам хочеться виключити дані сервіси з тунелювання VPN, але тут встає делемма:

  • безліч хмарних сервісів може хоститься на одній і тій самій IP адресі і не виходить селективно вибрати один сервіс по IP;
  • IP адреси хостингу можуть змінюватися якщо навіть не кожен день, то іноді і кілька разів за день.

Потрібен більш гнучкий спосіб динамічного виключення з тунелю трафіку даних додатків і для вирішення цієї проблеми я б хотів розповісти про функцію Dynamic Split Tunneling, доступну в тому вигляді про який я буду розповідати, починаючи з версії Cisco AnyConnect 4.6 і шлюзом VPN ми використовуємо Cisco ASA.

Функція Dynamic Split Tunneling надає можливість динамічно як додавати, так і виключати з VPN-тунелювання певний трафік, грунтуючись на домені приналежності.

Як це працює.

Ви налаштовуєте на стороні Cisco ASA список доменів для включення/виключення тунелювання і призначаєте цей список як атрибут AnyConnect на цікаву для Вас Group-Policy. Після з'єднання, VPN клієнт скачує дану настройку та при отриманні звернення на домен зі списку резолвіт його (отримує відповідно список IP адрес на запитуваний домен) і динамічно переписує таблицю маршрутизації хоста для включення/виключення трафіку в тунель.

Як це налаштовується

1. Задаємо атрибут AnyConnect, який буде використовувати для виключення трафіку

!

ASA(config)# webvpn

ASA(config-webvpn)#

anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains

!

2. Налаштовуємо списки доменів для потрібного нам сценарію фільтрації, я навів приклад кількох списків спираючись на документацію виробників для сервісів (MS Skype for Business, MS Exchange Online, MS Sharepoint Online, MS O365, Cisco AMP for Endpoints, Cisco Webex) (в одній Group-Policy можна використовувати тільки один список! один список не може перевищувати 510 символів):

  • Вимоги для Microsoft сервісів;
  • Вимоги для Cisco AMP;
  • Вимоги для Cisco Webex Teams і Cisco Webex Meetings

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SKYPE skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains EXCHANGE-ONLINE outlook.office.com, outlook.office365.com, smtp.office365.com, outlook.com, office.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SHAREPOINT-ONLINE sharepoint.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains O365 online.office.com, officeapps.live.com, msappproxy.net, msftidentity.com, account.activedirectory.windowsazure.com, windows.net, microsoftonline.com, autologon.microsoftazuread-sso.com, microsoftonline-p.net, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.windows.net, office.com, cloudappsecurity.com, admin.microsoft.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-AMP amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-WEBEX wbx2.com, webex.com, ciscospark.com, webexcontent.com, activate.cisco.com, webapps.cisco.com, accompany.com, huron-dev.com, sparkpostmail1.com, giphy.com, safebrowsing.googleapis.com, walkme.com, s3.walkmeusercontent.com, speech.googleapis.com, texttospeech.googleapis.com, crashlytics.com, eum-appdynamics.com, amplitiude.com, segment.com, segment.io

!

Я для прикладу буду використовувати список для Webex, AMP і Skype

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CLOUD-SERVICES webex.com, wbx2.com, webexcontent.com, amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu, skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

Хочу окремо відзначити, що для сервісів, що використовують динамічні імена для доменів нижнього рівня, можна просто додати в список домен верхнього рівня. Наприклад, якщо в списку фігурує webex.com, то і cisco.webex.com також підпаде в фільтр.

3. Призначаємо налаштований список на Group-Policy, що нас цікавить:

!

ASA(config)# group-policy ASHES-VPN attributes ASA(config-group-policy)# anyconnect-custom dynamic-split-exclude-domains value CLOUD-SERVICES

!

4. З'єднуємось через VPN, клієнт скачує нову настройку і вуаля, ми акуратно вивели хмарні сервіси з під VPN!

  • Подивимось як зміниться таблиця маршрутизації хоста після підключення VPN і спроби звернення до сервісу у вийнятку:

  • Подивимось як відпрацює фільтр по домену верхнього рівня webex.com при запиті на cisco.webex.com:

  • Подивимося як зміниться трасування для виключеного сервісу в порівнянні з рештою, що йдуть в tunelall політику:

Резюмуючи хочеться окремо відзначити, що за прості чотири (три) крокb віддалені співробітники використовують Office365 безпосередньо з хмари, Skype і Webex виклики йдуть безпосередньо без затримок і Ви різко знизили навантаження на VPN-шлюз виключивши з тунелю довірені хмарні додатки. Крім цього дана технологія дає можливість і динамічно включати тунелювання за тим же принципом.

Всім міцного здоров'я!

Джерело: https://habr.com/ru/company/cisco/blog/493774/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco: портфоліо промислових 5G-маршрутизаторів для IoT

Cisco: портфоліо промислових 5G-маршрутизаторів для IoT
Cisco,Cisco Network,IoT,cisco,cisco безпека,Налаштування Cisco,Продуктивність,новини

Cisco представила нове портфоліо промислових граничних маршрутизаторів Catalyst, завдяки яким весь функціонал корпоративних мереж реалізується на кордоні гнучко, безпечно і масштабовано, що необхідно для успішного впровадження Інтернету речей (IoT).

Нові функції Cisco Webex націлені на проведення гібридних заходів

Нові функції Cisco Webex націлені на проведення гібридних заходів
Cisco,Cisco Network,cisco,Налаштування Cisco,новини

Компанія Cisco представила Webex Suite з нововведеннями, які повинні послужити фундаментом для гібридної роботи і різних заходів. За прогнозами Cisco, 98% нарад будуть включати як мінімум одного віддаленого учасника. Нові вимоги, що пред'являються до гібридних подій і гібридного персоналу, зажадають розширення інвестицій, які не повинні обмежуватися оснащенням традиційної переговорної кімнати.

Cisco робить акцент на розвитку рішень для гібридних хмар

Cisco робить акцент на розвитку рішень для гібридних хмар
Cisco,Cisco Network,cisco безпека,cisco,Налаштування Cisco,Налаштування,новини

Світ, в якому ми живемо, гіперпідключений і розподілений, все більше покладається на хмарні технології. При цьому ІТ-службам стає все складніше забезпечувати оптимальні параметри цифрової взаємодії для користувачів, яким потрібен доступ в будь-якому місці і в будь-який час. Щоб впоратися зі зростаючою розподіленістю додатків, користувачів і технічного персоналу, бізнес переходить на хмарні операційні моделі, які забезпечують швидкість, аналітику і контроль.