cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
14256
Visitas
0
ÚTIL
77
Respuestas

Community Ask Me Anything: Cómo trabajar seguro de forma remota

Cisco Moderador
Community Manager
Community Manager
SPama-remote-workers_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas de cómo utilizar las tecnologías de seguridad que Cisco ofrece para proteger a los usuarios que trabajan de forma remota, como AnyConnect, ASA, FTD, Duo y Umbrella. 

El foro también funciona como una introducción para aquellos que no le han utilizado anteriormente o que cuentan con poco tiempo de utilizarle.

Haga sus preguntas del lunes 23 de Marzo al viernes 3 de Abril del 2020.

Detalles de los Expertos
divyanai.jpgDivya Nair es una Technical Marketing Engineer del equipo de seguridad de negocios en Raleigh, North Carolina. Cuenta con más de 10 años de experiencia en las tecnologías de network security de Cisco, se especializa en firewalls, IPS, VPN y AAA, actualmente se enfoca en la administración de plataformas de VPN y firewall. Divya es egresada de la carrea de Informática e ingeniería.


jonnoble.jpgJonny Noble lidera al equipo de Technical Marketing Engineers de Seguridad Cloud en Cisco, se especializa en Cisco Umbrella y tecnologías relacionadas. Jonny tiene más de 20 años de experiencia trabajando en proyectos y disciplinas orientadas a clientes de organizaciones globales de alta tecnología. Cuenta con una amplia experiencia como orador en distas sesiones de trabajo y laboratorios de supervisión en los eventos de Cisco Live, así como en numerosos eventos, ferias y exposiciones para clientes y socios de negocios. Es egresado de la carrera de electrónica y tiene un MBA de negocios. Jonny cuenta con la certificación CISSP.

adganjoo.jpgAditya Ganjoo es un Technical Marketing Engineer en Bangalore, India. Ha colaborado con Cisco en los últimos siete años en las tecnologías de seguridad, se especializa en Firewall, VPN, y AAA. Aditya ha brindado diversos entrenamientos de las tecnologías de ASA y VPN. Es egresado de la carrera de tecnologías de la información y cuenta con un CCIE Security #58938. Aditya es un contribuidor constante de la Comunidad de Soporte de Cisco y ha brindado diversas presentaciones en los eventos de Cisco Live.

Divya, Jonny y Aditya pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

77 RESPUESTAS 77

Si se usa el túnel, ¿cómo afecta ese cambio a la declaración NAT? Básicamente tenía todo trabajando con el túnel dividido. Cuando cambio al túnel, se pierde por completo el acceso a Internet.
Gracias.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Supongo que es un ASA.
Necesitaría los siguientes comandos para obtener acceso a Internet.
Necesitamos limitar el tráfico para los usuarios de AnyConnect.
Permiso de tráfico de la misma seguridad dentro de la interfaz donde obj-AnyconnectPool es la red de Anyconnect Pool.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

 

Es un head end ASA porque ya tengo el permiso de tráfico de interfaz intra.
Puedo probar el NAT que sugieres. Me resulta difícil imaginar cómo eso permitirá que el tráfico ingrese al interior. Lo intentaré en una hora. Gracias

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

El NAT que sugerí es para tener acceso a Internet para los usuarios de AnyConnect, ya que usted mencionó que pierden el acceso a Internet, una vez que se conectan a AnyConnect (con TunnelAll).
Para acceso interno, puede eximir a AnyConnect Traffic con este NAT:
nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect
Saludos,
Aditya

Con el túnel podrían todos tener acceso al interior y a Internet, pero '¿el tráfico sale del ASA para Internet, en lugar desde su red doméstica?
También en cuanto a enrutamiento. ¿Agregaría una ruta allí en el ASA o está inyectando una ruta sugerida corriente abajo?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Eso es correcto.
TunnelAll significa que el tráfico tiene que llegar a la cabecera (ASA) y desde allí estamos enrutando el tráfico (con el uso de Dynamic PAT en la interfaz externa) a Internet.
Necesitaría una ruta inversa (para el grupo) en el dispositivo corriente abajo.
Algo como esto:
ip route x.x.x.x mask <ASA inside interface IP>
Saludos, Aditya

Estoy usando actualmente ese NAT para acceso interno. ¿Cómo puedo permitir que el grupo de IP de AnyConnect acceda a Internet a través del dispositivo de cabecera?
El cliente se conecta a AnyConnect, recibe una dirección IP del grupo de AnyConnect IP.
Con el NAT adjunto pueden ingresar a redes internas pero NO al INTERNET. [Reemplacé el "any" con un grupo de objetos interno.]
nat (inside,outside) source static any any destination static obj-Anyconnect obj-Anyconnect

¿Qué se necesita EXACTAMENTE para permitir que el grupo de AnyConnect IP TAMBIÉN vaya a Internet? Porque este NAT no permite que el cliente salga a internet.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola,
La siguiente guía detalla todos los pasos que necesita seguir para lograrlo: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918 -asa-sslvpn-00.html
Dele un vistazo y háganos saber si tiene alguna pregunta.

Justamente mencioné esto en mi publicación anterior.
Por favor use este NAT:
object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

Entonces, ¿tendríamos 2 declaraciones NAT para el grupo de IPs de AnyConnect?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Sí, uno para acceso a la red interna y otro para acceso a Internet.

Quería darle las GRACIAS. ¡El último enlace que me proporcionó fue exactamente lo que necesitaba!

Todavía necesito calcular el enrutamiento de back-end, pero estoy muy feliz de informarles que AnyConnect está trabajando en la configuración de TunnelAll para mí gracias a usted.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Encantado de ayudarle.

Cisco Moderador
Community Manager
Community Manager

Quiero enviar material de audio que tengo en mi computadora a los participantes en mis reuniones. Quiero que puedan escuchar extractos que seleccioné. ¿Esto es posible?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por ORI1ori1. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.