cisco secure desktop (csd) no exemplo da configuração do ... · 3.configurar os módulos e as...

Cisco Secure Desktop (CSD) no exemplo daconfiguração do IOS usando o SDM

Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosDiagrama de RedeProdutos RelacionadosConvençõesConfigurarFase mim: Prepare seu roteador para a configuração CSD com SDM.Fase mim: Passo 1: Configurar um gateway WebVPN, o contexto WebVPN, e a política do grupo.Fase mim: Passo 2: Permita o CSD em um contexto WebVPN.Fase II: Configurar o CSD usando um navegador da Web.Fase II: Passo 1: Defina lugar de Windows.Fase II: Passo 2: Identifique critérios do lugarFase II: Passo 3: Configurar os módulos e as características do lugar de Windows.Fase II: Passo 4: Configurar características de Windows CE, de Macintosh, e de Linux.VerificarTeste a operação CSDComandosTroubleshootingComandosInformações Relacionadas

Introdução

Embora as sessões de uma VPN (Cisco WebVPN) Secure Sockets Layer (SSL) sejam seguras, ocliente pode ainda encontrar cookies, arquivos do navegador e anexos de e-mails quepermanecem depois que a sessão é encerrada. O Cisco Secure Desktop (CSD) estende aSegurança inerente de sessões de VPN SSL redigindo dados de sessão em um formato cifrado auma área especial do cofre-forte do disco do cliente. Além disso, esses dados são removidos dodisco quando a sessão de VPN SSL é encerrada. Este documento apresenta uma configuraçãode exemplo para o CSD em um roteador do ® do Cisco IOS.

O CSD é apoiado nas seguintes Plataformas do dispositivo Cisco:

Versão 12.4(6)T e mais recente do Roteadores do Cisco IOS●

Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 e 7301 Router●

Versão 4.7 e mais recente do Concentradores Cisco VPN série 3000●

Versão 7.1 e mais recente das ferramentas de segurança do 5500 Series de Cisco ASA●

Módulo de serviços de Cisco WebVPN para o Cisco catalyst e a versão 1.2 e mais recente doCisco 7600 Series

●

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Exigências para o roteador do Cisco IOS

Roteador do Cisco IOS com imagem 12.4(6T) ou mais atrasado avançado●

Gerenciador de dispositivo seguro do roteador Cisco (SDM) 2.3 ou mais altoSe seu roteadornão é carregado já com o SDM, você pode obter uma cópia gratuita da transferência SDM.Uma conta válida e o contrato de serviço CCO são exigidos. Consulte para configurar paramais detalhes seu roteador com Security Device Manager.

●

Uma cópia do CSD para o pacote IO em sua estação de gerenciamentoVocê pode obter umacópia do CSD do download do software: O Cisco Secure Desktop o software está livre sevocê tem uma conta CCO com um contrato de serviço.

●

Um roteador auto-assinou o certificado digital ou a autenticação com um Certificate Authority(CA)Nota: Quando você usa Certificados digitais, certifique-se de que você ajusta ohostname, o Domain Name, e a data/tempo/fuso horário do roteador corretamente.

●

Uma senha secreta "enable" (habilitação) no roteador●

DNS permitido em seu roteador. Diversos serviços WebVPN exigem o DNS trabalharcorretamente.

●

Exigências para computadores de cliente

Os clientes remotos devem ter privilégios administrativos locais; não se exige, mas sugere-sealtamente.

●

Os clientes remotos devem ter a versão 1.4 ou mais recente do ambiente de tempo deexecução de java (JRE).

●

Navegadores de cliente remoto: Internet explorer 6.0, Netscape 7.1, Mozilla 1.7, safari 1.2.2,ou Firefox 1.0

●

Cookie permitidos e pop-up permitidos em clientes remotos●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Roteador 3825 do Cisco IOS com versão 12.9(T)●

Versão 2.3.1 SDM●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos usados neste documento começaram com umaconfiguração limpa (padrão). Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Este exemplo usa um Cisco 3825 Series Router para permitir o acesso seguro ao intranet daempresa. O Cisco 3825 Series Router aumenta a Segurança de conexões de VPN SSL comcaracterísticas configuráveis e características CSD. Os clientes podem conectar ao roteadorCSD-permitido através de um destes três métodos SSL VPN: Sem clientes SSL VPN (WebVPN),thin client SSL VPN (Porta-transmissão), ou cliente VPN SSL (escavação de um túnel completaSVC).

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

Plataformas do Cisco Router 870,1811,1841,2801,2811,2821 2851,3725,3745.3825,3845,7200 e 7301

●

Versão da imagem 12.4(6)T da segurança avançada do Cisco IOS e mais tarde●

Convenções

Refira as convenções dos dicas técnicas da Cisco para obter mais informações sobre dasconvenções de documento.

Configurar

Um gateway WebVPN permite que um usuário conecte ao roteador através de uma dastecnologias de VPN SSL. Somente um gateway WebVPN pelo endereço IP de Um ou MaisServidores Cisco ICM NT é permitido no dispositivo, embora mais de um contexto WebVPNpossa ser anexado a um gateway WebVPN. Cada contexto é identificado por um nome exclusivo.As políticas do grupo identificam os recursos configurados disponíveis a um contexto particularWebVPN.

A configuração do CSD em um IOS Router é realizada em duas fases:

Fase mim: Prepare seu roteador para a configuração CSD com SDM

Configurar um gateway WebVPN, o contexto WebVPN, e a política do grupo.Nota: Estaetapa é opcional e não é coberta em grande detalhe neste documento. Se você temconfigurado já seu roteador para uma das tecnologias de VPN SSL, omita esta etapa.

1.

Permita o CSD em um contexto WebVPN.2.Fase II: Configurar o CSD usando um navegador da Web.

Defina lugar de Windows.1.Identifique critérios do lugar.2.Configurar os módulos e as características do lugar de Windows.3.Configurar características de Windows CE, de Macintosh, e de Linux.4.

Fase mim: Prepare seu roteador para a configuração CSD com SDM.

O CSD pode ser configurado com SDM ou do comando line interface(cli). Esta configuração usa oSDM e um navegador da Web.

Estas etapas são usadas para terminar a configuração do CSD em seu IOS Router.

Fase mim: Passo 1: Configurar um gateway WebVPN, o contexto WebVPN, e apolítica do grupo.

Você pode usar o assistente WebVPN para realizar esta tarefa.

Abra o SDM e vá configurar > VPN > WebVPN. Clique a aba da criação WebVPN e verifiquea criação um botão de rádio novo WebVPN. Clique o lançamento a tarefaselecionada.

1.

A tela de wizard WebVPN alista os parâmetros que você pode configurar. Clique emNext.

2.

Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT para o gateway WebVPN,um nome exclusivo para o serviço, e a informação do certificado digital. Clique emNext.

3.

As contas de usuário podem ser criadas para a autenticação a este gateway WebVPN. Vocêpode usar as contas local ou as contas criadas em uma autenticação externa, em um serverda autorização, e da contabilidade (AAA). Este exemplo usa contas local no roteador.Verifique o botão de rádio localmente neste roteador e o cliqueadiciona.

4.

Incorpore a informação de conta para o novo usuário adicionar uma tela da conta e clique a5.

APROVAÇÃO.Depois que você criou seus usuários, clique em seguida na página da autenticação deusuário.

6.

A tela dos Web site do intranet configurar permite que você configure o Web site disponívelaos usuários do gateway WebVPN. Desde que o foco deste documento é a configuração doCSD, negligencie esta página. Clique emNext.

7.

Embora a tela de wizard seguinte WebVPN permita que lhe a escolha permita o cliente VPNcompleto do túnel SSL, o foco deste documento é como permitir o CSD. Desmarcarpermitem o túnel completo e clicam-no emseguida.

8.

Você pode personalizar a aparência da página portal WebVPN aos usuários. Neste caso, aaparência do padrão é aceitada. Clique emNext.

9.

O assistente indica a última tela nesta série. Mostra um sumário da configuração para ogateway WebVPN. Clique a APROVAÇÃO do revestimento e, quando alertado, doclique.

10.

Fase mim: Passo 2: Permita o CSD em um contexto WebVPN.

Use o assistente WebVPN para permitir o CSD em um contexto WebVPN.

Use os recursos avançados do assistente WebVPN para permitir o CSD para o contextorecém-criado. O assistente dá-lhe a oportunidade de instalar o pacote CSD se não éinstalado já.No SDM, clique a aba configurar.No painel de navegação, clique VPN >WebVPN.Clique a aba da criação WebVPN.Verifique as características do avanço configurarpara ver se há um botão de rádio existente WebVPN.Clique o lançamento o botão de tarefaselecionado.

1.

A página de boas-vindas para os indicadores avançados do assistente WebVPN. Clique emNext.

2.

Escolha o WebVPN e o grupo de usuário das caixas suspensas dos campos. Ascaracterísticas avançadas do assistente WebVPN serão aplicadas a suas escolhas. CliqueemNext.

3.

A tela seleta dos recursos avançados permite que você escolha das Tecnologiaslistadas.Verifique o Cisco Secure Desktop.Neste exemplo, a escolha é modo dos semclientes.Se você escolhe algumas das outras Tecnologias listadas, os indicadores adicionaisabrem para permitir a entrada da informação relacionada.Clique o botão NextButton.

4.

A tela dos Web site do intranet configurar permite que você configure os recursos que doWeb site você quer disponível aos usuários. Você pode adicionar os Web site internos daempresa tais como o acesso à Web da probabilidade(OWA).

5.

Na tela do Cisco Secure Desktop da possibilidade (CSD), você tem a oportunidade depermitir o CSD para este contexto. Verifique a caixa ao lado instalam o Cisco SecureDesktop (CSD) e o cliqueconsulta.

6.

Da área de localização seleta CSD, verifique o meu computador.Clique o botãoBrowse.Escolha o arquivo de pacote CSD IO em sua estação de trabalho degerenciamento.Clique na tecla OK.Clique o botão NextButton.

7.

Um sumário das visualizações óticas de tela de configuração. Clique o botão FinishButton.

8.

Clique a APROVAÇÃO quando você vê que o arquivo de pacote CSD esteve instalado comsucesso.

9.

Fase II: Configurar o CSD usando um navegador da Web.

Estas etapas são usadas para terminar a configuração do CSD em seu navegador da Web.

Fase II: Passo 1: Defina lugar de Windows.

Defina os lugar de Windows.

Abra seu navegador da Web no endereço de https://WebVPNgateway_IP/csd_admin.html,por exemplo, https:/192.168.0.37/csd_admin.html.

1.

Entre no admin de nome de usuário.Incorpore a senha, que é o segredo da possibilidade doroteador.Clique emlogin.

2.

Aceite o certificado oferecido pelo roteador, escolha o contexto da caixa suspensa, e ocliquevai.

3.

O gerente do Secure Desktop para o WebVPNabre.

4.

Do painel esquerdo, escolha configurações de local de Windows.Coloque o cursor na caixaao lado do nome do lugar, e dê entrada com um nome do lugar.Clique em Add.Nesteexemplo, três nomes do lugar são mostrados: Escritório, HOME, e incerto. Cada vez que umlugar novo é adicionado, o painel esquerdo expande com os parâmetros configurável paraesselugar.

5.

Depois que você cria os lugar de Windows, clique a salvaguarda na parte superior do painelesquerdo.Nota:  Salvar suas configurações frequentemente porque seus ajustes serãoperdidos se você se torna desligado do navegador daWeb.

6.

Fase II: Passo 2: Identifique critérios do lugar

A fim distinguir lugar de Windows de se, atribua critérios específicos a cada lugar. Isto permiteque o CSD determine qual de suas características a se aplicar a um lugar particular de Windows.

No painel esquerdo, escritório do clique.Você pode identificar um lugar de Windows comcritérios do certificado, critérios IP, um arquivo, ou critérios do registro. Você podeigualmente escolher o líquido de limpeza do Secure Desktop ou do esconderijo para estesclientes. Desde que estes usuários são trabalhadores de escritório internos, identifique-oscom critérios IP.Incorpore os intervalos de endereço IP ao e às caixas.Clique em Add.Desmarcar o módulo do uso: Secure Desktop.Quando salvaguarda alertado, do clique, eAPROVAÇÃO doclique.

1.

No painel esquerdo, clique a segunda HOME da configuração de local deWindows.Certifique-se do módulo do uso: O Secure Desktop é verificado.Um arquivo serádistribuído que identifique estes clientes. Você poderia escolher distribuir Certificados e/oucritérios do registro para estes usuários.A verificação permite a identificação usando critériosdo arquivo ou do registro.Clique emAdd.

2.

Na caixa de diálogo, escolha o arquivo, e entre no trajeto ao arquivo.Este arquivo deve serdistribuído a todos seus clientes home.Verifique o botão de rádio existe.Quando alertado,clique a APROVAÇÃO, e clique asalvaguarda.

3.

Para configurar a identificação de lugar incertos, simplesmente não aplique nenhuns critériosde identificação.Clique incerto no painel esquerdo.Deixe todos os critériosdesmarcados.Verifique o módulo do uso: Secure Desktop.Quando salvaguarda alertado, doclique, e APROVAÇÃO doclique.

4.

Fase II: Passo 3: Configurar os módulos e as características do lugar de Windows.

Configurar as características CSD para cada lugar de Windows.

Sob o escritório, clique a política da característica VPN. Desde que estes são clientesinternos confiados, nem o CSD nem o líquido de limpeza do esconderijo foram permitidos.Nenhum dos outros parâmetros estádisponível.

1.

Gire sobre as características como mostrado.No painel esquerdo, escolha a política dacaracterística VPN sob a HOME.O acesso estará permitido aos utilizadores domésticos àLAN corporativa se os clientes encontram determinados critérios.Sob cada método doacesso, escolha SOBRE se os critérios sãocombinados.

2.

Para a navegação na web, clique o botão da elipse e escolha os critérios que devemcombinar. Clique a APROVAÇÃO na caixa dediálogo.

3.

Você pode configurar os outros métodos de acesso de forma semelhante.Sob a HOME,escolha o registador da introdução por teclado.Coloque uma marca de verificação ao ladoda verificação para registadores da introdução por teclado.Quando alertado, clique asalvaguarda, e clique aAPROVAÇÃO.

4.

Sob o lugar home dos indicadores, escolha o líquido de limpeza do esconderijo. Deixe asconfigurações padrão segundo as indicações do screenshot.

5.

Sob a HOME, escolha o general do Secure Desktop. A verificação sugere o desinstalar doaplicativo em cima do closing do Secure Desktop. Deixe todos parâmetros restantes emsuas configurações padrão segundo as indicações do screenshot.

6.

Para ajustes do Secure Desktop sob a HOME, escolha permitem aplicativos do emailtrabalhar transparentemente. Quando alertado, clique a salvaguarda, e clique aAPROVAÇÃO.

7.

A configuração do navegador do Secure Desktop é dependente de mesmo se você querestes usuários alcançar um Web site da empresa com favoritos preconfigured.Sob incerto,escolha a política da característica VPN.Porque estes não são usuários confiados, permitasomente a navegação na web.Escolha SOBRE do menu suspenso para a navegação naweb.Todo acesso restante é ajustado aFORA.

8.

Verifique a verificação para ver se há a caixa de verificação de registadores da introduçãoporteclado.

9.

Configurar o líquido de limpeza do esconderijo para incerto.Verifique o limpo o esconderijointeiro além do que a caixa de verificação do esconderijo da sessão atual (IEsomente).Deixe os outros ajustes em seuspadrões.

10.

Sob incerto, escolha o general do Secure Desktop.Reduza a inatividade do intervalo a 2minutos.Verifique o desinstalar do aplicativo da força em cima da caixa de verificação defechamento do SecureDesktop.

11.

Escolha ajustes do Secure Desktop sob incerto, e configurar ajustes muito restritivos comomostrado.

12.

Escolha o navegador do Secure Desktop. No campo do Home Page, entre no Web site aque estes clientes serão guiados para seu HomePage.

13.

Fase II: Passo 4: Configurar características de Windows CE, de Macintosh, e deLinux.

Configurar as características CSD para Windows CE, Macintosh, e Linux.

Escolha Windows CE sob o gerente do Secure Desktop. Windows CE limitou característicasVPN. Gire a navegação na web paraSOBRE.

1.

Escolha o Mac & o líquido de limpeza do esconderijo de Linux.Macintosh e os sistemasoperacionais de Linux têm o acesso somente aos aspectos do líquido de limpeza doesconderijo do CSD. Configurar-los segundo as indicações do gráfico.Quando alertado,clique a salvaguarda, e clique aAPROVAÇÃO.

2.

Verificar

Teste a operação CSD

Teste a operação do CSD conectando ao gateway WebVPN com um navegador permitido SSL noendereço de https://WebVPN_Gateway_IP.

Nota: Recorde usar o nome exclusivo do contexto se você criou contextos diferentes WebVPN,por exemplo, https://192.168.0.37/cisco.

Comandos

Vários comandos show estão associados ao WebVPN. Você pode executar estes comandos nainterface de linha de comando (CLI) para mostrar estatísticas e outras informações. Para obterinformações detalhadas sobre os comandos show, consulte Verificação da Configuração doWebVPN.

Nota: A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinadoscomandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Comandos

Vários comandos debug estão associados ao WebVPN. Para obter informações detalhadas sobreestes comandos, consulte Uso de Comandos de Depuração do WebVPN.

Nota: O uso de comandos debug pode afetar negativamente seu dispositivo Cisco. Antes deutilizar comandos debug, consulte Informações Importantes sobre Comandos Debug.

Para obter mais informações sobre dos comandos clear, refira a utilização de comandos clearWebVPN.

Informações Relacionadas

Guia de Implantação de WebVPN e Convergência DMVPN●

SSL VPN - WebVPN●

Cisco IOS SSLVPN●

Suporte Técnico e Documentação - Cisco Systems●