Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Sem clientes SSLVPN ASA: Edições do encaixe RDP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento dá respostas a algumas perguntas mais frequentes sobre o encaixe do protocolo do Desktop remoto (RDP), disponível aos usuários adaptáveis do secure sockets layer VPN dos sem clientes da ferramenta de segurança de Cisco (ASA) (SSLVPN).

O encaixe RDP é somente um dos encaixes disponíveis aos usuários, junto com outro tal como o Shell Seguro (ssh), o Virtual Network Computing (VNC), e o Citrix. O encaixe RDP é um mais frequentemente dos encaixes usados nesta coleção. Este documento fornece mais detalhes sobre o desenvolvimento e pesquisa defeitos procedimentos para este encaixe.

Nota: Este documento não fornece a informação sobre como configurar o encaixe RDP. Para a informação adicional, refira o guia da distribuição VPN de Cisco ASA 5500 SSL, versão 8.x.

Contribuído por engenheiros de TAC da Cisco.

Informações de Apoio

O encaixe RDP evoluiu de um encaixe com base em Java puro RDP, para incluir ambo o cliente de ActiveX RDP (internet explorer), assim como o cliente das Javas (navegadores do explorador do NON-Internet).  

Plug-in de Java

O cliente das Javas RDP utiliza o applet apropriado das Javas RDP. O Java applet é envolvido então dentro de um encaixe que permita a instalação dentro do portal dos sem clientes ASA.  

Encaixe ativo-x

O encaixe RDP igualmente inclui o cliente de Microsoft ActiveX RDP, e o encaixe determina se usar as Javas ou o cliente de ActiveX baseadas no navegador. Ou seja:

  • Se os usuários do internet explorer (IE) tentam usar o RDP através de um portal dos sem clientes SSLVPN, e o endereço da Internet URL não contém o argumento de ForceJava=true, a seguir o cliente de ActiveX está usado. Se ActiveX não executa, o encaixe inicia o cliente das Javas.
  • Se os usuários NON-IE tentam lançar um endereço da Internet RDP ou uma URL, simplesmente o cliente das Javas está lançado.

Para obter mais informações sobre das exigências para privilégios RDP ActiveX e USER, proveja as exigências de Microsoft para o artigo da conexão da Web do Desktop remoto.

A imagem seguinte ilustra os três links que podem ser selecionados dentro da janela de navegador depois que o encaixe é lançado:

  1. Página portal nova - Este link abre a página portal em uma janela de navegador nova.
  2. Tela cheia - Isto usa o indicador RDP no modo da tela cheia.
  3. Reconecte com as Javas - Isto força o encaixe para reconectar e usar Javas em vez de ActiveX.


 

Encaixe RDP 

Uso do encaixe RDP e RDP-2

  • Encaixe RDP: Este é o encaixe original criado que contém as Javas e o cliente de ActiveX.
  • Encaixe RDP2: Devido às mudanças dentro do protocolo RDP, o cliente apropriado das Javas RDP foi atualizado a fim apoiar Microsoft Windows 2003 servidores terminal e servidores terminal de Windows Vista.

Dica: O encaixe o mais atrasado RDP combina os protocolos RDP e RDP2. Em consequência o encaixe RDP2 é Obsoleto. Recomenda-se utilizar a versão mais-recente do encaixe RDP. As nomenclaturas de encaixe RDP seguem esta estrutura: rdp-plugin.yymmdd.jar, onde o JJ é um formato de dois dígitos do ano, milímetro é um formato do two-digitmonth, e o dd é um formato two-digitday.

A fim transferir o encaixe, visite a página da transferência de software Cisco.

 

 

ActiveX contra o posicionamento do cliente das Javas 

RDP-ActiveX

  • Usos IE somente
  • Fornece o apoio para o som enviado 

RDP-Javas

  • Trabalha em todos os navegadores suportados que Java-são permitidos.
  • O cliente das Javas está lançado no IE somente se ActiveX não se lança, ou o argumento de ForceJava=true passa no endereço da Internet RDP.
  • A aplicação das RDP-Javas é baseada no projeto apropriado das Javas RDP, uma iniciativa da aberta; o apoio do melhor esforço é fornecido para o aplicativo. 

Formato do endereço da Internet RDP

Está aqui um formato de exemplo de um endereço da Internet RDP:

rdp://server:port/?Parameter1=value&Parameter2=value&Parameter3=value

Estão aqui algumas observações importantes sobre o formato:

  • server - Este é o único atributo requerido. Dê entrada com o nome do computador que hospeda os serviços terminal de Microsoft.
  • porta (opcional) - Este é o endereço virtual dentro do computador remoto que hospeda os serviços terminal de Microsoft. O valor padrão, 3389, combina o número de porta bem conhecido para serviços terminal de Microsoft.
  • parâmetros - Esta é uma corda opcional da pergunta que consista em pares do valor de parâmetro. Os demarks de um ponto de interrogação o começo da corda do argumento, e cada par do valor de parâmetro são separados por um ampersand.

    Está aqui uma lista de parâmetros disponíveis:

    • geometria - Este é o tamanho da tela de cliente nos pixéis (W x H).
    • bpp - Este é o bit-por-pixel (profundidade de cor), 8|16|24|32.
    • domínio - Este é o domínio do início de uma sessão.
    • username - Este é o username para o início de uma sessão.
    • senha - Esta é a senha de login. Use a senha com cuidado, porque é usada no lado do cliente e pode ser observada.
    • console - Isto é usado a fim conectar à sessão de console no server (sim/não).
    • ForceJava - Ajuste este parâmetro ao yes a fim usar somente o cliente das Javas. A configuração padrão é não.
    • shell - Ajuste este parâmetro ao trajeto do executável/aplicativo que está começado automaticamente quando você conecta com o RDP (rdp://server/?shell=path, por exemplo).

    Está aqui uma lista de parâmetros adicionais de ActiveX-somente:

    • RedirectDrives - Ajuste este parâmetro para retificar a fim traçar localmente movimentações remotas.
    • RedirectPrinters - Ajuste este parâmetro para retificar a fim traçar localmente impressoras remotas.
    • FullScreen - Ajuste este parâmetro para retificar a fim lançar-se no modo FullScreen.
    • ForceJava - Ajuste este parâmetro ao yes a fim forçar o cliente das Javas.
    • o áudio este parâmetro é usado para a transmissão audio sobre a sessão RDP:

      • 0 - Reorienta sons remotos ao computador de cliente.
      • 1 - Joga sons no computador remoto.
      • 2 - Desabilita a reorientação sadia; não joga sons no servidor remoto. 

Encaixe RDP e função de balanceamento de carga VPN

a função de balanceamento de carga da Multi-geografia é apoiada com uso do Domain Name Server (DNS) - Server Load Balancing global baseado. Devido ao resultado DNS que põe em esconderijo diferenças, os encaixes puderam operar-se diferentemente através dos sistemas operacionais variados. O esconderijo de Windows DNS permitir que o encaixe resolva o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT quando ele lauches o Java applet. No OS X de Macintosh (MAC), é possível para o Java applet resolver um endereço IP de Um ou Mais Servidores Cisco ICM NT diferente. Em consequência, o encaixe não se lança corretamente.

Um exemplo do arredondamento robin DNS é quando você tem uma única URL (https://www.example.com) onde a entrada de DNS para www.example.com possa resolver 192.0.2.10 (ASA1) ou 198.51.100.50 (ASA2).

Após os log de usuário no portal Sem clientes-WebVPN através de um navegador em ASA1, o initiaition do encaixe RDP é possível. Durante a iniciação do cliente das Javas, os computadores de MAC OS X executam um pedido novo da resolução de DNS. Com uma Configuração de DNS do arredondamento robin, há uma possibilidade de 50% que esta segunda resposta da definição retorna o mesmo local que foi escolhido para a conexão VPN da Web inicial. Se a resposta do servidor DNS é 198.51.100.50 (ASA2) um pouco do que 192.0.2.10 (ASA1), o cliente das Javas inicia uma conexão ao ASA errado (ASA2). Porque a sessão do usuário não existe no ASA2, o pedido de conexão é rejeitado.

Isto pôde conduzir às mensagens de erro de java similares a esta:

java.lang.ClassFormatError: Incompatible magic value 1008813135 in
 class file net/propero/rdp/applet/RdpApplet
 

Perguntas freqüentes 

Por que alguns caráteres datilografados não aparecem na sessão remota RDP?

O computador remoto na sessão RDP pôde ter um ajuste diferente da região do teclado do que o computador local. Devido a esta diferença, o computador remoto não pôde indicar determinados caráteres ou caracteres incorreto datilografados. Este comportamento é considerado com somente com o plug-in de Java. A fim resolver este problema, use o atributo do keymap a fim traçar o keymap local no PC remoto.

Por exemplo, a fim ajustar um mapeamento alemão do teclado, uso: 

rdp://<IP Address of the server>/?keymap=de

The following keymaps are available:
---------------------------------------------------------------------
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---------------------------------------------------------------------

Problemas conhecidos com mapeamentos do teclado

  • Identificação de bug Cisco CSCth38454 - Keymap húngaro do implementar para o encaixe RDP.
  • Identificação de bug Cisco CSCsu77600 - As chaves de encaixe do indicador WebVPN RDP estão incorretas. Desloque o .jar (chave).
  • Identificação de bug Cisco CSCtt04614 - WebVPN - Diacríticos do teclado ES controlados incorretamente pelo RDP de encaixe.
  • Identificação de bug Cisco CSCtb07767 - ASA de encaixe - Configurar parâmetros padrão.

Dica: Uma outra alternativa possível é usar um túnel esperto do aplicativo para mstsc.exe. Isto é configurado sob o modo da secundário-configuração WebVPN com este comando:  indicadores da plataforma de RDP_List RDP mstsc.exe da lista do Smart-túnel. 

Podem as sessões de encaixe da tela cheia RDP do apoio das Javas RDP?

Atualmente, não há nenhum suporte nativo para sessões da tela cheia RDP. A requisição de aprimoramento CSCto87451 foi arquivada a fim executar esta. Se o parâmetro da geometria (geometria =1024x768, por exemplo) é ajustado à definição do monitor do usuário, opera-se no modo da tela cheia. Porque os tamanhos da tela do usuário variam, pôde ser necessário criar os links múltiplos do endereço da Internet. O cliente de ActiveX apoia nativamente sessões da tela cheia RDP.  

Pode o cliente das Javas comunicar-se com o uso do AES-256 para a criptografia?

A fim permitir que o cliente das Javas negocie o SSL corretamente, ajuste a ordem do cifra-grupo ASA SSL para combinar isto:

Enabled cipher order: aes256-sha1 rc4-sha1 aes128-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 null-sha1

O cliente das Javas pôde indicar este erro se a ordem do cifra-grupo é diferente:

[Thread-12] INFO net.propero.rdp.Rdp - javax.net.ssl.SSLHandshakeException:
 Received fatal alert: handshake_failure 

Pesquise defeitos edições RDP 

Se você experimenta outras edições com o encaixe RDP, pôde ser útil recolher estes dados a fim pesquisar defeitos edições RDP:

  • A tecnologia da mostra output do ASA
  • A saída detalhada de encaixe do webvpn da importação da mostra do ASA
  • O sistema operacional e o correção de programa-nível do computador do usuário
  • O sistema operacional e o correção de programa-nível do computador de destino
  • O cliente que é usado (ActiveX ou Javas) e versão JRE das Javas
  • Determine se o ASA está em um conjunto do balanceamento de carga, DNS-baseado, ou ASA-baseado

Caveats conhecidos 

Edições da atualização da Segurança de Microsoft

  1. KB2695962 - Recomendação de Segurança de Microsoft: Rollup da atualização para bit da matança de ActiveX: 8 de maio, 2012. 
  2. KB2675157 - MS12-023: Atualização de segurança cumulativa para Internet explorer: abril 10, 2012.
  3. cisco-sa-20120314-asaclient - Do controle activex adaptável dos sem clientes VPN da ferramenta de segurança do 5500 Series de Cisco ASA vulnerabilidade remota março 14o da execução de código.
  4. Identificação de bug Cisco CSCtx68075 - ASA WebVPN que quebra quando a correção de programa KB2585542 de Windows for aplicada (8.2.5.29/8.4.3.9).
  5. KB2585542 - MS12-006: Descrição da atualização da Segurança para Webio, Winhttp, e schannel em Windows: janeiro 10, 2012. 

Cliente de ActiveX

  • Sintomas: O cliente de ActiveX não carrega das versões 6 à 9 IE após uma elevação à versão de OS 8.4.3 ASA.

    • Refira a identificação de bug Cisco CSCtx58556. O reparo está disponível para versões 8.4.3.4 e mais tarde.
    • Solução: Force o uso do cliente das Javas.

  • Sintomas: O cliente de ActiveX não carrega depois que a versão de OS ASA é degradada a uma versão antes de 8.4.3. Isto afeta os usuários que usaram o cliente de ActiveX em um ASA com o reparo para a identificação de bug Cisco CSCtx58556, e conecta-os a este ASA com uma versão antes de 8.4.3. Isto é devido a um encaixe novo de ActiveX RDP introduzido na versão ASA 8.4.3, que não é compatível com as versões anterior.

    • Refira a identificação de bug Cisco CSCtx57453.
    • Remova todos os exemplos do registro de Windows de b8e73359-3422-4384-8d27-4ea1b4c01232? (ActiveX velho CLSID).

      Nota: Sugere-se para executar um backup do registro do sistema de computador antes de alguns edita.


  • Sintomas: As conexões RDP aos dispositivos com a autenticação do nível de rede (NLA) permitida falham.

    • Refira a identificação de bug Cisco CSCtu63661 para o realce que pede NLA para ser incorporado dentro do encaixe de ActiveX RDP.
    • Embora os suportes ao cliente NLA de Microsoft ActiveX, uso dessa característica dentro do encaixe ASA não sejam apoiados.
    • Solução: Configurar o encaixe RDP (mstsc.exe) para ser Smart-em túnel. Refira o guia da distribuição VPN de Cisco ASA 5500 SSL, versão 8.x.

  • Sintomas: ActiveX RDP não carrega, e mostra uma página em branco.

    • Refira a identificação de bug Cisco CSCsx49794.
    • Isto ocorre quando o certificate chain para o certificado ASA SSL é maior de quatro Certificados (RAIZ, SUBCA1, SUBCA2, e ASA CERT, por exemplo).
    • Solução:

      • Não instale o grande certificate chain no ASA.
      • O encaixe das Javas RDP é sabido para trabalhar corretamente, ao contrário do encaixe de ActiveX.
      • O RDP igualmente trabalha corretamente quando você configura as janelas nativas mstsc.exe com túneis espertos.

  • Sintomas: Depois que o cliente de ActiveX RDP é usado, um usuário clica o botão Logout Button e recebe um HTTP 404 - erro não encontrado da página. Refira a identificação de bug Cisco CSCtz33266. Esta edição tem é resolvida com a versão de encaixe rdp-plugin.120424.jar ou mais tarde.

  • Sintomas: Um usuário tem duas abas abertas no IE - um para a sessão RDP e outro para uma placa ou o outro Web page. O IE não se opera corretamente depois que a aba RDP é fechada.

    • Refira a identificação de bug Cisco CSCua69129.
    • Solução: Use o encaixe das Javas RDP (ajuste ForceJava=true).

  • Sintomas: O encaixe de ActiveX causa o uso da alta utilização do cpu com IE. Refira a identificação de bug Cisco CSCua16597.

  • Sintomas: Após a atualização KB2695962 da instalação do Windows, o encaixe de ActiveX RDP não carrega. Quando uma sessão nova RDP é aberta, o cliente de ActiveX tenta instalar o remetente da porta de Cisco SSL VPN (este não acontece sempre) e retorna à página portal dos sem clientes sem conectar ao computador remoto. Isto é devido à vulnerabilidade CVE-2012-0358, que é resolvida no lado do cliente pela Recomendação de Segurança de Microsoft (2695962).

Cliente das Javas

Nota: Cisco redistribui encaixes sem nenhumas mudanças. Devido à licença do público em geral GNU, Cisco não altera nem estende o aplicativo de plugin. O encaixe do properJavaRDP é um aplicativo da aberta, e todas as edições com o software de plug-in devem ser endereçadas pelo proprietário do projeto.

  • Sintomas: Os aplicativos dos recursos intensivos de processador são executados no computador remoto quando alcançados através do cliente das Javas RDP, e um impacto do Java applet é experiente.

    • Este Mensagem de Erro pôde indicar: Net.propero.rdp FATAL - javax.net.ssl.SSLException: A conexão foi parada programada: .....
    • O comportamento é triggerd ao comutar entre dois ou mais aplicativos do processo intensivo de cpu rapidamente.
    • Esta edição é fixada nas versões de encaixe rdp.2012.6.4.jar e mais tarde. 
    • Solução:

      • Conecte com o uso do cliente de ActiveX.
      • Não comute entre aplicativos rapidamente.

  • Sintomas: O cliente das Javas RDP gerencie este Mensagem de Erro: net.propero.rdp.Rdp - java.net.SocketException: O soquete é java.net.SocketException fechado: O soquete é fechado, e fecha-se então.

    • A edição é causada por um grupo de túneis que tenha uma grupo-URL configurada com somente o FQDN (http://www.example.com, por exemplo).
    • Refira a identificação de bug Cisco CSCuh72888.
    • Solução:

      • Remova a entrada grupo-URL sem “/” no grupo de túneis.
      • Use o cliente de ActiveX.

  • Sintomas: O cliente das Javas RDP falha quando é conectado a um computador de Windows 8.

    • O cliente das Javas RDP não tem atualmente o apoio para este.
    • Refira a identificação de bug Cisco CSCuc79990
    • Solução:

      • Use o cliente de ActiveX RDP.
      • Túnel esperto o cliente nativo de Windows RDP (mstsc.exe).

  • Sintomas: O cliente das Javas RDP falha com este Mensagem de Erro: ARSigningException: Encontrou entrada sem assinatura no recurso: https://10.105.130.91/+CSCO+3a75676763663A2F2F2E637968747661662E++/vnc/VncViewer.jar.

    • Esta edição é causada por um erro no rewriter das Javas do webVPN ASA.
    • Refira a identificação de bug Cisco CSCuj88114.
    • Solução: Downgrade à versão 7u40 das Javas.


Document ID: 113600