el 03-23-2020 01:03 PM - fecha de última edición 03-23-2020 01:42 PM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella.
El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.
Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.
Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 04-20-2020 03:07 PM
Hola a todos, tengo varias preguntas:
1. ¿Estoy en lo correcto cuando dicen que la personalización de webvpn (es decir, la página de inicio de webvpn) y la personalización de AnyConnect (mensajes, idiomas, etc.) actualmente no son compatibles si utilizo el dispositivo Firepower Threat Defense (FTD) como cabecera? (administrado por FMC o administrado por FDM / CDO)
2. La comprobación básica de la postura como podemos hacerla actualmente con ASA y DAP / Hostscan no es una opción solo con FTD (es decir, debemos recurrir a una solución externa como ISE) - ¿correcto?
3. Para DAP / Hostscan con ASA, ¿se requiere AnyConnect Premium y este sí es compatible con los modelos de plataforma ASAv?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 03:19 PM
Hola Marvin,
Es correcto. La personalización de WebVPN sin cliente y AnyConnect no son posibles actualmente en FTD.
De momento, necesitarán usar ISE Posture para la evaluación de la postura del cliente en FTD.
ASA con DAP requiere la licencia Apex (anteriormente la licencia Premium) y es compatible con los modelos ASAv.
el 04-20-2020 03:22 PM
Gracias Divya,
Una duda más: dos de nosotros hemos intentado poner DAP en ASAv y tuvimos problemas. Por favor verifica este hilo:
https://community.cisco.com/t5/vpn/asa-virtual-unable-to-activate-hostscan/td-p/4044100
¿Es algo que podríamos resolver en esta liga o deberíamos abrir un caso de TAC?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 03:24 PM
He actualizado la publicación que mencionas también.
Gracias
el 04-20-2020 04:22 PM
Hola Marvin
Por favor revisa este enlace:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvs84158/?rfs=iqvred
el 04-20-2020 04:26 PM
¡Gracias Divya Nair y Aditya Ganjoo!
Como complemento a nuestras notas para los lectores, al bloquear la memoria para ejecutar el ASAv como un modelo ASAv10 (vs. ASAv5) se corrige la imposibilidad de agregar hostscan, el cual es necesario para usar DAP.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-21-2020 06:08 PM
Hola,
Necesito crear una nueva VLAN02 para WIFI invitado y configurar algunas reglas para restringir el acceso a alguna dirección IP.
Mi ASA5506 está en modo BVI.
Las interfaces ASA actuales son las siguientes:
BVI1 – inside
GIG1/1 - outside -
GIG1/2 - inside_1 -
GIG1/3 - inside_2 -
GIG1/4 - inside_3 -
GIG1/5 - inside_4 -
GIG1/6 - inside_5 -
GIG1/7 - inside_6 -
GIG1/8 - inside_7 -
Management1/1 -
Quiero asignar GIG1 / 5 para VLAN02 como Wi-Fi invitado y asignar una dirección IP para esta nueva VLAN.
Por favor, ¿cuál es la mejor manera de hacerlo?
¿Es posible demostrar la configuración desde ASDM?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por saids3. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-17-2020 06:08 PM
Hola,
¿Tenemos alguna opción en Cisco AnyConnect que use el firewall FTD para bloquear máquinas no-Windows que se unen y permitir que sólo las computadoras de determinado dominio se conecten a AnyConnect?
Gracias Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 03:11 PM
Hola Basavaraj,
Se puede usar la autenticación del certificado de la máquina para los usuarios de AnyConnect, para asegurarse de que sólo las máquinas de dominio puedan unirse. Anexo la Guía de Configuración: https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/firepower_threat_defense_remote_access_vpns.html#id_login_via_clientcert
el 04-20-2020 03:17 PM
Hola Divya,
Gracias por tu respuesta.
Básicamente, lo que estoy buscando proteger son computadoras de dominio. Ya estoy aplicando DLP y los usuarios no pueden copiar nada de las computadoras etc., por ejemplo, si mis empleados se conectan a la red corporativa usando sus computadoras personales, mi duda es ¿cómo puedo evitar que no copien cualquier cosa, excepto cosas de trabajo en las aplicaciones requeridas? Básicamente no quiero que copien ningún dato de la red cuando se conectan a la red.
¿Cómo puedo lograr esto? ¿Puedo crear un tunnel-group para máquinas ligadas a dominio y otro grupo de túnel para máquinas no relacionadas cpn el dominio y aplicar una política?
Gracias Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 04:39 PM
Hola Basavaraj
Efectivamente, sí necesitaría crear diferentes perfiles de conexión y aplicar las políticas.
Esto se puede hacer de diferentes maneras, como proporcionar la URL de grupo a los usuarios, a través de atributos Radius o mediante la función de bloqueo de grupo en ASA.
Saludos, Aditya
el 04-20-2020 04:41 PM
Hola Aditya
¿Me podrían proporcionar una guía de configuración de ejemplo, para que la siga y lo haga?
Muchas gracias, Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 04-20-2020 04:42 PM
04-20-2020 04:45 PM - editado 04-20-2020 04:46 PM
Hola Aditya
Esos enlaces están configurando diferentes túneles tunnel-group y group-alias, lo que yo estoy buscando es aplicar políticas de tipo DLP en cada política de grupo, para que no puedan copiar ningún dato sobre el túnel de AnyConnect.
Básicamente, no deben copiar ningún dato a través del túnel AnyConnect VPN.
¿Cómo puedo aplicar este tipo de política en AnyConnect VPN?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
04-20-2020 05:38 PM - editado 04-20-2020 05:39 PM
Hola,
Sí entiendo, está buscando imponer un DLP para usuarios de BYOD. La mejor manera de hacer esto en el FTD sería hacer que los usuarios de BYOD se conectaran a un connection profile/group-policy por separado. Le daría a esta conexión un grupo de direcciones diferente de los usuarios del dominio. Luego puede usar filtros de aplicación en la política de acceso FTD para bloquear los protocolos de transferencia de archivos para el grupo VPN BYOD. Tenga en cuenta que FTD no es una verdadera aplicación DLP, pero el filtro de la aplicación le ayudará a lograr lo que necesita hacer: https://www.cisco.com/c/en/us/td/docs/security/firepower/650 /configuration/guide/fpmc-config-guide-v65/rule_management_common_characteristics.html#id_16281
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad