Кіраўніцтва карыстальніка CISCO AnyConnect 5.0 Secure Client

Дакумент Увядзенне

Падрыхтаваў:
Кампанія Cisco Systems, Inc.
170 West Tasman Dr.
Сан-Хасэ, Каліфорнія 95134

У гэтым дакуменце прыводзяцца інструкцыі для ІТ-персаналу па TOE, Cisco Secure Client – ​​AnyConnect 5.0 для iOS 16. Гэты дакумент з інструкцыямі змяшчае інструкцыі па паспяховай усталёўцы TOE у аперацыйным асяроддзі, інструкцыі па кіраванні бяспекай TSF і інструкцыі па прадастаўленні абаронены адміністрацыйны патэнцыял.

Гісторыя версій

Версія	Дата	Змена
0.1	1 мая 2023 г	Пачатковая версія
0.2	27 ліпеня 2023 г	Абнаўленні

Cisco і лагатып Cisco з'яўляюцца гандлёвымі маркамі або зарэгістраванымі гандлёвымі маркамі кампаніі Cisco і/або яе філіялаў у ЗША і іншых краінах. каб view спіс таварных знакаў Cisco, перайдзіце да гэтага URL: www.cisco.com/go/trademarks. Згаданыя гандлёвыя маркі трэціх асоб з'яўляюцца ўласнасцю іх адпаведных уладальнікаў. Выкарыстанне слова партнёр не азначае партнёрскія адносіны паміж Cisco і любой іншай кампаніяй. (1110R)

© 2023 Cisco Systems, Inc. Усе правы абаронены.

Уводзіны

Гэта Аператыўнае кіраўніцтва карыстальніка з падрыхтоўчымі працэдурамі дакументуе адміністраванне Cisco Secure ClientAnyConnect v5.0 для Apple iOS 16 TOE, паколькі яно было сертыфікавана ў адпаведнасці з агульнымі крытэрыямі. Cisco Secure Client-AnyConnect v5.0 для Apple iOS 16 можа згадвацца ніжэй адпаведнай абрэвіятурай, напрыклад VPN Client або проста TOE.

Аўдыторыя
Гэты дакумент напісаны для адміністратараў, якія ўсталёўваюць і наладжваюць TOE. У гэтым дакуменце мяркуецца, што вы знаёмыя з асноўнымі паняццямі і тэрміналогіяй, якія выкарыстоўваюцца ў сетцы, і разумееце тапалогію вашай сеткі і пратаколы, якія могуць выкарыстоўваць прылады ў вашай сетцы, што вы з'яўляецеся даверанай асобай і што вы навучаны карыстацца аперацыйнай сістэмы, у якіх вы працуеце ў вашай сетцы.

Прызначэнне
Гэты дакумент з'яўляецца аператыўным кіраўніцтвам карыстальніка з падрыхтоўчымі працэдурамі для ацэнкі агульных крытэрыяў. Ён быў напісаны, каб вылучыць канкрэтную канфігурацыю TOE і функцыі адміністратара і інтэрфейсы, неабходныя для канфігурацыі і абслугоўвання TOE у ацэненай канфігурацыі. Гэты дакумент не прызначаны для дэталізацыі канкрэтных дзеянняў, якія выконваюцца адміністратарам, а хутчэй з'яўляецца дарожнай картай для вызначэння адпаведных месцаў у дакументацыі Cisco, каб атрымаць канкрэтныя дэталі для наладжвання і падтрымання аперацый AnyConnect Secure Mobility Client. Усе важныя для бяспекі каманды для кіравання дадзенымі TSF прадстаўлены ў гэтай дакументацыі ў кожным функцыянальным раздзеле.

Спасылкі на дакументы
У гэтым раздзеле пералічана дакументацыя Cisco Systems, якая таксама з'яўляецца часткай спісу элементаў канфігурацыі агульных крытэрыяў (CI). Выкарыстоўваныя дакументы паказаны ніжэй у табліцы 1. У гэтым дакуменце даведнікі будуць называцца знакам «#», напрыклад [1].

Табліца 1. Дакументацыя Cisco

#	Назва	Спасылка
1	Кіраўніцтва адміністратара Cisco Secure Client (у тым ліку AnyConnect), выпуск 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Кіраўніцтва адміністратара мабільных платформаў Cisco AnyConnect, версія 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Кіраўніцтва карыстальніка Apple iOS для Cisco AnyConnect Secure Mobility Client, выпуск 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Заўвагі да выпуску Cisco AnyConnect Secure Mobility Client, выпуск 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	Заўвагі да выпуску для Cisco Secure Client (уключаючы AnyConnect), выпуск 5 для Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- кліент-рэліз-5-0.html

TOE большview
TOE - гэта кліент бяспечнай мабільнасці Cisco AnyConnect (далей - кліент VPN або TOE). Кліент бяспечнай мабільнасці Cisco AnyConnect забяспечвае аддаленым карыстальнікам бяспечныя IPsec (IKEv2) VPN-злучэнні да VPN-шлюза Cisco 5500 Series Adaptive Security Appliance (ASA), што дазваляе ўсталяваным праграмам мець зносіны так, быццам яны падключаны непасрэдна да сеткі прадпрыемства.

Аперацыйнае асяроддзе
TOE патрабуе наступных кампанентаў ІТ-асяроддзя, калі TOE сканфігураваны ў сваёй ацэненай канфігурацыі:

Табліца 2. Кампаненты аперацыйнага асяроддзя

Кампанент	Апісанне выкарыстання/прызначэння
Цэнтр сертыфікацыі	Цэнтр сертыфікацыі выкарыстоўваецца для прадастаўлення сапраўдных лічбавых сертыфікатаў.
мабільная платформа	TOE абапіраецца на любую з наступных платформ мабільных прылад Apple, правераных CC: Apple iPhone 11/XR пад кіраваннем iOS 16
VPN-шлюз серыі ASA 5500-X	Cisco ASA 5500-X з версіяй праграмнага забеспячэння 9.2.2 або больш позняй функцыянуе ў якасці галоўнага VPN-шлюза.
Платформа кіравання ASDM	ASDM 7.7 працуе з любой з наступных аперацыйных сістэм: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 і Server 2019 Apple OS X 10.4 або больш позняй версіі. Звярніце ўвагу, што праграмнае забеспячэнне ASDM усталявана на прыладзе ASA, а платформа кіравання выкарыстоўваецца для падлучэння да ASA і запуску ASDM. Адзінае праграмнае забеспячэнне, усталяванае на платформе кіравання, - гэта Cisco ASDM Launcher.

Мабільная платформа, якая ляжыць у аснове, забяспечвае некаторыя функцыі бяспекі, неабходныя ў MOD_VPNC_V2.4], і ў гэтым дакуменце пазначаецца фразай «Платформа TOE».

TOE Cisco AnyConnect выкарыстоўвае апаратныя рэсурсы сеткі на платформе мабільнай АС для адпраўкі і атрымання зашыфраваных пакетаў. TOE не мае доступу да сховішчаў канфідэнцыйнай інфармацыі.

Спасылкі ў гэтым дакуменце на «ASA» адносяцца да шлюза VPN

Выключаная функцыянальнасць

Функцыянальнасць, пералічаная ніжэй, не ўваходзіць у ацэненую канфігурацыю.

Табліца 3. Выключаная функцыянальнасць і абгрунтаванне

Функцыя выключана	Абгрунтаванне
Не-FIPS 140-2 рэжым працы	TOE ўключае рэжым працы FIPS. Рэжымы FIPS дазваляюць TOE выкарыстоўваць толькі зацверджаную крыптаграфію. Рэжым FIPS павінен быць уключаны для таго, каб TOE працаваў у сваёй ацэненай канфігурацыі.
Тунэль SSL з параметрамі тунэлявання DLTS	[MOD_VPNC_V2.4] дазваляе толькі тунэль IPsec VPN.

Гэтыя паслугі будуць адключаны канфігурацыяй. Выключэнне гэтай функцыі не ўплывае на адпаведнасць патрабаванням Protection Profiles.

Працэдуры і аператыўнае кіраўніцтва для ІТ-асяроддзя

Каб працаваць у ацэненай канфігурацыі, TOE патрабуе як мінімум аднаго (1) цэнтра сертыфікацыі (CA), аднаго (1) шлюза VPN і адной (1) мабільнай прылады Apple iPhone.

Каб нагадваць кліенцкія асяроддзя PKI, у гэтым раздзеле будзе згадвацца двухузроўневае рашэнне ЦС з выкарыстаннем пазасеткавага каранёвага ЦС і падпарадкаванага ЦС прадпрыемства з выкарыстаннем Цэнтра сертыфікацыі (CA) Microsoft 2012 R2. Замест Microsoft могуць выкарыстоўвацца іншыя прадукты CA.

Каранёвы ЦС настроены як аўтаномны сервер (рабочай групы), а падпарадкаваны ЦС настроены як частка дамена Microsoft з уключанымі службамі Active Directory. Наступны малюнак дае візуальнае адлюстраванне TOE і IT

Асяроддзе. TOE - гэта праграма, якая працуе на iOS 13. Мяжа TOE пазначана чырвонай лініяй. Глядзіце малюнак 1 ніжэй.

Малюнак 1. TOE і навакольнае асяроддзе

Падпарадкаваны ЦС выдае лічбавыя сертыфікаты X.509 і прадастаўляе спіс адкліканых сертыфікатаў (CRL) на платформу TOE і шлюз VPN.
У якасці альтэрнатывы можа быць разгорнуты адзін (1) адзіны каранёвы ЦС прадпрыемства.

• Усталюйце і наладзьце цэнтр сертыфікацыі

Пры выкарыстанні двухузроўневага рашэння ЦС Microsoft усталюйце і наладзьце каранёвы (GRAYCA) і падпарадкаваны цэнтр сертыфікацыі прадпрыемства (GRAYSUBCA1) у адпаведнасці з інструкцыямі пастаўшчыка. Ніжэй прыведзены пакрокавыя інструкцыі па канфігурацыі службаў сертыфікацыі Microsoft Active Directory:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Мяркуецца, што як аўтаномны каранёвы сертыфікат ЦС (GRAYCA), так і сертыфікаты падпарадкаванага прадпрыемства (GRAYSUBCA1), намаляваныя на малюнку 1, усталяваны і карыстаюцца даверам, каб забяспечыць усталяванне даверанай ланцужкі сертыфікатаў. Пры выкарыстанні ЦС ад іншага пастаўшчыка, акрамя Microsoft, выконвайце інструкцыі па ўсталёўцы ЦС гэтага пастаўшчыка.

Незалежна ад прадукту ЦС, які выкарыстоўваецца, сертыфікат RSA на ASA ПАВІНЕН мець наступныя ўласцівасці выкарыстання ключа і пашыранага выкарыстання ключа:

• Выкарыстанне ключа: Лічбавы подпіс, пагадненне аб ключы
• EKU: IP-бяспека IKE intermediate, IP end security system

Палі альтэрнатыўнай назвы суб'екта (SAN) у сертыфікатах ECDSA і RSA на ASA ПАВІННЫ адпавядаць інфармацыі аб злучэнні, указанай у AnyConnect profile на кліента.

• Усталюйце і наладзьце VPN-шлюз

Усталюйце Cisco ASA 9.1 (ці больш позняй версіі), па жаданні з ASDM, у адпаведнасці з кіраўніцтвам па ўсталёўцы і заўвагамі да выпуску, адпаведнымі версіям, якія будуць усталяваны. ASDM дазваляе кіраваць ASA з графічнага інтэрфейсу карыстальніка. У якасці альтэрнатывы, калі адміністратар пажадае, можна выкарыстоўваць эквівалентныя крокі канфігурацыі каманднага радка (CLI).

Заўвага аб канфігурацыі: паколькі існуюць параметры, якімі кіруе ASA, адміністратар шлюза павінен выканаць крокі ў гэтым раздзеле, каб пераканацца, што TOE знаходзіцца ў ацэненай канфігурацыі.

• Уключыце AnyConnect і IKEv2 на ASA. У ASDM перайдзіце да Канфігурацыя > Аддалены доступ VPN > Сеткавы (кліенцкі) доступ > AnyConnect Connection Profiles і ўсталюйце сцяжок Уключыць Cisco AnyConnect і Дазволіць доступ у раздзеле IKEv2.
  
• На AnyConnect Connection Profileна старонцы, згаданай вышэй, абярыце Сертыфікат прылады. Пераканайцеся, што Выкарыстоўваць той самы сертыфікат прылады… НЕ адзначаны, і выберыце сертыфікат EC ID пад сертыфікатам прылады ECDSA. Затым выберыце Ok.
  
• Стварыце крыптапалітыку IKEv2 з выкарыстаннем алгарытмаў, дазволеных у канфігурацыі з ацэнкай Common Criteria. У ASDM перайдзіце да Канфігурацыі > VPN аддаленага доступу > Сеткавы (кліенцкі) доступ > Дадаткова > IPsec > Палітыкі IKE і дадайце палітыку IKEv2.

Выберыце Дадаць і ўвядзіце 1 для найвышэйшага прыярытэту. Дыяпазон ад 1 да 65535, з 1 самым высокім прыярытэтам.

Шыфраванне:
AES: Вызначае AES-CBC са 128-бітным ключом шыфравання для ESP.
AES-256: Вызначае AES-CBC са 256-бітным ключом шыфравання для ESP.
AES-GCM-128: Вызначае 128-бітнае шыфраванне ў рэжыме лічыльніка AES Galois
AES-GCM-256: Вызначае 256-бітнае шыфраванне ў рэжыме лічыльніка AES Galois

Група DH: Выберыце ідэнтыфікатар групы Дыфі-Хеллмана. Гэта выкарыстоўваецца кожным партнёрам IPsec для атрымання агульнага сакрэту, не перадаючы яго адзін аднаму. Дапушчальныя выбары: 19 і 20.

Хэш PRF – Укажыце PRF, які выкарыстоўваецца для стварэння матэрыялу ключоў для ўсіх крыптаграфічных алгарытмаў, якія выкарыстоўваюцца ў SA. Дапушчальныя выбары: sha256 і sha384

У гэтым эксampабярыце канфігурацыю:

 

Прыярытэт: 1

Рэжым лічыльніка AES Galois (AES-GCM) 256-бітнае шыфраванне: Калі абраны GCM, гэта выключае неабходнасць выбару алгарытму цэласнасці. Гэта адбываецца таму, што магчымасці праверкі сапраўднасці ўбудаваныя ў GCM, у адрозненне ад CBC (Cipher-Block Chaining).

Група Дыфі-Хеллмана: 20
Хэш цэласнасці: Нуль
Хэш PRF: sha384
Тэрмін службы: 86400

Выберыце добра.

Заўвага адміністратара: Выкарыстанне любога дадатковага шыфравання, DH-Group, Integrity або PRF Hash, не пералічаных вышэй, не ацэньваецца.

Заўвага адміністратара: Пашыраная ўкладка адлюстроўвае параметр кантролю трываласці IKE. Упэўніцеся, што параметр "Працягласць узмацнення асацыяцыі бяспекі" (SA) адзначаны. Гэта гарантуе, што трываласць шыфра шыфравання IKEv2 вышэй, чым трываласць яго даччыных шыфраў IPsec SA. Алгарытмы большай трываласці будуць паніжаны.

Эквівалент CLI: crypto ipsec ikev2 sa-strength-enforcement

• Стварыце прапанову IPSEC. У ASDM перайдзіце да Канфігурацыі > VPN аддаленага доступу > Сеткавы (кліенцкі) доступ > Дадаткова > IPsec > Прапановы IPsec (наборы пераўтварэнняў) і дадайце прапанову IKEv2 IPsec. затым выберыце Ok.
  У эксample ніжэй выкарыстоўваецца назва NGE-AES-GCM-256 з AES-GCM-256 для шыфравання і Null для хэша цэласнасці:
  
  
• Стварыце дынамічную крыптакарту, абярыце прапанову IPsec і прымяніце да знешняга інтэрфейсу. У ASDM перайдзіце да Канфігурацыя > Аддалены доступ VPN > Сеткавы (кліенцкі) доступ > Дадаткова > IPsec > Крыптакарты. Выберыце «Дадаць», абярыце знешні інтэрфейс і прапанову IKEv2.
  Пстрыкніце ўкладку «Дадаткова». Забяспечце наступнае:
  Уключыць NAT-T —Уключае пераход NAT (NAT-T) для гэтай палітыкі
  Налада асацыяцыі бяспекі — усталяваны на 8 гадзін (28800 секунд)
• Стварыце пул адрасоў VPNUSERS, які будзе прызначаны карыстальнікам VPN. Пулы адрасоў утрымліваюць наступныя палі:
  Імя —Вызначае імя, прызначанае пулу IP-адрасоў.
  Пачатковы IP-адрас —Вызначае першы IP-адрас у пуле.
  Заканчэнне IP-адраса —Вызначае апошні IP-адрас у пуле.
  Маска падсеткі- Выбірае маску падсеткі для прымянення да адрасоў у пуле.

У ASDM перайдзіце ў раздзел «Канфігурацыя > VPN аддаленага доступу» > «Сеткавы (кліенцкі) доступ» > «Прызначэнне адрасоў» > «Пулы адрасоў» і дадайце пул IP-адрасоў, указаўшы палі вышэй, а затым выберыце «ОК».

Дадайце групавую палітыку, якая будзе прымяняць патрэбныя параметры да карыстальнікаў VPN. Групавыя палітыкі дазваляюць кіраваць групавымі палітыкамі AnyConnect VPN. Групавая палітыка VPN - гэта набор арыентаваных на карыстальніка пар атрыбут/значэнне, якія захоўваюцца альбо ўнутры прылады ASA. Настройка групавой палітыкі VPN дазваляе карыстальнікам успадкоўваць атрыбуты, якія вы не наладзілі на ўзроўні асобнай групы або імя карыстальніка. Па змаўчанні карыстальнікі VPN не маюць прывязкі да групавой палітыкі. Інфармацыя аб групавой палітыцы выкарыстоўваецца групамі VPN-тунэляў і ўліковымі запісамі карыстальнікаў. У ASDM перайдзіце да Канфігурацыя > VPN аддаленага доступу > Сеткавы (кліенцкі) доступ > Групавыя палітыкі і Дадайце ўнутраную групавую палітыку. Упэўніцеся, што для тунэльнага пратакола VPN усталяваны IKEv2 і што створаны вышэй пул IP спасылаецца ў палітыцы, зняўшы сцяжок у полі "Успадкаваць" і выбраўшы адпаведную наладу. Адпаведныя DNS, WINS і даменныя імёны таксама можна дадаць у палітыку ў раздзеле «Серверы».

Звярніцеся да прampгрупавая палітыка NGE-VPN-GP ніжэй:

• Стварыце назву групы тунэляў. Тунэльная група змяшчае палітыку тунэльнага злучэння для злучэння IPsec. Палітыка злучэння можа вызначаць серверы аўтэнтыфікацыі, аўтарызацыі і ўліку, групавую палітыку па змаўчанні і атрыбуты IKE.

У ASDM перайдзіце да Канфігурацыя > Аддалены доступ VPN > Сеткавы (кліенцкі) доступ > AnyConnect Connection Profileс. Унізе старонкі ў раздзеле Connection Profiles, абярыце Дадаць.

У эксample ніжэй выкарыстоўваецца назва тунэльнай групы NGE-VPN-RAS.

Канфігурацыя спасылаецца на аўтэнтыфікацыю сертыфіката, звязаную групавую палітыку NGE-VPN-GP і Enable IPsec (IKEv2). Тут таксама можна дадаць DNS і даменнае імя. Таксама пераканайцеся, што выкарыстоўваецца толькі IPsec, не ставячы галачку ўключэння кліенцкага пратаколу SSL VPN.

• Стварыце карту сертыфіката, супаставіўшы карыстальнікаў NGE VPN з тунэльнай групай VPN, якая была створана раней. Карта сертыфіката будзе прымяняцца да карыстальнікаў AC. У гэтым сцэнарыі агульнае імя падпарадкаванага ЦС было супастаўлена, каб гарантаваць, што ўваходны запыт платформы TOE з сертыфікатам EC, выдадзеным падпарадкаваным ЦС, будзе супастаўляцца з адпаведнай групай тунэляў, створанай раней. Карыстальнікі VPN, якім не выдадзены сертыфікат ад EC CA, вернуцца да тунэльных груп па змаўчанні і
  няўдалая аўтэнтыфікацыя і доступ будзе забаронены.
  У ASDM перайдзіце да Канфігурацыя > Аддалены доступ VPN > Дадаткова > Сертыфікат для AnyConnect і Clientless SSL VPN Connection Profile Карты. Пад сертыфікатам для Connection Profile Карты выберыце Дадаць. Выберыце існуючы DefaultCertificateMap з прыярытэтам 10 і спасылайцеся на тунэльную групу NGE-RAS-VPN.
  
  У ASDM перайдзіце да Канфігурацыя > Аддалены доступ VPN > Дадаткова > Сертыфікат для AnyConnect і Clientless SSL VPN Connection Profile Карты. У раздзеле "Крытэрыі адлюстравання" выберыце "Дадаць". Абярыце Эмітэнт для поля, Агульнае імя (CN) для кампанента, Змяшчае для Аператара, а затым выберыце Ok.
  
  Пераканайцеся, што вы выбралі УЖЫВАЦЬ на галоўнай старонцы і ЗАХАВАЦЕ канфігурацыю.
• Наладзьце ASA для прыняцця VPN-злучэнняў ад кліента AnyConnect VPN, выкарыстоўвайце майстар AnyConnect VPN. Гэты майстар наладжвае пратаколы IPsec (IKEv2) VPN для аддаленага доступу да сеткі. Звярніцеся да інструкцый тут:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Падрыхтоўчыя працэдуры і аператыўнае кіраўніцтва для TOE

Каб усталяваць TOE Cisco Secure Client-AnyConnect, выканайце наступныя дзеянні:

1. Адкрыйце App Store.
2. Выберыце Пошук
3. У полі пошуку ўвядзіце Cisco Secure Client-AnyConnect
4. Націсніце УСТАНАВІЦЬ ПРЫГРАМУ
5. Выберыце Усталяваць

Запусціце Cisco Secure Client-AnyConnect

Дакраніцеся да значка Cisco Secure Client-AnyConnect, каб запусціць прыкладанне. Калі вы запускаеце Cisco Secure Client-AnyConnect у першы раз пасля ўстаноўкі або абнаўлення, абярыце OK, каб уключыць TOE для пашырэння магчымасцей віртуальнай прыватнай сеткі (VPN) вашай прылады

Праверка цэласнасці

Праверка цэласнасці выконваецца кожны раз, калі праграма загружаецца, і яна будзе чакаць завяршэння праверкі цэласнасці. Крыптаграфічныя службы, якія прадстаўляюцца платформай iOS, выклікаюцца для праверкі лічбавага подпісу выкананага файла TOE fileс. Калі праверку цэласнасці не ўдаецца паспяхова завяршыць, графічны інтэрфейс не загрузіцца, што робіць праграму непрыдатнай для выкарыстання. Калі праверка цэласнасці прайшла паспяхова, графічны інтэрфейс праграмы загрузіцца і будзе працаваць у звычайным рэжыме.

Наладзіць эталонны ідэнтыфікатар

У гэтым раздзеле вызначаецца канфігурацыя эталоннага ідэнтыфікатара для аднарангавага шлюза VPN. Падчас аўтэнтыфікацыі IKE фазы 1 TOE параўноўвае эталонны ідэнтыфікатар з ідэнтыфікатарам, прадстаўленым шлюзам VPN. Калі TOE вызначае, што яны не супадаюць, аўтэнтыфікацыя не будзе праведзена.

Выберыце Падключэнні на галоўным экране для view запісы, ужо настроеныя на вашым прыладзе. Могуць быць паказаны некалькі запісаў злучэнняў, некаторыя пад загалоўкам VPN для кожнага прыкладання. Запісы злучэння могуць мець наступны статус:

• Уключана— Гэты запіс злучэння ўключаны дыспетчарам мабільных прылад і можа выкарыстоўвацца для падключэння.
• Актыўны— Гэты пазначаны або вылучаны запіс злучэння зараз актыўны.
• Падключаны— Гэты запіс злучэння з'яўляецца актыўным і зараз падключаны і працуе.
• Адключаны— Гэты запіс злучэння з'яўляецца актыўным, але зараз адключаны і не працуе.

Для атрымання інструкцый звярніцеся да «Дадаць або змяніць запісы злучэння ўручную» раздзел [3].

Наладзьце выкарыстанне сертыфіката

Для AnyConnect патрабуецца сертыфікат X.509. Звярніцеся да «Наладзіць сертыфікаты» раздзел [3].

Блакуйце ненадзейныя серверы

Гэты параметр прыкладання вызначае, ці блакуе AnyConnect злучэнні, калі ён не можа вызначыць бяспечны шлюз.
Гэтая абарона ўключана па змаўчанні і не павінна быць выключана.

AnyConnect выкарыстоўвае сертыфікат, атрыманы ад сервера, для праверкі сваёй ідэнтыфікацыі. Калі ўзнікае памылка сертыфіката з-за пратэрмінаванай або несапраўднай даты, няправільнага выкарыстання ключа або несупадзення імя, злучэнне блакуецца.

Усталюйце рэжым VPN FIPS
Рэжым VPN FIPS выкарыстоўвае алгарытмы крыптаграфіі Федэральных стандартаў апрацоўкі інфармацыі (FIPS) для ўсіх злучэнняў VPN.

1. У праграме Cisco Secure Client-AnyConnect націсніце «Настройкі».
2. Націсніце "Рэжым FIPS", каб уключыць гэты параметр.

Каб адпавядаць крыптаграфічным патрабаванням у ST, рэжым FIPS павінен быць уключаны. Пасля пацверджання змены рэжыму FIPS праграма закрываецца і павінна быць перазапушчана ўручную. Пасля перазапуску ваш рэжым FIPS будзе дзейнічаць.

Рэжым строгага даверу сертыфіката

Гэты параметр канфігуруе TOE Cisco Secure Client-AnyConnect, каб забараніць сертыфікат галаўнога шлюза VPN, які ён не можа праверыць аўтаматычна.

1. У галоўным акне націсніце Меню > Налады.
2. Уключыць рэжым строгага даверу сертыфіката.

Пры наступнай спробе падключэння будзе ўключаны строгі давер сертыфіката

Праверце адкліканне сертыфіката

Гэты параметр кантралюе, ці будзе TOE Cisco Secure Client-AnyConnect вызначаць статус адклікання сертыфіката, атрыманага ад галоўнага VPN-шлюза. Гэты параметр павінен быць уключаны і не павінен быць выключаны.

1. У галоўным акне AnyConnect націсніце Меню > Налады.
2. Уключыце праверку адклікання сертыфіката, каб уключыць гэты параметр.

Аператыўнае кіраўніцтва для TOE

Усталюйце злучэнне VPN

Звярніцеся да «Усталяваць a VPN-злучэнне» раздзел [3].

Адміністратар павінен звярнуць увагу на наступныя правілы PROTECT, BYPASS і DISCARD адносна выкарыстання IPsec у AnyConnect:

• АБАРОНІЦЬ
  Запісы для PROTECT наладжваюцца з дапамогай групавой палітыкі аддаленага доступу на ASA з дапамогай ASDM. Для запісаў PROTECT трафік праходзіць праз VPN-тунэль IPsec, прадастаўлены TOE. Канфігурацыя для ўсяго трафіку тунэля TOE не патрабуецца. Пры жаданні адміністратар можа яўна ўсталяваць гэтыя паводзіны з дапамогай каманды ў сваёй групавой палітыцы: split-tunnel-policy tunnelall
• БАПАС
  TOE падтрымлівае аперацыі BYPASS (калі раздзельнае тунэляванне відавочна дазволена палітыкай аддаленага доступу). Калі падзеленае тунэляванне ўключана, шлюз ASA VPN адпраўляе спіс сегментаў сеткі ў TOE, каб АБАРОНІЦЬ. Увесь іншы трафік праходзіць без абароны без удзелу TOE, абыходзячы абарону IPsec.
  Раздзельнае тунэляванне наладжана ў групавой палітыцы сеткавага (кліенцкага) доступу. У адміністратара ёсць наступныя магчымасці:
  Выключыць: Выключаць толькі сеткі, вызначаныя split-tunnel-network-list
  Указаны тунэль: Толькі тунэльныя сеткі, указаныя ў спісе split-tunnel-network. Звярніцеся да раздзела «Аб наладжванні раздзельнага тунэлявання для трафіку AnyConnect» у кіраўніцтве па канфігурацыі VPN ASDM і азнаёмцеся з крокамі, прадстаўленымі ў раздзеле «Наладжванне раздзельнага тунэлявання для трафіку AnyConnect». Пасля ўнясення змяненняў у групавую палітыку ў ASDM пераканайцеся, што групавая палітыка звязана з Connection Profile у раздзеле Канфігурацыя > Аддалены доступ VPN > Сеткавы (кліенцкі) доступ > AnyConnect Connection Profiles > Дадаць/Рэдагаваць > Групавая палітыка. Запісы BYPASS SPD прадастаўляюцца хост-платформай праз неяўныя правілы дазволу сеткавага трафіку. На платформе TOE не патрабуецца канфігурацыя, каб яна прапускала гэты трафік.
• ВЫКІНУЦЬ
  Правілы DISCARD выконваюцца выключна платформай TOE. Няма адміністрацыйнага інтэрфейсу для ўказання правіла DISCARD.

Маніторынг і ліквідацыя непаладак

Звярніцеся да Маніторынг і ліквідацыя непаладак раздзел [3].

Выхад з Cisco Secure Client-AnyConnect
Выхад з праграмы спыняе бягучае злучэнне VPN і спыняе ўсе працэсы TOE. Выкарыстоўвайце гэта дзеянне эканомна. Іншыя праграмы або працэсы на вашай прыладзе могуць выкарыстоўваць бягучае злучэнне VPN, і выхад з праграмы Cisco Secure Client-AnyConnect можа негатыўна паўплываць на іх працу.

У галоўным акне націсніце Меню > Выйсці.

Крыптаграфічная падтрымка
TOE забяспечвае крыптаграфію ў падтрымку IPsec з сіметрычнай крыптаграфіяй ESP для масавага шыфравання/дэшыфравання AES і алгарытмам SHA-2 для хэшавання. Акрамя таго, TOE забяспечвае крыптаграфію для падтрымкі абмену ключамі Diffie Hellman і функцыі вываду, якая выкарыстоўваецца ў пратаколах IKEv2 і ESP. Інструкцыі па канфігурацыі крыптаграфічных функцый апісаны ў раздзеле «Працэдуры і эксплуатацыйныя інструкцыі для ІТ-асяроддзя» гэтага дакумента.

Надзейныя абнаўленні

У гэтым раздзеле прадстаўлены інструкцыі па бяспечным прыняцці TOE і любых наступных абнаўленняў TOE. «Абнаўленні» - гэта новая версія TOE.

Карыстальнік можа запытваць кіраванне версіямі TOE. На галоўным экране націсніце «Аб». Запыт аб кіраванні версіямі таксама можна зрабіць праз мабільную платформу:

• iPhone: Адкрыйце Налады і перайдзіце ў Агульныя > Выкарыстанне. У раздзеле «Сховішча» знайдзіце «Cisco Secure Client Any Connect» і націсніце. Адлюструецца інфармацыя аб версіі.

Кіраванне абнаўленнямі TOE Cisco Secure Client-AnyConnect ажыццяўляецца праз Apple App Store з дапамогай працэдуры, прыведзенай ніжэй.

Заўвага: Перад абнаўленнем прылады вы павінны адключыць сеанс VPN, калі ён усталяваны, і закрыць прыкладанне, калі яно адкрыта. Калі вы гэтага не зробіце, перад выкарыстаннем новай версіі TOE Cisco Secure Client-AnyConnect спатрэбіцца перазагрузка прылады.

1. Дакраніцеся да значка App Store на галоўнай старонцы iOS.
2. Націсніце паведамленне аб абнаўленні Cisco Secure Client-AnyConnect.
3. Чытайце пра новыя функцыі.
4. Націсніце Абнавіць.
5. Увядзіце пароль Apple ID.
6. Націсніце добра

Абнаўленне працягваецца.

Атрыманне дакументацыі і адпраўка запыту на абслугоўванне

Інфармацыю аб атрыманні дакументацыі, выкарыстанні Cisco Bug Search Tool (BST), адпраўцы запыту на паслугу і зборы дадатковай інфармацыі гл. Што новага ў дакументацыі па прадуктах Cisco.

Каб атрымліваць новы і перагледжаны тэхнічны кантэнт Cisco непасрэдна на свой працоўны стол, вы можаце падпісацца на Што новага ў RSS-канале дакументацыі па прадуктах Cisco. RSS-каналы - бясплатны сэрвіс.

Звязацца з Cisco

Cisco мае больш за 200 офісаў па ўсім свеце. Адрасы, нумары тэлефонаў і факсаў указаны на Cisco webсайт на www.cisco.com/go/offices.

Дакументы / Рэсурсы

Бяспечны кліент CISCO AnyConnect 5.0 [pdfКіраўніцтва карыстальніка 5.0 для iOS 16, бяспечны кліент AnyConnect 5.0, бяспечны кліент 5.0, бяспечны кліент, кліент

Спасылкі

• Кіраўніцтва карыстальніка