Nastavenie Cisco IPsec VPN pre Apple zariadenia
V tejto časti nájdete informácie o tom, ako nakonfigurovať VPN server Cisco na použitie v systémoch iOS, iPadOS a macOS. Všetky tieto systémy podporujú sieťové firewally Cisco Adaptive Security Appliance 5500 Series a Private Internet Exchange. Podporujú aj smerovače Cisco IOS VPN s verziou IOS 12.4(15)T alebo novšou. Koncentrátory VPN 3000 Series nepodporujú možnosti VPN.
Metódy overenia
Systémy iOS, iPadOS a macOS podporuj nasledujúce metódy autentifikácie:
Autentifikácia predzdieľaným kľúčom IPsec s autentifikáciou užívateľov pomocou príkazu
xauth.Certifikáty klienta a servera pre autentifikáciu IPsec s voliteľnou autentifikáciou užívateľov pomocou príkazu
xauth.Hybridná autentifikácia, pri ktorej server poskytuje certifikát a klient poskytuje predzdieľaný kľúč na autentifikáciu IPsec. Autentifikácia užívateľov je povinná a zabezpečuje ju príkaz
xauth, ktorý obsahuje užívateľské meno a heslo použité pre metódu autentifikácie a mechanizmus SecurID protokolu RSA.
Skupiny overenia
Protokol Cisco Unity používa skupiny overenia na zoskupovanie užívateľov podľa spoločných súborov parametrov. Pre užívateľov je potrebné vytvoriť skupinu overenia. V prípade predzdieľaného kľúča a hybridného overenia je potrebné na zariadení nastaviť názov skupiny, pričom tajný (predzdieľaný) kľúč skupiny predstavuje heslo skupiny.
Pri používaní overenia certifikátom sa zdieľaný tajný kľúč nepoužíva. Skupina užívateľov sa určuje podľa polí v certifikáte. Nastavenia servera Cisco je možné použiť na párovanie polí v certifikáte so skupinami užívateľov.
Najvyššiu prioritu v zozname priorít ISAKMP (Internet Security Association and Key Management Protocol) musí mať položka RSA-Sig.
Nastavenia a popisy IPsec
Tieto nastavenia môžete špecifikovať na definovanie spôsobu, akým je implementované IPsec:
Režim: Režim tunelu.
Režimy výmeny IKE: Agresívny režim pre predzdieľaný kľúč a hybridné overenie alebo režim Hlavné pre overenie certifikátom.
Šifrovacie algoritmy: 3DES, AES-128 alebo AES256.
Algoritmy overenia: HMAC-MD5 alebo HMAC-SHA1.
Diffie-Hellman Groups: Group 2 je potrebné pre predzdieľaný kľúč a hybridné overenie, Group 2 s 3DES a AES-128 pre overenie certifikátom a Group 2 alebo 5 s AES-256.
Perfect Forward Secrecy (PFS): Pokiaľ sa pre IKE fázu 2 používa PFS, Diffie-Hellman Group musí byť rovnaké aké bolo použité pre IKE fázu 1.
Konfigurácia režimu: Musí byť povolené.
Zisťovanie stavu dead peer: Odporúčané.
Štandard NAT traversal: Podporované a môže byť povolené (IPsec over TCP nie je podporované).
Load balancing: Podporované a môže byť povolené.
Prepísanie fázy 1: Momentálne nie je podporované. Odporúča sa nastaviť časy prepísania na serveri na 1 hodinu.
Maska adresy ASA: Skontrolujte, či sú všetky masky skupín adries zariadení buď nenastavené, alebo nastavené na 255.255.255.255. Napríklad:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Ak používate odporúčanú masku adresy, niektoré trasy komunikácie predpokladané konfiguráciou VPN môžu byť ignorované. Ak tomu chcete zabrániť, skontrolujte, či tabuľka trás obsahuje všetky potrebné trasy a pred nasadením skontrolujte, či sú adresy podsiete prístupné.
Verzia aplikácie: Verzia softvéru klienta sa odošle na server a serveru sa umožní prijať alebo odmietnuť pripojenie v závislosti od verzie softvéru zariadenia.
Banner: Banner (ak je skonfigurovaný na serveri) sa zobrazí na zariadení a užívateľ ho musí prijať alebo sa odpojiť.
Delený tunel: Podporované.
Delené DNS: Podporované.
Predvolená doména: Podporované.