Cisco Secure Client VPN: Din Ultimative Sikkerhedsguide

29/04/2022

Rating: 4.68 (6998 votes)

I en verden, hvor fjernarbejde og mobil adgang er blevet normen, er behovet for robuste og sikre netværksforbindelser mere presserende end nogensinde. Uden en pålidelig Virtual Private Network (VPN) udsættes følsomme virksomhedsdata og personlige oplysninger for unødvendige risici. Cisco Secure Client VPN fremstår som en førende løsning, der tilbyder en sikker og fleksibel måde at forbinde brugere til virksomhedsnetværk, uanset hvor de befinder sig. Denne artikel vil dykke ned i, hvordan Cisco Secure Client VPN fungerer, dets mange konfigurationsmuligheder, og hvordan det integreres med forskellige enheder og netværksløsninger, herunder Apple iOS-enheder og Firebox-firewalls.

Can I use Cisco IPSec VPN on a firebox?
Apple iOS devices (iPhone, iPad, and iPod Touch) and macOS 10.6 and higher devices include a native Cisco IPSec VPN client. You can use this client to make an IPSec VPN connection to a Firebox.

Cisco Secure Client VPN etablerer en krypteret tunnel over et usikkert netværk som internettet. Dette betyder, at al data, der sendes mellem brugerens enhed og virksomhedsnetværket, er beskyttet mod aflytning og manipulation. Løsningen er designet til at være brugervenlig, samtidig med at den tilbyder dybdegående kontrol og tilpasning for netværksadministratorer. Lad os udforske de specifikke aspekter af denne teknologi.

Indholdsfortegnelse

Forståelse af Cisco Secure Client VPN: Grundlæggende Parametre

Når du opretter en forbindelse med Cisco Secure Client, er der flere nøgleparametre, der definerer, hvordan din VPN-forbindelse etableres og fungerer. Disse parametre sikrer, at klienten kan identificere og oprette forbindelse til den korrekte VPN-server med de rette indstillinger for sikkerhed og adgang.

  • Navn (name): Dette er et unikt navn for forbindelsesposten, der vises i Cisco Secure Clients forbindelsesliste. Det anbefales at holde navnet på maksimalt 24 tegn for at sikre, at det passer ind i listen. Navnet er store/små-bogstavsfølsomt.
  • Vært (host): Her angives domænenavnet, IP-adressen eller Group URL'en for den Secure Firewall ASA, som klienten skal oprette forbindelse til. Cisco Secure Client indsætter denne værdi i feltet 'Serveradresse'.
  • Protokol (protocol): Dette valgfri parameter (standard er SSL, hvis uspecificeret) definerer den VPN-protokol, der bruges til forbindelsen. Gyldige værdier er SSL og IPsec. Valget af protokol kan påvirke ydeevne og kompatibilitet.
  • Autentifikation (authentication): Dette valgfri parameter gælder kun, når protokollen er IPsec. Den specificerer den autentifikationsmetode, der bruges til en IPsec VPN-forbindelse. Standard er EAP-AnyConnect. Andre gyldige værdier inkluderer EAP-GTC, EAP-MD5, EAP-MSCHAPv2 og IKE-RSA. Valget af autentifikationsmetode afhænger af serverens konfiguration og sikkerhedskrav.
  • IKE-identitet (ike-identity): Dette parameter er påkrævet, hvis autentifikation er indstillet til EAP-GTC, EAP-MD5 eller EAP-MSCHAPv2. Det angiver IKE-identiteten, der bruges under autentifikationsprocessen.

Avancerede Konfigurationsmuligheder for Optimal Brugeroplevelse

Ud over de grundlæggende forbindelsesparametre tilbyder Cisco Secure Client en række avancerede indstillinger, der kan finjustere VPN-oplevelsen, især for mobile enheder som iPhones og iPads. Disse indstillinger er designet til at optimere alt fra batterilevetid til automatisk forbindelsesstyring.

  • Netværksroaming (netroam): (Kun Apple iOS) Denne parameter bestemmer, om der skal være en tidsbegrænsning for genoprettelse af forbindelse, efter enheden vågner, eller efter en ændring i forbindelsestypen (f.eks. EDGE, 3G eller WiFi).
    • true (Standard): Optimerer VPN-adgang. Cisco Secure Client forsøger at etablere en ny forbindelse, indtil det lykkes, uden tidsbegrænsning. Dette er ideelt for applikationer, der kræver en vedvarende VPN-forbindelse.
    • false: Optimerer batterilevetid. Klienten forsøger at genoprette forbindelse i 20 sekunder og stopper derefter. Brugeren eller applikationen skal starte en ny VPN-forbindelse, hvis nødvendigt.
  • Nøgleringsalias (keychainalias): (Kun Android) Importerer et certifikat fra systemets certifikatlager til Cisco Secure Clients certifikatlager. Dette giver mulighed for at bruge forudinstallerede sikkerhedscertifikater til autentifikation.
  • Brug certifikat (usecert): Bestemmer, om et digitalt certifikat, der er installeret på enheden, skal bruges ved etablering af en VPN-forbindelse.
    • true (Standard): Aktiverer automatisk certifikatvalg.
    • false: Deaktiverer automatisk certifikatvalg.
  • Certifikat Common Name (certcommonname): (Kræver usecert) Matcher Common Name for et gyldigt forudinstalleret certifikat.
  • Brug On-Demand (useondemand): (Kun Apple iOS, kræver usecert, certcommonname og domænespecifikationer) Bestemmer, om applikationer som Safari kan starte VPN-forbindelser.
    • false (Standard): Forhindrer applikationer i at starte en VPN-forbindelse.
    • true: Lader en applikation bruge Apple iOS til at starte en VPN-forbindelse. Dette aktiverer 'Connect on Demand'-funktionen, som kræver yderligere domænelister.
  • Domæneliste aldrig (domainlistnever): (Kræver useondemand=true) Lister domæner, der skal udelukkes fra 'Connect-on-Demand' funktionen. Hvis et domæne matcher, ignoreres anmodningen.
  • Domæneliste altid (domainlistalways): (Kræver useondemand=true) Lister domæner, der altid skal udløse en VPN-forbindelse, hvis en applikation anmoder om adgang til dem, og VPN ikke allerede er aktiv.
  • Domæneliste efter behov (domainlistifneeded): (Kræver useondemand=true) Ligner domainlistalways, men anvendes i en specifik rækkefølge af evaluering.

Disse detaljerede indstillinger giver administratorer mulighed for at skræddersy VPN-oplevelsen og mobil adgang præcist til organisationens behov, hvilket forbedrer både sikkerhed og brugervenlighed.

What version of Cisco AnyConnect is available for Apple iOS?
Cisco AnyConnect for Apple iOS is currently available in multiple versions: Cisco AnyConnect 4.6 is the latest and recommended version available for Apple iOS. To ensure you are always receiving the latest Apple iOS bug fixes, upgrade to the latest version. We recommend using this version with Apple iOS 10.3 and later.

Sammenligning af Netværksroaming-indstillinger

ParameterBeskrivelseFordeleUlemper
netroam=true (Standard)Optimerer VPN-adgang; ubegrænset forsøg på genoprettelse af forbindelse.Vedvarende VPN-forbindelse; godt for kritiske applikationer.Kan forbruge mere batteri.
netroam=falseOptimerer batterilevetid; forsøger genoprettelse i 20 sekunder.Bedre batterilevetid.Kræver manuel genoprettelse eller app-initiering efter 20 sekunder.

Cisco VPN på Apple-enheder: iOS og iPadOS

Cisco VPN-løsninger understøtter bredt Apple-økosystemet, herunder iOS- og iPadOS-enheder, hvilket gør det muligt for brugere at opnå sikker forbindelse fra deres mobile enheder. Kompatibiliteten strækker sig til Cisco Adaptive Security Appliance (ASA) 5500 Series firewalls og Private Internet Exchange samt Cisco IOS VPN-routere med IOS 12.4(15)T eller nyere. Det er dog vigtigt at bemærke, at VPN 3000 Series-hubs ikke er kompatible med disse VPN-funktioner.

Autentifikationsmetoder på iOS, iPadOS og macOS

Apple-enheder understøtter forskellige autentifikationsmetoder for at sikre en fleksibel og sikker forbindelse:

  • IPsec pre-shared key (PSK) med brugerautentifikation via xauth.
  • Klient- og servercertifikater til IPsec-autentifikation, med valgfri brugerautentifikation via xauth.
  • Hybrid autentifikation: Her leverer serveren et certifikat, og klienten leverer en pre-shared key til IPsec-autentifikation. Brugeren skal autentificere med xauth, som kan inkludere brugernavn/adgangskode eller RSA SecurID.

Cisco Unity Protocol anvender autentifikationsgrupper til at gruppere brugere baseret på et fælles sæt parametre, hvilket forenkler administrationen. For PSK- og hybridautentifikation skal gruppenavnet konfigureres på enheden med en delt hemmelighed (PSK). Ved certifikatautentifikation bestemmes brugergruppen ud fra certifikatfelterne. Det er også vigtigt, at RSA-Sig har den højeste prioritet i ISAKMP (Internet Security Association and Key Management Protocol) prioriteringslisten.

Nøgle IPSec-indstillinger for Apple-enheder

For at sikre korrekt implementering af IPsec på Apple-enheder skal følgende indstillinger specificeres:

  • Tilstand: Tunnel-tilstand.
  • IKE-udvekslingstilstande: Aggressiv tilstand for hybrid- og PSK-autentifikation; Hovedtilstand for certifikatautentifikation.
  • Krypteringsalgoritmer: 3DES, AES-128 eller AES-256.
  • Autentifikationsalgoritmer: HMAC-MD5 eller HMAC-SHA1.
  • Diffie-Hellman-grupper: Gruppe 2 er påkrævet for hybrid- og PSK-autentifikation; Gruppe 2 med 3DES og AES-128 for certifikatautentifikation; Gruppe 2 eller 5 med AES-256.
  • Perfect Forward Secrecy (PFS): Hvis PFS bruges i IKE fase 2, skal Diffie-Hellman-gruppen være den samme som for IKE fase 1.
  • Tilstandskonfiguration: Skal være aktiveret.
  • Døde peer-detektion: Anbefales for at opretholde forbindelsens integritet.
  • Standard NAT transversal: Understøttes og kan aktiveres (IPsec over TCP understøttes ikke).
  • Belastningsbalancering: Understøttes og kan aktiveres.
  • Fase 1-nøgleudskiftning: Understøttes ikke i øjeblikket. Det anbefales at justere nøgleudskiftningstiderne på serveren til en time.
  • ASA-adressemaske: Sørg for, at ingen adressemasker er konfigureret, eller at alle er indstillet til 255.255.255.255.
  • App-version: Klientens softwareversion sendes til serveren, hvilket muliggør accept eller afvisning af forbindelser baseret på enhedens softwareversion.
  • Banner: Vises på enheden, hvis konfigureret på serveren, og brugeren skal acceptere det.
  • Split Tunneling og Split DNS: Understøttes.
  • Standarddomæne: Understøttes.

Integration med Firebox: Brug af Native IPSec VPN-klienter

Apple iOS- og macOS-enheder inkluderer en indbygget Cisco IPSec VPN-klient, som kan bruges til at oprette en IPSec VPN-forbindelse til en WatchGuard Firebox. For at opnå dette skal VPN-indstillingerne på din Firebox konfigureres til at matche dem på iOS- eller macOS-enheden. Det er vigtigt at bemærke, at den native klient ikke understøtter split tunneling og kræver 'Mobile VPN with IPSec' for default-route VPN (0.0.0.0/0).

Understøttede Fase 1- og 2-indstillinger for Firebox-forbindelser

For enheder med iOS 9.3 og nyere eller macOS 10.11.4 og nyere, understøttes specifikke kombinationer af Phase 1- og 2-indstillinger:

Diffie-Hellman Gruppe 14 (i Fase 1)

  • Fase 1 Autentifikation: MD5, SHA1, SHA2-256, SHA2-512
  • Fase 1 Kryptering: AES256
  • Fase 2 Autentifikation: MD5, SHA1
  • Fase 2 Kryptering: 3DES, AES128, AES256
  • Perfect Forward Secrecy (PFS): Nej

Diffie-Hellman Gruppe 2 (i Fase 1)

  • Fase 1 Autentifikation: MD5, SHA1
  • Fase 1 Kryptering: DES, 3DES, AES128, AES256
  • Fase 2 Autentifikation: SHA1, MD5
  • Fase 2 Kryptering: 3DES, AES128, AES256
  • Fase 2 PFS: Nej

For enheder med iOS-versioner lavere end 9.3 understøttes kun Diffie-Hellman Gruppe 2 med MD5/SHA1 for autentifikation i begge faser og DES/3DES/AES128/AES256 for kryptering. SHA2 understøttes ikke for Fase 2 i Mobile VPN med IPSec-forbindelser fra macOS og iOS-enheder; SHA1 anbefales. Diffie-Hellman Gruppe 5 understøttes ikke på Apple-enheder for aggressiv tilstand, som Mobile VPN med IPSec udelukkende understøtter.

How to install Cisco AnyConnect VPN on iPhone & iPad (iOS)?
This guide covers how to download, install, and set up Cisco AnyConnect VPN for iPhone and iPad (iOS). 1. Open the App Store and search for Cisco AnyConnect. Click Install 2. Launch Cisco AnyConnect and click Connections to add a new connection 3. Click Add VPN Connection 4.

Firebox-konfiguration til Native Klienter

Konfigurationen af Firebox er afgørende, da mange indstillinger på macOS/iOS VPN-klienten ikke kan konfigureres af brugeren. Det er derfor vigtigt at matche Firebox-indstillingerne med klientens krav.

De vigtigste trin i Firebox-konfigurationen (via Web UI eller Policy Manager) omfatter:

  • Tilføjelse af en Mobile VPN with IPSec-profil med et unikt navn og valg af en autentifikationsserver (Firebox-DB, RADIUS, LDAP, Active Directory osv.).
  • Definition af en passphrase for tunnelen.
  • Konfiguration af IPSec Tunnel-indstillinger:
    • Brug af brugerprofilens passphrase som pre-shared key.
    • Valg af autentifikations- og krypteringsmetoder (f.eks. SHA1 for autentifikation i Fase 2).
    • Avancerede Fase 1-indstillinger: Indstil SA Life til 1 time og vælg Diffie-Hellman Gruppe 14 eller 2.
    • Avancerede Fase 2-indstillinger: Deaktiver PFS, indstil Force Key Expiration til 1 time.
  • Ressourcer: Aktiver 'Allow All Traffic Through Tunnel' for default-route VPN, da split tunneling ikke understøttes af den native klient. Tilføj Virtual IP Address Pool for VPN-brugere.
  • Avanceret: Konfigurer DNS/WINS-indstillinger for mobile klienter.

Efter Firebox er konfigureret, skal VPN-klienten på iOS- eller macOS-enheden manuelt konfigureres til at matche disse indstillinger. Dette inkluderer serveradresse, brugernavn, adgangskode, gruppenavn og den delte hemmelighed (passphrase). For iOS skal VPN-typen indstilles til IPSec. På macOS vælges 'Cisco IPSec' som VPN Type. Det er værd at bemærke, at WatchGuard Mobile VPN-appen til iOS ikke længere er tilgængelig i Apple Store.

Ofte Stillede Spørgsmål (FAQ)

Q: Understøtter Cisco Secure Client split tunneling på iOS/iPadOS?

A: Ja, Cisco Secure Client understøtter split tunneling for dets egne forbindelser. Det er dog vigtigt at bemærke, at den native IPSec VPN-klient på iOS/macOS, når den bruges med en Firebox, ikke understøtter split tunneling og kræver en default-route VPN (0.0.0.0/0), hvor al trafik dirigeres gennem tunnelen.

Q: Hvorfor mister min iOS VPN-forbindelse, når enheden låses?

A: Den native VPN-klient på iOS-enheder er designet til at forblive forbundet, mens enheden er i brug. Hvis iOS-enheden låser sig selv, kan VPN-klienten afbryde forbindelsen. Brugere kan manuelt genoprette forbindelsen. Hvis adgangskoder gemmes, behøver brugerne ikke at indtaste dem igen hver gang VPN-klienten genopretter forbindelse.

What version of Cisco AnyConnect is available for Apple iOS?
Cisco AnyConnect for Apple iOS is currently available in multiple versions: Cisco AnyConnect 4.6 is the latest and recommended version available for Apple iOS. To ensure you are always receiving the latest Apple iOS bug fixes, upgrade to the latest version. We recommend using this version with Apple iOS 10.3 and later.

Q: Kan jeg bruge SHA2 til fase 2-autentifikation med Firebox?

A: Nej, SHA2 understøttes ikke for Fase 2 i Mobile VPN med IPSec-forbindelser fra macOS og iOS-enheder. SHA1 eller MD5 anbefales til Fase 2-autentifikation i disse scenarier.

Q: Hvad er formålet med 'Connect-on-Demand' (useondemand) funktionen på iOS?

A: 'Connect-on-Demand' funktionen giver applikationer, såsom Safari, mulighed for at starte en VPN-forbindelse automatisk. Hvis denne funktion er aktiveret, og en applikation anmoder om adgang til et domæne, der er specificeret i 'domainlistalways' eller 'domainlistifneeded', vil iOS forsøge at etablere en VPN-forbindelse.

Q: Er Cisco VPN 3000-serien kompatibel med iOS/iPadOS?

A: Nej, Cisco VPN 3000 Series-hubs understøttes ikke for VPN-funktioner med iOS- og iPadOS-enheder. Kompatibiliteten er med Cisco Adaptive Security Appliance 5500 Series og Private Internet Exchange-firewalls samt Cisco IOS VPN-routere med IOS 12.4(15)T eller nyere.

Konklusion

Cisco Secure Client VPN repræsenterer en omfattende og sikkerhedsorienteret løsning for fjernadgang, der er afgørende i nutidens digitale landskab. Med dens brede vifte af konfigurationsmuligheder, dybe integration med Apple-enheder og specifikke retningslinjer for kompatibilitet med Firebox-firewalls, giver den virksomheder og individuelle brugere den fleksibilitet og beskyttelse, de har brug for. Ved korrekt implementering og forståelse af de forskellige parametre og protokoller kan Cisco Secure Client VPN sikre en uafbrudt og yderst sikker forbindelse til kritiske ressourcer, uanset hvor brugeren befinder sig. Investering i en robust VPN-løsning som Cisco Secure Client er ikke blot en bekvemmelighed, men en nødvendighed for at opretholde digital integritet og fortrolighed.

Hvis du vil læse andre artikler, der ligner Cisco Secure Client VPN: Din Ultimative Sikkerhedsguide, kan du besøge kategorien Teknologi.

Go up