Seguridad : Cisco NAC Appliance (Clean Access)

Limpie el agente FAQ del acceso

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento responde a las preguntas más frecuentes (Preguntas Frecuentes) relacionadas con el Cisco Clean Access Agent (antes denominado Perfigo SmartEnforcer).

Los nombres del producto han cambiado. Esta tabla enumera los nombres anteriores y los nuevos nombres:

Viejo nombre Nuevo nombre
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Características admitidas

Q. ¿Qué sistemas operativos se soportan?

A. Los agentes se soportan en estos sistemas operativos.

Plataformas de Windows

  • Windows 2000

  • Windows XP

  • Windows Vista

  • Windows 7

Plataformas de Macintosh

  • Mac OS X 10.4.11" tigre”

  • Mac OS X 10.5.8" leopardo”

  • Mac OS X 10.6.4" Snow Leopard”

Refiera a la matriz de soporte del dispositivo NAC Agent/OS/Browser de Cisco para más información sobre los buscadores admitidos y las versiones de Java.

Q. ¿Cisco soporta Cisco APIs Personalizadas?

A. No.

Q. ¿Soporta Cisco el agente en Drivers Compartidos o VMware?

A. Lo siguiente es soportado o no es soportado por el agente NAC en VMware:

  • VMware en el Modo NAT

    El agente NAC no se soporta independientemente del Inband u OOB porque, con el modo de VMware NAT, todas las VMs aparecen con el mismo IP y MAC. Por lo tanto, no puede distinguir entre las diferentes VMs a los fines de autenticación/postura.

  • VMware en el modo Bridge (separación L2 entre las imágenes, diferentes direcciones IP/MAC)

    • El agente del NAC se soporta en el modo Inband porque pueden obtenerse direcciones IP y MAC únicas para las VMs.

    • El agente NAC no se soporta en modo OOB porque, con el modo OOB, tiene que restringir una dirección MAC por switchport. Las direcciones MAC múltiples detrás de un switchport no se soportan con OOB. (Los teléfonos IP y los equipos conectados con los teléfonos IP se soportan.)

Por lo tanto, el resumen es que el agente NAC es soportado en VMware si:

  • El NAC está en el modo Inband.

  • VMware está en el modo de bridge.

Para el resto de los modos, no es soportado.

Q. ¿El NAC 4.5 o posterior soporta Trend Micro OfficeScan 10.x?

A. El NAC soporta Trend Micro OfficeScan 10.x a partir de la versión 4.7.1.

Mensajes de error

Q. El Agente de Acceso de Mantenimiento de Cisco visualiza o el SecureSmart no está disponible en la red o ningún servidor SecureSmart encontró en el mensaje de Error de red. Reinicié el Cisco Cisco Access Server y úselo durante algún tiempo. ¿Cómo resuelvo este problema?

A. Este error es causado por la incapacidad del Cisco Clean Access Agent de comunicarse con el Cisco Clean Access Server a través del protocolo SWISS (la comunicación encriptada sobre el puerto 8905 UDP).

Esto puede ser debido a:

  • Los archivos log han crecido demasiado.

  • Verifique para ver si las entradas de Apache hacen que los logs alcancen el tamaño de 2 GB. Este problema se repara en la versión 3.3.x y posterior.

  • El certificado SS es inválido. Si el certificado del Clean Access Server es inválido/incorrecto, la conexión HTTPS no se puede hacer correctamente. Verifique que el popup del certificado tenga las dos comprobaciones inferiores para el certificado temporal, o tres comprobaciones para el certificado firmado por CA.

  • La hora de cliente es incorrecta. Si el tiempo en la máquina del cliente hace que no confíe en el certificado de servidor (por ejemplo, el tiempo de cliente se fija a una hora anterior a la hora del servidor), esto hace que la el período del certificado sea posterior desde la perspectiva del cliente. Verifique la hora en e Cleanl Access Server y asegúrese de habilitar el protocolo NTP a un servidor temporizador.

  • Hay tarjetas de red múltiple en la máquina del cliente. Si la máquina del cliente tiene varias tarjetas, es posible que Windows utilice la tarjeta incorrecta para enviar la información. Inhabilite la tarjeta de red que no se usa para solucionar este problema.

  • Intente despejar la caché en Enforcer PC.

    • Ejecute cualquier el comando ipconfig o dnsflush en el comando prompt.

      O

    • En Internet Explorer, en Tools > Internet Options > Advanced, de-select Check for server certificate revocation.

  • La conectividad de red no se establece.

  • Verifique para asegurarse que tiene una dirección IP adecuada.

  • El equipo local o la máquina puede presentar ciertos problemas después de una nueva instalación del Cisco Clean Access Agent.

  • Reinicie la PC Ejecute el comando service perfigo restart en el Clean Access Server.

  • El puerto de destino 8905 en el Cisco Clean Access Server está bloqueado por un firewall de red o un firewall personal.

  • Asegúrese de que el puerto 8905 esté abierto.

  • El software de Otra Empresa interfiere con el Cisco Clean Access Agent. Intente inhabilitar ese software para ver si el Clean Access funciona.

  • Intente apagar los firewalls personales, inhabilite el software VPN, o inhabilite los bloqueadores de correo no deseado.

  • Un defecto del software se identifica y se repara en el Cisco Clean Access Server 3.2.6.

  • Actualización a Cisco Clean Access Manager y a Cisco Clean Access Server 3.2.6.

Q. El Agente de Acceso de Mantenimiento de Cisco recibe el mensaje de error del Error de red mientras que abre una sesión. ¿Por qué ocurre esto?

A. El Cisco Clean Access Agent muestra este error cuando no puede comunicarse con el Cisco Cisco Access Server con el HTTPS. Esto puede suceder debido a varias razones:

  • El certificado SS es inválido. Si el certificado del Cisco Clean Access Server es inválido/incorrecto, la conexión HTTPS no se puede hacer correctamente.

    Verifique que el popup del certificado tenga las dos comprobaciones inferiores para el certificado temporal, o tres comprobaciones para el certificado firmado por CA.

  • La hora de cliente es incorrecta. La hora en la máquina del cliente hace que no confíe en el certificado de servidor. Por ejemplo, la hora de cliente se fija a una hora anterior a la hora del servidor. Esto hace que el período del certificado ea posterior desde la perspectiva del cliente.

    Verifique la hora en el Cisco Clean Access Server y asegúrese de habilitar un protocolo NTP a un servidor temporizador.

  • Múltiples tarjetas de red en la máquina del cliente. Si la máquina del cliente tiene varias tarjetas, es posible que Windows utilice la tarjeta incorrecta para enviar la información.

    Inhabilite la tarjeta de red que no se use para solucionar este problema.

  • El software de Otra Empresa interfiere con la comunicación entre el Cisco Clean Access Agent y el Cisco Clean Access Server. Es posible que el software tal como cliente VPN del ½ de ¿Â del Cliente Cisco VPN, de CheckPointïÂ, y los escudos de protección personal afecta posiblemente a la comunicación.

  • Intente inhabilitar ese software para ver si el Cisco Clean Access Agent funciona.

  • Depeje la caché.

    • Ejecute el comando ipconfig /dnsflush command en el command prompt, o en Internet Explorer en Internet Options > Advanced, de-select Check for server certificate revocation.

Q. ¿Qué hace la esta actualización no se puede realizar para un mensaje de error no administrador de la cuenta en el Agente de Acceso de Mantenimiento de Cisco durante un medio de la actualización de Windows?

A. El problema es que el Clean Access Agent no puede realizar la actualización de Windows para usuarios que no son administradores. Se necesita Agent Stub para que un usuario que no es administrador inicie Windows Server Update Services (WSUS). El servicio de Stub se requiere para soportar estas funciones para los usuarios que no son administradores.

  • Descarga e instalación del agente

  • Actualización del agente

  • Inicio de un un ejecutable

  • Inicio de las actualizaciones WSUS

  • Acceso a la detección de Autenticación de cambio de VLAN

  • Actualización o renovación de IP

Q. Qué hace esta versión de cliente es vieja y no compatible. ¿Inicie sesión por favor del buscador Web para ver el link de la descarga para el mensaje de error de la nueva versión en el medio del Agente de Acceso de Mantenimiento de Cisco?

A. El problema es que el Clean Access Access una versión diferente del servidor. Intente utilizar una versión de Clean Access Agent que coincida con la del servidor.

Q. He instalado recientemente el sistema de Windows 98. Cuando instalo el 3.2.0 Cisco Clean Access Agent client en la máquina se me indica que debo actualizar el instalador. Sin embargo, tan pronto como el Agente de Acceso de Mantenimiento de Cisco intente poner al día el instalador yo consiga a actualización proporcionada del instmsi el 'C ejecutable: Windows \ Internet temporal Files\Content.IE5\KXERWHYB\InstMSIA[2].exe es mensaje de error inválido. ¿Cómo resuelvo este problema?

A. Instale la versión completa del Cisco Clean Access Agent 3.1.3 o 3.2.0 (mayor que 5 Mb).

Q. Cargué el Cisco Clean Access Agent en mi Cisco Clean Access Server. Sin embargo, el Cisco Clean Access Server no lo publica. Consigo marcar para saber si hay el archivo cliente cargado del SmartEnforcer…. Archivo cliente del SmartEnforcer no encontrado. . ¿Cómo resuelvo este problema?

A. Cargue el archivo .exe, no el archivo .zip. Asegúrese de extraer el archivo .exe de la carpeta zip antes de cargarlo. Además, no cambie el nombre del archivo original .exe.

Q. ¿Por qué recibo el mensaje de error Access to network is blocked by the adminstrator en el Cisco Clean Access Agent cuando intento iniciar sesión?

A. Si usa las redes inalámbricas y cableadas al mismo tiempo, este mensaje de error puede aparecer. Intente utilizar la red inalámbrica o la red cableada para ver si se soluciona el problema. También, intente utilizar CCA versión 4.1.3. Esto puede ayudar a resolver el problema.

Q. ¿ Por qué recibo la advertencia: The current Trusted Certificate Authority 'www.perfigo.com' is suited for lab environments only. Cisco recomienda importar una Autoridad Certificadora de terceros. Verifique sus Clean Access Servers y Clean Access Manager en espera si le aparecen mensajes similares. mensaje de error después de actualizar el NAC Appliance?

A. Este mensaje de error de debe a los certificados perfigo. Este problema puede resolverse borrando el Perfigo CA de la lista de confianza CA.

Q. ¿Qué significa el mensaje de error Revocation information for the security certificate for this site is not available. Do you want to proceed e Cisco Clean Access Agent?

A. Este problema es debido a la falta de disponibilidad de la información de la revocación para el certificado de seguridad. Hay dos resoluciones disponibles para este problema. Las resoluciones se proporcionan abajo:

  1. Cuando usted utiliza un certificado CA-firmado de CAS SSL, marque el campo de las puntas de la distribución CRL del certificado, que incluye el intermedio o raíz CA, y agregue los host URL a la directiva permitida del host del unauthenticated/de los papeles temporales/de la cuarentena. Esto permite que el agente traiga los CRL al abrir una sesión.

  2. Siga estos pasos en su navegador de Internet para resolver este problema:

    1. Importe el certificado al almacén de la Raíz confiable del sistema del cliente.

    2. Elija Tools > Internet Options > Advanced tab > Security section y desmarque Check for server certificate revocation (requires restart).

    3. Ahora cierre al navegador existente y abra un nuevo para que los cambios tengan efecto.

Otra solución alternativa a quitar de este mensaje de error está disponible. Usted puede agregar <AllowCRLChecks>0</AllowCRLChecks> al archivo NACAgentCFG.xml en este directorio: Agente del NAC de C:\ProgramFiles\Cisco\Cisco

Nota: El mensaje de error de Rev Failed 12057 del certificado del Error de red SSL en el Agente de Acceso de Mantenimiento de Cisco genera debido a este problema.

Si desea más información, consulte estos documentos:

Q. Cuando inicio el agente de la red en la máquina de Windows 7, falla con el código 3. del mensaje de error. ¿Cómo reparo este problema?

A. El código de error 3 es un mensaje que indica que el agente fue descargado pero no instalado. Éstas son soluciones alternativas posibles:

  1. Verifique que el UAC (control de cuentas de usuario) esté habilitado.

  2. Verifique que el Internet Explorer se esté ejecutando en el modo administrador.

  3. Verifique si algún fucnction activo X falla e intente reajustar todo el IE y permisos activos X de omitir.

  4. Verifique si algún otro software anti del virus (AV) evita que el IE inicie su ejecutable de su directorio temporal.

Q. Recibo un error de secuencia de comandos de Internet Explorer cuando el agente del NAC intenta comenzar. ¿Cómo resuelvo este problema?

A. El mensaje de error se muestra abajo.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-2.gif

Complete estos pasos para solucionar este problema:

  1. Desinstale el agente del NAC de Cisco del sistema.

  2. Borre manualmente el Directorio del agente del NAC de C:\Program Files\Cisco\Cisco.

  3. Descargue regrserv32a.exe de este URL:

    http://support.microsoft.com/kb/267279 leavingcisco.com

  4. Ejecute regserv32a.exe. La aplicación se extrae a su computadora local.

  5. Abra un comando prompt, y cambie al directorio en el cual la aplicación regserv32.exe fue extraída.

  6. Ejecute regsvr32.exe msxml3.dll.

    Un cuadro de diálogo aparece que estado el registro era acertado.

  7. Instale el agente del NAC de Cisco.

  8. Verifique que el agente del NAC de Cisco comience con éxito.

Miscelánea

Q. ¿Qué necesito hacer para corregir cuando los clientes MAC no reorientan a la página no encontrada de la página?

A. Asegúrese de que no utiliza un nombre de dominio que termina en .local. El MAC lo considera un nombre DNS especial para el DNS multicast. Por lo tanto, la petición de la resolución nunca se envía al servidor DNS.

Q. ¿Qué sucede si el Clean Access Agent es bloqueado por McAfee?

A. El problema es que el Clean Access Agent es bloqueado por McAfee ya que considera que el programa de configuración webagent (webagentsetup-win.exe) es un troyano. Una solución temporal para este problema es modificar el método que los clientes descargan para excluir el applet de ActiveX y para utilizar estrictamente el componente Java. Esto se puede fijar en el CAM usando el UserPages - página de registro - edita - cliente de Web (ActiveX/applet) - la Java Applet solamente. O, el usuario puede utilizar cualquier otro navegador, preferiblemente Firefox.

Q. ¿Con quién intenta comunicarse Cisco Clean Access Server cuando se conecta con el puerto 8905 como su puerto de origen?

A. El Cisco Clean Access Agent se comunica con el Cisco Clean Access Server a través del protocolo SWISS usando la comunicación encriptada en el puerto 8905 UDP.

Q. ¿Cómo limito el acceso SSH al Cisco Clean Access Server?

A. Cambie el archivo de /etc/ssh/sshd_config agregando una línea similar a ésta:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Por ejemplo:

ListenAddress 192.168.151.60 

Ejecute el comando service sshd restart command para reiniciar el proceso SSHD.

Q. ¿Cómo inhabilito el Clean Access Agent para Windows 98/95?

A. En CleanMachines, desmarque Windows All y seleccione cada OS de forma independiente para Require Use of Clean Access Agent.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-3.gif

Q. Los Edge switches que ejecutan SNMPv3 no son sondeados correctamente por el Colector después de enviar un link o notificación de trampa MAC. El descubrimiento de los puntos finales que conectan con los puertos en los switches que ejecutan el SNMPv3 se demora hasta el sondeo regular siguiente del switch por NetMap en el Profiler del NAC. ¿por qué?

A. Este problema se relaciona con la Cisco bug ID CSCta25695 (sólo clientes registrados). Consulte este bug para obtener más información.

Q. ¿Por qué se presentan algunos problemas cuando utilizo los certificados del Perfigo en el dispositivo NAC?

A. La razón de los problemas cuando utiliza los certificados de Perfigo puede ser la versión del dispositivo NAC de Cisco utilizada. La versión del dispositivo NAC de Cisco 4.7(0) contiene no más el Certificate Authority (CA) de www.perfigo.com en el .ISO o la imagen de actualización. Los administradores que requieren www.perfigo.com CA en la red deben importar manualmente el CA de una máquina local después de la instalación o de la actualización a la Versión 4.7(0).

Para establecer el canal inicial de la comunicación segura entre un CAM y un CAS, debe importar el certificado raíz de cada aplicación en el otro almacén de confianza de la aplicación de modo que el CAM pueda confiar en el certificado del CAS y viceversa.

Q. La comprobación AV falla en el Cisco Clean Aaccess para máquinas con Windows. ¿Cómo reparo este problema?

A. Este problema sucede porque no se eligió la regla correcta en las reglas de requisitos para Windows 7 OS. Elija toda las reglas de requisitos para Windows 7 en el requisito existente.

Q. El NAC niega el acceso a la red debido a ningún antivirus que es instalado en el puesto de trabajo aunque el AVG 10 está instalado en él. ¿Cuál es la razón detrás de este problema?

A. El AVG 10 todavía no se soporta en el NAC. Refiera al bug Cisco IDCSCTJ89340 (clientes registrados solamente) para más información sobre esta mejora

Q. ¿Puedo pasar los pedidos de DHCP para los Teléfonos IP de Nortel detrás de un NAC?

A. Sí. Usted puede pasar los pedidos de DHCP para los Teléfonos IP de Nortel detrás de un NAC. Refiera a los Teléfonos IP de Nortel detrás del NAC para más información.


Información Relacionada


Document ID: 63591