em 03-23-2020 08:40 AM - última edição em 03-23-2020 04:46 PM por Hilda Arteaga
Aqui está sua chance de discutir as tecnologias de seguranca remota da Cisco, como AnyConnect, ASA, FTD, Duo e Umbrella. Nesta sessão, os especialistas responderão á perguntas sobre licenças de emergência, design, configuração e solução de problemas. Nossos especialistas abrangem mais de 12 fusos horários. Além disso, traduziremos a sessão em vários idiomas para fornecer a melhor experiência possível.
Este fórum funciona bem como uma introdução para aqueles que não estão familiarizados com essas soluções de segurança e/ou começaram a usá-las recentemente.
Faça suas perguntas a partir de 20 de março até sexta-feira 03 de abril de 2020.
** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas
em 03-26-2020 09:04 AM
Temos dois enclaves interconectados, em que o enclave externo está usando o AnyConnect para acessar a Internet.
Meu enclave está protegido por um ASA-5585-X e preciso fornecer um conjunto muito pequeno de acesso de usuário a esse enclave. Meu primeiro pensamento foi aninhar uma sessão do AnyConnect dentro de outra sessão, criando um túnel dentro de um túnel, mas parece que não está funcionando.
Se os administradores do enclave externo criassem um NAT que expusesse a interface externa do meu firewall, os usuários finais poderiam se conectar a um endereço IP diferente e ignorar o firewall externo para uma sessão VPN?
Layout conceitual
Internet ====>> Outside firewall ====>> Outer enclave ====>> Inside firewall (my ASA) ====>> Inner enclave
Eu preciso disso, de alguma forma:
Internet ========================>> VPN ===================================>>Inner enclave
Alguma sugestão?
Obrigado,
Gregg
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por gregg.discenza1.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-26-2020 09:06 AM
Você pode criar um NAT estático para os usuários acessarem os recursos por trás do Firewall interno.
Internet ========================>> VPN ===================================>>Inner enclave
Ou você pode permitir a sub-rede específica do enclave interno na política de VPN e, em seguida, restringir a parte externa (pequeno conjunto de usuários) configurar uma ACL de entrada no FW interno.
Supondo que a VPN do Anyconnect seja encerrada no FW externo e depois disso tudo estará em texto não criptografado.
Espero que ajude!
Aditya
em 03-26-2020 09:10 AM
Supondo que as informações da subnet do enclave interno sejam publicadas no enclave externo, o que não é.
Não posso usar uma restrição baseada em IP, pois alguns dos usuários que precisam acessar o enclave interno estão dentro do enclave externo.
Existe alguma maneira de usar o adaptador VPN do Windows 10 para conectar-se ao ASA?
Gregg
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por gregg.discenza1.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-26-2020 09:13 AM
Oi,
Existe um problema no uso da VPN externa para encerrar todas as conexões e ter tunnel-groups/connection profile/group-policy para os usuários externos e internos? A razão pela qual pergunto é porque o uso do cliente L2TP ainda será um tunnel-in-a-tunnel.
em 03-27-2020 11:33 AM
Aqui está uma excelente referência para o AnyConnect: https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215331-anyconnect-implementation-and-performanc.html
Espero que você e seus entes queridos estejam seguros e saudáveis!
Monica Lluis
Líder Global da Comunidade Cisco
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Monica Lluis. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-27-2020 12:51 PM
Olá Monica,
Obrigado por compartilhar esse documento importante.
Nossos especialistas globais em VPN recentemente fizeram um podcast focado em RAVPN e em como otimizar o desempenho do AnyConnect. Os comentários do programa incluem links para o documento que você referenciou e muito mais:
Bill
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Bill O. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-30-2020 10:39 AM
No caso em que estamos usando no-split-tunnel ou tunnel-all-DNS para nossa VPN de acesso remoto e combinando esses recursos com o Umbrella, temos um problema para os pontos de extremidade não gerenciados acessando a página de bloqueio do Umbrella para sites https e obtendo o erro de certificado . Como o https é usado para 80% (ou mais) de todo o tráfego da Web, isso é cada vez mais um problema.
Para terminais gerenciados, isso não é muito problemático, pois podemos enviar o certificado para os repositórios de certificados locais via GPO (ou outro software EMM), conforme descrito na documentação da Umbrella:
https://docs.umbrella.com/deployment-umbrella/docs/install-cisco-umbrella-root-certificate
Para terminais não gerenciados, é difícil solicitar aos usuários finais que baixem e confiem no certificado da Umbrella. Existe alguma prática recomendada que possamos adotar para evitar a necessidade de fazer isso?
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-30-2020 10:43 AM
Olá Marvin. No caso de dispositivos não gerenciados, a melhor prática é dividi-los em uma rede diferente (ou identidade no painel da Umbrella) e aplicar uma política separada a eles.
Nessa política separada, você não deve habilitar o intelligent proxy (sem inspeção de arquivo de arquivo e, portanto, sem descriptografia de HTTPS). Ao manter toda a aplicação de segurança apenas na camada DNS, você não encontrará esses problemas.
Embora eu entenda que essa divisão de tráfego é mais fácil quando em uma rede corporativa (ou seja, o tráfego de convidados ou dispositivos não gerenciados passam por vlans ou SSIDs separados), no seu caso, no momento, parece que você está se referindo a trabalhadores remotos que estão se conectando a VPN e esse é o mesmo tipo de conexão para dispositivos gerenciados e não gerenciados.
Nesse caso, você precisaria desativar a inspeção de arquivos em todas as políticas da Umbrella que abrangem identidades onde os dispositivos não gerenciados serão incluídos.
em 03-30-2020 10:45 AM
Obrigado, jonnoble - Eu tinha medo que essa fosse a resposta, embora seja bom ter a confirmacao.
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-31-2020 10:20 AM
Oi,
Quando eu quero configurar o roteador do CCP, recebo um erro:
'O componente de segurança falhou. Para trabalhar nos recursos de Roteador ou Segurança, faça o seguinte. Vá para Java Control panel -> Advanced tab -> Java Plug-in tree Entry. Desmarque a caixa de seleção Ativar Java Plug-in da próxima geração. Reinicie o CiscoCP depois disso.
Eu estava tentando desmarcar o plug-in Java NGN, mas não consigo encontrar a opção de plug-in na guia avançada. Poderia ajudar por favor?
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por jefreyoropesa.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-31-2020 10:24 AM
Solicito que você tente postar isso na seção Gerenciamento de rede para obter uma resposta melhor:
https://community.cisco.com/t5/network-management/bd-p/5931-discussions-network-management
Atenciosamente,
Aditya
em 03-31-2020 04:38 PM
Eu encontrei e fui apontado passo a passo para dividir, mas não quero dividir. Alguém pode me indicar o passo a passo para NÃO dividir o tunnel?
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas
em 04-01-2020 08:53 AM
Oi,
Você poderia elaborar a sua solicitacao?
Deseja desativar o Split tunnel? Se sim, você pode usar a opção TunnelAll.
Compartilhe a configuração, se possível, e qual é o caso de uso?
em 04-01-2020 08:54 AM
Se você usar o tunnel, como essa alteração afeta a instrução NAT. Eu basicamente tinha tudo trabalhando com o tunnel dividido. Quando mudo para o tunnel, todo o acesso à Internet é perdido.
Obrigado.
Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 04-01-2020 08:56 AM
Presumo que seja um ASA.
Você precisaria dos seguintes comandos para obter acesso à Internet.
Precisamos prender o tráfego para os usuários do Anyconnect.
same-security-traffic permit intra-interface
object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
Onde obj-AnyconnectPool é o Anyconnect Pool network
Atenciosamente,
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: