Configuración de CSD en Cisco IOS mediante SDM

Opciones de descarga

  • PDF     (2.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.9 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Actualizado:20 de febrero de 2019
ID del documento:70791

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Aunque las sesiones VPN de Secure Sockets Layer (SSL) (WebVPN de Cisco) sean seguras, el cliente puede tener todavía cookies, archivos del navegador y adjuntos de correo electrónico después de completarse una sesión. Cisco Secure Desktop (CSD) amplía la seguridad inherente de las sesiones VPN SSL escribiendo los datos de la sesión en un formato cifrado en un área de depósito especial del disco del cliente. Además, estos datos se quitan del disco al final de la sesión VPN de SSL. Este documento presenta una configuración de ejemplo para CSD en un router Cisco IOS®.

    CSD es compatible con las siguientes plataformas de dispositivos de Cisco:

    • Routers Cisco IOS versión 12.4(6)T y posteriores

    • Routers Cisco 870, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 y 7301

    • Concentradores de la serie Cisco VPN 3000, versión 4.7 y posteriores

    • Dispositivos de seguridad Cisco ASA serie 5500, versión 7.1 y posteriores

    • Cisco WebVPN Services Module para Cisco Catalyst y Cisco 7600 Series Versión 1.2 y posteriores

    Prerequisites

    Requirements

    Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

    Requisitos para el router Cisco IOS

    • Router Cisco IOS con Advanced Image 12.4(6T) o posterior

    • Cisco Router Secure Device Manager (SDM) 2.3 o superior

    • Una copia del paquete CSD para IOS en su estación de administración

    • Certificado digital autofirmado de router o autenticación con una autoridad de certificación (CA)

      Nota: Siempre que utilice certificados digitales, asegúrese de establecer correctamente el nombre de host, el nombre de dominio y la fecha, hora y zona horaria del router.

    • Una contraseña secreta de activación en el router

    • DNS activado en el router. Varios servicios WebVPN requieren DNS para funcionar correctamente.

    Requisitos para equipos cliente

    • Los clientes remotos deben tener privilegios administrativos locales; no es necesario, pero se recomienda encarecidamente.

    • Los clientes remotos deben tener Java Runtime Environment (JRE) versión 1.4 o posterior.

    • Navegadores de cliente remotos: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 o Firefox 1.0

    • Cookies habilitadas y ventanas emergentes permitidas en clientes remotos

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco IOS Router 3825 con Versión 12.9(T)

    • SDM versión 2.3.1

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos usados en este documento comenzaron con una configuración despejada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

    Diagrama de la red

    En este documento, se utiliza esta configuración de red:

    En este ejemplo se utiliza un router Cisco serie 3825 para permitir el acceso seguro a la intranet de la empresa. El router Cisco serie 3825 mejora la seguridad de las conexiones VPN SSL con características y características CSD configurables. Los clientes pueden conectarse al router habilitado para CSD a través de uno de estos tres métodos de VPN SSL: VPN SSL sin cliente (WebVPN), VPN SSL de cliente ligero (Port-Forwarding) o SSL VPN Client (Full Tunneling SVC).

    csd-ios-2.gif

    Productos Relacionados

    Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

    • Plataformas de router Cisco 870,1811,1841,2801,2811,2821 2851,3725,3745.3825,3845, 7200 y 7301

    • Imagen de seguridad avanzada de Cisco IOS versión 12.4(6)T y posteriores

    Convenciones

    Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

    Configurar

    Un gateway WebVPN permite al usuario conectarse al router a través de una de las tecnologías SSL VPN. Solo se permite un gateway WebVPN por dirección IP en el dispositivo, aunque se puede adjuntar más de un contexto WebVPN a un gateway WebVPN. Cada contexto se identifica con un nombre único. Las políticas de grupo identifican los recursos configurados disponibles para un contexto WebVPN determinado.

    La configuración de CSD en un router IOS se realiza en dos fases:

    Fase I: Prepare el router para la configuración de CSD con SDM

    1. Configure una gateway WebVPN, el contexto WebVPN y la política de grupo .

      Nota: Este paso es opcional y no se trata con detalle en este documento. Si ya ha configurado el router para una de las tecnologías SSL VPN, omita este paso.

    2. Habilite CSD en un contexto WebVPN .

    Fase II: Configure el CSD mediante un navegador web.

    1. Defina las Ubicaciones de Windows .

    2. Identifique los criterios de ubicación .

    3. Configure las funciones y los módulos de ubicación de Windows .

    4. Configure las funciones de Windows CE, Macintosh y Linux .

    Fase I: Prepare el router para la configuración de CSD con SDM.

    CSD se puede configurar con SDM o desde la interfaz de línea de comandos (CLI). Esta configuración utiliza SDM y un explorador Web.

    Estos pasos se utilizan para completar la configuración de CSD en su router IOS.

    Fase I: Paso 1: Configure una gateway WebVPN, un contexto WebVPN y una política de grupo.

    Puede utilizar el asistente de WebVPN para realizar esta tarea.

    1. Abra SDM y vaya a Configurar > VPN > WebVPN. Haga clic en la pestaña Create WebVPN y marque el botón de radio Create a new WebVPN. Haga clic en Iniciar la tarea seleccionada.

      csd-ios_1.gif

    2. La pantalla del Asistente de WebVPN muestra los parámetros que puede configurar. Haga clic en Next (Siguiente).

      csd-ios_2.gif

    3. Introduzca la dirección IP del gateway de WebVPN, un nombre único para el servicio e información del certificado digital. Haga clic en Next (Siguiente).

      csd-ios_3.gif

    4. Se pueden crear cuentas de usuario para la autenticación en este gateway WebVPN. Puede utilizar cuentas locales o cuentas creadas en un servidor externo de autenticación, autorización y cuentas (AAA). Este ejemplo utiliza cuentas locales en el router. Marque el botón de opción Locally en este router y haga clic en Add.

      csd-ios_4.gif

    5. Introduzca la información de cuenta del nuevo usuario en la pantalla Add an Account (Agregar una cuenta) y haga clic en OK (Aceptar).

      csd-ios_5.gif

    6. Una vez creados los usuarios, haga clic en Siguiente en la página Autenticación de usuario.

      csd-ios_6.gif

    7. La pantalla Configure Intranet Websites (Configurar sitios web de intranet) le permite configurar el sitio web disponible para los usuarios del gateway WebVPN. Dado que el enfoque de este documento es la configuración de CSD, ignore esta página. Haga clic en Next (Siguiente).

      csd-ios_7.gif

    8. Aunque la siguiente pantalla del Asistente de WebVPN le permite la opción de habilitar el Cliente VPN SSL de túnel completo, el enfoque de este documento es cómo habilitar CSD. Desmarque Enable Full Tunnel y haga clic en Next.

      csd-ios_8.gif

    9. Puede personalizar el aspecto de la página del portal WebVPN para los usuarios. En este caso, se acepta la apariencia predeterminada. Haga clic en Next (Siguiente).

      csd-ios_9.gif

    10. El asistente muestra la última pantalla de esta serie. Muestra un resumen de la configuración del gateway WebVPN. Haga clic en Finalizar y, cuando se le solicite, haga clic en Aceptar.

      csd-ios_10.gif

    Fase I: Paso 2: Habilitar CSD en un contexto WebVPN.

    Utilice el asistente de WebVPN para activar CSD en un contexto de WebVPN.

    1. Utilice las funciones avanzadas del asistente de WebVPN para activar CSD para el contexto recién creado. El asistente le ofrece la oportunidad de instalar el paquete CSD si aún no está instalado.

      1. En SDM, haga clic en la ficha Configurar.

      2. En el panel de navegación, haga clic en VPN > WebVPN.

      3. Haga clic en la pestaña Create WebVPN.

      4. Compruebe el botón de opción Configure advanced features for an existing WebVPN.

      5. Haga clic en el botón Iniciar la tarea seleccionada.

        csd-ios_11.gif

    2. Se muestra la página de bienvenida del asistente de WebVPN avanzado. Haga clic en Next (Siguiente).

      csd-ios_12.gif

    3. Elija la WebVPN y el grupo de usuarios en los cuadros desplegables de los campos. Las funciones avanzadas del asistente WebVPN se aplicarán a sus opciones. Haga clic en Next (Siguiente).

      csd-ios_13.gif

    4. La pantalla Select Advanced Features (Seleccionar funciones avanzadas) le permite elegir entre las tecnologías de la lista.

      1. Consulte Cisco Secure Desktop.

      2. En este ejemplo, la opción es Clientless Mode.

      3. Si elige cualquiera de las otras tecnologías de la lista, se abrirán ventanas adicionales para permitir la entrada de información relacionada.

      4. Haga clic en el botón Next.

      csd-ios_14.gif

    5. La pantalla Configure Intranet Websites (Configurar sitios web de intranet) le permite configurar los recursos del sitio web que desea que estén disponibles para los usuarios. Puede agregar los sitios web internos de la empresa, como Outlook Web Access (OWA).

      csd-ios_15.gif

    6. En la pantalla Enable Cisco Secure Desktop (CSD) (Activar Cisco Secure Desktop [CSD]), tiene la oportunidad de activar el CSD para este contexto. Marque la casilla situada junto a Install Cisco Secure Desktop (CSD) y haga clic en Browse.

      csd-ios_16.gif

    7. En el área Seleccionar ubicación CSD, marque Mi PC.

      1. Haga clic en el botón Browse.

      2. Elija el archivo de paquete de CSD IOS en su estación de trabajo de administración.

      3. Haga clic en el botón OK (Aceptar)

      4. Haga clic en el botón Next.

      csd-ios_17.gif

    8. Se muestra un resumen de la pantalla Configuración. Haga clic en el botón Finish.

      csd-ios_18.gif

    9. Haga clic en Aceptar cuando vea que el archivo de paquete CSD se ha instalado correctamente.

      csd-ios_19.gif

    Fase II: Configure el CSD mediante un navegador web.

    Estos pasos se utilizan para completar la configuración de CSD en su navegador web.

    Fase II: Paso 1: Definir las ubicaciones de Windows.

    Defina las ubicaciones de Windows.

    1. Abra el explorador Web en https://WebVPNgateway_IP Address/csd_admin.html, por ejemplo, https:/192.168.0.37/csd_admin.html.

    2. Introduzca el nombre de usuario admin.

      1. Introduzca la contraseña, que es el secreto de activación del router.

      2. Haga clic en Login (Conexión).

      csd-ios_20.gif

    3. Acepte el certificado ofrecido por el router, elija el contexto en el cuadro desplegable y haga clic en Ir.

      csd-ios_21.gif

    4. Se abre Secure Desktop Manager para WebVPN.

      csd-ios_22.gif

    5. En el panel izquierdo, elija Configuración de ubicación de Windows.

      1. Coloque el cursor en el cuadro situado junto a Nombre de ubicación e introduzca un nombre de ubicación.

      2. Haga clic en Add (Agregar).

      3. En este ejemplo, se muestran tres nombres de ubicación: Office, Home y Insecure. Cada vez que se agrega una nueva ubicación, el panel izquierdo se expande con los parámetros configurables para esa ubicación.

      csd-ios_23.gif

    6. Después de crear las ubicaciones de Windows, haga clic en Guardar en la parte superior del panel izquierdo.

      Nota: guarde las configuraciones con frecuencia, ya que se perderán si se desconecta del explorador web.

      csd-ios_24.gif

    Fase II: Paso 2: Identificación de los criterios de ubicación

    Para distinguir las ubicaciones de Windows entre sí, asigne criterios específicos a cada ubicación. Esto permite al CSD determinar cuáles de sus funciones se aplicarán a una ubicación de Windows determinada.

    1. En el panel izquierdo, haga clic en Office.

      1. Puede identificar una ubicación de Windows con criterios de certificado, criterios de IP, un archivo o criterios del Registro. También puede elegir Secure Desktop o Cache Cleaner para estos clientes. Dado que estos usuarios son trabajadores internos de oficina, identifíquelos con criterios de IP.

      2. Introduzca los intervalos de direcciones IP en los cuadros Desde y Hasta.

      3. Haga clic en Add (Agregar). Desmarque Use Module: Secure Desktop.

      4. Cuando se le solicite, haga clic en Guardar y en Aceptar.

      csd-ios_25.gif

    2. En el panel izquierdo, haga clic en el segundo Inicio de configuración de ubicación de Windows.

      1. Asegúrese de que Use Module: Secure Desktop esté marcado.

      2. Se distribuirá un archivo que identifica a estos clientes. Puede optar por distribuir certificados o criterios de registro para estos usuarios.

      3. Marque Enable identification using File or Registry criteria.

      4. Haga clic en Add (Agregar).

      csd-ios_26.gif

    3. En el cuadro de diálogo, elija Archivo e introduzca la ruta de acceso al archivo.

      1. Este archivo debe distribuirse a todos sus clientes domésticos.

      2. Compruebe que el botón de opción existe.

      3. Cuando se le solicite, haga clic en Aceptar y haga clic en Guardar.

      csd-ios_27.gif

    4. Para configurar la identificación de las ubicaciones inseguras, simplemente no aplique ningún criterio de identificación.

      1. Haga clic en Inseguro en el panel izquierdo.

      2. Deje todos los criterios sin marcar.

      3. Marque Use Module: Secure Desktop.

      4. Cuando se le solicite, haga clic en Guardar y en Aceptar.

      csd-ios_28.gif

    Fase II: Paso 3: Configuración de las funciones y los módulos de ubicación de Windows.

    Configure las funciones de CSD para cada ubicación de Windows.

    1. En Office, haga clic en VPN Feature Policy. Dado que se trata de clientes internos de confianza, no se habilitaron CSD ni Cache Cleaner. Ninguno de los otros parámetros está disponible.

      csd-ios_29.gif

    2. Active las funciones como se indica.

      1. En el panel izquierdo, elija VPN Feature Policy en Home.

      2. Los usuarios domésticos podrán acceder a la LAN corporativa si los clientes cumplen determinados criterios.

      3. En cada método de acceso, elija ON si los criterios coinciden.

      csd-ios_30.gif

    3. Para la exploración Web, haga clic en el botón de puntos suspensivos y elija los criterios que deben coincidir. Haga clic en Aceptar en el cuadro de diálogo.

      csd-ios_31.gif

    4. Puede configurar los otros métodos de acceso de forma similar.

      1. En Inicio, elija Registrador de pulsaciones de tecla.

      2. Coloque una marca de verificación junto a Comprobar si hay registradores de pulsaciones de teclas.

      3. Cuando se le solicite, haga clic en Guardar y en Aceptar.

      csd-ios_32.gif

    5. En la ubicación de las ventanas principales, elija Limpiador de caché. Deje los parámetros predeterminados como se muestra en la captura de pantalla.

      csd-ios_33.gif

    6. En Inicio, seleccione Secure Desktop General. Marque Sugerir desinstalación de la aplicación al cerrar Secure Desktop. Deje el resto de parámetros en sus parámetros predeterminados, como se muestra en la captura de pantalla.

      csd-ios_34.gif

    7. Para Configuración de escritorio seguro en Inicio, elija Permitir que las aplicaciones de correo electrónico funcionen de forma transparente. Cuando se le solicite, haga clic en Guardar y en Aceptar.

      csd-ios_35.gif

    8. La configuración de Secure Desktop Browser depende de si desea o no que estos usuarios accedan a un sitio web de la empresa con favoritos preconfigurados.

      1. En Inseguro, elija Política de funciones de VPN.

      2. Dado que no se trata de usuarios de confianza, permita únicamente la exploración web.

      3. Elija ON en el menú desplegable para Web Browsing.

      4. El resto del acceso se establece en OFF.

      csd-ios_36.gif

    9. Marque la casilla de verificación Check for keystroke loggers.

      csd-ios_37.gif

    10. Configure el limpiador de caché para Insecure.

      1. Marque la casilla de verificación Limpiar toda la caché además de la caché de la sesión actual (sólo IE).

      2. Deje el resto de parámetros predeterminados.

      csd-ios_38.gif

    11. En Inseguro, elija Secure Desktop General.

      1. Reduzca el tiempo de inactividad a 2 minutos.

      2. Marque la casilla de verificación Forzar la desinstalación de la aplicación al cerrar Secure Desktop.

      csd-ios_39.gif

    12. Elija Secure Desktop Settings en Insecure, y configure los ajustes muy restrictivos como se muestra.

      csd-ios_40.gif

    13. Elija Secure Desktop Browser. En el campo Página de inicio, introduzca el sitio web al que se dirigirá a estos clientes para su página de inicio.

      csd-ios_41.gif

    Fase II: Paso 4: Configuración de las funciones de Windows CE, Macintosh y Linux.

    Configure las funciones de CSD para Windows CE, Macintosh y Linux.

    1. Elija Windows CE en Secure Desktop Manager. Windows CE tiene funciones de VPN limitadas. Active Navegación Web.

      csd-ios_42.gif

    2. Elija Mac & Linux Cache Cleaner.

      1. Los sistemas operativos Macintosh y Linux solo tienen acceso a los aspectos de limpieza de caché de CSD. Configúrelos tal y como se muestra en el gráfico.

      2. Cuando se le solicite, haga clic en Guardar y en Aceptar.

      csd-ios_43.gif

    Verificación

    Pruebe el funcionamiento del CSD

    Pruebe el funcionamiento de CSD conectándose al gateway WebVPN con un navegador habilitado para SSL en la dirección https://WebVPN_Gateway_IP.

    Nota: Recuerde utilizar el nombre único del contexto si ha creado contextos WebVPN diferentes, por ejemplo, https://192.168.0.37/cisco.

    csd-ios_44.gif

    Comandos

    Varios comandos show se asocian a WebVPN. Puede ejecutar estos comandos en command-line interface (CLI) para mostrar las estadísticas y otra información. Para obtener información detallada sobre los comandos show, consulte Verificar la Configuración WebVPN.

    Nota: El Analizador CLI (sólo para clientes registrados) admite ciertos comandos show. Utilice el Analizador CLI para ver un análisis de la salida del comando show.

    Troubleshoot

    Comandos

    Varios comandos debug se asocian a WebVPN. Para obtener información detallada sobre estos comandos, consulte Uso de los Comandos Debug de WebVPN.

    Nota: El uso de los comandos debug puede afectar negativamente a su dispositivo Cisco. Antes de que utilice los comandos debug, consulte Información Importante sobre los Comandos Debug.

    Para obtener más información sobre los comandos clear, consulte Uso de los comandos Clear de WebVPN.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    20-Feb-2019
    Versión inicial

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos