Uporabniški priročnik za varnega odjemalca CISCO AnyConnect 5.0
Uvod v dokument
Pripravil:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134
Ta dokument vsebuje navodila za osebje IT za TOE, Cisco Secure Client – AnyConnect 5.0 za iOS 16. Ta dokument z navodili vključuje navodila za uspešno namestitev TOE v operativnem okolju, navodila za upravljanje varnosti TSF in navodila za zagotavljanje zaščitena upravna sposobnost.
Zgodovina revizij
| Različica | Datum | spremeniti |
| 0.1 | 1. maj 2023 | Začetna različica |
| 0.2 | 27. julij 2023 | Posodobitve |
Cisco in logotip Cisco sta blagovni znamki ali registrirani blagovni znamki družbe Cisco in/ali njenih podružnic v ZDA in drugih državah. Za view seznam blagovnih znamk Cisco, pojdite na to URL: www.cisco.com/go/trademarks. Omenjene blagovne znamke tretjih oseb so last njihovih lastnikov. Uporaba besede partner ne pomeni partnerskega odnosa med Ciscom in katerim koli drugim podjetjem. (1110R)
© 2023 Cisco Systems, Inc. Vse pravice pridržane.
Uvod
Ta navodila za uporabo s pripravljalnimi postopki dokumentirajo upravljanje Cisco Secure ClientAnyConnect v5.0 za Apple iOS 16 TOE, kot je bilo certificirano v skladu s splošnimi merili. Cisco Secure Client-AnyConnect v5.0 za Apple iOS 16 je lahko spodaj naveden s sorodno kratico, npr. VPN Client ali preprosto TOE.
Občinstvo
Ta dokument je napisan za skrbnike, ki nameščajo in konfigurirajo TOE. Ta dokument predvideva, da ste seznanjeni z osnovnimi koncepti in terminologijo, ki se uporablja v medmrežju, ter da razumete topologijo vašega omrežja in protokole, ki jih lahko uporabljajo naprave v vašem omrežju, da ste zaupanja vreden posameznik in da ste usposobljeni za uporabo sisteme, v katerih izvajate svoje omrežje.
Namen
Ta dokument so navodila za uporabo s pripravljalnimi postopki za vrednotenje skupnih meril. Napisan je bil tako, da poudari specifično konfiguracijo TOE ter skrbniške funkcije in vmesnike, ki so potrebni za konfiguracijo in vzdrževanje TOE v ovrednoteni konfiguraciji. Ta dokument ni namenjen podrobnemu opisovanju posebnih dejanj, ki jih izvaja skrbnik, temveč je načrt za identifikacijo ustreznih lokacij v dokumentaciji Cisco, da bi dobili posebne podrobnosti za konfiguracijo in vzdrževanje operacij AnyConnect Secure Mobility Client. Vsi varnostno pomembni ukazi za upravljanje podatkov TSF so na voljo v tej dokumentaciji v vsakem funkcionalnem razdelku.
Reference dokumentov
V tem razdelku je navedena dokumentacija Cisco Systems, ki je tudi del seznama elementov konfiguracije skupnih meril (CI). Uporabljeni dokumenti so prikazani spodaj v tabeli 1. V tem dokumentu bodo vodniki označeni z "#", kot je [1].
Tabela 1 Ciscova dokumentacija
TOE Konecview
TOE je Cisco AnyConnect Secure Mobility Client (v nadaljnjem besedilu odjemalec VPN ali TOE). Cisco AnyConnect Secure Mobility Client zagotavlja oddaljenim uporabnikom varne povezave IPsec (IKEv2) VPN s prehodom VPN Cisco 5500 Series Adaptive Security Appliance (ASA), ki omogoča nameščenim aplikacijam, da komunicirajo, kot da bi bile neposredno povezane z omrežjem podjetja.
Operativno okolje
TOE zahteva naslednje komponente okolja IT, ko je TOE konfiguriran v svoji ovrednoteni konfiguraciji:
Tabela 2. Komponente operativnega okolja
| Komponenta | Opis uporabe/namena |
| Certifikacijski organ | Za zagotavljanje veljavnih digitalnih potrdil se uporablja overitelj potrdil. |
| Mobile Platform | TOE temelji na kateri koli od naslednjih platform mobilnih naprav Apple, preverjenih CC:
|
| Prehod VPN serije ASA 5500-X | Cisco ASA 5500-X z različico programske opreme 9.2.2 ali novejšo deluje kot glavni prehod VPN. |
| Platforma za upravljanje ASDM | ASDM 7.7 deluje v katerem koli od naslednjih operacijskih sistemov:
|
Osnovna mobilna platforma zagotavlja nekatere varnostne funkcije, zahtevane v MOD_VPNC_V2.4] in je v tem dokumentu označena s frazo »TOE platforma«.
Cisco AnyConnect TOE uporablja vire omrežne strojne opreme na platformi mobilnega OS za pošiljanje in prejemanje šifriranih paketov. TOE ne dostopa do skladišč občutljivih informacij.
Sklicevanje na »ASA« v tem dokumentu se nanaša na prehod VPN
Izključena funkcionalnost
Spodaj navedena funkcionalnost ni vključena v ovrednoteno konfiguracijo.
Tabela 3. Izključena funkcionalnost in utemeljitev
| Funkcija izključena | Utemeljitev |
| Način delovanja ne-FIPS 140-2 | TOE vključuje način delovanja FIPS. Načini FIPS omogočajo TOE uporabo samo odobrene kriptografije. Način delovanja FIPS mora biti omogočen, da lahko TOE deluje v svoji ovrednoteni konfiguraciji. |
| Tunel SSL z možnostmi tuneliranja DLTS | [MOD_VPNC_V2.4] dovoljuje samo IPsec VPN tunel. |
Te storitve bodo onemogočene s konfiguracijo. Izključitev te funkcije ne vpliva na skladnost z zahtevano zaščito Profiles.
Postopki in operativne smernice za okolje IT
Za delovanje v svoji ovrednoteni konfiguraciji potrebuje TOE najmanj enega (1) overitelja potrdil (CA), en (1) prehod VPN in eno (1) mobilno napravo Apple iPhone.
Za podobo strankinim okoljem PKI bo v tem razdelku omenjena dvonivojska rešitev CA, ki uporablja korensko CA brez povezave in podrejeno CA podjetja, ki uporablja overitelja potrdil (CA) Microsoft 2012 R2. Namesto Microsoftovih izdelkov se lahko uporabljajo drugi izdelki CA.
Korenski CA je konfiguriran kot samostojen strežnik (delovne skupine), medtem ko je podrejeni CA konfiguriran kot del Microsoftove domene z omogočenimi storitvami Active Directory. Naslednja slika prikazuje vizualni prikaz TOE in IT
okolje. TOE je programska aplikacija, ki se izvaja v sistemu iOS 13. Meja TOE je označena z rdečo črto. Glej sliko 1 spodaj.
Slika 1. TOE in okolje
Podrejeni CA izda digitalna potrdila X.509 in zagotovi seznam preklicanih potrdil (CRL) platformi TOE in prehodu VPN.
Namesto tega je mogoče namestiti eno (1) enokorensko CA za podjetja.
- Namestite in konfigurirajte overitelja potrdil
Če uporabljate Microsoftovo dvonivojsko rešitev CA, namestite in konfigurirajte korensko (GRAYCA) in podrejeno overitelja potrdil podjetja (GRAYSUBCA1) v skladu z navodili prodajalca. Sledi vodnik po korakih za konfiguracijo storitev Microsoft Active Directory Certificate Services:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Predpostavlja se, da sta potrdila Offline Root CA (GRAYCA) in potrdila Enterprise Subordinate CA (GRAYSUBCA1), prikazana na sliki 1, nameščena in zaupanja vredna, da se zagotovi vzpostavitev zaupanja vredne verige potrdil. Če uporabljate CA ponudnika, ki ni Microsoft, upoštevajte navodila za namestitev CA tega prodajalca.
Ne glede na uporabljeni izdelek CA MORA imeti potrdilo RSA na ASA naslednje lastnosti uporabe ključa in razširjene uporabe ključa:
- Uporaba ključa: Digitalni podpis, ključna pogodba
- EKU: Varnost IP IKE vmesni, končni varnostni sistem IP
Polja z nadomestnim imenom subjekta (SAN) v potrdilih ECDSA in RSA na ASA se MORAJO ujemati s podatki o povezavi, navedenimi v AnyConnect profile na stranko.
- Namestite in konfigurirajte prehod VPN
Namestite Cisco ASA 9.1 (ali novejšo), po izbiri z ASDM, v skladu z navodili za namestitev in opombami ob izdaji, ki ustrezajo različicam, ki jih želite namestiti. ASDM omogoča upravljanje ASA iz grafičnega uporabniškega vmesnika. Druga možnost je, če skrbnik to želi, lahko uporabi enakovredne konfiguracijske korake ukazne vrstice (CLI).
Konfiguracijska opomba: Ker obstajajo parametri, ki jih upravlja ASA, mora skrbnik prehoda slediti korakom v tem razdelku, da zagotovi, da je TOE v ovrednoteni konfiguraciji.
- Omogočite AnyConnect in IKEv2 na ASA. V ASDM pojdite na Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles in izberite potrditveno polje Omogoči Cisco AnyConnect in Dovoli dostop pod IKEv2.
- Na AnyConnect Connection Profilena zgoraj omenjeni strani izberite Device Certificate. Prepričajte se, da Uporabi isto potrdilo naprave ... NI potrjeno in izberite potrdilo EC ID pod potrdilom naprave ECDSA. Nato izberite V redu.
- Ustvarite kripto pravilnik IKEv2 z uporabo algoritmov, dovoljenih v konfiguraciji, ocenjeni s skupnimi merili. V ASDM pojdite na Konfiguracija > Oddaljeni dostop VPN > Omrežni (odjemalski) dostop > Napredno > IPsec > Pravilniki IKE in dodajte pravilnik IKEv2.
Izberite Dodaj in vnesite 1 za najvišjo prednost. Razpon je od 1 do 65535, pri čemer je 1 najvišja prioriteta.
Šifriranje:
AES: Določa AES-CBC s 128-bitnim šifriranjem ključev za ESP.
AES-256: Določa AES-CBC s 256-bitnim šifriranjem ključev za ESP.
AES-GCM-128: Določa 128-bitno šifriranje AES Galois Counter Mode
AES-GCM-256: Določa 256-bitno šifriranje AES Galois Counter Mode
Skupina DH: Izberite identifikator skupine Diffie-Hellman. To uporablja vsak vrstnik IPsec za pridobivanje skupne skrivnosti, ne da bi jo posredoval drug drugemu. Veljavni izbiri sta: 19 in 20.
PRF Hash – Določite PRF, uporabljen za konstrukcijo materiala za ključe za vse kriptografske algoritme, ki se uporabljajo v SA. Veljavni izbiri sta: sha256 in sha384
V tem bivšemampizberite konfiguracijo datoteke:
Prednost: 1
Način števca AES Galois (AES-GCM) 256-bitno šifriranje: Ko je izbran GCM, izključuje potrebo po izbiri algoritma celovitosti. To je zato, ker so zmožnosti pristnosti vgrajene v GCM, za razliko od CBC (Cipher-Block Chaining).
Skupina Diffie-Hellman: 20
Integrity Hash: Nič
PRF Hash: sha384
Življenjska doba: 86400
Izberite OK.
Opomba skrbnika: Uporaba kakršnega koli dodatnega šifriranja, DH-Group, Integrity ali PRF Hash, ki ni navedena zgoraj, ni ocenjena.
Opomba skrbnika: Na naprednem zavihku je prikazan parameter uveljavljanja moči IKE. Prepričajte se, da je parameter Uveljavljanje moči varnostnega združenja (SA) preverjen. To zagotavlja, da je moč šifrirne šifre IKEv2 višja od moči njenih podrejenih šifrirnih šifer IPsec SA. Močnejši algoritmi bodo znižani.
Enakovrednik CLI je: kripto ipsec ikev2 sa-strength-enforcement
- Ustvarite predlog IPSEC. V ASDM pojdite na Konfiguracija > Oddaljeni dostop VPN > Omrežni (odjemalski) dostop > Napredno > IPsec > Predlogi IPsec (nabori za preoblikovanje) in dodajte predlog IKEv2 IPsec. nato izberite V redu.
V bivšemample pod uporabljenim imenom je NGE-AES-GCM-256 z AES-GCM-256 za šifriranje in Null za zgoščevanje integritete:
- Ustvarite dinamični kripto zemljevid, izberite predlog IPsec in ga uporabite za zunanji vmesnik. V ASDM pojdite na Konfiguracija > VPN za oddaljeni dostop > Dostop do omrežja (odjemalec) > Napredno > IPsec > Kripto zemljevidi. Izberite Dodaj, izberite zunanji vmesnik in predlog IKEv2.
Kliknite zavihek Napredno. Zagotovite naslednje:
Omogoči NAT-T —Omogoči prehod NAT (NAT-T) za ta pravilnik
Nastavitev življenjske dobe varnostne povezave — je nastavljen na 8 ur (28800 sekund) - Ustvarite skupino naslovov VPNUSERS, ki bo dodeljena uporabnikom VPN. Bazeni naslovov vsebujejo naslednja polja:
Ime —Določi ime, dodeljeno skupini naslovov IP.
Začetni IP naslov —Določi prvi naslov IP v skupini.
Končni naslov IP —Določi zadnji naslov IP v skupini.
Maska podomrežja— Izbere masko podomrežja, ki bo uporabljena za naslove v skupini.
V ASDM pojdite na Konfiguracija > VPN za oddaljeni dostop > Dostop do omrežja (odjemalec) > Dodelitev naslova > Baze naslovov in dodajte skupino IP, tako da določite zgornja polja, nato pa izberite V redu.
Dodajte pravilnik skupine, ki bo uporabil želene nastavitve za uporabnike VPN. Pravilniki skupine vam omogočajo upravljanje pravilnikov skupine AnyConnect VPN. Pravilnik skupine VPN je zbirka uporabniško usmerjenih parov atribut/vrednost, shranjenih bodisi interno v napravi ASA. Konfiguriranje skupinskega pravilnika VPN uporabnikom omogoča podedovanje atributov, ki jih niste konfigurirali na ravni posamezne skupine ali uporabniškega imena. Uporabniki VPN privzeto nimajo povezave s pravilnikom skupine. Podatke o politiki skupine uporabljajo skupine tunelov VPN in uporabniški računi. V ASDM pojdite na Konfiguracija > VPN za oddaljeni dostop > Dostop do omrežja (odjemalec) > Politike skupine in dodajte pravilnik notranje skupine. Zagotovite, da je protokol tunela VPN nastavljen na IKEv2 in da je zgoraj ustvarjeno področje IP navedeno v pravilniku, tako da počistite potrditveno polje Podeduj in izberete ustrezno nastavitev. Ustrezna imena DNS, WINS in domen lahko dodate tudi v pravilnik v razdelku Strežniki.
Glej npramppravilnik skupine NGE-VPN-GP spodaj:
- Ustvarite ime skupine tunelov. Skupina predorov vsebuje pravilnike za povezavo predorov za povezavo IPsec. Politika povezave lahko poda strežnike za preverjanje pristnosti, avtorizacijo in obračunavanje, privzeto politiko skupine in atribute IKE.
V ASDM pojdite na Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Na dnu strani pod Connection Profiles, izberite Dodaj.
V bivšemample pod imenom skupine tunelov se uporablja NGE-VPN-RAS.
Konfiguracija se nanaša na preverjanje pristnosti potrdila, povezan pravilnik skupine NGE-VPN-GP in Omogoči IPsec (IKEv2). Tu lahko dodate tudi DNS in ime domene. Zagotovite tudi, da se uporablja samo IPsec, tako da ne potrdite možnosti Omogoči SSL VPN Client Protocol.
- Ustvarite preslikavo potrdila in preslikajte uporabnike NGE VPN v skupino tunelov VPN, ki je bila predhodno ustvarjena. Zemljevid potrdila bo uporabljen za uporabnike AC. V tem scenariju je bilo skupno ime podrejene službe za potrdila usklajeno, da se zagotovi, da bo dohodna zahteva platforme TOE s potrdilom EC, izdanim s strani podrejene službe za potrdila, preslikana v ustrezno skupino tunelov, ki je bila predhodno ustvarjena. Uporabniki VPN, ki jim EC CA ne izda potrdila, se bodo vrnili na privzete skupine tunelov in
ne uspe pri preverjanju pristnosti in bo zavrnjen dostop.
V ASDM pojdite na Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Zemljevidi. Pod Certifikat za Connection Profile Zemljevidi izberite Dodaj. Izberite obstoječi DefaultCertificateMap s prednostjo 10 in se sklicujte na skupino tunelov NGE-RAS-VPN.
V ASDM pojdite na Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Zemljevidi. V razdelku Merila preslikave izberite Dodaj. Izberite Izdajatelj za polje, Splošno ime (CN) za komponento, Vsebuje za Operaterja in nato izberite V redu.
Prepričajte se, da ste na glavni strani izbrali UPORABI in SHRANI konfiguracijo. - Konfigurirajte ASA za sprejemanje povezav VPN iz odjemalca AnyConnect VPN, uporabite čarovnika AnyConnect VPN. Ta čarovnik konfigurira protokole IPsec (IKEv2) VPN za dostop do oddaljenega omrežja. Glejte navodila tukaj:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
Pripravljalni postopki in operativna navodila za TOE
Če želite namestiti TOE Cisco Secure Client-AnyConnect, sledite spodnjim korakom:
- Odprite App Store.
- Izberite Iskanje
- V iskalno polje vnesite Cisco Secure Client-AnyConnect
- Tapnite NAMESTI APLIKACIJO
- Izberite Namesti
Zaženite Cisco Secure Client-AnyConnect
Tapnite ikono Cisco Secure Client-AnyConnect, da zaženete aplikacijo. Če po namestitvi ali nadgradnji prvič zaženete Cisco Secure Client-AnyConnect, izberite V redu, da omogočite TOE za razširitev zmogljivosti navideznega zasebnega omrežja (VPN) vaše naprave
Preverjanje integritete
Preverjanje integritete se izvede vsakič, ko se aplikacija naloži, in bo počakala, da se preverjanje celovitosti zaključi. Kriptografske storitve, ki jih ponuja platforma iOS, se prikličejo za preverjanje digitalnega podpisa izvedljive datoteke TOE. files. Če se preverjanje celovitosti ne zaključi uspešno, se GUI ne bo naložil, zaradi česar aplikacija postane neuporabna. Če je preverjanje celovitosti uspešno, se bo GUI aplikacije naložil in deloval normalno.
Konfigurirajte referenčni identifikator
Ta razdelek podaja konfiguracijo referenčnega identifikatorja za enakovrednega prehoda VPN. Med 1. avtentikacijo IKE TOE primerja referenčni identifikator z identifikatorjem, ki ga predstavi prehod VPN. Če TOE ugotovi, da se ne ujemajo, avtentikacija ne bo uspela.
Na začetnem zaslonu izberite Povezave za view vnose, ki so že konfigurirani v vaši napravi. Navedenih je lahko več vnosov povezav, nekateri pod naslovom VPN na aplikacijo. Vnosi povezav imajo lahko naslednje stanje:
- Omogočeno— Ta vnos povezave omogoči upravitelj mobilne naprave in se lahko uporablja za povezovanje.
- Aktivno— Ta označena ali poudarjena povezava je trenutno aktivna.
- Povezan— Ta vnos povezave je aktiven in je trenutno povezan in deluje.
- Prekinjeno— Ta vnos povezave je aktiven, vendar je trenutno prekinjen in ne deluje.
Za navodila glejte »Ročno dodajanje ali spreminjanje vnosov povezave« razdelek [3].
Konfigurirajte uporabo potrdila
AnyConnect zahteva potrdilo X.509. Glejte na "Konfiguriraj potrdila" razdelek [3].
Blokiraj nezaupljive strežnike
Ta nastavitev aplikacije določa, ali AnyConnect blokira povezave, ko ne more identificirati varnega prehoda.
Ta zaščita je privzeto VKLOPLJENA in je ne smete IZKLOPITI.
AnyConnect uporablja potrdilo, prejeto od strežnika, da preveri svojo identifikacijo. Če pride do napake potrdila zaradi pretečenega ali neveljavnega datuma, napačne uporabe ključa ali neujemanja imena, je povezava blokirana.
Nastavite način VPN FIPS
Način VPN FIPS uporablja kriptografske algoritme zveznih standardov za obdelavo informacij (FIPS) za vse povezave VPN.
- V aplikaciji Cisco Secure Client-AnyConnect tapnite Nastavitve.
- Tapnite način FIPS, da omogočite to nastavitev.
Za izpolnitev kriptografskih zahtev v ST mora biti omogočen način FIPS. Po potrditvi spremembe načina FIPS se aplikacija zapre in jo je treba ročno znova zagnati. Po ponovnem zagonu velja vaša nastavitev načina FIPS.
Način strogega zaupanja potrdilom
Ta nastavitev konfigurira Cisco Secure Client-AnyConnect TOE, da onemogoči potrdilo glavnega prehoda VPN, ki ga ne more samodejno preveriti.
- V začetnem oknu tapnite Meni > Nastavitve.
- Omogoči strogi način zaupanja potrdilu.
Pri naslednjem poskusu povezave bo omogočeno strogo zaupanje potrdila
Preverite preklic potrdila
Ta nastavitev nadzoruje, ali bo TOE Cisco Secure Client-AnyConnect določil status preklica potrdila, prejetega od prehoda VPN na glavni strani. Ta nastavitev mora biti VKLOPLJENA in ne sme biti IZKLOPLJENA.
- V začetnem oknu AnyConnect tapnite Meni > Nastavitve.
- Omogočite Preveri preklic potrdila, da omogočite to nastavitev.
Operativna navodila za TOE
Vzpostavite povezavo VPN
Glejte na »Ustanoviti a VPN povezava" razdelek [3].
Skrbnik mora upoštevati naslednja pravila PROTECT, BYPASS in DISCARD glede uporabe IPsec v AnyConnect:
- ZAŠČITI
Vnosi za PROTECT so konfigurirani prek pravilnika skupine za oddaljeni dostop na ASA z uporabo ASDM. Za vnose PROTECT teče promet skozi tunel IPsec VPN, ki ga zagotavlja TOE. Za predor TOE ves promet ni potrebna konfiguracija. Skrbnik lahko po želji izrecno nastavi to vedenje z ukazom v svojem pravilniku skupine: split-tunnel-policy tunnelall - ZAPIS
TOE podpira operacije BYPASS (če je razdeljeno tuneliranje izrecno dovoljeno s politiko oddaljenega dostopa). Ko je omogočeno razdeljeno tuneliranje, prehod ASA VPN potisne seznam omrežnih segmentov v TOE, da ZAŠČITITI. Ves drug promet potuje nezaščiten brez vključevanja TOE in tako zaobide zaščito IPsec.
Razdeljeno tuneliranje je konfigurirano v pravilniku skupine za dostop do omrežja (odjemalca). Administrator ima naslednje možnosti:
Excludespecified: Izključi samo omrežja, ki jih določa split-tunnel-network-list
Predor: Omrežja samo za tuneliranje, določena s seznamom split-tunnel-network. Glejte razdelek »O konfiguriranju razdeljenega tuneliranja za promet AnyConnect« v priročniku za konfiguracijo VPN ASDM in si oglejte korake v razdelku »Konfiguriranje razdeljenega tuneliranja za promet AnyConnect«. Ko spremenite pravilnik skupine v ASDM, se prepričajte, da je pravilnik skupine povezan s Connection Profile v Konfiguracija > Oddaljeni dostop VPN > Omrežni (odjemalski) dostop > AnyConnect Connection Profiles > Dodaj/Uredi > Pravilnik skupine. Vnose BYPASS SPD zagotavlja gostiteljska platforma prek implicitnih pravil dovoljenj za omrežni promet. Za prenos tega prometa na platformi TOE ni potrebna nobena konfiguracija. - ZAVRZI
Pravila DISCARD izvaja izključno platforma TOE. Za določanje pravila DISCARD ni skrbniškega vmesnika.
Nadzor in odpravljanje težav
Glejte na Nadzor in odpravljanje težav razdelek [3].
Izhod iz Cisco Secure Client-AnyConnect
Izhod iz aplikacije prekine trenutno povezavo VPN in ustavi vse procese TOE. To dejanje uporabljajte zmerno. Druge aplikacije ali procesi v vaši napravi morda uporabljajo trenutno povezavo VPN in izhod iz aplikacije Cisco Secure Client-AnyConnect lahko negativno vpliva na njihovo delovanje.
V začetnem oknu tapnite Meni > Izhod.
Kriptografska podpora
TOE zagotavlja kriptografijo v podporo IPsec s simetrično kriptografijo ESP za množično šifriranje/dešifriranje AES in algoritmom SHA-2 za zgoščevanje. Poleg tega TOE zagotavlja kriptografijo za podporo izmenjave ključev Diffie Hellman in funkcije izpeljave, ki se uporablja v protokolih IKEv2 in ESP. Navodila za konfiguracijo kriptografskih funkcij so opisana v razdelku »Postopki in operativna navodila za okolje IT« tega dokumenta.
Zaupanja vredne posodobitve
Ta razdelek vsebuje navodila za varno sprejemanje TOE in vseh poznejših posodobitev TOE. »Posodobitve« so nova različica TOE.
Uporabnik lahko povpraša po različicah TOE. Na začetnem zaslonu tapnite »Vizitka«. O različicah je mogoče poizvedovati tudi prek mobilne platforme:
- iPhone: Odprite Nastavitve in pojdite na Splošno > Uporaba. V razdelku Storage poiščite Cisco Secure Client Any Connect in tapnite. Prikazale se bodo informacije o različici.
Posodobitve TOE Cisco Secure Client-AnyConnect se upravljajo prek trgovine Apple App Store po spodnjem postopku.
Opomba: Preden nadgradite svojo napravo, morate prekiniti sejo VPN, če je vzpostavljena, in zapreti aplikacijo, če je odprta. Če tega ne storite, je pred uporabo nove različice TOE Cisco Secure Client-AnyConnect potreben ponovni zagon vaše naprave.
- Tapnite ikono App Store na domači strani iOS.
- Tapnite obvestilo o nadgradnji Cisco Secure Client-AnyConnect.
- Preberite o novih funkcijah.
- Kliknite Posodobi.
- Vnesite svoje geslo za Apple ID.
- Tapnite OK.
Posodobitev se nadaljuje.
Pridobivanje dokumentacije in oddaja storitvene zahteve
Za informacije o pridobivanju dokumentacije, uporabi orodja za iskanje hroščev Cisco (BST), oddaji zahteve za storitev in zbiranju dodatnih informacij glejte Kaj je novega v dokumentaciji izdelkov Cisco.
Če želite prejemati nove in spremenjene Ciscove tehnične vsebine neposredno na namizje, se lahko naročite na Kaj je novega v RSS dokumentaciji izdelkov Cisco. Viri RSS so brezplačna storitev.
Vzpostavljanje stika s podjetjem Cisco
Cisco ima več kot 200 pisarn po vsem svetu. Naslovi, telefonske številke in številke faksa so navedeni na Ciscovem seznamu webspletno mesto na www.cisco.com/go/offices.
Dokumenti / Viri
 |
Varni odjemalec CISCO AnyConnect 5.0 [pdf] Uporabniški priročnik 5.0 za iOS 16, AnyConnect 5.0 varen odjemalec, 5.0 varen odjemalec, varen odjemalec, odjemalec |
