- 始める前に
- ASA 5550 のスループットの 最大化
- ASA 5550 の取り付け
- ASA 5500、ASA 5510、ASA 5520 および ASA 5540 の設置
- オプションの SSM の取り付け
- ASA 5500、ASA 5510、 ASA 5520、および ASA 5540 プラットフォームでのインター フェイス ケーブルの接続
- 適応型セキュリティ アプライ アンスの設定
- シナリオ:DMZ の設定
- シナリオ: IPSec リモートアク セス VPN の設定
- シナリオ:Cisco AnyConnect VPN Client 用の接続の設定
- シナリオ:SSL VPN クライアン トレス接続
- シナリオ:サイトツーサイト VPN の設定
- AIP SSM の設定
- CSC SSM の設定
- ファイバ用 4GE SSM の設定
- 3DES/AES ライセンスの取得
- 索引
Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド Version 8.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: シナリオ:SSL VPN クライアン トレス接続
シナリオ:SSL VPN クライアントレス接続
この章では、適応型セキュリティ アプライアンスを使用して、ソフトウェア クライアントを使用せずに(クライアントレスで)リモートアクセス SSL VPN 接続を受け付ける方法について説明します。クライアントレス SSL VPN を使用すると、Web ブラウザを使用してインターネットを経由するセキュアな接続(トンネル)を作成できます。この方法により、セキュアなアクセスを、ソフトウェア クライアントおよびハードウェア クライアントを持たないオフサイト ユーザに提供できます。
•
「ブラウザベースの SSL VPN アクセスを使用したネットワーク例」
• 「次の手順」
クライアントレス SSL VPN について
クライアントレス SSL VPN 接続は、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションにセキュアにかつ簡単にアクセスできるようにするものです。次のものが含まれます。
• NT/Active Directory および FTP ファイルの共有資源
• 電子メール プロキシ(POP3S、IMAP4S、および SMTPS など)
• アプリケーション アクセス(他の TCP ベースのアプリケーションにアクセスするためのポート転送)およびスマート トンネル
クライアントレス SSL VPN は Secure Sockets Layer Protocol(SSL)およびその後継の Transport Layer Security(TLSI)を使用して、リモート ユーザとサポートされている特定の内部リソース(中央サイトに設定されている)との間にセキュアな接続を提供します。適応型セキュリティ アプライアンスはプロキシする必要のある接続を認識し、HTTP サーバは認証サブシステムとやりとりしてユーザを認証します。
ネットワーク管理者は、クライアントレス SSL VPN のユーザ別にグループ単位でリソースへのアクセスを提供します。
クライアントレス SSL VPN 接続のセキュリティ上の考慮事項
適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバとの通信方法や証明書の検証方法の点で、リモートアクセス IPsec 接続と異なります。
クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応の Web サーバに接続すると、適応型セキュリティ アプライアンスはセキュアな接続を確立し、サーバの SSL 証明書を検証します。エンド ユーザのブラウザが提示された証明書を受信することはないため、証明書を調べたり検証したりはできません。
適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN の実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されていません。また、適応型セキュリティ アプライアンスが信頼できる CA 証明書を検証することもありません。このため、ユーザは、SSL 対応の Web サーバとの通信の前に、このサーバが提示する証明書を分析することはできません。
SSL 証明書に含まれるリスクを最小限にするには、次のようにします。
1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザからなるグループ ポリシーを設定し、このグループ ポリシーに対してのみクライアントレス SSL VPN アクセスをイネーブルにします。
2. クライアントレス SSL VPN ユーザのインターネット アクセスを制限します。たとえば、ユーザがクライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限します。これを行うには、まず、ユーザによるインターネット上の一般コンテンツへのアクセスを制限します。次に、クライアントレス SSL VPN のユーザによるアクセスを制限する、内部ネットワーク上の特定のターゲットへのリンクを設定します。
3. ユーザ教育を行います。SSL 対応のサイトがプライベート ネットワーク内に存在しない場合、ユーザはクライアントレス SSL VPN 接続でこのようなサイトにアクセスしてはいけません。ユーザは別のブラウザ ウィンドウを開いてこのようなサイトにアクセスし、ブラウザを使用して提示された証明書を表示します。
適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続に対して次の機能はサポートしていません。
ブラウザベースの SSL VPN アクセスを使用したネットワーク例
図 11-1 は、Web ブラウザを使用したインターネット経由での SSL VPN 接続を受け付けるように設定された適応型セキュリティ アプライアンスを示しています。
図 11-1 SSL VPN 接続のネットワーク レイアウト
クライアントレス SSL VPN シナリオの実装
この項では、Web ブラウザからの SSL VPN 要求を受け付けるように適応型セキュリティ アプライアンスを設定する方法について説明します。設定値の例は、図 11-1 で示すリモートアクセスのシナリオから取得されます。
• 「必要な情報」
• 「ブラウザベースの SSL VPN 接続用の適応型セキュリティ アプライアンスの設定」
• 「設定の確認」
必要な情報
適応型セキュリティ アプライアンスの設定を開始してリモートアクセス IPsec VPN 接続を受け付けるには、事前に必ず次の情報を準備します。
• リモート ユーザの接続先である、適応型セキュリティ アプライアンス上のインターフェイスの名前。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。
ASA 5500 シリーズは、デフォルトで自己署名証明書を生成します。より高度なセキュリティのために、またブラウザの警告メッセージを表示しないようにするために、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。
• ローカル認証データベースの作成に使用されるユーザのリスト(認証に AAA サーバを使用する場合を除く)。
• 認証に AAA サーバを使用している場合は、AAA サーバ グループ名。
–使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)
–認証に使用する適応型セキュリティ アプライアンスのインターフェイス
• リモート ユーザが接続を確立したときに SSL VPN ポータル ページに表示する、内部 Web サイトまたはページのリスト。このページは、ユーザが最初に接続を確立したときに表示されるものであるため、リモート ユーザにとって最もよく使用するターゲットで構成されている必要があります。
ASDM の起動
この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、「ASDM Launcher のインストール」を参照してください。
Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。
ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。
ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。
ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。
ステップ 3 Username および Password フィールドはブランクのままにします。
(注) デフォルトで、Cisco ASDM Launcher には Username および Password は設定されていません。
ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。
適応型セキュリティ アプライアンスは更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。
ブラウザベースの SSL VPN 接続用の適応型セキュリティ アプライアンスの設定
ブラウザベースの SSL VPN の設定プロセスを開始するには、次の手順を実行します。
ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、 SSL VPN Wizard を選択します。SSL VPN Wizard の Step 1 画面が表示されます。
ステップ 2 SSL VPN Wizard の Step 1 で、次の手順を実行します。
a. Browser-based SSL VPN (Web VPN) チェックボックスをオンにします。
SSL VPN インターフェイスの指定
SSL VPN Wizard の Step 2 で、次の手順を実行します。
ステップ 1 リモート ユーザの接続先の接続名を指定します。
ステップ 2 SSL VPN Interface ドロップダウン リストで、リモート ユーザの接続先のインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。
ステップ 3 Certificate ドロップダウン リストで、適応型セキュリティ アプライアンスが認証のためにリモート ユーザに送信する証明書を選択します。
(注) ASA 5500 シリーズは、デフォルトで自己署名証明書を生成します。より高度なセキュリティのために、またブラウザの警告メッセージを表示しないようにするために、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。
ユーザ認証方式の指定
ユーザは、ローカル認証データベース、または外部認証、認可、アカウンティング(AAA)サーバ(RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP)で認証できます。
SSL VPN Wizard の Step 3 で、次の手順を実行します。
ステップ 1 認証に AAA サーバまたはサーバ グループを使用している場合は、次の手順を実行します。
a. Authenticate using a AAA server group オプション ボタンをクリックします。
b. Authenticate using a AAA server group ドロップダウン リストから事前設定済みのサーバ グループを選択するか、または New をクリックして、新しい AAA サーバ グループを追加します。
新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。
–使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)
ステップ 2 ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。
新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。
ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。
グループ ポリシーの指定
SSL VPN Wizard の Step 4 で、次の手順を実行してグループ ポリシーを指定します。
ステップ 1 Create new group policy オプション ボタンをクリックして、グループ名を指定します。
Modify existing group policy オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。
リモート ユーザ用のブックマーク リストの作成
ポータル ページとは、ブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立したときに表示される、特別な Web ページです。ポータル ページを作成するには、ユーザが簡単にアクセスできる URL のリストを指定します。
SSL VPN Wizard の Step 5 で、次の手順を実行して、VPN ポータル ページ上に表示する URL を指定します。
ステップ 1 既存のブックマーク リストを指定するには、ドロップダウンリストからブックマーク リスト名を選択します。
新しいリストの追加または既存のリストの編集を行うには、Manage をクリックします。
Configure GUI Customization Objects ダイアログボックスが表示されます。
ステップ 2 新しいブックマーク リストを作成するには、 Add をクリックします。
既存のブックマーク リストを編集するには、 Edit をクリックします。
Add Bookmark List ダイアログボックスが表示されます。
ステップ 3 Bookmark List Name ボックスに、作成するブックマーク リストの名前を入力します。この名前は、VPN ポータル ページのタイトルとして使用されます。
ステップ 4 Add をクリックして、新しい URL をブックマーク リストに追加します。
Add Bookmark Entry ダイアログボックスが表示されます。
ステップ 5 Bookmark Title フィールドに、ブックマーク リストのタイトルを指定します。
ステップ 6 URL Value ドロップダウン リストで、指定する URL のタイプを選択します。たとえば、http、https、ftp などを選択します。
ステップ 7 OK をクリックして、Add Bookmark List ダイアログボックスに戻ります。
ステップ 8 ブックマーク リストの追加が終了したら、OK をクリックして Configure GUI Customization Objects ダイアログボックスに戻ります。
ステップ 9 ブックマーク リストの追加および編集が終了したら、 OK をクリックして SSL VPN Wizard の Step 5 に戻ります。
ステップ 10 Bookmark List ドロップダウン リストで、この VPN グループのブックマーク リストの名前を選択します。
設定の確認
SSL VPN Wizard の Step 7 で、設定を見直して正しいことを確認します。表示される設定は、次のようになります。
設定が正しいことを確認したら、 Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。
次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。
次の手順
クライアントレス SSL VPN 環境に適応型セキュリティ アプライアンスを配置するだけの場合は、これで初期設定は終わりです。このほかに、次の手順について、実行する必要があるかどうかを検討してください。
|
|
|
|---|---|
Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages |
適応型セキュリティ アプライアンスは、複数のアプリケーション用に設定できます。次の項で、その他の一般的なアプリケーション用に適応型セキュリティ アプライアンスを設定する手順を説明します。
|
|
|
|---|---|
フィードバック