Introdução
Este documento descreve o recurso de detecção de portal cativo do Cisco AnyConnect Mobility Client e os requisitos para que ele funcione corretamente.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento do Cisco AnyConnect Secure Mobility Client.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- AnyConnect versão 4.7
- Cisco Adaptive Security Appliance (ASA) versão 9.10
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Muitos hotspots sem fio em hotéis, restaurantes, aeroportos e outros locais públicos usam portais cativos para bloquear o acesso do usuário à Internet. Eles redirecionam solicitações HTTP para seus próprios sites, que exigem que os usuários insiram suas credenciais ou confirmem os termos e condições do host do hotspot.
Overview
Muitas instalações que oferecem Wi-Fi e acesso com fio, como aeroportos, cafés e hotéis, exigem que os usuários paguem antes de obter acesso, concordam em cumprir uma política de uso aceitável, ou ambos. Esses recursos usam uma técnica chamada portal cativo para impedir que os aplicativos acessem até que os usuários abram um navegador e aceitem as condições de acesso.
Requisitos de correção do portal cativo
O suporte para detecção e correção do portal cativo requer uma destas licenças:
- AnyConnect Premium (Edição VPN SSL)
- Mobilidade Segura Cisco AnyConnect
Você pode usar uma licença do Cisco AnyConnect Secure Mobility para fornecer suporte para detecção e correção de portal cativo em combinação com uma licença do AnyConnect Essentials ou do AnyConnect Premium.
Observação: a detecção e a correção do portal cativo são suportadas nos sistemas operacionais Microsoft Windows e Macintosh OS X suportados pela versão do AnyConnect que está em uso.
Observação: a VPN Always-ON não suporta a conexão através de um proxy
Detecção de hotspot do portal cativo
O AnyConnect exibe a mensagem de erro "Não é possível entrar em contato com o servidor VPN" na GUI se ele não puder se conectar, independentemente da causa. O servidor VPN especifica o gateway seguro. Se a opção Always-on estiver habilitada e um portal cativo não estiver presente, o cliente continuará tentando se conectar à VPN e atualizará a mensagem de status adequadamente.
Se a VPN sempre ativa estiver habilitada, a política de falha de conexão estiver fechada, a correção do portal cativo estiver desabilitada e o AnyConnect detectar a presença de um portal cativo, a GUI do AnyConnect exibirá essa mensagem uma vez por conexão e uma vez por reconexão:
The service provider in your current location is restricting access to the internet.
The AnyConnect protection settings must be lowered for you to log on with the service
provider. Your current enterprise security policy does not allow this.
Se o AnyConnect detectar a presença de um portal cativo e a configuração do AnyConnect for diferente da descrita anteriormente, a GUI do AnyConnect exibirá essa mensagem uma vez por conexão e uma vez por reconexão:
The service provider in your current location is restricting access to the internet.
You need to log on with the service provider before you can establish a VPN session.
You can try this by visiting any website with your browser.
Cuidado: a detecção do portal cativo está habilitada por padrão e não é configurável. O AnyConnect não modifica nenhuma definição de configuração do navegador durante a detecção do portal cativo.
Correção de hotspot do portal cativo
A correção do portal cativo é o processo em que você atende aos requisitos de um hotspot do portal cativo para obter acesso à rede.
O AnyConnect não corrige o portal cativo; ele depende do usuário final para executar a correção.
Para executar a correção do portal cativo, o usuário final atende aos requisitos do provedor de hotspots. Esses requisitos podem incluir o pagamento de uma taxa para acessar a rede, uma assinatura em uma política de uso aceitável, ambos ou algum outro requisito definido pelo provedor.
A correção do portal cativo deve ser explicitamente permitida em um perfil do AnyConnect VPN Client se o AnyConnect Always-on estiver habilitado e a política de falha de conexão estiver definida como Fechado. Se a opção Sempre ativo estiver habilitada e a política de Falha de conexão estiver definida como Aberta, não será necessário permitir explicitamente a correção do portal cativo em um perfil do AnyConnect VPN Client porque o acesso do usuário à rede não é restrito.
Detecção do portal falso cativo
O AnyConnect pode assumir falsamente que está em um portal cativo nestas situações:
- Se o AnyConnect tentar entrar em contato com um ASA com um certificado que contenha um nome de servidor (CN) incorreto, o cliente AnyConnect o tratará como um ambiente de portal cativo.
Para evitar esse problema, certifique-se de que o certificado ASA esteja configurado corretamente. O valor CN no certificado deve corresponder ao nome do servidor ASA no perfil de cliente VPN.
- Se houver outro dispositivo na rede antes do ASA que responde quando o usuário tenta entrar em contato com um ASA pelo bloqueio do acesso HTTPS ao ASA, o cliente AnyConnect o trata como um ambiente de portal cativo. Essa situação pode ocorrer quando um usuário está em uma rede interna e se conecta por meio de um firewall para se conectar ao ASA.
Se você precisar restringir o acesso ao ASA de dentro da corporação, configure seu firewall de forma que o tráfego HTTP e HTTPS para o endereço ASA não retorne um status HTTP. O acesso HTTP/HTTPS ao ASA é permitido ou totalmente bloqueado (também conhecido como black-holed) para garantir que as solicitações HTTP/HTTPS enviadas ao ASA não retornem uma resposta inesperada.
Comportamento do AnyConnect
Esta seção descreve como o AnyConnect se comporta.
- O AnyConnect tenta um teste HTTPS para o FQDN (Fully Qualified Domain Name, Nome de domínio totalmente qualificado) definido no perfil XML.
- Se houver um erro de certificado (FQDN não confiável/errado), o AnyConnect tentará uma prova HTTP para o FQDN definido no perfil XML. Se houver qualquer outra resposta que não um HTTP 302, ele funcionará como se estivesse por trás de um portal cativo.
Portal cativo detectado incorretamente com IKEv2
Quando você tenta uma conexão Internet Key Exchange Version 2 (IKEv2) com um ASA com autenticação SSL desabilitada, que executa o portal Adaptive Security Device Manager (ASDM) na porta 443, a investigação HTTPS executada para detecção de portal cativo resulta em um redirecionamento para o portal ASDM (/admin/public/index.html). Como isso não é esperado pelo cliente, ele aparece como um redirecionamento de portal cativo e a tentativa de conexão é impedida porque parece que a correção do portal cativo é necessária.
Soluções
Se você encontrar esse problema, estas são algumas possíveis soluções:
- Remova os comandos HTTP nessa interface para que o ASA não ouça as conexões HTTP na interface.
- Remova o ponto de confiança SSL na interface.
- Ative os serviços de cliente IKEV2.
- Ative a WebVPN na interface.
Cuidado: O mesmo problema existe para os roteadores Cisco IOS®. Se ip http server estiver habilitado no Cisco IOS, que é necessário se a mesma caixa for usada como o servidor PKI, o AnyConnect detecta falsamente o portal cativo. A solução é usar ip http access-class para interromper as respostas às solicitações do AnyConnect HTTP, em vez de uma solicitação de autenticação.
Desabilitar o Recurso de Portal Cativo
É possível desabilitar o recurso de portal cativo no AnyConnect Client versão 4.2.00096 e posterior. O administrador pode determinar se a opção pode ser configurável ou desativada pelo usuário. Essa opção está disponível na seção Preferências (Parte 1) no editor de perfis. O administrador pode selecionar Disable Captive Portal Detection ou User Controllable como mostrado nesta captura de tela do editor de perfil:
Se a opção User controlable estiver marcada, a caixa de seleção será exibida na guia Preferences da interface do usuário do AnyConnect Secure Mobility Client, conforme mostrado aqui: