Mit Cisco AnyConnect zur IT-Compliance?
Wie wird die Sicherheit beim AnyConnect gewährleistet, wenn die Mitarbeiter ihr eigenes Gerät mitbringen? Mithilfe des VPNs will Cisco die IT-Compliance auch für private Geräte durchsetzen. Wie dies in der Praxis funktioniert, erfahren Sie in diesem Blog.
Beim Cisco AnyConnect Mobility Client handelt es sich um die branchenführende Client-VPN-Software. Diese stellt nicht nur eine VPN-Verbindung über Secure Sockets Layer (SSL) und IPsec IKEv2 her, sondern bietet erhöhte Sicherheit durch verschiedene Zusatzmodule. AnyConnect ist für eine breite Palette von Plattformen einschliesslich Windows, Mac OS X, Linux, iOS, Android, Windows Phone, Blackberry und Google Chrome verfügbar.
Wenn Unternehmen verschiedene Standorte, Netzwerke und Endgeräte nutzen, ist es wichtig, dass die IT-Compliance jederzeit eingehalten wird. Dies ist umso wichtiger, wenn BYOD (bring your own device) erlaubt ist. Sicherheitsbedrohungen für das Unternehmen müssen abgewehrt werden können, ohne die IT-Abteilungen zusätzlich zu belasten und ohne die Benutzer einzuschränken.
Host Scan zur Prüfung der Sicherheit
Wir haben uns das AnyConnect Posture Module genauer angeschaut, welches mit einem Host Scan auf dem Client folgende Prüfungen macht:
- Ist ein Virenschutzprogramm installiert, läuft dieses und ist es aktuell?
- Sind die Virendefinitionen im Virenschutzprogramm aktuell?
- Ist eine Firewall auf dem Client aktiv?
- Sind die neusten OS-Sicherheitspatches installiert?
Da mit BYOD eine Vielzahl von Betriebssystemen und noch eine grössere Anzahl verschiedener Antivirenprodukte eingesetzt werden, muss der Host Scan diese alle erkennen. Weil es sich bei BYOD mehrheitlich um private Geräte handelt, ist meistens auch keine gemanagte Antiviren-Businesslösung installiert, sondern ein kostenloses Antivirenprogramm wie Avast oder Avira. Virenschutzprogramme arbeiten unterschiedlich. On-Access-Scans werden beispielsweise in Echtzeit durchgeführt wenn Dateien geöffnet, gespeichert oder ausgeführt werden. On-Demand-Scans hingegen werden von Hand oder per Cronjob ausgeführt. Diese überprüfen Laufwerke und Ordner. Somit scheiden Antivirenprogramme die nur On-Demand-Scans anbieten im Zusammenspiel mit dem Host Scan schon mal aus.
Unsere Erfahrungen mit AnyConnect
Wir haben verschiedene Konstellationen getestet und stiessen dabei auf unterschiedliche Hürden:
- Unter Linux wird meistens ClamAV eingesetzt, welcher aber keine On-Demand-Scans unterstützt. Sophos Antivirus war der einzige kostenlose Virenscanner für Linux den wir beschaffen konnten. Er wurde aber vom Host Scan nicht erkannt.
- Unter Windows testeten wir erfolgreich mit Avira und Sophos. Kurz darauf erschien eine neue Version, welche vom Host Scan nicht mehr erkannt wurde. Auch Windows Defender und Kaspersky Business wurden nicht erfasst.
- Unter MacOS wurde Sophos erkannt, Avira nicht.
Dies zeigt, dass es nicht so einfach ist, wie Cisco es verspricht. Die Produkte werden zwar mit einer gewissen Verzögerung in die Host Scan Support Charts eingepflegt, die Liste muss aber bei Cisco runtergeladen werden und dann von Hand auf dem VPN-Endpunkt jeweils aktualisiert werden.
Um die AnyConnect-Software auf dem PC zu installieren, bietet Cisco die Möglichkeit an, per Browser mit HTTPS auf den VPN-Endpunkt zuzugreifen, sich zu authentifizieren und dann die Software automatisch zu installieren. Leider muss dafür entweder Java auf dem Client installiert oder im Internet Explorer ein ActiveX Control aktiviert sein. Beides ist aus Sicht der Clientsicherheit sehr bedenklich. Es darf doch nicht sein, dass für die Installation einer sicheren Software (AnyConnect) eine unsichere Software (Java) installiert sein muss. Leider setzen auch andere Hersteller immer wieder Java, Flash oder Adobe AIR voraus. Bei diesen treten beinahe täglich neue Sicherheitslücken auf. Wir empfehlen daher, den Client anderweitig zu beschaffen und manuell zu installieren.
Das Fazit
Cisco verspricht in der Werbung "Stabiler und sicherer Netzwerkzugriff für Ihre mobilen Mitarbeiter". Dies kann funktionieren, wenn Firmen standardisierte und gemanagte Hard- und Software einsetzen. Die Antivirensoftware muss mit dem AnyConnect kompatibel sein. Mit BYOD ist es nicht einfach, die Sicherheit ohne Einschränkungen der Benutzer zu gewähren. Es stellt sich grundsätzlich die Frage, ob BYOD geeignet ist, um direkt auf sicherheitskritische IT-Infrastrukturen von Firmen zuzugreifen.