CISCO AnyConnect 5.0 Secure Client notendahandbók

Skjalakynning

Unnið af:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134

Þetta skjal veitir leiðbeiningar til upplýsingatæknistarfsmanna fyrir TOE, Cisco Secure Client – ​​AnyConnect 5.0 fyrir iOS 16. Þetta leiðbeiningarskjal inniheldur leiðbeiningar um hvernig á að setja upp TOE í rekstrarumhverfi, leiðbeiningar um að stjórna öryggi TSF og leiðbeiningar um að útvega a vernda stjórnsýslugetu.

Endurskoðunarsaga

Útgáfa	Dagsetning	Breyta
0.1	1. maí 2023	Upphafleg útgáfa
0.2	27. júlí 2023	Uppfærslur

Cisco og Cisco lógóið eru vörumerki eða skráð vörumerki Cisco og/eða hlutdeildarfélaga þess í Bandaríkjunum og öðrum löndum. Til view lista yfir Cisco vörumerki, farðu í þetta URL: www.cisco.com/go/trademarks. Vörumerki þriðja aðila sem nefnd eru eru eign viðkomandi eigenda. Notkun orðsins samstarfsaðili felur ekki í sér samstarfstengsl milli Cisco og nokkurs annars fyrirtækis. (1110R)

© 2023 Cisco Systems, Inc. Allur réttur áskilinn.

Inngangur

Þessi notendaleiðbeiningar með undirbúningsaðferðum skjalfestir umsýslu Cisco Secure ClientAnyConnect v5.0 fyrir Apple iOS 16 TOE, þar sem það var vottað samkvæmt Common Criteria. Cisco Secure Client-AnyConnect v5.0 fyrir Apple iOS 16 má vísa til hér að neðan með tilheyrandi skammstöfun td VPN Client eða einfaldlega TOE.

Áhorfendur
Þetta skjal er skrifað fyrir stjórnendur sem setja upp og stilla TOE. Þetta skjal gerir ráð fyrir því að þú þekkir grunnhugtökin og hugtökin sem notuð eru í netvinnu og skiljir svæðisfræði netkerfisins og samskiptareglur sem tækin á netinu þínu geta notað, að þú sért traustur einstaklingur og að þú sért þjálfaður í að nota kerfi sem þú keyrir netið þitt á.

Tilgangur
Þetta skjal er notendaleiðbeiningar með undirbúningsaðferðum fyrir mat á sameiginlegum viðmiðum. Það var skrifað til að varpa ljósi á sérstakar TOE stillingar og stjórnunaraðgerðir og viðmót sem eru nauðsynleg til að stilla og viðhalda TOE í metinni uppsetningu. Þessu skjali er ekki ætlað að útskýra sérstakar aðgerðir sem framkvæmdar eru af stjórnanda heldur er það vegakort til að bera kennsl á viðeigandi staðsetningar innan Cisco skjala til að fá sértækar upplýsingar um uppsetningu og viðhald AnyConnect Secure Mobility Client aðgerðir. Allar öryggisskipanir til að stjórna TSF gögnunum eru veittar í þessum skjölum í hverjum virka hluta.

Skjalatilvísanir
Í þessum hluta er listi yfir Cisco Systems skjölin sem eru einnig hluti af listanum fyrir sameiginlegar viðmiðunarstillingar (CI). Skjölin sem notuð eru eru sýnd hér að neðan í töflu 1. Í öllu þessu skjali verður vísað til leiðbeininganna með „#“, svo sem [1].

Tafla 1 Cisco Documentation

#	Titill	Tengill
1	Cisco Secure Client (þar á meðal AnyConnect) stjórnandahandbók, útgáfa 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Stjórnandahandbók Cisco AnyConnect Mobile Platforms, útgáfa 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Apple iOS notendahandbók fyrir Cisco AnyConnect Secure Mobility Client, útgáfa 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Útgáfuskýringar fyrir Cisco AnyConnect Secure Mobility Client, útgáfa 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	Útgáfuskýringar fyrir Cisco Secure Client (þar á meðal AnyConnect), útgáfu 5 fyrir Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

TÓ yfirview
TOE er Cisco AnyConnect Secure Mobility Client (hér á eftir nefndur VPN viðskiptavinur eða TOE). Cisco AnyConnect Secure Mobility Client veitir fjarnotendum öruggar IPsec (IKEv2) VPN tengingar við Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway sem gerir uppsettum forritum kleift að hafa samskipti eins og þau séu tengd beint við fyrirtækjanetið.

Rekstrarumhverfi
TOE krefst eftirfarandi upplýsingatækniumhverfishluta þegar TOE er stillt í metinni uppsetningu:

Tafla 2. Rekstrarumhverfisþættir

Hluti	Notkunar/tilgangslýsing
Vottorðsstofnun	Vottunaraðili er notað til að veita gild stafræn skilríki.
Mobile Platform	TOE byggir á einhverjum af eftirfarandi CC-fullgiltu Apple farsímakerfum: Apple iPhone 11/XR keyrir iOS 16
ASA 5500-X röð VPN Gateway	Cisco ASA 5500-X með hugbúnaðarútgáfu 9.2.2 eða nýrri virkar sem aðal VPN hliðið.
ASDM stjórnunarvettvangur	ASDM 7.7 starfar frá einhverju af eftirfarandi stýrikerfum: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 og Server 2019 Apple OS X 10.4 eða nýrri Athugaðu að ASDM hugbúnaður er settur upp á ASA tækinu og stjórnunarvettvangurinn er notaður til að tengjast ASA og keyra ASDM. Eini hugbúnaðurinn sem er settur upp á stjórnunarvettvangnum er Cisco ASDM Launcher.

Undirliggjandi farsímavettvangur veitir hluta af öryggisaðgerðum sem krafist er í MOD_VPNC_V2.4] og er táknaður með orðasambandinu „TOE pallur“ í þessu skjali.

Cisco AnyConnect TOE notar netvélbúnaðarauðlindir á stýrikerfi farsíma til að senda og taka á móti dulkóðuðum pökkum. TOE hefur ekki aðgang að viðkvæmum upplýsingageymslum.

Tilvísanir í þessu skjali til „ASA“ vísa til VPN-gáttar

Útilokuð virkni

Aðgerðin sem talin er upp hér að neðan er ekki innifalin í metinni uppsetningu.

Tafla 3. Útilokuð virkni og rökstuðningur

Aðgerð útilokuð	Rökstuðningur
Notkunarmáti sem ekki er FIPS 140-2	TOE inniheldur FIPS-aðgerð. FIPS stillingar leyfa TOE að nota aðeins samþykkta dulritun. FIPS rekstrarhamur verður að vera virkur til þess að TOE geti starfað í sinni metnu uppsetningu.
SSL göng með DLTS göngumöguleikum	[MOD_VPNC_V2.4] leyfir aðeins IPsec VPN göng.

Þessar þjónustur verða óvirkar með uppsetningu. Útilokun þessarar virkni hefur ekki áhrif á samræmi við tilkallaða Protection Profiles.

Verklagsreglur og rekstrarleiðbeiningar fyrir upplýsingatækniumhverfi

Til að starfa í metinni uppsetningu þarf TOE að minnsta kosti eitt (1) vottunaryfirvöld (CA), eina (1) VPN hlið og eitt (1) Apple iPhone farsímatæki.

Til að líkjast PKI umhverfi viðskiptavina verður vísað til tveggja flokka CA lausn sem notar ótengda rót CA og Enterprise Subordinate CA sem notar Microsoft 2012 R2 Certificate Authority (CA) í þessum hluta. Hægt er að nota aðrar CA vörur í stað Microsoft.

Root CA er stillt sem sjálfstæður (Workgroup) netþjónn á meðan Subordinate CA er stillt sem hluti af Microsoft léni með Active Directory þjónustu virka. Eftirfarandi mynd gefur sjónræna lýsingu á TOE og IT

Umhverfi. TOE er hugbúnaðarforrit sem keyrir á iOS 13. TOE mörkin eru auðkennd með kjötkássa rauðu línunni. Sjá mynd 1 hér að neðan.

Mynd 1. TOE og umhverfi

Undirskipaður CA gefur út X.509 stafræn skilríki og veitir TOE vettvang og VPN hliðið lista yfir afturköllun skírteina (CRL).
Að öðrum kosti væri hægt að nota eina (1) staka rót Enterprise CA.

• Settu upp og stilltu vottunaraðila

Ef þú notar Microsoft tvíþætta CA lausn skaltu setja upp og stilla rót (GRAYCA) og Enterprise Subordinate Certificate Authority (GRAYSUBCA1) í samræmi við leiðbeiningar frá seljanda. Eftirfarandi er skref-fyrir-skref leiðbeiningar um uppsetningu á Microsoft Active Directory vottorðaþjónustu:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Gert er ráð fyrir að bæði Offline Root CA (GRAYCA) vottorðið og Enterprise Subordinate CA (GRAYSUBCA1) vottorðið sem sýnt er á mynd 1 séu uppsett og treyst til að tryggja að traust vottorðakeðja sé komið á fót. Ef þú notar CA frá öðrum seljanda en Microsoft skaltu fylgja CA uppsetningarleiðbeiningum þess söluaðila.

Burtséð frá CA vörunni sem notuð er, VERÐUR RSA vottorðið á ASA að hafa eftirfarandi eiginleika lykilnotkunar og aukinnar lykilnotkunar:

• Lykilnotkun: Stafræn undirskrift, lykilsamningur
• EKU: IP öryggi IKE millistig, IP enda öryggiskerfi

Subject Alternative Name (SAN) reitirnir innan ECDSA og RSA vottorða á ASA VERÐA að passa við tengingarupplýsingarnar sem tilgreindar eru í AnyConnect profile á viðskiptavininn.

• Settu upp og stilltu VPN hlið

Settu upp Cisco ASA 9.1 (eða nýrri), mögulega með ASDM, í samræmi við uppsetningarleiðbeiningar og útgáfuskýringar sem eiga við þær útgáfur sem á að setja upp. ASDM gerir kleift að stjórna ASA frá grafísku notendaviðmóti. Að öðrum kosti, ef stjórnandinn kýs það, væri hægt að nota sambærileg stjórnlínu (CLI) stillingarskref.

Stillingar Athugasemd: Þar sem það eru færibreytur sem stjórnað er af ASA verður gáttarstjórinn að fylgja skrefunum í þessum hluta til að tryggja að TOE sé í metinni stillingu.

• Virkjaðu AnyConnect og IKEv2 á ASA. Í ASDM, farðu í Stillingar > Fjaraðgangur VPN > Netaðgangur (viðskiptavinur) > AnyConnect Connection Profiles og veldu Virkja Cisco AnyConnect gátreitinn og Leyfðu aðgang undir IKEv2.
  
• Á AnyConnect Connection Profiles síðu sem nefnd er hér að ofan, veldu Device Certificate. Gakktu úr skugga um að Notaðu sama tækisvottorð... sé EKKI hakað og veldu EC ID vottorðið undir ECDSA tækisvottorðinu. Veldu síðan Í lagi.
  
• Búðu til IKEv2 dulmálsstefnu með því að nota reiknirit sem leyfð er í Common Criteria metnum uppsetningu. Í ASDM, farðu í Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IKE Policies og bættu við IKEv2 stefnu.

Veldu Bæta við og sláðu inn 1 fyrir hæsta forgang. Sviðið er 1 til 65535, með 1 í hæsta forgangi.

Dulkóðun:
AES: Tilgreinir AES-CBC með 128 bita lykladulkóðun fyrir ESP.
AES-256: Tilgreinir AES-CBC með 256 bita lykladulkóðun fyrir ESP.
AES-GCM-128: Tilgreinir AES Galois Counter Mode 128 bita dulkóðun
AES-GCM-256: Tilgreinir AES Galois Counter Mode 256 bita dulkóðun

DH hópur: Veldu Diffie-Hellman hópauðkenni. Þetta er notað af hverjum IPsec jafningja til að fá sameiginlegt leyndarmál, án þess að senda það hvert til annars. Gildir val er: 19 og 20.

PRF Hash – Tilgreindu PRF sem notað er við smíði lyklaefnis fyrir öll dulmálsreiknirit sem notuð eru í SA. Gildir val eru: sha256 og sha384

Í þessu frvampLe stillingar velja:

 

Forgangur: 1

AES Galois Counter Mode (AES-GCM) 256 bita dulkóðun: Þegar GCM er valið útilokar það þörfina á að velja heiðarleikaalgrím. Þetta er vegna þess að áreiðanleikahæfileikarnir eru innbyggðir í GCM, ólíkt CBC (Cipher-Block Chaining).

Diffie-Hellman hópurinn: 20
Integrity Hash: Núll
PRF Hash: sha384
Líftími: 86400

Veldu Allt í lagi.

Athugasemd stjórnanda: Notkun á viðbótar dulkóðun, DH-hópi, heilindum eða PRF Hash sem ekki er skráð hér að ofan er ekki metin.

Athugasemd stjórnanda: Ítarlegri flipinn sýnir IKE styrkleikaframfylgd færibreytu. Gakktu úr skugga um að færibreytan Security Association (SA) Strength Enforcement sé merkt. Þetta tryggir að styrkur IKEv2 dulkóðunar dulkóðunar er hærri en styrkur dulkóðunar dulkóðunar barns IPsec SA. Reiknirit með hærri styrkleika verða lækkuð.

CLI jafngildið er: crypto ipsec ikev2 sa-styrk-enforcement

• Búðu til IPSEC tillögu. Í ASDM, farðu í Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IPsec Proposals (Transform Sets) og bættu við IKEv2 IPsec Proposal. veldu síðan Í lagi.
  Í fyrrvampLe fyrir neðan nafnið sem notað er er NGE-AES-GCM-256 með AES-GCM-256 fyrir dulkóðun og núll fyrir heilleikahash:
  
  
• Búðu til kraftmikið dulmálskort, veldu IPsec tillöguna og notaðu til ytra viðmótsins. Í ASDM, farðu í Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Crypto Maps. Veldu Bæta við, veldu ytra viðmótið og IKEv2 tillöguna.
  Smelltu á Advanced flipann. Gakktu úr skugga um eftirfarandi:
  Virkja NAT-T — Virkjar NAT Traversal (NAT-T) fyrir þessa stefnu
  Öryggissamtök ævistillingar — er stillt á 8 klukkustundir (28800 sekúndur)
• Búðu til netfangahóp VPNUSERS sem verður úthlutað VPN notendum. Heimilisfangahópar innihalda eftirfarandi reiti:
  Nafn —Tilgreinir nafnið sem IP vistfangahópnum er úthlutað.
  Byrjar IP-tölu —Tilgreinir fyrstu IP tölu í lauginni.
  Lok IP tölu —Tilgreinir síðustu IP tölu í lauginni.
  Undirnetmaska— Velur undirnetgrímuna til að nota á heimilisföngin í lauginni.

Í ASDM, farðu í Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools og bættu við IP-laug sem tilgreinir ofangreinda reiti og veldu síðan Í lagi.

Bættu við hópstefnu sem mun beita viðeigandi stillingum fyrir VPN notendur. Hópreglur gera þér kleift að stjórna AnyConnect VPN hópstefnu. VPN hópstefna er safn notendamiðaðra eiginda/gilda pöra sem eru geymd annað hvort inni á ASA tækinu. Stilling VPN hópstefnunnar gerir notendum kleift að erfa eiginleika sem þú hefur ekki stillt á einstökum hópi eða notendanafnastigi. Sjálfgefið er að VPN notendur hafa engin hópstefnutengsl. Hópstefnuupplýsingarnar eru notaðar af VPN-gönguhópum og notendareikningum. Í ASDM, farðu í Stillingar > Fjaraðgangur VPN > Netaðgangur (viðskiptavinur) > Hópreglur og Bæta við innri hópstefnu. Gakktu úr skugga um að samskiptareglur VPN-gönganna séu stilltar á IKEv2 og að IP-laugin sem búin er til hér að ofan sé vísað til í stefnunni með því að afvelja gátreitinn Erfa og velja viðeigandi stillingu. Einnig er hægt að bæta við viðeigandi DNS, WINS og lénsheitum í stefnunni í hlutanum Servers.

Vísa til tdamphópstefna NGE-VPN-GP hér að neðan:

• Búðu til nafn jarðgangahóps. Göngahópur inniheldur jarðgangatengingarstefnur fyrir IPsec tenginguna. Tengingarstefna getur tilgreint auðkenningar-, heimildar- og bókhaldsþjóna, sjálfgefna hópstefnu og IKE eiginleika.

Í ASDM, farðu í Stillingar > Fjaraðgangur VPN > Netaðgangur (viðskiptavinur) > AnyConnect Connection Profiles. Neðst á síðunni undir Connection Profiles, veldu Bæta við.

Í fyrrvample fyrir neðan jarðgangahópsheitið NGE-VPN-RAS er notað.

Stillingin vísar til vottorðsvottunar, tilheyrandi hópstefnu NGE-VPN-GP og Virkja IPsec (IKEv2). DNS og lén er einnig hægt að bæta við hér. Gakktu úr skugga um að aðeins IPsec sé notað með því að haka ekki við virkja SSL VPN viðskiptavinarsamskiptareglur.

• Búðu til vottorðskort, kortleggðu NGE VPN notendur við VPN-gönguhópinn sem áður var búinn til. Vottorðskortið verður notað fyrir AC notendur. Í þessari atburðarás var samheiti víkjandi CA samsvörun til að tryggja að komandi TOE vettvangsbeiðni með EB vottorði sem gefið er út frá víkjandi CA verði varpað á viðeigandi jarðgangahóp sem áður var búinn til. VPN notendur sem ekki fá útgefið vottorð frá EC CA munu falla aftur í sjálfgefna jarðgangahópa og
  mistakast auðkenningu og verður meinaður aðgangur.
  Í ASDM, farðu í Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect og Clientless SSL VPN Connection Profile Kort. Undir Certificate to Connection Profile Kort veldu Bæta við. Veldu núverandi DefaultCertificateMap með 10 forgang og vísaðu í NGE-RAS-VPN jarðgangahópinn.
  
  Í ASDM, farðu í Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect og Clientless SSL VPN Connection Profile Kort. Undir Kortlagningarskilyrði velurðu Bæta við. Veldu Útgefandi fyrir reit, Almennt heiti (CN) fyrir íhlut, Inniheldur fyrir rekstraraðila og veldu síðan Í lagi.
  
  Gakktu úr skugga um að velja APPLY á aðalsíðunni og VISTA stillinguna.
• Stilltu ASA til að samþykkja VPN tengingar frá AnyConnect VPN biðlaranum, notaðu AnyConnect VPN Wizard. Þessi töframaður stillir IPsec (IKEv2) VPN-samskiptareglur fyrir ytri netaðgang. Sjá leiðbeiningar hér:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Undirbúningsaðferðir og rekstrarleiðbeiningar fyrir TOE

Til að setja upp Cisco Secure Client-AnyConnect TOE skaltu fylgja skrefunum hér að neðan:

1. Opnaðu App Store.
2. Veldu Leita
3. Í leitarreitnum skaltu slá inn Cisco Secure Client-AnyConnect
4. Pikkaðu á SETJA APP
5. Veldu Setja upp

Ræstu Cisco Secure Client-AnyConnect

Pikkaðu á Cisco Secure Client-AnyConnect táknið til að ræsa forritið. Ef þetta er í fyrsta skipti sem þú ræsir Cisco Secure Client-AnyConnect eftir uppsetningu eða uppfærslu skaltu velja Í lagi til að virkja TOE til að víkka út Virtual Private Network (VPN) getu tækisins þíns

Heiðarleika sannprófun

Heildarsannprófun er framkvæmd í hvert sinn sem appið er hlaðið og það mun bíða eftir að heilleikasannprófuninni ljúki. Dulmálsþjónusta sem iOS vettvangurinn veitir er kölluð til til að staðfesta stafræna undirskrift keyrslu TOE files. Ef ekki tekst að ljúka heiðarleikastaðfestingunni mun GUI ekki hlaðast, sem gerir appið ónothæft. Ef heiðarleikastaðfestingin heppnast mun GUI appsins hlaðast og virka eðlilega.

Stilla tilvísunarauðkenni

Þessi hluti tilgreinir uppsetningu tilvísunarauðkennis fyrir VPN hlið jafningjann. Á IKE áfanga 1 auðkenningu ber TOE tilvísunarauðkennið saman við auðkennið sem VPN hliðið býður upp á. Ef TOE ákvarðar að þau passi ekki, mun auðkenning ekki ná árangri.

Veldu Tengingar á heimaskjánum til view færslurnar sem þegar eru stilltar á tækinu þínu. Margar tengingarfærslur kunna að vera skráðar, sumar undir fyrirsögn VPN fyrir hvert forrit. Tengifærslur kunna að hafa eftirfarandi staða:

• Virkt— Þessi tengingarfærsla er virkjuð af farsímastjóranum og hægt er að nota hana til að tengjast.
• Virkur- Þessi merkta eða auðkennda tengifærsla er virk.
• Tengdur— Þessi tengingarfærsla er virka og er tengd og í gangi.
• Ótengdur— Þessi tengingarfærsla er virka en er ótengd eins og er og virkar ekki.

Fyrir leiðbeiningar vísa til „Bæta við eða breyta tengingarfærslum handvirkt“ kafla [3].

Stilla notkun skírteina

AnyConnect krefst X.509 vottorðs. Vísa til „Stilla vottorð“ kafla [3].

Lokaðu fyrir ótrausta netþjóna

Þessi forritastilling ákvarðar hvort AnyConnect lokar á tengingar þegar það getur ekki borið kennsl á öruggu gáttina.
Þessi vörn er ON sjálfgefið og má ekki slökkva á henni.

AnyConnect notar vottorðið sem berast frá þjóninum til að staðfesta auðkenni þess. Ef vottorðsvilla er útrunninn eða ógildur dagsetning, rangrar lyklanotkunar eða misræmis nafns er tengingin læst.

Stilltu VPN FIPS ham
VPN FIPS Mode notar Federal Information Processing Standards (FIPS) dulritunaralgrím fyrir allar VPN tengingar.

1. Í Cisco Secure Client-AnyConnect forritinu pikkarðu á Stillingar.
2. Pikkaðu á FIPS Mode til að virkja þessa stillingu.

Til að uppfylla dulmálskröfur í ST þarf FIPS ham að vera virkt. Við staðfestingu á breytingunni á FIPS-stillingu hættir appið og verður að endurræsa það handvirkt. Við endurræsingu er FIPS-stillingin þín í gildi.

Strangar vottorðstraustshamur

Þessi stilling stillir Cisco Secure Client-AnyConnect TOE til að banna vottorð VPN-gáttar höfuðenda sem það getur ekki staðfest sjálfkrafa.

1. Í heimaglugganum pikkarðu á Valmynd > Stillingar.
2. Virkjaðu strangan vottunartraustsham.

Við næstu tengingartilraun verður Strict Certificate Trust virkjuð

Athugaðu afturköllun skírteina

Þessi stilling stjórnar því hvort Cisco Secure Client-AnyConnect TOE muni ákvarða afturköllunarstöðu skírteinisins sem er móttekið frá höfuðenda VPN Gateway. Þessi stilling verður að vera ON og má ekki slökkva á henni.

1. Í AnyConnect heimaglugganum pikkarðu á Valmynd > Stillingar.
2. Virkjaðu afturköllun á skírteini til að virkja þessa stillingu.

Rekstrarleiðbeiningar fyrir TOE

Komdu á VPN-tengingu

Vísa til „Stofna a VPN tenging“ kafla [3].

Stjórnandinn ætti að taka eftir eftirfarandi reglum PROTECT, HOOGÐA og FARGA varðandi notkun IPsec í AnyConnect:

• VERÐA
  Færslur fyrir PROTECT eru stilltar í gegnum fjaraðgangshópastefnu á ASA með ASDM. Fyrir PROTECT færslur flæðir umferðin í gegnum IPsec VPN göngin sem TOE veitir. Engin uppsetning er nauðsynleg fyrir TOE göngin alla umferð. Kerfisstjórinn gæti valfrjálst stillt þessa hegðun með skipuninni í hópstefnu sinni: split-tunnel-policy tunnelall
• HJÁLFGANGUR
  TOE styður HJÁPASS-aðgerðir (þegar skipt göng hafa verið leyfð með fjaraðgangi). Þegar skipt göng er virkjuð ýtir ASA VPN hliðið lista yfir nethluta til TOE til að VERNDA. Öll önnur umferð ferðast óvarin án þess að taka þátt í TOE og framhjá IPsec verndinni.
  Skipt jarðgöng eru stillt í netkerfi (viðskiptavinur) aðgangshópastefnu. Stjórnandinn hefur eftirfarandi valkosti:
  Útilokað: Útiloka aðeins net sem tilgreind eru af split-tunnel-network-list
  Jarðgöng tilgreind: Aðeins göng netkerfi sem tilgreind eru af lista yfir skipt-göng-net. Sjá hlutann „Um að stilla skiptan jarðgang fyrir AnyConnect-umferð“ í VPN ASDM stillingarhandbókinni og sjá skrefin í „Stilla skiptan jarðgangagerð fyrir AnyConnect-umferð“ hlutanum. Eftir að hafa gert breytingar á hópstefnunni í ASDM, vertu viss um að hópstefnan sé tengd við Connection Profile í Stillingar > Fjaraðgangur VPN > Netaðgangur (viðskiptavinur) > AnyConnect Connection Profiles > Bæta við/Breyta > Hópstefnu. Hjáveitu SPD færslur eru veittar af gestgjafapallinum í gegnum óbeina netumferðarleyfisreglur. Engar stillingar eru nauðsynlegar á TOE pallinum til að leyfa honum að fara framhjá þessari umferð.
• FARGA
  DISCARD reglur eru eingöngu framkvæmdar af TOE pallinum. Það er ekkert stjórnunarviðmót til að tilgreina DISCARD reglu.

Fylgjast með og leysa úr vandamálum

Vísa til Fylgjast með og leysa úr vandamálum kafla [3].

Lokar Cisco Secure Client-AnyConnect
Með því að hætta í appinu slítur núverandi VPN tengingu og stöðva öll TOE ferla. Notaðu þessa aðgerð sparlega. Önnur öpp eða ferli í tækinu þínu gætu verið að nota núverandi VPN-tengingu og að hætta í Cisco Secure Client-AnyConnect forritinu gæti haft slæm áhrif á virkni þeirra.

Í heimaglugganum pikkarðu á Valmynd > Hætta.

Dulritunarstuðningur
TOE veitir dulritun til stuðnings IPsec með ESP samhverfri dulritun fyrir magn AES dulkóðun/afkóðun og SHA-2 reiknirit fyrir hashing. Að auki veitir TOE dulmálið til að styðja Diffie Hellman lyklaskipti og afleiðsluaðgerð sem notuð er í IKEv2 og ESP samskiptareglum. Leiðbeiningar til að stilla dulmálsaðgerðir eru lýst í hlutanum „Verklagsreglur og rekstrarleiðbeiningar fyrir upplýsingatækniumhverfi“ í þessu skjali.

Traustar uppfærslur

Þessi hluti veitir leiðbeiningar um að samþykkja á öruggan hátt TOE og allar síðari TOE uppfærslur. „Uppfærslur“ eru ný útgáfa af TOE.

TOE útgáfu getur verið spurt af notanda. Á heimaskjánum bankarðu á „Um“. Einnig er hægt að spyrjast fyrir um útgáfu í gegnum farsímakerfið:

• iPhone: Opnaðu Stillingar og farðu í Almennt > Notkun. Undir Geymsla, finndu Cisco Secure Client Any Connect og pikkaðu á. Upplýsingar um útgáfuna munu birtast.

Uppfærslum á Cisco Secure Client-AnyConnect TOE er stjórnað í gegnum Apple App Store með því að nota ferlið hér að neðan.

Athugið: Áður en þú uppfærir tækið þitt verður þú að aftengja VPN-lotuna ef hún er komin á og loka forritinu ef það er opið. Ef þér tekst ekki að gera þetta þarf að endurræsa tækið þitt áður en þú notar nýju útgáfuna af Cisco Secure Client-AnyConnect TOE.

1. Bankaðu á App Store táknið á iOS heimasíðunni.
2. Pikkaðu á Cisco Secure Client-AnyConnect uppfærslutilkynningu.
3. Lestu um nýju eiginleikana.
4. Smelltu á Uppfæra.
5. Sláðu inn Apple ID lykilorðið þitt.
6. Bankaðu á Allt í lagi.

Uppfærslan heldur áfram.

Að fá skjöl og senda inn þjónustubeiðni

Fyrir upplýsingar um að afla gagna, nota Cisco Bug Search Tool (BST), senda inn þjónustubeiðni og afla viðbótarupplýsinga, sjá Hvað er nýtt í Cisco Product Documentation.

Til að fá nýtt og endurskoðað tækniefni frá Cisco beint á skjáborðið þitt geturðu gerst áskrifandi að Hvað er nýtt í Cisco Product Documentation RSS straumi. RSS straumarnir eru ókeypis þjónusta.

Að hafa samband við Cisco

Cisco er með meira en 200 skrifstofur um allan heim. Heimilisföng, símanúmer og faxnúmer eru skráð á Cisco websíða kl www.cisco.com/go/offices.

Skjöl / auðlindir

CISCO AnyConnect 5.0 Öruggur viðskiptavinur [pdfNotendahandbók 5.0 fyrir iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

Heimildir

• Notendahandbók