Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Clientless SSLVPN ASA: Problemas del enchufe RDP

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (19 Noviembre 2013) | Comentarios


Contenido


Introducción

El plug-in RDP (Remote Desktop Protocol) es uno de los plug-ins disponibles para los usuarios de Cisco ASA Clientless SSLVPN entre otros, por ejemplo SSH, VNC y Citrix. El enchufe RDP es uno de los enchufes más usados de esta colección, y es también el que está con la porción de cerco de la confusión.

Este documento proporciona las respuestas a un par de preguntas y cualquier otros se aumenten que después de que ciertas puntas se hagan claramente. Este documento no proporciona la información sobre cómo configurar el enchufe, porque no hay mucho con excepción de importar el enchufe derecho.

Refiera a la guía del despliegue de VPN de Cisco ASA 5500 SSL, versión 8.x.

Nota: Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Enchufe RDP

El enchufe RDP se ha desarrollado durante un período de tiempo de un enchufe Java-basado puro RDP algo que incluye ambo al cliente de ActiveX RDP (Internet Explorer), así como al cliente de las Javas (navegadores NON-IE).

Para el cliente de las Javas RDP, el enchufe de Cisco RDP utiliza al cliente del properJava RDP: http://properjavardp.sourceforge.net/

El enchufe RDP también incorpora al cliente de ActiveX RDP, y hace una llamada, si utilizar al cliente de las Javas o de ActiveX basado en el navegador. Es decir:

  • Si los usuarios IE están intentando al RDP a través del portal del clientless SSLVPN, y el marcador URL no contiene el argumento de “ForceJava=true”, después utilizan al cliente de ActiveX.

  • Si los usuarios NON-IE están intentando iniciar un marcador RDP o un URL, sólo inician al cliente de las Javas.

RDP y RDP-2: ¿Qué enchufe a utilizar?

Enchufe RDP: Éste es el enchufe original de las Javas RDP que fue puesto al día para agregar al cliente de ActiveX.

Enchufe RDP2: Esto se basa en el cliente supuesto actualizado del properJava RDP del protocolo RDP2 significado para Windows 2003 servidores terminales y los servidores terminales de Windows Vista.

Sin embargo, el último enchufe RDP combina el RDP y RDP2, así haciendo el RDP2 Obsoleto plug-in. Es decir, el ir adelante usted necesitará solamente utilizar el enchufe RDP (por ejemplo, rdp-plugin.yymmdd.jar)

Donde descargar el enchufe de:

Descargar Software

/image/gif/paws/113600/ptn_113600-01.gif

El enchufe actual RDP es el "rdp-plugin.120424.jar". Éste era en abril 27mo liberada, 2012.

Matriz de compatibilidad del buscador

La matriz de compatibilidad del buscador existe solamente para la implementación del clientless SSLVPN y la versión de OS ASA. Mientras se satisfaga esta matriz, los enchufes se soportan automáticamente. Para más información sobre las Plataformas soportadas VPN, refiera a las 5500 Series de Cisco ASA.

¿Qué a esperar y qué a no esperar?

RDP-ActiveX

  • Significado solamente para el Internet Explorer

  • El sonido se retransmite sobre la sesión RDP

RDP-Javas

  • Debe trabajar en todos los buscadores admitidos (de la matriz antedicha) que hacen las Javas habilitar.

  • Inician al cliente de las Javas en el Internet Explorer solamente si ActiveX no puede iniciar o el argumento de “ForceJava=true” se pasa en el marcador RDP o el URL.

  • Porque la implementación de las RDP-Javas se basa en el proyecto del properJava RDP, una iniciativa de fuente abierta, servicio Best Effort se proporciona durante la época del error plug-in.

Localización de averías de los problemas RDP

¿Qué a recoger?

  1. Salida de la tecnología de la demostración.

  2. Salida del enchufe del webvpn de la importación de la demostración detallado.

  3. Especifique el sistema operativo del destino el PC.

  4. Especifique si la versión RDP de 5,2 se utiliza más adelante.

  5. Si la versión de activex (solamente en el IE) o la versión de Java fue utilizada.

  6. Especifique si es una configuración del Equilibrio de carga.

Usando SmartTunnel

Agregue estos procesos a la lista de SmartTunnel:

  • svchost.exe

  • services.exe

  • wininit.exe

  • TSWbPrxy.exe

  • wksprt.exe

  • mstsc.exe

Si esto no trabaja, asegúrese de que la lista ST esté comenzada al probar.

¿Hace el cliente de las Javas RDP trabajan directamente?

Para identificar si el problema está con el RDP plug-in o con el webvpn, la mejor manera de probarlo es uso el cliente directamente al RDP al servidor en la pregunta y el control si el mismo comportamiento se manifiesta. Si hace entonces es un problema con el plugin del cliente, que no es creado por Cisco. Complete estos pasos:

  1. Descargue esto archivo zip. Éstos son los archivos JAR del properjavardp que fueron utilizados en el RDP plug-in (plugin del cliente del servicio de terminal para el ASA).

  2. Desabroche el archivo a una carpeta.

  3. Abra rdp-applet.html y cambie los valores para los parámetros abajo:

    <param name="server" value="xxxx">
    <param name="username" value="xxxx">
    <param name="password" value="xxxx">
  4. Salve el archivo y ábrase en un navegador habilitado las Javas.

Advertencias conocidas

Cliente de ActiveX

  • ActiveX RDP no puede cargar de IE 6-9 después de actualizar a la versión de OS 8.4.3 ASA.

    Refiera al Id. de bug Cisco CSCtx58556 (clientes registrados solamente). El arreglo es disponible desde 8.4.3.4. Sin embargo, se recomienda que la actualización esté hecha al último OS disponible. Workaround (si la actualización del código ASA no es una opción):

    • Utilice las Javas RDP en lugar de otro. Por ejemplo, los usuarios IE (no daña otros usuarios del navegador) necesitan el argumento de “ForceJava=true” fijado en el RDP URL.

  • Debido al bug anterior (CSCtx58556), si se realiza el downgrade ASA OS, después guárdese del Id. de bug Cisco CSCtx57453 (clientes registrados solamente). En este caso, ActiveX RDP fallará para todos los usuarios de vuelta RDP (esos usuarios que han intentado ActiveX RDP en el clientless SSLVPN en 8.4.3 ASA). Esto es porque el enchufe de ActiveX RDP fue actualizado en 8.4.3, que es incompatible con las versiones anteriores.

    Qué a hacer:

    • Tenga presente CSCtx58556 y CSCtx57453 cuando el ASA empresarial que desplegaba basó el servicio SSLVPN. Uso 8.4.3 y posterior, o 8.4.2 y anterior.

    • Si usted es usuario de vuelta RDP, por ejemplo usted ha utilizado ActiveX basado 8.4.3 RDP y ahora necesita utilizar 8.4.2 o ActiveX anterior RDP sobre el portal SSLVPN:

      ¿Quite todos los casos del registro de "b8e73359-3422-4384-8d27-4ea1b4c01232? (ActiveX viejo CLSID) usando el regedit.

      Nota: Esto se debe hacer después de un respaldo del registro. Esto se debe hacer bajo su propio riesgo. Consulte el soporte de Microsoft para más información.

  • Aunque el cliente de ActiveX permita que la autenticación del nivel de red (NLA) sea cifrada, la implementación de Cisco no la incluye. Aquí está el pedido de mejora abierto que está solicitando NLA para ser incorporado dentro del enchufe de ActiveX RDP:

    Refiera al Id. de bug Cisco CSCtu63661 (clientes registrados solamente).

    Solución alternativa:

  • ActiveX RDP no puede cargar con las páginas en blanco. Un mensaje del cargamento aparece cuando la Cadena de certificados de las de otras compañías está instalada en el ASA; por ejemplo, el ASA tiene un certificado de identidad de un vendedor de las de otras compañías y la Cadena de certificados del vendedor de las de otras compañías está instalada en el ASA (Sub-CA1, Sub-CA2, raíz CA).

    Refiera al Id. de bug Cisco CSCsx49794 (clientes registrados solamente).

    Workaround (si la actualización del código ASA no es una opción):

    • No instale la Cadena de certificados grande en el ASA.

    • El enchufe de las Javas RDP se sabe para trabajar apenas muy bien en comparación con el enchufe de ActiveX.

    • También, el RDP trabaja muy bien al configurar las ventanas nativas mstsc.exe con los túneles elegantes.

  • Después de usar ActiveX RDP, si usted hace clic el botón Logout Button en vez de la página usual del logout, usted verá el “HTTP 404 - error no encontrado de la página”. Este problema no ocurre con el último enchufe RDP disponible en el CCO, que es rdp-plugin.120424.jar.

    Refiera a los V-comentarios en el Id. de bug Cisco CSCtz33266 (clientes registrados solamente).

  • Si usted tiene dos lenguetas abiertas en el IE, uno para la sesión RDP y otro para una página en blanco o al azar, si la lengueta RDP es cerrada, IE para el trabajar.

  • Refiera al Id. de bug Cisco CSCua16597 (el clientes registrados solamente) - El enchufe RDP ActiveX causa CPU elevada con el IE

  • Después de instalar la actualización KB2695962 de Windows el activeX RDP plug-in consigue en un loop. Si usted abre una nueva sesión RDP o hace clic en una dirección de la Internet, intentará instalar “el promotor del puerto de Cisco SSL VPN” (no intenta a veces instalarlo) y vuelve al portal del clientless. Esto es debido a la vulnerabilidad CVE-2012-0358 que fue resuelta en el lado del cliente por la actualización de Microsoft.

Security Advisory de Microsoft (2695962) leavingcisco.com

Para conectarle necesite actualizar el ASA a uno de los arreglos en las versiones, según el Cisco Security Advisory:

Vulnerabilidad remota de la ejecución de códigos del dispositivo de seguridad de las 5500 Series de Cisco ASA del control ActiveX adaptante del clientless VPN leavingcisco.com

ID de la falla

CSCtr00165 (clientes registrados solamente) - El control ActiveX del promotor del puerto contiene una vulnerabilidad por desbordamiento de búfer

/image/gif/paws/113600/ptn_113600-02.gif

Cliente de las Javas

Estableciendo el hecho de que la implementación plug-in de las RDP-Javas de Cisco está basada en el proyecto del properJava RDP, se proporciona una iniciativa de fuente abierta, durante el error Java-RDP, servicio Best Effort. Sin embargo, traiga cualquier problema al aviso del TAC de Cisco y una respuesta satisfactoria será dada.

  • Al ejecutar algunas aplicaciones del hace un uso intensivo del procesador con la sesión de las Javas RDP, usted puede ser que experimente las Javas RDP que causaban un crash en usted con el “net.propero.rdp FATAL - javax.net.ssl.SSLException: La conexión ha sido apaga: ….” mensaje de error. Esto se observa principalmente cuando estas aplicaciones del hace un uso intensivo del procesador con la sesión de las Javas RDP se conmutan continuamente entre ellos mismos.

    Refiera al Id. de bug Cisco CSCtz78693 (clientes registrados solamente).

    • El enchufe fijo está disponible a petición con el TAC de Cisco, y el arreglo se hace solamente al enchufe y no a ASA OS.

¿Por qué algunos caracteres no están apareciendo en la sesión del telecontrol RDP?

La computadora remota con la sesión RDP tiene una diversa correspondencia del teclado que la computadora local, debido a esta diferencia que la computadora remota no aparecerá o desorganizará algunas claves. Este comportamiento se ha considerado con el plug-in de Javas. Trabajos plugs-in de ActiveX muy bien. Para resolver este problema usted puede utilizar el keymap del atributo para asociar el keymap local a la PC remota.

Un ejemplo, si se requiere una asignación alemana del teclado, después utiliza el siguiente:

rdp://<IP Address of the server>/?keymap=de

Los keymaps siguientes están disponibles:

---snip---
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---snip---

Bug conocido:

Nota: Otra solución alternativa posible es utilizar el túnel elegante de la aplicación para mstsc.exe:

smart-tunnel list RDP_List RDP mstsc.exe platform windows

¿Pueden las sesiones de plena pantalla del soporte plug-in RDP de las Javas RDP?

A partir de ahora, no, allí no es ningún soporte nativo para esto. Se ha clasifiado el pedido de mejora CSCto87451 (clientes registrados solamente) de conseguir esto implementada. Hay otro bug que fue clasifiado para esto apoya un rato, CSCsl26897 (clientes registrados solamente). La solución alternativa para este problema es utilizar el parámetro de la geometría; por ejemplo, geometría =1024x768. Por supuesto este valor varía de la pantalla para defender y no es realmente una gran solución. Alternativamente, si usted está utilizando el IE y Windows, después el cliente de ActiveX soporta la pantalla completa.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113600