CISCO AnyConnect 5.0 सुरक्षित क्लाइंट उपयोगकर्ता गाइड
CISCO AnyConnect 5.0 सुरक्षित क्लाइंट

दस्तावेज़ परिचय

द्वारा तैयार:
सिस्को सिस्टम्स, इंक.
170 पश्चिम तस्मान डॉ।
सैन जोस, CA 95134

यह दस्तावेज़ TOE, Cisco Secure Client – ​​AnyConnect 5.0 for iOS 16 के लिए IT कर्मियों को मार्गदर्शन प्रदान करता है। इस मार्गदर्शन दस्तावेज़ में परिचालन वातावरण में TOE को सफलतापूर्वक स्थापित करने के निर्देश, TSF की सुरक्षा प्रबंधित करने के निर्देश और संरक्षित प्रशासनिक क्षमता प्रदान करने के निर्देश शामिल हैं।

संशोधन इतिहास

संस्करण तारीख परिवर्तन
0.1 1 मई, 2023 प्रारंभिक संस्करण
0.2 27 जुलाई, 2023 अपडेट

सिस्को और सिस्को लोगो सिस्को और/या अमेरिका और अन्य देशों में इसके सहयोगियों के ट्रेडमार्क या पंजीकृत ट्रेडमार्क हैं। view सिस्को ट्रेडमार्क की सूची के लिए, यहां जाएं URL: www.cisco.com/go/trademarks. उल्लिखित तृतीय-पक्ष ट्रेडमार्क उनके संबंधित स्वामियों की संपत्ति हैं। पार्टनर शब्द का उपयोग सिस्को और किसी अन्य कंपनी के बीच साझेदारी संबंध का संकेत नहीं देता है। (1110R)

© 2023 सिस्को सिस्टम्स, इंक. सभी अधिकार सुरक्षित।

अंतर्वस्तु छिपाना
1 परिचय
2 आईटी वातावरण के लिए प्रक्रियाएं और परिचालन मार्गदर्शन
3 टीओई के लिए प्रारंभिक प्रक्रियाएं और परिचालन मार्गदर्शन
4 Cisco Secure Client-AnyConnect प्रारंभ करें
5 TOE के लिए परिचालन मार्गदर्शन
6 दस्तावेज़ीकरण प्राप्त करना और सेवा अनुरोध सबमिट करना
7 सिस्को से संपर्क करना
8 दस्तावेज़ / संसाधन
8.1 संदर्भ
9 संबंधित पोस्ट

परिचय

प्रारंभिक प्रक्रियाओं के साथ यह परिचालन उपयोगकर्ता मार्गदर्शन Apple iOS 5.0 TOE के लिए Cisco Secure ClientAnyConnect v16 के प्रशासन का दस्तावेजीकरण करता है, क्योंकि इसे सामान्य मानदंडों के तहत प्रमाणित किया गया था। Apple iOS 5.0 के लिए Cisco Secure Client-AnyConnect v16 को नीचे संबंधित संक्षिप्त नाम जैसे VPN क्लाइंट या बस TOE द्वारा संदर्भित किया जा सकता है।

श्रोता
यह दस्तावेज़ TOE को स्थापित और कॉन्फ़िगर करने वाले प्रशासकों के लिए लिखा गया है। यह दस्तावेज़ मानता है कि आप इंटरनेटवर्किंग में उपयोग की जाने वाली बुनियादी अवधारणाओं और शब्दावली से परिचित हैं, और अपने नेटवर्क टोपोलॉजी और प्रोटोकॉल को समझते हैं जिनका उपयोग आपके नेटवर्क में डिवाइस कर सकते हैं, कि आप एक विश्वसनीय व्यक्ति हैं, और आप ऑपरेटिंग का उपयोग करने के लिए प्रशिक्षित हैं वे सिस्टम जिन पर आप अपना नेटवर्क चला रहे हैं।

उद्देश्य
यह दस्तावेज़ सामान्य मानदंड मूल्यांकन के लिए प्रारंभिक प्रक्रियाओं के साथ परिचालन उपयोगकर्ता मार्गदर्शन है। इसे विशिष्ट TOE कॉन्फ़िगरेशन और व्यवस्थापक फ़ंक्शन और इंटरफ़ेस को हाइलाइट करने के लिए लिखा गया था जो मूल्यांकित कॉन्फ़िगरेशन में TOE को कॉन्फ़िगर और बनाए रखने के लिए आवश्यक हैं। यह दस्तावेज़ व्यवस्थापक द्वारा की गई विशिष्ट क्रियाओं का विवरण देने के लिए नहीं है, बल्कि यह Cisco दस्तावेज़ के भीतर उपयुक्त स्थानों की पहचान करने के लिए एक रोड मैप है ताकि AnyConnect Secure Mobility Client संचालन को कॉन्फ़िगर और बनाए रखने के लिए विशिष्ट विवरण प्राप्त किया जा सके। TSF डेटा को प्रबंधित करने के लिए सभी सुरक्षा प्रासंगिक कमांड प्रत्येक कार्यात्मक अनुभाग के भीतर इस दस्तावेज़ के भीतर प्रदान किए गए हैं।

दस्तावेज़ संदर्भ
इस अनुभाग में सिस्को सिस्टम्स दस्तावेज़ सूचीबद्ध हैं जो कॉमन क्राइटेरिया कॉन्फ़िगरेशन आइटम (CI) सूची का भी एक हिस्सा है। उपयोग किए गए दस्तावेज़ नीचे तालिका 1 में दिखाए गए हैं। इस पूरे दस्तावेज़ में, गाइड को “#” द्वारा संदर्भित किया जाएगा, जैसे कि [1]।

तालिका 1 सिस्को दस्तावेज़ीकरण

# शीर्षक जोड़ना
1 सिस्को सिक्योर क्लाइंट (एनीकनेक्ट सहित) एडमिनिस्ट्रेटर गाइड, रिलीज़ 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- सिस्को-सिक्योर-क्लाइंट-एडमिन-गाइड-5-0.html
2 सिस्को एनीकनेक्ट मोबाइल प्लेटफ़ॉर्म एडमिनिस्ट्रेटर गाइड, रिलीज़ 4.1 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/प्रशासन/गाइड/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3 सिस्को एनीकनेक्ट सिक्योर मोबिलिटी क्लाइंट के लिए एप्पल iOS उपयोगकर्ता गाइड, रिलीज़ 4.6.x https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any कनेक्ट_यूजर_गाइड_4-6-x.html
4 सिस्को एनीकनेक्ट सिक्योर मोबिलिटी क्लाइंट, रिलीज़ 4.9 के लिए रिलीज़ नोट्स https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- नोट्स-anyconnect-4-9.html
5 सिस्को सिक्योर क्लाइंट (एनीकनेक्ट सहित) के लिए रिलीज़ नोट्स, एप्पल iOS के लिए रिलीज़ 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/सिस्को-सिक्योर-क्लाइंट- 5/release/notes/release-notes-apple-ios-cisco-secure- क्लाइंट-रिलीज़-5-0.html

टीओई ओवरview
TOE सिस्को एनीकनेक्ट सिक्योर मोबिलिटी क्लाइंट है (जिसे इसके बाद VPN क्लाइंट या TOE कहा जाएगा)। सिस्को एनीकनेक्ट सिक्योर मोबिलिटी क्लाइंट, दूरस्थ उपयोगकर्ताओं को सिस्को 2 सीरीज एडेप्टिव सिक्योरिटी एप्लाइंस (ASA) VPN गेटवे के लिए सुरक्षित IPsec (IKEv5500) VPN कनेक्शन प्रदान करता है, जिससे इंस्टॉल किए गए एप्लिकेशन सीधे एंटरप्राइज़ नेटवर्क से कनेक्ट होने के रूप में संचार कर सकते हैं।

परिचालन वातावरण
जब TOE को उसके मूल्यांकित विन्यास में कॉन्फ़िगर किया जाता है, तो TOE को निम्नलिखित IT पर्यावरण घटकों की आवश्यकता होती है:

तालिका 2. परिचालन पर्यावरण घटक

अवयव उपयोग/उद्देश्य विवरण
प्रमाणपत्र प्राधिकार प्रमाणपत्र प्राधिकारी का उपयोग वैध डिजिटल प्रमाणपत्र प्रदान करने के लिए किया जाता है।
मोबाइल प्लेटफॉर्म TOE निम्नलिखित CC प्रमाणित एप्पल मोबाइल डिवाइस प्लेटफॉर्म में से किसी पर निर्भर करता है:
  • Apple iPhone 11/XR iOS 16 पर चल रहा है
एएसए 5500-एक्स सीरीज वीपीएन गेटवे सॉफ्टवेयर संस्करण 5500 या बाद के संस्करण वाला सिस्को एएसए 9.2.2-एक्स हेड-एंड वीपीएन गेटवे के रूप में कार्य करता है।
एएसडीएम प्रबंधन मंच ASDM 7.7 निम्नलिखित में से किसी भी ऑपरेटिंग सिस्टम से संचालित होता है:
  • विंडोज़ 7, 8, 10
  • विंडोज सर्वर 2008, 2012, 2012 R2, 2016 और सर्वर 2019
  • Apple OS X 10.4 या बाद का संस्करणध्यान दें कि ASDM सॉफ़्टवेयर ASA उपकरण पर स्थापित है और प्रबंधन प्लेटफ़ॉर्म का उपयोग ASA ​​से कनेक्ट करने और ASDM चलाने के लिए किया जाता है। प्रबंधन प्लेटफ़ॉर्म पर स्थापित एकमात्र सॉफ़्टवेयर Cisco ASDM Launcher है।

अंतर्निहित मोबाइल प्लेटफ़ॉर्म MOD_VPNC_V2.4] में आवश्यक कुछ सुरक्षा कार्यक्षमता प्रदान करता है और इस दस्तावेज़ में इसे “TOE प्लेटफ़ॉर्म” वाक्यांश का उपयोग करके दर्शाया गया है।

सिस्को एनीकनेक्ट TOE एन्क्रिप्टेड पैकेट भेजने और प्राप्त करने के लिए मोबाइल ओएस प्लेटफ़ॉर्म पर नेटवर्क हार्डवेयर संसाधनों का उपयोग करता है। TOE संवेदनशील सूचना भंडारों तक पहुँच नहीं पाता है।

इस दस्तावेज़ में “ASA” का संदर्भ VPN गेटवे को संदर्भित करता है

बहिष्कृत कार्यक्षमता

नीचे सूचीबद्ध कार्यक्षमता मूल्यांकित कॉन्फ़िगरेशन में शामिल नहीं है।

तालिका 3. बहिष्कृत कार्यक्षमता और तर्क

फ़ंक्शन बहिष्कृत दलील
गैर-FIPS 140-2 संचालन मोड TOE में FIPS संचालन मोड शामिल है। FIPS मोड TOE को केवल स्वीकृत क्रिप्टोग्राफी का उपयोग करने की अनुमति देता है। TOE को उसके मूल्यांकित कॉन्फ़िगरेशन में संचालित करने के लिए FIPS संचालन मोड सक्षम होना चाहिए।
DLTS टनलिंग विकल्पों के साथ SSL टनल [MOD_VPNC_V2.4] केवल IPsec VPN सुरंग की अनुमति देता है।

ये सेवाएँ कॉन्फ़िगरेशन द्वारा अक्षम कर दी जाएँगी। इस कार्यक्षमता का बहिष्करण दावा किए गए सुरक्षा प्रावधान के अनुपालन को प्रभावित नहीं करता हैfiles.

आईटी वातावरण के लिए प्रक्रियाएं और परिचालन मार्गदर्शन

अपने मूल्यांकित कॉन्फ़िगरेशन में काम करने के लिए, TOE को न्यूनतम एक (1) प्रमाणपत्र प्राधिकरण (CA), एक (1) VPN गेटवे और एक (1) Apple iPhone मोबाइल डिवाइस की आवश्यकता होती है।

ग्राहक PKI परिवेशों के सदृश होने के लिए, इस अनुभाग में ऑफ़लाइन रूट CA का उपयोग करने वाले दो-स्तरीय CA समाधान और Microsoft 2012 R2 प्रमाणपत्र प्राधिकरण (CA) का उपयोग करने वाले एंटरप्राइज़ अधीनस्थ CA का संदर्भ दिया जाएगा। Microsoft के स्थान पर अन्य CA उत्पादों का उपयोग किया जा सकता है।

रूट CA को स्टैंडअलोन (वर्कग्रुप) सर्वर के रूप में कॉन्फ़िगर किया जाता है जबकि सबऑर्डिनेट CA को एक्टिव डायरेक्ट्री सेवाओं के साथ Microsoft डोमेन के भाग के रूप में कॉन्फ़िगर किया जाता है। निम्न चित्र TOE और IT का एक दृश्य चित्रण प्रदान करता है

पर्यावरण। TOE iOS 13 पर चलने वाला एक सॉफ़्टवेयर ऐप है। TOE सीमा को हैश लाल रेखा द्वारा दर्शाया गया है। नीचे चित्र 1 देखें।

चित्र 1. TOE और पर्यावरण
TOE और पर्यावरण

अधीनस्थ CA X.509 डिजिटल प्रमाणपत्र जारी करता है और TOE प्लेटफॉर्म और VPN गेटवे को प्रमाणपत्र निरस्तीकरण सूची (CRL) प्रदान करता है।
वैकल्पिक रूप से, एक (1) एकल रूट एंटरप्राइज़ CA तैनात किया जा सकता है।

  • प्रमाणपत्र प्राधिकरण स्थापित और कॉन्फ़िगर करें

यदि आप Microsoft दो-स्तरीय CA समाधान का उपयोग कर रहे हैं, तो विक्रेता के मार्गदर्शन के अनुसार रूट (GRAYCA) और एंटरप्राइज़ अधीनस्थ प्रमाणपत्र प्राधिकरण (GRAYSUBCA1) स्थापित और कॉन्फ़िगर करें। Microsoft Active Directory प्रमाणपत्र सेवाओं के कॉन्फ़िगरेशन के लिए निम्नलिखित चरण-दर-चरण मार्गदर्शिका है:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
यह माना जाता है कि चित्र 1 में दर्शाए गए ऑफ़लाइन रूट CA (GRAYCA) प्रमाणपत्र और एंटरप्राइज़ सबऑर्डिनेट CA (GRAYSUBCA1) प्रमाणपत्र दोनों ही स्थापित और विश्वसनीय हैं, ताकि यह सुनिश्चित हो सके कि विश्वसनीय प्रमाणपत्र श्रृंखला स्थापित हो। यदि Microsoft के अलावा किसी अन्य विक्रेता से CA का उपयोग कर रहे हैं, तो उस विक्रेता के CA इंस्टॉलेशन मार्गदर्शन का पालन करें।

उपयोग किए गए CA उत्पाद पर ध्यान दिए बिना, ASA पर RSA प्रमाणपत्र में निम्नलिखित कुंजी उपयोग और विस्तारित कुंजी उपयोग गुण अवश्य होने चाहिए:

  • मुख्य उपयोग: डिजिटल हस्ताक्षर, कुंजी समझौता
  • ईकेयू: आईपी ​​सुरक्षा IKE मध्यवर्ती, आईपी अंत सुरक्षा प्रणाली

एएसए पर ईसीडीएसए और आरएसए प्रमाणपत्रों के भीतर विषय वैकल्पिक नाम (एसएएन) फ़ील्ड को एनीकनेक्ट प्रो में निर्दिष्ट कनेक्शन जानकारी से मेल खाना चाहिएfile ग्राहक पर.

  • VPN गेटवे स्थापित और कॉन्फ़िगर करें

Cisco ASA 9.1 (या बाद का संस्करण) को वैकल्पिक रूप से ASDM के साथ इंस्टॉल करें, इंस्टॉलेशन गाइड और रिलीज़ नोट्स के अनुसार जो संस्करण इंस्टॉल किए जाने हैं। ASDM ASA को ग्राफ़िकल यूज़र इंटरफ़ेस से प्रबंधित करने की अनुमति देता है। वैकल्पिक रूप से, यदि व्यवस्थापक चाहे, तो समकक्ष कमांड लाइन (CLI) कॉन्फ़िगरेशन चरणों का उपयोग किया जा सकता है।

कॉन्फ़िगरेशन नोट: चूंकि ASA द्वारा प्रबंधित पैरामीटर हैं, इसलिए गेटवे एडमिनिस्ट्रेटर को यह सुनिश्चित करने के लिए इस अनुभाग में दिए गए चरणों का पालन करना होगा कि TOE अपने मूल्यांकित कॉन्फ़िगरेशन में है।

  • ASA पर AnyConnect और IKEv2 सक्षम करें। ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > AnyConnect कनेक्शन प्रो पर जाएँfiles पर जाएँ और IKEv2 के अंतर्गत Enable Cisco AnyConnect चेकबॉक्स और Allow Access का चयन करें।
    प्रक्रियाएं और परिचालन
  • AnyConnect कनेक्शन प्रो परfileऊपर बताए गए पेज पर, डिवाइस सर्टिफिकेट चुनें। सुनिश्चित करें कि समान डिवाइस सर्टिफिकेट का उपयोग करें... चेक नहीं किया गया है और ECDSA डिवाइस सर्टिफिकेट के अंतर्गत EC ID सर्टिफिकेट चुनें। फिर ओके चुनें।
    प्रक्रियाएं और परिचालन
  • कॉमन क्राइटेरिया मूल्यांकित कॉन्फ़िगरेशन में अनुमत एल्गोरिदम का उपयोग करके IKEv2 क्रिप्टो नीति बनाएँ। ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > एडवांस्ड > IPsec > IKE पॉलिसीज़ पर जाएँ और IKEv2 पॉलिसी जोड़ें।

उच्चतम प्राथमिकता के लिए Add चुनें और 1 दर्ज करें। सीमा 1 से 65535 तक है, जिसमें 1 सर्वोच्च प्राथमिकता है।

कूटलेखन:
एईएस: ESP के लिए 128-बिट कुंजी एन्क्रिप्शन के साथ AES-CBC निर्दिष्ट करता है।
एईएस-256: ESP के लिए 256-बिट कुंजी एन्क्रिप्शन के साथ AES-CBC निर्दिष्ट करता है।
एईएस-जीसीएम-128: एईएस गैल्वाइस काउंटर मोड 128-बिट एन्क्रिप्शन निर्दिष्ट करता है
एईएस-जीसीएम-256: एईएस गैल्वाइस काउंटर मोड 256-बिट एन्क्रिप्शन निर्दिष्ट करता है

डीएच ग्रुप: डिफी-हेलमैन समूह पहचानकर्ता चुनें। इसका उपयोग प्रत्येक IPsec सहकर्मी द्वारा साझा रहस्य प्राप्त करने के लिए किया जाता है, बिना इसे एक दूसरे को प्रेषित किए। मान्य चयन हैं: 19 और 20।

पीआरएफ हैश - SA में उपयोग किए जाने वाले सभी क्रिप्टोग्राफ़िक एल्गोरिदम के लिए कुंजी सामग्री के निर्माण के लिए उपयोग किए जाने वाले PRF को निर्दिष्ट करें। मान्य चयन हैं: sha256 और sha384

इस पूर्व मेंampले कॉन्फ़िगरेशन का चयन करें:

 

प्राथमिकता: 1

एईएस गैल्वा काउंटर मोड (एईएस-जीसीएम) 256-बिट एन्क्रिप्शन: जब GCM का चयन किया जाता है, तो यह अखंडता एल्गोरिथ्म का चयन करने की आवश्यकता को समाप्त कर देता है। ऐसा इसलिए है क्योंकि प्रामाणिकता क्षमताएँ CBC (सिफर-ब्लॉक चेनिंग) के विपरीत GCM में निर्मित होती हैं।

डिफी-हेलमैन समूह: 20
अखंडता हैश: व्यर्थ
पीआरएफ हैश: sha384
जीवनभर: 86400
प्रक्रियाएं और परिचालन

चुनना ठीक है।

प्रशासक नोट: ऊपर सूचीबद्ध न किए गए किसी भी अतिरिक्त एन्क्रिप्शन, डीएच-ग्रुप, अखंडता या पीआरएफ हैश के उपयोग का मूल्यांकन नहीं किया जाता है।

प्रशासक नोट: उन्नत टैब IKE शक्ति प्रवर्तन पैरामीटर प्रदर्शित करता है। सुनिश्चित करें कि सुरक्षा एसोसिएशन (SA) शक्ति प्रवर्तन पैरामीटर की जाँच की गई है। यह सुनिश्चित करता है कि IKEv2 एन्क्रिप्शन सिफर की शक्ति उसके चाइल्ड IPsec SA के एन्क्रिप्शन सिफर की शक्ति से अधिक है। उच्च शक्ति वाले एल्गोरिदम को डाउनग्रेड किया जाएगा।

CLI समतुल्य है: क्रिप्टो आईपीएसईसी ikev2 sa-strength-enforcement

  • IPSEC प्रस्ताव बनाएँ। ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > एडवांस्ड > IPsec > IPsec प्रस्ताव (ट्रांसफ़ॉर्म सेट) पर जाएँ और IKEv2 IPsec प्रस्ताव जोड़ें। फिर Ok चुनें।
    पूर्व मेंampनीचे प्रयुक्त नाम NGE-AES-GCM-256 है, जिसमें एन्क्रिप्शन के लिए AES-GCM-256 तथा इंटीग्रिटी हैश के लिए Null है:
    प्रक्रियाएं और परिचालन
  • एक गतिशील क्रिप्टो मैप बनाएँ, IPsec प्रस्ताव चुनें और बाहरी इंटरफ़ेस पर लागू करें। ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > एडवांस्ड > IPsec > क्रिप्टो मैप्स पर जाएँ। जोड़ें चुनें, बाहरी इंटरफ़ेस और IKEv2 प्रस्ताव चुनें।
    उन्नत टैब पर क्लिक करें। निम्नलिखित सुनिश्चित करें:
    NAT-T सक्षम करें —इस नीति के लिए NAT ट्रैवर्सल (NAT-T) सक्षम करता है
    सुरक्षा एसोसिएशन लाइफ़टाइम सेटिंग — 8 घंटे (28800 सेकंड) पर सेट है
  • एक एड्रेस पूल VPNUSERS बनाएँ जिसे VPN उपयोगकर्ताओं को असाइन किया जाएगा। एड्रेस पूल में निम्नलिखित फ़ील्ड शामिल हैं:
    नाम —आईपी एड्रेस पूल को निर्दिष्ट नाम निर्दिष्ट करता है।
    आईपी ​​एड्रेस शुरू करना —पूल में पहला IP पता निर्दिष्ट करता है.
    आईपी ​​पते को समाप्त करना —पूल में अंतिम IP पता निर्दिष्ट करता है.
    सबनेट मास्क— पूल में पतों पर लागू करने के लिए सबनेट मास्क का चयन करता है।

ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > एड्रेस असाइनमेंट > एड्रेस पूल पर जाएं और उपरोक्त फ़ील्ड निर्दिष्ट करते हुए एक IP पूल जोड़ें और फिर ओके चुनें।

एक समूह नीति जोड़ें जो VPN उपयोगकर्ताओं पर वांछित सेटिंग्स लागू करेगी। समूह नीतियाँ आपको AnyConnect VPN समूह नीतियों का प्रबंधन करने देती हैं। VPN समूह नीति उपयोगकर्ता-उन्मुख विशेषता/मूल्य युग्मों का एक संग्रह है जो ASA डिवाइस पर आंतरिक रूप से संग्रहीत होता है। VPN समूह नीति को कॉन्फ़िगर करने से उपयोगकर्ता उन विशेषताओं को प्राप्त कर सकते हैं जिन्हें आपने व्यक्तिगत समूह या उपयोगकर्ता नाम स्तर पर कॉन्फ़िगर नहीं किया है। डिफ़ॉल्ट रूप से, VPN उपयोगकर्ताओं का कोई समूह नीति संबद्धता नहीं होती है। समूह नीति जानकारी का उपयोग VPN टनल समूहों और उपयोगकर्ता खातों द्वारा किया जाता है। ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > समूह नीतियाँ पर जाएँ और एक आंतरिक समूह नीति जोड़ें। सुनिश्चित करें कि VPN टनल प्रोटोकॉल IKEv2 पर सेट है और ऊपर बनाया गया IP पूल इनहेरिट चेक बॉक्स को अचयनित करके और उचित सेटिंग का चयन करके नीति में संदर्भित है। सर्वर अनुभाग में नीति में प्रासंगिक DNS, WINS और डोमेन नाम भी जोड़े जा सकते हैं।

पूर्व का संदर्भ लेंampनीचे समूह नीति NGE-VPN-GP देखें:
प्रक्रियाएं और परिचालन

  • एक सुरंग समूह नाम बनाएँ। एक सुरंग समूह में IPsec कनेक्शन के लिए सुरंग कनेक्शन नीतियाँ होती हैं। एक कनेक्शन नीति प्रमाणीकरण, प्राधिकरण और लेखा सर्वर, एक डिफ़ॉल्ट समूह नीति और IKE विशेषताएँ निर्दिष्ट कर सकती है।

ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > AnyConnect कनेक्शन प्रो पर जाएंfiles. कनेक्शन प्रो के अंतर्गत पृष्ठ के निचले भाग मेंfiles पर, जोड़ें चुनें.

पूर्व मेंampनीचे सुरंग समूह नाम NGE-VPN-RAS का उपयोग किया गया है।
प्रक्रियाएं और परिचालन

कॉन्फ़िगरेशन प्रमाणपत्र प्रमाणीकरण, संबंधित समूह नीति NGE-VPN-GP और IPsec सक्षम करें (IKEv2) का संदर्भ देता है। DNS और डोमेन नाम भी यहाँ जोड़ा जा सकता है। यह भी सुनिश्चित करें कि केवल IPsec का उपयोग किया जाता है, SSL VPN क्लाइंट प्रोटोकॉल को सक्षम न करके।

  • एक प्रमाणपत्र मानचित्र बनाएँ, NGE VPN उपयोगकर्ताओं को VPN सुरंग समूह में मैप करें जो पहले बनाया गया था। प्रमाणपत्र मानचित्र AC उपयोगकर्ताओं पर लागू किया जाएगा। इस परिदृश्य में, अधीनस्थ CA सामान्य नाम का मिलान यह सुनिश्चित करने के लिए किया गया था कि अधीनस्थ CA से जारी EC प्रमाणपत्र के साथ आने वाले TOE प्लेटफ़ॉर्म अनुरोध को पहले बनाए गए उपयुक्त सुरंग समूह में मैप किया जाएगा। VPN उपयोगकर्ता जिन्हें EC CA से प्रमाणपत्र जारी नहीं किया गया है, वे डिफ़ॉल्ट सुरंग समूहों में वापस आ जाएँगे और
    प्रमाणीकरण विफल होने पर प्रवेश निषेध कर दिया जाएगा।
    ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > एडवांस्ड > सर्टिफिकेट टू एनीकनेक्ट और क्लाइंटलेस SSL VPN कनेक्शन प्रो पर जाएंfile मैप्स. कनेक्शन प्रो के लिए प्रमाणपत्र के अंतर्गतfile मैप्स में Add चुनें। 10 की प्राथमिकता के साथ मौजूदा DefaultCertificateMap चुनें और NGE-RAS-VPN टनल समूह को संदर्भित करें।
    प्रक्रियाएं और परिचालन
    ASDM में, कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > एडवांस्ड > सर्टिफिकेट टू एनीकनेक्ट और क्लाइंटलेस SSL VPN कनेक्शन प्रो पर जाएंfile मैप्स। मैपिंग मानदंड के अंतर्गत जोड़ें चुनें। फ़ील्ड के लिए जारीकर्ता, घटक के लिए सामान्य नाम (CN), ऑपरेटर के लिए शामिल है चुनें और फिर ठीक चुनें।
    प्रक्रियाएं और परिचालन
    मुख्य पृष्ठ पर APPLY का चयन करना सुनिश्चित करें और कॉन्फ़िगरेशन को SAVE करें।
  • AnyConnect VPN क्लाइंट से VPN कनेक्शन स्वीकार करने के लिए ASA को कॉन्फ़िगर करें, AnyConnect VPN विज़ार्ड का उपयोग करें। यह विज़ार्ड दूरस्थ नेटवर्क एक्सेस के लिए IPsec (IKEv2) VPN प्रोटोकॉल कॉन्फ़िगर करता है। यहाँ दिए गए निर्देशों का संदर्भ लें:
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

टीओई के लिए प्रारंभिक प्रक्रियाएं और परिचालन मार्गदर्शन

सिस्को सिक्योर क्लाइंट-एनीकनेक्ट TOE को स्थापित करने के लिए, नीचे दिए गए चरणों का पालन करें:

  1. ऐप स्टोर खोलें.
  2. खोज चुनें
  3. खोज बॉक्स में, Cisco Secure Client-AnyConnect दर्ज करें
  4. ऐप इंस्टॉल करें टैप करें
  5. इंस्टॉल चुनें

Cisco Secure Client-AnyConnect प्रारंभ करें

एप्लिकेशन शुरू करने के लिए Cisco Secure Client-AnyConnect आइकन पर टैप करें। यदि आप इंस्टॉल या अपग्रेड करने के बाद पहली बार Cisco Secure Client-AnyConnect शुरू कर रहे हैं, तो अपने डिवाइस की वर्चुअल प्राइवेट नेटवर्क (VPN) क्षमताओं को बढ़ाने के लिए TOE को सक्षम करने के लिए OK चुनें

अखंडता सत्यापन

हर बार ऐप लोड होने पर अखंडता सत्यापन किया जाता है और यह अखंडता सत्यापन पूरा होने तक प्रतीक्षा करेगा। TOE के निष्पादन योग्य के डिजिटल हस्ताक्षर को सत्यापित करने के लिए iOS प्लेटफ़ॉर्म द्वारा प्रदान की गई क्रिप्टोग्राफ़िक सेवाओं का उपयोग किया जाता है fileयदि अखंडता सत्यापन सफलतापूर्वक पूरा नहीं हो पाता है, तो GUI लोड नहीं होगा, जिससे ऐप अनुपयोगी हो जाएगा। यदि अखंडता सत्यापन सफल होता है, तो ऐप GUI लोड होगा और सामान्य रूप से काम करेगा।

संदर्भ पहचानकर्ता कॉन्फ़िगर करें

यह अनुभाग VPN गेटवे पीयर के लिए संदर्भ पहचानकर्ता के कॉन्फ़िगरेशन को निर्दिष्ट करता है। IKE चरण 1 प्रमाणीकरण के दौरान, TOE संदर्भ पहचानकर्ता की तुलना VPN गेटवे द्वारा प्रस्तुत पहचानकर्ता से करता है। यदि TOE निर्धारित करता है कि वे मेल नहीं खाते हैं, तो प्रमाणीकरण सफल नहीं होगा।

होम स्क्रीन से कनेक्शन का चयन करें view आपके डिवाइस पर पहले से कॉन्फ़िगर की गई प्रविष्टियाँ। कई कनेक्शन प्रविष्टियाँ सूचीबद्ध हो सकती हैं, कुछ प्रति-ऐप VPN शीर्षक के अंतर्गत। कनेक्शन प्रविष्टियों में हो सकता है निम्न स्थिति:

  • सक्षम- यह कनेक्शन प्रविष्टि मोबाइल डिवाइस प्रबंधक द्वारा सक्षम की जाती है और इसका उपयोग कनेक्ट करने के लिए किया जा सकता है।
  • सक्रिय- यह चिह्नित या हाइलाइट की गई कनेक्शन प्रविष्टि वर्तमान में सक्रिय है.
  • जुड़े हुए- यह कनेक्शन प्रविष्टि सक्रिय है और वर्तमान में कनेक्टेड एवं संचालित है।
  • डिस्कनेक्टेड— यह कनेक्शन प्रविष्टि सक्रिय है, लेकिन वर्तमान में डिस्कनेक्ट है और काम नहीं कर रही है।

निर्देशों के लिए देखें “मैन्युअल रूप से कनेक्शन प्रविष्टियाँ जोड़ें या संशोधित करें” धारा [3].

प्रमाणपत्र उपयोग कॉन्फ़िगर करें

AnyConnect के लिए X.509 प्रमाणपत्र की आवश्यकता होती है। “प्रमाणपत्र कॉन्फ़िगर करें” धारा [3].

अविश्वसनीय सर्वर ब्लॉक करें

यह अनुप्रयोग सेटिंग निर्धारित करती है कि जब AnyConnect सुरक्षित गेटवे की पहचान नहीं कर पाता है तो वह कनेक्शन ब्लॉक करता है या नहीं।
यह सुरक्षा डिफ़ॉल्ट रूप से चालू होती है और इसे बंद नहीं किया जाना चाहिए।

AnyConnect अपनी पहचान सत्यापित करने के लिए सर्वर से प्राप्त प्रमाणपत्र का उपयोग करता है। यदि किसी प्रमाणपत्र में समय-सीमा समाप्त या अमान्य तिथि, गलत कुंजी उपयोग या नाम बेमेल के कारण कोई त्रुटि होती है, तो कनेक्शन अवरुद्ध हो जाता है।

VPN FIPS मोड सेट करें
वीपीएन एफआईपीएस मोड सभी वीपीएन कनेक्शनों के लिए संघीय सूचना प्रसंस्करण मानकों (एफआईपीएस) क्रिप्टोग्राफी एल्गोरिदम का उपयोग करता है।

  1. Cisco Secure Client-AnyConnect ऐप में, सेटिंग्स टैप करें।
  2. इस सेटिंग को सक्षम करने के लिए FIPS मोड पर टैप करें.

ST में क्रिप्टोग्राफ़िक आवश्यकताओं को पूरा करने के लिए, FIPS मोड सक्षम होना चाहिए। आपके FIPS मोड परिवर्तन की पुष्टि होने पर, ऐप बाहर निकल जाता है और इसे मैन्युअल रूप से पुनः आरंभ करना होगा। पुनः आरंभ करने पर, आपकी FIPS मोड सेटिंग प्रभावी हो जाती है।

सख्त प्रमाणपत्र ट्रस्ट मोड

यह सेटिंग सिस्को सिक्योर क्लाइंट-एनीकनेक्ट TOE को हेड एंड VPN गेटवे के प्रमाणपत्र को अस्वीकार करने के लिए कॉन्फ़िगर करती है, जिसे यह स्वचालित रूप से सत्यापित नहीं कर सकता है।

  1. होम विंडो से, मेनू > सेटिंग्स टैप करें.
  2. सख्त प्रमाणपत्र ट्रस्ट मोड सक्षम करें.

अगले कनेक्शन प्रयास पर, सख्त प्रमाणपत्र ट्रस्ट सक्षम हो जाएगा

प्रमाणपत्र निरस्तीकरण की जाँच करें

यह सेटिंग नियंत्रित करती है कि क्या सिस्को सिक्योर क्लाइंट-एनीकनेक्ट TOE हेड-एंड VPN गेटवे से प्राप्त प्रमाणपत्र की निरस्तीकरण स्थिति निर्धारित करेगा। यह सेटिंग चालू होनी चाहिए और इसे बंद नहीं किया जाना चाहिए।

  1. AnyConnect होम विंडो से, मेनू > सेटिंग्स टैप करें।
  2. इस सेटिंग को सक्षम करने के लिए प्रमाणपत्र निरस्तीकरण जाँच सक्षम करें.

TOE के लिए परिचालन मार्गदर्शन

VPN कनेक्शन स्थापित करें

देखें "स्थापित करना a वीपीएन कनेक्शन” धारा [3].

प्रशासक को AnyConnect में IPsec के उपयोग के संबंध में निम्नलिखित PROTECT, BYPASS, और DISCARD नियमों को ध्यान में रखना चाहिए:

  • रक्षा करना
    PROTECT के लिए प्रविष्टियाँ ASDM का उपयोग करके ASA पर रिमोट एक्सेस समूह नीति के माध्यम से कॉन्फ़िगर की जाती हैं। PROTECT प्रविष्टियों के लिए, ट्रैफ़िक TOE द्वारा प्रदान की गई IPsec VPN सुरंग के माध्यम से प्रवाहित होता है। TOE सुरंग के सभी ट्रैफ़िक के लिए किसी कॉन्फ़िगरेशन की आवश्यकता नहीं है। व्यवस्थापक वैकल्पिक रूप से अपने समूह नीति में कमांड के साथ इस व्यवहार को स्पष्ट रूप से सेट कर सकता है: split-tunnel-policy tunnelall
  • उपमार्ग
    TOE BYPASS संचालन का समर्थन करता है (जब स्प्लिट टनलिंग को रिमोट एक्सेस नीति द्वारा स्पष्ट रूप से अनुमति दी गई हो)। जब स्प्लिट टनलिंग सक्षम होती है, तो ASA VPN गेटवे नेटवर्क सेगमेंट की एक सूची TOE पर भेजता है ताकि वह इसे एक्सेस कर सके। रक्षा करना। अन्य सभी ट्रैफ़िक TOE को शामिल किए बिना असुरक्षित रूप से यात्रा करते हैं, इस प्रकार IPsec सुरक्षा को दरकिनार कर दिया जाता है।
    स्प्लिट टनलिंग को नेटवर्क (क्लाइंट) एक्सेस समूह नीति में कॉन्फ़िगर किया गया है। व्यवस्थापक के पास निम्नलिखित विकल्प हैं:
    बहिष्कृतनिर्दिष्ट: केवल split-tunnel-network-list द्वारा निर्दिष्ट नेटवर्क को बाहर रखें
    सुरंग निर्दिष्ट: स्प्लिट-टनल-नेटवर्क सूची द्वारा निर्दिष्ट केवल सुरंग नेटवर्क VPN ASDM कॉन्फ़िगरेशन गाइड में “AnyConnect ट्रैफ़िक के लिए स्प्लिट टनलिंग कॉन्फ़िगर करने के बारे में” अनुभाग देखें और “AnyConnect ट्रैफ़िक के लिए स्प्लिट-टनलिंग कॉन्फ़िगर करें” अनुभाग में दिए गए चरणों को देखें। ASDM में समूह नीति में परिवर्तन करने के बाद, सुनिश्चित करें कि समूह नीति कनेक्शन प्रो से जुड़ी हुई हैfile कॉन्फ़िगरेशन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइंट) एक्सेस > AnyConnect कनेक्शन प्रोfiles > जोड़ें/संपादित करें > समूह नीति। BYPASS SPD प्रविष्टियाँ होस्ट प्लेटफ़ॉर्म द्वारा निहित नेटवर्क ट्रैफ़िक परमिट नियमों के माध्यम से प्रदान की जाती हैं। इस ट्रैफ़िक को पास करने की अनुमति देने के लिए TOE प्लेटफ़ॉर्म पर किसी कॉन्फ़िगरेशन की आवश्यकता नहीं है।
  • खारिज करना
    DISCARD नियम विशेष रूप से TOE प्लेटफ़ॉर्म द्वारा निष्पादित किए जाते हैं। DISCARD नियम निर्दिष्ट करने के लिए कोई प्रशासनिक इंटरफ़ेस नहीं है।

निगरानी और समस्या निवारण

देखें निगरानी और समस्या निवारण धारा [3].

Cisco Secure Client-AnyConnect से बाहर निकलना
ऐप से बाहर निकलने पर मौजूदा VPN कनेक्शन समाप्त हो जाता है और सभी TOE प्रक्रियाएँ रुक जाती हैं। इस क्रिया का संयम से उपयोग करें। हो सकता है कि आपके डिवाइस पर मौजूद अन्य ऐप या प्रक्रियाएँ मौजूदा VPN कनेक्शन का उपयोग कर रही हों और Cisco Secure Client-AnyConnect ऐप से बाहर निकलने पर उनके संचालन पर प्रतिकूल प्रभाव पड़ सकता है।

होम विंडो से, मेनू > बाहर निकलें टैप करें.

क्रिप्टोग्राफ़िक समर्थन
TOE बल्क AES एन्क्रिप्शन/डिक्रिप्शन के लिए ESP सममित क्रिप्टोग्राफी और हैशिंग के लिए SHA-2 एल्गोरिदम के साथ IPsec के समर्थन में क्रिप्टोग्राफी प्रदान करता है। इसके अलावा TOE IKEv2 और ESP प्रोटोकॉल में उपयोग किए जाने वाले डिफी हेलमैन कुंजी एक्सचेंज और व्युत्पत्ति फ़ंक्शन का समर्थन करने के लिए क्रिप्टोग्राफी प्रदान करता है। क्रिप्टोग्राफ़िक फ़ंक्शन को कॉन्फ़िगर करने के निर्देश इस दस्तावेज़ के "आईटी पर्यावरण के लिए प्रक्रियाएँ और परिचालन मार्गदर्शन" अनुभाग में वर्णित हैं।

विश्वसनीय अद्यतन

यह अनुभाग TOE और उसके बाद के किसी भी TOE अपडेट को सुरक्षित रूप से स्वीकार करने के लिए निर्देश प्रदान करता है। “अपडेट” TOE का एक नया संस्करण है।

TOE वर्जनिंग के बारे में यूजर द्वारा पूछताछ की जा सकती है। होम स्क्रीन से “About” पर टैप करें। वर्जनिंग के बारे में मोबाइल प्लैटफ़ॉर्म के ज़रिए भी पूछताछ की जा सकती है:

  • आईफोन: सेटिंग्स खोलें और जनरल > यूसेज पर जाएँ। स्टोरेज के अंतर्गत, सिस्को सिक्योर क्लाइंट एनी कनेक्ट ढूँढें और टैप करें। संस्करण जानकारी प्रदर्शित की जाएगी।

सिस्को सिक्योर क्लाइंट-एनीकनेक्ट TOE के अपडेट को नीचे दी गई प्रक्रिया का उपयोग करके ऐप्पल ऐप स्टोर के माध्यम से प्रबंधित किया जाता है।

टिप्पणी: अपने डिवाइस को अपग्रेड करने से पहले आपको VPN सत्र को डिस्कनेक्ट करना होगा यदि कोई स्थापित है, और यदि एप्लिकेशन खुला है तो उसे बंद कर दें। यदि आप ऐसा करने में विफल रहते हैं, तो Cisco Secure Client-AnyConnect TOE के नए संस्करण का उपयोग करने से पहले अपने डिवाइस को रीबूट करना आवश्यक है।

  1. iOS होम पेज पर ऐप स्टोर आइकन पर टैप करें।
  2. Cisco Secure Client-AnyConnect अपग्रेड नोटिस पर टैप करें.
  3. नई सुविधाओं के बारे में पढ़ें.
  4. अपडेट पर क्लिक करें.
  5. अपना एप्पल आईडी पासवर्ड दर्ज करें.
  6. नल ठीक है।

अद्यतन आगे बढ़ता है.

दस्तावेज़ीकरण प्राप्त करना और सेवा अनुरोध सबमिट करना

दस्तावेज़ प्राप्त करने, सिस्को बग सर्च टूल (BST) का उपयोग करने, सेवा अनुरोध प्रस्तुत करने और अतिरिक्त जानकारी एकत्र करने के बारे में जानकारी के लिए देखें सिस्को उत्पाद दस्तावेज़ीकरण में नया क्या है.

नई और संशोधित सिस्को तकनीकी सामग्री सीधे अपने डेस्कटॉप पर प्राप्त करने के लिए, आप सदस्यता ले सकते हैं सिस्को उत्पाद दस्तावेज़ीकरण RSS फ़ीड में नया क्या है. आरएसएस फ़ीड एक निःशुल्क सेवा है।

सिस्को से संपर्क करना

सिस्को के दुनिया भर में 200 से ज़्यादा दफ़्तर हैं। पते, फ़ोन नंबर और फ़ैक्स नंबर सिस्को वेबसाइट पर सूचीबद्ध हैं webसाइट पर www.cisco.com/go/offices.

सिस्को लोगो

दस्तावेज़ / संसाधन

CISCO AnyConnect 5.0 सुरक्षित क्लाइंट [पीडीएफ] उपयोगकर्ता गाइड
5.0 iOS 16 के लिए, AnyConnect 5.0 सिक्योर क्लाइंट, 5.0 सिक्योर क्लाइंट, सिक्योर क्लाइंट, क्लाइंट

संदर्भ

संबंधित पोस्ट

एक टिप्पणी छोड़ें

आपकी ईमेल आईडी प्रकाशित नहीं की जाएगी। आवश्यक फ़ील्ड चिह्नित हैं *