Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA SSLVPN sans client : Questions de périphérique prêt à brancher RDP

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (19 novembre 2013) | Commentaires


Contenu


Introduction

Remote Desktop Protocol (RDP) est l'un des modules offerts aux utilisateurs du VPN SSL sans client Cisco ASA, parmi d'autres tels que SSH, VNC et Citrix. Le périphérique prêt à brancher RDP est l'une des connexions les plus utilisées dans cette collecte, et est également celui avec le sort d'entourage de confusion.

Ce document apporte des réponses à quelques questions et tous les autres qui sont augmentés après que certaines remarques soient faites clairement. Ce document ne fournit pas des informations sur la façon dont configurer le périphérique prêt à brancher, parce que il n'y a pas beaucoup autres qu'importer le périphérique prêt à brancher droit.

Référez-vous au guide de déploiement de VPN SSL de Cisco ASA 5500, version 8.x.

Remarque: Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Périphérique prêt à brancher RDP

Le périphérique prêt à brancher RDP a évolué sur une période de temps d'un périphérique prêt à brancher basé sur Javas pur RDP à quelque chose qui inclut les deux le client RDP d'ActiveX (Internet Explorer), aussi bien qu'au client java (navigateurs Non-IE).

Pour le client RDP de Javas, le périphérique prêt à brancher RDP de Cisco utilise le client RDP de properJava : http://properjavardp.sourceforge.net/

Le périphérique prêt à brancher RDP incorpore également le client RDP d'ActiveX, et il fait un appel, si utiliser le client de Javas ou d'ActiveX basé sur le navigateur. C'est-à-dire :

  • Si les utilisateurs IE essayent à la RDP par le portail sans client SSLVPN, et l'URL de signet ne contient pas l'argument de « ForceJava=true », alors le client d'ActiveX est utilisé.

  • Si les utilisateurs non-IE essayent de lancer une RDP Bookmark ou URL, seulement le client java est lancé.

La RDP et RDP-2 : Quel périphérique prêt à brancher à l'utiliser ?

Périphérique prêt à brancher RDP : C'est le périphérique prêt à brancher d'origine RDP de Javas qui a été mis à jour pour ajouter le client d'ActiveX.

Périphérique prêt à brancher RDP2 : Ceci est basé sur le client censément à jour RDP de properJava du protocole RDP2 signifié pour Windows 2003 serveurs de terminaux et serveurs de terminaux de Windows Vista.

Cependant, le dernier périphérique prêt à brancher RDP combine la RDP et RDP2, de ce fait rendant le périphérique prêt à brancher RDP2 Désuet(e). C'est-à-dire, vous aller en avant devra seulement utiliser le périphérique prêt à brancher RDP (par exemple, rdp-plugin.yymmdd.jar)

Où télécharger le périphérique prêt à brancher de :

Téléchargez le logiciel

/image/gif/paws/113600/ptn_113600-01.gif

Le périphérique prêt à brancher RDP de courant est "rdp-plugin.120424.jar". C'était en avril 27ème libéré, 2012.

Tableau de compatibilité des navigateurs

Le tableau de compatibilité des navigateurs existe seulement pour l'implémentation sans client SSLVPN et la version de système d'exploitation ASA. Tant que cette matrice est satisfaite, des connexions sont automatiquement prises en charge. Pour plus d'informations sur les Plateformes prises en charge VPN, référez-vous à la gamme de Cisco ASA 5500.

Ce qui à prévoir et ce qui à ne pas prévoir ?

RDP-ActiveX

  • Signifié seulement pour l'Internet Explorer

  • Le bruit est transmis par relais au-dessus de la session RDP

RDP-Javas

  • Devrait travailler à tous les navigateurs pris en charge (de la matrice ci-dessus) qui font activer Javas.

  • Le client java est lancé en Internet Explorer seulement si ActiveX ne lance pas ou l'argument de « ForceJava=true » est passé dans le signet RDP ou l'URL.

  • Puisque l'implémentation de RDP-Javas est basée sur le projet RDP de properJava, une initiative open source, service de meilleur effort est fournie pendant la période de la panne embrochable.

Dépannage des questions RDP

Ce qui à collecter ?

  1. Sortie de tech d'exposition.

  2. Sortie du périphérique prêt à brancher de webvpn d'importation d'exposition détaillé.

  3. Spécifiez le système d'exploitation du PC de destination.

  4. Spécifiez si la version RDP plus tard que 5,2 est utilisée.

  5. Si la version d'activex (seulement sur l'IE) ou la version de Javas a été utilisée.

  6. Spécifiez si c'est une installation d'Équilibrage de charge.

Utilisant SmartTunnel

Ajoutez ces processus à la liste de SmartTunnel :

  • svchost.exe

  • services.exe

  • wininit.exe

  • TSWbPrxy.exe

  • wksprt.exe

  • mstsc.exe

Si ceci ne fonctionne pas, assurez-vous que la liste St est commencée en testant.

Fait le client RDP de Javas travaillent directement ?

Afin d'identifier si la question est avec le module d'extension RDP ou avec le webvpn, la meilleure manière de le tester est utilisation le client directement à la RDP au serveur en question et le contrôle si le même comportement se manifeste. S'il fait alors c'est un problème avec le module d'extension de client, qui n'est pas créé par Cisco. Procédez comme suit :

  1. Téléchargez ce fichier zip. Ce sont les fichiers jar de properjavardp qui ont été utilisés dans le module d'extension RDP (module d'extension de client de service de terminaux pour l'ASA).

  2. Défaites la fermeture éclair du fichier à un répertoire.

  3. Ouvrez rdp-applet.html et changez les valeurs pour les paramètres ci-dessous :

    <param name="server" value="xxxx">
    <param name="username" value="xxxx">
    <param name="password" value="xxxx">
  4. Sauvegardez le fichier et ouvrez-vous dans un navigateur activé par Javas.

Mises en garde connues

Client d'ActiveX

  • La RDP d'ActiveX ne charge pas d'IE 6-9 après évolution à la version 8.4.3 OS ASA.

    Référez-vous à l'ID de bogue Cisco CSCtx58556 (clients enregistrés seulement). La difficulté est fournie par 8.4.3.4. Cependant, l'il est recommandé que la mise à jour soit fait au dernier SYSTÈME D'EXPLOITATION disponible. Contournement (si la mise à jour du code ASA n'est pas une option) :

    • La RDP de Javas d'utilisation à la place. Par exemple, les utilisateurs IE (ne nuit pas à d'autres utilisateurs de navigateur) ont besoin de l'argument de « ForceJava=true » réglé dans l'URL RDP.

  • En raison de la bogue précédente (CSCtx58556), si le downgrade de SYSTÈME D'EXPLOITATION ASA est exécuté, puis prenez garde de l'ID de bogue Cisco CSCtx57453 (clients enregistrés seulement). Dans ce cas, la RDP d'ActiveX échouera pour tous les utilisateurs de renvoi RDP (ces utilisateurs qui ont tenté la RDP d'ActiveX sur SSLVPN sans client sur 8.4.3 ASA). C'est parce que le périphérique prêt à brancher RDP d'ActiveX a été mis à jour dans 8.4.3, qui est incompatible avec les versions antérieures.

    Ce qui à faire :

    • Maintenez dans l'esprit CSCtx58556 et CSCtx57453 en déployant l'ASA d'entreprise a basé le service SSLVPN. Utilisation 8.4.3 et plus tard, ou 8.4.2 et plus tôt.

    • Si vous êtes un utilisateur de renvoi RDP, par exemple vous avez utilisé la RDP d'ActiveX basée par 8.4.3 et devez maintenant utiliser 8.4.2 ou première RDP d'ActiveX au-dessus du portail SSLVPN :

      Retirez tous les exemples de registre de "b8e73359-3422-4384-8d27-4ea1b4c01232 ? (vieil ActiveX CLSID) utilisant le regedit.

      Remarque: Ceci doit être fait après une sauvegarde du registre. Ceci devrait être fait à vos risques et périls. Consultez le pour en savoir plus de support de Microsoft.

  • Bien que le client d'ActiveX permette l'authentification de niveau du réseau (NLA) à coder, l'implémentation de Cisco ne l'inclut pas. Voici la demande d'amélioration ouverte qui invite NLA pour être incorporée dans le périphérique prêt à brancher RDP d'ActiveX :

    Référez-vous à l'ID de bogue Cisco CSCtu63661 (clients enregistrés seulement).

    Contournement :

  • La RDP d'ActiveX ne charge pas avec la page vierge. Un message de chargement apparaît quand la chaîne de certificat de tiers est installée sur l'ASA ; par exemple, l'ASA a un certificat d'identité d'un constructeur de tiers et la chaîne de certificat du constructeur de tiers est installée sur l'ASA (Sub-CA1, Sub-CA2, Racine-CA).

    Référez-vous à l'ID de bogue Cisco CSCsx49794 (clients enregistrés seulement).

    Contournement (si la mise à jour du code ASA n'est pas une option) :

    • N'installez pas la grande chaîne de certificat sur l'ASA.

    • Le périphérique prêt à brancher RDP de Javas est connu pour fonctionner juste bien par opposition au périphérique prêt à brancher d'ActiveX.

    • En outre, la RDP fonctionne bien en configurant Windows indigène mstsc.exe avec les tunnels intelligents.

  • Après utilisation de la RDP d'ActiveX, si vous cliquez sur le bouton de déconnexion au lieu de la page habituelle de déconnexion, vous verrez le « HTTP 404 - paginez » l'erreur non trouvée. Cette question ne se produit pas avec le plus défunt périphérique prêt à brancher RDP disponible sur CCO, qui est rdp-plugin.120424.jar.

    Référez-vous aux V-commentaires dans l'ID de bogue Cisco CSCtz33266 (clients enregistrés seulement).

  • Si vous avez deux onglets ouverts dans l'IE, un pour la session RDP et un autre pour une page vide ou aléatoire, si la RDP tabulent est fermé, IE cesse de fonctionner.

    • Dépistez ceci dans l'ID de bogue Cisco CSCua69129 (clients enregistrés seulement).

    • Le contournement est pour l'instant d'utiliser le périphérique prêt à brancher RDP de Javas (placez ForceJava=true).

  • Référez-vous à la CPU embrochable de haute de causes RDP ActiveX de l'ID de bogue Cisco CSCua16597 (clients enregistrés seulement) - avec l'IE

  • Après avoir installé la mise à jour KB2695962 de Windows le module d'extension RDP d'activeX entre dans une boucle. Si vous ouvrez une nouvelle session RDP ou cliquez sur en fonction un signet, il essayera d'installer « l'expéditeur de port de VPN SSL de Cisco » (parfois il n'essaye pas de l'installer) et retourne au portail sans client. C'est dû à la vulnérabilité CVE-2012-0358 qui a été résolue sur le côté client par la mise à jour de Microsoft.

Bulletin de renseignements de Sécurité de Microsoft (2695962) leavingcisco.com

Afin de vous connecter devez améliorer l'ASA à une des difficultés dans les versions, selon l'avis de sécurité Cisco :

Vulnérabilité à distance sans client d'exécution de code de contrôle de l'appliance de sécurité adaptatif de la gamme Cisco ASA 5500 VPN ActiveX leavingcisco.com

ID de bogue

CSCtr00165 (clients enregistrés seulement) - Le contrôle ActiveX d'expéditeur de port contient une vulnérabilité de Buffer Overflow

/image/gif/paws/113600/ptn_113600-02.gif

Client java

Après avoir établi le fait que l'implémentation embrochable de RDP-Javas de Cisco est basée sur le projet RDP de properJava, une initiative open source, pendant la panne la Java-RDP, service de meilleur effort est fournie. Cependant, apportez toutes les questions à l'avis de Cisco TAC et une réponse satisfaisante sera donnée.

  • En exécutant quelques applications intensives de processeur par la session RDP de Javas, vous pourriez éprouver la RDP de Javas tombant en panne sur vous avec « le net.propero.rdp MORTEL - javax.net.ssl.SSLException : La connexion a été arrêt : …. » message d'erreur. Ceci est principalement observé quand ces applications intensives de processeur par la session RDP de Javas sont continuellement commutées parmi elles-mêmes.

    Référez-vous à l'ID de bogue Cisco CSCtz78693 (clients enregistrés seulement).

    • Le périphérique prêt à brancher fixe est disponible sur demande par Cisco TAC, et la difficulté est faite seulement au périphérique prêt à brancher et pas au SYSTÈME D'EXPLOITATION ASA.

Pourquoi quelques caractères ne révèlent pas sur la session RDP de distant ?

L'ordinateur distant par la session RDP a une carte différente de clavier que l'ordinateur local, dû à cette différence que l'ordinateur distant ne révélera pas ou il désorganisera quelques clés. Ce comportement a été vu avec le module d'extension de Javas. Le module d'extension d'ActiveX fonctionne bien. Afin de résoudre ce problème vous pouvez employer le keymap d'attribut pour tracer le keymap local à l'ordinateur distant.

Un exemple, si un mappage allemand de clavier est exigé, puis utilisent ce qui suit :

rdp://<IP Address of the server>/?keymap=de

Les keymap suivants sont disponibles :

---snip---
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---snip---

Bogues connu :

  • CSCth38454 (clients enregistrés seulement) - Keymap hongrois de mise en place pour le module d'extension RDP

  • CSCsu77600 (clients enregistrés seulement) - Les clés embrochables de fenêtre RDP de WEBVPN sont incorrectes. Décalez (clé) .jar

  • (Clients enregistrés seulement) - webvpn CSCtt04614 - les signes diacritiques de clavier es ont inexactement géré par module d'extension RDP

  • CSCtb07767 (clients enregistrés seulement) - Module d'extension ASA - Configurez les paramètres par défaut

Remarque: Un autre contournement possible est d'utiliser le tunnel intelligent d'application pour mstsc.exe :

smart-tunnel list RDP_List RDP mstsc.exe platform windows

Le module d'extension RDP de Javas peut-il prendre en charge des sessions pleine page RDP ?

Dorénavant, non, là n'est aucune prise en charge native pour ceci. La demande d'amélioration CSCto87451 (clients enregistrés seulement) a été classée d'obtenir ceci mis en application. Il y a une autre bogue qui a été classée pour ceci soutiennent pendant quelque temps, CSCsl26897 (clients enregistrés seulement). Le contournement pour cette question est d'utiliser le paramètre de la géométrie ; par exemple, la géométrie =1024x768. Naturellement cette valeur varie de l'écran pour examiner et n'est pas vraiment une grande solution. Alternativement, si vous utilisez l'IE et le Windows, puis le client d'ActiveX prend en charge pleine page.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113600