el 04-07-2020 11:36 AM - fecha de última edición 04-07-2020 11:50 AM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”
En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo.
La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.
Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 06-01-2020 07:32 AM
Hola giovanni.augusto,
Prefiero usar DUO para estas reglas basadas en la geolocalización, ya que son más fáciles de administrar, pero ciertamente no es su única opción. Otra alternativa sería separar las funciones y tener un ASA dedicado para sus conexiones RA VPN detrás del FTD, donde podrían aplicar reglas basadas en geolocalización para este tráfico directo.
Atentamente,
Gustavo
el 06-01-2020 07:35 AM
giovanni.augusto,
La versión de prueba gratuita de DUO les ofrecerá una funcionalidad limitada:
Sería una mejor opción si contactan a su distribuidor. Pueden organizar con él una prueba de valor DUO para clientes calificados con todas las funciones activadas.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 10:03 AM
Hola expertos
Recientemente compramos Cisco FTD 2110 y 1010 para dos sitios en India, FMC está en Limerick y los tres están conectados con una VPN "site to site". El acceso remoto funciona en Limerick utilizando un servidor local Radius.
Cuando intentamos conectar el sitio de la India a través del acceso remoto mediante la autenticación del servidor Radius en Limerick, indica un error de autenticación. Mientras trato de solucionar el problema, noto que podemos hacer ping al servidor Radius desde la máquina local en India, pero no podemos llegar a ella desde el FTD 1010.
Esperando encontrar una pronta solución, gracias.
Gururajan
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Gururajansrinivasan32898. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 10:13 AM
Hola Gururajan
Necesito que nos aclares ¿qué quieres decir exactamente con los tres conectados "sitio a sitio"? FMC es el centro de administración donde realizan la configuración de sitio a sitio para los otros dos FTD, avísame si quisiste decir otra cosa.
Ahora, cuando dices que el acceso remoto funciona en Limerick, significa que el acceso remoto a FMC funciona correctamente. Cuando intentas acceder a tu ubicación en India, creo que te refieres a la conexión AnyConnect y no al acceso del dispositivo, y por lo tanto la conexión AnyConnect falla con el error "autenticación fallida".
Primero, verifiquen que el servidor AAA esté configurado correctamente en el FTD problemático y luego desde la CLI, a través del comando "test aaa server" para un usuario específico, hay que verificar si podemos tener el acceso correcto al servidor AAA del FTD, o no.
Pulkit
el 06-01-2020 10:25 AM
Hola Pulkit,
Mis servidores FMC y Radius se encuentran en Limerick. Un FTD 2110 se encuentra en Chennai y un FTD 1010 en Bangalore. Los 3 están interconectados con el VPN "site to site" y sólo puedo acceder al FMC a través de IP local (dirección IP de Limerick).
Cuando intento verificar la autenticación AAA desde el FTD CL de Bangalore:
firepower# test aaa-server authentication BSB_RadiusServer host 192.168.0.198
Username: Gururajan.s
Password: ***********
INFO: Attempting Authentication test to IP address (192.168.0.198) (timeout: 32
ERROR: Authentication Server not responding: No response from server
Desde la PC local en Bangalore, sí puedo alcanzar el servidor Radius 192.168.0.198 haciendo ping, pero cuando intento desde la CLI FTD, no se está conectando.
SO FTD no puede alcanzar el servidor AAA (Limerick), porque está conectado a través de VPN de sitio a sitio y tampoco puedo conectarme desde Bangalore.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Gururajansrinivasan32898. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 01:51 PM
Hola Gururajan
El FTD realizará una búsqueda de ruta para llegar a su servidor Radius. El resultado será accesible a través de la interfaz externa donde han configurado la VPN L2L. Lo más probable es que la VPN sólo haya definido las subredes Limerick, Chennai y Bangalore, por lo que, cuando los clientes RA se conectan a Chennai y Bangalore, estos FTD intentarán llegar al servidor Radius obteniendo tráfico de sus IP externas.
Lo que deben hacer es lo siguiente:
Incluir direcciones IP externas de Chennai y Bangalore en el tráfico VPN de interés, y en Limerick, asegúrense de que la exención NAT del servidor Radius a las direcciones IP de Chennai y Bangalore esté vigente.
Atentamente,
Gustavo
el 06-01-2020 01:58 PM
Hola Gururajan,
Como dice Gustavo, se requiere de un tráfico de interés para las VPN modificado con la inclusión de las IPs de interfaz externa de Chennai y Bangalore.
Esto se debe al hecho de que los usuarios locales detrás de estos FTD pueden llegar al servidor AAA, ya que son parte del tráfico de interés VPN.
Pulkit
el 06-01-2020 02:02 PM
Me gustaría adjuntar un script que actualice la entrada DNS para las computadoras que se conectan a través de VPN.
(Esto facilitaría la conexión remota para ofrecer ayuda remota a los usuarios).
Me gustaría agregar este script al grupo AnyConnect creado en el FTD (no estamos usando ASDM sólo la instancia de Firepower en la serie ASA 5xxx).
No puedo encontrar ninguna documentación sobre cómo agregar secuencias de comandos en FTD al perfil de AnyConnect.
¿Me podría decir si esto es factible?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por PiotrB. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 02:23 PM
Hola Piotr,
Encuentro muy interesante esta pregunta, me gustaría participar. :)
Actualmente estamos utilizando grupos de direcciones en firewall porque son más eficientes que asignando una dirección IP a través de un servidor DHCP interno, pero la desventaja es simplemente que la asignación de nombre de host a la ip del servidor DNS puede ser incorrecto, ya que sólo se retransmite en el mapeo de inicio de sesión del Active Directory.
Ahora, estaba pensando en usar DHCP desde un servidor interno, ya que estamos usando el Active Directory integrado al DHCP, también debería actualizar el registro A para el host específico, sólo me temo que no sea eficiente a menos que el lease del DHCP es muy corto (digamos 30 minutos con renovaciones cada 15 minutos) pero me gustaría decir 2 cosas:
A) Los servidores DHCP se convierten en un punto único de falla o al menos críticos para la infraestructura (debido al lease tan corto).
B) La mayoría de los usuarios se conectan al mismo tiempo, lo que significa que un lease corto de DHCP generaría un poco de tráfico al mismo tiempo más o menos (por ejemplo, 1000 usuarios conectados conectados generan un promedio unas 500 renovaciones de DHCP (!) simultáneamente cada 15 minutos para un lease DHCP de 30 minutos)
Preguntas:
Por mi parte quiero saber si...
De antemano ¡muchas gracias!
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 06-01-2020 02:27 PM
Hola PiotrB
Por el momento, los scripts de conexión no son compatibles con AnyConnect ya que se conecta a un dispositivo FTD administrado por FMC o FDM, por lo que no admiten ninguna personalización.
Las siguientes características de AnyConnect no son compatibles cuando se conecta a una puerta de enlace segura FTD:
el 06-01-2020 02:37 PM
Hola chicos,
> PiotrB
Como mencionó jgrudier, todavía no admitimos la personalización. Está en la hoja de ruta del 6.8, sin embargo, lo que no es compatible es enviar el script a los clientes. Sin embargo, si editan el perfil XML y lo envían de vuelta a los clientes con su script OnConnect en el lugar correcto, les funcionará. Pueden seguir la guía de administración de CA para tener una comprensión general sobre esta función:
> Giovanni,
En cuanto a las actualizaciones de DNS para DHCP, cómo funciona es que ASA / FTD pasa el nombre de host (NO FQDN, es un ENH para FQDN) a través de DHCP y todo lo demás depende el servidor DHCP y cómo se comunica con el entorno DDNS.
Lo que se puede hacer en estos casos, es que los clientes de Windows se comuniquen directamente con los servidores DDNS para el registro.
Gustavo
el 06-01-2020 02:44 PM
Hola equipo,
Antes que nada, muchas gracias por lo que hacen ¡son geniales! :)
Tengo algunas preguntas para ustedes.
Estamos ejecutando un FTD 2140 (ejecutando una imagen FTD conectado a un FMC), generé un .csr que hice en FTD.
openssl genrsa -out FTD1.key 2048
openssl req -new -key FTD1.key -out FTD1.csr
Estos comandos anteriores se han enviado a nuestra autoridad de certificación pública y tengo un archivo root.ca, de identidad ca y .pem. ¿Cómo puedo usar el certificado de identidad en FTD? Cuando ejecuto este comando, me aparece el siguiente error:
openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer
¡Por favor ayúdenme!
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:36 PM
Hola Sheraz,
¡Qué bueno oírte decirlo!
Hice una prueba rápida y el siguiente comando me funciona en FTD:
openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer
Toma en cuenta que utilicé el formato "Base 64 codificado" del certificado de identificación firmado por CA.
¿Puedes confirmarme qué error te arroja al intentar crear el certificado .pfx y cuál es el formato de tu certificado ID?
Atentamente,
Dinesh Moudgil
el 06-01-2020 05:39 PM
Hola Dinesh
Me sale este error. No tengo idea de lo que falta aquí.
FTD1:~$ openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer
No certificate matches private key
Lo revisé dos veces
-FTD1:~$ cat FTD1.crt
-----BEGIN CERTIFICATE-----
MIIFJjCCAw4CCQCDyDsSbw5UITANBgkqhkiG9w0BAQsFADBVMQswCQYDVQQGEwJH
FTD1:~$ cat FTD1.key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEA1v91avgdvjcer+kznBdjRUGmXbqkwlNZl+sV5rMK52OgSUET
FTD1:~$ cat FTD1.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICuzCCAaMCAQAwdjELMAkGA1UEBhMCR0IxEzARBgNVBAgMCkxhbmNhc2hpcmUx
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.
el 06-01-2020 05:44 PM
Hola Sheraz,
Parece que la clave privada que usan en el comando no está asociada con el certificado que están importando. ¿Puedes verificar si el comando está llamando a los archivos correctos?
No necesariamente se necesita generar una CSR en FTD. Se puede generar en cualquier otro dispositivo que admita OpenSSL.
Hice una prueba con la inclusión del certificado de CA y también funciona en FTD:
openssl pkcs12 -export -out FTD2.pfx -inkey FTD1.key -in FTD1.cer -certfile CA.cer
Las únicas variables que podrían ser diferentes son la extensión .cer y la codificación Base 64.
Atentamente,
Dinesh Moudgil
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad