Configuração de VPN Cisco IPsec para dispositivos Apple
Use esta seção para configurar o servidor de VPN da Cisco para uso com o iOS, o iPadOS e o macOS, todos compatíveis com os firewalls de rede da Cisco Adaptive Security Appliance 5500 Series e Private Internet Exchange. Eles também são compatíveis com roteadores Cisco IOS VPN com a versão IOS 12.4(15)T ou posterior. Os dispositivos VPN 3000 Series Concentrators não oferecem suporte a recursos de VPN.
Métodos de autenticação
O iOS, iPadOS e macOS são compatíveis com os seguintes métodos de autenticação:
Autenticação IPsec por chave pré-compartilhada com autenticação via comando
xauth.Certificados de cliente e servidor para autenticação IPsec, com autenticação opcional do usuário usando
xauth.Autenticação híbrida, onde o servidor fornece um certificado e o cliente fornece uma chave pré-compartilhada para autenticação IPsec. A autenticação do usuário é exigida e fornecida via
xauth, que inclui estes métodos de autenticação: nome de usuário com senha e RSA SecurID.
Grupos de autenticação
O protocolo Cisco Unity usa grupos de autenticação para usuários de grupos com base em um conjunto de parâmetros comuns. Um grupo de autenticação para usuários deve ser criado. Para as autenticações por chave pré-compartilhada e híbrida, o nome do grupo deve ser configurado no dispositivo que contém o segredo compartilhado do grupo (chave pré-compartilhada) como sendo a senha do grupo.
Quando a autenticação por certificado é usada, não há segredo compartilhado. Um grupo de usuários é determinado pelos campos do certificado. Os ajustes do servidor Cisco podem ser usados para relacionar os campos de um certificado a grupos de usuários.
RSA-Sig deve ter a prioridade mais alta na lista de prioridades do ISAKMP (Protocolo de Associação de Segurança na Internet e Gerenciamento de Chaves).
Ajustes e descrições de IPsec
Você pode especificar estes ajustes para definir como o IPsec é implantado:
Modo: modo do túnel.
Modos de troca de IKE: modo Agressivo para autenticações por chave pré-compartilhada e híbrida ou modo Principal para autenticação por certificado.
Algoritmos de criptografia: 3DES, AES-128 ou AES256.
Algoritmos de autenticação: HMAC-MD5 ou HMAC-SHA1.
Grupos Diffie-Hellman: grupo 2 é exigido para autenticações por chave pré-compartilhada e híbrida, grupo 2 com 3DES e AES-128 para autenticação por certificado e grupo 2 ou 5 com AES-256.
Perfect Forward Secrecy (PFS): para a IKE fase 2, se PFS for usado, o Grupo Diffie-Hellman deve ser igual ao que foi usado na IKE fase 1.
Configuração do modo: deve estar ativado.
Detecção de par morto: recomendável.
Transversal NAT padrão: há suporte e pode ser ativada (não há suporte para IPsec sobre TCP).
Balanceamento de carga: há suporte e pode ser ativado.
Rechaveamento da fase 1: não há suporte atualmente. É recomendável que os tempos de rechaveamento sejam definidos em uma hora no servidor.
Máscara de endereço ASA: certifique-se de que todas as máscaras de grupo de endereços do dispositivo não estejam definidas ou então definidas em 255.255.255.255. Por exemplo:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Caso use a máscara de endereço recomendada, alguns roteadores aceitos pela configuração VPN poderão ser ignorados. Para evitar isso, certifique-se de que as tabelas de roteamento contenham todas as rotas necessárias e que os endereços de subrede estejam acessíveis antes da implantação.
Versão do aplicativo: a versão do software do cliente é enviada para o servidor, para que ele aceite ou rejeite conexões com base na versão do software do dispositivo.
Banner: o banner (caso configurado no servidor) é exibido no dispositivo e o usuário deve aceitá-lo ou desconectar-se.
Túnel dividido: há suporte.
DNS dividido: há suporte.
Domínio padrão: há suporte.