FTDでのAnyConnectリモートアクセスVPNの設定

はじめに

このドキュメントでは、FTDでのAnyConnectリモートアクセスVPN(RA)の設定について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• VPN、TLS、およびIKEv2の基礎知識
• 認証、認可、およびアカウンティング（AAA）、および RADIUS に関する基本的な知識
• Firepower Management Centerの使用経験

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco FTD 7.2.0
• Cisco FMC 7.2.1
• AnyConnect 4.10 

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントでは、リモートアクセスVPNでTransport Layer Security(TLS)とインターネットキーエクスチェンジバージョン2(IKEv2)の使用を許可するFirepower Threat Defense(FTD)バージョン7.2.0以降の設定例について説明します。Cisco AnyConnectはクライアントとして使用でき、複数のプラットフォームでサポートされています。

コンフィギュレーション

1.前提条件

Firepower Management Center(FMC)でリモートアクセスウィザードを実行するには、次の手順を実行します。

• サーバ認証に使用する証明書を作成します。
• ユーザ認証用にRADIUSまたはLDAPサーバを設定します。
• VPNユーザ用のアドレスプールを作成します。
• 異なるプラットフォームのAnyConnectイメージをアップロードします。

a) SSL証明書のインポート

証明書は、AnyConnectを設定する際に不可欠です。Webブラウザでのエラーを回避するために、証明書にはDNS名やIPアドレスを含むSubject Alternative Name(SAN)拡張が必要です。

注：内部ツールおよびバグ情報にアクセスできるのは、登録ユーザのみです。

証明書の手動登録には、次のような制限があります。

- FTDでは、CSRを生成する前にCA証明書が必要です。

・CSRを外部で生成した場合、手動で作成できない場合は、別の方法を用いる(PKCS12)。

FTDアプライアンスで証明書を取得するには複数の方法がありますが、安全で簡単な方法は、証明書署名要求(CSR)を作成し、認証局(CA)で署名し、公開キー用に発行された証明書をインポートすることです。これはCSRに含まれていました。その方法を次に示します。

• 次に Objects  ＞ Object Management > PKI > Cert Enrollment Add Cert Enrollmentをクリックします。

• 選択 Enrollment Type Certificate Authority（CA；認証局）証明書（CSRの署名に使用する証明書）を貼り付けます。
• 次に、2番目のタブに移動して、 Custom FQDN 必要なフィールドをすべて入力します。次に例を示します。

• 3番目のタブで、 Key Type名前とサイズを選択します。RSAでは、2048ビット以上です。
• 保存をクリックして次の場所に移動 Devices > Certificates > Add > New Certificateを参照。
• 次に、 Device、以下 Cert Enrollment 作成したトラストポイントを選択し、 Add:

• 後で、トラストポイント名の横にある  アイコンをクリックし、 Yesその後、CSRをCAにコピーして署名します。 証明書は、通常のHTTPSサーバと同じ属性を持つ必要があります。 
• CAからBase64形式の証明書を受信したら、ディスクから選択して Importを参照。これが成功すると、次のように表示されます。

b) RADIUSサーバの設定

• 次に Objects > Object Management > RADIUS Server Group > Add RADIUS Server Groupを参照。
• 名前を入力し、IPアドレスと共有秘密を追加して、 Save:

• その後、リストにサーバが表示されます。

c) VPNユーザ用のアドレスプールの作成

• 次に Objects > Object Management > Address Pools > Add IPv4 Pools.
• 名前と範囲を入力します。マスクは必要ありません。 

d) XMLプロファイルの作成

• シスコのサイトからProfile Editorをダウンロードして開きます。
• 次に Server List > Add...
• 表示名とFQDNを入力します。サーバリストにエントリが表示されます。

• クリック OKと File > Save as... 

e) AnyConnectイメージのアップロード

• シスコサイトからpkgイメージをダウンロードします。
• 次に Objects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileを参照。
• 名前を入力し、ディスクからPKGファイルを選択して、 Save:

• 独自の要件に基づいてパッケージを追加します。

2.リモートアクセスウィザード

• 次に Devices > VPN > Remote Access > Add a new configurationを参照。
• プロファイルに名前を付け、FTDデバイスを選択します。

• Connection Profileステップで、次のように入力します Connection Profile Nameを選択し、 Authentication Server と Address Pools 前に作成したもの：

• クリック Edit Group Policy タブAnyConnectで、 Client Profileをクリックし、 Save:

• 次のページでAnyConnectイメージを選択し、 Nextを参照。

• 次の画面で、 Network Interface and Device Certificates:

• すべてが正しく設定されたら、 Finish その後 Deploy:

• これにより、証明書およびAnyConnectパッケージとともに設定全体がFTDアプライアンスにコピーされます。

Connection

FTDに接続するには、ブラウザを開き、外部インターフェイスをポイントするDNS名またはIPアドレスを入力する必要があります。次に、RADIUSサーバに保存されたクレデンシャルを使用してログインし、画面の指示に従います。 AnyConnectのインストールが完了したら、AnyConnectウィンドウに同じアドレスを入力し、 Connectを参照。

制限事項

現在FTDではサポートされていませんが、ASAでは使用可能です。

• FTDposture VPNは、動的認可またはRADIUS認可変更(CoA)によるグループポリシーの変更をサポートしていません。

• AnyConnectのカスタマイズ(機能拡張：Cisco Bug ID CSCvq87631)
• AnyConnectスクリプト(機能拡張：Cisco Bug ID CSCvt58044)。
• AnyConnectローカリゼーション
• WSAの統合
• RAおよびL2L VPNの同時IKEv2ダイナミック暗号マップ(機能拡張：Cisco Bug ID CSCvr52047)。
• TACACS、Kerberos:KCD認証とRSA SDI(機能拡張：Cisco Bug ID CSCvx55859)。
• ブラウザプロキシ。

セキュリティに関する考慮事項

デフォルトでは、 sysopt connection permit-vpnオプションが無効になっている。つまり、アクセスコントロールポリシーを介して外部インターフェイスのアドレスプールから送信されるトラフィックを許可する必要があります。プレフィルタまたはアクセスコントロールルールはVPNトラフィックのみを許可するために追加されますが、クリアテキストトラフィックがルールの基準に一致した場合は、誤って許可されます。

この問題には2つのアプローチがあります。1つ目のTAC推奨オプションは、外部インターフェイスに対してアンチスプーフィングを有効にすることです(ASAではUnicast Reverse Path Forwarding(uRPF)と呼ばれていました)。2つ目は、有効にすることです sysopt connection permit-vpn Snortインスペクションを完全にバイパスします。最初のオプションでは、VPNユーザとの間で送受信されるトラフィックを通常の方法で検査できます。

a) uRPFの有効化

• セクションCで定義した、リモートアクセスユーザに使用するネットワークのヌルルートを作成します。 Devices > Device Management > Edit > Routing > Static Route および選択 Add route

• 次に、VPN接続が終端するインターフェイスでuRPFを有効にします。この情報を確認するには、 Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofingを参照。 

ユーザが接続されると、そのユーザの32ビットルートがルーティングテーブルにインストールされます。プールの未使用のIPアドレスを発信元とするテキストトラフィックは、uRFPによって廃棄されます。の説明を表示するには Anti-Spoofing「Firepower Threat Defenseでのセキュリティ設定パラメータの設定」を参照してください。

b)有効 sysopt connection permit-vpn オプション

• ウィザードまたはの下で行うオプションがあります Devices > VPN > Remote Access > VPN Profile > Access Interfacesを参照。

関連情報

• シスコのテクニカルサポートとダウンロード