Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Nota Técnica do Troubleshooting dos sem clientes SSL VPN ASA (WebVPN)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento alista as técnicas de Troubleshooting dos sem clientes SSL VPN (WebVPN) adotadas para as versões ASA 7.1, 7.2, e 8.0. Há avanços significativos entre estas liberações que exigem técnicas de Troubleshooting variadas ser adotado.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Cisco 5500 Series ASA que executa a versão de software 7.1 ou mais alto.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Troubleshooting

A condição prévia para pesquisar defeitos as conexões de VPN dos sem clientes SSL (WebVPN) no ASA é ganhar a visibilidade na experiência do cliente através dos screenshots e o HTML captura ferramentas e para comparar então isto à mesma informação quando conectado diretamente ao URL/Application que está sendo alcançado.

Sem clientes da versão ASA 7.1/7.2

Esta seção descreve as técnicas de Troubleshooting para as versões ASA 7.1/7.2 e todos os temporários até, mas não incluindo, a liberação 8.0.

Nesta liberação se as funções complexas das Javas/Javascript têm a dificuldade, as outras opções (tais como a transmissão da porta do acesso de aplicativo ou o uso do proxy-desvio) puderam ser consideradas. Refira configurar o acesso de aplicativo e usar o desvio do proxy para obter mais informações sobre destas alternativas.

Na maioria de encenações, se a URL que está alcançada através dos sem clientes SSL VPN falha para o internet explorer, igualmente falhará para um outro navegador.

A fim assegurar-se de que isto não seja dependente do PC cliente ou do sistema operacional, use um outro cliente de um lugar diferente. O uso de um IPsec ou do cliente VPN SSL pode igualmente ser testado.

Assegure-se de que o ASA esteja incluído na zona confiada navegador como descrito em permitir Cookie em navegadores para o WebVPN e que os Cookie estão permitidos como descrito em permita Cookie.

Se o processo ainda falha, termine estas etapas a fim recolher a informação necessária, e abrir então um caso de TAC.

  1. Cancele o cache de navegador como descrito em cancelam o cache de navegador.

  2. Cancele o esconderijo das Javas como descrito em cancelam o esconderijo das Javas.

  3. Desabilite o esconderijo WebVPN no ASA como descrito em configurar pôr em esconderijo.

  4. Se um Java applet esta presente, use o nível de debug 5 no indicador do applet como descrito em permitem opções de debugging do Java applet.

  5. Log no ASA através dos sem clientes SSL VPN.

  6. Na URL apenas antes da URL problemática, permita uma ferramenta da captação HTML no navegador como descrito em permitem as ferramentas da captação HTML.

  7. Capture a sequência deste ponto à URL problemática.

  8. Pressione a tela Ctrl+Print em seu teclado a fim capturar um tiro de tela.

  9. Pare a ferramenta da captação HTML.

  10. Execute mesmas etapas 1 com 9 quando você conecta diretamente à URL através de um IPsec ou da sessão de VPN SSL com o ASA ou conecta diretamente no mesmo segmento LAN (se possível) e envia os dados ao TAC para a análise.

Sem clientes da versão ASA 8.0

Esta seção descreve as técnicas de Troubleshooting usadas para as versões ASA 8.0 e todos os temporários.

Nesta liberação se as URL complexas ou os aplicativos têm a dificuldade através dos sem clientes SSL VPN, as outras opções (tais como o uso de túneis espertos) são uma alternativa poderosa. Refira configurar o acesso esperto do túnel para obter mais informações sobre dos túneis espertos.

Você pôde igualmente considerar a transmissão da porta do acesso de aplicativo ou o uso do proxy-desvio. Refira configurar o acesso de aplicativo e usar o desvio do proxy para obter mais informações sobre destas alternativas.

Na maioria de encenações, se a URL que está alcançada através dos sem clientes SSL VPN falha para o internet explorer, igualmente falhará para um outro navegador.

A fim assegurar-se de que isto não seja dependente do PC cliente ou do sistema operacional, use um outro cliente de um lugar diferente. O uso de um IPsec ou do cliente VPN SSL pode igualmente ser testado.

Assegure-se de que o ASA esteja incluído na zona confiada navegador como descrito em permitir Cookie em navegadores para o WebVPN e que os Cookie estão permitidos como descrito em permita Cookie.

Se um aplicativo experimenta uma edição com o Content Transformation Engine dos sem clientes (CTE/rewriter), você pode alterar o endereço da Internet para esse aplicativo a fim permitir a opção esperta do túnel segundo as indicações desta imagem:

ssl_clientless_trouble_20.gif

Permitir esta opção para um endereço da Internet não exige a configuração adicional. Similar para mover a transmissão, esta é uma outra opção conveniente para clicar um endereço da Internet a fim abrir uma nova janela que use o túnel esperto para passar o tráfego de aplicativo e evitar edições da reescrita.

Quando você usar esta característica para aplicativos do Winsock 32 TCP (tais como o RDP), o administrador está exigido identificar o processo a ser utilizado através dos túneis espertos. Por exemplo, o RDP usa o processo mstsc.exe; uma entrada esperta simples do túnel pode ser criada para este processo.

Uns aplicativos mais complicados podem desovar processos múltiplos. De dentro da página portal WebVPN, escolha o painel de acesso de aplicativo. Assim que carregar, a lista de aplicativos permitidos pode conectar ao lado privado da rede.

Se o processo ainda falha, termine estas etapas a fim recolher a informação necessária, e abrir então um caso de TAC.

  1. Cancele o cache de navegador como descrito em cancelam o cache de navegador.

  2. Cancele o esconderijo das Javas como descrito em cancelam o esconderijo das Javas.

  3. Desabilite o esconderijo WebVPN no ASA como descrito em configurar pôr em esconderijo.

  4. Se um Java applet esta presente, use o nível de debug 5 no indicador do applet como descrito em permitem opções de debugging do Java applet.

  5. Log no ASA através dos sem clientes SSL VPN.

  6. Na URL apenas antes da URL problemática, permita uma ferramenta da captação HTML no navegador como descrito em permitem as ferramentas da captação HTML.

  7. Capture a sequência deste ponto à URL problemática.

  8. Pressione a tela Ctrl+Print em seu teclado a fim capturar um tiro de tela.

  9. Pare a ferramenta da captação HTML.

  10. Execute etapas 1 com 9 quando você conecta diretamente à URL através ou de um IPsec ou algum conecta a sessão de SSL com o ASA ou a conecta diretamente no mesmo segmento LAN (se possível), a termina estas etapas, e a envia os dados ao TAC para a análise

Procedimentos

Adicionar o ASA como uma site confiável

Quando você alcança o ASA no internet explorer, você receberá um erro do certificado se o local não é incluído como uma site confiável.

ssl_clientless_trouble_05.gif

Termine estas etapas a fim adicionar o ASA como uma site confiável:

  1. No explorador de Interent, escolha ferramentas > opções de internet.

  2. Clique a ABA de segurança, e escolha locais de Trused.

    ssl_clientless_trouble_06.gif

  3. Clique locais.

  4. Adicionar o endereço de https:// do ASA, e o clique adiciona.

    ssl_clientless_trouble_07.gif

  5. Uma vez que o local é adicionado, o ícone das sites confiável aparece na barra de status do internet explorer.

    ssl_clientless_trouble_08.gif

Nota: Refira o trabalho com configurações de segurança do internet explorer 6leavingcisco.com para informações detalhadas sobre deste procedimento.

Permita Cookie

Termine estas etapas a fim permitir Cookie:

  1. No internet explorer, escolha ferramentas > opções de internet.

  2. Clique a aba da privacidade, e clique então avançado.

    ssl_clientless_trouble_01.gif

  3. Na caixa de diálogo avançada dos ajustes da privacidade, verifique o Cookie automático da ultrapassagem que segura a caixa de verificação, clique o botão de rádio da aceitação, e clique a APROVAÇÃO.

    ssl_clientless_trouble_02.gif

Cancele o cache de navegador

Termine estas etapas a fim cancelar o esconderijo para o internet explorer:

  1. No internet explorer, escolha ferramentas > opções de internet.

    ssl_clientless_trouble_09.gif

  2. No tab geral, clique a supressão dentro da seção da história da consultação.

    ssl_clientless_trouble_10.gif

  3. Clique a supressão toda.

    ssl_clientless_trouble_11.gif

  4. Verifique igualmente os arquivos e os ajustes da supressão armazenados pela caixa de verificação adicionar-ONS, e clique-os sim.

  5. Uma vez que o esconderijo é cancelado, feche todos os exemplos do navegador, e reinicie o navegador.

Nota: A fim cancelar o esconderijo para outros navegadores, refira como I cancela o esconderijo do meu navegador (para melhorar seu desempenho)? leavingcisco.com

Cancele o esconderijo das Javas

Termine estas etapas a fim cancelar o esconderijo das Javas:

  1. Escolha o Control Panel do menu iniciar do Windows.

  2. Fazer duplo clique Javas.

    ssl_clientless_trouble_12.gif

  3. Clique ajustes.

  4. Clique arquivos da supressão.

    ssl_clientless_trouble_13.gif

Nota: Refira como I cancela meu esconderijo das Javas?leavingcisco.com para obter mais informações sobre deste procedimento.

Permita opções de debugging do Java applet

Termine estas etapas a fim permitir a opção de debugging do Java applet:

  1. Assegure as Javas 1.4 ou é permitido acima:

    1. Escolha o Control Panel do menu iniciar do Windows.

    2. Fazer duplo clique Javas.

    3. Clique aproximadamente, e verifique o número de versão.

    ssl_clientless_trouble_14.gif

    ssl_clientless_trouble_15.gif

    Nota: Você pode transferir atualizações das Javas de http://java.com/en/leavingcisco.com .

  2. Assegure-se de que a Java esteja configurada para permitir o seguimento, para mostrar o console, e para ajustar o Microsoft Internet explorer como o navegador padrão segundo as indicações desta imagem:

    ssl_clientless_trouble_16.gif

  3. Assegure-se de que o esconderijo das Javas esteja cancelado como descrito em cancele o esconderijo das Javas.

  4. No internet explorer, escolha ferramentas > console de Java a fim abrir as Javas debugam o indicador.

    ssl_clientless_trouble_19.gif

  5. Uma vez que o console de Java debuga o indicador está aberto, pressiona 5 a fim ajustar o nível de rastreamento

    Quando uma URL é alcançada que contenha um Java applet, a atividade é capturada neste indicador.

  6. Cópia do clique a fim copiar a informação.

Permita as ferramentas da captação HTML

Um número de ferramentas diferentes da captação HTML estão disponíveis aos acúmulos de dados, alguns de que foram alistados aqui. Instale uma destas ferramentas da captação HTML no PC cliente que é usado para é exercício do acúmulo de dados:

Nota: Este os procedimentos usam o aplicativo de HTTPWatch.

Uma vez que o aplicativo é instalado, termine estas etapas:

  1. Pressione Shift+P+F+2 ou clique o ícone na janela de navegador a fim permitir HTTPWatch.

    ssl_clientless_trouble_03.gif

  2. Uma vez que o aplicativo é permitido, um indicador aparece encaixado na parte inferior da janela de navegador similar a esta imagem:

    ssl_clientless_trouble_04.gif
  3. Dados de registro do registro do clique; parada do clique a fim parar de gravar.

Nota: Recomenda-se usar HttpWatch 7.x a fim gravar os dados.


Informações Relacionadas


Document ID: 104298