Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Sem clientes SSLVPN ASA: Edições do encaixe RDP

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Novembro 2013) | Feedback


Índice


Introdução

O plug-in do Remote Desktop Protocol (RDP) é um dos plug-ins disponíveis para Usuários de VPN com SSL sem cliente do Cisco ASA entre outros, como SSH, VNC e Citrix. O encaixe RDP é um dos encaixes os mais usados nesta coleção, e é igualmente esse com lote do cerco da confusão.

Este documento dão respostas a um par perguntas e todo o outro que forem aumentados depois que determinados pontos são feitos claramente. Este documento não fornece a informação em como configurar o encaixe, porque não há muito a não ser a importação do encaixe direito.

Refira o guia da distribuição VPN de Cisco ASA 5500 SSL, versão 8.x.

Nota: Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Encaixe RDP

O encaixe RDP evoluiu durante um período de tempo de um encaixe Java-baseado puro RDP a algo que inclui ambo o cliente de ActiveX RDP (internet explorer), assim como ao cliente das Javas (navegadores NON-IE).

Para o cliente das Javas RDP, o encaixe de Cisco RDP usa o cliente do properJava RDP: http://properjavardp.sourceforge.net/

O encaixe RDP igualmente incorpora o cliente de ActiveX RDP, e faz um atendimento, se usar o cliente das Javas ou do ActiveX baseado no navegador. Ou seja:

  • Se os usuários IE estão tentando ao RDP através do portal dos sem clientes SSLVPN, e o endereço da Internet URL não contem o argumento de “ForceJava=true”, a seguir o cliente de ActiveX está usado.

  • Se os usuários NON-IE estão tentando lançar um endereço da Internet RDP ou uma URL, simplesmente o cliente das Javas é lançado.

RDP e RDP-2: Que encaixe a se usar?

Encaixe RDP: Este é o encaixe original das Javas RDP que foi actualizado para adicionar o cliente de ActiveX.

Encaixe RDP2: Isto é baseado no cliente suposta actualizado do properJava RDP do protocolo RDP2 significado para Windows 2003 servidores terminal e servidores terminal de Windows Vista.

Contudo, o encaixe o mais atrasado RDP combina o RDP e o RDP2, assim fazendo ao RDP2 Obsoleto de encaixe. Isto é, ir para a frente você precisará somente de usar o encaixe RDP (por exemplo, rdp-plugin.yymmdd.jar)

Onde transferir o encaixe de:

Software da transferência

/image/gif/paws/113600/ptn_113600-01.gif

O encaixe atual RDP é "rdp-plugin.120424.jar". Este era em abril 27o liberado, 2012.

Matriz de compatibilidade do navegador

A matriz de compatibilidade do navegador existe somente para a aplicação dos sem clientes SSLVPN e a versão de OS ASA. Enquanto esta matriz é satisfeita, os encaixes estão apoiados automaticamente. Para obter mais informações sobre das Plataformas apoiadas VPN, refira o 5500 Series de Cisco ASA.

Que a esperar e que a não esperar?

RDP-ActiveX

  • Significado somente para o internet explorer

  • O som é retransmitido sobre a sessão RDP

RDP-Javas

  • Deve trabalhar em todos os navegadores suportados (da matriz acima) que têm as Javas permitidas.

  • O cliente das Javas está lançado no internet explorer somente se ActiveX não se lança ou o argumento de “ForceJava=true” está passado no endereço da Internet RDP ou na URL.

  • Porque a aplicação das RDP-Javas é baseada no projeto do properJava RDP, uma iniciativa da aberta, serviço best effort é fornecida durante a época da falha de encaixe.

Pesquisando defeitos edições RDP

Que a recolher?

  1. Saída da tecnologia da mostra.

  2. Saída do encaixe do webvpn da importação da mostra detalhado.

  3. Especifique o sistema operacional do destino o PC.

  4. Especifique se a versão RDP de 5,2 é usada mais tarde.

  5. Se a versão de activex (somente no IE) ou a versão das Javas estiveram usadas.

  6. Especifique se é uma instalação do Balanceamento de carga.

Usando SmartTunnel

Adicionar estes processos à lista de SmartTunnel:

  • svchost.exe

  • services.exe

  • wininit.exe

  • TSWbPrxy.exe

  • wksprt.exe

  • mstsc.exe

Se isto não trabalha, assegure-se de que a lista ST esteja começada ao testar.

Faz o cliente das Javas RDP trabalham diretamente?

A fim identificar se a edição é com o RDP de encaixe ou com webvpn, a melhor maneira de testá-lo é uso o cliente diretamente ao RDP ao server na pergunta e na verificação se o mesmo comportamento se manifesta. Se faz então é um problema com o cliente de encaixe, que não é criado por Cisco. Conclua estes passos:

  1. Transfira este arquivo zip. Estes são os arquivos jar do properjavardp que foram usados no RDP de encaixe (cliente do serviço terminal de encaixe para o ASA).

  2. Abrir o zíper o arquivo a um dobrador.

  3. Abra rdp-applet.html e mude os valores para os parâmetros abaixo:

    <param name="server" value="xxxx">
    <param name="username" value="xxxx">
    <param name="password" value="xxxx">
  4. Salvar o arquivo e abra-o em um navegador permitido Javas.

Caveats conhecidos

Cliente de ActiveX

  • ActiveX RDP não carrega de IE 6-9 após o melhoramento à versão de OS 8.4.3 ASA.

    Refira a identificação de bug Cisco CSCtx58556 (clientes registrados somente). O reparo está disponível de 8.4.3.4. Contudo, recomenda-se que a elevação esteja feita ao OS o mais atrasado disponível. Workaround (se a elevação do código ASA não é uma opção):

    • Use as Javas RDP pelo contrário. Por exemplo, os usuários IE (não prejudica outros usuários do navegador) precisam o argumento de “ForceJava=true” ajustado no RDP URL.

  • Devido ao erro precedente (CSCtx58556), se o downgrade do OS ASA é executado, a seguir ter cuidado com a identificação de bug Cisco CSCtx57453 (clientes registrados somente). Neste caso, ActiveX RDP falhará para todos os usuários de retorno RDP (aqueles usuários que tentaram ActiveX RDP nos sem clientes SSLVPN em 8.4.3 ASA). Isto é porque o encaixe de ActiveX RDP foi promovido em 8.4.3, que é incompatível com as versões anterior.

    Que a fazer:

    • Mantenha na mente CSCtx58556 e CSCtx57453 quando o ASA empresarial de distribuição baseou o serviço SSLVPN. Uso 8.4.3 e mais atrasado, ou 8.4.2 e mais adiantado.

    • Se você é um usuário de retorno RDP, por exemplo você usou ActiveX baseado 8.4.3 RDP e precisa-o agora de usar 8.4.2 ou um ActiveX mais adiantado RDP sobre o portal SSLVPN:

      Remova todos os exemplos do registro de "b8e73359-3422-4384-8d27-4ea1b4c01232? (ActiveX velho CLSID) usando o regedit.

      Nota: Isto deve ser feito após um apoio do registro. Isto deve ser feito a seu próprio risco. Consulte o apoio de Microsoft para mais informação.

  • Embora o cliente de ActiveX permita que a autenticação do nível de rede (NLA) seja codificada, a aplicação de Cisco não a inclui. Está aqui a requisição de aprimoramento aberta que está pedindo NLA para ser incorporada dentro do encaixe de ActiveX RDP:

    Refira a identificação de bug Cisco CSCtu63661 (clientes registrados somente).

    Solução:

  • ActiveX RDP não carrega com a página em branco. Uma mensagem da carga aparece quando o certificate chain da 3ª parte é instalado no ASA; por exemplo, o ASA tem um certificado de identidade de um vendedor da 3ª parte e o certificate chain do vendedor da 3ª parte é instalado no ASA (Sub-CA1, Sub-CA2, CA raiz).

    Refira a identificação de bug Cisco CSCsx49794 (clientes registrados somente).

    Workaround (se a elevação do código ASA não é uma opção):

    • Não instale o grande certificate chain no ASA.

    • O encaixe das Javas RDP é sabido para trabalhar apenas muito bem ao contrário do encaixe de ActiveX.

    • Também, o RDP trabalha muito bem ao configurar as janelas nativas mstsc.exe com túneis espertos.

  • Após ter usado ActiveX RDP, se você clica o botão Logout Button em vez da página usual da saída, você verá o “HTTP 404 - erro não encontrado da página”. Esta edição não ocorre com o encaixe o mais atrasado RDP disponível no CCO, que é rdp-plugin.120424.jar.

    Refira os V-comentários na identificação de bug Cisco CSCtz33266 (clientes registrados somente).

  • Se você tem duas abas abertas no IE, um para a sessão RDP e outro para uma página vazia ou aleatória, se a aba RDP é fechada, IE para de trabalhar.

  • Refira a identificação de bug Cisco CSCua16597 (clientes registrados somente) - alta utilização da CPU de encaixe das causas RDP ActiveX com IE

  • Após ter instalado a actualização KB2695962 de Windows o activeX RDP de encaixe obtem em um laço. Se você abre uma sessão nova RDP ou clica sobre um endereço da Internet, tentará instalar de “o remetente da porta Cisco SSL VPN” (às vezes não tenta o instalar) e vai para trás ao portal dos sem clientes. Isto é devido à vulnerabilidade CVE-2012-0358 que foi resolvida no lado do cliente pela actualização de Microsoft.

Recomendação de Segurança de Microsoft (2695962) leavingcisco.com

A fim conectá-lo precise de promover o ASA a um dos reparos nas versões, conforme a Recomendação de Segurança da Cisco:

Do controle activex adaptável dos sem clientes VPN da ferramenta de segurança do 5500 Series de Cisco ASA vulnerabilidade remota da execução de código leavingcisco.com

ID do bug

CSCtr00165 (clientes registrados somente) - O controle activex do remetente da porta contem uma vulnerabilidade de sobrefluxo de buffer

/image/gif/paws/113600/ptn_113600-02.gif

Cliente das Javas

Estabelecendo o fato de que a aplicação de encaixe das RDP-Javas de Cisco está baseada no projeto do properJava RDP, uma iniciativa da aberta, durante a falha Java-RDP, serviço best effort é fornecida. Contudo, traga todas as edições à observação do tac Cisco e uma resposta satisfatória será dada.

  • Ao executar algumas aplicações da utilização de processador com a sessão das Javas RDP, você pôde experimentar as Javas RDP que causam um crash em você com “o net.propero.rdp FATAL - javax.net.ssl.SSLException: A conexão foi parada programada: ….” Mensagem de Erro. Isto é observado principalmente quando estas aplicações da utilização de processador com a sessão das Javas RDP são comutadas continuamente entre se.

    Refira a identificação de bug Cisco CSCtz78693 (clientes registrados somente).

    • O encaixe fixo está disponível a pedido com o tac Cisco, e o reparo é feito somente ao encaixe e não ao OS ASA.

Por que alguns caráteres não estão aparecendo na sessão remota RDP?

O computador remoto com a sessão RDP tem um mapa diferente do teclado do que o computador local, devido a esta diferença que o computador remoto não aparecerá ou desorganizará algumas chaves. Este comportamento foi considerado com o de encaixe de Javas. Trabalhos de encaixe de ActiveX muito bem. A fim resolver este problema você pode usar o keymap do atributo para traçar o keymap local ao PC remoto.

Um exemplo, se um traço alemão do teclado é exigido, a seguir usa o seguinte:

rdp://<IP Address of the server>/?keymap=de

Os seguintes keymaps estão disponíveis:

---snip---
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---snip---

Bug conhecido:

Nota: Uma outra alternativa possível é usar o túnel esperto da aplicação para mstsc.exe:

smart-tunnel list RDP_List RDP mstsc.exe platform windows

Podem as sessões de encaixe da tela cheia RDP do apoio das Javas RDP?

A partir de agora, não, lá não é nenhum suporte nativo para este. A requisição de aprimoramento CSCto87451 (clientes registrados somente) foi arquivada obter isto executado. Há um outro erro que seja arquivado para este suporte por algum tempo, CSCsl26897 (clientes registrados somente). A ação alternativa para esta edição é usar o parâmetro da geometria; por exemplo, geometria =1024x768. Naturalmente este valor varia da tela para selecionar e não é realmente uma grande solução. Alternadamente, se você está usando o IE e o Windows, a seguir o cliente de ActiveX apoia a tela cheia.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113600