Routers : Routers Cisco de la serie 7200

(CSD) del Cisco Secure Desktop en el ejemplo de la configuración IOS usando el SDM

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (2 Octubre 2014) | Comentarios


Contenido


Introducción

Aunque las sesiones VPN de Secure Sockets Layer (SSL) (WebVPN de Cisco) sean seguras, el cliente puede tener todavía cookies, archivos del navegador y adjuntos de correo electrónico después de completarse una sesión. El (CSD) del Cisco Secure Desktop amplía la Seguridad inherente de las sesiones de VPN SSL escribiendo los datos de la sesión en un formato cifrado a un área especial de la cámara acorazada del disco del cliente. Además, estos datos se quitan del disco al final de la sesión VPN de SSL. Este documento presenta una configuración de muestra para el CSD en un router del½ del¿Â del Cisco IOSïÂ.

El CSD se soporta en las Plataformas siguientes del dispositivo de Cisco:

  • Versión 12.4(6)T y posterior del Routers del Cisco IOS

  • Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 y 7301 Router

  • Versión 4.7 y posterior del Concentradores Cisco VPN de la serie 3000

  • Versión 7.1 y posterior de los dispositivos de seguridad de las 5500 Series de Cisco ASA

  • Módulo de servicios del WebVPN de Cisco para el Cisco Catalyst y la versión 1.2 y posterior de las Cisco 7600 Series

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Requisitos para el router del Cisco IOS

  • Router del Cisco IOS con imagen 12.4(6T) o más adelante avanzada

  • (SDM) seguro 2.3 del administrador de dispositivo del router Cisco o más alto

    Si no cargan a su router ya con el SDM, usted puede obtener una copia libre de la descarga del SDM. Se requiere una cuenta válida y el contrato de servicio CCO. Refiera a la configuración su router con el Administrador de dispositivos de seguridad para más detalles.

  • Una copia del CSD para el paquete IOS en su estación de administración

    Usted puede obtener una copia del CSD de la descarga del software: El Cisco Secure Desktop el software está libre si usted tiene una cuenta CCO con un contrato de servicio.

  • Un router uno mismo-firmó el certificado digital o la autenticación con un Certificate Authority (CA)

    Nota: Siempre usted utiliza los Certificados digitales, aseegurese que usted fija el nombre de host, el Domain Name, y la fecha/el tiempo/el timezone del router correctamente.

  • Una contraseña enable secret en el router

  • DNS habilitado en su router. Varios servicios del WebVPN requieren el DNS trabajar correctamente.

Requisitos para las computadoras cliente

  • Los clientes remotos deben tener privilegios administrativos locales; no se requiere, sino que se sugiere altamente.

  • Los clientes remotos deben tener versión 1.4 o posterior del Entorno de tiempo de ejecución Java (JRE).

  • Navegadores de cliente remoto: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, safari 1.2.2, o Firefox 1.0

  • Cookie habilitados y popups permitido en los clientes remotos

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Router 3825 del Cisco IOS con la versión 12.9(T)

  • Versión 2.3.1 del SDM

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos usados en este documento comenzaron con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Este ejemplo utiliza a un Cisco 3825 Series Router para permitir el acceso seguro al intranet de la compañía. El Cisco 3825 Series Router aumenta la Seguridad de las conexiones VPN SSL con las características configurables y las características CSD. Los clientes pueden conectar con el router CSD-habilitado vía uno de estos tres métodos SSL VPN: Clientless SSL VPN (WebVPN), cliente “liviano” SSL VPN (Puerto-expedición), o cliente VPN SSL (el hacer un túnel completo SVC).

/image/gif/paws/70791/csd-ios-2.gif

Productos Relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

  • Plataformas del router de Cisco 870,1811,1841,2801,2811,2821 2851,3725,3745.3825,3845, 7200 y 7301

  • Versión de imagen 12.4(6)T de la Seguridad avanzada del Cisco IOS y posterior

Convenciones

Refiera a los convenios de los consejos técnicos de Cisco para más información sobre las convenciones sobre documentos.

Configurar

Un gateway del WebVPN permite que un usuario conecte con el router vía una de las tecnologías VPN SSL. Solamente un gateway del WebVPN por la dirección IP se permite en el dispositivo, aunque más de un contexto del WebVPN se pueda asociar a un gateway del WebVPN. Cada contexto es identificado por un nombre único. Las directivas del grupo identifican los recursos configurados disponibles para un contexto determinado del WebVPN.

La configuración del CSD en un router IOS se logra en dos fases:

Fase I: Prepare a su router para la configuración CSD con el SDM

  1. Configure un gateway del WebVPN, un contexto del WebVPN, y una directiva del grupo.

    Nota: Este paso es opcional y no se cubre con gran detalle en este documento. Si usted ha configurado ya a su router para una de las tecnologías VPN SSL, omita este paso.

  2. Habilite el CSD en un contexto del WebVPN.

Fase II: Configuración CSD usando un buscador Web.

  1. Defina las ubicaciones de Windows.

  2. Identifique los criterios de la ubicación.

  3. Configure los módulos y las características de la ubicación de Windows.

  4. Configure las características de Windows CE, de Macintosh, y de Linux.

Fase I: Prepare a su router para la configuración CSD con el SDM.

El CSD se puede configurar con el SDM o del comando line interface(cli). Esta configuración utiliza el SDM y a un buscador Web.

Estos pasos se utilizan para completar la configuración del CSD en su router IOS.

Fase I: Paso 1: Configure un gateway del WebVPN, un contexto del WebVPN, y una directiva del grupo.

Usted puede utilizar al Asisitente del WebVPN para lograr esta tarea.

  1. Abra el SDM y vaya a la configuración > al VPN > al WebVPN. Haga clic la lengueta del WebVPN del crear y marque el crear un nuevo botón de radio del WebVPN. Haga clic el lanzamiento la tarea seleccionada.

    /image/gif/paws/70791/csd-ios_1.gif

  2. La pantalla de asistente del WebVPN enumera los parámetros que usted puede configurar. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_2.gif

  3. Ingrese el IP Address para el gateway del WebVPN, un nombre único para el servicio, y la información del certificado digital. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_3.gif

  4. Las cuentas de usuario se pueden crear para la autenticación a este gateway del WebVPN. Usted puede utilizar las cuentas locales o las cuentas creadas en una autenticación externa, un servidor de la autorización, y de las estadísticas (AAA). Este ejemplo utiliza las cuentas locales en el router. Compruebe el botón de radio localmente este router y haga click en Add

    /image/gif/paws/70791/csd-ios_4.gif

  5. Ingrese la información de la cuenta para el usuario nuevo en el agregar una pantalla de la cuenta y haga clic la AUTORIZACIÓN.

    /image/gif/paws/70791/csd-ios_5.gif

  6. Después de que usted haya creado a sus usuarios, haga clic después en la página de la autenticación de usuario.

    /image/gif/paws/70791/csd-ios_6.gif

  7. La pantalla de los sitios web del Intranet de la configuración permite que usted configure el sitio web disponible para los usuarios del gateway del WebVPN. Puesto que el foco de este documento es la configuración del CSD, desatienda esta página. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_7.gif

  8. Aunque la pantalla de asistente siguiente del WebVPN le permita que la opción habilite al cliente VPN lleno del túnel SSL, el foco de este documento es cómo habilitar el CSD. Desmarque el túnel lleno del permiso y haga clic después.

    /image/gif/paws/70791/csd-ios_8.gif

  9. Usted puede personalizar el aspecto de la página porta del WebVPN a los usuarios. En este caso, se valida la apariencia predeterminada. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_9.gif

  10. El Asisitente visualiza la pantalla más reciente de esta serie. Muestra un resumen de la configuración para el gateway del WebVPN. AUTORIZACIÓN del clic en Finalizar y, cuando está indicado, del tecleo.

    /image/gif/paws/70791/csd-ios_10.gif

Fase I: Paso 2: Permiso CSD en un contexto del WebVPN.

Utilice al Asisitente del WebVPN para habilitar el CSD en un contexto del WebVPN.

  1. Utilice las funciones avanzadas del Asisitente del WebVPN para habilitar el CSD para el contexto creado recientemente. El Asisitente le da la oportunidad de instalar el paquete CSD si no está instalado ya.

    1. En el SDM, haga clic la lengueta de la configuración.

    2. En el SCR_INVALID, haga clic VPN > WebVPN.

    3. Haga clic la lengueta del WebVPN del crear.

    4. Marque las características del avance de la configuración para un botón de radio existente del WebVPN.

    5. Haga clic el lanzamiento el botón de tarea seleccionado.

      /image/gif/paws/70791/csd-ios_11.gif

  2. La página de Bienvenida para las visualizaciones avanzadas del Asisitente del WebVPN. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_12.gif

  3. Elija el WebVPN y al grupo de usuarios de las casillas desplegables de los campos. Las características avanzadas del Asisitente del WebVPN serán aplicadas a sus opciones. Haga clic en Next (Siguiente).

    /image/gif/paws/70791/csd-ios_13.gif

  4. La pantalla selecta de las funciones avanzadas permite que usted elija de las Tecnologías mencionadas.

    1. Cisco Secure Desktop del control.

    2. En este ejemplo, la opción es modo del clientless.

    3. Si usted elige un de los otras Tecnologías mencionadas, las ventanas adicionales se abren para permitir la entrada de la información relacionada.

    4. Haga clic el botón Next Button.

    /image/gif/paws/70791/csd-ios_14.gif

  5. La pantalla de los sitios web del Intranet de la configuración permite que usted configure los recursos del sitio web que usted quiere disponible a los usuarios. Usted puede agregar los sitios web internos de la compañía tales como Acceso Web de la perspectiva (OWA).

    /image/gif/paws/70791/csd-ios_15.gif

  6. En la pantalla del (CSD) del Cisco Secure Desktop del permiso, usted tiene la oportunidad de habilitar el CSD para este contexto. Marque el cuadro por otra parte instalan el (CSD) del Cisco Secure Desktop y el tecleo hojea.

    /image/gif/paws/70791/csd-ios_16.gif

  7. De la área de ubicación selecta CSD, mi PC del control.

    1. Haga clic el botón Browse.

    2. Elija el archivo de paquete IOS CSD en su estación de trabajo de administración.

    3. Haga clic en el botón OK (Aceptar)

    4. Haga clic el botón Next Button.

    /image/gif/paws/70791/csd-ios_17.gif

  8. Un resumen de las visualizaciones de pantalla de configuración. Haga clic el botón Finish Button.

    /image/gif/paws/70791/csd-ios_18.gif

  9. Haga Click en OK cuando usted ve que el archivo de paquete CSD ha estado instalado con éxito.

    /image/gif/paws/70791/csd-ios_19.gif

Fase II: Configuración CSD usando un buscador Web.

Estos pasos se utilizan para completar la configuración del CSD en su buscador Web.

Fase II: Paso 1: Defina las ubicaciones de Windows.

Defina las ubicaciones de Windows.

  1. Abra a su buscador Web en el direccionamiento/csd_admin.html de https://WebVPNgateway_IP, por ejemplo, https:/192.168.0.37/csd_admin.html.

  2. Ingrese el nombre del usuario administrador.

    1. Ingrese la contraseña, que es el secreto del habilitar del router.

    2. Haga clic en Login (Conexión).

    /image/gif/paws/70791/csd-ios_20.gif

  3. Valide el certificado ofrecido por el router, elija el contexto de la casilla desplegable, y el tecleo va.

    /image/gif/paws/70791/csd-ios_21.gif

  4. El administrador del Secure Desktop para el WebVPN se abre.

    /image/gif/paws/70791/csd-ios_22.gif

  5. Del panel izquierdo, elija las configuraciones de ubicación de Windows.

    1. Coloque el cursor en el rectángulo al lado del nombre de la ubicación, y ingrese un nombre de la ubicación.

    2. Haga clic en Add (Agregar).

    3. En este ejemplo, se muestran tres nombres de la ubicación: Oficina, hogar, e inseguro. Cada vez que se agrega una nueva ubicación, el panel izquierdo se amplía con los parámetros configurables para esa ubicación.

    /image/gif/paws/70791/csd-ios_23.gif

  6. Después de que usted cree las ubicaciones de Windows, haga clic la salvaguardia en la cima del panel izquierdo.

    Nota:  Salve sus configuraciones a menudo porque sus configuraciones serán perdidas si usted hace disconnected del buscador Web.

    /image/gif/paws/70791/csd-ios_24.gif

Fase II: Paso 2: Identifique los criterios de la ubicación

Para distinguir las ubicaciones de Windows de uno a, asigne los criterios específicos a cada ubicación. Esto permite que el CSD determine que de sus características a aplicarse a una ubicación determinada de Windows.

  1. En el panel izquierdo, oficina del tecleo.

    1. Usted puede identificar una ubicación de Windows con los criterios del certificado, los criterios IP, un archivo, o los criterios del registro. Usted puede también elegir el producto de limpieza de discos del Secure Desktop o del caché para estos clientes. Puesto que estos usuarios son oficinistas internos, identifiqúelos con los criterios IP.

    2. Ingrese los alcances del IP Address en y a los rectángulos.

    3. Haga clic en Add (Agregar). Desmarque el módulo del uso: Secure Desktop.

    4. Cuando se le pregunte, salvaguardia del tecleo, y AUTORIZACIÓN del tecleo.

    /image/gif/paws/70791/csd-ios_25.gif

  2. En el panel izquierdo, haga clic el segundo hogar de la configuración de ubicación de Windows.

    1. Aseegurese el módulo del uso: Se marca el Secure Desktop.

    2. Un archivo será distribuido que identifica a estos clientes. Usted podría elegir distribuir los Certificados y/o los criterios del registro para estos usuarios.

    3. Marque la identificación del permiso usando los criterios del archivo o del registro.

    4. Haga clic en Add (Agregar).

    /image/gif/paws/70791/csd-ios_26.gif

  3. En el cuadro de diálogo, elija el archivo, y ingrese la trayectoria al archivo.

    1. Este archivo se debe distribuir a todos sus clientes caseros.

    2. Marque el botón de radio existe.

    3. Cuando se le pregunte, AUTORIZACIÓN del tecleo, y salvaguardia del tecleo.

    /image/gif/paws/70791/csd-ios_27.gif

  4. Para configurar la identificación de las ubicaciones inseguras, no aplique simplemente ninguna criterios de identificación.

    1. Haga clic inseguro en el panel izquierdo.

    2. Deje todos los criterios desmarcados.

    3. Marque el módulo del uso: Secure Desktop.

    4. Cuando se le pregunte, salvaguardia del tecleo, y AUTORIZACIÓN del tecleo.

    /image/gif/paws/70791/csd-ios_28.gif

Fase II: Paso 3: Módulos y características de la ubicación de Windows de la configuración.

Configure las características CSD para cada ubicación de Windows.

  1. Bajo la oficina, haga clic la directiva de la característica VPN. Puesto que éstos son clientes internos confiados en, ni el CSD ni el producto de limpieza de discos del caché fue habilitado. Ningunos de los otros parámetros están disponibles.

    /image/gif/paws/70791/csd-ios_29.gif

  2. Gire las características como se muestra.

    1. En el panel izquierdo, elija la directiva de la característica VPN bajo hogar.

    2. No prohibirán los usuarios caseros el acceso al LAN corporativo si los clientes cumplen ciertos criterios.

    3. Bajo cada método de acceso, elija ENCENDIDO si se corresponden con los criterios.

    /image/gif/paws/70791/csd-ios_30.gif

  3. Para exploración de la Web, haga clic los puntos suspensivos y elija los criterios que deben hacer juego. Haga Click en OK en el cuadro de diálogo.

    /image/gif/paws/70791/csd-ios_31.gif

  4. Usted puede configurar los otros métodos de acceso de manera similar.

    1. Bajo hogar, elija el maderero del golpe de teclado.

    2. Ponga una marca de tilde al lado de la comprobación para los madereros del golpe de teclado.

    3. Cuando se le pregunte, salvaguardia del tecleo, y AUTORIZACIÓN del tecleo.

    /image/gif/paws/70791/csd-ios_32.gif

  5. Bajo ubicación casera de las ventanas, elija el producto de limpieza de discos del caché. Deje las configuraciones predeterminadas tal y como se muestra en de la captura de pantalla.

    /image/gif/paws/70791/csd-ios_33.gif

  6. Bajo hogar, elija al general del Secure Desktop. El control sugiere la desinstalación de la aplicación sobre el closing del Secure Desktop. Deje el resto de los parámetros en sus configuraciones predeterminadas tal y como se muestra en de la captura de pantalla.

    /image/gif/paws/70791/csd-ios_34.gif

  7. Para las configuraciones del Secure Desktop bajo hogar, elija permiten que las aplicaciones del email trabajen transparente. Cuando se le pregunte, salvaguardia del tecleo, y AUTORIZACIÓN del tecleo.

    /image/gif/paws/70791/csd-ios_35.gif

  8. La configuración del navegador del Secure Desktop es dependiente sobre independientemente de si usted quisiera que estos usuarios accedieran un sitio web de la compañía con los favoritos preconfigurados.

    1. Bajo inseguro, elija la directiva de la característica VPN.

    2. Porque éstos no son usuarios confiados en, permita solamente exploración de la Web.

    3. Elija ENCENDIDO del menú desplegable para exploración de la Web.

    4. El resto del acceso se fija a APAGADO.

    /image/gif/paws/70791/csd-ios_36.gif

  9. Marque la comprobación para la casilla de verificación de los madereros del golpe de teclado.

    /image/gif/paws/70791/csd-ios_37.gif

  10. Configure el producto de limpieza de discos del caché para inseguro.

    1. Marque el limpio el caché entero además de la casilla de verificación del caché de la sesión en curso (IE solamente).

    2. Deje las otras configuraciones en sus valores por defecto.

    /image/gif/paws/70791/csd-ios_38.gif

  11. Bajo inseguro, elija al general del Secure Desktop.

    1. Reduzca la inactividad del descanso a 2 minutos.

    2. Marque la desinstalación de la aplicación de la fuerza sobre la casilla de verificación cerrada del Secure Desktop.

    /image/gif/paws/70791/csd-ios_39.gif

  12. Elija las configuraciones del Secure Desktop bajo inseguro, y configure las configuraciones muy restrictivas como se muestra.

    /image/gif/paws/70791/csd-ios_40.gif

  13. Elija al navegador del Secure Desktop. En el campo del Home Page, ingrese el Web site al cual dirigirán a estos clientes para su Home Page.

    /image/gif/paws/70791/csd-ios_41.gif

Fase II: Paso 4: Características de la configuración Windows CE, de Macintosh, y de Linux.

Configure las características CSD para Windows CE, Macintosh, y Linux.

  1. Elija Windows CE bajo el administrador del Secure Desktop. Windows CE ha limitado las características VPN. Dé vuelta exploración de la Web a ENCENDIDO.

    /image/gif/paws/70791/csd-ios_42.gif

  2. Elija el mac y el producto de limpieza de discos del caché de Linux.

    1. Macintosh y los sistemas operativos de Linux tienen acceso solamente a los aspectos del producto de limpieza de discos del caché del CSD. Configurelos tal y como se muestra en del gráfico.

    2. Cuando se le pregunte, salvaguardia del tecleo, y AUTORIZACIÓN del tecleo.

    /image/gif/paws/70791/csd-ios_43.gif

Verificación

Pruebe la operación CSD

Pruebe la operación del CSD conectando con el WebVPN el gateway con un navegador habilitado SSL en el direccionamiento de https://WebVPN_Gateway_IP.

Nota: Recuerde utilizar el nombre único del contexto si usted creó diversos contextos del WebVPN, por ejemplo, https://192.168.0.37/cisco.

/image/gif/paws/70791/csd-ios_44.gif

Comandos

Varios comandos show se asocian a WebVPN. Puede ejecutar estos comandos en command-line interface (CLI) para mostrar las estadísticas y otra información. Para obtener información detallada sobre los comandos show, consulte Verificar la Configuración WebVPN.

Nota: La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshooting

Comandos

Varios comandos debug se asocian a WebVPN. Para obtener información detallada sobre estos comandos, consulte Uso de los Comandos Debug de WebVPN.

Nota: El uso de los comandos debug puede afectar negativamente su dispositivo de Cisco. Antes de que utilice los comandos debug, consulte Información Importante sobre los Comandos Debug.

Para más información sobre los comandos clear, refiérase con los comandos clear del WebVPN.


Información Relacionada


Document ID: 70791