Community Ask Me Anything: Cómo trabajar seguro de forma remota - Página 3

Cisco Moderador · ‎03-23-2020

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella.

El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.

Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.

Detalles de los Expertos

Divya Nair es una Technical Marketing Engineer del equipo de seguridad de negocios en Raleigh, North Carolina. Cuenta con más de 10 años de experiencia en las tecnologías de network security de Cisco, se especializa en firewalls, IPS, VPN y AAA, actualmente se enfoca en la administración de plataformas de VPN y firewall. Divya es egresada de la carrea de Informática e ingeniería.

Jonny Noble lidera al equipo de Technical Marketing Engineers de Seguridad Cloud en Cisco, se especializa en Cisco Umbrella y tecnologías relacionadas. Jonny tiene más de 20 años de experiencia trabajando en proyectos y disciplinas orientadas a clientes de organizaciones globales de alta tecnología. Cuenta con una amplia experiencia como orador en distas sesiones de trabajo y laboratorios de supervisión en los eventos de Cisco Live, así como en numerosos eventos, ferias y exposiciones para clientes y socios de negocios. Es egresado de la carrera de electrónica y tiene un MBA de negocios. Jonny cuenta con la certificación CISSP.

Aditya Ganjoo es un Technical Marketing Engineer en Bangalore, India. Ha colaborado con Cisco en los últimos siete años en las tecnologías de seguridad, se especializa en Firewall, VPN, y AAA. Aditya ha brindado diversos entrenamientos de las tecnologías de ASA y VPN. Es egresado de la carrera de tecnologías de la información y cuenta con un CCIE Security #58938. Aditya es un contribuidor constante de la Comunidad de Soporte de Cisco y ha brindado diversas presentaciones en los eventos de Cisco Live.

Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

Encuentre más eventos en: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidad-espanol

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Aditya Ganjoo · ‎04-20-2020

Además de lo que Divya dijo, también puede hacer scripts a solicitud utilizando AnyConnect:
https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/customize-localize-anyconnect.html#ID-1408-00000396
Saludos, Aditya

Divya Nair · ‎04-20-2020

Cisco ASA 5508-X no puede tener más de 5 sesiones en un momento dado.
Hemos comprado licencias para 100 usuarios, adjunto a continuación nuestras configuraciones, si alguien puede ayudarnos y orientarnos en la dirección correcta, lo agradeceríamos enormemente.

Hemos aumentado nuestro ancho de banda asignado de 300 Mbps a 1GB en un esfuerzo por permitir que más usuarios se activen, pero todavía solo podemos obtener 5 en un momento dado.
Resultado del comando: "show vpn-sessiondb summary"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
Result of the command: "show vpn-sessiondb detail"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
IKEv2 : 2 : 1093 : 2
IPsecOverNatT : 2 : 1094 : 2
Clientless : 0 : 20 : 3
AnyConnect-Parent : 3 : 321 : 7
SSL-Tunnel : 2 : 325 : 6
DTLS-Tunnel : 2 : 309 : 6
---------------------------------------------------------------------------
Totals : 11 : 3162
---------------------------------------------------------------------------

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Riverbears ITTeam. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Divya Nair · ‎04-20-2020

Hola,
¿Puede confirmarnos si están utilizando la salida de show vpn-session license-summary y si ven 100 como el límite instalado?
Un ejemplo de la salida en ASA 5506 es el siguiente (ver línea roja): ASA5506-X(config)# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

¿Pueden ver Syslogs cuando entra la sexta conexión? Es posible que deban aumentar el registro a la depuración temporalmente para este propósito. Revisé su configuración y no hay nada malo que detecte.

Cisco Moderador · ‎04-20-2020

Confirmo nuestra salida a continuación.
Vemos que el límite instalado es 100.
Resultado del comando: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------
Result of the command: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Riverbears ITTeam. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-20-2020

¿Podría compartinos el resultado de show run vpn-sessiondb? Si también le es posible, ¿podría compartirnos los registros cuando detecte este problema?
Saludos,
Aditya

Cisco Moderador · ‎04-20-2020

Hola,
Aquí está la salida que solicitaron:

TBROG-FW-01# show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01#

¿Me pueden indicar xactamente qué registros desean ver? Adjunto mi último intento con éxito de ip externa 71.195.58.236. Cualquier otro intento posterior a nuestra sexta conexión, no me permite ver ningún registro generado.

6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Riverbears ITTeam. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Divya Nair · ‎04-20-2020

Hola,
Cuando intente nuevamente conectar el sexto cliente, ¿puede enviarnos lo siguiente?

debug webvpn 255
debug webvpn anyconnect 255
Paquete DART después de la sexta conexión fallida.

Cisco Moderador · ‎04-20-2020

Creo que está fuera del alcance de mis habilidades o no estoy familiarizado con cómo generar y acceder a esos registros.
¿Hay alguna guía que pueda enviar para obtener esta salida de registro?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Riverbears ITTeam. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Divya Nair · ‎04-20-2020

Hola,
Para las depuraciones, deberá iniciar sesión en la CLI de ASA y habilitar los siguientes comandos justo antes de intentar la sexta conexión:

ASA5506-X# debug webvpn anyconnect 255
ASA5506-X# debug webvpn 255

DART es esencialmente un módulo de diagnóstico que se puede utilizar para recopilar registros del lado del cliente en una ubicación. El siguiente enlace muestra los pasos para configurarlo:

https://community.cisco.com/t5/security-documents/how-to-collect-the-dart-bundle-for-anyconnect/ta-p/3156025

Sin embargo, si es más fácil para usted, abrir un caso TAC podría ser una buena alternativa para que el ingeniero pueda iniciar una sesión remota y solucionar el problema.

Aditya Ganjoo · ‎04-20-2020

Es extraño. ¿Creen que podrían aumentar el nivel de registros para depurar, y luego probar la sexta conexión?

Además, ¿probaron ya con diferentes nombres de usuario?

Hubiera solicitado otros debugs, como debug webvpn anyconnect 255 y luego probarlo, pero no estoy seguro sobre el uso de recursos del Firewall.

Saludos,

Aditya

Cisco Moderador · ‎04-20-2020

Hola, en este momento estoy usando AnyConnect 4.3.05017 (Windows 7) para conectarme a una red corporativa (COVID-19 ...) y me afecta un problema identificado, para el que aparentemente no hay solución:

Mientras AnyConnect está activo, no es posible instalar otras rutas en la tabla de enrutamiento. Sin embargo, como parte de mi trabajo, necesito acceder a una máquina virtual VirtualBox que es accesible a través de adaptadores de red virtuales. Cada vez que inicio la máquina virtual, AnyConnect elimina la entrada de la tabla de enrutamiento.

Estas son las entradas de datos de eventos:

Routing table - fixed - deleted route
Destination Netmask Gateway IfAddr IfName IfIndex LL Metric
192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1

Automatic correction of the routing table has been successful.

Entiendo que mantener el control de la tabla de enrutamiento es una característica de seguridad, pero en este caso (y varios otros encontrados en Internet) me imposibilita hacer el trabajo que me ha sido asignado. ¿Qué se puede hacer? ¿Existe una opción de configuración por parte del cliente o del servidor que pueda utilizarse para corregir este disfuncionamiento?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por HansMartinMosner74305. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-20-2020

¿Intentaron usar el Split-Exclude Tunneling? Con este método, le están indicando al dispositivo que especifique qué tráfico no debe enviar a través del túnel.
Saludos,
Aditya

Cisco Moderador · ‎04-20-2020

¡Gracias, es probable que esto me sea muy útil!
Aparentemente, el acceso LAN local está deshabilitado en el ASA, por lo que no puedo habilitarlo en el cliente (ya que solo soy un desarrollador, no un administrador de red). Pero puedo pedir a los administradores que habiliten esa funcionalidad de acuerdo con la información en https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls /70847-local-lan-pix-asa.html, lo más probable es que esto resulte en una configuración de trabajo.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por HansMartinMosner74305. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-20-2020

Seguro mantennos informados.

Cisco Moderador · ‎04-21-2020

Buenos días
Tengo una donación de una telepresencia dual y me gustaría usarla, pero no tengo un nombre de usuario y contraseña.
¿Pueden ayudarme?
Tengo una dirección IP no registrada.

Nota: Esta pregunta es una traducción de un post originalmente generado en francés por FranckBourasseau50897. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.