annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
11391
Visites
5
Compliment
77
Réponses

Demandez-moi N'importe Quoi - Sécurité : Travailleurs à distance sécurisés

 
Banner_fr_lp_900x150_AMA_Security_20mar_03apr_2020.png

 

Nos experts
divyanai.jpgDivya Nair est Ingénieur Technique Marketing au Security Business Group à Raleigh, en Caroline du Nord. Elle possède plus de 10 ans d'expérience dans les technologies de sécurité réseau Cisco, notamment les pare-feu (firewall), IPS, VPN et AAA; et se concentre actuellement sur les platesformes de gestion de VPN et de pare-feu. Divya est titulaire d'un Bachelier en Sciences Informatiques et de l'Ingénierie.

adganjoo.jpgAditya Ganjoo est Ingénieur Technique Marketing à Bangalore, en Inde. Il travaille avec Cisco depuis sept ans dans des domaines de sécurité tels que le pare-feu, le VPN et l'AAA. Aditya a dispensé des formations sur les technologies ASA et VPN. Il détient un baccalauréat en Technologie de l'Information. De plus, il est CCIE en Sécurité (CCIE # 58938). Il a été un contributeur constant dans la Communauté Cisco et a conduit plusieurs sessions au Cisco Live.

jonnoble.jpgJonny Noble dirige l'équipe Technique Marketing pour Cloud Security chez Cisco, avec une expertise dans Cisco Umbrella et les technologies environnantes. Depuis plus de 20 ans, Jonny a acquis une expérience dans les disciplines orientées aux clients pour diverses organisations mondiales hi-tech. Il possède également une riche expérience dans la présentation de sessions et de laboratoires de surveillance lors d'événements Cisco Live, ainsi que dans nombreux événements, salons et expositions pour les clients et partenaires. Jonny détient des diplômes en Électronique, Sociologie, un MBA en Affaires et est certifié CISSP.

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.

Posez vos questions du 20 mars au 3 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

77 RÉPONSES 77

Salut,

Avons-nous des options dans Cisco AnyConnect utilisant le pare-feu FTD pour bloquer les machines jointes non Windows et autoriser uniquement les ordinateurs du domaine pour se connecter à AnyConnect?

Merci, Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Basavaraj,

Vous pouvez utiliser l'authentification par certificat de machine pour les utilisateurs d'AnyConnect pour vous assurer que seules les machines du domaine peuvent joindre.

Guide de configuration - https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/firepower_threat_defense_remote_access_vpns.html#id_login_via_clientcert

Salut Divya,

Merci pour la réponse.

Fondamentalement, ce que je recherche ce sont les ordinateurs de domaine. J'applique déjà DLP et tout ça et ils ne peuvent rien copier des ordinateurs, par exemple, mais si mes employés se connectent au réseau d'entreprise à l'aide de leurs ordinateurs personnels, comment puis-je les empêcher de ne pas copier quoi que ce soit, et seulement travailler sur les applications requises et tout, si je ne copie pas de données du réseau lorsqu'ils se connectent au réseau.
Comment puis-je atteindre cet objectif ? Puis-je créer un groupe de tunnels pour les machines jointes au domaine et un autre groupe de tunnels pour les machines non jointes au domaine et appliquer la stratégie ?

Merci, Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Basavaraj,

Oui, vous devrez créer différents profils de connexion et appliquer les stratégies.
Cela peut être fait de différentes manières, par exemple : en fournissant aux utilisateurs des URL de groupe, via des attributs Radius ou par une fonction de verrouillage de groupe sur ASA.

Cordialement, Aditya

Salut Aditya,

Pouvez-vous s'il vous plaît me fournir un exemple de guide de configuration pour que je puisse suivre les instructions et le faire ?

Merci, Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Aditya,

Ces liens configurent différents groupes de tunnels et alias, mais ce que je cherche c'est à appliquer des types de stratégies DLP pour chaque stratégie de groupe (group-policy) afin qu'ils ne puissent pas copier les données sur le tunnel AnyConnect.

Fondamentalement, ils ne doivent copier aucune donnée sur le tunnel VPN AnyConnect, comment puis-je appliquer ce type de policy sur le VPN Anyconnect ?

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Si je comprends bien, vous cherchez à appliquer DLP pour les utilisateurs BYOD.

La meilleure façon de le faire sur le FTD serait que les utilisateurs BYOD se connectent à un profil de connexion/stratégie de groupe distinct. Je donnerais à cette connexion un pool d'adresses différent des utilisateurs du domaine.

Vous pouvez ensuite utiliser des filtres d'application sur la stratégie d'accès FTD pour bloquer les protocoles de transfert de fichiers pour le pool VPN BYOD.

Gardez à l'esprit que FTD n'est pas une véritable application DLP, mais le filtre d'application vous aidera à accomplir ce que vous devez faire.

En plus de ce que Divya a dit, vous pouvez également faire des scripts sur demande en utilisant AnyConnect :

Cordialement,
Aditya

Bonjour à tous, j'ai plusieurs questions:

  1. Ai-je raison de comprendre que la personnalisation webvpn (c'est-à-dire la page d'accueil webvpn) et la personnalisation AnyConnect (messages, langues, etc.) ne sont pas actuellement prises en charge lorsque vous utilisez le périphérique Firepower Threat Defense (FTD) comme tête de réseau ? (soit FMC-managed ou FDM/CDO-managed)
  2. La vérification de base de la posture comme nous pouvons le faire avec ASA et DAP / Hostscan , n'est pas actuellement une option avec FTD seul (c'est-à-dire que nous devons nous référer à une solution externe comme ISE). Est-ce correct?
  3. Pour DAP / Hostscan avec ASA, cela nécessite-t-il AnyConnect Premium et est-il pris en charge sur les modèles de plateforme ASAv ?

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Marvin,

C'est exact.

  1. La personnalisation WebVPN sans client et AnyConnect n'est pas prise en charge aujourd'hui sur FTD.
  2. Vous devrez utiliser ISE Posture pour l'évaluation de la posture du client aujourd'hui sur FTD.
  3. L'ASA avec DAP nécessite la licence Apex (auparavant la licence Premium) et elle est prise en charge sur les modèles ASAv.

 

Merci Divya,

Juste un commentaire, quelques-uns d'entre nous ont essayé de lancer DAP sur ASAv et ont rencontré des problèmes.

Veuillez voir ce fil https://community.cisco.com/t5/vpn/asa-virtual-unable-to-activate-hostscan/td-p/4044100

Pouvez-vous répondre ici ou devrions-nous ouvrir un dossier TAC ?

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Mis à jour sur le post que vous avez également mentionné.

Merci

 

Merci Divya Nair et Aditya Ganjoo !

Pour compléter le sujet ci-dessus, bousculer la mémoire pour exécuter l'ASAv en tant que modèle ASAv10 (vs. ASAv5) corrige l'incapacité d'ajouter un Hostscan qui est nécessaire pour utiliser DAP.

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.