Operation Manual

ManualsBrandsApple ManualsOtheriOS Implementierung

Hoofdstuk 4 Infrastructuur en integratie 43

•

Op het apparaat moet het certicaat zijn geïnstalleerd van de certicaatautoriteit die het

servercerticaat heeft ondertekend. Als dit geen rootcerticaat is, moet u de rest van de

vertrouwensketen installeren om ervoor te zorgen dat dit certicaat wordt vertrouwd.

Als u gebruikmaakt van clientcerticaten, moet u ervoor zorgen dat op de VPN-server het

certicaat is geïnstalleerd van de vertrouwde certicaatautoriteit die het clientcerticaat heeft

ondertekend. Bij gebruik van identiteitscontrole op basis van certicaten moet de server zo

zijn gecongureerd dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van

velden in het clientcerticaat.

Belangrijk:De certicaten en certicaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld

niet verlopen zijn). Het versturen van een certicaatketen door de server wordt niet ondersteund.

Instellingen en beschrijvingen van IPSec

IPSec heeft verschillende instellingen waarmee u de implementatie ervan kunt bepalen:

•

Mode: 'Tunnel Mode'.

•

IKE Exchange Modes: 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van

een vooraf gedeelde sleutel, of 'Main Mode' voor identiteitscontrole op basis van certicaten.

•

Encryption Algorithms: 3DES, AES-128 of AES256.

•

Authentication Algorithms: HMAC-MD5 of HMAC-SHA1.

•

Die-Hellman Groups: 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis

van een vooraf gedeelde sleutel. 'Group 2' met 3DES en AES-128 voor identiteitscontrole met

certicaten. 'Group 2' of 'Group 5' met AES-256.

•

PFS (Perfect Forward Secrecy): Voor IKE fase 2 moet bij gebruik van PFS dezelfde Die-Hellman-

groep worden gebruikt als voor IKE fase 1.

•

Mode Conguration: Moet zijn ingeschakeld.

•

Dead Peer Detection: Aanbevolen.

•

Standard NAT Traversal: Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt

niet ondersteund).

•

Load Balancing: Wordt ondersteund en kan worden ingeschakeld.

•

Rekeying of Phase 1: Wordt momenteel niet ondersteund. U wordt aangeraden om het interval

voor re-keying op de server in te stellen op één uur.

•

ASA Address Mask: Zorg ervoor dat alle adrespoolmaskers van apparaten hetzij niet zijn

ingesteld, hetzij zijn ingesteld op 255.255.255.255. Bijvoorbeeld:

asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask

255.255.255.255.

Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-

conguratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen, zorgt u ervoor

dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen

toegankelijk zijn voordat u een en ander implementeert.

•

Application Version: Informatie over de softwareversie op de client wordt naar de server

gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie

op het apparaat.

•

Banner: Als de banner op de server is gecongureerd, wordt deze op het apparaat weergegeven.

De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken.

•

Split Tunnel: Ondersteund.

•

Split DNS: Ondersteund.

•

Default Domain: Ondersteund.