| VPN de acesso remoto |
| Amplo suporte do sistema operacional |
● Windows 10, 8.1, 8 e 7
● Mac OS X 10.8 e posterior
● Linux Intel (x64)
● consulte a folha de dados do AnyConnect Mobile para obter informações sobre a plataforma móvel. |
Acesso otimizado à rede: opção de protocolo de VPN SSL
(TLS e DTLS); IPsec IKEv2 |
● O AnyConnect oferece uma opção de protocolos VPN, de modo que os administradores possam usar o protocolo que melhor atenda às suas necessidades comerciais.
● O suporte ao encapsulamento inclui SSL (TLS 1.2 e DTLS) e IPsec IKEv2 de próxima geração.
● O DTLS fornece uma conexão otimizada para tráfego sensível à latência, como tráfego VoIP ou acesso de aplicativos baseado em TCP.
● O TLS 1.2 (HTTP sobre TLS ou SSL) ajuda a garantir a disponibilidade da conectividade de rede através de ambientes bloqueados, incluindo os que usam servidores proxy da Web.
● O IPsec IKEv2 fornece uma conexão otimizada para tráfego sensível à latência quando as políticas de segurança exigem o uso de IPsec. |
| Seleção de gateway ideal |
● Determina e estabelece a conectividade ao ponto de acesso de rede ideal, eliminando a necessidade de os usuários finais determinarem o local mais próximo. |
| Amigo para a mobilidade |
● Projetado para usuários móveis
● Pode ser configurado para que a conexão VPN permaneça estabelecida durante alterações de endereço IP, perda de conectividade, hibernação ou standby.
● Com a Detecção de Rede Confiável, a conexão VPN pode desconectar automaticamente quando um usuário final está no escritório e conectar-se quando um usuário está em um local remoto. |
| Criptografia |
● AES-256 e 3DES-168. (O dispositivo do gateway de segurança deve ter uma licença de criptografia forte habilitada.)
● Algoritmos do NSA Suite B, ESPv3 com IKEv2, chaves RSA de 4096 bits, grupo Diffie-Hellman 24 e SHA2 melhorado (SHA-256 e SHA-384). Aplica-se somente a conexões IPsec IKEv2. É necessária uma licença Apex do AnyConnect. |
| Ampla variedade de opções de implantação e conexão |
Opções de implantação:
● Pré-implantação, incluindo o Microsoft Installer
● Implantação automática do gateway de segurança (são necessários direitos administrativos para a instalação inicial) por AtiveX (Windows apenas) e Java
Modos de conexão:
● Autônomo por ícone do sistema
● Iniciado pelo navegador (lançamento na Web)
● Portal sem cliente iniciado
● CLI iniciado
● API iniciada |
| Ampla gama de opções de autenticação |
● RADIUS
● RADIUS com expiração de senha (MSCHAPv2) para NT LAN Manager (NTLM)
● Suporte a senha única (OTP) RADIUS (atributos de mensagem de estado e resposta)
● RSA SecurID (incluindo integração SoftID)
● Ative Diretory ou Kerberos
● Autoridade de Certificação Incorporada (CA)
● Certificado digital ou smartcard (incluindo suporte a certificado de máquina), selecionado automaticamente ou pelo usuário
● LDAP (Lightweight Diretory Access Protocol) com expiração de senha e envelhecimento
● Suporte LDAP genérico
● Autenticação multifator de certificado combinado e nome de usuário-senha (autenticação dupla) |
| Experiência de usuário consistente |
● O modo cliente de túnel completo suporta usuários de acesso remoto que exigem uma experiência de usuário consistente, semelhante à da LAN.
● Os vários métodos de entrega ajudam a garantir a ampla compatibilidade do AnyConnect.
● O usuário pode adiar as atualizações enviadas.
● A opção de feedback da experiência do cliente está disponível. |
| Controle e gerenciamento de políticas centralizados |
● As políticas podem ser pré-configuradas ou configuradas localmente e podem ser atualizadas automaticamente a partir do gateway de segurança de VPN.
● API para AnyConnect facilita as implantações através de páginas da Web ou aplicativos.
● A verificação e os avisos do usuário são emitidos para certificados não confiáveis.
● Os certificados podem ser visualizados e gerenciados localmente. |
| Conectividade de rede IP avançada |
● Conectividade pública de e para redes IPv4 e IPv6
● Acesso aos recursos internos de rede IPv4 e IPv6
● Política de acesso à rede de tunelamento dividido e tunelamento completo controlada pelo administrador
● Política de controle de acesso
● Política de VPN por aplicativo para Google Android (Lollipop) e Samsung KNOX (novo na versão 4.0; exige o Cisco ASA 5500-X com OS 9.3 ou posterior e licenças do AnyConnect 4.0)
Mecanismos de atribuição de endereços IP:
● Estático
● Conjunto interno
● DHCP (Dynamic Host Configuration Protocol)
● RADIUS/LDAP |
Conformidade robusta de endpoint unificado
(Licença Apex necessária) |
● A avaliação e correção da postura do endpoint são suportadas para ambientes com e sem fio (substituindo o Cisco Identity Services Engine NAC Agent). Requer o Identity Services Engine 1.3 ou posterior com licença Apex do Identity Services Engine.
● O Cisco Hostscan procura detectar a presença de software antivírus, software de firewall pessoal e service packs do Windows no sistema de endpoint antes de conceder acesso à rede.
● Os administradores também têm a opção de definir verificações de postura personalizadas com base na presença de processos em execução.
● O Hostscan detecta a presença de uma marca d'água em um sistema remoto. A marca d'água pode ser usada para identificar ativos de propriedade da empresa e fornecer acesso diferenciado como resultado. O recurso de verificação de marca d'água inclui valores de registro do sistema, existência de arquivo correspondente a uma soma de verificação CRC32 necessária, correspondência de intervalo de endereços IP e certificados emitidos por ou para uma autoridade de certificado correspondente. Recursos adicionais são suportados para aplicativos fora de conformidade.
● As funções variam de acordo com o sistema operacional. Consulte os gráficos de suporte de verificação de host para obter informações detalhadas. |
| Política de firewall do cliente |
● Fornece proteção adicional para configurações de tunelamento dividido.
● Usado em conjunto com o cliente AnyConnect para permitir exceções de acesso local (por exemplo, impressão, suporte a dispositivos vinculados, etc.).
● Suporta regras baseadas em portas para IPv4 e listas de controle de acesso (ACLs) de rede e IP para IPv6.
● Disponível para plataformas Windows e Mac OS X. |
| Localização |
Além do inglês, estão incluídas as seguintes traduções:
● Tcheco (cs-cz)
● Alemão (de-de)
● Espanhol (es-es)
● Francês (fr-fr)
● Japonês (ja-jp)
● Coreano (ko-kr)
● Polonês (pl-pl)
● Chinês simplificado (zh-cn)
● Chinês (Taiwan) (zh-tw)
● Holandês (nl-nl)
● Húngaro (hu-hu)
● Italiano (it-it)
● Português (Brasil) (pt-br)
● Russo (ru) |
| Facilidade de administração do cliente |
● Os administradores podem distribuir automaticamente atualizações de software e políticas do dispositivo de segurança de headend, eliminando assim a administração associada às atualizações de software do cliente.
● Os administradores podem determinar quais recursos disponibilizar para a configuração do usuário final.
● Os administradores podem acionar um script de ponto de extremidade nos tempos de conexão e desconexão quando os scripts de login de domínio não podem ser utilizados.
● Os administradores podem personalizar e localizar totalmente as mensagens visíveis do usuário final. |
| Editor de perfis |
● As políticas do AnyConnect podem ser personalizadas diretamente do Cisco Adaptive Security Device Manager (ASDM). |
| Diagnósticos |
● As estatísticas e informações de registro no dispositivo estão disponíveis.
● Os registros podem ser vistos no dispositivo.
● Os registros podem ser facilmente enviados por e-mail à Cisco ou a um administrador para análise. |
| FIPS (Federal Information Processing Standard, padrão federal de processamento de informações) |
● Compatível com FIPS 140-2 nível 2 (restrições de plataforma, recurso e versão se aplicam) |
| Mobilidade segura e visibilidade da rede |
Integração de segurança da Web
(É necessária uma licença do Cloud Web Security) |
● usa o Cloud Web Security, o maior provedor global de segurança da Web Software como Serviço (SaaS), para manter o malware fora das redes corporativas e controlar e proteger o uso da Web pelos funcionários.
● Suporta configurações hospedadas na nuvem e carregamento dinâmico.
● Oferece flexibilidade e opções às empresas ao oferecer suporte a serviços baseados em nuvem, além de serviços baseados em instalações.
● Integra-se ao Web Security Appliance.
● Suporta Detecção De Rede Confiável.
● Aplica a política de segurança em todas as transações, independentemente do local do usuário.
● Requer conectividade de rede altamente segura sempre ativa com uma política para permitir ou negar a conectividade de rede se o acesso se tornar indisponível.
● Detecta hotspots e portais cativos. |
módulo de visibilidade de rede
(Licença Apex necessária) |
● Descubra possíveis anomalias de comportamento ao monitorar o uso do aplicativo.
● Permite decisões de projeto de rede mais informadas.
● Pode compartilhar dados de uso com um número crescente de ferramentas de análise de rede compatíveis com IPFIX (Internet Protocol Flow Information Export, exportação de informações de fluxo de protocolo da Internet). |
Advanced Malware Protection (AMP) para Endpoints Enabler
(AMP para endpoints licenciados separadamente) |
● Simplifica a ativação de serviços de ameaças para endpoints AnyConnect distribuindo e habilitando o CiscoAMP para endpoints.
● Estende os serviços de ameaças de endpoint para endpoints remotos, aumentando a cobertura de ameaças de endpoint.
● Oferece proteção mais proativa para garantir que um ataque seja atenuado no endpoint remoto rapidamente. |
| Amplo suporte a sistemas operacionais |
● Windows 10, 8.1, 8 e 7
● Mac OS X 10.8 e posterior |
| Network Access Manager e 802.1X |
| Suporte de mídia |
● Ethernet (IEEE 802.3)
● Wi-Fi (IEEE 802.11a/b/g/n) |
| Autenticação de rede |
● IEEE 802.1X-2001, 802.1X-2004 e 802.1X-2010
● Permite que as empresas implantem uma única estrutura de autenticação 802.1X para acessar redes com e sem fio.
● Gerencia a identidade do usuário e do dispositivo e os protocolos de acesso à rede necessários para um acesso altamente seguro.
● Otimiza a experiência do usuário ao conectar-se a uma rede unificada com e sem fio da Cisco. |
| Métodos EAP (Extensible Authentication Protocol) |
● EAP-Transport Layer Security (TLS)
● EAP-Protected Extensible Authentication Protocol (PEAP) com os seguintes métodos internos:
- EAP-TLS
- EAP-MSCHAPv2
- Placa de token genérica EAP (GTC)
● Autenticação EAP-Flexível via Secure Tunneling (FAST) com os seguintes métodos internos:
- EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
● TLS em túnel EAP (TTLS) com os seguintes métodos internos:
- Password Authentication Protocol (PAP).
- Challenge Handshake Authentication Protocol (CHAP).
- Microsoft CHAP (MSCHAP).
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
● EAP leve (LEAP), apenas Wi-Fi
● EAP-Message Digest 5 (MD5), administrativo configurado, somente Ethernet
● EAP-MSCHAPv2, configurado para administração, somente Ethernet
● EAP-GTC, configuração administrativa, somente Ethernet |
| Métodos de criptografia sem fio (requer suporte correspondente à placa de rede 802.11) |
● Abrir
● WEP (Wired Equivalent Privacy)
● WEP dinâmica
● Wi-Fi Protected Access (WPA) Enterprise
● WPA2 Enterprise
● WPA Personal (WPA-PSK)
● WPA2-Personal (WPA2-PSK)
● CCKM (requer placa de rede sem fio Cisco CB21AG) |
| Protocolos de criptografia sem fio |
● Modo de contador com Protocolo de Código de Autenticação de Mensagens em Cadeado (CCMP - Cipher Block Chaining Message Authentication Code Protocol) usando o algoritmo AES (Advanced Encryption Standard)
● Protocolo de integridade de chave temporal (TKIP - Temporal Key Integrity Protocol) usando a cifra de fluxo Cipher 4 (RC4 - Rivest Cipher 4) |
| Retomada da sessão |
● Retoma da sessão RFC2716 (EAP-TLS) usando EAP-TLS, EAP-FAST, EAP-PEAP e EAP-TTLS
● Retomada da sessão EAP-FAST stateless
● Cache PMK-ID (cache de chave proativa ou cache de chave oportunista), somente Windows XP |
| Criptografia Ethernet |
● Controle de acesso ao meio: IEEE 802.1AE (MACsec)
● Gerenciamento de chaves: Contrato de chave MACsec (MKA)
● Define uma infraestrutura de segurança em uma rede Ethernet com fio para fornecer confidencialidade de dados, integridade de dados e autenticação da origem dos dados.
● Protege a comunicação entre componentes confiáveis da rede. |
| Uma conexão por vez |
● Permite apenas uma única conexão com a rede, desconectando todas as outras.
● Sem bridging entre adaptadores.
● As conexões Ethernet têm prioridade automaticamente. |
| Validação complexa de servidor |
● Suporta as regras de "fim com" e "correspondência exata".
● Suporte para mais de 30 regras para servidores sem nome comum. |
| Encadeamento EAP (EAP-FASTv2) |
● Diferencia o acesso com base em ativos empresariais e não corporativos.
● Valida usuários e dispositivos em uma única transação EAP. |
| Aplicação de conexão empresarial (ECE) |
● Ajuda a garantir que os usuários se conectem apenas à rede corporativa correta.
● Impede que os usuários se conectem a um ponto de acesso de terceiros para navegar na Internet enquanto estão no escritório.
● Impede que os usuários estabeleçam acesso à rede do convidado.
● Elimina a pesada lista negra. |
| Criptografia de próxima geração (Suite B) |
● Suporta os padrões criptográficos mais recentes.
● Troca de chave Diffie-Hellman com Curva Elíptica
● Certificados ECDSA (Elliptic Curve Digital Signature Algorithm) |
| Tipos de credenciais |
● Senhas interativas do usuário ou senhas do Windows
● Tokens RSA SecurID
● Tokens de senha única (OTP)
● Smartcards (Axalto, Gemplus, SafeNet iKey, Alladin).
● Certificados X.509.
● Certificados ECDSA (Elliptic Curve Digital Signature Algorithm). |
| Suporte a área de trabalho remota |
● Autentica as credenciais de usuário remoto para a rede local ao usar o Protocolo de Área de Trabalho Remota (RDP - Remote Desktop Protocol). |
| Sistemas operacionais suportados |
● Windows 10, 8.1, 8 e 7 |
Feedback