- このマニュアルについて
- ASDM の概要
- 始める前に
- スタートアップ ウィザードの使用
- インターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよ び VLAN インターフェイスの設定
- グローバル オブジェクト
- セキュリティ コンテキストの設定
- デバイス プロパティの設定
- DHCP サービスと DNS サービス
- AAA サーバの設定
- デバイス アクセスの設定
- フェールオーバー
- ロギングの設定
- ダイナミック ルーティングおよび スタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの 概要
- アクセス ルールの設定
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- NAT
- ARP 検査およびブリッジング パラメータの設定
- ネットワーク攻撃の防止
- QoS の設定
- VPN
- IKE
- 一般的な VPN 設定
- WebVPN
- WebVPN エンド ユーザ 設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- CSD
- IPS の設定
- Trend Micro Content Security の設定
- システム ログ メッセージのモニタリ ング
- Trend Micro Content Security のモニ タリング
- フェールオーバーのモニタリング
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 索引
ASDM ユーザ ガイド Version 5.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: VPN
- VPN Wizard
- VPN Tunnel Type
- Remote Site Peer
- IKE Policy
- IPSec Encryption and Authentication
- Local Hosts and Networks
- Summary
- Remote Access Client
- VPN Client Authentication Method and Tunnel Group Name
- Client Authentication
- New Authentication Server Group
- User Accounts
- Address Pool
- Attributes Pushed to Client
- Address Translation Exemption
VPN
セキュリティ アプライアンスは、ユーザがプライベートな接続と見なす TCP/IP ネットワーク(インターネットなど)全体でセキュアな接続を確立することにより、バーチャル プライベート ネットワークを構築します。 これによって、single-user-to-LAN 接続と LAN-to-LAN 接続を確立できます。セキュアな接続はトンネルと呼ばれ、セキュリティ アプライアンスは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。セキュリティ アプライアンスは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。
セキュリティ アプライアンスは次の VPN 機能を実行します。
VPN Wizard
Configuration > VPN > VPN Wizard
VPN ウィザードでは、基本的な LAN-to-LAN 接続とリモート アクセス VPN 接続を設定できます。 ASDM を使用して拡張機能を編集および設定してください。
(注) VPN ウィザードでは、認証用の事前共有キーまたはデジタル証明書のいずれかを割り当てることができます。 ただし、証明書を使用するには、認証局に登録し、ウィザードを使用する前にトラストポイントを設定しておく必要があります。 これらのタスクを実行するには、ASDM Device Administration > Certificate パネルとオンライン ヘルプを使用してください。
セキュリティ アプライアンスは、ユーザがプライベートな接続と見なす TCP/IP ネットワーク(インターネットなど)全体でセキュアな接続を確立することにより、バーチャル プライベート ネットワークを構築します。 これによって、single-user-to-LAN 接続と LAN-to-LAN 接続を確立できます。
セキュアな接続はトンネルと呼ばれ、セキュリティ アプライアンスは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。セキュリティ アプライアンスは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。
セキュリティ アプライアンスが実行する機能は次のとおりです。
•
トンネル エンドポイントまたはルータとしての着信と発信のデータ転送の管理
VPN Tunnel Type
VPN Tunnel Type パネルでは、定義する VPN トンネルのタイプ(リモート アクセスまたは LAN-to-LAN)を選択し、リモート IPSec ピアに接続するインターフェイスを特定します。
• Site-to-Site:LAN-to-LAN VPN コンフィギュレーションを作成します。 2 つの IPSec セキュリティ ゲートウェイの間で使用します。このゲートウェイには、セキュリティ アプライアンス、VPN コンセントレータ、またはサイトツーサイト IPSec 接続をサポートする他のデバイスなどがあります。 このオプションを選択すると、VPN ウィザードに、サイトツーサイト VPN で必要とされるアトリビュートを入力するための一連のパネルが表示されます。
• Remote Access:モバイル ユーザなどの VPN クライアントへのセキュアなリモート アクセスを実現するコンフィギュレーションを作成します。 このオプションにより、リモート ユーザは、中央集中型ネットワーク リソースに安全にアクセスできます。 このオプションを選択すると、VPN ウィザードに、リモート アクセス VPN で必要とされるアトリビュートを入力するための一連のパネルが表示されます。
• VPN Tunnel Interface:リモート IPSec ピアとのセキュアなトンネルを確立するインターフェイスを選択します。 セキュリティ アプライアンスに複数のインターフェイスがある場合は、このウィザードを実行する前に VPN コンフィギュレーションを計画し、セキュアな接続を確立する予定のリモート IPSec ピアごとに、使用するインターフェイスを特定しておく必要があります。
• Enable inbound IPSec sessions to bypass interface access lists:セキュリティ アプライアンスによって常に許可される(つまり、インターフェイスの access-list 文をチェックしない)ように、IPSec 認証の着信セッションをイネーブルにします。 着信セッションがバイパスするのは、インターフェイス ACL のみです。 設定されたグループポリシー、ユーザ、およびダウンロードされた ACL は適用されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Remote Site Peer
Remote Site Peer パネルでは、次のタスクを実行します。
1. この VPN トンネルの終端となるリモート IPSec ピアの IP アドレスを指定する。
• Peer IP Address:VPN トンネルの終端となるリモート IPSec ピアの IP アドレスを入力します。 ピアは、別のセキュリティ アプライアンス、VPN コンセントレータ、または IPSec をサポートする他のゲートウェイ デバイスです。
• Authentication Method:リモート サイト ピアは、事前共有キーか証明書のいずれかを使用して認証します。
–Pre-shared Key:ローカル セキュリティ アプライアンスとリモート IPSec ピアの間の認証で事前共有キーを使用する場合にクリックします。
事前共有キーを使用すると、一定数のリモート ピアおよび安定したネットワークとの通信をすばやく簡単にセットアップできます。 それぞれの IPSec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPSec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。 セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
–Pre-shared Key:事前共有キーを入力します。 最大で 127 文字です。
–Certificate:ローカル セキュリティ アプライアンスとリモート IPSec ピアの間の認証で証明書を使用する場合にクリックします。 このセクションを完了するには、あらかじめ CA への登録を済ませ、1 つ以上の証明書をセキュリティ アプライアンスにダウンロードしておく必要があります。
デジタル証明書を使用すると、IPSec トンネルを確立するために使用するセキュリティ キーを効率よく管理できます。 デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。 またデジタル証明書には、所有者の公開鍵のコピーも含まれています。
デジタル証明書を使用するには、デジタル証明書を発行する Certification Authority(CA; 認証局)に各ピアを登録します。 CA は、信頼できるベンダーまたは組織内で設置したプライベート CA の場合もあります。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。 新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
–Certificate Signing Algorithm:デジタル証明書に署名する場合のアルゴリズムとして、RSA の場合には rsa-sig を、DSA の場合には dsa-sig を選択します。
–Trustpoint Name:セキュリティ アプライアンスがリモート ピアに送信する証明書を特定する名前を選択します。 このリストには、トラストポイントが、証明書の署名アルゴリズム リストで先に選択したタイプの証明書と一緒に表示されます。
–Challenge/response authentication (CRACK):クライアントが RADIUS などの一般的な方式を使用して認証を行い、サーバが公開鍵による認証方式を使用している場合に、強力な相互認証を実現します。 セキュリティ アプライアンスは、Nokia 92xx Communicator Series デバイスで Nokia VPN Client を認証するために、IKE オプションとして CRACK をサポートしています。
• Tunnel Group Name:名前を入力して、この IPSec 接続のトンネル接続ポリシーを含むレコードを作成します。 トンネル グループでは、認証、認可、およびアカウンティングの各サーバ、デフォルト グループ ポリシー、IKE アトリビュートを指定できます。 この VPN ウィザードで設定するトンネル グループでは、認証方式を指定し、セキュリティ アプライアンス Default Group Policy を使用します。
デフォルトにより ASDM は、このボックスに Peer IP Address の値を入力します。 この名前は変更できます。 最大で 64 文字です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IKE Policy
Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれる IKE は、2 台のホストで IPSec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーション プロトコルです。各 IKE ネゴシエーションは、フェーズ 1 とフェーズ 2 と呼ばれる 2 つの部分に分かれます。
• フェーズ 1 は、以後の IKE ネゴシエーション メッセージを保護する最初のトンネルを作成します。
• フェーズ 2 は、データを保護するトンネルを作成します。
IKE Policy パネルでは、フェーズ 1 IKE ネゴシエーションの条件を設定します。次の項目があります。
• 暗号鍵判別アルゴリズムを強化する Diffie-Hellman グループ。このアルゴリズムを使用して、セキュリティ アプライアンスは暗号鍵とハッシュ キーを導出します。
• Encryption:フェーズ 2 ネゴシエーションを保護するフェーズ 1 SA を確立するためにセキュリティ アプライアンスが使用する、対称暗号化アルゴリズムを選択します。 セキュリティ アプライアンスは、次の暗号化アルゴリズムをサポートします。
|
|
|
|---|---|
デフォルトの 3DES は DES よりもセキュアですが、暗号化と復号化には、より多くの処理を必要とします。 同様に、AES オプションによるセキュリティは強力ですが、必要な処理量も増大します。
• Authentication:認証やデータ整合性の確保のために使用するハッシュ アルゴリズムを選択します。デフォルトは SHA です。MD5 のダイジェストは小さく、SHA よりもわずかに速いとされています。 MD5 は、(きわめて困難ですが)攻撃して破れることが実証されています。 ただし、セキュリティ アプライアンスで使用される Keyed-Hash Message Authentication Code(HMAC)バージョンはこの攻撃を防ぎます。
• DH Group:Diffie-Hellman グループ ID を選択します。2 つの IPSec ピアは、相互に共有秘密情報を転送することなく共有秘密情報を導出するためにこの ID を使用します。 これはデフォルトです。Group 2(1024 ビット Diffie-Hellman)では、実行に必要な CPU 時間が少なくなりますが、Group 5(1536 ビット)より安全性が劣ります。 Group 7 は Movian VPN クライアント用ですが、Group 7(ECC)をサポートするいずれのピアでも使用できます。
(注) VPN 3000 Series Concentrator のデフォルト値は MD5 です。 セキュリティ アプライアンスと VPN Concentrator の間の接続では、接続の両方の側で、フェーズ 1 と 2 の IKE ネゴシエーションの認証方式を同じにする必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IPSec Encryption and Authentication
VPN Wizard > IPSec Encryption and Authentication
IPSec Encryption and Authentication パネルでは、セキュアな VPN トンネルを作成するフェーズ 2 IKE ネゴシエーションで使用する暗号化方式と認証方式を選択します。 これらの値は、両方のピアでまったく同じにする必要があります。
• Encryption:VPN トンネルを確立するためにセキュリティ アプライアンスが使用する対称暗号化アルゴリズムを選択します。 セキュリティ アプライアンスは、暗号化を使用してトンネルを通過するデータを保護し、プライバシーを守ります。 有効な暗号化方式には、次のものがあります。
|
|
|
|---|---|
デフォルトの 3DES は DES よりもセキュアですが、暗号化と復号化には、より多くの処理を必要とします。 同様に、AES オプションによるセキュリティは強力ですが、必要な処理量も増大します。
• Authentication:認証やデータ整合性の確保のために使用するハッシュ アルゴリズムを選択します。デフォルトは SHA です。MD5 のダイジェストは小さく、SHA よりもわずかに速いとされています。 MD5 は、(きわめて困難ですが)攻撃して破れることが実証されています。 ただし、セキュリティ アプライアンスで使用される Keyed-Hash Message Authentication Code(HMAC)バージョンはこの攻撃を防ぎます。
(注) VPN 3000 Series Concentrator のデフォルト値は MD5 です。 セキュリティ アプライアンスと VPN Concentrator の間の接続では、接続の両方の側で、フェーズ 1 とフェーズ 2 の IKE ネゴシエーションの認証方式を同じにする必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Local Hosts and Networks
VPN Wizard > Hosts and Networks
Hosts and Networks パネルでは、この LAN-to-LAN IPSec トンネルを使用してデータを送受信することができる、ローカルおよびリモートのホストとネットワークを特定します。 ホストとネットワークは、IP アドレス、DNS 名、またはグループ ポリシーによって識別できます。 選択に応じて、このパネルの残りのフィールドが変化します。
IPSec に従って動作するには、LAN-to-LAN 接続における両方のピアのホストおよびネットワークのエントリが、互換性を持っている必要があります。 このパネルで Local Hosts および Networks として設定するホストおよびネットワークは、LAN-to-LAN 接続のリモート サイトにあるデバイスの Remote Hosts および Networks として設定する必要があります。 ローカルのセキュリティ アプライアンスとリモート デバイスには、この LAN-to-LAN 接続で使用する共通のトランスフォーム セットが少なくとも 1 つ必要です。
• Source 領域:ローカル ホストとネットワークを設定できます。
–Type:IP Address、Network Object Group、または Interface IP のいずれかを選択します。
IP Address を選択すると、IP Address フィールドと Netmask フィールドが表示されます。 ホストまたはネットワークの IP アドレスを入力します。 IP アドレスを入力するか、または隣の ... ボタンをクリックしてホストまたはネットワークを選択します。 IP アドレスのサブネット マスクを選択します。 ホストまたはネットワークの選択に ... ボタンを使用した場合は、ASDMにより、このボックスの値が自動的に入力されます。
Network Object Group を選択すると、グループ名を指定するための Group Name フィールドが表示されます。 このオプションでは、トンネルを使用するグループ全体を設定できます。 これらのグループは、Configuration > Features > Building Blocks > Hosts and Networks パネルで設定します。
Interface IP を選択すると、インターフェイス名を選択するための Interface フィールドが表示されます。
• Destination 領域:ローカル ホストとネットワークを設定できます。
–Type:IP Address、Network Object Group、または Interface IP のいずれかを選択します。
IP Address を選択すると、IP Address フィールドと Netmask フィールドが表示されます。 ホストまたはネットワークの IP アドレスを入力します。 IP アドレスを入力するか、または隣の ... ボタンをクリックしてホストまたはネットワークを選択します。 IP アドレスのサブネット マスクを選択します。 ホストまたはネットワークの選択に ... ボタンを使用した場合は、ASDMにより、このボックスの値が自動的に入力されます。
Network Object Group を選択すると、グループ名を指定するための Group Name フィールドが表示されます。 このオプションでは、トンネルを使用するグループ全体を設定できます。 これらのグループは、Configuration > Features > Building Blocks > Hosts and Networks パネルで設定します。
Interface IP を選択すると、インターフェイス名を選択するための Interface フィールドが表示されます。
• Exempt ASA side host/network from address translation:トラフィックがアドレス変換なしでセキュリティ アプライアンスを通過できるようにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Summary
Summary パネルには、この VPN LAN-to-LAN 接続のアトリビュートすべてが設定どおりに表示されます。
Back :変更するには、目的のパネルに到達するまで Back をクリックします。
Finish:コンフィギュレーションが完了したら、 Finish をクリックします。ASDM がその LAN-to-LAN コンフィギュレーションを保存します。 Finish をクリックした後は、VPN ウィザードを使用してこのコンフィギュレーションを変更することができなくなります。 ASDM を使用して拡張機能を編集および設定してください。
Cancel:コンフィギュレーションを削除するには、 Cancel をクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Remote Access Client
VPN Wizard > Remote Access Client
Remote Access Client パネルでは、この接続を使用するリモート アクセス ユーザのタイプを特定します。
• Cisco VPN Client Release 3.x or higher, or other Easy VPN Remote product:ここで名前が指定されたもの以外の互換性のあるソフトウェア クライアントとハードウェア クライアントを含む、IPSec 接続の場合にクリックします。
• Microsoft Windows client using L2TP over IPSec:パブリック IP ネットワークを経由する、Microsoft Windows クライアントおよび Microsoft Windows Mobile クライアントからの接続をイネーブルにします。L2TP は、データのトンネルに PPP over UDP(ポート 1701)を使用します。 次の PPP 認証プロトコルの 1 つ以上をイネーブルにします。
–PAP:認証中にクリアテキストのユーザ名とパスワードを渡すので、安全ではありません。
–CHAP:サーバのチャレンジに対する応答で、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。このプロトコルは、PAP よりセキュアですが、データを暗号化しません。
–MS-CHAP, Version 1:CHAP と似ていますが、サーバは、CHAP のようなクリアテキストのパスワードではなく、暗号化したパスワードだけを保存および比較するので安全です。
–MS-CHAP, Version 2:MS-CHAP, Version 1 以上のセキュリティ強化機能が含まれています。
–EAP:EAP をイネーブルにします。これによってセキュリティ アプライアンスは、PPP の認証プロセスを外部の RADIUS 認証サーバに代行させます。
• Client will send tunnel group name as username@tunnelgroup:セキュリティ アプライアンスが、L2TP over IPSec 接続を確立する別々のユーザを異なるトンネル グループと関連付けることができるようにします。各トンネル グループには、それぞれの AAA サーバ グループと IP アドレス プールがあるため、ユーザは、各自のトンネル グループに固有の方式で認証を行えます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
VPN Client Authentication Method and Tunnel Group Name
VPN Wizard > VPN Client Authentication Method and Tunnel Group Name
VPN Client Authentication Method and Tunnel Group Name パネルでは、認証方式を設定し、トンネル グループを作成します。
• Authentication Method:リモート サイト ピアは、事前共有キーか証明書のいずれかを使用して認証します。
–Pre-shared Key:ローカル セキュリティ アプライアンスとリモート IPSec ピアの間の認証で事前共有キーを使用する場合にクリックします。
事前共有キーを使用すると、一定数のリモート ピアおよび安定したネットワークとの通信をすばやく簡単にセットアップできます。 それぞれの IPSec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPSec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。 セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
–Certificate:ローカル セキュリティ アプライアンスとリモート IPSec ピアの間の認証で証明書を使用する場合にクリックします。 このセクションを完了するには、あらかじめ CA への登録を済ませ、1 つ以上の証明書をセキュリティ アプライアンスにダウンロードしておく必要があります。
デジタル証明書を使用すると、IPSec トンネルを確立するために使用するセキュリティ キーを効率よく管理できます。 デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。 またデジタル証明書には、所有者の公開鍵のコピーも含まれています。
デジタル証明書を使用するには、デジタル証明書を発行する Certification Authority(CA; 認証局)に各ピアを登録します。 CA は、信頼できるベンダーまたは組織内で設置したプライベート CA の場合もあります。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。 新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
–Trustpoint Name:セキュリティ アプライアンスがリモート ピアに送信する証明書を特定する名前を選択します。
–Certificate Signing Algorithm:デジタル証明書に署名する場合のアルゴリズムとして、RSA の場合には rsa-sig を、DSA の場合には dsa-sig を選択します。
–Challenge/response authentication (CRACK):クライアントが RADIUS などの一般的な方式を使用して認証を行い、サーバが公開鍵による認証方式を使用している場合に、強力な相互認証を実現します。 セキュリティ アプライアンスは、Nokia 92xx Communicator Series デバイスで Nokia VPN Client を認証するために、IKE オプションとして CRACK をサポートしています。
• Tunnel Group Name:名前を入力して、この IPSec 接続のトンネル接続ポリシーを含むレコードを作成します。 トンネル グループでは、認証、認可、およびアカウンティングの各サーバ、デフォルト グループ ポリシー、IKE アトリビュートを指定できます。 この VPN ウィザードで設定するトンネル グループでは、認証方式を指定し、セキュリティ アプライアンス Default Group Policy を使用します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Client Authentication
VPN Wizard > Client Authentication
Client Authentication パネルでは、セキュリティ アプライアンスがリモート ユーザを認証するときに使用する方法を選択します。
• Authenticate using the local user database:セキュリティ アプライアンスの内部の認証方式を使用する場合にクリックします。 この方式は、ユーザの数が少なくて安定している環境で使用します。 次のパネルでは、セキュリティ アプライアンスに個々のユーザのアカウントを作成できます。
• Authenticate using an AAA server group:リモート ユーザ認証で外部サーバ グループを使用する場合にクリックします。
• AAA Server Group:前に設定した AAA サーバ グループを選択します。
• New ...:新しい AAA サーバ グループを設定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
New Authentication Server Group
VPN Wizard > New Authentication Server Group
New Authentication Server Group パネルでは、新しい AAA サーバを 1 つ以上定義します。
サーバを 1 つだけ含む AAA サーバ グループを設定するには、次の情報を入力します。
• Server Group Name:サーバ グループの名前を入力します。 この名前は、このサーバを使用して認証する対象のユーザに関連付けます。
• Authentication Protocol:サーバで使用する認証プロトコルを選択します。 オプションには、TACACS+、RADIUS、SDI、NT、および Kerberos などがあります。
• Server IP Address:AAA サーバの IP アドレスを入力します。
• Interface:AAA サーバが常駐するセキュリティ アプライアンスのインターフェイスを選択します。
• Server Secret Key:大文字と小文字が区別される最大 127 文字の英数字キーワードを入力します。 サーバとセキュリティ アプライアンスは、そのキーを使用して両者の間を移動するデータを暗号化します。 キーは、セキュリティ アプライアンスとサーバの両方で同じにする必要があります。 スペース以外の特殊文字を使用することができます。
• Confirm Server Secret Key:もう一度秘密鍵を入力します。
この新しいグループにサーバを追加するか、または他の AAA サーバの設定を変更するには、Configuration > Features > Properties > AAA に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
User Accounts
User Accounts パネルでは、認証を目的として、セキュリティ アプライアンス の内部ユーザ データベースに新しいユーザを追加します。
• User to Be Added:このセクションのフィールドを使用してユーザを追加します。
–Confirm Password:(オプション)パスワードを再入力します。
• Add:ユーザ名とオプションのパスワードを入力した後で、データベースにユーザを追加します。
• Username:データベース内のすべてのユーザの名前を表示します。
• Delete:データベースからユーザを削除するには、該当するユーザ名を強調表示させ、 Delete をクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Address Pool
Address Pool パネルでは、セキュリティ アプライアンスがリモート VPN クライアントに割り当てるローカル IP アドレスのプールを設定します。
• Tunnel Group Name:アドレス プールが適用されるトンネル グループの名前を表示します。 この名前は、VPN Client Tunnel Group Name and Authentication Method パネルで設定したものです。
• Pool Name:アドレス プールの記述 ID を選択します。 セキュリティ アプライアンスは、プール名をトンネル グループに関連付けます。
• Range Start Address:アドレス プールの開始 IP アドレスを入力します。
• Range End Address:アドレス プールの終了 IP アドレスを入力します。
• Subnet Mask:(オプション)これらの IP アドレスのサブネット マスクを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Attributes Pushed to Client
VPN Wizard > Attributes Pushed to Client
Attributes Pushed to Client (オプション) パネルでは、DNS サーバと WINS サーバおよびデフォルト ドメイン名についての情報をリモート アクセス クライアントに渡す動作をセキュリティ アプライアンスに実行させます。
リモート アクセス クライアントで使用する情報を入力します。
• Tunnel Group:アドレス プールが適用されるトンネル グループの名前を表示します。 この名前は、VPN Client Tunnel Group Name and Authentication Method パネルで設定したものです。
• Primary DNS Server:プライマリ DNS サーバの IP アドレスを入力します。
• Secondary DNS Server:セカンダリ DNS サーバの IP アドレスを入力します。
• Primary WINS Server:プライマリ WINS サーバの IP アドレスを入力します。
• Secondary WINS Server:セカンダリ WINS サーバの IP アドレスを入力します。
• Default Domain Name:デフォルトのドメイン名を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Address Translation Exemption
VPN Wizard > Address Translation Exemption
Address Translation Exemption(オプション)パネルでは、アドレス変換が不要なローカル ホスト/ネットワークを特定します。 デフォルトによりセキュリティ アプライアンスは、ダイナミックまたはスタティックの Network Address Translation(NAT; ネットワーク アドレス変換)を使用して、内部ホストおよびネットワークの本当の IP アドレスを外部ホストから隠します。 NAT は、信頼できない外部ホストによる攻撃の危険性を最小限に抑えますが、VPN によって認証および保護されているホストに対しては不適切な場合があります。
たとえば、ダイナミック NAT を使用する内部ホストは、プールから無作為に選択したアドレスと照合することにより、その IP アドレスを変換させます。 外部ホストからは、変換されたアドレスだけが見えるようになります。 本当の IP アドレスにデータを送信することによってこれらの内部ホストに到達しようとするリモート VPN クライアントは、NAT 免除ルールを設定しない限り、これらのホストに接続することはできません。
(注) すべてのホストとネットワークを NAT から免除する場合は、このパネルでは何も設定しません。 エントリが 1 つでも存在すると、他のすべてのホストとネットワークは NAT に従います。
• Host/Network to Be Added:これらのフィールドに値を入力して、NAT から特定のホストまたはネットワークを免除します。
–IP Address:IP アドレスによってホストとネットワークを特定します。
–Group:トンネル グループによってホストとネットワークを特定します。 このオプションでは、トンネルを使用するグループ全体を設定できます。
–Interface:選択したホストまたはネットワークに接続するインターフェイスの名前を選択します。
–IP address:ホストまたはネットワークの IP アドレスを選択します。 IP アドレスを入力するか、または隣の ... ボタンをクリックしてネットワーク図を表示し、ホストまたはネットワークを選択します。
–Mask:IP アドレスのサブネット マスクを選択します。
–Name:ホスト名を選択します。 完全修飾ドメイン名を使用します。
• Add:適切なフィールドへの入力を済ませた後に、ホストまたはネットワークを Selected Hosts/Networks リストに追加します。
• Selected Hosts/Networks:NAT から免除されるホストとネットワークを表示します。すべてのホストとネットワークを NAT から免除する場合は、このリストを空のままにします。
• Enable split tunneling:リモート アクセス クライアントからのパブリック インターネット宛のトラフィックを暗号化せずに送信する場合に選択します。 スプリット トンネリングにより、保護されたネットワークのトラフィックが暗号化され、保護されていないネットワークのトラフィックは暗号化されません。 スプリット トンネリングをイネーブルにすると、セキュリティ アプライアンスは、認証後に IP アドレスのリストをリモート VPN クライアントにプッシュします。 リモート VPN クライアントは、セキュリティ アプライアンスの背後にある IP アドレスへのトラフィックを暗号化します。 他のすべてのトラフィックは、暗号化なしでインターネットに直接送り出され、セキュリティ アプライアンスは関与しません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック