Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Cisco ASA 5500 Series Release Notes, Versão 7.1(1)

1 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (4 Maio 2007) | Feedback

Índice

Cisco ASA 5500 Series Release Notes Versão 7.1(1)

Índice

Introdução

Requisitos do sistema

Requisitos de memória

Determinando a Versão do Software

Atualizando para uma Nova Versão do Software

Novos recursos

Suporte para Segurança de Conteúdo e SSM de Controle

Cisco Secure Desktop

Controle de Acesso Personalizado Baseado na Verificação de Host CSD

Cliente VPN SSL

Melhorias de Autenticação e Autorização

Melhorias no Grupo de Túnel e na Política de Grupo

Otimizações de Funções e Desempenho do WebVPN

Suporte Citrix para WebVPN

Suporte PDA para WebVPN

Suporte WebVPN da Codificação de Caractere para Arquivos CIFS

Compressão para Conexões de Cliente WebVPN e SSL VPN

Failover Ativo/Passivo Classificado para Conexões WebVPN e SVC

Personalização de WebVPN

Melhorias de ASDM

Download de Applet Automático

Notas importantes

Licenças VPN SSL

WebVPN e Subinterfaces

ActiveX e WebVPN

Arquivos CIFS

Failover, WebVPN e Conexões SVC

FIPS 140-2

WebVPN ACLS e Hostname DNS

Servidor Proxy e ASA

Incompatibilidade de PFS

Documento Readme para o Conduits and Outbound List Conversion Tool 1.2

Requisitos de Balanceamento de Carga VPN

Guia de Melhoramento do Usuário

Recursos Não Suportados na Versão 7.1(1)

Suporte de MIB

Downgrade para uma Versão Anterior

Abrir Caveats, Versão 7.1(1)

Caveats, Versão 7.0(4)

Abrir Caveats - Versão 7.0(4)

Caveats Resolvidos Abrir na Versão 7.0(4)

Documentação Relacionada

Dicas de Configuração de Software na Página Inicial do Cisco TAC

Obtendo Documentação

Cisco.com

DVD da Documentação do Produto

Solicitando Documentação

Feedback da Documentação

Visão Geral Sobre Segurança de Produtos Cisco

Relatando Problemas de Segurança em Produtos Cisco

Obtendo Assistência Técnica

Website de Suporte Técnico e Documentação da Cisco

Enviando uma Requisição de Serviço

Definições de Severidade da Requisição de Serviço

Obtendo Publicações e Informações Adicionais


Cisco ASA 5500 Series Release Notes Versão 7.1(1)


Fevereiro de 2006

Índice

Este documento inclui as seguintes seções:

Introdução

Requisitos do sistema

Novos recursos

Notas importantes

Abrir Caveats, Versão 7.1(1)

Caveats, Versão 7.0(4)

Documentação Relacionada

Obtendo Documentação

Feedback da Documentação

Visão Geral Sobre Segurança de Produtos Cisco

Obtendo Assistência Técnica

Obtendo Publicações e Informações Adicionais

Introdução

Os aplicativos de segurança da série Cisco ASA 5500 são soluções de finalidade embutida que combinam os melhores serviços de segurança e VPN à arquitetura inovadora Cisco Adaptive Identification and Mitigation (AIM). Projetado como um componente importante da Cisco Self-Defending Network, o aplicativo de segurança adaptável oferece defesa pró-ativa contra ameaças que impede os ataques antes que se espalhem por toda a rede, controla a atividade da rede e o tráfego do aplicativo, e oferece conectividade flexível VPN. O resultado é uma potente família de aplicativos de segurança adaptável de rede de várias funções que oferece segurança completa para proteção de redes de empreendimentos e empresas de pequeno e médio porte, ao mesmo tempo reduzindo os custos operacionais e de implantação geral e as complexidades associadas ao fornecimento desse nível de segurança. Essa versão introduz melhorias significativas nas áreas funcionais mais importantes, incluindo novos Serviços Anti-X, serviços VPN e gerenciamento/monitoramento.

Para obter mais informações, consulte a seção Novos Recursos.

Além disso, o software de aplicativo de segurança adaptável suporta o Adaptive Security Device Manager. O ASDM oferece gerenciamento e monitoramento de segurança de nível internacional por meio de uma interface de gerenciamento baseada na web, fácil e intuitiva. Incluído com o aplicativo de segurança adaptável, o ASDM acelera a implantação do aplicativo de segurança por meio de assistentes inteligentes, ferramentas administrativas robustas e serviços de monitoramento versáteis que complementam os integrados e avançados recursos de rede e segurança oferecidos pelo conjunto de aplicativos de segurança adaptáveis líder de mercado. Seu desenho seguro, baseado na web, permite acesso aos aplicativos de segurança a qualquer hora e em qualquer local.

Requisitos do sistema

As seções seguintes relacionam os requisitos do sistema para operação de um aplicativo de segurança adaptável. Esta seção inclui os seguintes tópicos:

Requisitos de memória

Determinando a Versão do Software

Atualizando para uma Nova Versão do Software

Requisitos de memória

A Tabela 1 relaciona os requisitos de memória DRAM para o aplicativo de segurança adaptável.

Tabela 1 Requisitos de Memória DRAM 

Modelo de ASA
Memória DRAM

ASA 5510

256 MB

ASA 5520

512 MB

ASA 5540

1 GB


Todos os aplicativos de segurança adaptáveis exigem um mínimo de 64 MB de CompactFlash interna.

Determinando a Versão do Software

Use o comando show version para verificar a versão de software do aplicativo de segurança adaptável.

Atualizando para uma Nova Versão do Software

Se você tem um login Cisco.com (CDC), poderá obter o software no seguinte website:

http://www.cisco.com/cisco/web/BR/support/index.html

Você deverá atualizar ou fazer downgrade da Versão 7.0.(x) para a 7.1(1) e vice-versa, já que as versões mais antigas das imagens ASA não reconhecem imagens ASDM novas, e as imagens ASA novas não reconhecem imagens ASDM antigas.

Para mais informações sobre como carregar uma imagem, consulte a seção Executando Download de Arquivos" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco.

Para atualizar da Versão 7.0.(x) para a 7.1(1), você deve executar as seguintes etapas:


Etapa 1 Carregar a nova imagem 7.1(1) do seguinte website: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Etapa 2 Recarregar o dispositivo para que ele use a imagem do 7.1(1).

Etapa 3 Carregar a nova imagem ASDM 5.1.1 do seguinte website: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa.


Para executar downgrade da Versão 7.1(1) para a 7.0.(x), você deve executar as seguintes etapas:


Etapa 1 Carregar a imagem 7.0.(x) do seguinte website: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Etapa 2 Recarregar o dispositivo para que ele use a imagem do 7.0(x).

Etapa 3 Carregar a imagem ASDM 5.0(x) do seguinte website: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa.


Novos recursos

Esta seção descreve os novos recursos dessa versão. Esta seção inclui os seguintes tópicos:

Suporte para Segurança de Conteúdo e SSM de Controle

Cisco Secure Desktop

Controle de Acesso Personalizado Baseado na Verificação de Host CSD

Cliente VPN SSL

Melhorias de Autenticação e Autorização

Melhorias no Grupo de Túnel e na Política de Grupo

Otimizações de Funções e Desempenho do WebVPN

Suporte Citrix para WebVPN

Suporte PDA para WebVPN

Suporte WebVPN da Codificação de Caractere para Arquivos CIFS

Compressão para Conexões de Cliente WebVPN e SSL VPN

Failover Ativo/Passivo Classificado para Conexões WebVPN e SVC

Personalização de WebVPN

Melhorias de ASDM

Download de Applet Automático

Suporte para Segurança de Conteúdo e SSM de Controle

Esse recurso combina a proteção abrangente contra malware com a conformidade de mensagem avançada do aplicativo de segurança adaptável de várias funções. O resultado é uma solução potente que impede várias ameaças da Internet, incluindo vírus, spyware, spam, hackers, visitantes indesejados e conteúdo da web indesejado, ao mesmo tempo reduzindo os custos operacionais e a complexidade da implantação e gerenciamento de soluções de ponto múltiplo.

O SSM de Controle e Segurança de Conteúdo (CSC), parte integrante da solução Anti-X da Cisco, oferece proteção líder de mercado contra ataques e controle de conteúdo na extremidade da Internet, oferecendo serviços abrangentes de antivírus, anti-spyware, bloqueio de arquivos, anti-spam, anti-phising, bloqueio e filtragem de URL e filtragem de conteúdo. O módulo de serviços SSM CSC ajuda as empresas a proteger as redes com maior eficiência, aumentar a disponibilidade da rede, e aumentar a produtividade do funcionário através dos seguintes elementos principais:

Tabela 2 Principais Recursos e Benefícios

Principal Recurso
Benefício

Antivírus

O antivírus líder de mercado, da Trend Micro, protege os recursos da sua rede interna de ataques de vírus conhecidos e desconhecidos, no ponto mais efetivo da sua infra-estrutura, o gateway da Internet. Limpando o tráfego de e-mail e da web no perímetro, elimina a necessidade de limpezas de infecção intensa de malware de recurso e garante a continuidade dos negócios

Anti-Spyware

Bloqueia a entrada de spyware na rede por meio do tráfego da web (HTTP e FTP) e de e-mail. Libera o material de suporte de TI de procedimentos de remoção de spyware dispendiosos e melhora a produtividade do funcionário bloqueando o spyware no gateway.

Anti-Spam

O bloqueio efetivo de spam com baixo índice de falsos positivos ajuda a recuperar a eficácia das comunicações por e-mail, e o contato com os clientes, fornecedores e parceiros continua sem interrupção.

Anti-Phishing

Identifica a proteção contra roubo e protege contra ataques de phishing, evitando que os funcionários divulguem inadvertidamente detalhes pessoais ou da empresa que poderiam levar a uma perda financeira.

Atualizações Automáticas da TrendLabs

A solução tem apoio e suporte de uma das maiores equipes de especialistas em vírus, spyware e spam do mercado e que trabalha 24 horas por dia, 7 dias por semana, para garantir que a solução esteja oferecendo a mais atualizada proteção - automaticamente.

Administração Central

Uma administração fácil, bastando configurar, através de um console com base na web acessível remotamente, e atualizações automáticas, reduz os custos de suporte de TI.

Proteção em tempo real para acesso a Web, Correio (SMTP e POP3) e FTP (transferência de arquivos)

Mesmo se o e-mail da empresa já for protegido, muitos funcionários acessarão seus próprios e-mails na web usando os seus PCs ou laptops na empresa, introduzindo assim outro ponto de entrada para ameaças que se originam na internet. De forma semelhante, os funcionários poderão fazer download diretamente de programas de arquivos que poderão estar contaminados da mesma forma. A proteção em tempo real de todo o tráfego da web no gateway da Internet reduz drasticamente esse ponto de vulnerabilidade freqüentemente ignorado.

Capacidade de filtragem total de URL com categorias, agendamento e cache

A filtragem de URL pode ser usada para controlar o uso da Internet pelo funcionário bloqueando o acesso a websites não relacionados ao trabalho ou inadequados, aumentando a produtividade do funcionário e limitando o risco de uma ação legal dos funcionários expostos a conteúdo da web ofensivo.

Filtragem de Conteúdo de E-mail

A filtragem de e-mail minimiza a responsabilidade legal devido à exposição a materiais ofensivos transferidos por e-mail e reforça e conformidade normativa, ajudando as organizações a atenderem às exigências da legislação, como o GLB e a Lei de Proteção de Dados


Para mais informações, consulte a seção "Gerenciando o SSM CSC" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco.

Cisco Secure Desktop

O Cisco Secure Desktop (CSD) é um pacote de software Windows opcional que você pode instalar no aplicativo de segurança adaptável para validar a segurança dos computadores de cliente solicitando acesso ao seu VPN SSL, garantir que ele permaneça seguro enquanto conectado e remover todos os traços da sessão após desconectarem.

Após um PC remoto executando o Microsoft Windows se conectar ao aplicativo de segurança adaptável, o CSD se instala e usa o endereço IP e a presença de arquivos específicos, chaves de registro e certificados para identificar o tipo de local de onde o PC está se conectando. Após a autenticação do usuário, o CSD usa critérios opcionais como condições para conceder direitos de acesso. Esses critérios incluem o sistema operacional, software antivírus, anti-spyware, e firewall pessoal sendo executados no PC.

Para garantir a segurança enquanto o PC estiver conectado na rede, o Secure Desktop, um aplicativo CSD executado em clientes Microsoft Windows XP e Windows 2000, limitam as operações disponíveis ao usuário durante a sessão. Para usuários remotos com privilégios de administrador, o Secure Desktop utiliza o Triple Data Encryption Standard (3DES) de 168 bits para criptografar os dados e arquivos associados à sessão VPN SSL ou baixados durante uma sessão VPN SSL. Para usuários remotos com menos privilégios, ele usa o algoritmo de criptografia Rivest Cipher 4 (RC4). Quando a sessão é encerrada, o Secure Desktop sobrescreve e remove todos os dados do PC remoto e usando o padrão de segurança U.S. Department of Defense (DoD) para excluir arquivos com segurança. Essa limpeza garante que os cookies, histórico do navegador, arquivos temporários e conteúdo baixado não permaneçam após o usuário remoto se desconectar ou uma sessão VPN SSL expirar. O CSD também se desinstala do PC cliente.

O Cache Cleaner, que apaga o cache do cliente quando a sessão é encerrada, tem suporte para clientes Windows XP, Windows 2000, Windows 9x, Linux e Apple Macintosh OS X.

Para mais informações sobre os recursos CSD, consulte o Guia de Configuração do Cisco Secure Desktop para Administradores do Cisco ASA 5500 Series.

Controle de Acesso Personalizado Baseado na Verificação de Host CSD

Os aplicativos de segurança adaptável com o Cisco Secure Desktop instalado podem especificar uma política de grupo alternativa. O aplicativo de segurança adaptável usa esse atributo para limitar os direitos de acesso de clientes CSD remotos, como se segue:

Use-o sempre que você configurar uma política de recurso do VPN para "Política de Grupo de Falha de Uso".

Use-o se você configurar uma política de recurso do VPN para "Política de Grupo de Sucesso de Uso, se o critério corresponder" e o critério não corresponderá.

Esse atributo especifica o nome da política de grupo alternativa a ser aplicada. Escolha uma política de grupo para diferenciar os direitos de acesso dos associados à política de grupo padrão. O valor padrão é DfltGrpPolicy.


Observação O aplicativo de segurança adaptável não usa esse atributo se você configurar uma política de recurso do VPN para "Sempre Use Política de Grupo de Sucesso."


Para mais informações, consulte o Guia de Configuração do Cisco Secure Desktop para Guia de Administração da do Cisco ASA 5500 Series.

Cliente VPN SSL

O cliente VPN SSL é uma tecnologia de tunelamento VPN que oferece aos usuários remotos os benefícios de conectividade de um cliente VPN IPSec sem que administradores de rede precisem instalar e proceder à configuração de clientes VPN IPSec em computadores remotos. O SVC usa a criptografia SSL já presente no computador remoto, assim como o login e autenticação WebVPN do aplicativo de segurança adaptável.

Para estabelecer uma sessão SVC, o usuário remoto insere o endereço IP de uma interface WebVPN do aplicativo de segurança adaptável no navegador, e o navegador se conecta à interface e exibe a tela de login WebVPN. Se o usuário fizer o login e a autenticação, o aplicativo de segurança adaptável identifica o usuário comosolicitando o SVC, e o aplicativo de segurança adaptável faz o download do SVC para o computador remoto. Se o aplicativo de segurança adaptável identificar o usuário como tendo a opção de usar o SVC, o aplicativo de segurança adaptável faz download do SVC para o computador remoto enquanto apresenta uma ligação na tela de usuário para pular a instalação do SVC.

Após o download, o SVC se instala e se configura. Quando a conexão é encerrada, o SVC ou permanece ou se desinstala (dependendo da configuração) do computador remoto.

É possível proceder à configuração do SVC com ASDM ou com comandos CLI.

Para mais informações, consulte "Configurando o Cliente VPN SSL" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco.

Melhorias de Autenticação e Autorização

A Versão 7.1(1) inclui as seguintes melhorias de autenticação e autorização.

Substituição de Conta Desabilitada

Você pode proceder à configuração do aplicativo de segurança adaptável para substituir uma indicação de conta desabilitada de um servidor AAA e permitir que o usuário se conecte de qualquer modo.

Para mais informações, consulte "Configurando Atributos Gerais do Grupo de Túnel de Acesso Remoto IPSec" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando override account disabled , consulte as Referências a Comandos do Aplicativo de Segurança Cisco.

Suporte de LDAP

Você pode proceder à configuração do aplicativo de segurança para autenticar e autorizar usuários VPN IPSec, clientes VPN SSL e usuários WebVPN para um servidor de diretório. Durante a autenticação, o aplicativo de segurança age como uma proxy de cliente para o servidor LDAP do usuário VPN e autentica para o servidor LDAP em texto simples ou usando o protocolo Simple Authentication and Security Layer (SASL). O aplicativo de segurança suporta qualquer diretório em conformidade com o V3 ou V2 LDAP. Suporta recursos de gerenciamento de senha apenas no Java System Directory Server da Sun Microsystems e no servidor Active Directory da Microsoft.

Para mais informações, consulte "Suporte do Servidor LDAP" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco.

Gerenciamento de senha

Você pode proceder à configuração do aplicativo de segurança adaptável para avisar os usuários finais quando as senhas estão quase expirando. Quando você procede à configuração desse recurso, o aplicativo de segurança adaptável notifica o usuário remoto durante o login que a senha atual está quase vencendo ou já venceu. O aplicativo de segurança adaptável oferece então ao usuário a oportunidade de mudar a senha. Se a senha atual ainda não tiver expirado, o usuário ainda pode se conectar usando a senha. Esse comando é válido para servidores AAA que suportam esse tipo de notificação; ou seja, RADIUS, RADIUS com um servidor NT, e servidores LDAP. O aplicativo de segurança adaptável ignora esse comando se a autenticação de RADIUS ou LDAP não estiver configurada.

Observe que esse comando não altera o número de dias antes da expiração da senha, mas, em vez disso, especifica o número de dias antes da expiração em que o aplicativo de segurança adaptável começa a avisar que a senha está perto de expirar. O valor padrão é de 14 dias.

Somente em autenticações de servidores LDAP é possível especificar um determinado número de dias antes da expiração para começar a avisar o usuário sobre a expiração pendente.

Para obter mais informações, consulte " Gerenciando senhas" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando password management, consulte as Referências a Comandos do Aplicativo de Segurança Cisco.

SSO

O suporte a SSO (single sign-on) permite que usuários WebVPN insiram o nome do usuário e a senha apenas uma vez para acessar vários serviços protegidos e servidores da web. Você pode escolher entre os seguintes métodos para configuração do SSO:

Servidor SSO da Computer Associates eTrust SiteMinder (antigo Netegrity SiteMinder)—Você normalmente escolheria implementar o SSO com o SiteMinder se a sua infra-estrutura de segurança de Website já incorporasse o SiteMinder.

Formulários HTTP—Uma abordagem comum de autenticação de SSO que também pode qualificar como um método AAA. Você pode usar com outros servidores AAA, como servidores RADIUS ou LDAP.

SSO com autenticação NTLM e HTTP básica—O método mais simples dos três métodos SSO passa credenciais de login de WebVPN através de servidores internos usando autenticação HTTP ou NTLM. Esse método não exige um servidor externo SSO.

Para mais informações, consulte "Usando SSO com WebVPN" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco.

Melhorias no Grupo de Túnel e na Política de Grupo

A Versão 7.1(1) inclui as seguintes melhorias no grupo de túnel e na política de grupo.

Grupo de Túnel Tipo WebVPN

Essa versão adiciona um grupo de túnel WebVPN, que permite a configuração de um grupo de túnel com atributos específicos de WebVPN, incluindo o método de autenticação a ser usado, a personalização WebVPN a ser aplicada ao usuário GUI, o grupo DNS a ser usado, nomes de grupos alternativos (aliases), grupos de URLs, os servidores NBNS a serem usados na resolução de nomes CIFS, e uma política de grupo alternativa a ser aplicada a usuários CSD para limitar os direitos de acesso a clientes CSD remotos.

Para mais informações, consulte "Configurando Grupos de Túnel" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Configuração de DNS Baseada em Grupo para WebVPN

Você pode definir uma lista de servidores DNS em um grupo. A lista de servidores DNS disponível a um usuário depende do grupo a que o usuário é atribuído. Você pode especificar o servidor DNS a ser usado em um grupo de túnel WebVPN. O valor padrão é DefaultDNS.

Para mais informações, consulte "Políticas de Grupo" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Nova Opção de Página de Login para Usuários WebVPN

Você pode proceder à configuração opcionalmente do WebVPN para exibir uma página de login de usuário que oferece ao usuário a oportunidade de selecionar um grupo de túnel para fazer login. Se você proceder à configuração dessa opção, a página de login exibe um campo adicional oferecendo um menu suspenso dos grupos disponíveis para seleção. O usuário é autenticado conforme o grupo selecionado.

Para obter mais informações, consulte "Configurando Atributos do Usuário" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Alias de Grupo e URL de Grupo

Você pode criar um ou mais nomes alternativos pelos quais o usuário pode se referir a um grupo de túnel especificando um ou mais aliases de grupo. Os aliases de grupo que você especifica aqui aparecem em uma lista suspensa na página de login do usuário. Cada grupo pode ter vários aliases ou nenhum alias. Se você desejar que o nome real do grupo de túnel apareça na lista, especifique-o como um alias. Esse recurso é útil quando o mesmo grupo é conhecido por diversos nomes comuns, como "Devtest" e "QA".

Ao especificar um URL de grupo você elimina a necessidade do usuário de selecionar um grupo no login. Quando um usuário se conecta, o aplicativo de segurança adaptável procura a URL de entrada do usuário na tabela de política de grupo de túnel. Se ele encontrar a URL, e se esse recurso estiver habilitado, então o aplicativo de segurança adaptável seleciona automaticamente o servidor apropriado e apresenta ao usuário apenas os campos de nome de usuário e senha na janela de login. Se o URL estiver desabilitado, a lista suspensa dos grupos também é exibida e o usuário deverá fazer a seleção.

Você pode proceder à configuração de vários URLs (ou nenhum URL) para um grupo. Você pode permitir ou desabilitar cada URL individualmente. Você deve usar uma especificação separada (comandogroup-url) para cada URL. Você deve especificar o URL todo, o qual poderá usar o protocolo HTTP ou HTTPS.

Você não pode associar o mesmo URL a vários grupos. O aplicativo de segurança adaptável verifica a exclusividade do URL antes de aceitar o URL para um grupo de túnel.

Para mais informações, consulte "Configurando Grupos de Túnel" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Otimizações de Funções e Desempenho do WebVPN

Essa versão melhora o desempenho e as funções do WebVPN através dos seguintes componentes:

Transformação/regravação de conteúdo flexível que inclui JavaScript, VBScript e Java complexos

Cache de navegador e de servidor

Compressão

Desvio de proxy

Suporte ao Framework de Personalização de Perfil do Aplicativo

Processamento de manutenção de atividade e intervalo do aplicativo

Suporte para interfaces lógicas (VLAN)

Para obter mais informações, consulte "Otimizando o Desempenho do WebVPN" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Suporte Citrix para WebVPN

Os usuários do WebVPN agora podem usar uma conexão com o aplicativo de segurança adaptável para acessar os serviços Citrix MetaFrame. Nessa configuração, o aplicativo de segurança adaptável funciona como gateway seguro do Citrix. Portanto, você deve proceder à configuração do software de interface da web do Citrix para operar em um modo que não use o gateway seguro Citrix. Instale um certificado SSL na interface do aplicativo de segurança adaptável onde os usuários remotos usam um nome de domínio totalmente qualificado (FQDN) para se conectar; essa função não funciona se você especificar um endereço IP como o nome comum (CN) do certificado SSL. O usuário remoto tenta usar o FQDN para se comunicar com o aplicativo de segurança adaptável. O PC remoto deverá estar apto a usar o DNS ou uma entrada no arquivo System32\drivers\etc\hosts para resolver o FQDN. Finalmente, use o comandofunctions para ativar o Citrix.

Para mais informações, consulte "Configurando o Acesso aos Serviços Citrix MetaFrame" no Guia de Configuração da Linha Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Suporte PDA para WebVPN

Você pode acessar o WebVPN do Pocket PC 2003 ou Windows Mobile X. Se você for um usuário PDA, o acesso à rede privada se torna mais conveniente. Este recurso não exige configuração.

Para obter mais informações, consulte "Usando WebVPN com PDAs" no Guia de Configuração da Linha Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Suporte WebVPN da Codificação de Caractere para Arquivos CIFS

O WebVPN agora suporta codificação de caracteres opcionais de páginas de portais para garantir o processamento adequado de arquivos Common Internet File System no idioma pretendido. A codificação de caracteres suporta a identificação de conjuntos de caracteres identificados na seguinte página da Web, incluindo os caracteres japoneses Shift-JIS:

http://www.iana.org/assignments/character-sets

Use o comandocharacter-encoding para especificar o conjunto de caracteres para codificar as páginas do portal WebVPN a serem exibidas aos usuários remotos. Por padrão, o tipo de codificação configurado no navegador remoto determina o conjunto de caracteres das páginas do portal WebVPN.

O atributo character-encoding é uma configuração global que, por padrão, todas as páginas do portal WebVPN herdam. Entretanto, você pode usar o comando file-encoding para especificar a codificação das páginas do portal WebVPN de servidores CIFS específicos. Assim, você pode usar valores de codificação de arquivos diferentes que exigem codificações de caracteres diferentes.

O mapeamento de servidores CIFS com relação à codificação de caracteres adequada, globalmente com o atributo webvpn character-encoding, e individualmente com substituição de codificação de arquivo, oferece um processamento preciso e exibe as páginas CIFS quando o processamento adequado de nomes de arquivos ou caminhos de diretórios, assim como páginas, representarem um problema.


Dica A codificação de caracteres e os valores de codificação de arquivos não excluem a família da fonte a ser usada pelo navegador. É necessário complementar a configuração de um desses valores com o comando page style no modo de comando de personalização de webvpn para substituir a família da fonte se você estiver usando a codificação de caracteres japonesa Shift_JIS, ou inserir o comando no page style no modo de comando de personalização de webvpn para remover a família da fonte.


Para mais informações, consulte "Configurando o Acesso a Arquivos" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Compressão para Conexões de Cliente WebVPN e SSL VPN

A compressão pode reduzir o tamanho dos pacotes de transferência e aumentar o desempenho da comunicação, especialmente em conexões com limitações de largura de banda, como modems de linha discada e dispositivos portáteis usados em acessos remotos.

A compressão é ativada por padrão nas conexões WebVPN e SVC. É possível proceder à configuração da compressão usando os comandos ASDM ou CLI.

Você pode desativar a compressão de todas as conexões WebVPN ou SVC com o comando compression do modo de configuração global.

Você pode desabilitar a compressão de um grupo ou usuário específico de conexões WebVPN com o comando http-comp ou de conexões SVC com o comando svc compression nos modos de política de grupo ou nome de usuário webvpn.

Para mais informações, consulte "Usando a Compressão SVC" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Failover Ativo/Passivo Classificado para Conexões WebVPN e SVC

Durante uma failover, as conexões WebVPN e SVC, assim como as conexões IPSec, são restabelecidas com o aplicativo de segurança secundário standby para um serviço ininterrupto. O failover ativo/passivo exige uma correspondência ativa/passiva individual de cada conexão.

Um aplicativo de segurança configurado para failover compartilha as informações de autenticação sobre os usuários do WebVPN com o aplicativo de segurança secundário. Portanto, após um failover, os usuários WebVPN não precisam de reautenticação.

Em conexões SVC, após um failover, o SVC reconecta automaticamente ao aplicativo de segurança secundário.

Para mais informações, consulte "Sessões SVC" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Personalização de WebVPN

Você pode personalizar a página WebVPN exibida para os usuários ao se conectarem ao aplicativo de segurança, e você pode personalizar a página inicial do WebVPN com base por usuário, por grupo ou por grupo de túnel. Depois de autenticados pelo dispositivo de segurança, os usuários ou grupos podem ver a página inicial WebVPN personalizada.

Você pode usar os comandos ASDM ou CLI para personalizar a aparência do WebVPN usando os parâmetros CSS (Cascading Style Sheet). Para personalizar com facilidade, recomendamos usar ASDM, que possui recursos convenientes para a configuração dos elementos de estilo, incluindo troca de cores e recursos de visualização.

Para mais informações, consulte "Personalizando Páginas WebVPN " no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Melhorias de ASDM

As melhorias de ASDM incluem o seguinte:

Suporte de Gerenciamento e Monitoramento de CSC SSM

A versão 5.1 do ASDM oferece uma solução inédita no mercado, reunindo a simplicidade dos painéis de configuração com base em HTML da Trend Micro com a ingenuidade do ASDM. Isso ajuda a garantir o reforço da política de consistência, simplificando processos completos de provisionamento, configuração e monitoramento de unificadas e robustas funções de gerenciamento de ameaças oferecidas pelo CSC SSM. O ASDM oferece uma solução de monitoramento complementar com uma nova página CSC SSM e novos painéis de monitoramento. Após o CSC SSM ter sido instalado, a página inicial ASDM principal é atualizada automaticamente para exibir um novo painel CSC SSM, que fornece uma visão histórica de estatísticas de ameaças, vírus de e-mail, eventos em tempo real e módulos vitais, como as últimas atualizações instaladas de software/assinaturas, recursos de sistema, e muito mais. Na seção de monitoramento de ASDM, um conjunto rico de ferramentas de análise fornece visibilidade detalhada das ameaças, atualizações de software, gráficos de recurso, e muito mais. O Live Security Event Monitor é uma nova ferramenta de soluções de problemas e monitoramento que oferece atualizações em tempo real sobre mensagens de e-mail examinadas e bloqueadas, vírus/worms identificados, ataques detectados, e muito mais. Oferece aos administradores a opção de filtrar mensagens usando correspondência de série de expressão-regular, para que os tipos de ataques e mensagens específicas possam ser destacadas e analisadas em detalhe.

Syslog para Correlação de Regra de Acesso

A versão ASDM introduz uma nova ferramenta Syslog para Correlação de Regra de Acesso que aprimora muito o gerenciamento diário de segurança e as atividades de análise de falhas. Com essa ferramenta dinâmica, os administradores de segurança podem resolver rapidamente os problemas comuns de configuração, junto com a maior parte dos problemas do usuário e de conectividade de rede. Os usuários podem selecionar uma mensagem de syslog no painel Real-Time Syslog Viewer, e simplesmente clicando no botão Create na parte superior do painel, é possível invocar as opções de controle de acesso do syslog específico. Padrões inteligentes ajudam a garantir que o processo de configuração seja simples, ajudando a melhorar a eficiência operacional e os tempos de resposta das funções críticas de negócios. A ferramenta Syslog para Correlação de Regra de Acesso também oferece uma visão intuitiva das mensagens syslog requisitadas pelas regras de acesso configuradas pelo usuário.

Cor Personalizada do Syslog

O ASDM permite a identificação rápida de mensagens de sistema críticas e o monitoramento conveniente do syslog permitindo o agrupamento colorido das mensagens syslog de acordo com o nível syslog. Os usuários podem selecionar as opções de cor padrão, ou criar seus próprios perfis syslog coloridos exclusivos para uma fácil identificação.

Download de Applet Automático

Para executar um aplicativo remoto na WebVPN, o usuário clica em Start Application Access na página inicial WebVPN para fazer o download e iniciar o applet de encaminhamento de porta Java. Para simplificar o acesso ao aplicativo e reduzir o tempo de início, agora você pode proceder à configuração do WebVPN para fazer o download automático desse applet de encaminhamento de porta na primeira conexão do usuário no WebVPN.

Para mais informações, consulte "Fazendo Download do Applet de Encaminhamento de Porta Automaticamente" no Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco. Para obter uma descrição completa da sintaxe do comando, consulte Referências a Comandos do Aplicativo de Segurança Cisco.

Notas importantes

Essa seção relaciona as notas importantes relacionadas à versão 7.1(1).

Licenças VPN SSL

Iniciando com a Versão 7.1(1), os serviços SSL VPN (WebVPN) exigem uma licença. Esses serviços são agora licenciados com base em uma sessão por usuário, com níveis de licenciamento de 10, 50, 100, 250, 500, 750, 1000 e 2500 sessões de usuário. A funcionalidade completa do recurso SSL VPN oferecida pelo aplicativo de segurança adaptável está incluído nessa licença SSL VPN única. Nenhuma licença por recurso é necessária. Essa licença SSL VPN tem uma taxa única válida por toda a vida útil do aplicativo de segurança adaptável. Após a instalação da Versão 7.1(1), ou mais recente, duas sessões do usuário SSL VPN simultâneas são incluídas para avaliação.

WebVPN e Subinterfaces

Não é possível ativar WebVPN em uma subinterface.

ActiveX e WebVPN

Muitos controles ActiveX são personalizados e exigem tratamento especial pelo WebVPN. Entre em contato com a Cisco TAC se o seu aplicativo usar controle ActiveX e apresentar problemas com esse recurso em uma conexão WebVPN (CSCsb85180).

Arquivos CIFS

Se um usuário remoto acessar os arquivos CIFS usando o Internet Explorer, o nome de arquivo na janela File Download poderá não exibir alguns caracteres japoneses Shift_JIS corretamente. Entretanto, as funções Open e Save funcionam corretamente. Este problema não ocorre com o Netscape.

Failover, WebVPN e Conexões SVC

Para garantir que as conexões WebVPN e SVC reconectem rapidamente em caso de um failover, ative o aplicativo de segurança para responder aos pacotes TCP de cliente de entrada com o comando service resetoutside do modo de configuração global:

[no] service resetoutside

Esse comando faz com que o aplicativo de segurança substitua as conexões WebVPN e SVC existentes para enviar os pacotes TCP RST em resposta aos pacotes TCP do cliente de entrada, fazendo com que as conexões do cliente se restabeleçam rapidamente. Se você não ativar o comando service resetoutside , o aplicativo de segurança descarta os pacotes TCP das conexões que falharam e espera que cada cliente restabeleça a conexão TCP. Isso poderá levar mais tempo ou resultar na sessão sendo perdida devido ao intervalo.

O seguinte exemplo ativa o aplicativo de segurança para enviar pacotes TCP RST:

F1-asa1(config)# service resetoutside

FIPS 140-2

Todos os aplicativos de segurança estão na Lista de Pré-Validação FIPS 140-2.

WebVPN ACLS e Hostname DNS

Quando um URL ACL (baseado em DNS) do tipo web negada é definido, mas o URL com base em DNS não pode ser acessado, o navegador exibe a popup "DNS Error". O contador de acesso ACL não aumenta.

Se um endereço IP em vez de um nome DNS definir um URL do tipo web negada, então o contador de acesso registra o fluxo de tráfego da ACL, e o navegador exibe um "Connection Error.".

Servidor Proxy e ASA

Se a WebVPN estiver configurada para usar um servidor proxy HTTP(S) para executar todas as requisições de navegação nos sites HTTP e/ou HTTPS, o cliente/navegador pode esperar o seguinte comportamento:

1. Se o ASA não puder se comunicar com o servidor proxy HTTPS ou HTTPS, a mensagem "connection error" é exibida no navegador do cliente.

2. Se o proxy HTTP(S) não conseguir resolver ou acessar o URL solicitado, ele deverá enviar um erro adequado ao ASA, que por sua vez o exibe no navegador do cliente.

Apenas quando o servidor proxy HTTP(S) notificar o ASA do URL inacessível, poderá o ASA notificar o navegador do cliente sobre o erro.

Incompatibilidade de PFS

A configuração PFS do cliente VPN e o aplicativo de segurança deverão corresponder.

Documento Readme para o Conduits and Outbound List Conversion Tool 1.2

A ferramenta Outbound/Conduit Conversion do aplicativo de segurança adaptável ajuda na conversão de configurações com comandos outbound ou conduit com configurações semelhantes usando ACLs. As configurações baseadas em ACL oferecem uniformidade e aproveitam o potente conjunto de recursos ACL. As configurações baseadas em ACL oferecem o seguinte benefício:

Capacidade de Inserção de ACE - A configuração e gerenciamento do sistema é bastante simplificada pela capacidade de inserção de ACE que permite aos usuários adicionar, excluir ou modificar ACEs individuais.

Requisitos de Balanceamento de Carga VPN

O balanceamento da carga VPN do aplicativo de segurança adaptável requer um ASA 5520 ou ASA 5540. Também requer uma licença de criptografia 3DES-AES.

Guia de Melhoramento do Usuário

Para obter uma lista dos recursos alterados e informações de melhoramento do usuário, acesse o URL:

http://www.cisco.com/en/US/products/ps6120/products_installation_guide_book09186a00805a8673.html

Recursos Não Suportados na Versão 7.1(1)

Os seguintes recursos não são suportados na versão 7.1(1):

PPPoE

L2TP em IPSec

PPTP

Suporte de MIB

Para obter informações sobre o Suporte MIB, acesse o site:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Downgrade para uma Versão Anterior

Para executar o downgrade para uma versão anterior do software do sistema operacional (software image), use o comando downgrade no modo EXEC com privilégios. Para mais informações e uma descrição completa da sintaxe do comando, consulte a Referências a Comandos do Aplicativo de Segurança Cisco.

Abrir Caveats, Versão 7.1(1)

O seguinte recurso abrir caveats é novo na versão 7.1(1).

CSCsb85180

O componente cliente Terminal Services ActiveX não é operacional via WebVPN.

Solução: Use o cliente SSL VPN (full-tunnel client) para lidar com esse aplicativo

CSCsc27946

Enquanto estiver usando acesso clientless WebVPN em um servidor de acesso a web Domino, você não poderá editar o layout da página inicial Domino. Quando tentar, ocorrerá um erro no Internet Explorer.

CSCsc93042

Os applets Java de jogos do Yahoo poderão apresentar falha de carregamento através do mecanismo de regravação WebVPN.

Solução: Carregar o applet Java diretamente, e não através do WebVPN.

CSCsd00382

As conexões SVC possuem listas de acesso que podem ser baixadas associadas a eles. Desconectar da sessão (comandovpn-sessiondb logoff) poderá resultar na permanência da lista de acesso do aplicativo de segurança e potencialmente interferir nas novas conexões com os mesmos endereços IP.

CSCsd02916

Ao usar http-proxy, os usuários podem acessar o Citrix por meio de uma conexão WebVPN, mesmo sem um metafile Citrix configurado para a política de grupo.

CSCsd04381

Ao tentar adicionar um anexo de arquivo a um contato existente dentro do Outlook Web Access 2000 ou 2003 através do mecanismo de regravação WebVPN, é aberta uma janela modal em branco.

Solução: Crie um novo contato e aplique um anexo através do mecanismo de regravação. Uma segunda opção é acessar os servidores Outlook Web Access 2000 ou 2003 diretamente, e não através do WebVPN para iniciar a rotina de anexo a um contato existente.

CSCsd08212

Uma Webtype ACL com uma sintaxe URI semelhante a "http(s)://host address/path," provoca falha na rotina de verificação ACL. Se for uma regra de permissão, os usuários não poderão acessar esse website. Entretanto, uma regra de Webtype ACL com o URI semelhante a "http(s)://host address" funciona. A diferença entre essas ACLs é o "/caminho". O "/caminho" pode ser qualquer parte do website específico, um arquivo ou um diretório.

Solução: Defina um Webtype ACLS com a sintaxe URI http(s)://host address, por exemplo,
access-list test webtype permit url http://serverA.com).

Caveats, Versão 7.0(4)

As seções seguintes descrevem os caveats da versão 7.0(4).

Para sua conveniência em localizar advertência no Bug Toolkit da Cisco, os títulos de caveat relacionados nesta seção foram extraídos diretamente da base de dados do Bug Toolkit. Esses títulos de advertência não precisam ser lidos como frases inteiras porque o comprimento do campo de título é limitado. Nos títulos de advertência pode ser necessário truncar palavras ou pontuação para fornecer a descrição mais completa e concisa. As únicas modificações feitas nesses títulos são as seguintes:

Os comandos estão no tipo negrito.

Os nomes de produtos e acrônimos podem ser padronizados.

Os erros de ortografia e digitação podem ser corrigidos.


Observação Se você é um usuário registrado cisco.com, visualize o Bug Toolkit na cisco.com no seguinte website:

http://www.cisco.com/cisco/web/BR/support/index.html

Para se tornar um usuário cisco.com registrado, acesse o seguinte website:

http://tools.cisco.com/RPF/register/register.do


Abrir Caveats - Versão 7.0(4)

A Tabela 3 relaciona os caveats que permanecem abertos da Versão 7.0(4).

Tabela 3 Caveats abertos 

Número de ID
Versão de Software 7.0(4)
Corrigidos
Título da advertência

CSCeg57001

Não

O pacote não inspeciona após não inspeção e inspeção

CSCeh15557

Não

Asserção em in tmatch_compile_proc, toda a memória não está liberada.

CSCeh32087

Não

O PIM envia Registro com o IP não traduzido quando o NAT pool está esgotado.

CSCeh43554

Não

O dispositivo pode recarregar quando exibir e remover config ao mesmo tempo

CSCeh60845

Não

Fila de login registra incorretamente blocos de 8192 256-byte

CSCeh84006

Não

Número errado de versão http não deveria ser permitido

CSCeh93834

Não

RSA SecurID lista de réplica se perde após reinicialização

CSCej04099

Não

xlate estático interrompe gerenciamento-acesso interno

CSCsb28708

Não

Rastreamento de console usando o comando show route

CSCsb40188

Não

SCEP falha se RA cert possui chave de 4096 bit

CSCsb41742

Não

P2P/IM/tunneling traffic só é descartado se ação strict-http for descartada

CSCsb51038

Não

Rastreamento: _snp_sp_create_flow+1937 sem ACL de saída e Estatísticas de Política

CSCsb80170

Não

Pools de endereços necessários em política de grupo - funcionalidade faltando no VPN3K

CSCsb81593

Não

a remoção de sunrpc-server cli não impede o tráfego de sunrpc

CSCsb90046

Não

a criação de contexto GTP pode falhar c/ erro de excesso de Limite de Túnel

CSCsb99385

Não

strict-http: com um espaço antes de http deverá gerar uma restauração tcp

CSCsc01017

Não

ASA para VPN3K L2L falha rekey c/ modo principal, 3des, sha, rsa, pfs-2, dh-2

CSCsc07421

Não

Rastreamento em Dispatch Unit - mensagem de decodificação h323 ras

CSCsc10617

Não

GTP: vazamento de memória após <clear config all> at gtp_init

CSCsc11724

Não

Login: comportamento errado se syslog é enviado para um servidor tcp inoperante

CSCsc12094

Não

Autenticação fallback AAA não funciona como modo-reativação programado

CSCsc16041

Não

'clear local host' resulta de vazamento de memória

CSCsc16607

Não

ajuste pptp falha com configuração de servidor pat estático

CSCsc17051

Não

VPNFO: VPN Failover falha ao analisar P2 SA quando IPCOMP é usado

CSCsc18911

Não

ASA não remove rota OSPF para entrada PAT global após exclusão


Caveats Resolvidos Abrir na Versão 7.0(4)

A Tabela 4 relaciona os caveats resolvidos desde a Versão 7.0(4).

Tabela 4 Caveats Resolvidos 

Número de ID
Versão de Software 7.1(1)
Corrigidos
Título da advertência

CSCeh18115

Sim

Autenticação não acionada quando a filtragem de URL é ativada.

CSCeh46345

Sim

L2L dinâmico pode passar tráfego de texto sem formatação quando o túnel termina

CSCeh90617

Sim

Recompilar ACLs pode causar quedas de pacote em plataformas de low-end

CSCei02273

Sim

primeira mensagem log não enviada por e-mail no firewall transparente

CSCei43588

Sim

rastreamento ao tentar corresponder um pacote para acl com negação

CSCsc00176

Sim

clear xlate leva 4.5+ mins para excluir 60K PAT xlate

CSCsc02485

Sim

Sessão Cmd: enviando \036x\r para sair da sessão para ssm causa rastreamento

CSCsc07614

Sim

Intervalo de apuração mínimo da unidade causa problema de failover em placa 4GE

CSCsc14591

Sim

xlate e xlate perfmon print graph são zeros

CSCsc15434

Sim

Violação de asserção c/icmp tráfego e icmp inspeção

CSCsc16503

Sim

Tráfego de saída de firewall transparente ASR UDP obteve erros de entrada e falhou

CSCsc17409

Sim

dhcprelay: ASA bloqueia pacotes RELEASE

CSCsc17428

Sim

Rastreamentos com ci/console com 'clear config all'

CSCsc18444

Sim

Grupo de túnel de peer específico não criado atualizando para 7.0 c/ certs


Documentação Relacionada

Para obter informações adicionais sobre o aplicativo de segurança adaptável, consulte a seguinte documentação no Cisco.com:

Guia de Instalação do Hardware Cisco ASA 5500

Guia de Introdução aos Aplicativos de Segurança Adaptáveis do Cisco ASA 5500 Series

Cisco ASDM Release Notes

Guia de Configuração da Linha de Comando do Aplicativo de Segurança Cisco 

Referências a Comandos do Aplicativo de Segurança Cisco 

Migrando para ASA para Administradores do Software Cisco VPN 3000 Series Concentrator

Release notes de Versão para Cisco SSL VPN Client

Guia de Configuração do Cisco Secure Desktop

Release notes de Versão para Cisco Secure Desktop

Informações sobre Segurança e Conformidade com Regulamentação para o Cisco ASA 5500 Series

Procedimentos de Configuração ASDM VPN Selecionados para o Cisco ASA 5500 Series

Configuração de Login do Aplicativo de Segurança Cisco e Mensagens de Registro do Sistema

Dicas de Configuração de Software na Página Inicial do Cisco TAC

O Centro de Assistência Técnica da Cisco possui muitas páginas úteis. Se você tem uma conta CDC pode visitar os seguintes websites para obter ajuda:

Análise de falhas TAC, Exemplo de Configurações, Informações de Hardware, Instalações de Software, e mais:

http://www.cisco.com/cisco/web/BR/support/index.html

Obtendo Documentação

Documentação e literatura adicional da Cisco estão disponíveis em Cisco.com. A Cisco também permite obter assistência técnica e outros recursos técnicos de várias maneiras. Estas seções explicam como obter informações técnicas da Cisco Systems.

Cisco.com

É possível obter a documentação mais atualizada da Cisco no seguinte URL:

http://www.cisco.com/cisco/web/BR/support/index.html

É possível acessar o website da Cisco no seguinte URL:

http://www.cisco.com

É possível acessar websites internacionais da Cisco no seguinte URL:

http://www.cisco.com/cisco/web/BR/support/index.html

DVD da Documentação do Produto

O DVD da Documentação do produto é uma biblioteca abrangente de documentação técnica em um meio portátil. O DVD permite acessar várias versões de instalação, configuração e guias de comando para os produtos de hardware e software da Cisco. Com o DVD, você tem acesso à mesma documentação que se encontra no website da Cisco sem estar conectado à Internet. Certos produtos também têm versões .pdf da documentação disponíveis.

O DVD de Documentação do Produto está disponível como uma unidade separada ou como uma assinatura. Usuários registrados da Cisco.com (clientes diretos da Cisco) podem solicitar um DVD de Documentação do Produto (número de produto DOC-DOCDVD= ou DOC-DOCDVD=SUB) no Cisco Marketplace neste URL:

http://www.cisco.com/go/marketplace/

Solicitando Documentação

Os usuários registrados da Cisco.com podem solicitar documentação Cisco na Product Documentation Store dentro do Cisco Marketplace neste URL:

http://www.cisco.com/go/marketplace/

Os usuários não registrados da Cisco.com podem solicitar documentação técnica a partir das 8 da manhã. até as 17 horas. (0800 a 1700) — Horário Padrão do Pacífico, ligando para 1 866 463-3487 nos Estados Unidos e Canadá, ou em outro local ligando para  011 408 519-5055. Você também pode solicitar a documentação por e-mail em tech-doc-store-mkpl@external.cisco.com ou por fax em 1 408 519-5001 nos Estados Unidos e Canadá, ou em qualquer outro país para 011 408 519-5001.

Feedback da Documentação

Você pode avaliar e fornecer feedback sobre os documentos técnicos da Cisco preenchendo o formulário de feedback on-line que aparece com os documentos técnicos na Cisco.com.

Envie os comentários sobre a documentação Cisco usando a ficha de resposta (se existir) localizada na parte posterior da capa frontal de seu documento ou escrevendo para o seguinte endereço:

Cisco Systems
Attn: Customer Document Ordering
170 West Tasman Drive
San Jose, CA 95134-9883

Agradecemos seus comentários.

Visão Geral Sobre Segurança de Produtos Cisco

A Cisco dispõe de um portal on-line gratuito de Política de Vulnerabilidade de Segurança no seguinte URL:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

Neste site, você encontrará informações sobre como:

Relatar as vulnerabilidades de segurança em produtos Cisco.

Obter assistência para incidentes de segurança relacionados a produtos Cisco.

Registrar-se para receber informações sobre segurança da Cisco.

Uma lista atualizada de dicas para melhoria da segurança, security notice e security response referentes aos produtos da Cisco estão disponíveis neste URL:

http://www.cisco.com/go/psirt

Para ver as dicas para melhoria da segurança, Security Notice e Security Response à medida que são atualizados em tempo real, você pode assinar o feed Product Security Incident Response Team Really Simple Syndication (PSIRT RSS). As informações sobre como assinar o feed PSIRT RSS são encontradas neste URL:

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

Relatando Problemas de Segurança em Produtos Cisco

A Cisco compromete-se a fornecer produtos seguros. Testamos nossos produtos internamente antes de liberá-los e nos esforçamos para corrigir rapidamente todos os pontos vulneráveis. Se você acredita que identificou um ponto de vulnerabilidade em um produto Cisco, entre em contato com o PSIRT:

Somente para Emergências —  security-alert@cisco.com

Uma emergência é uma condição na qual um sistema está sob um ataque ativo ou uma condição para a qual uma vulnerabilidade de segurança grave e urgente deve ser reportada. Todas as demais condições são consideradas sem emergência.

Para Não-emergências —  psirt@cisco.com

Em uma emergência, você também pode ligar para a PSIRT:

1 877 228-7302

1 408 525-6532


Dica Sugerimos o uso do Pretty Good Privacy (PGP) ou de um produto semelhante (por exemplo, GnuPG) para codificar as informações confidenciais enviadas para a Cisco. PSIRT pode trabalhar com informações que foram criptografadas com o PGP versões 2.x a 9.x.

Nunca use uma chave de criptografia revogada ou vencida. A chave pública correta para usar na sua correspondência com a PSIRT é a que está vinculada à seção Resumo de Contato da página Política de Vulnerabilidade de Segurança neste URL:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlA ligação nesta página tem o ID da chave PGP atual em uso.

Se você não tem ou não usa o PGP, entre em contato com a PSIRT pelos endereços de e-mail ou telefones mencionados anteriormente antes de enviar material confidencial para descobrir outros métodos de criptografar os dados.


Obtendo Assistência Técnica

O suporte técnico da Cisco fornece assistência técnica de primeira 24 horas por dia. O website Cisco Technical Support & Documentation na Cisco.com destaca o material de suporte on-line extensivo. Além disso, se você tiver um contrato de serviço válido com a Cisco, os engenheiros do Technical Assistance Center (TAC) da Cisco fornecerão suporte por telefone. Se não tiver um contrato de serviço válido com a Cisco, entre em contato com seu revendedor.

Website de Suporte Técnico e Documentação da Cisco

O website Suporte Técnico e Documentação da Cisco fornece documentos e ferramentas on-line para solucionar problemas e resolver questões técnicas com produtos e tecnologias da Cisco. O website está disponível 24 horas por dia, neste URL:

http://www.cisco.com/cisco/web/BR/support/index.html

O acesso a todas as ferramentas no website Suporte Técnico e Documentação da Cisco requer uma ID de usuário e uma senha na Cisco.com. Se você possuir um contrato de serviço válido mas não possuir um ID e senha de usuário, poderá registrar-se no seguinte URL:

http://tools.cisco.com/RPF/register/register.do


Observação Use a ferramenta Cisco Product Identification (CPI) para localizar o número de série de seu produto antes de enviar uma requisição de serviço pela web ou por telefone. Você pode acessar a ferramenta CPI no website Suporte Técnico e Documentação da Cisco clicando na ligação Tools & Resources em Documentation & Tools. Selecione Cisco Product Identification Tool na lista suspensa do Índice em Ordem Alfabética ou clique na ligação Cisco Product Identification Tool em Alerts & RMAs. A ferramenta CPI dispõe de três opções de busca: por ID do produto ou nome do modelo; por exibição de árvore; ou, para determinados produtos, copiando e colando a saída de comando show. Os resultados da busca apresentam uma ilustração de seu produto destacando o local da etiqueta do número de série. Localize a etiqueta do número de série em seu produto e registre a informação antes de fazer uma chamada de serviço.


Enviando uma Requisição de Serviço

A utilização da ferramenta on-line TAC Service Request é o método mais rápido para abrir solicitações de serviço S3 e S4. (As requisições de serviço S3 e S4 são aquelas nas quais a sua rede é minimamente prejudicada ou para as quais você precisa de informações de produto.) Após descrever a situação, a ferramenta TAC Service Request fornece soluções recomendadas. Se seu problema não for resolvido usando os recursos recomendados, sua requisição de serviço será atribuída a um engenheiro da Cisco. A ferramenta TAC Service Request encontra-se neste URL:

http://www.cisco.com/cisco/web/BR/support/index.html/servicerequest

Para as requisições de serviço S1 ou S2, ou se você não possui acesso a Internet, entre em contato por telefone com o Cisco TAC. (As requisições de serviço S1 e S2 são aquelas nas quais a sua rede de produção está desativada ou bastante reduzida.) Os engenheiros da Cisco são imediatamente designados para atender às requisições de serviço S1 e S2 ajudando a manter suas operações comerciais executando com tranqüilidade.

Para abrir uma requisição de serviço por telefone, use um dos seguintes números:

Ásia-Pacífico: +61 2 8446 7411 (Austrália: 1 800 805 227)
EMEA: +32 2 704 55 55
EUA: 1 800 553 -2447

Para obter uma lista completa dos contatos Cisco TAC, acesse o seguinte URL:

http://www.cisco.com/cisco/web/BR/support/index.html/contacts

Definições de Severidade da Requisição de Serviço

Para que todas as solicitações de serviço sejam relatadas em um formato padrão, a Cisco criou definições de severidade.

Severidade 1 (S1) — Uma rede existente está parada ou está ocorrendo um impacto crítico sobre suas atividades comerciais. Você e a Cisco usarão todos os recursos necessários de modo ininterrupto para resolver a situação.

Severidade 2 (S2) — O funcionamento de uma rede existente foi bastante reduzido ou aspectos importantes de sua atividade comercial estão sendo prejudicados pelo desempenho incorreto de produtos Cisco. Você e a Cisco utilizarão de recursos ininterruptos durante o horário de expediente normal para resolver a situação.

Severidade 3 (S3) — O desempenho operacional de sua rede está prejudicado, mas a maioria das atividades comerciais permanece funcionando. Você e a Cisco utilizarão de recursos durante o horário de expediente normal para restaurar o serviço a níveis satisfatórios.

Severidade 4 (S4) — Você precisa de informações ou assistência relacionadas a capacidades, instalação ou configuração de produtos Cisco. Há pouco ou nenhum impacto sobre suas atividades comerciais.

Obtendo Publicações e Informações Adicionais

Informações sobre produtos, tecnologias e soluções de rede Cisco encontram-se disponíveis em várias fontes de consulta on-line e impressas.

O Guia de Referência Rápida de Produtos Cisco é uma ferramenta de referência compacta e de fácil acesso que inclui visões gerais sobre produtos, recursos principais, exemplos de números de peças e especificações técnicas abreviadas para muitos produtos Cisco que são vendidos através de parceiros de canal. Ele é atualizado duas vezes por ano e inclui as ofertas Cisco mais recentes. Para solicitar e saber mais sobre o Guia de Referência Rápida de Produtos Cisco, vá para este URL:

http://www.cisco.com/go/guide

O Cisco Marketplace fornece uma variedade de livros, guias de referência, documentação e comercialização de logotipo da Cisco. Visite a Cisco Marketplace, a loja da empresa, no seguinte URL:

http://www.cisco.com/go/marketplace/

A Cisco Press publica diversos títulos gerais de operação em rede, treinamento e certificação. Os usuários novos e os experientes se beneficiarão dessas publicações. Para obter os títulos e outras informações atuais da Cisco Press, acesse a Cisco Press no seguinte URL:

http://www.ciscopress.com

Packet é a revista do usuário técnico da Cisco Systems para maximizar os investimentos em operação em rede e na Internet. A cada trimestre, a Packet faz a cobertura das últimas tendências do setor, avanços tecnológicos, produtos e soluções Cisco, assim como dicas para desenvolvimento e análise de falhas de rede, exemplos de configurações, estudos de caso de cliente, informações sobre certificações e treinamentos, além de ligações para cobertura de recursos on-line detalhadas. É possível acessar a revista Packet no seguinte URL:

http://www.cisco.com/packet

iQ Magazine é a publicação trimestral da Cisco Systems, elaborada para ajudar as empresas em crescimento no aprendizado e uso da tecnologia para aumentar a receita, dinamizar as atividades e expandir os serviços. A publicação identifica os desafios enfrentados por essas empresas e as tecnologias que ajudam a solucioná-los, utilizando estudos de caso e estratégias comerciais do mundo real para auxiliar os leitores a tomar importantes decisões de investimentos em tecnologia. É possível acessar a iQ Magazine, no seguinte URL:

http://www.cisco.com/go/iqmagazine

ou visualize a edição digital neste URL:

http://ciscoiq.texterity.com/ciscoiq/sample/

Internet Protocol Journal é um jornal trimestral publicado pela Cisco Systems para os profissionais de engenharia associados à elaboração, desenvolvimento e operação de internets e intranets públicas e privadas. É possível acessar o Internet Protocol Journal no seguinte URL:

http://www.cisco.com/ipj

Os produtos de rede oferecidos pela Cisco Systems, assim como os serviços de suporte ao cliente, podem ser obtidos neste URL:

http://www.cisco.com/en/US/products/index.html

O Networking Professionals Connection é um website interativo para os profissionais de rede compartilharem dúvidas, sugestões e informações sobre produtos e tecnologias de rede com especialistas da Cisco e outros profissionais de rede. Participe de uma discussão neste URL:

http://www.cisco.com/cisco/web/BR/support/index.html

Está disponível na Cisco um treinamento em operação em rede de nível internacional. É possível consultar as ofertas atuais no seguinte URL:

http://www.cisco.com/en/US/learning/index.html