Cisco Secure Desktop(CSD)は、SSL VPN テクノロジーのセキュリティを拡張します。CSD では、ユーザのワークステーションでセッション アクティビティ用に個別のパーティションが設定されます。この領域はセッション中は暗号化されており、SSL VPN セッションの終了時に完全に削除されます。Windows は、CSD のセキュリティ上の恩恵をフルに受けるように設定できます。Macintosh、Linux、および Windows CE で利用できるのは、キャッシュ クリーナ、Web ブラウジング、およびファイル アクセス機能だけです。次のプラットフォームでは、Windows、Macintosh、Windows CE、および Linux のデバイスに対して CSD を設定できます。
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
Cisco IOS®ソフトウェアリリース12.4(6)T以降が稼働するCiscoルータ
Cisco VPN 3000 シリーズ コンセントレータ バージョン 4.7 以降
Catalyst 6500 および 7600 シリーズ ルータ上の Cisco WebVPN モジュール
注:CSDリリース3.3では、Microsoft Windows Vistaが稼働するリモートコンピュータ上でCisco Secure Desktopを設定できるようになりました。以前は、Cisco Secure Desktop を稼働できるのは Windows XP または 2000 が動作するコンピュータに限られていました。詳細は、Cisco Secure Desktop リリース 3.3 のリリース ノートの『新しい機能拡張:Vista 上の Secure Desktop』を参照してください。
この例では、Windows 用 ASA 5500 シリーズのクライアントでの CSD のインストールと設定について主に説明しています。全体を網羅するために、Windows CE、Mac、および Linux クライアント用のオプションの設定も追加されています。
CSD は SSL VPN テクノロジー(クライアントレス SSL VPN、シンクライアント SSL VPN、または SSL VPN クライアント(SVC))とともに使用します。CSD は SSL VPN テクノロジーのセキュア セッションに付加価値を与えます。
この設定を行う前に、次の要件が満たされていることを確認します。
ASA デバイスの要件
Cisco CSD リリース 3.1 以降
Cisco ASA ソフトウェア バージョン 7.1.1 以降
Cisco Adaptive Security Device Manager(ASDM)リリース 5.1.1 以降
注:CSDバージョン3.2がサポートするのはASAバージョン8.xだけです。
注:ASAをASDMで設定できるようにするには、『ASDMでのHTTPSアクセスの許可』を参照してください。
クライアント コンピュータの要件
リモート クライアントには、ローカルの管理者権限があること。これは必須事項ではありませんが、重要な推奨事項です。
リモート クライアントには、Java Runtime Environment(JRE)バージョン 1.4 以降が必要です。
リモートクライアントブラウザ:Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2、またはFirefox 1.0
リモート クライアントでクッキーがイネーブルにされており、ポップアップが許可されていること。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco ASDM バージョン 5.2(1)
Cisco ASA バージョン 7.2(1)
Cisco CSD Version-securedesktop-asa-3.1.1.32-k9.pkg
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。この設定で使用されている IP アドレスは、RFC 1918 の定義で使用されているアドレスです。これらの IP アドレスは、実際のインターネット上で有効なものではなく、テスト用のラボ環境だけで使用されるものです。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
CSD は SSL VPN テクノロジーを使用して動作するため、CSD を設定する前に、クライアントレス、シンクライアント、または SVC をアクティブにしておく必要があります。
さまざまな Windows のロケーションで、CSD のセキュリティ機能をすべて設定できます。Macintosh、Linux、および Windows CE では、キャッシュ クリーナと Web ブラウジングのどちらかまたは両方、およびファイル アクセスだけにアクセスできます。
このドキュメントでは、次のネットワーク セットアップを使用します。
次の 5 つの主要手順により、ASA で Windows クライアント用の CSD を設定します。
次の手順を実行して、Cisco ASA 上で CSD ソフトウェアを入手し、インストールして、イネーブルにします。
Cisco ソフトウェア ダウンロード Web サイトから CSD ソフトウェア securedesktop-asa*.pkg と readme ファイルを管理ステーションにダウンロードします。
ASDM にログインして、Configuration ボタンをクリックします。左側のメニューから CSD Manager ボタンをクリックして、Cisco Secure Desktop リンクをクリックします。
Upload をクリックして、Upload Image ウィンドウを表示します。
管理ステーションにある新しい .pkg ファイルのパスを入力するか、Browse Local Files をクリックしてファイルの場所を指定します。
ファイルを配置するフラッシュの場所を入力するか Browse Flash をクリックします。
[Upload File] をクリックします。
確認を求められたら、OK > Close > OK の順にクリックします。
クライアント イメージがフラッシュにロードされたら、[Enable SSL VPN Client]チェック ボックスをオンにしてから、[Apply] をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
次の手順を実行して、Windows のロケーションを定義します。
Configuration ボタンをクリックします。
左側のメニューから CSD Manager ボタンをクリックして、Cisco Secure Desktop リンクをクリックします。
ナビゲーション ペインで Windows Location Settings をクリックします。
Location to Add フィールドにロケーション名を入力して、Add をクリックします。
この例にある Office、Home、Others の 3 つのロケーションに注目します。
Office は、会社のセキュリティ境界内にあるワークステーションを表しています。
Home は、自宅から作業するユーザを表しています。
Other は、上記の 2 つ以外のロケーションを表しています。
ネットワーク アーキテクチャのレイアウトに応じて、営業、ゲスト、パートナー、その他用のロケーションを作成します。
Windows のロケーションを作成していくと、ナビゲーション ペインが拡張されて、それぞれの新しいロケーションに設定可能なモジュールが表示されます。[Apply All] をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
次の手順を実行して、Windows のロケーション識別情報を定義します。
「Windows のロケーションの定義」で作成したロケーションを識別します。
Office というロケーションを識別するために、ナビゲーション ペインで Office をクリックします。
これらは内部コンピュータなので、Secure Desktop チェック ボックスと Cache Cleaner チェック ボックスのチェックマークを外します。
Enable identification using IP criteria チェック ボックスにチェックマークを入れます。
内部コンピュータの IP アドレス範囲を入力します。
Enable identification using registry or file criteria チェック ボックスにチェックマークを入れます。この設定により、内部のオフィス ワーカーとネットワーク上の一時的なゲストを区別できます。
Configure Criteria をクリックします。簡単なサンプル ファイル「DoNotDelete.txt」が設定されます。このファイルは、内部の Windows コンピュータに存在する必要がある、単なるプレースホルダです。Windows レジストリ キーを設定して、内部オフィスのコンピュータを識別することもできます。Add File Criterion ウィンドウで OK をクリックします。Registry and File Criteria ウィンドウで OK をクリックします。
Identification for Office ウィンドウで Apply All をクリックします。[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
Home というロケーションを識別するために、ナビゲーション ペインで Home をクリックします。
Enable identification using registry or file criteria チェック ボックスにチェックマークを入れます。
Configure Criteria をクリックします。
Home コンピュータのクライアントは、このレジストリ キーを使用して管理者が設定しておく必要があります。Add Registry Criterion ウィンドウで OK をクリックします。Registry and File Criteria ウィンドウで OK をクリックします。
Location Module で Secure Desktop チェック ボックスにチェックマークを入れます。Identification for Home ウィンドウで Apply All をクリックします。[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
Other というロケーションを識別するために、ナビゲーション ペインで Other をクリックします。
Cache Cleaner チェック ボックスだけにチェックマークを入れて、他のチェック ボックスはすべてチェックマークを外します。
Identification for Other ウィンドウで Apply All をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
次の手順を実行して、作成した 3 つのロケーションそれぞれにモジュールを設定します。
Office クライアントの場合は、以前の手順で Secure Desktop と Cache Cleaner を選択しなかったので、何の作業もしません。ASDM アプリケーションでは、以前の手順で Cache Cleaner を選択しなかった場合でも、Cache Cleaner を設定できます。Office ロケーション用のデフォルト設定をそのまま使用します。
注:この手順ではVPN機能ポリシーについて説明していませんが、すべての場所に対する後続の手順で説明します。
Home クライアントの場合は、ナビゲーション ペインで Home と Keystroke Logger をクリックします。
Keystroke Logger ウィンドウで、Check for keystroke loggers チェック ボックスをオンにします。
Keystroke Logger ウィンドウで Apply All をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
Home で、Cache Cleaner と環境に適したパラメータを選択します。
Home で、Secure Desktop General と環境に適したパラメータを選択します。
Home で Secure Desktop Settings を選択します。
Allow email applications to work transparently チェック ボックスにチェックマークを入れて、環境に合わせて他の設定をします。
[Apply All] をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
作成した各ロケーションの VPN Feature Policy を設定します。
ナビゲーション ペインで Office、VPN Feature Policy の順にクリックします。
Group-Based Policy タブをクリックします。
Always use Success Group-Policy オプション ボタンをクリックします。
Web browsing タブをクリックして、Always Enabled オプション ボタンをオンにします。
File access タブ、Port forwarding タブ、および Full tunneling タブでも同じ手順を実行します。
[Apply All] をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
Home ユーザの場合は、アクセスが許可される前に、会社ごとに特定のポリシーが必要になる場合があります。ナビゲーション ペインで Home、VPN Feature Policy の順にクリックします。
Group-Based Policy タブをクリックします。
特定のレジストリ キー、既知のファイル名、デジタル証明書などの事前に設定された条件が一致する場合は、Use Success Group-Policy オプション ボタンをオンにします。
Location Module チェック ボックスにチェックマークを入れて、Secure Desktop を選択します。
Anti-Virus、Anti-Spyware、Firewall、および OS の各領域を、会社のセキュリティ ポリシーに従って選択します。Home ユーザのコンピュータが設定された条件に一致しない場合、Home ユーザはネットワークへのアクセスを許可されません。
ナビゲーション ペインで Other、VPN Feature Policy の順にクリックします。
Group-Based Policy タブをクリックします。
Always use Success Group-Policy オプション ボタンをクリックします。
この VPN Feature Policy ロケーションにあるクライアントに対して、Web Browsing タブをクリックして、Always Enabled オプション ボタンをクリックします。
File Access タブをクリックして、Disable オプション ボタンをオンにします。
Port Forwarding タブと Full Tunneling タブでもこの手順を繰り返します。
[Apply All] をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
次の設定はオプションです。
ナビゲーション ペインから Windows CE を選択する場合は、Web browsing チェック ボックスにチェックマークを入れます。
ナビゲーション ペインから Mac and Linux Cache Cleaner を選択する場合は、Launch cleanup upon global timeout チェック ボックスにチェックマークを入れます。
仕様に合わせてタイムアウトを変更します。
VPN Feature Policy 領域で、これらのクライアントの Web browsing、File access、Port forwarding の各チェック ボックスをオンにします。
Windows CE と Mac and Linux Cache Cleaner のどちらを選択した場合でも、Apply All をクリックします。
[Save]をクリックし、次に [Yes] をクリックして変更を確定します。
この設定は、CSDをイネーブルにするためにASDMが行った変更を反映しています。ほとんどのCSD設定は、フラッシュ上の別のファイルに保存されます。
Ciscoasa |
---|
ciscoasa#show running-config Building configuration... ASA Version 7.2(1) ! hostname ciscoasa domain-name cisco.com enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com no pager logging enable logging asdm informational mtu outside 1500 mtu inside 1500 !--- ASDM location on disk0 asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 nat-control timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute !--- some group policy attributes group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn webvpn functions url-entry file-access file-entry file-browsing username user1 password mbO2jYs13AXlIAGa encrypted privilege 15 username user1 attributes vpn-group-policy GroupPolicy1 username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 username cisco attributes vpn-group-policy DfltGrpPolicy webvpn port-forward none port-forward-name value Application Access http server enable http 10.2.2.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- tunnel group information tunnel-group DefaultWEBVPNGroup general-attributes default-group-policy GroupPolicy1 tunnel-group DefaultWEBVPNGroup webvpn-attributes hic-fail-group-policy GroupPolicy1 nbns-server 10.2.2.30 timeout 2 retry 2 telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global !--- webvpn parameters webvpn port 1443 enable outside enable inside !--- csd location csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg csd enable customization DfltCustomization title text YOUR-COMPANY SSL VPN Services title style background-color: rgb(204,204,255);color: rgb(51,0,255); border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align: left;font-weight:bold url-list ServerList "Windows Shares" cifs://10.2.2.30 1 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2 tunnel-group-list enable prompt hostname context Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0 : end ! end |
このセクションでは、クライアントレス SSL VPN、シンクライアント SSL VPN または SSL VPN クライアント(SVC)が正しく動作していることを確認します。
さまざまな Windows のロケーションが設定された PC を使用して CSD をテストします。各テストでは、上記の例で設定したポリシーに従ってさまざまなアクセスが行われます。
Cisco ASA が WebVPN 接続をリッスンするポート番号とインターフェイスを変更できます。
デフォルト ポートは 443 です。デフォルト ポートを使用する場合、アクセスは https://ASA IP Address になります。
別のポートを使用すると、アクセスは https://ASA IP Address:newportnumber に変わります。
いくつかの show コマンドは WebVPN に関連しています。これらのコマンドをコマンドライン インターフェイス(CLI)で実行して、統計情報や他の情報を表示できます。show コマンドの使用方法についての詳細は、『WebVPN 設定の確認』を参照してください。
注:特定のshowコマンドが、アウトプットインタープリタツール(登録ユーザ専用)(OIT)でサポートされています。OIT を使用して show コマンド出力の解析を表示します。
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
リモート クライアントで問題が発生する場合は、次の点を調べます。
ポップアップ、Java、ActiveX のいずれかまたはすべてが Web ブラウザでイネーブルになっていますか。使用する SSL VPN 接続のタイプによっては、これらをイネーブルにすることが必要な場合があります。
クライアントは、セッションの開始時に提示されるデジタル証明書を受け入れる必要があります。
いくつかの debug コマンドは、WebVPN に関連しています。これらのコマンドについての詳細は、『WebVPN Debug コマンドの使用』を参照してください。
注:debugコマンドを使用すると、シスコデバイスに悪影響が及ぶ可能性があります。debug コマンドを使用する前に、「debug コマンドの重要な情報」を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Jul-2006 |
初版 |