Comunidad de Soporte de Cisco en Español Webcast en vivo:

Transcripción

1 Comunidad de Soporte de Cisco en Español Webcast en vivo: Implementación de Cloud Web Security (CWS) con ASA Maite Cadenas Service Deployment Manager 23 de Junio, 2015

2 El experto del día de hoy es: Maite Cadenas Cisco Cloud Web Security (CWS) 2

3 Implementación de Cloud Web Security (CWS) con ASA Panel de Expertos Valter Da Costa Tech Engineer Steve Coral Cisco Cloud Web Security 3

4 Gracias por su asistencia el día de hoy La presentación incluirá algunas preguntas a la audiencia. Le invitamos cordialmente a participar activamente en las preguntas que le haremos durante la sesión 4

5 Descargue la presentación Si desea obtener la presentación de este evento diríjase a: 5

6 Webcasts de la comunidad: Puede encontrar los Webcast de la Comunidad de Soporte de Cisco en español en: unidad-de-soporte-de-cisco-en-espanol 6

7 Ahora puede realizar sus preguntas al panel de expertos! Use el panel de preguntas y respuestas (Q&A) para preguntar a los expertos ahora. Ellos empezarán a responder.

8 1ra. Pregunta a la audiencia Tiene implementado CWS (Cloud Web Security) en su red?? a) Tengo CWS y utilizo el ASA como conector para redireccionar el tráfico web b) Tengo CWS pero NO utilizo el ASA como conector para redireccionar el tráfico web c) Tengo CWS y estoy planeando usar el ASA como conector para redireccionar el tráfico web d) Tengo CWS y uso el ASA como conector y otros tipos de conectores (Conector WSA /Conector ISR/standalone Connector/AnyConnect Web Security/otros) 8

9 Implementación de Cloud Web Security (CWS) con ASA Maite Cadenas Service Deployment Manager Junio 23, 2015

10 Introducción a Cloud Web Security (CWS) Preparación para implementar CWS con un ASA Implementación de CWS con un ASA Comandos de verificación Recomendaciones (Best Practices) Demo 10

11 Qué es CWS Valor de CWS Métodos de conexión a la nube 11

12 12

13 Qué es: Un servicio en la nube Escanea en tiempo real del contenido web HTTP/S Estructura global de centros de datos robusta, rápida, escalable y fiable Opciones de implementación flexibles via conectores o directamente a la nube Soporte para usuarios roaming Gestión centralizada de las políticas granulares de filtrado web, visibilidad y control Informes en tiempo casi real con retención en la nube, como parte de la oferta estándar Valor: Gran protección Control completo Valor invertido Www 13

14 Cloud Web Security ASA ISR G2 WSA Connector AnyConnect Web Security WSAv Connector Hosted PAC & Cloud Authentication Con Dispositivos Cisco Con Dispositivos Sin Dispositivos Cisco Directo a la nube 14 14

15 Entender CWS con el ASA como Conector Características y limitaciones Qué se necesita antes de empezar la implementación Métodos de granularidad de usuarios con el ASA 15

16 Redirección transparente a la nube. Posibilidad de enviar la identidad de los usuarios Salida Local sin necesidad de enviar el tráfico a la Sede Central AAA Todo el tráfico web de la Sede central y las sucursales es escaneado en la nube AAA ASA (i.e X) El tráfico entre sucursales y la sede no se envía a CWS (Lista blanca) ASA (i.e X) Sede Central Sucursales 16 16

17 ASA Cliente Proxy CWS GET / 1. GET / (+ Cabeceras CWS con Usuario & Grupos) / /8080 A. Tiene permiso este usuario para acceder al host? B. Tiene el host una buena reputación? 3. GET / (Cabeceras CWS eliminadas) C. El contenido se analiza en busca de threats 4. Respuesta HTTP 6. Respuesta HTTP 5. Respuesta HTTP / /8080 Registro de todas las peticiones y respuestas 17 17

18 La aplicación de CWS conector está disponible desde la v9.0 en todos los modelos ASA Implementación transparente en Sede Centrales y sucursales Modo Single y Multiple Context están soportados para tráfico HTTP y HTTPS Integración con el Directorio Activo vía IDFW (Granularidad de usuarios) Fail-over automático al proxy secundario Nombre Aplicación en el ASA: Scansafe Licencias: No requiere licencias adicionales en el ASA (K8 K9 upgrade gratuito) Licencias de CWS están basadas en número de usuarios o por ancho de banda. Independiente del número de conectores. 18

19 Acceso al portal ScanCenter para gestionar el servicio de CWS Proxies de CWS (Torres) a usar Ser capaz de autenticar su tráfico con el servicio CWS Elegir qué tráfico se va a enviar al servicio de CWS Decidir si que quiere implementar la granularidad de usuarios 19

20 Cuando una cuenta es creada, se envía un con: Proxy primario Proxy secundario URL de acceso al portal ScanCenter: Usuario/Contraseña Para conseguir obtener una cuenta: Hacer un pedido Solicitar una evaluación 20

21 Cada ASA debe usar una llave de autenticación (Authentication Key) Generada en el portal Scancenter 2 tipos: Company Key (llave ( de la empresa) Group Key (Llave ( de grupo) 1 única llave por portal 1 llave por grupo 1 portal puede tener múltiples grupos Autentica el tráfico para múltiples ASAs Autentica el tráfico para 1 ASA Posibilidad de crear una política para cada ASA Consejo: Puede enviarse una copia de la authentication key por . Una vez generada, sólo los últimos 4 caracteres serán visibles en el portal 21

22 Tráfico HTTP y/o HTTPS Crear Excepciones (Whitelist (Lista Blanca)): Cualquier tráfico que no quiera enviar al servicio de CWS. Tráfico interno Tráfico VPN AAA Todo el tráfico web de la Sede central y las sucursales es escanedado en la nube AAA ASA (i.e X) Tráfico entre sucursales y la sede no se envía a CWS (Lista blanca) ASA (i.e X) Sede Central Sucursal 22

23 Métodos de autenticación de usuarios en el ASA Reglas AAA IDFW (Identity Firewall) Usuario y grupo por defecto Experiencia del usuario Ventana (Pop-up) Transparente Transparente Información proporcionada Usuario únicamente. Si se configura, usa el grupo por defecto Usuario y grupos Nombre de usuario y grupo por defector compartidos Características Servidor AAA o base de datos local Integración con DA Manualmente configurados en el ASA Alternativas: EasyID o SAML (Basado en Cookies) 23

24 Platforma ASA X 5515-X Máximo # usuarios de CWS ,000 3,000 Platforma ASA X X X Máximo # usuarios de CWS 300 4,000 1,000 5,000 2,000 6,000 Platforma ASA 5585-X SSP X SSP X SSP X SSP40 Máximo # usuarios de CWS 7,500 7,500 7,500 7,500 24

25 Con otras aplicaciones: Soportado en ASA en modo routed mode Actualmente no soporta IPv6 CWS no está soportado con PAT extendido CWS no está soportado con ASA clustering CWS not está soportado en la plataforma ASA-SM Listas Blancas (Whitelisting) en ASA Suportado en IP, FQDN y usuario CSCue62571 ASA/ScanSafe: ENH: Need support to whitelist based on regex (Mejora solicitada) Granularidad de usuarios (Limitaciones del CDA) 1 usuario puede estar mapeado a un máximo de 8 IPs diferentes (1 usuario - 8 IPs) 1 IP no puede esta mapeada a más de 1 usuario (1 IP 1 usuario) Otras: Terminales (RDP, VNC): recomendación de usar proxy explícito en vez de proxy transparente Citrix: Necesidad de habilitar True IP para cada usuario (funcionalidad de Citrix) 25

26 Configuración sin granularidad de usuarios Lista Blanca de tráfico (Whitelist) Añadir granularidad de usuarios (IDFW (CDA)) Consideraciones en la implementación en Multiple Context Configuración de políticas en el portal ScanCenter 26

27 2da. Pregunta a la audiencia Piensa que configurar el ASA como conector y la integración con el CDA son tareas complicadas? a) Sí, ambas son complicadas. b) No, ambas son sencillas de configurar. c) El ASA como conector es simple, pero la integración con el CDA es complicada. d) El ASA como conector es complicada, pero la integración con el CDA es simple. e) Aún tengo que descubrirlo. 27

28 Usar versión 9.x o superior y licencia K9 en el ASA 1. Configurar CWS: scansafe general-options server primary fqdn proxyxx.scansafe.net port 8080 server backup fqdn proxyyy.scansafe.net port 8080 retry-count 5 license <Authentication key> Consejo: El Domain Name Service (DNS) es necesario para resolver el Fully Qualified Domain Name (FQDN) de los servidores proxy de los servicios web de CWS de Cisco 2 X 2 X 28

29 2. Configurar la política de CWS policy y activarla access-list webcwsacl extended permit tcp any any eq www access-list httpscwsacl extended permit tcp any any eq https class-map cmap-http match access-list webcwsacl class-map cmap-https match access-list httpscwsacl htt p https policy-map type inspect scansafe http-pmap parameters default group asahttptraffic #optional http htt p htt p https policy-map pmap-webtraffic class cmap-http inspect scansafe http-pmap fail-open class cmap-https inspect scansafe https-pmap fail-open service-policy pmap-webtraffic interface inside policy-map type inspect scansafe https-pmap parameters default group asahttpstraffic #optional https https 29

30 El tráfico HTTPS requiere tener activada en el portal la inspección https para poder escanearlo. Pasos: Crear un certificado en el portal Importar el certificate en el trusted root certificates store de los usuarios Configurar el filtro y la política para la inspección https en el portal Consejo: Excluir de la inspección HTTPS categorias delicadas: Business and Industry Finance Government and Law Health and Nutrition SaaS and B2Bt 30

31 Por IP o fqdn usando access-list: object network DMZNetwork subnet object network fqdn object-group network WhitelistCWS network-object object DMZNetwork network-object object access-list webcwsacl extended deny tcp any object-group WhitelistCWS eq www access-list webcwsacl extended deny tcp host any eq www access-list webcwsacl extended permit tcp any any eq www access-list httpscwsacl extended deny tcp any object-group WhitelistCWS eq https access-list httpscwsacl extended deny tcp host any eq https access-list httpscwsacl extended permit tcp any any eq https htt p https 31

32 Funcionamiento IDFW Pasos para configurar IDFW Opciones adicionales 32

33 Proceso Off-box via Context Directory Agent (CDA) Firewall ASA: Descargar grupos del DA desde el controlador de dominio del DA vía protocolo LDAP Recibir del CDA las asignaciones de IP de los usuarios través del protocolo Radius Informar al CDA de las asignaciones IP-usuario de VPN/Cut-through-proxy. Aplicar políticas basadas en la identidad de los usuarios Context Directory Agent (CDA): Supervisar los logs de seguridad de controladores de dominio del DA vía WMI Enviar al ASA las asignaciones IP-usuario vía protocolo Radius Recibir del ASA las asignaciones IP-usuario vía protocolo Radius Control de Dominio del Directorio Activo (DA): Autenticar usuarios Generar logs de seguridad del inicio de sesión del usuario ASA Responder al ASA el LDAP query para la infomación de usuario/grupo Update IP-User database Radius Context Directory Agent (CDA) LDAP Import AD group Read login users and their IP addresses WMI Windows AD Domain Controller 33 33

34 1) Instalar la última version Context Directory Agent (CDA), actualmente 1.0 patch 4 Descarga disponible en 2) Asegúrese que el DA cumple todos los requisitos de conexión con el CDA (Guía de instalación del CDA: Objectivo: CDA necesita acceder a los logs de información de inicio de sesión con éxito de los usuarios para obtener las asignaciones usuario-ip Consejo: El CDA subtituye al Ag agent, que ya no es posible descargarse desde el 31 Julio 2013 Context Directory Agent (CDA) WMI 34 DC

35 3) CDA: Configurar Active Directory Senders y Identity Consumer (ASA) Radius Context Directory Agent (CDA) ASA 35 DC

36 ) Configuración en el ASA: aaa-server AD protocol ldap aaa-server AD (inside2) host server-port 389 ldap-base-dn DC=trainee2cws,DC=local ldap-scope subtree ldap-login-password ***** ldap-login-dn CN=Administrator,CN=Users,DC=trainee2cws,DC=local server-type microsoft aaa-server CDA protocol radius ad-agent-mode aaa-server CDA (inside2) host key ***** #key configured in CDA Consejo: El dominio debe ser igual al nombre de NetBIOS ASA Radius LDAP Context Directory Agent (CDA) DC user-identity domain TRAINEE2CWS aaa-server AD user-identity default-domain TRAINEE2CWS user-identity action netbios-response-fail remove-user-ip user-identity ad-agent active-user-database full-download user-identity ad-agent aaa-server CDA user-identity user-not-found enable user-identity monitor user-group TRAINEE2CWS\\Users user-identity monitor user-group TRAINEE2CWS\\Group1 36

37 Posibilidad de enviar tráfico a CWS según el usuario o grupo Listas blancas (Whitelisting) por usuario disponibles Consejo: Si pierde la granularidad de los usuarios después de 5 minutes, configure los siguientes comandos en el ASA: no user-identity logout-probe netbios local-system probe-time minutes 15 retry-interval seconds 3 retry-count 3 match-any no user-identity action mac-address-mismatch remove-user-ip no user-identity action netbios-response-fail remove-user-ip ASA Radius Context Directory Agent (CDA) NetBIOS Probe 37

38 System context: Definir los proxies de CWS En qué context habilitar CWS Añadir una única authentication key por context (opcional) Admin context: Asegurarse que hay una ruta de conectividad con las torres de CWS Context con CWS habilitado Definir policy map y whitelisting 38

39 Nombre de la política Acción Quién: Group Qué: Filter Cuándo: Schedule Activar la regla 39

40 Grupo (group): Necesita ser igual a la salida de whoami.scansafe.net Consejo: A pesar de ser un grupo del Directorio Activo, se necesita crear como CUSTOM GROUP debido a su sintaxis 40

41 Filtro (Filter): Seleccionar las condicionas a cumplir para ejecutar la acción asociada a la política Política: Se ejecuta de arriba a abajo 41

42 3ra. Pregunta a la audiencia Utiliza CLI o ASDMpara configurar el ASA como Conector? a) CLI b) ASDM c) Ambas 42

43 En el Navegador del usuario: whoami.scansafe.net policytrace.scansafe.net En el ASA: Servicio CWS Show scansafe server Show scansafe statistics Servicio IDFW service (granularidad de usuarios) Show user-identity ad-agent Show user-identity user active list Consejo: Para comprobar la conectividad con las torres de CWS, hacer un telnet a las torres en el puerto 8080 o desde el ASA usar TCP ping. El protocolo ICMP está bloqueado en las torres. 43

44 Durante la implementación: Habilitar CWS sólo para unos pocos usuarios seleccionados, después de realizar los tests con éxito, habilitar CWS para el resto de usuarios (usar listas blancas (Whitelist)) ASA SW: o o posteriores para incluir la solución para CSCul47395: ASA should allow out-of-order traffic through normalizer for ScanSafe (mejor rendimiento). ASA-CX y CWS: Tráfico enviado a CWS debe estar excluido (whitelist) del ASA-CX, sino el ASA-CX tiene prioridad. Inspección HTTPS en el portal Scancenter: Añadir como excepción scansafe.com para evitar bloquearse el propio acceso al portal. 44

45 45

46 Haga sus preguntas ahora Utilize el panel de Q & A para realizar sus preguntas

47 Para completar la evaluación espere un momento y aparecerá automáticamente al cerrar el browser de la sesión. 47

48 SI tiene dudas adicionales pregunte a Maite, nos ayudará a responder sus preguntas a partir de hoy hasta el próximo viernes 3 de julio del supportforums.cisco.com/es/discussion/ Podrá ver la grabación de este evento, y leer las preguntas y respuestas en 5 días hábiles.

49 Sesiones de Webcast Español Tema: Soluciones Cisco para colaboración remota. Martes 23 de Julio: 10:00 a.m. Ciudad de México 10:30 a.m. Caracas 12:00 a.m. Bs.. As. / Brasilia 5:00 p.m. Madrid Estará presentando el experto de Cisco: Luis Altamirano Durante esta sesión hablaremos de temas asociados con el trabajo remoto y las soluciones que Cisco ofrece, sobre la forma en que la colaboración ha evolucionado con el tiempo y los retos que representa habilitar un trabajo remoto, haciendo énfasis en CVO, OEAP y AnyConnect. REGISTRO: 49

50 Sesiones de Webcast Portugués Tema: Tema: Estándar para seguridad en CUCM Martes 23 de Julio: 9:00 a.m. 11:00 a.m. Ciudad de México Brasilia Estará presentando el experto de Cisco: Marco Rojas Durante esta sesión usted tendrá la oportunidad de aprender más y hacer preguntas sobre estándar para la seguridad en CUCM, con nuestro experto de voz. REGISTRO: 50

51 Pregunte al Experto (Español ) Tema: Todo a cerca de Telefonía IP en Gateways de voz y CUBE. Experto: Mario Apuy Este evento estará disponible del 15 al 26 de Junio, Tema: Hablemos de Call Routing en Cisco Unified Communications Manager. Experto: Marco Rojas Este evento estará disponible del 29 de junio al 10 de julio,

52 Ahora puede calificar discusiones, documentos, blogs y videos!!... Esto es con el fin de que nos ayude a distinguir contenido de calidad y también para reconocer los esfuerzos de los integrantes de la Comunidad de Soporte de Cisco en español. 52

53 El reconocimiento al Partcipante Destacado de la Comunidad se otorga a los miembros que demuestran liderazgo y colaboración con la Comunidad, está diseñado para reconocer y agradecer a aquellas personas que colaboran con contenido técnico de calidad y ayudan a posicionar nuestra comunidad como el destino número uno para las personas interesadas en tecnología Cisco. 53

54 supportforums.cisco.com/community/spanish Cisco TS- Latam Cisco Mexico @cisco_spain Cisco Latinoamérica Cisco Cono Sur Comunidad Cisco @cisco_support 2013 Cisco and/or its affiliates. All rights reserved. 54

55 CiscoLatam ciscosupportchannel Cisco Technical Support CSC-Cisco Cisco-Support Support-Community 2013 Cisco and/or its affiliates. All rights reserved. 55

56 56

57 Gracias por su tiempo Por favor tome un momento para llenar su evaluación

58