interní vpn cisco anyconnect pŘÍruČka uŽivatele internÍ · c) není zobrazen správný profil...

VPN CISCO ANYCONNECT – PŘÍRUČKA UŽIVATELE – INTERNÍ

ČEZ ICT Services, a. s. Strana 1 17.04.2019

Interní

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Návod pro práci při vzdáleném připojení do sítě ČEZ a. s., pomocí sítě Internet pro zaměstnance skupiny ČEZ, a. s.

Verze 1.05

Verze Stručný popis změn Datum

1.00 Vytvoření příručky 20.6.2017

1.02 Přidání bodu 4 a), 4 d) 2.8.2017

1.03 Úprava bodů 1 b), c), d) 19.6.2018

1.04 Přidání bodu 4 f) 21.3.2019

1.05. Přidání bodu 2 =>změna stávajícího číslování, 5f,5g 16.4.2019

Pojmy a zkratky

Pojem Zkratka Popis

Virtual Private Network VPN Spojení, umožňující uživatelům pracovat vzdáleně s firemními programy a daty pomocí veřejného internetu

Klient Uživatelská stanice mimo síť ČEZ a. s.

Home drive H: Soukromý diskový prostor přidělený uživateli a dostupný pouze jemu

SDP U:, M:, aj. Sdílený diskový prostor pro více uživatelů, podle úrovně přidělených práv

Integrovaná společnost IDS Dceřiné společnosti ČEZ a. s.



Interní

Úvod Vzdálené připojení umožňuje uživatelům, kteří pracují z domu nebo jsou na cestách mimo interní síť, pracovat s daty a programy tak, jako by byli připojeni na svém pracovišti. Současné připojení na jedno KPJM z vícero zařízení není povoleno. Přístup na internet ze služebních notebooků mimo síť Skupiny ČEZ je možný pouze přes VPN připojení.

Účel Příručka popisuje činnost uživatele při vyvolání VPN spojení, jeho ukončení a některé možné chybové události. Je určena pro zaměstnance ČEZ a. s., a všech IDS, kteří pracují s notebooky standardně nainstalovanými a spravovanými ČEZ ICT Services a. s.

Cílový stav Na stanici je úspěšně spuštěn VPN tunel a uživatel má k dispozici programy a data uložená na home drive a přidělených SDP úložištích.

OBSAH: 1 Aktivace VPN spojení ........................................................................................................................ 3

2 Připojení k VPN na veřejné WIFI síti .............................................................................................. 6

2.1 Internetové připojení, které funguje okamžitě po připojení k WiFi ............................................. 6

2.2 Internetové připojení, které funguje po přihlášení na webovém portále ................................... 7

3 Spuštění VPN Cisco AnyConnect na stanici ................................................................................. 8

4 Ovládání klienta Cisco AnyConnect ............................................................................................. 11

5 Možné některé chybové stavy ....................................................................................................... 13

Od 23.3.2019 je z nařízení Informační a kybernetické bezpečnosti (IKB) o ochraně dat na KZ zaveden tzv. režim Vynucená VPN mimo síť Skupiny ČEZ (SkČ). V důsledku to znamená, že při jakémkoliv pokusu o přístup na internet mimo síť SkČ, je nutné nejdříve se úspěšně připojit do VPN. Až poté je k dispozici internet, pošta a další aplikace a pracovní data.



Interní

1 Aktivace VPN spojení Pro správnou funkci VPN připojení jsou nutné tyto předpoklady:

a) standardně nainstalovaný notebook ve správě ČEZ ICT Services, a. s., a účet v doméně CEZDATA.Corp (KPJM) a nainstalovaný CA balíček Cisco VPN AnyConnect.

b) již aktivované RSA ověření nebo požádat o aktivaci požadavkem v Service Desku:



Interní

c) nainstalovaný certifikát CEZ_WiFi1. Uživatelé, kteří do CEZ_WiFi1 přistupují, mají potřebný certifikát již instalován a nemusí provádět žádný další import. O přístup do ČEZ_WIFI1 lze požádat požadavkem v Service Desku:



Interní

d) kontrolu existence certifikátu pro CEZ_WiFi1 lze zjistit spuštěním internetového prohlížeče, v menu Nástroje zvolte Možnosti Internetu, vyberte záložku Obsah a na této záložce klepněte na tlačítko Certifikáty. V Osobních certifikátech vyberte certifikát s Vaším KPJM v názvu a zkontrolujte, zda Zamýšlený účel certifikátu je: Ověření klienta, CEZ Wireless User. Pokud máte více certifikátu s Vaším KPJM, můžete pomocí šipky dolů na klávesnici postupně provést kontrolu u všech certifikátů.

Pokud jste přístup do CEZ_WIFI1 neměli a zakládali jste si nový požadavek na přístup do této wifi, je nutné pro úspěšný import potřebného certifikátu alespoň jednou se na stanici, ze které budete přistupovat do VPN CISCO Anyconnect, přihlásit (až po vyřešení požadavku na přístup do CEZ_WiFi1). Stanice musí být při přihlášení připojena kabelem do datové sítě ČEZ. Import certifikátu proběhne po Vašem přihlášení do stanice automaticky na pozadí, není nutná žádná součinnost uživatele. Výše popsaným způsobem zkontrolujte úspěšný import certifikátu pro CEZ_WIFI1.



Interní

2 Připojení k VPN na veřejné WIFI síti Připojení k VPN Cisco AnyConnect v prostředí veřejných WI-FI sítích např. ve vlaku, na letišti či hotelu.

Veřejné WIFI sítě jsou rozděleny do dvou skupin podle toho, zda je internetové připojení funkční okamžitě po připojení k WIFI nebo je vyžadována autentizace uživatele na webovém portál (tzv. Captive portal) poskytovatele připojení. Časový limit pro autentizaci do webového portálu je 5 minut.

2.1 Internetové připojení, které funguje okamžitě po připojení k WiFi

Tento postup je u WIFI chráněných heslem např. domácí připojení.

V tomto případě je postup velmi jednoduchý. Stačí si po přihlášení na WIFI síť otevřít Cisco AnyConnect a připojit se na VPN.



Interní

2.2 Internetové připojení, které funguje po přihlášení na webovém portále

Poslední dobou stále více poskytovatelů volného WIFI požaduje, z důvodu bezpečnosti, od uživatelů přihlášení přes webový portál. S tímto přístupem se setkáváte například ve vlacích ČD, na letištích, hotelech či v restauracích. Po připojení k WIFI síti a otevření libovolné webové stránky se nám zobrazí portál, kde musíme většinou zadat nějaké údaje či odsouhlasit

podmínky. Časový limit pro autentizaci do webového portálu je 5 minut. Pokud se vám během této doby nepodaří autentizaci uskutečnit, připojení k internetu bude přerušeno. Pro nový pokus o připojení je třeba provést restart stanice.

Pro přihlášení k VPN na WIFI síti s portálem postupujte následovně:

1. Spusťte počítač a připojte se k WIFI síti. 2. Otevřete si internetový prohlížeč. 3. Pokud se portál rovnou nenačte, zadejte libovolnou webovou adresu např. www.cez.cz 4. Místo požadované webové stránky se vám zobrazí portál pro přihlášení k internetu. Zde

vyplňte požadované údaje, či odsouhlaste podmínky využívání. Tento krok je potřeba provést do pěti minut od přihlášení k WIFI síti.

5. Spusťte Cisco AnyConnect a připojte se k VPN



Interní

3 Spuštění VPN Cisco AnyConnect na stanici

Klienta VPN CISCO ANYCONNECT je možné spustit pouze mimo interní síť ČEZ.

a) Klienta Cisco AnyConnect spustíte z nabídky Start – Programy – Cisco

b) ve spuštěném okně by měl být zobrazen předdefinovaný profil vzdáleného připojení do sítě ČEZ (CEZ Internal) – kliknout na tlačítko Connect. V případě, že je nabídnut jiný profil, postupujte dle bodu 5 c)

c) pokud se objeví okno s výzvou potvrzení certifikátu, potvrďte ho tlačítkem OK. (v případě, že máte nainstalováno více osobních certifikátů, budou zobrazeny všechny a je třeba vybrat ten správný certifikát – CEZ_WIFI1, informace o certifikátu zjistíte klepnutím myší na Kliknutím zobrazíte vlastnosti certifikátu)



Interní

d) dle typu ověření zadejte svůj PIN+kód z RSA klíčenky nebo svůj SMS PIN (Passcode) pro zaslání SMS a kliknout na tlačítko OK

Pokud není v Username předvyplněno Vaše KPJM, byl importován špatný certifikát. Import správného certifikátu proveďte dle návodu zde.

e) uživatelům využívajícím SMS autentizaci se objeví ještě jedno okno pro zadání ověřovacího kódu zaslaného na mobilní telefon formou SMS zprávy

f) v případě úspěšného VPN spojení se objeví banner s informací, který se sám po chvíli skryje



Interní

g) úspěšné spojení lze také ověřit rozkliknutím seznamu skrytých ikon v pravém rohu hlavního ovládacího panelu a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect. V zobrazeném menu klepněte na Open AnyConnect.

Pokud nemá uživatel aktivovaný přístup na internet ze sítě ČEZ, tak v okamžiku aktivního VPN připojení přístup na internet nebude funkční.

h) po úspěšném přihlášení do VPN Cisco AnyConnect lze používat většinu

aplikací (Outlook, SAP, Intranet (vč. intranetových aplikací), atd.) stejným způsobem, jako když jste připojeni na svém pracovišti. Pro přístup k prostředí Citrix je třeba napsat do adresního řádku internetového prohlížeče adresu: citrix.cezdata.corp



Interní

4 Ovládání klienta Cisco AnyConnect Po úspěšném spuštění klienta VPN Cisco AnyConnect je přidána do seznamu skrytých ikon v pravém rohu hlavního ovládacího panelu ikona Cisco Anyconnect. Kliknutím pravým tlačítkem myši lze vyvolat menu pro ovládání VPN spojení.

klient v režimu Disconnect klient v režimu Connect

a) ukončení VPN spojení lze provést a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Disconnect

b) opětné navázání VPN lze provést a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Connect. Budete znova vyzváni k zadání přihlašovacích údajů – viz bod 3 d), e).



Interní

c) úplné ukončení služby VPN spojení a uvolnění paměti lze provést kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Quit. Opětné nastartování VPN služby lze provést kliknutím na zástupce Cisco AnyConnect v nabídce Start – Programy – Cisco



Interní

5 Možné některé chybové stavy

a) import nesprávného certifikátu – příklad špatného KPJM

1. klepněte na Cancel

2. rozklikněte rozbalovací menu a vyberte profil CEZ Int (starší verze CEZ internal)

3. 4. (i v případě, kdy je tento profil již předvyplněn)

5. znova klikněte na Cancel



Interní

6. Klikněte na ikonu Nastavení, v zobrazeném okně nastavení vyberte záložku Preferences a zrušte zaškrtnutí u volby Enable automatic certificate selection a zavřete okno křížkem

7. klikněte na Connect a pokračujte bodem 3. b)

8. Stejným postupem si, po vybrání správného certifikátu, znova zaškrtněte položku Enable automatic certificate selection, jinak budete vyzváni k výběru certifikátu při každém novém přihlášení do VPN



Interní

b) pokus o připojení z vnitřní sítě – klepněte na Cancel, odpojte stanici od sítě ČEZ, připojte stanici k internetu a postupujte od bodu 3 a)

c) není zobrazen správný profil CEZ Int CEZ Int (starší verze CEZ internal při spuštění klienta – klikněte na rozbalovací menu a vyberte CEZ Int (starší verze CEZ internal) a klikněte na Connect – dále pokračujte bodem 3 c)

d) pokus o přihlášení při neaktivovaném VPN spojení SD požadavkem – pokud po zadání

PIN+kód z RSA klíčenky nebo PIN a vložení kódu z autentizační SMS nedojde k přihlášení do VPN a zobrazí se okno s informací Login failed, není pravděpodobně zřízen přístup do VPN je třeba zadáním požadavku do Service Desk požádat o zřízení nebo kontrolu nastavení přístupu pro vzdálené připojení.

e) pokus o vícenásobné připojení – toto hlášení znamená, že máte aktivováno VPN spojení současně na jiném zařízení.



Interní

f) Při pokusu o připojení přes VPN CISCO ANYCONNECT se zobrazí chybové okno „ The VPN connection failed due to unsuccessful domain name resolution“

V dialogovém okně „Connect to:“ Smažte text CEZ INT CEZ Int (starší verze CEZ internal) a zadejte odkaz vpn-phd.cezdata.cz/INT

g) Nefunkční připojení přes VPN CISCO ANYCONNECT ve vlaku, autobusu

Přestože jste připojeni k místní WiFi, nedaří se připojit k VPN. Jedná se o nestabilní připojení k internetu z důvodu , že vlak, autobus projíždí lokalitami, kde není dostupný signál pro datové přenosy, přestože jste připojen k WiFi. Je nutno vyčkat, až bude plné datové pokrytí signálem ( lze ověřit i na mobilním telefonu).

h) Nefunkční připojení přes VPN CISCO ANYCONNECT přes domácí WIFI U připojení přes WIFI může docházet ke kolísání kvality připojení z několika důvodů (počasí, cizí rušení, vytíženost přenosové linky poskytovatele internetového připojení, technické problémy domácího WiFi access pointu – routeru. Pokud je s WIFI připojením problém, většinou stačí router vypnout a znovu zapnout

interní vpn cisco anyconnect pŘÍruČka uŽivatele internÍ · c) není zobrazen správný profil...

Documents