cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Cisco Employee

Configuración y resolución de problemas para Clientes Remotos SSL VPN y IKEv2 en el ASA. Pregunte al Experto

 

     Con el experto de Cisco: Gustavo Medina

 

Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de la solución Cisco SSL, Clientless VPN (WebVPN) y Anyconnect (SSL y IKEv2) en el Cisco Adaptive Security Appliance (ASA).

 

Por favor use las estrellas para calificar las respuestas e indique si la respuesta que ha recibido es la corrrecta.

Puede ser que Gustavo no pueda responder cada una de las preguntas debido la cantidad  que  anticipamos  para este evento. Recuerde que usted puede preguntar o seguir haciendo  preguntas en la comunidad de Seguridad

Este evento estará disponible del lunes 1 al viernes 12 de Junio del 2015.

 

10 RESPUESTAS
New Member

Hola José, Me puedes decir

Hola José,

 

Me puedes decir ¿Qué características hacen de IKEv2 un protocolo de mayor seguridad que IKEv1?

 

Gracias y saludos

Charly Flores

Cisco Employee

Hola Charly, Te detallo en la

Hola Charly,

 

Te detallo en la siguiente tabla las principales diferencias entre IKEv1 y IKEv2, ademas agregué SSL que tambien es importante comparar.

 

IKEv1 IKEv2 SSL 
VentajasDesventajasVentajasDesventajasVentajasDesventajas
  • Una implementación bien conocida y operacional por mucho tiempo.
  • Ofrece muy buen desempeño.
  • Debido a la interpretacion abierta de las especificaciones de IKE, habian muchas diferentes implementaciones que resultaban con una incompatibilidad entre plataformas. 
  • Solamente opera en modo Full Client.
  • En ciertos lugares ESP puede estar bloqueado.
  • Diferentes compañias proveed su propia implementación de clientes IPsec.
  • Menos mensajes intercambiados comparado con IKEv1.
  • No mas Main Mode y Aggressive Mode.
  • Las politicas the IKEv2 son independientes del metodo de autenticacion; anteriormente se definia el metodo de autenticacion dentro de la politica.
  • Caracteristicas esenciales generalizadas: DPD,Deteccion de NAT, Protección ante DoS.
  • Los mensajes de informacion tienen que recibir un ACK. Esto soluciona problemas de sincronización que teníamos en IKEv1.
  • XAUTH como se conocia en IKEv1 (Fase 1.5) ahora se hace de una manera estándar con EAP.
  • Soporta autenticación asimétrica. Por ejemplo un lado utiliza pre-shared-key para autenticar y el otro lado usa certificados.
  • Falta de adopción.
  • Opera solo en mode Full Client.
  • En caso de IKEv2 puro no ofrece servicios como update de software automatico, distribucion del profile, chequeos de posture.
  • En ciertos lugares ESP puede estar bloqueado.
  • En la gran mayoria de lugares traffico outbound en HTTPS que tambien esta basado en SSL no esta bloqueado.
  • Implementacion unica, menos confusion y soporte entre plataformas mucho mas sencillo.
  • Puede trabajar en 3 modos:
  1. Clientless.
  2. Thin Client.
  3. Full Client.
  • Vulnerable a ataques; por ejemplo los mas recientes: POODLE y LOGJAM.

 

Es importante destacar que IKEv1 para clientes remotos solo estaba soportado en el antiguo Cisco VPN Client que ya esta EoL:

http://www.cisco.com/c/en/us/products/collateral/security/vpn-client/end_of_life_c51-680819.html

 

Anyconnect solamente soporta IKEv2 y SSL.

 

Saludos,

 

Gustavo

New Member

Muchas gracias José Gustavo,

Muchas gracias José Gustavo,

 

Aclaraste mi duda, excelente respuesta.

 

Saludos cordiales

Charly

New Member

en mi ASA tengo 250 Licencias

en mi ASA tengo 250 Licencias para Vpn Peers y 4 SSL Peers, al crear un vpn client Ikev2 consumo licencia SSL o VPN ? te digo esto por que efectivamente el Cisco vpn Client antiguo soporta hasta Windows 7 y tengo personas que están usando este tipo de VPN pero me gustaría poder reemplazarlas y usar la Ikev2 y conectarlas con Any Connect.

Cisco Employee

Hola Ruben, Las sesiones de

Hola Ruben,

 

Las sesiones de IKEv2 no son contabilizadas como "VPN Peers" como el antiguo IPsec VPN Client sino mas bien son contabilizadas como SSL o Anyconnect peers.

Para IKEv2 dependiendo de las necesidades se puede adquirir una licencia Premium o la licencia Essentials. Te dejo un link con las diferencias:

http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html

 

A partir de 4.0 cambiamos nuestro modelo de licencias para Anyconnect; Plus y Apex; mas detalles aqui:

http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/feature/guide/anyconnect40features.html#pgfId-63436

 

Saludos,

Gustavo

New Member

Buenas noches, yo tengo dos

Buenas noches, yo tengo dos capas de asa, la capa A (Inside) y B(outside), quiero saber en que capa de las dos debo hacer el VPN, quiero saber si despues que establezco al conexion via AnyConnect puedo abrir mi correo (Outlook), acceso a los servidores internos y demas, pues se me hace muy tedioso tener que establecer una conexion vpn, despues entrar via RDP a mi pc y de ahi entonces poder entrar a los demas equipos en la red, no se si me doy a entender, y por ultimo quisiera que me dieras un ejemplo o un pequeño manual para poder hacer un VPN con Anyconnect.

Me lo puedes enviar a sistemas005@scotiacrecer.com.do

 

muchas gracias.

Cisco Employee

Hola,Ya que en el inside es

Hola,

Ya que en el inside es donde están tus servidores el Anyconnect se configura en la interfaz outside para que usuarios externos puedan accesar la red desde su casa o cualquier lugar, en cualquier dispositivo, independientemente de la ubicación física. Debido a que soporta las plataformas móviles más populares, podes acceder de forma más segura a la red con tu dispositivo de elección, incluyendo computadoras portátiles, tabletas y teléfonos inteligentes, para que podas realizar tu trabajo de una manera altamente segura.

 

Una vez conectado la experiencia será igual a cuando estas dentro de tu red, accesando directamente a todos tus servidores sin necesidad de RDP a una computadora dentro de la red.

 

Te comparto varios ejemplos de configuración que dependen de las necesidades de tu red:

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html

 

Saludos,

 

Gustavo

New Member

Una consulta, en que puede

Una consulta, en que puede afectar tener una PC con infectada de virus o cualquier otro síntoma que hace un VPN client Ikev2. como entra en juego el ordenador final del usuario existe algún esquema requisitos por seguridad a la hr de establecerle a una pc un vpn client.

New Member

Buenas Jose, Te comento que

Buenas Jose,

 

Te comento que yo soy nuevo en este tema, y si bien es cierto todos o algunos nos hemos quedado con la duda al momento de configurar un ASA; porque el ASA no deja pasar el protocolo icmp entre segmentos o cuando se le aplica a una interfaz de este, acaso usa una declaracion de deny icmp?. Y,  en que casos se usan los comandos y/o en que se diferencian sus funciones?:

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface


Saludos.

Cisco Employee

Hola Josemed, Tengo un tunnel

Hola Josemed,

 

Tengo un tunnel entre sarchi y san sebas. Mi pregunta es si existe un tool en particular para migrar mas facilmente un tunnel que esta ikev1 a ikev2 en un ASA.

 

No va. Gracias

167
Visitas
25
ÚTIL
10
Respuestas
CrearPor favor para crear contenido