CISCO AnyConnect 5.0 មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់សុវត្ថិភាពអតិថិជន
CISCO AnyConnect 5.0 អតិថិជនសុវត្ថិភាព

សេចក្តីផ្តើមឯកសារ

រៀបចំដោយ៖
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134

ឯកសារនេះផ្តល់ការណែនាំដល់បុគ្គលិកផ្នែកព័ត៌មានវិទ្យាសម្រាប់ TOE, Cisco Secure Client – ​​AnyConnect 5.0 សម្រាប់ iOS 16។ ឯកសារណែនាំនេះរួមមានការណែនាំក្នុងការដំឡើង TOE ដោយជោគជ័យក្នុងបរិយាកាសប្រតិបត្តិការ ការណែនាំដើម្បីគ្រប់គ្រងសុវត្ថិភាព TSF និងការណែនាំក្នុងការផ្តល់ សមត្ថភាពរដ្ឋបាលការពារ។

ប្រវត្តិកែប្រែ

កំណែ កាលបរិច្ឆេទ ផ្លាស់ប្តូរ
0.1 ថ្ងៃទី 1 ខែឧសភា ឆ្នាំ 2023 កំណែដំបូង
0.2 ថ្ងៃទី 27 ខែកក្កដា ឆ្នាំ 2023 បច្ចុប្បន្នភាព

Cisco និងនិមិត្តសញ្ញា Cisco គឺជាពាណិជ្ជសញ្ញា ឬពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Cisco និង/ឬសាខារបស់ខ្លួននៅក្នុងសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ ទៅ view បញ្ជីនៃពាណិជ្ជសញ្ញា Cisco សូមចូលទៅកាន់នេះ។ URL: www.cisco.com/go/trademarks ។. ពាណិជ្ជសញ្ញាភាគីទីបីដែលបានលើកឡើងគឺជាទ្រព្យសម្បត្តិរបស់ម្ចាស់រៀងៗខ្លួន។ ការប្រើប្រាស់ពាក្យថាដៃគូរមិនមានន័យថាទំនាក់ទំនងភាពជាដៃគូរវាង Cisco និងក្រុមហ៊ុនណាមួយផ្សេងទៀតនោះទេ។ (1110R)

© 2023 Cisco Systems, Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។

មាតិកា លាក់
1 សេចក្តីផ្តើម
2 និតិវិធី និងការណែនាំប្រតិបត្តិការសម្រាប់បរិស្ថាន IT
3 នីតិវិធីរៀបចំ និងការណែនាំប្រតិបត្តិការសម្រាប់ TOE
4 ចាប់ផ្តើម Cisco Secure Client-AnyConnect
5 ការណែនាំអំពីប្រតិបត្តិការសម្រាប់ TOE
6 ការទទួលបានឯកសារ និងបញ្ជូនសំណើសេវាកម្ម
7 ទាក់ទង Cisco
8 ឯកសារ/ធនធាន
8.1 ឯកសារយោង
9 ប្រកាសដែលពាក់ព័ន្ធ

សេចក្តីផ្តើម

ការណែនាំអំពីអ្នកប្រើប្រាស់ប្រតិបត្តិការនេះជាមួយនឹងនីតិវិធីត្រៀមរៀបចំឯកសាររដ្ឋបាលរបស់ Cisco Secure ClientAnyConnect v5.0 សម្រាប់ Apple iOS 16 TOE ដូចដែលវាត្រូវបានបញ្ជាក់ក្រោមលក្ខណៈវិនិច្ឆ័យទូទៅ។ Cisco Secure Client-AnyConnect v5.0 សម្រាប់ Apple iOS 16 អាចត្រូវបានយោងខាងក្រោមដោយអក្សរកាត់ដែលពាក់ព័ន្ធ ឧទាហរណ៍ VPN Client ឬសាមញ្ញ TOE ។

ទស្សនិកជន
ឯកសារនេះត្រូវបានសរសេរសម្រាប់អ្នកគ្រប់គ្រងដំឡើង និងកំណត់រចនាសម្ព័ន្ធ TOE ។ ឯកសារនេះសន្មត់ថាអ្នកស៊ាំជាមួយគោលគំនិត និងពាក្យដែលប្រើក្នុងការងារអ៊ីនធឺណិត ហើយយល់អំពីបណ្តាញទំនាក់ទំនងរបស់អ្នក និងពិធីការដែលឧបករណ៍នៅក្នុងបណ្តាញរបស់អ្នកអាចប្រើប្រាស់បានថា អ្នកគឺជាបុគ្គលដែលគួរឱ្យទុកចិត្ត ហើយអ្នកត្រូវបានបណ្តុះបណ្តាលឱ្យប្រើប្រតិបត្តិការ។ ប្រព័ន្ធដែលអ្នកកំពុងដំណើរការបណ្តាញរបស់អ្នក។

គោលបំណង
ឯកសារនេះគឺជាការណែនាំអំពីអ្នកប្រើប្រាស់ប្រតិបត្តិការជាមួយនឹងនីតិវិធីរៀបចំសម្រាប់ការវាយតម្លៃលក្ខណៈទូទៅ។ វាត្រូវបានសរសេរដើម្បីរំលេចការកំណត់រចនាសម្ព័ន្ធ TOE ជាក់លាក់ និងមុខងារអ្នកគ្រប់គ្រង និងចំណុចប្រទាក់ដែលចាំបាច់ក្នុងការកំណត់រចនាសម្ព័ន្ធ និងរក្សា TOE នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃ។ ឯកសារនេះមិនមានន័យលម្អិតអំពីសកម្មភាពជាក់លាក់ដែលធ្វើឡើងដោយអ្នកគ្រប់គ្រងនោះទេ ប៉ុន្តែជាផែនទីបង្ហាញផ្លូវសម្រាប់កំណត់ទីតាំងសមស្របនៅក្នុងឯកសារ Cisco ដើម្បីទទួលបានព័ត៌មានលម្អិតជាក់លាក់សម្រាប់កំណត់រចនាសម្ព័ន្ធ និងថែរក្សាប្រតិបត្តិការរបស់ AnyConnect Secure Mobility Client។ ពាក្យបញ្ជាដែលទាក់ទងនឹងសុវត្ថិភាពទាំងអស់ដើម្បីគ្រប់គ្រងទិន្នន័យ TSF ត្រូវបានផ្តល់ជូននៅក្នុងឯកសារនេះនៅក្នុងផ្នែកមុខងារនីមួយៗ។

ឯកសារយោង
ផ្នែកនេះរាយបញ្ជីឯកសារប្រព័ន្ធ Cisco ដែលជាផ្នែកនៃបញ្ជីធាតុកំណត់រចនាសម្ព័ន្ធលក្ខណៈទូទៅ (CI) ផងដែរ។ ឯកសារដែលបានប្រើត្រូវបានបង្ហាញខាងក្រោមក្នុងតារាងទី 1។ ពេញមួយឯកសារនេះ មគ្គុទ្ទេសក៍នឹងត្រូវបានយោងដោយ "#" ដូចជា [1] ជាដើម។

តារាងទី 1 ឯកសារ Cisco

# ចំណងជើង តំណភ្ជាប់
1 Cisco Secure Client (រួមទាំង AnyConnect) មគ្គុទ្ទេសក៍អ្នកគ្រប់គ្រង ការចេញផ្សាយ 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2 មគ្គុទ្ទេសក៍អ្នកគ្រប់គ្រងវេទិកាចល័ត Cisco AnyConnect ចេញផ្សាយ 4.1 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3 មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់ iOS របស់ Apple សម្រាប់ Cisco AnyConnect Secure Mobility Client, ចេញផ្សាយ 4.6.x https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4 កំណត់ចំណាំការចេញផ្សាយសម្រាប់ Cisco AnyConnect Secure Mobility Client, ចេញផ្សាយ 4.9 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- note-anyconnect-4-9.html
5 កំណត់ចំណាំចេញផ្សាយសម្រាប់ Cisco Secure Client (រួមទាំង AnyConnect) ចេញផ្សាយ 5 សម្រាប់ Apple iOS https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

TOE ជាងview
TOE គឺជា Cisco AnyConnect Secure Mobility Client (នៅទីនេះបន្ទាប់ពីគេហៅថា VPN client ឬ TOE)។ Cisco AnyConnect Secure Mobility Client ផ្តល់ឱ្យអ្នកប្រើប្រាស់ពីចម្ងាយនូវការតភ្ជាប់ VPN សុវត្ថិភាព IPsec (IKEv2) ទៅកាន់ Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway ដែលអនុញ្ញាតឱ្យកម្មវិធីដែលបានដំឡើងដើម្បីទំនាក់ទំនងដូចជាបានភ្ជាប់ដោយផ្ទាល់ទៅបណ្តាញសហគ្រាស។

បរិស្ថានប្រតិបត្តិការ
TOE ទាមទារសមាសធាតុបរិស្ថាន IT ខាងក្រោមនៅពេលដែល TOE ត្រូវបានកំណត់ក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃរបស់វា៖

តារាង 2. សមាសធាតុបរិស្ថានប្រតិបត្តិការ

សមាសភាគ ការពិពណ៌នាអំពីការប្រើប្រាស់/គោលបំណង
អាជ្ញាធរវិញ្ញាបនប័ត្រ អាជ្ញាធរវិញ្ញាបនប័ត្រត្រូវបានប្រើដើម្បីផ្តល់វិញ្ញាបនបត្រឌីជីថលដែលមានសុពលភាព។
វេទិកាចល័ត TOE ពឹងផ្អែកលើវេទិកាឧបករណ៍ចល័ត Apple ដែលមានសុពលភាព CC ខាងក្រោម៖
  • Apple iPhone 11/XR ដំណើរការដោយ iOS 16
ASA 5500-X ស៊េរី VPN Gateway Cisco ASA 5500-X ដែលមានកម្មវិធីកំណែ 9.2.2 ឬថ្មីជាងនេះ មានមុខងារជា VPN Gateway ក្បាលចុង។
វេទិកាគ្រប់គ្រង ASDM ASDM 7.7 ដំណើរការពីប្រព័ន្ធប្រតិបត្តិការណាមួយខាងក្រោម៖
  • វីនដូ 7, 8, 10
  • Windows Server 2008, 2012, 2012 R2, 2016 និង Server 2019
  • Apple OS X 10.4 ឬថ្មីជាងនេះ សូមចំណាំថាកម្មវិធី ASDM ត្រូវបានដំឡើងនៅលើឧបករណ៍ ASA ហើយវេទិកាគ្រប់គ្រងត្រូវបានប្រើដើម្បីភ្ជាប់ទៅ ASA និងដំណើរការ ASDM ។ កម្មវិធីតែមួយគត់ដែលបានដំឡើងនៅលើវេទិកាគ្រប់គ្រងគឺ Cisco ASDM Launcher ។

វេទិកាចល័តមូលដ្ឋានផ្តល់នូវមុខងារសុវត្ថិភាពមួយចំនួនដែលត្រូវការនៅក្នុង MOD_VPNC_V2.4] ហើយត្រូវបានតំណាងដោយប្រើឃ្លា “TOE Platform” នៅក្នុងឯកសារនេះ។

Cisco AnyConnect TOE ប្រើប្រាស់ធនធានផ្នែករឹងបណ្តាញនៅលើប្រព័ន្ធប្រតិបត្តិការចល័តដើម្បីផ្ញើ និងទទួលកញ្ចប់ព័ត៌មានដែលបានអ៊ិនគ្រីប។ TOE មិនចូលប្រើឃ្លាំងព័ត៌មានរសើបទេ។

ឯកសារយោងនៅក្នុងឯកសារនេះទៅ "ASA" សំដៅទៅលើ VPN Gateway

មុខងារមិនរាប់បញ្ចូល

មុខងារដែលបានរាយខាងក្រោមមិនត្រូវបានរួមបញ្ចូលនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃនោះទេ។

តារាងទី 3. មុខងារ និងហេតុផលដែលមិនរាប់បញ្ចូល

មុខងារត្រូវបានដកចេញ ហេតុផល
របៀបមិន FIPS 140-2 នៃប្រតិបត្តិការ TOE រួមបញ្ចូលទាំងរបៀប FIPS នៃប្រតិបត្តិការ។ របៀប FIPS អនុញ្ញាតឱ្យ TOE ប្រើតែការគ្រីបដែលបានអនុម័តប៉ុណ្ណោះ។ របៀបប្រតិបត្តិការ FIPS ត្រូវតែត្រូវបានបើកដើម្បីឱ្យ TOE ដំណើរការនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃរបស់វា។
ផ្លូវរូងក្រោមដី SSL ជាមួយជម្រើសផ្លូវរូងក្រោមដី DLTS [MOD_VPNC_V2.4] អនុញ្ញាតតែ IPsec VPN tunnel ។

សេវាកម្មទាំងនេះនឹងត្រូវបានបិទដោយការកំណត់រចនាសម្ព័ន្ធ។ ការមិនរាប់បញ្ចូលមុខងារនេះមិនប៉ះពាល់ដល់ការអនុលោមតាមការការពារដែលបានទាមទារនោះទេ។files.

និតិវិធី និងការណែនាំប្រតិបត្តិការសម្រាប់បរិស្ថាន IT

ដើម្បីដំណើរការក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃរបស់វា TOE ទាមទារអប្បបរមា (1) អាជ្ញាធរវិញ្ញាបនបត្រ (CA), (1) VPN Gateway មួយ និង (1) ឧបករណ៍ចល័ត Apple iPhone មួយ។

ដើម្បីស្រដៀងទៅនឹងបរិស្ថាន PKI របស់អតិថិជន ដំណោះស្រាយ CA ពីរជាន់ដោយប្រើប្រាស់ Offline Root CA និង Enterprise Subordinate CA ដែលជួល Microsoft 2012 R2 Certificate Authority (CA) នឹងត្រូវបានយោងនៅក្នុងផ្នែកនេះ។ ផលិតផល CA ផ្សេងទៀតជំនួស Microsoft អាចត្រូវបានប្រើប្រាស់។

Root CA ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាម៉ាស៊ីនមេដាច់ដោយឡែក (Workgroup) ខណៈដែល Subordinate CA ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាផ្នែកនៃដែន Microsoft ជាមួយនឹងសេវាកម្ម Active Directory ត្រូវបានបើក។ រូបខាងក្រោមផ្តល់នូវរូបភាពដែលមើលឃើញនៃ TOE និង IT

បរិស្ថាន។ TOE គឺជាកម្មវិធីដែលដំណើរការលើ iOS 13។ ព្រំដែន TOE ត្រូវបានតាងដោយបន្ទាត់ពណ៌ក្រហម។ សូមមើលរូបភាពទី 1 ខាងក្រោម។

រូបភាពទី 1. TOE និងបរិស្ថាន
TOE និងបរិស្ថាន

Subordinate CA ចេញវិញ្ញាបនបត្រឌីជីថល X.509 និងផ្តល់នូវបញ្ជីដកហូតវិញ្ញាបនបត្រ (CRL) ទៅកាន់ TOE Platform និង VPN Gateway។
ជាជម្រើសមួយ (1) single root Enterprise CA អាចត្រូវបានដាក់ឱ្យប្រើប្រាស់។

  • ដំឡើង និងកំណត់រចនាសម្ព័ន្ធអាជ្ញាធរវិញ្ញាបនបត្រ

ប្រសិនបើប្រើដំណោះស្រាយ CA ពីរជាន់របស់ Microsoft សូមដំឡើង និងកំណត់រចនាសម្ព័ន្ធ Root (GRAYCA) និងអាជ្ញាធរវិញ្ញាបនបត្ររងសហគ្រាស (GRAYSUBCA1) ស្របតាមការណែនាំពីអ្នកលក់។ ខាង​ក្រោម​នេះ​គឺ​ជា​មគ្គុទ្ទេសក៍​ជា​ជំហាន​ៗ​សម្រាប់​ការ​កំណត់​រចនា​សម្ព័ន្ធ​សេវា​វិញ្ញាបនបត្រ Microsoft Active Directory៖

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
វាត្រូវបានសន្មត់ថាទាំងវិញ្ញាបនបត្រ Offline Root CA (GRAYCA) និងវិញ្ញាបនបត្រ Enterprise Subordinate CA (GRAYSUBCA1) ដែលបង្ហាញក្នុងរូបភាពទី 1 ត្រូវបានដំឡើង និងជឿទុកចិត្ត ដើម្បីធានាថាខ្សែវិញ្ញាបនបត្រដែលគួរឱ្យទុកចិត្តត្រូវបានបង្កើតឡើង។ ប្រសិនបើប្រើ CA ពីអ្នកលក់ក្រៅពី Microsoft សូមធ្វើតាមការណែនាំអំពីការដំឡើង CA របស់អ្នកលក់នោះ។

ដោយមិនគិតពីផលិតផល CA ដែលត្រូវបានប្រើប្រាស់ វិញ្ញាបនបត្រ RSA នៅលើ ASA ត្រូវតែមានការប្រើប្រាស់គន្លឹះខាងក្រោម និងលក្ខណៈសម្បត្តិការប្រើប្រាស់គ្រាប់ចុចបន្ថែម៖

  • ការប្រើប្រាស់គន្លឹះ៖ ហត្ថលេខាឌីជីថល កិច្ចព្រមព្រៀងគន្លឹះ
  • EKU៖ សន្តិសុខ IP កម្រិតមធ្យម IKE ប្រព័ន្ធសន្តិសុខ IP

វាលឈ្មោះជំនួសមុខវិជ្ជា (SAN) នៅក្នុងវិញ្ញាបនបត្រ ECDSA និង RSA នៅលើ ASA ត្រូវតែផ្គូផ្គងព័ត៌មានការតភ្ជាប់ដែលបានបញ្ជាក់នៅក្នុង AnyConnect profile លើអតិថិជន។

  • ដំឡើង និងកំណត់រចនាសម្ព័ន្ធ VPN Gateway

ដំឡើង Cisco ASA 9.1 (ឬថ្មីជាងនេះ) ជាជម្រើសជាមួយ ASDM ដោយអនុលោមតាមការណែនាំអំពីការដំឡើង និងកំណត់ចំណាំចេញផ្សាយដែលសមរម្យសម្រាប់កំណែដែលត្រូវដំឡើង។ ASDM អនុញ្ញាតឱ្យ ASA ត្រូវបានគ្រប់គ្រងពីចំណុចប្រទាក់អ្នកប្រើក្រាហ្វិក។ ជាជម្រើស ប្រសិនបើអ្នកគ្រប់គ្រងចូលចិត្ត ជំហានកំណត់រចនាសម្ព័ន្ធបន្ទាត់ពាក្យបញ្ជាសមមូល (CLI) អាចត្រូវបានប្រើ។

កំណត់សម្គាល់ការកំណត់រចនាសម្ព័ន្ធ៖ ដោយសារមានប៉ារ៉ាម៉ែត្រដែលគ្រប់គ្រងដោយ ASA អ្នកគ្រប់គ្រងច្រកផ្លូវត្រូវតែធ្វើតាមជំហានក្នុងផ្នែកនេះ ដើម្បីធានាថា TOE ស្ថិតនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃរបស់វា។

  • បើក AnyConnect និង IKEv2 នៅលើ ASA ។ នៅក្នុង ASDM សូមចូលទៅកាន់ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> AnyConnect Connection Profiles ហើយជ្រើសរើសប្រអប់ធីក Enable Cisco AnyConnect ហើយអនុញ្ញាតការចូលប្រើក្រោម IKEv2។
    នីតិវិធី និងប្រតិបត្តិការ
  • នៅលើ AnyConnect Connection Profileទំព័រដែលបានរៀបរាប់ខាងលើ ជ្រើសរើសវិញ្ញាបនបត្រឧបករណ៍។ ត្រូវប្រាកដថាប្រើវិញ្ញាបនបត្រឧបករណ៍ដូចគ្នា… មិនត្រូវបានធីក ហើយជ្រើសរើសវិញ្ញាបនបត្រ EC ID នៅក្រោមវិញ្ញាបនបត្រឧបករណ៍ ECDSA។ បន្ទាប់មកជ្រើសរើស Ok ។
    នីតិវិធី និងប្រតិបត្តិការ
  • បង្កើតគោលការណ៍គ្រីបតូ IKEv2 ដោយប្រើក្បួនដោះស្រាយដែលបានអនុញ្ញាតក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបានវាយតម្លៃជាទូទៅ។ នៅក្នុង ASDM សូមចូលទៅកាន់ ការកំណត់ > ការចូលប្រើពីចម្ងាយ VPN > បណ្តាញ (អតិថិជន) ការចូលប្រើ > កម្រិតខ្ពស់ > IPsec > គោលការណ៍ IKE ហើយបន្ថែមគោលការណ៍ IKEv2 ។

ជ្រើសរើស បន្ថែម ហើយបញ្ចូល 1 សម្រាប់អាទិភាពខ្ពស់បំផុត។ ជួរគឺ 1 ដល់ 65535 ជាមួយនឹង 1 អាទិភាពខ្ពស់បំផុត។

ការអ៊ិនគ្រីប៖
AES៖ បញ្ជាក់ AES-CBC ជាមួយនឹងការអ៊ិនគ្រីបសោ 128 ប៊ីតសម្រាប់ ESP ។
AES-256៖ បញ្ជាក់ AES-CBC ជាមួយនឹងការអ៊ិនគ្រីបសោ 256 ប៊ីតសម្រាប់ ESP ។
AES-GCM-128៖ បញ្ជាក់ AES Galois Counter Mode 128-bit encryption
AES-GCM-256៖ បញ្ជាក់ AES Galois Counter Mode 256-bit encryption

ក្រុម DH៖ ជ្រើសរើសអត្តសញ្ញាណក្រុម Diffie-Hellman ។ នេះ​ត្រូវ​បាន​ប្រើ​ដោយ IPsec គ្នា​ដើម្បី​ទាញ​យក​អាថ៌កំបាំង​ដែល​បាន​ចែក​រំលែក ដោយ​មិន​ចាំបាច់​បញ្ជូន​វា​ទៅ​កាន់​គ្នា​ទេ។ ការជ្រើសរើសត្រឹមត្រូវគឺ៖ ១៩ និង ២០។

PRF Hash - បញ្ជាក់ PRF ដែលប្រើសម្រាប់ការសាងសង់សម្ភារៈគន្លឹះសម្រាប់រាល់ក្បួនដោះស្រាយគ្រីបដែលប្រើនៅក្នុង SA។ ការជ្រើសរើសត្រឹមត្រូវគឺ៖ sha256 និង sha384

នៅក្នុងនេះ អតីតampជ្រើសរើសការកំណត់រចនាសម្ព័ន្ធ៖

 

អាទិភាព៖ ១

AES Galois Counter Mode (AES-GCM) ការអ៊ិនគ្រីប 256 ប៊ីត៖ នៅពេលដែល GCM ត្រូវបានជ្រើសរើស វារារាំងតម្រូវការក្នុងការជ្រើសរើសក្បួនដោះស្រាយសុចរិតភាព។ នេះគឺដោយសារតែសមត្ថភាពភាពត្រឹមត្រូវត្រូវបានបង្កើតឡើងនៅក្នុង GCM មិនដូច CBC (Cipher-Block Chaning) ។

ក្រុម Diffie-Hellman៖ 20
សុចរិតភាព Hash៖ ទុកជាមោឃៈ
PRF Hash៖ sha384
ពេញមួយជីវិត៖ 86400
នីតិវិធី និងប្រតិបត្តិការ

ជ្រើសរើស យល់ព្រម។

កំណត់សម្គាល់អ្នកគ្រប់គ្រង៖ ការប្រើប្រាស់ការអ៊ិនគ្រីបបន្ថែមណាមួយ DH-Group, Integrity ឬ PRF Hash ដែលមិនបានរាយបញ្ជីខាងលើមិនត្រូវបានវាយតម្លៃទេ។

កំណត់សម្គាល់អ្នកគ្រប់គ្រង៖ ផ្ទាំងកម្រិតខ្ពស់បង្ហាញប៉ារ៉ាម៉ែត្រពង្រឹង IKE ។ ត្រូវប្រាកដថាបានពិនិត្យប៉ារ៉ាម៉ែត្រពង្រឹងការពង្រឹងសមាគម (SA)។ នេះធានាថាកម្លាំងនៃលេខកូដសម្ងាត់ IKEv2 គឺខ្ពស់ជាងកម្លាំងនៃកូនកូដសម្ងាត់ IPsec SA របស់វា។ ក្បួនដោះស្រាយកម្លាំងខ្ពស់ជាងនឹងត្រូវបានបន្ទាប។

សមមូល CLI គឺ៖ crypto ipsec ikev2 sa-strength-enforcement

  • បង្កើតសំណើ IPSEC ។ នៅក្នុង ASDM សូមចូលទៅកាន់ ការកំណត់ > ការចូលប្រើពីចម្ងាយ VPN > បណ្តាញ (អតិថិជន) ការចូលប្រើ > កម្រិតខ្ពស់ > IPsec > IPsec Proposals (Transform Sets) ហើយបន្ថែមសំណើ IKEv2 IPsec ។ បន្ទាប់មកជ្រើសរើស Ok ។
    នៅក្នុងអតីតample ខាងក្រោមឈ្មោះដែលប្រើគឺ NGE-AES-GCM-256 ជាមួយ AES-GCM-256 សម្រាប់ការអ៊ិនគ្រីប និង Null សម្រាប់ Integrity Hash៖
    នីតិវិធី និងប្រតិបត្តិការ
  • បង្កើតផែនទីគ្រីបតូថាមវន្ត ជ្រើសរើសសំណើ IPsec ហើយអនុវត្តទៅចំណុចប្រទាក់ខាងក្រៅ។ នៅក្នុង ASDM សូមចូលទៅកាន់ ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> កម្រិតខ្ពស់> IPsec> ផែនទីគ្រីបតូ។ ជ្រើសរើសបន្ថែម ជ្រើសរើសចំណុចប្រទាក់ខាងក្រៅ និងសំណើ IKEv2 ។
    ចុចលើផ្ទាំងកម្រិតខ្ពស់។ ធានាដូចតទៅ៖
    បើក NAT-T -បើកដំណើរការ NAT Traversal (NAT-T) សម្រាប់គោលការណ៍នេះ។
    ការកំណត់ពេញមួយជីវិតរបស់សមាគមសន្តិសុខ - ត្រូវបានកំណត់ទៅ 8 ម៉ោង (28800 វិនាទី)
  • បង្កើតក្រុមអាសយដ្ឋាន VPNUSERS ដែលនឹងត្រូវបានកំណត់ទៅអ្នកប្រើប្រាស់ VPN ។ បណ្តុំអាសយដ្ឋានមានវាលខាងក្រោម៖
    ឈ្មោះ - បញ្ជាក់ឈ្មោះដែលបានកំណត់ទៅក្រុមអាសយដ្ឋាន IP ។
    ចាប់ផ្តើមអាសយដ្ឋាន IP - បញ្ជាក់អាសយដ្ឋាន IP ដំបូងនៅក្នុងអាង។
    ការបញ្ចប់អាសយដ្ឋាន IP - បញ្ជាក់អាសយដ្ឋាន IP ចុងក្រោយនៅក្នុងអាង។
    របាំងបណ្ដាញរង - ជ្រើសរើសរបាំងបណ្ដាញរង ដើម្បីអនុវត្តចំពោះអាសយដ្ឋាននៅក្នុងអាង។

នៅក្នុង ASDM សូមចូលទៅកាន់ ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> ការចាត់តាំងអាសយដ្ឋាន> អាងអាសយដ្ឋាន ហើយបន្ថែមអាង IP ដែលបញ្ជាក់វាលខាងលើ ហើយបន្ទាប់មកជ្រើសរើស យល់ព្រម។

បន្ថែមគោលការណ៍ក្រុមដែលនឹងអនុវត្តការកំណត់ដែលចង់បានចំពោះអ្នកប្រើប្រាស់ VPN ។ គោលការណ៍ក្រុមអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងគោលការណ៍ក្រុម AnyConnect VPN ។ គោលការណ៍ក្រុម VPN គឺជាការប្រមូលផ្ដុំនៃគូគុណលក្ខណៈ/តម្លៃដែលតម្រង់ទិសអ្នកប្រើប្រាស់ ដែលត្រូវបានរក្សាទុកនៅខាងក្នុងនៅលើឧបករណ៍ ASA ។ ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍ក្រុម VPN អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ទទួលនូវគុណលក្ខណៈដែលអ្នកមិនបានកំណត់រចនាសម្ព័ន្ធនៅកម្រិតក្រុមបុគ្គល ឬឈ្មោះអ្នកប្រើប្រាស់។ តាមលំនាំដើម អ្នកប្រើប្រាស់ VPN មិនមានទំនាក់ទំនងគោលការណ៍ក្រុមទេ។ ព័ត៌មានអំពីគោលការណ៍ក្រុមត្រូវបានប្រើប្រាស់ដោយក្រុមផ្លូវរូងក្រោមដី VPN និងគណនីអ្នកប្រើប្រាស់។ នៅក្នុង ASDM សូមចូលទៅកាន់ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> ប៉ូលីសក្រុម ហើយបន្ថែមគោលការណ៍ក្រុមខាងក្នុង។ ត្រូវប្រាកដថាពិធីការផ្លូវរូងក្រោមដី VPN ត្រូវបានកំណត់ទៅ IKEv2 ហើយក្រុម IP ដែលបានបង្កើតខាងលើត្រូវបានយោងនៅក្នុងគោលការណ៍ដោយដោះធីកប្រអប់ធីក Inherit ហើយជ្រើសរើសការកំណត់សមស្រប។ DNS, WINS និងឈ្មោះដែនដែលពាក់ព័ន្ធអាចត្រូវបានបន្ថែមនៅក្នុងគោលការណ៍នៅក្នុងផ្នែកម៉ាស៊ីនមេ។

យោងទៅឧampគោលនយោបាយក្រុម NGE-VPN-GP ខាងក្រោម៖
នីតិវិធី និងប្រតិបត្តិការ

  • បង្កើតឈ្មោះក្រុមផ្លូវរូងក្រោមដី។ ក្រុមផ្លូវរូងក្រោមដីមានគោលការណ៍តភ្ជាប់ផ្លូវរូងក្រោមដីសម្រាប់ការតភ្ជាប់ IPsec ។ គោលការណ៍នៃការតភ្ជាប់អាចបញ្ជាក់ការផ្ទៀងផ្ទាត់ ការអនុញ្ញាត និងម៉ាស៊ីនមេគណនេយ្យ គោលការណ៍ក្រុមលំនាំដើម និងគុណលក្ខណៈ IKE ។

នៅក្នុង ASDM សូមចូលទៅកាន់ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> AnyConnect Connection Profileស. នៅផ្នែកខាងក្រោមនៃទំព័រក្រោម Connection Profiles, ជ្រើស បន្ថែម។

នៅក្នុងអតីតample ខាងក្រោមឈ្មោះក្រុមផ្លូវរូងក្រោមដី NGE-VPN-RAS ត្រូវបានប្រើ។
នីតិវិធី និងប្រតិបត្តិការ

ការកំណត់រចនាសម្ព័ន្ធយោងទៅលើការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ គោលការណ៍ក្រុមដែលពាក់ព័ន្ធ NGE-VPN-GP និងបើក IPsec (IKEv2)។ DNS និងឈ្មោះដែនក៏អាចបន្ថែមនៅទីនេះផងដែរ។ ត្រូវប្រាកដថាមានតែ IPsec ប៉ុណ្ណោះដែលត្រូវបានប្រើប្រាស់ដោយការមិនពិនិត្យមើលការបើកដំណើរការ SSL VPN Client Protocol។

  • បង្កើតផែនទីវិញ្ញាបនបត្រ គូសផែនទីអ្នកប្រើប្រាស់ NGE VPN ទៅក្រុម VPN tunnel ដែលត្រូវបានបង្កើតពីមុន។ ផែនទីវិញ្ញាបនបត្រនឹងត្រូវបានអនុវត្តចំពោះអ្នកប្រើប្រាស់ AC ។ នៅក្នុងសេណារីយ៉ូនេះ ឈ្មោះទូទៅរបស់ Subordinate CA ត្រូវបានផ្គូផ្គងដើម្បីធានាថាសំណើវេទិកា TOE ចូលមកជាមួយនឹងវិញ្ញាបនបត្រ EC ដែលចេញមកពី Subordinate CA នឹងត្រូវបានផ្គូផ្គងទៅនឹងក្រុមផ្លូវរូងក្រោមដីដែលសមស្របដែលត្រូវបានបង្កើតពីមុន។ អ្នកប្រើប្រាស់ VPN ដែលមិនត្រូវបានចេញវិញ្ញាបនបត្រពី EC CA នឹងត្រលប់ទៅក្រុមផ្លូវរូងក្រោមដីលំនាំដើមវិញ។
    បរាជ័យក្នុងការផ្ទៀងផ្ទាត់ ហើយនឹងត្រូវបានបដិសេធការចូលប្រើ។
    នៅក្នុង ASDM សូមចូលទៅកាន់ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> កម្រិតខ្ពស់> វិញ្ញាបនបត្រទៅ AnyConnect និង Clientless SSL VPN Connection Profile ផែនទី។ នៅក្រោមវិញ្ញាបនប័ត្រទៅ Connection Profile ផែនទីជ្រើសរើសបន្ថែម។ ជ្រើសរើស DefaultCertificateMap ដែលមានអាទិភាព 10 ហើយយោងក្រុមផ្លូវរូងក្រោមដី NGE-RAS-VPN ។
    នីតិវិធី និងប្រតិបត្តិការ
    នៅក្នុង ASDM សូមចូលទៅកាន់ការកំណត់> ការចូលប្រើពីចម្ងាយ VPN> កម្រិតខ្ពស់> វិញ្ញាបនបត្រទៅ AnyConnect និង Clientless SSL VPN Connection Profile ផែនទី។ នៅក្រោមលក្ខខណ្ឌនៃការគូសវាស ជ្រើសរើស បន្ថែម។ ជ្រើសរើសអ្នកចេញសម្រាប់វាល ឈ្មោះទូទៅ (CN) សម្រាប់សមាសភាគ ផ្ទុកសម្រាប់ប្រតិបត្តិករ ហើយបន្ទាប់មកជ្រើសរើស យល់ព្រម។
    នីតិវិធី និងប្រតិបត្តិការ
    ត្រូវប្រាកដថាជ្រើសរើស APPLY នៅលើទំព័រមេ ហើយរក្សាទុកការកំណត់។
  • កំណត់រចនាសម្ព័ន្ធ ASA ដើម្បីទទួលយកការតភ្ជាប់ VPN ពីកម្មវិធី AnyConnect VPN សូមប្រើ AnyConnect VPN Wizard ។ អ្នកជំនួយការនេះកំណត់រចនាសម្ព័ន្ធ IPsec (IKEv2) ពិធីការ VPN សម្រាប់ការចូលប្រើបណ្តាញពីចម្ងាយ។ សូមមើលការណែនាំនៅទីនេះ៖
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

នីតិវិធីរៀបចំ និងការណែនាំប្រតិបត្តិការសម្រាប់ TOE

ដើម្បីដំឡើង Cisco Secure Client-AnyConnect TOE សូមអនុវត្តតាមជំហានខាងក្រោម៖

  1. បើក App Store ។
  2. ជ្រើសរើស ស្វែងរក
  3. នៅក្នុងប្រអប់ស្វែងរក បញ្ចូល Cisco Secure Client-AnyConnect
  4. ប៉ះ ដំឡើងកម្មវិធី
  5. ជ្រើសរើសដំឡើង

ចាប់ផ្តើម Cisco Secure Client-AnyConnect

ប៉ះរូបតំណាង Cisco Secure Client-AnyConnect ដើម្បីចាប់ផ្តើមកម្មវិធី។ ប្រសិនបើនេះជាលើកដំបូងដែលអ្នកកំពុងចាប់ផ្តើម Cisco Secure Client-AnyConnect បន្ទាប់ពីដំឡើង ឬដំឡើងកំណែ សូមជ្រើសរើស យល់ព្រម ដើម្បីបើក TOE ដើម្បីពង្រីកសមត្ថភាព Virtual Private Network (VPN) នៃឧបករណ៍របស់អ្នក

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវបានអនុវត្តរាល់ពេលដែលកម្មវិធីត្រូវបានផ្ទុក ហើយវានឹងរង់ចាំការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដើម្បីបញ្ចប់។ សេវាកម្មគ្រីបតូគ្រីបដែលផ្តល់ដោយប្រព័ន្ធប្រតិបត្តិការ iOS ត្រូវបានអំពាវនាវឱ្យផ្ទៀងផ្ទាត់ហត្ថលេខាឌីជីថលនៃ TOE ដែលអាចប្រតិបត្តិបាន។ fileស. ប្រសិនបើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបរាជ័យក្នុងការបញ្ចប់ដោយជោគជ័យ GUI នឹងមិនដំណើរការទេ ដែលធ្វើឲ្យកម្មវិធីមិនអាចប្រើបាន។ ប្រសិនបើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបានជោគជ័យ កម្មវិធី GUI នឹងផ្ទុក និងដំណើរការជាធម្មតា។

កំណត់រចនាសម្ព័ន្ធអត្តសញ្ញាណឯកសារយោង

ផ្នែកនេះបញ្ជាក់ពីការកំណត់អត្តសញ្ញាណឯកសារយោងសម្រាប់ VPN Gateway peer ។ ក្នុងអំឡុងពេលនៃការផ្ទៀងផ្ទាត់ IKE ដំណាក់កាលទី 1 TOE ប្រៀបធៀបលេខសម្គាល់ឯកសារយោងទៅនឹងអត្តសញ្ញាណដែលបង្ហាញដោយ VPN Gateway ។ ប្រសិនបើ TOE កំណត់ថាពួកគេមិនត្រូវគ្នា ការផ្ទៀងផ្ទាត់នឹងមិនជោគជ័យទេ។

ជ្រើសរើសការតភ្ជាប់ពីអេក្រង់ដើមទៅ view ធាតុដែលបានកំណត់រចនាសម្ព័ន្ធរួចហើយនៅលើឧបករណ៍របស់អ្នក។ ធាតុតភ្ជាប់ជាច្រើនអាចត្រូវបានរាយបញ្ជី ដែលខ្លះស្ថិតនៅក្រោមចំណងជើង VPN ក្នុងមួយកម្មវិធី។ ធាតុតភ្ជាប់អាចមាន ស្ថានភាពខាងក្រោម៖

  • បានបើក - ធាតុនៃការតភ្ជាប់នេះត្រូវបានបើកដោយអ្នកគ្រប់គ្រងឧបករណ៍ចល័ត ហើយអាចត្រូវបានប្រើសម្រាប់ការតភ្ជាប់។
  • សកម្ម - ធាតុតភ្ជាប់ដែលបានសម្គាល់ ឬបន្លិចនេះកំពុងដំណើរការ។
  • ភ្ជាប់ — ធាតុតភ្ជាប់នេះគឺជាធាតុសកម្ម ហើយបច្ចុប្បន្នកំពុងភ្ជាប់ និងដំណើរការ។
  • បានផ្តាច់ - ធាតុនៃការតភ្ជាប់នេះគឺជាធាតុសកម្ម ប៉ុន្តែបច្ចុប្បន្នត្រូវបានផ្តាច់ និងមិនដំណើរការ។

សម្រាប់ការណែនាំ សូមមើល "បន្ថែម ឬកែប្រែធាតុតភ្ជាប់ដោយដៃ" ផ្នែកនៃ [3] ។

កំណត់រចនាសម្ព័ន្ធការប្រើប្រាស់វិញ្ញាបនបត្រ

AnyConnect ទាមទារវិញ្ញាបនបត្រ X.509 ។ យោងទៅ "កំណត់រចនាសម្ព័ន្ធវិញ្ញាបនបត្រ" ផ្នែកនៃ [3] ។

រារាំងម៉ាស៊ីនមេដែលមិនគួរឱ្យទុកចិត្ត

ការកំណត់កម្មវិធីនេះកំណត់ថាតើ AnyConnect រារាំងការតភ្ជាប់នៅពេលដែលវាមិនអាចកំណត់អត្តសញ្ញាណច្រកទ្វារសុវត្ថិភាព។
ការការពារនេះត្រូវបានបើកតាមលំនាំដើម ហើយមិនត្រូវបិទឡើយ។

AnyConnect ប្រើវិញ្ញាបនបត្រដែលទទួលបានពីម៉ាស៊ីនមេ ដើម្បីផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់វា។ ប្រសិនបើមានកំហុសវិញ្ញាបនបត្រដោយសារតែកាលបរិច្ឆេទផុតកំណត់ ឬមិនត្រឹមត្រូវ ការប្រើប្រាស់សោខុស ឬឈ្មោះមិនត្រូវគ្នា ការតភ្ជាប់ត្រូវបានរារាំង។

កំណត់របៀប VPN FIPS
របៀប VPN FIPS ប្រើក្បួនដោះស្រាយការគ្រីបព័ត៌មានស្តង់ដារសហព័ន្ធ (FIPS) សម្រាប់ការតភ្ជាប់ VPN ទាំងអស់។

  1. នៅក្នុងកម្មវិធី Cisco Secure Client-AnyConnect សូមចុចលើ ការកំណត់។
  2. ប៉ះរបៀប FIPS ដើម្បីបើកការកំណត់នេះ។

ដើម្បីបំពេញតាមតម្រូវការគ្រីបគ្រីបនៅក្នុង ST របៀប FIPS ត្រូវតែបើក។ នៅពេលមានការបញ្ជាក់ពីការផ្លាស់ប្តូររបៀប FIPS របស់អ្នក កម្មវិធីនឹងចាកចេញ ហើយត្រូវតែចាប់ផ្តើមឡើងវិញដោយដៃ។ នៅពេលចាប់ផ្តើមឡើងវិញ ការកំណត់របៀប FIPS របស់អ្នកមានសុពលភាព។

របៀបជឿជាក់លើវិញ្ញាបនបត្រដ៏តឹងរឹង

ការ​កំណត់​នេះ​កំណត់​រចនាសម្ព័ន្ធ Cisco Secure Client-AnyConnect TOE ដើម្បី​មិន​អនុញ្ញាត​ឱ្យ​មាន​វិញ្ញាបនបត្រ​ចុង VPN Gateway ដែល​វា​មិន​អាច​ផ្ទៀងផ្ទាត់​ដោយ​ស្វ័យ​ប្រវត្តិ។

  1. ពីបង្អួចផ្ទះ ចុច ម៉ឺនុយ > ការកំណត់។
  2. បើករបៀបជឿជាក់លើវិញ្ញាបនបត្រដ៏តឹងរឹង។

នៅពេលការព្យាយាមភ្ជាប់បន្ទាប់ ការជឿជាក់លើវិញ្ញាបនបត្រដ៏តឹងរឹងនឹងត្រូវបានបើក

ពិនិត្យការដកហូតវិញ្ញាបនបត្រ

ការកំណត់នេះគ្រប់គ្រងថាតើ Cisco Secure Client-AnyConnect TOE នឹងកំណត់ស្ថានភាពនៃការដកហូតវិញ្ញាបនបត្រដែលបានទទួលពីច្រកចេញចូល VPN ក្បាលចុង។ ការកំណត់នេះត្រូវតែបើក ហើយមិនត្រូវបិទទេ។

  1. ពីបង្អួច AnyConnect home សូមចុចលើ ម៉ឺនុយ > ការកំណត់។
  2. បើកដំណើរការពិនិត្យការដកហូតវិញ្ញាបនបត្រ ដើម្បីបើកការកំណត់នេះ។

ការណែនាំអំពីប្រតិបត្តិការសម្រាប់ TOE

បង្កើតការតភ្ជាប់ VPN

យោងទៅ "បង្កើត a ការតភ្ជាប់ VPN” ផ្នែកនៃ [3] ។

អ្នកគ្រប់គ្រងគួរកត់សម្គាល់នូវច្បាប់ PROTECT, BYPASS និង DISCARD ខាងក្រោមទាក់ទងនឹងការប្រើប្រាស់ IPsec នៅក្នុង AnyConnect៖

  • ការពារ
    ធាតុសម្រាប់ PROTECT ត្រូវបានកំណត់រចនាសម្ព័ន្ធតាមរយៈគោលការណ៍ក្រុមចូលប្រើពីចម្ងាយនៅលើ ASA ដោយប្រើ ASDM ។ សម្រាប់ធាតុការពារ ចរាចរណ៍ហូរកាត់ផ្លូវរូងក្រោមដី IPsec VPN ដែលផ្តល់ដោយ TOE ។ មិនតម្រូវឱ្យមានការកំណត់រចនាសម្ព័ន្ធសម្រាប់ផ្លូវរូងក្រោមដី TOE ចរាចរណ៍ទាំងអស់។ អ្នកគ្រប់គ្រងជាជម្រើសអាចកំណត់ឥរិយាបថនេះយ៉ាងច្បាស់ជាមួយនឹងពាក្យបញ្ជានៅក្នុងគោលការណ៍ក្រុមរបស់ពួកគេ៖ split-tunnel-policy tunnelall
  • បៃប៉ាស
    TOE គាំទ្រប្រតិបត្តិការ BYPASS (នៅពេលដែលការបំបែកផ្លូវរូងក្រោមដីត្រូវបានអនុញ្ញាតយ៉ាងច្បាស់ដោយគោលការណ៍ចូលប្រើពីចម្ងាយ)។ នៅពេលដែលការបំបែកផ្លូវរូងក្រោមដីត្រូវបានបើកដំណើរការ ASA VPN Gateway រុញបញ្ជីនៃផ្នែកបណ្តាញទៅ TOE ដើម្បី ការពារ។ ចរាចរណ៍ផ្សេងទៀតទាំងអស់ធ្វើដំណើរដោយមិនមានការការពារដោយមិនពាក់ព័ន្ធនឹង TOE ដូច្នេះការឆ្លងកាត់ការការពារ IPsec ។
    ការបំបែកផ្លូវរូងក្រោមដីត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងគោលការណ៍ក្រុមចូលប្រើបណ្តាញ (អតិថិជន)។ អ្នកគ្រប់គ្រងមានជម្រើសដូចខាងក្រោមៈ
    មិនរាប់បញ្ចូល៖ មិនរាប់បញ្ចូលតែបណ្តាញដែលបានបញ្ជាក់ដោយ split-tunnel-network-list
    ផ្លូវរូងក្រោមដីបានបញ្ជាក់៖ បណ្តាញផ្លូវរូងក្រោមដីតែប៉ុណ្ណោះដែលបានបញ្ជាក់ដោយបញ្ជីបណ្តាញបំបែកផ្លូវរូងក្រោមដី សូមមើលផ្នែក "អំពីការកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដីពុះសម្រាប់ចរាចរណ៍ AnyConnect" នៅក្នុងមគ្គុទ្ទេសក៍កំណត់រចនាសម្ព័ន្ធ VPN ASDM ហើយមើលជំហានដែលបានផ្តល់នៅក្នុងផ្នែក "កំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដីសម្រាប់ចរាចរណ៍ AnyConnect" ។ បន្ទាប់ពីធ្វើការផ្លាស់ប្តូរគោលការណ៍ក្រុមនៅក្នុង ASDM សូមប្រាកដថាគោលការណ៍ក្រុមត្រូវបានភ្ជាប់ជាមួយ Connection Profile នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ> ការចូលប្រើពីចម្ងាយ VPN> បណ្តាញ (អតិថិជន) ការចូលប្រើ> AnyConnect Connection Profiles > បន្ថែម/កែសម្រួល > គោលការណ៍ក្រុម។ ធាតុ BYPASS SPD ត្រូវបានផ្តល់ដោយវេទិកាម៉ាស៊ីនតាមរយៈច្បាប់អនុញ្ញាតចរាចរណ៍បណ្តាញមិនច្បាស់លាស់។ គ្មានការកំណត់រចនាសម្ព័ន្ធត្រូវបានទាមទារនៅលើវេទិកា TOE ដើម្បីអនុញ្ញាតឱ្យវាឆ្លងកាត់ចរាចរណ៍នេះ។
  • បោះបង់
    ច្បាប់ DICARD ត្រូវបានអនុវត្តទាំងស្រុងដោយវេទិកា TOE ។ មិនមានចំណុចប្រទាក់រដ្ឋបាលសម្រាប់បញ្ជាក់ច្បាប់ DISCARD ទេ។

តាមដាន និងដោះស្រាយបញ្ហា

យោងទៅ តាមដាន និងដោះស្រាយបញ្ហា ផ្នែកនៃ [3] ។

ការចាកចេញពី Cisco Secure Client-AnyConnect
ការចាកចេញពីកម្មវិធីបញ្ចប់ការតភ្ជាប់ VPN បច្ចុប្បន្ន និងបញ្ឈប់ដំណើរការ TOE ទាំងអស់។ ប្រើសកម្មភាពនេះតិចៗ។ កម្មវិធី ឬដំណើរការផ្សេងទៀតនៅលើឧបករណ៍របស់អ្នកអាចកំពុងប្រើការភ្ជាប់ VPN បច្ចុប្បន្ន ហើយការចេញពីកម្មវិធី Cisco Secure Client-AnyConnect អាចប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរដល់ប្រតិបត្តិការរបស់ពួកគេ។

ពីបង្អួចផ្ទះ ចុច ម៉ឺនុយ > ចេញ។

ការគាំទ្រការគ្រីប
TOE ផ្តល់នូវការគ្រីបគ្រីបក្នុងការគាំទ្រ IPsec ជាមួយនឹង ESP ស៊ីមេទ្រីគ្រីបសម្រាប់ការអ៊ិនគ្រីប/ឌិគ្រីប AES ច្រើន និងក្បួនដោះស្រាយ SHA-2 សម្រាប់ការ hash ។ លើសពីនេះ TOE ផ្តល់នូវការគ្រីបគ្រីប ដើម្បីគាំទ្រដល់ការផ្លាស់ប្តូរសោរ និងមុខងារទាញយក Diffie Hellman ដែលប្រើក្នុងពិធីការ IKEv2 និង ESP ។ ការណែនាំដើម្បីកំណត់រចនាសម្ព័ន្ធមុខងារគ្រីបគ្រីបត្រូវបានពិពណ៌នានៅក្នុងផ្នែក "នីតិវិធី និងការណែនាំប្រតិបត្តិការសម្រាប់បរិស្ថាន IT" នៃឯកសារនេះ។

បច្ចុប្បន្នភាពដែលគួរឱ្យទុកចិត្ត

ផ្នែកនេះផ្តល់ការណែនាំសម្រាប់ការទទួលយក TOE ដោយសុវត្ថិភាព និងការអាប់ដេត TOE ជាបន្តបន្ទាប់ណាមួយ។ "បច្ចុប្បន្នភាព" គឺជាកំណែថ្មីនៃ TOE ។

កំណែ TOE អាចត្រូវបានសួរដោយអ្នកប្រើប្រាស់។ ពីអេក្រង់ដើមចុច "អំពី" ។ កំណែទម្រង់អាចត្រូវបានសួរតាមរយៈវេទិកាទូរស័ព្ទ៖

  • ទូរស័ព្ទ iPhone៖ បើកការកំណត់ ហើយចូលទៅកាន់ ទូទៅ > ការប្រើប្រាស់។ នៅក្រោមការផ្ទុក ស្វែងរក Cisco Secure Client Any Connect រួចចុច។ ព័ត៌មានអំពីកំណែនឹងត្រូវបានបង្ហាញ។

ការអាប់ដេតទៅកាន់ Cisco Secure Client-AnyConnect TOE ត្រូវបានគ្រប់គ្រងតាមរយៈ Apple App Store ដោយប្រើនីតិវិធីខាងក្រោម។

ចំណាំ៖ មុនពេលដំឡើងកំណែឧបករណ៍របស់អ្នក អ្នកត្រូវតែផ្តាច់វគ្គ VPN ប្រសិនបើវាត្រូវបានបង្កើតឡើង ហើយបិទកម្មវិធីប្រសិនបើវាបើក។ ប្រសិនបើអ្នកបរាជ័យក្នុងការធ្វើដូចនេះ ការចាប់ផ្ដើមឧបករណ៍របស់អ្នកឡើងវិញគឺត្រូវបានទាមទារ មុនពេលប្រើកំណែថ្មីនៃ Cisco Secure Client-AnyConnect TOE។

  1. ប៉ះរូបតំណាង App Store នៅលើទំព័រដើមរបស់ iOS ។
  2. ចុចលើ Cisco Secure Client-AnyConnect ការជូនដំណឹងអំពីការអាប់ដេត។
  3. សូមអានអំពីមុខងារថ្មីៗ។
  4. ចុចអាប់ដេត។
  5. បញ្ចូលលេខសម្ងាត់ Apple ID របស់អ្នក។
  6. ប៉ះ យល់ព្រម។

ការអាប់ដេតបន្ត។

ការទទួលបានឯកសារ និងបញ្ជូនសំណើសេវាកម្ម

សម្រាប់ព័ត៌មានស្តីពីការទទួលបានឯកសារ ដោយប្រើ Cisco Bug Search Tool (BST) ការបញ្ជូនសំណើសេវាកម្ម និងការប្រមូលព័ត៌មានបន្ថែម សូមមើល តើមានអ្វីថ្មីនៅក្នុងឯកសារផលិតផល Cisco ។

ដើម្បីទទួលបានខ្លឹមសារបច្ចេកទេស Cisco ថ្មី និងកែសម្រួលដោយផ្ទាល់ទៅកុំព្យូទ័ររបស់អ្នក អ្នកអាចជាវ តើមានអ្វីថ្មីនៅក្នុងអត្ថបទព័ត៌មាន RSS របស់ Cisco Product Documentation ។ មតិព័ត៌មាន RSS គឺជាសេវាកម្មឥតគិតថ្លៃ។

ទាក់ទង Cisco

Cisco មានការិយាល័យជាង 200 នៅទូទាំងពិភពលោក។ អាស័យដ្ឋាន លេខទូរសព្ទ និងលេខទូរសារ ត្រូវបានដាក់ក្នុងបញ្ជីនៅលើ Cisco webគេហទំព័រនៅ www.cisco.com/go/offices.

និមិត្តសញ្ញា CISCO

ឯកសារ/ធនធាន

CISCO AnyConnect 5.0 អតិថិជនសុវត្ថិភាព [pdf] ការណែនាំអ្នកប្រើប្រាស់
5.0 សម្រាប់ iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

ឯកសារយោង

ប្រកាសដែលពាក់ព័ន្ធ

ទុកមតិយោបល់

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។ វាលដែលត្រូវការត្រូវបានសម្គាល់ *