SSL VPN Smart Tunnel

Un smart tunnel es aquella conexión entre una aplicación TCP  y un sitio privado, usando una sesión de  clientless SSL (browser) teniendo el ASA como servidor proxy. Usted puede identificar que aplicaciones   quiere conceder el accesso por smart tunnel, especificando el trayecto local para cada aplicación. Para las aplicaciones que corren en Microsoft Windows, usted requiere cotejar el checksum del hash SHA-1 conceder para el accesso por smart tunnel.

Lotus SameTime y  Microsoft Outlook Express son ejemplos de las aplicaciones a las cuales usted puede conceder el accesso por smart tunnel.

Configurar  smart tunnels requiere alguno de los siguientes procedimientos, dependiendo  si la aplicación es un cliente o  una aplicación web:

Crear una o más listas de smart tunnel con las aplicaciones del cliente, después asignar la lista a las políticas del grupo o a las políticas del usuario local para las cuales usted quiere proporcionar el accesso por smart tunnel.

Crear una o más entradas de bookmarks que especifiquen los URL de las aplicaciones de Web elegibles para el accesso por smart tunnel, después asignar la lista a las políticas del acceso dinámico (Dynamic Access Policies o DAP),  políticas del grupo o las políticas de usuario locales para las cuales usted quiere proporcionar el accesso por smart tunnel.

Usted puede  listar aplicaciones web para que guarden las  credenciales de login en las conexiones por smart tunnel.

El host remoto que origina la conexión de smart tunnel debe funcionar con Microsoft Windows Vista, Windows XP, o el Windows 2000, y el explorador debe estar habilitado con Java, Microsoft ActiveX, o ambos. Soporte para Windows 7,  IE 8.0 y  MAC OSX 10.6.x con  Safari 4.x serán agregados a partir de la versión 8.3.

Veáse la  guía de configuración de smart tunnel para revisar  detalles en la configuración.

I. Capacidades de smart tunnel a partir de la Versión  8.2.x :

  • El smart tunnel es una  operación de todo o nada, esto significa que una vez que usted lo habilita para un proceso específico o para una dirección de Internet específica, todo su tráfico para ese proceso  pasará a través del ASA. 

Ejemplo: Cuando se habilita la opción de ST para un proceso o un bookmark#1. Si se abre otra sesión de IE, hará que todo el tráfico pase a través del túnel si la nueva ventana  pertenece al mismo proceso. Todo el tráfico pasará por el smart tunnel, incluso para  direcciones de  Internet (por ejemplo. bookmark#2 ) no especificadas. Usted debe utilizar navegador diferente (por ejemplo. FireFox), para que el  bookmark#2 no sea tuneleado.

Nota: La capacidad de split tunnel con Smart tunnel está disponible a partir de la versión 8.3.1.

  • El smart tunnel no requiere  privilegios de administrador para ser ejecutado. 
  • Se cierra el smart tunnel solamente cuando usted termina la sesión del portal del clientless SSL VPN. Éste  comportamiento aparece a partir de la versión 8.2.1.

A partir de la versión 8.3.1 en adelante con Windows, el smart tunnel es deshabilitado en todas las ventanas del navegador

Alternativamente, en 8.3.1 el administrador puede elegir el proporcionar un icono del logout de modo que la sesión quede abierta a pesar de cerrar las ventanas del navegador.

  • El navegador de Internet debe tener MS ActiveX (Internet Explorer) o Java (FireFox, IE u otros buscadores que trabajan con Java), o ambos habilitados. 
  • Intente instalar usando ActiveX primero, y después recurre a Java.
  • Piense en el Smart-Túnel como “redireccionador de puertos”, o thin-client. El smart tunnel utiliza aplicaciones o bookmarks para la configuración. Port forwarding utiliza los puertos para la configuración. 
  • Cuando el clientless SSL VPN (CTE) o el túnel de  AnyConnect no son opciones de implementación, el Smart-Tunnel debe ser considerado. 
  • A partir de las Versiones de ASA 8.1.2 y 8.0.4 y 8.2.x, solamente se soporta en Windows Win2000/XP/Vista de 32 bits y MAC OS 10.4 y 10.5. El smart tunnel será soportado en 64 bits de Windows (incluyendo Windows 7) y el MacOS X 10.6 en ASA 8.3.1

http://www/en/US/docs/security/asa/asa80/configuration/guide/webvpn.html#wp1096902

  • Los smart tunnels no soportan actualmente  aplicaciones .NET (CSCsv29942), esto se refiere al exe binario desarrollado por .NET. 
  • Native Microsoft Outlook se puede conectar vía  smart tunnels a partir de la Versión de ASA 8.4
  • A partir de la versión de Java JRE6 Update 10, el navegador habilitado con Smart tunnel se congela si se abre una página Web que contenga applets de java, y JRE6 Update 10 o superiores que estén instalados en la computadora del usuario. Si usted está utilizando JRE Update 10 o versiones superiores, usted necesita la versión 8.0.4 22  o superior. Para a la versión de ASA anterior a la 8.3, para hacer que los applets java sean funcionales en un Smart tunnel ir a Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels > Smart Tunnels, y agregar los procesos  a las listas del smart tunnel: 

program, java.exe, jp2launcher.exe

II. Capacidades del smart tunnel  introducidas en la Versión de ASA 8.3.x (versión beta en el 2009)

  • Agrega  soporte para Windows 64-bit (incluyendo windows 7) y en MacOS de 32 bits y 64-bit X 10.6
  • Termina la sesión de VPN SSL (al cerrar todos navegadores) o vía el ícono de Logout en el área de la barra de tareas/mensaje
  • Tunelización dividida (split-tunneling)
  • Estadísticas del Smart-tunel en el portal del clientless SSL VPN
Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎06-06-2011 07:45 AM
Actualizado por:
 
Etiquetas (1)