cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
14352
Visitas
0
ÚTIL
130
Respuestas

Community Ask Me Anything- Configuración, troubleshooting y mejores prácticas: AnyConnect Remote Access VPN en ASA and FTD

Cisco Moderador
Community Manager
Community Manager
SPama-covid-vpn_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”

En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo. 

La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.

Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.

Detalles de los Expertos
josemed.jpgGustavo Medina es un Systems Sales Engineer en el equipo de ventas de Enterprise Networking. Cuenta con más de 10 años de experiencia en seguridad y redes empresariales. Durante su carrera se ha enfocado en diversas áreas y tareas, desde escalaciones técnicas en l TAC de Cisco, hasta los programas de adopción y la revisión de evaluaciones de las certificaciones de Cisco. Cuenta con las certificaciones de CCNA, CCNP, CCSI y CCIE de seguridad (#51487).

jgrudier.jpgJason Grudier es un Technical leader en el quipo de VPN en el TAC de Raleigh, USA. Ha trabajado en el grupo de VPN de Cisco en los últimos seis años. Antes de unirse el equipo, trabaja como ingeniero de redes en Labcorp. Se especializa en la configuración y troubleshooting de AnyConnect en todas las plataformas de Cisco, así como en DMVPM, GETVPN, Radius, LDAP y Certificate authentications.

dinesh.jpgDinesh Moudgil es un ingeniero High Touch Technical Support (HTTS) en el equipo de seguridad de Bangalore, India. Ha trabajado con diversas tecnologías de seguridad de Cisco por más de 6 años, con un enfoque en Cisco Next Generation Firewalls, Intrusion Prevention Systems, Identity Management and Access Control (AAA) y VPNs. Cuenta con las certificaciones de seguridad de Cisco CCNP, CCDP y CCIE #58881, al igual que con otras externas como Ace, PCNSE y VCP.

pulkit.pngPulkit Saxena es un ingeniero High Touch Technical Support (HTTS) que ha brindado más de 7 años de experiencia en la industria al equipo de seguridad de Cisco. Tiene experiencia en distintos firewalls, soluciones VPNs, AAA y Next Generation IPS, así como en la entrega de diversos entrenamientos. Pulkit cuenta con múltiples certificaciones, ya sea de Cisco o Juniper (como CCIE en Seguridad y JNCIA).

Gustavo, Jason, Dinesh y Pulkit pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

130 RESPUESTAS 130

angelsoriano
Level 1
Level 1

Buen Dia!

Aqui mis inquietudes:

 

1. AnyConnect requiere licencia? Cual es el precio?
2. Cuales son los comando de configuracion para usar AnyConnect en un Cisco ASA 55XX, en un router con XE, en un router IOS?

3. FTD  soporta conexiones remotas con AnyConnect

4. Anyconnect es compatible con Cisco MERAKI?

5. Existe cliente AnyConnect para Android Iphone Windows Phone?

 

Gracias.-

Cisco Moderador
Community Manager
Community Manager

Hola,

¿Podrían confirmarnos el método que debemos utilizar para generar el csr y subirlo al firewall FTD para la autenticación de los usuarios de AnyConnect?
Objetos> PKI> Cert Enrollment o utilizando Open SSL (?)

Gracias
Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Basavaraj

Creo que estás buscando la autenticación del servidor que es obligatoria de acuerdo con la negociación SSL, por lo que cuando un usuario de AnyConnect inicia sesión, FTD debe presentar su certificado que el cliente final verificará en su lista segura de CA.

Aquí hay un enlace que puede ayudarte con la configuración:

https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html
Para responder a tu pregunta, podemos optar por cualquier método, generar CSR en FTD, o usar Open SSL, para la segunda opción, podemos importar el PKCS12 completo una vez que esté listo.

Ahora, en caso de que estés buscando autenticación de usuario utilizando un certificado, FTD sólo necesita un certificado de CA en su base de datos, no el certificado del usuario.

Espero que esto te ayude.
Pulkit

Hola Pulkit

En mi caso, estoy buscando autenticación de certificado para usuarios de dominio, cualquiera que se conecte desde dispositivos personales no debería tener acceso a la VPN. Sólo las computadoras corporativas deberían poder conectarse a la VPN.

Si acabo de importar el certificado CA ROOT de mi servidor CA interno a mi FTD, ¿qué certificado debo instalar del lado del cliente?

¿Existe una plantilla de certificado específica que deberíamos usar al crear un certificado para los usuarios?

De antemano, muchas gracias.
Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Basavaraj

Entonces, el problema aquí es tener también la autenticación del cliente utilizando certificados, para lo cual tienes razón. Sólo necesitas tener el certificado raíz de CA root de los clientes en FTD.

Los clientes deben proporcionar su certificado de identificación al FTD durante la negociación de SSL, y FTD debe tener el certificado de CA en el mismo caso.

Pulkit

Cisco Moderador
Community Manager
Community Manager

Hola Dinesh, Pulkit, Jason y Gustavo.

Gracias por organizar esta sesión de preguntas y respuestas, enumeraré a continuación algunas de las dudas que me vienen a la mente en este momento.

1) ¿Pueden explicarme el proceso de integración del perfil de posture ISE en FTD? Conozco ASA pero aún no he probado FTD (administrado a través de FMC).

2) ¿Cuáles son las ventajas y desventajas de activar "sysopt connection permit-vpn" en FTD? ¿Cuál es la mejor práctica recomendada en ambos casos? (Entiendo que sin "sysopt connection permit-vpn" todo el acceso debe estar regulado a través del ACP).

3) ¿CoA es compatible con FTD tanto como con ASA? Pregunta particularmente relevante con ISE posture ...

4) ¿Hay un editor de perfiles AnyConnect integrado en FMC? Si no, ¿cuál es la preferencia? ¿Editores independientes de AnyConnect o editor de perfil ISE?

5) ¿Pueden proporcionarme un ejemplo para automatizar una configuración push para los FTDs administrados a través de FMC? Actualmente, tenemos algunos scripts en ASA con parámetros y estandarizamos nuestras configuraciones, pero en FTD, ya que no hay opción para acceder a la CLI además de las excepciones de Flexconfig, supongo que el uso de llamadas requerirán objetos API, sólo me gustaría tener un ejemplo de inicio para empezar.

6) (Esta es más una pregunta genérica FTD / FMC) Para solucionar rápidamente el acceso a ASA, utilizamos ASDM que nos brinda una visión general rápida del tráfico que se procesa. En FMC, sé que los eventos de conexión no pueden ofrecer el mismo nivel de información por ciertos motivos: uno es el retraso en los eventos de conexión y la carga en FMC con varios ingenieros de solución de problemas, también los eventos de la conexión sale del backend de procesamiento de snort y, si no me equivoco, la interfaz ACL se niega a pasar por Syslog y, por lo tanto, los eventos de conexión pueden no proporcionar este nivel de información requerida: ¿Cuál es la mejor práctica para analizar rápidamente access log para las reglas ACP entre las eliminaciones de la interfaz ACL (ACL interface drops) y las eliminaciones de DPI (DPI drops)?

Gracias a todos de verdad.
PD: Para no confundirnos, pueden enviarme sus respuestas con el número de la pregunta.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Giovanni

Aquí están las respuestas a tus preguntas:

1) Aquí hay un documento que pueden consultar para comprender los pasos de flujo y configuración requeridos para ISE posture en FTD.
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html

2) Se recomendaría la opción de seleccionar la política de omisión del control de acceso para el tráfico descifrado (Bypass Access Control policy for decrypted traffic) cuando no queramos inspeccionar el tráfico VPN a través de la política de control de acceso (Access Control Policy). Por lo tanto, el tráfico simplemente se enrutará al destino sin ninguna inspección exhaustiva de FTD. Si esta función está habilitada o no depende de sus requisitos de seguridad y del nivel de confianza que tenga con los usuarios de VPN de acceso remoto. Si desconfían del tráfico iniciado por los usuarios de VPN de acceso remoto, es aconsejable realizar una inspección exhaustiva del tráfico generado por ellos.

Para la grabación, este comando está deshabilitado de forma predeterminada en FTD y habilitado de forma predeterminada en ASA.
Tomen en cuenta que la ACL del filtro VPN y la ACL de autorización descargada del servidor AAA siempre se aplican al tráfico VPN.

En el caso de que la opción "Omitir política de control de acceso para tráfico descifrado (sysopt permit-vpn)" (en inglés Bypass Access Control policy for decrypted traffic) no esté marcada, esto es por si desean autorizar la reversión del tráfico de usuarios de AnyConnect y poder acceder a Internet a través de FTD o tal vez acceder a recursos internos. Con esta función deshabilitada, se realizarán comprobaciones de ACP y podrán aprovechar funciones como el filtrado de URLs para restringir el tráfico iniciado por los usuarios de AnyConnect.

3) Es correcto, RADIUS CoA es compatible con FTD desde la versión 6.3.0 y totalmente compatible con versiones más recientes.

4) Pueden crear un perfil de cliente AnyConnect utilizando el editor de perfil AnyConnect. Este editor es una herramienta de configuración basada en una interfaz gráfica que está disponible como parte del paquete de software AnyConnect. Es un programa independiente que se ejecuta fuera del Centro de administración de Firepower (Firepower Management Center).

Para más información sobre AnyConnect Profile Editor, consulten aquí:

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/anyconnect-profile-editor.html

5) Pueden aprovechar el Explorador de API, ya que proporciona una interfaz limitada a la API REST y ofrece una visión general de las capacidades de la API REST.

https://<management_center_IP_or_name>:<https_port>/api/api-explorer

Referencia:
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/About_the_API_Explorer.html#concept_oq2_fg1_ccb

Aquí hay algunos enlaces para familiarizarse con la programación de firepower utilizando las API de FMC

https://blogs.cisco.com/security/how-to-get-started-on-programming-firepower-using-fmc-apis
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/Objects_in_the_REST_API.html#concept_xh5_lt3_bcb

Aquí hay algunos enlaces que no son de Cisco pero que les pueden ser útiles:

https://www.youtube.com/watch?v=a2DNeRxnnkA
https://www.youtube.com/watch?v=iTfmLk3kwdg

6) El TAC utiliza principalmente CLI con FMC GUI para resolver problemas relacionados con las reglas de ACP. Pueden usar la opción de captura de paquetes (packet capture) en LINA CLI, similar a lo que se usa en un ASA tradicional, o bien, pueden usar "System support firewall-engine-debug" en FTD Clish para confirmar si el flujo del tráfico se evalúa según la regla de control de acceso adecuada (Access Control rule).

Aquí hay un documento de referencia:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html#anc13

Atentamente,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Cisco Moderador
Community Manager
Community Manager

¿Cómo podemos asegurarnos de que la amenaza de la computadora de un usuario no afecte al servidor, cuando la computadora del usuario usa VPN?

Gracias.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Yanli Sun. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola Yanli

Podemos realizar verificaciones previas al inicio de sesión para asegurarnos de que la máquina del cliente esté aprobada y se pueda permitir que inicie sesión.

Las opciones posibles son posture, DAP, CSD hostscan. Revisa los enlaces de referencia y ayuda a continuación:

Una vez que el usuario ha iniciado sesión de acuerdo con las comprobaciones anteriores y cumple, idealmente creemos que es un usuario confiable. Además, sólo podemos permitir el tráfico relevante a ASA o todo el tráfico tunelizado usando la opción de túnel dividido:

Además de eso, si un usuario envía una cantidad excesiva de tráfico o tiene conexiones incompletas una vez que ha iniciado sesión, esto tendrá una resolución de problemas específica según el problema. Sin embargo, en función de su principal preocupación, las comprobaciones previas al inicio de sesión que mencioné anteriormente pueden solucionarlo.

Pulkit

Hola Yanli

Además de lo que Pulkit ha mencionado anteriormente, algunas compañías usan Always-On, que impide el acceso a los recursos de Internet cuando la computadora no está en una red confiable, a menos que una sesión VPN esté activa. Al asegurarse de que la VPN esté siempre habilitada en esta situación, protege la computadora de las amenazas de seguridad.

Para las empresas que no aplican Always-On, además de los controles de posture ya mencionados + 2FA como DUO (para garantizar que solo las personas autorizadas usen la VPN), debemos agregar protección adicional a los usuarios remotos, porque los actores que nos amenazan buscan aprovechar el aumento de trabajadores remotos desprotegidos para lanzar diferentes objetivos. Puede leer nuestro blog TALOS para obtener más información:

https://blog.talosintelligence.com/2020/03/covid-19-pandemic-threats.html

Con Cisco Umbrella, pueden proteger a los usuarios de destinos maliciosos de Internet incluso cuando no están conectados a VPN en la capa DNS, porque viene de la nube de Umbrella lo que nos facilita la protección de los usuarios en todas partes en cuestión de minutos.

Además, tenemos la última línea de defensa que es Cisco Advanced Malware Protection (AMP) para Endpoints. Esta tecnología evita violaciones y bloquea el malware en el punto de entrada, además de detectar, contener y corregir amenazas avanzadas si escapan de la primera línea de defensa.

Atentamente,
Gustavo

Cisco Moderador
Community Manager
Community Manager

Quiero preguntar, ¿cómo puedo permitir que los usuarios se comuniquen por voz a través de Skype for Business o Cisco Jabber AnyConnect Remote Access VPN a través de ASA, y si los siguientes comandos se pueden ejecutar de manera segura?

También, ¿cómo puedo monitorear estas comunicaciones internas desde nuestra solución SIEM?

Ingrese el comando "same-security-traffic" para hacer que el FW sea un HUB. A continuación, deberán configurar una regla Nat para NAT (outside, outside) para que los espacios de direcciones del grupo puedan unirse.

ciscoasa(config)#same-security-traffic permit intra-interface

Tenga en cuenta que este comando permite que el tráfico ingrese y salga de la misma interfaz, que está deshabilitada de forma predeterminada por razones de seguridad ...

nat(outside,outside) source static “address pool obj” “address pool obj” dest static “address pool obj” “address pool obj” no-proxy-arp – route-lookup

y debe ser colocado en la parte superior de sus reglas de Nat.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por ahmedmohsen56. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola ahmedmohsen56,

Esta es la única forma de configurar la fijación en el ASA para permitir que los clientes AnyConnect hablen con otros clientes AnyConnect. No lo consideraría una gran amenaza para la seguridad, pero depende de las necesidades de su negocio, y solo usted puede tomar la mejor decisión.

En comparación con la referencia del comando:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html

El comando same-security-traffic intra-interface permite que el tráfico ingrese y salga de la misma interfaz, que normalmente no está permitida. Esta característica puede ser útil para el tráfico VPN que ingresa a una interfaz, pero que luego se enruta fuera de la misma interfaz. El tráfico VPN puede no estar encriptado en este caso, o puede volver a encriptarse para otra conexión VPN. Por ejemplo, si tiene un concentrador VPN y una red de spokes, donde el ASA es el concentrador y las redes VPN remotas son spokes, para que un spoke se comunique con otro spoke, el tráfico debe ingresar al ASA y luego se va al otro spoke. 

note.gif

Nota: Todo el tráfico permitido por el comando same-security-traffic intra-interface siempre está sujeto a las reglas del firewall. Tenga cuidado de no crear una situación de enrutamiento asimétrico que impida que el "tráfico de retorno" pase por el ASA.

¿Qué es lo que está tratando de monitorear a través de la solución SIEM?

Gracias.

Hola Ahmed et Jason,

Algunos comentarios :

Atentamente,
Gustavo

Cisco Moderador
Community Manager
Community Manager

Buenos días,

Estoy configurando la VPN remota con dominios en el FTD a través de FMC. Cuando intento conectarme con AnyConnect, aparece el error "Error de inicio de sesión" (Login error).

A continuación se muestra la salida de debug de ldap 255 y webvpn AnyConnect 127:

ldap_client_server_add: Add server:0.0.0.0, group=4
ldap_client_server_unlock: Free server:0.0.0.0, group=4

[12] Session Start
[12] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[12] Fiber started
[12] Failed to convert ip address 0.0.0.0
[12] Fiber exit Tx=0 bytes Rx=0 bytes, status=-3
[12] Session End

¡Gracias por su ayuda!

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.