د CISCO AnyConnect 5.0 خوندي پیرودونکي کارونکي لارښود

د سند پیژندنه

له خوا چمتو شوی:
Cisco Systems, Inc.
170 لویدیځ تسمان ډاکټر
سان جوز، CA 95134

دا سند د TOE، Cisco Secure Client - AnyConnect 5.0 لپاره د iOS 16 لپاره د IT پرسونل ته لارښود چمتو کوي. په دې لارښود سند کې په عملیاتي چاپیریال کې د TOE په بریالیتوب سره نصبولو لارښوونې شاملې دي، د TSF امنیت اداره کولو لارښوونې، او د چمتو کولو لارښوونې خوندي اداري وړتیا.

د بیاکتنې تاریخ

نسخه	نیټه	بدلون
0.1	د می 1، 2023	لومړنۍ نسخه
0.2	د ۲۰۲۴ کال د جولای ۹ مه	تازه معلومات

د سیسکو او سیسکو لوګو د سیسکو او/یا په متحده ایالاتو او نورو هیوادونو کې د هغې د اړوندو شرکتونو سوداګریزې نښې یا راجستر شوي سوداګریزې نښې دي. ته view د سیسکو سوداګریزې نښې لیست، دې ته لاړ شئ URL: www.cisco.com/go/trademarks. ذکر شوي د دریمې ډلې سوداګریزې نښې د دوی د اړوندو مالکینو ملکیت دی. د ملګري کلمې کارول د سیسکو او کوم بل شرکت ترمنځ د شراکت اړیکه معنی نه لري. (۱۷۲۱ر)

© 2023 Cisco Systems, Inc. ټول حقونه خوندي دي.

پیژندنه

د عملیاتي کارونکي لارښود د چمتووالي پروسیجرونو سره د Apple iOS 5.0 TOE لپاره د Cisco Secure ClientAnyConnect v16 اداره مستند کوي، ځکه چې دا د عام معیارونو لاندې تصدیق شوی. د ایپل iOS 5.0 لپاره د Cisco Secure Client- AnyConnect v16 کیدای شي د اړوند لنډیز لکه VPN مراجع یا په ساده ډول د TOE لخوا حواله شي.

اوریدونکي
دا سند د مدیرانو لپاره لیکل شوی چې د TOE نصب او تنظیموي. دا سند داسې انګیري چې تاسو د انټرنیټ کار کولو کې کارول شوي لومړني مفاهیمو او اصطلاحاتو سره آشنا یاست، او ستاسو د شبکې ټوپولوژي او پروتوکولونه پوهیږئ چې ستاسو په شبکه کې وسایل یې کارولی شي، دا چې تاسو یو باوري شخص یاست، او دا چې تاسو د عملیاتي کارولو لپاره روزل شوي یاست. هغه سیسټمونه چې تاسو یې خپل شبکه پرمخ وړئ.

موخه
دا سند د عام معیارونو ارزونې لپاره د چمتووالي پروسیجرونو سره عملیاتي کارونکي لارښود دی. دا د ځانګړي TOE تشکیلاتو او د مدیر دندو او انٹرفیسونو روښانه کولو لپاره لیکل شوی و چې په ارزول شوي ترتیب کې د TOE تنظیم او ساتلو لپاره اړین دي. دا سند د دې لپاره نه دی چې د مدیر لخوا ترسره شوي ځانګړي کړنې توضیح کړي بلکه د سیسکو اسنادو کې د مناسبو ځایونو پیژندلو لپاره د سړک نقشه ده ترڅو د هر ډول کنیکټ خوندي خوځښت پیرودونکي عملیاتو تنظیم او ساتلو لپاره ځانګړي توضیحات ترلاسه کړي. د TSF ډیټا اداره کولو لپاره ټول امنیتي اړونده قوماندې پدې اسنادو کې د هرې فعالې برخې دننه چمتو شوي.

د اسنادو حوالې
دا برخه د سیسکو سیسټم اسناد لیست کوي کوم چې د عام معیارونو ترتیب کولو توکي (CI) لیست یوه برخه هم ده. کارول شوي اسناد لاندې په 1 جدول کې ښودل شوي. د دې سند په اوږدو کې، لارښودونه به د "#" لخوا راجع شي، لکه [1].

جدول 1 د سیسکو اسناد

#	عنوان	لینک
1	د سیسکو خوندي پیرودونکی (په شمول د هرډول ارتباط) د مدیر لارښود، 5 خپور کړئ	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- د سیسکو-خوندي-مشتری-اډمین-لارښود-5-0.html
2	د Cisco AnyConnect د ګرځنده پلیټ فارمونو مدیر لارښود، خپرول 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/اداره/لارښود/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	د سیسکو انی کنیکټ خوندي خوځښت پیرودونکي لپاره د ایپل iOS کارونکي لارښود ، 4.6.x خپور کړئ	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/کاروونکی/لارښود/Apple_iOS_Any نښلول_User_Guide_4-6-x.html
4	د سیسکو انی کنیک سیکیور موبیلیټ کلائنټ لپاره د ریلیز نوټس، 4.9 خپور کړئ	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/releas- یادښتونه-anyconnect-4-9.html
5	د سیسکو سیکور پیرودونکي (د هر ډول کنیکٹ په شمول) لپاره د خوشې کولو یادښتونه، د Apple iOS لپاره 5 خوشې کول	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-خوندي-مشتری- 5/releas/notes/release-notes-apple-ios-cisco-secure- د مراجعینو-خوشې کول-۵-۰.html

TOE اوورview
TOE د Cisco AnyConnect Secure Mobility Client دی (دلته وروسته د VPN پیرودونکي، یا TOE په نوم یادیږي). د Cisco AnyConnect Secure Mobility Client د سیسکو 2 Series Adaptive Security Appliance (ASA) VPN ګیټ وے سره د لیرې پرتو کاروونکو خوندي IPsec (IKEv5500) VPN اتصالونه چمتو کوي چې نصب شوي غوښتنلیکونو ته د خبرو اترو اجازه ورکوي لکه څنګه چې مستقیم د تصدۍ شبکې سره وصل وي.

عملیاتي چاپیریال
TOE د IT چاپیریال لاندې اجزاو ته اړتیا لري کله چې TOE په خپل ارزول شوي ترتیب کې تنظیم شوی وي:

جدول 2. عملیاتي چاپیریال اجزا

اجزا	د کارونې/هدف توضیحات
د سند مقام	د سند اداره د اعتبار وړ ډیجیټل سندونو چمتو کولو لپاره کارول کیږي.
د ګرځنده پلیټ فارم	TOE د لاندې CC تصدیق شوي اپل ګرځنده وسیلې پلیټ فارمونو څخه کوم یو باندې تکیه کوي: Apple iPhone 11/XR iOS 16 چلوي
د ASA 5500-X لړۍ VPN ګیټ وے	د سیسکو ASA 5500-X د سافټویر نسخه 9.2.2 یا وروسته د سر پای VPN ګیټ وی په توګه کار کوي.
د ASDM مدیریت پلیټ فارم	ASDM 7.7 د لاندې عملیاتي سیسټمونو څخه کار کوي: وینډوز 7، 8، 10 د وینډوز سرور 2008، 2012، 2012 R2، 2016 او سرور 2019 د Apple OS X 10.4 یا وروسته یادونه وکړئ چې د ASDM سافټویر د ASA په وسیله نصب شوی او د مدیریت پلیټ فارم د ASA سره وصل کیدو او ASDM چلولو لپاره کارول کیږي. د مدیریت پلیټ فارم کې نصب شوی یوازینی سافټویر د سیسکو ASDM لانچر دی.

د موبایل لاندې پلیټ فارم په MOD_VPNC_V2.4 کې اړین ځینې امنیتي فعالیت چمتو کوي او په دې سند کې د "TOE پلیټ فارم" جملې په کارولو سره اشاره شوې.

د Cisco AnyConnect TOE د ګرځنده OS پلیټ فارم کې د شبکې هارډویر سرچینې کاروي ترڅو د کوډ شوي پاکټونو لیږلو او ترلاسه کولو لپاره. TOE د حساس معلوماتو ذخیره کولو ته لاسرسی نلري.

په دې سند کې "ASA" ته مراجعه د VPN ګیټ وے ته راجع کیږي

خارج شوي فعالیت

لاندې لیست شوي فعالیت په ارزول شوي ترتیب کې شامل ندي.

جدول 3. خارج شوي فعالیت او دلیل

فعالیت خارج شوی	استدلال
د عملیاتو غیر FIPS 140-2 حالت	په TOE کې د FIPS عملیاتو حالت شامل دی. د FIPS حالتونه TOE ته اجازه ورکوي چې یوازې تصویب شوي کریپټوګرافي وکاروي. د FIPS د عملیاتو حالت باید فعال شي ترڅو د TOE لپاره په خپل ارزول شوي ترتیب کې کار وکړي.
SSL تونل د DLTS تونل کولو اختیارونو سره	[MOD_VPNC_V2.4] یوازې د IPsec VPN تونل ته اجازه ورکوي.

دا خدمتونه به د ترتیب له مخې غیر فعال شي. د دې فعالیت جلا کول د ادعا شوي محافظت پرو په اطاعت اغیزه نه کويfiles.

پروسیجرونه او د معلوماتي ټیکنالوژۍ چاپیریال لپاره عملیاتي لارښود

په خپل ارزول شوي ترتیب کې د کار کولو لپاره، TOE لږترلږه یو (1) د سند ادارې (CA)، یو (1) VPN ګیټ وے، او یو (1) د Apple iPhone ګرځنده وسیله ته اړتیا لري.

د پیرودونکي PKI چاپیریالونو سره ورته والي لپاره ، د آفلاین روټ CA په کارولو سره د دوه درجې CA حل او د شرکت ماتحت CA د مایکروسافټ 2012 R2 سند ادارې (CA) په کارولو سره به پدې برخه کې حواله شي. د مایکروسافټ په ځای کې د CA نور محصولات کارول کیدی شي.

A Root CA د سټنډرډ (ورک ګروپ) سرور په توګه تنظیم شوی پداسې حال کې چې ماتحت CA د مایکروسافټ ډومین د یوې برخې په توګه د فعال ډایرکټر خدماتو فعال شوي سره تنظیم شوی. لاندې انځور د TOE او IT بصری انځور وړاندې کوي

چاپیریال. TOE یو سافټویر ایپ دی چې په iOS 13 کې روان دی. د TOE حد د هش ریډ لاین لخوا څرګند شوی. لاندې 1 شکل وګورئ.

شکل 1. TOE او چاپیریال

ماتحت CA د X.509 ډیجیټل سندونه صادروي ​​او د TOE پلیټ فارم او VPN ګیټ وے ته د سند ردولو لیست (CRL) چمتو کوي.
په بدیل سره، یو (1) واحد روټ تصدۍ CA ځای پرځای کیدی شي.

• د سند اداره نصب او تنظیم کړئ

که د مایکروسافټ دوه درجې CA حل وکاروئ ، د پلورونکي لارښود سره سم روټ (GRAYCA) او د تصدۍ ماتحت سند اداره (GRAYSUBCA1) نصب او تنظیم کړئ. لاندې د مایکروسافټ فعال لارښود سند خدماتو تنظیم کولو لپاره ګام په ګام لارښود دی:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
داسې انګیرل کیږي چې دواړه آفلاین روټ CA (GRAYCA) سند او د سوداګرۍ ماتحت CA (GRAYSUBCA1) سندونه چې په 1 شکل کې ښودل شوي نصب شوي او باوري دي ترڅو ډاډ ترلاسه شي چې د باوري سند سلسله رامینځته شوې. که چیرې د مایکروسافټ پرته د بل پلورونکي څخه CA کاروئ ، د پلورونکي CA نصبولو لارښود تعقیب کړئ.

پرته له دې چې د CA محصول کارول کیږي، په ASA کې د RSA سند باید لاندې کلیدي کارونې او پراخ شوي کلیدي کارونې ځانګړتیاوې ولري:

• کلیدي کارول: ډیجیټل لاسلیک، کلیدي تړون
• د EKU: د IP امنیت IKE منځګړیتوب، د IP پای امنیت سیسټم

په ASA کې د ECDSA او RSA سندونو کې د موضوع بدیل نوم (SAN) ساحې باید د اتصال معلوماتو سره سمون ولري چې په AnyConnect پرو کې مشخص شويfile په مشتري باندې.

• د VPN ګیټ ویز نصب او تنظیم کړئ

د Cisco ASA 9.1 (یا وروسته) نصب کړئ، په اختیاري توګه د ASDM سره، د نصبولو لارښودونو سره سم او د نسخو د نصبولو لپاره مناسب خوشې یادښتونه. ASDM ASA ته اجازه ورکوي چې د ګرافیکي کارونکي انٹرفیس څخه اداره شي. په بدیل سره، که چیرې مدیر غوره کړي، د مساوي کمانډ لاین (CLI) ترتیب کولو مرحلې کارول کیدی شي.

د ترتیب یادښت: لکه څنګه چې د ASA لخوا اداره شوي پیرامیټونه شتون لري، د ګیټ وی مدیر باید پدې برخه کې مرحلې تعقیب کړي ترڅو ډاډ ترلاسه شي چې TOE په خپل ارزول شوي ترتیب کې دی.

• په ASA کې AnyConnect او IKEv2 فعال کړئ. په ASDM کې، ترتیب ته لاړ شئ> ریموټ لاسرسی VPN> شبکه (مراجع) لاسرسی> د هر ډول کنکشن کنکشن پروfiles او د Cisco AnyConnect چیک باکس فعال کړئ او د IKEv2 لاندې لاسرسي ته اجازه ورکړئ غوره کړئ.
  
• په AnyConnect Connection Pro کېfileد پورته ذکر شوي پاڼې، د وسیلې سند غوره کړئ. ډاډ ترلاسه کړئ چې د ورته وسیلې سند وکاروئ… چک شوی نه دی او د ECDSA وسیلې سند لاندې د EC ID سند غوره کړئ. بیا سم انتخاب کړئ.
  
• د عام معیارونو ارزول شوي ترتیب کې اجازه ورکړل شوي الګوریتمونو په کارولو سره د IKEv2 کریپټو پالیسي رامینځته کړئ. په ASDM کې ، ترتیب ته لاړشئ> ریموټ لاسرسي VPN> شبکې (پیرودونکي) لاسرسی> پرمختللي> IPsec> IKE پالیسۍ او د IKEv2 پالیسي اضافه کړئ.

د لوړ لومړیتوب لپاره اضافه کول غوره کړئ او 1 داخل کړئ. حد له 1 څخه تر 65535 پورې دی، د 1 لوړ لومړیتوب سره.

کوډ کول:
AES: د ESP لپاره د 128-bit کلیدي کوډ کولو سره AES-CBC مشخص کوي.
AES-256: د ESP لپاره د 256-bit کلیدي کوډ کولو سره AES-CBC مشخص کوي.
AES-GCM-128: د AES Galois Counter Mode 128-bit encryption مشخص کوي
AES-GCM-256: د AES Galois Counter Mode 256-bit encryption مشخص کوي

DH ګروپ: د Diffie-Hellman ګروپ پیژندونکی غوره کړئ. دا د هر IPsec همکار لخوا کارول کیږي ترڅو یو بل ته د لیږد پرته یو ګډ راز ترلاسه کړي. د اعتبار وړ انتخابونه دي: 19 او 20.

PRF هش - PRF مشخص کړئ چې په SA کې کارول شوي ټولو کریپټوګرافیک الګوریتمونو لپاره د کیینګ موادو جوړولو لپاره کارول کیږي. د اعتبار وړ انتخابونه دي: sha256 او sha384

په دې کې پخوانيampد تشکیلاتو انتخاب:

 

لومړیتوب: ۱

د AES ګالوس کاونټر حالت (AES-GCM) 256-bit کوډ کول: کله چې GCM غوره شي، دا د بشپړتیا الګوریتم غوره کولو اړتیا منع کوي. دا ځکه چې د اعتبار وړتیاوې په GCM کې جوړ شوي، د CBC (Cipher-Block Chaining) برعکس.

Diffie-Hellman ګروپ: 20
د بشپړتیا هش: نول
PRF هش: شاکنومکس
د ژوند موده: 86400

وټاکئ سمه ده.

د مدیر یادونه: د کوم اضافي کوډ کولو کارول، DH- ګروپ، بشپړتیا یا PRF هش چې پورته لیست شوي ندي ارزول شوي.

د مدیر یادونه: پرمختللی ټب د IKE ځواک پلي کولو پیرامیټر ښیې. ډاډ ترلاسه کړئ چې د امنیت ټولنه (SA) د ځواک پلي کولو پیرامیټر چیک شوی. دا ډاډ ورکوي چې د IKEv2 کوډ کولو سایفر ځواک د دې ماشوم IPsec SA د کوډ کولو سایفرونو ځواک څخه لوړ دی. د لوړ ځواک الګوریتمونه به ښکته شي.

د CLI معادل دی: کریپټو ipsec ikev2 sa-ځواک پلي کول

• د IPSEC وړاندیز جوړ کړئ. په ASDM کې، ترتیب ته لاړشئ> ریموټ لاسرسي VPN> شبکې (مراجعینو) لاسرسی> پرمختللی> IPsec> IPsec وړاندیزونه (د بدلون سیټونه) او د IKEv2 IPsec وړاندیز اضافه کړئ. بیا ښه انتخاب کړئ.
  په exampد لاندې نوم کارول کیږي NGE-AES-GCM-256 د AES-GCM-256 سره د کوډ کولو لپاره او د بشپړتیا هش لپاره نول:
  
  
• یو متحرک کریپټو نقشه رامینځته کړئ ، د IPsec وړاندیز غوره کړئ او بهر انٹرفیس ته غوښتنه وکړئ. په ASDM کې ، ترتیب ته لاړشئ> ریموټ لاسرسي VPN> شبکې (پیرودونکي) لاسرسی> پرمختللی> IPsec> کریپټو نقشې. اضافه غوره کړئ، بهر انٹرفیس او د IKEv2 وړاندیز غوره کړئ.
  پرمختللی ټب کلیک وکړئ. لاندې ډاډ ترلاسه کړئ:
  NAT-T فعال کړئ د دې پالیسۍ لپاره NAT ټراورسل (NAT-T) فعالوي
  د امنیت اتحادیې د ژوند وخت تنظیم کول - 8 ساعتونو ته ټاکل شوی (28800 ثانیې)
• د پتې حوض VPNUSERS جوړ کړئ چې د VPN کاروونکو ته به ګمارل کیږي. د پته حوض لاندې ساحې لري:
  نوم - د IP پتې حوض ته ټاکل شوی نوم مشخص کوي.
  د IP پته پیل کول - په حوض کې لومړی IP پته مشخص کوي.
  د IP پته پای - په حوض کې وروستی IP پته مشخص کوي.
  سبنیټ ماسک- په حوض کې ادرسونو ته د پلي کولو لپاره سبنټ ماسک غوره کوي.

په ASDM کې، کنفیګریشن> ریموټ لاسرسي VPN> شبکې (پیرودونکي) لاسرسی> د پتې دنده> د پته حوضونو ته لاړشئ او یو IP پول اضافه کړئ چې پورتنۍ ساحې مشخصوي او بیا ښه غوره کړئ.

د ډلې پالیسي اضافه کړئ چې د VPN کاروونکو ته به مطلوب تنظیمات پلي کړي. د ګروپ تګلارې تاسو ته اجازه درکوي د AnyConnect VPN ګروپ پالیسۍ اداره کړئ. د VPN ګروپ پالیسي د کارونکي پر بنسټ د ځانګړتیاو / ارزښت جوړو مجموعه ده چې یا په داخلي توګه د ASA وسیله کې زیرمه شوي. د VPN ګروپ پالیسي تنظیم کول کاروونکو ته اجازه ورکوي چې هغه ځانګړتیاوې په میراث ترلاسه کړي چې تاسو د انفرادي ګروپ یا کارن نوم په کچه ندي تنظیم کړي. په ډیفالټ ، د VPN کارونکي د ډلې پالیسي اتحادیه نلري. د ګروپ پالیسۍ معلومات د VPN تونل ګروپونو او کارن حسابونو لخوا کارول کیږي. په ASDM کې، ترتیب ته لاړ شئ> ریموټ لاسرسي VPN> شبکې (مراجعینو) لاسرسی> ګروپ پولیس او د داخلي ګروپ پالیسي اضافه کړئ. ډاډ ترلاسه کړئ چې د VPN تونل پروتوکول IKEv2 ته تنظیم شوی او پورته رامینځته شوی IP پول په پالیسي کې د میراث چیک باکس د انتخاب کولو او مناسب ترتیب غوره کولو سره راجع شوی. اړونده DNS، WINS او د ډومین نومونه هم د سرور برخه کې پالیسۍ کې اضافه کیدی شي.

پخواني ته مراجعه وکړئampد ګروپ پالیسي NGE-VPN-GP لاندې:

• د تونل ګروپ نوم جوړ کړئ. د تونل ګروپ د IPsec اتصال لپاره د تونل پیوستون پالیسي لري. د پیوستون پالیسي کولی شي تصدیق، واک، او د محاسبې سرورونه، د ډیفالټ ګروپ پالیسي، او د IKE ځانګړتیاوې مشخص کړي.

په ASDM کې، ترتیب ته لاړ شئ> ریموټ لاسرسی VPN> شبکه (مراجع) لاسرسی> د هر ډول کنکشن کنکشن پروfiles. د کنکشن پرو لاندې د پاڼې په پای کېfiles، اضافه کول غوره کړئ.

په exampد تونل لاندې د ګروپ نوم NGE-VPN-RAS کارول کیږي.

ترتیب د سند تصدیق، د اړونده ګروپ پالیسي NGE-VPN-GP او فعال IPsec (IKEv2) ته مراجعه کوي. DNS او د ډومین نوم هم دلته اضافه کیدی شي. همدارنګه ډاډ ترلاسه کړئ چې یوازې IPsec د SSL VPN پیرودونکي پروتوکول فعالولو چیک نه کولو سره کارول کیږي.

• د سند نقشه جوړه کړئ، د NGE VPN کاروونکو نقشه کول د VPN تونل ګروپ ته چې مخکې جوړ شوی و. د سند نقشه به د AC کاروونکو لپاره پلي شي. په دې سناریو کې، د ماتحت CA عام نوم سره سمون لري ترڅو ډاډ ترلاسه شي چې د TOE پلیټ فارم غوښتنه د EC سند سره چې د ماتحت CA څخه صادر شوي به د مناسب تونل ګروپ ته نقشه شي چې مخکې جوړ شوی و. د VPN کارونکي چې د EC CA څخه سند نه دی صادر شوی بیرته به د ډیفالټ تونل ډلو ته راشي او
  ناکامي تصدیق او لاسرسی به رد شي.
  په ASDM کې، ترتیب ته لاړ شئ> ریموټ لاسرسي VPN> پرمختللی> سند ته کوم کنیکټ او د پیرودونکي پرته SSL VPN کنکشن پروfile نقشه. د اتصال پرو سند لاندېfile نقشه اضافه کول غوره کړئ. د 10 لومړیتوب سره موجوده Default CertificateMap غوره کړئ او د NGE-RAS-VPN تونل ګروپ ته مراجعه وکړئ.
  
  په ASDM کې، ترتیب ته لاړ شئ> ریموټ لاسرسي VPN> پرمختللی> سند ته کوم کنیکټ او د پیرودونکي پرته SSL VPN کنکشن پروfile نقشه. د نقشې کولو معیارونو لاندې اضافه انتخاب کړئ. د ساحې لپاره جاري کونکی غوره کړئ، د برخې لپاره عام نوم (CN)، د آپریټر لپاره شامل دي، او بیا سم انتخاب کړئ.
  
  ډاډ ترلاسه کړئ چې په اصلي پا pageه کې اپلیټ غوره کړئ او تشکیلات خوندي کړئ.
• د AnyConnect VPN پیرودونکي څخه د VPN اتصالونو منلو لپاره ASA تنظیم کړئ ، د AnyConnect VPN وزرډ وکاروئ. دا وزرډ د لیرې شبکې لاسرسي لپاره IPsec (IKEv2) VPN پروتوکولونه تنظیموي. دلته لارښوونې ته مراجعه وکړئ:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

د TOE لپاره د چمتووالي پروسیجرونه او عملیاتي لارښود

د سیسکو سیکور کلائنټ-AnyConnect TOE نصبولو لپاره، لاندې مرحلې تعقیب کړئ:

1. د اپل پلورنځي خلاص کړئ.
2. لټون غوره کړئ
3. د لټون په بکس کې، د Cisco Secure Client-AnyConnect دننه کړئ
4. ټایپ کړئ ایپ نصب کړئ
5. نصب غوره کړئ

د سیسکو خوندي پیرودونکي - AnyConnect پیل کړئ

د اپلیکیشن پیل کولو لپاره د سیسکو خوندي پیرودونکي-AnyConnect آیکون ټایپ کړئ. که دا لومړی ځل وي چې تاسو د سیسکو سیکور کلائنټ - AnyConnect د نصب یا نوي کولو وروسته پیل کوئ ، نو د TOE فعالولو لپاره OK غوره کړئ ترڅو ستاسو د وسیلې مجازی خصوصي شبکې (VPN) وړتیاوې وغزوي.

د بشپړتیا تصدیق

د بشپړتیا تایید هرکله ترسره کیږي کله چې اپلیکیشن باریږي او دا به د بشپړتیا تایید بشپړیدو ته انتظار باسي. د iOS پلیټ فارم لخوا چمتو شوي کریپټوګرافیک خدمتونه د TOE د اجرا وړ ډیجیټل لاسلیک تصدیق کولو لپاره غوښتل شوي files. که چیرې د بشپړتیا تایید په بریالیتوب سره بشپړ نشي، نو GUI به نه پورته کوي، د اپلیکیشن غیر کارولو وړ ګرځوي. که د بشپړتیا تایید بریالی وي، د GUI اپلیکیشن به په نورمال ډول پورته او کار وکړي.

د حوالې پیژندونکی ترتیب کړئ

دا برخه د VPN ګیټ وے پیر لپاره د حوالې پیژندونکي ترتیب مشخص کوي. د IKE مرحلې 1 تصدیق کولو په جریان کې ، TOE د حوالې پیژندونکی د VPN ګیټ وے لخوا وړاندې شوي پیژندونکي سره پرتله کوي. که TOE وټاکي چې دوی سره سمون نه لري، تصدیق به بریالی نشي.

د کور سکرین څخه اړیکې غوره کړئ view ستاسو په وسیله لا دمخه تنظیم شوي ننوتل. د پیوستون ډیری ننوتل ممکن لیست شي، ځینې یې د هر اپلیکیشن VPN سرلیک لاندې. د پیوستون ننوتل ممکن ولري لاندې حالت:

• فعال شوی- د دې ارتباط ننوتل د ګرځنده وسیلې مدیر لخوا فعال شوي او د نښلولو لپاره کارول کیدی شي.
• فعاله- دا نښه شوې یا روښانه شوې پیوستون دا مهال فعال دی.
• نښلول شوی- دا پیوستون داخله فعاله ده او دا مهال وصل او فعاله ده.
• قطع شوی - د دې اړیکې ننوتل فعاله ده مګر اوس مهال منحل شوې او کار نه کوي.

د لارښوونو لپاره مراجعه وکړئ "په لاسي ډول د پیوستون ننوتل اضافه یا بدل کړئ" د [3] برخه.

د سند کارول تنظیم کړئ

AnyConnect د X.509 سند ته اړتیا لري. ته مراجعه وکړئ "سندونه تنظیم کړئ" د [3] برخه.

بې باوره سرورونه بند کړئ

د دې اپلیکیشن ترتیب ټاکي چې ایا کوم کنیکټ اړیکې بندوي کله چې دا نشي کولی خوندي دروازې وپیژني.
دا محافظت د ډیفالټ لخوا فعال دی او باید بند نشي.

AnyConnect د سرور څخه ترلاسه شوی سند کاروي ترڅو خپل شناخت تصدیق کړي. که چیرې د پای ته رسیدو یا ناباوره نیټې له امله د سند غلطۍ شتون ولري، د غلط کلیدي کارول، یا د نوم سره سمون نه وي، پیوستون بند شوی دی.

د VPN FIPS موډ تنظیم کړئ
د VPN FIPS حالت د ټولو VPN اړیکو لپاره د فدرالي معلوماتو پروسس کولو معیارونو (FIPS) کریپټوګرافي الګوریتم کاروي.

1. په سیسکو سیکور کلائنټ - هرډول اپلیکیشن کې ، تنظیمات ټایپ کړئ.
2. د دې ترتیب فعالولو لپاره FIPS موډ ټایپ کړئ.

په ST کې د کریپټوګرافیک اړتیاو پوره کولو لپاره، FIPS موډ باید فعال شي. ستاسو د FIPS حالت بدلون تاییدولو سره ، اپلیکیشن وځي او باید په لاسي ډول بیا پیل شي. د بیا پیل کولو سره، ستاسو د FIPS موډ ترتیب په عمل کې دی.

د سخت سند باور حالت

دا ترتیب د سیسکو خوندي پیرودونکي - AnyConnect TOE تنظیموي ترڅو د سر پای VPN ګیټ وے سند رد کړي چې دا نشي کولی په اوتومات ډول تصدیق کړي.

1. د کور کړکۍ څخه، مینو> ترتیبات ټیک کړئ.
2. د سخت سند باور حالت فعال کړئ.

د راتلونکي پیوستون هڅه کې ، د سخت سند باور به فعال شي

د سند رد کول چیک کړئ

دا ترتیب کنټرولوي چې ایا د سیسکو خوندي پیرودونکي - AnyConnect TOE به د سر پای VPN ګیټ وے څخه ترلاسه شوي سند د ردولو حالت وټاکي. دا ترتیب باید فعال وي او باید بند نشي.

1. د AnyConnect کور کړکۍ څخه، مینو> ترتیبات ټایپ کړئ.
2. د دې ترتیب فعالولو لپاره د چک سند رد کول فعال کړئ.

د TOE لپاره عملیاتي لارښود

د VPN اتصال رامینځته کړئ

ته مراجعه وکړئ "جوړ کړئ a د VPN پیوستون" د [3] برخه.

مدیر باید په AnyConnect کې د IPsec کارولو په اړه لاندې PROTECT، BYPASS، او DISCARD قواعد په پام کې ونیسي:

• ساتنه
  د PROTECT لپاره ننوتل د ASDM په کارولو سره په ASA کې د لرې لاسرسي ګروپ پالیسۍ له لارې تنظیم شوي. د خوندي ننوتلو لپاره ، ترافیک د IPsec VPN تونل له لارې تیریږي چې د TOE لخوا چمتو شوی. د TOE تونل ټول ترافیک لپاره هیڅ ترتیب ته اړتیا نشته. مدیر په اختیاري توګه کولی شي دا چلند د دوی د ګروپ پالیسۍ کې د قوماندې سره په واضح ډول تنظیم کړي: split-tunnel-policy tunnelall
• بای پاس
  TOE د بای پاس عملیاتو ملاتړ کوي (کله چې د ریموټ لاسرسي پالیسۍ لخوا د سپیټ تونل کولو اجازه ورکړل شوې وي). کله چې د ویشلو تونل فعال شي، د ASA VPN ګیټ وے د شبکې برخو لیست TOE ته فشار ورکوي ساتنه. نور ټول ټرافیک غیر خوندي سفر کوي پرته لدې چې TOE پکې شامل وي پدې توګه د IPsec محافظت څخه تیریږي.
  سپلیټ تونل کول د شبکې (پیرودونکي) لاسرسي ګروپ پالیسي کې تنظیم شوي. مدیر لاندې اختیارونه لري:
  بې برخې شوي: یوازې هغه شبکې لرې کړئ چې د split-tunnel-network-list لخوا مشخص شوي
  ټاکل شوی تونل: تونل یوازې هغه شبکې چې د سپلیټ-تونل-شبکې لیست لخوا مشخص شوي د VPN ASDM ترتیب لارښود کې "د هرډول ترافیک لپاره د سپلایټ تونل تنظیم کولو په اړه" برخې ته مراجعه وکړئ او د "د هرډول ترافیک لپاره سپلیټ تونل تنظیم کول" برخې کې چمتو شوي ګامونه وګورئ. په ASDM کې د ګروپ پالیسي کې د بدلونونو وروسته، ډاډ ترلاسه کړئ چې د ګروپ پالیسي د کنکشن پرو سره تړلې دهfile په ترتیب کې> ریموټ لاسرسي VPN> شبکې (مراجعینو) لاسرسی> د هرډول ارتباط پروfiles > اضافه/اډیټ > ګروپ پالیسي. د BYPASS SPD ننوتل د کوربه پلیټ فارم لخوا د احتمالي شبکې ترافیک جواز مقرراتو له لارې چمتو شوي. د TOE پلیټ فارم کې هیڅ ترتیب ته اړتیا نشته ترڅو دا ترافیک ته اجازه ورکړي.
• غورځول
  د DISCARD قواعد په ځانګړي ډول د TOE پلیټ فارم لخوا ترسره کیږي. د DISCARD قاعدې مشخص کولو لپاره هیڅ اداري انٹرفیس شتون نلري.

څارنه او د ستونزو حل کول

ته مراجعه وکړئ څارنه او د ستونزو حل کول د [3] برخه.

د سیسکو خوندي پیرودونکي څخه وتل - AnyConnect
د اپلیکیشن وتل د اوسني VPN اتصال پای ته رسوي او د TOE ټولې پروسې ودروي. دا کړنه په بې رحمۍ سره وکاروئ. ستاسو په وسیلې کې نور ایپسونه یا پروسې ممکن د اوسني VPN اتصال څخه کار واخلي او د سیسکو سیکور کلائنټ - هری کنیکٹ ایپ څخه وتل ممکن د دوی په عملیاتو منفي اغیزه وکړي.

د کور له کړکۍ څخه، مینو> وتلو باندې کلیک وکړئ.

د کریپټوګرافیک ملاتړ
TOE د ای ایس پی سیمیټریک کریپټوګرافي سره د IPsec په ملاتړ د AES کوډ کولو/ډیکرپشن او د هش کولو لپاره SHA-2 الګوریتم لپاره کریپټوګرافي چمتو کوي. سربیره پردې TOE د Diffie Hellman کلیدي تبادلې او اختصاص فعالیت ملاتړ کولو لپاره کریپټوګرافي چمتو کوي چې په IKEv2 او ESP پروتوکولونو کې کارول کیږي. د کریپټوګرافیک دندو تنظیم کولو لارښوونې د دې سند د "IT چاپیریال لپاره طرزالعملونه او عملیاتي لارښود" برخه کې تشریح شوي.

باوري تازه معلومات

دا برخه په خوندي ډول د TOE او د TOE هر ډول تازه معلوماتو منلو لپاره لارښوونې چمتو کوي. "تازه" د TOE نوې نسخه ده.

د TOE نسخه کول د کارونکي لخوا پوښتل کیدی شي. د کور سکرین څخه "په اړه" کلیک وکړئ. نسخه کول د ګرځنده پلیټ فارم له لارې هم پوښتل کیدی شي:

• iPhone: ترتیبات خلاص کړئ او عمومي> کارونې ته لاړشئ. د ذخیرې لاندې، د سیسکو خوندي پیرودونکي هر ډول نښلول ومومئ او ټایپ کړئ. د نسخې معلومات به ښکاره شي.

د سیسکو خوندي پیرودونکي - AnyConnect TOE ته تازه معلومات د لاندې کړنلارې په کارولو سره د Apple App Store له لارې اداره کیږي.

یادونه: د خپل وسیلې د لوړولو دمخه تاسو باید د VPN سیشن منحل کړئ که چیرې یو تاسیس شوی وي ، او غوښتنلیک بند کړئ که خلاص وي. که تاسو په دې کولو کې پاتې راغلي، د سیسکو سیکور کلائنټ - AnyConnect TOE نوې نسخه کارولو دمخه ستاسو وسیله ریبوټ ته اړتیا ده.

1. د iOS کور پا pageه کې د اپل سټور آیکون ټایپ کړئ.
2. د سیسکو خوندي پیرودونکي - د هر ډول کنیکټ اپ گریڈ خبرتیا ټایپ کړئ.
3. د نوي ځانګړتیاو په اړه ولولئ.
4. تازه کلیک وکړئ.
5. خپل د ایپل ID پاسورډ دننه کړئ.
6. ټپ سمه ده.

تازه کول دوام لري.

د اسنادو ترلاسه کول او د خدماتو غوښتنه سپارل

د اسنادو ترلاسه کولو په اړه د معلوماتو لپاره، د سیسکو بګ لټون وسیلې (BST) په کارولو سره، د خدماتو غوښتنه وړاندې کول، او اضافي معلومات راټول کړئ، وګورئ د سیسکو محصول اسنادو کې څه نوي دي.

په مستقیم ډول خپل ډیسټاپ ته د نوي او اصلاح شوي سیسکو تخنیکي مینځپانګې ترلاسه کولو لپاره ، تاسو کولی شئ ګډون وکړئ د سیسکو محصول اسنادو RSS فیډ کې څه نوي دي. د RSS فیډونه وړیا خدمت دی.

د سیسکو سره اړیکه

سیسکو په ټوله نړۍ کې له 200 څخه ډیر دفترونه لري. پتې، د تلیفون شمیرې، او فکس شمیرې په سیسکو کې لیست شوي دي webپه سایټ کې www.cisco.com/go/offices.

اسناد / سرچینې

د CISCO AnyConnect 5.0 خوندي پیرودونکي [pdf] د کارونکي لارښود 5.0 د iOS 16 لپاره، AnyConnect 5.0 خوندي پیرودونکي، 5.0 خوندي پیرودونکي، خوندي پیرودونکي، پیرودونکي

حوالې

• د کارن لارښود