CISCO AnyConnect 5.0 安全客户端用户指南
文档介绍
编制:
思科系统公司
170 西塔斯曼博士
加利福尼亚州圣何塞 95134
本文档为 IT 人员提供有关 TOE、思科安全客户端 – 适用于 iOS 5.0 的 AnyConnect 16 的指南。本指南文档包括在操作环境中成功安装 TOE 的说明、管理 TSF 安全性的说明以及提供安全性的说明。受保护的管理能力。
修订历史
| 版本 | 日期 | 改变 |
| 0.1 | 1 年 2023 月 XNUMX 日 | 初始版本 |
| 0.2 | 27 年 2023 月 XNUMX 日 | 更新 |
Cisco 和 Cisco 徽标是 Cisco 和/或其附属公司在美国和其他国家/地区的商标或注册商标。 view 思科商标列表,请访问此处 URL: www.cisco.com/go/trademarks。提及的第三方商标是其各自所有者的财产。合作伙伴一词的使用并不意味着思科与任何其他公司之间存在合作关系。(1110R)
© 2023 Cisco Systems, Inc. 保留所有权利。
介绍
本操作用户指南及准备程序记录了适用于 Apple iOS 5.0 TOE 的 Cisco Secure ClientAnyConnect v16 的管理,因为它已根据通用标准进行了认证。 适用于 Apple iOS 5.0 的思科安全客户端-AnyConnect v16 可能在下文中通过相关首字母缩略词(例如 VPN 客户端)或简称为 TOE 来引用。
观众
本文档是为安装和配置 TOE 的管理员编写的。 本文档假定您熟悉网络互连中使用的基本概念和术语,并了解您的网络拓扑和网络中的设备可以使用的协议,您是值得信赖的个人,并且您接受过使用操作的培训。您运行网络的系统。
目的
本文件是带有通用标准评估准备程序的操作用户指南。 编写它是为了强调在评估的配置中配置和维护 TOE 所需的特定 TOE 配置以及管理员功能和接口。 本文档并不是要详细说明管理员执行的具体操作,而是一个路线图,用于在思科文档中识别适当的位置,以获取配置和维护 AnyConnect 安全移动客户端操作的具体详细信息。 本文档的每个功能部分中提供了管理 TSF 数据的所有安全相关命令。
文件参考
本节列出了 Cisco Systems 文档,该文档也是通用标准配置项 (CI) 列表的一部分。 使用的文档如下表1所示。在本文档中,指南将用“#”来引用,例如[1]。
表 1 思科文档
| # | 标题 | 关联 |
| 1 | 思科安全客户端(包括 AnyConnect)管理员指南,版本 5 | https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html |
| 2 | Cisco AnyConnect 移动平台管理员指南,版本 4.1 | https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/管理/指南/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html |
| 3 | Cisco AnyConnect 安全移动客户端 Apple iOS 用户指南,版本 4.6.x | https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/用户/指南/Apple_iOS_Any Connect_User_Guide_4-6-x.html |
| 4 | Cisco AnyConnect 安全移动客户端版本 4.9 版本说明 | https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- 注释-anyconnect-4-9.html |
| 5 | 适用于 Apple iOS 的思科安全客户端(包括 AnyConnect)第 5 版发行说明 | https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/思科-安全-客户端- 5/release/notes/release-notes-apple-ios-cisco-secure- 客户端发布-5-0.html |
脚趾结束view
TOE 是 Cisco AnyConnect 安全移动客户端(以下简称 VPN 客户端或 TOE)。 Cisco AnyConnect 安全移动客户端为远程用户提供与 Cisco 2 系列自适应安全设备 (ASA) VPN 网关的安全 IPsec (IKEv5500) VPN 连接,允许安装的应用程序进行通信,就像直接连接到企业网络一样。
运营环境
当 TOE 在其评估配置中进行配置时,TOE 需要以下 IT 环境组件:
表 2. 操作环境组件
| 成分 | 用途/目的说明 |
| 证书颁发机构 | 证书颁发机构用于提供有效的数字证书。 |
| 移动平台 | TOE 依赖于以下任何经过 CC 验证的 Apple 移动设备平台:
|
| ASA 5500-X 系列 VPN 网关 | 软件版本 5500 或更高版本的 Cisco ASA 9.2.2-X 充当头端 VPN 网关。 |
| ASDM管理平台 | ASDM 7.7 可在以下任一操作系统上运行:
|
底层移动平台提供 MOD_VPNC_V2.4] 中所需的一些安全功能,并在本文档中使用短语“TOE 平台”表示。
Cisco AnyConnect TOE 使用移动操作系统平台上的网络硬件资源来发送和接收加密数据包。 TOE 不会访问敏感信息存储库。
本文档中提及的“ASA”指的是 VPN 网关
排除的功能
下面列出的功能不包含在评估的配置中。
表 3. 排除的功能和理由
| 功能排除 | 基本原理 |
| 非 FIPS 140-2 操作模式 | TOE 包括 FIPS 操作模式。 FIPS 模式允许 TOE 仅使用经批准的加密技术。 必须启用 FIPS 操作模式才能使 TOE 在其评估的配置中运行。 |
| 具有 DLTS 隧道选项的 SSL 隧道 | [MOD_VPNC_V2.4] 仅允许 IPsec VPN 隧道。 |
这些服务将通过配置禁用。 排除此功能不会影响对所声称的 Protection Pro 的合规性files.
IT环境的流程和操作指南
要在其评估的配置中运行,TOE 需要至少一 (1) 个证书颁发机构 (CA)、一 (1) 个 VPN 网关和一 (1) 个 Apple iPhone 移动设备。
为了类似于客户 PKI 环境,本节将引用使用脱机根 CA 和企业从属 CA 的两层 CA 解决方案,该解决方案采用 Microsoft 2012 R2 证书颁发机构 (CA)。 可以使用其他 CA 产品来代替 Microsoft。
根 CA 配置为独立(工作组)服务器,而从属 CA 配置为启用了 Active Directory 服务的 Microsoft 域的一部分。 下图提供了 TOE 和 IT 的直观描述
环境。 TOE 是一款在 iOS 13 上运行的软件应用程序。TOE 边界由哈希红线表示。 参见下图1。
图 1. TOE 和环境
下级CA颁发X.509数字证书,并向TOE平台和VPN网关提供证书吊销列表(CRL)。
或者,可以部署一 (1) 个单根企业 CA。
- 安装和配置证书颁发机构
如果使用 Microsoft 两层 CA 解决方案,请根据供应商的指导安装和配置根 (GRAYCA) 和企业从属证书颁发机构 (GRAYSUBCA1)。 以下是配置 Microsoft Active Directory 证书服务的分步指南:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
假设图 1 中所示的脱机根 CA (GRAYCA) 证书和企业从属 CA (GRAYSUBCA1) 证书均已安装并受信任,以确保建立受信任的证书链。 如果使用 Microsoft 以外的供应商提供的 CA,请遵循该供应商的 CA 安装指南。
无论使用哪种 CA 产品,ASA 上的 RSA 证书必须具有以下密钥用法和扩展密钥用法属性:
- 关键用法: 数字签名、密钥协议
- 埃库: IP安全IKE中间、IP端安全系统
ASA 上的 ECDSA 和 RSA 证书中的使用者备用名称 (SAN) 字段必须与 AnyConnect pro 中指定的连接信息匹配file 在客户端上。
- 安装和配置 VPN 网关
根据适用于要安装版本的安装指南和发行说明,安装 Cisco ASA 9.1(或更高版本),可以选择使用 ASDM。 ASDM 允许从图形用户界面管理 ASA。 或者,如果管理员愿意,可以使用等效的命令行 (CLI) 配置步骤。
配置注意:由于存在由 ASA 管理的参数,网关管理员必须遵循本节中的步骤以确保 TOE 处于其评估配置中。
- 在 ASA 上启用 AnyConnect 和 IKEv2。 在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > AnyConnect Connection Profile并选择启用 Cisco AnyConnect 复选框和 IKEv2 下的允许访问。
- 在 AnyConnect 连接 Pro 上file在上述页面中,选择“设备证书”。 确保未选中“使用相同的设备证书…”,并选择 ECDSA 设备证书下的 EC ID 证书。 然后选择确定。
- 使用通用标准评估配置中允许的算法创建 IKEv2 加密策略。 在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > 高级 > IPsec > IKE 策略并添加 IKEv2 策略。
选择“添加”并输入 1 作为最高优先级。 范围是 1 到 65535,其中 1 优先级最高。
加密:
AES: 为 ESP 指定具有 128 位密钥加密的 AES-CBC。
AES-256: 为 ESP 指定具有 256 位密钥加密的 AES-CBC。
AES-GCM-128: 指定 AES Galois 计数器模式 128 位加密
AES-GCM-256: 指定 AES Galois 计数器模式 256 位加密
DH集团: 选择 Diffie-Hellman 组标识符。 每个 IPsec 对等方都使用它来派生共享秘密,而无需相互传输。 有效选择为:19 和 20。
PRF哈希值 – 指定用于为 SA 中使用的所有加密算法构建密钥材料的 PRF。 有效选择是:sha256 和 sha384
在此例中amp文件配置选择:
优先级:1
AES Galois 计数器模式 (AES-GCM) 256 位加密: 选择 GCM 后,就无需选择完整性算法。 这是因为与 CBC(密码块链接)不同,GCM 内置了真实性功能。
Diffie-Hellman集团: 20
完整性哈希: 无效的
PRF 哈希: sha384
寿命: 86400
选择 好的。
管理员注意: 不评估上面未列出的任何附加加密、DH 组、完整性或 PRF 哈希的使用。
管理员注意: 高级选项卡显示 IKE 强度强制参数。 确保检查安全关联 (SA) 强度强制参数。 这可确保 IKEv2 加密密码的强度高于其子 IPsec SA 加密密码的强度。 强度较高的算法将被降级。
CLI 等效项是: crypto ipsec ikev2 sa-strength-enforcement
- 创建 IPSEC 提案。 在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > 高级 > IPsec > IPsec 建议(转换集)并添加 IKEv2 IPsec 建议。 然后选择确定。
在前amp下面的文件使用的名称是 NGE-AES-GCM-256,其中 AES-GCM-256 用于加密,Null 用于完整性哈希:
- 创建动态加密映射,选择 IPsec 提议并将其应用于外部接口。 在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > 高级 > IPsec > 加密映射。 选择添加,选择外部接口和 IKEv2 提议。
单击“高级”选项卡。 确保以下几点:
启用 NAT-T —为此策略启用 NAT 穿越 (NAT-T)
安全关联生命周期设置 — 设置为 8 小时(28800 秒) - 创建将分配给 VPN 用户的地址池 VPNUSERS。 地址池包含以下字段:
姓名 — 指定分配给 IP 地址池的名称。
起始IP地址 — 指定池中的第一个 IP 地址。
结束IP地址 — 指定池中的最后一个 IP 地址。
子网掩码- 选择要应用于池中地址的子网掩码。
在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > 地址分配 > 地址池并添加指定上述字段的 IP 池,然后选择确定。
添加组策略,将所需的设置应用于 VPN 用户。 组策略允许您管理 AnyConnect VPN 组策略。 VPN 组策略是存储在 ASA 设备内部的面向用户的属性/值对的集合。 配置 VPN 组策略可让用户继承您未在单个组或用户名级别配置的属性。 缺省情况下,VPN 用户没有组策略关联。 组策略信息由 VPN 隧道组和用户帐户使用。 在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > 组策略并添加内部组策略。 确保 VPN 隧道协议设置为 IKEv2,并且通过取消选中继承复选框并选择适当的设置,在策略中引用上面创建的 IP 池。 相关的 DNS、WINS 和域名也可以添加到服务器部分的策略中。
参考前amp下面的组策略 NGE-VPN-GP:
- 创建隧道组名称。 隧道组包含IPsec连接的隧道连接策略。 连接策略可以指定认证、授权和计费服务器、默认组策略和IKE属性。
在 ASDM 中,转至配置 > 远程访问 VPN > 网络(客户端)访问 > AnyConnect Connection Profiles。 在页面底部的 Connection Pro 下files,选择添加。
在前amp使用隧道组名称 NGE-VPN-RAS 下面的文件。
配置引用证书身份验证、关联的组策略 NGE-VPN-GP 和启用 IPsec (IKEv2)。 DNS和域名也可以在这里添加。 另外,通过不选中启用 SSL VPN 客户端协议来确保仅使用 IPsec。
- 创建证书映射,将 NGE VPN 用户映射到之前创建的 VPN 隧道组。 证书映射将应用于 AC 用户。 在此场景中,从属 CA 公用名进行匹配,以确保传入的 TOE 平台请求(带有从属 CA 颁发的 EC 证书)将映射到之前创建的相应隧道组。 未获得 EC CA 证书的 VPN 用户将回退到默认隧道组,并且
身份验证失败,将被拒绝访问。
在 ASDM 中,转至配置 > 远程访问 VPN > 高级 > AnyConnect 和无客户端 SSL VPN 连接 Pro 的证书file 地图。 在 Connection Pro 的证书下file 地图选择添加。 选择优先级为10的现有DefaultCertificateMap并引用NGE-RAS-VPN隧道组。
在 ASDM 中,转至配置 > 远程访问 VPN > 高级 > AnyConnect 和无客户端 SSL VPN 连接 Pro 的证书file 地图。 在映射标准下选择添加。 选择“Issuer”作为字段,选择“Common Name (CN)”作为组件,选择“Contains”作为“Operator”,然后选择“Ok”。
确保在主页上选择“应用”并保存配置。 - 配置 ASA 以接受来自 AnyConnect VPN 客户端的 VPN 连接,请使用 AnyConnect VPN 向导。 此向导配置用于远程网络访问的 IPsec (IKEv2) VPN 协议。 请参阅此处的说明:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
TOE的准备程序和操作指南
要安装思科安全客户端-AnyConnect TOE,请按照以下步骤操作:
- 打开 App Store。
- 选择搜索
- 在搜索框中,输入 Cisco Secure Client-AnyConnect
- 点击安装应用程序
- 选择“安装”
启动思科安全客户端-AnyConnect
点击 Cisco Secure Client-AnyConnect 图标启动应用程序。 如果这是您在安装或升级后第一次启动 Cisco Secure Client-AnyConnect,请选择“确定”以启用 TOE 来扩展设备的虚拟专用网络 (VPN) 功能
完整性验证
每次加载应用程序时都会执行完整性验证,并且会等待完整性验证完成。 调用iOS平台提供的加密服务来验证TOE可执行文件的数字签名 files。 如果完整性验证未能成功完成,GUI 将无法加载,从而导致应用程序无法使用。 如果完整性验证成功,应用程序 GUI 将正常加载并运行。
配置参考标识符
本节指定 VPN 网关对等方的参考标识符的配置。 在 IKE 第 1 阶段身份验证期间,TOE 将参考标识符与 VPN 网关提供的标识符进行比较。 如果 TOE 确定它们不匹配,则身份验证将不会成功。
从主屏幕选择连接 view 您的设备上已配置的条目。 可能会列出多个连接条目,其中一些位于“每应用程序 VPN”标题下。 连接条目可能有 以下状态:
- 启用— 该连接条目由移动设备管理器启用并可用于连接。
- 积极的- 该标记或突出显示的连接条目当前处于活动状态。
- 连接的- 该连接条目是活动的,当前已连接并正在运行。
- 已断开连接— 此连接条目是活动的,但当前已断开连接且未运行。
有关说明,请参阅 “手动添加或修改连接条目” [3] 的部分。
配置证书使用
AnyConnect 需要 X.509 证书。 请参阅 “配置证书” [3] 的部分。
阻止不受信任的服务器
此应用程序设置确定 AnyConnect 在无法识别安全网关时是否阻止连接。
该保护默认处于开启状态,不得关闭。
AnyConnect 使用从服务器收到的证书来验证其身份。 如果由于日期过期或无效、密钥使用错误或名称不匹配而出现证书错误,则连接将被阻止。
设置 VPN FIPS 模式
VPN FIPS 模式对所有 VPN 连接使用联邦信息处理标准 (FIPS) 加密算法。
- 在思科安全客户端-AnyConnect 应用程序中,点击设置。
- 点击 FIPS 模式以启用此设置。
为了满足 ST 中的加密要求,必须启用 FIPS 模式。 确认 FIPS 模式更改后,应用程序将退出并且必须手动重新启动。 重新启动后,您的 FIPS 模式设置将生效。
严格的证书信任模式
此设置将思科安全客户端-AnyConnect TOE 配置为禁止其无法自动验证的头端 VPN 网关的证书。
- 在主窗口中,点击菜单 > 设置。
- 启用严格证书信任模式。
下次连接尝试时,将启用严格证书信任
检查证书吊销
此设置控制思科安全客户端-AnyConnect TOE 是否确定从头端 VPN 网关收到的证书的吊销状态。 此设置必须打开且不得关闭。
- 在 AnyConnect 主窗口中,点击菜单 > 设置。
- 启用检查证书吊销以启用此设置。
TOE 操作指南
建立 VPN 连接
请参阅 “建立 a VPN 连接” [3] 的部分。
管理员应注意以下有关在 AnyConnect 中使用 IPsec 的 PROTECT、BYPASS 和 DISCARD 规则:
- 保护
PROTECT 条目是使用 ASDM 通过 ASA 上的远程访问组策略进行配置的。 对于 PROTECT 条目,流量流经 TOE 提供的 IPsec VPN 隧道。 所有流量的 TOE 隧道无需配置。 管理员可以选择使用组策略中的命令显式设置此行为: split-tunnel-policytunnelall - 旁路
TOE 支持 BYPASS 操作(当远程访问策略明确允许分割隧道时)。 启用分割隧道后,ASA VPN 网关会将网段列表推送到 TOE,以 保护。 所有其他流量在不受保护的情况下传输,不涉及 TOE,从而绕过 IPsec 保护。
分割隧道是在网络(客户端)访问组策略中配置的。 管理员有以下选项:
排除指定: 仅排除 split-tunnel-network-list 指定的网络
隧道指定: 仅通过 split-tunnel-network 列表指定的隧道网络 请参阅 VPN ASDM 配置指南中的“关于为 AnyConnect 流量配置拆分隧道”部分,并参阅“为 AnyConnect 流量配置拆分隧道”部分中提供的步骤。 在 ASDM 中更改组策略后,请确保组策略与 Connection Pro 关联file 在配置 > 远程访问 VPN > 网络(客户端)访问 > AnyConnect Connection Pro 中files > 添加/编辑 > 组策略。 BYPASS SPD 条目由主机平台通过隐式网络流量允许规则提供。 TOE 平台无需进行任何配置即可允许其传递此流量。 - 丢弃
DISCARD 规则由 TOE 平台专门执行。 没有用于指定 DISCARD 规则的管理界面。
监控和故障排除
请参阅 监控和故障排除 [3] 的部分。
退出思科安全客户端-AnyConnect
退出应用程序将终止当前 VPN 连接并停止所有 TOE 进程。 谨慎使用此操作。 您设备上的其他应用程序或进程可能正在使用当前的 VPN 连接,退出思科安全客户端-AnyConnect 应用程序可能会对它们的操作产生不利影响。
在主窗口中,点击菜单 > 退出。
加密支持
TOE 提供支持 IPsec 的加密技术,以及用于批量 AES 加密/解密的 ESP 对称加密技术和用于散列的 SHA-2 算法。 此外,TOE 还提供加密技术来支持 IKEv2 和 ESP 协议中使用的 Diffie Hellman 密钥交换和派生功能。 本文档的“IT 环境的流程和操作指南”部分描述了配置加密功能的说明。
可信更新
本节提供有关安全接受 TOE 和任何后续 TOE 更新的说明。 “更新”是 TOE 的新版本。
用户可以查询TOE版本。 在主屏幕上点击“关于”。 版本控制也可以通过移动平台查询:
- iPhone: 打开“设置”并转到“常规”>“使用情况”。 在存储下,找到 Cisco Secure Client Any Connect 并点击。 将显示版本信息。
Cisco Secure Client-AnyConnect TOE 的更新通过 Apple App Store 使用以下过程进行管理。
笔记: 在升级设备之前,您必须断开 VPN 会话(如果已建立),并关闭应用程序(如果打开)。 如果您未能执行此操作,则在使用新版本的思科安全客户端 AnyConnect TOE 之前需要重新启动设备。
- 点击 iOS 主页上的 App Store 图标。
- 点击思科安全客户端-AnyConnect 升级通知。
- 了解新功能。
- 单击“更新”。
- 输入您的 Apple ID 密码。
- 轻敲 好的。
更新继续进行。
获取文档并提交服务请求
有关获取文档、使用思科错误搜索工具 (BST)、提交服务请求以及收集其他信息的信息,请参阅 思科产品文档中的新增内容。
要直接在您的桌面上接收新的和修订的思科技术内容,您可以订阅 思科产品文档 RSS 源中的新增内容。 RSS 源是一项免费服务。
联系思科
思科在全球拥有 200 多个办事处。地址、电话号码和传真号码列在思科 web网站 www.cisco.com/go/offices.
文件/资源
 |
CISCO AnyConnect 5.0 安全客户端 [pdf] 用户指南 5.0 适用于 iOS 16、AnyConnect 5.0 安全客户端、5.0 安全客户端、安全客户端、客户端 |
