cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
14252
Visitas
0
ÚTIL
77
Respuestas

Community Ask Me Anything: Cómo trabajar seguro de forma remota

Cisco Moderador
Community Manager
Community Manager
SPama-remote-workers_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella. 

El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.

Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.

Detalles de los Expertos
divyanai.jpgDivya Nair es una Technical Marketing Engineer del equipo de seguridad de negocios en Raleigh, North Carolina. Cuenta con más de 10 años de experiencia en las tecnologías de network security de Cisco, se especializa en firewalls, IPS, VPN y AAA, actualmente se enfoca en la administración de plataformas de VPN y firewall. Divya es egresada de la carrea de Informática e ingeniería.


jonnoble.jpgJonny Noble lidera al equipo de Technical Marketing Engineers de Seguridad Cloud en Cisco, se especializa en Cisco Umbrella y tecnologías relacionadas. Jonny tiene más de 20 años de experiencia trabajando en proyectos y disciplinas orientadas a clientes de organizaciones globales de alta tecnología. Cuenta con una amplia experiencia como orador en distas sesiones de trabajo y laboratorios de supervisión en los eventos de Cisco Live, así como en numerosos eventos, ferias y exposiciones para clientes y socios de negocios. Es egresado de la carrera de electrónica y tiene un MBA de negocios. Jonny cuenta con la certificación CISSP.

adganjoo.jpgAditya Ganjoo es un Technical Marketing Engineer en Bangalore, India. Ha colaborado con Cisco en los últimos siete años en las tecnologías de seguridad, se especializa en Firewall, VPN, y AAA. Aditya ha brindado diversos entrenamientos de las tecnologías de ASA y VPN. Es egresado de la carrera de tecnologías de la información y cuenta con un CCIE Security #58938. Aditya es un contribuidor constante de la Comunidad de Soporte de Cisco y ha brindado diversas presentaciones en los eventos de Cisco Live.

Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

77 RESPUESTAS 77

Hola a todos, tengo varias preguntas:

1. ¿Estoy en lo correcto cuando dicen que la personalización de webvpn (es decir, la página de inicio de webvpn) y la personalización de AnyConnect (mensajes, idiomas, etc.) actualmente no son compatibles si utilizo el dispositivo Firepower Threat Defense (FTD) como cabecera? (administrado por FMC o administrado por FDM / CDO)

2. La comprobación básica de la postura como podemos hacerla actualmente con ASA y DAP / Hostscan no es una opción solo con FTD (es decir, debemos recurrir a una solución externa como ISE) - ¿correcto?

3. Para DAP / Hostscan con ASA, ¿se requiere AnyConnect Premium y este sí es compatible con los modelos de plataforma ASAv?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Marvin,
Es correcto. La personalización de WebVPN sin cliente y AnyConnect no son posibles actualmente en FTD.
De momento, necesitarán usar ISE Posture para la evaluación de la postura del cliente en FTD.
ASA con DAP requiere la licencia Apex (anteriormente la licencia Premium) y es compatible con los modelos ASAv.

Gracias Divya,
Una duda más: dos de nosotros hemos intentado poner DAP en ASAv y tuvimos problemas. Por favor verifica este hilo:

https://community.cisco.com/t5/vpn/asa-virtual-unable-to-activate-hostscan/td-p/4044100

¿Es algo que podríamos resolver en esta liga o deberíamos abrir un caso de TAC?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

He actualizado la publicación que mencionas también.

Gracias

¡Gracias Divya Nair y Aditya Ganjoo!

Como complemento a nuestras notas para los lectores, al bloquear la memoria para ejecutar el ASAv como un modelo ASAv10 (vs. ASAv5) se corrige la imposibilidad de agregar hostscan, el cual es necesario para usar DAP.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola,
Necesito crear una nueva VLAN02 para WIFI invitado y configurar algunas reglas para restringir el acceso a alguna dirección IP.
Mi ASA5506 está en modo BVI.
Las interfaces ASA actuales son las siguientes:
BVI1 – inside
GIG1/1 - outside -
GIG1/2 - inside_1 -
GIG1/3 - inside_2 -
GIG1/4 - inside_3 -
GIG1/5 - inside_4 -
GIG1/6 - inside_5 -
GIG1/7 - inside_6 -
GIG1/8 - inside_7 -
Management1/1 -
Quiero asignar GIG1 / 5 para VLAN02 como Wi-Fi invitado y asignar una dirección IP para esta nueva VLAN.
Por favor, ¿cuál es la mejor manera de hacerlo?
¿Es posible demostrar la configuración desde ASDM?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por saids3. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Cisco Moderador
Community Manager
Community Manager

Hola,
¿Tenemos alguna opción en Cisco AnyConnect que use el firewall FTD para bloquear máquinas no-Windows que se unen y permitir que sólo las computadoras de determinado dominio se conecten a AnyConnect?
Gracias Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Basavaraj,
Se puede usar la autenticación del certificado de la máquina para los usuarios de AnyConnect, para asegurarse de que sólo las máquinas de dominio puedan unirse. Anexo la Guía de Configuración: https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/firepower_threat_defense_remote_access_vpns.html#id_login_via_clientcert

Hola Divya,
Gracias por tu respuesta.
Básicamente, lo que estoy buscando proteger son computadoras de dominio. Ya estoy aplicando DLP y los usuarios no pueden copiar nada de las computadoras etc., por ejemplo, si mis empleados se conectan a la red corporativa usando sus computadoras personales, mi duda es ¿cómo puedo evitar que no copien cualquier cosa, excepto cosas de trabajo en las aplicaciones requeridas?  Básicamente no quiero que copien ningún dato de la red cuando se conectan a la red.
¿Cómo puedo lograr esto? ¿Puedo crear un tunnel-group para máquinas ligadas a dominio y otro grupo de túnel para máquinas no relacionadas cpn el dominio y aplicar una política?
Gracias Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Basavaraj
Efectivamente, sí necesitaría crear diferentes perfiles de conexión y aplicar las políticas.
Esto se puede hacer de diferentes maneras, como proporcionar la URL de grupo a los usuarios, a través de atributos Radius o mediante la función de bloqueo de grupo en ASA.
Saludos, Aditya

Hola Aditya
¿Me podrían proporcionar una guía de configuración de ejemplo, para que la siga y lo haga?
Muchas gracias, Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Aditya
Esos enlaces están configurando diferentes túneles tunnel-group y group-alias, lo que yo estoy buscando es aplicar políticas de tipo DLP en cada política de grupo, para que no puedan copiar ningún dato sobre el túnel de AnyConnect.
Básicamente, no deben copiar ningún dato a través del túnel AnyConnect VPN.

¿Cómo puedo aplicar este tipo de política en AnyConnect VPN?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola,
Sí entiendo, está buscando imponer un DLP para usuarios de BYOD. La mejor manera de hacer esto en el FTD sería hacer que los usuarios de BYOD se conectaran a un connection profile/group-policy por separado. Le daría a esta conexión un grupo de direcciones diferente de los usuarios del dominio. Luego puede usar filtros de aplicación en la política de acceso FTD para bloquear los protocolos de transferencia de archivos para el grupo VPN BYOD. Tenga en cuenta que FTD no es una verdadera aplicación DLP, pero el filtro de la aplicación le ayudará a lograr lo que necesita hacer: https://www.cisco.com/c/en/us/td/docs/security/firepower/650 /configuration/guide/fpmc-config-guide-v65/rule_management_common_characteristics.html#id_16281