ASA 8.x: Acceso VPN con AnyConnect VPN Client usando el certificado Self-signed. Configuración y resolución de problemas. Q&A de la sesión en vivo

Introducción


Lea la biografía

Alexandro Carrasquedo es ingeniero veterano de soporte del equipo de High Touch Engineer (HTE) de Cisco Latinoamérica, especializado en tecnologías de Seguridad y Data Center. Alexandro cuenta con más de 7 años de experiencia en el campo. Alexandro estudió Ingeniería en Sistemas Computacionales en el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe,  tiene las siguientes certificaciones: 4011 Recognition, 4013 Recognition, CCNA, CCDA, CCSP, Cisco IPS Specialist, Cisco Data Center Application Services Support Specialist, Cisco Data Center Application Services Design Specialist, Cisco Data Center Storage Networking Support Specialist, Cisco Data Center Storage Networking Design Specialist, CCIE Security # 22040, VMware Technical Sales Professional, VMware Sales Professional, VMware Certified Professional 4 # 82148, VMware Business Continuity Sales Accreditation 4, VMware Business Continuity Technical Post-Sales Accreditation: Managing Availability using vSphere 4, VMware Infrastructure Virtualization Technical Post-Sales Accreditation: Assessment Fundamentals, VMware Infrastructure Virtualization Sales Accreditation 4, VMware Desktop Virtualization Sales Accreditation 4, ITIL v3 Foundations y EMC² Information Storage Associate.

Ricardo Prado y Alejandro Rodríguez fueron los expertos que estuvieron ayudando a Alexandro a contestar algunas preguntas que se hiceron durante la sesión en vivo.

P. ¿La solución de Anyconnect es similar a la de OpenVPN? Ambas se basan en SSL,  ¿es correcta mi apreciacion?

R. Sí, varian en los features que soportan pero la esencia es la misma. SSL es el canal seguro que maneja, el estándar y el protocolo que usan es el mismo.

P. ¿Qué es más recomendable IPSEC a travéz de IKEv2 o SSL?

R. Una de las ventajas es que Any Connect puede correr a través de IKEv2 y IPSEC con IKEv2 da más seguridad y más movilidad. Ambos son muy semejantes, entonces puede ser que nuestros usuarios no están autorizados a descargar software y el Any Connect es un software descargable y necesiten una imagen específica por la cual el VPN client de Cisco VPN Client sea la opción o irse a Any Connect. Mi sugerencia es irse a Any Connect ya que es a donde más atención le estamos dando en Cisco y más desarrollo va a haber. Puede ser que el Cisco VPN Client de IPSEC quede un poco atrás entonces por el desarrollo y los features que se les puede agregar por lo que la sugerencia es que usen Any Connect.

P. ¿CWS es como tener un IronPort en la nube?

R. Correcto, sí

P. ¿Con qué version de IOS podemos usar todas las caracterisicas de Any Connect?

R. Hay versiones como la 8.04 es la primera versión donde se introdujo el Any Connect. Ahora si se quiere tomar ventaja de todas los features que se tienen actualmente sería irse a la última, tomando en cuenta que puede ser que la última no sea la adecuada para su empresa pero en cuanto más actual sea la versión más features podrá soportar.

P. ¿Es obligatorio usar ASDM para configurar el AnyConnect, o hay otras maneras?

R. Hay forma de hacerlo por línea de comando, es un poco laborioso y se nos pueden ir algunos detalles, es por eso que se sugiere usar ASDM. Hay muchas cosas buenas y algunas cosas malas de usar ASDM como puede ser por ejemplo una lista de acceso de la excepción de NAT, el ASDM va a tener muchas líneas. A lo mejor nosotros queremos hacer un grupo pequeño y el ASDM nos va a hacer trabajar mucho. Entonces se puede hacer con línea de comandos pero mi sugerencia es hacerlo con el ASDM y ciertas modificaciones con Any Connect y para la parte de troubleshooting meterse a la línea de comandos.

P. Si quiero usar AnyConnect con IPSec, IKEv2, requiero de certificados? ¿Puedo seguir usando "preshared key" como con IKEv1?

R. Si es IPSec se puede usar "preshared key" o certificados, si es SSL se necesita un certificado.

P. ¿Cuál es la licencia que se requiere en el ASA para usar Any Connect en Android? ¿hay demo para esta licencia?

R. La licencia es Mobility que es la que les muestro en la presentación y no sé si hay demo.

P. Si lo usuarios se conectan a la VPN autenticando a través de un Active Directory y la contraseña ha caducado ¿es posible que el sistema le informe del cambio del clave y que la pueda realizar opr anyconnect?

R. Si se tiene Active Directoy sí se puede usar password age pero si y sólo si se tiene Active Directory, el ASA no puede hacer cambios en el password.

P. ¿El ejemplo de configuracion para el anyconnect para iPhones se aplica tambien para Smartphones Android?

R. Sí, es lo mismo. Se basan en lo mismo y la aplicación lo bajan de la tienda de Apple o de Android y es la misma configuración en el ASA.

P. Mencionaron que el ASA podria controlar el trafico a Internet de los clientes, en caso de que se realice esto, ¿se pude controlar el ancho de banda hacia internet para los clientes por el enlace de salida que se configure en el ASA?

R. Sí, mediante QoS se podría administrar esto

P.  Tengo un ASA con VPN Phone y al conectarme con AnyConnect client presenta tanto la opción de VPN Group de AnyConnect como la opción de Grupo de VPN Phone ¿Hay una manera de  evitar que la opción de grupo VPN Phone se le presente a clientes de AnyConnect?

R. Podría ser con un lock en el grupo

P. El feature de AnyConnect on-demand sólo puede ser usado si el Cisco ASA maneja un certificado?

R. Correcto, si porque se debe de presentar ese certificado a la interfaz. Entonces si no se presenta el certificado SSL a la interfaz donde llegan los clientes no habrá una manera de autentificar la identidad de los clientes y pues no se podrá llevar a cabo la comunicación.

P.  ¿Con cisco anyconnect puedo tener conecciones VPN a una pool de varios servidores? de manera similar al Cisco VPN Client

R.  Uno podría llegar a diferentes IP's que sean nustros servidores de Any Connect sin ningún problema y eso equivaldría al VPN Client como los perfiles.

P.  ¿El cliente Cisco VPN ya dejó de ser soportado? ¿Ahora sólo podemos usar ahora el AnyConnect?

R.  El cliente de IPSEC clásico todavía está soportado, pero eventualmente todo se moverá hacia Anyconnect que es en donde se están desarrollando más aplicaciones. Anyconnect también soporta IPSEC a través de IKEv2.  

P.  ¿Ocupamos un certificado SSL en el ASA para la conexión?

R. Así es. Puedes usar un certificado generado localmente como lo veremos en el Webcast o bien un certificado obtenido de un organismo público como Verisign o Entrust.   

P.  Por lo que entiendi ¿entonces AnyConnect no es solamente SSL?

R. Es correcto AnyConnect puede funcionar como DTLS  y TLS, te envio una pagina para habilitar esta opción  http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect20/administrative/guide/admin5.html#wp999810  

P.  ¿Tambien lo puedo utilizar como cliente para vpn IPSec con IKEV2?

R.  Así es. Anyconnect también soporta la opción de usar IKEv2.  

P.  ¿El cliente escoge si conectarse con TLS o DTLS?

R. Como ya mencionó Alex el tipo de conexión que se utilizará es definido en el Server, te envío una página que explica la configuración via ASDM    http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect20/administrative/guide/admin5.html#wp999810  

P.  ¿Qué hace la opcion de TELEMETRY?

R.  La opción de TELEMETRY se usa en conjunto con el aplicativo Cisco IronPort Web Security Appliance. La intención es obtener retroalimentación confidencial desde los usuarios finales para la infraestructura de filtrado Web y  mejorar el nivel de seguridad.  

P. Todos los features que vamos a ver en esta presentación aplican sólo para AnyConnect de ASAs o también para el AnyConnect de los routers  con licencia de seguridad?

R.  Los ejemplos son específicos para la configuración en ASA, sin embargo los routers trabajan más o menos de la misma manera aunque la configuración varía un poco.  

P. ¿La solución de Anyconnect es similar a la de OpenVPN? Entiendo que ambos se basan en SSL, ¿es correcta esta apreciación?

R. Es correcta tu apreciacion.  el OpenVPN es una aplicacion Open source de SSL, el aplicativo de Cisco es el AnyConnect  

P.  ¿Podemos ver cómo se configura desde linea de comandos?

R. , para esta presentación solo mostramos la configuración por ASDM ya que es más sencilla. El siguiente link muestra un ejemplo de configuración por CLI:L http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00808efbd2.sh  

P.  ¿Qué tipo de Certificado SSL debo de adquirir para que se pueda utilizar con ASA+AnyConnect?

R.  En certificados hay de dos tipos: Certificados digital de identidad (identity) que se usa para autenticar sesiones de IPSEC y certificados de encripción para SSL. Este último es el tipo de certificado que se requiere para Anyconnect y se asigna la interfaz  

P. ¿Es obligatorio usar ASDM para configurar el AnyConnect, o hay otras maneras?

R. . Es posible configurar esta opción a través de la línea de comandos también, sin embargo, es más sencillo y amigable hacerlo a través de ASDM. Este link muestra la configuración por CLI: http://www.cisco.com/en/US/products/ps6120/products_confi  

P.  Este wizard funciona en MAC, Linux y Windows para el instalador del cliente?

R.  El wizard es general, la versión que tienes que bajar de Anyconnect es la que varía para cada sistema operativo del cliente. Si tienes todos estos sistemas operativos hay que asegurarse de bajar el software adecuado.  

P.  Para las ACL descargables, ¿Cuál protocolo se debe de utilizar. TACACS o RADIUS   ?

R. RADIUS sera la opcion adecuada, te envio una guia de configuracion con ACS 5.x    http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080bb1929.shtml  

P.  ¿El password management sólo es soportado en clientless?

R.  La autenticación de usuarios es soportada en clientless, anyconnect y cliente IPSEC. Dependiendo de la configuración se puede tener el control en el ASA mismo o bien a través de un servidor externo a través de Radius o Tacacs.  

P.  ¿Qué pasa si tengo conexión correcta con el AnyConnect pero no puedo navegar?

R. , lo que puedes hacer es verificar desde el ASA si estamos enviando y recibiendo trafico de ese cliente en especifico, si en el ASA recibes trafico y no le respondes es posible que sea un problema de ruteo o NAT,    si el cliente no recibe el trafico sera necesario verificar el firewall personal, tambien puedes obtener capturas de sniffer tanto en el cliente como en el ASA para poder identicar el origen de la falla    

P. ¿Son caras las licencias para Anyconnect?

R. Desafortunadamente no tengo esa informacion.  Lo mejor sera que te acerques con tu account team para que ellos te puedan dar el valor de las licencias

P.  Para que pase la voz a través de la VPN ¿es necesario activar alguna función adicional?

R.  No. La voz digitalizada se maneja como datos nada más. Posiblemente requieras agregar QoS para el tráfico encriptado pero eso es externo a la configuración de Anyconnect.  

P.  ¿Cuáles son las configuraciones adecuadas para el Anyconnect para iPhone?

R.  El siguiente documento muestra un ejemplo para IPhone/IPAD:   https://supportforums.cisco.com/docs/DOC-27800  

P.  ¿Cuál es la configuración adecuada para sistemas Android?

R. , te envio un par de paginas con informacion para sistemas Android  http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect25/android-user/guide/android-acug.html http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect24/release/notes/rn-ac2.4-android.html  

P. Yo tengo un servicio de AnyConnect contra un ASA que no controlo, y cuando se conecta a la red privada del ASA, pierdo total control de mi red interna(sin acceso a internet y a mis recursos de red), hay alguna manera de corregir esto?

R.  Lo más seguro es que el ASA está configurado para encriptar todo tu tráfico. La única opción es que en el ASA se configure la opción de Split-tunneling que Alex mencionará en unos momentos más.  

P.  ¿Se puede conectar AnyConnect a través de Remote Desktop? 

R. Deberia de poderse, sólo hay que tener cuidado con la el tráfico que se va a cifrar, ya que si en cifra todo el trafico es posible que pierdas conectividad con el RemoteDesktop  

P.  Tengo un ASA5510 version 7.2.5 con VPNs IPSec lan-to-lan y dynamic con vpn client. ¿Puedo implementar VPNs Anyconnect en este ASA en paralelo con las VPNS ya existentes? ¿A qué version de ASA me necesito mover?

R. El AnyConnect si puede ser configurado en la version 7.2 y no deberia tener problemas con túneles ya existentes, ambos pueden trabajar simultáneamente 

P. Habría alguna vulvenrabilidad de seguridad para la red interna del ASA?

R.  Ninguna. Por el contrario, la opción de split-tunneling nos ayuda a restringir qué tráfico se encripta y se entrega a la red interna del ASA. De esta manera, tráfico que no se requiere del lado del ASA ni siquiera es mandado a través de la sesión de SSL.  

P. En el documento de configuración del iPhone dice que el ASA deberá estar corriendo la versión 8.4.x, no funciona con la 8.3?

R.  Anyconnect está soportado en versión 8.X. Lo único que debes tomar en cuenta es la versión del cliente de Anyconnect que se utiliza en el equipo móvil y tener la licencia para equipos móviles  http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect24/ios4.2-user/guide/iphone-ugac-ios4.2.html  

P.  Es posible aunticar un servidor con el ASA por el AnyConnect y dependiendo del certificado que tenga el servidor me asigne a un tunnelgroup especifico?

R. , podrias utilizar EKU Extensions for Certificate Mapping, esta informacion la encuentras en esta tabla

P.  ¿Se puede configurar el split tunneling por medio del ASDM?

R.  Sí. Puedes ver un ejemplo en este link: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080975e83.shtml  

P. En caso de que se configure el AnyConnect, con la opcion de IPSec VPN, el problema de la falta de internet se podria presentar?, se puede corregir?

R.  Sí, el funcionamiento y configuración de la sesión de IPsec es similar y puede presentar el mismo problema si no se configura split-tunneling de la manera adecuada.  

P. Hay forma de especificar al AnyConnect Client para que que se conecte automáticamene al dar boot (que este siempre conectado siempre que exista conectividad IP hacia al ASA)?

R. Puedes utilizar Start before logon, esta es la guia de configuración http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml  

P.  Cuando llego a la Red interna no se logra acceder via nombre de algun servidor pero si llego por IP

R.  Hay que asegurarse que el cliente de Anyconnect se le está entregando la IP del DNS interno de manera correcta así como el dominio correcto (si es que se usa un domain) y que dicho servidor sepa como contestar o comunicarse con la pool de Anyconnect.  

P. ¿ Cómo se configura el Split Tunneling en el ASDM?

R.  Aquí hay un ejemplo de split-tunneling a través de ASDM: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080975e83.shtml  

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎03-14-2013 04:09 PM
Actualizado por:
 
Etiquetas (1)
Comentarios
New Member

Hola Alejandro,

Me podras ayudar con una gran duda que tengo.

Que archivo debo modificar para lograr conectar el Cisco AnyConnect Secure Mobility con IPSec.

Modifique los archivos preferences.xml y AnyConnect Profile.xsd pero no logro conectar el servicio de VPN.

Crees que me puedas apoyar con tu experiencia.

El cliente que utilizo es Cisco AnyConnect Secure Mobility Client 3.1.05152

Espero tus comentarios o guia

Atentos saludos

 

New Member

Buen dia, Alex

Me podrías auxiliar por favor, ya he configurado el Split-tunneling tal cual lo indicas en el ejemplo, pero al conectarme a AnyConnect, sigo perdiendo el internet, tendré que agregar algo adicional, tengo un ASA 5506.

Quedo atento a tus comentarios,