el 04-07-2020 11:36 AM - fecha de última edición 04-07-2020 11:50 AM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”
En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo.
La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.
Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 06-01-2020 05:45 PM
Hola Dinesh,
¿Podrías recomendarme un link para comprender mejor este punto?
OpenSSL es completamente nuevo para mí y lo estoy aprendiendo.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:47 PM
Hola Sheraz,
¡Claro! He aquí algunos documentos que te ayudarán a comprender OpenSSL y su uso:
https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs
https://wiki.openssl.org/index.php/Command_Line_Utilities
https://www.freecodecamp.org/news/openssl-command-cheatsheet-b441be1e8c4a/
https://www.sslshopper.com/article-most-common-openssl-commands.html
Atentamente,
Dinesh Moudgil
el 06-01-2020 02:50 PM
Buenos días a todos.
Hice esta pregunta en el tema sobre seguridad de red, pero la repetiré aquí.
Recientemente discutí con un colega sobre la posibilidad de implementar el siguiente esquema.
Hay dos periféricos que están en HA, por ejemplo, dos ASA 5508-x o dos Firepower 1140.
¿Es posible implementar esto en una red y que NAT, DMZ y AnyConnect estén configurados en el mismo par de dispositivos?
Si es así, ¿cuál es la mejor manera de hacerlo? Configurar dos interfaces externas, una para NAT (por ejemplo, outside_nat), la segunda para la interfaz externa de AnyConnect (por ejemplo, outside_anyconnect), ¿o es mejor configurar todo en la misma interfaz (por ejemplo, outside)?
Si consideramos la primera opción (configurar los dos dispositivos en HA, configurar el canal del puerto y dividirlo en 5 subs-outside_nat, inside_nat, DMZ, outside_anyconnect, inside_anyconnect) en este caso, surge la pregunta para las dos rutas en interfaces externas ¿Es posible configurar dos rutas predeterminadas en ASA o Firepower?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por kapydan88. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 03:02 PM
Hola kapydan88
Sí, definitivamente sí es posible.
El escenario más común es una interfaz única que administra todo y para los clientes que tienen un ISP doble para redundancia, la interfaz secundaria no transmite ningún tráfico. Si el enlace principal se cae, la interfaz secundaria se hace cargo y administra todo el tráfico.
Sin embargo, tenemos CUs que no desean que este ISP dual secundario esté simplemente inactivo para equilibrar el tráfico. Como lo mencionas para ASA, no podemos tener más de una ruta con la misma métrica. Hace mucho tiempo, la única forma de hacerlo era con atajos de NAT, pero desde que se introdujo PBR en la 9.4.1, es muy fácil conseguirlo.
En el caso de AnyConnect en particular, también tenemos CUs que hacen lo que pretendes, con una interfaz dedicada que no es la predeterminada para los usuarios de AnyConnect, por lo que no te consume el ancho de banda del enlace principal.
¿Cómo funciona?
Simplemente agrega una ruta secundaria predeterminada con métricas más altas y configura AnyConnect en esa interfaz secundaria. Cuando las conexiones AnyConnect llegan a esta interfaz, el ASA o FTD podrán responder utilizando esta ruta secundaria, ya que es una conexión lista para usar.
Una vez que se establece la conexión AnyConnect, se instalará una ruta de host para esa conexión utilizando el siguiente salto correcto (hop).
Detalles a considerar:
Si quieres desarrollar el tema, puedo ayudarte.
Atentamente,
Gustavo
el 06-01-2020 03:13 PM
Hola de nuevo,
Vuelvo a un error bastante extraño, creo:
Estoy probando una implementación de acceso remoto en un FTDv en KVM y, extrañamente la implementación continúa fallando con un retraso considerable para mostrar el error (esta implementación falló debido a un error de configuración)
Ahora viendo el FTD en bash con:
tail -f /ngfw/var/log/messages
Noté que había una progresión de la copia del paquete AnyConnect, pero tan pronto como alcanza el 70-72%, se detiene y no continúa con la implementación en progreso.
Apr 13 01:57:36 FTD-1 SF-IMS[9624]: [9624] sftunneld:control_services [INFO] FSTREAM_STATUS: Sending back task status 'Processing' Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] task_id=6 Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] peer=a1f1e77e-44e0-11e9-a967-39f0b3b399ab Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status: curr_read=32385024, curr_write=32385024, total_bytes=46197839, stream_id_src=0, stream_id_dest=6, seq_id_src=4518, seq_id_dest=4518, state =Processing, started:2020 04 13 01:51:55 UTC, expires:2020 04 13 01:58:38 UTC Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status:: File copy 70 % completed, 32385024 bytes of file copied out of 46197839
Me sorprendió porque tengo un ancho de banda bastante potente y la copia fue bastante rápida hasta que se detuvo, y estamos hablando de menos de 50 MB de archivo, no de 500 MB.
¿Hay alguna manera de copiar manualmente el paquete AnyConnect a bash, de la misma manera que se puede hacer con los paquetes de actualización FTD?
¡Gracias!
NOTA:
Noté que la ruta de copia del paquete AnyConnect está en esta carpeta:
/ngfw/var/cisco/deploy/pkg/var/cisco/packages/lina/domain/AnyConnect Image/111/
Así que acabo de descargar el paquete a través de wget, y relancé el epolicy push, me tomó algo de tiempo pero la copia que estaba al 0% continuó hasta completar el 100%. ¡Gracias a Dios! :)
¿No sería más fácil cargar estos paquetes manualmente? Creo que debería ser posible con FDM a través de la API REST, pero no con dispositivos administrados por FMC. (?)
P.D.: ¿Hay algun error detectado para este caso?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 03:19 PM
Hola Giovanni,
Antes de la copia que nos compartió, ¿observó si el procesamiento de cgroups canceló el proceso?
Cuando un proceso consume más memoria de la prescrita, el proceso de cgroups detecta esta condición y finaliza el proceso. Cuando se completa un proceso, la funcionalidad y las capacidades que dependen de ese proceso pueden fallar.
¿Cuánta memoria tiene asignada para el FMCv?
Adjunto los requisitos:
Atentamente,
Gustavo
el 06-01-2020 03:36 PM
Hola Gustavo,
Estoy usando un FMC 2500 físico, versión 6.5.0.4. Realmente no esperaba un problema de capacidad. Los registros (logs) que compartí provienen del FTD, que está virtualizado en KVM.
El FTD tiene 4 vCPU y 8 GB de RAM, el servidor solo está ejecutando esta VM en este momento, como imagen FTD prueba. La versión FTD es 6.5.0 (no hay revisiones/parches instalados todavía).
Sobre cgroups, sinceramente, no lo noté, pero lo intentaré nuevamente con otra carga de imágenes, así que espero un comportamiento similar.
¿Lanzará cgroups un mensaje de registro en el FMC o FTD? ¿Algun archivo de registro específico o solamente los mensajes habituales?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 03:23 PM
¿Hay alguna recomendación respecto a la versión ASA de Cisco vinculada a la VPN RA?
Atentamente
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por patelvc7601. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 03:28 PM
Actualmente, el desarrollo recomienda:
Estas son las dos versiones favoritas actualmente en cisco.com. Las versiones recomendadas se basan en la telemetría, por lo que necesitamos tiempo para implementar las versiones más recientes. Una vez que hayamos recibido comentarios de las instalaciones reales y funcionales, tomaremos decisiones específicas basadas en los hechos (fallas detectadas por el cliente, TAC, escalaciones, etc.).
el 06-01-2020 03:59 PM
Hola equipo,
Tengo otra pregunta.
En mi caso, tenemos Cisco FTD como firewall perimetral y queremos crear el acceso remoto VPN AnyConnect, pero no queremos usar una IP de interfaz externa para terminar nuestra VPN AnyConnect, cuando tenemos la conexión a Internet, tenemos la subred/28, tenemos una dirección IP pública gratuita que quiero poder usar para finalizar el acceso a la VPN.
¿Podrían guiarme y decirme cómo puedo lograr este requisito con Cisco FTD?
Gracias
Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 04:09 PM
Ciertamente puede hacer esto, primero debe configurar una segunda interfaz con la nueva IP y luego configurar AnyConnect como de costumbre. Siempre que los clientes puedan acceder a esta dirección IP y el ISP reenvíe el tráfico a su dispositivo FTD, esto debería funcionar normalmente.
el 06-01-2020 04:24 PM
Como tengo una conexión a Internet, si instalo la segunda interfaz y configuro la dirección IP, ¿dónde debo conectar la otra terminación?
No puedo conectar una interfaz adicional al proveedor, ¿verdad?
No entendí bien la solución, ¿podría por favor ser más específico y darme una idea de cómo debo hacerlo?
Gracias
Basavaraj
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:09 PM
Hola Basavaraj,
Lo que Jason quiso decir en su publicación anterior es que pueden configurar otra interfaz para la que deben usar la subred/28 y terminar la RA-VPN allí. Esto se debe a que no desean configurar RA-VPN en un enlace externo existente.
Ahora, con respecto al enrutamiento y la conectividad, la lógica sigue siendo la misma, debemos tener la nueva interfaz conectada a un enlace ascendente (uplink) desde donde los usuarios finales pueden tener conectividad / accesibilidad.
Espero que esto aclare nuestra respuesta.
Pulkit
el 06-01-2020 03:42 PM
Hola Viral,
Algunas versiones recomendadas de "ASA OS" se publican en CCO. Puedes acceder al siguiente enlace para ver las versiones sugeridas para un firewall 5585-X (Firewall).
https://software.cisco.com/download/home/283123066/type/280775065/release/9.8.4%20Interim
Gracias,
Dinesh Moudgil
el 06-01-2020 03:39 PM
¿Cuál es la mejor configuración (o la ideal) para un ASA antes de ingresar a la red de producción?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Rohitmanoharan. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad