el 04-07-2020 11:36 AM - fecha de última edición 04-07-2020 11:50 AM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”
En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo.
La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.
Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 04-16-2020 03:03 PM
Buen Dia!
Aqui mis inquietudes:
1. AnyConnect requiere licencia? Cual es el precio?
2. Cuales son los comando de configuracion para usar AnyConnect en un Cisco ASA 55XX, en un router con XE, en un router IOS?
3. FTD soporta conexiones remotas con AnyConnect
4. Anyconnect es compatible con Cisco MERAKI?
5. Existe cliente AnyConnect para Android Iphone Windows Phone?
Gracias.-
el 05-29-2020 10:13 AM
Hola,
¿Podrían confirmarnos el método que debemos utilizar para generar el csr y subirlo al firewall FTD para la autenticación de los usuarios de AnyConnect?
Objetos> PKI> Cert Enrollment o utilizando Open SSL (?)
Gracias
Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 11:06 AM
Hola Basavaraj
Creo que estás buscando la autenticación del servidor que es obligatoria de acuerdo con la negociación SSL, por lo que cuando un usuario de AnyConnect inicia sesión, FTD debe presentar su certificado que el cliente final verificará en su lista segura de CA.
Aquí hay un enlace que puede ayudarte con la configuración:
https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html
Para responder a tu pregunta, podemos optar por cualquier método, generar CSR en FTD, o usar Open SSL, para la segunda opción, podemos importar el PKCS12 completo una vez que esté listo.
Ahora, en caso de que estés buscando autenticación de usuario utilizando un certificado, FTD sólo necesita un certificado de CA en su base de datos, no el certificado del usuario.
Espero que esto te ayude.
Pulkit
el 05-29-2020 11:08 AM
Hola Pulkit
En mi caso, estoy buscando autenticación de certificado para usuarios de dominio, cualquiera que se conecte desde dispositivos personales no debería tener acceso a la VPN. Sólo las computadoras corporativas deberían poder conectarse a la VPN.
Si acabo de importar el certificado CA ROOT de mi servidor CA interno a mi FTD, ¿qué certificado debo instalar del lado del cliente?
¿Existe una plantilla de certificado específica que deberíamos usar al crear un certificado para los usuarios?
De antemano, muchas gracias.
Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 11:10 AM
Hola Basavaraj
Entonces, el problema aquí es tener también la autenticación del cliente utilizando certificados, para lo cual tienes razón. Sólo necesitas tener el certificado raíz de CA root de los clientes en FTD.
Los clientes deben proporcionar su certificado de identificación al FTD durante la negociación de SSL, y FTD debe tener el certificado de CA en el mismo caso.
Pulkit
el 05-29-2020 11:18 AM
Hola Dinesh, Pulkit, Jason y Gustavo.
Gracias por organizar esta sesión de preguntas y respuestas, enumeraré a continuación algunas de las dudas que me vienen a la mente en este momento.
1) ¿Pueden explicarme el proceso de integración del perfil de posture ISE en FTD? Conozco ASA pero aún no he probado FTD (administrado a través de FMC).
2) ¿Cuáles son las ventajas y desventajas de activar "sysopt connection permit-vpn" en FTD? ¿Cuál es la mejor práctica recomendada en ambos casos? (Entiendo que sin "sysopt connection permit-vpn" todo el acceso debe estar regulado a través del ACP).
3) ¿CoA es compatible con FTD tanto como con ASA? Pregunta particularmente relevante con ISE posture ...
4) ¿Hay un editor de perfiles AnyConnect integrado en FMC? Si no, ¿cuál es la preferencia? ¿Editores independientes de AnyConnect o editor de perfil ISE?
5) ¿Pueden proporcionarme un ejemplo para automatizar una configuración push para los FTDs administrados a través de FMC? Actualmente, tenemos algunos scripts en ASA con parámetros y estandarizamos nuestras configuraciones, pero en FTD, ya que no hay opción para acceder a la CLI además de las excepciones de Flexconfig, supongo que el uso de llamadas requerirán objetos API, sólo me gustaría tener un ejemplo de inicio para empezar.
6) (Esta es más una pregunta genérica FTD / FMC) Para solucionar rápidamente el acceso a ASA, utilizamos ASDM que nos brinda una visión general rápida del tráfico que se procesa. En FMC, sé que los eventos de conexión no pueden ofrecer el mismo nivel de información por ciertos motivos: uno es el retraso en los eventos de conexión y la carga en FMC con varios ingenieros de solución de problemas, también los eventos de la conexión sale del backend de procesamiento de snort y, si no me equivoco, la interfaz ACL se niega a pasar por Syslog y, por lo tanto, los eventos de conexión pueden no proporcionar este nivel de información requerida: ¿Cuál es la mejor práctica para analizar rápidamente access log para las reglas ACP entre las eliminaciones de la interfaz ACL (ACL interface drops) y las eliminaciones de DPI (DPI drops)?
Gracias a todos de verdad.
PD: Para no confundirnos, pueden enviarme sus respuestas con el número de la pregunta.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 11:35 AM
Hola Giovanni
Aquí están las respuestas a tus preguntas:
1) Aquí hay un documento que pueden consultar para comprender los pasos de flujo y configuración requeridos para ISE posture en FTD.
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html
2) Se recomendaría la opción de seleccionar la política de omisión del control de acceso para el tráfico descifrado (Bypass Access Control policy for decrypted traffic) cuando no queramos inspeccionar el tráfico VPN a través de la política de control de acceso (Access Control Policy). Por lo tanto, el tráfico simplemente se enrutará al destino sin ninguna inspección exhaustiva de FTD. Si esta función está habilitada o no depende de sus requisitos de seguridad y del nivel de confianza que tenga con los usuarios de VPN de acceso remoto. Si desconfían del tráfico iniciado por los usuarios de VPN de acceso remoto, es aconsejable realizar una inspección exhaustiva del tráfico generado por ellos.
Para la grabación, este comando está deshabilitado de forma predeterminada en FTD y habilitado de forma predeterminada en ASA.
Tomen en cuenta que la ACL del filtro VPN y la ACL de autorización descargada del servidor AAA siempre se aplican al tráfico VPN.
En el caso de que la opción "Omitir política de control de acceso para tráfico descifrado (sysopt permit-vpn)" (en inglés Bypass Access Control policy for decrypted traffic) no esté marcada, esto es por si desean autorizar la reversión del tráfico de usuarios de AnyConnect y poder acceder a Internet a través de FTD o tal vez acceder a recursos internos. Con esta función deshabilitada, se realizarán comprobaciones de ACP y podrán aprovechar funciones como el filtrado de URLs para restringir el tráfico iniciado por los usuarios de AnyConnect.
3) Es correcto, RADIUS CoA es compatible con FTD desde la versión 6.3.0 y totalmente compatible con versiones más recientes.
4) Pueden crear un perfil de cliente AnyConnect utilizando el editor de perfil AnyConnect. Este editor es una herramienta de configuración basada en una interfaz gráfica que está disponible como parte del paquete de software AnyConnect. Es un programa independiente que se ejecuta fuera del Centro de administración de Firepower (Firepower Management Center).
Para más información sobre AnyConnect Profile Editor, consulten aquí:
5) Pueden aprovechar el Explorador de API, ya que proporciona una interfaz limitada a la API REST y ofrece una visión general de las capacidades de la API REST.
https://<management_center_IP_or_name>:<https_port>/api/api-explorer
Aquí hay algunos enlaces para familiarizarse con la programación de firepower utilizando las API de FMC
https://blogs.cisco.com/security/how-to-get-started-on-programming-firepower-using-fmc-apis
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/Objects_in_the_REST_API.html#concept_xh5_lt3_bcb
Aquí hay algunos enlaces que no son de Cisco pero que les pueden ser útiles:
https://www.youtube.com/watch?v=a2DNeRxnnkA
https://www.youtube.com/watch?v=iTfmLk3kwdg
6) El TAC utiliza principalmente CLI con FMC GUI para resolver problemas relacionados con las reglas de ACP. Pueden usar la opción de captura de paquetes (packet capture) en LINA CLI, similar a lo que se usa en un ASA tradicional, o bien, pueden usar "System support firewall-engine-debug" en FTD Clish para confirmar si el flujo del tráfico se evalúa según la regla de control de acceso adecuada (Access Control rule).
Aquí hay un documento de referencia:
Atentamente,
Dinesh Moudgil
el 05-29-2020 11:41 AM
¿Cómo podemos asegurarnos de que la amenaza de la computadora de un usuario no afecte al servidor, cuando la computadora del usuario usa VPN?
Gracias.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Yanli Sun. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 11:46 AM
Hola Yanli
Podemos realizar verificaciones previas al inicio de sesión para asegurarnos de que la máquina del cliente esté aprobada y se pueda permitir que inicie sesión.
Las opciones posibles son posture, DAP, CSD hostscan. Revisa los enlaces de referencia y ayuda a continuación:
Una vez que el usuario ha iniciado sesión de acuerdo con las comprobaciones anteriores y cumple, idealmente creemos que es un usuario confiable. Además, sólo podemos permitir el tráfico relevante a ASA o todo el tráfico tunelizado usando la opción de túnel dividido:
Además de eso, si un usuario envía una cantidad excesiva de tráfico o tiene conexiones incompletas una vez que ha iniciado sesión, esto tendrá una resolución de problemas específica según el problema. Sin embargo, en función de su principal preocupación, las comprobaciones previas al inicio de sesión que mencioné anteriormente pueden solucionarlo.
Pulkit
el 05-29-2020 11:53 AM
Hola Yanli
Además de lo que Pulkit ha mencionado anteriormente, algunas compañías usan Always-On, que impide el acceso a los recursos de Internet cuando la computadora no está en una red confiable, a menos que una sesión VPN esté activa. Al asegurarse de que la VPN esté siempre habilitada en esta situación, protege la computadora de las amenazas de seguridad.
Para las empresas que no aplican Always-On, además de los controles de posture ya mencionados + 2FA como DUO (para garantizar que solo las personas autorizadas usen la VPN), debemos agregar protección adicional a los usuarios remotos, porque los actores que nos amenazan buscan aprovechar el aumento de trabajadores remotos desprotegidos para lanzar diferentes objetivos. Puede leer nuestro blog TALOS para obtener más información:
https://blog.talosintelligence.com/2020/03/covid-19-pandemic-threats.html
Con Cisco Umbrella, pueden proteger a los usuarios de destinos maliciosos de Internet incluso cuando no están conectados a VPN en la capa DNS, porque viene de la nube de Umbrella lo que nos facilita la protección de los usuarios en todas partes en cuestión de minutos.
Además, tenemos la última línea de defensa que es Cisco Advanced Malware Protection (AMP) para Endpoints. Esta tecnología evita violaciones y bloquea el malware en el punto de entrada, además de detectar, contener y corregir amenazas avanzadas si escapan de la primera línea de defensa.
Atentamente,
Gustavo
el 05-29-2020 12:03 PM
Quiero preguntar, ¿cómo puedo permitir que los usuarios se comuniquen por voz a través de Skype for Business o Cisco Jabber AnyConnect Remote Access VPN a través de ASA, y si los siguientes comandos se pueden ejecutar de manera segura?
También, ¿cómo puedo monitorear estas comunicaciones internas desde nuestra solución SIEM?
Ingrese el comando "same-security-traffic" para hacer que el FW sea un HUB. A continuación, deberán configurar una regla Nat para NAT (outside, outside) para que los espacios de direcciones del grupo puedan unirse.
ciscoasa(config)#same-security-traffic permit intra-interface
Tenga en cuenta que este comando permite que el tráfico ingrese y salga de la misma interfaz, que está deshabilitada de forma predeterminada por razones de seguridad ...
nat(outside,outside) source static “address pool obj” “address pool obj” dest static “address pool obj” “address pool obj” no-proxy-arp – route-lookup
y debe ser colocado en la parte superior de sus reglas de Nat.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por ahmedmohsen56. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 01:32 PM
Hola ahmedmohsen56,
Esta es la única forma de configurar la fijación en el ASA para permitir que los clientes AnyConnect hablen con otros clientes AnyConnect. No lo consideraría una gran amenaza para la seguridad, pero depende de las necesidades de su negocio, y solo usted puede tomar la mejor decisión.
En comparación con la referencia del comando:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html
El comando same-security-traffic intra-interface permite que el tráfico ingrese y salga de la misma interfaz, que normalmente no está permitida. Esta característica puede ser útil para el tráfico VPN que ingresa a una interfaz, pero que luego se enruta fuera de la misma interfaz. El tráfico VPN puede no estar encriptado en este caso, o puede volver a encriptarse para otra conexión VPN. Por ejemplo, si tiene un concentrador VPN y una red de spokes, donde el ASA es el concentrador y las redes VPN remotas son spokes, para que un spoke se comunique con otro spoke, el tráfico debe ingresar al ASA y luego se va al otro spoke.
Nota: Todo el tráfico permitido por el comando same-security-traffic intra-interface siempre está sujeto a las reglas del firewall. Tenga cuidado de no crear una situación de enrutamiento asimétrico que impida que el "tráfico de retorno" pase por el ASA.
¿Qué es lo que está tratando de monitorear a través de la solución SIEM?
Gracias.
el 05-29-2020 01:39 PM
Hola Ahmed et Jason,
Algunos comentarios :
Atentamente,
Gustavo
05-29-2020 01:44 PM - editado 05-29-2020 02:08 PM
Buenos días,
Estoy configurando la VPN remota con dominios en el FTD a través de FMC. Cuando intento conectarme con AnyConnect, aparece el error "Error de inicio de sesión" (Login error).
A continuación se muestra la salida de debug de ldap 255 y webvpn AnyConnect 127:
ldap_client_server_add: Add server:0.0.0.0, group=4
ldap_client_server_unlock: Free server:0.0.0.0, group=4
[12] Session Start
[12] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[12] Fiber started
[12] Failed to convert ip address 0.0.0.0
[12] Fiber exit Tx=0 bytes Rx=0 bytes, status=-3
[12] Session End
¡Gracias por su ayuda!
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad