Re: Comunidade Ask Me Anything- Segurança para Trabalhadores Remotos - Página 5

Cisco Moderador · ‎03-23-2020

Aqui está sua chance de discutir as tecnologias de seguranca remota da Cisco, como AnyConnect, ASA, FTD, Duo e Umbrella. Nesta sessão, os especialistas responderão á perguntas sobre licenças de emergência, design, configuração e solução de problemas. Nossos especialistas abrangem mais de 12 fusos horários. Além disso, traduziremos a sessão em vários idiomas para fornecer a melhor experiência possível.

Este fórum funciona bem como uma introdução para aqueles que não estão familiarizados com essas soluções de segurança e/ou começaram a usá-las recentemente.

Faça suas perguntas a partir de 20 de março até sexta-feira 03 de abril de 2020.

Especialista convidado

Divya Nair é engenheira técnica de marketing do Security Business Group em Raleigh, Carolina do Norte. Ela tem mais de 10 anos de experiência em tecnologias de segurança de rede da Cisco, incluindo firewalls, IPS, VPN e AAA; e atualmente se concentra nas plataformas de gerenciamento de VPN e firewall. Divya é bacharel em Ciência da Computação e Engenharia.

Aditya Ganjoo é engenheiro técnico de marketing em Bangalore, Índia. Ele trabalha com a Cisco há sete anos em domínios de segurança como Firewall, VPN e AAA. Aditya ministrou treinamentos em tecnologias ASA e VPN. Ele é bacharel em Tecnologia da Informação. Além disso, ele é um CCIE em segurança (CCIE # 58938). Ele tem contribuído de forma consistente na Comunidade de suporte da Cisco e já realizou várias sessões no Cisco Live.

Jonny Noble lidera a equipe de Marketing Técnico de Segurança em Nuvem da Cisco, com experiência em Cisco Umbrella e tecnologias vizinhas. Por mais de 20 anos, Jonny obteve experiência em disciplinas voltadas para clientes deorganizações globais de alta tecnologia. Ele também tem uma rica experiência na apresentação de sessões de acompanhamento e laboratórios de controle nos eventos Cisco Live, além de representar a Cisco em vários eventos de clientes e parceiros, feiras e exposições. Jonny é formado em Eletrônica, Sociologia, MBA em Negócios e é certificado pela CISSP.

Devido ao volume previsto para esse evento de alta demanda, Divya, Aditya, Jonny podem não conseguir responder a todas perguntas. Portanto, lembre-se de que você pode continuar a conversa diretamente na comunidade de Segurança.

Ao postar uma pergunta neste evento, você está dando permissão para ser traduzido em todos os idiomas que temos na comunidade.

Encontre mais eventos em: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidade-portugues

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

Cisco Moderador · ‎04-01-2020

É um ponto final, já que eu tenho a permissão de tráfego intra-interface.

Eu posso tentar o NAT que você sugere. Tendo dificuldade em imaginar como isso permitirá o tráfego interno, tentarei em uma hora. Obrigado

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-01-2020

O NAT que sugeri é ter acesso à Internet para os usuários do Anyconnect, pois você mencionou que eles perdem o acesso à Internet, uma vez que eles se conectam ao Anyconnect (com TunnelAll).

Para acesso interno, você pode isentar o tráfego do Anyconnect usando este NAT:

fonte nat (interna, externa) estática qualquer destino estático obj-Anyconnect obj-Anyconnect

Atenciosamente,

Aditya

Cisco Moderador · ‎04-01-2020

Com o tunnel, todos podem ter acesso interno e permissão para acessar a Internet, mas o tráfego sai do ASA para a Internet e não para sua rede doméstica?

Também na medida do roteamento. Você adicionaria uma rota lá no ASA ou está injetando uma rota abaixo do fluxo sugerido.

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-01-2020

Está correto.

TunnelAll significa que o tráfego precisa alcançar o ASA (Headend) e, a partir daí, estamos encaminhando o tráfego (com o uso do PAT dinâmico na interface externa) para a Internet.

Você precisaria de uma rota reversa (para o pool) no dispositivo downstream.

Alguma coisa assim:

ip route x.x.x.x mask <ASA inside interface IP>

Atenciosamente,

Aditya

Cisco Moderador · ‎04-01-2020

Eu já estou usando esse NAT para acesso interno - como permitir que o pool de IP do AnyConnect seja permitido na Internet através do dispositivo headend.

O cliente conecta a AnyConnect-recebe e endereço IP do pool de IP AnyConnect.

Com o NAT abaixo, eles podem acessar redes internas, mas NÃO a INTERNET. [Substituí o "any" por um grupo de objetos interno.]

Fonte nat (interna, externa) estática qualquer destino estático obj-Anyconnect obj-Anyconnect

O que EXATAMENTE é necessário para permitir que o pool de IP do AnyConnect TAMBÉM acesse a Internet? Porque esse NAT não está permitindo que o cliente saia pela internet ???

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Divya Nair · ‎04-01-2020

Oi,

O guia a seguir detalha todas as etapas necessárias para fazer isso:

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

Dê uma olhada e deixe-nos saber se você tiver alguma dúvida.

Aditya Ganjoo · ‎04-01-2020

Eu já mencionei isso no meu post anterior.

Use este NAT:

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

Cisco Moderador · ‎04-01-2020

Então, tem 2 instruções NAT para o pool de IP AnyConnect?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-01-2020

Sim, um para acesso interno à rede e outro para acesso à Internet.

Cisco Moderador · ‎04-03-2020

Eu queria dizer OBRIGADO. O último link que você forneceu foi exatamente o que eu precisava! Eu ainda preciso descobrir o roteamento de back-end, mas estou muito feliz em informar que o AnyConnect está trabalhando na configuração Tunnelall para mim, graças a você.

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-03-2020

Fico feliz em ajudá-lo.

Cisco Moderador · ‎04-03-2020

Quero enviar um material de áudio que tenho no meu computador para os participantes das minhas reuniões. Eu quero que eles possam ouvir trechos que eu selecionar. Isso é possível?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por ORI1ori1.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-03-2020

Por favor, inclua esta pergunta no forúm de Colaboração:
https://community.cisco.com/t5/collaboration-voice-and-video/ct-p/4691-collaboration-voice-video

Cisco Moderador · ‎04-03-2020

Olá

Preciso criar uma nova VLAN02 para WIFI convidado e configurar algumas regras para restringir o acesso a algum endereço IP.

Meu ASA5506 está no modo BVI.

As interfaces atuais do ASA são assim;

BVI1 – inside

GIG1/1 - outside -

GIG1/2 - inside_1 -

GIG1/3 - inside_2 -

GIG1/4 - inside_3 -

GIG1/5 - inside_4 -

GIG1/6 - inside_5 -

GIG1/7 - inside_6 -

GIG1/8 - inside_7 -

Management1/1 -

Desejo atribuir GIG1 / 5 para VLAN02 como Wi-Fi convidado e atribuir e endereço IP para esta nova VLAN.

Qual é a melhor prática para fazer isso? Por favor.

É possível demonstrar a configuração do ASDM?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por saids3.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎04-03-2020

Oi,

Por favor, guie como aplicar qos para os usuários do Anyconnect?

É possível em dispositivos ssp asa?

O requisito é fornecer 1 Mb para cada usuário, usuários de desktop remoto está reclamando do desempenho.

E também usuários clientes sql (aplicativos de desktop conectados ao servidor sql a partir de remotos).

como solucionar problemas de desconexão do servidor sql / banco de dados quando os usuários estão conectados pelo controle remoto usando anyconnect

Obrigado,

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por elite2010 .Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas

Comunidade Ask Me Anything- Segurança para Trabalhadores Remotos

Quick links