Autenticación de cliente Anyconnect con Access Control System (ACS) 5.4. Q&A

Con el experto: Osvaldo Gracía

 

En esta sesión se tratarán los temas de autentificación mediante el protocolo Radius, cliente de Anyconnect para permitir o denegar el acceso a usuarios de VPN asignando de manera dinamica el grupo al que cada usuario pertenece sin necesidad de que el usuario seleccione el mismo, además se verá como permitir o denegar el acceso administrativo a distintos usuarios hacia los equipos de red, y crear perfiles para cada uno de los roles de los empleados de forma que sólo sean permitidos los comandos de configuración o vista que debe utilizar en el trabajo día a día.

 

P: ­Bastante parecido a DHCP?­

R: ­DHCP se utiliza para asignar direcciones IP dentro de la red, el protocolo RADIUS también puede ayudar en la asignación, dependiendo en la autenticación.­

 

P: Es posible instalar el ACS en una máquina virtual?

R: Si, es posible. Sólo hay que tomar en cuenta que se requiere de una versión de VMWare ESX 5.0 o 5.1

 

P: Cuáles son las bases de datos externas soportadas por el ACS 5.5

R: - LDAP

- Active Directory (MS Windows server 2003, 2008, 2008 R2)

- RSA SecureID Token Server

- Radius Indentity server

 

P: ¿Cuáles son los posibles resultados para una autenticación tipo Radius?

R: Los resultados que obtienes después de una autenticación Radius es un Authorization Profile y dentro de este puedes encontrar atributos como un DACL

 

P: Qué información se puede obtener desde el “Monitor & Report Viewer”?

R: Dentro de la herramienta de ACS View se puede obtener información de autenticación, autorización para TACACS+ tanto como autenticación para Radius. Reportes de tendencias, herramientas de troubleshooting como Ping connectivity, support bundle.

 

P: ¿Al hacer una actualización de la versión del ACS se necesita comprar otra licencia?

R: No, al hacer una actualización no se necesita comprar otra licencia o reinstalar la licencia. Sin embargo, si por alguna razón necesitamos formatear el servidor para una nueva instalación se requerirá una licencia pero podemos utilizar la que se envió en primera instancia con el equipo

 

P: ¿Cuáles son algunos protocolos de autenticación soportados por el ACS?

R: -TACACS+

- Radius

 

P: ¿Se puede tener más de un servidor primario?

R: No, cuando el ACS trabaja en conjunto con otros servidores, sólo puede existir una unidad primaria, las demás unidad serían consideradas como secundarias y se puede tener hasta 21 unidades secundarias

 

P: ¿Qué son y para qué sirven los repositorios en al ACS?

R: Los repositorios son carpetas almacenadas en servidores de FTP y TFTP por ejemplo,  y pueden ser utilizados para almacenar respaldos tanto de configuración como de logs del ACS, así como instalar parches y realizar actualizaciones de versiones

 

P: ¿Qué tipo de usuario se necesita para comunicar el ACS con el Active Directory?

R: El usuario seleccionado debe de tener las siguientes capacidades:

- Agregar estaciones de trabajo a los usuarios de dominio dentro del dominio

- Crear o borrar permisos de los contenedores de los Computer Objects en donde la cuenta del ACS está creada

 

P: ¿Qué es un log collector?

R: El log collector es el servidor que almacena toda la información de los actividades tanto para Radius como para TACACS+.

Este log collector puede ser seleccionado por el usuario pero siempre se recomienda utilizar algún servidor secundario.

 

P: ­¿Cuál es la diferencia del ACS con el ISE?­

R: ­La principal diferencia entre el ACS y el ISE, es que el ISE realiza "posture validation", para permitir o denegar acceso a la red dependiendo en sistema operativo, software, etc. También tiene una función más granular para equipos móviles.­‑

 

P: ­¿Qué versión del ACS soporta Windows server 2012­?

R: ­A partir de la versión 5.4 patch 2 y 5.5 soportan Windows 2012 para Active Directory­

 

P: ­¿Se puede filtra por contenido el acceso de un usuario anyconnect: ejemplo: hacia uan URL en particular?­

R: ­Max, se puede integrar con WSA http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf­‑

 

P: ¿ACS 5.5 no soporta AD 2012­?

R: ­A partir de la versión 5.5 se soporta la versión de Windows 2012 y 2012 R2 para AD­

 

P: ­¿La aplicación para android AnyConnect, qué requisito debo cumplir para conectarme a la red de mi oficina?

R: Guía con los requisitos para Andriod Anyconnect. http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect30/release/notes/rn-ac3-0-android.html ; Puedes ver los requisitos del ASA y de licenciamiento­

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎12-12-2014 12:26 PM
Actualizado por:
 
Etiquetas (1)
Etiquetas (1)