Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Оптимізація хмарних сервісів в AnyConnect VPN тунелі на Cisco ASA

2020-03-27
Автор: Телесфера

Багато компаній переходять на використання хмарних сервісів в своєму бізнесі по всьому світу, це і офісні додатки, сервіси BigData, чат/відео/аудіо комунікація з метою проведення мітингів/навчання і багато інших. Однак з огляду на масове переведення на віддалену роботу співробітників так чи інакше потрібно отримувати доступ до корпоративної мережі (якщо звичайно замовник не повністю працює на хмарній платформі), для того щоб зробити доступ безпечним, як правило, використовуються сервіси типу Remote-Access VPN.

Класично такі сервіси можуть або повністю направляти весь трафік віддаленого клієнта в VPN тунель, або вибірково направляти або виключати з тунелю трафік грунтуючись на IPv4/IPv6 підмережах.

Багато безпечників вирішать, що найбільш оптимальним було б використовувати опцію повного тунелювання (tunnelall) трафіку для повного контролю за всім трафіком користувача в момент підключення до корпоративної мережі і відсутністю можливості паралельного виводу даних через неконтрольоване інтернет-з'єднання. Однак є й інша чаша вагів ...

  • Як організувати файлообмін Box/Dropbox/SharePoint безпосередньо в хмару зі швидкістю домашнього каналу інтернет, минаючи повільний корпоративний VPN?
  • Як організувати з'єднання Webex/Skype безпосередньо з абонентом, не проводячи його через HQ VPN-шлюз, створюючи затримки зв'язку і знижуючи якість зв'язку?
  • Як змусити тільки певні хмарні сервіси працювати поза VPN тунелем, щоб користувач їх використовував безпосередньо через домашній інтернет і контролювати інші не довірені служби централізовано?
  • Як ефективно знизити навантаження на VPN-шлюз не проводячи через нього трафік довірених хмарних додатків?

З початком масового використання віддаленого доступу у багатьох замовників почалася перевантаження VPN-шлюзів, які не були розраховані на таку хвилю використання при їх проектуванні і будь-який додатковий трафік від клієнтів може запросто перевантажити можливості перевантаженого VPN-шлюзу, таким чином, компанії починають селективно підходити до питання вибору направляємих сервісів в VPN. З іншого боку направляючи весь трафік додатків в VPN, ми:

  • Тунелюємо трафік вже довірених додатків (наприклад Office365, Webex і т.д.)
  • Створюємо часом критичні затримки у клієнта при спілкуванні через сервіси спільного спілкування (Webex, Skype, Jabber і т.д.), які  використовують аудіо/відео потоки критичні до затримок і втрат.

Таким чином ми навантажуємо VPN шлюз абсолютно не потрібним трафіком на шкоду загальній продуктивності шлюзу і якості роботи додатків.

Нам хочеться виключити дані сервіси з тунелювання VPN, але тут встає делемма:

  • безліч хмарних сервісів може хоститься на одній і тій самій IP адресі і не виходить селективно вибрати один сервіс по IP;
  • IP адреси хостингу можуть змінюватися якщо навіть не кожен день, то іноді і кілька разів за день.

Потрібен більш гнучкий спосіб динамічного виключення з тунелю трафіку даних додатків і для вирішення цієї проблеми я б хотів розповісти про функцію Dynamic Split Tunneling, доступну в тому вигляді про який я буду розповідати, починаючи з версії Cisco AnyConnect 4.6 і шлюзом VPN ми використовуємо Cisco ASA.

Функція Dynamic Split Tunneling надає можливість динамічно як додавати, так і виключати з VPN-тунелювання певний трафік, грунтуючись на домені приналежності.

Як це працює.

Ви налаштовуєте на стороні Cisco ASA список доменів для включення/виключення тунелювання і призначаєте цей список як атрибут AnyConnect на цікаву для Вас Group-Policy. Після з'єднання, VPN клієнт скачує дану настройку та при отриманні звернення на домен зі списку резолвіт його (отримує відповідно список IP адрес на запитуваний домен) і динамічно переписує таблицю маршрутизації хоста для включення/виключення трафіку в тунель.

Як це налаштовується

1. Задаємо атрибут AnyConnect, який буде використовувати для виключення трафіку

!

ASA(config)# webvpn

ASA(config-webvpn)#

anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains

!

2. Налаштовуємо списки доменів для потрібного нам сценарію фільтрації, я навів приклад кількох списків спираючись на документацію виробників для сервісів (MS Skype for Business, MS Exchange Online, MS Sharepoint Online, MS O365, Cisco AMP for Endpoints, Cisco Webex) (в одній Group-Policy можна використовувати тільки один список! один список не може перевищувати 510 символів):

  • Вимоги для Microsoft сервісів;
  • Вимоги для Cisco AMP;
  • Вимоги для Cisco Webex Teams і Cisco Webex Meetings

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SKYPE skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains EXCHANGE-ONLINE outlook.office.com, outlook.office365.com, smtp.office365.com, outlook.com, office.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains SHAREPOINT-ONLINE sharepoint.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains O365 online.office.com, officeapps.live.com, msappproxy.net, msftidentity.com, account.activedirectory.windowsazure.com, windows.net, microsoftonline.com, autologon.microsoftazuread-sso.com, microsoftonline-p.net, graph.microsoft.com, graph.windows.net, login.microsoft.com, login.windows.net, office.com, cloudappsecurity.com, admin.microsoft.com

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-AMP amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CISCO-WEBEX wbx2.com, webex.com, ciscospark.com, webexcontent.com, activate.cisco.com, webapps.cisco.com, accompany.com, huron-dev.com, sparkpostmail1.com, giphy.com, safebrowsing.googleapis.com, walkme.com, s3.walkmeusercontent.com, speech.googleapis.com, texttospeech.googleapis.com, crashlytics.com, eum-appdynamics.com, amplitiude.com, segment.com, segment.io

!

Я для прикладу буду використовувати список для Webex, AMP і Skype

!

ASA(config)# anyconnect-custom-data dynamic-split-exclude-domains CLOUD-SERVICES webex.com, wbx2.com, webexcontent.com, amp.cisco.com, amp.sourcefire.com, panacea.threatgrid.com, panacea.threatgrid.eu, skype.com, lync.com, teams.microsoft.com, skypeforbusiness.com

!

Хочу окремо відзначити, що для сервісів, що використовують динамічні імена для доменів нижнього рівня, можна просто додати в список домен верхнього рівня. Наприклад, якщо в списку фігурує webex.com, то і cisco.webex.com також підпаде в фільтр.

3. Призначаємо налаштований список на Group-Policy, що нас цікавить:

!

ASA(config)# group-policy ASHES-VPN attributes ASA(config-group-policy)# anyconnect-custom dynamic-split-exclude-domains value CLOUD-SERVICES

!

4. З'єднуємось через VPN, клієнт скачує нову настройку і вуаля, ми акуратно вивели хмарні сервіси з під VPN!

  • Подивимось як зміниться таблиця маршрутизації хоста після підключення VPN і спроби звернення до сервісу у вийнятку:

  • Подивимось як відпрацює фільтр по домену верхнього рівня webex.com при запиті на cisco.webex.com:

  • Подивимося як зміниться трасування для виключеного сервісу в порівнянні з рештою, що йдуть в tunelall політику:

Резюмуючи хочеться окремо відзначити, що за прості чотири (три) крокb віддалені співробітники використовують Office365 безпосередньо з хмари, Skype і Webex виклики йдуть безпосередньо без затримок і Ви різко знизили навантаження на VPN-шлюз виключивши з тунелю довірені хмарні додатки. Крім цього дана технологія дає можливість і динамічно включати тунелювання за тим же принципом.

Всім міцного здоров'я!

Джерело: https://habr.com/ru/company/cisco/blog/493774/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Мікрофілія EdgeConnect від Aruba покликана спростити віддалену роботу в мережі

Мікрофілія EdgeConnect від Aruba покликана спростити віддалену роботу в мережі
Aruba Networks,Налаштування,Налаштування Aruba,новини,Продуктивність

Компанія Aruba Networks, дочірня компанія Hewlett Packard Enterprise (HPE), анонсувала нову пропозицію під назвою EdgeConnect Microbranch, призначену для спрощення складної мережевої роботи вдома для підприємств. COVID-19 змусив підприємства змінити спосіб використання своїх мереж, оскільки їм доводилося підтримувати зростання кількості користувачів та пристроїв, що підключаються з віддалених місць.

Тенденції ІБ: платформений підхід, аналітика та NaaS

Тенденції ІБ: платформений підхід, аналітика та NaaS
Cisco,cisco,cisco безпека,Налаштування Cisco,новини

Cisco розповіла, як захистити хмарних користувачів, чим корисний "інженерний хаос" і чого чекати від 2022 року. 20 грудня компанія Cisco організувала для журналістів онлайн-брифінг, присвячений підсумкам 2021 та перспективам 2022 року. Сisco регулярно проводить опитування замовників та на основі отриманих результатів готує аналітичні матеріали. Нещодавно компанія випустила два нові великі звіти: Security Outcomes Study Volume 2 і 2021 Global Networking Trends. У першому аналізується те, що відбувалося протягом 2021 року в області ІБ, другий описує глобальні тренди у мережах.

CISCO – Mikrotik — FLEXVPN

CISCO – Mikrotik — FLEXVPN
Cisco,Cisco Network,cisco,Блог Телесфера,Налаштування Cisco,Продуктивність

У даній документації розглядається приклад робочої конфігурації з'єднання роутера CISCO з роутером Mikrotik через тунель GRE з IPSec шифруванням в транспортному режимі. У побудові IPsec буде використовуватися IKEv2 та аутентифікація за PSK. Усередині тунелю буде піднято протокол динамічної маршрутизації OSPF для обміну маршрутами про мережі, що знаходяться за peer-ами.