CISCO AnyConnect 5.0 זיכער קליענט באַניצער גייד

דאָקומענט הקדמה

צוגעגרייט דורך:
סיסקאָ סיסטעמס, ינק.
170 מערב טאזמאן דר.
סאַן דזשאָסע, CA 95134

דער דאָקומענט גיט גיידאַנס צו IT פּערסאַנעל פֿאַר די TOE, Cisco Secure Client - AnyConnect 5.0 פֿאַר יאָס 16. דער גיידאַנס דאָקומענט כולל אינסטרוקציעס צו הצלחה ינסטאַלירן די TOE אין די אַפּעריישאַנאַל סוויווע, אינסטרוקציעס צו פירן די זיכערהייט פון די TSF און ינסטראַקשאַנז צו צושטעלן אַ פּראָטעקטעד אַדמיניסטראַטיווע פיייקייַט.

רעוויזיע געשיכטע

ווערסיע	טאָג	טוישן
0.1	1 מאי 2023	ערשט ווערסיע
0.2	יולי 27, 2023	דערהייַנטיקונגען

סיסקאָ און די סיסקאָ לאָגאָ זענען טריידמאַרקס אָדער רעגיסטרירט טריידמאַרקס פון סיסקאָ און / אָדער זייַן אַפיליאַץ אין די יו. עס. און אנדערע לענדער. צו view אַ רשימה פון סיסקאָ טריידמאַרקס, גיין צו דעם URL: www.cisco.com/go/trademarks. דריט-פּאַרטיי טריידמאַרקס דערמאנט זענען די פאַרמאָג פון זייער ריספּעקטיוו אָונערז. די נוצן פון דעם וואָרט שוטעף טוט נישט מיינען אַ שוטפעס שייכות צווישן Cisco און קיין אנדערע פירמע. (1110ר)

© 2023 Cisco Systems, Inc. כל רעכט רעזערווירט.

הקדמה

די אַפּעריישאַנאַל באַניצער גיידאַנס מיט פּריפּעראַטיוו פּראָוסידזשערז דאָקומענטן די אַדמיניסטראַציע פון ​​די Cisco Secure ClientAnyConnect v5.0 פֿאַר עפּל יאָס 16 TOE, ווי עס איז געווען סערטאַפייד אונטער פּראָסט קרייטיריאַ. Cisco Secure Client-AnyConnect v5.0 פֿאַר עפּל יאָס 16 קען זיין רעפעררעד אונטן דורך די פֿאַרבונדענע אַקראַנים, למשל VPN קליענט אָדער פשוט די טאָע.

וילעם
דער דאָקומענט איז געשריבן פֿאַר אַדמיניסטראַטאָרס וואָס ינסטאַלירן און קאַנפיגיער די TOE. דער דאָקומענט אַסומז אַז איר זענט באַקאַנט מיט די גרונט קאַנסעפּס און טערמינאָלאָגיעס געניצט אין אינטערנעץ ארבעטן, און פֿאַרשטיין דיין נעץ טאַפּאַלאַדזשי און די פּראָטאָקאָלס וואָס די דעוויסעס אין דיין נעץ קענען נוצן, אַז איר זענט אַ טראַסטיד יחיד, און אַז איר זענט טריינד צו נוצן די אָפּערייטינג סיסטעם. סיסטעמען אויף וואָס איר לויפן דיין נעץ.

ציל
דער דאָקומענט איז די אַפּעריישאַנאַל באַניצער גיידאַנס מיט פּריפּעראַטיוו פּראָוסידזשערז פֿאַר די אפשאצונג פון פּראָסט קרייטיריאַ. עס איז געווען געשריבן צו הויכפּונקט די ספּעציפיש TOE קאַנפיגיעריישאַן און אַדמיניסטראַטאָר פאַנגקשאַנז און ינטערפייסיז וואָס זענען נייטיק צו קאַנפיגיער און טייַנען די TOE אין די עוואַלואַטעד קאַנפיגיעריישאַן. דער דאָקומענט איז נישט מענט צו דעטאַל ספּעציפיש אַקשאַנז דורכגעקאָכט דורך די אַדמיניסטראַטאָר, אָבער איז אַ וועג מאַפּע צו ידענטיפיצירן די צונעמען לאָוקיישאַנז אין סיסקאָ דאַקיומענטיישאַן צו באַקומען די ספּעציפיש דעטאַילס פֿאַר קאַנפיגיערינג און מיינטיינינג AnyConnect Secure Mobility Client אַפּעריישאַנז. אַלע זיכערהייט באַטייַטיק קאַמאַנדז צו פירן די TSF דאַטן זענען צוגעשטעלט אין דעם דאַקיומענטיישאַן אין יעדער פאַנגקשאַנאַל אָפּטיילונג.

דאָקומענט רעפערענצן
דער אָפּטיילונג ליסטעד די Cisco Systems דאַקיומענטיישאַן וואָס איז אויך אַ טייל פון די Common Criteria Configuration Item (CI) רשימה. די געוויינט דאָקומענטן זענען געוויזן אונטן אין טאַבלע 1. איבער דעם דאָקומענט, די פירער וועט זיין ריפערד צו די "#", אַזאַ ווי [1].

טיש 1 סיסקאָ דאָקומענטאַטיאָן

#	טיטל	לינק
1	Cisco Secure Client (אַרייַנגערעכנט AnyConnect) אַדמיניסטראַטאָר גייד, מעלדונג 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Cisco AnyConnect מאָביל פּלאַטפאָרמס אַדמיניסטראַטאָר גייד, מעלדונג 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	עפּל יאָס באַניצער גייד פֿאַר Cisco AnyConnect Secure Mobility Client, מעלדונג 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	מעלדונג נאָטעס פֿאַר Cisco AnyConnect Secure Mobility Client, מעלדונג 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- notes-anyconnect-4-9.html
5	מעלדונג נאָטעס פֿאַר Cisco Secure Client (אַרייַנגערעכנט AnyConnect), מעלדונג 5 פֿאַר עפּל יאָס	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/release/notes/release-notes-apple-ios-cisco-secure- client-release-5-0.html

טאָע איבערview
די TOE איז די Cisco AnyConnect Secure Mobility Client (דערנאָך ריפערד צו ווי דער VPN קליענט, אָדער די TOE). די Cisco AnyConnect Secure Mobility Client גיט ווייַט יוזערז זיכער IPsec (IKEv2) VPN קאַנעקשאַנז צו די Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway אַלאַוינג אינסטאַלירן אַפּלאַקיישאַנז צו יבערגעבן ווי גלייך קאָננעקטעד צו די פאַרנעמונג נעץ.

אַפּעריישאַנאַל סוויווע
די TOE ריקווייערז די פאלגענדע IT סוויווע קאַמפּאָונאַנץ ווען די TOE איז קאַנפיגיערד אין זיין עוואַלואַטעד קאַנפיגיעריישאַן:

טיש 2. אַפּעריישאַנאַל סוויווע קאַמפּאָונאַנץ

קאָמפּאָנענט	באַניץ / ציל באַשרייַבונג
סערטיפיקאַט אויטאָריטעט	א סערטיפיקאַט אויטאָריטעט איז געניצט צו צושטעלן גילטיק דיגיטאַל סערטיפיקאַץ.
מאָביל פּלאַטפאָרמע	די TOE רילייז אויף קיין פון די פאלגענדע CC וואַלאַדייטאַד עפּל רירעוודיק מיטל פּלאַטפאָרמס: עפּל יפאָנע 11 / XR מיט יאָס 16
ASA 5500-X סעריע וופּן גאַטעווייַ	די Cisco ASA 5500-X מיט ווייכווארג ווערסיע 9.2.2 אָדער שפּעטער פאַנגקשאַנז ווי די קאָפּ-סוף וופּן גאַטעווייַ.
ASDM מאַנאַגעמענט פּלאַטפאָרמע	די ASDM 7.7 אַפּערייץ פֿון קיין פון די פאלגענדע אָפּערייטינג סיסטעמען: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 און Server 2019 Apple OS X 10.4 אָדער שפּעטער באַמערקונג אַז ASDM ווייכווארג איז אינסטאַלירן אויף די ASA אַפּפּליאַנסע און די פאַרוואַלטונג פּלאַטפאָרמע איז געניצט צו פאַרבינדן צו די ASA און לויפן די ASDM. די בלויז ווייכווארג אינסטאַלירן אויף די פאַרוואַלטונג פּלאַטפאָרמע איז אַ Cisco ASDM Launcher.

די אַנדערלייינג רירעוודיק פּלאַטפאָרמע פּראָווידעס עטלעכע פון ​​די זיכערהייט פאַנגקשאַנאַליטי פארלאנגט אין MOD_VPNC_V2.4] און איז דינאָוטאַד מיט די פראַזע "TOE פּלאַטפאָרם" אין דעם דאָקומענט.

די Cisco AnyConnect TOE ניצט נעץ ייַזנוואַרג רעסורסן אויף די רירעוודיק אַס פּלאַטפאָרמע צו שיקן און באַקומען ינקריפּטיד פּאַקיץ. די TOE קען נישט אַקסעס שפּירעוודיק אינפֿאָרמאַציע ריפּאַזאַטאָריז.

רעפערענצן אין דעם דאָקומענט צו "אַסאַ" אָפּשיקן צו אַ VPN גאַטעווייַ

יקסקלודיד פאַנגקשאַנאַליטי

די פאַנגקשאַנאַליטי ליסטעד אונטן איז נישט אַרייַנגערעכנט אין די עוואַלואַטעד קאַנפיגיעריישאַן.

טיש 3. יקסקלודיד פאַנגקשאַנאַליטי און סייכל

פֿונקציע יקסקלודיד	סייכל
ניט-FIPS 140-2 מאָדע פון ​​אָפּעראַציע	די TOE כולל FIPS מאָדע פון ​​אָפּעראַציע. די FIPS מאָדעס אַלאַוז די טאָע צו נוצן בלויז באוויליקט קריפּטאָגראַפי. FIPS אָפּעראַציע מאָדע מוזן זיין ענייבאַלד אין סדר פֿאַר די TOE צו אַרבעטן אין זיין עוואַלואַטעד קאַנפיגיעריישאַן.
ססל טוננעל מיט DLTS טאַנאַלינג אָפּציעס	[MOD_VPNC_V2.4] דערלויבט בלויז IPsec VPN טונעל.

די סערוויסעס וועט זיין פאַרקריפּלט דורך קאַנפיגיעריישאַן. די יקסקלוזשאַן פון דעם פאַנגקשאַנאַליטי טוט נישט ווירקן די העסקעם צו די קליימד פּראַטעקשאַן פּראָfiles.

פּראָוסידזשערז און אַפּעריישאַנאַל גיידאַנס פֿאַר IT סוויווע

צו אַרבעטן אין זיין עוואַלואַטעד קאַנפיגיעריישאַן, די TOE ריקווייערז אַ מינימום (1) סערטיפיקאַט אויטאָריטעט (CA), איין (1) VPN גאַטעווייַ און איין (1) עפּל iPhone רירעוודיק מיטל.

צו ריזעמבאַל קונה PKI ינווייראַנמאַנץ, אַ צוויי-ריי CA לייזונג ניצן אַן אָפפלינע וואָרצל CA און אַן ענטערפּרייז סאַבאָרדאַנייט CA מיט Microsoft 2012 R2 Certificate Authority (CA) וועט זיין רעפעררעד אין דעם אָפּטיילונג. אנדערע CA פּראָדוקטן אין פּלאַץ פון מייקראָסאָפֿט קענען זיין געוויינט.

א וואָרצל CA איז קאַנפיגיערד ווי אַ סטאַנדאַלאָנע (וואָרקגרופּ) סערווער, בשעת די סאַבאָרדאַנייט CA איז קאַנפיגיערד ווי אַ טייל פון אַ מיקראָסאָפט פעלד מיט אַקטיווע Directory באַדינונגס ענייבאַלד. די פאלגענדע פיגור גיט אַ וויזשאַוואַל דיפּיקשאַן פון די TOE און IT

סביבה. די טאָע איז אַ ווייכווארג אַפּ וואָס איז פליסנדיק אויף יאָס 13. די טאָע גרענעץ איז דינייטיד דורך די האַש רויט שורה. זען פיגור 1 אונטן.

פיגורע 1. טאָע און סוויווע

די סאַבאָרדאַנייט CA אַרויסגעבן X.509 דיגיטאַל סערטיפיקאַץ און גיט אַ סערטיפיקאַט רעוואָקאַטיאָן רשימה (CRL) צו די TOE פּלאַטפאָרם און VPN גאַטעווייַ.
אַלטערנאַטיוועלי, איין (1) איין וואָרצל ענטערפּרייז CA קען זיין דיפּלויד.

• ינסטאַלירן און קאַנפיגיער אַ סערטיפיקאַט אויטאָריטעט

אויב איר נוצן אַ מייקראָסאָפֿט צוויי-ריי CA לייזונג, ינסטאַלירן און קאַנפיגיער אַ וואָרצל (GRAYCA) און ענטערפּרייז סאַבאָרדאַנייט סערטיפיקאַט אויטאָריטעט (GRAYSUBCA1) אין לויט מיט די גיידאַנס פון די פאַרקויפער. די פאלגענדע איז אַ שריט-פֿאַר-שריט פירן פֿאַר די קאַנפיגיעריישאַן פון Microsoft Active Directory סערטיפיקאַט באַדינונגס:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
עס איז אנגענומען אַז די אָפפלינע וואָרצל CA (GRAYCA) באַווייַזן און די ענטערפּרייז סאַבאָרדאַנייט CA (GRAYSUBCA1) סערטיפיקאַץ דיפּיקטיד אין פיגור 1 זענען אינסטאַלירן און טראַסטיד צו ענשור אַז אַ טראַסטיד באַווייַזן קייט איז געגרינדעט. אויב איר נוצן אַ CA פון אַ פאַרקויפער אנדערע ווי מייקראָסאָפֿט, נאָכגיין די CA ייַנמאָנטירונג גיידאַנס פון דעם פאַרקויפער.

רעגאַרדלעסס פון די CA פּראָדוקט געניצט, די RSA באַווייַזן אויף די ASA מוזן האָבן די פאלגענדע שליסל באַניץ און עקסטענדעד שליסל באַניץ פּראָפּערטיעס:

• שליסל באַניץ: דיגיטאַל סיגנאַטורע, שליסל העסקעם
• עקו: IP זיכערהייט IKE ינטערמידייט, IP סוף זיכערהייט סיסטעם

די סובדזשעקט אַלטערנאַטיווע נאָמען (SAN) פעלדער אין ECDSA און RSA סערטיפיקאַץ אויף די ASA מוזן גלייַכן די קשר אינפֿאָרמאַציע ספּעסיפיעד אין די AnyConnect פּראָfile אויף דעם קליענט.

• ינסטאַלירן און קאַנפיגיער אַ VPN Gateway

ינסטאַלירן Cisco ASA 9.1 (אָדער שפּעטער), אָפּטיאָנאַללי מיט ASDM, אין לויט מיט ייַנמאָנטירונג פירער און מעלדונג הערות פּאַסיק פֿאַר די ווערסיעס צו זיין אינסטאַלירן. ASDM אַלאַוז די ASA צו זיין געראטן פֿון אַ גראַפיקאַל באַניצער צובינד. אַלטערנאַטיוועלי, אויב דער אַדמיניסטראַטאָר פּריפערז, עקוויוואַלענט באַפֿעלן שורה (CLI) קאַנפיגיעריישאַן סטעפּס קען זיין געוויינט.

קאַנפיגיעריישאַן באַמערקונג: ווי עס זענען פּאַראַמעטערס געראטן דורך די ASA, דער גאַטעווייַ אַדמיניסטראַטאָר מוזן נאָכגיין די סטעפּס אין דעם אָפּטיילונג צו ענשור אַז די טאָע איז אין זיין עוואַלואַטעד קאַנפיגיעריישאַן.

• געבן AnyConnect און IKEv2 אויף די ASA. אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> AnyConnect Connection Pro.files און סעלעקטירן געבן Cisco AnyConnect טשעקקבאָקס און לאָזן אַקסעס אונטער IKEv2.
  
• אויף די AnyConnect Connection Profileס בלאַט דערמאנט אויבן, אויסקלייַבן דיווייס סערטיפיקאַט. פאַרזיכערן ניצן די זעלבע מיטל באַווייַזן ... איז נישט אָפּגעשטעלט און סעלעקטירן דעם EC ID באַווייַזן אונטער די ECDSA מיטל באַווייַזן. דערנאָך סעלעקטירן Ok.
  
• שאַפֿן IKEv2 קריפּטאָ פּאָליטיק ניצן די אַלגערידאַמז דערלויבט אין די קאָממאָן קריטעריאַ עוואַלואַטעד קאַנפיגיעריישאַן. אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> אַוואַנסירטע> IPsec> IKE פּאָליסיעס און לייגן אַן IKEv2 פּאָליטיק.

אויסקלייַבן לייג און אַרייַן 1 פֿאַר די העכסטן בילכערקייַט. די קייט איז 1 צו 65535, מיט 1 די העכסטן בילכערקייַט.

ענקריפּשאַן:
AES: ספּעציפיצירט AES-CBC מיט אַ 128-ביסל שליסל ענקריפּשאַן פֿאַר ESP.
AES-256: ספּעציפיצירט AES-CBC מיט אַ 256-ביסל שליסל ענקריפּשאַן פֿאַר ESP.
AES-GCM-128: ספּעסיפיעס AES Galois קאָונטער מאָדע 128-ביסל ענקריפּשאַן
AES-GCM-256: ספּעסיפיעס AES Galois קאָונטער מאָדע 256-ביסל ענקריפּשאַן

DH גרופע: קלייַבן די Diffie-Hellman גרופּע ידענטיפיער. דאָס איז גענוצט דורך יעדער IPsec ייַנקוקנ זיך צו באַקומען אַ שערד סוד, אָן טראַנסמיטינג עס צו יעדער אנדערער. גילטיק סעלעקציעס זענען: 19 און 20.

PRF Hash - ספּעציפיצירן די PRF געניצט פֿאַר די קאַנסטראַקשאַן פון קייסינג מאַטעריאַל פֿאַר אַלע די קריפּטאָגראַפיק אַלגערידאַמז געניצט אין די סאַ. גילטיק סאַלעקשאַנז זענען: sha256 און sha384

אין דעם עקסampאויסקלייַבן די קאַנפיגיעריישאַן:

 

בילכערקייַט: 1

AES Galois קאָונטער מאָדע (AES-GCM) 256-ביסל ענקריפּשאַן: ווען GCM איז אויסגעקליבן, עס פּריקלודז די נויט צו סעלעקטירן אַן אָרנטלעכקייַט אַלגערידאַם. דאָס איז ווייַל די אָטאַנטיסיטי קייפּאַבילאַטיז זענען געבויט אין GCM, ניט ענלעך CBC (Cipher-Block Chaining).

דיפי-העלמאַן גרופע: 20
אָרנטלעכקייַט האַש: Null
PRF האַש: sha384
לעבן: 86400

אויסקלייַבן אקעי.

אַדמיניסטראַטאָר באַמערקונג: די נוצן פון נאָך ענקריפּשאַן, דה-גרופּע, אָרנטלעכקייַט אָדער PRF האַש וואָס איז נישט ליסטעד אויבן איז נישט עוואַלואַטעד.

אַדמיניסטראַטאָר באַמערקונג: די אַוואַנסירטע קוויטל דיספּלייז די IKE שטאַרקייט ענפאָרסמאַנט פּאַראַמעטער. פאַרזיכערן די סעקוריטי אַססאָסיאַטיאָן (SA) סטרענגטה ענפאָרסמאַנט פּאַראַמעטער איז אָפּגעשטעלט. דאָס ינשורז אַז די שטאַרקייט פון די IKEv2 ענקריפּשאַן סייפער איז העכער ווי די שטאַרקייט פון די ענקריפּשאַן סיפערס פון זיין קינד IPsec SA. העכער שטאַרקייט אַלגערידאַמז וועט זיין דאַונגריידאַד.

די CLI עקוויוואַלענט איז: crypto ipsec ikev2 סאַ-שטאַרקייַט-ענפאָרסמאַנט

• שאַפֿן אַן IPSEC פאָרשלאָג. אין ASDM, גיין צו קאַנפיגיעריישאַן> ווייַט אַקסעס וופּן> נעטוואָרק (קליענט) אַקסעס> אַוואַנסירטע> יפּסעק> יפּסעק פּראַפּאָוזאַלז (טראַנספאָרם סעץ) און לייגן אַן IKEv2 IPsec פאָרשלאָג. דעמאָלט אויסקלייַבן Ok.
  אין די עקסampונטער דער נאָמען געניצט איז NGE-AES-GCM-256 מיט AES-GCM-256 פֿאַר ענקריפּשאַן און Null פֿאַר די אָרנטלעכקייַט האַש:
  
  
• שאַפֿן אַ דינאַמיש קריפּטאָ מאַפּע, סעלעקטירן דעם יפּסעק פאָרשלאָג און צולייגן צו די אַרויס צובינד. אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> אַוואַנסירטע> IPsec> קריפּטאָ מאַפּס. סעלעקטירן לייג, סעלעקטירן דעם אַרויס צובינד און די IKEv2 פאָרשלאָג.
  דריקט דעם אַוואַנסירטע קוויטל. פאַרזיכערן די פאלגענדע:
  געבן NAT-T — ינייבאַלז NAT טראַווערסאַל (NAT-T) פֿאַר דעם פּאָליטיק
  זיכערהייט אַססאָסיאַטיאָן ליפעטימע באַשטעטיקן - איז באַשטימט צו 8 שעה (28800 סעקונדעס)
• שאַפֿן אַן אַדרעס בעקן VPNUSERS וואָס וועט זיין אַסיינד צו VPN ניצערס. אַדרעס פּאָאָלס אַנטהאַלטן די פאלגענדע פעלדער:
  נאָמען - ספּעסיפיעס די נאָמען אַסיינד צו די IP אַדרעס בעקן.
  סטאַרטינג IP אַדרעס - ספּעסיפיעס דער ערשטער IP אַדרעס אין די בעקן.
  סאָף IP אַדרעס - ספּעסיפיעס די לעצטע IP אַדרעס אין די בעקן.
  סובנעט מאַסקע— סאַלעקץ די סובנעט מאַסקע צו צולייגן צו די אַדרעסעס אין די בעקן.

אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> אַדרעס אַסיינמאַנט> אַדרעס פּאָאָלס און לייגן אַן IP בעקן ספּעציפיצירן די אויבן פעלדער און סעלעקטירן Ok.

לייג אַ גרופּע פּאָליטיק וואָס וועט צולייגן די געבעטן סעטטינגס צו די וופּן יוזערז. גרופע פּאַלאַסיז לעץ איר פירן AnyConnect VPN גרופּע פּאַלאַסיז. א VPN גרופּע פּאָליטיק איז אַ זאַמלונג פון באַניצער-אָריענטיד אַטריביוט / ווערט פּערז סטאָרד אָדער ינעווייניק אויף די ASA מיטל. קאַנפיגיערינג די VPN גרופּע פּאָליטיק לעץ יוזערז ירשענען אַטריביוץ וואָס איר האָט נישט קאַנפיגיערד אין די יחיד גרופּע אָדער נאמען מדרגה. דורך פעליקייַט, VPN ניצערס האָבן קיין גרופּע פּאָליטיק פאַרבאַנד. די גרופּע פּאָליטיק אינפֿאָרמאַציע איז געניצט דורך VPN טונעל גרופּעס און באַניצער אַקאַונץ. אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> גרופע פּאַליס און לייג אַן ינערלעך גרופּע פּאָליטיק. פאַרזיכערן אַז די וופּן טונעל פּראָטאָקאָל איז באַשטימט צו IKEv2 און די IP בעקן באשאפן אויבן איז רעפעררעד אין די פּאָליטיק דורך די-סאַלעקטינג די ירשענען טשעק קעסטל און סעלעקטירן די צונעמען באַשטעטיקן. באַטייַטיק DNS, WINS און פעלד נעמען קענען אויך זיין מוסיף אין די פּאָליטיק אין די סערווערס אָפּטיילונג.

אָפּשיקן צו עקסampדי גרופּע פּאָליטיק NGE-VPN-GP אונטן:

• שאַפֿן אַ טונעל גרופּע נאָמען. א טונעל גרופּע כּולל טונעל פֿאַרבינדונג פּאַלאַסיז פֿאַר די IPsec פֿאַרבינדונג. א קשר פּאָליטיק קענען ספּעציפיצירן אָטענטאַקיישאַן, דערלויבעניש און אַקאַונטינג סערווערס, אַ פעליקייַט גרופּע פּאָליטיק און IKE אַטריביוץ.

אין ASDM, גיין צו קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> AnyConnect Connection Pro.fileס. אין די דנאָ פון די בלאַט אונטער Connection Profiles, אויסקלייַבן לייג.

אין די עקסampונטער דער טונעל גרופּע נאָמען NGE-VPN-RAS איז געניצט.

די קאַנפיגיעריישאַן באַווייַזן סערטיפיקאַט אָטענטאַקיישאַן, די פֿאַרבונדן גרופּע פּאָליטיק NGE-VPN-GP און Enable IPsec (IKEv2). דנס און פעלד נאָמען קענען אויך זיין מוסיף דאָ. אויך ענשור אַז בלויז IPsec איז געניצט דורך נישט קאָנטראָלירן די געבן SSL VPN קליענט פּראָטאָקאָל.

• שאַפֿן אַ באַווייַזן מאַפּע, מאַפּינג די NGE VPN יוזערז צו די VPN טונעל גרופּע וואָס איז געווען פריער באשאפן. די באַווייַזן מאַפּע וועט זיין געווענדט צו די AC יוזערז. אין דעם סצענאַר, די סאַבאָרדאַנייט CA פּראָסט נאָמען איז מאַטשט צו ענשור אַז אַ ינקאַמינג טאָע פּלאַטפאָרמע בעטן מיט אַן EC באַווייַזן ארויס פון די סאַבאָרדאַנייט CA וועט זיין מאַפּט צו די צונעמען טונעל גרופּע וואָס איז געווען פריער באשאפן. VPN ניצערס וואָס זענען נישט ארויס אַ באַווייַזן פון די EC CA וועט פאַלן צוריק צו די פעליקייַט טונעל גרופּעס און
  דורכפאַל אָטענטאַקיישאַן און וועט זיין געלייקנט אַקסעס.
  אין ASDM, גיין צו קאַנפיגיעריישאַן> ווייַט אַקסעס VPN> אַוואַנסירטע> סערטיפיקאַט צו AnyConnect און Clientless SSL VPN Connection Pro.file מאַפּס. אונטער סערטיפיקאַט צו קאַנעקשאַן פּראָfile מאַפּס אויסקלייַבן לייג. קלייַבן די יגזיסטינג DefaultCertificateMap מיט אַ בילכערקייַט פון 10 און דערמאָנען די NGE-RAS-VPN טונעל גרופּע.
  
  אין ASDM, גיין צו קאַנפיגיעריישאַן> ווייַט אַקסעס VPN> אַוואַנסירטע> סערטיפיקאַט צו AnyConnect און Clientless SSL VPN Connection Pro.file מאַפּס. אונטער מאַפּינג קריטעריאַ אויסקלייַבן לייג. אויסקלייַבן ישוער פֿאַר פעלד, פּראָסט נאָמען (CN) פֿאַר קאָמפּאָנענט, כּולל פֿאַר אָפּעראַטאָר, און דעמאָלט אויסקלייַבן Ok.
  
  פאַרזיכערן צו סעלעקטירן APPLY אויף די הויפּט בלאַט און היט די קאַנפיגיעריישאַן.
• קאַנפיגיער ASA צו אָננעמען VPN קאַנעקשאַנז פון די AnyConnect VPN קליענט, נוצן די AnyConnect VPN וויזערד. דער מאַזעק קאַנפיגיער IPsec (IKEv2) וופּן פּראָטאָקאָלס פֿאַר ווייַט נעץ אַקסעס. אָפּשיקן צו די ינסטראַקשאַנז דאָ:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

פּריפּעראַטיוו פּראָוסידזשערז און אַפּעריישאַנאַל גיידאַנס פֿאַר די טאָע

צו ינסטאַלירן די Cisco Secure Client-AnyConnect TOE, נאָכגיין די סטעפּס אונטן:

1. עפֿענען די אַפּ סטאָר.
2. אויסקלייַבן זוך
3. אין די זוכן באָקס, אַרייַן Cisco Secure Client-AnyConnect
4. צאַפּן אויף ינסטאַלל אַפּ
5. אויסקלייַבן ינסטאַלירן

אָנהייב Cisco Secure Client-AnyConnect

צאַפּן אויף די Cisco Secure Client-AnyConnect ייקאַן צו אָנהייבן די אַפּלאַקיישאַן. אויב דאָס איז דער ערשטער מאָל איר אָנהייב Cisco Secure Client-AnyConnect נאָך ינסטאָלינג אָדער אַפּגריידינג, קלייַבן OK צו געבן די TOE צו פאַרברייטערן די ווירטואַל פּריוואַט נעטוואָרק (VPN) קייפּאַבילאַטיז פון דיין מיטל

אָרנטלעכקייַט וועראַפאַקיישאַן

אָרנטלעכקייַט וועראַפאַקיישאַן איז דורכגעקאָכט יעדער מאָל די אַפּ איז לאָודיד און עס וועט וואַרטן פֿאַר די אָרנטלעכקייַט וועראַפאַקיישאַן צו פאַרענדיקן. קריפּטאָגראַפיק באַדינונגס צוגעשטעלט דורך די יאָס פּלאַטפאָרמע זענען ינוואָוקט צו באַשטעטיקן די דיגיטאַל כסימע פון ​​די עקסעקוטאַבלע TOE fileס. אויב די אָרנטלעכקייַט וועראַפאַקיישאַן פיילז צו הצלחה פאַרענדיקן, די GUI וועט נישט לאָדן, וואָס מאכט די אַפּ אַניוזאַבאַל. אויב די אָרנטלעכקייַט וועראַפאַקיישאַן איז געראָטן, די אַפּ GUI וועט לאָדן און אַרבעטן נאָרמאַלי.

קאַנפיגיער רעפערענץ ידענטיפיער

דער אָפּטיילונג ספּעציפיצירט די קאַנפיגיעריישאַן פון די רעפֿערענץ יידענאַפייד פֿאַר די VPN Gateway ייַנקוקנ. בעשאַס IKE פאַסע 1 אָטענטאַקיישאַן, די TOE קאַמפּערז די רעפֿערענץ ידענטיפיער צו די אידענטיטעט דערלאנגט דורך די VPN Gateway. אויב די TOE באַשטימט אַז זיי טאָן ניט גלייַכן, אָטענטאַקיישאַן וועט נישט זיין געראָטן.

אויסקלייַבן קאַנעקשאַנז פון די היים פאַרשטעלן צו view די איינסן שוין קאַנפיגיערד אויף דיין מיטל. קייפל פֿאַרבינדונג איינסן קען זיין ליסטעד, עטלעכע אונטער אַ פּער-אַפּ וופּן כעדינג. קאַנעקשאַן איינסן קען האָבן די די פאלגענדע סטאַטוס:

• ערמעגליכט- דער פֿאַרבינדונג פּאָזיציע איז ענייבאַלד דורך די רירעוודיק מיטל פאַרוואַלטער און קענען זיין געוויינט פֿאַר קאַנעקטינג.
• אַקטיוו — דעם אנגעצייכנט אָדער כיילייטיד קשר פּאָזיציע איז דערווייַל אַקטיוו.
• פארבונדן — דער פֿאַרבינדונג פּאָזיציע איז די אַקטיוו און איז דערווייַל קאָננעקטעד און אַפּערייטינג.
• אפגעשטעלט — דער פֿאַרבינדונג פּאָזיציע איז די אַקטיוו, אָבער איז איצט דיסקאַנעקטיד און נישט אַפּערייטינג.

פֿאַר ינסטראַקשאַנז אָפּשיקן צו די "לייג אָדער מאָדיפיצירן קאַנעקשאַן ענטריעס מאַניואַלי" אָפּטיילונג פון [3].

קאַנפיגיער סערטיפיקאַט ניצן

AnyConnect ריקווייערז אַן X.509 באַווייַזן. אָפּשיקן צו די "Configure Certificates" אָפּטיילונג פון [3].

פאַרשפּאַרן ונטראַסטעד סערווערס

די אַפּלאַקיישאַן באַשטעטיקן דיטערמאַנז אויב AnyConnect בלאַקס קאַנעקשאַנז ווען עס קען נישט ידענטיפיצירן די זיכער גייטוויי.
דער שוץ איז אויף דורך פעליקייַט און מוזן נישט זיין אויסגעדרייט אַוועק.

AnyConnect ניצט די באַווייַזן באקומען פון די סערווער צו באַשטעטיקן זיין ידענטיפיצירן. אויב עס איז אַ באַווייַזן טעות רעכט צו אַ אויסגעגאנגען אָדער פאַרקריפּלט דאַטע, פאַלש נוצן פון שליסל אָדער אַ נאָמען מיסמאַטש, די קשר איז אפגעשטעלט.

שטעלן VPN FIPS מאָדע
VPN FIPS מאָדע ניצט פעדעראלע אינפֿאָרמאַציע פּראַסעסינג סטאַנדאַרדס (FIPS) קריפּטאָגראַפי אַלגערידאַמז פֿאַר אַלע וופּן קאַנעקשאַנז.

1. אין די Cisco Secure Client-AnyConnect אַפּ, צאַפּן סעטטינגס.
2. צאַפּן FIPS מאָדע צו געבן דעם באַשטעטיקן.

צו טרעפן קריפּטאָגראַפיק רעקווירעמענץ אין די ST, FIPS מאָדע מוזן זיין ענייבאַלד. נאָך באַשטעטיקונג פון דיין FIPS מאָדע טוישן, די אַפּ יקסידז און מוזן זיין ריסטאַרטיד מאַניואַלי. ביי ריסטאַרט, דיין FIPS מאָדע באַשטעטיקן איז אין ווירקונג.

שטרענג סערטיפיקאַט טראַסט מאָדע

די באַשטעטיקן קאַנפיגיער די Cisco Secure Client-AnyConnect TOE צו נישט לאָזן די באַווייַזן פון די VPN Gateway פון די קאָפּ סוף אַז עס קען נישט אויטאָמאַטיש באַשטעטיקן.

1. פון די היים פֿענצטער, צאַפּן מעניו > סעטטינגס.
2. געבן שטרענג סערטיפיקאַט טראַסט מאָדע.

אויף דער ווייַטער קשר פּרווון, Strict Certificate Trust וועט זיין ענייבאַלד

קוק סערטיפיקאַט רעוואָקאַטיאָן

די באַשטעטיקן קאָנטראָלס צי די Cisco Secure Client-AnyConnect TOE וועט באַשליסן די רעוואָקאַטיאָן סטאַטוס פון די באַווייַזן באקומען פון די קאָפּ-סוף VPN Gateway. די באַשטעטיקן מוזן זיין אויף און זאָל נישט זיין אויסגעדרייט אַוועק.

1. פון די AnyConnect היים פֿענצטער, צאַפּן מעניו > סעטטינגס.
2. געבן טשעק סערטיפיקאַט רעוואָקאַטיאָן צו געבן דעם באַשטעטיקן.

אַפּעריישאַנאַל גיידאַנס פֿאַר די TOE

פאַרלייגן אַ VPN קאַנעקשאַן

אָפּשיקן צו די "שטעלן a VPN קאַנעקשאַן" אָפּטיילונג פון [3].

דער אַדמיניסטראַטאָר זאָל טאָן די פאלגענדע פּראָטעקט, בייפּאַס, און אַוועקוואַרפן כּללים וועגן די נוצן פון IPsec אין AnyConnect:

• באַשיצן
  פּאַרץ פֿאַר PROTECT זענען קאַנפיגיערד דורך ווייַט אַקסעס גרופּע פּאָליטיק אויף די ASA ניצן ASDM. פֿאַר PROTECT איינסן, די פאַרקער פלאָוז דורך די IPsec VPN טונעל צוגעשטעלט דורך די טאָע. קיין קאַנפיגיעריישאַן איז פארלאנגט פֿאַר די TOE טונעל אַלע פאַרקער. דער אַדמיניסטראַטאָר אָפּטיאָנאַללי קען בפירוש שטעלן דעם אָפּפירונג מיט די באַפֿעל אין זייער גרופע פּאָליטיק: שפּאַלטן-טונעל-פּאָליטיק טונעלאַלל
• בייפּאַס
  די TOE שטיצט BYPASS אַפּעריישאַנז (ווען שפּאַלטן טאַנאַלינג איז בפירוש דערלויבט דורך רימאָוט אַקסעס פּאָליטיק). ווען שפּאַלטן טאַנאַלינג איז ענייבאַלד, די ASA VPN Gateway פּושיז אַ רשימה פון נעץ סעגמאַנץ צו די טאָע. באַשיצן. אַלע אנדערע פאַרקער טראַוואַלז אַנפּראַטעקטיד אָן ינוואַלווינג די TOE אַזוי בייפּאַסינג IPsec שוץ.
  שפּאַלטן טאַנאַלינג איז קאַנפיגיערד אין אַ נעטוואָרק (קליענט) אַקסעס גרופּע פּאָליטיק. דער אַדמיניסטראַטאָר האט די פאלגענדע אָפּציעס:
  ויסשליסן ספּעסיפיעד: ויסשליסן בלויז נעטוואָרקס ספּעסיפיעד דורך שפּאַלטן-טונעל-נעטוואָרק-ליסט
  טונעל ספּעסיפיעד: טונעל בלויז נעטוואָרקס ספּעסיפיעד דורך שפּאַלטן-טונעל-נעטוואָרק רשימה אָפּשיקן צו די "וועגן קאַנפיגיערינג שפּאַלטן טוננעלינג פֿאַר אַניקאָננעקט פאַרקער" אָפּטיילונג אין די VPN ASDM קאַנפיגיעריישאַן פירער און זען סטעפּס צוגעשטעלט אין די "קאָנפיגורע ספּליט טוננעלינג פֿאַר אַניקאָננעקט פאַרקער" אָפּטיילונג. נאָך מאַכן ענדערונגען צו די גרופּע פּאָליטיק אין ASDM, זיין זיכער אַז די גרופּע פּאָליטיק איז פארבונדן מיט אַ קאַנעקשאַן פּראָfile אין קאַנפיגיעריישאַן> רימאָוט אַקסעס וופּן> נעץ (קליענט) אַקסעס> AnyConnect Connection Profiles > לייג / רעדאַגירן > גרופע פּאָליטיק. בייפּאַס ספּד איינסן זענען צוגעשטעלט דורך דער באַלעבאָס פּלאַטפאָרמע דורך ימפּליסאַט נעץ פאַרקער דערלויבן כּללים. קיין קאַנפיגיעריישאַן איז פארלאנגט אויף די TOE פּלאַטפאָרמע צו לאָזן דעם פאַרקער.
• DISCARD
  DISCARD כּללים זענען דורכגעקאָכט אויסשליסלעך דורך די TOE פּלאַטפאָרמע. עס איז קיין אַדמיניסטראַטיווע צובינד פֿאַר ספּעציפיצירן אַ DISCARD הערשן.

מאָניטאָר און טראָובלעשאָאָט

אָפּשיקן צו די מאָניטאָר און טראָובלעשאָאָט אָפּטיילונג פון [3].

אַרויסגאַנג Cisco Secure Client-AnyConnect
אַרויסגאַנג פון די אַפּ טערמאַנייץ די קראַנט וופּן פֿאַרבינדונג און סטאַפּס אַלע טאָע פּראַסעסאַז. ניצן דעם קאַמף ספּערינגלי. אנדערע אַפּפּס אָדער פּראַסעסאַז אויף דיין מיטל קען נוצן די קראַנט וופּן פֿאַרבינדונג און אַרויסגאַנג די Cisco Secure Client-AnyConnect אַפּ קען האָבן אַ נעגאַטיוו פּראַל אויף זייער אָפּעראַציע.

פון די היים פֿענצטער, צאַפּן מעניו > אַרויסגאַנג.

קריפּטאָגראַפיק שטיצן
די TOE גיט קריפּטאָגראַפי אין שטיצן פון IPsec מיט ESP סיממעטריק קריפּטאָגראַפי פֿאַר פאַרנעם AES ענקריפּשאַן / דעקריפּטיאָן און SHA-2 אַלגערידאַם פֿאַר כאַשינג. אין אַדישאַן, די TOE גיט קריפּטאָגראַפי צו שטיצן Diffie Hellman שליסל וועקסל און דעריוויישאַן פונקציע געניצט אין די IKEv2 און ESP פּראָטאָקאָלס. ינסטרוקטיאָנס צו קאַנפיגיער קריפּטאָגראַפיק פאַנגקשאַנז זענען דיסקרייבד אין די "פּראָוסידזשערז און אַפּעריישאַנאַל גיידאַנס פֿאַר IT סוויווע" אָפּטיילונג פון דעם דאָקומענט.

טראַסטיד דערהייַנטיקונגען

דער אָפּטיילונג גיט ינסטראַקשאַנז פֿאַר סיקיורלי אַקסעפּטינג די TOE און קיין סאַבסאַקוואַנט TOE דערהייַנטיקונגען. "דערהייַנטיקונגען" זענען אַ נייַע ווערסיע פון ​​די TOE.

טאָע ווערסיעס קענען זיין געבעטן דורך דער באַניצער. פון די היים פאַרשטעלן צאַפּן "וועגן". ווערסיעס קענען אויך זיין קווערד דורך די רירעוודיק פּלאַטפאָרמע:

• iPhone: עפֿענען סעטטינגס און גיין צו אַלגעמיינע> באַניץ. אונטער סטאָרידזש, געפֿינען די Cisco Secure Client Any Connect און צאַפּן. די ווערסיע אינפֿאָרמאַציע וועט זיין געוויזן.

דערהייַנטיקונגען צו די Cisco Secure Client-AnyConnect TOE זענען געראטן דורך די עפּל אַפּ סטאָר ניצן די פּראָצעדור אונטן.

באַמערקונג: איידער איר אַפּגרייד דיין מיטל, איר מוזן דיסקאַנעקט די VPN סעסיע אויב איינער איז געגרינדעט, און פאַרמאַכן די אַפּלאַקיישאַן אויב עס איז אָפן. אויב איר פאַרלאָזן צו טאָן דאָס, אַ רעבאָאָט פון דיין מיטל איז פארלאנגט איידער איר נוצן די נייַע ווערסיע פון ​​די Cisco Secure Client-AnyConnect TOE.

1. צאַפּן אויף די אַפּ סטאָר בילדל אויף די יאָס היים בלאַט.
2. צאַפּן אויף די Cisco Secure Client-AnyConnect אַפּגרייד אָנזאָג.
3. לייענען וועגן די נייַע פֿעיִקייטן.
4. דריקט דערהייַנטיקן.
5. אַרייַן דיין Apple ID פּאַראָל.
6. צאַפּן גוט.

דער דערהייַנטיקן לייזונג.

באַקומען דאַקיומענטיישאַן און פאָרלייגן אַ סערוויס בעטן

פֿאַר אינפֿאָרמאַציע וועגן קריגן דאַקיומענטיישאַן, ניצן די Cisco Bug Search Tool (BST), פאָרלייגן אַ דינסט בעטן און זאַמלען נאָך אינפֿאָרמאַציע, זען וואָס ס נייַ אין Cisco Product Documentation.

צו באַקומען נייַ און ריווייזד Cisco טעכניש אינהאַלט גלייַך צו דיין דעסקטאַפּ, איר קענען אַבאָנירן צו די וואָס ס נייַ אין Cisco Product Documentation RSS פיטער. די RSS פידז זענען אַ פריי דינסט.

קאָנטאַקט סיסקאָ

סיסקאָ האט מער ווי 200 אָפאַסיז ווערלדווייד. אַדרעסעס, טעלעפאָן נומערן און פאַקס נומערן זענען ליסטעד אויף די סיסקאָ webפּלאַץ בייַ www.cisco.com/go/offices.

דאָקומענטן / רעסאָורסעס

CISCO AnyConnect 5.0 זיכער קליענט [pdfבאַניצער גייד 5.0 פֿאַר יאָס 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client

רעפערענצן

• באַניצער מאַנואַל