Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Notas de versión para la serie ASA 5500 de Cisco, versión 7.1

12 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (4 Mayo 2007) | Comentarios

Contenidos

Notas de versión de la serie ASA 5500 de Cisco, versión 7.1(1)

Contenidos

Introducción

Requisitos del sistema

Requisitos de memoria

Determinación de la versión del software

Actualización a una nueva versión de software

Características nuevas

Compatibilidad con el módulo de servicios para control y seguridad de contenidos (Content Security and Control SSM)

Escritorio seguro de Cisco

Control personalizado de acceso basado en la verificación de host de CSD.

Cliente SSL VPN

Mejoras de autenticación y autorización

Mejoras en grupos de túneles y en políticas de grupo

Optimizaciones de funciones y de desempeño de WebVPN

Compatibilidad de Citrix con WebVPN

Compatibilidad de PDA con WebVPN

Compatibilidad de WebVPN con la codificación de caracteres para archivos CIFS

Compresión para conexiones de clientes WebVPN y SSL VPN

Active/Stanby Stateful Failover para conexiones de WebVPN y SVC

Personalización de WebVPN

Mejoras en ASDM

Descarga automática de subprograma

Notas importantes

Licencias de SSL VPN

WebVPN y subinterfaces

ActiveX y WebVPN

Archivos CIFS

Migración tras error y conexiones de WebVPN y SVC

FIPS 140-2

ACL de WebVPN y nombre de host DNS

Servidor proxy y ASA

Discordancia de PFS

Documento readme para la herramienta de conversión de conductos y listas de salida 1.2

Requisitos para el equilibrio de carga en la VPN

Guía de actualización para el usuario

Características no compatibles con la versión 7.1(1)

Soporte de MIB

Retorno a una versión anterior

Advertencias abiertas, versión 7.1(1)

Advertencias, versión 7.0(4)

Advertencias abiertas - Versión 7.0(4)

Resoluciones para advertencias abiertas en la versión 7.0(4)

Documentación relacionada

Consejos para configuración de software en la página de inicio del TAC de Cisco

Obtención de documentación

Cisco.com

DVD de documentación de productos

Solicitud de documentación

Comentarios sobre la documentación

Información general de la seguridad de los productos de Cisco

Notificación de problemas de seguridad en los productos de Cisco

Obtención de asistencia técnica

Sitio Web de soporte técnico y documentación de Cisco

Envío de una solicitud de servicio

Definiciones de gravedad para las solicitudes de servicio

Obtención de publicaciones e información adicionales


Notas de versión de la serie ASA 5500 de Cisco, versión 7.1(1)


Febrero de 2006

Contenidos

Este documento incluye las secciones siguientes:

Introducción

Requisitos del sistema

Características nuevas

Notas importantes

Advertencias abiertas, versión 7.1(1)

Advertencias, versión 7.0(4)

Documentación relacionada

Obtención de documentación

Comentarios sobre la documentación

Información general de la seguridad de los productos de Cisco

Obtención de asistencia técnica

Obtención de publicaciones e información adicionales

Introducción

Los dispositivos de seguridad de la serie ASA 5500 de Cisco son soluciones construidas con propósitos específicos que combinan un nivel óptimo de seguridad y servicios VPN con la innovadora arquitectura de identificación y mitigación adaptable (AIM) de Cisco. El dispositivo adaptable de seguridad, diseñado como un componente clave de la Red Autodefensiva de Cisco, constituye una defensa proactiva frente a las amenazas, que detiene los ataques antes de que se propaguen por la red, controla la actividad de ésta, así como el tráfico de aplicaciones, y ofrece conectividad VPN flexible. El resultado es una poderosa familia de dispositivos multifuncionales adaptables de seguridad de red que ofrecen el nivel de seguridad necesario para proteger las redes de las pequeñas y medianas empresas, así como las redes corporativas y, al mismo tiempo, reduce el costo total de implementación y operaciones, además de las complejidades, que implica suministrar este nuevo nivel de seguridad. Esta versión introduce mejoras significativas a áreas funcionales de importancia, entre las que se incluyen: nuevos servicios Anti-X, servicios VPN y administración/supervisión.

Para obtener más información sobre las nuevas características, consulta la sección Características nuevas.

Asimismo, el software del dispositivo adaptable de seguridad es compatible con el Administrador de dispositivos adaptables de seguridad (Adaptive Security Device Manager). El ASDM ofrece un servicio de administración y supervisión de seguridad de primer nivel a través de una interfaz de administración basada en la Web, intuitiva y fácil de usar. Incluido con el dispositivo adaptable de seguridad, el ASDM agiliza la implementación de éste último a través de asistentes inteligentes, sólidas herramientas de administración y servicios de supervisión versátiles, que complementan las avanzadas características de conexión de red y seguridad integrada ofrecidas por este conjunto de dispositivos adaptables de seguridad, líder del mercado. Su diseño, seguro y basado en la Web, permite acceder a dispositivos adaptables de seguridad en cualquier momento y lugar.

Requisitos del sistema

Las siguientes secciones detallan los requisitos de sistema que resultan necesarios para poder operar un dispositivo adaptable de seguridad. Esta sección abarca los siguientes temas:

Requisitos de memoria

Determinación de la versión del software

Actualización a una nueva versión de software

Requisitos de memoria

La Tabla 1 detalla los requisitos de memoria DRAM para el dispositivo adaptable de seguridad.

Tabla 1 Requisitos de memoria DRAM 

Modelo de ASA
Memoria DRAM

ASA 5510

256 MB

ASA 5520

512 MB

ASA 5540

1 GB


Todos los dispositivos adaptables de seguridad requieren un mínimo de 64 MB de CompactFlash interna.

Determinación de la versión del software

Utilice el comando show version para verificar la versión de software de su dispositivo adaptable de seguridad.

Actualización a una nueva versión de software

Si usted tiene un nombre de inicio de sesión de Cisco.com (CDC) puede obtener software del siguiente sitio Web:

http://www.cisco.com/cisco/web/LA/support/index.html

Deberá actualizar su versión de la 7.0.(x) a la 7.1(1) o, por el contrario, retornar de la segunda a la primera, porque las versiones más antiguas de imágenes de ASA no reconocen imágenes nuevas de ASDM y las imágenes nuevas de ASA no reconocen las antiguas de ASDM.

Para obtener información sobre cómo cargar una imagen, consulte la sección " Downloading Files" ("Descarga de archivos") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco).

Para actualizar su versión de la 7.0.(x) a la 7.1(1), siga estos pasos:


Paso 1 Cargue la nueva imagen de la versión 7.1(1) desde el siguiente sitio Web: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Paso 2 Recargue el dispositivo para que utilice la imagen de la versión 7.1(1).

Paso 3 Cargue la nueva imagen de ASDM 5.1.1 desde el siguiente sitio Web: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa.


Para retornar de la versión 7.1(1) a la 7.0.(x), siga estos pasos:


Paso 1 Cargue la imagen de la versión 7.0.(x) desde el siguiente sitio Web: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Paso 2 Recargue el dispositivo para que utilice la imagen de la versión 7.0(x).

Paso 3 Cargue la imagen de ASDM 5.0(x) desde el siguiente sitio Web: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa.


Características nuevas

Esta sección describe las características nuevas de esta versión. Abarca los siguientes temas:

Compatibilidad con el módulo de servicios para control y seguridad de contenidos (Content Security and Control SSM)

Escritorio seguro de Cisco

Control personalizado de acceso basado en la verificación de host de CSD.

Cliente SSL VPN

Mejoras de autenticación y autorización

Mejoras en grupos de túneles y en políticas de grupo

Optimizaciones de funciones y de desempeño de WebVPN

Compatibilidad de Citrix con WebVPN

Compatibilidad de PDA con WebVPN

Compatibilidad de WebVPN con la codificación de caracteres para archivos CIFS

Compresión para conexiones de clientes WebVPN y SSL VPN

Active/Stanby Stateful Failover para conexiones de WebVPN y SVC

Personalización de WebVPN

Mejoras en ASDM

Descarga automática de subprograma

Compatibilidad con el módulo de servicios para control y seguridad de contenidos (Content Security and Control SSM)

Esta característica combina una completa protección contra malware con filtrado de mensajes avanzado para el dispositivo adaptable multifuncional de seguridad. El resultado es una poderosa solución que detiene una serie de amenazas de Internet, incluidos virus, spyware, spam, piratas informáticos, visitantes o contenido Web no deseados y, al mismo tiempo, reduce el costo y la complejidad de implementar y administrar soluciones en múltiples puntos.

El SSM de control y seguridad de contenidos (CSC), parte integral de la solución Anti-X de Cisco, ofrece, en la industria, el mejor nivel de protección contra amenazas y de control de contenidos en el borde de Internet al suministrar completos servicios de antivirus, anti-spyware, bloqueo de archivos, anti-spam, anti-phising, bloqueo y filtrado de URL y filtrado de contenidos. El módulo de servicios SSM de CSC contribuye a que las empresas sean más eficaces a la hora de proteger sus redes, incrementar la disponibilidad de la red y la productividad del empleado a través de los siguientes elementos clave:

Tabla 2 Características clave y ventajas

Característica clave
Ventaja

Antivirus

El antivirus de Trend Micro, líder del mercado, protege los recursos internos de su red contra los virus, tanto conocidos como desconocidos, en el punto más efectivo de la infraestructura: la puerta de enlace de Internet. Al limpiar su tráfico de correo electrónico y de Web en el perímetro, torna innecesario el uso intensivo de recursos propio de las limpiezas destinadas a eliminar infecciones de malware y asegura la continuidad de las actividades comerciales.

Anti-spyware

Impide que el spyware ingrese a su red mediante el tráfico de red (HTTP & FTP) y de correo electrónico. Libera recursos de soporte de IT al evitar costosos procedimientos que son necesarios para eliminar el spyware y aumenta la productividad del empleado al bloquear el spyware en la puerta de enlace.

Anti-spam

El bloqueo efectivo de spam, con muy bajos falsos positivos, contribuye a que sus comunicaciones por correo electrónico vuelvan a ser eficaces, por lo que el contacto con los clientes, vendedores y socios no sufre interrupciones.

Anti-phishing

La protección contra el robo de identidad lo protege contra los ataques de phising, con lo que impide que los empleados proporcionen inadvertidamente información personal o de la empresa cuya revelación pudiera provocar pérdidas financieras.

Actualizaciones automáticas de TrendLabs

Esta solución cuenta con el respaldo y el soporte de uno de los equipos de expertos en virus, spyware y spam más grandes de la industria, quienes trabajan las 24 horas todos los días para garantizar que su solución le proporcione la protección más actualizada.

Administración central

Una forma de administración sumamente sencilla, a través de una consola de red a la que se puede acceder de manera remota y de actualizaciones automáticas, que reduce los costos de soporte de IT.

Protección en tiempo real para acceso a la Web, correo electrónico (SMTP & POP3) y FTP (transferencia de archivos)

Aunque el correo electrónico de la empresa ya esté protegido, muchos empleados revisan su correo Web privado desde las PC o laptops de la compañía, con lo que abren otra puerta de entrada para las amenazas que llegan por Internet. Del mismo modo, es posible que los empleados descarguen directamente programas o archivos que también pueden estar contaminados. La protección en tiempo real de todo el tráfico de Web en la puerta de enlace de Internet reduce en gran medida esta vulnerabilidad, que suele pasarse por alto.

Capacidad completa de filtrado de URL con categorías, programación de horarios y caché

El filtrado de URL puede utilizarse para controlar el uso que hacen de Internet los empleados, al bloquear el acceso a sitios inapropiados o no relacionados con su actividad laboral, lo cual mejora la productividad de los empleados y limita el riesgo de que inicien acciones legales por verse expuestos a contenidos ofensivos en la Web.

Filtrado de contenido de correo electrónico

El filtrado de correo electrónico minimiza la responsabilidad legal que puede acarrear la exposición del empleado a contenido ofensivo transmitido por este medio y obliga al cumplimiento de regulaciones, contribuyendo a que las organizaciones cumplan con disposiciones legislativas como la ley GLB (ley Gramm-Leach Bliley, de protección de la información del consumidor) y la Data Protection Act (ley de protección de datos).


Para obtener más información, consulte la sección "Managing the CSC SSM" ("Administración de SSM de CSC") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco).

Escritorio seguro de Cisco

El Escritorio seguro de Cisco (CSD) es un paquete de software de Windows opcional que usted puede instalar en el dispositivo adaptable de seguridad para validar la seguridad de computadoras cliente que soliciten acceso a su SSL VPN, asegurarse de que sigan siendo seguras mientras están conectadas y eliminar todo rastro de la sesión luego de que se desconecten.

Luego de que una PC remota que ejecuta Microsoft Windows se conecta al dispositivo adaptable de seguridad, el CSD se instala solo y utiliza la dirección IP, así como la presencia de archivos específicos, claves de registro y certificados, para identificar el tipo de ubicación desde donde la PC se está conectando. Luego de la autenticación de usuario, el CSD utiliza criterios opcionales como condiciones para otorgar derechos de acceso. Estos criterios incluyen el sistema operativo, el software antivirus, el antispyware y el firewall personal que se ejecutan en la PC.

Para garantizar la seguridad mientras una PC se encuentra conectada a su red, el Escritorio seguro, una aplicación de CSD que se ejecuta sobre clientes de Microsoft Windows XP y Windows 2000, limita las operaciones que el usuario puede realizar durante la sesión. Para usuarios remotos con privilegios de administrador, el escritorio seguro utiliza la Norma del cifrado de datos triple (3DES) de 168-bits para cifrar los datos y archivos descargados durante una sesión de SSL VPN o asociados con ésta. Para usuarios remotos con menos privilegios, utiliza el algoritmo de cifrado Rivest Cipher 4 (RC4). Cuando la sesión se cierra, el Escritorio seguro sobrescribe todos los datos de la PC remota y los elimina utilizando la norma de seguridad del Departamento de Defensa (DoD) de los Estados Unidos para eliminar archivos en forma segura. Esta limpieza garantiza que las cookies, el historial del explorador, los archivos temporales y el contenido descargado no permanezcan en la PC luego de que el usuario remoto cierre la sesión o se termine el tiempo de espera de una sesión de SSL VPN. El CSD también se desinstala de la PC cliente.

El Limpiador de caché, que elimina el caché del cliente cuando finaliza la sesión, es compatible con clientes de Windows XP, Windows 2000, Windows 9x, Linux y Apple Macintosh OS X.

Para obtener más información sobre las características del CSD consulte la Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrator (Guía de configuración de escritorio seguro de Cisco para el administrador de la serie ASA 5500 de Cisco).

Control personalizado de acceso basado en la verificación de host de CSD.

Los dispositivos adaptables de seguridad que tienen instalado el Escritorio seguro de Cisco pueden especificar una política de grupo alternativa. El dispositivo adaptable de seguridad utiliza este atributo para limitar los derechos de acceso a clientes de CSD remotos de la siguiente manera:

Utilícelo siempre si configura la política de características de VPN como "Use Failure Group-Policy" ("Utilizar política de grupo de falla")

Utilícelo si configura la política de características de VPN como "Use Success Group-Policy, if criteria match" ("Utilizar política de grupo exitosa si los criterios coinciden") y los criterios no coinciden.

Este atributo especifica el nombre de la política de grupo alternativa que se aplicará. Elija una política de grupo para diferenciar los derechos de acceso de los que están asociados con la política de grupo predeterminada. El valor predeterminado es DfltGrpPolicy.


Nota El dispositivo adaptable de seguridad no utiliza este atributo si usted configura la política de características VPN como "Always use Success Group-Policy" ("Utilice siempre la política de grupo exitosa").


Para obtener más información, consulte la Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administration Guide (Guía de configuración de escritorio seguro de Cisco para la administración de la serie ASA 5500 de Cisco).

Cliente SSL VPN

El cliente SSL VPN es una tecnología de tunelización por VPN que ofrece a los usuarios remotos las ventajas de conectividad de un cliente IPSec VPN sin necesidad de que los administradores de red instalen ni configuren cliente IPSec VPN en computadoras remotas. El SVC utiliza el cifrado SSL que ya está presente en la computadora remota así como el nombre de inicio de sesión de WebVPN y la autenticación del dispositivo adaptable de seguridad.

Para establecer una sesión de SVC, el usuario remoto ingresa en el explorador la dirección IP de una interfaz de WebVPN del dispositivo adaptable de seguridad, y el explorador se conecta con esa interfaz y muestra la pantalla de inicio de sesión en WebVPN. Si el usuario inicia la sesión exitosamente, es reconocido por el control de autenticación y el dispositivo adaptable de seguridad lo identifica como un usuario que solicita el SVC, el dispositivo adaptable de seguridad descarga el SVC en la computadora remota. Si el dispositivo adaptable de seguridad identifica al usuario como uno que tiene la opción de utilizar el SVC, lo descarga a la computadora remota y, al mismo tiempo, muestra, en la pantalla del usuario, un enlace para saltear la instalación del SVC.

Tras la descarga, el SVC se instala y se configura solo. Cuando la conexión termina, el SVC permanece en la computadora remota o se desinstala automáticamente (según la configuración).

Puede configurar el SVC con ASDM o con comandos de CLI.

Para obtener más información, consulte la sección "Configuring SSL VPN Client" ("Configuración del cliente SSL VPN") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco).

Mejoras de autenticación y autorización

La versión 7.1(1) incluye las siguientes mejoras de autenticación y autorización.

Anular cuenta desactivada

Usted puede configurar el dispositivo adaptable de seguridad para que anule una indicación de cuenta desactivada proveniente de un servidor AAA y permita que el usuario inicie sesión de todos modos.

Para obtener más información, consulte la sección "Configuring IPSec Remote-Access Tunnel Group General Attributes" ("Configuración de los atributos generales de grupo de túnel de acceso remoto IPSec") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis del comando override account disabled , consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Compatibilidad con LDAP

Usted puede configurar el dispositivo de seguridad de manera que autentique y autorice el acceso de usuarios IPSec VPN, clientes SSL VPN y usuarios de WebVPN a un servidor de directorio LDAP. Durante la autenticación, el dispositivo de seguridad actúa como cliente proxy del servidor LDAP para el usuario VPN y efectúa la autenticación para el servidor en texto sin formato o mediante el protocolo Simple Authentication and Security Layer (SASL). El dispositivo de seguridad es compatible con cualquier servidor que tenga compatibilidad con LDAP V3 o V2. Admite características de administración de contraseña sólo en el Sun Microsystems Java System Directory Server y el servidor de directorios activos de Microsoft (Microsoft Active Directory).

Para obtener más información, consulte la sección "LDAP Server Support" ("Compatibilidad con servidor LDAP") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco).

Administración de contraseña

Puede configurar el dispositivo adaptable de seguridad para que advierta a los usuarios finales que su contraseña está por caducar. Cuando configura esta característica, el dispositivo adaptable de seguridad notifica al usuario remoto, en el momento de iniciar la sesión, que la contraseña actual está por caducar o ya caducó. Luego, el dispositivo adaptable de seguridad ofrece al usuario la posibilidad de cambiar su contraseña. Si la contraseña actual no caducó, el usuario aún puede iniciar la sesión con ella. Este comando es válido para los servidores AAA que son compatibles con esta notificación; es decir, RADIUS, RADIUS con un servidor NT y servidores LDAP. El dispositivo adaptable de seguridad pasa por alto el comando si no se ha configurado la autenticación para RADIUS o LDAP.

Tenga en cuenta que este comando no cambia el número de días que faltan para que caduque la contraseña, sino que especifica los días de anticipación con que el dispositivo adaptable de seguridad comienza a advertir al usuario que ésta está por caducar. El valor predeterminado es 14 días.

Sólo en el caso de autenticación para un servidor LDAP, puede especificar un determinado número de días anteriores a la caducidad de la contraseña para que el usuario comience a recibir advertencias.

Para obtener más información, consulte la sección " Managing Passwords" ("Administración de contraseñas") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis del comando password management, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

SSO

La compatibilidad con el inicio de sesión único (SSO) permite que los usuarios de WebVPN ingresen un nombre de usuario y una contraseña una sola vez para acceder a múltiples servicios y servidores de red protegidos. Para configurar el SSO, puede elegir alguno de los siguientes métodos:

Servidor SSO con Computer Associates eTrust SiteMinder (anteriormente, Netegrity SiteMinder): esta sería la opción más aconsejable para implementar el SSO si la infraestructura de seguridad de su sitio Web ya incorpora SiteMinder.

Formularios HTTP: un método común y estándar para la autenticación SSO, que también puede servir como método para AAA. Puede utilizarlo con otros servidores AAA, como RADIUS o servidores LDAP.

SSO con autenticación básica HTTP y NTLM: este método de SSO, el más sencillo de los tres, hace pasar a servidores internos las credenciales de inicio de sesión en WebVPN utilizando autenticación básica HTTP o NTLM. Este método no requiere un servidor de SSO externo.

Para obtener más información, consulte la sección "Using Single Sign-on with WebVPN" ("Uso del inicio de sesión único con WebVPN") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco).

Mejoras en grupos de túneles y en políticas de grupo

La versión 7.1(1) incluye las siguientes nuevas mejoras en grupos de túneles y en políticas de grupo.

Tipo de grupo de túnel de WebVPN

Esta versión agrega un grupo de túnel WebVPN que le permite configurar un grupo de túnel con atributos específicos de WebVPN, incluidos el método de autenticación que se utilizará, la personalización de WebVPN que se aplicará a la interfaz gráfica del usuario (GUI), el grupo de DNS que se utilizará, nombres de grupo alternativos (alias), URL de grupo, el servidor NBNS que se utilizará para la resolución de nombres CIFS y una política de grupo alternativa para aplicar a usuarios de CSD a fin de limitar los derechos de acceso a clientes de CSD remotos.

Para obtener más información, consulte la sección "Configuring Tunnel Groups" ("Configuración de grupos de túnel") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Configuración de DNS para WebVPN basada en grupo

Puede definir una lista de servidores DNS dentro de un grupo. La lista de servidores DNS que están disponibles para el usuario depende del grupo al que el usuario esté asignado. Puede especificar el servidor DNS que desea utilizar para un grupo de túnel WebVPN. El valor predeterminado es DefaultDNS.

Para obtener más información, consulte la sección "Group Policies" ("Políticas de grupo") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Nueva opción de página de inicio de sesión para usuarios de WebVPN

Tiene la opción de configurar WebVPN para que muestre una página de inicio de sesión que permita al usuario seleccionar el grupo de túnel que utilizará para iniciar la sesión. Si configura esta opción, la página de inicio de sesión muestra un campo adicional con un menú desplegable de grupos entre los cuales es posible elegir. La autenticación del usuario se efectúa según el grupo seleccionado.

Para obtener más información, consulte la sección "Configuring User Attributes" ("Configuración de atributos de usuario)" en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Alias de grupo y URL de grupo

Especificando uno o más alias de grupo, puede crear uno o más nombres alternativos con los que el usuario podrá denominar un grupo de túnel. Los grupos de alias que usted especifique aquí aparecerán en la lista desplegable de la página de inicio de sesión del usuario. Cada grupo puede tener múltiples alias o ninguno. Si desea que en la lista aparezca el nombre que el grupo de túnel tiene efectivamente, especifíquelo como un alias. Esta característica resulta útil cuando al mismo grupo se lo conoce por varios nombres comunes, como "Devtest" y "QA".

Cuando se especifica una URL de grupo, el usuario no necesita seleccionar un grupo al iniciar la sesión. Cuando éste inicia la sesión, el dispositivo adaptable de seguridad busca la URL entrante del usuario en la tabla de políticas del grupo de túnel. Si la encuentra y esta característica está activada, el dispositivo adaptable de seguridad selecciona automáticamente el servidor apropiado y sólo muestra al usuario los campos de nombre de usuario y contraseña en la ventana de inicio de sesión. Si la URL está desactivada, también aparece la lista desplegable de grupos y el usuario debe efectuar la selección.

Puede configurar, múltiples URL (o ninguna) para un grupo. Puede activar o desactivar cada URL en forma individual. Para cada una, debe utilizar una especificación separada (comando group-url). Debe especificar toda la URL, que puede utilizar el protocolo HTTP, o bien el HTTPS.

No puede asociar la misma URL con múltiples grupos. dispositivo adaptable de seguridad verifica que no exista otra URL igual antes de aceptarla en un grupo de túnel.

Para obtener más información, consulte la sección "Configuring Tunnel Groups" ("Configuración de grupos de túnel") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Optimizaciones de funciones y de desempeño de WebVPN

Esta versión mejora las funciones y el desempeño de WebVPN a través de los siguientes componentes:

Transformación/reescritura de contenido flexible que incluye Java, VBScript y JavaScript complejo.

Almacenamiento en memoria caché del lado servidor y en explorador

Compresión

Omisión de proxy

Compatibilidad con marco de personalización de perfil de aplicación

Señal de mantenimiento de aplicación y manejo del tiempo de espera

Compatibilidad con interfaces lógicas (VLAN)

Para obtener más información, consulte la sección "Optimizing WebVPN Performance" ("Optimización del desempeño de WebVPN") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Compatibilidad de Citrix con WebVPN

Ahora, los usuarios de WebVPN pueden utilizar una conexión con el dispositivo adaptable de seguridad para acceder a servicios de Citrix MetaFrame. En esta configuración, el dispositivo adaptable de seguridad funciona como la puerta de enlace segura de Citrix. Por lo tanto, debe configurar su software de interfaz Web de Citrix (Citrix Web Interface) para que funcione en un modo que no utilice la puerta de enlace segura de Citrix. Instale un certificado SSL en la interfaz del dispositivo adaptable de seguridad con la que los usuarios remotos se conectan utilizando un nombre de dominio plenamente calificado (FQDN); esta función no surte efecto si usted especifica una dirección IP como el nombre común (CN) del certificado SSL. El usuario remoto intenta utilizar el FQDN para comunicarse con el dispositivo adaptable de seguridad. Es preciso que la PC remota pueda utilizar DNS o una entrada en el archivo System32\drivers\etc\hosts para resolver el FQDN. Por último, utilice el comando functions para activar Citrix.

Para obtener más información, consulte la sección "Configuring Access to Citrix MetaFrame" ("Configuración de acceso a Citrix MetaFrame") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Compatibilidad de PDA con WebVPN

Puede acceder a WebVPN desde su Pocket PC 2003 o Windows Mobile X. Si usted es usuario de PDA, esto le permite acceder a su red privada con mayor comodidad. Esta característica no requiere configuración.

Para obtener más información, consulte la sección "Using WebVPN with PDAs" ("Uso de WebVPN con PDA") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Compatibilidad de WebVPN con la codificación de caracteres para archivos CIFS

Ahora, WebVPN es compatible con la codificación opcional de caracteres de páginas de portales para asegurar la presentación correcta de archivos del sistema de archivos comunes de Internet (Common Internet File System) en el lenguaje pretendido. La codificación de caracteres es compatible con los conjuntos de caracteres identificados en la siguiente página Web, incluidos los caracteres japoneses del código Shift-JIS:

http://www.iana.org/assignments/character-sets

Utilice el comando character-encoding para especificar el conjunto de caracteres que desea emplear para la codificación en las páginas de portal de WebVPN que verán los usuarios remotos. En forma predeterminada, el tipo de codificación configurado en el explorador remoto determina el conjunto de caracteres de las páginas de portal WebVPN.

El atributo de codificación de caracteres es una configuración global que, en forma predeterminada, heredan todas las páginas WebVPN. Sin embargo, puede utilizar el comando file-encoding a fin de especificar la codificación para páginas de portal WebVPN provenientes de servidores CIFS específicos. Por lo tanto, puede utilizar diferentes valores de codificación de archivos para servidores CIFS que requieran diferentes formas de codificación de caracteres.

La asignación de codificaciones apropiadas a cada servidor CIFS, a nivel global, mediante el atributo de codificación de caracteres de webvpn, y a nivel individual, con anulaciones de codificación de archivos, permite manejar y mostrar correctamente páginas CIFS cuando es importante que los nombres de archivo, rutas de directorios y páginas aparezcan correctamente.


Recomendación Los valores de codificación de caracteres y codificación de archivos no excluyen la familia de fuentes que utilizará el explorador. Es necesario que complemente la configuración de uno de estos valores con el comando page style en modo de comando de personalización de webvpn para reemplazar la familia de fuentes si está utilizando la codificación de caracteres japoneses Shift_JIS, o que ingrese el comando no page style en modo de comando de personalización de webvpn para eliminar la familia de fuentes.


Para obtener más información, consulte la sección "Configuring File Access" ("Configuración de acceso a archivos") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Compresión para conexiones de clientes WebVPN y SSL VPN

La compresión puede reducir el tamaño de los paquetes que se transfieren e incrementar el desempeño de la comunicación, sobre todo en el caso de conexiones con limitaciones de banda ancha, como con módems de marcado manual y dispositivos de mano utilizados para acceso remoto.

La compresión está activada en forma predeterminada, tanto para conexiones de WebVPN como de SVC. Puede configurar la compresión utilizando ASDM o comandos de CLI.

Puede desactivar la compresión para todas las conexiones de WebVPN o SVC con el comando compression desde el modo de configuración global.

Puede desactivar la compresión en conexiones de WebVPN para un grupo o usuario específico con el comando http-comp o, en conexiones de SVC, con el comando svc compression, en los modos política de grupo o nombre de usuario webvpn.

Para obtener más información, consulte la sección "Using SVC Compression" ("Uso de compresión en SVC") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Migración tras error con información de estado de unidad activa a unidad en espera para conexiones de WebVPN y SVC

Durante una migración tras error, las conexiones de WebVPN y SVC, así como las de IPSec, quedan restablecidas gracias al dispositivo de seguridad secundario, en espera, para servicio ininterrumpido. La migración tras error de unidad activa a unidad en espera requiere que para cada conexión activa exista otra en espera en una relación de uno a uno.

Un dispositivo de seguridad configurado para la migración tras error comparte información de autenticación sobre los usuarios de WebVPN con el dispositivo de seguridad en espera. Por lo tanto, luego de una migración tras error, los usuarios de WebVPN no necesitan volver a autenticarse.

Para las conexiones de SVC, luego de una migración tras error, el SVC se reconecta automáticamente con el dispositivo de seguridad en espera.

Para obtener más información, consulte la sección "Severing SVC Sessions" ("Corte de sesiones de SVC") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Personalización de WebVPN

Puede personalizar la página de WebVPN que los usuarios ven cuando se conectan al dispositivo de seguridad y también puede personalizar la página de inicio de WebVPN para cada usuario, grupo o túnel. Los usuarios o grupos verán la página de inicio de WebVPN personalizada tras ser autenticados por el dispositivo de seguridad.

Puede utilizar ASDM o comandos de CLI para personalizar el aspecto de WebVPN mediante parámetros de hoja de estilos en cascada (CSS). Recomendamos que, para efectuar la personalización con facilidad, utilice ASDM, que tiene cómodas funciones para configurar elementos de estilo, incluidas muestras de colores y capacidades de vista previa.

Para obtener más información, consulte la sección "Personalización de páginas WebVPN" en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Mejoras en ASDM

Las mejoras en ASDM incluyen las siguientes:

Compatibilidad con funciones de administración y supervisión para el SSM de CSC

ASDM versión 5.1 ofrece una solución de primer nivel en la industria, que combina la simplicidad de los paneles de configuración basada en HTML de Trend Micro con el ingenio de ASDM. Esto ayuda a garantizar una implementación de políticas coherente y simplifica en su totalidad los procesos de aprovisionamiento, configuración y supervisión para las ricas funciones unificadas de administración de amenazas que ofrece el SSM de CSC. ASDM proporciona una solución complementaria de supervisión con una nueva página de inicio para el SSM de CSC y nuevos paneles de supervisión. Una vez que se instala el SSM de CSC, la página de inicio principal de ASDM se actualiza en forma automática y muestra un nuevo panel de SSM de CSC, que ofrece una vista del historial de amenazas, virus de correo electrónico, acontecimientos en vivo y vitales estadísticas de módulo, como actualizaciones de software/firmas instaladas recientemente o recursos del sistema, entre otras. Dentro de la sección de supervisión de ASDM, numerosas herramientas de análisis ofrecen la posibilidad de ver detalles de amenazas, actualizaciones de software y gráficos de recursos, por ejemplo. El Live Security Event Monitor (supervisor de eventos de seguridad en vivo) es una nueva herramienta de resolución de problemas y supervisión que ofrece actualizaciones en tiempo real en lo que respecta a correo electrónico escaneado o bloqueado, virus/gusanos identificados y ataques detectados, entre otras cosas. Da a los administradores la opción de filtrar mensajes utilizando la función de reconocimiento de cadenas de expresiones regulares, lo que permite apuntar a tipos de ataques y mensajes específicos y analizarlos en detalle.

Correlación entre syslog y reglas de acceso

Esta versión de ASDM introduce una nueva herramienta de correlación entre syslog y reglas de acceso que mejora en gran medida la administración de la seguridad y las actividades de resolución de problemas propias del día a día. Con esta herramienta dinámica, los administradores de seguridad pueden resolver con rapidez problemas de configuración comunes, además de la mayor parte de los problemas de usuario y de conectividad de red. Los usuarios pueden seleccionar un mensaje de syslog dentro del panel Real-Time Syslog Viewer (visor de syslog en tiempo real) y, con simplemente hacer clic en el botón Create (crear), situado en la parte superior del panel, pueden invocar las opciones de control de acceso para ese syslog específico. Opciones predeterminadas inteligentes contribuyen a garantizar que el proceso de configuración sea sencillo, lo cual ayuda a mejorar la eficiencia operativa y los tiempos de respuesta de las funciones que son de importancia crítica para la actividad comercial. La herramienta de correlación entre syslog y reglas de acceso también ofrece una vista intuitiva de los mensajes de syslog invocados por reglas de acceso configuradas por el usuario.

Personalización de la asignación de colores a syslog

ASDM permite identificar con rapidez mensajes que son críticos para el sistema y supervisar syslog en forma práctica al permitir agrupar los mensajes de syslog por colores según el nivel de syslog. Los usuarios pueden elegir las opciones de colores predeterminadas o crear sus propios perfiles de colores de syslog para facilitar la tarea de identificación.

Descarga automática de subprograma

Para ejecutar una aplicación remota sobre WebVPN, un usuario hace clic en Start Application Access (comenzar acceso a aplicación) en la página de inicio de WebVPN para descargar e iniciar un subprograma de Java de reenvío a puerto. Para simplificar el acceso a la aplicación y acortar el tiempo de inicio, ahora puede configurar WebVPN para que descargue este subprograma de reenvío a puerto en forma automática cuando el usuario inicie la sesión en WebVPN.

Para obtener más información, consulte la sección "Downloading the Port-Forwarding Applet Automatically" ("Descarga automática del subprograma de reenvío a puerto") en la Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco). Para ver una descripción detallada de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Notas importantes

Esta sección contiene notas importantes relacionadas con versión 7.1(1).

Licencias de SSL VPN

A partir de la versión 7.1(1), los servicios de SSL VPN (WebVPN) requieren una licencia. Actualmente, se otorgan licencias para estos servicios en base a la sesión de usuario, con niveles de licencia que llegan hasta las 10, 50, 100, 250, 500, 750, 1000 y 2500 sesiones de usuario. Esta licencia única de SSL VPN abarca por completo la funcionalidad de las características de SSL VPN, ofrecida por el dispositivo adaptable de seguridad. No se requieren licencias por función. Esta licencia de SSL VPN tiene un costo, que se paga por única vez, y su duración comprende toda la vida útil del dispositivo adaptable de seguridad. Una vez instalada la versión 7.1(1), o más tarde, se incluyen dos sesiones simultáneas de usuario de SSL VPN para su evaluación.

WebVPN y subinterfaces

No se puede activar WebVPN en una subinterfaz.

ActiveX y WebVPN

Muchos controles ActiveX son personalizados y requieren que WebVPN les dé un tratamiento especial. Por favor, póngase en contacto con el TAC de Cisco si su aplicación utiliza controles ActiveX y usted tiene problemas con su funcionalidad sobre una conexión WebVPN (CSCsb85180).

Archivos CIFS

Si un usuario remoto accede a archivos CIFS a través de Internet Explorer, puede que el nombre de los archivos en la ventana File Download (descarga de archivo) no muestre adecuadamente algunos caracteres japoneses del código Shift_JIS. Sin embargo, las funciones Open (abrir) y Save (guardar) funcionan correctamente. Este problema no ocurre con Netscape.

Migración tras error y conexiones de WebVPN y SVC

Para garantizar que las conexiones de WebVPN y SVC se reconecten con rapidez en caso de una migración tras error, active el dispositivo adaptable de seguridad para que responda a paquetes TCP de cliente entrantes, utilizando el comando service resetoutside desde el modo de configuración global:

[no] service resetoutside

Este comando hace que el dispositivo de seguridad que toma el control de las conexiones de WebVPN y SVC existentes envíe paquetes TCP RST en respuesta a paquetes TCP de cliente entrantes, con lo que logra restablecer con mayor rapidez las conexiones de cliente. Si no activa el comando service resetoutside, el dispositivo de seguridad descarta los paquetes TCP de las conexiones en que se produjo el error y espera que cada cliente restablezca la conexión TCP. Esto puede llevar más tiempo o tener como consecuencia la pérdida de la sesión debido al tiempo de espera.

En el siguiente ejemplo, se activa el dispositivo de seguridad para que envíe paquetes TCP RST:

F1-asa1(config)# service resetoutside

FIPS 140-2

Los dispositivos adaptables de seguridad figuran en la lista de pre-validación FIPS 140-2.

ACL de WebVPN y nombre de host DNS

Cuando se define deny webtype URL ACL (basada en DNS), pero no se puede acceder a la URL basada en DNS, el explorador muestra un popup con el mensaje ""DNS Error" ("Error de DNS"). El contador de aciertos de ACL no se incrementa.

Si deny webtype URL es definida por una dirección IP en lugar de por un nombre DNS, el contador de aciertos registra el flujo de tráfico que llega a la ACL y el explorador muestra el mensaje "Connection Error." ("Error de conexión").

Servidor proxy y ASA

Si se configura WebVPN de manera que utilice un servidor proxy HTTP(S) para prestar servicio a todas las solicitudes de exploración de sitios HTTP y/o HTTPS, el cliente/explorador puede esperar el siguiente comportamiento:

1. Si el ASA no puede comunicarse con el servidor proxy HTTP o HTTPS, se muestra el mensaje "connection error" ("error de conexión") en el explorador del cliente.

2. Si el proxy HTTP(S) no puede resolver o alcanzar la URL solicitada, debe enviar un mensaje de error apropiado al ASA, que, a su vez, lo muestra en el explorador del cliente.

Sólo cuando el servidor proxy HTTP(S) notifica al ASA de que la URL es inaccesible, el ASA puede notificar del error al explorador del cliente.

Discordancia de PFS

La configuración de PFS en el cliente de VPN y el dispositivo de seguridad deben coincidir.

Documento readme para la herramienta de conversión de conductos y listas de salida 1.2

La herramienta de conversión de conductos y listas de salida del dispositivo adaptable de seguridad brinda asistencia para convertir configuraciones con los comandos outbound o conduit a configuraciones similares que utilizan ACL. Las configuraciones basadas en ACL ofrecen uniformidad y potencian el poderoso conjunto de funciones de ACL. Este tipo de configuraciones ofrecen la siguiente ventaja:

Capacidad de inserción de ACE: la configuración y administración del sistema se ven sumamente simplificadas por la capacidad de inserción de ACE, que permite a los usuarios añadir, eliminar o modificar ACE individuales.

Requisitos para el equilibrio de carga en la VPN

El equilibrio de carga en la VPN para el dispositivo adaptable de seguridad requiere un ASA 5520 o un ASA 5540. También requiere una licencia de cifrado 3DES-AES.

Guía de actualización para el usuario

Para ver una lista de características desaprobadas y obtener información de actualización para el usuario, consulte la siguiente URL:

http://www.cisco.com/en/US/products/ps6120/products_installation_guide_book09186a00805a8673.html

Características no compatibles con la versión 7.1(1)

Las siguientes características no son compatibles con la versión 7.1(1):

PPPoE

L2TP sobre IPSec

PPTP (Protocolo de arquitectura de túneles punto a punto)

Soporte de MIB

Para información sobre la compatibilidad con MIB, consultar la siguiente URL:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Retorno a una versión anterior

Para retornar a una versión anterior del software del sistema operativo (imagen de software), utilice el comando downgrade en modo EXEC privilegiado. Para obtener más información y ver una descripción completa de la sintaxis de comandos, consulte la Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Advertencias abiertas, versión 7.1(1)

Las siguientes advertencias abiertas son nuevas en la versión 7.1(1).

CSCsb85180

El componente de cliente Terminal Services ActiveX no es operativo a través de WebVPN.

Solución alternativa: utilice el cliente SSL VPN (cliente de túnel completo) para manejar esta aplicación.

CSCsc27946

Cuando se utiliza el acceso WebVPN sin cliente a un servidor Domino de acceso a red, no se puede editar la disposición de la página de inicio de Domino. Cuando se lo intenta, se produce un error de Internet Explorer.

CSCsc93042

Puede ocurrir que los subprogramas de Java para juegos de Yahoo no se carguen a través del motor de reescritura de WebVPN.

Solución alternativa: cargue el subprograma de Java en forma directa, no a través de WebVPN.

CSCsd00382

Las conexiones de SVC tienen asociadas listas de acceso descargables. Cuando uno finaliza la sesión (comando vpn-sessiondb logoff) puede que la lista de acceso permanezca en el dispositivo de seguridad e interfiera con nuevas conexiones que se realicen con la misma dirección IP.

CSCsd02916

Al utilizar un proxy http, los usuarios pueden acceder a Citrix mediante una conexión de WebVPN, aun cuando el metarchivo de Citrix no esté configurado para la política de grupo.

CSCsd04381

Cuando se intenta adjuntar archivo a un contacto existente dentro de Outlook Web Access 2000 o 2003 mediante el motor de reescritura de VPN, aparece una ventana modal vacía.

Solución alternativa: cree un nuevo contacto y aplique un adjunto por medio del motor de reescritura. Una segunda opción es acceder a los servidores de Outlook Web Access 2000 o 2003 en forma directa, y no mediante WebVPN a fin de iniciar la rutina de adjunto para un contacto existente.

CSCsd08212

Una Webtype ACL con una sintaxis de URI similar a "http(s)://dirección de host/ruta" no tiene el efecto que debería en la rutina de verificación de ACL. Si esta es una regla de permiso, los usuarios no pueden acceder a ese sitio Web. Sin embargo, un regla Webtype ACL con una URI similar a "http(s)://dirección de host" funciona correctamente. La diferencia entre estas dos ACL es la "/ruta". La "/ruta" puede ser cualquier parte dentro del sitio Web especificado, ya sea un archivo o un directorio.

Solución alternativa: defina Webtype ACLS con URI que tengan la sintaxis http(s)://dirección de host, por ejemplo,
access-list test webtype permit url http://serverA.com).

Advertencias, versión 7.0(4)

Las siguientes secciones describen las advertencias para la versión 7.0(4).

Para que le resulte más sencillo localizar las advertencias en el Cisco's Bug Toolkit (herramientas para errores de procesamiento de Cisco), los títulos de las advertencias detalladas en esta sección están tomados directamente de la base de datos del Bug Toolkit. Los títulos de estas advertencias no están escritos para ser leídos como oraciones completas porque la longitud del campo del título es limitada. En los títulos de las advertencias, puede ser necesario que algunas palabras o la puntuación aparezcan incompletas para ofrecer la descripción más concisa y completa posible. Las únicas modificaciones realizadas a estos títulos son las siguientes:

Los comandos aparecen en negrita.

Los nombres de productos y acrónimos pueden aparecer estandarizados.

Puede que se hayan corregido errores de ortografía y de tipeo.


Nota Si usted es un usuario registrado en cisco.com, vea el Bug Toolkit en cisco.com, en el siguiente sitio Web:

http://www.cisco.com/cisco/web/LA/support/index.html

Para convertirse en usuario registrado en cisco.com, visite el siguiente sitio Web:

http://tools.cisco.com/RPF/register/register.do


Advertencias abiertas - Versión 7.0(4)

La Tabla 3 enumera las advertencias de la versión 7.0(4) que permanecen abiertas.

Tabla 3 advertencias abiertas 

Número de ID
Versión de software 7.0(4)
Corregido
Título de advertencia

CSCeg57001

No

Packet does not come to inspect after no inspect and inspect (El paquete no viene a inspección después de inspect y no inspect)

CSCeh15557

No

Assertion in tmatch_compile_proc, all memory is not freed (Aserción en tmatch_compile_proc, no toda la memoria queda liberada).

CSCeh32087

No

PIM sends Register with untranslated IP when NAT pool exhausted. (Pim envía Register con IP no traducida cuando se agota la agrupación NAT).

CSCeh43554

No

Device may reload if showing and removing config at the same time (Puede que el dispositivo se recargue si config se muestra y se elimina al mismo tiempo)

CSCeh60845

No

Logging queue incorrectly registers 8192 256-byte blocks (Cola de registro registra, incorrectamente, bloques de 256 bytes 8192)

CSCeh84006

No

Wrong http version number should not be allowed (Número de versión http erróneo que no debería estar permitido)

CSCeh93834

No

RSA SecurID replica list is lost after reboot (la lista replica RSA SecurID se pierde luego de reiniciar)

CSCej04099

No

static xlate breaks management-access inside (xlate estática quiebra el acceso a administración en el interior)

CSCsb28708

No

Console traceback using show route command (Seguimiento regresivo de consola utilizando comando show route)

CSCsb40188

No

SCEP fails if RA cert has 4096 bit key (SCEP falla si cert RA tiene clave de bits 4096 )

CSCsb41742

No

P2P/IM/tunneling traffic is only dropped if strict-http action is drop (Tráfico de tunelización/P2P/IM sólo se descarta si acción strict-http es drop)

CSCsb51038

No

Traceback: _snp_sp_create_flow+1937 with outbound ACL and Policy Statics (Seguimiento regresivo: _snp_sp_create_flow+1937 con ACL saliente y Policy Statics)

CSCsb80170

No

Address-pools needed in group-policy - missing functionality from VPN3K (Agrupaciones de direcciones necesarias en política de grupo - no hay funcionalidad de VPN3K)

CSCsb81593

No

removing sunrpc-server cli doesn't stop sunrpc traffic from getting through (Quitar la cli de servidor sunrpc no impide el ingreso de tráfico sunrpc)

CSCsb90046

No

GTP context creation might fail w/ Tunnel Limit exceeded error (Creación de contexto GTP puede fallar con error excedido de Tunnel Limit)

CSCsb99385

No

strict-http: with a space before http ver should generate a tcp reset (strict-http: con un espacio antes de http, ver debería generar restablecimiento de tcp)

CSCsc01017

No

ASA to VPN3K L2L fails rekey w/ main mode, 3des, sha, rsa, pfs-2, dh-2 (ASA a VPN3K L2L falla regeneración de clave con modo principal, 3des, sha, rsa, pfs-2, dh-2)

CSCsc07421

No

Traceback in Dispatch Unit - decoding h323 ras message (Seguimiento regresivo en unidad de despacho - decodificación mensaje h323 ras)

CSCsc10617

No

GTP: memory leakage after <clear config all> at gtp_init (GTP: pérdida de memoria luego de <clear config all> at gtp_init)

CSCsc11724

No

Logging: Wrong behavior if syslog is sent to a non functioning tcp server (Registro: comportamiento erróneo si se envía syslog a un servidor tcp que no funciona)

CSCsc12094

No

AAA fallback authentication does not work with reactivation-mode timed (Autenticación de respaldo de AAA no funciona con modo de reactivación temporizado)

CSCsc16041

No

'clear local host' results in memory leak ('clear local host' tiene como consecuencia pérdida de memoria)

CSCsc16607

No

fixup pptp fails with static pat server configuration (fixup pptp falla con configuración estática pat server)

CSCsc17051

No

VPNFO: VPN Failover fails to parse P2 SA when IPCOMP is used (VPNFO: migración tras error de VPN no analiza P2 SA cuando se emplea IPCOMP)

CSCsc18911

No

ASA does not remove OSPF route for global PAT entry after deleting (ASA no quita la ruta OSPF para entrada global de PAT tras eliminar)


Resoluciones para advertencias abiertas en la versión 7.0(4)

La Tabla 4 enumera las advertencias resueltas desde la versión 7.0(4).

Tabla 4 Advertencias resueltas 

Número de ID
Versión de software 7.1(1)
Corregido
Título de advertencia

CSCeh18115

Authentication not triggered sometimes when URL filtering enabled (Autenticación no accionada, a veces, cuando el filtrado de URL está activado).

CSCeh46345

Dynamic L2L could pass clear text traffic when tunnel terminates (L2L dinámico pudo pasar tráfico de texto claro cuando túnel termina)

CSCeh90617

Recompiling ACLs can cause packet drops on low-end platforms (Recompilación de ACL puede causar descarte de paquetes en plataformas de bajo nivel)

CSCei02273

1st log message is not sent by mail in transparent firewall (1º mensaje de log no se envía por correo en firewall transparente)

CSCei43588

traceback when trying to match a packet to acl with deny (seguimiento regresivo al intentar hacer corresponder un paquete a acl con denegación)

CSCsc00176

clear xlate take 4.5+ mins to clear 60K PAT xlate (clear xlate lleva 4.5+ minutos clear 60K PAT xlate)

CSCsc02485

Session Cmd: sendind \036x\r to exit session to ssm causes Traceback (Cmd de sesión: enviar \036x\r para salir de la sesión a ssm causa seguimiento regresivo)

CSCsc07614

Minimum unit poll time causes trouble for failover with 4GE card (Intervalo de sondeo mínimo de unidad causa problemas para migración tras error con tarjeta 4GE)

CSCsc14591

xlate and xlate perfmon print graph are all zeros (gráfico impresión xlate y xlate perfmon son todos ceros)

CSCsc15434

Assertion violation w/icmp traffic and icmp inspection (Violación de aserción con tráfico icmp e inspección icmp)

CSCsc16503

Transparent firewall ASR UDP out traffic got errors and inbound failed (Tráfico saliente de firewall transparente de ASR UDP con errores y falla en entrante)

CSCsc17409

dhcprelay: ASA blocks RELEASE packets (dhcprelay: ASA bloquea los paquetes RELEASE)

CSCsc17428

Tracebacks with ci/console with 'clear config all' (Seguimiento regresivo con ci/consola con 'clear config all')

CSCsc18444

Tunnel-group for specific peer not created upgrading to 7.0 w/ certs (Grupo de túnel para pares específicos no se crea actualizando a 7.0 con certs)


Documentación relacionada

Para obtener información adicional sobre el dispositivo adaptable de seguridad, consulte la siguiente documentación en Cisco.com:

Cisco ASA 5500 Hardware Installation Guide (Guía de instalación del hardware de Cisco ASA 5500)

Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide (Guía de introducción del dispositivo adaptable de seguridad de la serie ASA 5500 de Cisco)

Cisco ASDM Release Notes (release notes de Cisco ASDM)

Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de líneas de comandos para dispositivos de seguridad de Cisco)

Cisco Security Appliance Command Reference (Referencia de comandos del dispositivo de seguridad de Cisco).

Migrating to ASA for VPN 3000 Series Concentrator Administrators (Migración hacia ASA para administradores del Concentrador Cisco VPN serie 3000)

Release Notes for Cisco SSL VPN Client (release notes del cliente SSL VPN de Cisco)

Cisco Secure Desktop Configuration Guide (Guía de configuración de escritorio seguro de Cisco)

Release Notes for Cisco Secure Desktop (release notes del escritorio seguro de Cisco)

Regulatory Compliance and Safety Information for the Cisco ASA 5500 Series (Información de conformidad y seguridad reglamentadas para la serie ASA 5500 de Cisco)

Selected ASDM VPN Configuration Procedures for the Cisco ASA 5500 Series (Procedimientos seleccionados de configuración de ASDM VPN para la serie ASA 5500 de Cisco)

Cisco Security Appliance Logging Configuration and System Log Messages (Configuración de registro y mensajes de registro del sistema para el dispositivo de seguridad de Cisco)

Consejos para configuración de software en la página de inicio del TAC de Cisco

El Centro de asistencia técnica de Cisco cuenta con muchas páginas útiles. si usted tiene una cuenta de CDC, puede visitar los siguientes sitios Web para obtener asistencia:

Resolución de problemas del TAC, ejemplos de configuraciones, información sobre hardware, instalaciones de software y más:

http://www.cisco.com/cisco/web/LA/support/index.html

Obtención de documentación

Puede obtener documentación de Cisco e información adicional en Cisco.com. Cisco también ofrece varias formas de obtener asistencia técnica y otros recursos técnicos. Estas secciones explican cómo obtener información técnica de Cisco Systems.

Cisco.com

Puede acceder a la documentación más reciente de Cisco en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Puede acceder al sitio Web de Cisco en la siguiente URL:

http://www.cisco.com

Puede acceder a los sitios Web internacionales de Cisco en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

DVD de documentación de productos

El DVD de documentación de productos es una completa biblioteca de documentos de productos técnicos en un medio portátil. El DVD le permite acceder a varias versiones de guías de instalación, de configuración y de comandos de los productos de hardware y software de Cisco. Con el DVD, tendrá acceso a la misma documentación HTML incluida en el sitio Web de Cisco sin necesidad de una conexión a Internet. La documentación de algunos productos también está disponible en versión .PDF.

El DVD de documentación de productos está disponible como una sola unidad o como una suscripción. Los usuarios registrados de Cisco.com (clientes directos de Cisco) pueden solicitar el DVD de documentación de productos (número de producto DOC-DOCDVD= o DOC-DOCDVD=SUB) en Cisco Marketplace (Mercado de Cisco) en esta URL:

http://www.cisco.com/go/marketplace/

Solicitud de documentación

Los usuarios registrados de Cisco.com pueden solicitar la documentación de Cisco en Product Documentation Store (Tienda de documentación de producto) en Cisco Marketplace (Mercado de Cisco) en esta URL:

http://www.cisco.com/go/marketplace/

Los usuarios no registrados de Cisco.com pueden solicitar documentación técnica de 8:00 a.m. a 5:00 p.m. (0800 a 1700) PDT llamando al 1 866 463-3487 en los Estados Unidos y Canadá, o bien llamando al 011 408 519-5055 desde cualquier otra parte del mundo. También puede solicitar documentación mediante correo electrónico a tech-doc-store-mkpl@external.cisco.com o por fax a 1 408 519-5001 en los Estados Unidos y Canadá, o bien al 011 408 519-5001 desde cualquier otra parte del mundo.

Comentarios sobre la documentación

Puede evaluar y proporcionar comentarios sobre los documentos técnicos de Cisco completando el formulario de comentarios en línea que aparece junto con los documentos técnicos en Cisco.com.

Puede enviar comentarios sobre la documentación de Cisco mediante la tarjeta de respuesta (si la hay) situada detrás de la portada del documento o escribiendo a la dirección siguiente:

Cisco Systems
Attn: Customer Document Ordering
170 West Tasman Drive
San Jose, CA 95134-9883

Agradecemos sus comentarios.

Información general de la seguridad de los productos de Cisco

Cisco proporciona un portal Security Vulnerability Policy (política de vulnerabilidad de la seguridad) en línea gratuito en esta URL:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

En este sitio, encontrará información sobre la forma de:

Informar de las vulnerabilidades de seguridad de los productos de Cisco.

Obtener asistencia en incidentes de seguridad relacionados con productos de Cisco.

Registrarse para recibir información de seguridad de Cisco.

En esta URL se proporciona una lista de consejos, avisos y respuestas de seguridad para productos de Cisco:

http://www.cisco.com/go/psirt

Si desea ver los consejos, avisos y respuestas de seguridad según se actualizan en tiempo real, puede suscribirse al suministro de datos de Really Simple Syndication (Distribución realmente simple) del Equipo de respuestas a problemas de seguridad de productos (PSIRT RSS). La información sobre cómo suscribirse al suministro de datos se encuentra en esta  URL:

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

Notificación de problemas de seguridad en los productos de Cisco

Cisco se compromete a proporcionar productos seguros. Probamos nuestros productos en forma interna antes de comercializarlos, y nos esforzamos en corregir rápidamente todas las vulnerabilidades. Si piensa que ha detectado una vulnerabilidad en un producto de Cisco, póngase en contacto con el PSIRT:

Sólo para emergencias :  security-alert@cisco.com

Se considera emergencia una condición en la que un sistema sufre un ataque activo o por la que se debe informar de una vulnerabilidad de seguridad grave y urgente. Todas las demás condiciones no se consideran emergencias.

Para condiciones de no emergencia :  psirt@cisco.com

En caso de emergencia también puede comunicarse con el PSIRT por teléfono:

1 877 228-7302

1 408 525-6532


Recomendación Le recomendamos utilizar el protocolo Pretty Good Privacy (PGP) o un producto compatible (por ejemplo, GnuPG) para cifrar cualquier información confidencial que envíe a Cisco. El PSIRT puede trabajar con información cifrada con las versiones 2.x a 9.x de PGP.

No utilice nunca una clave de cifrado anulada o caducada. La clave pública correcta que debe utilizar en su correspondencia con PSIRT es la enlazada en la sección Contact Summary (Resumen de contacto) de la página Security Vulnerability Policy (Política de vulnerabilidad de la seguridad) en esta  URL:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlEl enlace en esta página tiene la ID de la clave PGP actual en uso.

Si usted no tiene o no usa PGP, póngase en contacto con el PSIRT a través de las direcciones de correo electrónico o los teléfonos ya mencionados antes de enviar cualquier material confidencial a fin de encontrar otros medios para cifrar los datos.


Obtención de asistencia técnica

Cisco Technical Support (soporte técnico de Cisco) ofrece asistencia técnica de calidad durante las 24 horas del día. El sitio Web Cisco Technical Support & Documentation (soporte técnico y documentación de Cisco) de Cisco.com dispone de numerosos recursos de soporte en línea. Además, si tiene un contrato de servicio vigente con Cisco, los ingenieros del centro de asistencia técnica (TAC) de Cisco ofrecen soporte telefónico. Si no tiene un contrato de servicio vigente con Cisco, póngase en contacto con su revendedor.

Sitio Web de soporte técnico y documentación de Cisco

El sitio Web Cisco Technical Support & Documentation (soporte técnico y documentación de Cisco) facilita documentos y herramientas en línea para la resolución de problemas generales y técnicos con las tecnologías y productos de Cisco. El sitio Web está disponible durante las 24 horas del día, en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Para acceder a todas las herramientas del Sitio Web de Soporte técnico y documentación de Cisco se requiere un ID de usuario y una contraseña de Cisco.com. Si cuenta con un contrato de servicio vigente pero no tiene ID o contraseña de usuario, se puede registrar en la siguiente URL:

http://tools.cisco.com/RPF/register/register.do


Nota Utilice la Herramienta de identificación de productos Cisco o CPI para localizar el número de serie del producto antes de realizar una solicitud de servicio mediante Web o por teléfono. Puede acceder a la herramienta CPI desde el Sitio Web de Soporte técnico y documentación de Cisco haciendo clic en el enlace Tools & Resources (Herramientas y recursos) en Documentation & Tools (Documentación y herramientas). En la lista desplegable del índice alfabético, seleccione Cisco Product Identification Tool (herramienta de identificación de productos Cisco), o bien haga clic en el enlace Cisco Product Identification Tool (herramienta de identificación de productos Cisco) de Alerts & RMAs (Alertas y RMA). La herramienta CPI proporciona tres opciones de búsqueda: por ID del producto o nombre de modelo, por vista de árbol, o para determinados productos, copiando y pegando el resultado del comando show. Los resultados de la búsqueda ofrecen una ilustración del producto con la ubicación de la etiqueta del número de serie resaltada. Localice la etiqueta del número de serie de su producto y registre la información antes de realizar una llamada de servicio.


Envío de una solicitud de servicio

La Herramienta de solicitud de servicio TAC, en línea, es la forma más rápida para abrir solicitudes de servicio S3 y S4. (Las solicitudes de servicio S3 y S4 son solicitudes en las que la red está mínimamente afectada o para las cuales se requiere información del producto.) Una vez descrita la situación, la Herramienta de solicitud de servicio TAC proporciona soluciones recomendadas. Si no consigue solucionar el problema mediante los recursos recomendados, la solicitud de servicio se asignará a un ingeniero de Cisco. La Herramienta de solicitud de servicio TAC se ubica en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html/servicerequest

Para solicitudes de servicio S1 o S2 o en caso de no tener acceso a Internet, póngase en contacto con el TAC de Cisco por teléfono. Las solicitudes de servicio S1 o S2 se usan para cuando la red de producción queda inactiva o se ha degradado. Las solicitudes de servicio S1 y S2 se asignan inmediatamente a los ingenieros de Cisco para ayudarle a que su empresa siga funcionando sin problemas.

Para abrir una solicitud de servicio por teléfono, utilice uno de los siguientes números:

Asia y el Pacífico: +61 2 8446 7411 (Australia: 1 800 805 227)
EMEA: +32 2 704 55 55
EE.UU.: 1 800 553-2447

Para obtener una lista completa de los contactos del TAC de Cisco, vaya a la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html/contacts

Definiciones de gravedad para las solicitudes de servicio

Para garantizar que todas las solicitudes de servicio se realicen en un formato estándar, Cisco ha escrito definiciones de gravedad.

Gravedad 1 (S1): una red existente queda inactiva o las operaciones comerciales se ven notablemente afectadas. Cisco y el usuario aplicarán todos los recursos posibles hasta encontrar la solución.

Gravedad 2 (S2): un desempeño inadecuado de los productos de Cisco degrada gravemente el funcionamiento de la red existente o afecta negativamente aspectos importantes de las operaciones comerciales. Cisco y el usuario aplicarán los recursos permanentes durante el horario normal de trabajo para resolver la situación.

Gravedad 3 (S3): el desempeño operativo de la red es defectuoso, pero la mayoría de las operaciones comerciales se siguen realizando con normalidad. Cisco y el usuario aplicarán los recursos durante el horario normal de trabajo para restablecer el servicio a niveles satisfactorios.

Gravedad 4 (S4): requiere información o asistencia sobre capacidades, instalación o configuración de productos de Cisco. Se produce un efecto mínimo o nulo en sus operaciones comerciales.

Obtención de publicaciones e información adicionales

Se puede obtener información sobre productos, tecnologías o soluciones de red de Cisco de diversas fuentes en papel y en línea.

La Cisco Product Quick Reference Guide (Guía de consulta rápida de productos de Cisco) es una herramienta de consulta práctica y concisa que incluye información general breve sobre productos, características clave, números de pedido de muestras y especificaciones técnicas abreviadas para muchos productos de Cisco que se venden a través de socios de canal. Se la actualiza dos veces al año e incluye las ofertas más recientes de Cisco. Para solicitar la Cisco Product Quick Reference Guide o saber más sobre ella, visite la siguiente URL:

http://www.cisco.com/go/guide

Cisco Marketplace (Mercado de Cisco) proporciona distintos libros, guías de referencia y documentación de Cisco, así como productos comerciales con el logotipo. Visite Cisco Marketplace (Mercado de Cisco), la tienda de la compañía, en esta URL:

http://www.cisco.com/go/marketplace/

Cisco Press publica una amplia gama de títulos sobre redes, formación y certificación generales. Tanto los usuarios nuevos como los experimentados pueden aprovechar estas publicaciones. Para conocer los títulos actuales de Cisco Press e información adicional, visite Cisco Press en la siguiente URL:

http://www.ciscopress.com

La revista Packet es la revista técnica del usuario de Cisco Systems para maximizar las inversiones de Internet y redes. Cada trimestre, Packet se ocupa de las últimas tendencias industriales, los avances tecnológicos y los productos y soluciones Cisco, además de proporcionar consejos sobre implementación de red y resolución de problemas, ejemplos de configuración, estudios sobre clientes, información sobre certificación y formación, y enlaces hacia recursos en línea más detallados. Puede acceder a la revista Packet en esta URL:

http://www.cisco.com/packet

iQ Magazine es la publicación trimestral de Cisco Systems diseñada para ayudar a las compañías en crecimiento a aprender cómo pueden utilizar la tecnología para aumentar los beneficios, racionalizar sus negocios y ampliar servicios. La publicación identifica los retos a los que se enfrentan estas compañías y las tecnologías que pueden ayudarles a resolverlos, utilizando estudios reales y estrategias comerciales que ayudan a los lectores a tomar las decisiones de inversión en tecnología correctas. Puede acceder a la revista iQ Magazine en la siguiente URL:

http://www.cisco.com/go/iqmagazine

o bien, ver la edición digital en esta URL:

http://ciscoiq.texterity.com/ciscoiq/sample/

Internet Protocol Journal es una publicación trimestral publicada por Cisco Systems para los profesionales de la ingeniería implicados en el diseño, desarrollo y operación de redes internas y externas públicas y privadas. Puede acceder a Internet Protocol Journal en la siguiente URL:

http://www.cisco.com/ipj

Los productos de red de Cisco Systems, así como los servicios de soporte al cliente, están disponibles en esta URL:

http://www.cisco.com/en/US/products/index.html

Networking Professionals Connection es un sitio Web interactivo para que los profesionales en redes intercambien preguntas, sugerencias e información sobre productos y tecnologías de conexión en red con expertos de Cisco y otros profesionales en redes. Únase a una discusión en esta URL:

http://www.cisco.com/cisco/web/LA/support/index.html

Cisco pone a su disposición formación de talla mundial sobre redes. Puede ver las ofertas actuales en la siguiente URL:

http://www.cisco.com/en/US/learning/index.html