el - fecha de última edición por
Jimena Saez
Presentación del webinar Community Live
Con la colaboración de Mirna Zertuche, Ulises Hernández y Carlens Joseph.
¿Cómo se llama la Autoridad Certificadora que firma directamente el certificado de identidad? ¿Qué archivos se necesitan para formar un archivo PKCS12? ¿En qué parte de la negociación de SSL se envían los certificados del servidor? No se quede con la duda y entérese en este webinar.
Garantizar la integridad de nuestros sistemas informáticos y la confidencialidad de los datos se ha convertido en una prioridad indiscutible. Esta sesión se enfocó en el uso de certificados digitales para validar la identidad de los usuarios y garantizar el acceso seguro a redes y servicios digitales. Esta técnica, esencial en el paradigma de la ciberseguridad, es un componente fundamental de un sistema más robusto y sofisticado, conocido como la Infraestructura de Claves Públicas (PKI). En nuestro encuentro, demostramos cómo la implementación de este método no solo refuerza la seguridad en el uso de VPN de Acceso Remoto, sino que también optimiza el proceso y asegura la utilización exclusiva de dispositivos autorizados. ¡Agradecemos haber contado con su asistencia!
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
- Pregunta: En qué escenarios se usa la Certificacion Privada? – Andrés A. (min.13)
- Pregunta: Existe una lista recomendada por Cisco para el trámite de Certificados? – José Carlos C. (min.20)
- Pregunta: En caso que la autenticación la haga a través de tacacs, alISE habría que agregarle ese certificado? – Andrés A. (min.26)
- Pregunta: Cómo hacen la PC y el FTD para confiar en el certificado de identidad, solo con el certificado emisor y sin el certificado raíz? – Andrés C. (min.48)
- Pregunta: Cómo se puede acceder a la consola DART? – Rubén B. (min.55)
- Pregunta: Si quiero armar una vpn S2S donde de un lado tengo IP fija y del otro lado asignación x dhcp, qué documentacion pudiera seguir? – Anderson S. (min.57)
- Pregunta: ¿Es posible habilitar autenticación por usuario desde un A.D + autenticación por certificado de usuario en FTD sin usar ISE ? – José A. (min.60)
- Pregunta: ¿Qué consideraciones y/o recomendaciones podrías dar para una renovación de los certificados en el FDT/FMC que están a punto de caducar? Ya que una vez que caduca el certificado el usuario estaría imposibilitado para autenticarse. – Carlos ...
- Pregunta: Cuál es la diferencia entre un certificado de cliente y un certificado de servidor en una conexión VPN y cómo afecta esto a la seguridad de la conexión? – Alexandre. (min.88)
- Pregunta: Los certificados clientes son individuales o por equipo? Qué diferencia hay entre tener un certificados wildcard de la empresa. – Rubén B. (min.94)
- Pregunta: Los certificados cliente es uno para todos? – Rubén B. (min.95)
- Pregunta del Chat: Con el wireshark igual se puede monitorear VPN ipsec? – Bernardo V. (min.58)
- Pregunta PQ#1: ¿Cuál de los siguientes certificados se debe instalar en el FTD para que pueda autenticar los certificados de los usuarios?
- Pregunta PQ#2: ¿Qué “debug” podemos utilizar para resolución de problemas de certificados?
- Pregunta PQ#3: ¿Cuál de las siguientes herramientas nos ayudan a ver que certificados se están mandando durante la negociación?
Pregunta: En qué escenarios se usa la Certificacion Privada? – Andrés A. (min.13)
Respuesta (Ulises H.): Es común utlizar un CA privado cuando usamos autentication de usuarios por certificados, ya que puede ser muy costoso usar un CA público para firmar los certificados de cada usuario.
Pregunta: Existe una lista recomendada por Cisco para el trámite de Certificados? – José Carlos C. (min.20)
Respuesta (Ulises H.): No tenemos una lista oficial para tramitar un certificado, debido a que dependiendo de las necesidades de cada red se generan los CSRs con parámetros específicos.
Pregunta: En caso que la autenticación la haga a través de tacacs, al ISE habría que agregarle ese certificado? – Andrés A. (min.26)
Respuesta (Ulises H.): Sí existe un servidor de autenticación definido en el perfil de conexión del FTD, la autenticación deberá ser configurada como "AAA Server".
Respuesta (Carlens J.): Con respeto a la pregunta de tacacs como método de autenticación para VPN, no está soportado en FTD.
Pregunta: Cómo hacen la PC y el FTD para confiar en el certificado de identidad, solo con el certificado emisor y sin el certificado raíz? – Andrés C. (min.48)
Respuesta (Carlens J.): En ese caso, como el certificado de identidad fue firmado por certificado emisor (sub ca), con el hecho de que los dispositivos confían en la autoridad de la certificadora la cual firmó el certificado, con eso es suficiente: no es necesario tener el CA raíz.
Pregunta: Cómo se puede acceder a la consola DART? – Rubén B. (min.55)
Respuesta (Carlens J.): DART es una herramienta de AnyConnect para colectar todos los logs durante la conexión, es un módulo que se debe instalar en la computadora del usuario, se pueden ver los logs usando notepad, bloc notes, etc.
Pregunta: Si quiero armar una vpn S2S donde de un lado tengo IP fija y del otro lado asignación x dhcp, qué documentacion pudiera seguir? – Anderson S. (min.57)
Respuesta (Carlens J.): La sesión de hoy es sobre VPN de Acceso Remoto, pero con respecto a tu pregunta puedes buscar en Google con palabras clave como "s2s vpn with dynamic peer cisco" o puedes buscar a uno de nosotros por Webex, y con mucho gusto te ayudaremos.
Pregunta: ¿Es posible habilitar autenticación por usuario desde un A.D + autenticación por certificado de usuario en FTD sin usar ISE ? – José A. (min.60)
Respuesta (Carlens J.): Te refieres a usar tanto AAA+cert como método de autenticación? Si es esa la pregunta, la respuesta es sí, el servidor AAA no tiene que ser ISE; puede ser AD también.
Pregunta: ¿Qué consideraciones y/o recomendaciones podrías dar para una renovación de los certificados en el FDT/FMC que están a punto de caducar? Ya que una vez que caduca el certificado el usuario estaría imposibilitado para autenticarse. – Carlos Alberto R. (min.61)
Respuesta (Carlens J.): La recomendación sería renovar el certificado un día antes de su vencimiento por lo mínimo.
Respuesta (Mirna Z.): También es recomendable hacerlo con una anticipación de una semana para tener oportunidad de realizar pruebas y verificar que el nuevo certificado funciona adecuadamente.
Pregunta: Cuál es la diferencia entre un certificado de cliente y un certificado de servidor en una conexión VPN y cómo afecta esto a la seguridad de la conexión? – Alexandre. (min.88)
Respuesta (Jimena S.): Esta pregunta fue respondida verbalemente. (ver al final del video)
Pregunta: Los certificados clientes son individuales o por equipo? Qué diferencia hay entre tener un certificados wildcard de la empresa. – Rubén B. (min.94)
Respuesta (Ulises H.): Hola Rúben, dentro del Group-Policy de cada perfil de conexión (tunnel-group), hay un parámetro que se llama "Simultaneous Logins", este parámetro te permite conectar múltiples usuarios de VPN usando las mismas credenciales (usuario/contraseña), por default, este valor es de 3, en la CLI del FTD, se ve así:
group-policy DfltGrpPolicy attributes
[...]
vpn-simultaneous-logins 3
Para la autenticación con certificados, sucede algo similar, moviendo este parámetro se pueden generar diversas sesiones de VPN utlizando el mismo certificado, por ende, mismo usuario (que se toma del valor de "CN" del certificado), sin embargo, por temas de control de usuarios y autorización (si se requiere), te recomendaría generar un certificado por usuario.
Respecto a los certificados wildcard, sucede algo similar, puedes usar el mismo certificado para varios usuarios pero no es muy recomendable, ya que dichos certificados son diseñados para "dominios" más que para "usuarios".
Pregunta: Los certificados cliente es uno para todos? – Rubén B. (min.95)
Respuesta (Ulises H.): Lo más recomendado es generar un certificado por usuario, sin embargo, ajustando el parámetro de vpn-simultaneous-logins dentro del Group-Policy, puedes generar varias sesiones de VPN utilizando el mismo certificado.
Pregunta del Chat: Con el wireshark igual se puede monitorear VPN ipsec? – Bernardo V. (min.58)
Respuesta (Jimena S.): Esta pregunta fue respondida verbalemente. (ver al final del video)
Pregunta PQ#1: ¿Cuál de los siguientes certificados se debe instalar en el FTD para que pueda autenticar los certificados de los usuarios?
Opciones de respuesta: a) Certificado de la Autoridad Certificadora Emisora b) Certificado de la Autoridad Certificadora raíz c) Certificado de Identidad // Respuesta Correcta: a) Certificado de la Autoridad Certificadora Emisora
Pregunta PQ#2: ¿Qué “debug” podemos utilizar para resolución de problemas de certificados?
Opciones de respuesta: a) Debug crypto certificates b) Debug crypto webvpn c) Debug crypto ca // Respuesta Correcta: c) Debug crypto ca
Pregunta PQ#3: ¿Cuál de las siguientes herramientas nos ayudan a ver que certificados se están mandando durante la negociación?
Opciones de respuesta: a) Debugs en el FTD b) Capturas en Wireshark c) MMC de Windows // Respuesta Correcta: b) Capturas en Wireshark
Nuestros expertos
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.