CISCO AnyConnect 5.0 सुरक्षित ग्राहक प्रयोगकर्ता गाइड

कागजात परिचय

द्वारा तयार:
सिस्को सिस्टम्स, इंक।
170 पश्चिम तस्मान डा।
सान जोस, CA 95134

यो कागजातले TOE, Cisco Secure Client - AnyConnect 5.0 का लागि iOS 16 को लागि IT कर्मचारीहरूलाई मार्गदर्शन प्रदान गर्दछ। यस मार्गदर्शन कागजातले परिचालन वातावरणमा TOE सफलतापूर्वक स्थापना गर्न निर्देशनहरू, TSF को सुरक्षा व्यवस्थापन गर्न निर्देशनहरू, र एक प्रदान गर्न निर्देशनहरू समावेश गर्दछ। संरक्षित प्रशासनिक क्षमता।

संशोधन इतिहास

संस्करण	मिति	परिवर्तन गर्नुहोस्
0.1	मे ४, २०२४	प्रारम्भिक संस्करण
0.2	जुलाई १, २०२१	अपडेटहरू

Cisco र Cisco लोगो संयुक्त राज्य अमेरिका र अन्य देशहरूमा Cisco र/वा यसका सम्बद्ध कम्पनीहरूको ट्रेडमार्क वा दर्ता गरिएका ट्रेडमार्कहरू हुन्। को view सिस्को ट्रेडमार्कहरूको सूची, यसमा जानुहोस् URL: www.cisco.com/go/trademarks। उल्लिखित तेस्रो-पक्ष ट्रेडमार्कहरू तिनीहरूका सम्बन्धित मालिकहरूको सम्पत्ति हुन्। साझेदार शब्दको प्रयोगले Cisco र कुनै अन्य कम्पनी बीचको साझेदारी सम्बन्धलाई संकेत गर्दैन। (१११० आर)

© 2023 Cisco Systems, Inc. सबै अधिकार सुरक्षित।

परिचय

पूर्वतयारी प्रक्रियाहरूसँगको यो परिचालन प्रयोगकर्ता मार्गदर्शनले Apple iOS 5.0 TOE को लागि Cisco Secure ClientAnyConnect v16 को प्रशासनलाई दस्तावेज गर्दछ, किनकि यो साझा मापदण्ड अन्तर्गत प्रमाणित गरिएको थियो। Apple iOS 5.0 को लागि Cisco Secure Client-AnyConnect v16 तल सम्बन्धित संक्षिप्त नाम जस्तै VPN Client वा केवल TOE द्वारा सन्दर्भ गर्न सकिन्छ।

दर्शक
यो कागजात TOE स्थापना र कन्फिगर गर्ने प्रशासकहरूको लागि लेखिएको हो। यो कागजातले तपाईं इन्टरनेटवर्किङमा प्रयोग हुने आधारभूत अवधारणा र शब्दावलीहरूसँग परिचित हुनुहुन्छ, र तपाईंको नेटवर्क टोपोलोजी र तपाईंको नेटवर्कमा रहेका यन्त्रहरूले प्रयोग गर्न सक्ने प्रोटोकलहरू बुझ्नुहुन्छ, तपाईं एक विश्वसनीय व्यक्ति हुनुहुन्छ, र तपाईं सञ्चालन प्रयोग गर्न प्रशिक्षित हुनुहुन्छ भनी मान्दछ। प्रणालीहरू जसमा तपाइँ तपाइँको नेटवर्क चलाइरहनुभएको छ।

उद्देश्य
यो कागजात साझा मापदण्ड मूल्याङ्कनका लागि पूर्वतयारी प्रक्रियाहरू सहितको परिचालन प्रयोगकर्ता मार्गदर्शन हो। यो मूल्याङ्कन गरिएको कन्फिगरेसनमा TOE कन्फिगर गर्न र कायम राख्न आवश्यक पर्ने विशिष्ट TOE कन्फिगरेसन र प्रशासक कार्यहरू र इन्टरफेसहरू हाइलाइट गर्न लेखिएको थियो। यो कागजात प्रशासकद्वारा गरिएका विशिष्ट कार्यहरूको विवरण दिनको लागि होइन तर कुनै पनि कनेक्ट सुरक्षित मोबिलिटी क्लाइन्ट सञ्चालनहरू कन्फिगर र मर्मत गर्नका लागि विशेष विवरणहरू प्राप्त गर्न सिस्को कागजात भित्र उपयुक्त स्थानहरू पहिचान गर्नको लागि एउटा मार्गचित्र हो। TSF डाटा प्रबन्ध गर्नका लागि सबै सुरक्षा सान्दर्भिक आदेशहरू प्रत्येक कार्यात्मक खण्ड भित्र यस कागजात भित्र प्रदान गरिएको छ।

कागजात सन्दर्भहरू
यो खण्डले सिस्को प्रणाली कागजातहरू सूचीबद्ध गर्दछ जुन साझा मापदण्ड कन्फिगरेसन वस्तु (CI) सूचीको अंश पनि हो। प्रयोग गरिएका कागजातहरू तल तालिका १ मा देखाइएको छ। यस कागजात भरमा, गाइडहरूलाई "#" द्वारा सन्दर्भ गरिनेछ, जस्तै [१]।

तालिका 1 सिस्को कागजात

#	शीर्षक	लिङ्क
1	सिस्को सुरक्षित क्लाइन्ट (AnyConnect सहित) प्रशासक गाइड, रिलीज 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Cisco AnyConnect Mobile Platforms Administrator Guide, Release 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Cisco AnyConnect Secure Mobility Client को लागि Apple iOS प्रयोगकर्ता गाइड, रिलीज 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Cisco AnyConnect सुरक्षित मोबिलिटी क्लाइन्टको लागि रिलीज नोटहरू, रिलीज 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	सिस्को सेक्योर क्लाइन्टका लागि रिलीज नोटहरू (AnyConnect सहित), Apple iOS को लागि रिलीज 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/रिलीज/नोट्स/रिलीज-नोट्स-एप्पल-आईओएस-सिस्को-सुरक्षित- ग्राहक-रिलीज-5-0.html

औंला ओभरview
TOE Cisco AnyConnect Secure Mobility Client हो (यहाँ VPN क्लाइन्ट, वा TOE भनिन्छ)। Cisco AnyConnect Secure Mobility Client ले दूरवर्ती प्रयोगकर्ताहरूलाई Cisco 2 Series Adaptive Security Appliance (ASA) VPN गेटवेमा सुरक्षित IPsec (IKEv5500) VPN जडानहरू प्रदान गर्दछ जसले स्थापित एप्लिकेसनहरूलाई इन्टरप्राइज नेटवर्कमा सिधै जडान भएको रूपमा सञ्चार गर्न अनुमति दिन्छ।

परिचालन वातावरण
TOE लाई निम्न IT वातावरणीय अवयवहरू चाहिन्छ जब TOE यसको मूल्याङ्कन गरिएको कन्फिगरेसनमा कन्फिगर गरिन्छ:

तालिका 2. परिचालन वातावरण घटकहरू

कम्पोनेन्ट	उपयोग/उद्देश्य विवरण
प्रमाणपत्र प्राधिकरण	एक प्रमाणपत्र प्राधिकरण वैध डिजिटल प्रमाणपत्रहरू प्रदान गर्न प्रयोग गरिन्छ।
मोबाइल प्लेटफार्म	TOE निम्न मध्ये कुनै पनि CC मान्य एपल मोबाइल उपकरण प्लेटफर्महरूमा निर्भर गर्दछ: Apple iPhone 11/XR चलिरहेको iOS 16
ASA 5500-X श्रृंखला VPN गेटवे	Cisco ASA 5500-X सफ्टवेयर संस्करण 9.2.2 वा पछिको हेड-एन्ड VPN गेटवेको रूपमा कार्य गर्दछ।
ASDM व्यवस्थापन प्लेटफर्म	ASDM 7.7 ले निम्न मध्ये कुनै पनि अपरेटिङ सिस्टमबाट काम गर्छ: विन्डोज 7, 8, 10 विन्डोज सर्भर 2008, 2012, 2012 R2, 2016 र सर्भर 2019 Apple OS X 10.4 वा पछिको नोट गर्नुहोस् कि ASDM सफ्टवेयर ASA उपकरणमा स्थापना गरिएको छ र व्यवस्थापन प्लेटफर्म ASA मा जडान गर्न र ASDM चलाउन प्रयोग गरिन्छ। व्यवस्थापन प्लेटफर्ममा स्थापित सफ्टवेयर मात्र सिस्को ASDM लन्चर हो।

अन्तर्निहित मोबाइल प्लेटफर्मले MOD_VPNC_V2.4] मा आवश्यक केही सुरक्षा कार्यक्षमता प्रदान गर्दछ र यस कागजातमा "TOE प्लेटफर्म" वाक्यांश प्रयोग गरी जनाइएको छ।

Cisco AnyConnect TOE ले एन्क्रिप्टेड प्याकेटहरू पठाउन र प्राप्त गर्न मोबाइल OS प्लेटफर्ममा नेटवर्क हार्डवेयर स्रोतहरू प्रयोग गर्दछ। TOE ले संवेदनशील जानकारी भण्डारहरूमा पहुँच गर्दैन।

यस कागजातमा "ASA" को सन्दर्भले VPN गेटवेलाई जनाउँछ

बहिष्कृत कार्यक्षमता

तल सूचीबद्ध कार्यक्षमता मूल्याङ्कन कन्फिगरेसनमा समावेश गरिएको छैन।

तालिका 3. बहिष्कृत कार्यक्षमता र तर्क

कार्य बहिष्कृत	तर्क
गैर-FIPS 140-2 सञ्चालनको मोड	TOE मा FIPS सञ्चालनको मोड समावेश छ। FIPS मोडहरूले TOE लाई अनुमोदित क्रिप्टोग्राफी मात्र प्रयोग गर्न अनुमति दिन्छ। TOE लाई यसको मूल्याङ्कन गरिएको कन्फिगरेसनमा सञ्चालन गर्नको लागि FIPS सञ्चालनको मोड सक्षम गरिएको हुनुपर्छ।
DLTS टनेलिङ विकल्पहरूको साथ SSL टनेल	[MOD_VPNC_V2.4] ले IPsec VPN सुरुङलाई मात्र अनुमति दिन्छ।

यी सेवाहरू कन्फिगरेसनद्वारा असक्षम हुनेछन्। यस प्रकार्यताको बहिष्करणले दाबी गरिएको संरक्षण प्रोको अनुपालनलाई असर गर्दैनfiles.

आईटी वातावरणको लागि प्रक्रिया र परिचालन मार्गदर्शन

यसको मूल्याङ्कन गरिएको कन्फिगरेसनमा सञ्चालन गर्न, TOE लाई न्यूनतम एक (1) प्रमाणपत्र प्राधिकरण (CA), एक (1) VPN गेटवे, र एउटा (1) Apple iPhone मोबाइल उपकरण चाहिन्छ।

ग्राहक PKI वातावरणसँग मिल्दोजुल्दो हुनको लागि, अफलाइन रूट CA र Microsoft 2012 R2 प्रमाणपत्र प्राधिकरण (CA) को रोजगारीमा रहेको Enterprise Subordinate CA प्रयोग गरी दुई-स्तरीय CA समाधान यस खण्डमा सन्दर्भ गरिनेछ। Microsoft को सट्टामा अन्य CA उत्पादनहरू प्रयोग गर्न सकिन्छ।

रूट CA लाई स्ट्यान्डअलोन (कार्यसमूह) सर्भरको रूपमा कन्फिगर गरिएको छ जबकि अधीनस्थ CA सक्रिय निर्देशिका सेवाहरू सक्षम भएको Microsoft डोमेनको भागको रूपमा कन्फिगर गरिएको छ। निम्न चित्रले TOE र IT को दृश्य चित्रण प्रदान गर्दछ

वातावरण। TOE iOS 13 मा चल्ने सफ्टवेयर एप हो। TOE को सीमा ह्यास रातो रेखाद्वारा जनाइएको छ। तलको चित्र १ हेर्नुहोस्।

चित्र १. औंला र वातावरण

अधीनस्थ CA ले X.509 डिजिटल प्रमाणपत्रहरू जारी गर्दछ र TOE प्लेटफर्म र VPN गेटवेलाई प्रमाणपत्र रद्द गर्ने सूची (CRL) प्रदान गर्दछ।
वैकल्पिक रूपमा, एक (1) एकल मूल उद्यम CA तैनात गर्न सकिन्छ।

• प्रमाणपत्र प्राधिकरण स्थापना र कन्फिगर गर्नुहोस्

यदि Microsoft दुई-स्तरीय CA समाधान प्रयोग गर्दै हुनुहुन्छ भने, विक्रेताको निर्देशन अनुसार रूट (GRAYCA) र Enterprise Subordinate Certificate Authority (GRAYSUBCA1) स्थापना र कन्फिगर गर्नुहोस्। Microsoft Active Directory Certificate Services को कन्फिगरेसनको लागि निम्न चरण-दर-चरण गाइड हो:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
यो मानिन्छ कि अफलाइन रूट CA (GRAYCA) प्रमाणपत्र र चित्र 1 मा चित्रित उद्यम अधीनस्थ CA (GRAYSUBCA1) प्रमाणपत्रहरू स्थापित र विश्वसनीय प्रमाणपत्र श्रृंखला स्थापित भएको सुनिश्चित गर्न विश्वसनीय छन्। यदि Microsoft बाहेक कुनै विक्रेताबाट CA प्रयोग गर्दै हुनुहुन्छ भने, त्यो विक्रेताको CA स्थापना निर्देशन पालना गर्नुहोस्।

प्रयोग गरिएको CA उत्पादनको बाबजुद, ASA मा रहेको RSA प्रमाणपत्रमा निम्न कुञ्जी प्रयोग र विस्तारित कुञ्जी प्रयोग गुणहरू हुनुपर्छ:

• कुञ्जी प्रयोग: डिजिटल हस्ताक्षर, प्रमुख सम्झौता
• EKU: आईपी ​​सुरक्षा IKE मध्यवर्ती, आईपी अन्त सुरक्षा प्रणाली

ASA मा ECDSA र RSA प्रमाणपत्रहरू भित्रको विषय वैकल्पिक नाम (SAN) फिल्डहरू AnyConnect प्रो भित्र निर्दिष्ट जडान जानकारीसँग मिल्नुपर्छ।file ग्राहक मा।

• VPN गेटवे स्थापना र कन्फिगर गर्नुहोस्

Cisco ASA 9.1 (वा पछि) स्थापना गर्नुहोस्, वैकल्पिक रूपमा ASDM सँग, स्थापना गाइडहरू र संस्करणहरू स्थापना गर्नका लागि उपयुक्त रिलीज नोटहरू अनुसार। ASDM ले ASA लाई ग्राफिकल प्रयोगकर्ता इन्टरफेसबाट व्यवस्थित गर्न अनुमति दिन्छ। वैकल्पिक रूपमा, यदि प्रशासकले रुचाउँछ भने, समतुल्य आदेश रेखा (CLI) कन्फिगरेसन चरणहरू प्रयोग गर्न सकिन्छ।

कन्फिगरेसन नोट: त्यहाँ ASA द्वारा प्रबन्धित प्यारामिटरहरू छन्, TOE यसको मूल्याङ्कन गरिएको कन्फिगरेसनमा छ भनी सुनिश्चित गर्न गेटवे प्रशासकले यस खण्डका चरणहरू पालना गर्नुपर्छ।

• ASA मा AnyConnect र IKEv2 सक्षम गर्नुहोस्। ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > AnyConnect Connection Pro मा जानुहोस्files र चयन गर्नुहोस् Cisco AnyConnect चेकबक्स सक्षम गर्नुहोस् र IKEv2 अन्तर्गत पहुँच अनुमति दिनुहोस्।
  
• कुनै पनि जडान जडान प्रो माfileमाथि उल्लेख गरिएको पृष्ठमा, उपकरण प्रमाणपत्र चयन गर्नुहोस्। सुनिश्चित गर्नुहोस् कि उही यन्त्र प्रमाणपत्र प्रयोग गर्नुहोस्... जाँच गरिएको छैन र ECDSA यन्त्र प्रमाणपत्र अन्तर्गत EC ID प्रमाणपत्र चयन गर्नुहोस्। त्यसपछि Ok चयन गर्नुहोस्।
  
• साझा मापदण्ड मूल्याङ्कन कन्फिगरेसनमा अनुमति दिइएको एल्गोरिदमहरू प्रयोग गरेर IKEv2 क्रिप्टो नीति सिर्जना गर्नुहोस्। ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > उन्नत > IPsec > IKE नीतिहरूमा जानुहोस् र IKEv2 नीति थप्नुहोस्।

थप्नुहोस् चयन गर्नुहोस् र उच्चतम प्राथमिकताको लागि 1 प्रविष्ट गर्नुहोस्। दायरा 1 देखि 65535 सम्म छ, 1 उच्चतम प्राथमिकताको साथ।

गुप्तिकरण:
AES: ESP को लागि 128-बिट कुञ्जी इन्क्रिप्सन संग AES-CBC निर्दिष्ट गर्दछ।
AES-256: ESP को लागि 256-बिट कुञ्जी इन्क्रिप्सन संग AES-CBC निर्दिष्ट गर्दछ।
AES-GCM-128: AES Galois काउन्टर मोड 128-bit एन्क्रिप्शन निर्दिष्ट गर्दछ
AES-GCM-256: AES Galois काउन्टर मोड 256-bit एन्क्रिप्शन निर्दिष्ट गर्दछ

DH समूह: Diffie-Hellman समूह पहिचानकर्ता छान्नुहोस्। यो प्रत्येक IPsec साथीहरूले साझा गोप्य प्राप्त गर्न प्रयोग गर्दछ, यसलाई एकअर्कालाई प्रसारण नगरी। मान्य चयनहरू हुन्: 19 र 20।

PRF ह्यास - SA मा प्रयोग गरिएका सबै क्रिप्टोग्राफिक एल्गोरिदमहरूको लागि कुञ्जी सामग्रीको निर्माणको लागि प्रयोग गरिएको PRF निर्दिष्ट गर्नुहोस्। मान्य चयनहरू हुन्: sha256 र sha384

यस मा पूर्वampले कन्फिगरेसन चयन गर्नुहोस्:

 

प्राथमिकता: १

AES Galois काउन्टर मोड (AES-GCM) 256-बिट एन्क्रिप्शन: जब GCM चयन गरिन्छ, यसले अखण्डता एल्गोरिथ्म चयन गर्न आवश्यकतालाई रोक्छ। यो किनभने CBC (Cipher-Block Chaining) को विपरीत, प्रमाणिकता क्षमताहरू GCM मा निर्मित छन्।

Diffie-Hellman समूह: 20
अखण्डता ह्यास: शून्य
PRF ह्यास: shXXUMX
जीवनकाल: 86400

चयन गर्नुहोस् ठीक छ।

प्रशासक नोट: माथि सूचीबद्ध नभएको कुनै पनि अतिरिक्त इन्क्रिप्सन, DH-समूह, अखण्डता वा PRF ह्यासको प्रयोग मूल्याङ्कन गरिएको छैन।

प्रशासक नोट: उन्नत ट्याबले IKE बल प्रवर्तन प्यारामिटर देखाउँछ। सुरक्षा संघ (SA) बल प्रवर्तन प्यारामिटर जाँच गरिएको सुनिश्चित गर्नुहोस्। यसले IKEv2 इन्क्रिप्सन साइफरको बल यसको चाइल्ड IPsec SA को इन्क्रिप्शन साइफरहरूको बल भन्दा उच्च छ भनी सुनिश्चित गर्दछ। उच्च शक्ति एल्गोरिदम डाउनग्रेड गरिनेछ।

CLI समतुल्य हो: क्रिप्टो ipsec ikev2 sa-शक्ति-प्रवर्तन

• IPSEC प्रस्ताव सिर्जना गर्नुहोस्। ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > उन्नत > IPsec > IPsec प्रस्तावहरू (रूपान्तरण सेटहरू) मा जानुहोस् र IKEv2 IPsec प्रस्ताव थप्नुहोस्। त्यसपछि Ok चयन गर्नुहोस्।
  पूर्व माampप्रयोग गरिएको नाम तल एनजीई-एईएस-जीसीएम-२५६ एन्क्रिप्शनको लागि एईएस-जीसीएम-२५६ र इन्टिग्रिटी ह्यासको लागि शून्य छ:
  
  
• डायनामिक क्रिप्टो नक्सा सिर्जना गर्नुहोस्, IPsec प्रस्ताव चयन गर्नुहोस् र बाहिरी इन्टरफेसमा लागू गर्नुहोस्। ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > उन्नत > IPsec > क्रिप्टो नक्सामा जानुहोस्। थप्नुहोस् चयन गर्नुहोस्, बाहिरी इन्टरफेस र IKEv2 प्रस्ताव चयन गर्नुहोस्।
  उन्नत ट्याबमा क्लिक गर्नुहोस्। निम्न सुनिश्चित गर्नुहोस्:
  NAT-T सक्षम गर्नुहोस् — यो नीतिको लागि NAT Traversal (NAT-T) सक्षम गर्दछ
  सुरक्षा संघ लाइफटाइम सेटिङ - 8 घण्टा (28800 सेकेन्ड) मा सेट गरिएको छ
• एउटा ठेगाना पूल सिर्जना गर्नुहोस् VPNUSERS जुन VPN प्रयोगकर्ताहरूलाई तोक्ने छ। ठेगाना पूलहरूले निम्न क्षेत्रहरू समावेश गर्दछ:
  नाम - IP ठेगाना पूलमा तोकिएको नाम निर्दिष्ट गर्दछ।
  IP ठेगाना सुरू गर्दै - पूल मा पहिलो आईपी ठेगाना निर्दिष्ट गर्दछ।
  IP ठेगाना अन्त्य गर्दै - पूलमा अन्तिम आईपी ठेगाना निर्दिष्ट गर्दछ।
  सबनेट मास्क- पूलमा ठेगानाहरूमा लागू गर्न सबनेट मास्क चयन गर्दछ।

ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लाइन्ट) पहुँच > ठेगाना असाइनमेन्ट > ठेगाना पूलहरूमा जानुहोस् र माथिका क्षेत्रहरू निर्दिष्ट गर्दै आईपी पूल थप्नुहोस् र त्यसपछि ठीक छनोट गर्नुहोस्।

एउटा समूह नीति थप्नुहोस् जसले VPN प्रयोगकर्ताहरूमा इच्छित सेटिङहरू लागू गर्नेछ। समूह नीतिहरूले तपाईंलाई AnyConnect VPN समूह नीतिहरू व्यवस्थापन गर्न दिन्छ। VPN समूह नीति भनेको ASA यन्त्रमा आन्तरिक रूपमा भण्डारण गरिएका प्रयोगकर्ता-उन्मुख विशेषता/मान जोडीहरूको सङ्ग्रह हो। VPN समूह नीति कन्फिगर गर्नाले प्रयोगकर्ताहरूलाई तपाईंले व्यक्तिगत समूह वा प्रयोगकर्ता नाम स्तरमा कन्फिगर नगरेका विशेषताहरू इनहेरिट गर्न दिन्छ। पूर्वनिर्धारित रूपमा, VPN प्रयोगकर्ताहरूसँग कुनै समूह नीति सम्बन्ध छैन। समूह नीति जानकारी VPN टनेल समूह र प्रयोगकर्ता खाताहरू द्वारा प्रयोग गरिन्छ। ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > समूह पोलिसहरूमा जानुहोस् र आन्तरिक समूह नीति थप्नुहोस्। सुनिश्चित गर्नुहोस् कि VPN टनेल प्रोटोकल IKEv2 मा सेट गरिएको छ र माथि सिर्जना गरिएको आईपी पूल इनहेरिट चेक बाकस डि-चयन गरेर र उपयुक्त सेटिङ चयन गरेर नीतिमा सन्दर्भ गरिएको छ। सान्दर्भिक DNS, WINS र डोमेन नामहरू पनि सर्भर सेक्सनमा नीतिमा थप्न सकिन्छ।

पूर्व सन्दर्भ गर्नुहोस्ampले समूह नीति NGE-VPN-GP तल:

• एउटा सुरुङ समूह नाम सिर्जना गर्नुहोस्। टनेल समूहले IPsec जडानको लागि सुरुङ जडान नीतिहरू समावेश गर्दछ। जडान नीतिले प्रमाणीकरण, प्राधिकरण, र लेखा सर्भरहरू, पूर्वनिर्धारित समूह नीति, र IKE विशेषताहरू निर्दिष्ट गर्न सक्छ।

ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > AnyConnect Connection Pro मा जानुहोस्files जडान प्रो अन्तर्गत पृष्ठको तलमाfiles, थप्नुहोस् चयन गर्नुहोस्।

पूर्व माampटनेल समूह नाम NGE-VPN-RAS तल प्रयोग गरिएको छ।

कन्फिगरेसनले प्रमाणपत्र प्रमाणीकरण, सम्बन्धित समूह नीति NGE-VPN-GP र IPsec सक्षम (IKEv2) लाई सन्दर्भ गर्दछ। DNS र डोमेन नाम पनि यहाँ थप्न सकिन्छ। साथै SSL VPN क्लाइन्ट प्रोटोकल सक्षम जाँच नगरी IPsec मात्र प्रयोग भएको सुनिश्चित गर्नुहोस्।

• प्रमाणपत्र नक्सा सिर्जना गर्नुहोस्, NGE VPN प्रयोगकर्ताहरूलाई पहिले सिर्जना गरिएको VPN टनेल समूहमा म्याप गर्नुहोस्। प्रमाणपत्र नक्सा AC प्रयोगकर्ताहरूलाई लागू गरिनेछ। यस परिदृश्यमा, अधीनस्थ CA बाट जारी गरिएको EC प्रमाणपत्रको साथ आगमन TOE प्लेटफर्म अनुरोधलाई पहिले सिर्जना गरिएको उपयुक्त टनेल समूहमा म्याप गरिने सुनिश्चित गर्न अधीनस्थ CA साझा नाम मिलाइएको थियो। EC CA बाट प्रमाणपत्र जारी नगरेका VPN प्रयोगकर्ताहरू पूर्वनिर्धारित सुरुङ समूहहरूमा फर्किनेछन् र
  असफल प्रमाणीकरण र पहुँच अस्वीकार गरिनेछ।
  ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > Advanced > Certificate to AnyConnect र Clientless SSL VPN Connection मा जानुहोस्file नक्सा। सर्टिफिकेट टु जडान प्रो अन्तर्गतfile नक्सा थप्नुहोस् चयन गर्नुहोस्। 10 को प्राथमिकताको साथ अवस्थित पूर्वनिर्धारित प्रमाणपत्र नक्सा छान्नुहोस् र NGE-RAS-VPN टनेल समूहलाई सन्दर्भ गर्नुहोस्।
  
  ASDM मा, कन्फिगरेसन > रिमोट एक्सेस VPN > Advanced > Certificate to AnyConnect र Clientless SSL VPN Connection मा जानुहोस्file नक्सा। म्यापिङ मापदण्ड अन्तर्गत थप्नुहोस् चयन गर्नुहोस्। क्षेत्रको लागि जारीकर्ता चयन गर्नुहोस्, कम्पोनेन्टको लागि साझा नाम (CN), अपरेटरका लागि समावेश गर्नुहोस्, र त्यसपछि ठीक छनोट गर्नुहोस्।
  
  मुख्य पृष्ठमा APPLY चयन गर्न सुनिश्चित गर्नुहोस् र कन्फिगरेसन बचत गर्नुहोस्।
• AnyConnect VPN क्लाइन्टबाट VPN जडानहरू स्वीकार गर्न ASA कन्फिगर गर्नुहोस्, AnyConnect VPN विजार्ड प्रयोग गर्नुहोस्। यो विजार्डले टाढाको नेटवर्क पहुँचको लागि IPsec (IKEv2) VPN प्रोटोकलहरू कन्फिगर गर्दछ। यहाँ निर्देशनहरू सन्दर्भ गर्नुहोस्:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

TOE को लागि तयारी प्रक्रिया र परिचालन मार्गदर्शन

Cisco Secure Client-AnyConnect TOE स्थापना गर्न, तलका चरणहरू पालना गर्नुहोस्:

1. एप स्टोर खोल्नुहोस्।
2. खोज चयन गर्नुहोस्
3. खोज बाकसमा, सिस्को सुरक्षित ग्राहक-एनी जडान प्रविष्ट गर्नुहोस्
4. एप स्थापना गर्नुहोस् ट्याप गर्नुहोस्
5. स्थापना चयन गर्नुहोस्

Cisco Secure Client-AnyConnect सुरु गर्नुहोस्

अनुप्रयोग सुरु गर्न Cisco Secure Client-AnyConnect आइकनमा ट्याप गर्नुहोस्। यदि तपाइँ स्थापना वा स्तरवृद्धि पछि Cisco Secure Client-AnyConnect सुरु गर्दै हुनुहुन्छ भने, तपाइँको उपकरणको भर्चुअल निजी नेटवर्क (VPN) क्षमताहरू विस्तार गर्न TOE सक्षम गर्न ठीक छनोट गर्नुहोस्।

अखण्डता प्रमाणीकरण

प्रत्येक पटक एप लोड हुँदा पूर्णता प्रमाणीकरण गरिन्छ र यसले पूर्णता प्रमाणिकरण पूरा हुनको लागि कुर्नेछ। आईओएस प्लेटफर्म द्वारा प्रदान गरिएको क्रिप्टोग्राफिक सेवाहरू TOE को कार्यान्वयन योग्यको डिजिटल हस्ताक्षर प्रमाणित गर्न आह्वान गरिन्छ। files यदि पूर्णता प्रमाणीकरण सफलतापूर्वक पूरा गर्न असफल भयो भने, GUI लोड हुनेछैन, अनुप्रयोगलाई अनुपयोगी रेन्डर गर्दै। यदि पूर्णता प्रमाणीकरण सफल भयो भने, एप GUI लोड हुनेछ र सामान्य रूपमा सञ्चालन हुनेछ।

सन्दर्भ पहिचानकर्ता कन्फिगर गर्नुहोस्

यो खण्डले VPN गेटवे साथीको लागि सन्दर्भ पहिचानकर्ताको कन्फिगरेसन निर्दिष्ट गर्दछ। IKE चरण 1 प्रमाणीकरणको क्रममा, TOE ले सन्दर्भ पहिचानकर्तालाई VPN गेटवेद्वारा प्रस्तुत गरिएको पहिचानकर्तासँग तुलना गर्दछ। यदि TOE ले तिनीहरू मेल खाँदैनन् भने, प्रमाणीकरण सफल हुनेछैन।

गृह स्क्रिनबाट जडानहरू चयन गर्नुहोस् view तपाईंको उपकरणमा पहिले नै कन्फिगर गरिएका प्रविष्टिहरू। धेरै जडान प्रविष्टिहरू सूचीबद्ध हुन सक्छन्, केहि प्रति-एप VPN शीर्षक अन्तर्गत। जडान प्रविष्टिहरू हुन सक्छ निम्न स्थिति:

• सक्षम - यो जडान प्रविष्टि मोबाइल उपकरण प्रबन्धक द्वारा सक्षम छ र जडान गर्न प्रयोग गर्न सकिन्छ।
• सक्रिय- यो चिन्ह लगाइएको वा हाइलाइट गरिएको जडान प्रविष्टि हाल सक्रिय छ।
• जोडिएको - यो जडान प्रविष्टि सक्रिय छ र हाल जडान र सञ्चालन छ।
• विच्छेद भएको - यो जडान प्रविष्टि सक्रिय छ तर हाल विच्छेद गरिएको छ र सञ्चालन छैन।

निर्देशनहरूको लागि सन्दर्भ गर्नुहोस् "म्यानुअल रूपमा जडान प्रविष्टिहरू थप्नुहोस् वा परिमार्जन गर्नुहोस्" [3] को खण्ड।

प्रमाणपत्र प्रयोग कन्फिगर गर्नुहोस्

AnyConnect लाई X.509 प्रमाणपत्र चाहिन्छ। सन्दर्भ गर्नुहोस् "प्रमाणपत्रहरू कन्फिगर गर्नुहोस्" [3] को खण्ड।

अविश्वसनीय सर्भरहरू रोक्नुहोस्

यो एप्लिकेसन सेटिङले सुरक्षित गेटवे पहिचान गर्न नसक्दा AnyConnect जडानहरूलाई रोक्छ कि छैन भनेर निर्धारण गर्छ।
यो सुरक्षा पूर्वनिर्धारित रूपमा सक्रिय छ र बन्द हुनु हुँदैन।

AnyConnect ले आफ्नो पहिचान प्रमाणित गर्न सर्भरबाट प्राप्त प्रमाणपत्र प्रयोग गर्दछ। यदि त्यहाँ म्याद सकिएको वा अमान्य मिति, गलत कुञ्जी प्रयोग, वा नाम बेमेलको कारणले प्रमाणपत्र त्रुटि छ भने, जडान अवरुद्ध छ।

VPN FIPS मोड सेट गर्नुहोस्
VPN FIPS मोडले सबै VPN जडानहरूको लागि संघीय सूचना प्रशोधन मानकहरू (FIPS) क्रिप्टोग्राफी एल्गोरिदमहरूको प्रयोग गर्दछ।

1. Cisco Secure Client-AnyConnect एपमा, सेटिङहरूमा ट्याप गर्नुहोस्।
2. यो सेटिङ सक्षम गर्न FIPS मोड ट्याप गर्नुहोस्।

ST मा क्रिप्टोग्राफिक आवश्यकताहरू पूरा गर्न, FIPS मोड सक्षम हुनुपर्छ। तपाईंको FIPS मोड परिवर्तनको पुष्टि भएपछि, एप बाहिर निस्कन्छ र म्यानुअल रूपमा पुन: सुरु गर्नुपर्छ। पुन: सुरु गर्दा, तपाईंको FIPS मोड सेटिङ प्रभावमा छ।

कडा प्रमाणपत्र ट्रस्ट मोड

यो सेटिङले हेड एन्ड VPN गेटवेको प्रमाणपत्र अस्वीकार गर्न Cisco Secure Client-AnyConnect TOE लाई कन्फिगर गर्दछ जुन यसले स्वचालित रूपमा प्रमाणित गर्न सक्दैन।

1. गृह विन्डोबाट, मेनु > सेटिङहरूमा ट्याप गर्नुहोस्।
2. कडा प्रमाणपत्र ट्रस्ट मोड सक्षम गर्नुहोस्।

अर्को जडान प्रयासमा, कडा प्रमाणपत्र ट्रस्ट सक्षम हुनेछ

प्रमाणपत्र रिभोकेसन जाँच गर्नुहोस्

यो सेटिङले Cisco Secure Client-AnyConnect TOE ले हेड-एंड VPN गेटवेबाट प्राप्त प्रमाणपत्रको रद्दीकरण स्थिति निर्धारण गर्छ कि गर्दैन भन्ने नियन्त्रण गर्छ। यो सेटिङ सक्रिय हुनुपर्छ र बन्द हुनु हुँदैन।

1. कुनै पनि जडान गृह विन्डोबाट, मेनु > सेटिङहरूमा ट्याप गर्नुहोस्।
2. यो सेटिङ सक्षम गर्नको लागि जाँच प्रमाणपत्र रद्दीकरण सक्षम गर्नुहोस्।

TOE को लागि परिचालन मार्गदर्शन

VPN जडान स्थापना गर्नुहोस्

सन्दर्भ गर्नुहोस् "स्थापना गर्नुहोस् a VPN जडान" [3] को खण्ड।

प्रशासकले कुनै पनि जडानमा IPsec को प्रयोगको सन्दर्भमा निम्न PROTECT, BYPASS, र DISCARD नियमहरू नोट गर्नुपर्छ:

• सुरक्षा गर्नुहोस्
  PROTECT का लागि प्रविष्टिहरू ASDM प्रयोग गरेर ASA मा रिमोट पहुँच समूह नीति मार्फत कन्फिगर गरिएको छ। PROTECT प्रविष्टिहरूको लागि, TOE द्वारा प्रदान गरिएको IPsec VPN सुरुङबाट ट्राफिक प्रवाह हुन्छ। TOE टनेल सबै ट्राफिकको लागि कुनै कन्फिगरेसन आवश्यक छैन। प्रशासकले वैकल्पिक रूपमा उनीहरूको समूह नीतिमा आदेशको साथ यो व्यवहारलाई स्पष्ट रूपमा सेट गर्न सक्छ: विभाजित-टनेल-नीति tunnelall
• बाइपास
  TOE ले BYPASS सञ्चालनहरूलाई समर्थन गर्दछ (जब विभाजित टनेलिङलाई रिमोट एक्सेस नीतिद्वारा स्पष्ट रूपमा अनुमति दिइएको छ)। जब स्प्लिट टनेलिङ सक्षम हुन्छ, ASA VPN गेटवेले नेटवर्क खण्डहरूको सूचीलाई TOE मा पुश गर्छ। सुरक्षा गर्नुहोस्। अन्य सबै ट्राफिकहरू TOE समावेश नगरी असुरक्षित यात्रा गर्छन् जसले गर्दा IPsec सुरक्षालाई बाइपास गर्दछ।
  स्प्लिट टनेलिङ नेटवर्क (क्लायन्ट) पहुँच समूह नीतिमा कन्फिगर गरिएको छ। प्रशासकसँग निम्न विकल्पहरू छन्:
  बहिष्कृत: स्प्लिट-टनेल-नेटवर्क-सूचीद्वारा निर्दिष्ट नेटवर्कहरू मात्र बहिष्कृत गर्नुहोस्
  टनेल निर्दिष्ट: स्प्लिट-टनेल-नेटवर्क सूचीद्वारा निर्दिष्ट गरिएका टनेल मात्र नेटवर्कहरू VPN ASDM कन्फिगरेसन गाइडमा "कुनै पनि जडान ट्राफिकको लागि स्प्लिट टनेलिङ कन्फिगर गर्ने बारे" खण्डलाई सन्दर्भ गर्नुहोस् र "कुनै पनि जडान ट्राफिकको लागि स्प्लिट-टनेलिङ कन्फिगर गर्नुहोस्" सेक्सनमा प्रदान गरिएका चरणहरू हेर्नुहोस्। ASDM मा समूह नीतिमा परिवर्तन गरेपछि, समूह नीति जडान प्रोसँग सम्बन्धित छ भनी सुनिश्चित गर्नुहोस्file कन्फिगरेसन > रिमोट एक्सेस VPN > नेटवर्क (क्लायन्ट) पहुँच > AnyConnect Connection Pro माfiles > थप्नुहोस्/सम्पादन गर्नुहोस् > समूह नीति। BYPASS SPD प्रविष्टिहरू होस्ट प्लेटफर्मद्वारा निहित नेटवर्क ट्राफिक अनुमति नियमहरू मार्फत प्रदान गरिन्छ। यो ट्राफिक पास गर्न अनुमति दिन TOE प्लेटफर्ममा कुनै कन्फिगरेसन आवश्यक पर्दैन।
• खारेज गर्नुहोस्
  DISCARD नियमहरू TOE प्लेटफर्म द्वारा विशेष रूपमा प्रदर्शन गरिन्छ। DISCARD नियम निर्दिष्ट गर्नको लागि कुनै प्रशासनिक इन्टरफेस छैन।

मनिटर र समस्या निवारण

सन्दर्भ गर्नुहोस् मनिटर र समस्या निवारण [3] को खण्ड।

सिस्को सुरक्षित क्लाइन्ट-AnyConnect बाहिर निस्कँदै
एपबाट बाहिर निस्कँदा हालको VPN जडान बन्द हुन्छ र सबै TOE प्रक्रियाहरू रोकिन्छ। यस कार्यलाई संयमतापूर्वक प्रयोग गर्नुहोस्। तपाईंको यन्त्रमा रहेका अन्य एप वा प्रक्रियाहरूले हालको VPN जडान प्रयोग गरिरहेको हुन सक्छ र Cisco Secure Client-AnyConnect एपबाट निस्कँदा तिनीहरूको सञ्चालनमा प्रतिकूल असर पर्न सक्छ।

गृह विन्डोबाट, मेनु > बाहिर निस्कनुहोस् ट्याप गर्नुहोस्।

क्रिप्टोग्राफिक समर्थन
TOE ले क्रिप्टोग्राफी प्रदान गर्दछ IPsec को समर्थनमा ESP सिमेट्रिक क्रिप्टोग्राफीको लागि बल्क AES एन्क्रिप्शन/डिक्रिप्शन र ह्यासिङको लागि SHA-2 एल्गोरिदम। थप रूपमा TOE ले IKEv2 र ESP प्रोटोकलहरूमा प्रयोग हुने Diffie Hellman कुञ्जी विनिमय र व्युत्पन्न प्रकार्यलाई समर्थन गर्न क्रिप्टोग्राफी प्रदान गर्दछ। क्रिप्टोग्राफिक प्रकार्यहरू कन्फिगर गर्न निर्देशनहरू यस कागजातको "प्रक्रिया र IT वातावरणको लागि परिचालन मार्गदर्शन" खण्डमा वर्णन गरिएको छ।

विश्वसनीय अपडेटहरू

यस खण्डले TOE र त्यसपछिका कुनै पनि TOE अद्यावधिकहरू सुरक्षित रूपमा स्वीकार गर्न निर्देशनहरू प्रदान गर्दछ। "अद्यावधिकहरू" TOE को नयाँ संस्करण हो।

TOE संस्करण प्रयोगकर्ता द्वारा सोध्न सकिन्छ। गृह स्क्रिनबाट "बारेमा" ट्याप गर्नुहोस्। संस्करण मोबाइल प्लेटफर्म मार्फत पनि सोध्न सकिन्छ:

• iPhone: सेटिङ्हरू खोल्नुहोस् र सामान्य > उपयोगमा जानुहोस्। भण्डारण अन्तर्गत, सिस्को सुरक्षित ग्राहक कुनै पनि जडान खोज्नुहोस् र ट्याप गर्नुहोस्। संस्करण जानकारी प्रदर्शित हुनेछ।

Cisco Secure Client-AnyConnect TOE मा अद्यावधिकहरू तलको प्रक्रिया प्रयोग गरेर Apple एप स्टोर मार्फत व्यवस्थित गरिन्छ।

नोट: आफ्नो यन्त्र स्तरवृद्धि गर्नु अघि तपाईंले VPN सत्र स्थापना भएको खण्डमा विच्छेद गर्नुपर्छ, र यदि यो खुला छ भने अनुप्रयोग बन्द गर्नुहोस्। यदि तपाइँ यो गर्न असफल हुनुभयो भने, Cisco Secure Client-AnyConnect TOE को नयाँ संस्करण प्रयोग गर्नु अघि तपाइँको उपकरणको रिबुट आवश्यक छ।

1. iOS गृह पृष्ठमा एप स्टोर प्रतिमा ट्याप गर्नुहोस्।
2. Cisco Secure Client-AnyConnect अपग्रेड सूचनामा ट्याप गर्नुहोस्।
3. नयाँ सुविधाहरू बारे पढ्नुहोस्।
4. अपडेट क्लिक गर्नुहोस्।
5. आफ्नो एप्पल आईडी पासवर्ड प्रविष्ट गर्नुहोस्।
6. ट्याप गर्नुहोस् ठीक छ।

अद्यावधिक जारी छ।

कागजात प्राप्त गर्दै र सेवा अनुरोध पेश गर्दै

कागजात प्राप्त गर्ने बारे जानकारीको लागि, सिस्को बग खोज उपकरण (BST) प्रयोग गरेर, सेवा अनुरोध पेश गर्ने, र थप जानकारी जम्मा गर्ने, हेर्नुहोस्। सिस्को उत्पादन कागजातमा नयाँ के छ।

नयाँ र संशोधित सिस्को प्राविधिक सामग्री सिधै तपाईको डेस्कटपमा प्राप्त गर्न, तपाईले सदस्यता लिन सक्नुहुन्छ सिस्को उत्पादन कागजात RSS फिडमा नयाँ के छ। RSS फिडहरू नि:शुल्क सेवा हुन्।

सिस्कोलाई सम्पर्क गर्दै

सिस्कोका विश्वभर 200 भन्दा बढी कार्यालयहरू छन्। ठेगानाहरू, फोन नम्बरहरू, र फ्याक्स नम्बरहरू सिस्कोमा सूचीबद्ध छन् webसाइट मा www.cisco.com/go/offices.

कागजातहरू / स्रोतहरू

CISCO AnyConnect 5.0 सुरक्षित ग्राहक [pdf] प्रयोगकर्ता गाइड 5.0 iOS 16 को लागि, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

सन्दर्भहरू

• प्रयोगकर्ता पुस्तिका