Communidade Ask Me Anything - Configuração, solução de problemas e práticas recomendadas: AnyConnect... - Página 9

Cisco Moderador · ‎04-06-2020

Este evento dá continuidade as discussões do nosso evento recente Community Ask Me Anything "Segurança para Trabalhadores Remotos".

Aqui está sua chance de discutir mais sobre a configuração, solução de problemas e práticas recomendadas para o cliente de Anyconnect secure mobility em um Cisco Adaptive Security Appliances (ASA) e Firepower Threat Defense (FTD) e sua integração com outros dispositivos e tecnologias do portfólio de segurança da Cisco, como ISE e Duo.

Esta sessão oferece uma oportunidade de aprender e fazer perguntas sobre vários aspectos da implementação do AnyConnect (usando SSL e Ikev2), incluindo (mas não limitado a) licenças de emergência, configuração, implantação e solução de problemas do AnyConnect que fornece a segurança necessária para ajudar a garantir que sua organização esteja seguro e protegido em tal situação crítica.

Faça suas perguntas a partir de 06 de abril até sexta-feira, 17 de abril de 2020

Especialistas convidado

Dinesh Moudgil é engenheiro de suporte técnico High Touch (HTTS) da equipe de segurança da Cisco, localizada em Bangalore, Índia. Ele trabalha nas tecnologias da Cisco há mais de 6 anos, concentrando-se nos Next Generation Firewalls da Cisco, nos sistemas de prevenção de intrusões, no gerenciamento de identidades e no controle de acesso (AAA) e VPNs. Ele possui as certificações de segurança CCNP, CCDP e CCIE # 58881 e várias certificações de fornecedores, como ACE, PCNSE e VCP.

Pulkit Saxena trabalha como engenheiro de suporte técnico de High Touch (HTTS) no domínio da segurança, com a Cisco traz para a equipe quase 7 anos de experiência no setor. Ele tem experiência prática em multiple firewalls, diferentes soluções de VPN, AAA e Next Generation IPS , além de oferecer vários treinamentos. Pulkit possui certificações de vários fornecedores, como Cisco e Juniper (CCIE Security e JNCIA).

Jason Grudier é o líder técnico da equipe de VPN TAC em Raleigh, NC. Ele trabalha para a Cisco na equipe de VPN há seis anos. Antes de ingressar na equipe, ele era engenheiro de rede da Labcorp. Ele trabalha principalmente com a solução de problemas e a configuração do AnyConnect em todas as plataformas Cisco, bem como DMVPN, GETVPN, Radius, LDAP e autenticações de certificado.

Gustavo Medina é engenheiro de vendas de sistemas da equipe de vendas de redes corporativas. Ele tem mais de 10 anos de experiência em segurança e redes corporativas. Em sua carreira, ele se concentrou em diferentes tarefas, desde escalações técnicas e adoção de parceiros até a revisão das avaliações de certificação da Cisco. Gustavo possui um CCNA, CCNP CCSI e CCIE em segurança (# 51487).

Devido ao volume previsto para esse evento de alta demanda, Dinesh, Pulkit, Jason e Gustavo podem não conseguir responder a cada pergunta. Portanto, lembre-se de que você pode continuar a conversa diretamente na comunidade de Segurança.

Encontre outros eventos em: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidade-portugues

Ao postar uma pergunta neste evento, você está dando permissão para ser traduzido em todos os idiomas que temos na comunidade.

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

Cisco Moderador · ‎04-15-2020

Oi,

Estou tendo um problema com o FTD e o AnyConnect 4.8.02042 com perfis no Windows e Mac. Eu faço algumas alterações com o editor de perfil independente e o movo para a pasta Profiles em ProgramData. Coisas como HostEntry e AllowManualHostInput estão sendo reconhecidas e aplicadas,mas as alterações em AuthenticationTimeout e EnableScripting não são.

Depois de cada alteração que estou saindo do AnyConnect client e reiniciando o serviço, também reiniciei o computador algumas vezes. Eu posso ver quais configurações estão sendo aplicadas no Visualizador de Eventos.

Usando preferências padrão, algumas configurações (por exemplo, correspondência de certificado) podem não funcionar conforme o esperado, se for esperado que um perfil local seja usado. Verifiquei se o host selecionado está na seção da lista de servidores do perfil e se o perfil está configurado no gateway seguro.

Parece que o FTD possui um perfil aplicado, pois nenhum arquivo é baixado na pasta Profiles. Também passei o arquivo XML através de um validador com o arquivo XSD.

Obrigado,

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por evan_stockton.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

jgrudier · ‎04-15-2020

Você também está fazendo o upload para o dispositivo FTD e aplicando-o ao group-policy à qual o usuário está se conectando?

Cisco Moderador · ‎04-15-2020

Não, assumi que o dispositivo FTD não tinha o perfil, pois não baixou nenhum para o cliente após o usuário se conectar.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por evan_stockton.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

jgrudier · ‎04-16-2020

Presumo, então, que você está apenas tentando criar um perfil para um usuário local? Esse não é realmente um design de configuração suportado, mas se você deseja que parâmetros específicos entrem em vigor ao conectar-se a um servidor VPN, será necessário criar também uma seção serverlist, hostname, hostaddress no seu perfil xml. Esses parâmetros vincularão o restante do perfil à conexão de cabeçalho em vez de usar a diretiva de grupo padrão. Seria melhor aplicar isso ao dispositivo FTD e enviá-lo aos clientes quando eles se conectarem.

Cisco Moderador · ‎04-16-2020

Meu perfil contém as seções serverlist e hostentry dos servidores aos quais quero me conectar. Eu estava acompanhando esse comentário (https://community.cisco.com/t5/vpn/community-ask-me-anything-configuration-trou Troubleshooting-and-best/mp/4063991/highlight/true#M271759) "Se você modifica o perfil XML e envie-o aos clientes junto com o script OnConnect para o local correto em que ele funcionará ".

Usaremos uma combinação de GPO / MEMCM para enviar os arquivos aos clientes.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por evan_stockton.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

jgrudier · ‎04-16-2020

Você ainda precisaria do nome do hostname/hostaddress no seu perfil xml, para que o cliente saiba usar esse perfil xml quando estiver se conectando; caso contrário, ele usará apenas o perfil padrão e qualquer um dos campos que você modificar não terá efeito.

Cisco Moderador · ‎04-16-2020

Olá de novo,

Temos um FMC2500 físico e estou avaliando a opção de usar o FTDv no VMware ESX.

Eu sei que com o ASAv é necessário adquirir uma licença de taxa de transferência, existe um requisito semelhante para o FTDv?

Como eu pude ler tudo o que deveria ser exigido no mínimo no nosso caso é:

Imagem FTDv para implantar
Requisitos de hardware no VMware ESX para aumentar a imagem
Disponibilidade no FMC (nenhuma licença adicional é necessária, pois é o hardware FMC2500)
Licença de AnyConnect disponível em nossa conta inteligente para o número de usuários a se conectar

Considerando que já temos o hardware ESX disponível e as licenças FMC e anyconnect que compraríamos de qualquer maneira, entendo que não há custos adicionais, estou ausente, correto?

Caso possamos adicionar:

Licença de ameaça para IPS e inteligência / geolocalização de segurança
Malware em caso de análise via AMP do arquivo em trânsito
URL no caso de requisitos de filtragem de URL

Desde já, obrigado!

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por giovanni.augusto.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Pulkit Saxena · ‎04-16-2020

Olá Giovanni,

Para responder sua pergunta, não existe um requisito, como uma licença de taxa de transferência para FTDv, conforme necessário no ASAv.

Então, sim, todas as etapas que você mencionou devem ser suficientes para configurar o FTDv no ambiente virtual.

Além disso, se você precisar de recursos adicionais, um que você tenha adquirido as licenças específicas, poderá instalá-las.
-
Pulkit

Cisco Moderador · ‎04-16-2020

Obrigado Pulkit,

Estou procurando o guia de pedidos do Firepower Threat Defense contra Ameaças e estou um pouco confuso, espero que você possa ajudar.

https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw-virtual/datasheet-c78-742858.pdf

Pela sua resposta, entendi que o FTDv não precisa de uma licença específica para o Firewall operar em um FMC físico, pois a licença base é sempre aplicada nesse caso e, em nossa situação, apenas as licenças Threat e AnyConnect devem ser adquiridas.

Então vi a seguinte tabela no guia de pedidos:

Faça uma estimativa do Cisco Commerce e posso ver que ele tem um custo e todas as outras licenças têm um custo zero.Você pode me ajudar a entender como isso precisa ser cobrado?

Eu esperava o contrário: o dispositivo virtual teria 0 custo (além do Smartnet) e as licenças de recursos teriam um custo específico

A licença FPRTD-V-K9 é necessária no caso de usarmos um FMC físico?

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por giovanni.augusto.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎04-16-2020

Gostaria de participar deste evento, compartilhe o link de inscrição.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por sachinshenoy_511257076.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Pulkit Saxena · ‎04-16-2020

Olá Sachin,

A maneira como você postou sua mensagem atual, da mesma maneira que você pode postar uma consulta.

É uma plataforma aberta.

A página do evento é:

https://community.cisco.com/t5/eventos-de-seguran%C3%A7a/community-ask-me-anything-evento-configura%C3%A7%C3%A3o-solu%C3%A7%C3%A3o-de/ba-p/4060163

A página de discussão é:

https://community.cisco.com/t5/discuss%C3%B5es-seguran%C3%A7a/communidade-ask-me-anything-configura%C3%A7%C3%A3o-solu%C3%A7%C3%A3o-de-problemas-e/m-p/4060148

-

Pulkit

Cisco Moderador · ‎04-16-2020

Oi,

Cisco Anyconnect VPN no ASA e quer fazer posture,quais são as licenças necessárias no ASA e no ISE ?

Obrigado,

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por bluesea2010.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Pulkit Saxena · ‎04-17-2020

Olá Bluesea2010,

Então, queremos configurar a postura do AnyConnect ISE.

Dois requisitos principais de licenciamento são:

1. Licença BASE e APEX no ISE, da qual BASE já deve estar lá, pois cada licença base de sessão é consumida.

2. Licença de usuário de AnyConnect no ASA conforme sua exigência dependendo do número de usuários.

Abaixo o link fornece informações sobre licenças para o ISE:

https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/admin_guide/b_ise_admin_guide_21/b_ise_admin_guide_20_chapter_0110.html#id_24976

Alguns bons documentos para ter um entendimento básico sobre configuração e fluxo:

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/117693-configure-ASA-00.html

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html

-

Pulkit

Communidade Ask Me Anything - Configuração, solução de problemas e práticas recomendadas: AnyConnect VPN de acesso remoto no ASA e FTD.

Quick links