Detecção e remediação portais prisioneiras de AnyConnect

Documentos relacionados
A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Configurar um server público com Cisco ASDM

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Configuração do acesso remoto VPN de AnyConnect em FTD

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Distribuição de segurança da Web de AnyConnect com o ASA

Este documento não se restringe a versões de software e hardware específicas.

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Este documento não se restringe a versões de software e hardware específicas.

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

A configuração do equilibrador da carga de Citrix NetScaler para Cisco unificou o centro da inteligência (CUIC)

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Erro de conexão seguro da mobilidade de AnyConnect: O cliente VPN era incapaz de setup a filtração IP

SSLVPN com exemplo de configuração dos Telefones IP

Configurar configurações de firewall gerais no RV016, no RV042, no RV042G, e no RV082

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Relatórios de histórico para perguntas frequentes sobre o IPCC Express

Configurar o fluxo do convidado com ISE 2.0 e Aruba WLC

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração alerta do no Access point WAP121 e WAP321 de Cisco

Configurar Certificados de server de aplicativo CA-assinados do abastecimento para aprontar o abastecimento da Colaboração

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

As informações neste documento são baseadas nestas versões de software e hardware:

Transferência de arquivo ASA com exemplo de configuração FXP

Diferenças comportáveis em relação às perguntas DNS e definição do Domain Name em OS diferentes

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Índice. Introdução. Pré-requisitos. Requisitos

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Exemplo de configuração do ponto quente da versão 1.3 ISE

Filtragem URL em um exemplo da configuração de sistema de FireSIGHT

Configurar o Jabber de Cisco no modo do telefone para contatos

Configurar o portal do abastecimento do certificado ISE 2.0

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Tráfego em linha do Multi-jogador de Xbox Live (túnel UDP 3544 do Teredo) obstruído por FTD

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Gerenciador de domínio das comunicações unificadas de Cisco (CUCDM) Comunicações unificadas Managers(CUCM) de Cisco

Configurar o ISE para a integração com um servidor ldap

A análise de CDR e o relatório não perguntam em datas

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Cliente VPN e acesso do cliente de AnyConnect ao exemplo de configuração do LAN local

Configurar server da conexão de unidade para o exemplo de configuração pessoal unificado do comunicador

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Dispositivo híbrido FAQ da Web de Cisco

Dicas de instalação de Cisco QuickVPN para sistemas operacionais de Windows

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Integração do sistema de FireSIGHT com ACS 5.x para a autenticação de usuário RADIUS

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Configurar o ISE para a integração com um servidor ldap

As informações neste documento são baseadas nestas versões de software e hardware:

Acesso do bloco HTTPS para uma site específico no Roteadores RV016, RV042, RV042G e RV082 VPN

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

Como Permitir a Navegação Usando o NetBIOS Over IP

Aplicação do aprimoramento de recursos ASA SNMP

As informações neste documento são baseadas nestas versões de software e hardware:

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

As agendas de telefones TMS pesquisam defeitos o guia

ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect

ACS 5.x: Exemplo de configuração do servidor ldap

Encaixe da importação VNC de Cisco ASA 8.x para o uso com WebVPN

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

A instalação da correção de programa/atualização no módulo de FirePOWER usando ASDM (Gerenciamento da Em-caixa)

Backup da fineza e configuração da elevação com SFTP

Como pesquisar defeitos de o erro nenhuma resposta HTTPS em TMS após a elevação dos valores-limite TC/CE

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

Exemplo de configuração de SAML SSO da versão 10.5 da conexão de unidade

Eliminação de erros do intercâmbio de pacotes IKEv2 e do nível de protocolo

Configurar a licença HCM-F 10.X e os trabalhos HLM

Mobilidade DHCP interno expresso

Configurar a gravação do atendimento usando MediaSense

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

Você precisa de executar uma fábrica de Cisco DCM restaurada caso que alguns dos seguintes eventos ocorrem:

Sistema operacional elástico de FirePOWER (FXO) 2.2: Authentication e autorização do chassi para o Gerenciamento remoto com ACS usando o TACACS+.

O cliente de AnyConnect reconecta cada minuto que causa um rompimento no fluxo de tráfego

Guia de Referência Rápida IBM CMM

Server do TelePresence e de captura de console MCU Codian exemplo de configuração

Transcrição:

Detecção e remediação portais prisioneiras de AnyConnect Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Exigências portais prisioneiras da remediação Detecção portal prisioneira do ponto quente Remediação portal prisioneira do ponto quente Detecção portal prisioneira falsa Comportamento de AnyConnect Portal prisioneiro detectado incorretamente com IKEV2 Soluções Desabilite a característica portal prisioneira Introdução Este documento descreve a característica portal prisioneira da detecção do cliente da mobilidade de Cisco AnyConnect e as exigências para que funcione corretamente. Muitos pontos quentes wireless em hotéis, em restaurantes, em aeroportos, e em outros lugares públicos usam os portais prisioneiros a fim obstruir o acesso de usuário ao Internet. Reorientam pedidos do HTTP a seus próprios Web site que exigem usuários incorporar suas credenciais ou reconhecer termos e condição do host do ponto quente. Pré-requisitos Requisitos Cisco recomenda que você tem o conhecimento do Cliente de mobilidade Cisco AnyConnect Secure. Componentes Utilizados As informações neste documento são baseadas nestas versões de software: Versão 3.1.04072 de AnyConnect Versão 9.1.2 adaptável da ferramenta de segurança de Cisco (ASA) As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio Muitas facilidades que oferecem o Wi-fi e o acesso prendido, tal como aeroportos, cafetarias, e hotéis, exigem usuários pagar antes que obtenham o acesso, concordam habitar por uma política de uso aceitável, ou por ambos. Estas facilidades usam uma técnica chamada o portal prisioneiro a fim impedir que os aplicativos conectem até que os usuários abrirem um navegador e aceitarem as condições para o acesso. Exigências portais prisioneiras da remediação O apoio para a detecção portal prisioneira e a remediação exige uma destas licenças: AnyConnect superior (edição do secure sockets layer (SSL) VPN) Mobilidade segura de Cisco AnyConnect Você pode usar uma licença segura da mobilidade de Cisco AnyConnect a fim fornecer o apoio para a detecção e a remediação portais prisioneiras em combinação com fundamentos de um AnyConnect ou uma licença do prêmio de AnyConnect. Note: A detecção e a remediação portais prisioneiras são apoiadas nos sistemas operacionais de Microsoft Windows e do Macintosh OS X apoiados pela liberação de AnyConnect que está no uso. Detecção portal prisioneira do ponto quente AnyConnect indica o incapaz de contactar a mensagem do servidor de VPN no GUI se não pode conectar, apesar da causa. O servidor de VPN especifica o gateway seguro. Se Sempre-em é permitido e um portal prisioneiro não está atual, o cliente continua a tentar conectar ao VPN e atualiza o mensagem de status em conformidade. Se Sempre-no VPN é permitido, a política da falha da conexão está fechada, a remediação portal prisioneira é desabilitada, e AnyConnect detecta a presença de um portal prisioneiro, a seguir o AnyConnect GUI indica esta mensagem uma vez pela conexão e uma vez por reconecte: The service provider in your current location is restricting access to the Internet. The AnyConnect protection settings must be lowered for you to log on with the service provider. Your current enterprise security policy does not allow this. Se AnyConnect detecta a presença de um portal prisioneiro e a configuração de AnyConnect difere daquela descrita previamente, o AnyConnect GUI indica esta mensagem uma vez pela conexão e uma vez por reconecte: The service provider in your current location is restricting access to the Internet. You need to log on with the service provider before you can establish a VPN session. You can try this by visiting any website with your browser. Caution: A detecção portal prisioneira é permitida à revelia e é nãoconfigurável. AnyConnect não altera nenhuns ajustes de configuração do navegador durante a detecção portal prisioneira.

Remediação portal prisioneira do ponto quente A remediação portal prisioneira é o processo onde você satisfaz as exigências de um ponto quente portal prisioneiro a fim obter o acesso de rede. AnyConnect não faz remediate o portal prisioneiro; confia no utilizador final para executar a remediação. A fim executar a remediação portal prisioneira, o utilizador final cumpre as exigências do fornecedor do ponto quente. Estas exigências puderam incluir o pagamento de uma taxa para alcançar a rede, uma assinatura em uma política de uso aceitável, ou em alguma outra exigência que é definida pelo fornecedor. A remediação portal prisioneira deve explicitamente ser permitida em um perfil do cliente VPN de AnyConnect se AnyConnect Sempre-em é permitido e a política da falha da conexão está ajustada a fechado. Se Sempre-em é permitido e a política da falha da conexão está ajustada para abrir, você não precisa de permitir explicitamente a remediação portal prisioneira em um perfil do cliente VPN de AnyConnect porque o usuário não é restrito do acesso de rede. Detecção portal prisioneira falsa AnyConnect pode falsamente supor que está em um portal prisioneiro nestas situações. Se AnyConnect tenta contactar um ASA com um certificado que contenha um nome do servidor incorreto (CN), a seguir o cliente de AnyConnect pensará que está em um ambiente portal prisioneiro. A fim impedir esta edição, certifique-se de que o certificado ASA está configurado corretamente. O valor do CN no certificado deve combinar o nome do server ASA no perfil do cliente VPN. Se esteja um outro dispositivo na rede antes que o ASA que responde à tentativa do cliente de contactar um ASA obstruindo o acesso HTTPS ao ASA, a seguir o cliente de AnyConnect pensará que está em um ambiente portal prisioneiro. Esta situação pode ocorrer quando um usuário está em uma rede interna e conecta com um Firewall a fim conectar ao ASA. Se você deve restringir o acesso ao ASA do interior do corporaçõ, configurar seu Firewall tais que o tráfego HTTP e HTTPS ao endereço do ASA não retorna um estado HTTP. O acesso HTTP/HTTPS ao ASA deve ser permitido ou completamente obstruído (igualmente sabido como preto-furado) a fim assegurar-se de que os pedidos HTTP/HTTPS enviados ao ASA não retornem uma resposta inesperada. Comportamento de AnyConnect Esta seção descreve como o AnyConnect se comporta. 1. AnyConnect tenta uma ponta de prova HTTPS ao nome de domínio totalmente qualificado (FQDN) definido no perfil XML.

2. Se há FQDN não confiado/errado do erro do certificado (), a seguir AnyConnect tenta uma prova HTTP ao FQDN definida no perfil XML. Se há qualquer outra resposta do que um HTTP 302, a seguir considera-se ser atrás de um portal prisioneiro. Portal prisioneiro detectado incorretamente com IKEV2 Quando você tenta uma conexão da versão 2 do intercâmbio de chave de Internet (IKEv2) a um ASA com a autenticação SSL desabilitada que executa o portal adaptável do Security Device Manager (ASDM) na porta 443, a ponta de prova HTTPS executou para os resultados portais prisioneiros da detecção em uma reorientação ao portal ASDM (/admin/public/index.html). Desde que isto não é esperado pelo cliente, olha como um portal prisioneiro reorienta, e a tentativa de conexão é impedida desde que parece que a remediação portal prisioneira está exigida. Soluções Se você encontra esta edição, estão aqui algumas ações alternativas: Remova os comandos HTTP nessa relação de modo que o ASA não escute conexões de HTTP na relação. Remova o ponto confiável SSL na relação. Permita os serviços de cliente IKEV2. Permita o WebVPN na relação. Esta edição é resolvida pela identificação de bug Cisco CSCud17825 na versão 3.1(3103). Caution: O mesmo problema existe para o Roteadores do do Cisco IOS. Se o server do HTTP de IP é permitido no Cisco IOS, que está exigido se a mesma caixa é usada como o servidor PKI, AnyConnect detecta falsamente o portal prisioneiro. A ação alternativa é usar a acesso-classe do HTTP de IP a fim parar respostas aos pedidos do HTTP de AnyConnect, em vez de pedir a autenticação. Desabilite a característica portal prisioneira Épossível desabilitar a característica portal prisioneira na versão de cliente 4.2.00096 de AnyConnect e mais atrasado (veja a identificação de bug Cisco CSCud97386). O administrador pode determinar se a opção for usuário configurável ou deficiente. Esta opção está disponível sob a seção das preferências (parte 1) no editor do perfil. O administrador pode escolher a detecção portal prisioneira ou o usuário do desabilitação verificável segundo as indicações deste instantâneo do editor do perfil:

Se o usuário verificável é verificado, a caixa de seleção aparece na aba das preferências do cliente seguro UI da mobilidade de AnyConnect como mostrado aqui:

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback