el 04-10-2024 09:15 PM - fecha de última edición 04-12-2024 03:45 PM por Jimena Saez
Presentación del webinar Community Live
Con la colaboración de Mirna Zertuche, Ulises Hernández y Carlens Joseph.
¿Cómo se llama la Autoridad Certificadora que firma directamente el certificado de identidad? ¿Qué archivos se necesitan para formar un archivo PKCS12? ¿En qué parte de la negociación de SSL se envían los certificados del servidor? No se quede con la duda y entérese en este webinar.
Garantizar la integridad de nuestros sistemas informáticos y la confidencialidad de los datos se ha convertido en una prioridad indiscutible. Esta sesión se enfocó en el uso de certificados digitales para validar la identidad de los usuarios y garantizar el acceso seguro a redes y servicios digitales. Esta técnica, esencial en el paradigma de la ciberseguridad, es un componente fundamental de un sistema más robusto y sofisticado, conocido como la Infraestructura de Claves Públicas (PKI). En nuestro encuentro, demostramos cómo la implementación de este método no solo refuerza la seguridad en el uso de VPN de Acceso Remoto, sino que también optimiza el proceso y asegura la utilización exclusiva de dispositivos autorizados. ¡Agradecemos haber contado con su asistencia!
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
Respuesta (Ulises H.): Es común utlizar un CA privado cuando usamos autentication de usuarios por certificados, ya que puede ser muy costoso usar un CA público para firmar los certificados de cada usuario.
Respuesta (Ulises H.): No tenemos una lista oficial para tramitar un certificado, debido a que dependiendo de las necesidades de cada red se generan los CSRs con parámetros específicos.
Respuesta (Ulises H.): Sí existe un servidor de autenticación definido en el perfil de conexión del FTD, la autenticación deberá ser configurada como "AAA Server".
Respuesta (Carlens J.): Con respeto a la pregunta de tacacs como método de autenticación para VPN, no está soportado en FTD.
Respuesta (Carlens J.): En ese caso, como el certificado de identidad fue firmado por certificado emisor (sub ca), con el hecho de que los dispositivos confían en la autoridad de la certificadora la cual firmó el certificado, con eso es suficiente: no es necesario tener el CA raíz.
Respuesta (Carlens J.): DART es una herramienta de AnyConnect para colectar todos los logs durante la conexión, es un módulo que se debe instalar en la computadora del usuario, se pueden ver los logs usando notepad, bloc notes, etc.
Respuesta (Carlens J.): La sesión de hoy es sobre VPN de Acceso Remoto, pero con respecto a tu pregunta puedes buscar en Google con palabras clave como "s2s vpn with dynamic peer cisco" o puedes buscar a uno de nosotros por Webex, y con mucho gusto te ayudaremos.
Respuesta (Carlens J.): Te refieres a usar tanto AAA+cert como método de autenticación? Si es esa la pregunta, la respuesta es sí, el servidor AAA no tiene que ser ISE; puede ser AD también.
Respuesta (Carlens J.): La recomendación sería renovar el certificado un día antes de su vencimiento por lo mínimo.
Respuesta (Mirna Z.): También es recomendable hacerlo con una anticipación de una semana para tener oportunidad de realizar pruebas y verificar que el nuevo certificado funciona adecuadamente.
Respuesta (Jimena S.): Esta pregunta fue respondida verbalemente. (ver al final del video)
Respuesta (Ulises H.): Hola Rúben, dentro del Group-Policy de cada perfil de conexión (tunnel-group), hay un parámetro que se llama "Simultaneous Logins", este parámetro te permite conectar múltiples usuarios de VPN usando las mismas credenciales (usuario/contraseña), por default, este valor es de 3, en la CLI del FTD, se ve así:
group-policy DfltGrpPolicy attributes
[...]
vpn-simultaneous-logins 3
Para la autenticación con certificados, sucede algo similar, moviendo este parámetro se pueden generar diversas sesiones de VPN utlizando el mismo certificado, por ende, mismo usuario (que se toma del valor de "CN" del certificado), sin embargo, por temas de control de usuarios y autorización (si se requiere), te recomendaría generar un certificado por usuario.
Respecto a los certificados wildcard, sucede algo similar, puedes usar el mismo certificado para varios usuarios pero no es muy recomendable, ya que dichos certificados son diseñados para "dominios" más que para "usuarios".
Respuesta (Ulises H.): Lo más recomendado es generar un certificado por usuario, sin embargo, ajustando el parámetro de vpn-simultaneous-logins dentro del Group-Policy, puedes generar varias sesiones de VPN utilizando el mismo certificado.
Respuesta (Jimena S.): Esta pregunta fue respondida verbalemente. (ver al final del video)
Opciones de respuesta: a) Certificado de la Autoridad Certificadora Emisora b) Certificado de la Autoridad Certificadora raíz c) Certificado de Identidad // Respuesta Correcta: a) Certificado de la Autoridad Certificadora Emisora
Opciones de respuesta: a) Debug crypto certificates b) Debug crypto webvpn c) Debug crypto ca // Respuesta Correcta: c) Debug crypto ca
Opciones de respuesta: a) Debugs en el FTD b) Capturas en Wireshark c) MMC de Windows // Respuesta Correcta: b) Capturas en Wireshark
Nuestros expertos
Mirna Zertuche se unió a Cisco en 2021 como Technical Consulting Engineer en el equipo de Security VPN. Su enfoque se ha centrado en proveer un servicio de excelencia a los clientes de Cisco alrededor del mundo. Ha participado en la creación de guías de documentación para uso público, enfocada en la tecnología de FlexVPN. Cuenta con la certificación de especialización para implementaciones de VPN por parte de Cisco.
Ulises Hernández es un ingeniero egresado de la Escuela Superior de Ingeniería Mecánica y Eléctrica (ESIME) unidad Culhuacán. Se unió a la CX-Academy de Cisco en 2019 y formó parte del equipo de Security-VPN como Technical Consulting Engineer en 2020. Actualmente tiene cuatro años de experiencia brindado soporte técnico de VPN, es el punto de escalación de las tecnologías de DMVPN y FlexVPN. Él ha colaborado en la creación de documentos para AnyConnect, DMVPN y Certificados, así mismo, ha dado entrenamientos de DMVPN y Certificados.
Carlens Joseph es un profesional graduado de la Universidad Tecnológica de Tecamachalco. Desde 2019, ha sido parte de la familia de Cisco como Ingeniero de Consultoría Técnica especializado en seguridad VPN. Su experiencia se refleja en la creación de guías de documentación pública, centradas en la tecnología de VPN de sitio a sitio. Con dos certificaciones CCIE escritas, demuestra su compromiso y habilidades en el campo de la seguridad informática.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad