CISCO AnyConnect 5.0 Mwongozo Salama wa Mtumiaji wa Mteja
CISCO AnyConnect 5.0 Mteja Salama

Utangulizi wa Hati

Imetayarishwa Na:
Kampuni ya Cisco Systems, Inc.
170 Tasman Magharibi Dk.
San Jose, CA 95134

Hati hii inatoa Mwongozo kwa wafanyakazi wa IT kwa TOE, Cisco Secure Client - AnyConnect 5.0 kwa iOS 16. Hati hii ya Mwongozo inajumuisha maagizo ya kusakinisha kwa ufanisi TOE katika Mazingira ya Utendaji, maagizo ya kudhibiti usalama wa TSF, na maagizo ya kutoa uwezo wa kiutawala unaolindwa.

Historia ya Marekebisho

Toleo Tarehe Badilika
0.1 Mei 1, 2023 Toleo la Awali
0.2 Julai 27, 2023 Sasisho

Cisco na nembo ya Cisco ni chapa za biashara au chapa za biashara zilizosajiliwa za Cisco na/au washirika wake nchini Marekani na nchi nyinginezo. Kwa view orodha ya alama za biashara za Cisco, nenda kwa hii URL: www.cisco.com/go/trademarks. Alama za biashara za watu wengine zilizotajwa ni mali ya wamiliki husika. Matumizi ya neno mshirika haimaanishi uhusiano wa ushirikiano kati ya Cisco na kampuni nyingine yoyote. (1110R)

© 2023 Cisco Systems, Inc. Haki zote zimehifadhiwa.

Yaliyomo kujificha
1 Utangulizi
2 Taratibu na Mwongozo wa Utendaji kwa Mazingira ya IT
3 Taratibu za Maandalizi na Mwongozo wa Uendeshaji kwa TOE
4 Anzisha Cisco Secure Client-AnyConnect
5 Mwongozo wa Uendeshaji kwa TOE
6 Kupata Hati na Kuwasilisha Ombi la Huduma
7 Wasiliana na Cisco
8 Nyaraka / Rasilimali
8.1 Marejeleo
9 Machapisho Yanayohusiana

Utangulizi

Mwongozo huu wa Uendeshaji wa Mtumiaji wenye Taratibu za Maandalizi huandika usimamizi wa Cisco Secure ClientAnyConnect v5.0 kwa Apple iOS 16 TOE, jinsi ulivyoidhinishwa chini ya Vigezo vya Pamoja. Cisco Secure Client-AnyConnect v5.0 ya Apple iOS 16 inaweza kurejelewa hapa chini na kifupi kinachohusiana mfano VPN Client au kwa urahisi TOE.

Hadhira
Hati hii imeandikwa kwa wasimamizi wanaosakinisha na kusanidi TOE. Hati hii inachukulia kuwa unajua dhana na istilahi za kimsingi zinazotumiwa katika utendakazi wa mtandao, na unaelewa topolojia ya mtandao wako na itifaki ambazo vifaa katika mtandao wako vinaweza kutumia, kwamba wewe ni mtu anayeaminika, na kwamba umefunzwa kutumia uendeshaji. mifumo ambayo unaendesha mtandao wako.

Kusudi
Hati hii ni Mwongozo wa Uendeshaji wa Mtumiaji na Taratibu za Maandalizi za tathmini ya Vigezo vya Pamoja. Iliandikwa ili kuonyesha usanidi maalum wa TOE na kazi za msimamizi na violesura ambavyo ni muhimu kusanidi na kudumisha TOE katika usanidi uliotathminiwa. Hati hii haikusudiwi kuelezea kwa undani hatua mahususi zilizofanywa na msimamizi bali ni ramani ya barabara ya kutambua maeneo yanayofaa ndani ya hati za Cisco ili kupata maelezo mahususi ya kusanidi na kudumisha shughuli za Mteja wa AnyConnect Secure Mobility. Amri zote zinazohusiana na usalama za kudhibiti data ya TSF zimetolewa ndani ya hati hizi ndani ya kila sehemu ya utendaji.

Marejeleo ya Hati
Sehemu hii inaorodhesha hati za Mifumo ya Cisco ambayo pia ni sehemu ya Orodha ya Kipengee cha Usanidi wa Vigezo vya Kawaida (CI). Hati zilizotumika zimeonyeshwa hapa chini katika Jedwali 1. Katika hati hii yote, miongozo itarejelewa na "#", kama vile [1].

Jedwali 1 Hati za Cisco

# Kichwa Kiungo
1 Cisco Secure Client (ikiwa ni pamoja na AnyConnect) Mwongozo wa Msimamizi, Toleo la 5 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2 Mwongozo wa Msimamizi wa Majukwaa ya Simu ya Cisco AnyConnect, Toa 4.1 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3 Mwongozo wa Mtumiaji wa Apple iOS kwa Mteja wa Cisco AnyConnect Secure Mobility, Toa 4.6.x https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4 Vidokezo vya Kutolewa kwa Mteja wa Cisco AnyConnect Secure Mobility, Toa 4.9 https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/ anyconnect49/release/notes/release- maelezo-anyconnect-4-9.html
5 Vidokezo vya Kutolewa kwa Mteja Salama wa Cisco (pamoja na AnyConnect), Toleo la 5 kwa Apple iOS https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- kutolewa kwa mteja-5-0.html

TOE Juuview
TOE ni Mteja wa Cisco AnyConnect Secure Mobility (hapa baada ya kujulikana kama mteja wa VPN, au TOE). Cisco AnyConnect Secure Mobility Client huwapa watumiaji wa mbali miunganisho salama ya IPsec (IKEv2) VPN kwa Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway inayoruhusu programu zilizosakinishwa kuwasiliana kana kwamba zimeunganishwa moja kwa moja kwenye mtandao wa biashara.

Mazingira ya Uendeshaji
TOE inahitaji Vipengee vifuatavyo vya Mazingira vya IT wakati TOE inaposanidiwa katika usanidi wake uliotathminiwa:

Jedwali 2. Vipengele vya Mazingira ya Uendeshaji

Sehemu Maelezo ya Matumizi/Kusudi
Mamlaka ya Hati Mamlaka ya Cheti hutumiwa kutoa vyeti halali vya kidijitali.
Jukwaa la Simu TOE inategemea mojawapo ya mifumo ifuatayo ya CC iliyoidhinishwa ya kifaa cha rununu ya Apple:
  • Apple iPhone 11/XR inayoendesha iOS 16
Mfululizo wa ASA 5500-X VPN Gateway Cisco ASA 5500-X yenye toleo la programu 9.2.2 au toleo la baadaye hufanya kazi kama lango kuu la VPN.
Jukwaa la Usimamizi wa ASDM ASDM 7.7 inafanya kazi kutoka kwa mifumo yoyote ya uendeshaji ifuatayo:
  • Windows 7, 8, 10
  • Windows Server 2008, 2012, 2012 R2, 2016 na Server 2019
  • Apple OS X 10.4 au baadayeKumbuka kwamba programu hiyo ya ASDM imesakinishwa kwenye kifaa cha ASA na jukwaa la usimamizi linatumika kuunganisha kwa ASA na kuendesha ASDM. Programu pekee iliyosakinishwa kwenye jukwaa la usimamizi ni Kizindua cha Cisco ASDM.

Mfumo wa msingi wa Simu ya Mkononi hutoa baadhi ya utendakazi wa usalama unaohitajika katika MOD_VPNC_V2.4] na unaonyeshwa kwa kutumia maneno "TOE Platform" katika hati hii.

Cisco AnyConnect TOE hutumia nyenzo za maunzi ya mtandao kwenye mfumo wa uendeshaji wa simu kutuma na kupokea pakiti zilizosimbwa. TOE haifikii hazina nyeti za habari.

Marejeleo katika hati hii kwa "ASA" yanarejelea Lango la VPN

Utendaji Uliotengwa

Utendaji ulioorodheshwa hapa chini haujajumuishwa katika usanidi uliotathminiwa.

Jedwali 3. Utendaji usiojumuishwa na Mantiki

Kazi Haijajumuishwa Mantiki
Njia ya uendeshaji isiyo ya FIPS 140-2 TOE inajumuisha hali ya utendaji ya FIPS. Hali za FIPS huruhusu TOE kutumia kriptografia iliyoidhinishwa pekee. Hali ya utendakazi ya FIPS lazima iwashwe ili TOE ifanye kazi katika usanidi wake uliotathminiwa.
Handaki ya SSL iliyo na chaguzi za kuweka vichuguu vya DLTS [MOD_VPNC_V2.4] inaruhusu tu njia ya IPsec VPN.

Huduma hizi zitazimwa kwa usanidi. Kutengwa kwa utendakazi huu hakuathiri utiifu wa Mtaalamu wa Ulinzi anayedaiwafiles.

Taratibu na Mwongozo wa Utendaji kwa Mazingira ya IT

Ili kufanya kazi katika usanidi wake uliotathminiwa, TOE inahitaji angalau moja (1) Mamlaka ya Cheti (CA), Lango la VPN moja (1) na kifaa kimoja (1) cha Apple iPhone.

Ili kufanana na mazingira ya wateja wa PKI, suluhu ya CA ya viwango viwili kwa kutumia Offline Root CA na Enterprise Subordinate CA inayoajiri Microsoft 2012 R2 Certificate Authority (CA) itarejelewa katika sehemu hii. Bidhaa zingine za CA badala ya Microsoft zinaweza kutumika.

Root CA imesanidiwa kuwa seva inayojitegemea (Kikundi cha Kazi) huku Kidhibiti cha CA kinasanidiwa kama sehemu ya kikoa cha Microsoft na huduma za Active Directory zimewashwa. Kielelezo kifuatacho kinatoa taswira inayoonekana ya TOE na IT

Mazingira. TOE ni programu ya programu inayoendeshwa kwenye iOS 13. Mpaka wa TOE unaonyeshwa na laini nyekundu ya hashi. Tazama sura ya 1 hapa chini.

Kielelezo 1. TOE na Mazingira
TOE na Mazingira

Subordinate CA hutoa vyeti vya dijitali vya X.509 na hutoa Orodha ya Kubatilisha Cheti (CRL) kwa Mfumo wa TOE na Lango la VPN.
Vinginevyo, mzizi mmoja (1) wa Enterprise CA unaweza kutumwa.

  • Sakinisha na Usanidi Mamlaka ya Cheti

Ikiwa unatumia suluhisho la CA la viwango viwili vya Microsoft, sakinisha na usanidi Root (GRAYCA) na Mamlaka ya Cheti cha Biashara Chini ya Biashara (GRAYSUBCA1) kwa mujibu wa mwongozo kutoka kwa muuzaji. Ufuatao ni mwongozo wa hatua kwa hatua wa usanidi wa Huduma za Cheti cha Saraka Inayotumika ya Microsoft:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Inachukuliwa kuwa cheti cha Offline Root CA (GRAYCA) na Vyeti vya CA (GRAYSUBCA1) vilivyo chini ya Biashara vilivyoonyeshwa kwenye mchoro wa 1 vimesakinishwa na kuaminiwa ili kuhakikisha kuwa msururu wa cheti cha kuaminika kinaanzishwa. Ikiwa unatumia CA kutoka kwa mchuuzi mwingine isipokuwa Microsoft, fuata mwongozo wa usakinishaji wa CA wa mchuuzi huyo.

Bila kujali bidhaa ya CA inayotumika, cheti cha RSA kwenye ASA LAZIMA kiwe na Matumizi Muhimu ifuatayo na Sifa za Utumiaji Muhimu Zilizopanuliwa:

  • Matumizi muhimu: Sahihi ya Dijiti, Makubaliano Muhimu
  • EKU: Usalama wa IP IKE kati, mfumo wa usalama wa mwisho wa IP

Sehemu za Jina Mbadala la Somo (SAN) ndani ya ECDSA na vyeti vya RSA kwenye ASA LAZIMA zilingane na maelezo ya muunganisho yaliyobainishwa ndani ya mtaalamu wa AnyConnect.file juu ya mteja.

  • Sakinisha na Usanidi Lango la VPN

Sakinisha Cisco ASA 9.1 (au matoleo mapya zaidi), kwa hiari na ASDM, kwa mujibu wa miongozo ya usakinishaji na madokezo ya toleo yanayofaa kwa matoleo yatakayosakinishwa. ASDM inaruhusu ASA kusimamiwa kutoka kwa kiolesura cha picha cha mtumiaji. Vinginevyo, ikiwa msimamizi anapendelea, hatua za usanidi sawa za mstari wa amri (CLI) zinaweza kutumika.

Kumbuka ya Usanidi: Kwa vile kuna vigezo vinavyodhibitiwa na ASA, Msimamizi wa Lango lazima afuate hatua katika sehemu hii ili kuhakikisha kuwa TOE iko katika usanidi wake uliotathminiwa.

  • Washa AnyConnect na IKEv2 kwenye ASA. Katika ASDM, nenda kwa Usanidi> Ufikiaji wa Mbali VPN> Ufikiaji wa Mtandao (Mteja)> AnyConnect Connection Profiles na uchague Wezesha kisanduku cha kuteua cha Cisco AnyConnect na Ruhusu Ufikiaji chini ya IKEv2.
    Taratibu na Uendeshaji
  • Kwenye AnyConnect Connection Profiles ukurasa uliotajwa hapo juu, chagua Cheti cha Kifaa. Hakikisha Tumia cheti sawa cha kifaa... HAIJATIWA alama na uchague cheti cha EC ID chini ya cheti cha kifaa cha ECDSA. Kisha chagua Sawa.
    Taratibu na Uendeshaji
  • Unda sera ya crypto ya IKEv2 kwa kutumia algoriti zinazoruhusiwa katika usanidi uliotathminiwa wa Vigezo vya Pamoja. Katika ASDM, nenda kwa Usanidi > Ufikiaji wa Mbali wa VPN > Ufikiaji wa Mtandao (Mteja) > Advanced > IPsec > Sera za IKE na uongeze sera ya IKEv2.

Chagua Ongeza na uweke 1 kwa kipaumbele cha juu zaidi. Masafa ni 1 hadi 65535, na 1 ndio kipaumbele cha juu zaidi.

Usimbaji fiche:
AES: Hubainisha AES-CBC kwa usimbaji fiche wa 128-bit kwa ESP.
AES-256: Hubainisha AES-CBC kwa usimbaji fiche wa 256-bit kwa ESP.
AES-GCM-128: Hubainisha Hali ya Kukabiliana na AES Galois usimbaji fiche wa biti 128
AES-GCM-256: Hubainisha Hali ya Kukabiliana na AES Galois usimbaji fiche wa biti 256

Kikundi cha DH: Chagua kitambulisho cha kikundi cha Diffie-Hellman. Hii inatumiwa na kila rika la IPsec kupata siri iliyoshirikiwa, bila kuisambaza kwa kila mmoja. Chaguo Halali ni: 19 na 20.

PRF Hash - Bainisha PRF inayotumika kwa ajili ya ujenzi wa nyenzo za ufunguo kwa algoriti zote za kriptografia zinazotumiwa katika SA. Chaguo halali ni: sha256 na sha384

Katika hii exampna usanidi chagua:

 

Kipaumbele: 1

Njia ya Kukabiliana na AES Galois (AES-GCM) usimbaji fiche wa biti 256: GCM inapochaguliwa, inazuia hitaji la kuchagua kanuni ya uadilifu. Hii ni kwa sababu uwezo wa uhalisi umejengwa katika GCM, tofauti na CBC (Cipher-Block Chaining).

Kikundi cha Diffie-Hellman: 20
Hashi ya Uadilifu: Null
PRF Hash: sha384
Maisha yote: 86400
Taratibu na Uendeshaji

Chagua Sawa.

Kumbuka Msimamizi: Utumiaji wa Usimbaji Fiche wowote wa Ziada, DH-Group, Integrity au PRF Hash ambayo haijaorodheshwa hapo juu haijatathminiwa.

Kumbuka Msimamizi: Kichupo cha hali ya juu kinaonyesha kigezo cha kutekeleza nguvu ya IKE. Hakikisha kuwa kigezo cha Utekelezaji wa Nguvu ya Chama cha Usalama (SA) kimeangaliwa. Hii inahakikisha kwamba uthabiti wa cipher ya usimbaji wa IKEv2 ni ya juu kuliko nguvu ya misimbo ya usimbaji ya IPsec SA ya mtoto wake. Algorithms za nguvu za juu zitashushwa.

Sawa ya CLI ni: crypto ipsec ikev2 sa-strength-enforcement

  • Unda pendekezo la IPSEC. Katika ASDM, nenda kwa Usanidi > VPN ya Ufikiaji wa Mbali > Ufikiaji wa Mtandao (Mteja) > Advanced > IPsec > Mapendekezo ya IPsec (Badilisha Seti) na uongeze Pendekezo la IPsec la IKEv2. kisha chagua Sawa.
    Katika example chini ya jina lililotumika ni NGE-AES-GCM-256 yenye AES-GCM-256 kwa usimbaji fiche na Null kwa Hashi ya Uadilifu:
    Taratibu na Uendeshaji
  • Unda ramani ya crypto yenye nguvu, chagua pendekezo la IPsec na utumie kwenye kiolesura cha nje. Katika ASDM, nenda kwa Usanidi > Ufikiaji wa Mbali VPN > Ufikiaji wa Mtandao (Mteja) > Kina > IPsec > Ramani za Crypto. Chagua Ongeza, chagua kiolesura cha nje na pendekezo la IKEv2.
    Bofya Kichupo cha Juu. Hakikisha yafuatayo:
    Washa NAT-T -Huwasha NAT Traversal (NAT-T) kwa sera hii
    Mpangilio wa Maisha ya Chama cha Usalama - imewekwa kwa saa 8 (sekunde 28800)
  • Unda dimbwi la anwani VPNUSERS ambayo itatolewa kwa watumiaji wa VPN. Mabwawa ya anwani yana sehemu zifuatazo:
    Jina -Hubainisha jina lililopewa kidimbwi cha anwani ya IP.
    Kuanzia Anwani ya IP -Hubainisha anwani ya IP ya kwanza kwenye bwawa.
    Kumaliza Anwani ya IP -Hubainisha anwani ya IP ya mwisho kwenye bwawa.
    Mask ya Subnet- Huteua barakoa ndogo ya kutumia kwenye anwani kwenye bwawa.

Katika ASDM, nenda kwa Usanidi> Ufikiaji wa Mbali wa VPN> Ufikiaji wa Mtandao (Mteja)> Ugawaji wa Anwani> Madimbwi ya Anwani na uongeze hifadhi ya IP inayobainisha sehemu zilizo hapo juu kisha uchague Sawa.

Ongeza sera ya kikundi ambayo itatumia mipangilio inayohitajika kwa watumiaji wa VPN. Sera za Kikundi hukuwezesha kudhibiti sera za kikundi cha AnyConnect VPN. Sera ya kikundi cha VPN ni mkusanyiko wa jozi za sifa/thamani zinazoelekezwa na mtumiaji zilizohifadhiwa ama ndani kwenye kifaa cha ASA. Kusanidi sera ya kikundi cha VPN huruhusu watumiaji kurithi sifa ambazo hujazisanidi katika kiwango cha kikundi au jina la mtumiaji. Kwa chaguo-msingi, watumiaji wa VPN hawana muungano wa sera za kikundi. Maelezo ya sera ya kikundi hutumiwa na vikundi vya vichuguu vya VPN na akaunti za watumiaji. Katika ASDM, nenda kwa Usanidi > Ufikiaji wa Mbali wa VPN > Ufikiaji wa Mtandao (Mteja) > Sera za Kikundi na Ongeza sera ya kikundi cha ndani. Hakikisha itifaki ya handaki ya VPN imewekwa kuwa IKEv2 na hifadhi ya IP iliyoundwa hapo juu inarejelewa katika sera kwa kuteua kisanduku tiki cha Urithi na kuchagua mpangilio unaofaa. DNS, WINS na majina ya vikoa husika yanaweza pia kuongezwa katika sera katika sehemu ya Seva.

Rejelea exampsera ya kikundi NGE-VPN-GP hapa chini:
Taratibu na Uendeshaji

  • Unda jina la kikundi cha handaki. Kikundi cha handaki kina sera za muunganisho wa handaki kwa muunganisho wa IPsec. Sera ya uunganisho inaweza kubainisha uthibitishaji, uidhinishaji na seva za uhasibu, sera ya kikundi chaguo-msingi na sifa za IKE.

Katika ASDM, nenda kwa Usanidi> Ufikiaji wa Mbali VPN> Ufikiaji wa Mtandao (Mteja)> AnyConnect Connection Profiles. Chini ya ukurasa chini ya Connection Profiles, chagua Ongeza.

Katika example chini ya jina la kikundi cha handaki NGE-VPN-RAS linatumika.
Taratibu na Uendeshaji

Uthibitishaji wa Cheti cha marejeleo ya usanidi, sera ya kikundi husika NGE-VPN-GP na Wezesha IPsec (IKEv2). DNS na jina la kikoa pia zinaweza kuongezwa hapa. Pia hakikisha IPsec pekee ndiyo inatumiwa kwa kutoangalia kuwezesha Itifaki ya Mteja wa SSL VPN.

  • Unda ramani ya cheti, ukichora watumiaji wa NGE VPN kwenye kikundi cha handaki ya VPN ambacho kiliundwa hapo awali. Ramani ya cheti itatumika kwa watumiaji wa AC. Katika hali hii, jina la kawaida la Subordinate CA lililinganishwa ili kuhakikisha ombi linaloingia la mfumo wa TOE na cheti cha EC kilichotolewa kutoka kwa Subordinate CA litachorwa kwenye kikundi kinachofaa cha njia ambayo iliundwa hapo awali. Watumiaji wa VPN ambao hawajapewa cheti kutoka EC CA watarejea kwenye vikundi chaguo-msingi vya vichuguu na
    itashindwa uthibitishaji na itanyimwa ufikiaji.
    Katika ASDM, nenda kwa Usanidi> Ufikiaji wa Mbali VPN> Advanced> Cheti kwa AnyConnect na Clientless SSL VPN Connection Pro.file Ramani. Chini ya Cheti cha Kuunganisha Profile Ramani chagua Ongeza. Chagua DefaultCertificateMap iliyopo na kipaumbele cha 10 na urejelee kikundi cha vichuguu cha NGE-RAS-VPN.
    Taratibu na Uendeshaji
    Katika ASDM, nenda kwa Usanidi> Ufikiaji wa Mbali VPN> Advanced> Cheti kwa AnyConnect na Clientless SSL VPN Connection Pro.file Ramani. Chini ya Vigezo vya Kuchora ramani chagua Ongeza. Chagua Kitoa kwa sehemu, Jina la Kawaida (CN) kwa kijenzi, Ina kwa Opereta, kisha uchague Sawa.
    Taratibu na Uendeshaji
    Hakikisha umechagua TUMA MAOMBI kwenye ukurasa mkuu na UHIFADHI usanidi.
  • Sanidi ASA ikubali miunganisho ya VPN kutoka kwa mteja wa AnyConnect VPN, tumia AnyConnect VPN Wizard. Mchawi huyu husanidi itifaki za VPN za IPsec (IKEv2) kwa ufikiaji wa mtandao wa mbali. Rejelea maagizo hapa:
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Taratibu za Maandalizi na Mwongozo wa Uendeshaji kwa TOE

Ili kusakinisha Cisco Secure Client-AnyConnect TOE, fuata hatua zifuatazo:

  1. Fungua Hifadhi ya Programu.
  2. Chagua Tafuta
  3. Katika Kisanduku cha Utafutaji, ingiza Cisco Secure Client-AnyConnect
  4. Gusa SIKIA APP
  5. Chagua Sakinisha

Anzisha Cisco Secure Client-AnyConnect

Gonga aikoni ya Cisco Secure Client-AnyConnect ili kuanzisha programu. Ikiwa hii ni mara ya kwanza unapoanzisha Cisco Secure Client-AnyConnect baada ya kusakinisha au kusasisha, chagua SAWA ili kuwezesha TOE kupanua uwezo wa Mtandao wa Kibinafsi wa Kibinafsi (VPN) wa kifaa chako.

Uthibitishaji wa Uadilifu

Uthibitishaji wa uadilifu unafanywa kila wakati programu inapopakiwa na itasubiri uthibitishaji wa uadilifu ukamilike. Huduma za kriptografia zinazotolewa na mfumo wa iOS zinaombwa ili kuthibitisha sahihi ya dijiti ya inayoweza kutekelezeka ya TOE. files. Iwapo uthibitishaji wa uadilifu hautakamilika, GUI haitapakia, na hivyo kufanya programu kutotumika. Ikiwa uthibitishaji wa uadilifu utafaulu, GUI ya programu itapakia na kufanya kazi kama kawaida.

Sanidi Kitambulishi cha Marejeleo

Sehemu hii inabainisha usanidi wa kitambulisho cha marejeleo kwa rika la VPN Gateway. Wakati wa uthibitishaji wa awamu ya 1 ya IKE, TOE inalinganisha kitambulisho cha marejeleo na kitambulisho kinachowasilishwa na Lango la VPN. Ikiwa TOE itaamua hazilingani, uthibitishaji hautafanikiwa.

Chagua Viunganishi kutoka skrini ya nyumbani ili view maingizo ambayo tayari yamesanidiwa kwenye kifaa chako. Maingizo mengi ya muunganisho yanaweza kuorodheshwa, mengine chini ya kichwa cha Per-App VPN. Maingizo ya muunganisho yanaweza kuwa na hali ifuatayo:

  • Imewezeshwa- Ingizo hili la muunganisho limewezeshwa na kidhibiti cha kifaa cha mkononi na linaweza kutumika kuunganisha.
  • Inayotumika- Ingizo hili la muunganisho lililotiwa alama au lililoangaziwa linatumika kwa sasa.
  • Imeunganishwa- Ingizo hili la muunganisho ndilo linalotumika na kwa sasa limeunganishwa na linafanya kazi.
  • Imetenganishwa - Ingizo hili la muunganisho ndilo linalotumika lakini kwa sasa limekatika na halifanyi kazi.

Kwa maelekezo rejea "Ongeza au Urekebishe Maingizo ya Muunganisho wewe mwenyewe" sehemu ya [3].

Sanidi Matumizi ya Cheti

AnyConnect inahitaji cheti cha X.509. Rejea "Sanidi Vyeti" sehemu ya [3].

Zuia Seva Zisizotegemewa

Mpangilio huu wa programu huamua ikiwa AnyConnect huzuia miunganisho wakati haiwezi kutambua lango salama.
Ulinzi huu UMEWASHWA kwa chaguo-msingi na haipaswi ZIMWA.

AnyConnect hutumia cheti kilichopokelewa kutoka kwa seva ili kuthibitisha kitambulisho chake. Iwapo kuna hitilafu ya cheti kutokana na tarehe ya mwisho au batili, matumizi mabaya ya ufunguo, au jina lisilolingana, muunganisho umezuiwa.

Weka Hali ya FIPS ya VPN
Hali ya FIPS ya VPN hutumia kanuni za siri za Viwango vya Uchakataji wa Taarifa za Shirikisho (FIPS) kwa miunganisho yote ya VPN.

  1. Katika programu ya Cisco Secure Client-AnyConnect, gusa Mipangilio.
  2. Gusa Hali ya FIPS ili kuwezesha mpangilio huu.

Ili kukidhi mahitaji ya kriptografia katika ST, hali ya FIPS lazima iwashwe. Baada ya uthibitisho wa mabadiliko ya hali ya FIPS, programu itaondoka na lazima iwashwe upya wewe mwenyewe. Baada ya kuwasha upya, mpangilio wako wa hali ya FIPS unaanza kutumika.

Hali ya Kuaminika ya Cheti Kali

Mpangilio huu unasanidi Cisco Secure Client-AnyConnect TOE ili kutoruhusu cheti cha mwisho wa VPN Gateway ambacho hakiwezi kuthibitisha kiotomatiki.

  1. Kutoka kwa dirisha la nyumbani, gusa Menyu > Mipangilio.
  2. Washa Hali ya Kuaminika ya Cheti Mkali.

Ukijaribu kuunganisha tena, Uaminifu wa Cheti Mkali utawashwa

Angalia Ubatilishaji Cheti

Mpangilio huu unadhibiti ikiwa Cisco Secure Client-AnyConnect TOE itabainisha hali ya ubatilishaji wa cheti kilichopokelewa kutoka kwa lango la msingi la VPN. Mpangilio huu lazima UWASHWE na usizimwe.

  1. Kutoka kwa dirisha la nyumbani la AnyConnect, gusa Menyu > Mipangilio.
  2. Washa Ubatilishaji wa Cheti cha Angalia ili kuwezesha mpangilio huu.

Mwongozo wa Uendeshaji kwa TOE

Anzisha Muunganisho wa VPN

Rejea “Anzisha a Muunganisho wa VPN" sehemu ya [3].

Msimamizi anapaswa kuzingatia sheria zifuatazo za PROTECT, BYPASS, na DISCARD kuhusu matumizi ya IPsec katika AnyConnect:

  • LINDA
    Maingizo ya PROTECT yanasanidiwa kupitia sera ya kikundi cha ufikiaji wa mbali kwenye ASA kwa kutumia ASDM. Kwa maingizo ya PROTECT, trafiki hutiririka kupitia handaki ya IPsec VPN iliyotolewa na TOE. Hakuna usanidi unaohitajika kwa handaki ya TOE trafiki yote. Msimamizi kwa hiari anaweza kuweka tabia hii kwa uwazi kwa amri katika Sera ya Kikundi chao: mgawanyiko-handaki-sera ya handaki.
  • BYPASS
    TOE inaauni shughuli za BYPASS (wakati ugawaji wa tunnel umeidhinishwa waziwazi na sera ya Ufikiaji wa Mbali). Wakati mgawanyiko wa tunnel umewashwa, ASA VPN Gateway inasukuma orodha ya sehemu za mtandao kwenye TOE hadi KULINDA. Trafiki nyingine zote husafiri bila kulindwa bila kuhusisha TOE hivyo basi kupita ulinzi wa IPsec.
    Usambazaji wa vichuguu umesanidiwa katika sera ya kikundi cha Ufikiaji cha Mtandao (Mteja). Msimamizi ana chaguzi zifuatazo:
    Isiyojumuishwa: Usijumuishe mitandao iliyobainishwa pekee na orodha-mtandao-mgawanyiko
    Vichungi vimeainishwa: Mitandao ya handaki pekee iliyobainishwa na orodha ya mtandao iliyogawanyika Rejelea sehemu ya "Kuhusu Kusanidi Njia ya Kugawanyika kwa Trafiki ya AnyConnect" katika mwongozo wa usanidi wa ASDM ya VPN na uone hatua zinazotolewa katika sehemu ya "Sanidi Mgawanyiko wa Trafiki kwa AnyConnect Trafiki". Baada ya kufanya mabadiliko kwenye sera ya kikundi katika ASDM, hakikisha kuwa sera ya kikundi inahusishwa na Connection Profile katika Usanidi > VPN ya Ufikiaji wa Mbali > Ufikiaji wa Mtandao (Mteja) > AnyConnect Connection Profiles > Ongeza/Hariri > Sera ya Kikundi. Maingizo ya BYPASS SPD yanatolewa na jukwaa la mwenyeji kupitia sheria za kibali cha trafiki cha mtandao. Hakuna usanidi unaohitajika kwenye jukwaa la TOE ili kuiruhusu kupita trafiki hii.
  • TUPA
    Sheria za DISCARD zinatekelezwa na jukwaa la TOE pekee. Hakuna kiolesura cha kiutawala cha kubainisha sheria ya TATA.

Kufuatilia na Kutatua Matatizo

Rejea Kufuatilia na Kutatua Matatizo sehemu ya [3].

Inatoka kwa Mteja Salama wa Cisco-AnyConnect
Kuondoka kwenye programu kunasitisha muunganisho wa sasa wa VPN na kusimamisha michakato yote ya TOE. Tumia kitendo hiki kwa uangalifu. Huenda programu au michakato mingine kwenye kifaa chako inatumia muunganisho wa sasa wa VPN na kuondoka kwenye programu ya Cisco Secure Client-AnyConnect inaweza kuathiri vibaya utendakazi wake.

Kutoka kwa dirisha la nyumbani, gusa Menyu > Ondoka.

Msaada wa Cryptographic
TOE hutoa usimbaji fiche ili kutumia IPsec na usimbaji linganifu wa ESP kwa usimbaji/usimbuaji mwingi wa AES na algoriti ya SHA-2 ya hashing. Kwa kuongezea, TOE hutoa kriptografia ili kuauni ubadilishanaji wa vitufe vya Diffie Hellman na kitendakazi cha utokaji kinachotumika katika itifaki za IKEv2 na ESP. Maagizo ya kusanidi vitendaji vya kriptografia yamefafanuliwa katika sehemu ya "Taratibu na Mwongozo wa Utendaji kwa Mazingira ya TEHAMA" ya hati hii.

Taarifa Zinazoaminika

Sehemu hii inatoa maagizo ya kukubali kwa usalama TOE na masasisho yoyote yanayofuata ya TOE. "Sasisho" ni toleo jipya la TOE.

Toleo la TOE linaweza kuulizwa na mtumiaji. Kutoka kwa skrini ya nyumbani, bonyeza "Kuhusu". Uchapishaji unaweza pia kuulizwa kupitia jukwaa la rununu:

  • iPhone: Fungua Mipangilio na uende kwa Jumla > Matumizi. Chini ya Hifadhi, pata Mteja Salama wa Cisco Unganisha Yoyote na uguse. Maelezo ya toleo yataonyeshwa.

Masasisho kwa Cisco Secure Client-AnyConnect TOE yanadhibitiwa kupitia Apple App Store kwa kutumia utaratibu ulio hapa chini.

Kumbuka: Kabla ya kusasisha kifaa chako lazima utenganishe kipindi cha VPN ikiwa kitaanzishwa, na ufunge programu ikiwa imefunguliwa. Ukishindwa kufanya hivi, kuwasha upya kifaa chako kunahitajika kabla ya kutumia toleo jipya la Cisco Secure Client-AnyConnect TOE.

  1. Gusa aikoni ya Duka la Programu kwenye ukurasa wa nyumbani wa iOS.
  2. Gonga notisi ya kuboresha ya Cisco Secure Client-AnyConnect.
  3. Soma kuhusu vipengele vipya.
  4. Bofya Sasisha.
  5. Ingiza Nenosiri lako la Kitambulisho cha Apple.
  6. Gonga SAWA.

Usasishaji unaendelea.

Kupata Hati na Kuwasilisha Ombi la Huduma

Kwa maelezo kuhusu kupata hati, kwa kutumia Zana ya Utafutaji ya Mdudu wa Cisco (BST), kuwasilisha ombi la huduma, na kukusanya maelezo ya ziada, ona. Nini Kipya katika Hati ya Bidhaa ya Cisco.

Ili kupokea maudhui mapya na yaliyorekebishwa ya Cisco ya kiufundi moja kwa moja kwenye eneo-kazi lako, unaweza kujiandikisha kwenye Nini Kipya katika Mlisho wa RSS wa Hati ya Bidhaa ya Cisco. Milisho ya RSS ni huduma isiyolipishwa.

Wasiliana na Cisco

Cisco ina ofisi zaidi ya 200 duniani kote. Anwani, nambari za simu, na nambari za faksi zimeorodheshwa kwenye Cisco webtovuti kwenye www.cisco.com/go/offices.

Nembo ya CISCO

Nyaraka / Rasilimali

CISCO AnyConnect 5.0 Mteja Salama [pdf] Mwongozo wa Mtumiaji
5.0 kwa iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Teja

Marejeleo

Machapisho Yanayohusiana

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *