cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
6218
Apresentações
0
Útil
76
Respostas

Comunidade Ask Me Anything- Segurança para Trabalhadores Remotos

Cisco Moderador
Community Manager
Community Manager
PTama-seguranca-remota_900x150.png

Aqui está sua chance de discutir as tecnologias de seguranca remota da Cisco, como AnyConnect, ASA, FTD, Duo e Umbrella. Nesta sessão, os especialistas responderão á perguntas sobre licenças de emergência, design, configuração e solução de problemas. Nossos especialistas abrangem mais de 12 fusos horários. Além disso, traduziremos a sessão em vários idiomas para fornecer a melhor experiência possível.

Este fórum funciona bem como uma introdução para aqueles que não estão familiarizados com essas soluções de segurança e/ou começaram a usá-las recentemente.

Faça suas perguntas a partir de 20 de março até sexta-feira 03 de abril de 2020.

Especialista convidado
Divya Nair é engenheira técnica de marketing do Security Business Group em Raleigh, Carolina do Norte. Ela tem mais de 10 anos de experiência em tecnologias de segurança de rede da Cisco, incluindo firewalls, IPS, VPN e AAA; e atualmente se concentra nas plataformas de gerenciamento de VPN e firewall. Divya é bacharel em Ciência da Computação e Engenharia.


adganjoo.jpgAditya Ganjoo é engenheiro técnico de marketing em Bangalore, Índia. Ele trabalha com a Cisco há sete anos em domínios de segurança como Firewall, VPN e AAA. Aditya ministrou treinamentos em tecnologias ASA e VPN. Ele é bacharel em Tecnologia da Informação. Além disso, ele é um CCIE em segurança (CCIE # 58938). Ele tem contribuído de forma consistente na Comunidade de suporte da Cisco e já realizou várias sessões no Cisco Live.

jonnoble.jpgJonny Noble lidera a equipe de Marketing Técnico de Segurança em Nuvem da Cisco, com experiência em Cisco Umbrella e tecnologias vizinhas. Por mais de 20 anos, Jonny obteve experiência em disciplinas voltadas para clientes deorganizações globais de alta tecnologia. Ele também tem uma rica experiência na apresentação de sessões de acompanhamento e laboratórios de controle nos eventos Cisco Live, além de representar a Cisco em vários eventos de clientes e parceiros, feiras e exposições. Jonny é formado em Eletrônica, Sociologia, MBA em Negócios e é certificado pela CISSP.

Devido ao volume previsto para esse evento de alta demanda, Divya, Aditya, Jonny podem não conseguir responder a todas perguntas. Portanto, lembre-se de que você pode continuar a conversa diretamente na comunidade de Segurança.

Ao postar uma pergunta neste evento, você está dando permissão para ser traduzido em todos os idiomas que temos na comunidade.

 

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

76 RESPOSTAS 76

Cisco Moderador
Community Manager
Community Manager

O Cisco ASA 5508-X não pode ter mais de 5 sessões a qualquer momento.

Compramos o licenciamento para 100 usuários, anexamos nossas running configs nos arquivos; se alguém puder nos ajudar no caminho certo, agradeceríamos muito.

Aumentamos nossa bandwidth  de 300 Mbps para 1 GB, em um esforço para permitir a entrada de mais usuários, mas mesmo assim, só podemos obter 5 a qualquer momento.

Resultado do comando: "show vpn-sessiondb summary"

---------------------------------------------------------------------------

VPN Session Summary

---------------------------------------------------------------------------

                               Active : Cumulative : Peak Concur : Inactive

                             ----------------------------------------------

AnyConnect Client            :      2 :        321 :           7 :        1

  SSL/TLS/DTLS               :      2 :        321 :           7 :        1

Clientless VPN               :      0 :         20 :           3

  Browser                    :      0 :         20 :           3

Site-to-Site VPN             :      2 :       1093 :           2

  IKEv2 IPsec                :      2 :       1093 :           2

---------------------------------------------------------------------------

Total Active and Inactive    :      5             Total Cumulative :   1434

Device Total VPN Capacity    :    100

Device Load                  :     5%

---------------------------------------------------------------------------

Resultado do comando: "show vpn-sessiondb detail"

 

---------------------------------------------------------------------------

VPN Session Summary

---------------------------------------------------------------------------

                               Active : Cumulative : Peak Concur : Inactive

                             ----------------------------------------------

AnyConnect Client            :      2 :        321 :           7 :        1

  SSL/TLS/DTLS               :      2 :        321 :           7 :        1

Clientless VPN               :      0 :         20 :           3

  Browser                    :      0 :         20 :           3

Site-to-Site VPN             :      2 :       1093 :           2

  IKEv2 IPsec                :      2 :       1093 :           2

---------------------------------------------------------------------------

Total ativo e inativo    :      5             Total Cumulativo   1434

Capacidade total de VPN do dispositivo:    100

Carga do disposi                  :     5%

---------------------------------------------------------------------------

 

---------------------------------------------------------------------------

Tunnels Summary

---------------------------------------------------------------------------

                               Ativo: Cumulativo: Pico simultâneo

                             ----------------------------------------------

IKEv2                        :      2 :       1093 :               2

IPsecOverNatT                :      2 :       1094 :               2

Clientless                   :      0 :         20 :               3

AnyConnect-Parent            :      3 :        321 :               7

SSL-Tunnel                   :      2 :        325 :               6

DTLS-Tunnel                  :      2 :        309 :               6

---------------------------------------------------------------------------

Total                     :     11 :       3162

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Você pode confirmar usando a output do show vpn-session license-summary se ve 100 como o limite instalado?

Um exemplo da saída no ASA 5506 é como abaixo (veja a linha vermelha):

ASA5506-X(config)# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

Você está vendo algum Syslogs quando a sexta conexão entra? Pode ser necessário aumentar temporariamente o registro para a depuração para esse fim. Revisei sua configuração e não havia nada de errado que se destacasse.

Confirmando nosso output abaixo.

Nos mostra que 100 é o limite instalado

Resultado do commando: "show vpn-session license-summary"

---------------------------------------------------------------------------

VPN Licenses and Configured Limits Summary                                 

---------------------------------------------------------------------------

                                     Status : Capacity : Installed :  Limit

                                  -----------------------------------------

AnyConnect Premium               :  ENABLED :      100 :       100 :    100

AnyConnect Essentials            : DISABLED :      100 :         0 :    100

Other VPN (Available by Default) :  ENABLED :      100 :       100 :    100

Shared License Server            : DISABLED

Shared License Participant       : DISABLED

AnyConnect for Mobile            :  ENABLED(Requires Premium or Essentials)

Advanced Endpoint Assessment     :  ENABLED(Requires Premium)

AnyConnect for Cisco VPN Phone   :  ENABLED

VPN-3DES-AES                     :  ENABLED

VPN-DES                          :  ENABLED

---------------------------------------------------------------------------

 

---------------------------------------------------------------------------

VPN Licenses Usage Summary                                                

---------------------------------------------------------------------------

                                             All  :   Peak :  Eff.  :     

                                           In Use : In Use :  Limit : Usage

                                          ---------------------------------

AnyConnect Premium     :                 :      4 :      8 :    100 :    4%

  Anyconnect Client    :                 :      4 :      7 :    100 :    4%

  Clientless VPN       :                 :      0 :      3 :    100 :    0%

Other VPN              :                 :      2 :      3 :    100 :    2%

  L2TP Clients

  Site-to-Site VPN     :                 :      2 :      2 :    100 :    2%

---------------------------------------------------------------------------

Result of the command: "show vpn-session license-summary"

 

---------------------------------------------------------------------------

VPN Licenses and Configured Limits Summary                                 

---------------------------------------------------------------------------

                                     Status : Capacity : Installed :  Limit

                                  -----------------------------------------

AnyConnect Premium               :  ENABLED :      100 :       100 :    100

AnyConnect Essentials            : DISABLED :      100 :         0 :    100

Other VPN (Available by Default) :  ENABLED :      100 :       100 :    100

Shared License Server            : DISABLED

Shared License Participant       : DISABLED

AnyConnect for Mobile            :  ENABLED(Requires Premium or Essentials)

Advanced Endpoint Assessment     :  ENABLED(Requires Premium)

AnyConnect for Cisco VPN Phone   :  ENABLED

VPN-3DES-AES                     :  ENABLED

VPN-DES                          :  ENABLED

---------------------------------------------------------------------------

 

---------------------------------------------------------------------------

VPN Licenses Usage Summary                                                

---------------------------------------------------------------------------

                                             All  :   Peak :  Eff.  :     

                                           In Use : In Use :  Limit : Usage

                                          ---------------------------------

AnyConnect Premium     :                 :      4 :      8 :    100 :    4%

  Anyconnect Client    :                 :      4 :      7 :    100 :    4%

  Clientless VPN       :                 :      0 :      3 :    100 :    0%

Other VPN              :                 :      2 :      3 :    100 :    2%

  L2TP Clients

  Site-to-Site VPN     :                 :      2 :      2 :    100 :    2%

---------------------------------------------------------------------------

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Pode, por favor, compartilhar o output do show run vpn-sessiondb e também pode compartilhar os seus share logs quando você vê este problema?

Atenciosamente,

Aditya

Olá,

Aqui está o output que me pediu:

TBROG-FW-01# show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01#

Você pode aconselhar quais logs você deseja ver? Tenho abaixo minha última tentativa bem-sucedida do ip externo 71.195.58.236. quaisquer outras tentativas após nossa sexta conexão, não consigo mais ver nenhum registro gerado. 

6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Oi,

 Você pode nos enviar o seguintes dados ao tentar conectar o 6º cliente:

  • debug webvpn 255
  • debug webvpn anyconnect 255
  • DART bundle depois da falha na sexta conexao

Eu acredito que esteja fora do meu escopo de habilidades ou não estou familiarizado com como gerar e acessar esses logs.

Existe um guia que eu poderia seguir para obter esse log output?

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Oi,

Para os debugs, você precisará fazer login no  ASA CLI e habilitar os seguintes comandos antes de tentar fazer a sexta conexao.

ASA5506-X# debug webvpn anyconnect 255

ASA5506-X# debug webvpn  255

DART é essencialmente um módulo de diagnóstico que pode ser usado para agrupar logs do lado do cliente em um local. O link a seguir percorre as etapas para configurá-lo: https://community.cisco.com/t5/security-documents/how-to-collect-the-dart-bundle-for-anyconnect/ta-p/3156025

No entanto, acredito que seja mais fácil para você, abrir um caso de TAC, uma vez que pode ser melhor para que o engenheiro possa iniciar uma sessão remota para troubleshoot.

 

Isso é estranho. Você poderia aumentar o nível de log para depurar e testar a sexta conexão?

Além disso, você testou com nomes de usuário diferentes?

Eu pediria outros debugs como debug webvpn anyconnect 255 e testaria, mas não tenho certeza sobre o uso de recursos no Firewall.

Atenciosamente,

Cisco Moderador
Community Manager
Community Manager

Olá, estou usando o AnyConnect 4.3.05017 (Windows 7) para conectar a uma rede corporativa no momento (COVID-19) e estou sendo afetado por um problema conhecido para o qual aparentemente não há solução:

Enquanto o AnyConnect está ativo, não é possível instalar outros routes na routing table. No entanto, como parte do meu trabalho, preciso acessar uma máquina virtual do VirtualBox acessível por meio de adaptadores de rede virtual. Sempre que eu inicio a máquina virtual, o AnyConnect remove a entrada do routing table. Estas são as entradas de event data:

Uma notificação de alteração da routing table foi recebida. Iniciando a correção automática do routing table.

Routing table - fixed - deleted route
Destination Netmask Gateway IfAddr IfName IfIndex LL Metric
192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1

A correção automática da tabela de roteamento foi bem-sucedida.

Entendo que manter o controle do routing table é um recurso de segurança, mas, neste caso (e vários outros relatados na Internet), torna-me impossível fazer o trabalho designado. O que pode ser feito? Existe uma opção de configuração no lado do cliente ou do servidor que possa ser utilizada para corrigir esse mau comportamento?

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por HansMartinMosner74305. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Você tentou usar o Split-Exclude Tunneling? Com esse método, você está dizendo ao dispositivo para especificar qual tráfego você não enviará pelo tunnel.
Atenciosamente,
Aditya

Obrigado, parece que isso vai ajudar!

Aparentemente, o acesso à LAN local está desabilitado no ASA, então não posso habilitá-lo no cliente (como sou apenas um desenvolvedor, não um administrador de rede). Mas posso pedir aos administradores que habilitem essa funcionalidade de acordo com as informações em https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls /70847-local-lan-pix-asa.html, isso provavelmente resultará em uma configuração funcional.

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por HansMartinMosner74305. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Claro, mantenha-nos informados.

Cisco Moderador
Community Manager
Community Manager

Olá

Eu tenho uma doação de um Dual telepresence e gostaria de usá-lo, mas não tenho um nome de usuário ou senha.

Pode me ajudar? Eu tenho um endereço IP não registrado.

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em frances por FranckBourasseau50897. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador
Community Manager
Community Manager

Eu tenho suporte de substituição do Cisco HW 24 horas, a Cisco Tech irá até o local para fazer a substituição durante as políticas de "ficar em casa" do COVID-19 que estão surgindo? Estou preocupado se uma unidade falhar, podemos obter uma substituição.

Obrigado!

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por JeffFrench3318.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.