CISCO AnyConnect 5.0 Secure Client korisnički priručnik

Uvod u dokument

Pripremio:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134

Ovaj dokument pruža Smjernice IT osoblju za TOE, Cisco Secure Client – ​​AnyConnect 5.0 za iOS 16. Ovaj dokument sa uputstvima uključuje upute za uspješnu instalaciju TOE-a u operativnom okruženju, upute za upravljanje sigurnošću TSF-a i upute za pružanje zaštićena administrativna sposobnost.

Istorija revizija

Verzija	Datum	Promjena
0.1	1. maja 2023	Početna verzija
0.2	27. jul 2023	Ažuriranja

Cisco i Cisco logo su zaštitni znaci ili registrovani zaštitni znaci Cisco-a i/ili njegovih filijala u SAD-u i drugim zemljama. To view listu Cisco zaštitnih znakova, idite na ovo URL: www.cisco.com/go/trademarks. Pomenuti zaštitni znakovi trećih strana vlasništvo su njihovih vlasnika. Upotreba riječi partner ne podrazumijeva partnerski odnos između Cisco-a i bilo koje druge kompanije. (1110R)

© 2023 Cisco Systems, Inc. Sva prava zadržana.

Uvod

Ovo Operativno uputstvo za korisnike sa pripremnim procedurama dokumentuje administraciju Cisco Secure ClientAnyConnect v5.0 za Apple iOS 16 TOE, kao što je certificirano prema Zajedničkim kriterijima. Cisco Secure Client-AnyConnect v5.0 za Apple iOS 16 se u nastavku može referencirati pomoću odgovarajućeg akronima, npr. VPN Client ili jednostavno TOE.

Publika
Ovaj dokument je napisan za administratore koji instaliraju i konfigurišu TOE. Ovaj dokument pretpostavlja da ste upoznati s osnovnim konceptima i terminologijama koje se koriste u umrežavanju i da razumijete topologiju vaše mreže i protokole koje uređaji u vašoj mreži mogu koristiti, da ste osoba od povjerenja i da ste obučeni za korištenje operativnih sisteme na kojima pokrećete svoju mrežu.

Svrha
Ovaj dokument je Operativni korisnički vodič s pripremnim procedurama za evaluaciju zajedničkih kriterija. Napisano je da istakne specifičnu konfiguraciju TOE i administratorske funkcije i interfejse koji su neophodni za konfigurisanje i održavanje TOE u procenjenoj konfiguraciji. Ovaj dokument nema za cilj da detaljno opisuje specifične radnje koje obavlja administrator, već je mapa puta za identifikaciju odgovarajućih lokacija u Cisco dokumentaciji za dobijanje specifičnih detalja za konfigurisanje i održavanje operacija AnyConnect Secure Mobility Client. Sve naredbe relevantne za sigurnost za upravljanje TSF podacima su date u ovoj dokumentaciji unutar svakog funkcionalnog odjeljka.

Reference dokumenata
Ovaj odeljak navodi dokumentaciju Cisco Systems koja je takođe deo liste stavki konfiguracije zajedničkih kriterijuma (CI). Korišteni dokumenti prikazani su ispod u Tabeli 1. U cijelom ovom dokumentu vodiči će se pozivati ​​na “#”, kao što je [1].

Tabela 1 Cisco dokumentacija

#	Naslov	Link
1	Cisco Secure Client (uključujući AnyConnect) Administratorski vodič, izdanje 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Vodič za administratore Cisco AnyConnect mobilnih platformi, izdanje 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Apple iOS korisnički vodič za Cisco AnyConnect Secure Mobility Client, izdanje 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Napomene o izdanju za Cisco AnyConnect Secure Mobility Client, izdanje 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	Napomene o izdanju za Cisco Secure Client (uključujući AnyConnect), izdanje 5 za Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

TOE Overview
TOE je Cisco AnyConnect Secure Mobility Client (u daljem tekstu VPN klijent ili TOE). Cisco AnyConnect Secure Mobility Client pruža udaljenim korisnicima sigurne IPsec (IKEv2) VPN veze na Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway omogućavajući instaliranim aplikacijama da komuniciraju kao da su direktno povezane na mrežu preduzeća.

Operativno okruženje
TOE zahtijeva sljedeće komponente IT okruženja kada je TOE konfiguriran u svojoj procijenjenoj konfiguraciji:

Tabela 2. Komponente operativnog okruženja

Komponenta	Opis upotrebe/svrhe
Tijelo za izdavanje certifikata	Autoritet za izdavanje certifikata se koristi za pružanje valjanih digitalnih certifikata.
Mobile Platform	TOE se oslanja na bilo koju od sljedećih CC validiranih Apple platformi mobilnih uređaja: Apple iPhone 11/XR koji koristi iOS 16
VPN Gateway serije ASA 5500-X	Cisco ASA 5500-X sa verzijom softvera 9.2.2 ili novijom funkcioniše kao glavni VPN mrežni prolaz.
ASDM platforma za upravljanje	ASDM 7.7 radi iz bilo kojeg od sljedećih operativnih sistema: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 i Server 2019 Apple OS X 10.4 ili noviji Imajte na umu da je taj ASDM softver instaliran na ASA uređaju i da se platforma za upravljanje koristi za povezivanje na ASA i pokretanje ASDM. Jedini softver instaliran na platformi za upravljanje je Cisco ASDM Launcher.

Osnovna mobilna platforma pruža neke od sigurnosnih funkcija potrebnih u MOD_VPNC_V2.4] i označena je izrazom “TOE platforma” u ovom dokumentu.

Cisco AnyConnect TOE koristi mrežne hardverske resurse na mobilnoj OS platformi za slanje i primanje šifrovanih paketa. TOE ne pristupa spremištima osjetljivih informacija.

Reference u ovom dokumentu na “ASA” odnose se na VPN Gateway

Isključena funkcionalnost

Dolje navedena funkcionalnost nije uključena u procijenjenu konfiguraciju.

Tabela 3. Isključena funkcionalnost i obrazloženje

Funkcija isključena	Obrazloženje
Način rada koji nije FIPS 140-2	TOE uključuje FIPS način rada. FIPS modovi dozvoljavaju TOE-u da koristi samo odobrenu kriptografiju. FIPS način rada mora biti omogućen da bi TOE radio u svojoj procijenjenoj konfiguraciji.
SSL tunel sa opcijama DLTS tuneliranja	[MOD_VPNC_V2.4] dozvoljava samo IPsec VPN tunel.

Ove usluge će biti onemogućene konfiguracijom. Isključivanje ove funkcionalnosti ne utiče na usklađenost sa zatraženom Protection Profiles.

Procedure i operativno uputstvo za IT okruženje

Za rad u svojoj procijenjenoj konfiguraciji, TOE zahtijeva najmanje jedan (1) Certificate Authority (CA), jedan (1) VPN Gateway i jedan (1) Apple iPhone mobilni uređaj.

Da bi ličilo na korisnička PKI okruženja, u ovom odeljku će se pominjati dvoslojno CA rešenje koje koristi vanmrežni korenski CA i podređeni CA preduzeća koji koristi Microsoft 2012 R2 autoritet za izdavanje sertifikata (CA). Mogu se koristiti drugi CA proizvodi umjesto Microsofta.

Osnovni CA je konfigurisan kao samostalni (radna grupa) server, dok je podređeni CA konfigurisan kao deo Microsoft domena sa omogućenim uslugama Active Directory. Sljedeća slika pruža vizualni prikaz TOE i IT

Životna sredina. TOE je softverska aplikacija koja radi na iOS-u 13. Granica TOE-a je označena crvenom crtom. Vidi sliku 1 ispod.

Slika 1. TOE i okruženje

Podređeni CA izdaje X.509 digitalne certifikate i obezbjeđuje listu opoziva certifikata (CRL) TOE platformi i VPN pristupniku.
Alternativno, jedan (1) jedan korijenski Enterprise CA može biti raspoređen.

• Instalirajte i konfigurirajte ovlaštenje za izdavanje certifikata

Ako koristite Microsoftovo dvoslojno CA rješenje, instalirajte i konfigurirajte korijenski (GRAYCA) i podređeni autoritet certifikata poduzeća (GRAYSUBCA1) u skladu sa uputama dobavljača. U nastavku slijedi vodič korak po korak za konfiguraciju Microsoft Active Directory Certificate Services:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Pretpostavlja se da su i Offline Root CA (GRAYCA) certifikat i Enterprise Subordinate CA (GRAYSUBCA1) certifikati prikazani na slici 1 instalirani i pouzdani kako bi se osiguralo uspostavljanje pouzdanog lanca certifikata. Ako koristite CA od dobavljača koji nije Microsoft, slijedite upute za instalaciju tog dobavljača CA.

Bez obzira na CA proizvod koji se koristi, RSA certifikat na ASA MORA imati sljedeća svojstva upotrebe ključa i proširene upotrebe ključa:

• Upotreba ključa: Digitalni potpis, Ugovor o ključu
• EKU: IP sigurnost IKE intermediate, IP end sigurnosni sistem

Polja Alternativni naziv subjekta (SAN) unutar ECDSA i RSA certifikata na ASA MORAJU odgovarati informacijama o vezi specificiranim u AnyConnect profile na klijenta.

• Instalirajte i konfigurirajte VPN Gateway

Instalirajte Cisco ASA 9.1 (ili noviji), opciono sa ASDM, u skladu sa vodičima za instalaciju i napomenama o izdanju odgovarajućim za verzije koje će se instalirati. ASDM omogućava upravljanje ASA-om iz grafičkog korisničkog interfejsa. Alternativno, ako administrator preferira, mogu se koristiti ekvivalentni koraci konfiguracije komandne linije (CLI).

Napomena o konfiguraciji: Pošto postoje parametri kojima upravlja ASA, administrator mrežnog prolaza mora slijediti korake u ovom odjeljku kako bi osigurao da je TOE u procijenjenoj konfiguraciji.

• Omogućite AnyConnect i IKEv2 na ASA. U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > AnyConnect Connection Profiles i potvrdite okvir Omogući Cisco AnyConnect i Dozvoli pristup pod IKEv2.
  
• Na AnyConnect Connection Profilena gore pomenutoj stranici, izaberite Sertifikat uređaja. Uvjerite se da NIJE označeno Koristi isti certifikat uređaja… i odaberite EC ID certifikat ispod ECDSA certifikata uređaja. Zatim odaberite U redu.
  
• Kreirajte IKEv2 kripto politiku koristeći algoritme dozvoljene u procijenjenoj konfiguraciji Common Criteria. U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > Napredno > IPsec > IKE politike i dodajte IKEv2 politiku.

Odaberite Dodaj i unesite 1 za najviši prioritet. Raspon je od 1 do 65535, s 1 najvišim prioritetom.

šifriranje:
AES: Određuje AES-CBC sa 128-bitnom šifriranjem ključa za ESP.
AES-256: Određuje AES-CBC sa 256-bitnom šifriranjem ključa za ESP.
AES-GCM-128: Određuje AES Galois Counter Mode 128-bitnu enkripciju
AES-GCM-256: Određuje AES Galois Counter Mode 256-bitnu enkripciju

DH grupa: Odaberite identifikator Diffie-Hellman grupe. Ovo koristi svaki IPsec peer za izvođenje zajedničke tajne, bez međusobnog prenošenja. Važeći izbori su: 19 i 20.

PRF Hash – Navedite PRF koji se koristi za konstrukciju materijala za ključeve za sve kriptografske algoritme koji se koriste u SA. Važeći odabiri su: sha256 i sha384

U ovom exampodaberite konfiguraciju:

 

Prioritet: 1

AES Galois Counter Mode (AES-GCM) 256-bitna enkripcija: Kada je odabran GCM, to isključuje potrebu za odabirom algoritma integriteta. To je zato što su mogućnosti autentičnosti ugrađene u GCM, za razliku od CBC-a (Cipher-Block Chaining).

Diffie-Hellman grupa: 20
Integrity Hash: Null
PRF Hash: sha384
Životni vijek: 86400

Odaberite Ok.

Napomena administratora: Ne ocjenjuje se korištenje bilo koje dodatne enkripcije, DH-grupe, integriteta ili PRF heša koji nije gore naveden.

Napomena administratora: Napredna kartica prikazuje parametar provođenja IKE snage. Osigurajte da je parametar Provedba snage sigurnosne asocijacije (SA) označen. Ovo osigurava da je snaga šifriranja IKEv2 veća od snage šifriranja njegovog podređenog IPsec SA šifriranja. Algoritmi veće snage će biti degradirani.

CLI ekvivalent je: crypto ipsec ikev2 sa-strength-enforcement

• Kreirajte IPSEC prijedlog. U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > Napredno > IPsec > IPsec prijedlozi (skupovi transformacije) i dodajte IKEv2 IPsec prijedlog. zatim izaberite Ok.
  U exampispod korišćenog imena je NGE-AES-GCM-256 sa AES-GCM-256 za šifrovanje i Null za heš integriteta:
  
  
• Kreirajte dinamičku kripto mapu, odaberite IPsec prijedlog i primijenite na vanjsko sučelje. U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > Napredno > IPsec > Kripto karte. Odaberite Dodaj, odaberite vanjsko sučelje i IKEv2 prijedlog.
  Kliknite karticu Napredno. Osigurajte sljedeće:
  Omogući NAT-T —Omogućava NAT Traversal (NAT-T) za ovu politiku
  Doživotna postavka sigurnosnog udruženja — postavljeno na 8 sati (28800 sekundi)
• Kreirajte skup adresa VPNUSERS koji će biti dodijeljen VPN korisnicima. Skupovi adresa sadrže sljedeća polja:
  Ime —Određuje ime koje je dodeljeno grupi IP adresa.
  Pokretanje IP adrese —Određuje prvu IP adresu u grupi.
  Završetak IP adrese —Određuje zadnju IP adresu u grupi.
  Subnet maska- Odabire podmrežnu masku za primjenu na adrese u grupi.

U ASDM-u idite na Konfiguracija > Udaljeni pristup VPN > Mrežni (klijentski) pristup > Dodjela adresa > Skupovi adresa i dodajte IP skup navodeći gornja polja, a zatim odaberite U redu.

Dodajte grupnu politiku koja će primijeniti željena podešavanja na VPN korisnike. Grupna pravila vam omogućavaju da upravljate AnyConnect VPN grupnim politikama. Politika VPN grupe je zbirka korisnički orijentiranih parova atributa/vrijednosti pohranjenih bilo interno na ASA uređaju. Konfiguriranje politike VPN grupe omogućava korisnicima da naslijede atribute koje niste konfigurirali na razini pojedinačne grupe ili korisničkog imena. Podrazumevano, VPN korisnici nemaju asocijaciju na grupnu politiku. Informacije o politici grupe koriste VPN grupe tunela i korisnički nalozi. U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > Grupne politike i Dodajte internu grupnu politiku. Uvjerite se da je protokol VPN tunela postavljen na IKEv2 i da je gore kreirano IP spremište referencirano u politici tako što ćete poništiti izbor u polju za potvrdu Naslijediti i odabrati odgovarajuću postavku. Relevantni DNS, WINS i nazivi domena također se mogu dodati u politiku u odjeljku Serveri.

Pogledajte npramppravila grupe NGE-VPN-GP u nastavku:

• Kreirajte naziv grupe tunela. Grupa tunela sadrži politike tunelske veze za IPsec vezu. Politika povezivanja može specificirati servere za provjeru autentičnosti, autorizaciju i računovodstvo, zadanu politiku grupe i IKE atribute.

U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > AnyConnect Connection Profiles. Na dnu stranice pod Connection Profiles, izaberite Dodaj.

U exampkoristi se le ispod imena grupe tunela NGE-VPN-RAS.

Konfiguracija se odnosi na provjeru autentičnosti certifikata, pridruženu grupnu politiku NGE-VPN-GP i Omogući IPsec (IKEv2). Ovdje se također može dodati DNS i naziv domene. Također osigurajte da se koristi samo IPsec tako što ne provjerite omogućavanje SSL VPN klijentskog protokola.

• Kreirajte mapu certifikata, mapirajući NGE VPN korisnike u grupu VPN tunela koja je prethodno kreirana. Mapa certifikata će se primijeniti na AC korisnike. U ovom scenariju, zajedničko ime podređenog CA je upareno kako bi se osiguralo da će dolazni zahtjev platforme TOE s EC certifikatom izdanim od podređenog CA biti mapiran u odgovarajuću grupu tunela koja je prethodno kreirana. VPN korisnici kojima nije izdana potvrda od EC CA vratit će se na zadane grupe tunela i
  nije uspjela autentikacija i bit će odbijen pristup.
  U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Napredno > Certifikat za AnyConnect i SSL VPN Connection Pro bez klijentafile Mape. Pod certifikatom za Connection Profile Mape izaberite Dodaj. Odaberite postojeću DefaultCertificateMap s prioritetom 10 i referencirajte grupu tunela NGE-RAS-VPN.
  
  U ASDM-u idite na Konfiguracija > VPN za daljinski pristup > Napredno > Certifikat za AnyConnect i SSL VPN Connection Pro bez klijentafile Mape. Pod Kriterij mapiranja odaberite Dodaj. Odaberite Izdavač za polje, Uobičajeno ime (CN) za komponentu, Sadrži za Operatora, a zatim odaberite U redu.
  
  Obavezno odaberite PRIMJENI na glavnoj stranici i SAČUVAJ konfiguraciju.
• Konfigurišite ASA da prihvata VPN veze sa AnyConnect VPN klijenta, koristite AnyConnect VPN čarobnjak. Ovaj čarobnjak konfigurira IPsec (IKEv2) VPN protokole za daljinski pristup mreži. Pogledajte upute ovdje:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Pripremne procedure i operativno uputstvo za TOE

Da biste instalirali Cisco Secure Client-AnyConnect TOE, slijedite dolje navedene korake:

1. Otvorite App Store.
2. Odaberite Traži
3. U polje za pretragu unesite Cisco Secure Client-AnyConnect
4. Dodirnite INSTALIRAJ APLIKACIJU
5. Odaberite Instaliraj

Pokrenite Cisco Secure Client-AnyConnect

Dodirnite ikonu Cisco Secure Client-AnyConnect da pokrenete aplikaciju. Ako je ovo prvi put da pokrećete Cisco Secure Client-AnyConnect nakon instaliranja ili nadogradnje, izaberite OK da omogućite TOE da proširi mogućnosti virtuelne privatne mreže (VPN) vašeg uređaja

Provjera integriteta

Provjera integriteta se obavlja svaki put kada se aplikacija učita i čeka se da se provjera integriteta završi. Kriptografske usluge koje pruža iOS platforma se pozivaju da bi se provjerio digitalni potpis izvršnog fajla TOE-a files. Ako se provjera integriteta ne završi uspješno, GUI se neće učitati, što aplikaciju čini neupotrebljivom. Ako je provjera integriteta uspješna, GUI aplikacije će se učitati i normalno raditi.

Konfigurirajte referentni identifikator

Ovaj odjeljak specificira konfiguraciju referentnog identifikatora za VPN Gateway peer. Tokom IKE faze 1 autentifikacije, TOE uspoređuje referentni identifikator sa identifikatorom predstavljenim od strane VPN Gatewaya. Ako TOE utvrdi da se ne podudaraju, autentifikacija neće uspjeti.

Odaberite Veze na početnom ekranu do view unose koji su već konfigurisani na vašem uređaju. Može biti navedeno više unosa veza, neki pod naslovom VPN po aplikaciji. Unosi veze mogu imati sljedeći status:

• Omogućeno— Ovaj unos veze omogućava upravitelj mobilnih uređaja i može se koristiti za povezivanje.
• Aktivan— Ovaj označeni ili istaknuti unos veze je trenutno aktivan.
• Povezano— Ovaj unos veze je aktivan i trenutno je povezan i radi.
• Isključeno— Ovaj unos veze je aktivan, ali je trenutno prekinut i ne radi.

Za uputstva pogledajte “Ručno dodajte ili izmijenite unose veze” odeljak [3].

Konfigurirajte korištenje certifikata

AnyConnect zahtijeva X.509 certifikat. Pogledajte na “Konfiguriraj certifikate” odeljak [3].

Blokirajte nepouzdane servere

Ova postavka aplikacije određuje da li AnyConnect blokira veze kada ne može identificirati sigurni gateway.
Ova zaštita je podrazumevano UKLJUČENA i ne sme se isključiti.

AnyConnect koristi certifikat primljen od servera da potvrdi svoju identifikaciju. Ako postoji greška u certifikatu zbog isteka ili nevažećeg datuma, pogrešnog korištenja ključa ili nepodudaranja imena, veza je blokirana.

Postavite VPN FIPS način rada
VPN FIPS način koristi kriptografske algoritme Federalnih standarda za obradu informacija (FIPS) za sve VPN veze.

1. U aplikaciji Cisco Secure Client-AnyConnect dodirnite Postavke.
2. Dodirnite FIPS način rada da omogućite ovu postavku.

Da bi se ispunili kriptografski zahtjevi u ST-u, FIPS način rada mora biti omogućen. Nakon potvrde vaše promjene FIPS načina, aplikacija izlazi i mora se ručno ponovo pokrenuti. Nakon ponovnog pokretanja, vaša postavka FIPS načina je na snazi.

Strict Certificate Trust Mode

Ova postavka konfiguriše Cisco Secure Client-AnyConnect TOE da onemogući sertifikat glavnog VPN mrežnog prolaza koji ne može automatski da potvrdi.

1. U početnom prozoru dodirnite Meni > Postavke.
2. Omogućite strogi način pouzdanosti certifikata.

Prilikom sljedećeg pokušaja povezivanja, Strict Certificate Trust će biti omogućen

Provjerite opoziv certifikata

Ova postavka kontroliše da li će Cisco Secure Client-AnyConnect TOE odrediti status opoziva sertifikata primljenog od glavnog VPN mrežnog prolaza. Ova postavka mora biti UKLJUČENA i ne smije biti isključena.

1. U početnom prozoru AnyConnect dodirnite Meni > Postavke.
2. Omogućite provjeru opoziva certifikata da omogućite ovu postavku.

Operativni vodič za TOE

Uspostavite VPN vezu

Pogledajte na “Uspostavite a VPN veza” odeljak [3].

Administrator treba da ima u vidu sledeća pravila ZAŠTITE, BYPASS i ODBACI u vezi sa korišćenjem IPsec-a u AnyConnect-u:

• PROTECT
  Unosi za PROTECT se konfiguriraju putem grupne politike udaljenog pristupa na ASA koristeći ASDM. Za PROTECT unose, promet teče kroz IPsec VPN tunel koji osigurava TOE. Nije potrebna konfiguracija za cijeli promet TOE tunela. Administrator opciono može eksplicitno postaviti ovo ponašanje pomoću naredbe u svojim grupnim pravilima: split-tunnel-policy tunnelall
• OBLAST
  TOE podržava BYPASS operacije (kada je podijeljeno tuneliranje eksplicitno dozvoljeno politikom udaljenog pristupa). Kada je podijeljeno tuneliranje omogućeno, ASA VPN Gateway gura listu mrežnih segmenata u TOE da PROTECT. Sav drugi promet putuje nezaštićen bez uključivanja TOE-a, čime se zaobilazi IPsec zaštita.
  Podijeljeno tuneliranje je konfigurirano u politici grupe pristupa mreži (klijent). Administrator ima sljedeće opcije:
  Isključi specificirano: Izuzmi samo mreže određene split-tunnel-network-list
  Tunel specificiran: Mreže samo za tunele određene listom split-tunnel-network Pogledajte odjeljak “O konfiguriranju podijeljenog tunela za AnyConnect promet” u vodiču za konfiguraciju VPN ASDM i pogledajte korake u odjeljku “Konfiguriranje Split-tunnelinga za AnyConnect promet”. Nakon što napravite promjene u grupnoj politici u ASDM-u, provjerite jesu li grupna politika povezana s Connection Profile u Konfiguracija > VPN za daljinski pristup > Mrežni (klijentski) pristup > AnyConnect Connection Profiles > Dodaj/uredi > Politika grupe. BYPASS SPD unose osigurava host platforma putem implicitnih pravila dozvole mrežnog prometa. Nije potrebna nikakva konfiguracija na platformi TOE koja bi joj omogućila prolazak ovog saobraćaja.
• ODBACI
  DISCARD pravila se izvršavaju isključivo od strane TOE platforme. Ne postoji administrativni interfejs za određivanje pravila ODBACI.

Nadgledanje i rješavanje problema

Pogledajte na Nadgledanje i rješavanje problema odeljak [3].

Izlazak iz Cisco Secure Client-AnyConnect
Izlazak iz aplikacije prekida trenutnu VPN vezu i zaustavlja sve TOE procese. Koristite ovu akciju štedljivo. Druge aplikacije ili procesi na vašem uređaju mogu koristiti trenutnu VPN vezu i izlazak iz aplikacije Cisco Secure Client-AnyConnect može negativno utjecati na njihov rad.

U početnom prozoru dodirnite Meni > Izađi.

Kriptografska podrška
TOE pruža kriptografiju za podršku IPsec-a sa ESP simetričnom kriptografijom za masovno AES šifriranje/dešifriranje i SHA-2 algoritmom za heširanje. Osim toga, TOE obezbjeđuje kriptografiju za podršku Diffie Hellmanove funkcije razmjene ključeva i derivacije koja se koristi u IKEv2 i ESP protokolima. Uputstva za konfiguriranje kriptografskih funkcija opisana su u odjeljku “Procedure i operativne upute za IT okruženje” ovog dokumenta.

Trusted Updates

Ovaj odjeljak pruža upute za sigurno prihvatanje TOE-a i svih naknadnih ažuriranja TOE-a. “Ažuriranja” su nova verzija TOE.

ToE verzija može biti postavljena od strane korisnika. Na početnom ekranu dodirnite “O”. Versioniranje se također može zatražiti putem mobilne platforme:

• iPhone: Otvorite Postavke i idite na Općenito > Upotreba. U okviru Storage, pronađite Cisco Secure Client Any Connect i dodirnite. Prikazaće se informacije o verziji.

Ažuriranjem Cisco Secure Client-AnyConnect TOE se upravlja putem Apple App Store-a koristeći proceduru u nastavku.

Napomena: Prije nadogradnje uređaja morate prekinuti VPN sesiju ako je uspostavljena i zatvoriti aplikaciju ako je otvorena. Ako to ne učinite, potrebno je ponovno pokretanje vašeg uređaja prije korištenja nove verzije Cisco Secure Client-AnyConnect TOE.

1. Dodirnite ikonu App Store na početnoj stranici iOS-a.
2. Dodirnite obaveštenje o nadogradnji Cisco Secure Client-AnyConnect.
3. Pročitajte o novim funkcijama.
4. Kliknite na Ažuriraj.
5. Unesite lozinku za Apple ID.
6. Dodirnite OK.

Ažuriranje se nastavlja.

Pribavljanje dokumentacije i podnošenje zahtjeva za uslugu

Za informacije o pribavljanju dokumentacije, korištenjem Cisco alata za pretraživanje grešaka (BST), podnošenju zahtjeva za uslugu i prikupljanju dodatnih informacija, pogledajte Šta je novo u dokumentaciji Cisco proizvoda.

Da biste dobili novi i revidirani Cisco tehnički sadržaj direktno na radnu površinu, možete se pretplatiti na Šta je novo u dokumentaciji Cisco proizvoda RSS feed. RSS izvori su besplatna usluga.

Kontaktirajte Cisco

Cisco ima više od 200 kancelarija širom sveta. Adrese, brojevi telefona i brojevi faksa su navedeni na Cisco-u website at www.cisco.com/go/offices.

Dokumenti / Resursi

CISCO AnyConnect 5.0 Secure Client [pdf] Korisnički priručnik 5.0 za iOS 16, AnyConnect 5.0 siguran klijent, 5.0 siguran klijent, siguran klijent, klijent

Reference

• Uputstvo za upotrebu