CISCO AnyConnect 5.0 Secure Client User Guide
Pasiuna sa Dokumento
Giandam ni:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134
Kini nga dokumento naghatag og Giya sa IT personnel alang sa TOE, Cisco Secure Client - AnyConnect 5.0 para sa iOS 16. Kini nga Guidance nga dokumento naglakip sa mga instruksyon aron malampusong ma-install ang TOE sa Operational Environment, mga instruksiyon sa pagdumala sa seguridad sa TSF, ug mga instruksiyon sa paghatag og usa ka giprotektahan nga katakus sa pagdumala.
Kasaysayan sa Pagbag-o
| Bersyon | Petsa | Pagbag-o |
| 0.1 | Mayo 1, 2023 | Inisyal nga Bersyon |
| 0.2 | Hulyo 27, 2023 | Mga update |
Ang Cisco ug ang logo sa Cisco maoy mga marka sa pamatigayon o mga rehistradong marka sa pamatigayon sa Cisco ug/o mga kaubanan niini sa US ug ubang mga nasod. Sa view usa ka lista sa mga marka sa pamatigayon sa Cisco, adto niini URL: www.cisco.com/go/trademarks. Ang mga trademark sa ikatulo nga partido nga gihisgutan mao ang kabtangan sa ilang tagsa-tagsa nga mga tag-iya. Ang paggamit sa pulong nga partner wala magpasabot ug partnership nga relasyon tali sa Cisco ug sa bisan unsa nga kompanya. (1110R)
© 2023 Cisco Systems, Inc. Tanang katungod gigahin.
Pasiuna
Kini nga Operational User Guidance with Preparative Procedures nagdokumento sa administrasyon sa Cisco Secure ClientAnyConnect v5.0 para sa Apple iOS 16 TOE, tungod kay kini gi-certify ubos sa Common Criteria. Ang Cisco Secure Client-AnyConnect v5.0 para sa Apple iOS 16 mahimong i-refer sa ubos sa may kalabutan nga acronym eg VPN Client o yano nga TOE.
Mamiminaw
Kini nga dokumento gisulat alang sa mga tigdumala nga nag-instalar ug nag-configure sa TOE. Kini nga dokumento nagtuo nga pamilyar ka sa mga batakang konsepto ug terminolohiya nga gigamit sa internetworking, ug nakasabut sa imong topology sa network ug sa mga protocol nga magamit sa mga aparato sa imong network, nga ikaw usa ka kasaligan nga indibidwal, ug nga ikaw gibansay sa paggamit sa operating mga sistema diin imong gipadagan ang imong network.
Katuyoan
Kini nga dokumento mao ang Operasyon nga Giya sa Gumagamit nga adunay Mga Pamaagi sa Pangandam alang sa Pagtimbang-timbang sa Common Criteria. Gisulat kini aron i-highlight ang piho nga configuration sa TOE ug mga function sa administrator ug mga interface nga gikinahanglan aron ma-configure ug mamentinar ang TOE sa gi-evaluate nga configuration. Kini nga dokumento wala gituyo aron sa pagdetalye sa mga piho nga aksyon nga gihimo sa administrador apan usa ka mapa sa dalan alang sa pag-ila sa angay nga mga lokasyon sa sulod sa dokumentasyon sa Cisco aron makuha ang piho nga mga detalye alang sa pag-configure ug pagpadayon sa mga operasyon sa AnyConnect Secure Mobility Client. Ang tanan nga may kalabotan sa seguridad nga mga mando sa pagdumala sa datos sa TSF gihatag sa sulod niini nga dokumentasyon sulod sa matag functional nga seksyon.
Mga Reperensya sa Dokumento
Kini nga seksyon naglista sa dokumentasyon sa Cisco Systems nga usa usab ka bahin sa Common Criteria Configuration Item (CI) List. Ang mga dokumento nga gigamit gipakita sa ubos sa Talaan 1. Sa tibuok niini nga dokumento, ang mga giya i-refer sa "#", sama sa [1].
Talaan 1 Cisco Documentation
TOE Overview
Ang TOE mao ang Cisco AnyConnect Secure Mobility Client (dinhi human gitawag nga VPN client, o ang TOE). Ang Cisco AnyConnect Secure Mobility Client naghatag sa mga hilit nga tiggamit og luwas nga IPsec (IKEv2) VPN nga koneksyon sa Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway nga nagtugot sa mga na-install nga aplikasyon nga makigkomunikar nga daw konektado direkta sa network sa negosyo.
Operasyon nga Kalikopan
Ang TOE nanginahanglan sa mosunod nga IT Environment Components kung ang TOE na-configure sa iyang gi-evaluate nga configuration:
Talaan 2. Mga Sakop sa Kalikopan sa Operasyon
| Component | Deskripsyon sa Paggamit/Katuyoan |
| certificate Authority | Ang Awtoridad sa Sertipiko gigamit sa paghatag ug balido nga digital nga mga sertipiko. |
| Platform sa Mobile | Ang TOE nagsalig sa bisan asa sa mosunod nga CC validated Apple mobile device platforms:
|
| ASA 5500-X nga serye sa VPN Gateway | Ang Cisco ASA 5500-X nga adunay software nga bersyon 9.2.2 o sa ulahi naglihok isip head-end VPN Gateway. |
| Platform sa Pagdumala sa ASDM | Ang ASDM 7.7 naglihok gikan sa bisan asa sa mosunod nga mga operating system:
|
Ang nagpahiping Mobile nga plataporma naghatag sa pipila sa mga gamit sa seguridad nga gikinahanglan sa MOD_VPNC_V2.4] ug gipunting gamit ang hugpong sa pulong "TOE Platform" niini nga dokumento.
Ang Cisco AnyConnect TOE naggamit sa mga kahinguhaan sa hardware sa network sa mobile OS platform aron magpadala ug makadawat sa mga naka-encrypt nga pakete. Ang TOE dili maka-access sa sensitibo nga mga repositoryo sa impormasyon.
Ang mga pakisayran niini nga dokumento sa "ASA" nagtumong sa usa ka VPN Gateway
Wala Giapil nga Pag-andar
Ang pagpaandar nga gilista sa ubos wala maapil sa gi-evaluate nga configuration.
Talaan 3. Wala Giapil nga Kalihokan ug Rationale
| Wala Giapil ang Function | Pangatarungan |
| Non-FIPS 140-2 nga paagi sa operasyon | Ang TOE naglakip sa FIPS mode sa operasyon. Ang mga FIPS mode nagtugot sa TOE sa paggamit lamang sa giaprobahan nga cryptography. Ang paagi sa pag-opera sa FIPS kinahanglan nga ma-enable aron ang TOE makalihok sa iyang gi-evaluate nga configuration. |
| SSL Tunnel nga adunay mga kapilian sa DLTS tunneling | [MOD_VPNC_V2.4] gitugotan lamang ang tunel sa IPsec VPN. |
Kini nga mga serbisyo ma-disable pinaagi sa pag-configure. Ang dili paglakip niini nga pagpaandar wala makaapekto sa pagsunod sa giangkon nga Proteksyon Profiles.
Mga Pamaagi ug Giya sa Operasyon para sa IT Environment
Aron makalihok sa iyang gi-evaluate nga configuration, ang TOE nagkinahanglan ug usa ka minimum nga usa (1) Certificate Authority (CA), usa (1) VPN Gateway, ug usa (1) Apple iPhone mobile device.
Aron mahisama sa customer nga PKI environment, usa ka two-tier CA nga solusyon gamit ang Offline Root CA ug usa ka Enterprise Subordinate CA nga naggamit sa Microsoft 2012 R2 Certificate Authority (CA) ang i-reference niini nga seksyon. Ang ubang mga produkto sa CA puli sa Microsoft mahimong gamiton.
Ang usa ka Root CA gi-configure isip usa ka standalone (Workgroup) server samtang ang Subordinate CA gi-configure isip kabahin sa usa ka domain sa Microsoft nga adunay mga serbisyo sa Active Directory. Ang mosunud nga numero naghatag usa ka biswal nga paghulagway sa TOE ug IT
Kalibutan. Ang TOE usa ka software app nga nagdagan sa iOS 13. Ang TOE boundary gipaila sa hash red line. Tan-awa ang hulagway 1 sa ubos.
Figure 1. TOE ug Environment
Ang Subordinate CA nag-isyu sa X.509 digital certificates ug naghatag ug Certificate Revocation List (CRL) sa TOE Platform ug VPN Gateway.
Sa laing bahin, usa (1) ka single root Enterprise CA ang mahimong i-deploy.
- I-install ug I-configure ang Awtoridad sa Sertipiko
Kung naggamit ug Microsoft two-tier CA solution, i-install ug i-configure ang Root (GRAYCA) ug Enterprise Subordinate Certificate Authority (GRAYSUBCA1) subay sa giya gikan sa vendor. Ang mosunud usa ka lakang-sa-lakang nga giya alang sa pag-configure sa Microsoft Active Directory Certificate Services:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Gituohan nga pareho ang Offline Root CA (GRAYCA) nga sertipiko ug ang Enterprise Subordinate CA (GRAYSUBCA1) nga mga sertipiko nga gihulagway sa numero 1 gi-install ug gisaligan aron masiguro ang usa ka kasaligan nga kadena sa sertipiko natukod. Kung naggamit ug CA gikan sa usa ka vendor gawas sa Microsoft, sunda ang giya sa pag-install sa CA nga vendor.
Bisan unsa pa ang gigamit nga produkto sa CA, ang sertipiko sa RSA sa ASA KINAHANGLANG adunay mosunod nga Key Usage ug Extended Key Usage nga kabtangan:
- Key Paggamit: Digital Signature, Key Agreement
- EKU: IP seguridad IKE intermediate, IP katapusan nga sistema sa seguridad
Ang Subject Alternative Name (SAN) nga mga field sulod sa ECDSA ug RSA nga mga sertipiko sa ASA KINAHANGLANG motakdo sa impormasyon sa koneksyon nga gipiho sulod sa AnyConnect profile sa kliyente.
- I-install ug I-configure ang VPN Gateway
I-install ang Cisco ASA 9.1 (o mas ulahi), opsyonal sa ASDM, subay sa mga giya sa pag-install ug mga nota sa pagpagawas nga angay alang sa mga bersyon nga i-install. Gitugotan sa ASDM ang ASA nga madumala gikan sa usa ka graphical user interface. Sa laing paagi, kung gusto sa tagdumala, ang katumbas nga command line (CLI) nga mga lakang sa pag-configure mahimong magamit.
Nota sa Pag-configure: Ingon nga adunay mga parameter nga gidumala sa ASA, ang Gateway Administrator kinahanglan nga mosunod sa mga lakang niini nga seksyon aron masiguro nga ang TOE naa sa iyang gisusi nga configuration.
- I-enable ang AnyConnect ug IKEv2 sa ASA. Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles ug pilia ang Enable Cisco AnyConnect checkbox ug Allow Access ubos sa IKEv2.
- Sa AnyConnect Connection Profiles panid nga gihisgutan sa ibabaw, pilia ang Sertipiko sa Device. Siguruha nga ang Paggamit sa parehas nga sertipiko sa aparato… DILI gisusi ug pilia ang sertipiko sa EC ID sa ilawom sa sertipiko sa aparato sa ECDSA. Unya pilia ang Ok.
- Paghimo og polisiya sa IKEv2 crypto gamit ang mga algorithm nga gitugot sa Common Criteria nga gi-evaluate nga configuration. Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IKE Policies ug idugang ang IKEv2 policy.
Pilia ang Idugang ug isulod ang 1 para sa pinakataas nga prayoridad. Ang sakup mao ang 1 hangtod 65535, nga adunay 1 ang labing taas nga prayoridad.
Encryption:
AES: Gipiho ang AES-CBC nga adunay 128-bit key encryption para sa ESP.
AES-256: Gipiho ang AES-CBC nga adunay 256-bit key encryption para sa ESP.
AES-GCM-128: Gipiho ang AES Galois Counter Mode 128-bit encryption
AES-GCM-256: Gipiho ang AES Galois Counter Mode 256-bit encryption
Grupo sa DH: Pilia ang Diffie-Hellman group identifier. Gigamit kini sa matag IPsec peer aron makuha ang gipaambit nga sekreto, nga dili ipadala kini sa usag usa. Ang balido nga mga Pagpili mao ang: 19 ug 20.
PRF Hash – Ipiho ang PRF nga gigamit para sa pagtukod sa keying material para sa tanang cryptographic algorithms nga gigamit sa SA. Ang balido nga mga pagpili mao ang: sha256 ug sha384
Niining examppagpili sa configuration:
Prayoridad: 1
AES Galois Counter Mode (AES-GCM) 256-bit nga pag-encrypt: Kung gipili ang GCM, gipugngan niini ang panginahanglan sa pagpili sa usa ka algorithm sa integridad. Kini tungod kay ang mga kapabilidad sa pagkatinuod gitukod sa GCM, dili sama sa CBC (Cipher-Block Chaining).
Grupo sa Diffie-Hellman: 20
Integridad nga Hash: Null
PRF Hash: sha384
tibuok kinabuhi: 86400
Pagpili Ok.
Mubo nga sulat sa Administrator: Ang paggamit sa bisan unsang Dugang nga Encryption, DH-Group, Integrity o PRF Hash nga wala nalista sa ibabaw wala gisusi.
Mubo nga sulat sa Administrator: Ang advanced tab nagpakita sa IKE strength enforcement parameter. Siguroha nga ang Security Association (SA) Strength Enforcement parameter gisusi. Kini nagsiguro nga ang kalig-on sa IKEv2 encryption cipher mas taas kay sa kusog sa iyang anak nga IPsec SA's encryption ciphers. Ang mas taas nga kusog nga mga algorithm ipaubos.
Ang katumbas sa CLI mao ang: crypto ipsec ikev2 sa-kusog-pagpatuman
- Paghimo ug IPSEC proposal. Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IPsec Proposals (Transform Sets) ug idugang ang IKEv2 IPsec Proposal. unya pilia ang Ok.
Sa exampAng ubos sa ngalan nga gigamit mao ang NGE-AES-GCM-256 nga adunay AES-GCM-256 alang sa pag-encrypt ug Null alang sa Integrity Hash:
- Paghimo usa ka dinamikong mapa sa crypto, pilia ang sugyot sa IPsec ug i-apply sa gawas nga interface. Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Crypto Maps. Pilia ang Idugang, pilia ang interface sa gawas ug ang sugyot sa IKEv2.
I-klik ang Advanced Tab. Siguroha ang mosunod:
I-enable ang NAT-T — Makapahimo sa NAT Traversal (NAT-T) para niini nga polisiya
Tibuok Kinabuhi nga Setting sa Security Association — gitakda sa 8 ka oras (28800 segundos) - Paghimo ug address pool VPNUSERS nga i-assign sa VPN users. Ang mga address pool naglangkob sa mosunod nga mga field:
Ngalan —Gipiho ang ngalan nga gi-assign sa IP address pool.
Pagsugod sa IP Address —Gipiho ang unang IP address sa pool.
Pagtapos sa IP Address —Gipiho ang katapusang IP address sa pool.
Subnet Mask— Gipili ang subnet mask aron magamit sa mga adres sa pool.
Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools ug pagdugang og IP pool nga nagtino sa mga natad sa ibabaw ug dayon pilia ang Ok.
Pagdugang usa ka palisiya sa grupo nga magamit ang gusto nga mga setting sa mga tiggamit sa VPN. Ang Mga Patakaran sa Grupo nagtugot kanimo sa pagdumala sa mga polisiya sa grupo sa AnyConnect VPN. Ang polisiya sa grupo sa VPN maoy usa ka koleksyon sa user-oriented attribute/value pairs nga gitipigan sa sulod sa ASA device. Ang pag-configure sa polisiya sa grupo sa VPN nagtugot sa mga tiggamit nga makapanunod sa mga hiyas nga wala nimo ma-configure sa indibidwal nga grupo o lebel sa username. Sa kasagaran, ang mga tiggamit sa VPN walay asosasyon sa polisiya sa grupo. Ang impormasyon sa polisiya sa grupo gigamit sa mga grupo sa tunnel sa VPN ug mga account sa tiggamit. Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > Group Polices ug Add an internal group policy. Siguruha nga ang VPN tunnel protocol gitakda sa IKEv2 ug ang IP pool nga gihimo sa ibabaw gi-refer sa palisiya pinaagi sa pagtangtang sa pagpili sa Inherit check box ug pagpili sa angay nga setting. Ang may kalabotan nga DNS, WINS ug mga ngalan sa domain mahimo usab nga idugang sa palisiya sa seksyon sa Mga Server.
Refer sa exampAng polisiya sa grupo NGE-VPN-GP sa ubos:
- Paghimo og ngalan sa grupo sa tunnel. Ang usa ka grupo sa tunel adunay mga polisiya sa koneksyon sa tunel alang sa koneksyon sa IPsec. Ang usa ka polisiya sa koneksyon mahimong magtino sa pag-ila, pagtugot, ug mga server sa accounting, usa ka default nga polisiya sa grupo, ug mga hiyas sa IKE.
Sa ASDM, adto sa Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Sa ubos sa panid ubos sa Connection Profiles, pilia ang Idugang.
Sa exampAng ubos sa ngalan sa grupo sa tunnel NGE-VPN-RAS gigamit.
Ang configuration references Certificate authentication, ang kaubang group policy NGE-VPN-GP ug Enable IPsec (IKEv2). Ang DNS ug domain name mahimo usab nga idugang dinhi. Siguruha usab nga IPsec lamang ang gigamit pinaagi sa dili pagsusi sa pagpagana sa SSL VPN Client Protocol.
- Paghimo og usa ka mapa sa sertipiko, pagmapa sa mga tiggamit sa NGE VPN ngadto sa grupo sa tunel sa VPN nga kaniadto gibuhat. Ang mapa sa sertipiko magamit sa mga tiggamit sa AC. Niini nga senaryo, ang Subordinate CA komon nga ngalan gipares aron masiguro nga ang umaabot nga TOE nga hangyo sa plataporma nga adunay EC certificate nga gi-isyu gikan sa Subordinate CA ma-mapa ngadto sa angay nga tunnel nga grupo nga kaniadto gibuhat. Ang mga tiggamit sa VPN nga wala gi-isyu og sertipiko gikan sa EC CA mahibalik sa default nga mga grupo sa tunnel ug
mapakyas sa pag-authenticate ug dili ma-access.
Sa ASDM, adto sa Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect ug Clientless SSL VPN Connection Profile Mga mapa. Ubos sa Sertipiko sa Koneksyon Profile Mapa pilia ang Idugang. Pilia ang kasamtangan nga DefaultCertificateMap nga adunay prayoridad nga 10 ug i-reference ang NGE-RAS-VPN tunnel group.
Sa ASDM, adto sa Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect ug Clientless SSL VPN Connection Profile Mga mapa. Ubos sa Mapping Criteria pilia ang Idugang. Pilia ang Issuer para sa field, Common Name (CN) para sa component, Contains for Operator, ug unya pilia ang Ok.
Siguroha nga pilion ang APPLY sa main page ug SAVE ang configuration. - I-configure ang ASA aron dawaton ang mga koneksyon sa VPN gikan sa kliyente sa AnyConnect VPN, gamita ang AnyConnect VPN Wizard. Kini nga wizard nag-configure sa IPsec (IKEv2) VPN nga mga protocol alang sa layo nga pag-access sa network. Tan-awa ang mga instruksyon dinhi:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
Mga Pamaagi sa Pangandam ug Giya sa Operasyon alang sa TOE
Aron ma-install ang Cisco Secure Client-AnyConnect TOE, sunda ang mga lakang sa ubos:
- Ablihi ang App Store.
- Pilia ang Pangita
- Sa Search Box, isulod ang Cisco Secure Client-AnyConnect
- I-tap ang INSTALL APP
- Pilia ang Pag-install
Pagsugod sa Cisco Secure Client-AnyConnect
I-tap ang Cisco Secure Client-AnyConnect icon aron masugdan ang aplikasyon. Kung kini ang una nga higayon nga nagsugod ka sa Cisco Secure Client-AnyConnect pagkahuman sa pag-install o pag-upgrade, pilia ang OK aron mahimo ang TOE sa pagpalapad sa mga kapabilidad sa Virtual Private Network (VPN) sa imong aparato.
Pagpamatuod sa Integridad
Ang pag-verify sa integridad gihimo sa matag higayon nga ma-load ang app ug maghulat kini nga makompleto ang pag-verify sa integridad. Ang mga serbisyo sa cryptographic nga gihatag sa platform sa iOS gihangyo aron mapamatud-an ang digital nga pirma sa ma-executable sa TOE. files. Kung ang pag-verify sa integridad mapakyas sa malampuson nga pagkompleto, ang GUI dili mag-load, nga dili magamit ang app. Kung malampuson ang pag-verify sa integridad, ang GUI sa app mag-load ug molihok nga normal.
I-configure ang Reference Identifier
Kini nga seksyon nagtino sa configuration sa reference identifier alang sa VPN Gateway peer. Atol sa IKE phase 1 authentication, ang TOE nagtandi sa reference identifier sa identifier nga gipresentar sa VPN Gateway. Kung nahibal-an sa TOE nga dili sila magkatugma, ang pag-authenticate dili molampos.
Pagpili Mga Koneksyon gikan sa home screen sa view ang mga entry nga na-configure na sa imong device. Mahimong ilista ang daghang mga entry sa koneksyon, ang uban ubos sa ulohan sa Per-App VPN. Ang mga entry sa koneksyon mahimong adunay mosunod nga kahimtang:
- Gipaandar— Kini nga pagsulod sa koneksyon gipalihok sa manager sa mobile device ug mahimong magamit sa pagkonektar.
- Aktibo- Kini nga gimarkahan o gipasiugda nga pagsulod sa koneksyon aktibo karon.
- Konektado- Kini nga koneksyon entry mao ang aktibo ug sa pagkakaron konektado ug naglihok.
- Giputol- Kini nga entry sa koneksyon mao ang aktibo apan sa pagkakaron wala'y koneksyon ug wala naglihok.
Alang sa mga instruksyon tan-awa ang "Idugang o Usba ang Mga Entri sa Koneksyon sa Manwal" seksyon sa [3].
I-configure ang Paggamit sa Sertipiko
Ang AnyConnect nagkinahanglan ug X.509 nga sertipiko. Tan-awa ang "I-configure ang mga Sertipiko" seksyon sa [3].
I-block ang Dili Kasaligang mga Server
Kini nga setting sa aplikasyon nagtino kung gibabagan sa AnyConnect ang mga koneksyon kung dili kini makaila sa luwas nga ganghaan.
Kini nga panalipod NAKA-ON sa default ug kinahanglan dili i-OFF.
Gigamit sa AnyConnect ang sertipiko nga nadawat gikan sa server aron masusi ang pag-ila niini. Kung adunay sayup nga sertipiko tungod sa usa ka expire o dili balido nga petsa, sayup nga paggamit sa yawe, o usa ka dili pagtugma sa ngalan, ang koneksyon gibabagan.
Ibutang ang VPN FIPS Mode
Ang VPN FIPS Mode naggamit sa Federal Information Processing Standards (FIPS) cryptography algorithms para sa tanang koneksyon sa VPN.
- Sa Cisco Secure Client-AnyConnect app, i-tap ang Settings.
- I-tap ang FIPS Mode aron mahimo kini nga setting.
Aron matubag ang mga kinahanglanon sa cryptographic sa ST, ang FIPS mode kinahanglan nga ma-enable. Sa pagkumpirma sa pagbag-o sa imong FIPS mode, ang app mogawas ug kinahanglan nga i-restart sa mano-mano. Sa pagsugod pag-usab, ang imong kahimtang sa FIPS mode anaa sa epekto.
Estrikto nga Certificate Trust Mode
Kini nga setting nag-configure sa Cisco Secure Client-AnyConnect TOE aron dili tugutan ang sertipiko sa head end VPN Gateway nga dili kini awtomatik nga ma-verify.
- Gikan sa home window, i-tap ang Menu > Settings.
- I-enable ang Strict Certificate Trust Mode.
Sa sunod nga pagsulay sa koneksyon, ang Strict Certificate Trust ma-enable
Susiha ang Pagbakwi sa Sertipiko
Kini nga setting nagkontrol kung ang Cisco Secure Client-AnyConnect TOE ang magtino sa status sa pagbawi sa sertipiko nga nadawat gikan sa head-end VPN Gateway. Kini nga setting kinahanglan nga ON ug kinahanglan dili i-OFF.
- Gikan sa AnyConnect home window, i-tap ang Menu > Settings.
- I-enable ang Check Certificate Revocation aron mahimo kini nga setting.
Operational Guidance para sa TOE
Pagtukod og VPN Connection
Tan-awa ang “Pagtukod a Koneksyon sa VPN” seksyon sa [3].
Kinahanglang timan-an sa Administrator ang mosunod nga PROTECT, BYPASS, ug DISCARD nga mga lagda bahin sa paggamit sa IPsec sa AnyConnect:
- PROTEKTAHAN
Ang mga entry para sa PROTECT gi-configure pinaagi sa remote access group policy sa ASA gamit ang ASDM. Para sa PROTECT entries, ang trapiko moagi sa IPsec VPN tunnel nga gihatag sa TOE. Walay configuration ang gikinahanglan alang sa TOE tunnel sa tanang trapiko. Ang administrador opsyonal nga mahimong tin-aw nga magtakda niini nga kinaiya uban sa sugo sa ilang Group Policy: split-tunnel-policy tunnelall - BYPASS
Gisuportahan sa TOE ang mga operasyon sa BYPASS (kung ang split tunneling klaro nga gitugotan sa palisiya sa Remote Access). Kung ang split tunneling mahimo, ang ASA VPN Gateway nagduso sa usa ka lista sa mga bahin sa network sa TOE sa PROTEKTAHAN. Ang tanan nga uban nga mga pagbiyahe sa trapiko nga wala’y panalipod nga wala mag-apil sa TOE sa ingon makalikay sa proteksyon sa IPsec.
Ang split tunneling gi-configure sa usa ka Network (Client) Access group policy. Ang tagdumala adunay mosunod nga mga kapilian:
Wala gipiho: Dili iapil ang mga network lamang nga gipiho sa split-tunnel-network-list
Tunnelspecified: Tunnel lang ang mga network nga gipiho sa split-tunnel-network list Tan-awa ang “About Configuring Split Tunneling for AnyConnect Traffic” nga seksyon sa VPN ASDM configuration guide ug tan-awa ang mga lakang nga gihatag sa “Configure Split-Tunneling for AnyConnect Traffic” nga seksyon. Human makahimo og mga kausaban sa polisiya sa grupo sa ASDM, siguroha nga ang polisiya sa grupo nalangkit sa Connection Profile sa Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add/Edit > Group Policy. Ang mga entry sa BYPASS SPD gihatag sa host platform pinaagi sa mga lagda sa permiso sa trapiko sa network. Walay configuration ang gikinahanglan sa TOE platform aron kini makaagi niini nga trapiko. - BAKA
Ang mga lagda sa DISCARD gihimo lamang sa TOE platform. Walay administratibong interface alang sa pagtino sa usa ka DISCARD nga lagda.
Monitor ug Troubleshoot
Tan-awa ang Monitor ug Troubleshoot seksyon sa [3].
Paggawas sa Cisco Secure Client-AnyConnect
Ang paggawas sa app motapos sa kasamtangan nga koneksyon sa VPN ug mohunong sa tanang proseso sa TOE. Gamita kini nga aksyon nga hinay. Ang ubang mga app o proseso sa imong device mahimong naggamit sa kasamtangan nga koneksyon sa VPN ug ang paggawas sa Cisco Secure Client-AnyConnect app mahimong makaapekto sa ilang operasyon.
Gikan sa home window, i-tap ang Menu > Exit.
Pagsuporta sa Cryptographic
Ang TOE naghatag og cryptography agig suporta sa IPsec nga adunay ESP symmetric cryptography para sa bulk AES encryption/decryption ug SHA-2 algorithm para sa hashing. Dugang pa, ang TOE naghatag sa cryptography aron suportahan ang Diffie Hellman key exchange ug derivation function nga gigamit sa IKEv2 ug ESP protocols. Ang mga instruksyon sa pag-configure sa cryptographic functions gihulagway sa "Procedures and Operational Guidance for IT Environment" nga seksyon niini nga dokumento.
Gisaligan nga mga Update
Kini nga seksyon naghatag mga panudlo alang sa luwas nga pagdawat sa TOE ug bisan unsang sunod nga pag-update sa TOE. Ang "Mga Update" usa ka bag-ong bersyon sa TOE.
Ang TOE versioning mahimong pangutan-on sa user. Gikan sa home screen i-tap ang "About". Ang pag-bersyon mahimo usab nga pangutan-on pinaagi sa mobile platform:
- iPhone: Ablihi ang Settings ug adto sa General> Usage. Ubos sa Pagtipig, pangitaa ang Cisco Secure Client Any Connect ug i-tap. Ang impormasyon sa bersyon ipakita.
Ang mga update sa Cisco Secure Client-AnyConnect TOE gidumala pinaagi sa Apple App Store gamit ang pamaagi sa ubos.
Mubo nga sulat: Sa dili pa i-upgrade ang imong device kinahanglan nimo nga idiskonekta ang sesyon sa VPN kung natukod ang usa, ug isira ang aplikasyon kung bukas kini. Kung mapakyas ka sa pagbuhat niini, gikinahanglan ang reboot sa imong device sa dili pa gamiton ang bag-ong bersyon sa Cisco Secure Client-AnyConnect TOE.
- I-tap ang icon sa App Store sa home page sa iOS.
- I-tap ang pahibalo sa pag-upgrade sa Cisco Secure Client-AnyConnect.
- Basaha ang bahin sa bag-ong mga bahin.
- I-klik ang Update.
- Pagsulod sa imong Apple ID Password.
- Tapik OK ra.
Ang update nagpadayon.
Pagkuha og Dokumentasyon ug Pagsumite sa Panghangyo sa Serbisyo
Para sa impormasyon sa pagkuha og dokumentasyon, gamit ang Cisco Bug Search Tool (BST), pagsumite sa hangyo sa serbisyo, ug pagtigom og dugang nga impormasyon, tan-awa Unsa ang Bag-o sa Cisco Product Documentation.
Aron makadawat og bag-o ug giusab nga Cisco teknikal nga sulod direkta sa imong desktop, mahimo ka nga mag-subscribe sa Unsa ang Bag-o sa Cisco Product Documentation RSS feed. Ang RSS feed kay libre nga serbisyo.
Pagkontak sa Cisco
Ang Cisco adunay labaw pa sa 200 nga mga opisina sa tibuuk kalibutan. Ang mga adres, numero sa telepono, ug numero sa fax gilista sa Cisco website sa www.cisco.com/go/offices.
Mga Dokumento / Mga Kapanguhaan
 |
CISCO AnyConnect 5.0 Secure nga Kliyente [pdf] Giya sa Gumagamit 5.0 alang sa iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client |
