Как лицензируется Cisco AnyConnect?
Для версий Cisco AnyConnest 4.0 и выше была изменена схема лицензирования функционала удаленного доступа. На все лицензии типа SSL VPN объявлены даты окончания продаж. В частности это коснется лицензий SSL Premium User Licenses , Advanced Endpoint Assessment Licenses, AnyConnect Essentials VPN Licenses, AnyConnect Mobile VPN Licenses, Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses, FIPS Compliant VPN Licenses, VPN Phone Licenses.
В рамках новой схемы предусмотрены три типа лицензий: Cisco AnyConnect Plus Subscription Licenses, Cisco AnyConnect Plus Perpetual Licenses, Cisco AnyConnect Apex Subscription Licenses. Предусмотрены и отдельные лицензии, обеспечивающие миграцию старых типов на новые.
Новые типы лицензий не привязаны к VPN-концентраторам, в качестве которых могут использоваться межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Лицензии приобретаются на пользователей, а не на устройство. При покупке лицензии Cisco AnyConnect на определенное количество пользователей, вы получаете возможность генерации ключей активации для неограниченного количества VPN-концентраторов.
Рассмотрим новые типы лицензий подробнее. Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses позволяют подключать удаленного сотрудника с помощью клиента Cisco AnyConnect. AnyConnect Plus сочетает в себе функционал AnyConnect Essentials и AnyConnect Mobile и обеспечивает возможность подключения как с мобильных, так и со стационарных устройств. Лицензия предусматривает возможность приобретения как в виде подписки на 1,3 или 5 лет, так и в виде постоянной лицензии.
Чтобы иметь возможность скачивать новые версии и пользоваться услугами технической поддержки Cisco TAC необходим сервисный контракт. Лицензии заказываются на определенное количество пользователей (т.е. количество реальных абонентов, пользующихся удаленным подключением). Минимальное число пользователей составляет 25, есть варианты 50, 100, 150 и другие. При необходимости лицензии можно суммировать для увеличения числа пользователей.
Тип лицензии Cisco AnyConnect Apex Subscription Licenses включает в себя все возможности AnyConnect PLUS и кроме того позволяет подключаться через браузер к Cisco ASA, проверять устройства на соответствие политикам безопасности и инструментам криптографии нового поколения. Этот тип можно использовать вместо SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant. Лицензии типа Cisco AnyConnect Apex Subscription Licenses доступны только в виде подписки на 1, 3 или 5 лет и из так же необходимо заказывать на определенное количество пользователей.
Новая схема не привязана к VPN-концентраторам, но для получения доступа к функционалу SSL VPN необходимо ввести лицензионный ключ. После покупки пользователь получает PAK (Product Activation Key), который можно использовать многократно для генерации лицензионных ключей на неограниченное количество устройств.
Почему не следует включать «FIPS-совместимое» шифрование в Windows
В Windows есть скрытый параметр, который позволяет использовать только сертифицированные государством «FIPS-совместимые». шифрование . Может показаться, что это способ повысить безопасность вашего компьютера, но это не так. Не следует включать этот параметр, если вы не работаете в правительстве или вам не нужно тестировать, как программное обеспечение будет вести себя на государственных компьютерах.
Этот твик подходит к другим бесполезные мифы о настройке Windows . Если вы наткнулись на этот параметр в Windows или видели, как он упоминается в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS».
Что такое шифрование по стандарту FIPS?
FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы для генерации ключей шифрования. Он опубликован Национальным институтом стандартов и технологий (NIST).
Настройка в Windows соответствует стандарту правительства США FIPS 140. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и также рекомендует делать это приложениям.
«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли проверку FIPS. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.
Как Windows ведет себя по-другому, если вы включите этот параметр
Microsoft объясняет, что на самом деле делает этот параметр, в сообщении блога, озаглавленном « Почему мы больше не рекомендуем «режим FIPS» . » Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете правительственный компьютер США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными постановлениями правительства. Нет никакого реального случая, когда вы захотели бы включить это на своем собственном персональном компьютере — если только вы не тестировали, как ваше программное обеспечение ведет себя на компьютерах правительства США с этой включенной настройкой.
Этот параметр выполняет две функции с самой Windows. Он заставляет службы Windows и Windows использовать только шифрование, подтвержденное FIPS. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0 и вместо этого потребует хотя бы TLS 1.0.
Платформа Microsoft .NET также блокирует доступ к алгоритмам, которые не прошли проверку FIPS. Платформа .NET предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были отправлены на проверку. В качестве примера Microsoft отмечает, что в .NET framework есть три различных версии алгоритма хеширования SHA256. Самый быстрый из них не был отправлен на проверку, но должен быть таким же безопасным. Таким образом, включение режима FIPS либо нарушит работу приложений .NET, использующих более эффективный алгоритм, либо заставит их использовать менее эффективный алгоритм и работать медленнее.
Помимо этих двух вещей, включение режима FIPS рекомендует приложениям также использовать только шифрование с проверкой FIPS. Но больше ничего не заставляет. Традиционные настольные приложения Windows могут реализовать любой код шифрования, который они хотят, даже ужасно уязвимое шифрование, или вообще не использовать шифрование. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.
Как отключить режим FIPS (или включить его, если необходимо)
Не следует включать этот параметр, если вы не используете правительственный компьютер и не будете вынуждены это сделать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли работать правильно.
Если вам нужно включить или отключить режим FIPS — возможно, вы видели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет вести себя на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или с помощью общесистемной настройки, которая будет применяться всегда.
Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:
- Откройте окно панели управления.
- Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет».
- Нажмите «Изменить настройки адаптера».
- Щелкните правой кнопкой мыши сеть, для которой нужно включить FIPS, и выберите «Состояние».
- Нажмите кнопку «Свойства беспроводной сети» в окне состояния Wi-Fi.
- Щелкните вкладку «Безопасность» в окне свойств сети.
- Нажмите кнопку «Дополнительные настройки».
- Включите параметр «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить для всей системы в редакторе групповой политики. Этот инструмент доступен только в версиях Windows Professional, Enterprise и Education, но не в версиях Home. Вы можете использовать только редактор локальной групповой политики чтобы изменить этот инструмент, если вы работаете на компьютере, который не подключен к домену, который управляет настройками групповой политики вашего компьютера за вас. Если ваш компьютер присоединен к домену, а настройки групповой политики централизованно управляются вашей организацией, вы не сможете изменить их самостоятельно. Чтобы изменить этот параметр в групповой политике:
- Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
- Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
- Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики.
- Найдите параметр «Системная криптография: использовать алгоритмы, совместимые с FIPS для шифрования, хеширования и подписи» на правой панели и дважды щелкните его.
- Установите для параметра значение «Отключено» и нажмите «ОК».
- Перезагрузите компьютер.

В домашних версиях Windows вы по-прежнему можете включать или отключать параметр FIPS через параметр реестра. Чтобы проверить, включен или отключен FIPS в реестре выполните следующие действия:
- Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
- Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
- Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
- Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1».
- Перезагрузите компьютер.

Благодаря @SwiftOnSecurity в Твиттере за создание этого поста!
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.9
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Book Contents
Book Contents
- Deploy AnyConnect
- Customize and Localize the AnyConnect Client and Installer
- The AnyConnect Profile Editor
- Configure VPN Access
- Configure Network Access Manager
- Configure Posture
- Configure AMP Enabler
- Network Visibility Module
- Umbrella Roaming Security
- Enable FIPS in the Local Policy
- AnyConnect on Mobile Devices
- Cisco AnyConnect Customer Experience Feedback Module
- Troubleshoot AnyConnect
- Appendix: AnyConnect Changes Related to macOS 11 (And Later)
Find Matches in This Book
Log in to Save Content
Available Languages
Download Options
Book Title
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.9
Enable FIPS in the Local Policy
- PDF — Complete Book (6.36 MB)PDF — This Chapter (958.0 KB) View with Adobe Reader on a variety of devices
Results
Updated: June 17, 2020
Chapter: Enable FIPS in the Local Policy
Chapter Contents
- Enable FIPS in the Local Policy
- About FIPS, NGE, and AnyConnect
- FIPS Features in AnyConnect
- AnyConnect FIPS Requirements
- Limitations of AnyConnect FIPS
- Guidelines for AnyConnect FIPS
- Enable FIPS for the AnyConnect Core VPN
- Enable FIPS During Windows Installation
- Enable FIPS for the Network Access Manager
- Enforce FIPS Mode for the Network Access Manager
Enable FIPS in the Local Policy
About FIPS, NGE, and AnyConnect
AnyConnect incorporates the Cisco Common Cryptographic Module (C3M). This Cisco SSL implementation includes Federal Information Processing Standard (FIPS) 140-2 compliant cryptography modules and National Security Agency (NSA) Suite B cryptography as part of its Next Generation Encryption (NGE) algorithms.
NGE introduces new encryption, authentication, digital signatures, and key exchange algorithms for escalating security and performance requirements. RFC 6379 defines the Suite B cryptography algorithms conform to meet U.S. FIPS 140-2 standards.
AnyConnect components negotiate and use FIPS standard cryptography based on the configuration of the headend, an ASA or IOS router. The following AnyConnect client modules support FIPS:
- AnyConnect Core VPN—FIPS compliance for the VPN client is enabled using a FIPS-mode parameter in the local policy file on the user computer. Suite B cryptography is available for TLS/DTLS and IKEv2/IPsec VPN connections. See Configure FIPS for the AnyConnect Core VPN Client for details and procedures. The AnyConnect local policy file, AnyConnectLocalPolicy.xml, contains additional security settings beyond FIPS-mode that apply to the local client. It is not deployed by the ASA and must be installed manually, or deployed using an enterprise software deployment system. See The AnyConnect Local Policy for details on using this profile.
- AnyConnect Network Access Manager—FIPS compliance for the Network Access Manager is enabled using the FIPS-mode parameter in the AnyConnectLocalPolicy.xml file, and the FIPS-mode parameter in the Network Access Manager profile. FIPS for the Network Access Manager is supported on Windows. See Configure FIPS for the Network Access Manager for details and procedures.
FIPS Features in AnyConnect
Core VPN Module
Network Access Manager Module
AES-GCM support for symmetric encryption and integrity.
128-, 192-, and 256-bit keys for IKEv2 payload encryption and authentication.
ESP packet encryption and authentication.
128-bit keys for 802.1AE (MACsec) for wired traffic encryption in software (Windows).
SHA-2 support for hashing, SHA with 256/384/512 bits.
IKEv2 payload authentication and ESP packet authentication. (Windows 7 or later and macOS 10.7 or later).
Ability to use certificates with SHA-2 in TLS-based EAP methods.
ECDH support for key exchange.
Groups 19, 20, and 21 IKEv2 key exchange and IKEv2 PFS.
Ability to use ECDH in TLS-based EAP methods (Windows).
ECDSA support for digital signature, asymmetric encryption, and authentication, 256-, 384-, 521-bit elliptic curves.
IKEv2 user authentication and server certificate verification.
Ability to use certificates with ECDSA in TLS-based EAP methods.
All required crypto algorithms for IPsecV3 except for NULL encryption.
RSA certificates with 4096 bit keys for TLS/DTLS and IKEv2.
AnyConnect FIPS Requirements
- Suite B cryptography is available for TLS/DTLS and IKEv2/IPsec VPN connections.
- FIPS and/or Suite B support is required on the secure gateway. Cisco provides Suite B capability on the ASA version 9.0 and later, and FIPS capability on the ASA version 8.4.1 and later.
- ECDSA certificate requirements:
- Must have a Digest strength equal or greater than the Curve strength. For example, an EC-384 key must use SHA2-384 or greater.
- Are supported on Windows 7 or later, macOS 10.7 or later, Red Hat Enterprise Linux 6.x or 6.4 (64-bit), and Ubuntu 12.4 and 12.10 (64-bit). ECDSA smart cards are supported only on Windows 7 (and later).
Limitations of AnyConnect FIPS
No EAP methods support SHA-2 except in TLS-based EAP when validating certificates signed using SHA-2.
Guidelines for AnyConnect FIPS
- The AnyConnect client’s Statistics panel (under the Transport Information heading) shows the name of the cipher being used.
- Because AES-GCM is computationally intensive algorithms, you may experience a lower overall data rate when using these algorithms. Some new Intel processors contain special instructions specifically introduced to improve the performance of AES-GCM. AnyConnect automatically detects whether the processor on which it is running supports these new instructions. If so, AnyConnect uses the new instructions to significantly improve VPN data rates as compared to those processors that do not have the special instructions. See http://ark.intel.com/Search/FeatureFilter?productType=processors&AESTech=truefor a list of processors that support the new instructions. For more information, see http://software.intel.com/en-us/articles/intel-carry-less-multiplication-instruction-and-its-usage-for-computing-the-gcm-mode/.
- Combined-mode encryption algorithms, where both encryption and integrity verifications are performed in one operation, are supported only on SMP ASA gateways with hardware crypto acceleration (such as 5585 and 5515-X). AES-GCM is the combined-mode encryption algorithm that Cisco supports.
Note An IKEv2 policy can include either a normal- or a combined-mode encryption algorithm, but not both types. When a combined-mode algorithm is configured in the IKEv2 policy, all normal-mode algorithms are disabled, so the only valid integrity algorithm is NULL. The IKEv2 IPsec proposals use a different model and can specify both normal- and combined-mode encryption algorithms in the same proposal. With this usage, you are required to configure integrity algorithms for both, which leaves a non-NULL integrity algorithm configured with AES-GCM encryption. - When the ASA is configured with a different server certificate for SSL and IPsec, use trusted certificates. A Posture Assessment, WebLaunch, or Downloader failure can occur if using Suite B (ECDSA) untrusted certificates having different IPsec and SSL certificates.
Avoiding Endpoint Problems from AnyConnect FIPS Registry Changes
Enabling FIPS for the core AnyConnect client changes Windows registry settings on the endpoint. Other components of the endpoint may detect that AnyConnect has enabled FIPS and started using cryptography. For example, the Microsoft Terminal Services client Remote Desktop Protocol (RDP) will not work, because RDP requires that servers use FIPS compliant cryptography.
To avoid these problems, you can temporarily disable FIPS encryption in the Windows Local System Cryptography settings by changing the parameter Use FIPS compliant algorithms for encryption, hashing, and signing to Disabled. Be aware that rebooting the endpoint device changes this setting back to enabled.
AnyConnect sets the FIPSAlgorithmPolicy value to 1 in the Windows registry key HKLM\System\CurrentControlSet\ Control\Lsa . Note that disabling FIPS mode in the AnyConnect local policy file does not cuase AnyConnect to alter the FIPSAlgorithmPolicy value.
Configure FIPS for the AnyConnect Core VPN Client
Enable FIPS for the AnyConnect Core VPN
Procedure
Open or create a VPN Local Policy profile in the AnyConnect Profile Editor.
Select FIPS Mode .
Save the VPN Local Policy profile.
We recommend that you name the profile to indicate that FIPS is enabled.
Enable FIPS During Windows Installation
For Windows installations, you can apply a Cisco MST file to the standard MSI installation file to enable FIPS in the AnyConnect Local Policy. For information about where you can download this MST file, see the licensing information you received for FIPS. The installation generates an AnyConnect Local Policy file with FIPS enabled. Update the user’s system after running this utility.
This MST only enables FIPS. It does not change other parameters. To change other local policy settings during Windows installation, see Enable Local Policy Parameters in an MST File.
Configure FIPS for the Network Access Manager
The Network Access Manager can be configured to connect to both FIPS and non-FIPS networks simultaneously, or to FIPS networks only.
Procedure
Enabling FIPS allows the Network Access Manager to connect to both FIPS and non-FIPS networks.
Enforcing FIPS mode restricts the Network Access Manager connections to FIPS networks only.
Enable FIPS for the Network Access Manager
Procedure
Enable FIPS mode in the AnyConnect Network Access Manager client profile:
- Open or create a Network Access Manager profile in the AnyConnect Profile Editor.
- Select the Client Policy configuration window.
- Under the Administrative Status section select Enable for FIPS Mode .
- Save the Network Access Manager profile as configuration.xml.
Enforce FIPS Mode for the Network Access Manager
Force enterprise employees to only connect to FIPS-compliant networks by restricting the allowed association and encryption modes, and the authentication methods in the Network Access Manager profile.
Procedure
Open your Network Access Manager profile in the AnyConnect Profile Editor.
Network Access Manager FIPS compliance requires FIPS-approved AES encryption modes including WPA2 Personal (WPA2-PSK) and WPA2 Enterprise (802.1X).
The Network Access Manager FIPS support includes EAP methods EAP-TLS, EAP-TTLS, PEAP, EAP-FAST and LEAP.
Save the Network Access Manager profile as configuration.xml.
Федеральный стандарт по обработке информации (FIPS) 140-2
Федеральный стандарт по обработке информации (FIPS), публикация 140‑2 – это государственный стандарт США и Канады, определяющий требования к безопасности криптографических модулей для защиты конфиденциальных данных. Если при доступе к регионам AWS Восток / Запад США, AWS GovCloud (US) или AWS Канада (Центр) через интерфейс командной строки (CLI) или программно с помощью API требуется использование криптографических модулей, проверенных на соответствие FIPS 140‑2, далее в соответствующих разделах приведен список доступных адресов, проверенных на соответствие FIPS (по регионам AWS). Адреса серверов VPN Amazon Virtual Private Cloud в регионе AWS GovCloud (США) функционируют с использованием проверенных на соответствие FIPS 140-2 модулей шифрования. В регионах, не относящихся к GovCloud, для IPSec поддерживается соответствующий требованиям FIPS набор алгоритмов, при условии, что шлюз клиента задает только совместимые с FIPS наборы шифров. AWS взаимодействует с клиентами, чтобы предоставить им нужную информацию для обеспечения соответствия требованиям при работе в регионах AWS Восток / Запад США, AWS GovCloud (США) или AWS Канада (Центр). Дополнительную информацию о стандарте см. на странице Cryptographic Module Validation Program веб‑сайта Центра ресурсов компьютерной безопасности NIST.
Начиная с 1 апреля 2021 года, все конечные точки AWS FIPS были обновлены, чтобы принимать только минимум соединений Transport Layer Security (TLS) 1.2. Это гарантирует, что наши клиенты, выполняющие регулируемые рабочие нагрузки, смогут соответствовать требованиям FedRAMP, которые требуют использовать как минимум TLS 1.2-шифрование для передаваемых данных. Ознакомьтесь с публикацией в блоге AWS Security.
