- このマニュアルについて
- サイト間 VPN およびクライアント VPN
- VPN ウィザード
- IKE、ロード バランシング、および NAC
- 一般的な VPN 設定
- VPN の IP アドレス
- ダイナミック アクセス ポリシー
- 電子メール プロキシ
- VPN の監視
- SSL 設定
- 認可および認証用の外部サーバ
- クライアントレス SSL VPN
- クライアントレス SSL VPN
- 基本的なクライアントレス SSL VPN のコン フィギュレーション
- 高度なクライアントレス SSL VPN のコン フィギュレーション
- ポリシー グループ
- クライアントレス SSL VPN リモート ユーザ
- クライアントレス SSL VPN ユーザ
- モバイル デバイスでのクライアントレス SSL VPN
- クライアントレス SSL VPN のカスタマイズ
- クライアントレス SSL VPN のトラブル シューティング
- クライアントレス SSL VPN ライセンス
Cisco ASA シリーズ VPN ASDM コンフィギュレーション ガイド ソ フ ト ウ ェ ア バージ ョ ン 7.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: VPN ウィザード
VPN ウィザード
VPN の概要
ASA は、ユーザがプライベートな接続と見なす TCP/IP ネットワーク(インターネットなど)全体でセキュアな接続を確立することにより、バーチャル プライベート ネットワークを構築します。これによって、single-user-to-LAN 接続と LAN-to-LAN 接続を確立できます。
LAN-to-LAN 接続で IPv4 と IPv6 の両方のアドレッシングが使用されているときに、ASA で VPN トンネルがサポートされるのは、両方のピアが ASA であり、かつ両方の内部ネットワークのアドレッシング方式が一致している(両方とも IPv4 または IPv6)場合です。これは、両方のピアの内部ネットワークが IPv6 で外部ネットワークが IPv6 の場合にも当てはまります。
セキュアな接続はトンネルと呼ばれ、ASA は、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。ASA は、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。
VPN ウィザードでは、基本的な LAN-to-LAN およびリモート アクセス VPN 接続を設定して、認証のための事前共有キーまたはデジタル証明書を割り当てることができます。ASDM を使用して拡張機能を編集および設定してください。
ここでは、次の 4 つの VPN ウィザードについて説明します。
ASA クライアントレス SSL VPN では、ほぼすべてのインターネット接続環境からの Secure Socket Layer(SSL)リモート アクセス接続機能を提供します。Web ブラウザとそのネイティブの SSL 暗号化機能だけでアクセスが可能です。このブラウザベースの VPN により、適応型セキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立できます。認証されると、ユーザにはポータル ページが表示され、サポートされる特定の内部リソースにアクセスできるようになります。ネットワーク管理者は、グループ単位でユーザにリソースへのアクセス権限を付与します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。
Cisco AnyConnect VPN クライアントは ASA へのセキュアな SSL 接続または IPsec(IKEv2)接続を提供し、これにより、リモート ユーザによる企業リソースへのフル VPN トンネリングが可能となります。事前にクライアントがインストールされていない場合、リモート ユーザは、クライアントレス VPN 接続を受け入れるように設定されたインターフェイスの IP アドレスをブラウザに入力します。ASA は、リモート コンピュータのオペレーティング システムに適合するクライアントをダウンロードします。ダウンロードが完了すると、クライアントが自動的にインストールおよび設定され、セキュア接続が確立されます。接続終了時にクライアントが残されるか、アンインストールされるかは、ASA の設定で決まります。事前にクライアントがインストールされている場合は、ユーザの認証時に、ASA がクライアントのリビジョンを検査し、必要に応じてクライアントをアップグレードします。
•
「IPsec IKEv2 Remote Access Wizard」
IKEv2 によって、他のベンダーの VPN クライアントが ASA に接続できます。このサポートによってセキュリティが強化されるとともに、IPsec リモート アクセスに関して国や地方自治体が定める要件も満たされます。
Clientless SSL VPN Wizard
このウィザードでは、サポートされる特定の内部リソースに対する、ポータル ページからのクライアントレス ブラウザベース接続をイネーブルにします。
接続プロファイルと、SSL VPN ユーザの接続先となるインターフェイスを指定します。
• [Connection Profile Name]:接続プロファイルの名前を指定します。
• [SSL VPN Interface]:SSL VPN 接続のためにユーザがアクセスするインターフェイスです。
• [Digital Certificate]:ASA の認証のために ASA からリモート Web ブラウザに何を送信するかを指定します。
– [Certificate]:ドロップダウン リストから選択します。
• [Accessing the Connection Profile]
– [Connection Group Alias/URL]:グループ エイリアスはログイン時に [Group] ドロップダウン リストから選択されます。この URL が Web ブラウザに入力されます。
– [Display Group Alias list at the login page]:ログイン ページにグループ エイリアスのリストを表示する場合にオンにします。
• [Authenticate using a AAA server group]:ASA がリモート AAA サーバ グループにアクセスしてユーザを認証できるようにする場合にイネーブルにします。
– [AAA Server Group Name]:事前設定されたグループのリストから AAA サーバ グループを選択するか、[New] をクリックして新しいグループを作成します。
• [Authenticate using the local user database]:ASA に保存されているローカル データベースに新しいユーザを追加します。
– [Confirm Password]:確認のために同じパスワードを再入力します。
– [Add/Delete]:ローカル データベースにユーザを追加またはデータベースから削除します。
グループ ポリシーによって、ユーザ グループの共通属性を設定します。新しいグループ ポリシーを作成するか、または既存のポリシーを選択して修正します。
• [Create new group policy]:新しいグループ ポリシーを作成できます。新しいポリシーの名前を入力します。
• [Modify existing group policy]:修正する既存のグループ ポリシーを選択します。
グループ イントラネット Web サイトのリストを設定します。これらのサイトは、ポータル ページにリンクとして表示されます。例としては、https://intranet.acme.com 、rdp://10.120.1.2 、vnc://100.1.1.1 などがあります。
• [Bookmark List]:ドロップダウン リストから選択します。
• [Manage]:[Configure GUI Customization Object] ダイアログボックスを開く場合にクリックします。
AnyConnect VPN Wizard
このウィザードは、AnyConnect VPN クライアントからの VPN 接続を受け入れるように ASA を設定するときに使用します。このウィザードでは、フル ネットワーク アクセスができるように IPsec(IKEv2)プロトコルまたは SSL VPN プロトコルを設定します。VPN 接続が確立したときに、ASA によって自動的に AnyConnect VPN クライアントがエンド ユーザのデバイスにアップロードされます。
このウィザードを実行しても、事前展開シナリオにおいて自動的に IKEv2 プロファイルが適用されるわけではないことについてユーザに注意を促します。IKEv2 を正常に事前展開するのに必要な指示または手順を示す必要があります。
[Connection Profile Identification]
[Connection Profile Identification] では、リモート アクセス ユーザに対する ASA を指定します。
• [Connection Profile Name]:リモート アクセス ユーザが VPN 接続のためにアクセスする名前を指定します。
• [VPN Access Interface]:リモート アクセス ユーザが VPN 接続のためにアクセスするインターフェイスを選択します。
この接続プロファイルに対して許可する VPN プロトコルを指定します。
AnyConnect クライアントのデフォルトは SSL です。接続プロファイルの VPN トンネル プロトコルとして IPsec をイネーブルにした場合は、IPsec をイネーブルにしたクライアント プロファイルを作成して展開することも必要になります(作成するには、ASDM のプロファイル エディタを使用します)。
AnyConnect クライアントの WebLaunch の代わりに事前展開する場合は、最初のクライアント接続で SSL を使用し、クライアント プロファイルをセッション中に ASA から受け取ります。以降の接続では、クライアントはそのプロファイルで指定されたプロトコル(SSL または IPsec)を使用します。IPsec が指定されたプロファイルをクライアントとともに事前展開した場合は、最初のクライアント接続で IPsec が使用されます。IPsec をイネーブルにした状態のクライアント プロファイルを事前展開する方法の詳細については、『 AnyConnect Secure Mobility Client Administrator Guide 』を参照してください。
• [Device Certificate]:リモート アクセス クライアントに対する ASA を指定します。AnyConnect の機能の中には、Always on や IPsec/IKEv2 のように、有効なデバイス証明書が ASA に存在することを要件とするものがあります。
• [Manage]:[Manage] を選択すると [Manage Identity Certificates] ウィンドウが開きます。
– [Add]:ID 証明書とその詳細情報を追加するには、[Add] を選択します。
– [Show Details]:特定の証明書を選択して [Show Details] をクリックすると、[Certificate Details] ウィンドウが開き、その証明書の発行対象者と発行者が表示されるほか、シリアル番号、使用方法、対応するトラストポイント、有効期間などが表示されます。
– [Delete]:削除する証明書を強調表示して [Delete] をクリックします。
– [Export]:証明書を強調表示して [Export] をクリックすると、その証明書をファイルにエクスポートできます。このときに、暗号化パスフレーズを付けるかどうかを指定できます。
– [Enroll ASA SSL VPN with Entrust]:Entrust からの SSL Advantage デジタル証明書を使用すると、すぐに Cisco ASA SSL VPN アプライアンスの稼働を開始できます。
ASA は、クライアント デバイスがエンタープライズ ネットワークにアクセスするときに、最新の AnyConnect パッケージをそのデバイスに自動的にアップロードすることができます。ブラウザのユーザ エージェントとイメージとの対応を、正規表現を使用して指定できます。また、接続の設定に要する時間を最小限にするために、最もよく使用されるオペレーティング システムをリストの先頭に移動できます。
• [AAA server group]:ASA がリモート AAA サーバ グループにアクセスしてユーザを認証できるようにする場合にイネーブルにします。AAA サーバ グループを、事前設定されたグループのリストから選択するか、[New] をクリックして新しいグループを作成します。
• [Local User Database Details]:ASA 上に格納されているローカル データベースに新しいユーザを追加します。
– [Confirm Password]:確認のために同じパスワードを再入力します。
– [Add/Delete]:ローカル データベースにユーザを追加またはデータベースから削除します。
リモート AnyConnect ユーザのための IP アドレス範囲を指定します。
• [IPv4 Address Pools]:SSL VPN クライアントは、ASA に接続したときに新しい IP アドレスを受け取り ます。クライアントレス接続では新しい IP アドレスは不要です。アドレス プールでは、リモート クライアントが受け取ることのできるアドレス範囲が定義されます。既存の IP アドレス プールを選択するか、[New] をクリックして新しいプールを作成します。
[New] を選択した場合は、開始と終了の IP アドレスおよびサブネット マスクを指定する必要があります。
• [IPv6 Address Pool]:既存の IP アドレス プールを選択するか、[New] をクリックして新しいプールを作成します。
(注) IPv6 アドレス プールは、IKEv2 接続プロファイル用には作成できません。
[Network Name Resolution Servers]
リモート ユーザが内部ネットワークにアクセスするときにどのドメイン名を解決するかを指定します。
• [DNS Servers]:DNS サーバの IP アドレスを入力します。
• [WINS Servers]:WINS サーバの IP アドレスを入力します。
• [Domain Name]:デフォルトのドメイン名を入力します。
ASA 上でネットワーク変換がイネーブルに設定されている場合は、VPN トラフィックに対してこの変換を免除する必要があります。
[AnyConnect Client Deployment]
次の 2 つの方法のいずれかを使用して、AnyConnect クライアント プログラムをクライアント デバイスにインストールできます。
• WebLaunch:AnyConnect クライアント パッケージは、Web ブラウザを使用して ASA にアクセスしたときに自動的にインストールされます。
• 事前展開:手動で AnyConnect クライアント パッケージをインストールします。
[Allow Web Launch] は、すべての接続に影響が及ぶグローバル設定です。このチェックボックスがオフ(許可しない)の場合は、AnyConnect SSL 接続とクライアントレス SSL 接続は機能しません。
事前展開の場合は、disk0:/test2_client_profile.xml プロファイル バンドルの中に .msi ファイルがあり、このクライアント プロファイルを ASA から AnyConnect パッケージに入れておく必要があります。これは、IPsec 接続を期待したとおりに確実に動作させるためです。
IPsec IKEv2 Remote Access Wizard
IKEv2 Remote Access Wizard を使用して、モバイル ユーザなどの VPN クライアントの安全なリモート アクセスを設定し、リモート IPsec ピアに接続するインターフェイスを指定します。
[Connection Profile Identification]
[Connection Profile Name] に接続プロファイルの名前を入力し、[VPN Access Interface] で IPsec IKEv2 リモート アクセスに使用する VPN アクセス インターフェイスを選択します。
• [Connection Profile Name]:名前を入力して、この IPsec 接続のトンネル接続ポリシーを含むレコードを作成します。接続ポリシーでは、認証、許可、アカウンティング サーバ、デフォルト グループ ポリシー、および IKE 属性を指定できます。この VPN ウィザードで設定する接続ポリシーでは、認証方式を指定し、ASA のデフォルトのグループ ポリシーを使用します。
• [VPN Access Interface]:リモート IPsec ピアとのセキュアなトンネルを確立するインターフェイスを選択します。ASA に複数のインターフェイスがある場合は、このウィザードを実行する前に VPN コンフィギュレーションを計画し、セキュアな接続を確立する予定のリモート IPsec ピアごとに、使用するインターフェイスを特定しておく必要があります。
[IKE Peer Authentication]:リモート サイト ピアは、事前共有キー、証明書、または EAP を使用したピア認証のいずれかを使用して認証します。
• [Pre-shared Key]:1 ~ 128 文字の英数字文字列を入力します。
事前共有キーを使用すると、リモート ピアの数が限定的でかつネットワークが安定している場合、通信をすばやく簡単にセットアップできます。それぞれの IPsec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPsec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
• [Enable Certificate Authentication]:オンにすると、認証に証明書を使用できます。
• [Enable peer authentication using EAP]:オンにすると、認証に EAP を使用できます。このチェックボックスをオンにした場合は、ローカル認証に証明書を使用する必要があります。
• [Send an EAP identity request to the client]:リモート アクセス VPN クライアントに EAP 認証要求を送信できます。
• ローカル認証をイネーブルにし、事前共有キーまたは証明書のいずれかを選択します。
– [Preshared Key]:1 ~ 128 文字の英数字文字列を入力します。
– [Certificate]:ローカル ASA とリモート IPsec ピアの間の認証で証明書を使用する場合にクリックします。このセクションを完了するには、あらかじめ CA への登録を済ませ、1 つ以上の証明書を ASA にダウンロードしておく必要があります。
デジタル証明書による IPSec トンネルの確立に使用するセキュリティ キーを効率よく管理できます。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。またデジタル証明書には、公開キーのコピーも含まれています。
デジタル証明書を使用するには、デジタル証明書を発行する認証局(CA)に各ピアを登録します。CA は、信頼できるベンダーまたは組織内で設置したプライベート CA の場合もあります。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
IPsec IKEv2 リモート アクセスでは RADIUS 認証のみがサポートされています。
• [AAA Server Group]:先に構成された AAA サーバ グループを選択します。
• [New]:新しい AAA サーバ グループを設定する場合にクリックします。
• [AAA Server Group Details]:この領域を使用して、AAA サーバ グループを必要に応じて変更します。
IPv4 および IPv6 のアドレス プールを作成するか、選択します。リモート アクセス クライアントには、IPv4 または IPv6 のプールのアドレスが割り当てられます。両方を設定した場合は、IPv4 アドレスが優先されます。詳細については、「 ローカル IP アドレス プールの設定 」を参照してください。
[Network Name Resolution Servers]
リモート ユーザが内部ネットワークにアクセスするときにどのようにドメイン名を解決するかを指定します。
• [DNS Servers]:DNS サーバの IP アドレスを入力します。
• [WINS Servers]:WINS サーバの IP アドレスを入力します。
• [Default Domain Name]:デフォルトのドメイン名を入力します。
• [Exempt VPN traffic from Network Address Translation]:ASA で NAT がイネーブルになっている場合は、このチェックボックスをオンにする必要があります。
IPsec IKEv1 Remote Access Wizard
(注) Cisco VPN Client は耐用年数末期で、サポートが終了しています。AnyConnect セキュア モビリティ クライアントにアップグレードする必要があります。
IKEv1 Remote Access Wizard を使用して、モバイル ユーザなどの VPN クライアントの安全なリモート アクセスを設定し、リモート IPsec ピアに接続するインターフェイスを指定します。
• [VPN Tunnel Interface]:リモート アクセス クライアントで使用するインターフェイスを選択します。ASA に複数のインターフェイスがある場合は、このウィザードを実行する前に ASA でインターフェイスを設定します。
• [Enable inbound IPsec sessions to bypass interface access lists]:ASA によって常に許可される(つまり、インターフェイスの access-list 文をチェックしない)ように、IPsec 認証の着信セッションをイネーブルにします。着信セッションがバイパスするのは、インターフェイス ACL だけです。設定されたグループ ポリシー、ユーザ、およびダウンロードされた ACL は適用されます。
さまざまなタイプのリモート アクセス ユーザが、この ASA への VPN トンネルを開くことができます。このトンネルの VPN クライアントのタイプを選択します。
– [Microsoft Windows client using L2TP over IPsec]:PPP 認証プロトコルを指定します。選択肢は、PAP、CHAP、MS-CHAP-V1、MS-CHAP-V2、および EAP-PROXY です。
[PAP]:認証中にクリアテキストのユーザ名とパスワードを渡すので、安全ではありません。
[CHAP]:サーバのチャレンジに対する応答で、クライアントは暗号化されたチャレンジとパスワードおよびクリアテキストのユーザ名を返します。このプロトコルは、PAP より安全ですが、データは暗号化されません。
[MS-CHAP, Version 1]:CHAP と似ていますが、サーバは、CHAP のようなクリアテキストのパスワードではなく、暗号化したパスワードだけを保存および比較するので安全です。
[MS-CHAP, Version 2]:MS-CHAP, Version 1 以上のセキュリティ強化機能が含まれています。
[EAP-Proxy]:EAP をイネーブルにします。これによって ASA は、PPP の認証プロセスを外部の RADIUS 認証サーバに代行させます。
リモート クライアントでプロトコルが指定されていない場合は、指定しないでください。
– 指定するのは、クライアントからトンネル グループ名が username@tunnelgroup として送信される場合です。
認証方式を設定し、接続ポリシー(トンネル グループ)を作成するには、[VPN Client Authentication Method and Name] ペインを使用します。
• [Authentication Method]:リモート サイト ピアは、事前共有キーか証明書のいずれかを使用して認証します。
– [Pre-shared Key]:ローカル ASA とリモート IPsec ピアの間の認証で事前共有キーを使用する場合にクリックします。
事前共有キーを使用すると、リモート ピアの数が限定的でかつネットワークが安定している場合、通信をすばやく簡単にセットアップできます。それぞれの IPsec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPsec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
– [Pre-shared Key]:1 ~ 128 文字の英数字文字列を入力します。
– [Certificate]:ローカル ASA とリモート IPsec ピアの間の認証で証明書を使用する場合にクリックします。このセクションを完了するには、あらかじめ CA への登録を済ませ、1 つ以上の証明書を ASA にダウンロードしておく必要があります。
デジタル証明書による IPSec トンネルの確立に使用するセキュリティ キーを効率よく管理できます。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。またデジタル証明書には、公開キーのコピーも含まれています。
デジタル証明書を使用するには、デジタル証明書を発行する認証局(CA)に各ピアを登録します。CA は、信頼できるベンダーまたは組織内で設置したプライベート CA の場合もあります。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
[Certificate Signing Algorithm]:デジタル証明書署名アルゴリズムを表示します(RSA の場合は rsa-sig)。
– [Challenge/response authentication (CRACK)]:クライアントが RADIUS などの一般的な方式を使用して認証を行い、サーバが公開キーによる認証方式を使用している場合に、強力な相互認証を実現します。セキュリティ アプライアンスは、Nokia 92xx Communicator Series デバイスで Nokia VPN Client を認証するために、IKE オプションとして CRACK をサポートしています。
• [Tunnel Group Name]:名前を入力して、この IPsec 接続のトンネル接続ポリシーを含むレコードを作成します。接続ポリシーでは、認証、許可、アカウンティング サーバ、デフォルト グループ ポリシー、および IKE 属性を指定できます。この VPN ウィザードで設定する接続ポリシーでは、認証方式を指定し、ASA のデフォルトのグループ ポリシーを使用します。
[Client Authentication] ペインでは、ASA がリモート ユーザを認証するときに使用する方法を選択します。次のオプションのいずれかを選択します。
• [Authenticate using the local user database]:ASA の内部の認証方式を使用する場合にクリックします。この方式は、ユーザの数が少なくて安定している環境で使用します。次のペインでは、ASA に個々のユーザのアカウントを作成できます。
• [Authenticate using an AAA server group]:リモート ユーザ認証で外部サーバ グループを使用する場合にクリックします。
– [AAA Server Group Name]:先に構成された AAA サーバ グループを選択します。
– [New...]:新しい AAA サーバ グループを設定する場合にクリックします。
[User Accounts] ペインでは、認証を目的として、ASA の内部ユーザ データベースに新しいユーザを追加します。
[Address Pool] ペインでは、ASA がリモート VPN クライアントに割り当てるローカル IP アドレスのプールを設定します。
• [Tunnel Group Name]:このアドレス プールが適用される接続プロファイル(トンネル グループ)の名前が表示されます。この名前は、[VPN Client Name and Authentication Method] ペイン(ステップ 3)で設定したものです。
• [Pool Name]:アドレス プールの記述 ID を選択します。
• [Range Start Address]:アドレス プールの開始 IP アドレスを入力します。
• [Range End Address]:アドレス プールの終了 IP アドレスを入力します。
• [Subnet Mask]:(オプション)これらの IP アドレスのサブネット マスクを選択します。
[Attributes Pushed to Client (Optional)]
[Attributes Pushed to Client (Optional)] ペインでは、DNS サーバと WINS サーバおよびデフォルト ドメイン名についての情報をリモート アクセス クライアントに渡す動作を ASA に実行させます。
• [Tunnel Group]:アドレス プールが適用される接続ポリシーの名前を表示します。この名前は、[VPN Client Name and Authentication Method] ペインで設定したものです。
• [Primary DNS Server]:プライマリ DNS サーバの IP アドレスを入力します。
• [Secondary DNS Server]:セカンダリ DNS サーバの IP アドレスを入力します。
• [Primary WINS Server]:プライマリ WINS サーバの IP アドレスを入力します。
• [Secondary WINS Server]:セカンダリ WINS サーバの IP アドレスを入力します。
• [Default Domain Name]:デフォルトのドメイン名を入力します。
Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれる IKE は、2 台のホストで IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーション プロトコルです。各 IKE ネゴシエーションは、フェーズ 1 とフェーズ 2 と呼ばれる 2 つの部分に分かれます。フェーズ 1 は、以後の IKE ネゴシエーション メッセージを保護する最初のトンネルを作成します。フェーズ 2 では、データを保護するトンネルが作成されます。
[IKE Policy] ペインでは、フェーズ 1 IKE ネゴシエーションの条件を設定します。この条件には、データを保護し、プライバシーを守る暗号化方式、ピアの ID を確認する認証方式、および暗号キー判別アルゴリズムを強化する Diffie-Hellman グループが含まれます。このアルゴリズムを使用して、ASA は暗号キーとハッシュ キーを導出します。
• [Encryption]:フェーズ 2 ネゴシエーションを保護するフェーズ 1 SA を確立するために ASA が使用する、対称暗号化アルゴリズムを選択します。ASA は、次の暗号化アルゴリズムをサポートします。
|
|
|
|---|---|
デフォルトの 3DES は DES よりもセキュアですが、暗号化と復号化には、より多くの処理を必要とします。同様に、AES オプションによるセキュリティは強力ですが、必要な処理量も増大します。
• [Authentication]:認証やデータ整合性の確保のために使用するハッシュ アルゴリズムを選択します。デフォルトは SHA です。MD5 のダイジェストは小さく、SHA よりもわずかに速いとされています。MD5 は、(きわめて困難ですが)攻撃により破れることが実証されています。ただし、ASA で使用される Keyed-Hash Message Authentication Code(HMAC)バージョンはこの攻撃を防ぎます。
• [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択します。2 つの IPsec ピアは、相互に共有秘密情報を転送することなく共有秘密情報を導出するためにこの ID を使用します。デフォルトの Group 2(1024 ビット Diffie-Hellman)は、Group 5(1536 ビット)と比較して、CPU の実行時間は短いですが、安全性は低くなります。
(注) VPN 3000 シリーズ コンセントレータのデフォルト値は MD5 です。ASA と VPN コンセントレータの間の接続では、接続の両方の側で、フェーズ 1 と 2 の IKE ネゴシエーションの認証方式を同じにする必要があります。
[IPsec Settings (Optional)] ペインでは、アドレス変換が不要なローカル ホスト/ネットワークを指定します。デフォルトにより ASA は、ダイナミックまたはスタティックのネットワーク アドレス変換(NAT)を使用して、内部ホストおよびネットワークの本当の IP アドレスを外部ホストから隠します。NAT は、信頼できない外部ホストによる攻撃の危険性を最小限に抑えますが、VPN によって認証および保護されているホストに対しては不適切な場合があります。
たとえば、ダイナミック NAT を使用する内部ホストは、プールから無作為に選択したアドレスと照合することにより、その IP アドレスを変換させます。外部ホストからは、変換されたアドレスだけが見えるようになります。本当の IP アドレスにデータを送信することによってこれらの内部ホストに到達しようとするリモート VPN クライアントは、NAT 免除ルールを設定しない限り、これらのホストには接続できません。
(注) すべてのホストとネットワークを NAT から免除する場合は、このペインでは何も設定しません。エントリが 1 つでも存在すると、他のすべてのホストとネットワークは NAT に従います。
• [Interface]:選択したホストまたはネットワークに接続するインターフェイスの名前を選択します。
• [Exempt Networks]:選択したインターフェイス ネットワークから免除するホストまたはネットワークの IP アドレスを選択します。
• [Enable split tunneling]:リモート アクセス クライアントからのパブリック インターネット宛のトラフィックを暗号化せずに送信する場合に選択します。スプリット トンネリングにより、保護されたネットワークのトラフィックが暗号化され、保護されていないネットワークのトラフィックは暗号化されません。スプリット トンネリングをイネーブルにすると、ASA は、認証後に IP アドレスのリストをリモート VPN クライアントにプッシュします。リモート VPN クライアントは、ASA の背後にある IP アドレスへのトラフィックを暗号化します。他のすべてのトラフィックは、暗号化なしでインターネットに直接送り出され、ASA は関与しません。
• [Enable Perfect Forwarding Secrecy (PFS)]:フェーズ 2 IPsec キーを生成するときに Perfect Forward Secrecy を使用するかどうか、および使用する値のサイズを指定します。PFS は、新しいキーはすべて、あらゆる過去のキーと関係しないという暗号化コンセプトです。IPsec ネゴシエーションでは、PFS がイネーブルになるまで、フェーズ 2 キーはフェーズ 1 キーに基づいています。PFS では、キーの生成に Diffie-Hellman 方式が採用されています。
PFS によって、秘密キーの 1 つが将来解読されても、一連の長期公開キーおよび秘密キーから派生したセッション キーは解読されなくなります。
– [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択します。2 つの IPsec ピアは、相互に共有秘密情報を転送することなく共有秘密情報を導出するためにこの ID を使用します。デフォルトの Group 2(1024 ビット Diffie-Hellman)は、Group 5(1536 ビット)と比較して、CPU の実行時間は短いですが、安全性は低くなります。
設定に問題なければ、[Finish] をクリックします。ASDM によって LAN-to-LAN のコンフィギュレーションが保存されます。[Finish] をクリックした後は、この VPN ウィザードを使用してこのコンフィギュレーションを変更することはできません。ASDM を使用して拡張機能を編集および設定してください。
IPsec Site-to-Site VPN Wizard
2 台の ASA デバイス間のトンネルを「サイトツーサイト トンネル」と呼び、これは双方向です。サイトツーサイト VPN トンネルでは、IPsec プロトコルを使用してデータが保護されます。
• [Peer IP Address]:他のサイト(ピア デバイス)の IP アドレスを設定します。
• [VPN Access Interface]:サイトツーサイト トンネルに使用するインターフェイスを選択します。
このステップでは、ローカル ネットワークおよびリモート ネットワークを指定します。これらのネットワークでは、IPsec 暗号化を使用してトラフィックが保護されます。
• [Local Networks]:IPsec トンネルで使用されるホストを指定します。
• [Remote Networks]:IPsec トンネルで使用されるネットワークを指定します。
このステップでは、ピア デバイスとの認証の方法を設定します。単純な設定を選択するか、事前共有キーを指定できます。またさらに詳細なオプションについては、以下に説明する [Customized Configuration] を選択できます。
• [IKE Version]:どちらのバージョンを使用するかに応じて、[IKEv1] または [IKEv2] チェックボックスをオンにします。
• IKE version 1 Authentication Methods
– [Pre-shared Key]:事前共有キーを使用すると、リモート ピアの数が限定的でかつネットワークが安定している場合、通信をすばやく簡単にセットアップできます。それぞれの IPsec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPsec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
– [Device Certificate]:ローカル ASA とリモート IPsec ピアの間の認証で証明書を使用する場合にクリックします。
デジタル証明書による IPSec トンネルの確立に使用するセキュリティ キーを効率よく管理できます。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。またデジタル証明書には、公開キーのコピーも含まれています。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
• IKE version 2 Authentication Methods
– [Local Pre-shared Key]:IPsec IKEv2 認証方式と暗号化アルゴリズムを指定します。
– [Local Device Certificate]:VPN アクセスの認証を、セキュリティ アプライアンスを通して行います。
– [Remote Peer Pre-shared Key]:ローカル ASA とリモート IPsec ピアの間の認証で事前共有キーを使用する場合にクリックします。
– [Remote Peer Certificate Authentication]:このチェックボックスがオンのときは、ピア デバイスが証明書を使用してこのデバイスに対して自身の認証を行うことができます。
• [Encryption Algorithms]:このタブでは、データの保護に使用する暗号化アルゴリズムのタイプを選択します。
– [IKE Policy]:IKEv1/IKEv2 認証方式を指定します。
– [IPsec Proposal]:IPsec 暗号化アルゴリズムを指定します。
– [Enable Perfect Forwarding Secrecy (PFS)]:フェーズ 2 IPsec キーを生成するときに Perfect Forward Secrecy を使用するかどうか、および使用する値のサイズを指定します。PFS は、新しいキーはすべて、あらゆる過去のキーと関係しないという暗号化コンセプトです。IPsec ネゴシエーションでは、PFS がイネーブルになるまで、フェーズ 2 キーはフェーズ 1 キーに基づいています。PFS では、キーの生成に Diffie-Hellman 方式が採用されています。
PFS によって、秘密キーの 1 つが将来解読されても、一連の長期公開キーおよび秘密キーから派生したセッション キーは解読されなくなります。
– [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択します。2 つの IPsec ピアは、相互に共有秘密情報を転送することなく共有秘密情報を導出するためにこの ID を使用します。デフォルトの Group 2(1024 ビット Diffie-Hellman)は、Group 5(1536 ビット)と比較して、CPU の実行時間は短いですが、安全性は低くなります。
• [Exempt ASA side host/network from address translation]:ドロップダウン リストを使用して、アドレス変換から除外するホストまたはネットワークを選択します。
フィードバック