- このマニュアルについて
- サイト間 VPN およびクライアント VPN
- VPN ウィザード
- IKE、ロード バランシング、および NAC
- 一般的な VPN 設定
- VPN の IP アドレス
- ダイナミック アクセス ポリシー
- 電子メール プロキシ
- VPN の監視
- SSL 設定
- 認可および認証用の外部サーバ
- クライアントレス SSL VPN
- クライアントレス SSL VPN
- 基本的なクライアントレス SSL VPN のコン フィギュレーション
- 高度なクライアントレス SSL VPN のコン フィギュレーション
- ポリシー グループ
- クライアントレス SSL VPN リモート ユーザ
- クライアントレス SSL VPN ユーザ
- モバイル デバイスでのクライアントレス SSL VPN
- クライアントレス SSL VPN のカスタマイズ
- クライアントレス SSL VPN のトラブル シューティング
- クライアントレス SSL VPN ライセンス
Cisco ASA シリーズ VPN ASDM コンフィギュレーション ガイド ソ フ ト ウ ェ ア バージ ョ ン 7.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: ダイナミック アクセス ポリシー
- DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加
- DAP へのアプリケーション属性の追加
- DAP への AnyConnect エンドポイント属性の追加
- DAP へのファイル エンドポイント属性の追加
- DAP へのデバイス エンドポイント属性の追加
- DAP への NAC エンドポイント属性の追加
- DAP へのオペレーティング システム エンドポイント属性の追加
- DAP へのパーソナル ファイアウォール エンドポイント属性の追加
- DAP へのポリシー エンドポイント属性の追加
- DAP へのプロセス エンドポイント属性の追加
- DAP へのレジストリ エンドポイント属性の追加
- DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム
- エンドポイント属性の定義
ダイナミック アクセス ポリシー
この章では、ダイナミック アクセス ポリシーを設定する方法を説明します。次の項目を取り上げます。
•
「Lua を使用した DAP における追加の DAP 選択基準の作成」
• 「DAP の例」
ダイナミック アクセス ポリシーについて
VPN ゲートウェイは動的な環境で動作します。個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。
ASA でのダイナミック アクセス ポリシー(DAP)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまり、ASA では、定義したポリシーに基づき、特定のユーザに対して、特定のセッションのアクセスが許可されます。ASA は、ユーザが接続した時点で、1 つ以上の DAP レコードから属性を選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。
DAP システムには、注意を必要とする次のコンポーネントがあります。
• DAP 選択コンフィギュレーション ファイル:セッション確立中に DAP レコードを選択および適用するために ASA が使用する、基準が記述されたテキスト ファイル。ASA に保存されています。ASDM を使用して、このファイルを変更したり、XML データ形式で ASA にアップロードしたりできます。DAP 選択コンフィギュレーション ファイルには、ユーザが設定するすべての属性が記載されています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタで設定されるアクセス ポリシー、ポート転送、URL のリストなどがあります。
• DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。
詳細については、『 Dynamic Access Deployment Guide 』( https://supportforums.cisco.com/docs/DOC-1369 )を参照してください。
DAP によるリモート アクセス プロトコルおよびポスチャ評価ツールのサポート
ASA は、管理者が設定したポスチャ評価ツールを使用してエンドポイント セキュリティ属性を取得します。このポスチャ評価ツールには、AnyConnect ポスチャ モジュール、独立したホスト スキャン パッケージ、Cisco Secure Desktop、NAC などがあります。
次の表に、DAP がサポートしている各リモート アクセス プロトコル、その方式で使用可能なポスチャ評価ツール、およびそのツールによって提供される情報を示します。
DAP を使用するリモート アクセス接続シーケンス
次のシーケンスは、標準的なリモート アクセス接続を確立する場合の概要を示しています。
2. ASA は、設定された NAC 値と Cisco Secure Desktop の Host Scan 値を使用してポスチャ評価を実行します。
3. ASA が、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。
4. ASA が、AAA 認可属性をそのセッションに適用し、VPN トンネルを確立します。
5. ASA が、AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。
6. ASA が、選択した DAP レコードから DAP 属性を集約します。集約された属性が DAP ポリシーを構成します。
ダイナミック アクセス ポリシーのライセンス
(注) この機能は、ペイロード暗号化機能のないモデルでは使用できません。
|
|
|
|---|---|
(注) ASA 管理者が AnyConnect モバイル ポスチャ DAP 属性をどのように使用するかは、インストール済みの AnyConnect ライセンスによって異なります。詳細については、「DAP への AnyConnect エンドポイント属性の追加」を参照してください。
ダイナミック アクセス ポリシーの設定
• 特に記載のない限り、DAP エンドポイント属性を設定する前に Cisco Secure Desktop またはホスト スキャンをインストールする必要があります。
• ファイル、プロセス、レジストリのエンドポイント属性を設定する前に、ファイル、プロセス、レジストリの基本ホスト スキャン属性を設定する必要があります。手順については、ASDM を起動して [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択し、[Help] をクリックしてください。
ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] の順に選択します。
ステップ 2 特定のアンチウイルス、アンチスパイウェア、またはパーソナル ファイアウォールのエンドポイント属性を含めるには、ペインの最上部近くの [CSD configuration] リンクをクリックします。次に、Cisco Secure Desktop およびホスト スキャンの拡張機能をイネーブルにします。このリンクは、これら両方の機能をすでにイネーブルにしている場合には表示されません。
Cisco Secure Desktop 拡張機能をイネーブルにしてホスト スキャン拡張機能はイネーブルにしない場合、変更を適用すると、ASDM は ホスト スキャン コンフィギュレーション をイネーブルにするリンクを表示します。
ステップ 3 設定済みの DAP のリストを表示します。テーブルには次のフィールドが表示されます。
• [ACL Priority]:DAP レコードのプライオリティを表示します。
ASA は、複数の DAP レコードからネットワーク ACL と Web タイプ ACL を集約するときに、この値を使用して ACL を論理的に順序付けします。ASA は、最上位のプライオリティ番号から最下位のプライオリティ番号の順にレコードを並べ、最下位のプライオリティをテーブルの一番下に配置します。番号が大きいほどプライオリティが高いことを意味します。たとえば、値が 4 の DAP レコードは値が 2 のレコードよりも高いプライオリティを持つことになります。プライオリティは、手動での並べ替えはできません。
• [Network ACL List]:セッションに適用されるファイアウォール ACL の名前を表示します。
• [Web-Type ACL List]:セッションに適用される SSL VPN ACL の名前を表示します。
• [Description]:DAP レコードの目的を説明します。
ステップ 4 [Add] または [Edit] をクリックして、「ダイナミック アクセス ポリシーの追加または編集」を実行します。
ステップ 5 [Apply] をクリックして DAP 設定を保存します。
ステップ 6 [Find] フィールドを使用して、ダイナミック アクセス ポリシー(DAP)を検索します。
このフィールドへの入力を開始すると、DAP テーブルの各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用すると、検索範囲が広がります。
たとえば、[Find] フィールドに sal と入力すると、 Sales という名前の DAP が一致しますが、 Wholesalers という名前の DAP は一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の Sales と Wholesalers のうち、最初に出現するものが検出されます。
ステップ 7 「ダイナミック アクセス ポリシーのテスト」を実行して設定を確認します。
ダイナミック アクセス ポリシーの追加または編集
ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] または [Edit] の順に選択します。
ステップ 2 このダイナミック アクセス ポリシーの名前(必須)と説明(オプション)を入力します。
• [Policy Name] は、4 ~ 32 文字の文字列で、スペースは使用できません。
• DAP の [Description] フィールドには 80 文字まで入力できます。
ステップ 3 [ACL Priority] フィールドで、そのダイナミック アクセス ポリシーのプライオリティを設定します。
セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。有効値の範囲は 0 ~ 2147483647 です。デフォルト値は 0 です。
a. [Selection Criteria] ペインのドロップダウン リスト(ラベルなし)で、ユーザがこのダイナミック アクセス ポリシーを使用するには、すべてのエンドポイント属性を満たすことに加えて、ここで設定される AAA 属性値のいずれか([ANY])またはすべて([ALL])が必要となるのか、それとも一切不要([NONE])であるのかを選択します。
重複するエントリは許可されません。AAA またはエンドポイント属性なしの DAP レコードを設定すると、ASA は常にそのレコードを選択します。これは、そのレコードがすべての選択基準を満たすことになるからです。
b. [AAA Attributes] フィールドの [Add] または [Edit] をクリックして、「DAP の AAA 属性選択基準の設定」を実行します。
c. [Endpoint Attributes] 領域の [Add] または [Edit] をクリックして、「DAP のエンドポイント属性選択基準の設定」を実行します。
d. [Advanced] フィールドをクリックして、「Lua を使用した DAP における追加の DAP 選択基準の作成」を実行します。この機能を使用するには、 Lua プログラミング言語 の知識が必要です。
– [AND/OR]:基本的な選択ルールと、ここで入力する論理式との関係を定義します。つまり、すでに設定されている AAA 属性およびエンドポイント属性に新しい属性を追加するのか、またはそれら設定済みの属性に置き換えるのかを指定します。デフォルト値は AND です。
– [Logical Expressions]:それぞれのタイプのエンドポイント属性のインスタンスを複数設定できます。新しい AAA またはエンドポイント選択属性を定義する自由形式の Lua を入力します。ASDM は、ここで入力されるテキストの検証を行わず、単にこのテキストを DAP XML ファイルにコピーします。ASA がそれを処理し、解析不能な式があれば破棄します。
ステップ 5 この DAP のアクセス/許可ポリシー属性を指定します。
ここで設定する属性値は、既存のユーザ、グループ、トンネル グループ、およびデフォルトのグループ レコードを含め、AAA システムの認可値を上書きします。「DAP アクセスと許可ポリシー属性の設定」を参照してください。
ダイナミック アクセス ポリシーのテスト
このペインでは、認可属性値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。
ステップ 1 属性値のペアを指定するには、[AAA Attribute] テーブルと [Endpoint Attribute] テーブルに関連付けられた [Add/Edit] ボタンを使用します。
[Add/Edit] ボタンをクリックすると表示されるダイアログは、[Add/Edit AAA Attributes] ウィンドウと [Add/Edit Endpoint Attributes] ダイアログボックスに表示されるダイアログに似ています。
デバイス上の DAP サブシステムは、各レコードの AAA およびエンドポイント選択属性を評価するときに、これらの値を参照します。結果は、[Test Results] 領域に表示されます。
DAP の AAA 属性選択基準の設定
DAP は AAA サービスを補完します。用意されている認可属性のセットは限られていますが、それらの属性によって AAA で提供される認可属性を無効にできます。AAA 属性は、Cisco AAA 属性階層から、または ASA が RADIUS または LDAP サーバから受信する一式の応答属性セットから指定できます。ASA は、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。ASA は、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。
ステップ 1 DAP レコードの選択基準として AAA 属性を設定するには、[Add/Edit AAA Attributes] ダイアログボックスで、使用する Cisco、LDAP、または RADIUS 属性を設定します。これらの属性は、入力する値に対して「=」または「!=」のいずれかに設定できます。各 DAP レコードに設定可能な AAA 属性の数に制限はありません。AAA 属性の詳細については、「 AAA 属性の定義」を参照してください。
[AAA Attributes Type]:ドロップダウン リストを使用して、Cisco、LDAP、または RADIUS 属性を選択します。
• [Cisco]:AAA 階層モデルに保存されているユーザ認可属性を参照します。DAP レコードの AAA 選択属性に、これらのユーザ認可属性の小規模なサブセットを指定できます。次の属性が含まれます。
– [Group Policy]:VPN ユーザ セッションに関連付けられているグループ ポリシー名を示します。セキュリティ アプライアンスでローカルに設定するか、IETF-Class (25) 属性として RADIUS/LDAP から送信します。最大 64 文字です。
– [Assigned IP Address]:ポリシーに指定する IPv4 アドレスを入力します。フル トンネル VPN クライアント(IPsec、L2TP/IPsec、SSL VPN AnyConnect)に割り当てられた IP アドレスは、クライアントレス SSL VPN には割り当てられません。クライアントレス セッションにはアドレスの割り当てがないからです。
– [Assigned IPv6 Address]:ポリシーに指定する IPv6 アドレスを入力します。
– [Connection Profile]:コネクションまたはトネリングのグループ名。最大 64 文字です。
– [Username]:認証されたユーザのユーザ名。最大 64 文字です。ローカル認証、RADIUS 認証、LDAP 認証のいずれかを、またはその他の認証タイプ(RSA/SDI、NT Domain などのいずれかを使用している場合に適用されます。
• [LDAP]:LDAP クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ LDAP 応答属性値のペアを保存します。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。
Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。
LDAP 認証/認可サーバへの VPN リモート アクセス セッションが次の 3 つの Active Directory グループ(memberOf 列挙)のいずれかを返す場合は、次のとおりとなります。
cn=Engineering,ou=People,dc=company,dc=com
cn=Employees,ou=People,dc=company,dc=com
cn=EastCoastast,ou=People,dc=company,dc=com
ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループを処理します。これらのグループは、aaa.ldap の選択基準としてどのような組み合わせでも使用できます。
LDAP 属性は、DAP レコード内の属性名と属性値のペアで構成されています。LDAP 属性名は、構文に従う必要があり、大文字、小文字を区別します。たとえば、AD サーバが部門として返す値の代わりに、LDAP 属性の Department を指定した場合、DAP レコードはこの属性設定に基づき一致しません。
(注) [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に例を示します。
eng;sale; cn=Audgen VPN,ou=USERS,o=OAG
• [RADIUS]:RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ RADIUS 応答属性値のペアを保存します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。
RADIUS 属性は、DAP レコード内の属性番号と属性値のペアで構成されています。セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。
(注) RADIUS 属性について、DAP は Attribute ID = 4096 + RADIUS ID と定義します。
次に例を示します。
RADIUS 属性「Access Hours」の Radius ID は 1 であり、したがって DAP 属性値は 4096 + 1 = 4097 となります。
RADIUS 属性「Member Of」の Radius ID は 146 であり、したがって DAP 属性値は 4096 + 146 = 4242 となります。
• LDAP および RADIUS 属性には、次の値があります。
– [Attribute ID]:属性の名前/番号。最大 64 文字です。
– [Value]:属性名(LDAP)または数値(RADIUS)。
[Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に例を示します。
eng;sale; cn=Audgen VPN,ou=USERS,o=OAG
• LDAP には、[Get AD Groups] ボタンが含まれます。「Active Directory グループの取得」を参照してください。
Active Directory グループの取得
Active Directory サーバにクエリーを実行し、このペインで利用可能な AD グループを問い合わせることができます。この機能は、LDAP を使用している Active Directory サーバだけに適用されます。このボタンは、Active Directory LDAP サーバに対して、ユーザが属するグループのリスト(memberOf 列挙)の問い合わせを実行します。このグループ情報を使用し、ダイナミック アクセス ポリシーの AAA 選択基準を指定します。
AD グループは、CLI の show-ad-groups コマンドをバックグランドで実行することで LDAP サーバから取得されます。ASA がサーバの応答を待つデフォルト時間は 10 秒です。この時間は、AAA サーバ ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用して調整できます。
[Edit AAA Server] ペインで Group Base DN を変更し、Active Directory 階層の中で検索を開始するレベルを変更できます。ウィンドウ内で、ASA がサーバの応答を待つ時間も変更できます。これらの機能を設定するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] の順に選択します。
(注) Active Directory サーバにあるグループが多数である場合、取得した AD グループのリスト(show ad-groups コマンドの出力)はサーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、フィルタ機能を使用して、サーバから返されるグループの数を減らしてください。
[AD Server Group]:AD グループを取得する AAA サーバ グループ名。
AAA 属性の定義
次の表に、DAP で使用できる AAA 選択属性名の定義を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] セクションで使用します。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
ASA 上にある、または RADIUS/LDAP サーバから IETF-CLass (25) 属性として送信されたグループ ポリシー名 |
|||||
フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect) |
|||||
| セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。 |
|||||
DAP のエンドポイント属性選択基準の設定
エンドポイント属性には、エンドポイント システム環境、ポスチャ評価結果、およびアプリケーションに関する情報が含まれています。ASA は、エンドポイント属性の集合をセッション確立時に動的に生成し、セッションに関連付けられたデータベースにその属性を保存します。各 DAP レコードには、ASA がセッションの DAP レコードを選択するために満たす必要があるエンドポイント選択属性が指定されます。ASA は、設定されたすべての条件を満たす DAP レコードだけを選択します。
• DAP レコードの選択基準としてエンドポイント属性を設定することは、「ダイナミック アクセス ポリシーの設定」という大きなプロセスの一部です。DAP の選択基準としてエンドポイント属性を設定する前に、この手順を確認してください。
• エンドポイント属性の詳細については、「 エンドポイント属性の定義」を参照してください。
• ホスト スキャンがアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールの各メモリ常駐型プログラムをチェックする方法の詳細については、「DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム」を参照してください。
ステップ 1 [Add] または [Edit] をクリックして、次のいずれかのエンドポイント属性を選択基準として追加します。
各タイプのエンドポイント属性のインスタンスを複数作成できます。各 DAP レコードに設定可能なエンドポイント属性の数に制限はありません。
• 「DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加」
• 「DAP への AnyConnect エンドポイント属性の追加」
• 「DAP へのオペレーティング システム エンドポイント属性の追加」
• 「DAP へのパーソナル ファイアウォール エンドポイント属性の追加」
ステップ 2 条件に一致する DAP ポリシーを指定します。
これらのエンドポイント属性のタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND、デフォルト)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定します。
b. エンドポイント属性のタイプごとに、[Match Any](デフォルト)または [Match All] を選択します。
ステップ 3 「ダイナミック アクセス ポリシーの追加または編集」に戻ってください。
DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Anti-Spyware] または [Anti-Virus] を選択します。
ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。
ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のアンチスパイウェアまたはアンチウイルスのベンダーの名前をクリックします。
ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。
ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。
[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。
ステップ 6 [Last Update] チェックボックスをオンにします。最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。
DAP へのアプリケーション属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Application] を選択します。
ステップ 2 [Client Type] の操作フィールドで、[=](等しい)または [!=](等しくない)を選択します。
ステップ 3 [Client type] リスト ボックスで、テスト対象のリモート アクセス接続のタイプを指定します。
DAP への AnyConnect エンドポイント属性の追加
AnyConnect エンドポイント属性(モバイル ポスチャまたは AnyConnect アイデンティティ拡張機能(ACIDex)とも呼ばれる)は、AnyConnect VPN クライアントが ASA にポスチャ情報を伝えるために使用されます。ダイナミック アクセス ポリシーでは、このエンドポイント属性を使用してユーザを認可します。
モバイル ポスチャ属性をダイナミック アクセス ポリシーに組み込むと、エンドポイントにホスト スキャンや Cisco Secure Desktop がエンドポイントにインストールされていなくても適用できます。
モバイル ポスチャ属性の一部は、モバイル デバイスのみを実行している AnyConnect クライアントに関連し、一部のモバイル ポスチャ属性は、モバイル デバイスを実行している AnyConnect クライアントおよび AnyConnect デスクトップ クライアントの両方に関連しています。
モバイル ポスチャを活用するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials ライセンスが ASA にインストールされている必要があります。これらのライセンスをインストールする企業は、DAP 属性および他の既存のエンドポイント属性に基づいてサポートされているモバイル デバイスの DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [AnyConnect] を選択します。
ステップ 2 [Client Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Client Version] フィールドで AnyConnect クライアント バージョン番号を指定します。
このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のクライアント バージョンを評価できるほか、デスクトップやラップトップ デバイスのクライアント バージョンも評価できます。
ステップ 3 [Platform] チェックボックスをオンにして、等しい(=)または等しくない(!=)を操作フィールドで選択してから、[Platform] リスト ボックスでオペレーティング システムを選択します。
このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のオペレーティング システムを評価できるほか、デスクトップやラップトップ デバイスのオペレーティング システムも評価できます。プラットフォームを選択すると、追加の属性フィールドである [Device Type] と [Device Unique ID] が使用可能になります。
ステップ 4 [Platform Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Platform Version] フィールドでオペレーティング システム バージョン番号を指定します。
作成する DAP レコードにこの属性も含まれるようにするには、前の手順でプラットフォームも必ず指定してください。
ステップ 5 [Platform] チェックボックスをオンにした場合は、[Device Type] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスを [Device Type] フィールドで選択するか入力します。
サポートされるデバイスであるにもかかわらず、[Device Type] フィールドのリストに表示されていない場合は、[Device Type] フィールドに入力できます。デバイス タイプ情報を入手する最も確実な方法は、AnyConnect クライアントをエンドポイントにインストールして ASA に接続し、DAP トレースを実行することです。DAP トレースの結果の中で、 endpoint.anyconnect.devicetype の値を見つけます。この値を [Device Type] フィールドに入力する必要があります。
ステップ 6 [Platform] チェックボックスをオンにした場合は、[Device Unique ID] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、デバイスの一意の ID を [Device Unique ID] フィールドに入力します。
[Device Unique ID] によって個々のデバイスが区別されるので、特定のモバイル デバイスに対するポリシーを設定できます。デバイスの一意の ID を取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、 endpoint.anyconnect.deviceuniqueid の値を見つける必要があります。この値を [Device Unique ID] フィールドに入力する必要があります。
ステップ 7 [Platform] をオンにした場合は、[MAC Addresses Pool] フィールドに MAC アドレスを追加できます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、MAC アドレスを指定します。各 MAC アドレスのフォーマットは xx-xx-xx-xx-xx-xx であることが必要です。x は有効な 16 進数文字(0 ~ 9、A ~ F、または a ~ f)です。MAC アドレスは、1 つ以上の空白スペースで区切る必要があります。
MAC アドレスによって個々のシステムが区別されるので、特定のデバイスに対するポリシーを設定できます。システムの MAC アドレスを取得するには、そのデバイスを ASA に接続して DAP トレースを実行し、 endpoint.anyconnect.macaddress の値を見つける必要があります。この値を [MAC Address Pool] フィールドに入力する必要があります。
DAP へのファイル エンドポイント属性の追加
ファイル エンドポイント属性を設定する前に、どのファイルをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [File] を選択します。
ステップ 2 [Exists] と [Does not exist] のオプション ボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものを選択します。
ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のファイル エントリに等しいエンドポイント ID をドロップダウン リストから選択します。
ファイルの情報が [Endpoint ID] リスト ボックスの下に表示されます。
ステップ 4 [Last Update] チェックボックスをオンにしてから、更新日からの日数が指定の値よりも小さい(<)と大きい(>)のどちらを条件とするかを操作フィールドで選択します。更新日からの日数を [days] フィールドに入力します。
ステップ 5 [Checksum] チェックボックスをオンにしてから、テスト対象ファイルのチェックサム値と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
ステップ 6 [Compute CRC32 Checksum ] をクリックすると、テスト対象のファイルのチェックサム値が計算されます。
DAP へのデバイス エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Device] を選択します。
ステップ 2 [Host Name] チェックボックスをオンにしてから、テスト対象デバイスのホスト名と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。完全修飾ドメイン名(FQDN)ではなく、コンピュータのホスト名のみを使用します。
ステップ 3 [MAC address] チェックボックスをオンにしてから、テスト対象のネットワーク インターフェイス カードの MAC アドレスと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。1 つのエントリにつき MAC アドレスは 1 つだけです。アドレスのフォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。
ステップ 4 [BIOS Serial Number] チェックボックスをオンにしてから、テスト対象のデバイスの BIOS シリアル番号と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。数値フォーマットは、製造業者固有です。フォーマット要件はありません。
ステップ 5 [TCP/UDP Port Number] チェックボックスをオンにしてから、テスト対象のリスニング状態の TCP ポートと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
TCP/UDP コンボ ボックスでは、テスト対象(TCP(IPv4)、UDP(IPv4)、TCP(IPv6)、または UDP(IPv6))のポートの種類を選択します。複数のポートをテストする場合は、DAP の個々のエンドポイント属性のルールをいくつか作成し、それぞれに 1 個のポートを指定します。
ステップ 6 [Version of Secure Desktop (CSD)] チェックボックスをオンにしてから、エンドポイント上で実行されるホスト スキャン イメージのバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
ステップ 7 [Version of Endpoint Assessment] チェックボックスをオンにしてから、テスト対象のエンドポイント アセスメント(OPSWAT)のバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
DAP への NAC エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [NAC] を選択します。
ステップ 2 [Posture Status] チェックボックスをオンにしてから、ACS によって受信されるポスチャ トークン文字列と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。ポスチャ トークン文字列を [Posture Status] テキスト ボックスに入力します。
DAP へのオペレーティング システム エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。
ステップ 2 [OS Version] チェックボックスをオンにしてから、[OS Version] リスト ボックスで設定するオペレーティング システム(Windows、Mac、または Linux)と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
ステップ 3 [OS Update] チェックボックスをオンにしてから、[OS Update] テキスト ボックスに入力する Windows、Mac、または Linux オペレーティング システムのサービス パックと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。
DAP へのパーソナル ファイアウォール エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Operating System] を選択します。
ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。
ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のパーソナル ファイアウォール ベンダーの名前をクリックします。
ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。
ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。
[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。
DAP へのポリシー エンドポイント属性の追加
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Policy] を選択します。
ステップ 2 [Location] チェックボックスをオンにしてから、Cisco Secure Desktop Microsoft Windows ロケーション プロファイルと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。Cisco Secure Desktop Microsoft Windows ロケーション プロファイル文字列を [Location] テキスト ボックスに入力します。
DAP へのプロセス エンドポイント属性の追加
プロセス エンドポイント属性を設定する前に、どのプロセスをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Process] を選択します。
ステップ 2 [Exists] または [Does not exist] のボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。
ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のエンドポイント ID をドロップダウン リストから選択します。
エンドポイント ID プロセス情報がリスト ボックスの下に表示されます。
DAP へのレジストリ エンドポイント属性の追加
レジストリ エンドポイント属性のスキャンは Windows オペレーティング システムにのみ適用されます。
レジストリ エンドポイント属性を設定する前に、どのレジストリ キーをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。詳細については、そのページの [Help] をクリックします。
ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Registry] を選択します。
ステップ 2 [Exists] または [Does not exist] のボタンでは、レジストリ エンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。
ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のレジストリ エントリに等しいエンドポイント ID をドロップダウン リストから選択します。
レジストリの情報が [Endpoint ID] リスト ボックスの下に表示されます。
ステップ 4 [Value] チェックボックスをオンにしてから、操作フィールドで等しい(=)または等しくない(!=)を選択します。
ステップ 5 最初の [Value] リスト ボックスで、レジストリ キーが dword か文字列かを指定します。
ステップ 6 2 つ目の [Value] 操作リスト ボックスに、スキャン対象のレジストリ キーの値を入力します。
ステップ 7 スキャン時にレジストリ エントリの大文字と小文字の違いを無視するには、チェックボックスをオンにします。検索時に大文字と小文字を区別するには、チェックボックスをオフにしてください。
DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム
セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop のプリログイン評価モジュールおよびホスト スキャン モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。
アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラムのほとんど(すべてではなく)は、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。ホスト スキャンは、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。
• インストールされているプログラムがアクティブ スキャンをサポートしない場合、ホスト スキャンはそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。
• インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、ホスト スキャンはそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。
• インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、ホスト スキャンはそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、そのプログラムがインストールされているとしても、DAP についての情報が多く含まれる debug trace コマンドの出力にはプログラムの存在が示されません。
エンドポイント属性の定義
次に、DAP で使用できるエンドポイント選択属性を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Dynamic Access Policy Selection Criteria] ペインの [Advanced] 領域で使用します。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
ネットワーク インターフェイス カードの MAC アドレス。1 つのエントリにつき MAC アドレスは 1 つだけです。 |
|||||
Lua を使用した DAP における追加の DAP 選択基準の作成
この項では、AAA またはエンドポイント属性の論理式の作成方法について説明します。これを行うには、Lua に関する高度な知識が必要です。Lua のプログラミングについての詳細は、以下を参照してください。http://www.lua.org/manual/5.1/manual.html
[Advanced] フィールドに、AAA またはエンドポイント選択論理演算を表す自由形式の Lua テキストを入力します。ASDM は、ここで入力されるテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーするだけです。ASA がそれを処理し、解析不能な式があれば破棄されます。
このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された条件のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するように ASA を設定できます。エンドポイント属性は累積され、すべて満たす必要があります。セキュリティ アプライアンスで 1 つのエンドポイント属性または別の属性を使用できるようにするには、Lua で適切な論理式を作成してここで入力する必要があります。
次の各項では、Lua EVAL 式作成の詳細と、例を示します。
Lua EVAL 式を作成する構文
(注) [Advanced] モードを使用する必要がある場合は、プログラムを直接的に検証することが可能になり、明確になるため、できるだけ EVAL 式を使用することをお勧めします。
EVAL(< attribute > , <comparison>, {< value > | < attribute >}, [<type>])
| AAA 属性、または Cisco Secure Desktop から返された属性。属性の定義については、「エンドポイント属性の定義」を参照してください。 |
||
DAP CheckAndMsg 関数
CheckAndMsg は、DAP がコールするように設定可能な Lua 関数です。条件に基づきユーザ メッセージを生成します。
DAP の [Advanced] フィールドで、CheckAndMsg を使用するように ASDM を設定できます。ASA は、Lua CheckAndMsg 関数が選択されており、結果がクライアントレス SSL VPN または AnyConnect のターミネーションとなるときだけに、メッセージをユーザに表示します。
CheckAndMsg 関数の作成時には、以下の点に注意してください。
• CheckAndMsg は、最初の引数として渡された値を返します。
• 文字列比較を使用したくない場合、EVAL 関数を最初の引数として使用してください。次に例を示します。
CheckandMsg は EVAL 関数の結果を返し、セキュリティ アプライアンスは DAP レコードを選択すべきかどうかを判断するのにその結果を使用します。レコードが選択された結果、ターミネーションとなった場合、セキュリティ アプライアンスは適切なメッセージを表示します。
DAP EVAL 式の例
Lua で論理式を作成する場合は、これらの例を参考にしてください。
アンチウイルス プログラムがない場合、または実行していない場合も、ユーザが問題に気づき、修正できるようにメッセージを設定できます。これにより、アクセスが拒否されても、ASA は「ターミネーション」状態の原因となったすべてのメッセージを DAP から収集し、ブラウザのログイン ページに表示します。アクセスが許可された場合、ASA はポータル ページの DAP 評価プロセスで生成されたすべてのメッセージを表示します。
次の例は、Norton Antivirus プログラムのチェックでこの機能を使用する方法を示します。
1. 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。
2. 同じ [Advanced] フィールドで、[OR] ボタンをクリックします。
3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。
4. Norton Antivirus がインストールされていないか、無効になっている PC から接続します。予測される結果は、接続が許可されず、 かつ メッセージが点滅する !で表示されます。
5. 点滅する ! をクリックして、メッセージを表示します。
アンチウイルス プログラム と 、1 日半以上経過した定義のチェック
この例では、Norton または McAfee のアンチウイルス プログラムが存在するかどうか、また、ウイルス定義が 1 日半(10,000 秒)以内のものであるかどうかを確認します。定義が 1 日半以上経過している場合、ASA はセッションを終了し、メッセージと、修正するためのリンクを表示します。このタスクを完了するには、次の手順を実行します。
1. 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。
(EVAL(endpoint.av[“McAfeeAV”].exists,”EQ”,”true”,”string”) and CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,”GT”,”10000”,integer”),To remediate <a href=’http://www.mcafee.com ’>Click this link</a>”,nil))
2. 同じ [Advanced] フィールドで、[AND] をクリックします。
3. 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。
4. Norton または McAfee のアンチウイルス プログラムがインストールされており、バージョンが 1 日半以上前のものである PC から 接続します。予測される結果は、接続が許可されず、 かつ メッセージが点滅する !で表示されます。
追加の Lua 機能
クライアントレス SSL VPN のダイナミック アクセス ポリシーで作業している場合、一致基準に高度な柔軟性が必要とされることが考えられます。たとえば、以下に従い別の DAP を適用しなければならない場合があります。
• 組織ユニット(OU)またはユーザ オブジェクトの他の階層のレベル
• 命名規則に従っているものの、一致する可能性が高いグループ名。グループ名ではワイルドカードを使用したほうが良い場合があります。
ASDM の [DAP] ペイン内の [Advanced] セクションで Lua 論理式を作成し、この柔軟性を実現できます。
DAP は、論理式で LDAP サーバから返される多数の属性を使用できます。DAP トレースの項で出力例を参照するか、debug dap trace を実行してください。
LDAP サーバはユーザの認定者名(DN)を返します。これは、ディレクトリ内のどの部分にユーザ オブジェクトがあるかを暗黙的に示します。たとえば、ユーザの DN が CN=Example User,OU=Admins,dc=cisco,dc=com である場合、このユーザは OU=Admins,dc=cisco,dc=com に存在します。すべての管理者がこの OU(または、このレベル以下のコンテナ)に存在する場合、以下のように、この基準に一致する論理式を使用できます。
この例では、string.find 関数で正規表現を使用できます。文字列の最後に $ を使用し、この文字列から distinguishedName フィールドの最後へのアンカーをつけます。
AD グループ メンバーシップのパターン照合のために、基本論理式を作成できます。ユーザが複数のグループのメンバーであることが考えられるため、DAP は LDAP サーバからの応答を表内の別々のエントリへと解析します。以下を実行するには、高度な機能が必要です。
• memberOf フィールドを文字列として比較する(ユーザが 1 つのグループだけに所属している場合)。
• 返されたそれぞれの memberOf フィールドで繰り返し処理し、返されたデータが「table」タイプであるかどうかを確認する。
そのために記述し、テストした関数を以下に示します。この例では、ユーザが「-stu」で終わるいずれかのグループのメンバーである場合、この DAP に一致します。
次の例は、アンチウイルス ソフトウェアが検知されたかどうかを確認するためにカスタム関数を使用しています。
次の例は、アンチスパイウェアが検知されたかどうかを確認するためにカスタム関数を使用しています。
次の例は、ファイアウォールが検知されたかどうかを確認するためにカスタム関数を使用しています。
アンチウイルス、アンチスパイウェア、 または すべてのファイアウォールの例
次の例は、アンチウイルス、アンチスパイウェアまたはファイアウォールのいずれかの存在が検知されたかどうかを確認するためにカスタム関数を使用しています。
アンチウイルス プログラムが存在しない場合のアクセスを拒否するために、次の関数を使用できます。ターミネーションを実行するためのアクションが設定されている DAP で使用します。
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ”, "true", "string")) then
return false
end
アンチウイルス プログラムがないユーザがログインしようとすると、DAP は次のメッセージを表示します。
DAP アクセスと許可ポリシー属性の設定
[Action] タブ
特定の接続またはセッションに適用する特殊な処理を指定します。
• [Continue]:(デフォルト)セッションにアクセス ポリシー属性を適用します。
• [Quarantine]:検疫を使用すると、すでに VPN 経由でトンネルを確立した特定のクライアントを制限できます。ASA は、制限付き ACL をセッションに適用して制限付きグループを形成します。この基になるのは、選択された DAP レコードです。管理目的で定義されたポリシーにエンドポイントが準拠していないときも、ユーザは修復のためのサービス(たとえばアンチウイルス アプリケーションのアップデート)にアクセスできますが、そのユーザには制限が適用されます。修復後、ユーザは再接続できます。この再接続により、新しいポスチャ アセスメントが起動されます。このアセスメントに合格すると、接続されます。このパラメータを使用するには、AnyConnect セキュア モビリティ機能をサポートしている AnyConnect リリースが必要です。
• [User Message]:この DAP レコードが選択されるときに、ポータル ページに表示するテキスト メッセージを入力します。最大 490 文字です。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。数件の DAP レコードが選択され、それぞれにユーザ メッセージがある場合は、ユーザ メッセージがすべて表示されます。
URL やその他の埋め込みテキストを含めることができます。この場合は、正しい HTML タグを使用する必要があります。例:すべてのコントラクタは、ご使用のアンチウイルス ソフトウェアのアップグレード手順について、<a href='http://wwwin.example.com/procedure.html'> Instructions</a> を参照してください。
[Network ACL Filters] タブ
この DAP レコードに適用するネットワーク ACL を選択および設定できます。DAP の ACL には、許可ルールまたは拒否ルールを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。
• [Network ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みのネットワーク ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。このフィールドは、IPv4 および IPv6 ネットワーク トラフィックのアクセス ルールを定義できる統合 ACL をサポートしています。
• [Manage...]:ネットワーク ACL を追加、編集、および削除するときにクリックします。
• [Network ACL] リスト:この DAP レコードのネットワーク ACL が表示されます。
• [Add>>]:クリックすると、ドロップダウン リストで選択したネットワーク ACL が右側の [Network ACLs] リストに追加されます。
• [Delete]:クリックすると、強調表示されているネットワーク ACL が [Network ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。
[Web-Type ACL Filters (clientless)] タブ
この DAP レコードに適用する Web タイプ ACL を選択および設定できます。DAP の ACL には、許可または拒否ルールだけを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASA はその ACL を拒否します。
• [Web-Type ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みの Web タイプ ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。
• [Manage...]:Web タイプ ACL を追加、編集、および削除するときにクリックします。
• [Web-Type ACL] リスト:この DAP レコードの Web タイプ ACL が表示されます。
• [Add>>]:クリックすると、ドロップダウン リストで選択した Web タイプ ACL が右側の [Web-Type ACLs] リストに追加されます。
• [Delete]:クリックすると、Web タイプ ACL の 1 つが [Web-Type ACLs] リストから削除されます。ASA から ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。
[Functions] タブ
DAP レコードのファイル サーバ入力とブラウジング、HTTP プロキシ、および URL 入力を設定できます。
• [File Server Browsing]:ファイル サーバまたは共有機能の CIFS ブラウジングをイネーブルまたはディセーブルにします。
ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。CIFS ブラウズ機能では、国際化がサポートされていません。
• [File Server Entry]:ポータル ページでユーザがファイル サーバのパスおよび名前を入力できるようにするかどうかを設定します。イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドロワが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。
• [HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送に関与します。このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、自動的にブラウザの古いプロキシ コンフィギュレーションを変更して、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。
• [URL Entry]:ポータル ページでユーザが HTTP/HTTPS URL を入力できるようにするかどうかを設定します。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。
SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとは限りません。SSL VPN は、企業ネットワーク上のリモート ユーザの PC やワークステーションと ASA との間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業の ASA から目的の Web サーバまでの通信はセキュアではありません。
クライアントレス VPN 接続では、ASA はエンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、ASA はセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、ASA は、信頼できる CA 証明書の検証も実行しません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。
ユーザのインターネット アクセスを制限するには、[Disable for the URL Entry] フィールドを選択します。これにより、SSL VPN ユーザがクライアントレス VPN 接続中に Web サーフィンできないようにします。
• [Unchanged]:(デフォルト)クリックすると、このセッションに適用されるグループ ポリシーからの値が使用されます。
• [Enable/Disable]:機能をイネーブルにするかディセーブルにするかを指定します。
• [Auto-start]:クリックすると HTTP プロキシがイネーブルになり、これらの機能に関連付けられたアプレットが DAP レコードによって自動的に起動するようになります。
[Port Forwarding Lists] タブ
ユーザ セッションのためのポート転送リストを選択および設定できます。
ポート転送によりグループ内のリモート ユーザは、既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできます。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。
(注) ポート転送は、一部の SSL/TLS バージョンでは使用できません。
• [Port Forwarding]:この DAP レコードに適用されるポート転送リストのオプションを選択します。このフィールドのその他の属性は、[Port Forwarding] を [Enable] または [Auto-start] に設定した場合にだけイネーブルになります。
• [Unchanged]:クリックすると、属性が実行コンフィギュレーションから削除されます。
• [Enable/Disable]:ポート転送をイネーブルにするかディセーブルにするかを指定します。
• [Auto-start]:クリックするとポート転送がイネーブルになり、DAP レコードのポート転送リストに関連付けられたポート転送アプレットが自動的に起動するようになります。
• [Port Forwarding List] ドロップダウン リスト:DAP レコードに追加する、設定済みのポート転送リストを選択します。
• [New...]:新規のポート転送リストを設定するときにクリックします。
• [Port Forwarding Lists](ラベルなし):DAP レコードのポート転送リストが表示されます。
• [Add]:クリックすると、ドロップダウン リストで選択したポート転送リストが右側のポート転送リストに追加されます。
• [Delete]:クリックすると、選択されているポート転送リストがポート転送リストから削除されます。ASA からポート転送リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。
[Bookmarks] タブ
特定のユーザ セッション URL のブックマークを選択および設定できます。
• [Enable bookmarks]:クリックするとイネーブルになります。このチェックボックスがオフのときは、接続のポータル ページにブックマークは表示されません。
• [Bookmark] ドロップダウン リスト:DAP レコードに追加する、設定済みのブックマークを選択します。
• [Manage...]:ブックマークを追加、インポート、エクスポート、削除するときにクリックします。
• [Bookmarks](ラベルなし):この DAP レコードの URL リストが表示されます。
• [Add>>]:クリックすると、ドロップダウン リストで選択したブックマークが右側の URL 領域に追加されます。
• [Delete]:クリックすると、選択されているブックマークが URL リスト領域から削除されます。ASA からブックマークを削除するには、まず DAP レコードからそのブックマークを削除する必要があります。
[Access Method] タブ
• [Unchanged]:現在のリモート アクセス方式を引き続き使用します。
• [AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。
• [Web-Portal]:クライアントレス VPN で接続します。
• [Both-default-Web-Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。
• [Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。
[AnyConnect] タブ
Always-on VPN フラグのステータスを選択できます。
• [Always-On VPN for AnyConnect client]:AnyConnect サービス プロファイル内の Always-on VPN フラグ設定を未変更にするか、ディセーブルにするか、AnyConnect プロファイル設定を使用するかを指定します。
このパラメータを使用するには、Cisco IronPort Web セキュリティ アプライアンスのリリースが、Cisco AnyConnect VPN クライアントに対してセキュア モビリティ ソリューション ライセンシングをサポートしている必要があります。また、AnyConnect のリリースが、「セキュア モビリティ ソリューション」の機能をサポートしている必要もあります。詳細については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。
[AnyConnect Custom Attributes] タブ
このポリシーに現在割り当てられているカスタム属性を示します。このダイアログボックスでは、すでに定義済みのカスタム属性をこのポリシーに関連付けるか、カスタム属性を定義してこのポリシーに関連付けることができます。
カスタム属性は AnyConnect クライアントに送信され、アップグレードの延期などの機能を設定するために使用されます。カスタム属性にはタイプと名前付きの値があります。まず属性のタイプを定義した後、このタイプの名前付きの値を 1 つ以上定義できます。機能に対して設定する固有のカスタム属性の詳細については、使用している AnyConnect リリースの『 Cisco AnyConnect Secure Mobility Client Administrator Guide 』を参照してください。
カスタム属性は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] および [AnyConnect Custom Attribute Names] で事前に定義できます。事前に定義したカスタム属性は、ダイナミック アクセス ポリシーとグループ ポリシーの両方で使用されます。
カスタム属性の設定手順は両方のタイプのポリシーで同じであるため、この手順については「内部グループ ポリシーの AnyConnect クライアント カスタム属性について」を参照してください。
DAP トレースの実行
DAP トレースを実行すると、すべての接続済みデバイスの DAP エンドポイント属性が表示されます。
ステップ 1 SSH ターミナルから ASA にログオンして特権 EXEC モードを開始します。
ASA の特権 EXEC モードでは、表示されるプロンプトは hostname# となります。
ステップ 2 DAP デバッグをイネーブルにします。セッションのすべての DAP 属性がターミナル ウィンドウに表示されます。
endpoint.anyconnect.clientversion="0.16.0021";
endpoint.anyconnect.platform="apple-ios";
endpoint.anyconnect.platformversion="4.1";
endpoint.anyconnect.devicetype="iPhone1,2";
endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75";
ステップ 3 (オプション)DAP トレースの出力を検索するには、コマンドの出力をシステム ログに送ります。ASA でのロギングの詳細については、『 Cisco ASA Series General Operations ASDM Configuration Guide 』の「 Configure Logging 」を参照してください。
DAP の例
DAP を使用したネットワーク リソースの定義
この例は、ユーザまたはグループのネットワーク リソースを定義する方法として、ダイナミック アクセス ポリシーを設定する方法を示しています。Trusted_VPN_Access という名前の DAP ポリシーは、クライアントレス VPN アクセスと AnyConnect VPN アクセスを許可します。Untrusted_VPN_Access という名前のポリシーは、クライアントレス VPN アクセスだけを許可します。
ステップ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] に移動し、ポリシーごとに次の属性を設定します。
|
|
|
|
|---|---|---|
DAP を使用した WebVPN ACL の適用
DAP では、Network ACLs(IPsec および AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、URL リスト、および Functions を含め、アクセス ポリシー属性のサブセットを直接適用できます。グループ ポリシーが適用されるバナーまたはスプリット トンネル リストなどには、直接適用できません。[Add/Edit Dynamic Access Policy] ペインの [Access Policy Attributes] タブには、DAP が直接適用される属性の完全なメニューが表示されます。
Active Directory/LDAP は、ユーザ グループ ポリシー メンバーシップをユーザ エントリの「memberOf」属性として保存します。DAP は、AD グループ(memberOf)のユーザ = ASA が設定済み Web タイプ ACL を適用する Engineering となるように定義します。
ステップ 1 ASDM で、[Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。
ステップ 2 AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。
ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。
ステップ 4 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。
ステップ 5 ペインの [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タブをクリックします。
ステップ 6 [Web-Type ACL] ドロップダウン リストを使用して、AD グループ(memberOf)= Engineering のユーザに適用する ACL を選択します。
CSD チェックの強制と DAP によるポリシーの適用
この例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering および Employees)と 1 つの特定 ASA トンネル グループに属することをチェックする DAP を作成します。その後、ACL をユーザに適用します。
DAP が適用される ACL により、リソースへのアクセスを制御します。それらの ACL は、ASA のグループ ポリシーで定義されるどの ACL よりも優先されます。また ASA は、スプリット トンネリング リスト、バナー、および DNS など、DAP で定義または制御しない要素の通常の AAA グループ ポリシー継承ルールおよび属性を適用します。
ステップ 1 ASDM で、[Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。
ステップ 2 AAA 属性タイプとしては、ドロップダウン リストを使用して [LDAP] を選択します。
ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。
ステップ 4 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。
ステップ 5 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。
ステップ 6 [Value] フィールドで、ドロップダウン リストを使用して [=] を選択し、隣のフィールドに「Employees」と入力します。
ステップ 7 AAA 属性タイプとしては、ドロップダウン リストを使用して [Cisco] を選択します。
ステップ 8 [Tunnel] グループ ボックスをオンにし、ドロップダウン リストを使用して [=] を選択し、隣のドロップダウン リストで適切なトンネル グループ(接続ポリシー)を選択します。
ステップ 9 [Access Policy Attributes] 領域の [Network ACL Filters] タブで、前のステップで定義した DAP 基準を満たすユーザに適用する ACL を選択します。
フィードバック