Дастури корбар CISCO AnyConnect 5.0 Амн Мизоҷон

Муқаддимаи ҳуҷҷат

Омодакардаи:
Cisco Systems, Inc.
170 Ғарб Тасман Доктор.
Сан-Хосе, CA 95134

Ин ҳуҷҷат дастурҳоро барои кормандони IT барои ТО, Cisco Secure Client – ​​AnyConnect 5.0 барои iOS 16 пешниҳод мекунад. Ин ҳуҷҷати роҳнамо дастурҳоро оид ба бомуваффақият насб кардани ТО дар Муҳити амалиётӣ, дастурҳо оид ба идоракунии амнияти TSF ва дастурҳо оид ба таъмини қобилияти маъмурии ҳифзшуда.

Таърихи ревизия

Версия	Сана	Тағйир
0.1	1 майи соли 2023	Версияи ибтидоӣ
0.2	27 июли соли 2023	Навсозиҳо

Cisco ва логотипи Cisco тамғаҳои молӣ ё тамғаҳои молии ба қайд гирифташудаи Cisco ва/ё филиалҳои он дар ИМА ва дигар кишварҳо мебошанд. Ба view рӯйхати тамғаҳои Cisco, ба ин равед URL: www.cisco.com/go/trademarks. Тамғаҳои молии шахсони сеюми зикршуда моликияти соҳибони мувофиқи онҳо мебошанд. Истифодаи калимаи шарик маънои муносибати шарикии байни Cisco ва ягон ширкати дигарро надорад. (1110R)

© 2023 Cisco Systems, Inc. Ҳама ҳуқуқҳо ҳифз шудаанд.

Муқаддима

Ин Роҳнамои корбарӣ бо расмиёти омодагӣ маъмурияти Cisco Secure ClientAnyConnect v5.0-ро барои Apple iOS 16 TOE ҳуҷҷатгузорӣ мекунад, зеро он таҳти Меъёрҳои умумӣ тасдиқ шудааст. Cisco Secure Client-AnyConnect v5.0 барои Apple iOS 16 метавонад дар зер бо ихтисороти марбута, масалан VPN Client ё танҳо TOE истинод карда шавад.

Тамошобинон
Ин ҳуҷҷат барои маъмуроне навишта шудааст, ки ТО-ро насб ва танзим мекунанд. Ин ҳуҷҷат тахмин мекунад, ки шумо бо мафҳумҳо ва истилоҳоти асосие, ки дар кори интернет истифода мешаванд, ошно ҳастед ва топологияи шабакавии худ ва протоколҳоеро, ки дастгоҳҳои шабакаи шумо истифода бурда метавонанд, фаҳмед, шумо шахси боэътимод ҳастед ва шумо барои истифодабарии дастгоҳҳои оператсионӣ таълим гирифтаед. системаҳое, ки шумо дар онҳо шабакаи худро идора мекунед.

Мақсад
Ин ҳуҷҷат дастури амалиётии корбар бо расмиёти омодагӣ барои арзёбии меъёрҳои умумӣ мебошад. Он барои таъкид кардани конфигуратсияи мушаххаси ТО ва функсияҳо ва интерфейсҳои маъмурӣ, ки барои танзим ва нигоҳдории ТО дар конфигуратсияи арзёбӣ заруранд, навишта шудааст. Ин ҳуҷҷат барои тафсилоти амалҳои мушаххасе, ки аз ҷониби маъмур анҷом дода мешавад, пешбинӣ нашудааст, балки харитаи роҳ барои муайян кардани маконҳои мувофиқ дар дохили ҳуҷҷатҳои Cisco барои гирифтани тафсилоти мушаххас барои танзим ва нигоҳдории амалиёти AnyConnect Secure Mobility Client мебошад. Ҳама фармонҳои марбут ба амният барои идоракунии маълумоти TSF дар дохили ин ҳуҷҷат дар ҳар як бахши функсионалӣ оварда шудаанд.

Истинодҳо ба ҳуҷҷат
Дар ин бахш ҳуҷҷатҳои Cisco Systems номбар шудаанд, ки он низ як қисми Рӯйхати Конфигуратсияи Критерияҳои умумӣ (CI) мебошад. Ҳуҷҷатҳои истифодашуда дар зер дар ҷадвали 1 нишон дода шудаанд. Дар тамоми ин ҳуҷҷат дастурҳо бо аломати "#" ишора карда мешаванд, масалан [1].

Ҷадвали 1 Ҳуҷҷатҳои Cisco

#	Унвон	Пайванд
1	Cisco Secure Client (аз ҷумла AnyConnect) Дастури администратор, Нашри 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Дастури администратори платформаҳои мобилӣ Cisco AnyConnect, Нашри 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Дастури корбари Apple iOS барои Cisco AnyConnect Client Secure Mobility, Варақаи 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Қайдҳои релиз барои Cisco AnyConnect Secure Mobility Client, Нашри 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- қайдҳо-anyconnect-4-9.html
5	Қайдҳои релиз барои Cisco Secure Client (аз ҷумла AnyConnect), Варақаи 5 барои Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- мизоҷ-релиз-5-0.html

TOE Overview
ТО муштарии Cisco AnyConnect Secure Mobility мебошад (дар ин ҷо мизоҷи VPN ё TOE номида мешавад). Cisco AnyConnect Secure Mobility Client ба корбарони дурдаст пайвастҳои бехатари IPsec (IKEv2) VPN-ро ба Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway медиҳад, ки ба барномаҳои насбшуда имкон медиҳад, ки гӯё мустақиман ба шабакаи корхона пайваст шаванд.

Муҳити амалиётӣ
Ҳангоми конфигуратсияи ТО дар конфигуратсияи арзёбиаш конфигуратсия кардани ТО ҷузъҳои зерини Муҳити IT-ро талаб мекунад:

Љадвали 2. Унсурњои муњити амалиётї

Компонент	Тавсифи истифода/мақсад
Мақоми сертификатсия	Мақомоти сертификатсия барои пешниҳоди шаҳодатномаҳои рақамии дуруст истифода мешаванд.
Платформаи мобилӣ	ТО ба яке аз платформаҳои дастгоҳи мобилии аз ҷониби CC тасдиқшудаи зерин такя мекунад: Apple iPhone 11/XR бо iOS 16 кор мекунад
ASA 5500-X силсилаи VPN Gateway	Cisco ASA 5500-X бо версияи нармафзори 9.2.2 ё дертар ҳамчун дарвозаи VPN-и сарлавҳа фаъолият мекунад.
Платформаи идоракунии ASDM	ASDM 7.7 аз яке аз системаҳои оператсионии зерин кор мекунад: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 ва Server 2019 Apple OS X 10.4 ё навтар Дар хотир доред, ки нармафзори ASDM дар дастгоҳи ASA насб шудааст ва платформаи идоракунӣ барои пайвастшавӣ ба ASA ва идора кардани ASDM истифода мешавад. Ягона нармафзоре, ки дар платформаи идоракунӣ насб шудааст, Cisco ASDM Launcher мебошад.

Платформаи асосии мобилӣ баъзе аз функсияҳои амниятиро, ки дар MOD_VPNC_V2.4] талаб карда мешавад, таъмин мекунад ва бо истифода аз ибораи “Платформаи TOE” дар ин ҳуҷҷат ишора шудааст.

TOE Cisco AnyConnect захираҳои сахтафзори шабакавиро дар платформаи мобилии ОС барои ирсол ва қабули бастаҳои рамзгузоришуда истифода мебарад. ТО ба анбори иттилооти ҳассос дастрасӣ надорад.

Истинодҳо дар ин ҳуҷҷат ба “ASA” ба VPN Gateway ишора мекунанд

Функсияи истисно

Функсияи дар поён номбаршуда ба конфигуратсияи арзёбӣшуда дохил карда нашудааст.

Љадвали 3. Функсияњо ва асосњои хориљшуда

Функсия хориҷ карда шудааст	Асоснок
Реҷаи фаъолият Non-FIPS 140-2	TOE режими FIPS-ро дар бар мегирад. Усулҳои FIPS ба ТО имкон медиҳанд, ки танҳо криптографияи тасдиқшударо истифода баранд. Барои он ки ТО дар конфигуратсияи арзёбишудаи худ кор кунад, режими кори FIPS бояд фаъол бошад.
Tunnel SSL бо имконоти нақби DLTS	[MOD_VPNC_V2.4] танҳо ба нақби IPsec VPN иҷозат медиҳад.

Ин хидматҳо аз рӯи конфигуратсия хомӯш карда мешаванд. Истиснои ин функсия ба мувофиқат ба Protection Pro-и даъвошуда таъсир намерасонадfiles.

Тартибҳо ва роҳнамоии амалиётӣ барои муҳити IT

Барои кор кардан дар конфигуратсияи баҳоёфтаи худ, ТО ҳадди аққал як (1) Сертификатсия (CA), як (1) VPN Gateway ва як (1) дастгоҳи мобилии Apple iPhone-ро талаб мекунад.

Барои шабеҳи муҳити PKI муштарӣ, дар ин бахш ҳалли дуқабати CA бо истифода аз CA-и Offline Root ва CA-и тобеи корхона бо истифода аз Microsoft 2012 R2 Certificate Authority (CA) истинод карда мешавад. Дигар маҳсулоти CA дар ҷои Microsoft метавонанд истифода шаванд.

CA-и решавӣ ҳамчун сервери мустақил (гурӯҳи корӣ) танзим карда мешавад, дар ҳоле ки CA тобеъ ҳамчун як қисми домени Microsoft бо хидматҳои Active Directory фаъол карда шудааст. Дар расми зерин тасвири визуалии ТО ва IT оварда шудааст

Муҳити зист. TOE як барномаи нармафзорест, ки дар iOS 13 кор мекунад. Сарҳади ТО бо хати сурхи ҳаш нишон дода мешавад. Ба расми 1 дар зер нигаред.

Расми 1. ТО ва муҳити зист

CA тобеъ сертификатҳои рақамии X.509-ро медиҳад ва ба Платформаи TOE ва Gateway VPN Рӯйхати бозхонди сертификатҳоро (CRL) медиҳад.
Интихобан, як (1) решаи ягонаи Enterprise CA метавонад ҷойгир карда шавад.

• Мақомоти сертификатсияро насб ва танзим кунед

Агар аз ҳалли дуқабати Microsoft CA истифода шавад, мувофиқи роҳнамоии фурӯшанда Root (GRAYCA) ва Корхонаи зерсохтори сертификатсияро (GRAYSUBCA1) насб ва танзим кунед. Дар зер дастури қадам ба қадам барои конфигуратсияи хидматҳои сертификати Microsoft Active Directory оварда шудааст:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Фарз карда мешавад, ки ҳам шаҳодатномаи Offline Root CA (GRAYCA) ва ҳам шаҳодатномаҳои CA Subordinate Enterprise CA (GRAYSUBCA1), ки дар расми 1 тасвир шудаанд, насб ва боварӣ доранд, то занҷири боэътимод таъсис дода шавад. Агар CA-ро аз фурӯшандаи ғайр аз Microsoft истифода баред, дастури насби CA-и он фурӯшандаро риоя кунед.

Новобаста аз маҳсулоти CA-и истифодашуда, сертификати RSA дар ASA БОЯД дорои хосиятҳои зерини истифодабарии калидӣ ва истифодаи калидӣ бошад:

• Истифодаи калидӣ: Имзои рақамӣ, Созишномаи калидӣ
• EKU: Амнияти IP IKE миёнарав, системаи амнияти охири IP

Майдонҳои Номи алтернативии мавзӯъ (SAN) дар доираи сертификатҳои ECDSA ва RSA дар ASA БОЯД ба маълумоти пайвастшавӣ, ки дар AnyConnect pro нишон дода шудаанд, мувофиқат кунанд.file дар бораи муштарӣ.

• Шабакаи VPN-ро насб ва танзим кунед

Cisco ASA 9.1 (ё дертар) -ро мувофиқи дастурҳои насбкунӣ ва қайдҳои барориши мувофиқ барои версияҳои насбшуда, ихтиёрӣ бо ASDM насб кунед. ASDM имкон медиҳад, ки ASA аз интерфейси графикии корбар идора карда шавад. Интихобан, агар мудир бартарӣ диҳад, қадамҳои конфигуратсияи сатри фармони (CLI) баробар метавонанд истифода шаванд.

Эзоҳ: Конфигуратсия: Азбаски параметрҳое мавҷуданд, ки аз ҷониби ASA идора карда мешаванд, маъмури дарвоза бояд қадамҳои ин бахшро иҷро кунад, то боварӣ ҳосил кунад, ки ТО дар конфигуратсияи баҳоёфтаи худ аст.

• AnyConnect ва IKEv2 -ро дар ASA фаъол созед. Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > AnyConnect Connection Pro гузаредfiles ва қуттии қайдкуниро Фаъол кардани Cisco AnyConnect ва Иҷозати дастрасӣ дар зери IKEv2 -ро интихоб кунед.
  
• Дар AnyConnect Connection Profiles саҳифаи дар боло зикршуда, Сертификати дастгоҳро интихоб кунед. Боварӣ ҳосил кунед, ки "Истифодаи ҳамон шаҳодатномаи дастгоҳ..." санҷида нашудааст ва сертификати ID-и EC-ро дар зери сертификати дастгоҳи ECDSA интихоб кунед. Сипас Хуб-ро интихоб кунед.
  
• Бо истифода аз алгоритмҳое, ки дар конфигуратсияи баҳодиҳии Критерияҳои умумӣ иҷозат дода шудаанд, сиёсати крипто IKEv2 эҷод кунед. Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабакавӣ (муштарӣ) > Advanced > IPsec > Policies IKE гузаред ва сиёсати IKEv2 илова кунед.

Илова -ро интихоб кунед ва барои афзалияти баландтарин 1 ворид кунед. Диапазон аз 1 то 65535, бо 1 афзалияти баландтарин аст.

Рамзгузорӣ:
AES: AES-CBC-ро бо рамзгузории калиди 128-бит барои ESP муайян мекунад.
AES-256: AES-CBC-ро бо рамзгузории калиди 256-бит барои ESP муайян мекунад.
AES-GCM-128: AES Galois Counter Mode рамзгузории 128-битро муайян мекунад
AES-GCM-256: AES Galois Counter Mode рамзгузории 256-битро муайян мекунад

Гурӯҳи DH: Идентификатори гурӯҳи Diffie-Hellman -ро интихоб кунед. Ин аз ҷониби ҳар як ҳамсоли IPsec барои ба даст овардани сирри муштарак бидуни интиқоли он ба ҳамдигар истифода мешавад. Интихобҳои эътибор: 19 ва 20.

PRF Hash – Нишон додани PRF-ро, ки барои сохтани маводи калидӣ барои ҳамаи алгоритмҳои криптографие, ки дар SA истифода мешаванд, истифода мешавад. Интихобҳои дуруст инҳоянд: sha256 ва sha384

Дар ин собикampконфигуратсияро интихоб кунед:

 

Афзалият: 1

AES Galois Counter Mode (AES-GCM) рамзгузории 256-бит: Вақте ки GCM интихоб карда мешавад, он зарурати интихоб кардани алгоритми якпорчагӣ монеъ мешавад. Сабаб дар он аст, ки қобилиятҳои аслӣ дар GCM сохта шудаанд, бар хилофи CBC (Cipher-Block Chaining).

Гурӯҳи Diffie-Hellman: 20
Хеши беайбии: Нул
PRF Hash: ШАХНУН
Умр: 86400

Интихоб кунед Дуруст.

Эзоҳ администратор: Истифодаи ҳама гуна рамзгузории иловагӣ, DH-Group, Integrity ё PRF Hash, ки дар боло номбар нашудаанд, арзёбӣ намешавад.

Эзоҳ администратор: Дар ҷадвали пешрафта параметри иҷрои қувваи IKE нишон дода мешавад. Боварӣ ҳосил кунед, ки Ассотсиатсияи Амният (SA) Параметри Иҷрои Қувваи Амният тафтиш карда шудааст. Ин кафолат медиҳад, ки қудрати рамзгузории IKEv2 аз қувваи рамзҳои рамзгузории кӯдаки IPsec SA баландтар аст. Алгоритмҳои қудрати баландтар паст карда мешаванд.

Муодили CLI ин аст: crypto ipsec ikev2 sa-power-enforcement

• Пешниҳоди IPSEC эҷод кунед. Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > Advanced > IPsec > Пешниҳодҳои IPsec (Маҷмӯаҳои трансформатсия) гузаред ва пешниҳоди IKEv2 IPsec -ро илова кунед. пас Хуб-ро интихоб кунед.
  Дар собикample дар зери номи истифодашуда NGE-AES-GCM-256 бо AES-GCM-256 барои рамзгузорӣ ва Null барои Hash Integrity:
  
  
• Харитаи крипто динамикӣ эҷод кунед, пешниҳоди IPsec-ро интихоб кунед ва ба интерфейси беруна муроҷиат кунед. Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > Advanced > IPsec > Харитаҳои крипто гузаред. Илова -ро интихоб кунед, интерфейси беруна ва пешниҳоди IKEv2 -ро интихоб кунед.
  Ҷадвали Advanced -ро клик кунед. Инҳоро кафолат диҳед:
  NAT-T-ро фаъол созед — Барои ин сиёсат NAT Traversal (NAT-T) -ро фаъол мекунад
  Танзими умри Ассотсиатсияи Амният — ба 8 соат (28800 сония) гузошта шудааст
• Ҳавзи суроғаи VPNUSERS эҷод кунед, ки ба корбарони VPN таъин карда мешаванд. Ҳавзҳои суроғаҳо дорои майдонҳои зерин мебошанд:
  Ном —Номи ба ҳавзи суроғаи IP таъиншударо муайян мекунад.
  Оғози суроғаи IP —Суроғаи аввалини IP-ро дар ҳавз муайян мекунад.
  Анҷоми суроғаи IP —Суроғаи охирини IP-ро дар ҳавз муайян мекунад.
  Ниқоби зершабака - Ниқоби зершабақаро интихоб мекунад, то ба суроғаҳои ҳавз татбиқ карда шавад.

Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > Таъини суроға > Ҳавзҳои суроғавӣ гузаред ва ҳавзи IP-ро бо нишон додани майдонҳои дар боло зикршуда илова кунед ва пас Хуб-ро интихоб кунед.

Сиёсати гурӯҳеро илова кунед, ки танзимоти дилхоҳро ба корбарони VPN татбиқ мекунад. Сиёсати гурӯҳӣ ба шумо имкон медиҳад сиёсатҳои гурӯҳи AnyConnect VPN-ро идора кунед. Сиёсати гурӯҳи VPN маҷмӯи ҷуфтҳои атрибут/арзиши ба корбар нигаронидашуда мебошад, ки дар дохили дастгоҳи ASA нигоҳ дошта мешаванд. Танзими сиёсати гурӯҳи VPN ба корбарон имкон медиҳад, ки атрибутҳоеро, ки шумо дар сатҳи гурӯҳи инфиродӣ ё номи корбар танзим накардаед, мерос гиранд. Бо нобаёнӣ, корбарони VPN ҳеҷ гуна ассотсиатсияи сиёсати гурӯҳӣ надоранд. Маълумоти сиёсати гурӯҳро гурӯҳҳои нақби VPN ва ҳисобҳои корбар истифода мебаранд. Дар ASDM, ба Танзимот > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > Полисҳои гурӯҳӣ ва Илова кардани сиёсати дохилии гурӯҳ гузаред. Боварӣ ҳосил кунед, ки протоколи нақби VPN ба IKEv2 гузошта шудааст ва ҳавзи IP-и дар боло сохташуда дар сиёсат бо роҳи қатъ кардани қуттии қайди мерос ва интихоби танзимоти мувофиқ истинод шудааст. DNS, WINS ва номҳои домейнҳои дахлдор низ метавонанд ба сиёсат дар бахши Серверҳо илова карда шаванд.

Ба собиқ муроҷиат кунедampСиёсати гурӯҳи NGE-VPN-GP дар зер:

• Номи гурӯҳи нақб эҷод кунед. Гурӯҳи нақб дорои сиёсати пайвасти нақб барои пайвасти IPsec мебошад. Сиёсати пайвастшавӣ метавонад аутентификатсия, авторизатсия ва серверҳои ҳисобдорӣ, сиёсати пешфарзии гурӯҳӣ ва атрибутҳои IKE-ро муайян кунад.

Дар ASDM, ба Конфигуратсия > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > AnyConnect Connection Pro гузаредfileс. Дар поёни саҳифа зери Connection Profileс, Илова -ро интихоб кунед.

Дар собикample дар зер гурӯҳи туннел номи NGE-VPN-RAS истифода мешавад.

Конфигуратсия ба тасдиқи сертификат, сиёсати гурӯҳи алоқаманди NGE-VPN-GP ва Enable IPsec (IKEv2) ишора мекунад. DNS ва номи доменро низ дар ин ҷо илова кардан мумкин аст. Ҳамчунин боварӣ ҳосил кунед, ки танҳо IPsec истифода мешавад, тавассути тафтиш накардани протоколи Client SSL VPN.

• Харитаи сертификат эҷод кунед, ки корбарони NGE VPN-ро ба гурӯҳи нақби VPN, ки қаблан сохта шуда буд, нишон диҳед. Харитаи сертификат ба корбарони AC татбиқ карда мешавад. Дар ин сенария, номи умумии CA-и зертобеъ мувофиқ карда шуд, то дархости платформаи ТО-и воридотӣ бо шаҳодатномаи EC додашуда аз CA-и зертобеъ ба гурӯҳи нақби мувофиқе, ки қаблан сохта шуда буд, харита карда шавад. Истифодабарандагони VPN, ки аз EC CA сертификат дода нашудаанд, ба гурӯҳҳои пешфарз нақб меафтанд ва
  аутентификатсия ноком мешавад ва дастрасӣ рад карда мешавад.
  Дар ASDM, ба Танзимот> Дастрасии дурдаст VPN> Advanced> Шаҳодатнома ба AnyConnect ва Clientless SSL VPN Connection Pro гузаредfile Харитаҳо. Дар доираи Шаҳодатнома ба Connection Profile Харитаҳо Иловаро интихоб мекунанд. Харитаи DefaultCertificateMap-и мавҷударо бо афзалияти 10 интихоб кунед ва ба гурӯҳи нақби NGE-RAS-VPN муроҷиат кунед.
  
  Дар ASDM, ба Танзимот> Дастрасии дурдаст VPN> Advanced> Шаҳодатнома ба AnyConnect ва Clientless SSL VPN Connection Pro гузаредfile Харитаҳо. Дар зери Критерияҳои харитасозӣ Илова -ро интихоб кунед. Барои майдон Эмитент, Номи умумӣ (CN) барои компонент, Contains for Operator, ва он гоҳ Хуб-ро интихоб кунед.
  
  Боварӣ ҳосил кунед, ки дар саҳифаи асосӣ APPLY-ро интихоб кунед ва конфигуратсияро САХФ кунед.
• ASA-ро барои қабули пайвастҳои VPN аз муштарии AnyConnect VPN танзим кунед, устоди AnyConnect VPN-ро истифода баред. Ин устод протоколҳои VPN-и IPsec (IKEv2) -ро барои дастрасии дурдасти шабака танзим мекунад. Ба дастурҳо дар ин ҷо муроҷиат кунед:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Тартиби омодагӣ ва роҳнамоии амалиётӣ барои ТО

Барои насб кардани TOE Cisco Secure Client-AnyConnect, қадамҳои зеринро иҷро кунед:

1. Дӯкони App-ро кушоед.
2. Ҷустуҷӯро интихоб кунед
3. Дар қуттии ҷустуҷӯ, Cisco Secure Client-AnyConnect ворид кунед
4. НАСБ БАРОМАД-ро пахш кунед
5. Насб кунед

Cisco Secure Client-AnyConnect-ро оғоз кунед

Барои оғози барнома тасвири Cisco Secure Client-AnyConnect -ро клик кунед. Агар ин бори аввал аст, ки шумо Cisco Secure Client-AnyConnect-ро пас аз насб ё навсозӣ оғоз карда истодаед, Хуб-ро интихоб кунед, то ТО-ро барои васеъ кардани имкониятҳои Шабакаи Виртуалии Хусусии (VPN) дастгоҳи худ фаъол созед.

Тафтиши якпорчагӣ

Санҷиши якпорчагӣ ҳар дафъае, ки барнома бор карда мешавад, анҷом дода мешавад ва он интизор мешавад, ки тафтиши якпорчагӣ анҷом шавад. Хидматҳои криптографие, ки платформаи iOS пешниҳод мекунад, барои тасдиқи имзои рақамии барномаи иҷрошавандаи ТО истифода мешавад. fileс. Агар тафтиши якпорчагӣ бомуваффақият анҷом наёбад, GUI бор намекунад ва ин барномаро корношоям мекунад. Агар санҷиши якпорчагӣ бомуваффақият анҷом дода шавад, GUI барнома бор мекунад ва ба таври муқаррарӣ кор мекунад.

Идентификатори истинодро танзим кунед

Ин бахш конфигуратсияи идентификатори истинод барои VPN Gateway-ро муайян мекунад. Ҳангоми тасдиқи IKE марҳилаи 1, ТО идентификатори истинодро бо идентификаторе, ки аз ҷониби VPN Gateway пешниҳод шудааст, муқоиса мекунад. Агар ТО муайян кунад, ки онҳо мувофиқ нестанд, аутентификатсия муваффақ нахоҳад шуд.

Пайвастшавӣ аз экрани асосӣ ба.-ро интихоб кунед view сабтҳое, ки аллакай дар дастгоҳи шумо танзим шудаанд. Якчанд вурудоти пайвастшавӣ метавонанд рӯйхат шаванд, баъзеҳо дар зери сарлавҳаи Per-App VPN. Воридоти пайвастшавӣ метавонанд дорои ҳолати зерин:

• Фаъол - Ин вуруди пайвастшавӣ аз ҷониби мудири дастгоҳи мобилӣ фаъол карда мешавад ва метавонад барои пайвастшавӣ истифода шавад.
• фаъол - Ин вуруди пайвасти қайдшуда ё таъкидшуда айни замон фаъол аст.
• Пайваст - Ин вуруди пайвастшавӣ фаъол аст ва ҳоло пайваст ва кор мекунад.
• Хомӯш - Ин вуруди пайвастшавӣ фаъол аст, аммо дар айни замон ҷудо карда шудааст ва кор намекунад.

Барои дастурҳо ба "Вурудҳои пайвастшавӣ ба таври дастӣ илова ё тағир диҳед" фасли [3].

Истифодаи сертификатро танзим кунед

AnyConnect сертификати X.509-ро талаб мекунад. Ба "Танзим кардани сертификатҳо" фасли [3].

Блок кардани серверҳои беэътимод

Ин танзимоти барнома муайян мекунад, ки AnyConnect пайвастҳоро маҳкам мекунад, вақте ки он шлюзи бехатарро муайян карда наметавонад.
Ин муҳофизат аз рӯи нобаёнӣ ФАВОР аст ва набояд хомӯш карда шавад.

AnyConnect сертификати аз сервер гирифташударо барои тасдиқи шахсияти он истифода мебарад. Агар хатогии сертификат бо сабаби санаи гузашта ё беэътибор, истифодаи нодурусти калид ё номувофиқ будани ном мавҷуд бошад, пайвастшавӣ баста мешавад.

Ҳолати FIPS VPN-ро танзим кунед
Усули FIPS VPN алгоритмҳои криптографии стандартҳои федералии коркарди иттилоотро (FIPS) барои ҳама пайвастҳои VPN истифода мебарад.

1. Дар барномаи Cisco Secure Client-AnyConnect, Танзимотро клик кунед.
2. Барои фаъол кардани ин танзимот Ҳолати FIPS -ро клик кунед.

Барои қонеъ кардани талаботи криптографӣ дар ST, режими FIPS бояд фаъол карда шавад. Пас аз тасдиқи тағирёбии реҷаи FIPS шумо, барнома хориҷ мешавад ва бояд дастӣ аз нав оғоз карда шавад. Ҳангоми бозоғозӣ, танзимоти режими FIPS-и шумо фаъол аст.

Реҷаи эътимоди сахти сертификат

Ин танзимот Cisco Secure Client-AnyConnect TOE-ро танзим мекунад, то сертификати VPN Gateway-ро манъ кунад, ки он ба таври худкор тафтиш карда наметавонад.

1. Аз равзанаи хонагӣ, Меню > Танзимотро клик кунед.
2. Реҷаи эътимоди сахти сертификатро фаъол созед.

Ҳангоми кӯшиши пайвастшавии навбатӣ, Trust Certificate Strict Trust фаъол карда мешавад

Бекор кардани сертификатро тафтиш кунед

Ин танзимот назорат мекунад, ки оё ТО Cisco Secure Client-AnyConnect мақоми бозхонди сертификати аз Gateway VPN гирифташударо муайян мекунад. Ин танзимот бояд фаъол бошад ва набояд хомӯш карда шавад.

1. Аз тирезаи хонагии AnyConnect, Меню > Танзимот -ро клик кунед.
2. Барои фаъол кардани ин танзимот лағви шаҳодатномаи чекро фаъол созед.

Роҳнамои амалиётӣ барои ТО

Пайвасти VPN-ро таъсис диҳед

Ба «Таъсис кунед a Пайвастшавӣ VPN" фасли [3].

Администратор бояд қоидаҳои зеринро оид ба истифодаи IPsec дар AnyConnect қайд кунад:

• МУХОФИЗАТ КУНЕД
  Вурудҳо барои PROTECT тавассути сиёсати гурӯҳи дастрасии дурдаст дар ASA бо истифода аз ASDM танзим карда мешаванд. Барои вурудоти PROTECT трафик тавассути нақби VPN-и IPsec, ки аз ҷониби ТО пешниҳод шудааст, ҷараён мегирад. Барои нақби TOE тамоми трафик конфигуратсия талаб карда намешавад. Администратор ихтиёран метавонад ин рафторро бо фармони Сиёсати гурӯҳии худ муқаррар кунад: tunnelall split-tunnel-policy
• БИПАС
  ТО амалиёти BYPASSро дастгирӣ мекунад (вақте ки нақби тақсимшуда аз ҷониби сиёсати дастрасии дурдаст ба таври возеҳ иҷозат дода шудааст). Ҳангоми фаъол кардани нақби тақсимшавӣ, Gateway ASA VPN рӯйхати сегментҳои шабакаро ба ТО тела медиҳад, то МУХОФИЗАТ КУНЕД. Ҳама трафики дигар бидуни ҳифозат бидуни ҷалби ТО ҳаракат мекунад ва аз ин рӯ муҳофизати IPsec-ро давр мезанад.
  Нақби тақсимкунӣ дар сиёсати гурӯҳи дастрасии шабакавӣ (муштарӣ) танзим карда мешавад. Администратор имконоти зерин дорад:
  Истисношуда: Танҳо шабакаҳоеро, ки бо рӯйхати тақсимоти туннел-шабака муайян шудаанд, истисно кунед
  Тунел муайян карда шудааст: Танҳо шабакаҳое, ки бо рӯйхати split-tunnel-network муайян шудаанд, ба бахши "Дар бораи танзими нақби тақсимшуда барои AnyConnect Traffic" дар дастури конфигуратсияи VPN ASDM муроҷиат кунед ва ба қадамҳои дар бахши "Танзим кардани нақби тақсимшавӣ барои AnyConnect Traffic" нигаред. Пас аз ворид кардани тағирот ба сиёсати гурӯҳӣ дар ASDM, боварӣ ҳосил кунед, ки сиёсати гурӯҳ бо Connection Pro алоқаманд астfile дар Танзимот > Дастрасии дурдаст VPN > Дастрасии шабака (муштарӣ) > AnyConnect Connection Profiles > Илова/Таҳрир > Сиёсати гурӯҳ. Вурудҳои BYPASS SPD аз ҷониби платформаи мизбон тавассути қоидаҳои иҷозаи трафики шабакавӣ таъмин карда мешаванд. Дар платформаи TOE ягон конфигуратсия талаб карда намешавад, то он трафикро гузаронад.
• ТАРТ КАРДАН
  Қоидаҳои ДАСТГИРӢ танҳо аз ҷониби платформаи TOE иҷро карда мешаванд. Интерфейси маъмурӣ барои муайян кардани қоидаи ДИSCARD вуҷуд надорад.

Мониторинг ва бартараф кардани мушкилот

Ба Мониторинг ва бартараф кардани мушкилот фасли [3].

Хуруҷи Cisco Secure Client-AnyConnect
Хуруҷ аз барнома пайвасти ҷории VPN-ро қатъ мекунад ва ҳама равандҳои ТО-ро қатъ мекунад. Ин амалро сарфакорона истифода баред. Дигар барномаҳо ё равандҳои дастгоҳи шумо метавонанд пайвасти ҷории VPN-ро истифода баранд ва баромадан аз барномаи Cisco Secure Client-AnyConnect метавонад ба кори онҳо таъсири манфӣ расонад.

Аз равзанаи хонагӣ, Меню > Хуруҷ -ро клик кунед.

Дастгирии криптографӣ
ТО криптографияро барои дастгирии IPsec бо криптографияи симметрии ESP барои рамзкунонӣ/рамзкушоии оммавии AES ва алгоритми SHA-2 барои ҳашинг таъмин мекунад. Илова бар ин, ТО криптографияро барои дастгирии мубодилаи калидҳо ва функсияи ҳосилкунии Диффи Ҳелман таъмин мекунад, ки дар протоколҳои IKEv2 ва ESP истифода мешаванд. Дастурҳо оид ба танзими функсияҳои криптографӣ дар қисмати “Тартибҳо ва роҳнамоии амалиётӣ барои муҳити IT”-и ин ҳуҷҷат тавсиф шудаанд.

Навсозиҳои боэътимод

Ин бахш дастурҳоро барои қабули бехатари ТО ва ҳама гуна навсозиҳои минбаъдаи ТО таъмин мекунад. "Навсозиҳо" версияи нави ТО мебошанд.

Варианти TOE метавонад аз ҷониби корбар дархост карда шавад. Аз экрани асосӣ клик кунед "Дар бораи". Версияро инчунин тавассути платформаи мобилӣ дархост кардан мумкин аст:

• iPhone: Танзимотҳоро кушоед ва ба Умумӣ> Истифода гузаред. Дар зери нигаҳдорӣ, Cisco Secure Client Any Connect -ро пайдо кунед ва клик кунед. Маълумот дар бораи версия нишон дода мешавад.

Навсозиҳо ба Cisco Secure Client-AnyConnect TOE тавассути Дӯкони Барномаҳои Apple бо истифода аз тартиби зер идора карда мешаванд.

Шарҳ: Пеш аз навсозии дастгоҳи худ, шумо бояд сеанси VPN-ро, агар насб карда шуда бошад, ҷудо кунед ва агар он кушода бошад, барномаро пӯшед. Агар шумо ин корро карда натавонед, пеш аз истифодаи версияи нави Cisco Secure Client-AnyConnect TOE аз нав оғоз кардани дастгоҳи шумо лозим аст.

1. Дар саҳифаи хонагии iOS тасвири Store App -ро клик кунед.
2. Огоҳии навсозии Cisco Secure Client-AnyConnect-ро ламс кунед.
3. Дар бораи хусусиятҳои нав хонед.
4. Навсозӣ кунед.
5. Рамзи Apple ID-и худро ворид кунед.
6. ламс кунед ДУРУСТ.

Навсозӣ идома дорад.

Гирифтани ҳуҷҷатҳо ва пешниҳоди дархости хидмат

Барои маълумот дар бораи гирифтани ҳуҷҷатҳо, бо истифода аз Tool Search Bug Cisco (BST), пешниҳоди дархости хидматӣ ва ҷамъоварии маълумоти иловагӣ, нигаред. Чӣ нав дар Cisco Ҳуҷҷатҳои Маҳсулоти.

Барои бевосита ба мизи кории худ мундариҷаи техникии нав ва аз нав дида баромадашудаи Cisco, шумо метавонед ба Чӣ нав дар Cisco Маҳсулоти Documentation RSS feed. Наворҳои RSS як хидмати ройгон мебошанд.

Тамос бо Cisco

Cisco дар саросари ҷаҳон зиёда аз 200 офис дорад. Суроғаҳо, рақамҳои телефон ва рақамҳои факс дар Cisco номбар шудаанд webсайт дар www.cisco.com/go/offices.

Ҳуҷҷатҳо / Сарчашмаҳо

CISCO AnyConnect 5.0 Муштарии бехатар [pdf] Дастури корбар 5.0 барои iOS 16, AnyConnect 5.0 Муштарии Амн, 5.0 Муштарии Амн, Муштарии Амн, Мизоҷ

Иқтибосҳо

• Дастури корбар