Gwida għall-Utent tal-Klijent Sikur CISCO AnyConnect 5.0
Introduzzjoni tad-Dokument
Ippreparat minn:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134
Dan id-dokument jipprovdi Gwida lill-persunal tal-IT għat-TOE, Cisco Secure Client – AnyConnect 5.0 għal iOS 16. Dan id-dokument Gwida jinkludi struzzjonijiet biex tinstalla b’suċċess it-TOE fl-Ambjent Operattiv, struzzjonijiet biex timmaniġġja s-sigurtà tat-TSF, u istruzzjonijiet biex tipprovdi kapaċità amministrattiva protetta.
Storja tar-Reviżjoni
| Verżjoni | Data | Bidla |
| 0.1 | 1 ta’ Mejju, 2023 | Verżjoni Inizjali |
| 0.2 | 27 ta’ Lulju, 2023 | Aġġornamenti |
Cisco u l-logo ta' Cisco huma trademarks jew trademarks reġistrati ta' Cisco u/jew l-affiljati tagħha fl-Istati Uniti u f'pajjiżi oħra. Biex view lista ta 'trademarks Cisco, mur din URL: www.cisco.com/go/trademarks. Trademarks ta’ partijiet terzi msemmija huma l-proprjetà tas-sidien rispettivi tagħhom. L-użu tal-kelma sieħeb ma jimplikax relazzjoni ta' sħubija bejn Cisco u kwalunkwe kumpanija oħra. (1110R)
© 2023 Cisco Systems, Inc. Id-drittijiet kollha riżervati.
Introduzzjoni
Din il-Gwida Operattiva għall-Utent bi Proċeduri Preparattivi tiddokumenta l-amministrazzjoni taċ-Cisco Secure ClientAnyConnect v5.0 għal Apple iOS 16 TOE, peress li kienet iċċertifikata taħt Kriterji Komuni. Cisco Secure Client-AnyConnect v5.0 għal Apple iOS 16 jista' jkun referenzjat hawn taħt bl-akronimu relatat eż. VPN Client jew sempliċement it-TOE.
Udjenza
Dan id-dokument huwa miktub għall-amministraturi li jinstallaw u jikkonfiguraw it-TOE. Dan id-dokument jassumi li inti familjari mal-kunċetti u t-terminoloġiji bażiċi użati fl-internetworking, u tifhem it-topoloġija tan-netwerk tiegħek u l-protokolli li l-apparati fin-netwerk tiegħek jistgħu jużaw, li inti individwu fdat, u li inti mħarreġ biex tuża l-apparat operattiv. sistemi li fuqhom qed tħaddem in-netwerk tiegħek.
Għan
Dan id-dokument huwa l-Gwida Operattiva għall-Utent bi Proċeduri Preparattivi għall-evalwazzjoni tal-Kriterji Komuni. Inkiteb biex jenfasizza l-konfigurazzjoni speċifika tat-TOE u l-funzjonijiet u l-interfaces tal-amministratur li huma meħtieġa biex jiġi kkonfigurat u miżmum it-TOE fil-konfigurazzjoni evalwata. Dan id-dokument mhuwiex maħsub biex jagħti dettalji dwar l-azzjonijiet speċifiċi mwettqa mill-amministratur iżda huwa pjuttost pjan direzzjonali għall-identifikazzjoni tal-postijiet xierqa fi ħdan id-dokumentazzjoni Cisco biex tikseb id-dettalji speċifiċi għall-konfigurazzjoni u ż-żamma tal-operazzjonijiet tal-Klijent tal-Mobilità Sikura ta’ AnyConnect. Il-kmandi kollha rilevanti għas-sigurtà għall-ġestjoni tad-dejta tat-TSF huma pprovduti f'din id-dokumentazzjoni f'kull taqsima funzjonali.
Referenzi ta' Dokumenti
Din it-taqsima telenka d-dokumentazzjoni ta' Cisco Systems li hija wkoll porzjon mil-Lista ta' Oġġetti ta' Konfigurazzjoni ta' Kriterji Komuni (CI). Id-dokumenti użati huma murija hawn taħt fit-Tabella 1. F'dan id-dokument, se ssir referenza għall-gwidi bil-“#”, bħal [1].
Tabella 1 Dokumentazzjoni Cisco
TOE Overview
It-TOE huwa Cisco AnyConnect Secure Mobility Client (minn hawn 'il quddiem imsejjaħ il-klijent VPN, jew it-TOE). Il-Klijent tal-Mobilità Sikura Cisco AnyConnect jipprovdi lill-utenti remoti b'konnessjonijiet VPN siguri IPsec (IKEv2) mal-VPN Gateway tal-Apparat tas-Sigurtà Adattiv (ASA) Cisco 5500 Series li jippermetti lill-applikazzjonijiet installati jikkomunikaw bħallikieku konnessi direttament man-netwerk tal-intrapriża.
Ambjent Operattiv
It-TOE jeħtieġ il-Komponenti tal-Ambjent tal-IT li ġejjin meta t-TOE jiġi kkonfigurat fil-konfigurazzjoni evalwata tiegħu:
Tabella 2. Komponenti Operazzjonali tal-Ambjent
| Komponent | Deskrizzjoni tal-Użu/Għan |
| Awtorità taċ-Ċertifikat | Awtorità taċ-Ċertifikati tintuża biex tipprovdi ċertifikati diġitali validi. |
| Pjattaforma Mobile | It-TOE jiddependi fuq kwalunkwe waħda minn dawn il-pjattaformi tal-apparat mobbli Apple vvalidati CC li ġejjin:
|
| ASA 5500-X serje VPN Gateway | Il-Cisco ASA 5500-X bil-verżjoni tas-softwer 9.2.2 jew aktar tard jiffunzjona bħala l-head-end VPN Gateway. |
| Pjattaforma ta' Ġestjoni ASDM | L-ASDM 7.7 jopera minn kwalunkwe waħda mis-sistemi operattivi li ġejjin:
|
Il-pjattaforma Mobile sottostanti tipprovdi ftit mill-funzjonalità tas-sigurtà meħtieġa f'MOD_VPNC_V2.4] u hija indikata bl-użu tal-frażi "Pjattaforma TOE" f'dan id-dokument.
Il-Cisco AnyConnect TOE juża riżorsi tal-ħardwer tan-netwerk fuq il-pjattaforma tal-OS mobbli biex jibgħat u jirċievi pakketti kriptati. It-TOE ma jaċċessax repożitorji ta' informazzjoni sensittiva.
Referenzi f'dan id-dokument għal "ASA" jirreferu għal VPN Gateway
Funzjonalità Eskluża
Il-funzjonalità elenkata hawn taħt mhijiex inkluża fil-konfigurazzjoni evalwata.
Tabella 3. Funzjonalità u Raġunar Esklużi
| Funzjoni Eskluża | Motivazzjoni |
| Mod ta' tħaddim mhux-FIPS 140-2 | It-TOE jinkludi l-mod ta' operazzjoni FIPS. Il-modi FIPS jippermettu lit-TOE juża biss kriptografija approvata. Il-mod ta' tħaddim FIPS għandu jkun attivat sabiex it-TOE ikun qed jaħdem fil-konfigurazzjoni evalwata tiegħu. |
| SSL Tunnel b'għażliet ta' tunneling DLTS | [MOD_VPNC_V2.4] jippermetti biss mina VPN IPsec. |
Dawn is-servizzi se jiġu diżattivati bil-konfigurazzjoni. L-esklużjoni ta' din il-funzjonalità ma taffettwax il-konformità mal-Protezzjoni Pro allegatafiles.
Proċeduri u Gwida Operattiva għall-Ambjent tal-IT
Biex topera fil-konfigurazzjoni evalwata tagħha, it-TOE jeħtieġ minimu wieħed (1) Awtorità taċ-Ċertifikati (CA), wieħed (1) VPN Gateway, u wieħed (1) apparat mobbli Apple iPhone.
Biex tixbah l-ambjenti tal-PKI tal-klijenti, f'din it-taqsima se ssir referenza għal soluzzjoni CA f'żewġ livelli li tuża CA Root Offline u CA Subordinata tal-Intrapriża li timpjega Microsoft 2012 R2 Certificate Authority (CA). Jistgħu jintużaw prodotti CA oħra minflok Microsoft.
Root CA hija kkonfigurata bħala server waħdu (Workgroup) filwaqt li s-CA Subordinata hija kkonfigurata bħala parti minn dominju ta' Microsoft b'servizzi ta' Active Directory attivati. Il-figura li ġejja tipprovdi rappreżentazzjoni viżwali tat-TOE u l-IT
Ambjent. It-TOE hija app tas-software li taħdem fuq iOS 13. Il-konfini TOE hija indikata bil-linja ħamra hash. Ara l-figura 1 hawn taħt.
Figura 1. TOE u Ambjent
Is-CA Subordinata toħroġ ċertifikati diġitali X.509 u tipprovdi Lista ta' Revoka ta' Ċertifikat (CRL) lill-Pjattaforma TOE u lill-VPN Gateway.
Alternattivament, tista' tiġi skjerata CA ta' Intrapriża ta' għerq wieħed (1).
- Installa u Ikkonfigura Awtorità taċ-Ċertifikat
Jekk tuża soluzzjoni ta' Microsoft CA b'żewġ livelli, installa u kkonfigura Awtorità taċ-Ċertifikat Subordinata tal-Għerq (GRAYCA) u tal-Intrapriża (GRAYSUBCA1) skont il-gwida mill-bejjiegħ. Din li ġejja hija gwida pass pass għall-konfigurazzjoni ta’ Microsoft Active Directory Certificate Services:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Huwa preżunt li kemm iċ-ċertifikat Offline Root CA (GRAYCA) kif ukoll iċ-ċertifikati Enterprise Subordinate CA (GRAYSUBCA1) murija fil-figura 1 huma installati u fdati biex jiżguraw li tiġi stabbilita katina ta 'ċertifikati fdati. Jekk tuża CA minn bejjiegħ ieħor għajr Microsoft, segwi l-gwida tal-installazzjoni CA ta' dak il-bejjiegħ.
Irrispettivament mill-prodott CA użat, iċ-ċertifikat RSA fuq l-ASA GĦANDU jkollu l-proprjetajiet ta’ Użu taċ-Ċavetta u Użu ta’ Ċavetta Estiża li ġejjin:
- Użu Ewlenin: Firma Diġitali, Ftehim Ewlenin
- EKU: Sigurtà IP IKE intermedju, sistema ta 'sigurtà ta' tmiem IP
L-oqsma tal-Isem Alternattiv tas-Suġġett (SAN) fi ħdan iċ-ċertifikati ECDSA u RSA fuq l-ASA GĦANDHOM jaqblu mal-informazzjoni tal-konnessjoni speċifikata fi ħdan l-AnyConnect profile fuq il-klijent.
- Installa u Ikkonfigura Gateway VPN
Installa Cisco ASA 9.1 (jew aktar tard), b'mod fakultattiv ma 'ASDM, skont gwidi ta' installazzjoni u noti ta 'rilaxx xierqa għall-verżjonijiet li għandhom jiġu installati. L-ASDM jippermetti li l-ASA jiġi ġestit minn interface grafiku għall-utent. Alternattivament, jekk l-amministratur jippreferi, jistgħu jintużaw passi ta' konfigurazzjoni ekwivalenti tal-linja tal-kmand (CLI).
Nota ta' Konfigurazzjoni: Peress li hemm parametri ġestiti mill-ASA, l-Amministratur tal-Gateway għandu jsegwi l-passi f'din it-taqsima biex jiżgura li t-TOE jinsab fil-konfigurazzjoni evalwata tiegħu.
- Ippermetti AnyConnect u IKEv2 fuq l-ASA. Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > AnyConnect Connection Profiles u agħżel Ippermetti Cisco AnyConnect checkbox u Ħalli Aċċess taħt IKEv2.
- Fuq l-AnyConnect Connection Profiles paġna msemmija hawn fuq, agħżel Device Certificate. Żgura Uża l-istess ċertifikat tal-apparat... MHIX iċċekkjat u agħżel iċ-ċertifikat tal-KE ID taħt iċ-ċertifikat tal-apparat ECDSA. Imbagħad agħżel Ok.
- Oħloq politika kripto IKEv2 billi tuża l-algoritmi permessi fil-konfigurazzjoni evalwata tal-Kriterji Komuni. Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > Avvanzata > IPsec > Politiki IKE u żid politika IKEv2.
Agħżel Żid u daħħal 1 għall-ogħla prijorità. Il-firxa hija minn 1 sa 65535, b'1 l-ogħla prijorità.
Encryption:
AES: Jispeċifika AES-CBC b'encryption taċ-ċavetta ta '128-bit għal ESP.
AES-256: Jispeċifika AES-CBC b'encryption taċ-ċavetta ta '256-bit għal ESP.
AES-GCM-128: Jispeċifika AES Galois Counter Mode 128-bit encryption
AES-GCM-256: Jispeċifika AES Galois Counter Mode 256-bit encryption
Grupp DH: Agħżel l-identifikatur tal-grupp Diffie-Hellman. Dan jintuża minn kull peer IPsec biex jikseb sigriet kondiviż, mingħajr ma jittrażmettih lil xulxin. Għażliet validi huma: 19 u 20.
PRF Hash – Speċifika l-PRF użat għall-kostruzzjoni ta' materjal ta' keying għall-algoritmi kriptografiċi kollha użati fl-SA. Għażliet validi huma: sha256 u sha384
F'dan exampagħżel il-konfigurazzjoni:
Prijorità: 1
AES Galois Counter Mode (AES-GCM) Encryption 256-bit: Meta jintgħażel GCM, jipprekludi l-ħtieġa li jintgħażel algoritmu ta 'integrità. Dan huwa minħabba li l-kapaċitajiet ta 'awtentiċità huma mibnija fil-GCM, b'differenza CBC (Cipher-Block Chaining).
Grupp Diffie-Hellman: 20
Integrità Hash: Null
PRF Hash: sha384
Ħajja: 86400
Agħżel Ok.
Nota tal-Amministratur: L-użu ta' kwalunkwe Encryption Addizzjonali, DH-Group, Integrità jew PRF Hash mhux elenkat hawn fuq mhuwiex evalwat.
Nota tal-Amministratur: It-tab avvanzata turi l-parametru tal-infurzar tas-saħħa IKE. Kun żgur li l-parametru tal-Infurzar tal-Qawwa tal-Assoċjazzjoni tas-Sigurtà (SA) ikun iċċekkjat. Dan jiżgura li s-saħħa taċ-ċifra ta 'kodifikazzjoni IKEv2 hija ogħla mill-qawwa taċ-ċifra ta' encryption ta 'l-IPsec SA tat-tifel tagħha. Algoritmi ta 'saħħa ogħla se jiġu degradati.
L-ekwivalenti tal-CLI huwa: crypto ipsec ikev2 sa-strength-enforcement
- Oħloq proposta IPSEC. F'ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > Avvanzata > IPsec > Proposti IPsec (Settijiet ta' Trasforma) u żid Proposta IKEv2 IPsec. imbagħad agħżel Ok.
Fl-example taħt l-isem użat huwa NGE-AES-GCM-256 b'AES-GCM-256 għall-encryption u Null għall-Integrity Hash:
- Oħloq mappa kripto dinamika, agħżel il-proposta IPsec u applika għall-interface ta 'barra. Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > Avvanzata > IPsec > Mapep Crypto. Agħżel Żid, agħżel l-interface ta' barra u l-proposta IKEv2.
Ikklikkja t-Tab Avvanzata. Kun żgur li ġej:
Ippermetti NAT-T —Jitppermetti NAT Traversal (NAT-T) għal din il-politika
Issettjar tal-Ħajja tal-Assoċjazzjoni tas-Sigurtà — huwa ssettjat għal 8 sigħat (28800 sekondi) - Oħloq ġabra ta' indirizzi VPNUSERS li se jiġu assenjati lill-utenti VPN. Il-gruppi ta' indirizzi fihom l-oqsma li ġejjin:
Isem —Jispeċifika l-isem assenjat lill-grupp ta' indirizzi IP.
Indirizz IP tal-bidu —Jispeċifika l-ewwel indirizz IP fil-pool.
Tmiem l-Indirizz IP —Jispeċifika l-aħħar indirizz IP fil-pool.
Subnet Mask— Jagħżel is-subnet mask biex tapplika għall-indirizzi fil-pool.
Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > Assenjazzjoni ta 'Indirizzi > Pools ta' Indirizzi u żid ġabra ta 'IP li tispeċifika l-oqsma ta' hawn fuq u mbagħad agħżel Ok.
Żid politika tal-grupp li tapplika s-settings mixtieqa lill-utenti tal-VPN. Il-Politiki tal-Grupp iħalluk timmaniġġja l-politiki tal-grupp AnyConnect VPN. Politika tal-grupp VPN hija ġabra ta 'pari ta' attribut/valur orjentati lejn l-utent maħżuna jew internament fuq l-apparat ASA. Il-konfigurazzjoni tal-politika tal-grupp VPN tħalli lill-utenti jirtu attributi li ma kkonfigurajtx fil-livell tal-grupp individwali jew tal-isem tal-utent. B'mod awtomatiku, l-utenti VPN m'għandhom l-ebda assoċjazzjoni tal-politika tal-grupp. L-informazzjoni dwar il-politika tal-grupp tintuża mill-gruppi tal-mini VPN u l-kontijiet tal-utenti. Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > Polizi tal-Grupp u Żid politika interna tal-grupp. Kun żgur li l-protokoll tal-mina VPN huwa ssettjat għal IKEv2 u li l-pool IP maħluqa hawn fuq huwa referenzjat fil-politika billi tneħħi l-għażla tal-kaxxa ta 'kontroll Ħertu u tagħżel l-issettjar xieraq. DNS, WINS u ismijiet tad-dominju rilevanti jistgħu jiżdiedu wkoll fil-politika fit-taqsima Servers.
Irreferi għal exampil-politika tal-grupp NGE-VPN-GP hawn taħt:
- Oħloq isem tal-grupp tal-mina. Grupp ta 'mina fih politiki ta' konnessjoni ta 'mina għall-konnessjoni IPsec. Politika ta' konnessjoni tista' tispeċifika servers ta' awtentikazzjoni, awtorizzazzjoni u kontabbiltà, politika ta' grupp default, u attributi IKE.
Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > AnyConnect Connection Profiles. Fil-qiegħ tal-paġna taħt Connection Profiles, agħżel Żid.
Fl-example taħt l-isem tal-grupp tal-mina NGE-VPN-RAS jintuża.
Il-konfigurazzjoni tirreferi għall-awtentikazzjoni taċ-Ċertifikat, il-politika tal-grupp assoċjata NGE-VPN-GP u Enable IPsec (IKEv2). DNS u isem tad-dominju jistgħu jiżdiedu wkoll hawn. Żgura wkoll li jintuża biss IPsec billi ma tiċċekkjax il-Protokoll tal-Klijent VPN SSL attiva.
- Oħloq mappa taċ-ċertifikat, immappja l-utenti tal-NGE VPN mal-grupp tal-mina VPN li nħoloq qabel. Il-mappa taċ-ċertifikat se tiġi applikata għall-utenti AC. F'dan ix-xenarju, l-isem komuni tas-CA Subordinata tqabbel biex jiġi żgurat li talba ta' pjattaforma TOE li tkun deħlin b'ċertifikat KE maħruġ mis-CA Subordinata tiġi mmappjata mal-grupp ta' mina xieraq li nħoloq qabel. Utenti VPN li ma jinħarġux ċertifikat mill-KE CA se jaqgħu lura għall-gruppi default tunnel u
ifalli l-awtentikazzjoni u se jiġi mċaħħad l-aċċess.
Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Avvanzat > Ċertifikat għal AnyConnect u Clientless SSL VPN Connection Profile Mapep. Taħt Ċertifikat għal Konnessjoni Profile Mapep agħżel Żid. Agħżel DefaultCertificateMap eżistenti bi prijorità ta' 10 u jirreferi għall-grupp tal-mini NGE-RAS-VPN.
Fl-ASDM, mur Konfigurazzjoni > Aċċess Remot VPN > Avvanzat > Ċertifikat għal AnyConnect u Clientless SSL VPN Connection Profile Mapep. Taħt Kriterji tal-Immappjar agħżel Żid. Agħżel Emittent għall-qasam, Isem Komuni (NM) għall-komponent, Fih għall-Operatur, u mbagħad agħżel Ok.
Kun żgur li tagħżel APPLIKA fuq il-paġna prinċipali u SAVE l-konfigurazzjoni. - Ikkonfigura l-ASA biex taċċetta konnessjonijiet VPN mill-klijent AnyConnect VPN, uża l-AnyConnect VPN Wizard. Dan il-wizard jikkonfigura protokolli VPN IPsec (IKEv2) għal aċċess remot għan-netwerk. Irreferi għall-istruzzjonijiet hawn:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
Proċeduri Preparattivi u Gwida Operattiva għat-TOE
Biex tinstalla l-Cisco Secure Client-AnyConnect TOE, segwi l-passi hawn taħt:
- Iftaħ l-App Store.
- Agħżel Fittex
- Fil-Kaxxa tat-Tiftix, daħħal Cisco Secure Client-AnyConnect
- Tektek INSTALLA APP
- Agħżel Installa
Ibda Cisco Secure Client-AnyConnect
Tektek l-ikona Cisco Secure Client-AnyConnect biex tibda l-applikazzjoni. Jekk din hija l-ewwel darba li qed tibda Cisco Secure Client-AnyConnect wara l-installazzjoni jew it-titjib, agħżel OK biex tippermetti li t-TOE jestendi l-kapaċitajiet tan-Netwerk Privat Virtwali (VPN) tat-tagħmir tiegħek
Verifika tal-Integrità
Il-verifika tal-integrità titwettaq kull darba li titgħabba l-app u tistenna li titlesta l-verifika tal-integrità. Is-servizzi kriptografiċi pprovduti mill-pjattaforma iOS huma invokati biex jivverifikaw il-firma diġitali tal-eżekutibbli tat-TOE files. Jekk il-verifika tal-integrità tonqos milli titlesta b'suċċess, il-GUI ma tagħbijax, u b'hekk l-app ma tkunx tista' tintuża. Jekk il-verifika tal-integrità tirnexxi, il-GUI tal-app se jgħabbi u topera b'mod normali.
Ikkonfigura l-Identifikatur ta' Referenza
Din it-taqsima tispeċifika l-konfigurazzjoni tal-identifikatur ta 'referenza għall-peer Gateway VPN. Matul l-awtentikazzjoni tal-fażi 1 tal-IKE, it-TOE iqabbel l-identifikatur ta' referenza mal-identifikatur ippreżentat mill-VPN Gateway. Jekk it-TOE jiddetermina li ma jaqblux, l-awtentikazzjoni ma tirnexxix.
Agħżel Konnessjonijiet mill-iskrin tad-dar għal view l-entrati diġà kkonfigurati fuq it-tagħmir tiegħek. Dħul ta' konnessjoni multipli jistgħu jiġu elenkati, xi wħud taħt intestatura VPN Per-App. L-entrati ta' konnessjoni jista' jkollhom il- l-istatus li ġej:
- Ippermettiet— Din id-dħul tal-konnessjoni hija attivata mill-maniġer tal-apparat mobbli u tista 'tintuża għall-konnessjoni.
- Attiva— Din l-entrata tal-konnessjoni mmarkata jew enfasizzata bħalissa hija attiva.
- Konnessi— Din l-entrata tal-konnessjoni hija dik attiva u bħalissa hija konnessa u topera.
- Skonnettjat— Din l-entrata tal-konnessjoni hija dik attiva iżda bħalissa hija skonnettjata u mhux qed topera.
Għal struzzjonijiet irreferi għall- “Żid jew Immodifika l-Entrijiet tal-Konnessjoni Manwalment” sezzjoni ta' [3].
Ikkonfigura l-Użu taċ-Ċertifikat
AnyConnect jeħtieġ ċertifikat X.509. Irreferi għall- "Kkonfigura Ċertifikati" sezzjoni ta' [3].
Imblokka Servers Mhux Fdati
Dan is-setting tal-applikazzjoni jiddetermina jekk AnyConnect jimblokkax il-konnessjonijiet meta ma jkunx jista' jidentifika l-portal sigur.
Din il-protezzjoni hija ON b'mod awtomatiku u m'għandhiex tintefa.
AnyConnect juża ċ-ċertifikat riċevut mis-server biex jivverifika l-identifikazzjoni tiegħu. Jekk ikun hemm żball taċ-ċertifikat minħabba data skaduta jew invalida, użu ħażin taċ-ċavetta, jew nuqqas ta' qbil fl-isem, il-konnessjoni tiġi mblukkata.
Issettja l-Modalità VPN VPN
VPN VPN Mode jagħmel użu minn algoritmi kriptografiċi tal-Istandards Federali tal-Ipproċessar tal-Informazzjoni (FIPS) għall-konnessjonijiet VPN kollha.
- Fl-app Cisco Secure Client-AnyConnect, tektek Settings.
- Tektek il-Modalità FIPS biex tippermetti dan is-setting.
Biex jintlaħqu r-rekwiżiti kriptografiċi fl-ST, il-modalità FIPS trid tkun attivata. Mal-konferma tal-bidla tal-mod FIPS tiegħek, l-app toħroġ u trid terġa' tinbeda manwalment. Mal-bidu mill-ġdid, l-issettjar tal-modalità FIPS tiegħek ikun fis-seħħ.
Modalità Stritta ta' Fiduċja taċ-Ċertifikat
Din l-issettjar tikkonfigura l-Cisco Secure Client-AnyConnect TOE biex ma tippermettix iċ-ċertifikat tal-head end VPN Gateway li ma jistax jivverifika awtomatikament.
- Mit-tieqa tad-dar, tektek Menu > Settings.
- Ippermetti Modalità ta' Fiduċja taċ-Ċertifikat Stretta.
Mat-tentattiv ta' konnessjoni li jmiss, ikun attivat Strict Certificate Trust
Iċċekkja r-Revoka taċ-Ċertifikat
Dan l-issettjar jikkontrolla jekk il-Cisco Secure Client-AnyConnect TOE tiddeterminax l-istatus ta 'revoka taċ-ċertifikat riċevut mill-head-end VPN Gateway. Dan is-setting għandu jkun ON u m'għandux ikun mitfi.
- Mit-tieqa tad-dar ta' AnyConnect, tektek Menu > Settings.
- Attiva r-Revoka taċ-Ċertifikat tal-Iċċekkja biex tippermetti dan is-setting.
Gwida Operattiva għat-TOE
Stabbilixxi Konnessjoni VPN
Irreferi għall- “Stabbilixxi a Konnessjoni VPN” sezzjoni ta' [3].
L-Amministratur għandu jinnota r-regoli li ġejjin PROTECT, BYPASS, u ARMI rigward l-użu ta’ IPsec f’AnyConnect:
- IPROTEĠIX
L-entrati għal PROTECT huma kkonfigurati permezz ta' politika ta' grupp ta' aċċess remot fuq l-ASA bl-użu ta' ASDM. Għal entrati PROTECT, it-traffiku jgħaddi mill-mina IPsec VPN ipprovduta mit-TOE. Mhi meħtieġa l-ebda konfigurazzjoni għat-traffiku kollu tal-mina TOE. L-amministratur b'mod fakultattiv jista' jissettja b'mod espliċitu din l-imġieba bil-kmand fil-Politika tal-Grupp tiegħu: split-tunnel-policy tunnelall - BYPASS
It-TOE jappoġġa operazzjonijiet BYPASS (meta l-qsim ta' tunneling ġie espliċitament permess mill-politika ta' Aċċess Remot). Meta l-qsim ta’ tunneling ikun attivat, l-ASA VPN Gateway jimbotta lista ta’ segmenti tan-netwerk lejn it-TOE biex IPROTEĠIX. It-traffiku l-ieħor kollu jivvjaġġa mingħajr protezzjoni mingħajr ma jinvolvi t-TOE u b'hekk jevita l-protezzjoni IPsec.
Split tunneling huwa kkonfigurat f'politika tal-grupp ta' Aċċess għan-Netwerk (Klijent). L-amministratur għandu l-għażliet li ġejjin:
Eskludi speċifikati: Eskludi biss netwerks speċifikati minn split-tunnel-network-list
Mina speċifikata: Netwerks tal-mina biss speċifikati mil-lista ta’ netwerk ta’ mina maqsuma Irreferi għat-taqsima “Dwar il-Konfigurazzjoni ta’ Split Tunneling għat-Traffiku AnyConnect” fil-gwida tal-konfigurazzjoni tal-VPN ASDM u ara l-passi pprovduti fit-taqsima “Ikkonfigura Split-Tunneling għal Traffiku AnyConnect”. Wara li tagħmel bidliet fil-politika tal-grupp fl-ASDM, kun żgur li l-politika tal-grupp tkun assoċjata ma 'Konnessjoni Profile f'Konfigurazzjoni > Aċċess Remot VPN > Aċċess għan-Netwerk (Klijent) > AnyConnect Connection Profiles > Żid/Editja > Politika tal-Grupp. L-entrati BYPASS SPD huma pprovduti mill-pjattaforma ospitanti permezz ta' regoli impliċiti tal-permessi tat-traffiku tan-netwerk. L-ebda konfigurazzjoni mhi meħtieġa fuq il-pjattaforma TOE biex tippermettilha tgħaddi dan it-traffiku. - ARMI
Ir-regoli tal-KARMI huma mwettqa esklussivament mill-pjattaforma TOE. M'hemm l-ebda interface amministrattiva biex tiġi speċifikata regola HARMI.
Tissorvelja u Issolvi l-problemi
Irreferi għall- Tissorvelja u Issolvi l-problemi sezzjoni ta' [3].
Ħruġ ta' Cisco Secure Client-AnyConnect
Il-ħruġ mill-app itemm il-konnessjoni VPN attwali u jwaqqaf il-proċessi TOE kollha. Uża din l-azzjoni kemxejn. Apps jew proċessi oħra fuq it-tagħmir tiegħek jistgħu jkunu qed jużaw il-konnessjoni VPN attwali u l-ħruġ mill-app Cisco Secure Client-AnyConnect jista’ jaffettwa ħażin it-tħaddim tagħhom.
Mit-tieqa tad-dar, tektek Menu > Ħruġ.
Appoġġ Kriptografiku
It-TOE jipprovdi kriptografija b'appoġġ għall-IPsec b'kriptografija simmetrika ESP għal encryption/deċifrar AES bl-ingrossa u algoritmu SHA-2 għall-hashing. Barra minn hekk it-TOE jipprovdi l-kriptografija biex tappoġġja l-iskambju taċ-ċavetta Diffie Hellman u l-funzjoni tad-derivazzjoni użata fil-protokolli IKEv2 u ESP. L-istruzzjonijiet biex jiġu kkonfigurati funzjonijiet kriptografiċi huma deskritti fit-taqsima “Proċeduri u Gwida Operattiva għall-Ambjent tal-IT” ta’ dan id-dokument.
Aġġornamenti Fiduċjarji
Din it-taqsima tipprovdi struzzjonijiet biex taċċetta b'mod sigur it-TOE u kwalunkwe aġġornamenti sussegwenti tat-TOE. "Aġġornamenti" huma verżjoni ġdida tat-TOE.
Il-verżjoni TOE tista' tiġi mistoqsija mill-utent. Mill-iskrin tad-dar tektek "Dwar". Il-verżjonijiet jistgħu jiġu mistoqsija wkoll permezz tal-pjattaforma mobbli:
- iPhone: Iftaħ Settings u mur Ġenerali > Użu. Taħt Ħażna, sib iċ-Cisco Secure Client Any Connect u tektek. L-informazzjoni tal-verżjoni se tintwera.
Aġġornamenti għall-Cisco Secure Client-AnyConnect TOE huma ġestiti permezz tal-App Store tal-Apple bl-użu tal-proċedura hawn taħt.
Nota: Qabel ma taġġorna t-tagħmir tiegħek trid skonnettja s-sessjoni VPN jekk tkun stabbilita waħda, u tagħlaq l-applikazzjoni jekk tkun miftuħa. Jekk tonqos milli tagħmel dan, huwa meħtieġ reboot tat-tagħmir tiegħek qabel ma tuża l-verżjoni l-ġdida ta' Cisco Secure Client-AnyConnect TOE.
- Tektek l-ikona tal-App Store fuq il-paġna ewlenija tal-iOS.
- Tektek l-avviż ta’ aġġornament ta’ Cisco Secure Client-AnyConnect.
- Aqra dwar il-karatteristiċi ġodda.
- Ikklikkja Aġġorna.
- Daħħal il-Password tal-Apple ID tiegħek.
- Tektek OK.
L-aġġornament jipproċedi.
Ksib ta' Dokumentazzjoni u Sottomissjoni ta' Talba għal Servizz
Għal informazzjoni dwar il-kisba ta' dokumentazzjoni, l-użu ta' Cisco Bug Search Tool (BST), is-sottomissjoni ta' talba għal servizz, u l-ġbir ta' informazzjoni addizzjonali, ara X'hemm Ġdid fid-Dokumentazzjoni tal-Prodott Cisco.
Biex tirċievi kontenut tekniku ġdid u rivedut ta' Cisco direttament fuq id-desktop tiegħek, tista' tabbona għall- X'hemm Ġdid fid-Dokumentazzjoni tal-Prodott Cisco RSS feed. Il-feeds RSS huma servizz b'xejn.
Nikkuntattjaw lil Cisco
Cisco għandha aktar minn 200 uffiċċju madwar id-dinja. L-indirizzi, in-numri tat-telefon, u n-numri tal-fax huma elenkati fuq il-Cisco websit fuq www.cisco.com/go/offices.
Dokumenti / Riżorsi
 |
Klijent Sikur CISCO AnyConnect 5.0 [pdfGwida għall-Utent 5.0 għal iOS 16, AnyConnect 5.0 Klijent Sikur, 5.0 Klijent Sikur, Klijent Sikur, Klijent |
