Упатство за користење на CISCO AnyConnect 5.0 Secure Client

Вовед во документ

Подготвено од:
Cisco Systems, Inc.
170 Западен Тасман Др.
Сан Хозе, CA 95134

Овој документ обезбедува насоки за ИТ персоналот за TOE, Cisco Secure Client – ​​AnyConnect 5.0 за iOS 16. Овој документ за насоки вклучува упатства за успешно инсталирање на TOE во Оперативната средина, упатства за управување со безбедноста на TSF и упатства за обезбедување заштитена административна способност.

Историја на ревизии

Верзија	Датум	Промена
0.1	1 мај 2023 година	Почетна верзија
0.2	27 јули 2023 година	Ажурирања

Cisco и логото на Cisco се заштитни знаци или регистрирани заштитни знаци на Cisco и/или неговите филијали во САД и други земји. На view листа на заштитни знаци на Cisco, одете на ова URL: www.cisco.com/go/trademarks. Споменатите трговски марки од трети страни се сопственост на нивните соодветни сопственици. Употребата на зборот партнер не подразбира партнерски однос помеѓу Cisco и која било друга компанија. (1110R)

© 2023 Cisco Systems, Inc. Сите права се задржани.

Вовед

Ова оперативно упатство за корисникот со подготвителни процедури го документира администрирањето на Cisco Secure ClientAnyConnect v5.0 за Apple iOS 16 TOE, како што беше сертифицирано според Заедничките критериуми. Cisco Secure Client-AnyConnect v5.0 за Apple iOS 16 може да се наведе подолу со соодветниот акроним, на пр. VPN Client или едноставно TOE.

Публиката
Овој документ е напишан за администратори кои го инсталираат и конфигурираат TOE. Овој документ претпоставува дека сте запознаени со основните концепти и терминологии што се користат при работа со интернет и дека ја разбирате вашата мрежна топологија и протоколите што можат да ги користат уредите во вашата мрежа, дека сте доверлив поединец и дека сте обучени да го користите оперативниот системи на кои ја извршувате вашата мрежа.

Цел
Овој документ е Оперативно корисничко упатство со подготвителни процедури за евалуација на заедничките критериуми. Напишано е за да се истакне специфичната конфигурација на TOE и администраторските функции и интерфејси кои се неопходни за конфигурирање и одржување на TOE во проценетата конфигурација. Овој документ не е наменет да детализира конкретни дејства извршени од администраторот, туку е патоказ за идентификување на соодветните локации во документацијата на Cisco за да се добијат конкретни детали за конфигурирање и одржување на операциите на AnyConnect Secure Mobility Client. Сите безбедносни команди за управување со податоците од TSF се дадени во оваа документација во секој функционален дел.

Референци за документи
Овој дел ја наведува документацијата на Cisco Systems која исто така е дел од списокот на ставки за конфигурација на заеднички критериуми (CI). Документите што се користат се прикажани подолу во Табела 1. Во текот на овој документ, водичите ќе бидат упатени со „#“, како што е [1].

Табела 1 Cisco документација

#	Наслов	Врска
1	Водич за администратор на Cisco Secure Client (вклучувајќи AnyConnect), издание 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Водич за администратор за мобилни платформи на Cisco AnyConnect, издание 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Упатство за корисникот на Apple iOS за клиентот за безбедна мобилност на Cisco AnyConnect, издавање 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Белешки за издавање за Cisco AnyConnect Secure Mobility Client, издание 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	Белешки за издавање за Cisco Secure Client (вклучувајќи AnyConnect), издание 5 за Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

ТОЕ Надview
TOE е Cisco AnyConnect Secure Mobility Client (во натамошниот текст се нарекува клиент VPN или TOE). Cisco AnyConnect Secure Mobility Client им обезбедува на далечинските корисници безбедни IPsec (IKEv2) VPN конекции со Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway дозволувајќи им на инсталираните апликации да комуницираат како директно поврзани со мрежата на претпријатието.

Оперативна средина
TOE ги бара следните компоненти за ИТ околина кога TOE е конфигуриран во неговата проценета конфигурација:

Табела 2. Компоненти на оперативно опкружување

Компонента	Употреба/Опис на цел
Орган за сертификати	Се користи орган за сертификати за да се обезбедат валидни дигитални сертификати.
Mobile платформата	TOE се потпира на која било од следниве платформи за мобилни уреди на Apple, потврдени со CC: Apple iPhone 11/XR со iOS 16
VPN Gateway од серијата ASA 5500-X	Cisco ASA 5500-X со софтверска верзија 9.2.2 или понова функционира како главен VPN Gateway.
Платформа за управување со ASDM	ASDM 7.7 работи од кој било од следниве оперативни системи: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 и Server 2019 Apple OS X 10.4 или понова Имајте предвид дека софтверот ASDM е инсталиран на апаратот ASA и платформата за управување се користи за поврзување со ASA и стартување на ASDM. Единствениот софтвер инсталиран на платформата за управување е Cisco ASDM Launcher.

Основната мобилна платформа обезбедува дел од безбедносните функционалности потребни во MOD_VPNC_V2.4] и е означена со фразата „TOE Platform“ во овој документ.

Cisco AnyConnect TOE користи мрежни хардверски ресурси на платформата за мобилни ОС за да испраќа и прима шифрирани пакети. TOE не пристапува до складишта за чувствителни информации.

Референците во овој документ за „ASA“ се однесуваат на VPN Gateway

Исклучена функционалност

Функционалноста наведена подолу не е вклучена во проценетата конфигурација.

Табела 3. Исклучена функционалност и образложение

Функцијата е исклучена	Образложение
Не-FIPS 140-2 режим на работа	TOE вклучува режим на работа FIPS. Режимите FIPS му дозволуваат на TOE да користи само одобрена криптографија. Режимот на работа FIPS мора да биде овозможен за да може TOE да работи во неговата проценета конфигурација.
SSL тунел со опции за тунелирање DLTS	[MOD_VPNC_V2.4] дозволува само IPsec VPN тунел.

Овие услуги ќе се оневозможат со конфигурација. Исклучувањето на оваа функционалност не влијае на усогласеноста со тврдената Protection Profiles.

Процедури и оперативни упатства за ИТ околина

За да работи во неговата проценета конфигурација, на TOE му треба минимум еден (1) орган за сертификати (CA), еден (1) VPN Gateway и еден (1) мобилен уред на Apple iPhone.

За да личат на опкружувањата за PKI на клиентите, во овој дел ќе се наведе двостепено CA решение кое користи Offline Root CA и Enterprise Subordinate CA што користи Microsoft 2012 R2 Certificate Authority (CA). Може да се користат други производи од CA наместо Microsoft.

Root CA е конфигуриран како самостоен (Работна група) сервер додека подредениот CA е конфигуриран како дел од доменот на Microsoft со овозможени услуги на Active Directory. Следната слика дава визуелен приказ на ТОЕ и ИТ

Животна средина. TOE е софтверска апликација која работи на iOS 13. Границата TOE е означена со хеш црвената линија. Видете слика 1 подолу.

Слика 1. TOE и животна средина

Подредениот CA издава X.509 дигитални сертификати и обезбедува Список за отповикување сертификати (CRL) на платформата TOE и VPN Gateway.
Алтернативно, може да се распореди еден (1) единствен корен Enterprise CA.

• Инсталирајте и конфигурирајте авторитет за сертификати

Ако користите двостепено решение CA на Microsoft, инсталирајте и конфигурирајте Root (GRAYCA) и Enterprise Subordinate Certificate Authority (GRAYSUBCA1) во согласност со упатствата од продавачот. Следното е чекор-по-чекор водич за конфигурација на услугите за сертификати на Microsoft Active Directory:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Се претпоставува дека и сертификатот Offline Root CA (GRAYCA) и сертификатите Enterprise Subordinate CA (GRAYSUBCA1) прикажани на слика 1 се инсталирани и доверливи за да се обезбеди воспоставување доверлив синџир на сертификати. Ако користите CA од продавач различен од Microsoft, следете ги упатствата за инсталација на CA на тој продавач.

Без оглед на користениот производ CA, сертификатот RSA на ASA МОРА да ги има следните својства за користење на клучот и користење на продолжен клуч:

• Употреба на клучот: Дигитален потпис, договор за клуч
• EKU: IP безбедност IKE средно, IP крај безбедносен систем

Полињата Алтернативно име на предметот (SAN) во сертификатите ECDSA и RSA на ASA МОРА да одговараат на информациите за поврзување наведени во AnyConnect profile на клиентот.

• Инсталирајте и конфигурирајте VPN Gateway

Инсталирајте Cisco ASA 9.1 (или понова), опционално со ASDM, во согласност со упатствата за инсталација и белешките за ослободување соодветни за верзиите што ќе се инсталираат. ASDM овозможува управување со ASA преку графички кориснички интерфејс. Алтернативно, ако претпочита администраторот, може да се користат еквивалентни чекори за конфигурација на командната линија (CLI).

Забелешка за конфигурација: Бидејќи постојат параметри управувани од ASA, администраторот на порталот мора да ги следи чекорите во овој дел за да се осигура дека TOE е во неговата проценета конфигурација.

• Овозможете AnyConnect и IKEv2 на ASA. Во ASDM, одете до Конфигурација > VPN од далечински пристап > пристап до мрежа (клиент) > AnyConnect Connection Profiles и изберете Овозможи Cisco AnyConnect полето за избор и Дозволи пристап под IKEv2.
  
• На AnyConnect Connection Profileна страницата спомената погоре, изберете Уред за сертификат. Уверете се дека Користете го истиот сертификат за уред… НЕ е означен и изберете го сертификатот EC ID под сертификатот за уредот ECDSA. Потоа изберете Ok.
  
• Креирајте политика за крипто IKEv2 користејќи ги алгоритмите дозволени во конфигурацијата за оценување на заедничките критериуми. Во ASDM, одете до Конфигурација > Далечински пристап VPN > Пристап до мрежа (клиент) > Напредно > IPsec > Политики на IKE и додајте политика IKEv2.

Изберете Додај и внесете 1 за највисок приоритет. Опсегот е од 1 до 65535, со 1 највисок приоритет.

Шифрирање:
AES: Одредува AES-CBC со 128-битна шифрирање на клучот за ESP.
AES-256: Одредува AES-CBC со 256-битна шифрирање на клучот за ESP.
AES-GCM-128: Одредува 128-битна шифрирање AES Galois Counter Mode
AES-GCM-256: Одредува 256-битна шифрирање AES Galois Counter Mode

Група DH: Изберете го идентификаторот на групата Diffie-Hellman. Ова го користи секој врсник на IPsec за да изведе споделена тајна, без да ја пренесува еден на друг. Валидни селекции се: 19 и 20.

PRF Хаш – Наведете го PRF што се користи за изградба на материјал за клучеви за сите криптографски алгоритми што се користат во SA. Валидни избори се: sha256 и sha384

Во овој ексampизберете конфигурација:

 

Приоритет: 1

AES Galois Counter Mode (AES-GCM) 256-битна шифрирање: Кога е избран GCM, тоа ја исклучува потребата да се избере алгоритам за интегритет. Ова е затоа што можностите за автентичност се вградени во GCM, за разлика од CBC (Cipher-Block Chaining).

Група Дифи-Хелман: 20
Хеш за интегритет: Нулта
PRF хаш: sha384
Животниот век: 86400

Изберете Во ред.

Забелешка на администраторот: Употребата на која било дополнителна шифрирање, DH-група, интегритет или хаш PRF кои не се наведени погоре, не се оценува.

Забелешка на администраторот: Напредното јазиче го прикажува параметарот за спроведување на силата IKE. Осигурајте се дека е проверен параметарот на силата на Асоцијацијата за безбедност (SA). Ова осигурува дека јачината на шифрата за шифрирање IKEv2 е поголема од јачината на шифрите за шифрирање на неговото дете IPsec SA. Алгоритмите со поголема јачина ќе бидат намалени.

Еквивалент на CLI е: крипто ipsec ikev2 sa-force-enforcement

• Направете предлог IPSEC. Во ASDM, одете до Конфигурација > Далечински пристап VPN > Пристап до мрежа (клиент) > Напредно > IPsec > IPsec Предлози (Трансформирајте се) и додајте предлог IKEv2 IPsec. потоа изберете Ok.
  Во ексampпод употребеното име е NGE-AES-GCM-256 со AES-GCM-256 за шифрирање и Null за интегритет хаш:
  
  
• Направете динамична крипто-мапа, изберете го предлогот IPsec и применете го на надворешниот интерфејс. Во ASDM, одете до Конфигурација > Далечински пристап VPN > Пристап до мрежа (клиент) > Напредно > IPsec > Крипто мапи. Изберете Додај, изберете го надворешниот интерфејс и предлогот IKEv2.
  Кликнете на картичката Напредно. Обезбедете го следново:
  Овозможи NAT-T —Овозможува NAT Traversal (NAT-T) за оваа политика
  Доживотна поставка за асоцијација за безбедност — е поставено на 8 часа (28800 секунди)
• Создадете адресен базен VPNUSERS што ќе им биде доделен на корисниците на VPN. Адресните базени ги содржат следните полиња:
  Име — Го одредува името доделено на базенот на IP адреси.
  Почетна IP адреса — Ја одредува првата IP адреса во базенот.
  Завршува IP адреса — Ја одредува последната IP адреса во базенот.
  Маска на подмрежа- Ја избира маската на подмрежата за примена на адресите во базенот.

Во ASDM, одете до Конфигурација > Далечински пристап VPN > Пристап до мрежа (клиент) > Доделување адреси > Базени на адреси и додајте IP-базен специфицирајќи ги горенаведените полиња и потоа изберете Ok.

Додајте групна политика која ќе ги примени саканите поставки на корисниците на VPN. Групните политики ви дозволуваат да управувате со групните политики на AnyConnect VPN. Политиката за група на VPN е збирка од парови на атрибути/вредност ориентирани кон корисникот, складирани или внатрешно на уредот ASA. Конфигурирањето на политиката на групата VPN им овозможува на корисниците да наследат атрибути што не сте ги конфигурирале на ниво на индивидуална група или корисничко име. Стандардно, корисниците на VPN немаат асоцијација за групна политика. Информациите за групната политика се користат од групи на VPN тунели и кориснички сметки. Во ASDM, одете до Конфигурација > Далечински пристап VPN > Пристап до мрежа (клиент) > Групни полиси и додајте внатрешна групна политика. Осигурајте се дека протоколот за тунел VPN е поставен на IKEv2 и горенаведената IP базен е референтна во политиката со деизбирање на полето за избор Наследи и избирање на соодветната поставка. Релевантни DNS, WINS и имиња на домени исто така може да се додадат во политиката во делот Сервери.

Видете на прampгрупната политика NGE-VPN-GP подолу:

• Направете име на тунел група. Групата тунели содржи политики за поврзување на тунел за IPsec врската. Политиката за поврзување може да наведе автентикација, овластување и сметководствени сервери, стандардна групна политика и атрибути IKE.

Во ASDM, одете до Конфигурација > VPN од далечински пристап > пристап до мрежа (клиент) > AnyConnect Connection Profileс. На дното на страницата под Connection Profiles, изберете Додај.

Во ексampпод името на групата тунели се користи NGE-VPN-RAS.

Конфигурациските референци се автентикација на сертификатот, поврзаната групна политика NGE-VPN-GP и Овозможи IPsec (IKEv2). Овде може да се додадат и DNS и име на домен. Исто така, проверете дали се користи само IPsec со тоа што нема да го проверите овозможениот протокол за клиентски SSL VPN.

• Создадете мапа на сертификати, мапирајќи ги корисниците на NGE VPN на групата VPN тунели што беше претходно креирана. Картата на сертификатот ќе се примени на корисниците на наизменична струја. Во ова сценарио, заедничкото име на подредениот CA беше усогласено за да се осигура дека дојдовното барање за платформа TOE со сертификат за EC издаден од подредениот CA ќе биде мапирано во соодветната тунелна група што беше претходно креирана. Корисниците на VPN на кои не им е издаден сертификат од EC CA ќе се вратат на стандардните тунелни групи и
  неуспешна автентикација и ќе му биде забранет пристапот.
  Во ASDM, одете до Конфигурација > VPN за далечински пристап > Напредно > Сертификат за AnyConnect и SSL VPN Connection Pro без клиентfile Карти. Под Certificate to Connection Profile Мапите изберете Додај. Изберете ја постоечката DefaultCertificateMap со приоритет од 10 и упатете ја тунелната група NGE-RAS-VPN.
  
  Во ASDM, одете до Конфигурација > VPN за далечински пристап > Напредно > Сертификат за AnyConnect и SSL VPN Connection Pro без клиентfile Карти. Под Критериуми за мапирање изберете Додај. Изберете Издавач за поле, Заедничко име (CN) за компонента, Содржи за оператор и потоа изберете Ok.
  
  Погрижете се да изберете ПРИМЕНИ на главната страница и ЗАЧУВЕТЕ ја конфигурацијата.
• Конфигурирајте го ASA да прифаќа VPN конекции од клиентот AnyConnect VPN, користете го волшебникот AnyConnect VPN. Овој волшебник ги конфигурира IPsec (IKEv2) VPN протоколите за далечински пристап до мрежата. Погледнете ги упатствата овде:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Подготвителни процедури и оперативни упатства за TOE

За да го инсталирате Cisco Secure Client-AnyConnect TOE, следете ги чекорите подолу:

1. Отворете ја продавницата за апликации.
2. Изберете Пребарај
3. Во полето за пребарување, внесете Cisco Secure Client-AnyConnect
4. Допрете ИНСТАЛИРАЈ АПЛИКАЦИЈА
5. Изберете Инсталирај

Стартувајте го Cisco Secure Client-AnyConnect

Допрете ја иконата Cisco Secure Client-AnyConnect за да ја стартувате апликацијата. Ако ова е првпат да го стартувате Cisco Secure Client-AnyConnect по инсталирањето или надградбата, изберете OK за да му овозможите на TOE да ги прошири можностите за виртуелна приватна мрежа (VPN) на вашиот уред.

Верификација на интегритет

Потврдата на интегритетот се врши секогаш кога ќе се вчита апликацијата и таа ќе чека да заврши проверката на интегритетот. Криптографските услуги обезбедени од платформата iOS се повикуваат за да се потврди дигиталниот потпис на извршната датотека на TOE fileс. Ако потврдата за интегритет не успее успешно да се заврши, GUI нема да се вчита, што ќе ја направи апликацијата неупотреблива. Ако потврдата за интегритет е успешна, GUI на апликацијата ќе се вчита и ќе работи нормално.

Конфигурирајте го референтниот идентификатор

Овој дел ја одредува конфигурацијата на референтниот идентификатор за врсникот VPN Gateway. За време на автентикацијата на IKE фаза 1, TOE го споредува референтниот идентификатор со идентификаторот претставен од VPN Gateway. Ако TOE утврди дека тие не се совпаѓаат, автентикацијата нема да успее.

Изберете Connections од почетниот екран до view записите веќе конфигурирани на вашиот уред. Може да се наведат повеќе записи за поврзување, некои под наслов VPN по апликација. Записите за поврзување може да имаат следниов статус:

• Овозможено- Овој запис за поврзување е овозможен од менаџерот на мобилниот уред и може да се користи за поврзување.
• Активен - Овој означен или означен запис за конекција е моментално активен.
• Поврзан - Овој запис за поврзување е активен и моментално е поврзан и работи.
• Исклучено - Овој запис за поврзување е активен, но моментално е исклучен и не работи.

За инструкции погледнете во „Рачно додајте или изменете ги записите за поврзување“ дел од [3].

Конфигурирајте ја употребата на сертификатот

AnyConnect бара сертификат X.509. Видете на „Конфигурирај сертификати“ дел од [3].

Блокирајте недоверливи сервери

Оваа поставка за апликација одредува дали AnyConnect ги блокира врските кога не може да ја идентификува безбедната порта.
Оваа заштита е стандардно ВКЛУЧЕНА и не смее да се исклучува.

AnyConnect го користи сертификатот добиен од серверот за да ја потврди неговата идентификација. Ако има грешка во сертификатот поради истечен или неважечки датум, погрешно користење на клучот или несовпаѓање со името, врската е блокирана.

Поставете го режимот FIPS FIPS
VPN режимот FIPS користи алгоритми за криптографија на Федералните стандарди за обработка на информации (FIPS) за сите VPN конекции.

1. Во апликацијата Cisco Secure Client-AnyConnect, допрете Поставки.
2. Допрете FIPS режим за да ја овозможите оваа поставка.

За да се исполнат криптографските барања во ST, режимот FIPS мора да биде овозможен. По потврдувањето на промената на режимот FIPS, апликацијата излегува и мора рачно да се рестартира. По рестартирање, поставката за режимот FIPS е на сила.

Строг режим на доверба на сертификат

Оваа поставка го конфигурира Cisco Secure Client-AnyConnect TOE за да го забрани сертификатот на главниот VPN Gateway што не може автоматски да го потврди.

1. Од почетниот прозорец, допрете Мени > Поставки.
2. Овозможете строг режим на доверба на сертификати.

По следниот обид за поврзување, ќе се овозможи строга доверба на сертификати

Проверете го отповикувањето на сертификатот

Оваа поставка контролира дали Cisco Secure Client-AnyConnect TOE ќе го одреди статусот на отповикување на сертификатот добиен од главниот VPN Gateway. Оваа поставка мора да биде ВКЛУЧЕНА и не смее да се исклучува.

1. Од почетниот прозорец AnyConnect, допрете Мени > Поставки.
2. Овозможете проверка на отповикување сертификат за да ја овозможите оваа поставка.

Оперативно упатство за TOE

Воспоставете VPN конекција

Видете на „Воспостави a VPN врска“ дел од [3].

Администраторот треба да ги земе предвид следниве правила за ЗАШТИТА, ЗАБИЛУВАЊЕ и ОТПРЕЛИ во врска со употребата на IPsec во AnyConnect:

• ЗАШТИТИ
  Записите за PROTECT се конфигурирани преку политиката за група за далечински пристап на ASA користејќи ASDM. За влезовите во PROTECT, сообраќајот тече низ IPsec VPN тунелот обезбеден од TOE. Не е потребна конфигурација за тунелот TOE целиот сообраќај. Администраторот опционално може експлицитно да го постави ова однесување со командата во нивната групна политика: split-tunnel-policy tunnelall
• БИПАС
  TOE поддржува операции BYPASS (кога поделеното тунелирање е експлицитно дозволено со политиката за далечински пристап). Кога е овозможено поделено тунелирање, ASA VPN Gateway турка листа на мрежни сегменти до TOE за да ЗАШТИТИ. Целиот друг сообраќај се одвива незаштитено без вклучување на TOE со што се заобиколува IPsec заштитата.
  Сплит тунелирањето е конфигурирано во политика на група за пристап до мрежа (клиент). Администраторот ги има следниве опции:
  Исклучено наведено: Исклучете ги само мрежите наведени со сплит-тунел-мрежна листа
  Наведен во тунел: Мрежи само за тунели назначени со списокот со сплит-тунел-мрежа Погледнете во делот „За конфигурирање на разделен тунел за AnyConnect Traffic“ во водичот за конфигурација на VPN ASDM и видете ги чекорите дадени во делот „Конфигурирај разделен тунел за AnyConnect Traffic“. Откако ќе направите промени во групната политика во ASDM, проверете дали групната политика е поврзана со Connection Profile во Конфигурација > VPN од далечински пристап > пристап до мрежа (клиент) > AnyConnect Connection Profiles > Додај/Уреди > Групна политика. BYPASS SPD записите се обезбедени од платформата на домаќинот преку правилата за имплицитна дозвола за мрежен сообраќај. Не е потребна конфигурација на платформата TOE за да може да го помине овој сообраќај.
• ОТфрли
  Правилата за отфрли ги врши исклучиво платформата TOE. Не постои административен интерфејс за одредување на правилото ОТКАРИ.

Следете и решавајте проблеми

Видете на Следете и решавајте проблеми дел од [3].

Излегување од Cisco Secure Client-AnyConnect
Излегувањето од апликацијата ја прекинува тековната VPN конекција и ги запира сите TOE процеси. Користете ја оваа акција умерено. Други апликации или процеси на вашиот уред може да ја користат тековната VPN конекција и излегувањето од апликацијата Cisco Secure Client-AnyConnect може негативно да влијае на нивната работа.

Од почетниот прозорец, допрете Мени > Излез.

Криптографска поддршка
TOE обезбедува криптографија за поддршка на IPsec со ESP симетрична криптографија за масовно AES шифрирање/декрипција и SHA-2 алгоритам за хаширање. Покрај тоа, TOE обезбедува криптографија за поддршка на функцијата за размена на клучеви и изведување на Diffie Hellman што се користат во протоколите IKEv2 и ESP. Упатствата за конфигурирање на криптографските функции се опишани во делот „Процедури и оперативни упатства за ИТ околина“ од овој документ.

Доверливи ажурирања

Овој дел дава упатства за безбедно прифаќање на TOE и сите последователни ажурирања на TOE. „Ажурирањата“ се нова верзија на TOE.

TOE верзијата може да биде побарана од корисникот. Од почетниот екран допрете „За“. Верзијата може да се побара и преку мобилната платформа:

• iPhone: Отворете Поставки и одете до Општо > Употреба. Под Складирање, пронајдете го Cisco Secure Client Any Connect и допрете. Ќе се прикажат информациите за верзијата.

Ажурирањата на Cisco Secure Client-AnyConnect TOE се управуваат преку Apple App Store користејќи ја постапката подолу.

Забелешка: Пред да го надградите вашиот уред, мора да ја исклучите сесијата VPN ако е воспоставена, и да ја затворите апликацијата ако е отворена. Ако не успеете да го направите ова, потребно е рестартирање на вашиот уред пред да ја користите новата верзија на Cisco Secure Client-AnyConnect TOE.

1. Допрете ја иконата App Store на почетната страница на iOS.
2. Допрете го известувањето за надградба на Cisco Secure Client-AnyConnect.
3. Прочитајте за новите функции.
4. Кликнете Ажурирај.
5. Внесете ја вашата лозинка за Apple ID.
6. Допрете Во ред.

Ажурирањето продолжува.

Добивање документација и поднесување барање за услуга

За информации за добивање документација, користење на алатката за пребарување на грешки Cisco (BST), поднесување барање за услуга и собирање дополнителни информации, видете Што е ново во документацијата за производи на Cisco.

За да примате нова и ревидирана техничка содржина на Cisco директно на вашиот десктоп, можете да се претплатите на Што има ново во документацијата за производи на Cisco RSS feed. RSS доводите се бесплатна услуга.

Контактирајте со Cisco

Cisco има повеќе од 200 канцеларии ширум светот. Адресите, телефонските броеви и броевите на факс се наведени на Cisco webсајт на www.cisco.com/go/offices.

Документи / ресурси

Безбеден клиент на CISCO AnyConnect 5.0 [pdf] Упатство за корисникот 5.0 за iOS 16, AnyConnect 5.0 безбеден клиент, 5.0 безбеден клиент, безбеден клиент, клиент

Референци

• Упатство за употреба