CISCO AnyConnect 5.0 Secure Client Gebruikersgids
CISCO AnyConnect 5.0 Secure Client

Dokument Inleiding

Voorberei deur:
Cisco Systems, Inc.
170 Wes-Tasman Dr.
San Jose, CA 95134

Hierdie dokument verskaf leiding aan IT-personeel vir die TOE, Cisco Secure Client – ​​AnyConnect 5.0 vir iOS 16. Hierdie leidingdokument bevat instruksies om die TOE suksesvol in die operasionele omgewing te installeer, instruksies om die sekuriteit van die TSF te bestuur, en instruksies om 'n beskermde administratiewe vermoë.

Hersieningsgeskiedenis

Weergawe Datum Verander
0.1 1 Mei 2023 Aanvanklike weergawe
0.2 27 Julie 2023 Opdaterings

Cisco en die Cisco-logo is handelsmerke of geregistreerde handelsmerke van Cisco en/of sy affiliasies in die VSA en ander lande. Om view 'n lys van Cisco handelsmerke, gaan na hierdie URL: www.cisco.com/go/trademarks. Derdeparty-handelsmerke wat genoem word, is die eiendom van hul onderskeie eienaars. Die gebruik van die woord vennoot impliseer nie 'n vennootskapsverhouding tussen Cisco en enige ander maatskappy nie. (1110R)

© 2023 Cisco Systems, Inc. Alle regte voorbehou.

Inhoud wegsteek
1 Inleiding
2 Prosedures en operasionele leiding vir IT-omgewing
3 Voorbereidende prosedures en operasionele leiding vir die TOE
4 Begin Cisco Secure Client-AnyConnect
5 Operasionele leiding vir die TOE
6 Verkryging van dokumentasie en die indiening van 'n diensversoek
7 Kontak Cisco
8 Dokumente / Hulpbronne
8.1 Verwysings
9 Verwante plasings

Inleiding

Hierdie Operasionele Gebruikersleiding met Voorbereidende Prosedures dokumenteer die administrasie van die Cisco Secure ClientAnyConnect v5.0 vir Apple iOS 16 TOE, aangesien dit onder Algemene Kriteria gesertifiseer is. Cisco Secure Client-AnyConnect v5.0 vir Apple iOS 16 kan hieronder deur die verwante akroniem verwys word, bv. VPN-kliënt of bloot die TOE.

Gehoor
Hierdie dokument is geskryf vir administrateurs wat die TOE installeer en konfigureer. Hierdie dokument veronderstel dat jy vertroud is met die basiese konsepte en terminologieë wat in internetwerk gebruik word, en jou netwerktopologie en die protokolle verstaan ​​wat die toestelle in jou netwerk kan gebruik, dat jy 'n vertroude individu is en dat jy opgelei is om die bedryfstelsel te gebruik. stelsels waarop jy jou netwerk bestuur.

Doel
Hierdie dokument is die Operasionele Gebruikersleiding met Voorbereidende Prosedures vir die Algemene Kriteria-evaluering. Dit is geskryf om die spesifieke TOE-konfigurasie en administrateurfunksies en koppelvlakke uit te lig wat nodig is om die TOE in die geëvalueerde konfigurasie te konfigureer en in stand te hou. Hierdie dokument is nie bedoel om spesifieke aksies wat deur die administrateur uitgevoer word, te beskryf nie, maar is eerder 'n padkaart vir die identifisering van die toepaslike liggings binne Cisco-dokumentasie om die spesifieke besonderhede te kry vir die konfigurasie en instandhouding van AnyConnect Secure Mobility Client-bedrywighede. Alle sekuriteitsrelevante opdragte om die TSF-data te bestuur word in hierdie dokumentasie binne elke funksionele afdeling verskaf.

Dokumentverwysings
Hierdie afdeling lys die Cisco Systems-dokumentasie wat ook 'n deel van die algemene kriteria-konfigurasie-item (CI) lys is. Die dokumente wat gebruik word, word hieronder in Tabel 1 getoon. Dwarsdeur hierdie dokument sal daar na die gidse verwys word deur die “#”, soos [1].

Tabel 1 Cisco Dokumentasie

# Titel Skakel
1 Cisco Secure Client (insluitend AnyConnect) Administrateurgids, Vrystelling 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2 Cisco AnyConnect Mobile Platforms Administrateurgids, Vrystelling 4.1 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3 Apple iOS-gebruikersgids vir Cisco AnyConnect Secure Mobility Client, Vrystelling 4.6.x https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4 Vrystellingsnotas vir Cisco AnyConnect Secure Mobility Client, Vrystelling 4.9 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5 Vrystellingsnotas vir Cisco Secure Client (insluitend AnyConnect), Vrystelling 5 vir Apple iOS https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/vrystelling/notas/vrystellingsnotas-apple-ios-cisco-secure- kliënt-vrystelling-5-0.html

TOE verbyview
Die TOE is die Cisco AnyConnect Secure Mobility Client (hierna na verwys as die VPN-kliënt, of die TOE). Die Cisco AnyConnect Secure Mobility Client bied afgeleë gebruikers veilige IPsec (IKEv2) VPN-verbindings met die Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway wat geïnstalleerde toepassings toelaat om te kommunikeer asof dit direk aan die ondernemingsnetwerk gekoppel is.

Operasionele omgewing
Die TOE vereis die volgende IT-omgewingskomponente wanneer die TOE in sy geëvalueerde konfigurasie opgestel is:

Tabel 2. Operasionele omgewingskomponente

Komponent Gebruik/Doelbeskrywing
sertifikaat Owerheid 'n Sertifikaat-owerheid word gebruik om geldige digitale sertifikate te verskaf.
Mobile platform Die TOE maak staat op enige van die volgende CC-gevalideerde Apple-selfoonplatforms:
  • Apple iPhone 11/XR met iOS 16
ASA 5500-X reeks VPN Gateway Die Cisco ASA 5500-X met sagteware weergawe 9.2.2 of later funksioneer as die hoof-end VPN Gateway.
ASDM Bestuursplatform Die ASDM 7.7 werk vanaf enige van die volgende bedryfstelsels:
  • Windows 7, 8, 10
  • Windows Server 2008, 2012, 2012 R2, 2016 en Server 2019
  • Apple OS X 10.4 of laterLet daarop dat daardie ASDM-sagteware op die ASA-toestel geïnstalleer is en die bestuursplatform word gebruik om aan die ASA te koppel en die ASDM te laat loop. Die enigste sagteware wat op die bestuursplatform geïnstalleer is, is 'n Cisco ASDM Launcher.

Die onderliggende mobiele platform verskaf sommige van die sekuriteitsfunksies wat vereis word in MOD_VPNC_V2.4] en word aangedui met die frase “TOE Platform” in hierdie dokument.

Die Cisco AnyConnect TOE gebruik netwerk hardeware hulpbronne op die mobiele bedryfstelsel platform om geënkripteerde pakkies te stuur en te ontvang. Die TOE het nie toegang tot sensitiewe inligtingsbewaarplekke nie.

Verwysings in hierdie dokument na "ASA" verwys na 'n VPN-poort

Uitgesluit funksionaliteit

Die funksionaliteit wat hieronder gelys word, is nie by die geëvalueerde konfigurasie ingesluit nie.

Tabel 3. Uitgesluit funksionaliteit en rasionaal

Funksie uitgesluit Rasionaal
Nie-FIPS 140-2 modus van werking Die TOE bevat FIPS-modus van werking. Die FIPS-modusse laat die TOE toe om slegs goedgekeurde kriptografie te gebruik. FIPS-modus moet geaktiveer word sodat die TOE in sy geëvalueerde opset kan werk.
SSL-tonnel met DLTS-tonnelopsies [MOD_VPNC_V2.4] laat slegs IPsec VPN-tonnel toe.

Hierdie dienste sal deur opstelling gedeaktiveer word. Die uitsluiting van hierdie funksionaliteit beïnvloed nie voldoening aan die beweerde Beskerming Pro niefiles.

Prosedures en operasionele leiding vir IT-omgewing

Om in sy geëvalueerde konfigurasie te funksioneer, benodig die TOE 'n minimum een ​​(1) Certificate Authority (CA), een (1) VPN Gateway, en een (1) Apple iPhone mobiele toestel.

Om soos klante-PKI-omgewings te lyk, sal daar in hierdie afdeling verwys word na 'n tweevlak-CA-oplossing wat 'n vanlyn wortel-CA en 'n Enterprise Ondergeskikte CA gebruik wat Microsoft 2012 R2-sertifikaatowerheid (CA) gebruik. Ander CA-produkte in die plek van Microsoft kan gebruik word.

'n Wortel-CA is gekonfigureer as 'n selfstandige (Werkgroep) bediener terwyl die Ondergeskikte CA opgestel is as deel van 'n Microsoft-domein met Active Directory-dienste geaktiveer. Die volgende figuur verskaf 'n visuele uitbeelding van die TOE en IT

Omgewing. Die TOE is 'n sagteware-toepassing wat op iOS 13 loop. Die TOE-grens word aangedui deur die hash rooi lyn. Sien figuur 1 hieronder.

Figuur 1. TOE en Omgewing
TOE en Omgewing

Die Ondergeskikte CA reik X.509 digitale sertifikate uit en verskaf 'n sertifikaatherroepingslys (CRL) aan die TOE-platform en VPN-poort.
Alternatiewelik kan een (1) enkelwortel Enterprise CA ontplooi word.

  • Installeer en konfigureer 'n sertifikaatowerheid

As u 'n Microsoft-tweevlak-CA-oplossing gebruik, installeer en konfigureer 'n wortel- (GRAYCA) en ondergeskikte sertifikaatowerheid (GRAYSUBCA1) in ooreenstemming met die leiding van die verkoper. Die volgende is 'n stap-vir-stap gids vir die konfigurasie van Microsoft Active Directory Certificate Services:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Daar word aanvaar dat beide die Offline Root CA (GRAYCA) sertifikaat en die Enterprise Subordinate CA (GRAYSUBCA1) sertifikate wat in figuur 1 uitgebeeld word, geïnstalleer en vertrou word om te verseker dat 'n betroubare sertifikaatketting gevestig word. As jy 'n CA van 'n ander verskaffer as Microsoft gebruik, volg daardie verskaffer se CA-installasieriglyne.

Ongeag die CA-produk wat gebruik word, MOET die RSA-sertifikaat op die ASA die volgende Sleutelgebruik- en Uitgebreide Sleutelgebruik-eienskappe hê:

  • Sleutelgebruik: Digitale handtekening, sleutelooreenkoms
  • EKU: IP-sekuriteit IKE-intermediêre, IP-eindsekuriteitstelsel

Die Subject Alternative Name (SAN) velde binne ECDSA en RSA sertifikate op die ASA MOET ooreenstem met die verbinding inligting gespesifiseer in die AnyConnect profile op die kliënt.

  • Installeer en konfigureer 'n VPN-poort

Installeer Cisco ASA 9.1 (of later), opsioneel met ASDM, in ooreenstemming met installasiegidse en vrystellingsaantekeninge wat geskik is vir die weergawes wat geïnstalleer moet word. ASDM laat die ASA toe om vanaf 'n grafiese gebruikerskoppelvlak bestuur te word. Alternatiewelik, as die administrateur dit verkies, kan ekwivalente opdragreël (CLI) konfigurasiestappe gebruik word.

Konfigurasie Nota: Aangesien daar parameters is wat deur die ASA bestuur word, moet die Gateway-administrateur die stappe in hierdie afdeling volg om te verseker dat die TOE in sy geëvalueerde konfigurasie is.

  • Aktiveer AnyConnect en IKEv2 op die ASA. Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles en kies Aktiveer Cisco AnyConnect-merkblokkie en Laat toegang toe onder IKEv2.
    Prosedures en Operasionele
  • Op die AnyConnect Connection Profilese bladsy hierbo genoem, kies Toestelsertifikaat. Maak seker Gebruik dieselfde toestelsertifikaat... is NIE gemerk nie en kies die EC ID-sertifikaat onder die ECDSA-toestelsertifikaat. Kies dan Ok.
    Prosedures en Operasionele
  • Skep IKEv2-kriptobeleid deur gebruik te maak van die algoritmes wat toegelaat word in die Gemeenskaplike Kriteria-geëvalueerde konfigurasie. Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IKE Policies en voeg 'n IKEv2-beleid by.

Kies Voeg by en voer 1 in vir die hoogste prioriteit. Die reeks is 1 tot 65535, met 1 die hoogste prioriteit.

Enkripsie:
AES: Spesifiseer AES-CBC met 'n 128-bis-sleutelenkripsie vir ESP.
AES-256: Spesifiseer AES-CBC met 'n 256-bis-sleutelenkripsie vir ESP.
AES-GCM-128: Spesifiseer AES Galois Counter Mode 128-bis enkripsie
AES-GCM-256: Spesifiseer AES Galois Counter Mode 256-bis enkripsie

DH Groep: Kies die Diffie-Hellman-groepidentifiseerder. Dit word deur elke IPsec-eweknie gebruik om 'n gedeelde geheim af te lei, sonder om dit aan mekaar oor te dra. Geldige Keuses is: 19 en 20.

PNS Hash – Spesifiseer die PNS wat gebruik word vir die konstruksie van sleutelmateriaal vir al die kriptografiese algoritmes wat in die SA gebruik word. Geldige keuses is: sha256 en sha384

In hierdie example konfigurasie kies:

 

Prioriteit: 1

AES Galois Counter Mode (AES-GCM) 256-bis enkripsie: Wanneer GCM gekies word, belet dit die behoefte om 'n integriteitsalgoritme te kies. Dit is omdat die egtheidsvermoëns in GCM ingebou is, anders as CBC (Cipher-Block Chaining).

Diffie-Hellman Groep: 20
Integriteit Hash: Nul
PNS Hash: sha384
Leeftyd: 86400
Prosedures en Operasionele

Kies Goed.

Administrateur Nota: Gebruik van enige Addisionele Enkripsie, DH-Groep, Integriteit of PRF Hash wat nie hierbo gelys is nie, word nie geëvalueer nie.

Administrateur Nota: Die gevorderde oortjie vertoon die IKE-sterkte-afdwingingsparameter. Maak seker dat die Sekuriteitsvereniging (SA) se sterkte-afdwingingsparameter gekontroleer is. Dit verseker dat die sterkte van die IKEv2-enkripsiekode hoër is as die sterkte van sy kind IPsec SA se enkripsiesyfers. Hoër sterkte algoritmes sal afgegradeer word.

Die CLI-ekwivalent is: crypto ipsec ikev2 sa-sterkte-afdwinging

  • Skep 'n IPSEC-voorstel. Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IPsec-voorstelle (Transform Sets) en voeg 'n IKEv2 IPsec-voorstel by. kies dan Ok.
    In die example onder die naam wat gebruik word, is NGE-AES-GCM-256 met AES-GCM-256 vir enkripsie en Null vir die Integrity Hash:
    Prosedures en Operasionele
  • Skep 'n dinamiese kriptokaart, kies die IPsec-voorstel en pas toe op die buite-koppelvlak. Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Crypto Maps. Kies Voeg by, kies die buite-koppelvlak en die IKEv2-voorstel.
    Klik op die Gevorderde oortjie. Verseker die volgende:
    Aktiveer NAT-T — Aktiveer NAT Traversal (NAT-T) vir hierdie beleid
    Sekuriteitsvereniging lewenslange instelling - is ingestel op 8 uur (28800 sekondes)
  • Skep 'n adrespoel VPNUSERS wat aan VPN-gebruikers toegewys sal word. Adrespoele bevat die volgende velde:
    Naam —Spesifiseer die naam wat aan die IP-adrespoel toegeken is.
    Begin IP-adres —Spesifiseer die eerste IP-adres in die swembad.
    Einde IP-adres —Spesifiseer die laaste IP-adres in die swembad.
    Subnet masker- Kies die subnetmasker om op die adresse in die swembad toe te pas.

Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools en voeg 'n IP-poel by wat die bogenoemde velde spesifiseer en kies dan Ok.

Voeg 'n groepbeleid by wat die gewenste instellings op die VPN-gebruikers sal toepas. Groepbeleide laat jou toe om AnyConnect VPN-groepbeleide te bestuur. 'n Skynprivaatnetwerk-groepbeleid is 'n versameling gebruikergeoriënteerde kenmerk/waarde-pare wat intern op die ASA-toestel gestoor word. Deur die VPN-groepbeleid op te stel, kan gebruikers eienskappe erf wat jy nie op die individuele groep- of gebruikernaamvlak opgestel het nie. By verstek het VPN-gebruikers geen groepbeleidassosiasie nie. Die groepbeleidinligting word deur VPN-tonnelgroepe en gebruikersrekeninge gebruik. Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > Group Polices and Voeg 'n interne groepbeleid by. Maak seker dat die VPN-tonnelprotokol op IKEv2 gestel is en die IP-poel wat hierbo geskep is, word in die beleid verwys deur die Erf-merkblokkie te ontkies en die toepaslike instelling te kies. Relevante DNS, WINS en domeinname kan ook bygevoeg word in die beleid in die Bedieners-afdeling.

Verwys na bvampdie groepbeleid NGE-VPN-GP hieronder:
Prosedures en Operasionele

  • Skep 'n tonnelgroepnaam. 'n Tonnelgroep bevat tonnelverbindingsbeleide vir die IPsec-verbinding. 'n Verbindingsbeleid kan stawing-, magtigings- en rekeningkundige bedieners, 'n verstekgroepbeleid en IKE-kenmerke spesifiseer.

Gaan in ASDM na Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Onderaan die bladsy onder Connection Profiles, kies Voeg by.

In die example onder die tonnelgroepnaam NGE-VPN-RAS word gebruik.
Prosedures en Operasionele

Die konfigurasie verwys na Sertifikaat-verifikasie, die geassosieerde groepbeleid NGE-VPN-GP en Aktiveer IPsec (IKEv2). DNS en domeinnaam kan ook hier bygevoeg word. Maak ook seker dat slegs IPsec gebruik word deur nie die aktiveer SSL VPN-kliëntprotokol te merk nie.

  • Skep 'n sertifikaatkaart, karteer die NGE VPN-gebruikers na die VPN-tonnelgroep wat voorheen geskep is. Die sertifikaatkaart sal op die AC-gebruikers toegepas word. In hierdie scenario is die algemene naam van die Ondergeskikte CA gepas om te verseker dat 'n inkomende TOE-platformversoek met 'n EC-sertifikaat uitgereik deur die Ondergeskikte CA gekarteer sal word na die toepaslike tonnelgroep wat voorheen geskep is. VPN-gebruikers wat nie 'n sertifikaat van die EC CA uitgereik het nie, sal terugval na die verstek tonnelgroepe en
    misluk verifikasie en sal toegang geweier word.
    Gaan in ASDM na Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect en Clientless SSL VPN Connection Profile Kaarte. Onder Sertifikaat na Connection Profile Kaarte kies Voeg by. Kies die bestaande DefaultCertificateMap met 'n prioriteit van 10 en verwys na die NGE-RAS-VPN-tonnelgroep.
    Prosedures en Operasionele
    Gaan in ASDM na Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect en Clientless SSL VPN Connection Profile Kaarte. Kies Voeg by onder Karteringkriteria. Kies Uitreiker vir veld, Algemene Naam (CN) vir komponent, Bevat vir Operator, en kies dan Ok.
    Prosedures en Operasionele
    Maak seker dat u TOEPAS op die hoofblad kies en STOOR die konfigurasie.
  • Stel ASA op om VPN-verbindings vanaf die AnyConnect VPN-kliënt te aanvaar, gebruik die AnyConnect VPN Wizard. Hierdie towenaar konfigureer IPsec (IKEv2) VPN-protokolle vir afgeleë netwerktoegang. Verwys na die instruksies hier:
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Voorbereidende prosedures en operasionele leiding vir die TOE

Om die Cisco Secure Client-AnyConnect TOE te installeer, volg die stappe hieronder:

  1. Maak die App Store oop.
  2. Kies Soek
  3. Voer Cisco Secure Client-AnyConnect in die soekkassie in
  4. Tik INSTALLEER APP
  5. Kies Installeer

Begin Cisco Secure Client-AnyConnect

Tik die Cisco Secure Client-AnyConnect-ikoon om die toepassing te begin. As dit die eerste keer is dat jy Cisco Secure Client-AnyConnect begin nadat jy geïnstalleer of opgegradeer het, kies OK om die TOE in staat te stel om die Virtual Private Network (VPN)-vermoëns van jou toestel uit te brei

Integriteitsverifikasie

Integriteitsverifikasie word uitgevoer elke keer as die toepassing gelaai word en dit sal wag vir die integriteitsverifikasie om te voltooi. Kriptografiese dienste wat deur die iOS-platform verskaf word, word opgeroep om die digitale handtekening van die TOE se uitvoerbare lêer te verifieer files. As die integriteitsverifikasie nie suksesvol voltooi nie, sal die GUI nie laai nie, wat die toepassing onbruikbaar maak. As die integriteitsverifikasie suksesvol is, sal die toepassing-GUI normaalweg laai en werk.

Stel verwysingsidentifiseerder op

Hierdie afdeling spesifiseer die konfigurasie van die verwysing-identifiseerder vir die VPN Gateway-eweknie. Tydens IKE fase 1-verifikasie vergelyk die TOE die verwysing identifiseerder met die identifiseerder wat deur die VPN Gateway aangebied word. As die TOE bepaal dat hulle nie ooreenstem nie, sal verifikasie nie slaag nie.

Kies Verbindings vanaf die tuisskerm na view die inskrywings wat reeds op jou toestel gekonfigureer is. Veelvuldige verbindingsinskrywings kan gelys word, sommige onder 'n Per-App VPN-opskrif. Verbindingsinskrywings kan die volgende status:

  • Geaktiveer— Hierdie verbindingsinskrywing word deur die mobiele toestelbestuurder geaktiveer en kan vir verbinding gebruik word.
  • Aktief— Hierdie gemerkte of gemerkte verbindingsinskrywing is tans aktief.
  • Gekoppel— Hierdie verbindingsinskrywing is die aktiewe een en is tans gekoppel en werksaam.
  • Ontkoppel— Hierdie verbindingsinskrywing is die aktiewe een, maar is tans ontkoppel en werk nie.

Vir instruksies verwys na die "Voeg verbindingsinskrywings handmatig by of wysig" afdeling van [3].

Stel sertifikaatgebruik op

AnyConnect vereis 'n X.509-sertifikaat. Verwys na die "Konfigureer sertifikate" afdeling van [3].

Blokkeer onbetroubare bedieners

Hierdie toepassinginstelling bepaal of AnyConnect verbindings blokkeer wanneer dit nie die veilige poort kan identifiseer nie.
Hierdie beskerming is by verstek AAN en moet nie AF geskakel word nie.

AnyConnect gebruik die sertifikaat wat van die bediener ontvang is om sy identiteit te verifieer. As daar 'n sertifikaatfout is as gevolg van 'n vervaldatum of ongeldige datum, verkeerde sleutelgebruik of 'n naam wat nie ooreenstem nie, word die verbinding geblokkeer.

Stel VPN FIPS-modus in
VPN FIPS-modus maak gebruik van Federal Information Processing Standards (FIPS) kriptografie-algoritmes vir alle VPN-verbindings.

  1. Tik Instellings in die Cisco Secure Client-AnyConnect-toepassing.
  2. Tik FIPS-modus om hierdie instelling te aktiveer.

Om aan kriptografiese vereistes in die ST te voldoen, moet FIPS-modus geaktiveer word. By bevestiging van jou FIPS-modusverandering, gaan die toepassing uit en moet dit met die hand herbegin word. By herbegin is jou FIPS-modusinstelling in werking.

Streng sertifikaattrustmodus

Hierdie instelling konfigureer die Cisco Secure Client-AnyConnect TOE om die sertifikaat van die hoof-einde VPN Gateway wat dit nie outomaties kan verifieer nie toe te laat.

  1. Tik in die tuisvenster Kieslys > Instellings.
  2. Aktiveer streng sertifikaattrustmodus.

By die volgende verbindingspoging sal Strict Certificate Trust geaktiveer word

Gaan Sertifikaat Herroeping na

Hierdie instelling beheer of die Cisco Secure Client-AnyConnect TOE die herroepingstatus van die sertifikaat wat vanaf die hoof-einde VPN-poort ontvang is, sal bepaal. Hierdie instelling moet AAN wees en moet nie AF geskakel word nie.

  1. Tik in die AnyConnect-tuisvenster op Kieslys > Instellings.
  2. Aktiveer Check Certificate Revocation om hierdie instelling te aktiveer.

Operasionele leiding vir die TOE

Vestig 'n VPN-verbinding

Verwys na die "Vestig a VPN-verbinding” afdeling van [3].

Die administrateur moet kennis neem van die volgende BESKERM-, OMSEIP- en DISCARD-reëls rakende die gebruik van IPsec in AnyConnect:

  • BESKERM
    Inskrywings vir PROTECT word gekonfigureer deur middel van afstandtoegang-groepbeleid op die ASA met ASDM. Vir PROTECT-inskrywings vloei die verkeer deur die IPsec VPN-tonnel wat deur die TOE verskaf word. Geen konfigurasie word vereis vir die TOE-tonnel alle verkeer nie. Die administrateur kan opsioneel hierdie gedrag uitdruklik stel met die opdrag in hul Groepbeleid: split-tunnel-policy tunnelall
  • BYPASS
    Die TOE ondersteun BYPASS-bedrywighede (wanneer gesplete tonnelwerk uitdruklik deur afstandtoegangbeleid toegelaat is). Wanneer gesplete tonnelwerk geaktiveer is, stoot die ASA VPN Gateway 'n lys netwerksegmente na die TOE om BESKERM. Alle ander verkeer beweeg onbeskermd sonder om die TOE te betrek en sodoende IPsec-beskerming te omseil.
    Gedeelde tonnel word in 'n netwerk (kliënt) toegang groepbeleid opgestel. Die administrateur het die volgende opsies:
    Uitgesluit gespesifiseer: Sluit slegs netwerke uit gespesifiseer deur split-tonnel-network-list
    Tonnel gespesifiseer: Slegs tonnel-netwerke gespesifiseer deur verdeel-tonnel-netwerk lys Verwys na die "Oor die opstel van gesplete tonnel vir AnyConnect Traffic"-afdeling in die VPN ASDM-konfigurasiegids en sien stappe verskaf in die "Konfigureer gesplete tonnel vir AnyConnect Traffic"-afdeling. Nadat u veranderinge aan die groepbeleid in ASDM gemaak het, maak seker dat die groepbeleid met 'n Connection Pro geassosieer wordfile in Opstelling > Afstandtoegang Skynprivaatnetwerk > Netwerk (kliënt) Toegang > AnyConnect Connection Profiles > Voeg by/Wysig > Groepbeleid. BYPASS SPD-inskrywings word deur die gasheerplatform verskaf deur implisiete netwerkverkeerpermitreëls. Geen konfigurasie word op die TOE-platform vereis om dit toe te laat om hierdie verkeer te slaag nie.
  • GEWOORD
    DISCARD-reëls word uitsluitlik deur die TOE-platform uitgevoer. Daar is geen administratiewe koppelvlak om 'n DISCARD-reël te spesifiseer nie.

Monitor en probleemoplossing

Verwys na die Monitor en probleemoplossing afdeling van [3].

Verlaat Cisco Secure Client-AnyConnect
Deur die toepassing te verlaat, beëindig die huidige VPN-verbinding en stop alle TOE-prosesse. Gebruik hierdie aksie spaarsamig. Ander toepassings of prosesse op jou toestel gebruik dalk die huidige VPN-verbinding en om die Cisco Secure Client-AnyConnect-toepassing te verlaat, kan hul werking nadelig beïnvloed.

Tik in die tuisvenster Kieslys > Verlaat.

Kriptografiese ondersteuning
Die TOE bied kriptografie ter ondersteuning van IPsec met ESP simmetriese kriptografie vir grootmaat AES enkripsie/dekripsie en SHA-2 algoritme vir hashing. Daarbenewens bied die TOE die kriptografie om Diffie Hellman-sleuteluitruil- en afleidingsfunksie wat in die IKEv2- en ESP-protokolle gebruik word, te ondersteun. Instruksies om kriptografiese funksies op te stel word beskryf in die "Prosedures en Operasionele Leiding vir IT-omgewing"-afdeling van hierdie dokument.

Betroubare opdaterings

Hierdie afdeling verskaf instruksies vir die veilige aanvaarding van die TOE en enige daaropvolgende TOE-opdaterings. "Opdaterings" is 'n nuwe weergawe van die TOE.

TOE-weergawe kan deur die gebruiker navraag gedoen word. Tik op die tuisskerm "Meer". Weergawe kan ook deur die mobiele platform navraag gedoen word:

  • iPhone: Maak Instellings oop en gaan na Algemeen > Gebruik. Onder Berging, vind die Cisco Secure Client Any Connect en tik. Die weergawe-inligting sal vertoon word.

Opdaterings aan die Cisco Secure Client-AnyConnect TOE word deur die Apple App Store bestuur deur die prosedure hieronder te gebruik.

Let wel: Voordat u u toestel opgradeer, moet u die VPN-sessie ontkoppel as een daargestel is, en die toepassing toemaak as dit oop is. As jy versuim om dit te doen, word 'n herlaai van jou toestel vereis voordat die nuwe weergawe van die Cisco Secure Client-AnyConnect TOE gebruik word.

  1. Tik die App Store-ikoon op die iOS-tuisblad.
  2. Tik die Cisco Secure Client-AnyConnect-opgraderingkennisgewing.
  3. Lees oor die nuwe kenmerke.
  4. Klik Update.
  5. Voer jou Apple ID-wagwoord in.
  6. Tik OK.

Die opdatering gaan voort.

Verkryging van dokumentasie en die indiening van 'n diensversoek

Vir inligting oor die verkryging van dokumentasie, die gebruik van die Cisco Bug Search Tool (BST), die indien van 'n diensversoek en die insameling van bykomende inligting, sien Wat is nuut in Cisco-produkdokumentasie.

Om nuwe en hersiene Cisco tegniese inhoud direk op jou lessenaar te ontvang, kan jy inteken op die Wat is nuut in Cisco Product Documentation RSS feed. Die RSS-feeds is 'n gratis diens.

Kontak Cisco

Cisco het meer as 200 kantore wêreldwyd. Adresse, telefoonnommers en faksnommers word op die Cisco gelys webwebwerf by www.cisco.com/go/offices.

CISCO Logo

Dokumente / Hulpbronne

CISCO AnyConnect 5.0 Secure Client [pdf] Gebruikersgids
5.0 vir iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

Verwysings

Verwante plasings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *