Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Подчиненное устройство AnyConnect портала обнаружение и исправление

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Много беспроводных хот-спотов в отелях, ресторанах, аэропортах и других общественных местах используют присоединенные порталы для блокирования пользовательского доступа к Интернету. Они перенаправляют запросы HTTP к своим собственным сайтам, которые требуют, чтобы пользователи ввели свои учетные данные или подтвердили условия использования хоста хот-спота. Этот документ описывает подчиненное устройство Клиента Мобильности AnyConnect Cisco портала функция обнаружения и требования для нее для функционирования правильно.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с защищенным мобильным клиентом Cisco AnyConnect Secure Mobility.

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения:

  • Версия 3.1.04072 AnyConnect
  • Устройство адаптивной защиты Cisco (ASA) версия 9.1.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Много средств, которые предлагают Wi-Fi и соединенный проводом доступ, такой как аэропорты, кафе и отели, требуют, чтобы пользователи заплатили, прежде чем они получат доступ, согласятся соблюдать политику допустимого использования или обоих. Эти средства используют способ, названный присоединенным порталом, чтобы препятствовать тому, чтобы приложения соединились, пока пользователи не открывают браузер и принимают условия для доступа.

Присоединенные портала требования исправления

Поддержка и присоединенного портала обнаружения и исправления требует одной из этих лицензий:

  • AnyConnect Premium (выпуск VPN уровня защищенных сокетов (SSL))
  • AnyConnect Cisco безопасная мобильность

Можно использовать AnyConnect Cisco Безопасная лицензия Мобильности для оказания поддержки для присоединенного портала обнаружения и исправления или в сочетании с AnyConnect Основы или в сочетании с AnyConnect Premium лицензия.

Примечание: Присоединенное портала обнаружение и исправление поддерживаются на Microsoft Windows и Macintosh OS X операционных систем, поддерживаемых выпуском AnyConnect, который используется.

Присоединенное портала обнаружение хот-спота

AnyConnect отображает Неспособное для контакта с сообщением сервера VPN на GUI, если это не может соединиться, независимо от причины. Сервер VPN задает защищенный шлюз. Если Постоянный включен, и присоединенный портал не присутствует, клиент продолжает пытаться соединиться с VPN и обновляет сообщение о статусе соответственно.

Если Постоянная VPN включена, политика сбоя подключения закрыта, присоединенное портала исправление отключено, и AnyConnect обнаруживает присутствие присоединенного портала, то GUI AnyConnect отображает это сообщение один раз для каждого подключения и один раз на переподключение:

The service provider in your current location is restricting access to the Internet. 
The AnyConnect protection settings must be lowered for you to log on with the service
provider. Your current enterprise security policy does not allow this.

Если AnyConnect обнаруживает присутствие присоединенного портала, и конфигурация AnyConnect отличается от тот ранее описанный, GUI AnyConnect отображает это сообщение один раз для каждого подключения и один раз на переподключение:

The service provider in your current location is restricting access to the Internet. 
You need to log on with the service provider before you can establish a VPN session.
You can try this by visiting any website with your browser.

Внимание.  : Присоединенное портала обнаружение включено по умолчанию и неизменяемо. AnyConnect не модифицирует параметров конфигурации браузера во время присоединенного портала обнаружения.

Присоединенное портала исправление хот-спота

Присоединенное портала исправление является процессом, где вы удовлетворяете требования присоединенного портала хот-спота для получения доступа к сети.

AnyConnect не повторно добивается присоединенного портала; это полагается на конечного пользователя для выполнения исправления.

Для выполнения присоединенного портала исправления конечный пользователь удовлетворяет требования поставщика хот-спота. Эти требования могли бы включать оплату сбора для доступа к сети, подписи на политике допустимого использования, обоих или некотором другом требовании, которое определено поставщиком.

Присоединенное портала исправление должно быть явно позволено в профиле Клиента AnyConnect VPN Client, если Постоянный AnyConnect включен, и политика сбоя Подключения установлена в Закрытый. Если Постоянный включен, и политика Сбоя Подключения собирается Открыться, вы не должны явно позволять присоединенное портала исправление в профиле Клиента AnyConnect VPN Client, потому что пользователь не ограничен от доступа к сети.

Ложное присоединенное портала обнаружение

AnyConnect может ложно предположить, что это находится в присоединенном портале в этих ситуациях.

  • Если AnyConnect попытается связаться с ASA с сертификатом, который содержит неправильное имя сервера (CN), то клиент AnyConnect будет думать, что это находится в присоединенной среде портала.

    Для предотвращения этой проблемы удостоверьтесь, что должным образом настроен сертификат ASA. Значение CN в сертификате должно совпасть с названием сервера ASA в профиле клиента VPN.

  • Если будет другое устройство в сети перед ASA, который отвечает на попытку клиента связаться с ASA путем блокирования доступа HTTPS к ASA, то клиент AnyConnect будет думать, что это находится в присоединенной среде портала. Эта ситуация может произойти, когда пользователь находится на внутренней сети и подключениях через межсетевой экран для соединения с ASA.

    Если необходимо ограничить доступ к ASA из корпорации, настроить межсетевой экран так, что, трафик HTTP и Трафик HTTPS к адресу ASA не возвращают статус HTTP. Доступ HTTP/HTTPS к ASA должен или быть предоставлен или полностью заблокирован (также известный, как помещено в черный список), чтобы гарантировать, что HTTP/з¦просы HTTPS, передаваемый ASA, не возвратит неожиданный ответ.

Поведение AnyConnect

В этом разделе описывается AnyConnect ведет себя.

  1. AnyConnect пробует зонд HTTPS к Полному доменному имени (FQDN), определенному в профиле XML.

  2. Если существует ошибка сертификата (не доверяемый/неправильный FQDN), то Anyconnect пробует Проверку HTTP к FQDN, определенному в профиле XML. Если существует какой-либо другой ответ, чем HTTP 302, то он считает, что находится позади присоединенного портала.

Присоединенный портал, неправильно обнаруженный с IKEV2

Когда вы пытаетесь, соединение второй версии протокола Internet Key Exchange (IKEv2) с ASA с аутентификацией SSL отключило, который выполняет портал Менеджера устройств адаптивной безопасности (ASDM) (ASDM) на порту 443, зонд HTTPS, выполненный для присоединенных портала результатов обнаружения в перенаправлении к порталу ASDM (/admin/public/index.html). Так как это не ожидается клиентом, это похоже на присоединенное портала перенаправление, и попытка подключения предотвращена, так как кажется, что требуется присоединенное портала исправление.

Обходные пути

При обнаружении с этой проблемой вот некоторые обходные пути:

  • Удалите команды HTTP на том интерфейсе так, чтобы ASA не слушал соединения HTTP на интерфейсе.

  • Удалите точку доверия SSL на интерфейсе.

  • Включите сервисы клиента IKEV2.

  • Включите WebVPN на интерфейсе.

Этот вопрос решен идентификатором ошибки Cisco CSCud17825 в Версии 3.1 (3103).

Внимание.  : Та же проблема существует для маршрутизаторов Cisco IOS®. Если ip http server включен на Cisco IOS, которая требуется, если та же коробка используется в качестве Сервера pki, AnyConnect ложно обнаруживает присоединенный портал. Обходной путь должен использовать ip http access-class для остановки ответов на запросы HTTP AnyConnect, вместо того, чтобы запросить аутентификацию.

Отключите присоединенную портала опцию

В настоящее время не возможно отключить присоединенную портала опцию. Однако существует усовершенствование (идентификатор ошибки Cisco CSCud97386) , чтобы быть в состоянии выполнить это, потому что AnyConnect мог бы ложно обнаружить присоединенный портал на многих сетях заказчика.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.