ASA 5510 和 RSA - 有没有办法确保连接的 PC 是可信的?

网络工程 思科 虚拟专用网 比奥德
2021-07-16 19:44:08

我们目前正在实施 BYOD 政策。我们的主要对手是,目前,任何人都可以访问我们公开托管的站点并下载 cisco VPN 软件并安装它,然后使用他们的 RSA 令牌 + 用户名/密码使用这台非公司笔记本电脑访问我们的网络。

我们目前为我们的 VPN 和 RSA 运行 Cisco ASA 5510 作为我们的身份验证。

有没有办法使用 Cisco ASA 5510,我们可以提前让我们的用户通过电子邮件向我们注册他们的计算机(Mac 地址、安全证书等。是的,我知道 mac 可以被欺骗),我们可以将它们输入到配置中只允许来自所述物理地址或其他一些标识符的连接。

我们可以通过软件或 ASA 配置来做到这一点。目前对任何建议都持开放态度。

1个回答

您可以在需要为设备分配证书的身份验证中使用PKI这包含在 AnyConnect Essentials 许可证中。需要注意的一件事是,我从未让任何 ASA 接受任何使用高于 2048 位加密的证书。不过,这可能在 9.1.2 之后的版本中发生了变化。

更深入的选择是使用AnyConnect主机扫描和状态模块这需要 AnyConnect Premium 许可证,并且可能需要进一步许可,具体取决于哪些选项。这为您提供了更多控制权,您可以限制对具有特定注册表项、BIOS 序列号、操作系统、防病毒软件、防火墙等的系统的访问。

其它你可能感兴趣的问题
上一篇办公网络拓扑 - 缺乏与设备的连接 下一篇是否有一种 WiFi 探测帧可以向接入点发送时间戳?