Configuração da VPN IPsec Cisco para dispositivos Apple
Use esta secção para configurar o seu servidor de VPN Cisco para utilização com o iOS, iPadOS e macOS, os quais suportam as firewalls de rede Adaptive Security Appliance 5500 Series e Private Internet Exchange. Também suportam routers de VPN para iOS Cisco com a versão iOS 12.4(15)T ou posterior. Os concentradores VPN Série 3000 não suportam as capacidades de VPN.
Métodos de autenticação
O iOS, iPadOS e macOS suportam os seguintes métodos de autenticação:
Autenticação IPsec de chave pré-partilhada com autenticação de utilizador usando o comando
xauth.Certificados de cliente e de servidor para autenticação IPsec, com autenticação de utilizador opcional através de
xauth.Autenticação híbrida em que servidor fornece um certificado e o cliente fornece uma chave pré-partilhada para autenticação IPsec. A autenticação de utilizador é necessária e fornecida usando
xauth, a qual inclui o nome de utilizador com palavra-passe do método de autenticação e RSA SecurID.
Grupos de autenticação
O protocolo Cisco Unity usa grupos de autenticação para agrupar utilizadores com base num conjunto de parâmetros comuns. Deverá ser criado um grupo de autenticação para os utilizadores. No caso de chave pré‑partilhada e autenticação híbrida, o nome do grupo deve ser configurado no dispositivo com a palavra‑passe correspondente ao segredo partilhado do grupo (chave pré‑partilhada)
Ao utilizar a autenticação por certificado não existe segredo partilhado. O grupo de um utilizador é determinado pelos campos no certificado. As definições do servidor Cisco podem ser utilizadas para mapear campos de um certificado para grupos de utilizadores.
RSA–Sig deve ter a prioridade máxima na lista de prioridades ISAKMP (Internet Security Association and Key Management Protocol).
Definições e descrições de IPsec
É possível especificar estas definições para determinar como o IPsec é implementado:
Mode (Modo): modo túnel.
IKE exchange modes (Modos de troca IKE): modo agressivo para chaves pré-partilhadas e autenticação híbrida ou modo Principal para autenticação por certificado.
Encryption algorithms (Algoritmos de cifragem): 3DES, AES–128 ou AES256.
Authentication algorithms (Algoritmos de autenticação): HMAC-MD5 ou HMAC-SHA1.
Diffie-Hellman Groups (Grupos Diffie–Hellman): o Grupo 2 é necessário para a autenticação de chave pré-partilhada e híbrida, grupo 2 com 3DES e AES-128 para autenticação por certificado e grupo 2 ou 5 com AES-256.
PFS (Perfect Forward Secrecy): na fase 2 IKE, caso seja usado PFS, o grupo Diffie–Hellman deve ser o mesmo do que foi usado na fase 1 IKE.
Mode configuration (Configuração de modo): deve estar ativada.
DPD: recomendado.
Standard NAT traversal (NAT Traversal padrão): suportado e pode ser ativado (IPsec sobre TCP não é suportado).
Load balancing (Equilíbrio de carga): suportado e pode ser ativado.
Rekeying of phase 1 (Reformulação de chave da fase 1): não suportada atualmente. Recomenda-se que o tempo de reformulação de chaves no servidor seja definido com 1 hora.
ASA address mask (Máscara de endereço ASA): certifique-se de que todas as máscaras de pool de endereços dos dispositivos não estão definidas ou estão definidas com 255.255.255.255. Por exemplo:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Se utilizar a máscara de endereço recomendada, poderão ser ignoradas algumas roas presumidas pela configuração da VPN. Para evitar que isso suceda, certifique-se de que a tabela de encaminhamento contém todas as rotas necessárias e verifique se os endereços da sub-rede estão acessíveis antes da implementação.
Application version (Versão da aplicação): a versão do software cliente é enviada para o servidor, deixando o servidor aceitar ou rejeitar as ligações com base na versão do software do dispositivo.
Banner (Faixa): a faixa (caso configurada no servidor) é apresentada no dispositivo e o utilizador tem de a aceitar ou desligar.
Split tunnel (Túnel dividido): suportado.
Split DNS (DNS dividido): suportado.
Default domain (Domínio predefinido): suportado.