- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: General
General
バーチャル プライベート ネットワーク(VPN)とは、インターネットなどのパブリック ネットワーク経由でプライベート トラフィックを伝送する仮想回線のネットワークのことです。VPN は、2 か所以上の LAN、またはリモート ユーザと LAN を接続できます。VPN は、すべてのユーザに認証を義務付け、すべてのデータ トラフィックを暗号化することにより、プライバシーとセキュリティを確保します。
Client Software
[Client Software] ペインにより、中央にいる管理者は次のアクションを実行できます。
•
クライアント アップデートをイネーブルにする。アップデートを適用するクライアントのタイプとリビジョン番号を指定する。
• アップデートを取得する URL または IP アドレスを指定する。
• Windows クライアントの場合に、オプションで VPN クライアント バージョンをアップデートする必要があることをユーザに通知する。
(注) [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPSec] > [Upload Software] > [Client Software] で選択できるクライアント アップデート機能は、IPSec VPN クライアント(Windows、MAC OS X、および Linux)と VPN 3002 ハードウェア クライアントにだけ適用されます。これは、Cisco AnyConnect VPN クライアントには適用されません。接続時にセキュリティ アプライアンスによって自動的にアップデートされます。
IPSec VPN クライアントの場合は、アップデートを実行するメカニズムをユーザに提供できます。VPN 3002 ハードウェア クライアント ユーザの場合、アップデートは通知せずに自動的に行われます。クライアント アップデートは、IPSec リモートアクセス トンネルグループのタイプだけに適用できます。
(注) IPSec Site-to-Site IPSec 接続またはクライアントレス VPN IPSec 接続を対象にクライアント アップデートを試みても、エラー メッセージは表示されず、アップデート通知やクライアント アップデートがそれらのタイプの IPSec 接続に届くことはありません。
特定のクライアント タイプのすべてのクライアントに対してクライアント アップデートをグローバルにイネーブルにするには、このウィンドウを使用します。また、このウィンドウから、アップグレードが必要であることをすべての Windows、MAC OS X、および Linux クライアントに通知し、すべての VPN 3002 ハードウェア クライアントのアップグレードを開始することもできます。アップデートの適用先クライアント リビジョンと、アップデートのダウンロード元 URL または IP アドレスを設定するには、[Edit] をクリックします。
特定のトンネル グループのクライアント アップデート リビジョンとソフトウェア アップデート ソースを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPSec] > [Add/Edit] > [Advanced] > [IPSec] > [Client Software Update] を参照してください。
• [Enable Client Update]:すべてのトンネル グループと特定のトンネル グループの両方を対象にクライアント アップデートをイネーブルまたはディセーブルにします。クライアント アップデートをイネーブルにしてから、Windows、MAC OS X、および Linux の VPN クライアントにクライアント アップデート通知を送信するか、またはハードウェア クライアントの自動アップデートを開始する必要があります。
• [Client Type]:アップグレードするクライアント(ソフトウェアまたはハードウェア)を一覧表示します。Windows ソフトウェア クライアントの場合には、すべての Windows またはサブセットを表示します。[All Windows Based] をクリックした場合には、Windows 95、98 または ME と Windows NT、2000 または XP を個別に指定しません。ハードウェア クライアントは、ASA 5505 ソフトウェアまたは VPN 3002 ハードウェア クライアントのリリースと一緒にアップデートされます。
• [VPN Client Revisions]:このクライアントに合ったソフトウェア イメージ リビジョンのカンマ区切りリストを格納しています。ユーザのクライアント リビジョン番号が、指定されているリビジョン番号のいずれかと一致している場合には、クライアントを更新する必要はありません。Windows ベースのクライアントの場合には、アップデート通知を受信しません。次の警告が適用されます。
– リビジョン リストには、このアップデートのソフトウェア バージョンが記載されている必要があります。
– 自分のエントリが、VPN クライアントの場合には URL と、ハードウェア クライアントの場合には TFTP サーバと正確に一致する必要があります。
– ハードウェア クライアント イメージを配布するための TFTP サーバは堅牢である必要があります。
– VPN クライアント ユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります。
– VPN 3002 ハードウェア クライアント ソフトウェアは、ユーザに通知することなく、自動的に TFTP 経由でアップデートされます。
• [Image URL]:ソフトウェア イメージのダウンロード元 URL または IP アドレスを格納しています。この URL は、クライアントに適合するファイルを指している必要があります。Windows、MAC OS X、および Linux ベースのクライアントの場合は、URL を http:// または https:// 形式にする必要があります。ハードウェア クライアントの場合、URL は tftp:// という形式にする必要があります。
– Windows、MAC OS X、および Linux ベースの VPN クライアントの場合:VPN クライアント通知で [Launch] ボタンをアクティブにするには、URL に、HTTP または HTTPS というプロトコル名と、アップデートが格納されているサイトのサーバ アドレスを含める必要があります。URL の形式は、http(s):// サーバ_アドレス:ポート / ディレクトリ / ファイル名 です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。次に例を示します。
http://10.10.99.70/vpnclient-win-4.6.Rel-k9.exe
ディレクトリはオプションです。ポート番号は、80 以外の HTTP ポート、443 以外の HTTPS ポートを使用する場合にだけ必要です。
– ハードウェア クライアントの場合、URL の形式は、tftp:// サーバ_アドレス /ディレクトリ/ ファイル名 です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。次に例を示します。
tftp://10.1.1.1/vpn3002-4.1.Rel-k9.bin
• [Edit]:[Edit Client Update Entry] ダイアログボックスを開きます。このボックスを使用して、クライアント アップデート パラメータを設定または変更できます。 [Edit Client Update] のエントリを参照してください。
• [Live Client Update]:現在接続中のすべての VPN クライアント、または選択したトンネル グループにアップグレード通知メッセージを送信します。
– [Tunnel Group]:すべてまたは特定のトンネル グループをアップデートの対象として選択します。
– [Update Now]:アップグレード通知をただちに送信します。この通知には、選択したトンネル グループまたは接続中のすべてのトンネル グループ内で現在接続中の VPN クライアントを対象とするアップデート済みソフトウェアの取得場所を指定する URL が記載されています。メッセージには、ソフトウェアの新バージョンをダウンロードする場所が記載されています。その VPN クライアントの管理者は、新しいソフトウェア バージョンを取得し、VPN クライアント ソフトウェアをアップデートできます。
VPN 3002 ハードウェア クライアントの場合、アップグレードは通知せずに自動的に行われます。
アップグレードを実行するには、ウィンドウ内の [Enable Client Update] をオンにする必要があります。接続していないクライアントは、アップグレード通知を受信するか、次回ログインしたときに自動的にアップグレードされます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Edit Client Update] のエントリ
[Edit Client Update] ダイアログボックスでは、表示されたクライアント タイプの VPN クライアント リビジョンと URL に関する情報を変更できます。クライアントは、表示されたクライアント タイプ用として指定されているいずれかのリビジョンを実行している必要があります。該当するリビジョンを実行していないと、そのクライアントは、アップグレードが必要であると通知されます。
• [Client Type]:( 表示専用 )編集対象として選択したクライアント タイプを表示します。
• [VPN Client Revisions]:このクライアントに合ったソフトウェアまたはファームウェア イメージのカンマ区切りリストを入力できます。ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合、そのクライアントを更新する必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していなくても、更新は正しく実行されます。Windows、MAC OS X、または Linux ベースの VPN クライアントのユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります。VPN 3002 ハードウェア クライアント ソフトウェアは、自動的に TFTP 経由でアップデートされます。
• [Image URL]:ソフトウェアまたはファームウェア イメージの URL を指定できます。この URL は、クライアントに適合するファイルを指している必要があります。
– Windows、MAC OS X、または Linux ベースの VPN クライアントの場合は、URL に、HTTP または HTTPS というプロトコル名と、アップデートが存在するサイトのサーバ アドレスが指定されている必要があります。URL の形式は、http(s):// サーバ_アドレス:ポート / ディレクトリ / ファイル名 です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。次に例を示します。
ディレクトリはオプションです。ポート番号は、80 以外の HTTP ポート、443 以外の HTTPS ポートを使用する場合にだけ必要です。
– ハードウェア クライアントの場合、URL の形式は、tftp:// サーバ_アドレス /ディレクトリ/ ファイル名 です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。次に例を示します。
tftp://10.1.1.1/vpn3002-4.1.Rel-k9.bin
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
デフォルトのトンネル ゲートウェイ
デフォルトのトンネル ゲートウェイを設定するには、このウィンドウにある [Static Route] リンクをクリックします。[Configuration] > [Routing] > [Routing] > [Static Route] ウィンドウが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
グループ ポリシー
[Group Policies] ウィンドウでは、VPN グループ ポリシーを管理できます。VPN グループ ポリシーは、デバイスの内部(ローカル)または外部の RADIUS または LDAP サーバに格納されているユーザ指向の属性と値のペアのセットです。VPN グループ ポリシーを設定することによって、個別のグループまたはユーザ名レベルで設定しなかった属性をユーザが継承するようにできます。デフォルトでは、VPN ユーザにはグループ ポリシーが関連付けられません。グループ ポリシー情報は、VPN トンネル グループおよびユーザ アカウントで使用されます。
「子」の関係のウィンドウとダイアログボックスでは、デフォルト グループのパラメータを含むグループ パラメータを設定できます。デフォルト グループ パラメータは、すべてのグループおよびユーザに共通であると考えられるパラメータで、これらによってコンフィギュレーション タスクが効率化されます。グループはデフォルト グループからパラメータを「継承」でき、ユーザは自身のグループまたはデフォルト グループからパラメータを「継承」できます。これらのパラメータは、グループおよびユーザを設定するときに上書きできます。
内部または外部いずれかのグループ ポリシーを設定できます。内部グループ ポリシーはローカルに保存され、外部グループ ポリシーは RADIUS サーバまたは LDAP サーバに外部で保存されます。[Edit] をクリックすると類似のダイアログボックスが開き、新しいグループ ポリシーを作成したり、既存のグループ ポリシーを編集したりできます。
これらのダイアログボックスで、次の種類のパラメータを設定します。
• 一般属性:名前、バナー、アドレス プール、プロトコル、フィルタリング、および接続の設定。
• サーバ:DNS および WINS サーバ、DHCP スコープ、およびデフォルト ドメイン名。
• 詳細属性:スプリット トンネリング、IE ブラウザ プロキシ、SSL VPN クライアントと AnyConnect クライアント、および IPSec クライアント。
これらのパラメータを設定する前に、次の項目を設定する必要があります。
• フィルタリングおよびスプリット トンネリング用のネットワーク リスト
• [Group Policy]:現在設定されているグループ ポリシーの一覧と、VPN グループ ポリシーを管理するための [Add]、[Edit]、および [Delete] ボタンが表示されます。
– [Name]:現在設定されているグループ ポリシーの名前を一覧表示します。
– [Type]:現在設定されている各グループ ポリシーのタイプを一覧表示します。
– [Tunneling Protocol]:現在設定されている各グループ ポリシーが使用するトンネリング プロトコルを一覧表示します。
– [AAA Server Group]:現在設定されている各グループ ポリシーが属する AAA サーバ グループが存在すれば、一覧表示します。
– [Add]:ドロップダウン メニューが表示され、内部または外部のグループ ポリシーを追加するかどうかを選択できます。単に [Add] をクリックする場合は、デフォルトにより内部グループ ポリシーを作成することになります。[Add] をクリックすると、[Add Internal Group Policy] ダイアログボックスまたは [Add External Group Policy] ダイアログボックスが開きます。これらのダイアログボックスを使用して、新しいグループ ポリシーを一覧に追加できます。このダイアログボックスには、3 つのメニュー セクションがあります。それぞれのメニュー項目をクリックすると、その項目のパラメータが表示されます。項目間を移動するとき、ASDM は設定を保持します。すべてのメニュー セクションでパラメータの設定が終了したら、[Apply] または [Cancel] をクリックします。ドロップダウン メニューが表示され、内部または外部のグループ ポリシーを追加するかどうかを選択できます。単に [Add] をクリックする場合は、デフォルトにより内部グループ ポリシーを作成することになります。
– [Edit]:[Edit Group Policy] ダイアログボックスを表示します。このダイアログボックスを使用して、既存のグループ ポリシーを編集できます。
– [Delete]:AAA グループ ポリシーをリストから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit External Group Policy
[Add or Edit External Group Policy] ダイアログボックスを使用して、外部グループ ポリシーを設定できます。
• [Name]:追加または変更するグループ ポリシーを特定します。[Edit External Group Policy] の場合、このフィールドは表示専用です。
• [Server Group]:このポリシーの適用先として利用できるサーバ グループを一覧表示します。
• [Password]:このサーバ グループ ポリシーのパスワードを指定します。
• [New]:新しい RADIUS サーバ グループまたは新しい LDAP サーバ グループを作成するかどうかを選択できるダイアログボックスを開きます。どちらの場合も [Add AAA Server Group] ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add AAA Server Group
[Add AAA Server Group] ダイアログボックスでは、新しい AAA サーバ グループを設定できます。[Accounting Mode] 属性は、RADIUS および TACACS+ プロトコルにだけ適用されます。
• [Server Group]:サーバ グループの名前を指定します。
• [Protocol]:( 表示専用 )RADIUS サーバ グループか、LDAP サーバ グループかを示します。
• [Accounting Mode]:同時アカウンティング モードかシングル アカウンティング モードかを示します。シングル モードでは、セキュリティ アプライアンスはアカウンティング データを 1 つのサーバにだけ送信します。同時モードでは、セキュリティ アプライアンスはアカウンティング データをグループ内のすべてのサーバに送信します。[Accounting Mode] 属性は、RADIUS および TACACS+ プロトコルにだけ適用されます。
• [Reactivation Mode]:障害が発生したサーバを再アクティブ化する方法を Depletion または Timed 再アクティブ化モードから指定します。Depletion モードでは、障害が発生したサーバは、グループ内のサーバのすべてが非アクティブになった場合にだけ再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。
• [Dead Time]:Depletion モードで、グループの最後のサーバがディセーブルになってから、すべてのサーバを次に再度イネーブルにするまでの経過時間を分単位(0 ~ 1440)で指定します。デフォルト値は 10 分です。このフィールドは、Timed モードでは使用できません。
• [Max Failed Attempts]:応答しないサーバが非アクティブであると宣言するまでの失敗接続試行回数を指定します(1 ~ 5 の整数)。デフォルト値は 3 回です。
リモート アクセスの内部グループ ポリシーの追加または編集、一般属性
[Add or Edit Group Policy] ウィンドウでは、追加または編集するグループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。このウィンドウの各フィールドで、[Inherit] チェックボックスをオンにすると、対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] は、このダイアログボックスの属性すべてのデフォルト値です。
[Add Internal Group Policy] > [General] ウィンドウには、次の属性が表示されます。これらは、SSL VPN と IPSec セッション、またはクライアントレス SSL VPN セッションに適用されます。そのため、いくつかの属性は、1 つのタイプのセッションに表示され、他のタイプには表示されません。
• [Name]:このグループ ポリシーの名前を指定します。Edit 機能の場合、このフィールドは読み取り専用です。
• [Banner]:ログイン時にユーザに対して表示するバナー テキストを指定します。長さは最大 491 文字です。デフォルト値はありません。
• [Address Pools]:(Network (Client) Access 専用)このグループ ポリシーで使用する 1 つ以上のアドレス プールの名前を指定します。
• [Select]:(Network (Client) Access 専用)[Select Address Pools] ウィンドウが開きます。このウィンドウには、クライアント アドレス割り当てで選択可能なアドレス プールのプール名、開始アドレスと終了アドレス、およびサブネット マスクが表示され、そのリストからエントリを選択、追加、編集、削除、および割り当てできます。
• [More Options]:このグループ ポリシーで設定可能な追加のオプションを表示します。
• [Tunneling Protocols]:このグループが使用できるトンネリング プロトコルを指定します。ユーザは、選択されているプロトコルだけを使用できます。次の選択肢があります。
– [Clientless SSL VPN]:SSL/TLS による VPN の使用法を指定します。この VPN では、ソフトウェアやハードウェアのクライアントを必要とせずに、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス トンネルを確立します。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。
– [SSL VPN Client]:Cisco AnyConnect VPN クライアントまたはレガシー SSL VPN クライアントの使用を指定します。
– [IPsec]:IP Security Protocol(IP セキュリティ プロトコル)。IPSec は最もセキュアなプロトコルとされており、VPN トンネルのほぼ完全なアーキテクチャを提供します。Site-to-Site(ピアツーピア)接続、およびクライアントと LAN 間の接続の両方で IPSec を使用できます。
– [L2TP over IPSec]:多くの PC およびモバイル PC のオペレーティング システムで提供される VPN クライアントを使用しているリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。L2TP は、データのトンネリングに PPP over UDP(ポート 1701)を使用します。セキュリティ アプライアンスは、IPSec 転送モード用に設定する必要があります。
(注) プロトコルを選択しないと、エラー メッセージが表示されます。
• [Filter]:(Network (Client) Access 専用)使用するアクセス コントロール リストを指定するか、またはグループ ポリシーから値を継承するかどうかを指定します。フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定する方法については、[Group Policy] ウィンドウを参照してください。
• [Web ACL]:(クライアントレス SSL VPN 専用)トラフィックをフィルタリングする場合は、ドロップダウン リストからアクセス コントロール リスト(ACL)を選択します。選択する前に ACL を表示、変更、追加、または削除する場合は、リストの横にある [Manage] をクリックします。
• [Manage]:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる [ACL Manager] ウィンドウを表示します。ACL Manager の詳細については、そのウィンドウのオンライン ヘルプを参照してください。
• [NAC Policy]:このグループ ポリシーに適用するネットワーク アドミッション コントロール ポリシーの名前を選択します。オプションの NAC ポリシーを各グループ ポリシーに割り当てることができます。デフォルト値は --None-- です。
• [Manage]:[Configure NAC Policy] ダイアログボックスが開きます。1 つ以上の NAC ポリシーを設定すると、[NAC Policy] 属性の横のドロップダウン リストに、設定した NAC ポリシー名がオプションとして表示されます。
• [Access Hours]:このユーザに適用される既存のアクセス時間ポリシーがある場合はその名前を選択するか、または新しいアクセス時間ポリシーを作成します。デフォルト値は [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルト値は [--Unrestricted--] です。
• [Manage]:[Browse Time Range] ダイアログボックスを開きます。このダイアログボックスでは、時間範囲を追加、編集、または削除できます。
• [Simultaneous Logins]:このユーザに許可する同時ログインの最大数を指定します。デフォルト値は 3 です。最小値は 0 で、この場合ログインが無効になり、ユーザ アクセスを禁止します。
(注) 最大数の制限はありませんが、複数の同時接続の許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼすおそれがあります。
• [Restrict Access to VLAN]:(任意)「VLAN マッピング」とも呼ばれます。このパラメータにより、このグループ ポリシーが適用されるセッションの出力 VLAN インターフェイスを指定します。セキュリティ アプライアンスは、このグループのトラフィックすべてを、選択した VLAN に転送します。この属性を使用して VLAN をグループ ポリシーに割り当て、アクセス コントロールを簡素化します。この属性に値を割り当てる方法は、ACL を使用してセッションのトラフィックをフィルタリングする方法の代替方法です。ドロップダウン リストには、デフォルト値(Unrestricted)の他に、このセキュリティ アプライアンスで設定されている VLAN だけが表示されます。
(注) この機能は、HTTP 接続の場合には有効ですが、FTP および CIFS 接続では使用できません。
• [Maximum Connect Time]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザの最大接続時間を分単位で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分で、最長時間は 35791394 分(4000 年超)です。接続時間を無制限にするには、[Unlimited] を選択します(デフォルト)。
• [Idle Timeout]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザのアイドル タイムアウト時間を分単位で指定します。この期間、ユーザ接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。デフォルトは 30 分です。接続時間を無制限にするには、[Unlimited] を選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
グループ ポリシーのポータルの設定
[Portal] 属性により、クライアントレス SSL VPN 接続を確立するこのグループ ポリシーのメンバのポータル ページに表示されるコンテンツが決まります。このペインでは、ブックマーク リストと URL エントリ、ファイル サーバ アクセス、ポート転送とスマート トンネル、ActiveX リレー、および HTTP の設定をイネーブルにできます。
• [Bookmark List]:あらかじめ設定されたブックマーク リストを選択するか、または [Manage] をクリックして新しいリストを作成します。ブックマークはリンクとして表示され、ユーザはこのリンクを使用してポータル ページから移動できます。
• [URL Entry]:リモート ユーザが URL をポータル URL フィールドに直接入力できるようにする場合にイネーブルにします。
• [File Access Control]:共通インターネット ファイル システム(CIFS)ファイルの「非表示共有」の表示状態を制御します。非表示共有は、共有名の末尾のドル記号($)で識別されます。たとえば、ドライブ C は C$ として共有されます。非表示共有では、共有フォルダは表示されず、ユーザはこれらの非表示リソースを参照またはアクセスすることを禁止されます。
– [File Server Entry]:リモート ユーザがファイル サーバの名前を入力できるようにする場合にイネーブルにします。
– [File Server Browsing]:リモート ユーザが使用可能なファイル サーバを参照できるようにする場合にイネーブルにします。
– [Hidden Share Access]:共有フォルダを非表示にする場合にイネーブルにします。
• [Port Forwarding Control]:Java Applet によるクライアントレス SSL VPN 接続により、ユーザが TCP ベースのアプリケーションにアクセスできるようにします。
– [Port Forwarding List]:このグループ ポリシーに関連付ける事前設定済み TCP アプリケーションのリストを選択します。新しいリストを作成したり、既存のリストを編集したりするには、[Manage] をクリックします。
– [Auto Applet Download]:ユーザが始めてログインするときに実行される、Java Applet の自動インストールおよび起動をイネーブルにします。
– [Applet Name]:[Applet] ウィンドウのタイトルバーの名前を、指定する名前に変更します。デフォルトの名前は [Application Access] です。
• [Smart Tunnel List]:スマート トンネル アクセスを提供する場合は、ドロップダウン メニューからリスト名を選択します。スマート トンネルは、Winsock 2 の TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、セキュリティ アプライアンスをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てると、そのグループ ポリシーまたはユーザ名にセッションが関連付けられているすべてのユーザの場合にスマート トンネル アクセスがイネーブルになりますが、リストで指定されているアプリケーションへのスマート トンネル アクセスは制限されます。
スマート トンネル リストを表示、追加、変更、または削除するには、[Manage] ボタンをクリックします。
– [Auto Start (Smart Tunnel List)]:ユーザのログイン時にスマート トンネル アクセスを自動的に開始する場合にオンにします。ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する場合にオフにします。
• [ActiveX Relay]:クライアントレス ユーザが ActiveX をブラウザから起動できるようにします。アプリケーションは、セッションを使用して ActiveX コントロールのダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。
• [HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送をイネーブルまたはディセーブルにします。このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、自動的にブラウザの古いプロキシ コンフィギュレーションを変更して、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。
• [Auto Start (HTTP Proxy)]:ユーザのログイン時に HTTP プロキシを自動的にイネーブルにする場合にオンにします。ユーザ ログイン時にスマート トンネル アクセスをイネーブルにして、ユーザに手動で開始するように要求する場合はオフにします。
• [HTTP Compression]:クライアントレス SSL VPN セッションでの HTTP データの圧縮をイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
グループ ポリシーのカスタマイゼーションの設定
グループ ポリシーのカスタマイゼーションを設定するには、事前設定済みのポータル カスタマイゼーション オブジェクトを選択するか、またはデフォルト グループ ポリシーで定義されているカスタマイゼーションを受け入れます。表示する URL を設定することもできます。
[Portal Customization]:エンド ユーザ ポータルのカスタマイゼーション オブジェクトを設定します。
• [Inherit]:デフォルト グループ ポリシーからポータル カスタマイゼーションを継承するには、[Inherit] をクリックします。事前設定済みのカスタマイゼーション オブジェクトを指定するには、[Inherit] の選択を解除し、ドロップダウン リストからカスタマイゼーション オブジェクトを選択します。
• [Manage]:新しいカスタマイゼーション オブジェクトをインポートします。
[Homepage URL](任意):グループ ポリシーに関連付けられたユーザのホームページの URL を指定するには、このフィールドに入力します。デフォルト グループ ポリシーからホームページを継承するには、[Inherit] をクリックします。
[Access Deny Message]:アクセスを拒否するユーザに対するメッセージを作成するには、このフィールドに入力します。デフォルト グループ ポリシーのメッセージを受け入れるには、[Inherit] をクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Site-to-Site 内部グループ ポリシーの追加または編集
[Add or Edit Group Policy] ウィンドウでは、追加または編集するグループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。このウィンドウの各フィールドで、[Inherit] チェックボックスをオンにすると、対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] は、このダイアログボックスの属性すべてのデフォルト値です。
[Add Internal Group Policy] > [General] ウィンドウには、次の属性が表示されます。これらは、SSL VPN と IPSec セッション、またはクライアントレス SSL VPN セッションに適用されます。そのため、いくつかの属性は、1 つのタイプのセッションに表示され、他のタイプには表示されません。
• [Name]:このグループ ポリシーの名前を指定します。Edit 機能の場合、このフィールドは読み取り専用です。
• [Tunneling Protocols]:このグループが使用できるトンネリング プロトコルを指定します。ユーザは、選択されているプロトコルだけを使用できます。次の選択肢があります。
– [Clientless SSL VPN]:SSL/TLS による VPN の使用法を指定します。この VPN では、ソフトウェアやハードウェアのクライアントを必要とせずに、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス トンネルを確立します。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。
– [SSL VPN Client]:Cisco AnyConnect VPN クライアントまたはレガシー SSL VPN クライアントの使用を指定します。
– [IPsec]:IP Security Protocol(IP セキュリティ プロトコル)。IPSec は最もセキュアなプロトコルとされており、VPN トンネルのほぼ完全なアーキテクチャを提供します。Site-to-Site(ピアツーピア)接続、およびクライアントと LAN 間の接続の両方で IPSec を使用できます。
– [L2TP/IPSec]:多くの PC およびモバイル PC のオペレーティング システムで提供される VPN クライアントを使用しているリモート ユーザが、パブリック IP ネットワークを介して
セキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。L2TP は、データのトンネリングに PPP over UDP(ポート 1701)
を使用します。セキュリティ アプライアンスは、IPSec 転送モード用に設定する必要があります。
(注) プロトコルを選択しないと、エラー メッセージが表示されます。
• [Filter]:(Network (Client) Access 専用)使用するアクセス コントロール リストを指定するか、またはグループ ポリシーから値を継承するかどうかを指定します。フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定する方法については、[Group Policy] ウィンドウを参照してください。
• [Manage]:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる [ACL Manager] ウィンドウを表示します。ACL Manager の詳細については、そのウィンドウのオンライン ヘルプを参照してください。
Browse Time Range
[Browse Time Range] ダイアログボックスを使用して、時間範囲を追加、編集、または削除します。時間範囲とは、グループ ポリシーに適用できる開始および終了時刻を定義する、再利用可能なコンポーネントのことです。時間範囲を定義した後、その時間範囲を選択し、スケジューリングが必要な各種オプションに適用できます。たとえば、アクセス リストに時間範囲を設定すると、セキュリティ アプライアンスのアクセスを制限できます。時間範囲は、開始時刻、終了時刻、およびオプションの繰り返し(つまり定期的な)エントリで構成されます。時間範囲の詳細については、[Add or Edit Time Range] ダイアログボックスのオンライン ヘルプを参照してください。
• [Add]:[Add Time Range] ダイアログボックスを開きます。このダイアログボックスでは、新しい時間範囲を作成できます。
(注) 時間範囲を作成してもデバイスへのアクセスは制限されません。
• [Edit]:[Edit Time Range] ダイアログボックスを開きます。このダイアログボックスでは、既存の時間範囲を修正できます。このボタンは、[Browse Time Range] テーブルから既存の時間範囲を選択した場合にだけアクティブになります。
• [Delete]:選択した時間範囲を [Browse Time Range] テーブルから削除します。この処理は、確認されず、やり直しもできません。
• [Start Time]:時間範囲の開始時刻を指定します。
• [Recurring Entries]:指定した開始時刻と停止時刻の範囲内でアクティブな時間の追加制限を指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Time Rnage
[Add or Edit Time Range] ダイアログボックスでは、新しい時間範囲を設定できます。
• [Time Range Name]:この時間範囲に割り当てる名前を指定します。
• [Start Time]:時間範囲を開始する時刻を定義します。
– [Start now]:時間範囲がただちに開始されるように指定します。
– [Start at]:時間範囲を開始する月、日、年、時間、および分を選択します。
• [End Time]:時間範囲を終了する時刻を定義します。
– [Never end]:時間範囲でエンド ポイントを定義しないように指定します。
– [End at (inclusive)]:時間範囲を終了する月、日、年、時間、および分を選択します。
• [Recurring Time Ranges]:時間範囲がアクティブである場合に、開始時刻から終了時刻までの範囲内でアクティブな時間を制限します。たとえば、開始時刻が Start now で終了時刻が Never end であり、月曜日から金曜日までの毎日 8:00 AM ~ 5:00 PM を有効な時間範囲とする場合には、繰り返し時間範囲を、平日の 08:00 ~ 17:00 までアクティブになるように設定します。
• [Add]:[Add Recurring Time Range] ダイアログボックスを開きます。このダイアログボックスで、繰り返し時間範囲を設定できます。
• [Edit]:[Edit Recurring Time Range] ダイアログボックスを開きます。このダイアログボックスで、選択した繰り返し時間範囲を修正できます。
• [Delete]:選択した繰り返し時間範囲を削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Recurring Time Range
[Add or Edit Recurring Time Range] ダイアログボックスでは、繰り返し時間範囲を設定または変更できます。
• [Specify days of the week and times on which this recurring range will be active]:[Days of week] 領域のオプションを使用可能にします。たとえば、時間範囲を毎週月曜日から木曜日の 08:00 ~ 16:59 の間だけアクティブにする場合に、このオプションを使用します。
– [Days of the week]:この繰り返し時間範囲に含める曜日を選択します。可能なオプションは、[Every day]、[Weekdays]、[Weekends]、および [On these days of week] です。これらのうち最後については、範囲に入れる曜日ごとにチェックボックスをオンにできます。
– [Daily Start Time]:選択した各曜日に繰り返し時間範囲をアクティブにする場合に、時間と分を 24 時間形式で指定します。
– [Daily End Time (inclusive)]:選択した各曜日に繰り返し時間範囲をアクティブにする場合に、時間と分を 24 時間形式で指定します。
• [Specify a weekly interval when this recurring range will be active]:[Weekly Interval] 領域のオプションを使用可能にします。範囲は終了時刻まで拡張されます。この領域の時間は、すべて 24 時間形式です。たとえば、時間範囲を月曜日から金曜日の 8:00 AM ~ 4:30 PM の間で連続的にアクティブにする場合に、このオプションを使用します。
– [From]:毎週の時間範囲を開始する日、時間、および分を選択します。
– [Through]:毎週の時間範囲を終了する日、時間、および分を選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ACL Manager
[ACL Manager] ダイアログボックスでは、アクセス コントロール リスト(ACL)を定義することにより、特定のホストまたはネットワークから別のホストまたはネットワークへのアクセス(使用できるプロトコルやポートなど)を制御できます。
ユーザ セッションに適用する ACL(アクセス コントロール リスト)を設定できます。ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを許可または拒否するフィルタです。
• フィルタを定義しない場合は、すべての接続が許可されます。
• セキュリティ アプライアンスは、インターフェイスのインバウンド ACL だけをサポートします。
• 各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。トラフィックがアクセス コントロール エントリ(ACE)によって明示的に許可されていない場合には、セキュリティ アプライアンスがそのトラフィックを拒否します。このトピックでは、ACE をルールと呼びます。
Standard ACL
このペインには、標準 ACL に関する要約情報が表示され、このペインを使用して、ACL と ACE を追加または削除できます。
• [Add]:新しい ACL を追加できます。既存の ACL を選択すると、その ACL について新しい ACE を追加できます。
• [Edit]:[Edit ACE] ダイアログボックスを開きます。このダイアログボックスでは、既存のアクセス コントロール リスト ルールを変更できます。
• [Delete]:ACL または ACE を削除します。確認されず、やり直しもできません。
• [Move Up/Move Down]:[ACL Manager] テーブルでのルールの位置を変更します。
• [Cut]:[ACL Manager] テーブルから選択内容を削除し、クリップボードに保存します。
• [Copy]:選択内容のコピーをクリップボードに保存します。
• [Paste]:[Paste ACE] ダイアログボックスを開きます。このダイアログボックスでは、既存のルールから新しい ACL ルールを作成できます。
• [No]:ルールの評価順序を示します。暗黙のルールには番号が付けられず、ハイフンで表されます。
• [Address]:ACE が適用されるアプリケーションまたはサービスの IP アドレスまたは URL を表示します。
• [Action]:このフィルタがトラフィック フローを許可するか拒否するかを指定します。
• [Description]:ルールを追加したときに入力した説明が表示されます。暗黙のルールには、「Implicit outbound rule」という説明が含まれます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Extended ACL
このペインには、拡張 ACL に関する要約情報が表示され、ACL と ACE を追加または編集できます。
• [Add]:新しい ACL を追加できます。既存の ACL を選択すると、その ACL について新しい ACE を追加できます。
• [Edit]:[Edit ACE] ダイアログボックスを開きます。このダイアログボックスでは、既存のアクセス コントロール リスト ルールを変更できます。
• [Delete]:ACL または ACE を削除します。確認されず、やり直しもできません。
• [Move Up/Move Down]:[ACL Manager] テーブルでのルールの位置を変更します。
• [Cut]:[ACL Manager] テーブルから選択内容を削除し、クリップボードに保存します。
• [Copy]:選択内容のコピーをクリップボードに保存します。
• [Paste]:[Paste ACE] ダイアログボックスを開きます。このダイアログボックスでは、既存のルールから新しい ACL ルールを作成できます。
• [No]:ルールの評価順序を示します。暗黙のルールには番号が付けられず、ハイフンで表されます。
• [Enabled]:ルールをイネーブルまたはディセーブルにします。暗黙のルールはディセーブルにできません。
• [Source]:[Destination] カラムにリストされている IP アドレスへのトラフィックの送信を許可または拒否する IP アドレス(ホストまたはネットワーク)を指定します。詳細モード([Show Detail] オプション ボタンを参照)では、アドレス カラムに、単語 any が付いたインターフェイス名が含まれることがあります(inside: any など)。これは、内部インターフェイスのすべてのホストが、このルールの影響を受けるという意味です。
• [Destination]:[Source] カラムにリストされている IP アドレスへのトラフィックの送信を許可または拒否する IP アドレス(ホストまたはネットワーク)を指定します。アドレス カラムには、単語 any が付いたインターフェイス名が含まれることがあります(outside: any など)。これは、外部インターフェイスのすべてのホストが、このルールの影響を受けるという意味です。アドレス カラムには、IP アドレスが含まれることもあります(209.165.201.1-209.165.201.30 など)。これらのアドレスは、変換済みアドレスです。内部ホストが外部ホストへの接続を作成すると、ファイアウォールは内部ホストのアドレスをプールのアドレスにマッピングします。ホストがアウトバウンド接続を作成した後、ファイアウォールはこのアドレス マッピングを維持します。アドレス マッピング構造は xlate と呼ばれ、一定の時間、メモリに保持されます。ACL で許可されていれば、この時間内に、外部ホストはプールの変換済みアドレスを使用して、内部ホストへの接続を開始できます。通常、内部ホストは常に同じ IP アドレスを使用するため、外部から内部への接続にはスタティック変換が必要です。
• [Service]:ルールで指定されるサービスとプロトコルの名前。
• [Action]:このフィルタがトラフィック フローを許可するか拒否するかを指定します。
• [Logging]:ログ レベルと、ログ メッセージ間の間隔(秒単位)が表示されます(ACL のロギングをイネーブルにした場合)。ロギング オプション(ロギングのイネーブル化とディセーブル化を含む)を設定するには、このカラムを右クリックして、[Edit Log Option] を選択します。[Log Options] ウィンドウが表示されます。
• [Time]:このルールで適用される時間範囲の名前を指定します。
• [Description]:ルールを追加したときに入力した説明が表示されます。暗黙のルールには、「Implicit outbound rule」という説明が含まれます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit/Paste ACE
[Add/Edit/Paste ACE] ダイアログボックスでは、新しい拡張アクセス リスト ルールを作成するか、または既存のルールを修正することができます。[Paste] オプションは、ルールを切り取りまたはコピーするときにだけ利用できるようになります。
• [Action]:新しいルールのアクション タイプを指定します。[Permit] と [Deny] のいずれかを選択します。
– [Permit]:一致するすべてのトラフィックを許可します。
– [Deny]:一致するすべてのトラフィックを拒否します。
• [Source/Destination]:送信元または宛先タイプを指定し、そのタイプに応じて、送信元または宛先ホストまたはネットワーク IP アドレスが記載されているその他の該当パラメータを指定します。使用できる値は、any、IP address、Network Object Group、および Interface IP です。その後のフィールドは、[Type] フィールドの値によって異なります。
– [any]:その送信元または宛先ホストまたはネットワークがどのタイプでも可能であることを指定します。[Type] フィールドのこの値については、[Source] または [Destination] 領域にその他のフィールドがありません。
– [IP Address]:送信元または宛先ホストまたはネットワークの IP アドレスを指定します。このフィールドを選択すると、[IP Address]、省略符号ボタン、および [Netmask] フィールドが利用できるようになります。IP アドレスまたはホスト名を [IP Address] フィールドのドロップダウン リストから選択するか、省略符号([...])ボタンをクリックして、IP アドレスまたは名前を参照します。ネットワーク マスクをドロップダウン リストから選択します。
– [Network Object Group]:ネットワーク オブジェクト グループの名前を指定します。ドロップダウン リストから名前を選択するか、省略符号([...])ボタンをクリックして、ネットワーク オブジェクト グループ名を参照します。
– [Interface IP]:ホストまたはネットワークが存在するインターフェイスを指定します。インターフェイスをドロップダウン リストから選択します。デフォルト値は、inside と outside です。参照機能はありません。
• [Protocol and Service]:この ACE フィルタが適用されるプロトコルとサービスを指定します。サービス グループを使用して、ACL と一致させる複数の連続していないポート番号を識別できます。たとえば、ポート番号 5、8、9 で HTTP および FTP をフィルタリングする場合は、これらのすべてのポートを含むサービス グループを定義します。サービス グループを使用しない場合は、ポートごとに個別のルールを作成する必要があります。
TCP、UDP、TCP-UDP、ICMP、およびその他の IP プロトコル用にサービス グループを作成できます。TCP-UDP プロトコルを使用するサービス グループには、TCP または UDP プロトコルを使用するサービス、ポート、および範囲が含まれます。
– [Protocol]:このルールが適用されるプロトコルを選択します。使用できる値は、ip、tcp、udp、icmp などです。[Protocol and Service] 領域のその他のフィールドは、選択するプロトコルによって異なります。次の項目で、各選択内容の結果について説明します。
– [Protocol: TCP and UDP]:そのルールの TCP/UDP プロトコルを選択します。[Source Port] 領域と [Destination Port] 領域で、ACL がパケットを照合するために使用するポートを指定できます。
– [Source Port/Destination Port]:( TCP および UDP プロトコルの場合だけ使用可能 )演算子、ポート番号、ポート範囲、またはサービスのリストにあるウェルノウン サービス名(HTTP や FTP など)を指定します。演算子リストで、ACL がポートを照合する方法を指定します。次のいずれかの演算子を選択します。=(ポート番号と等しい)、not =(ポート番号と等しくない)、>(ポート番号より大きい)、<(ポート番号より小さい)、range(範囲内のポート番号のいずれかと等しい)。
– [Group]:( TCP と UDP プロトコルの場合だけ使用可能 )送信元ポート サービス グループを選択します。[Browse (...)] ボタンをクリックすると、[Browse Source Port] または [Browse Destination Port] ダイアログボックスが開きます。
– [Protocol: ICMP]:定義済みリストから ICMP タイプまたは ICMP グループを選択するか、[Browse (...)] をクリックして、ICMP グループを選択できます。[Browse] ボタンをクリックすると、[Browse ICMP] ダイアログボックスが表示されます。
– [Protocol: IP]:IP プロトコル ボックスで、そのルールの IP プロトコルを指定します。このフィールドを選択した場合、他のフィールドは表示されません。
– [Protocol: Other]:ドロップダウン リストからプロトコルまたはプロトコル グループを選択するか、またはプロトコル グループを参照できます。[Browse (...)] ボタンをクリックすると、[Browse Other] ダイアログボックスが表示されます。
• [Rule Flow Diagram]:( 表示専用 )設定済みのルール フローをグラフィカルに表示します。この表示を明示的に閉じない限り、[ACL Manager] ダイアログボックスに同じ図が表示されます。
• [Options]:ロギング パラメータ、時間範囲、説明など、このルールのオプション機能を設定します。
– [Logging]:ロギングをイネーブルまたはディセーブルにします。または、デフォルト ロギング設定を使用するように指定します。ロギングをイネーブルにすると、[Syslog Level] および [Log Interval] フィールドが使用可能になります。
– [Syslog Level]:ロギング アクティビティのレベルを選択します。デフォルトは Informational です。
– [Log Interval]:許可および拒否のロギング間隔を指定します。デフォルトは 300 秒です。範囲は 1 ~ 6000 秒です。
– [Time Range]:このルールを使用する時間範囲の名前を選択します。デフォルトは (any) です。[Browse (...)] ボタンをクリックして [Browse Time Range] ダイアログボックスを開き、時間範囲を選択または追加します。
– [Description]:( 任意 )このルールの簡単な説明を示します。説明行の長さは最大 100 文字ですが、説明を改行して複数行にすることができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Browse Source/Destination Address
[Browse Source or Destination Address] ダイアログボックスでは、このルールの送信元または宛先として使用するオブジェクトを選択できます。
• [Type]:このルールの送信元または宛先として使用するオブジェクトのタイプを決めます。選択肢は、[IP Address Objects]、[IP Names]、[Network Object Groups]、および [All] です。このフィールドに続くテーブルの内容は、選択肢によって変わります。
• [Source/Destination Object Table]:送信元または宛先オブジェクトの選択元オブジェクトを表示します。[type] フィールドで All を選択すると、各カテゴリのオブジェクトが、それぞれの見出しの下に表示されます。テーブルの見出しは次のとおりです。
– [Name]:各オブジェクトのネットワーク名(IP アドレスの場合もあります)を表示します。
– [IP address]:各オブジェクトの IP アドレスを表示します。
– [Netmask]:各オブジェクトで使用するネットワーク マスクを表示します。
– [Description]:[Add/Edit/Paste Extended Access List Rule] ダイアログボックスに入力された説明を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Browse Source/Destination Port
[Browse Source or Destination Port] ダイアログボックスでは、このルールでのこのプロトコルの送信元または宛先ポートを選択できます。
• [Add]:[Add TCP Service Group] ダイアログボックスを開きます。このダイアログボックスで、新しい TCP サービス グループを設定できます。
• [Filter/Clear]:[Name] リストの項目を検索するために使用できるフィルタ基準を指定し、その基準に一致する項目だけが表示されるようにします。[Filter] フィールドに入力すると、[Filter] ボタンがアクティブになります。[Filter] ボタンをクリックすると、検索が実行されます。検索を実行した後は、[Filter] ボタンがグレー表示になり、[Clear] ボタンがアクティブになります。[Clear] ボタンをクリックすると、[filter] フィールドがクリアされ、[Clear] ボタンがグレー表示になります。
• [Type]:このルールの送信元または宛先として使用するオブジェクトのタイプを決めます。選択肢は、[IP Address Objects]、[IP Names]、[Network Object Groups]、および [All] です。このフィールドに続くテーブルの内容は、選択肢によって変わります。
• [Name]:選択したタイプの定義済みプロトコルとサービス グループを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add TCP Service Group
[Add TCP Service Group] ダイアログボックスでは、新しい TCP サービス グループまたはポートを設定し、このルールでのこのプロトコルに使用する参照可能な送信元または宛先ポート リストに追加できます。[Members not in Group] リストまたは [Members in Group] リストのメンバを選択すると、[Add] と [Remove] ボタンがアクティブになります。
• [Group Name]:新しい TCP サービス グループの名前を指定します。
• [Description]:(任意)このグループの簡単な説明を示します。
• [Members not in Group]:[Members in Group] リストに追加するサービスまたはサービス グループ、あるいはポート番号を選択するためのオプションを表示します。
• [Service/Service Group]:[Members in Group] リストに追加する TCP サービスまたはサービス グループの名前を選択するためのオプションを選択します。
• [Port #]:[Members in Group] リストに追加するポート番号の範囲を指定するためのオプションを選択します。
• [Add]:選択した項目を [Members not in Group] リストから [Members in Group] リストに移動します。
• [Remove]:選択した項目を [Members in Group] リストから [Members not in Group] リストに移動します。
• [Members in Group]:すでにこのサービス グループで設定されているメンバを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Browse ICMP
[Browse ICMP] ダイアログボックスでは、このルールの ICMP グループを選択できます。
• [Add]:[Add ICMP Group] ダイアログボックスを開きます。このダイアログボックスで、新しい TCP サービス グループを設定できます。
• [Filter/Clear]:[Name] リストの項目を検索するために使用できるフィルタ基準を指定し、その基準に一致する項目だけが表示されるようにします。[Filter] フィールドに入力すると、[Filter] ボタンがアクティブになります。[Filter] ボタンをクリックすると、検索が実行されます。検索を実行した後は、[Filter] ボタンがグレー表示になり、[Clear] ボタンがアクティブになります。[Clear] ボタンをクリックすると、[filter] フィールドがクリアされ、[Clear] ボタンがグレー表示になります。
• [Type]:このルールの ICMP グループとして使用するオブジェクトのタイプを決めます。選択肢は、[IP Address Objects]、[IP Names]、[Network Object Groups]、および [All] です。このフィールドに続くテーブルの内容は、選択肢によって変わります。
• [Name]:選択したタイプを対象とする定義済みの ICMP グループを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add ICMP Group
[Add ICMP Group] ダイアログボックスでは、新しい ICMP グループの名前または番号を設定して、このルールでのプロトコルに使用する参照可能な ICMP リストに追加できます。[Members not in Group] リストまたは [Members in Group] リストのメンバを選択すると、[Add] と [Remove] ボタンがアクティブになります。
• [Group Name]:新しい TCP サービス グループの名前を指定します。
• [Description]:(任意)このグループの簡単な説明を示します。
• [Members not in Group]:[Members in Group] リストに追加する ICMP タイプ/ICMP グループまたは ICMP 番号を選択するためのオプションを表示します。
• [ICMP Type/ICMP Group]:[Members in Group] リストに追加する ICMP グループの名前を選択するためのオプションを選択します。
• [ICMP #]:[Members in Group] リストに追加する ICMP メンバを番号で指定するためのオプションを選択します。
• [Add]:選択した項目を [Members not in Group] リストから [Members in Group] リストに移動します。
• [Remove]:選択した項目を [Members in Group] リストから [Members not in Group] リストに移動します。
• [Members in Group]:すでにこのサービス グループで設定されているメンバを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Browse Other
[Browse Other] ダイアログボックスでは、このルールのプロトコル グループを選択できます。
• [Add]:[Add Protocol Group] ダイアログボックスを開きます。このダイアログボックスで、新しいサービス グループを設定できます。
• [Filter/Clear]:[Name] リストの項目を検索するために使用できるフィルタ基準を指定し、その基準に一致する項目だけが表示されるようにします。[Filter] フィールドに入力すると、[Filter] ボタンがアクティブになります。[Filter] ボタンをクリックすると、検索が実行されます。検索を実行した後は、[Filter] ボタンがグレー表示になり、[Clear] ボタンがアクティブになります。[Clear] ボタンをクリックすると、[filter] フィールドがクリアされ、[Clear] ボタンがグレー表示になります。
• [Type]:このルールのプロトコル グループとして使用するオブジェクトのタイプを決めます。選択肢は、[IP Address Objects]、[IP Names]、[Network Object Groups]、および [All] です。このフィールドに続くテーブルの内容は、選択肢によって変わります。
• [Name]:選択したタイプを対象とする定義済みのプロトコル グループを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add Protocol Group
[Add Protocol Group] ダイアログボックスでは、新しいプロトコル グループの名前または番号を設定して、このルールでのプロトコルに使用する参照可能なプロトコル リストに追加できます。[Members not in Group] リストまたは [Members in Group] リストのメンバを選択すると、[Add] と [Remove] ボタンがアクティブになります。
• [Group Name]:新しい TCP サービス グループの名前を指定します。
• [Description]:(任意)このグループの簡単な説明を示します。
• [Members not in Group]:[Members in Group] リストに追加するプロトコル/プロトコル グループまたはプロトコル番号を選択するためのオプションを表示します。
• [Protocol/Protocol Group]:[Members in Group] リストに追加するプロトコルまたはプロトコル グループの名前を選択するためのオプションを選択します。
• [Protocol #]:[Members in Group] リストに追加するプロトコルを番号で指定するためのオプションを選択します。
• [Add]:選択した項目を [Members not in Group] リストから [Members in Group] リストに移動します。
• [Remove]:選択した項目を [Members in Group] リストから [Members not in Group] リストに移動します。
• [Members in Group]:すでにこのサービス グループで設定されているメンバを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Servers]
[Add or Edit Group Policy] ウィンドウの [Servers] 項目により、DNS サーバと WINS サーバ、および DHCP スコープとデフォルト ドメインを指定できます。
[Add/Edit Internal Group Policy] > [IPSec Client]
[Add or Edit Group Policy] > [IPSec] ダイアログボックスでは、追加または編集するグループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。
• [Re-Authentication on IKE Re-key]:[Inherit] チェックボックスがオフである場合に、IKE キーの再生成が行われたときの再認証をイネーブルまたはディセーブルにします。
• [IP Compression]:[Inherit] チェックボックスがオフである場合に、IP 圧縮をイネーブルまたはディセーブルにします。
• [Perfect Forward Secrecy]:[Inherit] チェックボックスがオフである場合に、完全転送秘密(PFS)をイネーブルまたはディセーブルにします。PFS は、特定の IPSec SA のキーが他のシークレット(他のキーなど)から導出されたものでないことを保証します。つまり、PFS では、攻撃者があるキーを突破しても、そこから他のキーを導出することはできないことが保証されます。PFS がイネーブルになっていない場合は、IKE SA の秘密キーが突破されると、その攻撃者は、IPSec のすべての保護データをコピーし、IKE SA のシークレットの知識を使用して、その IKE SA によって設定された IPSec SA のセキュリティを侵すことができると推測されます。PFS を使用すると、攻撃者が IKE を突破しても、直接 IPSec にはアクセスできません。その場合、攻撃者は各 IPSec SA を個別に突破する必要があります。
• [Store Password on Client System]:クライアント システムでのパスワードの保管をイネーブルまたはディセーブルにします。
(注) パスワードをクライアント システムで保管すると、潜在的なセキュリティ リスクが発生します。
• [IPSec over UDP]:IPSec over UDP の使用をイネーブルまたはディセーブルにします。
• [IPSec over UDP Port]:IPSec over UDP で使用する UDP ポートを指定します。
• [Tunnel Group Lock]:[Inherit] チェックボックスまたは値 None が選択されていない場合に、リストから選択したトンネル グループのロックをイネーブルにします。
• [IPSec Backup Servers]:[Server Configuration] フィールドと [Server IP Addresses] フィールドをアクティブにします。これによって、これらの値が継承されない場合に使用する UDP バックアップ サーバを指定できます。
– [Server Configuration]:IPSec バックアップ サーバとして使用するサーバ設定オプションを一覧表示します。使用できるオプションは、[Keep Client Configuration](デフォルト)、[Use Backup Servers Below]、および [Clear Client Configuration] です。
– [Server Addresses(space delimited)]:IPSec バックアップ サーバの IP アドレスを指定します。このフィールドは、[Server Configuration] で選択した値が Use Backup Servers Below である場合にだけ使用できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Client Access Rules
このダイアログボックスのテーブルには、クライアント アクセス ルールを 25 件まで表示できます。[Inherit] チェックボックスをオフにすると、[Add]、[Edit]、および [Delete] ボタンがアクティブになり、次のカラム見出しがテーブルに表示されます。
– [Priority]:このルールの優先順位が表示されます。
– [Action]:このルールがアクセスを許可するか拒否するかを指定します。
– [Client Type]:このルールを適用する VPN クライアントのタイプ(ソフトウェアまたはハードウェア)を指定します。ソフトウェア クライアントの場合は、すべての Windows クライアントかサブセットかを指定します。
– [VPN Client Version]:このルールを適用する VPN クライアントのバージョンを指定します(複数可)。このボックスには、このクライアントに適用されるソフトウェアまたはファームウェア イメージのカンマ区切りリストが含まれます。
Add/Edit Client Access Rule
[Add or Edit Client Access Rule] ダイアログボックスでは、IPSec グループ ポリシーの新しいクライアント アクセス ルールを追加するか、または既存のルールを修正できます。
• [Priority]:このルールの優先順位が表示されます。
• [Action]:このルールがアクセスを許可するか拒否するかを指定します。
• [VPN Client Type]:このルールを適用する VPN クライアントのタイプ(ソフトウェアまたはハードウェア)を指定します。ソフトウェア クライアントの場合は、すべての Windows クライアントかサブセットかを指定します。VPN クライアント タイプの共通値としては、VPN 3002、PIX、Linux、*(すべてのクライアント タイプと一致)、Win9x(Windows 95、Windows 98、および Windows ME)、および WinNT(Windows NT、Windows 2000、および Windows XP)があります。* を選択した場合は、Windows NT など、個々の Windows のタイプを設定しません。
• [VPN Client Version]:このルールを適用する VPN クライアントのバージョンを指定します(複数可)。このボックスには、このクライアントに適用されるソフトウェアまたはファームウェア イメージのカンマ区切りリストが含まれます。次の警告が適用されます。
– このクライアントのソフトウェア バージョンを指定する必要があります。 * を指定して、任意のバージョンと一致させることができます。
– 自分のエントリが、VPN クライアントの場合には URL と、VPN 3002 の場合には TFTP サーバと正確に一致する必要があります。
– ハードウェア クライアント イメージを配布するための TFTP サーバは堅牢である必要があります。
– クライアントがリストにあるソフトウェア バージョンをすでに実行している場合、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していなくても、更新は正しく実行されます。
– VPN クライアント ユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります。
– VPN 3002 ハードウェア クライアント ソフトウェアは、自動的に TFTP 経由でアップデートされます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Client Configuration] タブ
[Add or Edit Group Policy] ウィンドウの [Client Configuration] タブには、全般的なクライアント パラメータ、Cisco クライアント パラメータ、および Microsoft クライアント パラメータを設定するための 3 つのタブがあります。
• [Add/Edit Internal Group Policy] > [Client Configuration] タブ > [General Client Parameters] タブ
• [Add/Edit Internal Group Policy] > [Client Configuration] タブ > [Cisco Client Parameters] タブ
• [Add or Edit Internal Group Policy] > [Advanced] > [IE Browser Proxy]
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Client Configuration] タブ > [General Client Parameters] タブ
このタブでは、バナー テキスト、デフォルト ドメイン、スプリット トンネル パラメータ、アドレス プールなど、Cisco クライアントと Microsoft クライアントに共通のクライアント属性を設定します。
(注) AnyConnect VPN クライアントおよび SSL VPN クライアントは、スプリット DNS をサポートしません。
• [Inherit]:(複数のインスタンス)対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] チェックボックスをオフにすると、パラメータのその他のオプションが使用できるようになります。このタブの属性すべてのデフォルト オプションです。
• [Banner]:デフォルト グループ ポリシーからバナーを継承するか、新しいバナー テキストを入力するかを指定します。詳細については、 View/Config バナーを参照してください。
• [Edit Banner]:[View/Config Banner] ダイアログボックスが表示され、500 文字までのバナー テキストを入力できます。
• [Default Domain]:デフォルト グループ ポリシーからデフォルト ドメインを継承するか、このフィールドで指定する新しいデフォルト ドメインを使用するかを指定します。
• [Split Tunnel DNS Names (space delimited)]:デフォルト グループ ポリシーからスプリット トンネル DNS 名を継承するか、このフィールドで新しい名前または名前のリストを指定するかを指定します。
• [Split Tunnel Policy]:デフォルト グループ ポリシーからスプリット トンネル ポリシーを継承するか、メニューからポリシーを選択するかを指定します。メニュー オプションは、「すべてのネットワークをトンネリングする」、「下のネットワーク リストに含まれるネットワークをトンネリングする」、または「下のネットワーク リストに含まれるネットワークを除外する」です。
• [Split Tunnel Network List]:デフォルト グループ ポリシーからスプリット トンネル ネットワーク リストを継承するか、ドロップダウン リストから選択するかを指定します。
• [Manage]:[ACL Manager] ダイアログボックスを開き、標準および拡張アクセス コントロール リストを管理できます。
• [Address Pools]:このグループ ポリシーを通じて使用できるアドレス プールを設定します。
– [Available Pools]:リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定します。[Inherit] チェックボックスがオフで、[Assigned Pools] リストにアドレス プールがない場合、アドレス プールは設定されず、グループ ポリシーの他のソースから継承されません。
– [Add]:アドレス プールの名前を [Available Pools] リストから [Assigned Pools] リストに移動します。
– [Remove]:アドレス プールの名前を [Assigned Pools] リストから [Available Pools] リストに移動します。
– [Assigned Pools (up to 6 entries)]:割り当て済みプール リストに追加したアドレス プールをリストします。このテーブルのアドレス プール設定は、グループのローカル プール設定を上書きします。ローカル アドレスの割り当てに使用する最大 6 個のローカル アドレス プールのリストを指定できます。プールの指定順序は重要です。セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
View/Config バナー
[View/Config Banner] ダイアログボックスでは、指定したクライアントのバナーとして表示される最大 500 文字のテキストをこのテキスト ボックスに入力できます。
(注) Enter キーを押したときに作成される復帰または改行は 2 文字としてカウントされます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Client Configuration] タブ > [Cisco Client Parameters] タブ
このタブでは、パスワード保管、IPSec over UDP のイネーブルまたはディセーブル化、UDP ポート番号の設定、IPSec バックアップ サーバの設定など、Cisco クライアントに固有のクライアント属性を設定します。
• [Store Password on Client System]:クライアント システムでのパスワードの保管をイネーブルまたはディセーブルにします。
(注) パスワードをクライアント システムで保管すると、潜在的なセキュリティ リスクが発生します。
• [IPSec over UDP]:IPSec over UDP の使用をイネーブルまたはディセーブルにします。
• [IPSec over UDP Port]:IPSec over UDP で使用する UDP ポートを指定します。
• [IPSec Backup Servers]:[Server Configuration] フィールドと [Server IP Addresses] フィールドをアクティブにします。これによって、これらの値が継承されない場合に使用する UDP バックアップ サーバを指定できます。
• [Server Configuration]:IPSec バックアップ サーバとして使用するサーバ設定オプションを一覧表示します。使用できるオプションは、[Keep Client Configuration](デフォルト)、[Use Backup Servers Below]、および [Clear Client Configuration] です。
• [Server Addresses(space delimited)]:IPSec バックアップ サーバの IP アドレスを指定します。このフィールドは、[Server Configuration] で選択した値が Use Backup Servers Below である場合にだけ使用できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add or Edit Internal Group Policy] > [Advanced] > [IE Browser Proxy]
このダイアログボックスでは、Microsoft Internet Explorer の属性を設定します。
• [Proxy Server Policy]:クライアント PC の Microsoft Internet Explorer ブラウザのプロキシ アクション(「メソッド」)を設定します。
– [Do not modify client proxy settings]:このクライアント PC の Internet Explorer の HTTP ブラウザ プロキシ サーバ設定を変更しません。
– [Do not use proxy]:クライアント PC の Internet Explorer の HTTP プロキシ設定をディセーブルにします。
– [Select proxy server settings from the following]:選択内容に応じて、[Auto detect proxy]、[Use proxy server settings given below]、および [Use proxy auto configuration (PAC) given below] のチェックボックスをオンにします。
– [Auto-detect proxy]:クライアント PC で、Internet Explorer の自動プロキシ サーバ検出の使用をイネーブルにします。
– [Use proxy server settings specified below]:[Proxy Server Name or IP Address] フィールドで設定された値を使用するように、Internet Explorer の HTTP プロキシ サーバ設定値を設定します。
– [Use proxy auto configuration (PAC) given below]:[Proxy Auto Configuration (PAC)] フィールドで指定したファイルを、自動コンフィギュレーション属性のソースとして使用するように指定します。
• [Proxy Server Settings]:Microsoft Internet Explorer を使用して、Microsoft クライアントのプロキシ サーバ パラメータを設定します。
– [Server Address and Port]:このクライアント PC で適用される、Microsoft Internet Explorer サーバの IP アドレスまたは名前、およびポートを指定します。
– [Bypass Proxy Server for Local Addresses]:クライアント PC での Microsoft Internet Explorer ブラウザ プロキシ ローカル バイパス設定値を設定します。[Yes] を選択するとローカル バイパスがイネーブルになり、[No] を選択するとローカル バイパスがディセーブルになります。
– [Exception List]:プロキシ サーバ アクセスから除外するサーバの名前と IP アドレスを一覧表示します。プロキシ サーバ経由のアクセスを行わないアドレスのリストを入力します。このリストは、Internet Explorer の [Proxy Stteings] ダイアログボックスにある [Exceptions] ボックスに相当します。
• [PAC URL]:自動コンフィギュレーション ファイルの URL を指定します。このファイルには、ブラウザがプロキシ情報を探せる場所が記述されています。プロキシ自動コンフィギュレーション(PAC)機能を使用する場合、リモート ユーザは、Cisco AnyConnect VPN クライアントを使用する必要があります。
多くのネットワーク環境が、Web ブラウザを特定のネットワーク リソースに接続する HTTP プロキシを定義しています。HTTP トラフィックがネットワーク リソースに到達できるのは、プロキシがブラウザに指定され、クライアントが HTTP トラフィックをプロキシにルーティングする場合だけです。SSLVPN トンネルにより、HTTP プロキシの定義が複雑になります。企業ネットワークにトンネリングするときに必要なプロキシが、ブロードバンド接続経由でインターネットに接続されるときや、サード パーティ ネットワーク上にあるときに必要なものとは異なることがあるためです。
また、大規模ネットワークを構築している企業では、複数のプロキシ サーバを設定し、一時的な状態に基づいてユーザがその中からプロキシ サーバを選択できるようにすることが必要になる場合があります。.pac ファイルを使用すると、管理者は数多くのプロキシからどのプロキシを社内のすべてのクライアント コンピュータに使用するかを決定する単一のスクリプト ファイルを作成できます。
– ロード バランシングのためリストからプロキシをランダムに選択します。
– サーバのメンテナンス スケジュールに対応するために、時刻または曜日別にプロキシを交代で使用します。
– プライマリ プロキシで障害が発生した場合に備えて、使用するバックアップ プロキシ サーバを指定します。
– ローカル サブネットを元に、ローミング ユーザ用に最も近いプロキシを指定します。
テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。[PAC URL] フィールドを使用して、.pac ファイルの取得元 URL を指定します。ブラウザは、.pac ファイルを使用してプロキシ設定を判断します。.pac ファイルの詳細については、次の Microsoft サポート技術情報の記事を参照してください。
http://www.microsoft.com/mind/0599/faq/faq0599.asp
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Standard Access List Rule
[Add/Edit Standard Access List Rule] ダイアログボックスでは、新しいルールを作成するか、または既存のルールを修正できます。
• [Action]:新しいルールのアクション タイプを指定します。[Permit] と [Deny] のいずれかを選択します。
– [Permit]:一致するすべてのトラフィックを許可します。
– [Deny]:一致するすべてのトラフィックを拒否します。
• [Host/Network IP Address]:IP アドレスによってネットワークを識別します。
– [IP address]:ホストまたはネットワークの IP アドレス。
– [Mask]:ホストまたはネットワークのサブネット マスク。
• [Description]:(任意)アクセス ルールの説明を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Client Firewall] タブ
[Add or Edit Group Policy] ウィンドウ、[Client Firewall] タブでは、追加または変更するグループ ポリシーに対して VPN クライアントのファイアウォール設定値を設定できます。
(注) これらのファイアウォール機能を使用できるのは、Microsoft Windows を実行する VPN クライアントだけです。現在、ハードウェア クライアントまたは他(Windows 以外)のソフトウェア クライアントでは、これらの機能は使用できません。
ファイアウォールは、データの個々の着信パケットと発信パケットをそれぞれ検査して、パケットを許可するかドロップするかどうかを決定することにより、コンピュータをインターネットから分離して保護します。ファイアウォールは、グループのリモート ユーザがスプリット トンネリングを設定している場合、セキュリティの向上をもたらします。この場合ファイアウォールにより、インターネットまたはユーザのローカル LAN を経由する不正侵入からユーザの PC が保護され、ひいては企業ネットワークも保護されます。VPN クライアントを使用してセキュリティ アプライアンスに接続しているリモート ユーザは、適切なファイアウォール オプションを選択できます。
最初のシナリオでは、リモート ユーザの PC 上にパーソナル ファイアウォールがインストールされています。VPN クライアントは、ローカル ファイアウォールで定義されているファイアウォール ポリシーを適用し、そのファイアウォールが実行されていることを確認するためにモニタします。ファイアウォールの実行が停止すると、VPN クライアントはセキュリティ アプライアンスへの通信をドロップします。(このファイアウォール適用メカニズムは Are You There(AYT)と呼ばれます。VPN クライアントが定期的に「are you there?」メッセージを送信することによってファイアウォールをモニタするからです。応答が返されない場合、VPN クライアントは、ファイアウォールがダウンしたためセキュリティ アプライアンスへの接続が終了したことを認識します)。ネットワーク管理者がこれらの PC ファイアウォールを独自に設定する場合もありますが、この方法を使用すれば、ユーザは各自の設定をカスタマイズできます。
第 2 のシナリオでは、VPN クライアント PC のパーソナル ファイアウォールに中央集中型ファイアウォール ポリシーを適用することが選択されることがあります。一般的な例としては、スプリット トンネリングを使用してグループのリモート PC へのインターネット トラフィックをブロックすることが挙げられます。この方法は、トンネルが確立されている間、インターネット経由の侵入から PC を保護するので、中央サイトも保護されます。このファイアウォールのシナリオは、プッシュ ポリシーまたは Central Protection Policy(CPP)と呼ばれます。セキュリティ アプライアンスでは、VPN クライアントに適用するトラフィック管理ルールのセットを作成し、これらのルールをフィルタに関連付けて、そのフィルタをファイアウォール ポリシーに指定します。セキュリティ アプライアンスは、このポリシーを VPN クライアントまで配信します。その後、VPN クライアントはポリシーをローカル ファイアウォールに渡し、そこでポリシーが適用されます。
• [Inherit]:グループ ポリシーがデフォルト グループ ポリシーからクライアントのファイアウォール設定を取得するかどうかを決めます。このオプションはデフォルト設定です。設定すると、このタブにある残りの属性がその設定によって上書きされ、名前がグレー表示になります。
• [Client Firewall Attributes]:実装されているファイアウォールのタイプ(実装されている場合)やそのファイアウォールのポリシーなど、クライアント ファイアウォール属性を指定します。
• [Firewall Setting]:ファイアウォールが存在するかどうかを一覧表示します。存在する場合には、そのファイアウォールが必須かオプションかを一覧表示します。No Firewall(デフォルト)を選択すると、このウィンドウにある残りのフィールドは、いずれもアクティブになりません。このグループのユーザをファイアウォールで保護する場合は Firewall Required または Firewall Optional 設定を選択します。
[Firewall Required] を選択した場合は、このグループのユーザ全員が、指定されたファイアウォールを使用する必要があります。セキュリティ アプライアンスは、指定された、サポートされているファイアウォールがインストールおよび実行されていない状態で接続を試行したセッションをドロップします。この場合、セキュリティ アプライアンスは、ファイアウォール設定が一致しないことを VPN クライアントに通知します。
(注) グループでファイアウォールを必須にする場合には、そのグループに Windows VPN クライアント以外のクライアントが存在しないことを確認してください。Windows VPN クライアント以外のクライアント(クライアント モードの ASA 5505 と VPN 3002 ハードウェア クライアントを含む)は接続できません。
このグループに、まだファイアウォールに対応していないリモート ユーザがいる場合は、Firewall Optional を選択します。Firewall Optional 設定を使用すると、グループ内のすべてのユーザが接続できるようになります。ファイアウォールに対応しているユーザは、ファイアウォールを使用できます。ファイアウォールなしで接続するユーザには、警告メッセージが表示されます。この設定は、一部のユーザがファイアウォールをサポートしており、他のユーザがサポートしていないグループを作成するときに役立ちます。たとえば、移行途中のグループでは、一部のメンバはファイアウォール機能を設定し、別のユーザはまだ設定していないことがあります。
• [Firewall Type]:シスコを含む複数のベンダーのファイアウォールを一覧表示します。Custom Firewall を選択すると、Custom Firewall の下のフィールドがアクティブになります。指定したファイアウォールが、使用できるファイアウォール ポリシーと相関している必要があります。設定したファイアウォールにより、サポートされるファイアウォール ポリシー オプションが決まります。
• [Custom Firewall]:カスタム ファイアウォールのベンダー ID、製品 ID、および説明を指定します。
– [Vendor ID]:このグループ ポリシーのカスタム ファイアウォールのベンダーを指定します。
– [Product ID]:このグループ ポリシー用に設定されるカスタム ファイアウォールの製品またはモデル名を指定します。
– [Description]:(任意)カスタム ファイアウォールについて説明します。
• [Firewall Policy]:カスタム ファイアウォール ポリシーのタイプと送信元を指定します。
– [Policy defined by remote firewall (AYT)]:ファイアウォール ポリシーがリモート ファイアウォール(Are You There)によって定義されるように指定します。Policy defined by remote firewall(AYT)は、このグループのリモート ユーザのファイアウォールが、各自の PC に存在することを意味しています。このローカル ファイアウォールが、VPN クライアントにファイアウォール ポリシーを適用します。セキュリティ アプライアンスは、指定されたファイアウォールがインストールされ、実行中である場合にだけ、このグループの VPN クライアントが接続できるようにします。指定されたファイアウォールが実行されていない場合、接続は失敗します。接続が確立すると、VPN クライアントがファイアウォールを 30 秒ごとにポーリングして、そのファイアウォールが実行されていることを確認します。ファイアウォールの実行が停止すると、VPN クライアントはセッションを終了します。
– [Policy pushed (CPP)]:ポリシーがピアからプッシュされるように指定します。このオプションを選択する場合は、[Inbound Traffic Policy] および [Outbound Traffic Policy] リストと [Manage] ボタンがアクティブになります。セキュリティ アプライアンスは、[Policy Pushed (CPP)] ドロップダウン メニューで選択されたフィルタによって定義されるトラフィック管理ルールをこのグループの VPN クライアントに適用します。メニューで使用できる選択肢は、このセキュリティ アプライアンスで定義されているフィルタで、デフォルト フィルタも含まれます。セキュリティ アプライアンスがこれらのルールを VPN クライアントにプッシュすることに注意してください。セキュリティ アプライアンスではなく VPN クライアントから見たルールを作成し、定義する必要があります。たとえば、「in」と「out」はそれぞれ、VPN クライアントに着信するトラフィックと、VPN クライアントから発信されるトラフィックです。VPN クライアントにローカル ファイアウォールもある場合、セキュリティ アプライアンスからプッシュされたポリシーは、ローカル ファイアウォールのポリシーと同時に機能します。いずれかのファイアウォールのルールでブロックされたすべてのパケットがドロップされます。
– [Inbound Traffic Policy]:着信トラフィックに対して使用できるプッシュ ポリシーを一覧表示します。
– [Outbound Traffic Policy]:発信トラフィックに対して使用できるプッシュ ポリシーを一覧表示します。
– [Manage]:[ACL Manager] ウィンドウを表示します。このウィンドウで、アクセス コントロール リスト(ACL)を設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Internal Group Policy] > [Hardware Client] タブ
[Add or Edit Group Policy] > [Hardware Client] ダイアログボックスでは、追加または変更するグループ ポリシーでの VPN 3002 ハードウェア クライアントの設定を行うことができます。[Hardware Client] タブのパラメータは、クライアント モードの ASA 5505 とは無関係です。
• [Inherit]:(複数インスタンス)対応する設定が、その後に続く明示的な指定ではなく、デフォルト グループ ポリシーから値を取得することを示します。これは、このタブの属性すべてのデフォルト設定になります。
• [Require Interactive Client Authentication]:インタラクティブ クライアント認証の要求をイネーブルまたはディセーブルにします。このパラメータはデフォルトではディセーブルになっています。インタラクティブ ハードウェア クライアント認証は、VPN 3002 がトンネルを開始するたびに、手動で入力したユーザ名とパスワードで認証を行うように VPN 3002 に要求することによって、追加のセキュリティを提供します。この機能をイネーブルにすると、VPN 3002 はユーザ名とパスワードを保存しません。ユーザ名とパスワードを入力すると、VPN 3002 は接続するセキュリティ アプライアンスにクレデンシャルを送信します。セキュリティ アプライアンスは、内部または外部認証サーバを利用して認証を行います。ユーザ名とパスワードが有効な場合、トンネルが確立されます。
グループのインタラクティブ ハードウェア クライアント認証をイネーブルにすると、セキュリティ アプライアンスがグループ内の VPN 3002 にポリシーをプッシュします。以前、VPN 3002 でユーザおよびパスワードを設定していた場合、ソフトウェアによってコンフィギュレーション ファイルから削除されます。接続しようとすると、ソフトウェアによって、ユーザ名とパスワードを要求するプロンプトが表示されます。
後で、セキュリティ アプライアンスでグループのインタラクティブ ハードウェア認証をディセーブルにすると、VPN 3002 でローカルにイネーブルにされ、ユーザ名とパスワードを要求するプロンプトが表示され続けます。これによって、保存されたユーザ名およびパスワードがなく、セキュリティ アプライアンス でインタラクティブ ハードウェア クライアント認証がディセーブルにされても、VPN 3002 は接続できます。後で、ユーザ名とパスワードを設定し、機能をディセーブルにすると、プロンプトは表示されなくなります。VPN 3002 は、保存されたユーザ名とパスワードを使用して、セキュリティ アプライアンスに接続します。
• [Require Individual User Authentication]:クライアント モードの ASA 5505 またはグループ内の VPN 3002 ハードウェア クライアントの後ろにいるユーザに対する個々のユーザ認証の要求をイネーブルまたはディセーブルにします。グループ内のハードウェア クライアントにバナーを表示するには、個別ユーザ認証をイネーブルにする必要があります。このパラメータはデフォルトではディセーブルになっています。
個別ユーザ認証は、VPN 3002 のプライベート ネットワークの許可されないユーザが中央サイトにアクセスできないように保護します。個別ユーザ認証をイネーブルにした場合、ハードウェア クライアントを介して接続する各ユーザは、トンネルがすでに存在していても、Web ブラウザを開いて手動で有効なユーザ名とパスワードを入力し、セキュリティ アプライアンスの後ろにあるネットワークにアクセスする必要があります。
(注) ユーザ認証をイネーブルにした場合、コマンドライン インターフェイスを使用してもログインできません。ブラウザを使用する必要があります。
セキュリティ アプライアンスの後ろにあるリモート ネットワークがデフォルト ホームページの場合、または、セキュリティ アプライアンスの後ろにあるリモート ネットワークの Web サイトをブラウザで開く場合、ハードウェア クライアントは、ユーザ ログイン用の適切なページをブラウザで開きます。正常にログインすると、元々入力していたページがブラウザに表示されます。
セキュリティ アプライアンスの後ろにあるネットワークにある Web ベースではないリソース(電子メールなど)にアクセスしようとすると、ブラウザを使用して認証を行うまで、接続に失敗します。
認証を行うには、ブラウザの [Location] フィールドまたは [Address] フィールドに、ハードウェア クライアントのプライベート インターフェイスの IP アドレスを入力する必要があります。ブラウザに、ハードウェア クライアントのログイン画面が表示されます。認証するには、[Connect/Login Status] ボタンをクリックします。
1 人のユーザは、同時に最大 4 セッションのログインを実行できます。個別のユーザは、グループに対して設定された認証サーバの順序に従って認証されます。
• [User Authentication Idle Timeout]:ユーザ タイムアウト期間を設定します。セキュリティ アプライアンスは、この期間にユーザ トラフィックを受信しないと、接続を終了します。タイムアウト期間は、具体的な分数または無期限です。
– [Unlimited]:接続がタイムアウトにならないように指定します。このオプションは、デフォルト グループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。
– [Minutes]:タイムアウト期間を分単位で指定します。1 ~ 35791394 の整数を使用します。デフォルト値は Unlimited です。
show uauth コマンドに対する応答に示されているアイドル タイムアウトは、常に、Cisco Easy VPN リモート デバイスでのトンネルを認証したユーザのアイドル タイムアウト値です。
• [Cisco IP Phone Bypass]:Cisco IP Phone にインタラクティブ個別ユーザ認証プロセスをバイパスさせます。イネーブルにした場合、ハードウェア クライアント認証は有効のままです。デフォルトでは、Cisco IP Phone Bypass はディセーブルになっています。
(注) IP Phone 接続にネットワーク拡張モードを使用するように、クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアントを設定する必要があります。
• [LEAP Bypass]:シスコの無線デバイスからの LEAP パケットに、個々のユーザ認証プロセスをバイパスさせます(イネーブルの場合)。LEAP Bypass を使用して、ハードウェア クライアントの後ろにあるデバイスからの LEAP パケットを、ユーザ認証の前に VPN トンネルを通過させることができます。これにより、シスコ ワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、ユーザ単位で再度認証を実行できます(イネーブルの場合)。LEAP Bypass は、デフォルトでディセーブルになっています。
(注) インタラクティブ ハードウェア クライアント認証をイネーブルにした場合、この機能は正常に動作しません。
IEEE 802.1X は、有線および無線ネットワークにおける認証規格です。この規格は、クライアントと認証サーバの間の強力な相互認証を無線 LAN に提供します。ユーザごと、セッションごとのダイナミック WEP(wireless encryption privacy)キーを提供することで、スタティック WEP キーで発生する管理作業とセキュリティ上の問題を軽減します。
シスコは、Cisco LEAP と呼ばれる 802.1X 無線認証タイプを開発しました。LEAP は、無線クライアントと RADIUS サーバの間の接続における相互認証を実装します。パスワードなど、認証に使用されるクレデンシャルは、ワイヤレス媒体を経由して送信される前に必ず暗号化されます。
(注) Cisco LEAP では、無線クライアントを RADIUS サーバに対して認証します。RADIUS アカウンティング サービスは提供されません。
ハードウェア クライアントの後ろにいる LEAP ユーザには、面倒な問題があります。トンネルで中央サイト デバイスの後ろにある RADIUS サーバにクレデンシャルを送信することができないため、LEAP 認証をネゴシエートできません。トンネル経由でクレデンシャルを送信できない理由は、無線ネットワークで認証されていないためです。この問題を解決するために、LEAP バイパスは、個別のユーザ認証の前に LEAP パケット(LEAP パケットだけ)をトンネルで転送し、RADIUS サーバへの無線接続を認証できるようにします。これによって、ユーザは、個別のユーザ認証に進むことができます。
LEAP バイパスは、次の条件下で、意図されたとおりに機能します。
– インタラクティブ ユニット認証機能(有線デバイス用)が、ディセーブルであること。インタラクティブ ユニット認証がイネーブルの場合、トンネルを使用して LEAP デバイスが接続できるようになる前に、非 LEAP(有線)デバイスがハードウェア クライアントを認証する必要があります。
– 個別のユーザ認証がイネーブルであること(イネーブルでない場合、LEAP バイパスを使用する必要はありません)。
– 無線環境のアクセス ポイントが Cisco Aironet Access Point であること。PC の NIC カードは、他のブランドの製品でもかまいません。
– Cisco Aironet Access Point で、Cisco Discovery Protocol(CDP)を実行していること。
– ASA 5505 または VPN 3002 が、クライアント モードまたはネットワーク拡張モードで動作していること(どちらでもかまいません)。
– LEAP パケットが、ポート 1645 または 1812 経由で RADIUS サーバへのトンネルに転送されること。
(注) 未認証のトラフィックがトンネルを通過するのを許可すると、セキュリティ リスクが発生する可能性があります。
• [Allow Network Extension Mode]:ハードウェア クライアントでのネットワーク拡張モードの使用を制限します。このオプションを選択すると、ハードウェア クライアントがネットワーク拡張モードを使用できるようになります。Call Manager は実際の IP アドレスでだけ通信できるため、ハードウェア クライアントが IP Phone 接続をサポートするには、ネットワーク拡張モードが必要です。
(注) ネットワーク拡張モードをディセーブルにすると(デフォルト設定)、ハードウェア クライアントはこのセキュリティ アプライアンスに PAT モードでだけ接続できるようになります。ここでネットワーク拡張モードを禁止するときは、グループ内のすべてのハードウェア クライアントを PAT モード用に設定してください。ネットワーク拡張モードを使用するようにハードウェア クライアントが設定されていて、接続しようとするセキュリティ アプライアンスがネットワーク拡張モードをディセーブルにしている場合、ハードウェア クライアントは 4 秒ごとに接続を試行し、すべての試行が拒否されます。この場合、ハードウェア クライアントは、接続しようとするセキュリティ アプライアンスに不要な処理負荷をかけることになります。多数のハードウェア クライアントがこのように誤設定されている場合、セキュリティ アプライアンスのサービス提供能力が損なわれます。
Add/Edit Server and URL List
[Add or Edit Server and URL List] ダイアログボックスでは、指定された URL リストの項目を、編集、削除、および並べ替えできます。
• [List Name]:追加するリストの名前を指定するか、変更または削除するリストの名前を選択します。
• [URL Display Name]:ユーザに表示する URL 名を指定します。
• [URL]:表示名に関連付けられている URL を指定します。
• [Add]:[Add Server or URL] ダイアログボックスを開きます。このダイアログボックスで、新しいサーバまたは URL と表示名を設定できます。
• [Edit]:[Edit Server or URL] ダイアログボックスを開きます。このダイアログボックスで、新しいサーバまたは URL と表示名を設定できます。
Add/Edit Server or URL
[Add or Edit Server or URL] ダイアログボックスでは、指定された URL リストの項目を追加、編集、削除、および並べ替えできます。
Configuring SSL VPN Connections
このウィンドウおよびその子ウィンドウを使用して、クライアントベース接続の SSL VPN 接続属性を指定します。これらの属性は、Cisco AnyConnect VPN クライアントとレガシー SSL VPN クライアントに適用されます。
メイン ウィンドウでは、選択するインターフェイスでのクライアント アクセスをイネーブルにし、接続(トンネル グループ)を選択、追加、編集、および削除できます。ログイン時にユーザが特定の接続を選択できるようにするかどうかも指定できます。
[Access Interfaces]:テーブルの一覧にあるインターフェイスごとに SSL VPN クライアント アクセスを指定します。
• [Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interfaces in the table below]:[Allow Access] がオンになっているインターフェイスでのアクセスをイネーブルにします。
• [Interface]:SSL VPN クライアント接続をイネーブルにするインターフェイス。
• [Allow Access]:アクセスを許可する場合にオンにします。
• [Require Client Certificate]:接続を許可する前にクライアントからの有効な証明書が必要な場合にオンにします。
• [Enable DTLS]:Datagram Transport Layer Security(DTLS)をイネーブルにする場合にオンにします。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。
• [Access Port]:SSL VPN クライアント接続のポートを指定します。
• [DTLS Port]:DTLS 接続のポートを指定します。
[Connection Profiles]:接続(トンネル グループ)のプロトコル固有属性を設定します。
• [Add/Edit]:接続プロファイル(トンネル グループ)を追加または編集します。
• [SSL VPN Client Protocol]:SSL VPN クライアントにアクセス権を与えるかどうかを指定します。
• [Group Policy]:この接続プロファイルのデフォルト グループ ポリシーを表示します。
• [Allow user to select connection, identified by alias in the table above, at login page]:[Login] ページでの接続プロファイル(トンネル グループ)エイリアスの表示をイネーブルにする場合はオンにします。
SSL VPN 接続の基本属性の設定
SSL VPN 接続の基本属性を設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [SSL VPN Connections] > [Add or Edit] > [Basic] を選択します。[Add SSL VPN Connection (Basic)] ウィンドウが開きます。
[Add SSL VPN Connection (Basic)] ウィンドウで次の属性を設定します。
• [Aliases]:(任意)この接続の代替名を 1 つ以上入力します。名前は、スペースまたは句読点で区切ることができます。
• [Authentication]:[AAA]、[Certificate]、または [Both] から使用する認証処理の種類を選択します。
• [AAA Server Group]:ドロップダウン リストから AAA サーバ グループを選択します。デフォルト設定は LOCAL です。この場合は、セキュリティ アプライアンスが認証を処理するように指定されます。選択する前に、[Manage] をクリックして、このウィンドウに重ねてダイアログボックスを開き、AAA サーバ グループのセキュリティ アプライアンス コンフィギュレーションを表示したり、変更を加えたりすることができます。
LOCAL 以外を選択すると、[Use LOCAL if Server Group Fails] チェックボックスが選択できるようになります。
• [Use LOCAL if Server Group fails]:Authentication Server Group 属性によって指定されたグループに障害が発生したときに、LOCAL データベースをイネーブルにする場合はオンに、ディセーブルにする場合はオフにします。
• [DHCP Servers]:使用する DHCP サーバの名前または IP アドレスを入力します。
• [Client Address Pools]:クライアント アドレス割り当てで使用する、選択可能な設定済みの IP アドレス プールの名前を入力します。選択する前に、[Select] をクリックして、このウィンドウに重ねてダイアログボックスを開き、アドレス プールを表示したり、変更を加えたりすることができます。
• [Group Policy]:この接続のデフォルト グループ ポリシーとして割り当てる VPN グループ ポリシーを選択します。VPN グループ ポリシーは、ユーザ指向属性値のペアの集合で、デバイスで内部に、または RADIUS サーバで外部に保存できます。デフォルト値は DfltGrpPolicy です。[Manage] をクリックして別のダイアログボックスを重ねて開き、グループ ポリシー コンフィギュレーションに変更を加えることができます。
• [SSL VPN Client Protocol]:SSL VPN をイネーブルにする場合は [Enabled] をオンにし、ディセーブルにする場合はオフにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IPSec または SSL VPN 接続の高度な属性の設定
IPSec または SSL VPN 接続の一般属性の設定
[Add IPsec Remote Access Connection] または [Add SSL VPN Connection] で [Advanced] > [General] を選択して、AAA サーバに渡す前にユーザ名からレルムとグループを除去するかどうかを指定し、パスワード管理パラメータを設定します。
このウィンドウ [Add IPsec Remote Access Connection] または [Add SSL VPN Connection (General)] ウィンドウで、次のように属性を設定します。
• [Strip the realm from the username before passing it on to the AAA server]:レルム(管理ドメイン)をユーザ名から除去してから、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のレルム修飾子を削除するには、[Strip Realm] チェックボックスをオンにします。レルム名は、AAA(認証、許可、アカウンティング)のユーザ名に追加できます。レルムに対して有効なデリミタは @ だけです。形式は、username@realm です。たとえば、JaneDoe@it.cisco.com です。この [Strip Realm] チェックボックスをオンにすると、認証はユーザ名のみに基づいて行われます。オフにした場合は、username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、このチェックボックスをオンにする必要があります。
(注) レルムとグループは、両方をユーザ名に追加できます。その場合、セキュリティ アプライアンスは、グループと AAA 機能用のレルムに対して設定されたパラメータを使用します。このオプションのフォーマットは JaneDoe@it.cisco.com#VPNGroup のように、ユーザ名[@realm][<# または !>グループ] という形式を取ります。このオプションを選択した場合は、グループ デリミタとして # または ! を使用する必要があります。これは、@ がレルム デリミタとしても使用されている場合には、セキュリティ アプライアンスが @ をグループ デリミタと解釈できないためです。
Kerberos レルムは特殊事例です。Kerberos レルムの命名規則として、Kerberos レルムと関連付けられている DNS ドメイン名を大文字で表記します。たとえば、ユーザが it.cisco.com ドメインに存在する場合には、Kerberos レルムを IT.CISCO.COM と表記します。
• [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のグループ名を削除するには、[Strip Group] チェックボックスをオンにします。このオプションは、[Enable Group Lookup] をオンにした場合にだけ有効です。デリミタを使用してグループ名をユーザ名に追加し、Group Lookup をイネーブルにすると、セキュリティ アプライアンスは、デリミタの左側にある文字をすべてユーザ名と解釈し、右側の文字をすべてグループ名と解釈します。有効なグループ デリミタは @、#、および ! で、 @ が Group Lookup のデフォルトです。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup のように、ユーザ名<デリミタ>グループの形式でグループをユーザ名に追加します。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
セキュリティ アプライアンスでは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。LDAP の場合には、「password-expire-in-days」オプションだけがサポートされています。このパラメータは、その通知をサポートする AAA サーバの場合に有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
IPSec リモート アクセスおよび SSL VPN トンネル グループのパスワード管理を設定できます。
(注) MSCHAP をサポートする一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。この機能では MSCHAPv2 が必要になるので、この点についてベンダーにお問い合わせください。
セキュリティ アプライアンスのリリース 7.1 以降では通常、LDAP による認証時、または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。
Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポート されません 。RADIUS サーバ(Cisco ACS など)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、セキュリティ アプライアンスからは RADIUS サーバのみに対して通信しているように見えます。
(注) LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、セキュリティ アプライアンスでは Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。
ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:この属性をオンにすると、次の 2 つのパラメータが利用できるようになります。パスワードが期限切れになるまでの特定の日数を指定し、その日数だけ前の日のログイン時にユーザに通知するか、またはパスワードが期限切れになる当日にユーザに通知するかを選択できます。デフォルトでは、パスワードが期限切れになるより 14 日前にユーザへの通知を開始し、以後、ユーザがパスワードを変更するまで毎日通知するように設定されています。範囲は 1 ~ 180 日です。
どちらの場合でも、変更されずにパスワードが期限切れになると、セキュリティ アプライアンスはパスワードを変更する機会をユーザに提供します。現在のパスワードの期限が切れていなければ、ユーザはそのパスワードで引き続きログインできます。
(注) この処理によってパスワードの期限が切れるまでの日数が変わるのではなく、通知がイネーブルになるだけであるという点に注意してください。このオプションを選択する場合は、日数も指定する必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SSL VPN Client 接続の設定
Cisco AnyConnect VPN クライアントによりリモート ユーザは、セキュリティ アプライアンスへのセキュアな SSL 接続を確立できます。このクライアントにより、ネットワーク管理者がリモート コンピュータにクライアントをインストールして設定しなくても、リモート ユーザは SSL VPN クライアントを活用できます。
事前にインストールされたクライアントがない場合、リモート ユーザは、SSL VPN 接続を受け入れるように設定されたそれぞれのブラウザ インターフェイスに IP アドレスを入力します。http:// リクエストを https:// リクエストにリダイレクトするよう セキュリティ アプライアンス が設定されていない場合、ユーザは https://< address > 形式で URL を入力する必要があります。
URL が入力されると、ブラウザはそのインターフェイスに接続し、ログイン画面を表示します。ユーザがログインと認証に成功し、そのユーザがクライアントを要求しているとセキュリティ アプライアンスで識別されると、セキュリティ アプライアンスは、リモート コンピュータのオペレーティング システムに合うクライアントをダウンロードします。ダウンロード後、クライアントがインストールおよび設定され、セキュアな SSL 接続が確立されます。接続の終了時には、セキュリティ アプライアンス コンフィギュレーションに従って、クライアントはそのまま残るかアンインストールされます。
以前にインストールされているクライアントの場合は、ユーザの認証時に、セキュリティ アプライアンスがクライアントのリビジョンを検査して、必要に応じてクライアントをアップグレードします。
クライアントがセキュリティ アプライアンスと SSL VPN 接続をネゴシエートした場合は、Transport Layer Security(TLS)を使用して接続します。状況に応じて、Datagram Transport Layer Security(DTLS)が使用されます。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。
AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードできます。または、システム管理者が手動でリモート PC にインストールできます。クライアントの手動インストールの詳細については、『 Cisco AnyConnect VPN Client Release Notes 』を参照してください。
セキュリティ アプライアンスは、ユーザが確立している接続のグループ ポリシーまたはユーザ名属性に基づきクライアントをダウンロードします。自動的にクライアントをダウンロードするようにセキュリティ アプライアンスを設定するか、またはクライアントをダウンロードするかをリモート ユーザに確認するように設定できます。後者の場合、ユーザが応答しなかった場合は、タイムアウト時間が経過した後にクライアントをダウンロードするか、ログイン ページを表示するようにセキュリティ アプライアンスを設定できます。
• [Inherit]:(複数インスタンス)対応する設定が、その後に続く明示的な指定ではなく、デフォルト グループ ポリシーから値を取得することを示します。これは、このペインの属性すべてのデフォルト設定になります。
• [Keep Installer on Client System]:リモート コンピュータ上で永続的なクライアントのインストールを可能にします。これをイネーブルにすることにより、クライアントの自動的なアンインストール機能がディセーブルになります。クライアントは、後続の接続のためにリモート コンピュータにインストールされたままなので、リモート ユーザの接続時間が短縮されます。
• [Compression]:圧縮を行うと、転送されるパケットのサイズが減少するため、セキュリティ アプライアンスとクライアント間の通信パフォーマンスが向上します。
• [Datagram Transport Layer Security (DTLS)]:DTLS により、一部の SSL 接続に関連する遅延と帯域幅の問題を回避し、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを改善します。
• [Keepalive Messages]:[Interval] フィールドに 15 秒から 600 秒までの数を入力することにより、接続がアイドルの時間がデバイスによって制限されている場合でも、キープアライブ メッセージの間隔を有効および調整して、プロキシ、ファイアウォール、または NAT デバイスを通した接続を確実に開いたままにすることができます。また、間隔を調整することにより、リモート ユーザが、Microsoft Outlook や Microsoft Internet Explorer などのソケット ベースのアプリケーションを実際に実行していないときでも、クライアントが切断と再接続を行わないことが保証されます。
• [MTU]:SSL 接続の MTU サイズを調整します。256 ~ 1410 バイトの範囲で値を入力します。デフォルトでは、IP/UDP/DTLS のオーバーヘッド分を差し引き、接続で使用するインターフェイスの MTU に基づいて、自動的に MTU サイズが調整されます。
• [Client Profile to Download]:プロファイルは、ホスト コンピュータの名前およびアドレスなど、ユーザ インターフェイスに表示される接続エントリを設定するために AnyConnect クライアントが使用するコンフィギュレーション パラメータのグループです。
• [Optional Client Module to Download]:ダウンロード時間を最小限に抑えるため、AnyConnect クライアントは、サポートする各機能で必要とされるモジュールだけを(セキュリティ アプライアンスから)ダウンロードするように要求します。Start Before Logon(SBL)機能をイネーブルにする sbl など、他の機能をイネーブルにするモジュールの名前を指定する必要があります。
各クライアント機能に対して入力する値のリストについては、Cisco AnyConnect VPN Client のリリース ノートを参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Login Setting
このウィンドウでは、リモート ユーザに AnyConnect クライアントのダウンロードを求めるプロンプトを表示するようにセキュリティ アプライアンスを設定できます。図 32-1 に、表示されるプロンプトを示します。
図 32-1 SSL VPN Client のダウンロードに関してリモート ユーザに表示されるプロンプト
• [Inherit]:デフォルト グループ ポリシーから値を継承する場合はオンにします。
• [Post Login Setting]:ユーザにプロンプトを表示して、デフォルトのポスト ログイン選択を実行するためのタイムアウトを設定する場合に選択します。
• [Default Post Login Selection]:ログイン後に実行するアクションを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
キーの再生成
セキュリティ アプライアンスとクライアントがキーを再生成し、暗号キーと初期ベクトルについて再ネゴシエーションするときには、キーの再生成ネゴシエーションが行われ、接続のセキュリティが強化されます。
• [Renegotiation Interval]:[Unlimited] チェックボックスをオフにして、セッションの開始時からキーの再生成が行われるまでの時間を分単位で、1 ~ 10080(1 週間)の範囲内で指定します。
• [Renegotiation Method]:[None] チェックボックスをオンにすると、キーの再生成がディセーブルになり、[SSL] チェックボックスをオンにして、キーの再生成中の SSL 再ネゴシエーションを指定するか、または [New Tunnel] チェックボックスをオンにして、キーの再生成中に新しいトンネルを確立します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Dead Peer Detection
Dead Peer Detection(DPD)により、ピアが応答してしない、接続で障害が発生している状態を、セキュリティ アプライアンス(ゲートウェイ)またはクライアントがすばやく確実に検出できるようにします。
• [Gateway Side Detection]:DPD がセキュリティ アプライアンス(ゲートウェイ)によって実行されるように指定するには、[Disable] チェックボックスをオフにします。セキュリティ アプライアンスが DPD を実行するときの間隔を 30 ~ 3600 秒の範囲で入力します。
• [Client Side Detection]:DPD がクライアントによって実行されるように指定するには、[Disable] チェックボックスをオフにします。クライアントが DPD を実行するときの間隔を 30 ~ 3600 秒の範囲で入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
カスタマイゼーション
• [Portal Customization]:[AnyConnect Client/SSL VPN] ポータル ページに適用するカスタマイゼーションを選択します。デフォルトは DfltCustomization です。
• [Manage]:[Configure GUI Customization objects] ダイアログボックスが開きます。このダイアログボックスでは、カスタマイゼーション オブジェクトの追加、編集、削除、インポート、またはエクスポートを指定できます。
• [Access Deny Message]:接続が拒否されたときにエンド ユーザに対して表示するメッセージを指定します。デフォルト グループ ポリシーのメッセージを受け入れるには、[Inherit] を選択します。[Inherit] を選択しない場合、次のデフォルト メッセージが表示されます。「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ACL
このウィンドウでは、クライアントレス SSL VPN の ACL を設定できます。
• [View (Unlabeled)]:選択したエントリが展開されている(マイナス記号)か閉じられている(プラス記号)かを示します。
• [Enable]:この ACL がイネーブルかディセーブルかを示します。このチェックボックスを使用して、ACL をイネーブルまたはディセーブルにできます。
• [Action]:この ACL がアクセスを許可するか拒否するかを指定します。
• [Type]:この ACL が URL または TCP アドレス/ポートに適用されるかどうかを指定します。
• [Filter]:適用されるフィルタのタイプを指定します。
• [Syslog Level (Interval)]:この ACL の syslog パラメータを指定します。
• [Time Range]:この ACL の時間範囲(存在する場合)の名前を指定します。時間範囲には、1 つの間隔または複数の定期的な範囲を設定できます。
• [Description]:ACL の説明(存在する場合)を指定します。
• [Add ACL]:[Add Web Type ACL] ダイアログボックスを表示します。このダイアログボックスで、ACL ID を指定できます。
• [Add ACE]:[Add Web Type ACE] ダイアログボックスを表示します。このダイアログボックスで、名前付き ACL のパラメータを指定します。このボタンは、[Web Type ACL] テーブルに 1 つ以上のエントリが存在する場合にだけアクティブになります。
• [Edit ACE/Delete]:選択されている ACL または ACE を編集または削除する場合にクリックします。ACL を削除すると、その ACE もすべて削除されます。警告は表示されず、復元もできません。
• [Move Up/Move Down]:ACL または ACE を選択してこれらのボタンをクリックすると、ACL および ACE の順序が変更されます。セキュリティ アプライアンスは、ACL と ACE を、ACL リストボックスでの優先順位に応じて、一致するものが見つかるまでチェックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
クライアントレス SSL VPN 接続の設定
[Clientless SSL VPN Access Connections] ウィンドウを使用して、クライアントレス SSL VPN アクセスのパラメータを設定します。このウィンドウでは、その子ダイアログボックスでのコンフィギュレーションの選択内容も記録されます。
• [Access Interfaces]:アクセスをイネーブルにするインターフェイスをテーブルから選択できます。このテーブルのフィールドには、インターフェイス名やチェックボックスが表示され、アクセスを許可して認証のための証明書を要求するかどうかを設定できます。
• [Access Port]:接続で使用するアクセス ポートを指定します。デフォルト値は 443 です。
• [Connections]:この接続(トンネル グループ)の接続ポリシーを決定するレコードを示した接続テーブルを表示します。各レコードによって、その接続のデフォルト グループ ポリシーが識別されます。レコードには、プロトコル固有の接続パラメータが含まれています。
– [Add]:選択した接続の [Add Clientless SSL VPN] ダイアログボックスが開きます。
– [Edit]:選択した接続の [Edit Clientless SSL VPN] ダイアログボックスが開きます。
– [Delete]:選択した接続をテーブルから削除します。確認されず、やり直しもできません。
– [Allow user to select connection, identified by alias in the table above, at login page]:ユーザのログイン ページに、ユーザが接続で使用する特定のトンネル グループを選択するためのドロップダウン メニューが表示されるように指定します。
クライアントレス SSL VPN 接続の追加または編集
[Add or Edit SSL VPN] ダイアログボックスは、ダイアログボックス左側の展開メニューからアクセス可能な [Basic] セクションと [Advanced] セクションで構成されてます。
[Add or Edit Clientless SSL VPN Connections] > [Basic]
[Basic] ダイアログボックスでは、この接続の基本的な特性を設定できます。
• [Name]:接続名を指定します。編集機能の場合、このフィールドは読み取り専用です。
• [Aliases]:(任意)この接続の代替名を 1 つ以上指定します。[Clientless SSL VPN Access Connections] ウィンドウでそのオプションを設定している場合に、ログイン ページに別名が表示されます。
• [Authentication]:認証パラメータを指定します。
– [Method]:この接続で、AAA 認証、証明書認証、またはその両方を使用するかどうかを指定します。デフォルトは AAA 認証です。
– [AAA server Group]:この接続の認証処理で使用する AAA サーバ グループを選択します。デフォルトは LOCAL です。
– [Manage]:[Configure AAA Server Group] ダイアログボックスが開きます。
• [Default Group Policy]:この接続で使用するデフォルト グループ ポリシーのパラメータを指定します。
– [Group Policy]:この接続で使用するデフォルト グループ ポリシーを選択します。デフォルトは DfltGrpPolicy です。
– [Clientless SSL VPN Protocol]:この接続でのクライアントレス SSL VPN プロトコルをイネーブルまたはディセーブルにします。
[Add or Edit Clientless SSL VPN Connections] > [Advanced]
[Add or Edit Clientless SSL VPN Connections] > [Advanced] > [General]
このウィンドウを使用して、AAA サーバに渡す前にユーザ名からレルムとグループを除去するかどうかを指定し、パスワード管理オプションを指定します。
• [Strip the realm from the username before passing it on to the AAA server]:レルム(管理ドメイン)をユーザ名から除去してから、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のレルム修飾子を削除するには、[Strip Realm] チェックボックスをオンにします。レルム名は、AAA(認証、許可、アカウンティング)のユーザ名に追加できます。レルムに対して有効なデリミタは @ だけです。形式は、username@realm です。たとえば、JaneDoe@it.cisco.com です。この [Strip Realm] チェックボックスをオンにすると、認証はユーザ名のみに基づいて行われます。オフにした場合は、username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、このチェックボックスをオンにする必要があります。
(注) レルムとグループは、両方をユーザ名に追加できます。その場合、セキュリティ アプライアンスは、グループと AAA 機能用のレルムに対して設定されたパラメータを使用します。このオプションのフォーマットは JaneDoe@it.cisco.com#VPNGroup のように、ユーザ名[@realm][<# または !>グループ] という形式を取ります。このオプションを選択した場合は、グループ デリミタとして # または ! を使用する必要があります。これは、@ がレルム デリミタとしても使用されている場合には、セキュリティ アプライアンスが @ をグループ デリミタと解釈できないためです。
Kerberos レルムは特殊事例です。Kerberos レルムの命名規則として、Kerberos レルムと関連付けられている DNS ドメイン名を大文字で表記します。たとえば、ユーザが it.cisco.com ドメインに存在する場合には、Kerberos レルムを IT.CISCO.COM と表記します。
• [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のグループ名を削除するには、[Strip Group] チェックボックスをオンにします。このオプションは、[Enable Group Lookup] ボックスをオンにした場合にだけ有効です。デリミタを使用してグループ名をユーザ名に追加し、Group Lookup をイネーブルにすると、セキュリティ アプライアンスは、デリミタの左側にある文字をすべてユーザ名と解釈し、右側の文字をすべてグループ名と解釈します。有効なグループ デリミタは @、#、および ! で、 @ が Group Lookup のデフォルトです。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup のように、ユーザ名<デリミタ>グループの形式でグループをユーザ名に追加します。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:このチェックボックスをオンにすると、次の 2 つのパラメータが利用できるようになります。パスワードが期限切れになるまでの特定の日数を指定し、その日数だけ前の日のログイン時にユーザに通知するか、またはパスワードが期限切れになる当日にユーザに通知するかを選択できます。デフォルトでは、パスワードが期限切れになるより 14 日前にユーザへの通知を開始し、以後、ユーザがパスワードを変更するまで毎日通知するように設定されています。範囲は 1 ~ 180 日です。
(注) この処理によってパスワードの期限が切れるまでの日数が変わるのではなく、通知がイネーブルになるだけであるという点に注意してください。このオプションを選択する場合は、日数も指定する必要があります。
どちらの場合でも、変更されずにパスワードが期限切れになると、セキュリティ アプライアンスはパスワードを変更する機会をユーザに提供します。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。
このパラメータは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add or Edit Clientless SSL VPN Connection Profile or IPSec Connection Profiles] > [Advanced] > [Authentication]
[Authentication] ダイアログボックスでは、インターフェイス固有の認証サーバ グループを表示、追加、編集、または削除できます。このダイアログボックスのテーブルの各行には、インターフェイス固有サーバ グループのステータスが表示されます。表示されるのは、インターフェイス名、それに関連付けられたサーバ グループ、および選択したサーバ グループで障害が発生したときにローカル データベースへのフォールバックがイネーブルになっているかどうかです。
• [Add or Edit]:[Assign Authentication Server Group to Interface] ダイアログボックスが開きます。このダイアログボックスでは、インターフェイスとサーバ グループを指定するとともに、選択したサーバ グループで障害が発生した場合に LOCAL データベースへのフォールバックを許可するかどうかを指定できます。
• [Delete]:選択したサーバ グループをテーブルから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Assign Authentication Server Group to Interface
このダイアログボックスでは、インターフェイスを AAA サーバ グループに関連付けられます。結果は、[Authentication] ダイアログボックスのテーブルに表示されます。
• [Interface]:DMZ、Outside、または Inside から選択します。デフォルトは DMZ です。
• [Server Group]:選択したインターフェイスに割り当てるサーバ グループを選択します。デフォルトは LOCAL です。
• [Manage]:[Configure AAA Server Group] ダイアログボックスが開きます。
• [Fallback]:選択したサーバ グループで障害が発生した場合の LOCAL へのフォールバックをイネーブルまたはディセーブルにします。
[Add or Edit SSL VPN Connections] > [Advanced] > [Authorization]
このダイアログボックスでは、デフォルトの許可サーバ グループ、インターフェイス固有の許可サーバ グループ、およびユーザ名マッピング属性を設定できます。属性は、SSL VPN およびクライアントレス SSL VPN 接続の場合と同じです。
• [Default Authorization Server Group]:デフォルトの許可サーバ グループ属性を設定します。
– [Server Group]:この接続で使用する認証サーバ グループを選択します。デフォルトは [None] です。
– [Manage]:[Configure AAA Server Groups] ウィンドウが開きます。
– [Users must exist in the authorization database to connect]:この要件をイネーブルまたはディセーブルにします。
• Interface-specific Authorization Server Groups
– [Table]:設定されている各インターフェイスと、それに関連付けられているサーバ グループの一覧を表示します。
– [Add or Edit]:[Assign Authorization Server Group to Interface] ウィンドウが開きます。
• [User Name Mapping]:ユーザ名マッピング属性を指定します。
– [Use the entire DN as the username]:DN 全体をユーザ名として使用する要件をイネーブルまたはディセーブルにします。
– 個々の DN フィールドをユーザ名として指定します。デフォルトが CN(一般名)のプライマリ DN フィールドと、デフォルトが OU(組織単位)のセカンダリ DN フィールドの両方を選択できます。
Assign Authorization Server Group to Interface
このダイアログボックスでは、インターフェイスを AAA サーバ グループに関連付けられます。結果は、[Authorization] ダイアログボックスのテーブルに表示されます。
• [Interface]:DMZ、Outside、または Inside から選択します。デフォルトは DMZ です。
• [Server Group]:選択したインターフェイスに割り当てるサーバ グループを選択します。デフォルトは LOCAL です。
[Add or Edit SSL VPN Connections] > [Advanced] > [SSL VPN]
このダイアログボックスでは、ログイン時のリモート ユーザの画面に影響する属性を設定できます。
• [Login Page Customization]:適用する事前設定されたカスタマイゼーション属性を指定することにより、ユーザのログイン ページのルックアンドフィールを設定します。デフォルトは DfltCustomization です。
• [Manage]:[Configure GUI Customization Objects] ウィンドウが開きます。
• [Connection Aliases]:既存の接続エイリアスとそのステータスの一覧がテーブルに表示されます。各項目をテーブルに追加したり、テーブルから削除したりできます。ログイン時にユーザが特定の接続(トンネル グループ)を選択できるように接続が設定されている場合は、ユーザのログイン ページに接続エイリアスが表示されます。
– [Add]:[Add Connection Alias] ウィンドウが開きます。このウィンドウでは、接続エイリアスを追加し、イネーブルにすることができます。
– [Delete]:選択した行を接続エイリアス テーブルから削除します。確認されず、やり直しもできません。
• [Group URLs]:既存のグループ URL とそのステータスの一覧がテーブルに表示されます。各項目をテーブルに追加したり、テーブルから削除したりできます。ログイン時にユーザが特定のグループを選択できるように接続が設定されている場合は、ユーザのログイン ページにグループ URL が表示されます。
– [Add]:[Add Group URL] ウィンドウが開きます。このウィンドウでは、グループ URL を追加し、イネーブルにすることができます。
[Add or Edit Clientless SSL VPN Connections] > [Advanced] > [SSL VPN]
このダイアログボックスでは、ログイン時のリモート ユーザの画面に影響する属性を設定できます。
• [Portal Page Customization]:適用する事前設定されたカスタマイゼーション属性を指定することにより、ユーザのログイン ページのルックアンドフィールを設定します。デフォルトは DfltCustomization です。
• [Manage]:[Configure GUI Customization Objects] ウィンドウが開きます。
• [Enable the display of Radius Reject]:認証が拒否されたときのログイン画面へのメッセージ。
• [Enable the display of SecureID messages on the login screen]:RADIUS サーバによってプロキシ処理された SDI メッセージがログイン画面に表示されます。
• [Connection Aliases]:既存の接続エイリアスとそのステータスの一覧がテーブルに表示されます。各項目をテーブルに追加したり、テーブルから削除したりできます。ログイン時にユーザが特定の接続(トンネル グループ)を選択できるように接続が設定されている場合は、ユーザのログイン ページに接続エイリアスが表示されます。
– [Add]:[Add Connection Alias] ウィンドウが開きます。このウィンドウでは、接続エイリアスを追加し、イネーブルにすることができます。
– [Delete]:選択した行を接続エイリアス テーブルから削除します。確認されず、やり直しもできません。
• [Group URLs]:既存のグループ URL とそのステータスの一覧がテーブルに表示されます。各項目をテーブルに追加したり、テーブルから削除したりできます。ログイン時にユーザが特定のグループを選択できるように接続が設定されている場合は、ユーザのログイン ページにグループ URL が表示されます。
– [Add]:[Add Group URL] ウィンドウが開きます。このウィンドウでは、グループ URL を追加し、イネーブルにすることができます。
[Add or Edit Clientless SSL VPN Connections] > [Advanced] > [Name Servers]
このダイアログボックスのテーブルには、設定済みの NetBIOS サーバの属性が表示されます。クライアントレス SSL VPN アクセスでの [Add or Edit Tunnel Group] ウィンドウの NetBIOS ダイアログボックスでは、トンネル グループの NetBIOS 属性を設定できます。クライアントレス SSL VPN では、NetBIOS と Common Internet File System(共通インターネット ファイル システム)プロトコルを使用して、リモート システム上のファイルにアクセスしたり、ファイルを共有したりします。Windows コンピュータにそのコンピュータ名を使用してファイル共有接続をしようとすると、指定されたファイル サーバはネットワーク上のリソースを識別する特定の NetBIOS 名と対応します。
セキュリティ アプライアンス は、NetBIOS 名を IP アドレスにマップするために NetBIOS ネーム サーバにクエリーを送信します。クライアントレス SSL VPN では、リモート システムのファイルをアクセスまたは共有するための NetBIOS が必要です。
NBNS 機能を動作させるには、少なくとも 1 台の NetBIOS サーバ(ホスト)を設定する必要があります。冗長性を確保するため、最大 3 つの NBNS サーバを設定できます。セキュリティ アプライアンスは、リストの最初のサーバを NetBIOS/CIFS 名前解決に使用します。クエリーが失敗すると、次のサーバが使用されます。
• [IP Address]:設定された NetBIOS サーバの IP アドレスを表示します。
• [Master Browser]:サーバが WINS サーバであるか、あるいは CIFS サーバ(つまりマスタ ブラウザ)にもなれるサーバであるかを表します。
• [Timeout (seconds)]:サーバが NBNS クエリーに対する応答を待つ最初の時間を秒単位で表示します。この時間を過ぎると、次のサーバにクエリーを送信します。
• [Retries]:設定されたサーバに対する NBNS クエリーの送信を順番にリトライする回数を表示します。言い換えれば、エラーを返すまでサーバのリストを巡回する回数ということです。最小リトライ数は 0 です。デフォルトの再試行回数は 2 回です。最大リトライ数は 10 です。
• [Add/Edit]:NetBIOS サーバを追加します。[Add or Edit NetBIOS Server] ダイアログボックスが開きます。
• [Delete]:選択した NetBIOS 行をリストから削除します。
• [Move Up/Move Down]:セキュリティ アプライアンスが、このボックスに表示された順序で NetBIOS サーバに NBNS クエリーを送信します。このボックスを使用して、クエリーをリスト内で上下に動かすことにより、優先順位を変更します。
• [DNS Server Group]:この接続の DNS サーバ グループとして使用するサーバを選択します。デフォルトは DefaultDNS です。
Configure DNS Server Groups
このダイアログボックスでは、サーバ グループ名、サーバ、タイムアウトの秒数、許容リトライ回数、およびドメイン名を含む、設定済みの DNS サーバがテーブルに表示されます。このダイアログボックスで、DNS サーバ グループを追加、編集、または削除できます。
• [Add or Edit]:[Add or Edit DNS Server Group] ダイアログボックスが開きます。
[Add or Edit Clientless SSL VPN Connections] > [Advanced] > [Clientless SSL VPN]
このダイアログボックスでは、クライアントレス SSL VPN 接続のポータル関連属性を指定できます。
• [Portal Page Customization]:ユーザ インターフェイスに適用するカスタマイゼーションを選択します。
• [Manage]:[Configure GUI Customization Objects] ダイアログボックスが開きます。
IPSec リモート アクセス接続のプロファイル
[IPSec ConnectionProfiles] ウィンドウのパラメータにより、IPSec リモート アクセス接続を設定できます。このセクションのほとんどのパラメータは、以前トンネル グループのセクションで設定していたパラメータです。IPSec 接続は、IPSec 接続とクライアントレス SSL VPN 接続の接続固有レコードを表します。
IPSec グループは、IPSec 接続パラメータを使用してトンネルを作成します。IPSec 接続は、リモート アクセスまたは Site-to-Site のいずれかです。IPSec グループは、内部サーバまたは外部 RADIUS サーバ上で設定されます。クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアント パラメータ(インタラクティブ ハードウェア クライアント認証と個別ユーザ認証をイネーブルまたはディセーブルにする)の場合は、ユーザとグループに対して設定されたパラメータよりも IPSec 接続パラメータが優先されます。
クライアントレス SSL VPN トンネルグループのパラメータは、この IPSec 接続に適用するクライアントレス SSL VPN グループのパラメータです。クライアントレス SSL VPN アクセスは、[Configuration] > [Clientless SSL VPN] ウィンドウで設定します。
• [Access Interfaces]:IPSec アクセスでイネーブルにするインターフェイスを選択します。デフォルトでは、アクセス方式は何も選択されていません。
• [Connections] :既存の IPSec 接続の設定済みパラメータを表形式で表示します。[Connections] テーブルには、接続ポリシーを決定するレコードが表示されます。1 つのレコードによって、その接続のデフォルト グループ ポリシーが識別されます。レコードにはプロトコル固有の接続パラメータが含まれています。テーブルには、次のカラムがあります。
– [Name]:IPSec 接続の名前または IP アドレスを指定します。
– [ID Certificate]:ID 証明書がある場合は、その名前を指定します。
– [IPSec Protocol]:IPSec プロトコルがイネーブルになっているかどうかを示します。このプロトコルは、[Add or Edit IPSec Remote Access Connection] の [Basic] ウィンドウでイネーブルにします。
– [L2TP/IPSec Protocol]:L2TP/IPSec プロトコルがイネーブルになっているかどうかを示します。このプロトコルは、[Add or Edit IPSec Remote Access Connection] の [Basic] ウィンドウでイネーブルにします。
– [Group Policy]:この IPSec 接続のグループ ポリシーの名前を示します。
• [Add or Edit]:[Add or Edit IPSec Remote Access Connection Profile] ダイアログボックスが開きます。
• [Delete]:選択したサーバ グループをテーブルから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add or Edit an IPSec Remote Access Connection Profile
[Add or Edit IPSec Remote Access Connection Profile] ダイアログボックスのナビゲーション ペインでは、設定する基本エレメントまたは詳細エレメントを選択できます。
Add or Edit IPSec Remote Access Connection Profile Basic
[Add or Edit IPSec Remote Access Connection Profile Basic] ダイアログボックスでは、IPSec 接続の共通属性を設定できます。
• [IKE Peer Authentication]:IKE ピアを設定します。
– [Pre-shared key]:接続の事前共有キーの値を指定します。事前共有キーの最大長は 128 文字です。
– [Identity Certificate]:ID 証明書が設定および登録されている場合は、ID 証明書の名前を選択します。
– [Manage]:[Manage Identity Certificates] ウィンドウが開きます。このウィンドウでは、選択した証明書の詳細を追加、編集、削除、エクスポート、または表示できます。
• [User Authentication]:ユーザ認証で使用するサーバの情報を指定します。詳細な認証情報は [Advanced] セクションで設定できます。
– [Server Group]:ユーザ認証で使用するサーバ グループを選択します。デフォルトは LOCAL です。LOCAL 以外のサーバ グループを選択すると、[Fallback] チェックボックスが選択できるようになります。
– [Manage]:[Configure AAA Server Group] ダイアログボックスが開きます。
– [Fallback]:指定したサーバ グループで障害が発生した場合に、ユーザ認証で LOCAL を使用するかどうかを指定します。
• [Client Address Assignment]:クライアント属性の割り当てに関連した属性を指定します。
– [DHCP Servers]:使用する DHCP サーバの IP アドレスを指定します。最大で 10 台までのサーバをスペースで区切って追加できます。
– [Client Address Pools]:事前定義済みのアドレス プールを 6 個まで指定します。アドレス プールを定義するには、[Configuration] > [Remote Access VPN] > [Network Client Access] > [Address Assignment] > [Address Pools] に移動します。
– [Select]:[Select Address Pools] ダイアログボックスが開きます。
• [Default Group Policy]:デフォルト グループ ポリシーに関連した属性を指定します。
– [Group Policy]:この接続で使用するデフォルト グループ ポリシーを選択します。デフォルトは DfltGrpPolicy です。
– [Manage]:[Configure Group Policies] ダイアログボックスが開きます。このダイアログボックスでは、グループ ポリシーを追加、編集、または削除できます。
– [Client Protocols]:この接続で使用するプロトコルを選択します。デフォルトでは、IPSec と L2TP over IPSec の両方が選択されています。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IPSec または SSL VPN 接続プロファイルへの証明書のマッピング
セキュリティ アプライアンスは、クライアント証明書認証で IPSec または SSL 接続要求を受け取ると、一致するルールが見つかるまで、ルール セットを使用して証明書の属性を評価します。一致するルールが見つかると、そのルールに関連付けられた接続プロファイルを接続に割り当てます。一致するルールが見つからない場合、セキュリティ アプライアンスは DefaultWEBVPNGroup プロファイルを接続に割り当て、これによりユーザは、接続プロファイルがイネーブルになっていれば、ポータル ページに表示されるドロップダウン メニューからその接続プロファイルを選択できます。
証明書基準ベース ルールに対する IPSec または SSL VPN 接続の評価を設定するには、[IPSec Certificate to Connection Maps] > [Rules or Certificate to SSL VPN Connections Profile Maps] パネルを使用します。
このパネルでは、次のようにして、IPSec および SSL VPN 接続プロファイルごとに証明書ベース基準を作成できます。
ステップ 1 上部([Certificate to Connection Profile Maps])に表示されるテーブルを使用して、次のいずれかを実行します。
• 「map」というリスト名を作成し、リストのプライオリティを指定して、そのリストを接続プロファイルに割り当てます。
リストをテーブルに追加すると、ASDM で強調表示されます。
• 証明書ベース ルールを追加する接続プロファイルにリストが割り当てられていることを確認します。
テーブルにリストを追加すると、ASDM で強調表示されます。ASDM のペインの下部のテーブルには、関連付けられたリスト エントリが表示されます。
ステップ 2 下部のテーブル([Mapping Criteria])を使用して、選択したリストのエントリを表示、追加、変更、または削除します。
リストの各エントリは、1 つの証明書ベース ルールで構成されています。セキュリティ アプライアンスが関連付けられたマップ インデックスを選択するには、マッピング基準リストのルールすべてが証明書の内容と一致する必要があります。1 つまたは別の基準が一致する場合に接続を割り当てるには、照合基準ごとにリストを 1 つ作成します。
• Add/Edit Certificate Matching Rule
• Add/Edit Certificate Matching Rule Criterion
Add/Edit Certificate Matching Rule
[Add/Edit Certificate Matching Rule] ダイアログボックスを使用して、接続プロファイルにリストの名前(map)を割り当てます。
– [Existing]:ルールを含めるマップの名前を選択します。
• [Rule Priority]:10 進数を入力して、接続要求を受け取ったときに セキュリティ アプライアンス がマップを評価する順序を指定します。定義されている最初のルールのデフォルト プライオリティは 10 です。セキュリティ アプライアンスは、最低位のプライオリティ番号のマップと最初に比較して各接続を評価します。
• [Mapped to Connection Profile]:以前は「トンネル グループ」と呼んでいた接続プロファイルを選択して、このルールにマッピングします。
次の項の説明にあるマップへのルール基準の割り当てを行わない場合、セキュリティ アプライアンスはそのマップ エントリを無視します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Certificate Matching Rule Criterion
[Add/Edit Certificate Matching Rule Criterion] ダイアログボックスを使用して、選択したグループの証明書照合ルールの基準を設定します。
• [Rule Priority]:(表示専用) 接続要求を受け取ったときにセキュリティ アプライアンスがマップを評価する順番。セキュリティ アプライアンスは、最低位のプライオリティ番号のマップと最初に比較して各接続を評価します。
• [Mapped to Group]:(表示専用) ルールが割り当てられている接続プロファイル。
• [Field]:ドロップダウン リストから、評価する証明書の部分を選択します。
– [Subject]:証明書を使用するユーザまたはシステム。 CA のルート証明書の場合は、Subject と Issuer が同じです。
– [Alternative Subject]:サブジェクト代替名拡張により、追加する ID を証明書のサブジェクトにバインドできます。
– [Issuer]:証明書を発行した CA または他のエンティティ(管轄元)。
• [Component]:([Subject of Issuer] が選択されている場合にだけ適用)ルールで使用する識別名コンポーネントを次の中から選択します。
|
|
|
|---|---|
• [Operator]:ルールで使用する演算子を選択します。
– [Equals]: 識別名フィールドが値に完全一致する必要があります。
– [Contains]: 識別名フィールドに値が含まれている必要があります。
– [Does Not Equal]: 識別名フィールドが値と一致しないようにします。
– [Does Not Contain]: 識別名フィールドに値が含まれないようにします。
[Value]:255 文字までの範囲で演算子のオブジェクトを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Site-to-Site トンネル グループの設定
[Tunnel Groups] ウィンドウには、現在設定されている Site-to-Site トンネル グループの属性が表示されます。このウィンドウでは、トンネル グループ名を解析するときに使用するデリミタ文字を選択し、トンネル グループを追加、変更、または削除できます。
• [Add]:[Add IPSec Site-to-Site Tunnel Group] ダイアログボックスが開きます。
• [Edit]:[Edit IPSec Site-to-Site Tunnel Group] ダイアログボックスが開きます。
• [Delete]:選択したトンネル グループを削除します。確認されず、やり直しもできません。
• [Table of Tunnel Groups]:トンネル グループ名、CA 証明書、IPSec プロトコル ステータス(イネーブルまたはディセーブル)、および各設定済みトンネル グループに適用されるグループ ポリシーの一覧を表示します。
• [Group Delimiter]:トンネルのネゴシエーションが行われるときに受信するユーザ名からトンネル グループ名を解析するときに使用する、デリミタ文字を選択します。
Site-to-Site 接続の追加および編集
[Add or Edit IPSec Site-to-Site Connection] ダイアログボックスでは、IPSec Site-to-Site 接続を作成または変更できます。このダイアログボックスでは、IP アドレスの指定、接続名の指定、インターフェイスの選択、IKE ピアとユーザ認証パラメータの指定、保護されたネットワークの指定、および暗号化アルゴリズムの指定を行うことができます。
• [Peer IP Address]:IP アドレスを指定し、そのアドレスをスタティックにするかどうかを指定できます。
• [Connection Name]:このトンネル グループに割り当てられた名前を指定します。Edit 機能の場合、このフィールドは表示専用です。接続名が、[Peer IP Address] フィールドで指定される IP アドレスと同じになるように指定できます。
• [Interface]:この接続で使用するインターフェイスを選択します。
• [IKE Authentication]:IKE ピアの認証で使用する事前共有キーと ID 証明書を指定します。
– [Pre-shared Key]:トンネル グループの事前共有キーの値を指定します。事前共有キーの最大長は 128 文字です。
– [Identity Certificate]:認証で使用する ID 証明書がある場合は、その名前を指定します。
– [Manage]:[Manage CA Certificates] ウィンドウが開きます。このウィンドウでは、すでに設定されている証明書の表示、新しい証明書の追加、証明書の詳細の表示、および証明書の編集または削除を行うことができます。
• [Protected Networks]:この接続で保護されているローカルおよびリモート ネットワークを選択または指定します。
– [Local Network]:ローカル ネットワークの IP アドレスを指定します。
– [...]:[Browse Local Network] ダイアログボックスが開きます。このダイアログボックスでは、ローカル ネットワークを選択できます。
– [Remote Network]:リモート ネットワークの IP アドレスを指定します。
– [...]:[Browse Remote Network] ダイアログボックスが開きます。このダイアログボックスでは、リモート ネットワークを選択できます。
• [Encryption Algorithm]:IKE および IPSec 提案で使用する暗号化アルゴリズムを指定します。
– [IKE Proposal]:IKE 提案で使用する暗号化アルゴリズムを 1 つ以上指定します。
– [Manage]:[Configure IKE Proposals] ダイアログボックスが開きます。
– [IPSec Proposal]:IPSec 提案で使用する暗号化アルゴリズムを 1 つ以上指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Site-to-Site トンネル グループの追加または編集
[Add or Edit IPSec Site-to-Site Tunnel Group] ダイアログボックスでは、追加する IPSec Site-to-Site 接続の属性を指定できます。また、IKE ピアとユーザ認証パラメータの選択、IKE キープアライブ モニタリングの設定、およびデフォルト グループ ポリシーの選択も行うことができます。
• [Name]:このトンネル グループに割り当てられた名前を指定します。Edit 機能の場合、このフィールドは表示専用です。
• [IKE Authentication]:IKE ピアの認証で使用する事前共有キーおよび ID 証明書パラメータを指定します。
– [Pre-shared Key]:トンネル グループの事前共有キーの値を指定します。事前共有キーの最大長は 128 文字です。
– [Identity Certificate]:認証で使用する ID 証明書がある場合は、その名前を指定します。
– [Manage]:[Manage Identity Certificates] ウィンドウが開きます。このウィンドウでは、すでに設定されている証明書の表示、新しい証明書の追加、証明書の詳細の表示、および証明書の編集または削除を行うことができます。
– [IKE Peer ID Validation]:IKE ピア ID の有効性をチェックするかどうかを指定します。デフォルトは Required です。
• [IKE Keepalive]:IKE キープアライブ モニタリングをイネーブルにし、設定を行います。次の属性の中から 1 つだけ選択できます。
– [Disable Keep Alives]:IKE キープアライブをイネーブルまたはディセーブルにします。
– [Monitor Keep Alives]:IKE キープアライブ モニタリングをイネーブルまたはディセーブルにします。このオプションを選択すると、[Confidence Interval] フィールドと [Retry Interval] フィールドが利用できるようになります。
– [Confidence Interval]:IKE キープアライブの信頼間隔を指定します。これは、ピアがキープアライブ モニタリングを開始するまでにセキュリティ アプライアンスが許可するアイドル時間を表す秒数です。最小 10 秒、最大 300 秒です。リモート アクセス グループのデフォルトは 10 秒です。
– [Retry Interval]:IKE キープアライブのリトライ間の待機秒数を指定します。デフォルトは 2 秒です。
– [Head end will never initiate keepalive monitoring]:中央サイトのセキュリティ アプライアンスがキープアライブ モニタリングを開始しないように指定します。
• [Default Group Policy]:この接続のデフォルトとして使用するグループ ポリシーとクライアント プロトコルを選択します。VPN グループ ポリシーは、ユーザ指向属性値のペアの集合で、デバイスで内部に、または RADIUS サーバで外部に保存できます。IPSec 接続とユーザ アカウントは、グループ ポリシー情報を参照します。
– [Group Policy]:現在設定されているグループ ポリシーを一覧表示します。デフォルト値は DfltGrpPolicy です。
– [Manage]:[Configure Group Policies] ウィンドウが開きます。このウィンドウでは、設定済みのグループ ポリシーを表示し、リストのグループ ポリシーを追加、編集、または削除できます。
– [IPSec Protocol]:このグループ ポリシーで使用する IPSec プロトコルをイネーブルまたはディセーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Crypto Map Entry
このウィンドウでは、接続プロファイルの暗号パラメータを指定します。
• [Priority]:一意のプライオリティ(1 ~ 65,543、1 が最高のプライオリティ)。IKE ネゴシエーションが開始されると、ネゴシエーションを開始するピアがそのポリシーすべてをリモート ピアに送信します。リモート ピアは、一致するポリシーがないかどうか、所有するポリシーをプライオリティ順に検索します。
• [Perfect Forward Secrecy]:特定の IPSec SA のキーが他のシークレット(他のキーなど)から導出されたものでないことを保証します。PFS により、攻撃者がキーを突破できたとしても、そのキーから他のキーを導出できないようにします。PFS をイネーブルにすると、Diffie-Hellman Group リストがアクティブになります。
– [Diffie-Hellman Group]:2 つの IPSec ピアが、相互に共有秘密情報を転送することなく共有秘密情報を導出するために使用する ID。Group 1(768 ビット)、Group 2(1024 ビット)、および Group 5(1536 ビット)の中から選択します。
• [Enable NAT-T]:このポリシーの NAT Traversal(NAT-T)をイネーブルにします。これにより IPSec ピアは、NAT デバイスを介してリモート アクセスと LAN-to-LAN の両方の接続を確立できます。
• [Enable Reverse Route Injection]:リモート トンネルのエンドポイントによって保護されているネットワークとホストのルーティング プロセスに、スタティック ルートが自動的に挿入されるようにすることができます。
• [Security Association Lifetime]:セキュリティ アソシエーション(SA)の期間を設定します。このパラメータにより、IPsec SA キーのライフタイムの測定単位を指定します。ライフタイムは、IPsec SA が期限切れになるまでの存続期間を示し、新しいキーと再ネゴシエートする必要があります。
– [Time]:時(hh)、分(mm)、および秒(ss)単位で SA のライフタイムを指定します。
– [Traffic Volume]:キロバイト単位のトラフィックで SA ライフタイムを定義します。IPsec SA が期限切れになるまでのペイロード データのキロバイト数を入力します。最小値は 100 KB、デフォルト値は 10000 KB、最大値は 2147483647 KB です。
Crypto Map Entry for Static Peer Address
このウィンドウでは、ピアの IP アドレスがスタティック アドレスである場合に、接続プロファイルの暗号パラメータを指定します。
• [Priority]:一意のプライオリティ(1 ~ 65,543、1 が最高のプライオリティ)。IKE ネゴシエーションが開始されると、ネゴシエーションを開始するピアがそのポリシーすべてをリモート ピアに送信します。リモート ピアは、一致するポリシーがないかどうか、所有するポリシーをプライオリティ順に検索します。
• [Perfect Forward Secrecy]:特定の IPSec SA のキーが他のシークレット(他のキーなど)から導出されたものでないことを保証します。PFS により、攻撃者がキーを突破できたとしても、そのキーから他のキーを導出できないようにします。PFS をイネーブルにすると、Diffie-Hellman Group リストがアクティブになります。
– [Diffie-Hellman Group]:2 つの IPSec ピアが、相互に共有秘密情報を転送することなく共有秘密情報を導出するために使用する ID。Group 1(768 ビット)、Group 2(1024 ビット)、および Group 5(1536 ビット)の中から選択します。
• [Enable NAT-T]:このポリシーの NAT Traversal(NAT-T)をイネーブルにします。これにより IPSec ピアは、NAT デバイスを介してリモート アクセスと LAN-to-LAN の両方の接続を確立できます。
• [Enable Reverse Route Injection]:リモート トンネルのエンドポイントによって保護されているネットワークとホストのルーティング プロセスに、スタティック ルートが自動的に挿入されるようにすることができます。
• [Security Association Lifetime]:セキュリティ アソシエーション(SA)の期間を設定します。このパラメータにより、IPsec SA キーのライフタイムの測定単位を指定します。ライフタイムは、IPsec SA が期限切れになるまでの存続期間を示し、新しいキーと再ネゴシエートする必要があります。
– [Time]:時(hh)、分(mm)、および秒(ss)単位で SA のライフタイムを指定します。
– [Traffic Volume]:キロバイト単位のトラフィックで SA ライフタイムを定義します。IPsec SA が期限切れになるまでのペイロード データのキロバイト数を入力します。最小値は 100 KB、デフォルト値は 10000 KB、最大値は 2147483647 KB です。
• [Static Crypto Map Entry Parameters]:ピア IP アドレスが [Static] に指定されている場合に、次の追加パラメータを指定します。
– [Connection Type]:許可されるネゴシエーションを、bidirectional、answer-only、または originate-only として指定します。
– [Send ID Cert. Chain] :証明書チェーン全体の送信をイネーブルにします。
– [IKE Negotiation Mode]:SA、Main、または Aggressive の中から、セットアップでキー情報を交換するときのモードを設定します。ネゴシエーションの発信側が使用するモードも設定されます。応答側は自動ネゴシエーションします。Aggressive モードは高速で、使用するパケットと交換回数を少なくすることができますが、通信パーティの ID は保護されません。Main モードは低速で、パケットと交換回数が多くなりますが、通信パーティの ID を保護します。このモードはより安全性が高く、デフォルトで選択されています。Aggressive を選択すると、Diffie-Hellman Group リストがアクティブになります。
– [Diffie-Hellman Group]:2 つの IPSec ピアが、相互に共有秘密情報を転送することなく共有秘密情報を導出するために使用する ID。Group 1(768 ビット)、Group 2(1024 ビット)、および Group 5(1536 ビット)の中から選択します。
CA 証明書の管理
[IKE Peer Authentication] の下にある [Manage] をクリックすると、[Manage CA Certificates] ウィンドウが開きます。このウィンドウを使用して、IKE ピア認証で使用可能な CA 証明書のリストのエントリを表示、追加、編集、および削除します。
[Manage CA Certificates] ウィンドウには、証明書の発行先、証明書の発行元、証明書の有効期限、および利用データなど、現在設定されている証明書の情報が一覧表示されます。
• [Add or Edit]:[Install Certificate] ウィンドウまたは [Edit Certificate] ウィンドウが開きます。これらのウィンドウでは、証明書の情報を指定し、証明書をインストールできます
• [Show Details]:テーブルで選択する証明書の詳細情報を表示します。
• [Delete]:選択した証明書をテーブルから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Install Certificate
このウィンドウを使用して、新しい CA 証明書をインストールします。次のいずれかの方法で証明書を取得できます。
• 証明書ファイルを参照してファイルからインストールします。
• 事前取得済みの PEM 形式の証明書テキストをこのウィンドウのボックスに貼り付けます。
• [Use SCEP]:Simple Certificate Enrollment Protocol(SCEP)の使用を指定します。証明書サービスのアドオンは、Windows Server 2003 ファミリで実行されます。SCEP プロトコルのサポートを提供し、これによりシスコのルータおよび他の中間ネットワーク デバイスは、証明書を取得できます。
– [SCEP URL: http://]:SCEP 情報のダウンロード元の URL を指定します。
– [Retry Period]:SCEP クエリー間の必須経過時間を分数で指定します。
– [Retry Count]:リトライの最大許容回数を指定します。
• [More Options]:[Configure Options for CA Certificate] ウィンドウが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Configure Options for CA Certificate
このウィンドウを使用して、この IPSec リモート アクセス接続の CA 証明書の取得に関する詳細を指定します。このウィンドウに含まれるタブは、[Revocation Check]、[CRL Retrieval Policy]、[CRL Retrieval Method]、[OCSP Rules]、および [Advanced] です。
[Revocation Check] タブ
このタブを使用して、CA 証明書の失効チェックについての情報を指定します。
• オプション ボタンにより、失効状態について証明書をチェックするかどうかを指定します。オプション ボタンの値は次のとおりです。
– Do not check certificates for revocation
– Check Certificates for revocation
• [Revocation Methods area]:失効チェックで使用する方法(CRL または OCSP)、およびそれらの方法を使用する順序を指定できます。いずれか一方または両方の方法を選択できます。
[Add/Edit Remote Access Connections] > [Advanced] > [General]
このウィンドウを使用して、AAA サーバに渡す前にユーザ名からレルムとグループを除去するかどうかを指定し、パスワード管理パラメータを指定します。
• [Strip the realm from the username before passing it on to the AAA server]:レルム(管理ドメイン)をユーザ名から除去してから、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のレルム修飾子を削除するには、[Strip Realm] チェックボックスをオンにします。レルム名は、AAA(認証、許可、アカウンティング)のユーザ名に追加できます。レルムに対して有効なデリミタは @ だけです。形式は、username@realm です。たとえば、JaneDoe@it.cisco.com です。この [Strip Realm] チェックボックスをオンにすると、認証はユーザ名のみに基づいて行われます。オフにした場合は、username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、このチェックボックスをオンにする必要があります。
(注) レルムとグループは、両方をユーザ名に追加できます。その場合、セキュリティ アプライアンスは、グループと AAA 機能用のレルムに対して設定されたパラメータを使用します。このオプションのフォーマットは JaneDoe@it.cisco.com#VPNGroup のように、ユーザ名[@realm][<# または !>グループ] という形式を取ります。このオプションを選択した場合は、グループ デリミタとして # または ! を使用する必要があります。これは、@ がレルム デリミタとしても使用されている場合には、セキュリティ アプライアンスが @ をグループ デリミタと解釈できないためです。
Kerberos レルムは特殊事例です。Kerberos レルムの命名規則として、Kerberos レルムと関連付けられている DNS ドメイン名を大文字で表記します。たとえば、ユーザが it.cisco.com ドメインに存在する場合には、Kerberos レルムを IT.CISCO.COM と表記します。
• [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のグループ名を削除するには、[Strip Group] チェックボックスをオンにします。このオプションは、[Enable Group Lookup] ボックスをオンにした場合にだけ有効です。デリミタを使用してグループ名をユーザ名に追加し、Group Lookup をイネーブルにすると、セキュリティ アプライアンスは、デリミタの左側にある文字をすべてユーザ名と解釈し、右側の文字をすべてグループ名と解釈します。有効なグループ デリミタは @、#、および ! で、 @ が Group Lookup のデフォルトです。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup のように、ユーザ名<デリミタ>グループの形式でグループをユーザ名に追加します。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:このチェックボックスをオンにすると、次の 2 つのパラメータが利用できるようになります。パスワードが期限切れになるまでの特定の日数を指定し、その日数だけ前の日のログイン時にユーザに通知するか、またはパスワードが期限切れになる当日にユーザに通知するかを選択できます。デフォルトでは、パスワードが期限切れになるより 14 日前にユーザへの通知を開始し、以後、ユーザがパスワードを変更するまで毎日通知するように設定されています。範囲は 1 ~ 180 日です。
(注) この処理によってパスワードの期限が切れるまでの日数が変わるのではなく、通知がイネーブルになるだけであるという点に注意してください。このオプションを選択する場合は、日数も指定する必要があります。
どちらの場合でも、変更されずにパスワードが期限切れになると、セキュリティ アプライアンスはパスワードを変更する機会をユーザに提供します。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。
このパラメータは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
この機能では、MS-CHAPv2 を使用する必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
クライアント アドレス指定の設定
クライアント IP アドレスの割り当てポリシーを指定し、アドレス プールをすべての IPsec 接続および SSL VPN 接続に割り当てるには、[Config] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] を選択します。[Add IPSec Remote Access Connection] または [Add SSL VPN Access Connection] が開きます。これらのウィンドウを使用して、アドレス プールを追加し、それらをインターフェイスに割り当て、それらを表示、編集、または削除します。ウィンドウ下部のテーブルには、設定されているインターフェイス固有のアドレス プールの一覧が表示されます。
このウィンドウおよびその従属ウィンドウのフィールドについては、以降の各項を参照してください。アドレス プールのコンフィギュレーションおよびそのインターフェイスへの割り当て状態を表示または変更するには、次の手順を実行します。
• アドレス プールのコンフィギュレーションを表示または変更するには、[Add IPSec Remote Access Connection] または [Add SSL VPN Access Connection] ウィンドウで、[Add] または [Edit] をクリックします。[Assign Address Pools to Interface] ウィンドウが開きます。このウィンドウでは、セキュリティ アプライアンスで設定されたインターフェイスに IP アドレス プールを割り当てることができます。[Select] をクリックします。[Select Address Pools] ウィンドウが開きます。このウィンドウを使用して、アドレス プールのコンフィギュレーションを表示します。アドレス プールのコンフィギュレーションを変更するには、次の手順を実行します。
– セキュリティ アプライアンス にアドレス プールを追加するには、[Add] を選択します。[Add IP Pool] ダイアログボックスが開きます。
– セキュリティ アプライアンス のアドレス プールのコンフィギュレーションを変更するには、[Edit] を選択します。プール内のアドレスが使用されていない場合には、[Edit IP Pool] ダイアログボックスが開きます。
(注) 使用中の場合はアドレス プールを変更できません。[Edit] をクリックしたときにアドレス プールが使用中であった場合、ASDM は、エラー メッセージとともに、プール内のそのアドレスを使用している接続名およびユーザ名の一覧を表示します。
– セキュリティ アプライアンス のアドレス プールを削除するには、テーブルでそのエントリを選択し、[Delete] をクリックします。
(注) 使用中の場合はアドレス プールを削除できません。[Delete] をクリックしたときにアドレス プールが使用中であった場合、ASDM は、エラー メッセージとともに、プール内のそのアドレスを使用している接続名の一覧を表示します。
• アドレス プールをインターフェイスに割り当てるには、[Add IPSec Remote Access Connection] または [Add SSL VPN Access Connection] ウィンドウで [Add] をクリックします。[Assign Address Pools to Interface] ウィンドウが開きます。アドレス プールを割り当てるインターフェイスを選択します。[Address Pools] フィールドの横にある [Select] をクリックします。[Select Address Pools] ウィンドウが開きます。インターフェイスに割り当てる個々の未割り当てプールをダブルクリックするか、または個々の未割り当てプールを選択して [Assign] をクリックします。隣のフィールドにプール割り当ての一覧が表示されます。[OK] をクリックして、これらのアドレス プールの名前を [Address Pools] フィールドに取り込み、もう一度 [OK] をクリックして割り当てのコンフィギュレーションを完了します。
• インターフェイスに割り当てられているアドレス プールを変更するには、そのインターフェイスをダブルクリックするか、[Add IPSec Remote Access Connection] または [Add SSL VPN Access Connection] ウィンドウでインターフェイスを選択して、[Edit] をクリックします。[Assign Address Pools to Interface] ウィンドウが開きます。アドレス プールを削除するには、各プール名をダブルクリックし、キーボードの [Delete] キーを押します。インターフェイスにその他のフィールドを割り当てる場合は、[Address Pools] フィールドの横にある [Select] をクリックします。[Select Address Pools] ウィンドウが開きます。[Assign] フィールドには、インターフェイスに割り当てられているアドレス プール名が表示されます。インターフェイスに追加する個々の未割り当てプールをダブルクリックします。[Assign] フィールドのプール割り当て一覧が更新されます。[OK] をクリックして、これらのアドレス プールの名前で [Address Pools] フィールドを確認し、もう一度 [OK] をクリックして割り当てのコンフィギュレーションを完了します。
• [Add IPSec Remote Access Connection] または [Add SSL VPN Access Connection] ウィンドウからエントリを削除するには、エントリを選択して [Delete] をクリックします。
[Add IPSec Remote Access Connection] ウィンドウ、[Add SSL VPN Access Connection] ウィンドウ、およびそれらの従属ウィンドウは同一です。次の各項では、これらのウィンドウのフィールドについて説明し、値の割り当て方法を示します。
• [Add IPSec Remote Access Connection] および [Add SSL VPN Access Connection]
[Add IPSec Remote Access Connection] および [Add SSL VPN Access Connection]
[Add IPSec Remote Access Connection] および [Add SSL VPN Access Connection] ウィンドウにアクセスするには、[Config] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] を選択します。
次の説明に従って、このウィンドウのフィールドに値を割り当てます。
• [Global Client Address Assignment Policy]:すべての IPSec 接続と SSL VPN Client 接続(AnyConnect クライアント接続を含む)に影響するポリシーを設定します。セキュリティ アプライアンスは、アドレスを見つけるまで、選択されたソースを順番に使用します。
– [Use authentication server]:クライアント アドレスのソースとして、セキュリティ アプライアンスが認証サーバの使用を試みるように指定します。
– [Use DHCP]:クライアント アドレスのソースとして、セキュリティ アプライアンスが DHCP の使用を試みるように指定します。
– [Use address pool]:クライアント アドレスのソースとして、セキュリティ アプライアンスがアドレス プールの使用を試みるように指定します。
• [Interface-Specific Address Pools]:設定されているインターフェイス固有のアドレス プールの一覧を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Assign Address Pools to Interface
[Assign Address Pools to Interface] ウィンドウを使用して、インターフェイスを選択し、そのインターフェイスに 1 つ以上のアドレス プールを割り当てます。このウィンドウにアクセスするには、[Config] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] を選択します。
次の説明に従って、このウィンドウのフィールドに値を割り当てます。
• [Interface]:アドレス プールの割り当て先インターフェイスを選択します。デフォルトは DMZ です。
• [Address Pools]:指定したインターフェイスに割り当てるアドレス プールを指定します。
• [Select]:[Select Address Pools] ダイアログボックスが開きます。このダイアログボックスでは、このインターフェイスに割り当てるアドレス プールを 1 つ以上選択できます。選択内容は、[Assign Address Pools to Interface] ダイアログボックスの [Address Pools] フィールドに表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select Address Pools
[Select Address Pools] ウィンドウには、クライアント アドレスの割り当てで選択可能なプール名、開始アドレスと終了アドレス、およびアドレス プールのサブネットマスクが表示され、リストのエントリを追加、編集、削除できます。このウィンドウにアクセスするには、[Config] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] > [Select] を選択します。
次の説明に従って、このウィンドウのフィールドに値を割り当てます。
• [Add]:[Add IP Pool] ウィンドウが開きます。このウィンドウでは、新しい IP アドレス プールを設定できます。
• [Edit]:[Edit IP Pool] ウィンドウが開きます。このウィンドウでは、選択した IP アドレス プールを変更できます。
• [Delete]:選択したアドレス プールを削除します。確認されず、やり直しもできません。
• [Assign]:インターフェイスに割り当てられているアドレス プール名を表示します。インターフェイスに追加する個々の未割り当てプールをダブルクリックします。[Assign] フィールドのプール割り当て一覧が更新されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add or Edit IP Pool
[Add or Edit IP Pool] ウィンドウでは、クライアント アドレス割り当てで使用する IP アドレスの範囲を指定または変更できます。このウィンドウにアクセスするには、[Config] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] > [Select] > [Add or Edit] を選択します。
次の説明に従って、このウィンドウのフィールドに値を割り当てます。
• [Name]:IP アドレス プールに割り当てられている名前を指定します。
• [Starting IP Address]:プールの最初の IP アドレスを指定します。
• [Ending IP Address]:プールの最後の IP アドレスを指定します。
• [Subnet Mask]:プール内のアドレスに適用するサブネット マスクを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [General] タブ > [Authentication]
このダイアログボックスは、IPSec on Remote Access および Site-to-Site トンネル グループの場合に表示されます。このダイアログボックスでの設定は、セキュリティ アプライアンス全体のトンネル グループにグローバルに適用されます。インターフェイスごとに認証サーバ グループを設定するには、[Advanced] をクリックします。このダイアログボックスでは、次の属性を設定できます。
• [Authentication Server Group]:LOCAL グループ(デフォルト)などの利用可能な認証サーバ グループを一覧表示します。None も選択可能です。None または Local 以外を選択すると、[Use LOCAL if Server Group Fails] チェックボックスが利用できるようになります。インターフェイスごとに認証サーバ グループを設定するには、[Advanced] をクリックします。
• [Use LOCAL if Server Group fails]:Authentication Server Group 属性によって指定されたグループに障害が発生した場合の LOCAL データベースへのフォールバックをイネーブルまたはディセーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SSL VPN Connection > General > Authorization
このダイアログボックスでの設定は、セキュリティ アプライアンス全体の接続(トンネル グループ)にグローバルに適用されます。このダイアログボックスでは、次の属性を設定できます。
• [Authorization Server Group]:LOCAL グループを含む、利用可能な許可サーバ グループを一覧表示します。None(デフォルト)も選択可能です。None 以外を選択すると、[Users must exist in authorization database to connect] チェックボックスが利用できるようになります。
• [Users must exist in authorization database to connect]:セキュリティ アプライアンスに対し、許可データベース内のユーザだけに接続を許可するように命令します。デフォルトでは、この機能はディセーブルになっています。許可サーバでこの機能を使用するように設定しておく必要があります。
• [Interface-Specific Authorization Server Groups]:(任意)インターフェイスごとに許可サーバ グループを設定できます。インターフェイスに固有の許可サーバ グループは、グローバル サーバ グループよりも優先されます。インターフェイスに固有の許可を明示的に設定していない場合には、グループ レベルでだけ許可が実行されます。
– [Interface]:許可を実行するインターフェイスを選択します。標準のインターフェイスは、outside(デフォルト)、inside、および DMZ です。他のインターフェイスを設定した場合には、そのインターフェイスもリストに表示されます。
– [Server Group]:LOCAL グループを含む、先に設定した利用可能な許可サーバ グループを選択します。サーバ グループは、複数のインターフェイスと関連付けることができます。
– [Add]:[Add] をクリックすると、インターフェイスまたはサーバ グループ設定がテーブルに追加され、利用可能なリストからインターフェイスが削除されます。
– [Remove]:[Remove] をクリックすると、インターフェイスまたはサーバ グループがテーブルから削除され、利用可能なリストにインターフェイスが戻ります。
• [Authorization Settings]:セキュリティ アプライアンスが許可のために認識するユーザ名の値を設定できるようにします。この名前は、デジタル証明書を使用して認証し、LDAP または RADIUS 許可を必要とするユーザに適用されます。
– [Use entire DN as username]:認定者名(DN)全体をユーザ名として使用することを許可します。
– [Specify individual DN fields as the username]:個々の DN フィールドをユーザ名として使用することをイネーブルにします。
– [Primary DN Field]:選択内容の DN フィールド識別子すべてを一覧表示します。
|
|
|
|---|---|
– [Secondary DN Field]:選択内容の DN フィールド識別子のすべて(上記の表を参照)を一覧表示し、選択していない場合には None オプションを追加します。
[Add/Edit SSL VPN Connections] > [Advanced] > [Accounting]
このダイアログボックスでの設定は、セキュリティ アプライアンス全体の接続(トンネル グループ)にグローバルに適用されます。このダイアログボックスでは、次の属性を設定できます。
• [Accounting Server Group]:利用可能なアカウンティング サーバ グループを一覧表示します。None(デフォルト)も選択可能です。LOCAL はオプションではありません。
• [Manage]:[Configure AAA Server Group] ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [General] > [Client Address Assignment]
アドレス割り当てに DHCP またはアドレス プールを使用するかどうかを指定するには、[Configuration] > [VPN] > [I P Address Management] > [Assignment] に移動します。[Add or Edit Tunnel Group] ウィンドウ > [General] > [Client Address Assignment] ダイアログボックスでは、次の Client Address Assignment 属性を設定できます。
• [DHCP Servers]:使用する DHCP サーバを指定します。一度に最大 10 台のサーバを追加できます。
– [IP Address]:DHCP サーバの IP アドレスを指定します。
– [Add]:指定された DHCP サーバを、クライアント アドレス割り当て用のリストに追加します。
– [Delete]:指定された DHCP サーバを、クライアント アドレス割り当て用のリストから削除します。確認されず、やり直しもできません。
• [Address Pools]:次のパラメータを使用して、最大 6 つのアドレス プールを指定できます。
– [Available Pools]:選択可能な設定済みのアドレス プールを一覧表示します。
– [Add]:選択したアドレス プールをクライアント アドレス割り当て用のリストに追加します。
– [Remove]:選択したアドレス プールを [Assigned Pools] リストから [Available Pools] リストに移動します。
– [Assigned Pools]:アドレス割り当て用に選択したアドレス プールを一覧表示します。
(注) インターフェイスに固有のアドレス プールを設定するには、[Advanced] をクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [General] > [Advanced]
[Add or Edit Tunnel Group] ウィンドウの [General] の [Advanced] ダイアログボックスでは、インターフェイスに固有の次の属性を設定できます。
• [Interface-Specific Authentication Server Groups]:インターフェイスとサーバ グループを認証用に設定できます。
– [Interface]:選択可能なインターフェイスを一覧表示します。
– [Server Group]:このインターフェイスで利用可能な認証サーバ グループを一覧表示します。
– [Use LOCAL if server group fails]:サーバ グループに障害が発生した場合の LOCAL データベースへのフォールバックをイネーブルまたはディセーブルにします。
– [Add]:選択した利用可能なインターフェイスと認証サーバ グループ間のアソシエーションを、割り当てられたリストに追加します。
– [Remove]:選択したインターフェイスと認証サーバ グループのアソシエーションを、割り当てられたリストから利用可能なリストに移動します。
– [Interface/Server Group/Use Fallback]:割り当てられたリストに追加した選択内容を表示します。
• [Interface-Specific Client IP Address Pools]:インターフェイスとクライアントの IP アドレス プールを指定できます。最大 6 個のプールを指定できます。
– [Interface]:追加可能なインターフェイスを一覧表示します。
– [Address Pool]:このインターフェイスと関連付けできるアドレス プールを一覧表示します。
– [Add]:選択した利用可能なインターフェイスとクライアントの IP アドレス プール間のアソシエーションを、割り当てられたリストに追加します。
– [Remove]:選択したインターフェイスまたはアドレス プールのアソシエーションを、割り当てられたリストから利用可能なリストに移動します。
– [Interface/Address Pool]:割り当てられたリストに追加された選択内容を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [IPSec for Remote Access] > [IPSec]
[IPSec for Remote Access] の [Add or Edit Tunnel Group] ウィンドウにある [IPSec] ダイアログボックスでは、IPSec に固有のトンネル グループ パラメータを設定または編集できます。
• [Pre-shared Key]:トンネル グループの事前共有キーの値を指定できます。事前共有キーの最大長は 128 文字です。
• [Trustpoint Name]:トラストポイントが設定されている場合には、トラストポイント名を選択します。トラストポイントとは、認証局を表現したものです。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、登録されている ID 証明書とのアソシエーションが含まれています。
• [Authentication Mode]:認証モードを、none、xauth、または hybrid の中から指定します。
– [xauth]:IKE 拡張認証モードを使用するように指定します。この認証モードは、TACACS+ または RADIUS を使用する IKE 内のユーザを認証する機能を提供します。
– [hybrid]:ハイブリッド モードを使用するように指定します。この認証モードでは、セキュリティ アプライアンス認証にデジタル認証を使用でき、リモート VPN ユーザ認証に別のレガシー方式(RADIUS、TACACS+、SecurID など)を使用できます。このモードでは、インターネット キー交換(IKE)のフェーズ 1 が次の手順に分かれています。これらを合わせてハイブリッド認証と呼びます。
1. セキュリティ アプライアンスでは、リモート VPN ユーザが標準公開キー技術で認証されます。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。
2. 次に、拡張認証(xauth)交換でリモート VPN ユーザが認証されます。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。
(注) 認証タイプをハイブリッドに設定する前に、認証サーバを設定し、事前共有キーを作成する必要があります。
• [IKE Peer ID Validation]:IKE ピア ID 確認要求を無視するか、必須とするか、あるいは証明書によってサポートされている場合にだけチェックするかを選択します。
• [Enable sending certificate chain]:証明書チェーン全体の送信をイネーブルまたはディセーブルにします。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。
• [ISAKMP Keep Alive]:ISAKMP キープアライブ モニタリングをイネーブルにし、設定します。
– [Disable Keep Alives]:ISAKMP キープアライブをイネーブルまたはディセーブルにします。
– [Monitor Keep Alives]:ISAKMP キープアライブ モニタリングをイネーブルまたはディセーブルにします。このオプションを選択すると、[Confidence Interval] フィールドと [Retry Interval] フィールドが利用できるようになります。
– [Confidence Interval]:ISAKMP キープアライブの信頼間隔を指定します。これは、ピアがキープアライブ モニタリングを開始するまでにセキュリティ アプライアンスが許可するアイドル時間を表す秒数です。最小 10 秒、最大 300 秒です。リモート アクセス グループのデフォルトは 300 秒です。
– [Retry Interval]:ISAKMP キープアライブのリトライ間の待機秒数を指定します。デフォルトは 2 秒です。
– [Head end will never initiate keepalive monitoring]:中央サイトのセキュリティ アプライアンスがキープアライブ モニタリングを開始しないように指定します。
• [Interface-Specific Authentication Mode]:認証モードをインターフェイスごとに指定します。
– [Interface]:インターフェイス名を選択できます。デフォルトのインターフェイスは inside と outside ですが、別のインターフェイス名を設定した場合には、その名前がリストに表示されます。
– [Authentication Mode]:認証モードを、上記の none、xauth、または hybrid の中から選択できます。
– [Interface/Authentication Mode] テーブル:インターフェイス名と、選択されている関連認証モードを表示します。
– [Add]:選択したインターフェイスと認証モードのペアを [Interface/Authentication Modes] テーブルに追加します。
– [Remove]:選択したインターフェイスと認証モードのペアを [Interface/Authentication Modes] テーブルから削除します。
• [Client VPN Software Update Table]:クライアント タイプ、VPN クライアントのリビジョン、およびインストールされている各クライアント VPN ソフトウェア パッケージのイメージ URL を一覧表示します。クライアント タイプごとに、許可されるクライアント ソフトウェア リビジョンと、必要に応じて、ソフトウェア アップグレードをダウンロードする URL または IP アドレスを指定できます。クライアント アップデート メカニズム([Client Update] ウィンドウに詳細説明があります)は、この情報を使用して、各 VPN クライアントが適切なリビジョン レベルで実行されているかどうか、適切であれば、通知メッセージとアップデート メカニズムを、旧式のソフトウェアを実行しているクライアントに提供するかどうかを判断します。
– [Client Type]:VPN クライアント タイプを識別します。
– [VPN Client Revisions]:許可される VPN クライアントのリビジョン レベルを指定します。
– [Image URL]:適切な VPN クライアント ソフトウェア イメージをダウンロードできる URL または IP アドレスを指定します。Windows ベースの VPN クライアントの場合、URL は http:// または https:// という形式です。クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアントの場合、URL は tftp:// という形式です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Site-to-Site VPN のトンネル グループの追加および編集
[Add or Edit Tunnel Group] ダイアログボックスでは、この Site-to-Site 接続プロファイルのトンネル グループ パラメータを設定または編集できます。
• [Certificate Settings]:次の証明書チェーンと IKE ピア検証の属性を設定します。
– [Send certificate chain]:証明書チェーン全体の送信をイネーブルまたはディセーブルにします。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。
– [IKE Peer ID Validation]:IKE ピア ID 確認要求を無視するか、必須とするか、あるいは証明書によってサポートされている場合にだけチェックするかを選択します。
• [IKE Keep Alive]:IKE(ISAKMP)キープアライブ モニタリングをイネーブルにして設定します。
– [Disable Keep Alives]:IKE キープアライブをイネーブルまたはディセーブルにします。
– [Monitor Keep Alives]:IKE キープアライブ モニタリングをイネーブルまたはディセーブルにします。このオプションを選択すると、[Confidence Interval] フィールドと [Retry Interval] フィールドが利用できるようになります。
– [Confidence Interval]:IKE キープアライブの信頼間隔を指定します。これは、ピアがキープアライブ モニタリングを開始するまでにセキュリティ アプライアンスが許可するアイドル時間を表す秒数です。最小 10 秒、最大 300 秒です。リモート アクセス グループのデフォルトは 300 秒です。
– [Retry Interval]:IKE キープアライブのリトライ間の待機秒数を指定します。デフォルトは 2 秒です。
– [Head end will never initiate keepalive monitoring]:中央サイトのセキュリティ アプライアンスがキープアライブ モニタリングを開始しないように指定します。
• [Default Group Policy]:次のグループ ポリシーの属性を指定します。
– [Group Policy]:デフォルトのグループ ポリシーとして使用するグループ ポリシーを選択します。デフォルト値は DfltGrpPolicy です。
– [Manage]:[Configure Group Policies] ダイアログボックスが開きます。
– [IPSec Protocol]:この接続プロファイルでの IPSec プロトコルの使用をイネーブルまたはディセーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [PPP]
IPSec リモート アクセス トンネル グループの [Add or Edit Tunnel Group] ウィンドウの [PPP] ダイアログボックスでは、PPP 接続で許可される認証プロトコルを設定または編集できます。このダイアログボックスは、IPSec リモートアクセス トンネルグループに だけ 適用されます。
• [CHAP]:PPP 接続で CHAP プロトコルの使用をイネーブルにします。
• [MS-CHAP-V1]:PPP 接続で MS-CHAP-V1 プロトコルの使用をイネーブルにします。
• [MS-CHAP-V2]:PPP 接続で MS-CHAP-V2 プロトコルの使用をイネーブルにします。
• [PAP]:PPP 接続で PAP プロトコルの使用をイネーブルにします。
• [EAP-PROXY]:PPP 接続で EAP-PROXY プロトコルの使用をイネーブルにします。EAP は、Extensible Authentication protocol(拡張認証プロトコル)を意味します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [IPSec for LAN to LAN Access] > [General] > [Basic]
Site-to-Site リモート アクセスの [Add or Edit Tunnel Group] ウィンドウにある、[General] タブの [Basic] ダイアログボックスでは、追加するトンネル グループの名前を指定し(Add 機能だけ)、グループ ポリシーを選択できます。
[Edit Tunnel Group] ウィンドウの [General] ダイアログボックスには、変更するトンネル グループの名前とタイプが表示されます。
• [Name]:このトンネル グループに割り当てられた名前を指定します。Edit 機能の場合、このフィールドは表示専用です。
• [Type]:( 表示専用 )追加または編集するトンネル グループのタイプを表示します。このフィールドの内容は、前のウィンドウでの選択内容によって異なります。
• [Group Policy]:現在設定されているグループ ポリシーを一覧表示します。デフォルト値は、デフォルト グループ ポリシーである DfltGrpPolicy です。
• [Strip the realm (administrative domain) from the username before passing it on to the AAA server]:レルムをユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のレルム修飾子を削除するには、[Strip Realm] チェックボックスをオンにします。レルム名は、AAA(認証、許可、アカウンティング)のユーザ名に追加できます。レルムに対して有効なデリミタは @ だけです。形式は、username@realm です。たとえば、JaneDoe@it.cisco.com です。この [Strip Realm] チェックボックスをオンにすると、認証はユーザ名のみに基づいて行われます。オフにした場合は、username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、このチェックボックスをオンにする必要があります。
(注) レルムとグループは、両方をユーザ名に追加できます。その場合、セキュリティ アプライアンスは、グループと AAA 機能用のレルムに対して設定されたパラメータを使用します。このオプションのフォーマットは JaneDoe@it.cisco.com#VPNGroup のように、ユーザ名[@realm][<# または !>グループ] という形式を取ります。このオプションを選択した場合は、グループ デリミタとして # または ! を使用する必要があります。これは、@ がレルム デリミタとしても使用されている場合には、セキュリティ アプライアンスが @ をグループ デリミタと解釈できないためです。
Kerberos レルムは特殊事例です。Kerberos レルムの命名規則として、Kerberos レルムと関連付けられている DNS ドメイン名を大文字で表記します。たとえば、ユーザが it.cisco.com ドメインに存在する場合には、Kerberos レルムを IT.CISCO.COM と表記します。
• [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のグループ名を削除するには、[Strip Group] チェックボックスをオンにします。このオプションは、[Enable Group Lookup] ボックスをオンにした場合にだけ有効です。デリミタを使用してグループ名をユーザ名に追加し、Group Lookup をイネーブルにすると、セキュリティ アプライアンスは、デリミタの左側にある文字をすべてユーザ名と解釈し、右側の文字をすべてグループ名と解釈します。有効なグループ デリミタは @、#、および ! で、 @ が Group Lookup のデフォルトです。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup のように、ユーザ名<デリミタ>グループの形式でグループをユーザ名に追加します。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:このチェックボックスをオンにすると、次の 2 つのパラメータが利用できるようになります。[Enable notification prior to expiration] チェックボックスをオンにしないと、ユーザは、パスワードの期限が切れた後で通知を受信します。
– [Enable notification prior to expiration]:このオプションをオンにすると、セキュリティ アプライアンスは、リモート ユーザのログイン時に、現在のパスワードの期限切れが迫っているか、期限が切れていることを通知し、パスワードを変更する機会をユーザに提供します。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。このパラメータは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
この処理によってパスワードの期限が切れるまでの日数が変わるわけではなく、通知がイネーブルになるということに注意してください。このチェックボックスをオンにしたら、日数も指定する必要があります。
– [Notify...days prior to expiration]:現在のパスワードの期限切れが迫っていることをユーザに通知する日を、期限切れになるまでの日数で指定します。範囲は 1 ~ 180 日です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [IPSec for LAN to LAN Access] > [IPSec]
Site-to-Site アクセス用 IPSec の [Add or Edit Tunnel Group] ウィンドウの [IPSec] ダイアログボックスでは、IPSec Site-to-Site に固有のトンネル グループ パラメータを設定または編集できます。
• [Name]:このトンネル グループに割り当てられた名前を指定します。Edit 機能の場合、このフィールドは表示専用です。
• [Type]:( 表示専用 )追加または編集するトンネル グループのタイプを表示します。このフィールドの内容は、前のウィンドウでの選択内容によって異なります。
• [Pre-shared Key]:トンネル グループの事前共有キーの値を指定できます。事前共有キーの最大長は 128 文字です。
• [Trustpoint Name]:トラストポイントが設定されている場合には、トラストポイント名を選択します。トラストポイントとは、認証局を表現したものです。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、登録されている ID 証明書とのアソシエーションが含まれています。
• [Authentication Mode]:認証モードを、none、xauth、または hybrid の中から指定します。
– [xauth]:IKE 拡張認証モードを使用するように指定します。この認証モードは、TACACS+ または RADIUS を使用する IKE 内のユーザを認証する機能を提供します。
– [hybrid]:ハイブリッド モードを使用するように指定します。この認証モードでは、セキュリティ アプライアンス認証にデジタル認証を使用でき、リモート VPN ユーザ認証に別のレガシー方式(RADIUS、TACACS+、SecurID など)を使用できます。このモードでは、インターネット キー交換(IKE)のフェーズ 1 が次の手順に分かれています。これらを合わせてハイブリッド認証と呼びます。
1. セキュリティ アプライアンスでは、リモート VPN ユーザが標準公開キー技術で認証されます。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。
2. 次に、拡張認証(xauth)交換でリモート VPN ユーザが認証されます。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。
(注) 認証タイプをハイブリッドに設定する前に、認証サーバを設定し、事前共有キーを作成する必要があります。
• [IKE Peer ID Validation]:IKE ピア ID 確認要求を無視するか、必須とするか、あるいは証明書によってサポートされている場合にだけチェックするかを選択します。
• [Enable sending certificate chain]:証明書チェーン全体の送信をイネーブルまたはディセーブルにします。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。
• [ISAKMP Keep Alive]:ISAKMP キープアライブ モニタリングをイネーブルにし、設定します。
– [Disable Keep Alives]:ISAKMP キープアライブをイネーブルまたはディセーブルにします。
– [Monitor Keep Alives]:ISAKMP キープアライブ モニタリングをイネーブルまたはディセーブルにします。このオプションを選択すると、[Confidence Interval] フィールドと [Retry Interval] フィールドが利用できるようになります。
– [Confidence Interval]:ISAKMP キープアライブの信頼間隔を指定します。これは、ピアがキープアライブ モニタリングを開始するまでにセキュリティ アプライアンスが許可するアイドル時間を表す秒数です。最小 10 秒、最大 300 秒です。リモート アクセス グループのデフォルトは 300 秒です。
– [Retry Interval]:ISAKMP キープアライブのリトライ間の待機秒数を指定します。デフォルトは 2 秒です。
– [Head end will never initiate keepalive monitoring]:中央サイトのセキュリティ アプライアンスがキープアライブ モニタリングを開始しないように指定します。
• [Interface-Specific Authentication Mode]:認証モードをインターフェイスごとに指定します。
– [Interface]:インターフェイス名を選択できます。デフォルトのインターフェイスは inside と outside ですが、別のインターフェイス名を設定した場合には、その名前がリストに表示されます。
– [Authentication Mode]:認証モードを、上記の none、xauth、または hybrid の中から選択できます。
– [Interface/Authentication Mode] テーブル:インターフェイス名と、選択されている関連認証モードを表示します。
– [Add]:選択したインターフェイスと認証モードのペアを [Interface/Authentication Modes] テーブルに追加します。
– [Remove]:選択したインターフェイスと認証モードのペアを [Interface/Authentication Modes] テーブルから削除します。
• [Client VPN Software Update Table]:クライアント タイプ、VPN クライアントのリビジョン、およびインストールされている各クライアント VPN ソフトウェア パッケージのイメージ URL を一覧表示します。クライアント タイプごとに、許可されるクライアント ソフトウェア リビジョンと、必要に応じて、ソフトウェア アップグレードをダウンロードする URL または IP アドレスを指定できます。クライアント アップデート メカニズム([Client Update] ウィンドウに詳細説明があります)は、この情報を使用して、各 VPN クライアントが適切なリビジョン レベルで実行されているかどうか、適切であれば、通知メッセージとアップデート メカニズムを、旧式のソフトウェアを実行しているクライアントに提供するかどうかを判断します。
– [Client Type]:VPN クライアント タイプを識別します。
– [VPN Client Revisions]:許可される VPN クライアントのリビジョン レベルを指定します。
– [Image URL]:適切な VPN クライアント ソフトウェア イメージをダウンロードできる URL または IP アドレスを指定します。Windows ベースの VPN クライアントの場合、URL は http:// または https:// という形式です。クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアントの場合、URL は tftp:// という形式です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [Clientless SSL VPN Access] > [General] > [Basic]
[Add or Edit] ペインの [General] タブの [Basic] ダイアログボックスでは、追加するトンネル グループの名前の指定、グループ ポリシーの選択、およびパスワード管理の設定を行うことができます。
[Edit Tunnel Group] ウィンドウの [General] ダイアログボックスには、選択したトンネル グループの名前とタイプが表示されます。その他の機能は、[Add Tunnel Group] ウィンドウと同じです。
• [Name]:このトンネル グループに割り当てられた名前を指定します。Edit 機能の場合、このフィールドは表示専用です。
• [Type]:追加または削除するトンネル グループのタイプを表示します。Edit の場合、このフィールドは表示専用で、その内容は、[Add] ウィンドウでの選択内容によって異なります。
• [Group Policy]:現在設定されているグループ ポリシーを一覧表示します。デフォルト値は、デフォルト グループ ポリシーである DfltGrpPolicy です。
• [Strip the realm]:クライアントレス SSL VPN では使用できません。
• [Strip the group]:クライアントレス SSL VPN では使用できません。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:このチェックボックスをオンにすると、次の 2 つのパラメータが利用できるようになります。[Enable notification prior to expiration] チェックボックスをオンにしないと、ユーザは、パスワードの期限が切れた後で通知を受信します。
– [Enable notification prior to expiration]:このオプションをオンにすると、セキュリティ アプライアンスは、リモート ユーザのログイン時に、現在のパスワードの期限切れが迫っているか、期限が切れていることを通知し、パスワードを変更する機会をユーザに提供します。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。このパラメータは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
この処理によってパスワードの期限が切れるまでの日数が変わるわけではなく、通知がイネーブルになるということに注意してください。このチェックボックスをオンにしたら、日数も指定する必要があります。
– [Notify...days prior to expiration]:現在のパスワードの期限切れが迫っていることをユーザに通知する日を、期限切れになるまでの日数で指定します。範囲は 1 ~ 180 日です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Add/Edit Tunnel Group] > [Clientless SSL VPN] > [Basic]
クライアントレス SSL VPN の [Add/Edit Tunnel Group General Tab] ダイアログボックスの属性は、IPSec リモート アクセスの [Add/Edit Tunnel Group General] ダイアログボックスの属性と同じです。次の説明は、[Clientless SSL VPN] ダイアログボックスに表示されるフィールドに適用されます。
[Basic] ダイアログボックスでは、クライアントレス SSL VPN の次の属性を設定できます。
• [Authentication]:実行する認証のタイプを、[AAA]、[Certificate]、または [Both] の中から指定します。デフォルト値は [AAA] です。
• [DNS Group]:接続プロファイルで使用する DNS サーバを指定します。デフォルト値は DefaultDNS です。
• [CSD Failure group policy]:この属性は、Cisco Secure Desktop がインストールされているセキュリティ アプライアンスでのみ有効です。Cisco Secure Desktop Manager を使用して VPN 機能ポリシーを次のいずれかのオプションに設定すると、セキュリティ アプライアンスがこの属性を使用して、アクセス権をリモート CSD クライアントに制限します。
– 「Use Success Group-Policy, if criteria match」、および条件が一致しない。
この属性は、適用される失敗グループ ポリシーの名前を指定します。グループ ポリシーを選択して、アクセス権限を、デフォルト グループ ポリシーに関連付けられているアクセス権限と区別します。デフォルト値は DfltGrpPolicy です。
(注) VPN 機能ポリシーを「Always use Success Group-Policy」に設定している場合、セキュリティ アプライアンスではこの属性を使用しません。
詳細については、『 Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administration Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Configuring Internal Group Policy IPSec Client Attributes
このウィンドウを使用して、AAA サーバに渡す前にユーザ名からレルムとグループを除去するかどうかを指定し、パスワード管理オプションを指定します。
• [Strip the realm from the username before passing it on to the AAA server]:レルム(管理ドメイン)をユーザ名から除去してから、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のレルム修飾子を削除するには、[Strip Realm] チェックボックスをオンにします。レルム名は、AAA(認証、許可、アカウンティング)のユーザ名に追加できます。レルムに対して有効なデリミタは @ だけです。形式は、username@realm です。たとえば、JaneDoe@it.cisco.com です。この [Strip Realm] チェックボックスをオンにすると、認証はユーザ名のみに基づいて行われます。オフにした場合は、username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、このチェックボックスをオンにする必要があります。
(注) レルムとグループは、両方をユーザ名に追加できます。その場合、セキュリティ アプライアンスは、グループと AAA 機能用のレルムに対して設定されたパラメータを使用します。このオプションのフォーマットは JaneDoe@it.cisco.com#VPNGroup のように、ユーザ名[@realm][<# または !>グループ] という形式を取ります。このオプションを選択した場合は、グループ デリミタとして # または ! を使用する必要があります。これは、@ がレルム デリミタとしても使用されている場合には、セキュリティ アプライアンスが @ をグループ デリミタと解釈できないためです。
Kerberos レルムは特殊事例です。Kerberos レルムの命名規則として、Kerberos レルムと関連付けられている DNS ドメイン名を大文字で表記します。たとえば、ユーザが it.cisco.com ドメインに存在する場合には、Kerberos レルムを IT.CISCO.COM と表記します。
• [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名から除去し、そのユーザ名を AAA サーバに渡す処理をイネーブルまたはディセーブルにします。認証時にユーザ名のグループ名を削除するには、[Strip Group] チェックボックスをオンにします。このオプションは、[Enable Group Lookup] ボックスをオンにした場合にだけ有効です。デリミタを使用してグループ名をユーザ名に追加し、Group Lookup をイネーブルにすると、セキュリティ アプライアンスは、デリミタの左側にある文字をすべてユーザ名と解釈し、右側の文字をすべてグループ名と解釈します。有効なグループ デリミタは @、#、および ! で、 @ が Group Lookup のデフォルトです。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup のように、ユーザ名<デリミタ>グループの形式でグループをユーザ名に追加します。
• [Password Management]:AAA サーバからの account-disabled インジケータの上書きと、ユーザに対するパスワード期限切れの通知に関するパラメータを設定できます。
– [Override account-disabled indication from AAA server]:AAA サーバからの account-disabled インジケータを上書きします。
(注) override account-disabled を許可することは、潜在的なセキュリティ リスクとなります。
– [Enable notification upon password expiration to allow user to change password]:このチェックボックスをオンにすると、次の 2 つのパラメータが利用できるようになります。パスワードが期限切れになるまでの特定の日数を指定し、その日数だけ前の日のログイン時にユーザに通知するか、またはパスワードが期限切れになる当日にユーザに通知するかを選択できます。デフォルトでは、パスワードが期限切れになるより 14 日前にユーザへの通知を開始し、以後、ユーザがパスワードを変更するまで毎日通知するように設定されています。範囲は 1 ~ 180 日です。
(注) この処理によってパスワードの期限が切れるまでの日数が変わるのではなく、通知がイネーブルになるだけであるという点に注意してください。このオプションを選択する場合は、日数も指定する必要があります。
どちらの場合でも、変更されずにパスワードが期限切れになると、セキュリティ アプライアンスはパスワードを変更する機会をユーザに提供します。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。
このパラメータは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスではこのコマンドが無視されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Configuring Client Addressing for SSL VPN Connections
このウィンドウを使用して、グローバル クライアント アドレスの割り当てポリシーを指定し、インターフェイスに固有のアドレス プールを設定します。このウィンドウを使用して、インターフェイスに固有のアドレス プールを追加、編集、または削除することもできます。ウィンドウ下部のテーブルには、設定されているインターフェイス固有のアドレス プールの一覧が表示されます。
• [Global Client Address Assignment Policy]:すべての IPSec 接続と SSL VPN Client 接続(AnyConnect クライアント接続を含む)に影響するポリシーを設定します。セキュリティ アプライアンスは、アドレスを見つけるまで、選択されたソースを順番に使用します。
– [Use authentication server]:クライアント アドレスのソースとして、セキュリティ アプライアンスが認証サーバの使用を試みるように指定します。
– [Use DHCP]:クライアント アドレスのソースとして、セキュリティ アプライアンスが DHCP の使用を試みるように指定します。
– [Use address pool]:クライアント アドレスのソースとして、セキュリティ アプライアンスがアドレス プールの使用を試みるように指定します。
• [Interface-Specific Address Pools]:設定されているインターフェイス固有のアドレス プールの一覧を表示します。
• [Add]:[Assign Address Pools to Interface] ウィンドウが開きます。このウィンドウでは、インターフェイスおよび割り当てるアドレス プールを選択できます。
• [Edit]:インターフェイスとアドレス プールのフィールドに値が取り込まれた状態で、[Assign Address Pools to Interface] ウィンドウが開きます。
• [Delete]:選択したインターフェイスに固有のアドレス プールを削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Assign Address Pools to Interface
このダイアログボックスを使用して、インターフェイスを選択し、そのインターフェイスにアドレス プールを 1 つ以上割り当てます。
• [Interface]:アドレス プールの割り当て先インターフェイスを選択します。デフォルトは DMZ です。
• [Address Pools]:指定したインターフェイスに割り当てるアドレス プールを指定します。
• [Select]:[Select Address Pools] ダイアログボックスが開きます。このダイアログボックスでは、このインターフェイスに割り当てるアドレス プールを 1 つ以上選択できます。選択内容は、[Assign Address Pools to Interface] ダイアログボックスの [Address Pools] フィールドに表示されます。
Select Address Pools
[Select Address Pools] ウィンドウには、クライアント アドレスの割り当てで選択可能なプール名、開始アドレスと終了アドレス、およびアドレス プールのサブネットマスクが表示され、リストのエントリを追加、編集、削除できます。
• [Add]:[Add IP Pool] ウィンドウが開きます。このウィンドウでは、新しい IP アドレス プールを設定できます。
• [Edit]:[Edit IP Pool] ウィンドウが開きます。このウィンドウでは、選択した IP アドレス プールを変更できます。
• [Delete]:選択したアドレス プールを削除します。確認されず、やり直しもできません。
• [Assign]:インターフェイスに割り当てられているアドレス プール名を表示します。インターフェイスに追加する個々の未割り当てプールをダブルクリックします。[Assign] フィールドのプール割り当て一覧が更新されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add or Edit an IP Address Pool
• [Name]:IP アドレス プールに割り当てられている名前を指定します。
• [Starting IP Address]:プールの最初の IP アドレスを指定します。
• [Ending IP Address]:プールの最後の IP アドレスを指定します。
• [Subnet Mask]:プール内のアドレスに適用するサブネット マスクを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SSL VPN 接続の認証
[SSL VPN Connections] > [Advanced] > [Authentication] ウィンドウでは、SSL VPN 接続の認証属性を設定できます。
System Options
[System Options] ペインでは、セキュリティ アプライアンスでの VPN セッションに固有の機能を設定できます。
永続的な IPsec トンネル フローの設定
リリース 8.0.4 よりも前の ASA ソフトウェア バージョンを実行するネットワークでは、IPSec トンネルを通過する既存の IPsec LAN-to-LAN またはリモート アクセス TCP トラフィック フローは、トンネルがドロップするとドロップされます。これらのフローは、トンネルが元に戻ると、必要に応じて再作成されます。このポリシーは、リソース管理およびセキュリティの観点から有効です。ただし、このような動作がユーザ(特に PIX および VPN 3000 コンセントレータから ASA のみの環境に移行しているユーザ)およびレガシー TCP アプリケーション(容易に再起動しない、またはトンネルを頻繁にドロップするゲートウェイが含まれたネットワーク内にある)に問題を引き起こす場合があります。
永続的な IPsec トンネル フロー機能で、この問題に対処します。この機能をイネーブルにすると、セキュリティ アプライアンスはステートフル(TCP)トンネル フローを維持して再開します。他のすべてのフローは、トンネルがドロップしたときにドロップされ、新しいトンネルが設定されたときに再確立する必要があります。
(注) この機能は、ネットワーク拡張モードで実行されている IPsec LAN-to-LAN トンネルおよび IPsec リモートアクセス トンネルをサポートします。IPSec または AnyConnect/SSL VPN リモート アクセス トンネルはサポートしていません。
ネットワーク拡張モードで実行されている LAN-to-LAN 接続で永続的な IPsec トンネル フロー機能をイネーブルにするには、[Preserve stateful VPN flows when the tunnel drops for Network-Extension-Mode (NEM)] チェックボックスをオンにします。
LAN-to-LAN トンネルがドロップすると、エンドツーエンドのフローとトンネルを通過するフローの両方、およびそれらに属するすべてのステート情報が削除されます。その後、トンネルが再確立され、そのトンネルを通過するフローが再作成され、トンネリングされたデータの伝送を再開できるようになります。ただし、TCP/FTP エンドツーエンドのフローには問題が発生します。この時点までの FTP 転送のフローを説明するステート情報が削除されているため、ステートフル ファイアウォールは、インフライト FTP データをブロックし、エンドツーエンドのフローの作成を拒否します。今まで存在していたこのフロー履歴が失われると、ファイアウォールは FTP 転送を迷子の TCP パケットとして処理し、ドロップします。これはデフォルトの動作です。
永続的 IPsec トンネル フロー機能がイネーブルの場合、タイムアウト期間内にトンネルが再作成される限り、セキュリティ アプライアンスでエンドツーエンド フロー内のステート情報にアクセスできるため、データは正常に流れ続けます。
この機能がイネーブルの場合、セキュリティ アプライアンスはフローを個別に処理します。これは、トンネルを通過するフローで定義されたトンネルがドロップされた場合、エンドツーエンド フローが削除されないことを意味します。セキュリティ アプライアンスは、ステートフル(TCP)トンネル フローを維持して再開します。他のフローはすべてドロップされ、新しいトンネルで再確立される必要があります。これによって、トンネル フローのセキュリティが弱くなることはありません。トンネルがダウンしている間、セキュリティ アプライアンスはエンドツーエンド フローに到着するあらゆるパケットをドロップするためです。
(注) トンネル TCP フローはドロップされないため、クリーンアップは TCP タイムアウトに依存します。ただし、特定のトンネル フローのタイムアウトがディセーブルになってる場合、手動または他の方法(ピアからの TCP RST など)によってクリアされるまで、そのフローはシステム内で保持されます。
• インターフェイスの access-lists を迂回するには、インバウンド IPSec セッションをイネーブルにします。グループ ポリシーおよびユーザ単位の許可アクセス リストは、引き続きトラフィックに適用されます。セキュリティ アプライアンスは、VPN トラフィックがセキュリティ アプライアンス インターフェイスで終了することをデフォルトで許可しているため、IKE または ESP(またはその他のタイプの VPN パケット)をアクセス ルールで許可する必要はありません。このオプションをオンにしている場合は、復号化された VPN パケットのローカル IP アドレスに対するアクセス ルールは不要です。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、コンフィギュレーションが簡略化され、セキュリティ アプライアンスのパフォーマンスはセキュリティ リスクを負うことなく最大化されます (グループ ポリシーおよびユーザ単位の許可アクセス リストは、引き続きトラフィックに適用されます)。
このオプションをオフにすることにより、アクセス ルールをローカル IP アドレスに適用することを強制的に適用できます。アクセス ルールはローカル IP アドレスに適用され、VPN パケットが復号化される前に使用されていた元のクライアント IP アドレスには適用されません。
• [Limit maximum number of active IPSec VPN sessions]:アクティブな IPSec VPN セッションの最大数の制限をイネーブルまたはディセーブルにします。範囲は、ハードウェア プラットフォームとソフトウェア ライセンスによって異なります。
– [Maximum Active IPSec VPN Sessions]:アクティブな IPSec VPN セッションの最大許可数を指定します。このフィールドは、上記のチェックボックスをオンにして、アクティブな IPSec VPN セッションの最大数を制限した場合にだけアクティブになります。
• [L2TP Tunnel Keep-alive Timeout]:キープアライブ メッセージの頻度を秒単位で指定します。範囲は 10 ~ 300 秒です。デフォルトは 60 秒です。
• [Reclassify existing flows when VPN tunnels establish]:既存のフローを再分類して、暗号化が必要なフローが、確実に分解されて再作成されるようにします。
• [Preserve stateful VPN flows when the tunnel drops]:永続的な IPsec トンネル フローをイネーブルにします。[Remote Access VPN] > [Network(Client)Access] > [Advanced] > [IPsec] > [System Options] パスからこのウィンドウが表示された場合、次のテキストが選択のオプションの末尾に表示されます。「(for Network-Extension-Mode (NEM)」。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SSL VPN 接続の拡張設定
Advanced オプションには、スプリット トンネリング、IE ブラウザ プロキシ、およびグループ ポリシーに関連した、SSL VPN/AnyConnect クライアントと IPSec クライアントの属性の設定が含まれます。
スプリット トンネリングの設定
スプリット トンネリングにより、特定のデータ トラフィックを暗号化し(「トンネルを通過」)、それ以外のトラフィックはクリア(非暗号化)で送信するように指定できます。スプリット トンネリング ネットワーク リストによって、トラフィックがトンネルを通過する必要があるネットワークと、トンネリングを必要としないネットワークが区別されます。セキュリティ アプライアンス は、ネットワーク リストに基づいてスプリット トンネリングを実行するかどうかを決定します。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成された ACL です。
• [DNS Names]:このポリシーを適用する DNS 名を 1 つ以上指定します。
• [Policy]:スプリット トンネリング ポリシーを選択し、指定されたネットワーク リストにトンネルを含めるか、またはリストからトンネルを除外するかどうかを指定します。Inherit を選択しない場合、デフォルトは Exclude Network List Below です。
• [Network List]:スプリット トンネリング ポリシーを適用するネットワークを選択します。Inherit を選択しない場合、デフォルトは --None-- です。
• [Manage]:[ACL Manager] ダイアログボックスが開きます。このダイアログボックスでは、ネットワーク リストとして使用するアクセス コントロール リストを設定できます。
• [Intercept DHCP Configuration Message from Microsoft Clients]:DHCP 代行受信に固有の追加パラメータを示します。DHCP 代行受信を使用すると、Microsoft XP クライアントがセキュリティ アプライアンスでスプリット トンネリングを使用できるようになります。Windows クライアントが XP 以前である場合は、DHCP 代行受信により、ドメイン名およびサブネット マスクが提供されます。
– [Intercept]:DHCP 代行受信を許可するかどうかを指定します。Inherit を選択しない場合、デフォルト設定は No です。
Zone Labs Integrity Server
[Zone Labs Integrity Server] パネルでは、Zone Labs Integrity Server をサポートするようにセキュリティ アプライアンスを設定できます。 このサーバは、プライベート ネットワークにアクセスするリモート クライアントでセキュリティ ポリシーを適用する目的で設計された Integrity System というシステムの一部です。本質的には、セキュリティ アプライアンスが、ファイアウォール サーバに対するクライアント PC のプロキシとして機能し、Integrity クライアントと Integrity サーバ間で必要なすべての Integrity 情報をリレーします。
(注) 現在のリリースのセキュリティ アプライアンスでは同時に 1 台の Integrity サーバのみがサポートされていますが、ユーザ インターフェイスでは最大 5 台の Integrity サーバの設定がサポートされています。アクティブなサーバに障害が発生した場合は、セキュリティ アプライアンス上で別の Integrity サーバを設定して、クライアント VPN セッションを再確立してください。
• [Server IP address]:Integrity Server の IP アドレスを入力します。ドット付き 10 進数を使用します。
• [Add]:新しいサーバ IP アドレスを Integrity Server のリストに追加します。このボタンは、Server IP アドレス フィールドにアドレスが入力されるとアクティブになります。
• [Delete]:選択したサーバを Integrity Server リストから削除します。
• [Move Up]:選択したサーバを Integrity Server のリスト内で上に移動します。このボタンは、リストにサーバが 1 台以上存在する場合にだけ使用できます。
• [Move Down]:選択したサーバを Integrity Server のリスト内で下に移動します。このボタンは、リストにサーバが 1 台以上存在する場合にだけ使用できます。
• [Server Port]:アクティブな Integrity サーバをリッスンするセキュリティ アプライアンスのポート番号を入力します。このフィールドは、Integrity Server のリストにサーバが少なくとも 1 台以上存在する場合にだけ使用できます。デフォルト ポート番号は 5054、範囲は 10 ~ 10000 です。このフィールドは、Integrity Server リスト内にサーバが存在する場合にだけ使用できます。
• [Interface]:アクティブな Integrity Server と通信するセキュリティ アプライアンス インターフェイスを選択します。このインターフェイス名メニューは、Integrity Server リスト内にサーバが存在する場合にだけ使用できます。
• [Fail Timeout]:セキュリティ アプライアンスが、アクティブな Integrity Server に到達不能であることを宣言するまでの待機秒数を入力します。デフォルトは 10 で、範囲は、5 ~ 20 です。
• [SSL Certificate Port]:SSL 認証で使用するセキュリティ アプライアンスのポートを指定します。デフォルトのポートは 80 です。
• [Enable SSL Authentication]:セキュリティ アプライアンスによるリモート クライアントの SSL 証明書の認証をイネーブルにする場合にオンにします。デフォルトでは、クライアント SSL 認証はディセーブルになっています。
• [Close connection on timeout]:タイムアウト時に、セキュリティ アプライアンスと Integrity Server 間の接続を終了する場合にオンにします。デフォルトでは、接続が維持されます。
• [Apply]:設定を実行しているセキュリティ アプライアンスに Integrity Server 設定を適用します。
• [Reset]:まだ適用されていない Integrity Server 設定の変更を削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Easy VPN Remote
Easy VPN Remote により、ASA 5505 を Easy VPN クライアント デバイスとして動作させることができます。ASA 5505 は、Easy VPN サーバへの VPN トンネルを開始できます。Easy VPN サーバの種類としては、セキュリティ アプライアンス、Cisco VPN 3000 コンセントレータ、IOS ベースのルータ、または Easy VPN サーバとして動作するファイアウォールがあります。
Easy VPN クライアントは次の 2 つの操作モードのいずれかをサポートします。クライアント モードまたは Network Extension Mode(NEM; ネットワーク拡張モード)です。操作モードによって、Easy VPN クライアントの内部ホストがトンネルを経由して企業ネットワークからアクセスできるかどうかが決まります。Easy VPN クライアントにはデフォルト モードがないため、接続前に動作モードを指定する必要があります。
クライアント モードは、ポート アドレス変換(PAT)モードとも呼ばれ、Easy VPN クライアント プライベート ネットワーク上のすべてのデバイスを企業ネットワークの IP アドレスから分離します。Easy VPN クライアントは、内部ホストのすべての VPN トラフィックに対してポート アドレス変換(PAT)を実行します。Easy VPN クライアント内部インターフェイスまたは内部ホストで、IP アドレスの管理は必要ではありません。
NEM は、内部インターフェイスとすべての内部ホストをトンネルを介した企業ネットワーク上でルーティングできるようにします。内部ネットワークのホストは、スタティック IP アドレスで事前設定されたアクセス可能なサブネット(スタティックまたは DHCP を介して)から IP アドレスを取得します。NEM では、PAT は VPN トラフィックに適用されません。このモードでは、各クライアントに VPN を設定する必要がありません。NEM モード用に設定された Cisco ASA 5505 では、自動トンネル起動をサポートしています。コンフィギュレーションには、グループ名、ユーザ名、およびパスワードを保存する必要があります。セキュア ユニット認証がイネーブルの場合は、トンネルの自動開始がディセーブルになります。
Easy VPN クライアントのプライベート側のネットワークとアドレスは非表示になっており、直接のアクセスはできません。
• [Enable Easy VPN Remote]:Easy VPN Remote 機能をイネーブルにし、このウィンドウの残りのフィールドを設定できるようにします。
• [Mode]:Client mode か Network extension mode のどちらかを選択します。
– [Client mode]:ポート アドレス変換(PAT)モードを使用して、クライアントに関連する内部ホストのアドレスを企業ネットワークから分離します。
– [Network extension mode]:このようなアドレスを企業ネットワークからアクセス可能にします。
(注) Easy VPN Remote が NEM を使用し、セカンダリ サーバに接続されている場合は、各ヘッドエンドへの ASDM 接続を確立し、[Configuration] > [VPN] > [IPSec] > [IPSec Rules] > [Tunnel Policy (Crypto Map) - Advanced] ダイアログボックスの [Enable Reverse Route Injection] をオンにし、RRI を使用したリモート ネットワークのダイナミック アナウンスメントを設定します。
– [Auto connect]:ネットワーク拡張モードがローカルに設定され、かつ Easy VPN Remote にプッシュされたグループ ポリシーでスプリット トンネリングが設定されている場合を除き、Easy VPN Remote は、自動 IPSec データ トンネルを確立します。両方の条件を満たしている場合は、この属性をオンにすると、IPSec データ トンネルの確立が自動化されます。両方の条件を満たしていて、この属性をオフにした場合、この属性は無視されます。
• [Group Settings]:事前共有キーまたは X.509 証明書をユーザ認証に使用するかどうかを指定します。
– [Pre-shared key]:認証に事前共有キーを使用することをイネーブルにし、この属性を指定すると、その後の、[Group Name]、[Group Password]、[Confirm Password] の各フィールドに、そのキーに含まれるグループ ポリシー名とパスワードを指定できるようになります。
– [Group Name]:認証に使用するグループ ポリシーの名前を指定します。
– [Group Password]:指定したグループ ポリシーで使用するパスワードを指定します。
– [Confirm Password]:入力したグループ パスワードの確認を必須にします。
– [X.509 Certificate]:認証用に、認証局から提供された X.509 デジタル証明書の使用を指定します。
– [Select Trustpoint]:ドロップダウン リストからトラストポイントを選択できます。トラストポイントは、IP アドレスまたはホスト名前です。トラストポイントを定義するには、この領域の下部にある [Trustpoint(s) configuration] リンクをクリックします。
– [Send certificate chain]:証明書自体だけでなく、証明書チェーンの送信もイネーブルにします。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。
• [User Settings]:ユーザ ログイン情報を設定します。
– [User Name]:Easy VPN Remote 接続用の VPN ユーザ名を設定します。 Xauth には、TACACS+ または RADIUS を使用して IKE 内のユーザを認証する機能があります。Xauth は、RADIUS または別のサポートされているユーザ認証プロトコルを使用して、ユーザを認証します(この場合、Easy VPN ハードウェア クライアント)。 セキュア ユニット認証がディセーブルになっており、サーバが Xauth クレデンシャルを要求する場合には、Xauth ユーザ名とパスワード パラメータが使用されます。セキュア ユニット認証がイネーブルの場合、これらのパラメータは無視され、セキュリティ アプライアンスによって、ユーザにユーザ名とパスワードの入力を求めるプロンプトが表示されます。
– [User Password]:Easy VPN Remote 接続用の VPN ユーザ パスワードを設定します。
– [Confirm Password]:入力したユーザ パスワードの確認を必須にします。
• [Easy VPN Server To Be Added]:Easy VPN サーバを追加または削除します。どの ASA または VPN 3000 コンセントレータ シリーズでも Easy VPN サーバとして動作できます。接続を確立する前にサーバを設定する必要があります。セキュリティ アプライアンスは、IPv4 アドレス、名前データベース、または DNS 名をサポートしており、この順序でアドレスを解決します。Easy VPN Server(s) リストの最初のサーバはプライマリ サーバです。プライマリ サーバに加え、最大 10 台のバックアップ サーバを指定できます。
– [Name or IP Address]:リストに追加する Easy VPN サーバの名前または IP アドレス。
– [Add]:指定したサーバを Easy VPN Server(s) リストに移動します。
– [Remove]:Easy VPN Server(s) リストから選択したサーバを Name または IP Address ファイルに移動します。ただし、この作業を実行した場合には、[Name] または [IP Address] フィールドにそのアドレスを再入力しないと、同じアドレスを再度追加することができません。
– [Easy VPN Server(s)]:設定した VPN サーバを優先順位に応じて一覧表示します。
– [Move Up/Move Down]:Easy VPN Server(s) リスト内でのサーバの位置を変更します。これらのボタンは、リストにサーバが 1 台以上存在する場合にだけ使用できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
高度な Easy VPN プロパティ
Cisco IP Phone やプリンタなどのデバイスは、認証を実行できないため、個別ユニット認証に追加できません。これらのデバイスに対応するために、Individual User Authentication がイネーブルになっている場合には、MAC Exemption 属性によってイネーブルにされるデバイス パススルー機能が、指定した MAC アドレスを持つデバイスの認証を免除します。
MAC アドレスの最初の 24 ビットは、その機器の製造元を示します。最後の 24 ビットは、ユニットの 16 進形式のシリアル番号です。
ASA モデル 5505 デバイスを NAT デバイスの後ろで稼働させるときに、Tunneled Management 属性を使用して、デバイス管理の設定方法(クリアまたはトンネリング)を指定し、トンネル経由での Easy VPN Remote 接続の管理を許可するネットワークを指定できます。ASA 5505 のパブリック アドレスが NAT デバイスの後ろにある場合は、NAT デバイスで静的 NAT マッピングを追加しなければアクセスできません。
NAT デバイスの背後で Cisco ASA 5505 を稼働させるときに、 vpnclient management コマンドを使用して、デバイスの管理方法(暗号化の追加または暗号化なし)を指定し、管理アクセスを与えるホストまたはネットワークを指定します。ASA 5505 のパブリック アドレスが NAT デバイスの後ろにある場合は、NAT デバイスで静的 NAT マッピングを追加しなければアクセスできません。
• [MAC Exemption]:Easy VPN Remote 接続のデバイス パススルーで使用する MAC アドレスとマスクを設定します。
– [MAC Address]:指定した MAC アドレスを持つデバイスの認証を免除します。このフィールドで MAC アドレスを指定するための形式は 3 桁の 16 進数値で、45ab.ff36.9999 のようにピリオドで区切られます。
– [MAC Mask]:このフィールドで MAC アドレスを指定するための形式は 3 桁の 16 進数値で、たとえば ffff.ffff.ffff という MAC マスクは、指定した MAC アドレスとだけ一致します。すべてがゼロの MAC マスクは、いずれの MAC アドレスとも一致しません。MAC マスク ffff.ff00.0000 は、製造業者が同じであるすべてのデバイスと一致します。
– [Add]:指定した MAC アドレスとマスクのペアを MAC Address/Mask リストに追加します。
– [Remove]:MAC Address/MAC リストから選択した MAC アドレスとマスクのペアを、個々の [MAC Address] および [MAC Mask] フィールドに移動します。
• [Tunneled Management]:デバイス管理のための IPSec の暗号化を設定し、トンネル経由での Easy VPN ハードウェア クライアント接続の管理を許可するネットワークを指定します。[Clear Tunneled Management] を選択しても、IPSec の暗号化レベルが削除されるだけで、SSH や https など、その接続に存在する他の暗号化には影響しません。
– [Enable Tunneled Management]:すでに管理トンネルに存在する SSH または HTTPS 暗号化に IPSec 暗号化レイヤを追加します。
– [Clear Tunneled Management]:暗号化を追加せず、すでに管理トンネルに存在する暗号化を使用します。
– [IP Address]:VPN トンネル経由での Easy VPN ハードウェア クライアントへの管理アクセスを許可するホストまたはネットワークの IP アドレスを指定します。1 つ以上の IP アドレスと各ネットワーク マスクを個別に追加できます。
– [Mask]:対応する IP アドレスのネットワーク マスクを指定します。
– [Add]:指定した IP アドレスとマスクを IP Address/Mask リストに移動します。
– [Remove]:選択した IP アドレスとマスクのペアを、IP Address/Mask リストから、この領域にある個々の [IP Address/Mask] フィールドに移動します。
– [IP Address/Mask]:この領域の Enable または Clear 機能によって処理される、設定した IP アドレスとマスクのペアを一覧表示します。
• [IPSec Over TCP]:Easy VPN Remote 接続に TCP でカプセル化された IPSec を使用するように設定します。
– [Enable]:IPSec over TCP をイネーブルにします。
(注) Easy VPN Remote 接続で、TCP でカプセル化された IPSec を使用する場合は、[Configuration] > [VPN] > [IPSec] > [Pre-Fragmentation] を選択し、外部インターフェイスをダブルクリックし、DF Bit Setting Policy を Clear に設定します。Clear 設定を使用して、セキュリティ アプライアンスに大きいパケットを送信させることができます。
– [Enter Port Number]:IPSec over TCP 接続で使用するポート番号を指定します。
• [Server Certificate]:Easy VPN Remote 接続が、証明書マップが指定した特定の証明書を持つ Easy VPN サーバとの接続だけを許可するように設定します。このパラメータを使用して、Easy VPN サーバ証明書のフィルタリングをイネーブルにします。証明書マップを定義するには、[Configuration] > [VPN] > [IKE] > [Certificate Group Matching] > [Rules] にアクセスします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック