CISCO AnyConnect 5.0 सुरक्षित क्लायंट वापरकर्ता मार्गदर्शक
CISCO AnyConnect 5.0 सुरक्षित क्लायंट

दस्तऐवज परिचय

द्वारे तयार:
Cisco Systems, Inc.
170 पश्चिम तस्मान डॉ.
सॅन जोस, CA 95134

हा दस्तऐवज TOE साठी IT कर्मचार्‍यांना मार्गदर्शन प्रदान करतो, Cisco Secure Client – ​​AnyConnect 5.0 for iOS 16. या मार्गदर्शन दस्तऐवजात TOE यशस्वीरीत्या ऑपरेशनल वातावरणात स्थापित करण्याच्या सूचना, TSF ची सुरक्षा व्यवस्थापित करण्याच्या सूचना आणि एक प्रदान करण्याच्या सूचना समाविष्ट आहेत. संरक्षित प्रशासकीय क्षमता.

पुनरावृत्ती इतिहास

आवृत्ती तारीख बदला
0.1 १३ मे २०२३ प्रारंभिक आवृत्ती
0.2 ५ जुलै २०२४ अपडेट्स

Cisco आणि Cisco लोगो हे सिस्कोचे ट्रेडमार्क किंवा नोंदणीकृत ट्रेडमार्क आहेत आणि/किंवा यूएस आणि इतर देशांमधील त्याच्या सहयोगी. ला view सिस्को ट्रेडमार्कची यादी, यावर जा URL: www.cisco.com/go/trademark. उल्लेखित तृतीय-पक्ष ट्रेडमार्क ही त्यांच्या संबंधित मालकांची मालमत्ता आहे. भागीदार शब्दाचा वापर Cisco आणि इतर कोणत्याही कंपनीमधील भागीदारी संबंध सूचित करत नाही. (१७२१ आर)

© 2023 Cisco Systems, Inc. सर्व हक्क राखीव.

सामग्री लपवा
1 परिचय
2 आयटी पर्यावरणासाठी प्रक्रिया आणि ऑपरेशनल मार्गदर्शन
3 TOE साठी पूर्वतयारी प्रक्रिया आणि ऑपरेशनल मार्गदर्शन
4 Cisco Secure Client-AnyConnect सुरू करा
5 TOE साठी ऑपरेशनल मार्गदर्शन
6 दस्तऐवज प्राप्त करणे आणि सेवा विनंती सबमिट करणे
7 सिस्कोशी संपर्क साधत आहे
8 कागदपत्रे / संसाधने
8.1 संदर्भ
9 संबंधित पोस्ट

परिचय

पूर्वतयारी प्रक्रियेसह हे ऑपरेशनल वापरकर्ता मार्गदर्शन Apple iOS 5.0 TOE साठी Cisco Secure ClientAnyConnect v16 च्या प्रशासनाचे दस्तऐवजीकरण करते, कारण ते सामान्य निकषांनुसार प्रमाणित होते. Apple iOS 5.0 साठी Cisco Secure Client-AnyConnect v16 खालील संक्षेपाने संदर्भित केले जाऊ शकते उदा. VPN Client किंवा फक्त TOE.

प्रेक्षक
हा दस्तऐवज TOE स्थापित आणि कॉन्फिगर करणार्‍या प्रशासकांसाठी लिहिलेला आहे. हा दस्तऐवज असे गृहीत धरतो की तुम्ही इंटरनेटवर्किंगमध्ये वापरल्या जाणार्‍या मूलभूत संकल्पना आणि संज्ञांशी परिचित आहात आणि तुमचे नेटवर्क टोपोलॉजी आणि तुमच्या नेटवर्कमधील डिव्हाइस वापरू शकतील असे प्रोटोकॉल समजून घेत आहात, तुम्ही एक विश्वासार्ह व्यक्ती आहात आणि तुम्ही ऑपरेटिंग वापरण्यासाठी प्रशिक्षित आहात. सिस्टम ज्यावर तुम्ही तुमचे नेटवर्क चालवत आहात.

उद्देश
हा दस्तऐवज सामान्य निकष मूल्यमापनासाठी पूर्वतयारी प्रक्रियेसह ऑपरेशनल वापरकर्ता मार्गदर्शन आहे. मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये TOE कॉन्फिगर आणि देखरेख करण्यासाठी आवश्यक असलेल्या विशिष्ट TOE कॉन्फिगरेशन आणि प्रशासक कार्ये आणि इंटरफेस हायलाइट करण्यासाठी हे लिहिले गेले होते. हा दस्तऐवज प्रशासकाद्वारे केलेल्या विशिष्ट क्रियांचा तपशील देण्यासाठी नाही तर तो AnyConnect Secure Mobility Client ऑपरेशन्स कॉन्फिगर आणि देखरेख करण्यासाठी विशिष्ट तपशील मिळविण्यासाठी Cisco डॉक्युमेंटेशनमध्ये योग्य स्थाने ओळखण्यासाठी एक रोड मॅप आहे. TSF डेटा व्यवस्थापित करण्यासाठी सर्व सुरक्षा संबंधित आदेश प्रत्येक कार्यात्मक विभागात या दस्तऐवजीकरणामध्ये प्रदान केले आहेत.

दस्तऐवज संदर्भ
हा विभाग Cisco Systems दस्तऐवजांची सूची देतो जो सामान्य निकष कॉन्फिगरेशन आयटम (CI) सूचीचा देखील एक भाग आहे. वापरलेले दस्तऐवज खाली तक्ता 1 मध्ये दर्शविले आहेत. या संपूर्ण दस्तऐवजात, मार्गदर्शकांना "#" द्वारे संदर्भित केले जाईल, जसे की [1].

तक्ता 1 सिस्को दस्तऐवजीकरण

# शीर्षक दुवा
1 सिस्को सिक्युर क्लायंट (कोणत्याही कनेक्टसह) प्रशासक मार्गदर्शक, प्रकाशन 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2 Cisco AnyConnect Mobile Platforms Administrator Guide, Release 4.1 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3 Cisco AnyConnect Secure Mobility Client साठी Apple iOS वापरकर्ता मार्गदर्शक, 4.6.x रिलीज करा https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4 Cisco AnyConnect Secure Mobility Client साठी रिलीझ नोट्स, रिलीज 4.9 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5 सिस्को सिक्युअर क्लायंटसाठी रिलीझ नोट्स (कोणत्याही कनेक्टसह), ऍपल iOS साठी रिलीज 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

पायाचे बोट ओव्हरview
TOE हा Cisco AnyConnect Secure Mobility Client आहे (यानंतर VPN क्लायंट किंवा TOE म्हणून संदर्भित). Cisco AnyConnect Secure Mobility Client दूरस्थ वापरकर्त्यांना Cisco 2 Series Adaptive Security Appliance (ASA) VPN गेटवे ला सुरक्षित IPsec (IKEv5500) VPN कनेक्शन प्रदान करतो जे स्थापित ऍप्लिकेशन्सना थेट एंटरप्राइझ नेटवर्कशी जोडलेले असल्याप्रमाणे संप्रेषण करू देते.

ऑपरेशनल पर्यावरण
TOE ला खालील IT पर्यावरण घटकांची आवश्यकता असते जेव्हा TOE त्याच्या मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये कॉन्फिगर केले जाते:

तक्ता 2. ऑपरेशनल पर्यावरण घटक

घटक वापर/उद्देश वर्णन
प्रमाणपत्र प्राधिकरण वैध डिजिटल प्रमाणपत्रे प्रदान करण्यासाठी प्रमाणपत्र प्राधिकरणाचा वापर केला जातो.
मोबाइल प्लॅटफॉर्म TOE खालीलपैकी कोणत्याही CC प्रमाणित अॅपल मोबाइल डिव्हाइस प्लॅटफॉर्मवर अवलंबून आहे:
  • Apple iPhone 11/XR iOS 16 चालवित आहे
ASA 5500-X मालिका VPN गेटवे सिस्को ASA 5500-X सॉफ्टवेअर आवृत्ती 9.2.2 किंवा नंतरचे हेड-एंड VPN गेटवे म्हणून कार्य करते.
ASDM व्यवस्थापन प्लॅटफॉर्म ASDM 7.7 खालीलपैकी कोणत्याही ऑपरेटिंग सिस्टीमवरून कार्य करते:
  • विंडोज ७, ८.१, १०
  • विंडोज सर्व्हर 2008, 2012, 2012 R2, 2016 आणि सर्व्हर 2019
  • Apple OS X 10.4 किंवा नंतर लक्षात ठेवा की ASDM सॉफ्टवेअर ASA उपकरणावर स्थापित केले आहे आणि व्यवस्थापन प्लॅटफॉर्म ASA शी कनेक्ट करण्यासाठी आणि ASDM चालविण्यासाठी वापरला जातो. व्यवस्थापन प्लॅटफॉर्मवर स्थापित केलेले एकमेव सॉफ्टवेअर सिस्को ASDM लाँचर आहे.

अंतर्निहित मोबाइल प्लॅटफॉर्म MOD_VPNC_V2.4] मध्ये आवश्यक असलेली काही सुरक्षा कार्यक्षमता प्रदान करतो आणि या दस्तऐवजात "TOE प्लॅटफॉर्म" हा वाक्यांश वापरून दर्शविला जातो.

Cisco AnyConnect TOE एनक्रिप्टेड पॅकेट पाठवण्यासाठी आणि प्राप्त करण्यासाठी मोबाइल OS प्लॅटफॉर्मवर नेटवर्क हार्डवेअर संसाधने वापरते. TOE संवेदनशील माहिती भांडारांमध्ये प्रवेश करत नाही.

या दस्तऐवजातील "ASA" मधील संदर्भ VPN गेटवेचा संदर्भ घेतात

वगळलेली कार्यक्षमता

खाली सूचीबद्ध केलेली कार्यक्षमता मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये समाविष्ट केलेली नाही.

तक्ता 3. वगळलेली कार्यक्षमता आणि तर्क

कार्य वगळले तर्क
नॉन-FIPS 140-2 ऑपरेशन मोड TOE मध्ये FIPS ऑपरेशन मोड समाविष्ट आहे. FIPS मोड TOE ला फक्त मंजूर क्रिप्टोग्राफी वापरण्याची परवानगी देतात. TOE ला त्याच्या मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये कार्य करण्यासाठी FIPS ऑपरेशनचा मोड सक्षम करणे आवश्यक आहे.
DLTS टनेलिंग पर्यायांसह SSL बोगदा [MOD_VPNC_V2.4] फक्त IPsec VPN बोगद्याला परवानगी देतो.

या सेवा कॉन्फिगरेशनद्वारे अक्षम केल्या जातील. या कार्यक्षमतेला वगळल्याने दावा केलेल्या संरक्षण प्रो च्या अनुपालनावर परिणाम होत नाहीfiles.

आयटी पर्यावरणासाठी प्रक्रिया आणि ऑपरेशनल मार्गदर्शन

त्याच्या मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये ऑपरेट करण्यासाठी, TOE ला किमान एक (1) प्रमाणपत्र प्राधिकरण (CA), एक (1) VPN गेटवे आणि एक (1) Apple iPhone मोबाइल डिव्हाइस आवश्यक आहे.

ग्राहक PKI वातावरणासारखे दिसण्यासाठी, ऑफलाइन रूट CA वापरून द्वि-स्तरीय CA सोल्यूशन आणि Microsoft 2012 R2 प्रमाणपत्र प्राधिकरण (CA) नियुक्त करणारे Enterprise Subordinate CA या विभागात संदर्भित केले जाईल. Microsoft च्या जागी इतर CA उत्पादने वापरली जाऊ शकतात.

रूट CA हे स्टँडअलोन (वर्कग्रुप) सर्व्हर म्हणून कॉन्फिगर केले जाते, तर अधीनस्थ CA सक्रिय निर्देशिका सेवा सक्षम असलेल्या Microsoft डोमेनचा भाग म्हणून कॉन्फिगर केले जाते. खालील आकृती TOE आणि IT चे दृश्य चित्रण प्रदान करते

पर्यावरण. TOE हे iOS 13 वर चालणारे सॉफ्टवेअर अॅप आहे. TOE सीमा हॅश लाल रेषेने दर्शविली जाते. खालील आकृती १ पहा.

आकृती 1. TOE आणि पर्यावरण
पायाचे बोट आणि पर्यावरण

अधीनस्थ CA X.509 डिजिटल प्रमाणपत्रे जारी करते आणि TOE प्लॅटफॉर्म आणि VPN गेटवेला प्रमाणपत्र रद्दीकरण सूची (CRL) प्रदान करते.
वैकल्पिकरित्या, एक (1) सिंगल रूट एंटरप्राइज CA तैनात केले जाऊ शकते.

  • प्रमाणपत्र प्राधिकरण स्थापित आणि कॉन्फिगर करा

Microsoft द्वि-स्तरीय CA सोल्यूशन वापरत असल्यास, विक्रेत्याच्या मार्गदर्शनानुसार रूट (GRAYCA) आणि Enterprise Subordinate Certificate Authority (GRAYSUBCA1) स्थापित आणि कॉन्फिगर करा. खालील Microsoft Active Directory Certificate Services च्या कॉन्फिगरेशनसाठी चरण-दर-चरण मार्गदर्शक आहे:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
आकृती 1 मध्ये दर्शविलेले ऑफलाइन रूट CA (GRAYCA) प्रमाणपत्र आणि एंटरप्राइझ सबऑर्डिनेट CA (GRAYSUBCA1) प्रमाणपत्रे दोन्ही स्थापित केली आहेत आणि विश्वासार्ह प्रमाणपत्र शृंखला स्थापित केली आहे याची खात्री करण्यासाठी विश्वसनीय मानले जाते. Microsoft व्यतिरिक्त विक्रेत्याकडून CA वापरत असल्यास, त्या विक्रेत्याच्या CA स्थापना मार्गदर्शनाचे अनुसरण करा.

वापरलेल्या CA उत्पादनाकडे दुर्लक्ष करून, ASA वरील RSA प्रमाणपत्रामध्ये खालील की वापर आणि विस्तारित की वापर गुणधर्म असणे आवश्यक आहे:

  • मुख्य वापर: डिजिटल स्वाक्षरी, प्रमुख करार
  • EKU: आयपी सुरक्षा आयकेई इंटरमीडिएट, आयपी एंड सिक्युरिटी सिस्टम

ASA वरील ECDSA आणि RSA प्रमाणपत्रांमधील विषय पर्यायी नाव (SAN) फील्ड AnyConnect pro मध्ये निर्दिष्ट केलेल्या कनेक्शन माहितीशी जुळणे आवश्यक आहे.file क्लायंट वर.

  • VPN गेटवे स्थापित आणि कॉन्फिगर करा

सिस्को ASA 9.1 (किंवा नंतरचे) स्थापित करा, वैकल्पिकरित्या ASDM सह, इंस्टॉलेशन मार्गदर्शक आणि रिलीझ नोट्सच्या अनुषंगाने स्थापित करा. ASDM ASA ला ग्राफिकल यूजर इंटरफेसवरून व्यवस्थापित करण्याची परवानगी देते. वैकल्पिकरित्या, प्रशासकाने प्राधान्य दिल्यास, समतुल्य कमांड लाइन (CLI) कॉन्फिगरेशन पायऱ्या वापरल्या जाऊ शकतात.

कॉन्फिगरेशन टीप: ASA द्वारे व्यवस्थापित पॅरामीटर्स असल्याने, TOE त्याच्या मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये असल्याची खात्री करण्यासाठी गेटवे प्रशासकाने या विभागातील चरणांचे अनुसरण करणे आवश्यक आहे.

  • ASA वर AnyConnect आणि IKEv2 सक्षम करा. ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > AnyConnect Connection Pro वर जाfiles आणि Cisco AnyConnect चेकबॉक्स सक्षम करा आणि IKEv2 अंतर्गत प्रवेशास परवानगी द्या निवडा.
    प्रक्रिया आणि ऑपरेशनल
  • AnyConnect Connection Pro वरfileवर नमूद केलेल्या पृष्ठावर, डिव्हाइस प्रमाणपत्र निवडा. तेच डिव्‍हाइस प्रमाणपत्र वापरण्‍याची खात्री करा... तपासलेले नाही आणि ईसीडीएसए डिव्‍हाइस सर्टिफिकेट अंतर्गत EC आयडी प्रमाणपत्र निवडा. नंतर ओके निवडा.
    प्रक्रिया आणि ऑपरेशनल
  • सामान्य निकष मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये परवानगी दिलेल्या अल्गोरिदमचा वापर करून IKEv2 क्रिप्टो धोरण तयार करा. ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > प्रगत > IPsec > IKE पॉलिसी वर जा आणि IKEv2 पॉलिसी जोडा.

जोडा निवडा आणि सर्वोच्च प्राधान्यासाठी 1 प्रविष्ट करा. श्रेणी 1 ते 65535 पर्यंत आहे, 1 ला सर्वोच्च प्राधान्य आहे.

कूटबद्धीकरण:
AES: ESP साठी 128-बिट की एनक्रिप्शनसह AES-CBC निर्दिष्ट करते.
AES-256: ESP साठी 256-बिट की एनक्रिप्शनसह AES-CBC निर्दिष्ट करते.
AES-GCM-128: AES गॅलोइस काउंटर मोड 128-बिट एन्क्रिप्शन निर्दिष्ट करते
AES-GCM-256: AES गॅलोइस काउंटर मोड 256-बिट एन्क्रिप्शन निर्दिष्ट करते

DH गट: डिफी-हेलमन ग्रुप आयडेंटिफायर निवडा. हे प्रत्येक IPsec पीअरद्वारे एकमेकांना प्रसारित न करता, सामायिक गुपित प्राप्त करण्यासाठी वापरले जाते. वैध निवडी आहेत: 19 आणि 20.

PRF हॅश - SA मध्ये वापरल्या जाणार्‍या सर्व क्रिप्टोग्राफिक अल्गोरिदमसाठी कीइंग मटेरियलच्या बांधकामासाठी वापरलेला PRF निर्दिष्ट करा. वैध निवडी आहेत: sha256 आणि sha384

यामध्ये माजीampले कॉन्फिगरेशन निवडा:

 

प्राधान्य: १

AES गॅलोइस काउंटर मोड (AES-GCM) 256-बिट एन्क्रिप्शन: जेव्हा GCM निवडले जाते, तेव्हा ते अखंडता अल्गोरिदम निवडण्याची आवश्यकता टाळते. याचे कारण म्हणजे CBC (सिफर-ब्लॉक चेनिंग) च्या विपरीत, प्रमाणिकता क्षमता GCM मध्ये तयार केल्या आहेत.

डिफी-हेलमन गट: 20
इंटिग्रिटी हॅश: शून्य
PRF हॅश: sha384
आजीवन: 86400
प्रक्रिया आणि ऑपरेशनल

निवडा ठीक आहे.

प्रशासक टीप: वर सूचीबद्ध नसलेल्या कोणत्याही अतिरिक्त एन्क्रिप्शन, DH-ग्रुप, इंटिग्रिटी किंवा PRF हॅशच्या वापराचे मूल्यांकन केले जात नाही.

प्रशासक टीप: प्रगत टॅब IKE सामर्थ्य अंमलबजावणी पॅरामीटर प्रदर्शित करतो. सिक्युरिटी असोसिएशन (SA) स्ट्रेंथ एन्फोर्समेंट पॅरामीटर तपासले आहे याची खात्री करा. हे IKEv2 एन्क्रिप्शन सायफरची ताकद त्याच्या चाइल्ड IPsec SA च्या एन्क्रिप्शन सायफरच्या ताकदीपेक्षा जास्त असल्याची खात्री करते. उच्च सामर्थ्य अल्गोरिदम अवनत केले जातील.

CLI समतुल्य आहे: क्रिप्टो ipsec ikev2 sa-शक्ती-अंमलबजावणी

  • IPSEC प्रस्ताव तयार करा. ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > Advanced > IPsec > IPsec Proposals (Transform Sets) वर जा आणि IKEv2 IPsec प्रस्ताव जोडा. नंतर ओके निवडा.
    माजी मध्येampएनक्रिप्शनसाठी एईएस-जीसीएम-२५६ सह एनजीई-एईएस-जीसीएम-२५६ आणि इंटिग्रिटी हॅशसाठी शून्य वापरलेले नाव आहे:
    प्रक्रिया आणि ऑपरेशनल
  • डायनॅमिक क्रिप्टो नकाशा तयार करा, IPsec प्रस्ताव निवडा आणि बाहेरील इंटरफेसवर लागू करा. ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > Advanced > IPsec > Crypto Maps वर जा. जोडा निवडा, बाहेरील इंटरफेस आणि IKEv2 प्रस्ताव निवडा.
    प्रगत टॅबवर क्लिक करा. खालील गोष्टींची खात्री करा:
    NAT-T सक्षम करा —या धोरणासाठी NAT ट्रॅव्हर्सल (NAT-T) सक्षम करते
    सुरक्षा असोसिएशन आजीवन सेटिंग — 8 तास (28800 सेकंद) वर सेट केले आहे
  • पत्ता पूल VPNUSERS तयार करा जो VPN वापरकर्त्यांना नियुक्त केला जाईल. अॅड्रेस पूलमध्ये खालील फील्ड आहेत:
    नाव - IP पत्ता पूलला नियुक्त केलेले नाव निर्दिष्ट करते.
    IP पत्ता प्रारंभ करीत आहे - पूलमधील पहिला IP पत्ता निर्दिष्ट करते.
    IP पत्ता संपत आहे - पूलमधील शेवटचा IP पत्ता निर्दिष्ट करते.
    सबनेट मास्क- पूलमधील पत्त्यांवर लागू करण्यासाठी सबनेट मास्क निवडते.

ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > अॅड्रेस असाइनमेंट > अॅड्रेस पूल वर जा आणि वरील फील्ड निर्दिष्ट करणारा IP पूल जोडा आणि नंतर ओके निवडा.

एक गट धोरण जोडा जे VPN वापरकर्त्यांना इच्छित सेटिंग्ज लागू करेल. गट धोरणे तुम्हाला AnyConnect VPN गट धोरणे व्यवस्थापित करू देतात. VPN गट धोरण हे ASA डिव्हाइसवर अंतर्गत संचयित केलेल्या वापरकर्ता-देणारं गुणधर्म/मूल्य जोड्यांचा संग्रह आहे. VPN गट धोरण कॉन्फिगर केल्याने वापरकर्त्यांना तुम्ही वैयक्तिक गट किंवा वापरकर्तानाव स्तरावर कॉन्फिगर न केलेल्या गुणधर्मांचा वारसा मिळू देते. डीफॉल्टनुसार, VPN वापरकर्त्यांकडे गट धोरण असोसिएशन नसते. गट धोरण माहिती VPN बोगदा गट आणि वापरकर्ता खात्यांद्वारे वापरली जाते. ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > ग्रुप पोलिस वर जा आणि अंतर्गत गट धोरण जोडा. VPN टनल प्रोटोकॉल IKEv2 वर सेट केला आहे आणि वर तयार केलेला IP पूल इनहेरिट चेक बॉक्स रद्द करून आणि योग्य सेटिंग निवडून पॉलिसीमध्ये संदर्भित असल्याची खात्री करा. सर्व्हर विभागातील पॉलिसीमध्ये संबंधित DNS, WINS आणि डोमेन नावे देखील जोडली जाऊ शकतात.

माजी संदर्भ घ्याampली ग्रुप पॉलिसी NGE-VPN-GP खाली:
प्रक्रिया आणि ऑपरेशनल

  • बोगदा गटाचे नाव तयार करा. बोगदा गटामध्ये IPsec कनेक्शनसाठी टनेल कनेक्शन धोरणे असतात. कनेक्शन धोरण प्रमाणीकरण, अधिकृतता आणि अकाउंटिंग सर्व्हर, डीफॉल्ट गट धोरण आणि IKE विशेषता निर्दिष्ट करू शकते.

ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > AnyConnect Connection Pro वर जाfiles पृष्ठाच्या तळाशी कनेक्शन प्रो अंतर्गतfiles, जोडा निवडा.

माजी मध्येampबोगद्याच्या खाली गटाचे नाव NGE-VPN-RAS वापरले जाते.
प्रक्रिया आणि ऑपरेशनल

कॉन्फिगरेशन प्रमाणपत्र प्रमाणीकरण, संबंधित गट धोरण NGE-VPN-GP आणि IPsec सक्षम (IKEv2) संदर्भित करते. DNS आणि डोमेन नाव देखील येथे जोडले जाऊ शकते. तसेच सक्षम SSL VPN क्लायंट प्रोटोकॉल न तपासता फक्त IPsec वापरला आहे याची खात्री करा.

  • प्रमाणपत्र नकाशा तयार करा, NGE VPN वापरकर्त्यांना VPN बोगदा गटामध्ये मॅप करा जे पूर्वी तयार केले होते. प्रमाणपत्र नकाशा एसी वापरकर्त्यांना लागू केला जाईल. या परिस्थितीत, अधीनस्थ CA कडून जारी केलेल्या EC प्रमाणपत्रासह येणार्‍या TOE प्लॅटफॉर्म विनंतीची खात्री करण्यासाठी अधीनस्थ CA सामान्य नाव जुळले आहे जे पूर्वी तयार केलेल्या योग्य बोगद्या गटामध्ये मॅप केले जाईल. VPN वापरकर्ते ज्यांना EC CA कडून प्रमाणपत्र दिले जात नाही ते डीफॉल्ट टनेल गटांमध्ये परत येतील आणि
    अयशस्वी प्रमाणीकरण आणि प्रवेश नाकारला जाईल.
    ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > Advanced > Certificate to AnyConnect आणि Clientless SSL VPN Connection Pro वर जाfile नकाशे. सर्टिफिकेट टू कनेक्शन प्रो अंतर्गतfile नकाशे जोडा निवडा. 10 च्या प्राधान्याने विद्यमान डीफॉल्ट प्रमाणपत्र नकाशा निवडा आणि NGE-RAS-VPN बोगदा गटाचा संदर्भ घ्या.
    प्रक्रिया आणि ऑपरेशनल
    ASDM मध्ये, कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > Advanced > Certificate to AnyConnect आणि Clientless SSL VPN Connection Pro वर जाfile नकाशे. मॅपिंग मापदंड अंतर्गत जोडा निवडा. फील्डसाठी जारीकर्ता निवडा, घटकासाठी सामान्य नाव (CN), ऑपरेटरसाठी समाविष्ट आहे, आणि नंतर ओके निवडा.
    प्रक्रिया आणि ऑपरेशनल
    मुख्य पृष्ठावर APPLY निवडण्याची खात्री करा आणि कॉन्फिगरेशन जतन करा.
  • AnyConnect VPN क्लायंटकडून VPN कनेक्शन स्वीकारण्यासाठी ASA कॉन्फिगर करा, AnyConnect VPN विझार्ड वापरा. हा विझार्ड रिमोट नेटवर्क ऍक्सेससाठी IPsec (IKEv2) VPN प्रोटोकॉल कॉन्फिगर करतो. येथे सूचना पहा:
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

TOE साठी पूर्वतयारी प्रक्रिया आणि ऑपरेशनल मार्गदर्शन

Cisco Secure Client-AnyConnect TOE स्थापित करण्यासाठी, खालील चरणांचे अनुसरण करा:

  1. ॲप स्टोअर उघडा.
  2. शोधा निवडा
  3. शोध बॉक्समध्ये, Cisco Secure Client-AnyConnect प्रविष्ट करा
  4. अॅप स्थापित करा वर टॅप करा
  5. स्थापित करा निवडा

Cisco Secure Client-AnyConnect सुरू करा

अनुप्रयोग सुरू करण्यासाठी Cisco Secure Client-AnyConnect चिन्हावर टॅप करा. जर तुम्ही सिस्को सिक्योर क्लायंट-एनीकनेक्ट स्थापित केल्यानंतर किंवा अपग्रेड केल्यानंतर पहिल्यांदाच सुरू करत असाल, तर तुमच्या डिव्हाइसची व्हर्च्युअल प्रायव्हेट नेटवर्क (VPN) क्षमता वाढवण्यासाठी TOE सक्षम करण्यासाठी ओके निवडा.

अखंडता पडताळणी

अ‍ॅप लोड केल्यावर प्रत्येक वेळी अखंडता पडताळणी केली जाते आणि ते अखंडता पडताळणी पूर्ण होण्याची प्रतीक्षा करेल. TOE च्या एक्झिक्युटेबलच्या डिजिटल स्वाक्षरीची पडताळणी करण्यासाठी iOS प्लॅटफॉर्मद्वारे प्रदान केलेल्या क्रिप्टोग्राफिक सेवांचा वापर केला जातो. files अखंडता पडताळणी यशस्वीरित्या पूर्ण होण्यात अयशस्वी झाल्यास, GUI लोड होणार नाही, ज्यामुळे अॅप निरुपयोगी होईल. अखंडता पडताळणी यशस्वी झाल्यास, अॅप GUI लोड होईल आणि सामान्यपणे ऑपरेट होईल.

संदर्भ अभिज्ञापक कॉन्फिगर करा

हा विभाग VPN गेटवे पीअरसाठी संदर्भ अभिज्ञापकाचे कॉन्फिगरेशन निर्दिष्ट करतो. IKE फेज 1 प्रमाणीकरणादरम्यान, TOE संदर्भ अभिज्ञापकाची तुलना VPN गेटवेद्वारे सादर केलेल्या अभिज्ञापकाशी करते. जर TOE निर्धारित करत असेल की ते जुळत नाहीत, तर प्रमाणीकरण यशस्वी होणार नाही.

होम स्क्रीनवरून वरील कनेक्शन निवडा view तुमच्या डिव्हाइसवर आधीच कॉन्फिगर केलेल्या नोंदी. एकाधिक कनेक्शन नोंदी सूचीबद्ध केल्या जाऊ शकतात, काही प्रति-अॅप VPN शीर्षकाखाली. कनेक्शन नोंदी असू शकतात खालील स्थिती:

  • सक्षम- ही कनेक्‍शन एंट्री मोबाइल डिव्‍हाइस व्‍यवस्‍थापकाने सक्षम केली आहे आणि ती जोडण्‍यासाठी वापरली जाऊ शकते.
  • सक्रिय- ही चिन्हांकित किंवा हायलाइट केलेली कनेक्शन एंट्री सध्या सक्रिय आहे.
  • जोडलेले- ही कनेक्शन एंट्री सक्रिय आहे आणि सध्या कनेक्ट केलेली आहे आणि कार्यरत आहे.
  • डिस्कनेक्ट केलेले- ही कनेक्शन एंट्री सक्रिय आहे परंतु सध्या डिस्कनेक्ट केलेली आहे आणि कार्यरत नाही.

सूचनांसाठी पहा "कनेक्शन एंट्री मॅन्युअली जोडा किंवा सुधारित करा" विभाग [3].

प्रमाणपत्र वापर कॉन्फिगर करा

AnyConnect ला X.509 प्रमाणपत्र आवश्यक आहे. चा संदर्भ घ्या "प्रमाणपत्रे कॉन्फिगर करा" विभाग [3].

अविश्वासू सर्व्हर अवरोधित करा

हे ॲप्लिकेशन सेटिंग सुरक्षित गेटवे ओळखू शकत नसताना AnyConnect कनेक्शन ब्लॉक करते की नाही हे निर्धारित करते.
हे संरक्षण डीफॉल्टनुसार चालू असते आणि ते बंद केले जाऊ नये.

AnyConnect त्याची ओळख सत्यापित करण्यासाठी सर्व्हरकडून प्राप्त प्रमाणपत्र वापरते. कालबाह्य किंवा अवैध तारीख, चुकीचा की वापर किंवा नाव जुळत नसल्यामुळे प्रमाणपत्र त्रुटी असल्यास, कनेक्शन अवरोधित केले जाते.

VPN FIPS मोड सेट करा
VPN FIPS मोड सर्व VPN कनेक्शनसाठी फेडरल इन्फॉर्मेशन प्रोसेसिंग स्टँडर्ड्स (FIPS) क्रिप्टोग्राफी अल्गोरिदम वापरतो.

  1. Cisco Secure Client-AnyConnect अॅपमध्ये, सेटिंग्ज वर टॅप करा.
  2. हे सेटिंग सक्षम करण्यासाठी FIPS मोड टॅप करा.

ST मध्ये क्रिप्टोग्राफिक आवश्यकता पूर्ण करण्यासाठी, FIPS मोड सक्षम करणे आवश्यक आहे. तुमच्या FIPS मोड बदलाची पुष्टी केल्यावर, अॅप बाहेर पडतो आणि व्यक्तिचलितपणे रीस्टार्ट करणे आवश्यक आहे. रीस्टार्ट केल्यावर, तुमची FIPS मोड सेटिंग प्रभावी आहे.

कठोर प्रमाणपत्र ट्रस्ट मोड

हे सेटिंग हेड एंड VPN गेटवेचे प्रमाणपत्र नाकारण्यासाठी Cisco Secure Client-AnyConnect TOE कॉन्फिगर करते जे ते स्वयंचलितपणे सत्यापित करू शकत नाही.

  1. होम विंडोमधून, मेनू > सेटिंग्ज वर टॅप करा.
  2. कठोर प्रमाणपत्र ट्रस्ट मोड सक्षम करा.

पुढील कनेक्शन प्रयत्न केल्यावर, कठोर प्रमाणपत्र ट्रस्ट सक्षम केले जाईल

प्रमाणपत्र रद्दीकरण तपासा

हे सेटिंग हेड-एंड VPN गेटवे वरून प्राप्त झालेल्या प्रमाणपत्राची रद्दीकरण स्थिती Cisco Secure Client-AnyConnect TOE निर्धारित करेल की नाही हे नियंत्रित करते. हे सेटिंग चालू असणे आवश्यक आहे आणि ते बंद केले जाऊ नये.

  1. AnyConnect होम विंडोमधून, मेनू > सेटिंग्ज वर टॅप करा.
  2. हे सेटिंग सक्षम करण्यासाठी प्रमाणपत्र रद्दीकरण तपासा सक्षम करा.

TOE साठी ऑपरेशनल मार्गदर्शन

VPN कनेक्शन स्थापित करा

चा संदर्भ घ्या “स्थापना a VPN कनेक्शन” विभाग [3].

AnyConnect मध्ये IPsec च्या वापराबाबत प्रशासकाने खालील PROTECT, BYPASS आणि DISCARD नियम लक्षात घ्यावेत:

  • संरक्षण करा
    PROTECT साठी नोंदी ASDM वापरून ASA वर रिमोट ऍक्सेस ग्रुप पॉलिसीद्वारे कॉन्फिगर केल्या जातात. PROTECT एंट्रीसाठी, वाहतूक TOE द्वारे प्रदान केलेल्या IPsec VPN बोगद्यामधून वाहते. TOE बोगद्याच्या सर्व रहदारीसाठी कोणत्याही कॉन्फिगरेशनची आवश्यकता नाही. प्रशासक वैकल्पिकरित्या त्यांच्या गट धोरणातील कमांडसह हे वर्तन स्पष्टपणे सेट करू शकतो: split-tunnel-policy tunnelall
  • बायपास
    TOE बायपास ऑपरेशनला सपोर्ट करते (जेव्हा स्प्लिट टनेलिंगला रिमोट ऍक्सेस पॉलिसीद्वारे स्पष्टपणे परवानगी दिली जाते). स्प्लिट टनेलिंग सक्षम असताना, ASA VPN गेटवे नेटवर्क विभागांची सूची TOE वर ढकलतो संरक्षण करा. इतर सर्व रहदारी TOE चा समावेश न करता असुरक्षित प्रवास करतात अशा प्रकारे IPsec संरक्षणास बायपास करतात.
    स्प्लिट टनेलिंग नेटवर्क (क्लायंट) ऍक्सेस ग्रुप पॉलिसीमध्ये कॉन्फिगर केले आहे. प्रशासकाकडे खालील पर्याय आहेत:
    वगळलेले: स्प्लिट-टनेल-नेटवर्क-लिस्टद्वारे निर्दिष्ट केलेले नेटवर्क वगळा
    बोगदा निर्दिष्ट: स्प्लिट-टनेल-नेटवर्क सूचीद्वारे निर्दिष्ट केलेले फक्त बोगदे नेटवर्क VPN ASDM कॉन्फिगरेशन मार्गदर्शक मधील "कोणत्याही कनेक्ट रहदारीसाठी स्प्लिट टनेलिंग कॉन्फिगर करण्याबद्दल" विभागाचा संदर्भ घ्या आणि "कोणत्याही कनेक्ट ट्रॅफिकसाठी स्प्लिट-टनेलिंग कॉन्फिगर करा" विभागात प्रदान केलेल्या चरण पहा. ASDM मधील गट धोरणामध्ये बदल केल्यानंतर, गट धोरण कनेक्शन प्रोशी संबंधित असल्याची खात्री कराfile कॉन्फिगरेशन > रिमोट ऍक्सेस VPN > नेटवर्क (क्लायंट) ऍक्सेस > AnyConnect Connection Pro मध्येfiles > जोडा/संपादित करा > गट धोरण. BYPASS SPD एंट्री होस्ट प्लॅटफॉर्मद्वारे निहित नेटवर्क ट्रॅफिक परमिट नियमांद्वारे प्रदान केल्या जातात. TOE प्लॅटफॉर्मवर कोणत्याही कॉन्फिगरेशनची आवश्यकता नाही ज्यामुळे तो हा रहदारी पास करू शकेल.
  • टाकून द्या
    DISCARD नियम केवळ TOE प्लॅटफॉर्मद्वारे केले जातात. DISCARD नियम निर्दिष्ट करण्यासाठी कोणताही प्रशासकीय इंटरफेस नाही.

निरीक्षण आणि समस्यानिवारण

चा संदर्भ घ्या निरीक्षण आणि समस्यानिवारण विभाग [3].

Cisco Secure Client-AnyConnect मधून बाहेर पडत आहे
अॅपमधून बाहेर पडल्याने सध्याचे VPN कनेक्शन बंद होते आणि सर्व TOE प्रक्रिया थांबतात. ही क्रिया जपून वापरा. तुमच्या डिव्हाइसवरील इतर अॅप्स किंवा प्रक्रिया सध्याचे VPN कनेक्शन वापरत असतील आणि Cisco Secure Client-AnyConnect अॅपमधून बाहेर पडल्याने त्यांच्या ऑपरेशनवर विपरित परिणाम होऊ शकतो.

होम विंडोमधून, मेनू > बाहेर पडा वर टॅप करा.

क्रिप्टोग्राफिक समर्थन
TOE मोठ्या प्रमाणात AES एन्क्रिप्शन/डिक्रिप्शन आणि हॅशिंगसाठी SHA-2 अल्गोरिदमसाठी ESP सिमेट्रिक क्रिप्टोग्राफीसह IPsec च्या समर्थनार्थ क्रिप्टोग्राफी प्रदान करते. याव्यतिरिक्त TOE IKEv2 आणि ESP प्रोटोकॉलमध्ये वापरल्या जाणार्‍या Diffie Hellman की एक्सचेंज आणि डेरिव्हेशन फंक्शनला समर्थन देण्यासाठी क्रिप्टोग्राफी प्रदान करते. क्रिप्टोग्राफिक फंक्शन्स कॉन्फिगर करण्याच्या सूचना या दस्तऐवजाच्या "प्रक्रिया आणि IT पर्यावरणासाठी ऑपरेशनल मार्गदर्शन" विभागात वर्णन केल्या आहेत.

विश्वसनीय अद्यतने

हा विभाग TOE आणि त्यानंतरची कोणतीही TOE अद्यतने सुरक्षितपणे स्वीकारण्यासाठी सूचना प्रदान करतो. “अद्यतन” ही TOE ची नवीन आवृत्ती आहे.

TOE आवृत्ती वापरकर्त्याद्वारे विचारली जाऊ शकते. होम स्क्रीनवरून "बद्दल" वर टॅप करा. मोबाइल प्लॅटफॉर्मद्वारे आवृत्तीची चौकशी देखील केली जाऊ शकते:

  • iPhone: सेटिंग्ज उघडा आणि सामान्य > वापर वर जा. स्टोरेज अंतर्गत, Cisco Secure Client Any Connect शोधा आणि टॅप करा. आवृत्ती माहिती प्रदर्शित केली जाईल.

Cisco Secure Client-AnyConnect TOE चे अपडेट खालील प्रक्रिया वापरून Apple App Store द्वारे व्यवस्थापित केले जातात.

टीप: तुमचे डिव्‍हाइस अपग्रेड करण्‍यापूर्वी तुम्‍ही VPN सेशन स्‍थापित केले असल्यास ते डिस्‍कनेक्‍ट करणे आवश्‍यक आहे आणि ॲप्लिकेशन उघडे असल्‍यास बंद करणे आवश्‍यक आहे. तुम्ही हे करण्यात अयशस्वी झाल्यास, Cisco Secure Client-AnyConnect TOE ची नवीन आवृत्ती वापरण्यापूर्वी तुमचे डिव्हाइस रीबूट करणे आवश्यक आहे.

  1. iOS मुख्यपृष्ठावरील अॅप स्टोअर चिन्हावर टॅप करा.
  2. Cisco Secure Client-AnyConnect अपग्रेड नोटीस वर टॅप करा.
  3. नवीन वैशिष्ट्यांबद्दल वाचा.
  4. अपडेट वर क्लिक करा.
  5. तुमचा ऍपल आयडी पासवर्ड टाका.
  6. टॅप करा ठीक आहे.

अपडेट पुढे जात आहे.

दस्तऐवज प्राप्त करणे आणि सेवा विनंती सबमिट करणे

दस्तऐवज प्राप्त करणे, सिस्को बग शोध साधन (BST) वापरणे, सेवा विनंती सबमिट करणे आणि अतिरिक्त माहिती गोळा करणे याबद्दल माहितीसाठी, पहा सिस्को उत्पादन दस्तऐवजीकरणात नवीन काय आहे.

नवीन आणि सुधारित सिस्को तांत्रिक सामग्री थेट आपल्या डेस्कटॉपवर प्राप्त करण्यासाठी, आपण सदस्यता घेऊ शकता सिस्को उत्पादन दस्तऐवजीकरण RSS फीडमध्ये नवीन काय आहे. RSS फीड ही मोफत सेवा आहे.

सिस्कोशी संपर्क साधत आहे

सिस्कोची जगभरात 200 हून अधिक कार्यालये आहेत. पत्ते, फोन नंबर आणि फॅक्स क्रमांक सिस्कोवर सूचीबद्ध आहेत webयेथे साइट www.cisco.com/go/offices.

CISCO लोगो

कागदपत्रे / संसाधने

CISCO AnyConnect 5.0 सुरक्षित क्लायंट [pdf] वापरकर्ता मार्गदर्शक
5.0 iOS 16 साठी, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

संदर्भ

संबंधित पोस्ट

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *