Configurar CSD no Cisco IOS usando SDM

Opções de download

  • PDF     (2.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.9 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Atualizado:20 de fevereiro de 2019
ID do documento:70791

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Embora as sessões de uma VPN (Cisco WebVPN) Secure Sockets Layer (SSL) sejam seguras, o cliente pode ainda encontrar cookies, arquivos do navegador e anexos de e-mails que permanecem depois que a sessão é encerrada. O Cisco Secure Desktop (CSD) estende a segurança inerente das sessões VPN SSL gravando dados da sessão em um formato criptografado em uma área especial de cofre do disco do cliente. Além disso, esses dados são removidos do disco quando a sessão de VPN SSL é encerrada. Este documento apresenta um exemplo de configuração para CSD em um roteador Cisco IOS®.

    O CSD é suportado nas seguintes plataformas de dispositivos da Cisco:

    • Cisco IOS Routers Versão 12.4(6)T e Mais Recente

    • Roteadores Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 e 7301

    • Cisco VPN 3000 Series Concentrators versão 4.7 e posterior

    • Cisco ASA 5500 Series Security Appliances versão 7.1 e posterior

    • Cisco WebVPN Services Module para Cisco Catalyst e Cisco 7600 Series versão 1.2 e posterior

    Pré-requisitos

    Requisitos

    Certifique-se de atender a estes requisitos antes de tentar esta configuração:

    Requisitos para o roteador Cisco IOS

    • Roteador Cisco IOS com imagem avançada 12.4(6T) ou posterior

    • Cisco Router Secure Device Manager (SDM) 2.3 ou superior

    • Uma cópia do pacote CSD para IOS na sua estação de gerenciamento

    • Um certificado digital autoassinado do roteador ou uma autenticação com uma Autoridade de Certificação (CA)

      Observação: sempre que usar certificados digitais, certifique-se de definir corretamente o nome de host, o nome de domínio e a data/hora/fuso horário do roteador.

    • Uma senha secreta de ativação no roteador

    • DNS habilitado no roteador. Vários serviços WebVPN exigem que o DNS funcione corretamente.

    Requisitos para computadores cliente

    • Os clientes remotos devem ter privilégios administrativos locais; isso não é necessário, mas é altamente sugerido.

    • Os clientes remotos devem ter o Java Runtime Environment (JRE) versão 1.4 ou superior.

    • Navegadores de clientes remotos: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 ou Firefox 1.0

    • Cookies habilitados e pop-ups permitidos em clientes remotos

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco IOS Router 3825 com Versão 12.9(T)

    • SDM Versão 2.3.1

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração limpa (padrão). Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Diagrama de Rede

    Este documento utiliza a seguinte configuração de rede:

    Este exemplo usa um roteador Cisco 3825 Series para permitir acesso seguro à intranet da empresa. O roteador Cisco 3825 Series aumenta a segurança das conexões VPN SSL com características e recursos de CSD configuráveis. Os clientes podem se conectar ao roteador habilitado para CSD por meio de um destes três métodos de VPN SSL: VPN SSL sem clientes (WebVPN), VPN SSL thin-client (encaminhamento de portas) ou cliente VPN SSL (SVC de encapsulamento completo).

    csd-ios-2.gif

    Produtos Relacionados

    Esta configuração também pode ser utilizada com estas versões de hardware e software:

    • Plataformas de roteador Cisco 870,1811,1841,2801,2811,2821 2851,3725,3745,3825,3845, 7200 e 7301

    • Imagem de Segurança Avançada do Cisco IOS versão 12.4(6)T e posterior

    Conventions

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Configurar

    Um gateway WebVPN permite que um usuário se conecte ao roteador por meio de uma das tecnologias VPN SSL. Apenas um gateway WebVPN por endereço IP é permitido no dispositivo, embora mais de um contexto WebVPN possa ser anexado a um gateway WebVPN. Cada contexto é identificado por um nome exclusivo. As Políticas de Grupo identificam os recursos configurados disponíveis para um contexto WebVPN específico.

    A configuração de CSD em um roteador IOS é realizada em duas fases:

    Fase I: Preparar seu roteador para a configuração CSD com SDM

    1. Configure um gateway WebVPN, um contexto WebVPN e uma política de grupo .

      Observação: esta etapa é opcional e não é abordada em detalhes neste documento. Se você já configurou seu roteador para uma das tecnologias VPN SSL, omita esta etapa.

    2. Ative o CSD em um contexto WebVPN .

    Fase II: Configurar o CSD usando um navegador da Web.

    1. Defina Locais do Windows.

    2. Identifique os critérios de localização .

    3. Configure os módulos e recursos de localização do Windows .

    4. Configure os recursos do Windows CE, Macintosh e Linux .

    Fase I: Preparar o roteador para a configuração CSD com SDM.

    O CSD pode ser configurado com SDM ou a partir da interface de linha de comando (CLI). Essa configuração usa SDM e um navegador da Web.

    Essas etapas são usadas para concluir a configuração do CSD no seu roteador IOS.

    Fase I: Etapa 1: Configurar um gateway WebVPN, o contexto WebVPN e a política de grupo.

    Você pode usar o WebVPN Wizard para realizar essa tarefa.

    1. Abra o SDM e vá para Configure > VPN > WebVPN. Clique na guia Create WebVPN e marque o botão de opção Create a new WebVPN . Clique em Iniciar a tarefa selecionada.

      csd-ios_1.gif

    2. A tela WebVPN Wizard lista os parâmetros que você pode configurar. Clique em Next.

      csd-ios_2.gif

    3. Insira o endereço IP para o gateway WebVPN, um nome exclusivo para o serviço e informações de certificado digital. Clique em Next.

      csd-ios_3.gif

    4. As contas de usuário podem ser criadas para autenticação neste gateway WebVPN. Você pode usar contas locais ou contas criadas em um servidor externo de Autenticação, Autorização e Contabilização (AAA). Este exemplo usa contas locais no roteador. Marque o botão de opção Locally on this router e clique em Add.

      csd-ios_4.gif

    5. Insira as informações da conta do novo usuário na tela Adicionar uma conta e clique em OK.

      csd-ios_5.gif

    6. Depois de criar os usuários, clique em Avançar na página Autenticação de usuário.

      csd-ios_6.gif

    7. A tela Configurar sites da intranet permite configurar o site disponível para usuários do gateway WebVPN. Como o foco deste documento é a configuração do CSD, desconsidere esta página. Clique em Next.

      csd-ios_7.gif

    8. Embora a próxima tela do WebVPN Wizard permita a opção de habilitar o Full Tunnel SSL VPN Client, o foco deste documento é como habilitar o CSD. Desmarque Enable Full Tunnel e clique em Next.

      csd-ios_8.gif

    9. Você pode personalizar a aparência da página do portal WebVPN para os usuários. Nesse caso, a aparência padrão é aceita. Clique em Next.

      csd-ios_9.gif

    10. O Assistente exibe a última tela desta série. Ele mostra um resumo da configuração para o gateway WebVPN. Clique em Finish e, quando solicitado, clique em OK.

      csd-ios_10.gif

    Fase I: Etapa 2: Ativar o CSD em um contexto de WebVPN.

    Use o WebVPN Wizard para ativar o CSD em um contexto WebVPN.

    1. Use os recursos avançados do WebVPN Wizard para ativar o CSD para o contexto recém-criado. O Assistente lhe dá a oportunidade de instalar o pacote CSD se ele ainda não estiver instalado.

      1. Em SDM, clique na guia Configurar.

      2. No painel de navegação, clique em VPN > WebVPN.

      3. Clique na guia Create WebVPN .

      4. Marque o botão de opção Configure advance features for an existing WebVPN.

      5. Clique no botão Iniciar a tarefa selecionada.

        csd-ios_11.gif

    2. A página de boas-vindas do Advanced WebVPN Wizard é exibida. Clique em Next.

      csd-ios_12.gif

    3. Escolha a WebVPN e o grupo de usuários nas caixas suspensas dos campos. Os recursos do Assistente Avançado de WebVPN serão aplicados às suas escolhas. Clique em Next.

      csd-ios_13.gif

    4. A tela Selecionar recursos avançados permite escolher entre as tecnologias listadas.

      1. Verifique o Cisco Secure Desktop.

      2. Neste exemplo, a escolha é Modo sem cliente.

      3. Se você escolher qualquer uma das outras tecnologias listadas, janelas adicionais serão abertas para permitir a entrada de informações relacionadas.

      4. Clique no botão Avançar.

      csd-ios_14.gif

    5. A tela Configurar sites da intranet permite configurar os recursos do site que você deseja que estejam disponíveis para os usuários. Você pode adicionar os sites internos da empresa, como o Outlook Web Access (OWA).

      csd-ios_15.gif

    6. Na tela Enable Cisco Secure Desktop (CSD), você tem a oportunidade de ativar o CSD para esse contexto. Marque a caixa ao lado de Install Cisco Secure Desktop (CSD) e clique em Browse.

      csd-ios_16.gif

    7. Na área Select CSD Location (Selecionar local do CSD), marque My Computer.

      1. Clique no botão Browse.

      2. Escolha o arquivo de pacote do IOS CSD na estação de trabalho de gerenciamento.

      3. Clique na tecla OK.

      4. Clique no botão Avançar.

      csd-ios_17.gif

    8. Uma tela Resumo da configuração é exibida. Clique no botão Finish.

      csd-ios_18.gif

    9. Clique em OK quando vir que o arquivo de pacote CSD foi instalado com êxito.

      csd-ios_19.gif

    Fase II: Configurar o CSD usando um navegador da Web.

    Essas etapas são usadas para concluir a configuração do CSD no navegador da Web.

    Fase II: Etapa 1: definir os locais do Windows.

    Defina os locais do Windows.

    1. Abra o navegador da Web em https://WebVPNgateway_IP Address/csd_admin.html, por exemplo, https:/192.168.0.37/csd_admin.html.

    2. Insira o nome de usuário admin.

      1. Digite a senha, que é o segredo de ativação do roteador.

      2. Clique em login.

      csd-ios_20.gif

    3. Aceite o certificado oferecido pelo roteador, escolha o contexto na caixa suspensa e clique em Go.

      csd-ios_21.gif

    4. O Secure Desktop Manager para WebVPN é aberto.

      csd-ios_22.gif

    5. No painel esquerdo, escolha Configurações de localização do Windows.

      1. Coloque o cursor na caixa ao lado de Nome do local e insira um nome de local.

      2. Clique em Add.

      3. Neste exemplo, três nomes de local são mostrados: Office, Home e Insecure. Cada vez que um novo local é adicionado, o painel esquerdo se expande com os parâmetros configuráveis para esse local.

      csd-ios_23.gif

    6. Depois de criar os locais do Windows, clique em Salvar na parte superior do painel esquerdo.

      Observação: salve suas configurações com frequência, pois elas serão perdidas se você for desconectado do navegador da Web.

      csd-ios_24.gif

    Fase II: Etapa 2: Identificar critérios de localização

    Para distinguir os locais do Windows uns dos outros, atribua critérios específicos a cada local. Isso permite que a CSD determine quais de suas características aplicar a um local específico do Windows.

    1. No painel esquerdo, clique em Office.

      1. Você pode identificar um local do Windows com critérios de certificado, critérios de IP, um arquivo ou critérios de registro. Você também pode escolher a Área de trabalho segura ou o Limpador de cache para esses clientes. Como esses usuários são funcionários internos do escritório, identifique-os com critérios IP.

      2. Insira os intervalos de endereços IP nas caixas From e To.

      3. Clique em Add. Desmarque Use Module: Secure Desktop.

      4. Quando solicitado, clique em Salvar e em OK.

      csd-ios_25.gif

    2. No painel esquerdo, clique no segundo Home de configuração de local do Windows.

      1. Verifique se Use Module: Secure Desktop está marcado.

      2. Será distribuído um arquivo que identifica esses clientes. Você pode optar por distribuir certificados e/ou critérios de registro para esses usuários.

      3. Marque Habilitar identificação usando critérios de Arquivo ou Registro.

      4. Clique em Add.

      csd-ios_26.gif

    3. Na caixa de diálogo, escolha Arquivo e insira o caminho para o arquivo.

      1. Este arquivo deve ser distribuído para todos os seus clientes domésticos.

      2. Marque o botão de opção Existe.

      3. Quando solicitado, clique em OK e em Salvar.

      csd-ios_27.gif

    4. Para configurar a identificação de locais inseguros, simplesmente não aplique nenhum critério de identificação.

      1. Clique em Insecure no painel esquerdo.

      2. Deixe todos os critérios desmarcados.

      3. Marque Use Module: Secure Desktop.

      4. Quando solicitado, clique em Salvar e em OK.

      csd-ios_28.gif

    Fase II: Etapa 3: configurar os módulos e recursos de localização do Windows.

    Configure os recursos CSD para cada local do Windows.

    1. Em Office, clique em VPN Feature Policy. Como esses são clientes internos confiáveis, nem o CSD nem o Limpador de Cache foram habilitados. Nenhum dos outros parâmetros está disponível.

      csd-ios_29.gif

    2. Ative os recursos conforme mostrado.

      1. No painel esquerdo, escolha VPN Feature Policy em Home.

      2. Os usuários domésticos terão acesso à LAN corporativa se os clientes atenderem a determinados critérios.

      3. Em cada método de acesso, escolha ON se os critérios forem correspondidos.

      csd-ios_30.gif

    3. Para Navegação na Web, clique no botão de reticências e escolha os critérios que devem ser correspondentes. Clique em OK na caixa de diálogo.

      csd-ios_31.gif

    4. Você pode configurar os outros métodos de acesso de maneira semelhante.

      1. Em Home, escolha Keystroke Logger.

      2. Coloque uma marca de seleção ao lado de Check for keystroke loggers.

      3. Quando solicitado, clique em Salvar e em OK.

      csd-ios_32.gif

    5. Na localização das janelas Início, selecione Cache Cleaner. Mantenha as configurações padrão como mostrado na captura de tela.

      csd-ios_33.gif

    6. Em Início, selecione Secure Desktop General. Marque Sugerir desinstalação de aplicativo ao fechar o Secure Desktop. Deixe todos os outros parâmetros com suas configurações padrão, como mostrado na captura de tela.

      csd-ios_34.gif

    7. Para Configurações de Área de Trabalho Segura em Início, escolha Permitir que aplicativos de e-mail funcionem de forma transparente. Quando solicitado, clique em Salvar e em OK.

      csd-ios_35.gif

    8. A configuração do Secure Desktop Browser depende de você desejar ou não que esses usuários acessem um site da empresa com favoritos pré-configurados.

      1. Em Insecure, escolha VPN Feature Policy.

      2. Como esses usuários não são confiáveis, permita apenas a navegação na Web.

      3. Escolha ON no menu suspenso para Navegação na Web.

      4. Todos os outros acessos estão definidos como DESLIGADO.

      csd-ios_36.gif

    9. Marque a caixa de seleção Check for keystroke loggers.

      csd-ios_37.gif

    10. Configure o Limpador de Cache para Inseguro.

      1. Marque a caixa de seleção Limpar todo o cache além do cache da sessão atual (somente IE).

      2. Deixe as outras configurações como padrão.

      csd-ios_38.gif

    11. Em Inseguro, escolha Desktop Geral Seguro.

      1. Reduza o tempo limite de inatividade para 2 minutos.

      2. Marque a caixa de seleção Forçar desinstalação do aplicativo no fechamento do Secure Desktop.

      csd-ios_39.gif

    12. Escolha Configurações de Área de Trabalho Segura em Inseguro e defina configurações muito restritivas conforme mostrado.

      csd-ios_40.gif

    13. Escolha Navegador de desktop seguro. No campo Página inicial, insira o site para o qual esses clientes serão direcionados para sua página inicial.

      csd-ios_41.gif

    Fase II: Etapa 4: Configurar recursos do Windows CE, Macintosh e Linux.

    Configure os recursos CSD para Windows CE, Macintosh e Linux.

    1. Escolha Windows CE no Secure Desktop Manager. O Windows CE tem recursos de VPN limitados. Ative a navegação na Web.

      csd-ios_42.gif

    2. Selecione Mac & Linux Cache Cleaner.

      1. Os sistemas operacionais Macintosh e Linux têm acesso apenas aos aspectos de limpeza de cache do CSD. Configure-os conforme mostrado no gráfico.

      2. Quando solicitado, clique em Salvar e em OK.

      csd-ios_43.gif

    Verificar

    Testar a operação da CDT

    Teste a operação do CSD conectando-se ao gateway WebVPN com um navegador habilitado para SSL em https://WebVPN_Gateway_IP Address.

    Observação: Lembre-se de usar o nome exclusivo do contexto se você criou contextos WebVPN diferentes, por exemplo, https://192.168.0.37/cisco.

    csd-ios_44.gif

    Comandos

    Vários comandos show estão associados ao WebVPN. Você pode executar estes comandos na interface de linha de comando (CLI) para mostrar estatísticas e outras informações. Para obter informações detalhadas sobre os comandos show, consulte Verificação da Configuração do WebVPN.

    Observação: o CLI Analyzer (somente clientes registrados) suporta determinados comandos show. Use o Analisador CLI para exibir uma análise da saída do comando show.

    Troubleshooting

    Comandos

    Vários comandos debug estão associados ao WebVPN. Para obter informações detalhadas sobre estes comandos, consulte Uso de Comandos de Depuração do WebVPN.

    Observação: o uso dos comandos debug pode afetar adversamente o dispositivo Cisco. Antes de utilizar comandos debug, consulte Informações Importantes sobre Comandos Debug.

    Para obter mais informações sobre os comandos clear, consulte Uso dos comandos Clear da WebVPN.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    20-Feb-2019
    Versão inicial

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos