Приручник за ЦИСЦО АниЦоннецт 5.0 Сецуре Цлиент

Увод у документ

Припремио:
Цисцо Системс, Инц.
170 Западни Тасман Др.
Сан Хозе, Калифорнија 95134

Овај документ пружа Смернице ИТ особљу за ТОЕ, Цисцо Сецуре Цлиент – АниЦоннецт 5.0 за иОС 16. Овај документ са упутством садржи упутства за успешно инсталирање ТОЕ у оперативном окружењу, упутства за управљање безбедношћу ТСФ-а и упутства за обезбеђивање заштићена административна способност.

Историја ревизија

Версион	Датум	Промена
0.1	1. маја 2023. године	Почетна верзија
0.2	27. јул 2023	Ажурирања

Цисцо и Цисцо лого су заштитни знаци или регистровани заштитни знаци компаније Цисцо и/или њених филијала у САД и другим земљама. То view листу Цисцо заштитних знакова, идите на ово URL: ввв.цисцо.цом/го/традемаркс. Поменути заштитни знаци трећих страна власништво су њихових власника. Употреба речи партнер не подразумева партнерски однос између Цисцо-а и било које друге компаније. (1110Р)

© 2023 Цисцо Системс, Инц. Сва права задржана.

Увод

Ово Оперативно упутство за кориснике са припремним процедурама документује администрацију Цисцо Сецуре ЦлиентАниЦоннецт в5.0 за Аппле иОС 16 ТОЕ, као што је сертификовано према Заједничким критеријумима. Цисцо Сецуре Цлиент-АниЦоннецт в5.0 за Аппле иОС 16 може бити референциран у наставку помоћу сродног акронима, нпр. ВПН Цлиент или једноставно ТОЕ.

Публика
Овај документ је написан за администраторе који инсталирају и конфигуришу ТОЕ. Овај документ претпоставља да сте упознати са основним концептима и терминологијама које се користе у умрежавању и да разумете топологију ваше мреже и протоколе које уређаји у вашој мрежи могу да користе, да сте особа од поверења и да сте обучени да користите оперативне системе на којима покрећете своју мрежу.

Сврха
Овај документ је Оперативно упутство за кориснике са припремним процедурама за евалуацију заједничких критеријума. Написано је да истакне специфичну конфигурацију ТОЕ и администраторске функције и интерфејсе који су неопходни за конфигурисање и одржавање ТОЕ у процењеној конфигурацији. Овај документ нема за циљ да детаљно описује специфичне радње које обавља администратор, већ је мапа пута за идентификацију одговарајућих локација у Цисцо документацији да бисте добили специфичне детаље за конфигурисање и одржавање операција АниЦоннецт Сецуре Мобилити Цлиент. Све безбедносне релевантне команде за управљање ТСФ подацима су дате у овој документацији у оквиру сваког функционалног одељка.

Референце докумената
Овај одељак наводи документацију Цисцо Системс која је такође део листе ставки конфигурације заједничких критеријума (ЦИ). Коришћени документи су приказани испод у табели 1. У овом документу, водичи ће се позвати са „#“, као што је [1].

Табела 1 Цисцо документација

#	Наслов	Линк
1	Цисцо Сецуре Цлиент (укључујући АниЦоннецт) Администраторски водич, издање 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ент/аницоннецт/Цисцо-Сецуре-Цлиент-5/админ/гуиде/б- цисцо-сецуре-цлиент-админ-гуиде-5-0.хтмл
2	Водич за администраторе Цисцо АниЦоннецт мобилних платформи, издање 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ент/аницоннецт/аницоннецт41/администратион/гуиде/Цисц о_АниЦоннецт_Мобиле_Администратор_Гуиде_4-1.хтмл
3	Аппле иОС кориснички водич за Цисцо АниЦоннецт Сецуре Мобилити Цлиент, издање 4.6.к	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ент/аницоннецт/аницоннецт46/усер/гуиде/Аппле_иОС_Ани Цоннецт_Усер_Гуиде_4-6-к.хтмл
4	Напомене о издању за Цисцо АниЦоннецт Сецуре Мобилити Цлиент, издање 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ент/аницоннецт/аницоннецт49/релеасе/нотес/релеасе- нотес-аницоннецт-4-9.хтмл
5	Напомене о издању за Цисцо Сецуре Цлиент (укључујући АниЦоннецт), издање 5 за Аппле иОС	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ент/аницоннецт/Цисцо-Сецуре-Цлиент- 5/релеасе/нотес/релеасе-нотес-аппле-иос-цисцо-сецуре- цлиент-релеасе-5-0.хтмл

ТОЕ Оверview
ТОЕ је Цисцо АниЦоннецт Сецуре Мобилити Цлиент (у даљем тексту ВПН клијент или ТОЕ). Цисцо АниЦоннецт Сецуре Мобилити Цлиент пружа удаљеним корисницима безбедне ИПсец (ИКЕв2) ВПН везе са ВПН мрежним пролазом Цисцо 5500 серије Адаптиве Сецурити Апплианце (АСА) омогућавајући инсталираним апликацијама да комуницирају као да су директно повезане на мрежу предузећа.

Оперативно окружење
ТОЕ захтева следеће компоненте ИТ окружења када је ТОЕ конфигурисан у својој процењеној конфигурацији:

Табела 2. Компоненте оперативног окружења

Компонента	Опис употребе/намена
Дипломирани орган	Ауторитет за издавање сертификата се користи за обезбеђивање важећих дигиталних сертификата.
Мобиле Платформ	ТОЕ се ослања на било коју од следећих ЦЦ валидираних Аппле платформи мобилних уређаја: Аппле иПхоне 11/КСР који користи иОС 16
ВПН мрежни пролаз серије АСА 5500-Кс	Цисцо АСА 5500-Кс са верзијом софтвера 9.2.2 или новијом функционише као главни ВПН мрежни пролаз.
АСДМ платформа за управљање	АСДМ 7.7 ради са било ког од следећих оперативних система: Виндовс 7, 8, 10 Виндовс Сервер 2008, 2012, 2012 Р2, 2016 и Сервер 2019 Аппле ОС Кс 10.4 или новији Имајте на уму да је тај АСДМ софтвер инсталиран на АСА уређају и да се платформа за управљање користи за повезивање са АСА-ом и покретање АСДМ-а. Једини софтвер инсталиран на платформи за управљање је Цисцо АСДМ Лаунцхер.

Основна мобилна платформа пружа неке од безбедносних функција потребних у МОД_ВПНЦ_В2.4] и означена је изразом „ТОЕ платформа“ у овом документу.

Цисцо АниЦоннецт ТОЕ користи мрежне хардверске ресурсе на платформи мобилног ОС за слање и примање шифрованих пакета. ТОЕ не приступа репозиторијумима осетљивих информација.

Референце у овом документу на „АСА“ односе се на ВПН мрежни пролаз

Искључена функционалност

Функционалност наведена у наставку није укључена у процењену конфигурацију.

Табела 3. Искључена функционалност и образложење

Функција искључена	Образложење
Не-ФИПС 140-2 начин рада	ТОЕ укључује ФИПС режим рада. Режими ФИПС дозвољавају ТОЕ да користи само одобрену криптографију. ФИПС режим рада мора бити омогућен да би ТОЕ радио у својој процењеној конфигурацији.
ССЛ тунел са опцијама ДЛТС тунела	[МОД_ВПНЦ_В2.4] дозвољава само ИПсец ВПН тунел.

Ове услуге ће бити онемогућене конфигурацијом. Искључивање ове функционалности не утиче на усаглашеност са Протецтион Про-ом који се тврдиfiles.

Процедуре и оперативно упутство за ИТ окружење

Да би радио у својој процењеној конфигурацији, ТОЕ захтева најмање један (1) ауторитет за сертификате (ЦА), један (1) ВПН мрежни пролаз и један (1) Аппле иПхоне мобилни уређај.

Да би личило на корисничка ПКИ окружења, у овом одељку ће се помињати двослојно ЦА решење које користи ванмрежни основни ЦА и подређени ЦА предузећа који користи Мицрософт 2012 Р2 ауторитет за издавање сертификата (ЦА). Могу се користити други ЦА производи уместо Мицрософта.

Основни ЦА је конфигурисан као самостални сервер (радне групе), док је подређени ЦА конфигурисан као део Мицрософт домена са омогућеним услугама Ацтиве Дирецтори. Следећа слика пружа визуелни приказ ТОЕ и ИТ

Животна средина. ТОЕ је софтверска апликација која ради на иОС-у 13. Граница ТОЕ је означена црвеном хеш линијом. Погледајте слику 1 испод.

Слика 1. ТОЕ и животна средина

Подређени ЦА издаје Кс.509 дигиталне сертификате и обезбеђује листу опозива сертификата (ЦРЛ) ТОЕ платформи и ВПН мрежном пролазу.
Алтернативно, може се применити један (1) појединачни основни Ентерприсе ЦА.

• Инсталирајте и конфигуришите ауторитет за издавање сертификата

Ако користите Мицрософтово двослојно решење за ЦА, инсталирајте и конфигуришите коренски (ГРАИЦА) и подређени ауторитет сертификата предузећа (ГРАИСУБЦА1) у складу са упутствима продавца. Следи водич корак по корак за конфигурацију Мицрософт Ацтиве Дирецтори сервиса сертификата:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Претпоставља се да су и сертификати ванмрежног основног ЦА (ГРАИЦА) и подређени ЦА сертификати предузећа (ГРАИСУБЦА1) приказани на слици 1 инсталирани и поуздани како би се осигурало успостављање поузданог ланца сертификата. Ако користите ЦА од добављача који није Мицрософт, пратите упутства за инсталацију ЦА тог добављача.

Без обзира на коришћени ЦА производ, РСА сертификат на АСА МОРА да има следећа својства коришћења кључа и проширене употребе кључа:

• Употреба кључа: Дигитални потпис, Уговор о кључу
• ЕКУ: ИП безбедност ИКЕ интермедиате, ИП енд сигурносни систем

Поља алтернативног имена субјекта (САН) у оквиру ЕЦДСА и РСА сертификата на АСА МОРАЈУ се подударати са информацијама о вези наведеним у АниЦоннецт проfile на клијента.

• Инсталирајте и конфигуришите ВПН мрежни пролаз

Инсталирајте Цисцо АСА 9.1 (или новију), опционо са АСДМ, у складу са водичима за инсталацију и напоменама о издању одговарајућим за верзије које се инсталирају. АСДМ омогућава управљање АСА-ом из графичког корисничког интерфејса. Алтернативно, ако администратор жели, могу се користити еквивалентни кораци конфигурације командне линије (ЦЛИ).

Напомена о конфигурацији: Пошто постоје параметри којима управља АСА, администратор мрежног пролаза мора да прати кораке у овом одељку како би осигурао да је ТОЕ у својој процењеној конфигурацији.

• Омогућите АниЦоннецт и ИКЕв2 на АСА. У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > АниЦоннецт Цоннецтион Проfileс и изаберите Омогући Цисцо АниЦоннецт поље за потврду и Дозволи приступ под ИКЕв2.
  
• На АниЦоннецт Цоннецтион Проfileна горе поменутој страници, изаберите Сертификат уређаја. Уверите се да НИЈЕ означено Користи исти сертификат уређаја… и изаберите ЕЦ ИД сертификат испод ЕЦДСА сертификата уређаја. Затим изаберите Ок.
  
• Креирајте ИКЕв2 крипто полису користећи алгоритме дозвољене у конфигурацији процењеној на основу заједничких критеријума. У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > Напредно > ИПсец > ИКЕ политике и додајте ИКЕв2 полису.

Изаберите Додај и унесите 1 за највиши приоритет. Опсег је од 1 до 65535, са 1 највишим приоритетом.

Шифровање:
АЕС: Одређује АЕС-ЦБЦ са 128-битним кључем за шифровање за ЕСП.
АЕС-256: Одређује АЕС-ЦБЦ са 256-битним кључем за шифровање за ЕСП.
АЕС-ГЦМ-128: Одређује АЕС Галоис Цоунтер Моде 128-битно шифровање
АЕС-ГЦМ-256: Одређује АЕС Галоис Цоунтер Моде 256-битно шифровање

ДХ група: Изаберите идентификатор Диффие-Хеллман групе. Ово користи сваки ИПсец пеер да изведе заједничку тајну, без да је међусобно преноси. Важећи избори су: 19 и 20.

ПРФ Хасх – Наведите ПРФ који се користи за израду материјала за кључеве за све криптографске алгоритме који се користе у СА. Важећи избори су: сха256 и сха384

У овом екampле конфигурација изаберите:

 

Приоритет: 1

АЕС Галоис Цоунтер Моде (АЕС-ГЦМ) 256-битно шифровање: Када је изабран ГЦМ, то искључује потребу да се изабере алгоритам интегритета. То је зато што су могућности аутентичности уграђене у ГЦМ, за разлику од ЦБЦ (Ципхер-Блоцк Цхаининг).

Диффие-Хеллман Гроуп: 20
Хеш интегритета: Нулл
ПРФ хеш: схаКСНУМКС
Животни век: 86400

Изаберите Ок.

Напомена администратора: Не процењује се коришћење било које додатне енкрипције, ДХ-групе, интегритета или ПРФ хеша који није горе наведен.

Напомена администратора: Напредна картица приказује параметар примене ИКЕ снаге. Уверите се да је параметар за спровођење снаге безбедносне асоцијације (СА) означен. Ово осигурава да је снага шифровања ИКЕв2 већа од јачине шифрованих шифри његовог подређеног ИПсец СА. Алгоритми веће снаге ће бити деградирани.

ЦЛИ еквивалент је: црипто ипсец икев2 са-стренгтх-енфорцемент

• Направите ИПСЕЦ предлог. У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > Напредно > ИПсец > ИПсец предлози (скупови трансформације) и додајте ИКЕв2 ИПсец предлог. затим изаберите Ок.
  У бивampиспод коришћеног имена је НГЕ-АЕС-ГЦМ-256 са АЕС-ГЦМ-256 за шифровање и Нулл за хеш интегритета:
  
  
• Направите динамичку крипто мапу, изаберите ИПсец предлог и примените на спољни интерфејс. У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > Напредно > ИПсец > Крипто мапе. Изаберите Додај, изаберите спољни интерфејс и ИКЕв2 предлог.
  Кликните на картицу Напредно. Уверите се у следеће:
  Омогућите НАТ-Т —Омогућава НАТ Траверсал (НАТ-Т) за ову политику
  Доживотно подешавање безбедносног удружења — је подешено на 8 сати (28800 секунди)
• Креирајте скуп адреса ВПНУСЕРС који ће бити додељен ВПН корисницима. Скупови адреса садрже следећа поља:
  Име —Одређује име додељено групи ИП адреса.
  Покретање ИП адресе —Одређује прву ИП адресу у групи.
  Завршна ИП адреса —Одређује последњу ИП адресу у групи.
  Подмрежна маска— Бира маску подмреже за примену на адресе у групи.

У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > Додела адреса > Скупови адреса и додајте ИП скуп наводећи горња поља, а затим изаберите У реду.

Додајте политику групе која ће применити жељена подешавања на ВПН кориснике. Групне политике вам омогућавају да управљате АниЦоннецт ВПН групним смерницама. Политика ВПН групе је колекција кориснички оријентисаних парова атрибута/вредности ускладиштених било интерно на АСА уређају. Конфигурисање политике ВПН групе омогућава корисницима да наследе атрибуте које нисте конфигурисали на нивоу појединачне групе или корисничког имена. Подразумевано, ВПН корисници немају асоцијацију на политику групе. Информације о смерницама групе користе ВПН групе тунела и кориснички налози. У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > Групне политике и Додајте интерну групну политику. Уверите се да је протокол ВПН тунела подешен на ИКЕв2 и да се горе креирани ИП скуп референцира у смерницама тако што ћете опозвати избор у пољу за потврду Наследи и изабрати одговарајућу поставку. Релевантни ДНС, ВИНС и имена домена такође се могу додати у смернице у одељку Сервери.

Погледајте прampсмернице групе НГЕ-ВПН-ГП у наставку:

• Направите име групе тунела. Група тунела садржи смернице за тунелску везу за ИПсец везу. Политика повезивања може специфицирати сервере за аутентификацију, ауторизацију и рачуноводство, подразумевану групну политику и ИКЕ атрибуте.

У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > АниЦоннецт Цоннецтион Проfileс. На дну странице под Цоннецтион Проfileс, изаберите Додај.

У бивampЛе испод назива групе тунела се користи НГЕ-ВПН-РАС.

Конфигурација се односи на аутентификацију сертификата, придружену групну политику НГЕ-ВПН-ГП и Енабле ИПсец (ИКЕв2). Овде се такође могу додати ДНС и назив домена. Такође се уверите да се користи само ИПсец тако што не проверите омогућавање ССЛ ВПН клијентског протокола.

• Креирајте мапу сертификата, мапирајући НГЕ ВПН кориснике у групу ВПН тунела која је претходно креирана. Мапа сертификата ће бити примењена на кориснике АЦ. У овом сценарију, заједничко име подређеног ЦА је усклађено како би се осигурало да ће долазни захтев платформе ТОЕ са ЕЦ сертификатом издатим од подређеног ЦА бити мапиран у одговарајућу групу тунела која је претходно креирана. ВПН корисници којима није издат сертификат од ЕЦ ЦА ће се вратити на подразумеване групе тунела и
  не успе у аутентификацији и биће одбијен приступ.
  У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Напредно > Сертификат за АниЦоннецт и ССЛ ВПН Цоннецтион Про без клијентаfile Мапс. Под сертификатом за Цоннецтион Проfile Мапе изаберите Додај. Изаберите постојећу ДефаултЦертифицатеМап са приоритетом 10 и референцирајте групу тунела НГЕ-РАС-ВПН.
  
  У АСДМ-у идите на Конфигурација > ВПН за даљински приступ > Напредно > Сертификат за АниЦоннецт и ССЛ ВПН Цоннецтион Про без клијентаfile Мапс. Под Критеријуми мапирања изаберите Додај. Изаберите Издавач за поље, Уобичајено име (ЦН) за компоненту, Садржи за Оператора, а затим изаберите У реду.
  
  Обавезно изаберите ПРИМЕНИ на главној страници и САЧУВАЈ конфигурацију.
• Конфигуришите АСА да прихвата ВПН везе са АниЦоннецт ВПН клијента, користите АниЦоннецт ВПН чаробњак. Овај чаробњак конфигурише ИПсец (ИКЕв2) ВПН протоколе за даљински приступ мрежи. Погледајте упутства овде:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Припремне процедуре и оперативно упутство за ТОЕ

Да бисте инсталирали Цисцо Сецуре Цлиент-АниЦоннецт ТОЕ, следите доле наведене кораке:

1. Отворите Апп Сторе.
2. Изаберите Претрага
3. У поље за претрагу унесите Цисцо Сецуре Цлиент-АниЦоннецт
4. Додирните ИНСТАЛИРАЈ АПЛИКАЦИЈУ
5. Изаберите Инсталирај

Покрените Цисцо Сецуре Цлиент-АниЦоннецт

Додирните икону Цисцо Сецуре Цлиент-АниЦоннецт да бисте покренули апликацију. Ако је ово први пут да покрећете Цисцо Сецуре Цлиент-АниЦоннецт након инсталирања или надоградње, изаберите ОК да бисте омогућили ТОЕ да прошири могућности виртуелне приватне мреже (ВПН) вашег уређаја

Провера интегритета

Провера интегритета се обавља сваки пут када се апликација учита и сачекаће да се провера интегритета заврши. Криптографске услуге које пружа иОС платформа се позивају да би се верификовао дигитални потпис извршног фајла ТОЕ fileс. Ако се верификација интегритета не заврши успешно, ГУИ се неће учитати, што апликацију чини неупотребљивом. Ако је верификација интегритета успешна, ГУИ апликације ће се учитати и нормално радити.

Конфигуришите референтни идентификатор

Овај одељак наводи конфигурацију референтног идентификатора за ВПН мрежни пролаз. Током ИКЕ фазе 1 аутентификације, ТОЕ упоређује референтни идентификатор са идентификатором који представља ВПН мрежни пролаз. Ако ТОЕ утврди да се не подударају, аутентификација неће успети.

Изаберите Везе са почетног екрана до view уносе који су већ конфигурисани на вашем уређају. Може бити наведено више уноса веза, неки под насловом ВПН по апликацији. Уноси везе могу имати следећи статус:

• Омогућено— Овај унос везе омогућава менаџер мобилних уређаја и може се користити за повезивање.
• Активан— Овај означени или истакнути унос везе је тренутно активан.
• Повезан- Овај унос везе је активан и тренутно је повезан и ради.
• Искључено— Овај унос везе је активан, али је тренутно прекинут и не ради.

За упутства погледајте „Ручно додајте или измените уносе везе“ одељак [3].

Конфигуришите употребу сертификата

АниЦоннецт захтева Кс.509 сертификат. Односи се „Конфигуришите сертификате“ одељак [3].

Блокирајте непоуздане сервере

Ова поставка апликације одређује да ли АниЦоннецт блокира везе када не може да идентификује безбедни мрежни пролаз.
Ова заштита је подразумевано УКЉУЧЕНА и не сме се искључити.

АниЦоннецт користи сертификат примљен од сервера да би потврдио свој идентитет. Ако постоји грешка у сертификату због истека или неважећег датума, погрешног коришћења кључа или неподударања имена, веза је блокирана.

Подесите ВПН ФИПС режим
ВПН ФИПС режим користи криптографске алгоритме Федералних стандарда за обраду информација (ФИПС) за све ВПН везе.

1. У апликацији Цисцо Сецуре Цлиент-АниЦоннецт додирните Подешавања.
2. Додирните ФИПС режим да бисте омогућили ово подешавање.

Да би се испунили криптографски захтеви у СТ, режим ФИПС мора бити омогућен. Након потврде промене вашег ФИПС режима, апликација излази и мора се поново покренути ручно. Након поновног покретања, ваша поставка ФИПС режима је на снази.

Строги режим поверења сертификата

Ова поставка конфигурише Цисцо Сецуре Цлиент-АниЦоннецт ТОЕ да онемогући сертификат главног ВПН мрежног пролаза који не може аутоматски да верификује.

1. У почетном прозору додирните Мени > Подешавања.
2. Омогућите строги режим поверења сертификата.

Приликом следећег покушаја повезивања, Стрицт Цертифицате Труст ће бити омогућен

Проверите опозив сертификата

Ова поставка контролише да ли ће Цисцо Сецуре Цлиент-АниЦоннецт ТОЕ одредити статус опозива сертификата примљеног од главног ВПН мрежног пролаза. Ово подешавање мора бити УКЉУЧЕНО и не сме се искључити.

1. У почетном прозору АниЦоннецт тапните на Мени > Подешавања.
2. Омогућите проверу опозива сертификата да бисте омогућили ово подешавање.

Оперативно упутство за ТОЕ

Успоставите ВПН везу

Погледајте на "Успоставити a ВПН веза” одељак [3].

Администратор треба да има у виду следећа правила ЗАШТИТЕ, БИПАСС и ОДБАЦИ у вези са коришћењем ИПсец-а у АниЦоннецт-у:

• ПРОТЕЦТ
  Уноси за ПРОТЕЦТ се конфигуришу путем групне политике удаљеног приступа на АСА користећи АСДМ. За ПРОТЕЦТ уносе, саобраћај тече кроз ИПсец ВПН тунел који обезбеђује ТОЕ. Није потребна конфигурација за сав саобраћај у тунелу ТОЕ. Администратор опционо може експлицитно да подеси ово понашање командом у својим смерницама групе: сплит-туннел-полици туннелалл
• ЗАОБИЋИ
  ТОЕ подржава БИПАСС операције (када је подељено тунелирање експлицитно дозвољено политиком удаљеног приступа). Када је подељено тунелирање омогућено, АСА ВПН Гатеваи гура листу мрежних сегмената у ТОЕ да ПРОТЕЦТ. Сав други саобраћај путује незаштићен без укључивања ТОЕ, чиме се заобилази ИПсец заштита.
  Подељено тунелирање је конфигурисано у смерницама групе за приступ мрежи (клијент). Администратор има следеће опције:
  Искључи специфицирано: Изузми само мреже наведене у сплит-туннел-нетворк-лист
  Тунел специфициран: Мреже само за тунеле наведене у листи сплит-туннел-нетворк Погледајте одељак „О конфигурисању подељеног тунела за АниЦоннецт саобраћај“ у водичу за конфигурацију ВПН АСДМ и погледајте кораке дате у одељку „Конфигурисање подељеног тунела за АниЦоннецт саобраћај“. Након што извршите измене у смерницама групе у АСДМ-у, уверите се да су смернице групе повезане са Цоннецтион Проfile у Конфигурација > ВПН за даљински приступ > Мрежни (клијентски) приступ > АниЦоннецт Цоннецтион Проfileс > Додај/Измени > Политика групе. БИПАСС СПД уносе обезбеђује хост платформа путем имплицитних правила дозволе мрежног саобраћаја. Није потребна никаква конфигурација на ТОЕ платформи да би јој се омогућило да прође овај саобраћај.
• ОДБАЦИ
  Правила ОДБАЦИ врши искључиво ТОЕ платформа. Не постоји административни интерфејс за одређивање правила ОДБАЦИ.

Надгледање и решавање проблема

Погледајте на Надгледање и решавање проблема одељак [3].

Излазак из Цисцо Сецуре Цлиент-АниЦоннецт
Излазак из апликације прекида тренутну ВПН везу и зауставља све ТОЕ процесе. Користите ову акцију штедљиво. Друге апликације или процеси на вашем уређају можда користе тренутну ВПН везу и излазак из апликације Цисцо Сецуре Цлиент-АниЦоннецт може негативно утицати на њихов рад.

У почетном прозору додирните Мени > Изађи.

Криптографска подршка
ТОЕ обезбеђује криптографију као подршку ИПсец-у са ЕСП симетричном криптографијом за масовно АЕС шифровање/дешифровање и СХА-2 алгоритмом за хеширање. Поред тога, ТОЕ обезбеђује криптографију за подршку Диффие Хеллман функције размене кључева и деривације која се користи у ИКЕв2 и ЕСП протоколима. Упутства за конфигурисање криптографских функција описана су у одељку „Процедуре и оперативне смернице за ИТ окружење“ овог документа.

Поуздана ажурирања

Овај одељак пружа упутства за безбедно прихватање ТОЕ и свих накнадних ажурирања ТОЕ. „Ажурирања“ су нова верзија ТОЕ.

ТоЕ верзија може бити постављена од стране корисника. На почетном екрану додирните „О“. Версионирање се такође може тражити преко мобилне платформе:

• иПхоне: Отворите Подешавања и идите на Опште > Употреба. У оквиру Стораге, пронађите Цисцо Сецуре Цлиент Ани Цоннецт и додирните. Информације о верзији ће бити приказане.

Ажурирањем Цисцо Сецуре Цлиент-АниЦоннецт ТОЕ се управља преко Аппле Апп Сторе-а коришћењем процедуре у наставку.

Напомена: Пре надоградње уређаја морате прекинути ВПН сесију ако је успостављена и затворити апликацију ако је отворена. Ако то не урадите, потребно је поновно покретање вашег уређаја пре коришћења нове верзије Цисцо Сецуре Цлиент-АниЦоннецт ТОЕ.

1. Додирните икону Апп Сторе на почетној страници иОС-а.
2. Додирните обавештење о надоградњи Цисцо Сецуре Цлиент-АниЦоннецт.
3. Прочитајте о новим функцијама.
4. Кликните на Ажурирај.
5. Унесите лозинку за Аппле ИД.
6. Додирните ОК.

Ажурирање се наставља.

Прибављање документације и подношење захтева за услугу

За информације о добијању документације, коришћењем Цисцо алатке за претрагу грешака (БСТ), подношењу захтева за услугу и прикупљању додатних информација, погледајте Шта је ново у документацији Цисцо производа.

Да бисте добијали нови и ревидирани Цисцо технички садржај директно на радну површину, можете се претплатити на Шта је ново у РСС фиду документације Цисцо производа. РСС канали су бесплатна услуга.

Контактирање компаније Цисцо

Цисцо има више од 200 канцеларија широм света. Адресе, бројеви телефона и бројеви факса су наведени на Цисцо-у webсајт на ввв.цисцо.цом/го/оффицес.

Документи / Ресурси

ЦИСЦО АниЦоннецт 5.0 Сецуре Цлиент [пдф] Упутство за кориснике 5.0 за иОС 16, АниЦоннецт 5.0 Сецуре Цлиент, 5.0 Сецуре Цлиент, Сецуре Цлиент, Цлиент

Референце

• Упутство за употребу