Configuratie van Cisco IPSec VPN voor Apple apparaten
In dit gedeelte vind je informatie over het configureren van je Cisco VPN-server voor gebruik met iOS, iPadOS en macOS. Deze besturingssystemen ondersteunen de Adaptive Security Appliance 5500 Series- en Private Internet Exchange-netwerkfirewalls van Cisco. Ze bieden ook ondersteuning voor Cisco IOS VPN-routers met IOS-versie 12.4(15)T of nieuwer. De VPN 3000 Series Concentrators bieden geen ondersteuning voor VPN-voorzieningen.
Authenticatiemethoden
Voor iOS, iPadOS en macOS kunnen de volgende authenticatiemethoden worden gebruikt:
IPsec-authenticatie op basis van een vooraf gedeelde sleutel via gebruikersauthenticatie met het commando
xauth.Client- en servercertificaten voor IPsec-authenticatie met optionele gebruikersauthenticatie via
xauth.Hybride authenticatie waarbij de server een certificaat verstrekt en de client een vooraf gedeelde sleutel verstrekt voor IPsec-authenticatie. Gebruikersauthenticatie is vereist en wordt uitgevoerd met
xauth. Hiervoor worden de gebruikersnaam, het wachtwoord en de RSA SecurID van de authenticatiemethode gebruikt.
Authenticatiegroepen
Het Cisco Unity-protocol gebruikt authenticatiegroepen om gebruikers te groeperen op basis van een gemeenschappelijke set parameters. Je moet een authenticatiegroep aanmaken voor gebruikers. Voor hybride authenticatie en authenticatie op basis van een vooraf gedeelde sleutel moet tijdens de configuratie van de groepsnaam op het apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord worden ingesteld.
Er is geen gedeeld geheim voor authenticatie op basis van certificaten. De groep van een gebruiker wordt vastgesteld op basis van velden in het certificaat. Je kunt de Cisco-serverinstellingen gebruiken om velden in een certificaat aan gebruikersgroepen te koppelen.
RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst (Internet Security Association and Key Management Protocol).
Instellingen en beschrijvingen van IPsec
Je kunt de volgende instellingen opgeven om te bepalen hoe IPsec wordt geïmplementeerd:
Mode: 'Tunnel Mode'.
IKE Exchange Modes: 'Aggressive Mode' voor hybride authenticatie en authenticatie op basis van een vooraf gedeelde sleutel, of 'Main Mode' voor authenticatie op basis van certificaten.
Encryption Algorithms: 3DES, AES-128 of AES-256.
Authentication Algorithms: HMAC-MD5 of HMAC-SHA1.
Diffie–Hellman-groepen: Groep 2 is vereist voor hybride authenticatie en authenticatie op basis van een vooraf gedeelde sleutel, groep 2 met 3DES en AES-128 voor authenticatie op basis van certificaten en groep 2 of 5 met AES-256.
Perfect Forward Secrecy (PFS): Voor IKE-fase 2 moet bij gebruik van PFS dezelfde Diffie-Hellman-groep worden gebruikt als voor IKE-fase 1.
Mode Configuration: Moet zijn ingeschakeld.
Dead Peer Detection: Aanbevolen.
Standard NAT Traversal: Wordt ondersteund en kan worden ingeschakeld (IPsec via TCP wordt niet ondersteund).
Load Balancing: Wordt ondersteund en kan worden ingeschakeld.
Rekeying of Phase 1: Wordt momenteel niet ondersteund. Je wordt aangeraden om het interval voor re-keying op de server in te stellen op één uur.
ASA Address Mask: Zorg ervoor dat alle adrespoolmaskers van apparaten hetzij niet zijn ingesteld, hetzij zijn ingesteld op 255.255.255.255. Bijvoorbeeld:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Wanneer je dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-configuratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen, zorg je ervoor dat je routeringstabel alle benodigde routes bevat en controleer je of de subnetadressen toegankelijk zijn voordat je een en ander implementeert.
Application version: Informatie over de softwareversie op de client wordt naar de server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie op het apparaat.
Banner: Als de banner op de server is geconfigureerd, wordt deze op het apparaat weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken.
Split tunnel: Ondersteund.
Split DNS: Ondersteund.
Default domain: Ondersteund.