April 1, 2019
Cisco AnyConnect Secure Mobility Client 4.7 has been released and is available for download. If you have installed an earlier version of the software, it should automatically upgrade to the latest version. But, for any reason, if you’re not able to upgrade, you can easily download it again and install a fresh copy of the software. Cisco AnyConnect is a free VPN software which is used to connect to the Cisco VPN servers. AnyConnect is not only a VPN but also comes with hosts of other features like endpoint security for enterprises, telemetry, web security, network access management, etc.
What’s new in Cisco AnyConnect 4.7
This is a major release of the software as it includes a lot of bug fixes and new features. I’m listing down some of the features.
- Management VPN Tunnel enables the client to automatically connect to the VPN when the computer starts. This is useful for always connected remote computers.
- TLS v1.2 is fully supported including handshaking and certificate authentication.
- NVM flow filter now monitors the filtered traffic making it easier for the admins to work on the logs.
- AnyConnect 4.7 comes with new icons and images.
- A lot of new cipher suites are supported for SSL/TLS connections.
If you want to go through all the features of this release, you may visit this page .
System Requirements for Cisco VPN Client
Java
Java Runtime Environment is required before installing the Anyconnect. You can latest update. I have also tried running Cisco AnyConnect 4.6 with and it is running perfectly fine. I haven’t tried the web version. You may need to install Java 8 for running the web version of the Cisco VPN client but I’m not sure.
VPN URL in trusted sites
If you have previously enabled the option that only trusted websites can access, then the URL of the server should be added. Go to Windows Settings and search for Internet Options. Then go to Security tab and Select Trusted Sites and add the server URL in trusted sites.
Adding a Cisco VPN URL to trusted sites in Internet Options
Using AnyConnect is easy. Just add the VPN server URL and click Connect. This will create a secure VPN connection to the Cisco systems VPN router. You can now browse the resources in the remote network securely. All the traffic is passed through the VPN tunnel meaning that no one can read the information except the server and the client.
Check which AnyConnect version is currently installed on your computer
To check which version of AnyConnect client is installed on your computer, follow the steps below:
Download AnyConnect
Please note that you need to have an active AnyConnect Apex, Plus or VPN Only subscription with Cisco to download the latest AnyConnect VPN client software. Just login with your Cisco ID and password and you’ll be able to download the software without any issues.
Installing the Cisco AnyConnect 4.7
Installing AnyConnect 4.7 is a little different from the previous versions. The Windows version of the AnyConnect client comes as a Zip file. You will need to unzip all the contents of the zip file to run the setup. There are two setup files, setup.hta, and setup.exe. Running any of the setup files will open the installer selection window:
You can select the components you want to install with this version of the Cisco VPN client. If unsure, please ask your network admin to guide you through the process.
Using Cisco AnyConnect 4.7
Using AnyConnect from the client perspective is quite simple. You just have to start the client, give the server URL, username and password and it just connects. We will give you are step by step overview of how to start the client and the disconnect from the VPN when required.
AnyConnect Secure Mobility Client - это официальное ПО, созданное крупнейшим производителем промышленного сетевого оборудования. Маршрутизаторы, концентраторы и другие сетевые устройства Cisco установлены на огромного количестве предприятий. Основное назначение данной официальной программы заключается в создании VPN-подключений для безопасного обмена данными оборудования. Чаще всего необходимость в удаленном доступе возникает с целью выполнения обслуживания оборудования.
Возможности и совместимость
По сути, AnyConnect Secure Mobility Client - это некое развитие программы . Помимо функциональных отличий от "предшественника", о которых мы расскажем далее, данное ПО также отличается также поддержкой новых версий Windows. В частности, AnyConnect Secure Mobility Client отлично дружит с Windows 10 и 7. Кстати, у программы есть версии для других десктопных и мобильных операционных систем.
Основная функция программы заключается в подключении к панелям Cisco ASA, а также к некоторым портативным устройствам. Для установки соединения ASMC использует протоколы TLS, DTLS и SSL. При необходимости пользователю предоставляется возможность самостоятельно создать профили с сетевыми настройками и сохранить их в удобном менеджере. Данный менеджер профилей является одном из многих компонентов, которые входят в состав AnyConnect Secure Mobility Client.
Нововведения и документация
С момента выпуска первой версии ПО, в него было добавлена масса важных функций. Так, в актуальной редакции программы присутствует поддержка телеметрических функций, инструмент для проверки подлиности хоста клиента, а также поддержка IKEv2.
В комплект с ASMC входит огромный пакет документации, которая доступна исключительно на английском языке. Сама же программа частично переведена на русский. То есть локализация присутствует лишь в некоторых компонентах AnyConnect Secure Mobility Client.
Ключевые особенности
- создание безопасного VPN-подключения для доступа к панелям Cisco ASA;
- поддержка протоколов SSL и DTLS;
- централизованное управление подключенными клиентами;
- удобный менеджер сетевых профилей;
- набор утилит FIPS;
- подробная документация от производителя.
Совсем недавно столкнулся с лицензированием Cisco ASA серии 5500-X (в моем случае это 5512-X - самая младшая модель в семействе). Решил написать небольшой ликбез по лицензированию Cisco ASA для использования Cisco AnyConnect, т. к. у большинства возникают абсолютно одинаковые вопросы.
Задача была купить самый дешевый (но в тоже время современный) межсетевой экран Cisco с функцией удаленного доступа, а именно с использованием клиента Cisco AnyConnect. Существуют версии клиента для ПК (windows, linux, mac os), а так же для мобильных устройств (android, ios).
- Какая Cisco ASA поддерживает работу с AnyConnect?
Есть следующие модели: ASA5512-K7 , ASA5512-K8 и ASA5512-K9 . Причем стоят они совершенно одинаково.
Сделаем небольшое отступление от темы. В чем разница между K7, K8 и K9 ? Если кратко то можно сказать следующее:
-K7 говорит нам о том, что на ASA залита NPE прошивка. Т.е. нет шифрования передаваемых данных, есть шифрование только управляющего трафика (SSH, SSL, HTTPS и SNMPv3). Данное оборудование можно завозить без каких-либо дополнительных разрешений (категория C2).
-K9 это устройство с прошивкой, которая поддерживает шифрование передаваемых данных с использованием стойких алгоритмов шифрования 3DES/AES. Оборудование с такой прошивкой попадает в категорию C3.
Небольшая справка объясняющая разницу между категориями C1, C2, C3 и C4:
-С1 - устройства с данной категорией не требуют какого-либо разрешения для ввоза на территорию РФ.
-С2 - устройства попадающие под данную категорию имеют зарегистрированные нотификации и разрешены для ввоза без разрешения и лицензий.
-С3 - здесь все немного сложнее. Для ввоза данного оборудования требуется лицензия Минпромторга России. А выдавать эту лицензию должен Центр по лицензированию (т.е ФСБ). Для не государственной организации получить подобною лицензию не так уж сложно.
-С4 - это все оставшиеся устройства, которые по тем или иным причинам не попали ни в одну из предыдущих категорий.
Вернемся к теме. После недолгого поиска удалось выяснить что сервис Cisco AnyConnect использует SSL при VPN подключении. Все современные версии Windows (Vista, 7, 8) для протокола SSL используют алгоритмы шифрования 3DES/AES по умолчанию. Т.е. нам подойдет только ASA5512-K9. Причем если посмотреть спецификацию при заказе, то можно увидеть прошивку SF-ASA-X-9.1-K8 (ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM) . Но почему K8, мы же выбрали K9? Не пугайтесь, если еще раз посмотреть спецификацию то можно увидеть лицензию ASA5500-ENCR-K9(ASA 5500 Strong Encryption License (3DES/AES)) , она собственно и делает K9 из K8. Кстати дистрибьютор (тот у кого вы покупаете) может предложить купить K8, а затем уже с помощью бесплатной лицензии сделать K9, это ускорит процесс покупки. С моделью определились.
- Какая лицензия необходима для Cisco AnyConnect?
Licensed features for this platform:
Maximum Physical Interfaces: Unlimited
Maximum VLANs: 150
Inside Hosts: Unlimited
Failover: Active/Active
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Security Contexts: 2
GTP/GPRS: Disabled
SSL VPN Peers: 2
Total VPN Peers: 750
Shared License: Disabled
AnyConnect for Mobile: Disabled
AnyConnect for Cisco VPN Phone: Disabled
AnyConnect Essentials: Disabled
Advanced Endpoint Assessment: Disabled
UC Phone Proxy Sessions: 2
Total UC Proxy Sessions: 2
Botnet Traffic Filter: Disabled
Видим два интересных нам пункта:
SSL VPN Peers: 2
Total VPN Peers: 750
Клиент AnyConnect использует SSL VPN Peers
, т.е при данной конфигурации возможно всего два подключения
с использованием AnyConnect клиента. Total VPN Peers
используется при построении site-to-site VPN подключения (например VPN до МЭ или роутера в удаленном филиале). Соответственно нам нужна лицензия на расширение SSL VPN Peers
.
Существует два типа таких лицензий: Anyconnect Premium
и Anyconnect Essentials
. Главное отличие Essentials
от Premium
- лицензия Essentials
позволяет VPN подключение только с использование VPN-клиента
и не позволяет безклиентное (clientless)
подключение, например использование web портала. Для нашей задачи хватает лицензии Essentials
, тем более что она гораздо дешевле чем Premium
.
Добавляем в спецификацию ASA-AC-E-5512 (AnyConnect Essentials VPN License - ASA 5512-X (250 Users))
- стоимость 150$ по GPL прайсу. С лицензией разобрались.
- Какая лицензия нужна для использования AnyConnect на мобильных устройствах?
