SSL VPN Smart Tunnel

Um smart tunnel é uma conexão entre uma aplicação com base em TCP e um local privado, usando uma sessão SSL VPN clientless (com base em navegador) com ferramenta de segurança como o intermediário, e a ferramenta de segurança adaptável como um servidor proxy. Você pode identificar as aplicações a que você quer conceder o acesso smart tunnel, e especificar o caminho local a cada aplicação. Para as aplicações que são executados em Microsoft Windows, você pode igualmente exigir uma combinação de hash SHA-1 do checksum como uma condição para conceder o acesso ao smart tunnel.


Lotus SameTime e Microsoft Outlook Express são exemplos das aplicações a que você pôde querer conceder o acesso ao smart tunnel.


Configurar smart tunnels exige um dos seguintes procedimentos, dependendo se a aplicação é um cliente ou é uma aplicação habilitada para web:


Crie umas ou várias listas smart tunnel dos aplicativos clientes, a seguir atribua a lista às políticas do grupo ou às políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.


Crie umas ou várias entradas de lista de endereços da Internet que especificam as URL das aplicações habilitadas para web elegíveis para o acesso ao smart tunnel, a seguir atribua a lista às políticas do acesso dinâmico (DAPS) ou as políticas do grupo, ou políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.

Você pode também listar as aplicações habilitadas para web para que que automatizem a submissão de credenciais do início de uma sessão em conexões smart tunnel sobre sessões de SSL VPN clientless.


O host remoto que origina a conexão smart tunnel deve executar Microsoft Windows Vista, o Windows XP, ou o Windows 2000, e o navegador deve ter permissão para executar Java, Microsoft ActiveX, ou ambos. O suporte para Windows 7 e IE 8,0 e MAC OSX 10.6.x com safari 4.x será adicionado dentro na versão de release 8.3 (Beta ao final de 2009).a


Consulte por favor o guia de Configuração de smart tunnel para detalhes na instalação e na aplicabilidade.


I. Capacidades Smart Tunnel até a versão ASA 8.2.x:


  • O smart tunnel é uma operação tudo ou nada. Significando que uma vez que você o habilita sobre para um processo específico ou para um endereço da      Internet específico, todo seu tráfego para esse processo (e o navegador que você se usou para iniciar a sessão de SSL clientless) atravessarão o ASA.

Exemplo: Permita a opção ST para um processo ou dentro de bookmark#1 (que engancha o IE usado para iniciar a sessão). Abrindo uma outra instância do navegador IE criará um túnel para todo o tráfego com o ASA, se a nova janela do navegador pertence ao mesmo processo. Todo o tráfego das abas deste navegador será em smart tunnel, mesmo para aqueles endereços da Internet (exemplo um bookmark#2 ) em um smart tunnel não especificado. Você deve usar um navegador diferente (exemplo Firefox)  se você quiser algum tráfego não seja transmitido através de um smart tunnel.

Nota: a capacidade Smart-tunnel split-tunnelling estará disponível no major release 8.3.1 do ASA.

  • O smart tunnel não exige privilégios administrativos do usuário para ser executado.
  • O smart tunnel está desligado somente quando você faz logout para fora a página do portal do SSL VNP clientless. Este é o comportamento até a versão ASA 8.2.1.

De 8.3.1 adiante, em Windows, o smart tunnel será desligado de uma vez em todas as janelas de navegador

(nota: não somente abas, mas todas as janelas de navegador) foram fechados. Alternativamente, em 8.3.1 o admin pode escolher por fornecer um ícone de saída de modo que a sessão possa sobreviver fechando todos os navegadores quando o usuário puder ainda fazer logout através do ícone.

  • O navegador deve ter MS ActiveX (ambientes IE) ou Java (Firefox, ambientes IE ou outros navegadores que suportam Java), ou ambos permitidos.
  • Tenta instalar usando ActiveX primeiramente, e volta novamente ao Java.
  • Pense no Smart-Tunnel como um “port-forwarder especializado. O smart tunnel usa aplicações ou endereços da Internet da Web para a configuração. Port Forwarding usa portas para a configuração.
  • Quando os SSL VPN clientless do núcleo (CTE) ou o cliente de AnyConnect full-tunnel não são opções de implementação, o smart tunnel deve ser considerado.
  • Até as versões ASA 8.1.2 e 8.0.4 e 8.2.x, suportadas somente em Windows Win2000/XP/Vista de 32 bits e MAC OS 10,4 e 10,5. O smart tunnel será suportado no Windows 64 bits (que incluem Windows 7) e MacOS X 10.6 em ASA 8.3.1

http://www/en/US/docs/security/asa/asa80/configuration/guide/webvpn.html#wp1096902

  • Os smart tunnels não suportam atualmente as aplicações .NET (CSCsv29942) pela aplicação .NET. Nós realmente dizemos um binário “exe” que seja desenvolvido usando .NET. Nós não dizemos qualquer outra coisa, especialmente um serviço de Web desenvolvido com .NET.
  • O  Microsoft outlook nativo pode conectar através dos smart tunnels até a versão ASA 8.4
  • Começando com JRE6 update 10, Java começa diferentemente da prática  padrão. Conseqüentemente, o navegador com Smart-tunnel habilitado congela-se se abre um Web site que contém um Java applet, e o JRE6 update 10 ou mais recentes é instalado no computador do usuário. Se você está usando a atualização 10 do JRE ou mais recente, você precisa da versão da imagem 8.0.4 22 do ASA ou anterior. Para a versão ASA anterior a 8.3, para fazer Java applets funcionais em um navegador com smart tunnel habilitado, vá em Configurações > Acesso Remoto VPN > SSL VPN Clientless > Portal  > Smart Tunnels > Smart Tunnels, e adicione os seguintes processos à lista do smart tunnel:

program, java.exe, jp2launcher.exe


II. Capacidades do Smart Tunnel que estão sendo introduzidas na versão ASA 8.3.x

  • Adicionar o suporte para Windows 64-bit (que incluem Windows 7) e MacOS de 32 bits e 64-bit X 10.6
  • Logout da sessão de VPN SSL (ao fechar todos os tipos do navegador que iniciaram a sessão) ou através do ícone de saída na área da barra de tarefas/área de mensagens
  • Split-tunneling
  • Estatísticas para o Smart-tunnel no portal dos SSL VPN Clientless

Um smart tunnel é uma conexão entre uma aplicação com base em TCP e um local privado, usando uma sessão SSL VPN clientless (com base em navegador) com ferramenta de segurança como o intermediário, e a ferramenta de segurança adaptável como um servidor proxy. Você pode identificar as aplicações a que você quer conceder o acesso smart tunnel, e especificar o caminho local a cada aplicação. Para as aplicações que são executados em Microsoft Windows, você pode igualmente exigir uma combinação de hash SHA-1 do checksum como uma condição para conceder o acesso ao smart tunnel.

Lotus SameTime e Microsoft Outlook Express são exemplos das aplicações a que você pôde querer conceder o acesso ao smart tunnel.

Configurar smart tunnels exige um dos seguintes procedimentos, dependendo se a aplicação é um cliente ou é uma aplicação habilitada para web:

http://www.cisco.com/en/US/i/templates/blank.gifCrie umas ou várias listas smart tunnel dos aplicativos clientes, a seguir atribua a lista às políticas do grupo ou às políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.

http://www.cisco.com/en/US/i/templates/blank.gifCrie umas ou várias entradas de lista de endereços da Internet que especificam as URL das aplicações habilitadas para web elegíveis para o acesso ao smart tunnel, a seguir atribua a lista às políticas do acesso dinâmico (DAPS) ou as políticas do grupo, ou políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.

Você pode também listar as aplicações habilitadas para web para que que automatizem a submissão de credenciais do início de uma sessão em conexões smart tunnel sobre sessões de SSL VPN clientless.

O host remoto que origina a conexão smart tunnel deve executar Microsoft Windows Vista, o Windows XP, ou o Windows 2000, e o navegador deve ter permissão para executar Java, Microsoft ActiveX, ou ambos. O suporte para Windows 7 e IE 8,0 e MAC OSX 10.6.x com safari 4.x será adicionado dentro na versão de release 8.3 (Beta ao final de 2009).a

Consulte por favor o guia de Configuração de smart tunnel para detalhes na instalação e na aplicabilidade.

I. Capacidades Smart Tunnel até a versão ASA 8.2.x:

  • O      smart tunnel é uma operação tudo ou nada. Significando que uma vez que      você o habilita sobre para um processo específico ou para um endereço da      Internet específico, todo seu tráfego para esse processo (e o navegador      que você se usou para iniciar a sessão de SSL clientless) atravessarão o      ASA.

Exemplo: Permita a opção ST para um processo ou dentro de bookmark#1 (que engancha o IE usado para iniciar a sessão). Abrindo uma outra instância do navegador IE criará um túnel para todo o tráfego com o ASA, se a nova janela do navegador pertence ao mesmo processo. Todo o tráfego das abas deste navegador será em smart tunnel, mesmo para aqueles endereços da Internet (exemplo um bookmark#2 ) em um smart tunnel não especificado. Você deve usar um navegador diferente (exemplo Firefox)  se você quiser algum tráfego não seja transmitido através de um smart tunnel.

Nota: a capacidade Smart-tunnel split-tunnelling estará disponível no major release 8.3.1 do ASA.

  • O      smart tunnel não exige privilégios administrativos do usuário para ser      executado.
  • O      smart tunnel está desligado somente quando você faz logout para fora a      página do portal do SSL VNP clientless. Este é o comportamento até a      versão ASA 8.2.1.

De 8.3.1 adiante, em Windows, o smart tunnel será desligado de uma vez em todas as janelas de navegador

(nota: não somente abas, mas todas as janelas de navegador) foram fechados. Alternativamente, em 8.3.1 o admin pode escolher por fornecer um ícone de saída de modo que a sessão possa sobreviver fechando todos os navegadores quando o usuário puder ainda fazer logout através do ícone.

  • O      navegador deve ter MS ActiveX (ambientes IE) ou Java (Firefox, ambientes      IE ou outros navegadores que suportam Java), ou ambos permitidos.
  • Tenta      instalar usando ActiveX primeiramente, e volta novamente ao Java.
  • Pense      no Smart-Tunnel como um “port-forwarder especializado. O smart tunnel usa      aplicações ou endereços da Internet da Web para a configuração. Port      Forwarding usa portas para a configuração.
  • Quando      os SSL VPN clientless do núcleo (CTE) ou o cliente de AnyConnect      full-tunnel não são opções de implementação, o smart tunnel deve ser      considerado.
  • Até      as versões ASA 8.1.2 e 8.0.4 e 8.2.x, suportadas somente em Windows      Win2000/XP/Vista de 32 bits e MAC OS 10,4 e 10,5. O smart tunnel será      suportado no Windows 64 bits (que incluem Windows 7) e MacOS X 10.6 em ASA      8.3.1

http://www/en/US/docs/security/asa/asa80/configuration/guide/webvpn.html#wp1096902

  • Os      smart tunnels não apoiam atualmente as aplicações .NET (CSCsv29942) pela      aplicação .NET, nós realmente dizemos um binário “exe” que seja      desenvolvido usando .NET, nós não dizemos qualquer outra coisa,      especialmente não um serviço de Web desenvolvido com .NET
  • O      Microsoft outlook nativo pode conectar através dos smart tunnels até a      versão ASA 8.4
  • Começando      com JRE6 update 10, Java começa diferentemente da prática      padrão. Conseqüentemente, o navegador com Smart-tunnel habilitado      congela-se se abre um Web site que contém um Java applet, e o JRE6 update      10 ou mais recentes é instalado no computador do usuário. Se você está      usando a atualização 10 do JRE ou mais recente, você precisa da versão da      imagem 8.0.4 22 do ASA ou anterior. Para a versão ASA anterior a 8.3, para      fazer Java applets funcionais em um navegador com smart tunnel habilitado,      vá à Configurações > Acesso Remoto VPN > SSL VPN Clientless > Portal      > Smart Tunnels > Smart Tunnels, e adicione os seguintes processos à      lista do smart tunnel:

Um smart tunnel é uma conexão entre uma aplicação com base em TCP e um local privado, usando uma sessão SSL VPN clientless (com base em navegador) com ferramenta de segurança como o intermediário, e a ferramenta de segurança adaptável como um servidor proxy. Você pode identificar as aplicações a que você quer conceder o acesso smart tunnel, e especificar o caminho local a cada aplicação. Para as aplicações que são executados em Microsoft Windows, você pode igualmente exigir uma combinação de hash SHA-1 do checksum como uma condição para conceder o acesso ao smart tunnel.

Lotus SameTime e Microsoft Outlook Express são exemplos das aplicações a que você pôde querer conceder o acesso ao smart tunnel.

Configurar smart tunnels exige um dos seguintes procedimentos, dependendo se a aplicação é um cliente ou é uma aplicação habilitada para web:

http://www.cisco.com/en/US/i/templates/blank.gifCrie umas ou várias listas smart tunnel dos aplicativos clientes, a seguir atribua a lista às políticas do grupo ou às políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.

http://www.cisco.com/en/US/i/templates/blank.gifCrie umas ou várias entradas de lista de endereços da Internet que especificam as URL das aplicações habilitadas para web elegíveis para o acesso ao smart tunnel, a seguir atribua a lista às políticas do acesso dinâmico (DAPS) ou as políticas do grupo, ou políticas do usuário local para quem você quer fornecer o acesso ao smart tunnel.

Você pode também listar as aplicações habilitadas para web para que que automatizem a submissão de credenciais do início de uma sessão em conexões smart tunnel sobre sessões de SSL VPN clientless.

O host remoto que origina a conexão smart tunnel deve executar Microsoft Windows Vista, o Windows XP, ou o Windows 2000, e o navegador deve ter permissão para executar Java, Microsoft ActiveX, ou ambos. O suporte para Windows 7 e IE 8,0 e MAC OSX 10.6.x com safari 4.x será adicionado dentro na versão de release 8.3 (Beta ao final de 2009).a

Consulte por favor o guia de Configuração de smart tunnel para detalhes na instalação e na aplicabilidade.

I. Capacidades Smart Tunnel até a versão ASA 8.2.x:

  • O      smart tunnel é uma operação tudo ou nada. Significando que uma vez que      você o habilita sobre para um processo específico ou para um endereço da      Internet específico, todo seu tráfego para esse processo (e o navegador      que você se usou para iniciar a sessão de SSL clientless) atravessarão o      ASA.

Exemplo: Permita a opção ST para um processo ou dentro de bookmark#1 (que engancha o IE usado para iniciar a sessão). Abrindo uma outra instância do navegador IE criará um túnel para todo o tráfego com o ASA, se a nova janela do navegador pertence ao mesmo processo. Todo o tráfego das abas deste navegador será em smart tunnel, mesmo para aqueles endereços da Internet (exemplo um bookmark#2 ) em um smart tunnel não especificado. Você deve usar um navegador diferente (exemplo Firefox)  se você quiser algum tráfego não seja transmitido através de um smart tunnel.

Nota: a capacidade Smart-tunnel split-tunnelling estará disponível no major release 8.3.1 do ASA.

  • O      smart tunnel não exige privilégios administrativos do usuário para ser      executado.
  • O      smart tunnel está desligado somente quando você faz logout para fora a      página do portal do SSL VNP clientless. Este é o comportamento até a      versão ASA 8.2.1.

De 8.3.1 adiante, em Windows, o smart tunnel será desligado de uma vez em todas as janelas de navegador

(nota: não somente abas, mas todas as janelas de navegador) foram fechados. Alternativamente, em 8.3.1 o admin pode escolher por fornecer um ícone de saída de modo que a sessão possa sobreviver fechando todos os navegadores quando o usuário puder ainda fazer logout através do ícone.

  • O      navegador deve ter MS ActiveX (ambientes IE) ou Java (Firefox, ambientes      IE ou outros navegadores que suportam Java), ou ambos permitidos.
  • Tenta      instalar usando ActiveX primeiramente, e volta novamente ao Java.
  • Pense      no Smart-Tunnel como um “port-forwarder especializado. O smart tunnel usa      aplicações ou endereços da Internet da Web para a configuração. Port      Forwarding usa portas para a configuração.
  • Quando      os SSL VPN clientless do núcleo (CTE) ou o cliente de AnyConnect      full-tunnel não são opções de implementação, o smart tunnel deve ser      considerado.
  • Até      as versões ASA 8.1.2 e 8.0.4 e 8.2.x, suportadas somente em Windows      Win2000/XP/Vista de 32 bits e MAC OS 10,4 e 10,5. O smart tunnel será      suportado no Windows 64 bits (que incluem Windows 7) e MacOS X 10.6 em ASA      8.3.1

http://www/en/US/docs/security/asa/asa80/configuration/guide/webvpn.html#wp1096902

  • Os      smart tunnels não apoiam atualmente as aplicações .NET (CSCsv29942) pela      aplicação .NET, nós realmente dizemos um binário “exe” que seja      desenvolvido usando .NET, nós não dizemos qualquer outra coisa,      especialmente não um serviço de Web desenvolvido com .NET
  • O      Microsoft outlook nativo pode conectar através dos smart tunnels até a      versão ASA 8.4
  • Começando      com JRE6 update 10, Java começa diferentemente da prática      padrão. Conseqüentemente, o navegador com Smart-tunnel habilitado      congela-se se abre um Web site que contém um Java applet, e o JRE6 update      10 ou mais recentes é instalado no computador do usuário. Se você está      usando a atualização 10 do JRE ou mais recente, você precisa da versão da      imagem 8.0.4 22 do ASA ou anterior. Para a versão ASA anterior a 8.3, para      fazer Java applets funcionais em um navegador com smart tunnel habilitado,      vá à Configurações > Acesso Remoto VPN > SSL VPN Clientless > Portal      > Smart Tunnels > Smart Tunnels, e adicione os seguintes processos à      lista do smart tunnel:

program, java.exe, jp2launcher.exe

II. Capacidades do Smart Tunnel que estão sendo introduzidas na versão ASA 8.3.x

  • Adicionar      o suporte para Windows 64-bit (que incluem Windows 7) e MacOS de 32 bits e      64-bit X 10.6
  • Logout      da sessão de VPN SSL (ao fechar todos os tipos do navegador que iniciaram      a sessão) ou através do ícone de saída na área da barra de tarefas/área de      mensagens
  • Split-tunneling
  • Estatísticas      para o Smart-tunnel no portal dos SSL VPN Clientless

program, java.exe, jp2launcher.exe

II. Capacidades do Smart Tunnel que estão sendo introduzidas na versão ASA 8.3.x

  • Adicionar      o suporte para Windows 64-bit (que incluem Windows 7) e MacOS de 32 bits e      64-bit X 10.6
  • Logout      da sessão de VPN SSL (ao fechar todos os tipos do navegador que iniciaram      a sessão) ou através do ícone de saída na área da barra de tarefas/área de      mensagens
  • Split-tunneling
  • Estatísticas      para o Smart-tunnel no portal dos SSL VPN Clientless
Histórico de versão
Revisão #
1 de 1
Última actualização:
‎08-09-2011 10:04 AM
Actualizado por:
 
Etiquetas (1)