Uso di AnyConnect Captive Portal Detection e Remediation

Opzioni per il download

  • PDF     (361.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (199.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (125.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:3 novembre 2023
ID documento:118086

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive la funzionalità di rilevamento di un portale captive di Cisco AnyConnect Mobility Client e i requisiti per il suo corretto funzionamento.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza di Cisco AnyConnect Secure Mobility Client.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • AnyConnect versione 4.7
    • Cisco Adaptive Security Appliance (ASA) versione 9.10

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Molti hotspot wireless in hotel, ristoranti, aeroporti e altri luoghi pubblici utilizzano portali in cattività per bloccare l'accesso degli utenti a Internet. Reindirizzano le richieste HTTP ai propri siti Web che richiedono agli utenti di immettere le proprie credenziali o di confermare i termini e le condizioni dell'host dell'hotspot. 

    Panoramica

    Molte strutture che offrono la connessione Wi-Fi e l'accesso cablato, come aeroporti, Internet café e hotel, richiedono agli utenti di pagare prima di ottenere l'accesso, accettano di attenersi a una policy sull'utilizzo accettabile, o entrambe. Queste strutture utilizzano una tecnica denominata portale captive per impedire l'accesso alle applicazioni finché gli utenti non aprono un browser e non accettano le condizioni di accesso.

    Requisiti per la risoluzione dei portali vincolati

    Il supporto per il rilevamento e il monitoraggio e l'aggiornamento dei portali vincolati richiede una delle seguenti licenze:

    • AnyConnect Premium (Secure Sockets Layer (SSL) VPN Edition)
    • Cisco AnyConnect Secure Mobility

    È possibile usare una licenza Cisco AnyConnect Secure Mobility per fornire supporto per il rilevamento e il ripristino di portali vincolati in combinazione con una licenza AnyConnect Essentials o AnyConnect Premium.

    Nota: il rilevamento e l'aggiornamento dei portali vincolati sono supportati dai sistemi operativi Microsoft Windows e Macintosh OS X supportati dalla versione di AnyConnect in uso.

    Nota: la VPN Always-ON non supporta la connessione tramite proxy

    Rilevamento hotspot del portale vincolato

    AnyConnect visualizza il messaggio Unable to contact VPN server (Impossibile contattare il server VPN) sull'interfaccia utente se non è possibile connettersi, indipendentemente dalla causa. Il server VPN specifica il gateway sicuro. Se Always-on è abilitato e non è presente un portale vincolato, il client continua a tentare di connettersi alla VPN e aggiorna di conseguenza il messaggio di stato.

    Se la VPN sempre attiva è abilitata, il criterio dell'errore di connessione è chiuso, il monitoraggio e aggiornamento del portale captive è disabilitato e AnyConnect rileva la presenza di un portale captive, l'interfaccia utente di AnyConnect visualizza questo messaggio una volta per ciascuna connessione e una volta per ciascuna riconnessione:

    The service provider in your current location is restricting access to the internet. 
    The AnyConnect protection settings must be lowered for you to log on with the service 
    provider. Your current enterprise security policy does not allow this.

    Se AnyConnect rileva la presenza di un portale captive e la configurazione di AnyConnect è diversa da quella descritta precedentemente, l'interfaccia utente di AnyConnect visualizza questo messaggio una volta per ciascuna connessione e una volta per ciascuna riconnessione:

    The service provider in your current location is restricting access to the internet. 
    You need to log on with the service provider before you can establish a VPN session. 
    You can try this by visiting any website with your browser.

    Attenzione: il rilevamento del portale vincolato è abilitato per impostazione predefinita e non è configurabile. AnyConnect non modifica le impostazioni di configurazione del browser durante il rilevamento del portale vincolato.

    Correzione hotspot Captive Portal

    La risoluzione dei problemi del portale vincolato è il processo in cui si soddisfano i requisiti di un hotspot del portale vincolato per ottenere l'accesso alla rete.

    AnyConnect non corregge il portale vincolato; si basa sull'utente finale per eseguire il ripristino.

    Per eseguire la correzione del portale vincolato, l'utente finale soddisfa i requisiti del provider di hotspot. Questi requisiti possono includere il pagamento di una tariffa di accesso alla rete, una firma su una policy per un utilizzo accettabile, entrambi, o altri requisiti definiti dal provider.

    Se AnyConnect Always-on è abilitato e il criterio di errore della connessione è impostato su Closed, la risoluzione dei problemi del portale vincolato deve essere consentita esplicitamente in un profilo del client VPN AnyConnect. Se l'opzione Always-on è abilitata e il criterio Connessione non riuscita è impostato su Open, non è necessario consentire esplicitamente il monitoraggio e l'aggiornamento dei portali in un profilo AnyConnect VPN Client perché all'utente non è limitato l'accesso alla rete.

    Rilevamento Portale Captive Falso

    AnyConnect può presumere erroneamente che si trovi in un portale vincolato nelle seguenti situazioni:

    • Se AnyConnect tenta di contattare un'ASA con un certificato contenente un nome di server (CN) non corretto, il client AnyConnect lo considera come ambiente di portale vincolato.

      Per evitare questo problema, verificare che il certificato ASA sia configurato correttamente. Il valore CN nel certificato deve corrispondere al nome del server ASA nel profilo del client VPN.

    • Se prima dell'appliance ASA vi è un altro dispositivo in rete che risponde quando l'utente tenta di contattare un'appliance ASA a causa del blocco dell'accesso HTTPS all'appliance ASA, il client AnyConnect lo considera come ambiente di portale vincolato. Questa situazione può verificarsi quando un utente si trova su una rete interna e si connette tramite un firewall per connettersi all'appliance ASA.

      Se è necessario limitare l'accesso all'appliance ASA dall'interno dell'azienda, configurare il firewall in modo che il traffico HTTP e HTTPS verso l'indirizzo ASA non restituisca uno stato HTTP. L'accesso HTTP/HTTPS all'appliance ASA è consentito o completamente bloccato (noto anche come black-holed) per garantire che le richieste HTTP/HTTPS inviate all'appliance ASA non restituiscano una risposta imprevista.

    Comportamento di AnyConnect

    In questa sezione viene descritto il comportamento di AnyConnect.

    1. AnyConnect prova una sonda HTTPS per il nome di dominio completo (FQDN) definito nel profilo XML.

    2. Se si verifica un errore di certificato (FQDN non attendibile/errato), AnyConnect tenta di eseguire una sonda HTTP all'FQDN definito nel profilo XML. Se esiste una risposta diversa da HTTP 302, funziona come se fosse dietro un portale vincolato.

    Portale vincolato non rilevato correttamente con IKEv2

    Quando si tenta di stabilire una connessione Internet Key Exchange versione 2 (IKEv2) a un'ASA con l'autenticazione SSL disabilitata, che esegue il portale ASDM (Adaptive Security Device Manager) sulla porta 443, la sonda HTTPS eseguita per il rilevamento dei portali vincolati determina il reindirizzamento al portale ASDM (/admin/public/index.html). Poiché non è previsto dal client, viene visualizzato come reindirizzamento del portale vincolato e il tentativo di connessione viene impedito perché è necessario eseguire il monitoraggio e l'aggiornamento del portale vincolato.

    Soluzioni

    Se si verifica questo problema, sono disponibili alcune soluzioni:

    • Rimuovere i comandi HTTP dall'interfaccia in modo che l'ASA non sia in grado di ascoltare le connessioni HTTP sull'interfaccia.

    • Rimuovere il trust point SSL sull'interfaccia.

    • Abilitare i servizi client IKEV2.

    • Abilitare WebVPN sull'interfaccia.

    Attenzione: lo stesso problema si verifica per i router Cisco IOS®. Se il server http ip è abilitato su Cisco IOS, condizione necessaria se si utilizza la stessa casella del server PKI, AnyConnect rileva erroneamente il portale vincolato. Per risolvere il problema, usare ip http access-class per interrompere le risposte alle richieste HTTP AnyConnect, anziché una richiesta di autenticazione.

    Disattiva la funzionalità Portale vincolato

    È possibile disabilitare la funzione Captive Portal nel client AnyConnect versione 4.2.0096 e successive. L'amministratore può determinare se l'opzione può essere configurabile dall'utente o disattivata. Questa opzione è disponibile nella sezione Preferenze (Parte 1) dell'editor dei profili. L'amministratore può selezionare Disabilita rilevamento portale vincolato o Controllabile dall'utente, come mostrato nell'acquisizione dello schermo dell'editor di profili:

    Disable Captive Portal 2

    Se è selezionata l'opzione Controllabile dall'utente, la casella di controllo viene visualizzata nella scheda Preferenze dell'interfaccia utente di AnyConnect Secure Mobility Client, come mostrato di seguito:

    Captive Portal Disable 3

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    03-Nov-2023
    Introduzione, requisiti di stile e formattazione aggiornati.
    1.0
    13-Aug-2014
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Gustavo Medina
      Architetto di soluzioni tecniche

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti