el 04-07-2020 11:36 AM - fecha de última edición 04-07-2020 11:50 AM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”
En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo.
La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.
Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 06-01-2020 05:07 PM
Hola Rohit
Pueden haber muchas cosas que verificar antes de poner un dispositivo en producción y dependerá de varios factores, desde el blindaje del firewall hasta las mejores prácticas. Te sugiero que revises los enlaces a continuación y haznos saber si tienes alguna duda específica:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200150-Cisco-Guide-to-Harden-Cisco-ASA- Firewall.html
https://tools.cisco.com/security/center/resources/firewall_best_practices
Pulkit
el 06-01-2020 03:45 PM
¿Es posible proporcionar software que no sea de Cisco al usuario VPN remoto cuando se conectan?
Estoy buscando una forma de entregar el cliente Azure MFA al usuario final. Si no es posible entregar el software, ¿hay alguna forma de mostrar un mensaje que requiera "inacción por parte del usuario"?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por bbcstone. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 06-01-2020 04:18 PM
No es posible entregar nada de un tercero.
Solamente puede enviarse módulos AnyConnect, personalizaciones y perfiles xml. También se puede editar el banner de inicio de sesión para indicarles que descarguen el archivo, pero eso no requerirá propiamente la interacción del usuario.
Además, se puede crear un script de inicio de sesión que comience cuando el usuario inicie sesión, por lo que si pueden crear un script que se ejecute y descargue el programa, podrán hacerlo desde un ASA, pero no desde un FTD gestionado por FMC o FDM.
el 06-01-2020 03:47 PM
Hola expertos
¿Puedo preguntarle si la versión FTD de Firepower no es compatible con L2TP VPN sobre IPSEC?
A veces, debido a los requisitos de seguridad de ciertos clientes, los clientes no pueden instalar el cliente AnyConnect en su computadora, pero deben tener acceso a través de una red externa.
¿Existe una función para reemplazar el Firepower?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por jijunzhang. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:11 PM
Hola,
Actualmente, no admitimos L2TP sobre IPSEC en FTD.
La otra opción es usar AnyConnect. Permíteme verificar si hay planes para agregar L2TP en la próxima versión y me pondré en contacto.
Pulkit
el 06-01-2020 05:12 PM
Hola,
También verifiqué con el equipo del producto, actualmente no tenemos una hoja de ruta para agregar L2TP en futuras versiones de firepower.
Entonces AnyConnect Client es el camino correcto. :)
Pulkit
el 06-01-2020 03:50 PM
AnyConnect está instalado y quiero configurar DAP como antimalware para antivirus.
Lo configuro a través de ASDM.
Mi pregunta es: ¿hay alguna manera de agregar la lista de antivirus además de agregarlos uno por uno?
Hay tantos posibles antivirus para los clientes que se les permite usar BYOD (traer su propio dispositivo) y luego agregar todo manualmente tomaría demasiado tiempo y sería ineficiente.
Gracias de antemano por su consideración.
Por favor avísenme.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por tjjackson. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:52 PM
Hola,
Hay 2 formas de abordar este problema:
Saludos,
Dinesh
el 06-01-2020 04:04 PM
Hola,
Tengo un problema con FTD y AnyConnect 4.8.02042 con perfiles en Windows y Mac. Realizo algunos cambios con el editor de perfil independiente y lo muevo a la carpeta Perfiles en ProgramData. Cosas como HostEntry y AllowManualHostInput están siendo reconocidas y aplicadas. Pero los cambios en AuthenticationTimeout y EnableScripting no lo están.
Después de cada cambio, salgo del cliente AnyConnect y reinicio el servicio, también reinicié la computadora por si acaso. Puedo ver qué configuraciones se están aplicando desde el Visor de eventos.
Usando las preferencias predeterminadas. Es posible que algunas configuraciones (por ejemplo, coincidencia de certificados) no funcionen como se espera si se supone que usemos un perfil local. Verifiqué que el host seleccionado esté en la sección de la lista de servidores del perfil y que el perfil esté configurado en la puerta de enlace segura.
No parece que el FTD tenga un perfil aplicado, ya que no se descargan archivos a la carpeta Perfiles. También pasé el archivo XML a través de un validador con el archivo XSD.
Gracias
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por evan_stockton. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 04:19 PM
Pregunta: ¿También lo están cargando en el dispositivo FTD y luego lo aplican a la política de grupo a la que se está conectando el usuario?
el 06-01-2020 04:27 PM
No lo hice así, supuse que el dispositivo FTD no tenía el perfil, ya que no descargó ninguno al cliente después de que el usuario se conectara.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por evan_stockton. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 04:29 PM
¿Asumo entonces que sólo está tratando de hacer un perfil para un usuario local? Ese no es realmente un diseño de configuración compatible, pero si desea que los parámetros específicos entren en vigor cuando se conecta a una cabecera VPN, entonces también necesitará crear una lista de servidores, nombre de host, sección de hostaddress en su perfil xml. Estos parámetros vincularán el resto del perfil a la conexión de cabecera en lugar de utilizar la política de grupo predeterminada. En cuyo caso, sería mejor aplicar esto al dispositivo FTD y enviarlo a los clientes cuando se conectan.
el 06-01-2020 04:42 PM
Mi perfil contiene la lista de servidores y las secciones de alojamiento para los servidores a los que quiero conectarme.
Estaba siguiendo este hilo (https://community.cisco.com/t5/discusiones-seguridad/community-ask-me-anything-configuraci%C3%B3n-troubleshooting-y/m-p/4095748/highlight/true#M2389) "Sin embargo, si editan el perfil XML y lo envían de vuelta a los clientes con su script OnConnect en el lugar correcto, les funcionará".
Usaremos un combo de GPO/MEMCM para enviar los archivos a los clientes.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por evan_stockton. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 04:44 PM
Aún así necesitarían el nombre de host/dirección del host en su perfil xml, por lo que ¿el cliente sabe usar ese perfil xml cuando se conecta? De lo contrario, sólo usará el perfil predeterminado y cualquiera de los campos que modifique no tendrá efecto.
el 06-01-2020 04:45 PM
Sí, es correcto. Tienen todas las secciones: Lista de servidores, Entrada de host, Nombre de host, Dirección de host y Grupo de usuarios …
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por evan_stockton. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad