Guía de implementación de políticas de acceso dinámico (DAP) ASA 8.x

Opciones de descarga

  • PDF     (554.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (662.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de septiembre de 2008
ID del documento:108000

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Los gateways de red privada virtual (VPN) funcionan en entornos dinámicos. Varias variables pueden afectar a cada conexión VPN; por ejemplo, las configuraciones de intranet que cambian con frecuencia, las distintas funciones que cada usuario puede tener dentro de una organización e inicia sesión en sitios de acceso remoto con diferentes configuraciones y niveles de seguridad. La tarea de autorizar usuarios es mucho más complicada en un entorno de VPN dinámico que en una red con una configuración estática.

Las políticas de acceso dinámico (DAP), una nueva función introducida en el código de la versión de software v8.0 del dispositivo de seguridad adaptable (ASA), le permiten configurar la autorización que aborda la dinámica de los entornos VPN. Para crear una política de acceso dinámico, establezca una colección de atributos de control de acceso que asocie a un túnel de usuario o sesión específicos. Estos atributos abordan problemas de pertenencia a varios grupos y seguridad de terminales.

Por ejemplo, el dispositivo de seguridad concede acceso a un usuario concreto para una sesión determinada en función de las políticas que defina. Genera un DAP durante la autenticación de usuario seleccionando o agregando atributos de uno o más registros DAP. Selecciona estos registros DAP basándose en la información de seguridad del terminal del dispositivo remoto y/o la información de autorización AAA para el usuario autenticado. Luego aplica el registro DAP al túnel de usuario o a la sesión.

Nota: El archivo dap.xml, que contiene los atributos de selección de políticas DAP, se almacena en la memoria flash del ASA. Aunque puede exportar el archivo dap.xml desactivado, editarlo (si conoce la sintaxis xml) y volver a importarlo, tenga mucho cuidado, porque puede hacer que ASDM deje de procesar los registros DAP si ha configurado algo mal. No hay CLI para manipular esta parte de la configuración.

Nota: Intentar configurar los parámetros de acceso dinámico-de-política-registro a través de la CLI puede hacer que DAP deje de funcionar aunque ASDM administraría correctamente lo mismo. Evite la CLI y utilice siempre ASDM para administrar las políticas DAP.

Atributos DAP y AAA

DAP complementa los servicios AAA y proporciona un conjunto limitado de atributos de autorización que pueden reemplazar los atributos que proporciona AAA. El dispositivo de seguridad puede seleccionar registros DAP en función de la información de autorización AAA para el usuario. El dispositivo de seguridad puede seleccionar varios registros DAP dependiendo de esta información, que luego agrega para asignar atributos de autorización DAP.

Puede especificar atributos AAA desde la jerarquía de atributos de Cisco AAA, o desde el conjunto completo de atributos de respuesta que el dispositivo de seguridad recibe de un servidor RADIUS o LDAP, como se muestra en la Figura 1.

Figura 1. GUI de atributo AAA de DAP

dap_Fig_01.gif

Atributos de seguridad de terminales y DAP

Además de los atributos AAA, el dispositivo de seguridad también puede obtener atributos de seguridad de terminales mediante los métodos de evaluación de estado que configure. Estos incluyen el análisis básico de host, Secure Desktop, la evaluación de terminales estándar/avanzada y NAC, como se muestra en la figura 2. Los atributos de evaluación de terminales se obtienen y se envían al dispositivo de seguridad antes de la autenticación del usuario. Sin embargo, los atributos AAA, incluido el registro DAP general, se validan durante la autenticación de usuario.

Figura 2 GUI de atributo de terminal

dap_Fig_02.gif

Política de acceso dinámico predeterminada

Antes de la introducción e implementación de DAP, los pares de atributo/valor de la política de acceso asociados a un túnel de usuario específico o a una sesión se definieron localmente en el ASA, es decir, (Grupos de Túnel y Políticas de Grupo) o se asignaron a través de servidores AAA externos. Sin embargo, en la versión v8.0, el DAP se puede configurar para complementar o reemplazar las políticas de acceso locales y externas.

DAP siempre se aplica de forma predeterminada. Sin embargo, para los administradores que prefieren el método de aplicación de políticas heredado, por ejemplo, aplicar el control de acceso a través de grupos de túnel, políticas de grupo y AAA sin la aplicación explícita de DAP todavía puede obtener este comportamiento. Para el comportamiento heredado, no se requieren cambios de configuración en la función DAP, incluido el registro DAP predeterminado, DfltAccessPolicy, como se muestra en la figura 3.

Figura 3. Política de acceso dinámico predeterminada

dap-deploy-guide3.gif

No obstante, si se cambia alguno de los valores predeterminados de un registro DAP, por ejemplo, la Acción: en DfltAccessPolicy se cambia de su valor predeterminado a Terminate y no se configuran registros DAP adicionales, los usuarios autenticados, de forma predeterminada, coincidirán con el registro DfltAccessPolicy DAP y se les denegará el acceso VPN.

En consecuencia, será necesario crear y configurar uno o más registros DAP para autorizar la conectividad VPN y definir a qué recursos de red está autorizado el acceso un usuario autenticado. Por lo tanto, DAP, si se configura, tendrá prioridad sobre la aplicación de políticas heredadas.

Configuración de Políticas de Acceso Dinámicas

Al utilizar DAP para definir a qué recursos de red tiene acceso un usuario, hay muchos parámetros que considerar. Por ejemplo, la identificación de si el terminal de conexión proviene de un entorno administrado, no administrado o no confiable, la determinación de los criterios de selección necesarios para identificar el terminal de conexión y en base a la evaluación del terminal y/o las credenciales AAA, a los recursos de red a los que el usuario de conexión estará autorizado a acceder. Para lograrlo, primero deberá familiarizarse con las funciones y funciones de DAP, como se muestra en la figura 4.

Figura 4 Política de acceso dinámico

dap-deploy-guide4.gif

Al configurar un registro DAP, hay dos componentes principales que se deben tener en cuenta:

  • Criterios de selección que incluyen opciones avanzadas

  • Atributos de política de acceso

La sección Criterios de selección es donde un administrador configuraría atributos AAA y de terminal utilizados para seleccionar un registro DAP específico. Se utiliza un registro DAP cuando los atributos de autorización de un usuario coinciden con los criterios de atributo AAA y se ha satisfecho cada atributo de terminal.

Por ejemplo, si el Tipo de Atributo AAA: LDAP (Active Directory) está seleccionado, la cadena Attribute Name es memberOf y la cadena Value es Contractors, como se muestra en la figura 5a, el usuario autenticador debe ser un miembro del grupo Contractors de Active Directory para que coincida con los criterios de atributo AAA.

Además de cumplir los criterios de atributo AAA, el usuario autenticador también deberá cumplir los criterios de atributo del punto final. Por ejemplo, si el administrador configuró Cisco Secure Desktop (CSD) para determinar el estado del punto final de conexión y basándose en esa evaluación de estado, el punto final se colocó en la ubicación de CSD No administrada, el administrador podría entonces utilizar esta información de evaluación como criterios de selección para el atributo del terminal que se muestra en la figura 5b.

Figura 5a. Criterios de atributos AAA

dap_Fig_05a.gif

Figura 5b. Criterios de atributos de punto final

dap_Fig_05b.gif

Por lo tanto, para que coincida con el registro DAP que se muestra en la Figura 6, el usuario que realiza la autenticación debe ser miembro del grupo de Active Directory de Contractors y su punto final de conexión debe satisfacer el valor de política de CSD "Sin cambios", para que se le asigne el registro DAP.

Figura 6. Coincidencia de criterios de atributos de AAA y de terminales

dap_Fig_06.gif

Los atributos AAA y Endpoint se pueden crear utilizando las tablas descritas en la figura 6 o expandiendo la opción Advanced para especificar una expresión lógica, como se muestra en la figura 7. Actualmente, la expresión lógica se construye con funciones EVAL, por ejemplo, EVAL (endpoint.av.McAfeeAV.exista, "EQ","true","string") y EVAL (endpoint.av.McAfeeAV.description,"EQ","McAfee VirusScan Enterprise","string"), que representan operaciones lógicas de selección de terminal o AAA.

Las expresiones lógicas son útiles para agregar criterios de selección distintos de los posibles en las áreas de atributos AAA y de punto final anteriores. Por ejemplo, si bien puede configurar los dispositivos de seguridad para que utilicen atributos AAA que satisfagan cualquiera, todos o ninguno de los criterios especificados, los atributos de terminal son acumulativos y deben cumplirse todos. Para permitir que el dispositivo de seguridad emplee un atributo de terminal u otro, debe crear expresiones lógicas apropiadas en la sección Avanzadas del registro DAP.

Figura 7 GUI de expresión lógica para la creación de atributos avanzados

dap-deploy-guide7.gif

La sección Access Policy Attributes (Atributos de política de acceso), como se muestra en la figura 8, es donde un administrador configuraría los atributos de acceso VPN para un registro DAP específico. Cuando los atributos de autorización de un usuario coinciden con los criterios de AAA, terminal o expresión lógica; se aplicarán los valores de atributo de política de acceso configurados en esta sección. Los valores de atributo especificados aquí invalidarán los valores obtenidos del sistema AAA, incluidos los que se encuentran en los registros de usuario, grupo, grupo de túnel y grupo predeterminado.

Un registro DAP tiene un conjunto limitado de valores de atributo que se pueden configurar. Estos valores se incluyen en las siguientes fichas, como se muestra en las figuras 8 a 14:

Figura 8 Acción: especifica el procesamiento especial que se aplicará a una conexión o sesión específica.

dap_Fig_08.gif

  • Continue (Continuar): (valor predeterminado) Haga clic para aplicar atributos de política de acceso a la sesión.

  • Finalizar: haga clic para finalizar la sesión.

  • Mensaje de usuario: introduzca un mensaje de texto que se mostrará en la página del portal cuando se seleccione este registro DAP. Máximo 128 caracteres. Un mensaje de usuario se muestra como una orden amarilla. Cuando un usuario inicia sesión, parpadea tres veces para atraer la atención y, a continuación, continúa. Si se seleccionan varios registros DAP y cada uno de ellos tiene un mensaje de usuario, se mostrarán todos los mensajes de usuario. Además, puede incluir en dichos mensajes URL u otro texto incrustado, que requiere que utilice las etiquetas HTML correctas.

Figura 9. Ficha Filtros de ACL de red: permite seleccionar y configurar ACL de red para aplicar a este registro DAP. Una ACL para DAP puede contener reglas permit o deny, pero no ambas. Si una ACL contiene las reglas permit y deny, el dispositivo de seguridad rechaza la configuración ACL.

dap_Fig_09.gif

  • Cuadro desplegable ACL de red: seleccione ACL de red ya configuradas para agregarlas a este registro DAP. Sólo las ACL que tienen todas las reglas de denegación de permisos o todas ellas son elegibles, y estas son las únicas ACL que se muestran aquí.

  • Administrar: haga clic para agregar, editar y eliminar ACL de red.

  • Lista de ACL de red: muestra las ACL de red para este registro DAP.

  • Agregar: haga clic para agregar la ACL de red seleccionada del cuadro desplegable a la lista ACL de red de la derecha.

  • Eliminar: haga clic para eliminar una ACL de red resaltada de la lista ACL de red. No puede eliminar una ACL si está asignada a un DAP u otro registro.

Figura 10. Ficha Filtros ACL de tipo Web: permite seleccionar y configurar ACL de tipo Web para aplicar a este registro DAP. Una ACL para DAP sólo puede contener reglas permit o deny. Si una ACL contiene las reglas permit y deny, el dispositivo de seguridad rechaza la configuración ACL.

dap_Fig_10.gif

  • Cuadro desplegable ACL de tipo Web: seleccione ACL de tipo Web ya configuradas para agregarlas a este registro DAP. Sólo las ACL que tienen todas las reglas de denegación de permisos o todas ellas son elegibles, y estas son las únicas ACL que se muestran aquí.

  • Gestionar... : haga clic para agregar, editar y eliminar ACL de tipo web.

  • Lista de ACL de tipo Web: muestra las ACL de tipo Web para este registro DAP.

  • Agregar: haga clic para agregar la ACL de tipo Web seleccionada del cuadro desplegable a la lista de ACL de tipo Web de la derecha.

  • Eliminar: haga clic para eliminar una ACL de tipo Web de la lista de ACL de tipo Web. No puede eliminar una ACL si está asignada a un DAP u otro registro.

Figura 11. Ficha Funciones: permite configurar la entrada y exploración del servidor de archivos, el proxy HTTP y la entrada URL para el registro DAP.

dap_Fig_11.gif

  • Exploración del servidor de archivos: habilita o deshabilita la exploración CIFS para servidores de archivos o funciones compartidas.

  • Entrada del servidor de archivos: permite o deniega a un usuario la introducción de rutas de acceso y nombres del servidor de archivos en la página del portal. Cuando se activa, coloca la sección de entrada del servidor de archivos en la página del portal. Los usuarios pueden introducir directamente nombres de ruta a los archivos de Windows. Pueden descargar, editar, eliminar, cambiar el nombre y mover archivos. También pueden agregar archivos y carpetas. Los recursos compartidos también se deben configurar para el acceso de usuario en los servidores Microsoft Windows correspondientes. Es posible que los usuarios tengan que autenticarse antes de acceder a los archivos, en función de los requisitos de la red.

  • Proxy HTTP: afecta al reenvío de un proxy de applet HTTP al cliente. El proxy es útil para tecnologías que interfieren con la correcta transformación del contenido, como Java, ActiveX y Flash. Evita el proceso de manipulación/reescritura al tiempo que garantiza el uso continuo del dispositivo de seguridad. El proxy reenviado modifica automáticamente la configuración de proxy antigua del navegador y redirige todas las solicitudes HTTP y HTTPS a la nueva configuración de proxy. Admite prácticamente todas las tecnologías del cliente, incluidas HTML, CSS, JavaScript, VBScript, ActiveX y Java. El único explorador que admite es Microsoft Internet Explorer.

  • Entrada de URL: permite o impide que un usuario introduzca URL HTTP/HTTPS en la página del portal. Si se habilita esta función, los usuarios pueden introducir direcciones web en el cuadro de entrada de URL y utilizar VPN SSL sin cliente para acceder a esos sitios web.

  • Sin cambiar: (valor predeterminado) Haga clic para utilizar los valores de la política de grupo que se aplica a esta sesión.

  • Enable/Disable (Activar/Desactivar): haga clic para activar o desactivar la función.

  • Inicio automático: haga clic para activar el proxy HTTP y para que el registro DAP inicie automáticamente los applets asociados a estas funciones.

Figura 12. Ficha Port Forwarding Lists (Listas de reenvío de puertos): permite seleccionar y configurar listas de reenvío de puertos para las sesiones de usuario.

dap_Fig_12.gif

  • Port Forwarding (Reenvío de puertos): seleccione una opción para las listas de reenvío de puertos que se aplican a este registro DAP. Los demás atributos de este campo sólo se habilitan cuando se establece Port Forwarding en Enable o Auto-start.

  • Sin cambiar: haga clic para utilizar los valores de la política de grupo que se aplica a esta sesión.

  • Enable/Disable (Activar/Desactivar): haga clic para activar o desactivar el reenvío de puertos.

  • Inicio automático: haga clic para activar el reenvío de puertos y para que el registro DAP inicie automáticamente los subprogramas de reenvío de puertos asociados a sus listas de reenvío de puertos.

  • Cuadro desplegable Lista de reenvío de puertos: seleccione las listas de reenvío de puertos ya configuradas para agregarlas al registro DAP.

  • Nuevo: haga clic para configurar nuevas listas de reenvío de puertos.

  • Listas de reenvío de puertos: muestra la lista de reenvío de puertos para el registro DAP.

  • Agregar: haga clic para agregar la lista de reenvío de puertos seleccionada del cuadro desplegable a la lista de reenvío de puertos de la derecha.

  • Eliminar: haga clic para eliminar la lista de reenvío de puertos seleccionada de la lista de reenvío de puertos. No puede eliminar una ACL si está asignada a un DAP u otro registro.

Figura 13. Ficha Marcadores: permite seleccionar y configurar marcadores/listas de URL para las sesiones de usuario.

dap_Fig_13.gif

  • Habilitar marcadores: haga clic para activarlos. cuando este cuadro no está seleccionado, no se muestra ninguna lista de marcadores en la página del portal para la conexión

  • Administrar: haga clic para agregar, importar, exportar y eliminar listas de marcadores.

  • Listas de marcadores (desplegable): muestra las listas de marcadores del registro DAP.

  • Agregar: haga clic para agregar la lista de marcadores seleccionada del cuadro desplegable al cuadro de lista de marcadores de la derecha.

  • Eliminar: haga clic para eliminar la lista de marcadores seleccionada del cuadro de lista de marcadores. No puede eliminar una lista de marcadores del dispositivo de seguridad a menos que primero la elimine de los registros DAP.

Figura 14. Ficha Método: permite configurar el tipo de acceso remoto permitido.

dap_Fig_14.gif

  • Sin cambiar: continúe con el método de acceso remoto actual establecido en la directiva de grupo para la sesión.

  • AnyConnect Client: conéctese mediante Cisco AnyConnect VPN Client.

  • Web-Portal: conéctese con VPN sin cliente.

  • Both-default-Web-Portal: conéctese a través de cliente sin cliente o AnyConnect, con un valor predeterminado de clientless.

  • Cliente de AnyConnect predeterminado: conéctese a través de cliente sin cliente o de AnyConnect, con un valor predeterminado de AnyConnect.

Como se mencionó anteriormente, un registro DAP tiene un conjunto limitado de valores de atributo predeterminados, sólo si se modifican tendrán prioridad sobre los registros AAA, usuario, grupo, grupo de túnel y grupo predeterminado existentes. Si se requieren valores de atributo adicionales fuera del alcance de DAP, por ejemplo, Listas de tunelización divididas, Banners, Túneles inteligentes, Personalizaciones del portal, ...etc, entonces deberán aplicarse a través de AAA, usuario, grupo, grupo de túnel y registros de grupo predeterminados. En este caso, esos valores de atributo específicos complementarán el DAP y no serán reemplazantes. Por lo tanto, el usuario obtendrá un conjunto acumulativo de valores de atributo en todos los registros.

Agregación de Varias Políticas De Acceso Dinámicas

Un administrador puede configurar varios registros DAP para abordar muchas variables. Como resultado, es posible que un usuario que realiza la autenticación cumpla los criterios de atributos AAA y Endpoint de varios registros DAP. En consecuencia, los atributos de la política de acceso serán coherentes o entrarán en conflicto con estas políticas. En este caso, el usuario autorizado obtendrá el resultado acumulativo en todos los registros DAP coincidentes.

Esto también incluye valores de atributo únicos aplicados a través de la autenticación, autorización, usuario, grupo, grupo de túnel y registros de grupo predeterminados. El resultado acumulativo de los atributos de la política de acceso crea la política de acceso dinámico. Los ejemplos de atributos de política de acceso combinados se enumeran en las tablas siguientes. Estos ejemplos representan los resultados de 3 registros DAP combinados.

El atributo de acción que se muestra en la tabla 1 tiene un valor que es Terminar o Continuar. El valor agregado del atributo será Terminate si el valor Terminate se configura en cualquiera de los registros DAP seleccionados y Continue si el valor Continue se configura en todos los registros DAP seleccionados.

Tabla 1. Atributo de acción

Nombre del atributo DAP#1 DAP#2 DAP#3 DAP
Acción (ejemplo 1) continúe continúe continúe continúe
Acción (ejemplo 2) Terminar continúe continúe finalizar

El atributo user-message que se muestra en la Tabla 2 contiene un valor de cadena. El valor agregado del atributo será una cadena separada por line-feed (valor hexadecimal 0x0A) creada mediante la vinculación de los valores de atributo de los registros DAP seleccionados. El orden de los valores de atributo en la cadena combinada es insignificante.

Tabla 2. Atributo de mensaje de usuario

Nombre del atributo DAP#1 DAP#2 DAP#3 DAP
mensaje de usuario la zorro marrón Salta el rápido<LF>zorro café<LF>salta

Los atributos activadores de la función sin cliente (Funciones) que se muestran en la tabla 3 contienen valores que son Inicio automático, Activar o Desactivar. El valor agregado del atributo será Auto-start si el valor Auto-Start se configura en cualquiera de los registros DAP seleccionados.

El valor agregado del atributo será Enable si no hay ningún valor Auto-start configurado en ninguno de los registros DAP seleccionados, y el valor Enable se configura en al menos uno de los registros DAP seleccionados.

El valor agregado del atributo será Disable si no hay valor Auto-start o Enable configurado en ninguno de los registros DAP seleccionados, y el valor "disable" se configura en al menos uno de los registros DAP seleccionados.

Tabla 3. Atributos de habilitación de funciones sin cliente (funciones)

Nombre del atributo DAP#1 DAP#2 DAP#3 DAP
port-forward enable inhabilitar   enable
exploración de archivos inhabilitar enable inhabilitar enable
entrada de archivo     inhabilitar inhabilitar
http-proxy inhabilitar inicio automático inhabilitar inicio automático
url-entry inhabilitar   enable enable

Los atributos url-list y port-forward mostrados en la Tabla 4 contienen un valor que es una cadena o una cadena separada por comas. El valor agregado del atributo será una cadena separada por comas creada enlazando los valores de atributo de los registros DAP seleccionados. Se quitará cualquier valor de atributo duplicado de la cadena combinada. El orden de los valores de atributos en la cadena combinada es insignificante.

Tabla 4. Lista de URL y atributo de lista de reenvío de puertos

Nombre del atributo DAP#1 DAP#3 DAP#3 DAP
lista de url a b,c a a, b, c
port-forward   d,e e,f d,e,f

Los atributos del método de acceso especifican el método de acceso del cliente permitido para las conexiones VPN SSL. El método de acceso del cliente puede ser sólo acceso de AnyConnect Client, sólo acceso de Web-Portal, AnyConnect Client o acceso de Web-Portal con acceso de Web-Portal como valor predeterminado o acceso de AnyConnect Client o Web-Portal con acceso de AnyConnect Client como valor predeterminado. El valor agregado del atributo se resume en la tabla 5.

Tabla 5. Atributos de método de acceso

Valores de atributos seleccionados Resultado de agregación
Cliente AnyConnect Portal web Both-default-Web-Portal Cliente AnyConnect con dos valores predeterminados
      X Cliente AnyConnect con dos valores predeterminados
    X   Both-default-Web-Portal
    X X Both-default-Web-Portal
  X     Portal web
  X   X Cliente AnyConnect con dos valores predeterminados
  X X   Both-default-Web-Portal
  X X X Both-default-Web-Portal
X       Cliente AnyConnect
X     X Cliente AnyConnect con dos valores predeterminados
X   X   Both-default-Web-Portal
X   X X Both-default-Web-Portal
X X     Both-default-Web-Portal
X X   X Cliente AnyConnect con dos valores predeterminados
X X X   Both-default-Web-Portal
X X X X Both-default-Web-Portal

Al agregar atributos de filtro ACL de red (firewall) y de tipo web (sin cliente), la prioridad DAP y la ACL DAP son dos componentes principales que se deben tener en cuenta.

El atributo Priority como se muestra en la figura 15 no se agrega. El dispositivo de seguridad utiliza este valor para secuenciar lógicamente las listas de acceso al agregar las ACL de tipo web y de red de varios registros DAP. El dispositivo de seguridad ordena los registros del número de prioridad más alto al más bajo, con el más bajo en la parte inferior de la tabla. Por ejemplo, un registro DAP con un valor de 4 tiene una prioridad más alta que un registro con un valor de 2. No puede ordenarlos manualmente.

Figura 15 Priority (Prioridad): muestra la prioridad del registro DAP.

dap-deploy-guide15.gif

  • Nombre de directiva: muestra el nombre del registro DAP.

  • Descripción: describe el propósito del registro DAP.

El atributo DAP ACL sólo admite listas de acceso que se ajustan a un estricto modelo ACL de "lista blanca" o de "lista negra" estricta. En un modelo de ACL de "lista blanca", las entradas de la lista de acceso especifican reglas que permiten el acceso a redes o hosts específicos. En un modo ACL de "lista negra", las entradas de la lista de acceso especifican reglas que "niegan" el acceso a redes o hosts especificados. Una lista de acceso no conforme contiene entradas de la lista de acceso con una combinación de reglas "Permitir" y "Denegar". Si se configura una lista de acceso no conforme para un registro DAP, se rechazará como error de configuración cuando el administrador intente agregar el registro. Si se asigna una lista de acceso conforme a un registro DAP, cualquier modificación de la lista de acceso que cambie la característica de conformidad será rechazada como error de configuración.

Figura 16 DAP ACL: permite seleccionar y configurar ACL de red para aplicar a este registro DAP.

dap_Fig_16.gif

Cuando se seleccionan varios registros DAP, los atributos de listas de acceso especificados en la ACL de red (firewall) se agregan para crear una lista de acceso dinámica para la ACL de firewall DAP. Del mismo modo, los atributos de las listas de acceso especificados en la ACL de tipo Web (sin cliente) se agregan para crear una lista de acceso dinámica para la ACL sin cliente DAP. El siguiente ejemplo se centrará en cómo se crea específicamente una lista de acceso de firewall DAP dinámica. Sin embargo, una lista dinámica de acceso sin cliente DAP seguirá el mismo proceso.

En primer lugar, el ASA creará dinámicamente un nombre único para el DAP Network-ACL como se muestra en la tabla 6.

Tabla 6. Nombre de ACL de red DAP dinámico

Nombre DAP Network-ACL
DAP-Network-ACL-X (donde X es un entero que aumentará para garantizar la unicidad)

En segundo lugar, el ASA recuperará el atributo Network-ACL de los registros DAP seleccionados, como se muestra en la tabla 7.

Tabla 7. ACL de red

Registros DAP seleccionados Prioridad ACL de red Entradas de ACL de red
DAP 1 1 101 y 102 La ACL 101 tiene 4 Reglas de Denegación y la ACL 102 tiene 4 Reglas de Permiso
DAP 2 2 201 y 202 La ACL 201 tiene 3 reglas de permiso y la ACL 202 tiene 3 reglas de denegación
DAP 3 2 101 y 102 La ACL 101 tiene 4 Reglas de Denegación y la ACL 102 tiene 4 Reglas de Permiso

En tercer lugar, el ASA reordenará las ACL de red primero por el número de prioridad del registro DAP y luego por la Lista negra primero si el valor de prioridad para 2 o más registros DAP seleccionados es el mismo. A continuación, el ASA recuperará las entradas de ACL de red de cada ACL de red, como se muestra en la tabla 8.

Tabla 8. Prioridad de registro DAP

ACL de red Prioridad Modelo de lista de acceso blanco/negro Entradas de ACL de red
101 2 Lista negra 4 Reglas de denegación (DDDD)
202 2 Lista negra 3 Reglas de denegación (DDD)
102 2 Lista blanca 4 reglas de permiso (PPPP)
202 2 Lista blanca 3 reglas de permiso (PPP)
101 1 Lista negra 4 Reglas de denegación (DDDD)
102 1 Lista blanca 4 reglas de permiso (PPPP)

Por último, el ASA combinará las entradas de Network-ACL en la Network-ACL generada dinámicamente y, a continuación, devolverá el nombre de la Network-ACL dinámica como la nueva Network-ACL que se aplicará como se muestra en la tabla 9.

Tabla 9. Red DAP dinámica-ACL

Nombre DAP Network-ACL Entrada de ACL de red
DAP-Network-ACL-1 DDDD DDD PPPP PPP PPP DDDD PPPP

Implementación de DAP

Hay una serie de razones por las que un administrador debería considerar implementar DAP. Algunas razones subyacentes son cuándo se debe aplicar la evaluación de estado en un terminal y/o cuándo se deben considerar atributos de políticas o AAA más granulares al autorizar el acceso de los usuarios a los recursos de red. En el siguiente ejemplo, configuraremos DAP y sus componentes para identificar un terminal de conexión y autorizar el acceso del usuario a varios recursos de red.

Caso de prueba: un cliente ha solicitado una prueba de concepto con los siguientes requisitos de acceso VPN:

  • Capacidad para detectar e identificar el terminal de un empleado como gestionado o no administrado. : si el terminal se identifica como administrado (PC de trabajo) pero no cumple con los requisitos de estado, se debe denegar el acceso a ese terminal. Por otra parte, si el terminal del empleado se identifica como no administrado (PC doméstico), se debe conceder a ese terminal acceso sin cliente.

  • La capacidad de invocar la limpieza de cookies de sesión y caché cuando termina una conexión sin cliente.

  • Capacidad para detectar y aplicar aplicaciones en ejecución en terminales de empleados administrados, como McAfee AntiVirus. Si la aplicación no existe, se debe denegar el acceso a ese terminal.

  • La capacidad de utilizar la autenticación AAA para determinar a qué recursos de red deben tener acceso los usuarios autorizados. El dispositivo de seguridad debe soportar la autenticación LDAP de MS nativa y soportar múltiples roles de pertenencia de grupo LDAP.

  • La capacidad de permitir el acceso LAN local a los recursos de red, como faxes de red e impresoras, cuando se conecta a través de una conexión basada en "cliente/red".

  • Capacidad para proporcionar acceso de invitado autorizado a los contratistas. Los contratistas y sus terminales deben obtener acceso sin cliente, y su acceso al portal a las aplicaciones debe limitarse en comparación con el de un empleado.

En este ejemplo, ejecutaremos una serie de pasos de configuración en un esfuerzo por cumplir los requisitos de acceso VPN del cliente. Habrá pasos de configuración que son necesarios pero no relacionados directamente con DAP mientras que otras configuraciones estarán directamente relacionadas con DAP. ASA es muy dinámico y puede adaptarse en muchos entornos de red. Como resultado, las soluciones VPN se pueden definir de varias maneras y, en algunos casos, proporcionan la misma solución final. Sin embargo, el enfoque adoptado está impulsado por las necesidades de los clientes y sus entornos.

Basándonos en la naturaleza de este documento y en los requisitos definidos por el cliente, utilizaremos Adaptive Security Device Manager (ASDM) 6.0(x) y centraremos la mayoría de nuestras configuraciones en DAP. Sin embargo, también configuraremos las políticas de grupo locales para mostrar cómo DAP puede complementar y/o anular los atributos de las políticas locales. En base a este caso de prueba, asumiremos que se ha preconfigurado un grupo de servidores LDAP, la lista de redes de tunelización dividida y la conectividad IP básica, incluidos los grupos de IP y el grupo de servidores DNS predeterminado.

Definición de una Política de Grupo: esta configuración es necesaria para definir los Atributos de Política Local. Algunos atributos definidos aquí no se pueden configurar en DAP para (por ejemplo, Local LAN Access). (Esta política también se utilizará para definir atributos basados en cliente y cliente).

Vaya a Configuration > Remote Access VPN > Network (Client) Access > Group Policies y Add an Internal Group Policy haciendo lo siguiente:

Figura 17 Directiva de grupo: define los atributos específicos de VPN local.

dap-deploy-guide17.gif

  1. Bajo el enlace General, configure el nombre SSLVPN_GP para la política de grupo.

  2. También en el enlace General, haga clic en Más opciones y configure solamente el Protocolo de tunelización: SSLVPN sin cliente. (Configuraremos DAP para reemplazar y administrar el método de acceso.)

  3. En el enlace Advanced > Split Tunneling , configure lo siguiente:

    Figura 18 Tunelización dividida: permite que el tráfico especificado (red local) omita un túnel no cifrado durante una conexión cliente.

    dap-deploy-guide18.gif

    1. Política: Desmarque Heredar y seleccione Excluir lista de red abajo.

    2. Lista de redes: Desmarque Heredar y seleccione el nombre de lista Local_Lan_Access. (Supuesto preconfigurado.)

  4. En el enlace Advanced > SSL VPN Client, configure lo siguiente:

    Figura 19 Instalador de SSL VPN Client: al finalizar VPN, el SSL Client puede permanecer en el terminal o desinstalarse.

    dap-deploy-guide19.gif

  5. Mantener el instalador en el sistema cliente: Desmarque Heredar y luego seleccione .

  6. Haga clic en Aceptar y luego Aplicar.

  7. Aplique los cambios de configuración.

Definición de un Perfil de Conexión: esta configuración es necesaria para definir nuestro método de autenticación AAA, por ejemplo LDAP y aplicar la Política de Grupo previamente configurada (SSLVPN_GP) a este Perfil de Conexión. Los usuarios que se conecten a través de este perfil de conexión estarán sujetos a los atributos definidos aquí, así como a los atributos definidos en la política de grupo SSLVPN_GP. (Este perfil también se utilizará para definir los atributos basados en cliente y cliente).

Vaya a Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles y configure lo siguiente:

Figura 20 Perfil de conexión: Define Atributos específicos de VPN local.

dap-deploy-guide20.gif

  1. En la sección Perfiles de conexión, Edit the DefaultWEBVPNGroup y en el enlace Basic, configure lo siguiente:

    1. Authentication (Autenticación): Método: AAA

    2. Autenticación: Grupo de servidores AAA: LDAP (Preconfigurado Supuesto)

    3. Asignación de Dirección de Cliente: Conjuntos de Direcciones de Cliente: IP_Pool (Supuesto preconfigurado)

    4. Política de grupo predeterminada: Política de grupo: Seleccione SSLVPN_GP

  2. Aplique los cambios de configuración.

Definición de una interfaz IP para la conectividad VPN SSL: esta configuración es necesaria para terminar las conexiones SSL sin cliente y cliente en una interfaz especificada.

Antes de habilitar el acceso Cliente/Red en una interfaz, primero debe definir una imagen SSL VPN Client.

  1. Navegue hasta Configuration > Remote Access VPN > Network (Client)Access > Advanced > SSL VPN > Client Settings y agregue la siguiente imagen de SSL VPN Client desde el sistema de archivos ASA Flash: (Esta imagen se puede descargar de CCO, www.cisco.com)

    Figura 21 Instalación de la Imagen de SSL VPN Client: Define la imagen de cliente SSLVPN (AnyConnect) que se debe enviar a los terminales de conexión.

    dap_Fig_21.gif

    1. anyconnect-win-2.x.xxx-k9.pkg

    2. Haga clic en Aceptar, Aceptar de nuevo y, a continuación, Aplicar.

  2. Navegue hasta Configuration > Remote Access VPN > Network (Client)Access > SSL VPN Connection Profiles y habilite lo siguiente:

    Figura 22 Interfaz de acceso VPN SSL: define las interfaces para finalizar la conectividad VPN SSL.

    dap-deploy-guide22.gif

    1. En la sección Access Interface (Interfaz de acceso), active: "Habilite el acceso de Cisco AnyConnect VPN Client o de SSL VPN Client heredado en las interfaces seleccionadas en la tabla siguiente".

    2. También en la sección Interfaces de acceso, verifique Permitir acceso en la interfaz exterior. (Esta configuración también habilitará el acceso SSL VPN sin cliente en la interfaz externa.)

    3. Haga clic en Apply (Aplicar).

Definición de Listas de Marcadores (Listas de URL) para Acceso sin Cliente: Esta configuración es necesaria para definir una aplicación basada en Web que se publicará en el Portal. Definiremos 2 listas de URL, una para empleados y otra para contratistas.

  1. Vaya a Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Bookmarks, haga clic en + Add y configure lo siguiente:

    Figura 23 Lista de marcadores: define las URL que se van a publicar y a las que se puede acceder desde el portal web. (Personalizado para el acceso de los empleados).

    dap-deploy-guide23.gif

    1. Nombre de la lista de marcadores: Empleados, luego haga clic en Agregar.

    2. Título del marcador: Intranet de la empresa

    3. Valor de URL: http://company.resource.com

    4. Haga clic en Aceptar y, a continuación, Aceptar de nuevo.

  2. Haga clic en + Agregar y configure una segunda lista de marcadores (lista de URL) de la siguiente manera:

    Figura 24 Lista de marcadores: personalizada para el acceso de invitado.

    dap-deploy-guide24.gif

    1. Nombre de la lista de marcadores: Contratistas, luego haga clic en Agregar.

    2. Título del marcador: Acceso de invitado

    3. Valor de URL: http://company.contractors.com

    4. Haga clic en Aceptar y, a continuación, Aceptar de nuevo.

    5. Haga clic en Apply (Aplicar).

Cisco Secure Desktop: esta configuración es necesaria para definir los atributos de evaluación de terminales. Según los criterios que se cumplan, los terminales de conexión se clasificarán como gestionados o no gestionados. Las evaluaciones de Cisco Secure Desktop se ejecutan antes del proceso de autenticación.

Configuración de Cisco Secure Desktop y un árbol de decisiones de inicio de sesión previo para ubicaciones de Windows:

  1. Vaya a Configuration > Remote Access VPN > Secure Desktop Manager > Setup y configure lo siguiente:

    Figura 25 Instalación de la imagen de Cisco Secure Desktop: define la imagen de Cisco Secure Desktop que se debe enviar a los terminales de conexión.

    dap_Fig_25.gif

    1. Instale la imagen disk0:/securedesktop-asa-3.3.-xxx-k9.pkg del sistema de archivos Flash ASA.

    2. Marque Enable Secure Desktop.

    3. Haga clic en Apply (Aplicar).

  2. Navegue hasta Configuration > Remote Access VPN > Secure Desktop Manager > Prelogin Policy y configure lo siguiente:

    Figura 26 Árbol de decisiones previo al inicio de sesión: se personaliza mediante la verificación de archivos para distinguir entre un terminal administrado y un terminal no administrado.

    dap-deploy-guide26.gif

    1. Haga clic en el nodo Default y cambie el nombre de la etiqueta Managed (Client Access) y, a continuación, haga clic en Update.

    2. Haga clic en el símbolo "+" al principio del nodo administrado.

    3. Para la opción Comprobar, seleccione y Agregar verificación de archivo a insertar.

    4. Ingrese C:\managed.txt para que la Ruta del archivo "exista" y haga clic en Actualizar.

    5. Haga clic en el nodo Login Denied y, a continuación, seleccione Subsequence.

    6. Ingrese Unmanaged para la etiqueta y luego haga clic en Update.

    7. Haga clic en el nodo Login Denied y luego seleccione Location.

    8. Introduzca Unmanaged (Clientless Access) para la etiqueta y, a continuación, haga clic en Update.

    9. Haga clic en Aplicar todo.

  3. Vaya a Configuration > Remote Access VPN > Secure Desktop Manager > Managed (Client Access) y configure lo siguiente en la sección Location Settings:

    Figura 27 Configuración de ubicación/protección de privacidad: el escritorio seguro (almacén seguro) y el limpiador de caché (limpieza del explorador) no son requisitos para el acceso basado en cliente/red.

    dap_Fig_27.gif

    1. Módulo de ubicación: Desactive Secure Desktop y Cache Cleaner si está habilitado.

    2. Haga clic en Aplicar todo si es necesario.

  4. Vaya a Configuration > Remote Access VPN > Secure Desktop Manager > Unmanaged (Clientless Access) y configure lo siguiente en la sección Location Settings:

    Figura 28 Configuración de ubicación: el limpiador de caché (limpieza del explorador) es un requisito para el acceso basado en cliente; sin embargo, Secure Desktop (almacén seguro) no lo es.

    dap_Fig_28.gif

    1. Módulo de ubicación: Desmarque Secure Desktop y marque Cache Cleaner.

    2. Haga clic en Aplicar todo.

Evaluación avanzada de terminales: esta configuración es necesaria para aplicar antivirus, antispyware y firewall personal en un terminal. Por ejemplo, esta evaluación verificará si McAfee se está ejecutando en el terminal de conexión. (La evaluación avanzada de terminales es una función con licencia y no se puede configurar si la función Cisco Secure Desktop está desactivada).

Vaya a Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan y configure lo siguiente en la sección Host Scan Extensions:

Figura 29 Aplicación antivirus: personalizada para el acceso basado en cliente/red.

dap-deploy-guide29.gif

En la sección Extensiones de escaneo de host, configure lo siguiente:

  1. Seleccione Advanced Endpoint Assessment ver 2.3.3.1 y, a continuación, Configure.

  2. Seleccione Aplicar antivirus.

  3. En la lista desplegable Aplicar antivirus, seleccione McAfee, Inc.

  4. En la lista desplegable Versión de antivirus, seleccione McAfee VirusScan Enterprise 8.0.0.x.

  5. Seleccione Force File System Protection y luego haga clic en Apply All.

Políticas de acceso dinámicas: esta configuración es necesaria para validar a los usuarios que se conectan y sus terminales con respecto a criterios de evaluación de terminal o AAA definidos. Si se cumplen los criterios definidos de un registro DAP, se concederá a los usuarios de conexión acceso a los recursos de red asociados con ese registro o registros DAP. La autorización DAP se ejecuta durante el proceso de autenticación.

Para asegurarse de que una conexión VPN SSL finalizará en el caso predeterminado, por ejemplo, cuando el terminal no coincida con ninguna política de acceso dinámico configurada, configuraremos lo siguiente:

Nota: Al configurar las políticas de acceso dinámico por primera vez, se muestra un mensaje de error DAP.xml que indica que no existe un archivo de configuración DAP (DAP.XML). Una vez que se haya modificado y guardado la configuración DAP inicial, este mensaje ya no aparecerá.

  1. Vaya a Configuration > Remote Access VPN > Clientless SSL VPN Access > Dynamic Access Policies y configure lo siguiente:

    Figura 30 Política de acceso dinámico predeterminada: si no se coinciden los registros DAP predefinidos, se aplicará este registro DAP. Por lo tanto, se denegará el acceso VPN SSL.

    dap_Fig_30.gif

    1. Edite la DfltAccessPolicy y establezca la Acción en Terminate.

    2. Click OK.

  2. Agregue una nueva política de acceso dinámico denominada Managed_Endpoints, como se indica a continuación:

    1. Descripción: Acceso de cliente de empleado

    2. Agregue (situado a la derecha del tipo de atributo de terminal) un tipo de atributo de terminal (política), como se muestra en la figura 31. Haga clic en Aceptar cuando haya terminado.

      Figura 31 Atributo de punto final DAP: la ubicación de Cisco Secure Desktop se utilizará como criterio DAP para el acceso de cliente/red.

      dap-deploy-guide31.gif

    3. Agregue un segundo tipo de atributo de terminal (antivirus) como se muestra en la figura 32. Haga clic en Aceptar cuando haya terminado.

      Figura 32 Atributo de terminal DAP: se utilizará el antivirus de evaluación de terminal avanzado como criterio DAP para el acceso de cliente/red.

      dap-deploy-guide32.gif

    4. En la lista desplegable sobre la sección Atributo AAA, seleccione El usuario tiene TODOS los siguientes Valores de Atributos AAA...

    5. Agregue (ubicado a la derecha del cuadro de atributo AAA) un tipo de atributo AAA (LDAP) como se muestra en las figuras 33 y 34. Haga clic en Aceptar cuando haya terminado.

      Figura 33 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio DAP para identificar a un empleado.

      dap_Fig_33_38.gif

      Figura 34 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio DAP para permitir las capacidades de acceso remoto.

      dap_Fig_34_39.gif

    6. En la ficha Acción, verifique que la acción esté establecida en Continuar, como se muestra en la figura 35.

      Figura 35 Ficha Acción: esta configuración es necesaria para definir el procesamiento especial para una conexión o sesión específica. Se denegará el acceso a VPN si coincide un registro DAP y la acción se establece en Terminate (Terminar).

      dap-deploy-guide35.gif

    7. En la ficha Método de acceso, seleccione el método de acceso AnyConnect Client, como se muestra en la figura 36.

      Figura 36 Ficha Método de acceso: esta configuración es necesaria para definir los tipos de conexión del cliente SSL VPN.

      dap-deploy-guide36.gif

    8. Haga clic en Aceptar y, a continuación, Aplicar.

  3. Agregue una segunda política de acceso dinámico denominada Terminales_no_administrados, como se indica a continuación:

    1. Descripción: Acceso sin cliente de empleado.

    2. Agregue (situado a la derecha del cuadro Atributo de terminal) un Tipo de atributo de terminal (Política), como se muestra en la figura 37. Haga clic en Aceptar cuando haya terminado.

      Figura 37 Atributo de punto final DAP: Cisco Secure Desktop Location se utilizará como criterio DAP para el acceso sin cliente.

      dap-deploy-guide37.gif

    3. En la lista desplegable sobre la sección de atributos AAA, seleccione El usuario tiene TODOS los siguientes valores de atributos AAA...

    4. Agregue (ubicado a la derecha del Tipo de atributo AAA) un Tipo de atributo AAA (LDAP) como se muestra en las figuras 38 y 39. Haga clic en Aceptar cuando haya terminado.

      Figura 38 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio de DAP para identificar a un empleado.

      dap_Fig_33_38.gif

      Figura 39 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio DAP para permitir las capacidades de acceso remoto.

      dap_Fig_34_39.gif

    5. En la ficha Acción, verifique que la acción esté establecida en Continuar. (Figura de referencia 35.)

    6. En la ficha Marcadores, seleccione el nombre de la lista Empleados en la lista desplegable y, a continuación, haga clic en Agregar. Además, verifique que la opción Activar marcadores esté activada, como se muestra en la Figura 40.

      Figura 40 Ficha Marcadores: permite seleccionar y configurar listas de URL para las sesiones de usuario.

      dap_Fig_40.gif

    7. En la ficha Método de acceso, seleccione el Web-Portal de método de acceso. (Figura de referencia 36.)

    8. Haga clic en Aceptar y, a continuación, Aplicar.

      Los contratistas se identificarán únicamente mediante atributos AAA de DAP. Como resultado, Tipo de atributos de terminal: (Política) no se configurará en el paso 4. Este enfoque solo pretende mostrar versatilidad dentro de DAP.

  4. Agregue una tercera política de acceso dinámico denominada Guest_Access y con lo siguiente:

    1. Descripción: Acceso sin cliente invitado.

    2. Agregue (situado a la derecha del cuadro Atributo de terminal) un Tipo de atributo de terminal (Política), como se muestra en la figura 37 anterior. Haga clic en Aceptar cuando haya terminado.

    3. En la lista desplegable sobre la sección de atributos AAA, seleccione El usuario tiene TODOS los siguientes valores de atributos AAA...

    4. Agregue (ubicado a la derecha del cuadro de atributo AAA) un tipo de atributo AAA (LDAP) como se muestra en las figuras 41 y 42. Haga clic en Aceptar cuando haya terminado.

      Figura 41 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio DAP para identificar un contratista.

      dap_Fig_41.gif

      Figura 42 Atributo AAA de DAP: la pertenencia al grupo AAA se utilizará como criterio DAP para permitir capacidades de acceso remoto.

      dap-deploy-guide42.gif

    5. En la ficha Acción, verifique que la acción esté establecida en Continuar. (Figura de referencia 35.)

    6. En la ficha Marcadores, seleccione el nombre de la lista Contratistas en la lista desplegable y, a continuación, haga clic en Agregar. Además, verifique que la opción Habilitar marcadores esté marcada. (Figura de referencia 40.)

    7. En la ficha Método de acceso, seleccione el Web-Portal de método de acceso. (Figura de referencia 36.)

    8. Haga clic en Aceptar y, a continuación, Aplicar.

Criterios de selección de DAP: según los procedimientos de configuración de DAP anteriores, los criterios de selección para las 4 políticas de DAP definidas deben ser coherentes con las figuras 43, 44, 45 y 46.

Figura 43 Terminales administrados: si se cumplen los criterios de este registro DAP, los empleados tendrán acceso a los recursos corporativos a través de una conexión cliente/red (AnyConnect Client).

dap_Fig_43.gif

Figura 44 Terminales no administrados: si se cumplen los criterios de este registro DAP, los empleados tendrán acceso a los recursos corporativos a través de una conexión sin cliente (portal). También se aplica a esta política una lista de URL para empleados.

dap_Fig_44.gif

Figura 45 Acceso de invitado: si se cumplen los criterios de este registro DAP, los contratistas tendrán acceso a los recursos corporativos a través de una conexión sin cliente (portal). También se aplica a esta política una lista de URL para contratistas.

dap_Fig_45.gif

Figura 46 Política DAP predeterminada: si no se cumplen los criterios de todos los registros DAP anteriores, se denegará el acceso de forma predeterminada a los empleados y contratistas.

dap_Fig_46.gif

Conclusión

De acuerdo con los requisitos de VPN SSL de acceso remoto del cliente mencionados en este ejemplo, esta solución satisfará sus requisitos de VPN de acceso remoto.

Con la combinación de entornos de VPN dinámicos y en constante evolución, las políticas de acceso dinámico pueden adaptarse y ampliarse a los frecuentes cambios de configuración de Internet, las distintas funciones que cada usuario puede tener dentro de una organización y los inicios de sesión de sitios de acceso remoto administrados y no administrados con diferentes configuraciones y niveles de seguridad.

Las políticas de acceso dinámico se complementan con tecnologías antiguas nuevas y contrastadas, como la evaluación avanzada de terminales, el análisis de host, el escritorio seguro, AAA y las políticas de acceso local. Como resultado, las organizaciones pueden ofrecer con confianza acceso VPN seguro a cualquier recurso de red desde cualquier ubicación.

Información Relacionada

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos