Segurança : Cisco IOS SSLVPN

Perguntas mais Frequentes sobre o SSL VPN Client

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (22 Julho 2008) | Feedback

Perguntas

Introdução
Suporte a Produtos
Instalação
Serviços
Mensagens de Erro
Diversos
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece informações sobre as perguntas mais frequentes relacionadas ao SSL VPN Client (SVC). O Cisco SVC fornece aos usuários finais que executam o Microsoft Windows XP ou Windows 2000 os benefícios de um Cisco IPsec VPN Client sem a sobrecarga administrativa necessária para instalar e configurar um cliente IPsec. O Cisco SVC oferece suporte a aplicativos e funções que não estão disponíveis em uma conexão WebVPN padrão.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Suporte a Produtos

P. O SSL VPN Client funciona com o Cisco ASA 5500 Adaptive Security Appliance?

R. O SSL VPN Client funciona no software versão 7.1 do Cisco ASA 5500 Adaptive Security Appliance.

P. O SSL VPN Client funciona com os roteadores IOS® ou Cisco 6500/7600?

R. O SSL VPN Client funciona nos Cisco 870, 1800, 2800, 3700, 3800, 7200 e 7301 Routers que executam imagens de segurança avançadas do Cisco IOS Software Release 12.4(6)T. Para obter mais informações sobre o IOS WebVPN, consulte Recursos do Cisco IOS WebVPN. O módulo de serviços Cisco WebVPN oferece suporte ao SSL VPN Client no Cisco 6500/7600.

P. Que release de software é necessário no Cisco VPN 3000 Concentrator para oferecer suporte ao Cisco SSL VPN Client?

R. Os Cisco VPN 3000 Concentrators com Software Release 4.7 ou posterior oferecem suporte ao SSL VPN Client Software Release 1.0.1 ou posterior.

Nota: Para o Cisco SSL VPN Client Release 1.0.2, os Cisco VPN 3000 Concentrators executam Software Release 4.7.2 ou posterior. O Cisco SSL VPN Client Release 1.0.2 não funciona com VPN 3000 Concentrators que executam um release de software anterior ao 4.7.2.

Se for necessário atualizar o VPN 3000 Concentrator para o Software Release 4.7.2, consulte a seção Upgrade para o Release 4.7.2 das Release Notes do Cisco VPN 3000 Series Concentrator, Release 4.7.2.

Instalação

P. O que devo fazer para instalar um Cisco SSL VPN Client no Cisco VPN 3000 Concentrator?

R. Execute estes passos para instalar um Cisco SSL VPN Client no VPN 3000 Concentrator:

Nota: Antes de iniciar o download, certifique-se de que seu desktop possa acessar o Cisco VPN 3000 Concentrator.

  1. Baixe o arquivo do SSL Client sslclient-win*.pkg para seu desktop. Prossiga para o passo 2 se o VPN 3000 Concentrator não executar o Software Release 4.7.2. Vá diretamente para o passo 3 se o VPN 3000 Concentrator executar o Software Release 4.7.2 .
  2. Atualize o VPN 3000 Concentrator para o Software Release 4.7.2. Consulte a seção Upgrade para o Release 4.7.2 das Release Notes do Cisco VPN 3000 Series Concentrator, Release 4.7.2.
  3. No VPN Concentrator, selecione Configuration > Tunneling and Security > WebVPN > Cisco SSL VPN Client e clique em Install a new SVC.
  4. Clique em Browse e vá para o diretório em que você baixou o software do SSL VPN Client.
  5. Clique em Apply para baixar o SSL VPN Client para o VPN 3000 Concentrator.

    Nota: O SSL VPN Client é previamente carregado no Cisco VPN 3000 Concentrator Release 4.7.

P. O SVC e o CSD oferecem suporte ao Windows 2000 e XP em chinês?

R. Não.

P. A instalação do SVC funciona com o MSJVM?

R. Sim, embora a Microsoft leavingcisco.com não ofereça suporte a ele desde 31 de dezembro de 2007. Na realidade, ele não pode ser mais baixado do site da Microsoft na Web: o usuário é direcionado para clientes Java alternativos (Sun JVM).

P. O SVC Client oferece suporte ao Windows 98?

R. Não há planos de oferecer suporte ao Windows 98 com este SVC. O Windows 98 existe há mais de 7 anos e está praticamente no ponto de fim da vida útil estabelecido pela Microsoft. Somente o Windows 2000 e o XP são aceitos porque são os únicos sistemas operacionais Windows que permitem a instalação de um driver de rede sem que seja necessário reinicializar o computador.

P. Como faço para impedir que o SSL VPN Client tente se instalar no PC toda vez que conecto ao WebVPN?

R. Marque a opção KEEP THE CISCO SSL VPN CLIENT na estação de trabalho do SSL VPN Client. Na próxima vez que você tentar fazer login com o SSL VPN Client, ele consultará o VPN Concentrator para garantir que a versão que ele possui seja a mesma do VPN Concentrator e também que ela seja a mais recente.

Para fazer isso, escolha Configuration > User Management > Base Group, Group and/or User parameters e, em seguida, WebVPN: Keep Cisco SSL VPN Client.

P. Como posso instalar o SVC no modo silencioso e desinstalá-lo do sistema cliente?

R. Para instalar o SVC sem exibir prompt algum, use a chave STCIE.EXE /NODLGNOERROR (/? para obter ajuda). Para desinstalar, use uninstall invisible.

P. O Install Enabler pode ser desinstalado por um usuário sem privilégios?

R. Não, privilégios de administrador são necessários para a instalação e a desinstalação.

P. O pré-instalador STCIE.EXE parece instalar somente o serviço “STCAgent”. – Ele também instala o LSP “Cisco Systems SSL VPN Adapter”?

R. O objetivo é instalar o mínimo necessário para o restante da instalação continuar e manter o tamanho do download de arquivo o menor possível, e não instalar o pacote inteiro.

P. Qual é o processo de instalação do SVC? Ele pode ser empacotado com o SMS da Microsoft?

R. O STCIE é um Install Enabler. Ele não instala o driver. Ele instala apenas código suficiente para proporcionar o aumento de privilégios necessário para a conclusão da instalação. Na discussão abaixo, o problema não é resolvido com o Install Enabler porque o problema é que o download e a execução do arquivo temporário são bloqueados pela política de CSA usada.

Além disso, o arquivo svcxxx.zip pode ser descompactado em qualquer caminho para colocar o executável STCIE.EXE em qualquer caminho escolhido pelo usuário. O arquivo STCIE.EXE não instala o pacote SVC inteiro. Ele instala apenas componentes suficientes que serão capazes de baixar e instalar o SVC inteiro quando o usuário se conectar ao SG na próxima vez (com privilégios de administrador). O STCIE.EXE também é conhecido como "Installation Enabler". O caminho de instalação do SVC faz parte do código e não pode ser configurado. Talvez um caminho de instalação configurável não seja um bom recurso do SVC. Além disso, o caminho "C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8" é um diretório temporário do SVC que é adquirido do sistema operacional e não é visível para o usuário. No caso de problemas com esse armazenamento temporário, trata-se de uma questão de configuração do sistema operacional. Para obter mais informações, consulte Perguntas mais Frequentes do SSL VPN.

P. Há suporte a Radius com expiração e ao MS IAS no SSL VPN Client?

R. Não, o SSL VPN não oferece suporte ao RADIUS com expiração. O suporte a esse recurso está disponível somente no ASA, e não há planos de disponibilizar esse recurso para os sistemas 3K atuais.

P. O SVC pode coexistir com o Nortel Client?

R. O teste do Nortel Client versão 4.65 com o SVC funcionou perfeitamente.

Serviços

P. Que tipos de lista de controle de acesso (ACLs) são aceitas no SSL VPN Client?

R. O SSL VPN Client oferece suporte a ACLs do tipo IP, mas não ACLs do WebVPN. É possível filtrar o tráfego do SSL VPN Client ao escolher Filters na guia General Group. O procedimento é semelhante ao do software VPN Client.

P. Posso atribuir endereços IP via DHCP a dispositivos enquanto uso o SSL VPN Client?

R. Sim, ao usar o SSL VPN Client, você pode obter endereços IP de um servidor DHCP ou de um pool local de endereços criado no VPN 3000 Concentrator.

P. O SSL VPN Client funciona bem, mas ele resolve nomes de DNS?

R. Se você configurou o VPN Client ou o cliente PPTP para usar o mesmo grupo que o do SSL VPN Client, verifique o IPSec foi habilitado no grupo ao qual o cliente se conecta. Fazer isso resolve o problema de DNS.

P. É possível implementar o controle de computadores remotos com SVC, mesmo quando o tunelamento dividido está habilitado?

R. O RDP descarta a conexão por padrão. Nenhum outro aplicativo de "controle remoto" foi testado.

Mensagens de Erro

P. O SSL VPN Client falha ao iniciar no Windows Vista com Internet Explorer 7 e o usuário recebe a mensagem de erro Installer is downloading Active x....Installer was not able to start SSL VPN client.....

R. Causa:

O erro acontece porque o SSL VPN Client (SVC) não consegue iniciar uma conexão.

Isso ocorre devido aos problemas de instalação/download do ActiveX no Windows Vista com Microsoft Internet Explorer 7. O Windows Vista é fornecido com o Internet Explorer 7, o qual possui um modelo inteiramente novo de tratamento do ActiveX. Além das diferenças no ActiveX, a pilha de rede foi escrita novamente e a tabela de roteamento é diferente. Há alguns outros aspectos que também podem afetar o cliente.

Resolução:

No momento, o SVC não é compatível ou aceito no Windows Vista com o navegador Internet Explorer 7.

A opção é usar plataformas com suporte, como o Windows XP com Internet Explorer 7.

P. Por que os usuários protegidos por um Microsoft Proxy recebem o erro "None of the authentication protocols offered by the proxy server are supported" ao se conectarem ao VPN Concentrator via SSL VPN Client?

R. Essa mensagem de erro normalmente significa que o servidor proxy está configurado para usar um mecanismo de autenticação que não é aceito pelo SSL VPN Client. No momento, o NT LAN Manager (NTLM) e o Basic são os únicos protocolos aceitos pelo SSL VPN Client. Use sempre o NTLM ao usar o servidor proxy.

Diversos

P. É possível executar um script de login do Windows quando a conexão é feita via SSL VPN Client?

R. Isso não é possível com o SSL VPN Client porque, no momento, não há equivalente a START BEFORE LOGIN.

P. Posso usar uma lista de servidores de autenticação ao usar o SSL VPN Client?

R. Sim, se o primeiro servidor da lista não puder ser acessado, o próximo servidor da lista será usado.

P. Como posso evitar avisos de certificado do SVC no Concentrator?

R. Distribua a raiz confiável do Concentrator e importe o certificado do Concentrator de uma raiz confiável de renome.

P. A nova geração de chaves SSL é mais leve que o IPSec?

R. A nova geração de chaves SSL não necessita de criptografia RSA ou operação de DH. O segredo mestre que foi usado no handshake inicial é combinado a novos dados aleatórios do servidor e do cliente para gerar novas chaves. Observe que, na nova geração de chaves SSL, todos os handshakes são criptografados com SSL.

P. Se o ActiveX e o Java estiverem desabilitados, não poderei instalar o SVC com o meu navegador. Devo obter o executável STCIE.EXE?

R. Se o Active X e o Java não forem detectados no PC cliente, o usuário será direcionado para a página do portal do WebVPN somente se a opção "Require Cisco SSL VPN Client" sob os parâmetros do WebVPN para o grupo de interesse não estiver marcada. Se a opção estiver marcada, o redirecionamento não ocorrerá. Não há opção de baixar e instalar pacotes do SSL VPN Client.

Nota: Um arquivo sslclient-win-1.0.0.x.zip que contém um pacote de pré-instalação do serviço SVC Agent (com privilégios de administrador) em um PC cliente está disponível. Esse procedimento de instalação é detalhado nas release notes. Uma vez instalado, ele permite que o pacote completo do SSL VPN Client seja baixado e instalado enquanto no modo não administrativo com o mecanismo de download do ActiveX/Java, o qual precisa ser habilitado no PC cliente.

P. Que privilégios são necessários no IE para permitir o funcionamento do ActiveX?

R. Quando uma conta de convidado "Guest" é criada em um PC cliente, é importante determinar a qual grupo ela é associada. Clique com o botão direito do mouse em My Computer e selecione Manage > Local users and Groups > Users > Selecione um usuário. Clique duas vezes para determinar a qual grupo esse usuário pertence. A lista inclui Administrators, Power Users e Users. O grupo Users não permite que o ActiveX funcione, mas os outros sim.

P. Se eu desejar que os usuários estabeleçam um túnel SSL VPN em um “Computador corporativo”, há algo que possa ser feito para verificar a plataforma antes que a VPN seja estabelecida ou mesmo antes da autenticação?

R. Sim, o Cisco Secure Desktop usa o Registro, arquivo/hash ou certificado digital para que isso seja feito.

P. Como a negociação SSLv3/TLSv1 funciona?

R. As políticas de negociação e aceitação de certificado do SSLv3/TLSv1 são a implementação "padrão" da Microsoft. Em outras palavras, o SSLv3/TLSv1 usa o arquivo Microsoft SChannel.dll interno e o tratamento do certificado é a implementação "padrão" do navegador como parte do armazenamento de certificados do IE. Ou seja, o método de negociação e tratamento de certificado do SSL não é diferente do comportamento "padrão da Microsoft".

P. Quando o heartbeat configurável foi implementado no SVC e no 3K?

R. Estes DDTSs abordam as alterações necessárias no SSL VPN Client quando operam por trás de um NetCache Proxy Server e foram implementados no SVC Release 1.0.1.116 liberado para o CCO em 30 de junho de 2005. O CSCsb08657 SVC falha ao transmitir dados quando está por trás de um dispositivo de NAT ou passa por um servidor proxy. As CSCsb01423 SVC Intermittent Terminations falham ao transmitir dados quando estão por trás de um NetCache Proxy Server CSCsa97704. Um "heartbeat" configurável é necessário para manter a conexão de proxy aberta. As alterações comparáveis necessárias para o headend VPN3000 foram incorporadas no built 4.7.1. inicial 19 e lançadas como parte do release 4.7.2 para o CCO em 21 de junho de 205. Se o release 4.7.2. (ou posterior) for usado, será necessário atualizar a versão do SVC para 1.0.1.116 ou posterior. Para o CSCei01721, um heartbeat configurável é necessário para manter ativa a conexão de proxy do SVC.

P. Quando o suporte ao proxy automático foi adicionado ao SVC?

R. Ele foi adicionado como parte do DDTS CSCsd05126 no release 1.1.0.x.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 67909