annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
11393
Visites
5
Compliment
77
Réponses

Demandez-moi N'importe Quoi - Sécurité : Travailleurs à distance sécurisés

 
Banner_fr_lp_900x150_AMA_Security_20mar_03apr_2020.png

 

Nos experts
divyanai.jpgDivya Nair est Ingénieur Technique Marketing au Security Business Group à Raleigh, en Caroline du Nord. Elle possède plus de 10 ans d'expérience dans les technologies de sécurité réseau Cisco, notamment les pare-feu (firewall), IPS, VPN et AAA; et se concentre actuellement sur les platesformes de gestion de VPN et de pare-feu. Divya est titulaire d'un Bachelier en Sciences Informatiques et de l'Ingénierie.

adganjoo.jpgAditya Ganjoo est Ingénieur Technique Marketing à Bangalore, en Inde. Il travaille avec Cisco depuis sept ans dans des domaines de sécurité tels que le pare-feu, le VPN et l'AAA. Aditya a dispensé des formations sur les technologies ASA et VPN. Il détient un baccalauréat en Technologie de l'Information. De plus, il est CCIE en Sécurité (CCIE # 58938). Il a été un contributeur constant dans la Communauté Cisco et a conduit plusieurs sessions au Cisco Live.

jonnoble.jpgJonny Noble dirige l'équipe Technique Marketing pour Cloud Security chez Cisco, avec une expertise dans Cisco Umbrella et les technologies environnantes. Depuis plus de 20 ans, Jonny a acquis une expérience dans les disciplines orientées aux clients pour diverses organisations mondiales hi-tech. Il possède également une riche expérience dans la présentation de sessions et de laboratoires de surveillance lors d'événements Cisco Live, ainsi que dans nombreux événements, salons et expositions pour les clients et partenaires. Jonny détient des diplômes en Électronique, Sociologie, un MBA en Affaires et est certifié CISSP.

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.

Posez vos questions du 20 mars au 3 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

77 RÉPONSES 77

J'ai une assistance de remplacement Cisco HW 24 heures sur 24, un technicien Cisco viendra-t-il sur place pour effectuer le remplacement pendant les politiques COVID-19 "rester à la maison" qui émergent ?

Juste inquiet si un drive tombe en panne, etc. afin que nous puissions obtenir un remplacement.

Je vous remercie

* Voici la traduction d'un message créé à l'origine par JeffFrench3318 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Nous avons deux enclaves interconnectées, où l'enclave extérieure utilise AnyConnect pour accéder à Internet.

Mon enclave est derrière un ASA-5585-X, et je dois accorder à un très petit nombre d'utilisateurs l'accès à cette enclave. Ma première pensée a été d'imbriquer une session AnyConnect dans une autre session, créant un tunnel dans un tunnel, mais il semble que cela ne fonctionne pas.

Si j'avais les administrateurs de l'enclave externe créer un NAT qui exposait l'interface extérieure de mon pare-feu, les utilisateurs finaux pourraient-ils se connecter à une adresse IP différente et contourner le pare-feu extérieur pour une session VPN?

Disposition conceptuelle
Internet ====>> Outside firewall ====>> Outer enclave ====>> Inside firewall (my ASA) ====>> Inner enclave

J'ai besoin de ça:
Internet ========================>> VPN ===================================>>Inner enclave

en quelque sorte.

Suggestions?

Merci, Gregg

* Voici la traduction d'un message créé à l'origine par gregg.discenza1 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Vous pouvez créer un NAT statique pour que les utilisateurs accèdent aux ressources derrière le pare-feu interne.

Internet ========================>> VPN ===================================>>Inner enclave

Ou vous pouvez autoriser le sous-réseau d'enclave interne spécifique sur la stratégie VPN, puis restreindre l'externe (petit ensemble d'utilisateurs) configurant une ACL d'entrée sur le FW interne.

En supposant que le VPN Anyconnect va se terminer sur le FW externe et après cela, tout serait clair.

Heureux de vous aider,
Aditya

En supposant que les informations de sous-réseau de l'enclave interne sont publiées dans l'enclave externe, ce qui n'est pas le cas. Je ne peux pas utiliser une restriction basée sur l'adresse IP, car certains des utilisateurs ayant besoin d'accéder à l'enclave interne, se trouvent dans l'enclave externe.

Existe-t-il un moyen d'utiliser l'adaptateur VPN Windows 10 pour se connecter à l'ASA ?

Gregg

* Voici la traduction d'un message créé à l'origine par gregg.discenza1 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Gregg,

Existe-t-il un problème dans l'utilisation du VPN externe pour mettre fin à toutes les connexions et avoir différents groupes de tunnels / profil de connexion / stratégie de groupe (tunnel-groups/connection profile/group-policy) pour les utilisateurs externes et internes ?

La raison pour laquelle je vous demande cela, c'est parce que l'utilisation du client L2TP sera toujours tunnel-dans-un-tunnel (tunnel-in-a-tunnel).

Voici une excellente référence pour AnyConnect

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215331-anyconnect-implementation-and-performanc.html

J'espère que vous et vos proches vous soyez en toute sécurité et bonne santé.

Monica Lluis
Responsable du Community Manager

* Voici la traduction d'un message créé à l'origine par Monica Lluis en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Monica,

Merci d'avoir partagé cet important document.

Nos experts VPN mondiaux ont récemment livré un podcast axé sur RAVPN et comment optimiser les performances d'AnyConnect. Les notes d'exposition incluent des liens vers le document auquel vous avez fait référence et encore plus :

https://community.cisco.com/t5/security-documents/episode-57-maximizing-anyconnect-performance-during-the-covid-19/ta-p/4053676

Bill

Dans le cas où nous utilisons un tunnel sans partage ou un tunnel tout DNS pour notre VPN d'accès à distance et combinant ces fonctionnalités avec Umbrella, nous avons un problème pour les points de terminaison non gérés atteignant la page de blocage Umbrella pour les sites https et obtenant l'erreur de certificat . Étant donné que https est utilisé pour 80% (ou plus) de tout le trafic Web, c'est de plus en plus un problème récurrent.

Pour les points finaux gérés, ce n'est pas vraiment un problème, car nous pouvons pousser le certificat dans des magasins de certificats locaux via GPO (ou un autre software EMM) comme décrit dans la documentation Umbrella :

Pour les points de terminaison non gérés, il est difficile de dire aux utilisateurs finaux de télécharger et de faire confiance au certificat Umbrella. Y a-t-il des meilleures pratiques que nous pouvons adopter pour éviter d'avoir à le faire ?

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour Marvin,

En cas de périphériques non gérés (devices), la meilleure pratique consiste à les diviser en un réseau différent (ou identité dans le tableau de bord Umbrella) et à leur appliquer une policy différentiée.

Dans cette policy différentiée, vous ne devez pas activer le proxy intelligent (pas d'inspection des fichiers et donc pas de décryptage HTTPS), et en conservant toutes les mesures de sécurité qu'au niveau de la couche DNS, vous ne devriez pas rencontrer ces problèmes.

Bien que je comprenne que cette répartition du trafic est plus facile lorsque vous êtes sur un réseau d'entreprise (c'est-à-dire que le trafic invité ou les périphériques non gérés passent par des réseaux VLAN séparés ou des SSID distincts), dans votre cas, il semble que vous faites référence aux travailleurs distants, qui se connectent via VPN et donc il s'agit du même type de connexion pour les appareils (devices) gérés et non gérés.

Dans ce cas, vous devrez désactiver l'inspection des fichiers dans toutes les policies Umbrella qui couvrent les identités où les périphériques non gérés vont être inclus.

Merci jonnoble - J'avais peur que ce soit la réponse. C'est bien de l'avoir confirmé.

 

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Quand je veux configurer le routeur de CCP, j'obtiens l'erreur suivante :
«Le composant Sécurité a échoué. Pour travailler sur les fonctionnalités de routeur ou de sécurité, procédez comme suit. Aller au panneau de contrôle Java -> onglet Avancé -> Entrée de l'arborescence des plug-ins Java. Décochez la case Activer le plug-in Java de nouvelle génération. Relancez Cisco CP après cela.»

J'ai essayé de décocher le plug-in NGN Java mais je ne trouve pas l'option dans l'onglet avancé.

Pouvez-vous m'aider ?

* Voici la traduction d'un message créé à l'origine par jefreyoropesa en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Je vous demanderais d'essayer de publier ceci dans la section de "Discussions de Routage et Commutation" sous la rubrique Gestion du réseau (Network Management) pour obtenir une meilleure réponse:

Cordialement,
Aditya

J'ai été invité à suivre les instructions point par point pour le fractionnement (Split tunnel), mais je ne veux pas fractionner mon tunnel. Quelqu'un peut-il m'indiquer les étapes à suivre pour NE PAS fractionner le tunnel ?

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pourriez-vous, s'il vous plaît, développer cette exigence ?
Voulez-vous désactiver le tunnel Split ? Si oui, vous pouvez utiliser l'option TunnelAll.

Veuillez partager la configuration si possible et quel est le cas d'utilisation.

Losqu'on utilise TunnelAll, comment ce changement affecte-t-il l'instruction NAT ?

Essentiellement j'avais tout fonctionnant avec le tunnel fractionné (split tunnel). Lorsque je suis passé en mode TunnelAll, l'accès à Internet s'est perdu.

Je vous remercie.

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.