Re: Community Ask Me Anything: Cómo trabajar seguro de forma remota

Cisco Moderador · ‎03-23-2020

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella.

El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.

Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.

Detalles de los Expertos

Divya Nair es una Technical Marketing Engineer del equipo de seguridad de negocios en Raleigh, North Carolina. Cuenta con más de 10 años de experiencia en las tecnologías de network security de Cisco, se especializa en firewalls, IPS, VPN y AAA, actualmente se enfoca en la administración de plataformas de VPN y firewall. Divya es egresada de la carrea de Informática e ingeniería.

Jonny Noble lidera al equipo de Technical Marketing Engineers de Seguridad Cloud en Cisco, se especializa en Cisco Umbrella y tecnologías relacionadas. Jonny tiene más de 20 años de experiencia trabajando en proyectos y disciplinas orientadas a clientes de organizaciones globales de alta tecnología. Cuenta con una amplia experiencia como orador en distas sesiones de trabajo y laboratorios de supervisión en los eventos de Cisco Live, así como en numerosos eventos, ferias y exposiciones para clientes y socios de negocios. Es egresado de la carrera de electrónica y tiene un MBA de negocios. Jonny cuenta con la certificación CISSP.

Aditya Ganjoo es un Technical Marketing Engineer en Bangalore, India. Ha colaborado con Cisco en los últimos siete años en las tecnologías de seguridad, se especializa en Firewall, VPN, y AAA. Aditya ha brindado diversos entrenamientos de las tecnologías de ASA y VPN. Es egresado de la carrera de tecnologías de la información y cuenta con un CCIE Security #58938. Aditya es un contribuidor constante de la Comunidad de Soporte de Cisco y ha brindado diversas presentaciones en los eventos de Cisco Live.

Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

Encuentre más eventos en: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidad-espanol

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Cisco Moderador · ‎04-17-2020

Hola,
¿Alguna directriz para solucionar problemas de consultas DNS? Resolver dns locales siempre nos ha dado problema cuando están conectados a AnyConnet VPN.
Muchas gracias.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-17-2020

Hola,
¿Tienen problemas con la resolución de DNS local a través del túnel VPN?
En caso afirmativo, puede verificar los atributos del group policy para el valor específico.
Si está buscando las mejores prácticas, también pueden configurar las siguientes tres opciones para DNS con AnyConnect:
- Split DNS: las consultas DNS que coinciden con los nombres de dominio se configuran en el dispositivo de seguridad adaptable de Cisco (ASA). Se mueven a través del túnel (a los servidores DNS que están definidos en el ASA, por ejemplo) mientras que otros no.
- Tunnel-all-DNS: solo se permite el tráfico DNS a los servidores DNS definidos por el ASA. Esta configuración se configura en la política de grupo (group policy).
- DNS estándar: todas las consultas DNS se mueven a través de los servidores DNS definidos por el ASA. En el caso de una respuesta negativa, las consultas DNS también pueden ir a los servidores DNS que están configurados en el adaptador físico.
También pueden consultar el siguiente enlace para obtener más claridad sobre el comportamiento de DNS con AnyConnect:
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116016-technote-AnyConnect-00.html#anc1
Saludos, Aditya

Cisco Moderador · ‎04-17-2020

Hola,
Gracias por la respuesta
"Split DNS: las consultas DNS que coinciden con los nombres de dominio se configuran en el dispositivo de seguridad adaptable de Cisco (ASA). Se mueven a través del túnel (a los servidores DNS que están definidos en el ASA, por ejemplo) mientras que otros no."
Cuando dice "servidores DNS que están definidos en el ASA" significa que ¿el servidor DNS está configurado en el firewall ASA o en el túnel o en la política de grupo?
Las consultas DNS que coinciden con los nombres de dominio, ¿quiere decir que el nombre de dominio está configurado en el firewall o en la política de grupo?
¿Qué sucede si tenemos un dominio dividido como test.local y test.com?
test.com (es una zona de reenvío en el mismo servidor test.local dns, por ejemplo: 192.168.1.100)
test.com también se resuelve en direcciones IP privadas
esta es mi configuración actual:
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local

Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-17-2020

Hola,
Todos los valores estarían bajo el group policy. Pueden agregar múltiples valores/dominios bajo la política de grupo.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902

Cisco Moderador · ‎04-17-2020

Hola,
Gracias por la respuesta .
He intentado todos los split dns , estándar, túnel all dns ... Todavía no puedo resolver (el servidor del dns es accesible desde el servidor). Estoy usando AnyConnect 4.8 y ASA 9.2
Por favor avísenme.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-17-2020

Hola,
¿Puedes por favor compartir el resultado de show run group-policy <policy-name>?
Saludos, Aditya

Cisco Moderador · ‎04-17-2020

Hola,
Aquí está mi política de grupo sh run
1)
group-policy it-test internal
group-policy it-test attributes
dns-server value 192.168.1.100
vpn-idle-timeout 20
vpn-tunnel-protocol ikev1 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test-acl
default-domain value test.local
address-pools value it-test-pool
2 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

Intenté lo siguiente también después de eliminar "split-tunnel-all-dns disable" pero no ayudó.
3 )
group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-17-2020

Hola,
Deshabilite/elimine la configuración "tunnel-all split dns config" y mantenga los valores de dns dividido, también asegúrese de que los servidores DNS (IP) formen parte de la ACL de túnel dividido.
Para confirmar las búsquedas de DNS (saber si están pasando por AnyConnect), puede usar Wireshark, iniciar una captura en la máquina y verificar a qué adaptador se envían las solicitudes de DNS.
Si le es posible, por favor comparta la salida de ipconfig /all de la máquina de prueba y las capturas.
Saludos,
Aditya

Cisco Moderador · ‎04-17-2020

Hola Aditya Ganjoo,

"Deshabilite/elimine la configuración "tunnel-all split dns config" y mantenga los valores de dns dividido, también asegúrese de que los servidores DNS (IP) formen parte de la ACL de túnel dividido."
Deshabilitado y mi subred completa es (192.168.1.0/24) que es parte de la ACL de túnel dividido.
"Para confirmar las búsquedas de DNS (saber si están pasando por AnyConnect), puede usar Wireshark, iniciar una captura en la máquina y verificar a qué adaptador se envían las solicitudes de DNS."
Sí, está pasando por cualquier conexión.

"Si le es posible, por favor comparta la salida de ipconfig /all de la máquina de prueba y las capturas."
Ver archivo adjunto.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-17-2020

Pude ver que las solicitudes efectivamente llegan al servidor DNS pero devuelven un error del servidor:

Standard query response, Server failure

¿Usted dijo que funciona bien cuando no está en AnyConnect?
Si le es posible, ¿nos puede compartir capturas del que sí funciona?

Saludos,
Aditya

Cisco Moderador · ‎04-17-2020

Hola Aditya Ganjoo
Gracias por la respuesta.
Lo que quiero decir con esto es que funciona cuando estoy en cualquier conexión, si elimino el "split-dns value test.com" se dirige al dns público (ISP) a través del adaptador físico y la dirección IP pública, y el servidor DNS interno que funciona desde nuestra LAN local (pronto podré compartir la captura de paquetes).
¿Pueden decirme por qué la dirección MAC de AnyConnect se muestra como 00:11:22:33:44:55 ?
Ver anexo
Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-20-2020

La dirección MAC es para la IP de destino, tu próximo salto o next hop.
La dirección MAC para AC es 0-05-9A-3C-7A-00.
"El controlador AnyConnect no interfiere con el solucionador DNS nativo. Por lo tanto, la resolución DNS se realiza según el orden de los adaptadores de red donde AnyConnect es siempre el adaptador preferido cuando se el VPN está conectado. Además, una consulta DNS se envía primero a través del túnel y si no se resuelve, el solucionador intenta resolverlo a través de la interfaz pública. La lista de acceso split-include incluye la subred que cubre los servidores DNS del túnel. Para empezar con AnyConnect 4.2, rutas de host para el servidor DNS del (los) túnel(es) se agregan automáticamente como redes de inclusión dividida (rutas seguras) por el cliente AnyConnect y, por lo tanto, la lista de acceso de inclusión dividida ya no requiere la adición explícita de la subred del servidor DNS del túnel".
Creo que esto es lo que está sucediendo en tu caso.

Saludos,
Aditya

Cisco Moderador · ‎04-20-2020

Hola Aditya Ganjoo,
Gracias por la respuesta.
He eliminado la subred de ACL, pero el problema persiste.
Del análisis de captura de Wirehark, ¿la consulta DNS te responde con algun error?
Cuando dice "La dirección MAC es para la IP de destino, su next hop".
¿Crees que podría ser la interfaz de firewall ASA?
Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por elite2010. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-20-2020

Eso hay que verificarlo, no creo que sea la dirección MAC de ASA. Busqué la dirección MAC y me parece un dispositivo basado en CIMSYS Inc.

Saludos,
Aditya