Re: Community Ask Me Anything: Cómo trabajar seguro de forma remota - Página 4

Cisco Moderador · ‎03-23-2020

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella.

El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.

Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.

Detalles de los Expertos

Divya Nair es una Technical Marketing Engineer del equipo de seguridad de negocios en Raleigh, North Carolina. Cuenta con más de 10 años de experiencia en las tecnologías de network security de Cisco, se especializa en firewalls, IPS, VPN y AAA, actualmente se enfoca en la administración de plataformas de VPN y firewall. Divya es egresada de la carrea de Informática e ingeniería.

Jonny Noble lidera al equipo de Technical Marketing Engineers de Seguridad Cloud en Cisco, se especializa en Cisco Umbrella y tecnologías relacionadas. Jonny tiene más de 20 años de experiencia trabajando en proyectos y disciplinas orientadas a clientes de organizaciones globales de alta tecnología. Cuenta con una amplia experiencia como orador en distas sesiones de trabajo y laboratorios de supervisión en los eventos de Cisco Live, así como en numerosos eventos, ferias y exposiciones para clientes y socios de negocios. Es egresado de la carrera de electrónica y tiene un MBA de negocios. Jonny cuenta con la certificación CISSP.

Aditya Ganjoo es un Technical Marketing Engineer en Bangalore, India. Ha colaborado con Cisco en los últimos siete años en las tecnologías de seguridad, se especializa en Firewall, VPN, y AAA. Aditya ha brindado diversos entrenamientos de las tecnologías de ASA y VPN. Es egresado de la carrera de tecnologías de la información y cuenta con un CCIE Security #58938. Aditya es un contribuidor constante de la Comunidad de Soporte de Cisco y ha brindado diversas presentaciones en los eventos de Cisco Live.

Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

Encuentre más eventos en: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidad-espanol

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Divya Nair · ‎04-21-2020

Hola,
Esta parece una pregunta para el equipo de colaboración en https://community.cisco.com/t5/collaboration-voice-and-video/ct-p/4691-collaboration-voice-video
Este AMA es para VPN de acceso remoto, pero las personas de estos foros deberían poder ayudarles en el enlace de arriba.

Cisco Moderador · ‎04-21-2020

Tengo servicio de soporte de reemplazo Cisco HW las 24 horas. ¿Vendrá un técnico Cisco in situ para hacer el reemplazo durante la cuarentena del COVID-19 que está vigente? Solo me preocupa que si una unidad falla, etc., no podamos obtener un reemplazo.
Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por JeffFrench3318. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Cisco Moderador · ‎04-21-2020

Tenemos dos enclaves interconectados, donde el enclave externo está utilizando AnyConnect para acceder desde Internet.

Mi enclave está detrás de un ASA-5585-X, y necesito dar acceso a un conjunto muy pequeño de usuarios a este enclave. Mi primera idea fue anidar una sesión de AnyConnect dentro de otra sesión, creando un túnel dentro de otro túnel, pero parece que no funciona.

Si los administradores del enclave externo crearan un NAT que expusiera la interfaz externa de mi firewall, ¿los usuarios finales podrían conectarse a una dirección IP diferente y esquivar el firewall externo para una sesión VPN?

Diseño conceptual:

Internet ==== >> Firewall externo ==== >> Enclave externo ==== >> Firewall interno (mi ASA) ==== >> Enclave interno

Necesito esto:

Internet ======================== >> VPN ====================== ============= >> Enclave interior

de algun modo.

¿Alguna sugerencia?

Gracias,
Gregg

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por gregg.discenza1. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-21-2020

Puede crear un NAT estático para que los usuarios accedan a los recursos detrás del firewall interno.

Internet ======================== >> VPN ====================== ============= >> Enclave interior

O puede permitir la subred específica en el enclave interno de la política VPN y luego restringir el externo (un pequeño conjunto de usuarios) para configurar una ACL de ingreso en el FW interno.

Suponiendo que la VPN AnyConnect va a terminar en el FW externo y después de eso, todo estará en "texto claro".
Espero eso ayude
Aditya

Cisco Moderador · ‎04-21-2020

Suponiendo que la información de la subred del enclave interno se publique en el enclave externo, lo cual no es así, no puedo usar una restricción basada en IP, ya que algunos de los usuarios que necesitan acceso al enclave interno están dentro del enclave externo.
¿Hay alguna forma de usar el adaptador VPN de Windows 10 para conectarse al ASA?

Gregg

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por gregg.discenza1. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Divya Nair · ‎04-21-2020

Hola,
¿Hay algún problema al usar la VPN externa para terminar todas las conexiones y tener diferentes grupos de túnel / perfil de conexión / política de grupo para los usuarios externos e internos? La razón por la que pregunto es porque el uso del cliente L2TP seguirá siendo túnel en túnel.

Cisco Moderador · ‎04-21-2020

He aquí una excelente referencia para AnyConnect

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215331-anyconnect-implementation-and-performanc.html
Espero que todos ustedes y sus seres queridos se encuentren seguros y gocen de salud.
Monica Lluis
Community Manager Lead

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Monica Lluis. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Cisco Moderador · ‎04-21-2020

Hola Mónica,
Gracias por compartir ese importante documento.
Nuestros expertos en VPN globales recientemente entregaron un podcast centrado en RAVPN y cómo optimizar el rendimiento de AnyConnect. Las notas del programa incluyen enlaces al documento al que hizo referencia y todavía más:
https://community.cisco.com/t5/security-documents/episode-57-maximizing-anyconnect-performance-during-the-covid-19/ta-p/4053676
Bill

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Bill O. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Cisco Moderador · ‎04-21-2020

En el caso de que estemos utilizando no-split-tunnel or tunnel-all-DNS para nuestra VPN de acceso remoto y combinemos esas funciones con Umbrella, tenemos un problema para los puntos finales no administrados que llegan a la página de bloqueo de Umbrella para sitios https y obtienen el error de certificado. Dado que https se usa para el 80% (o más) de todo el tráfico web, esto es cada vez un problema más recurrente.

Para los puntos finales administrados, esto no es tanto un problema, ya que podemos insertar el certificado en stores certificados locales a través de GPO (u otro software EMM) como se describe en la documentación de Umbrella:

https://docs.umbrella.com/deployment-umbrella/docs/install-cisco-umbrella-root-certificate

Para puntos finales no administrados, decirle a los usuarios finales que descarguen y confíen en el certificado Umbrella es complicado. ¿Hay alguna mejor práctica que podamos adoptar para evitar tener que hacer esto?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

jonnoble · ‎04-21-2020

Hola Marvin,
En el caso de dispositivos no administrados, la mejor práctica es dividirlos en una red diferente (o identidad en el tablero de Umbrella) y aplicarles una política separada.
En esa política por separado, no se debe habilitar el proxy inteligente (sin inspección de archivos y, por lo tanto, sin descifrado HTTPS), y al mantener toda la aplicación de seguridad solo en la capa DNS, no tendrán estos problemas.
Si bien entiendo que esta división del tráfico es más fácil cuando se encuentra en una red corporativa (es decir, el tráfico de invitados o dispositivos no administrados pasan por vlans o SSID separados), en su caso en este momento parece que se refiere a trabajadores remotos que se están conectando a VPN y este es el mismo tipo de conexión para dispositivos administrados y no administrados.
En cuyo caso, deberá deshabilitar la inspección de archivos en todas las políticas de Umbrella que cubren identidades en las que se incluirá dispositivos no administrados.

Cisco Moderador · ‎04-21-2020

Gracias jonnoble,

Tenía miedo de que esa fuera la respuesta. Aunque es mejor asegurarse.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Cisco Moderador · ‎04-21-2020

Hola,
Cuando quiero configurar el enrutador desde CCP, aparece un error:
"El componente de seguridad ha fallado. Para trabajar en las características de Enrutador o Seguridad, haga lo siguiente. Vaya al panel de control de Java -> pestaña Avanzado -> Entrada Java Plug-in tree. Desactive la casilla de verificación para habilitar el complemento de Java de próxima generación. Vuelva a reiniciar CiscoCP después de esto."
Intenté desmarcar el plug-in NGN de Java pero no puedo encontrar la opción en la pestaña Avanzado. ¿Podrían ayudarme por favor?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por jefreyoropesa. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-21-2020

Le pediría que intente publicar esto en la sección Administración de redes para obtener una mejor respuesta:
https://community.cisco.com/t5/network-management/bd-p/5931-discussions-network-management
Saludos,
Aditya

Cisco Moderador · ‎04-21-2020

He encontrado y me han señalado paso a paso para dividir (split), pero no quiero dividir.

¿Alguien puede orientarme paso a paso en el NO split tunnel?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Aditya Ganjoo · ‎04-21-2020

Hola,
¿Podría por favor elaborar un poco más sobre el requerimiento?
¿Desea deshabilitar un túnel dividido? En caso afirmativo, puede usar la opción TunnelAll.
Si es posible, compartanos la configuración y cuál es el caso de uso.