Διαμόρφωση Cisco IPsec VPN για συσκευές Apple
Χρησιμοποιήστε αυτήν την ενότητα για διαμόρφωση του διακομιστή Cisco VPN σας για χρήση με iOS, iPadOS και macOS, τα οποία υποστηρίζουν τα τείχη προστασίας δικτύου της Cisco: Adaptive Security Appliance 5500 Series και Private Internet Exchange. Υποστηρίζουν επίσης δρομολογητές VPN IOS της Cisco με IOS 12.4(15)T ή μεταγενέστερη έκδοση. Οι Συγκεντρωτές VPN 3000 Series δεν υποστηρίζουν δυνατότητες VPN.
Μέθοδοι ελέγχου ταυτότητας
Το iOS, το iPadOS και το macOS υποστηρίζουν τις ακόλουθες μεθόδους ελέγχου ταυτότητας:
Έλεγχος ταυτότητας IPsec με ήδη κοινόχρηστο κλειδί με έλεγχο ταυτότητας χρήστη μέσω της εντολής
xauth.Πιστοποιητικά πελάτη και διακομιστή για έλεγχο ταυτότητας IPSec, με προαιρετικό έλεγχο ταυτότητας χρήστη μέσω
xauth.Υβριδικός έλεγχος ταυτότητας, όπου ο διακομιστής παρέχει ένα πιστοποιητικό και ο πελάτης παρέχει ένα ήδη κοινόχρηστο κλειδί για έλεγχο ταυτότητας IPsec. Ο έλεγχος ταυτότητας χρήστη απαιτείται και παρέχεται μέσω
xauth, το οποίο περιλαμβάνει το όνομα χρήστη με συνθηματικό της μεθόδου ελέγχου ταυτότητας και το RSA SecurID.
Ομάδες ελέγχου ταυτότητας
Το πρωτόκολλο Cisco Unity χρησιμοποιεί ομάδες ελέγχου ταυτότητας για να ομαδοποιήσει τους χρήστες βάσει ενός συνηθισμένου αριθμού παραμέτρων. Θα πρέπει να δημιουργήσετε μια ομάδα ελέγχου ταυτότητας για χρήστες. Για το ήδη κοινόχρηστο κλειδί και τον υβριδικό έλεγχο ταυτότητας θα πρέπει να ρυθμίσετε τις παραμέτρους στο όνομα ομάδας στη συσκευή ορίζοντας το κοινό μυστικό της ομάδας (ήδη κοινόχρηστο κλειδί) ως το συνθηματικό της ομάδας.
Δεν υπάρχει κοινό μυστικό κατά τη χρήση του ελέγχου ταυτότητας πιστοποιητικού. Η ομάδα χρηστών καθορίζεται από πεδία στο πιστοποιητικό. Οι ρυθμίσεις διακομιστή Cisco μπορούν να χρησιμοποιηθούν για την αντιστοίχιση πεδίων σε ένα πιστοποιητικό σε ομάδες χρηστών.
Το RSA-Sig πρέπει να είναι η ύψιστη προτεραιότητα στη λίστα προτεραιοτήτων ISAKMP (Internet Security Association and Key Management Protocol).
Ρυθμίσεις IPsec και περιγραφές
Μπορείτε να καθορίσετε αυτές τις ρυθμίσεις για να προσδιορίσετε τον τρόπο εφαρμογής IPsec:
Λειτουργία: Λειτουργία σήραγγας.
Λειτουργίες IKE Exchange: Λειτουργία χωρίς επιβεβαίωση για ήδη κοινόχρηστο κλειδί και υβριδικός έλεγχος ταυτότητας ή Κύρια λειτουργία για έλεγχο ταυτότητας πιστοποιητικού.
Αλγόριθμοι κρυπτογράφησης: 3DES, AES-128 ή AES256.
Αλγόριθμοι ελέγχου ταυτότητας: HMAC-MD5 ή HMAC-SHA1.
Ομάδες Diffie-Hellman: Απαιτείται Ομάδα 2 για ήδη κοινόχρηστο κλειδί και υβριδικό έλεγχο ταυτότητας, ομάδα 2 με 3DES και AES-128 για πιστοποιητικό ελέγχου ταυτότητας και ομάδα 2 ή 5 με AES-256.
Perfect Forward Secrecy (PFS): Για IKE φάση 2, αν χρησιμοποιείται το PFS, η ομάδα Diffie-Hellman πρέπει να είναι ίδια με αυτήν που χρησιμοποιήθηκε για το IKE φάση 1.
Λειτουργία ρύθμισης παραμέτρων: Πρέπει να είναι ενεργοποιημένη.
Ανίχνευση ενεργού μέρους: Συνιστάται.
Τυπική διέλευση NAT: Υποστηρίζεται και μπορεί να ενεργοποιηθεί (το IPsec μέσω TCP δεν υποστηρίζεται).
Ισορρόπηση φορτίου: Υποστηρίζεται και μπορεί να ενεργοποιηθεί.
Νέο κλειδί της φάσης 1: Δεν υποστηρίζεται αυτήν τη στιγμή. Συνιστάται να οριστούν οι χρόνοι νέου κλειδιού στον διακομιστή σε μία ώρα.
Μάσκα διεύθυνσης ASA: Βεβαιωθείτε ότι όλες οι μάσκες χώρου συγκέντρωσης διευθύνσεων της συσκευής δεν έχουν ρυθμιστεί ή έχουν ρυθμιστεί στο 255.255.255.255. Για παράδειγμα:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Αν χρησιμοποιείτε τη συνιστώμενη μάσκα διεύθυνσης, ορισμένες διαδρομές που χρησιμοποιήθηκαν από τη ρύθμιση παραμέτρων VPN ενδέχεται να μη ληφθούν υπόψη. Για να το αποφύγετε, βεβαιωθείτε ότι ο πίνακας δρομολόγησης περιέχει όλες τις απαραίτητες διαδρομές και βεβαιωθείτε, επίσης, ότι οι διευθύνσεις υποδικτύου είναι προσβάσιμες πριν από την ανάπτυξη.
Έκδοση εφαρμογής: Η έκδοση λογισμικού του πελάτη αποστέλλεται στον διακομιστή, δίνοντας τη δυνατότητα στον διακομιστή να αποδεχθεί ή να απορρίψει συνδέσεις που βασίζονται στην έκδοση λογισμικού της συσκευής.
Διαφημιστικό: Το διαφημιστικό (αν πραγματοποιηθεί ρύθμιση των παραμέτρων του στον διακομιστή) εμφανίζεται στη συσκευή και ο χρήστης πρέπει να το αποδεχθεί ή να αποσυνδεθεί.
Διαίρεση σήραγγας: Υποστηρίζεται.
Διαίρεση DNS: Υποστηρίζεται.
Προεπιλεγμένος τομέας: Υποστηρίζεται.