Cisco ASA 5505 クイック スタート ガイド Version 8.0

クライアントレス SSL VPN 接続のセキュリティに関する検討事項

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバと情報をやりとりする方法と、証明書の確認に関して、リモート アクセス IPsec 接続とは異なります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスがエンドユーザの Web ブラウザとターゲット Web サーバ間のプロキシの役割を果たします。ユーザが SSL 対応 Web サーバに接続すると、適応型セキュリティ アプライアンスがセキュアな接続を確立し、サーバの SSL 証明書を確認します。エンドユーザのブラウザが、提示される証明書を受け取ることはないため、エンドユーザのブラウザから証明書を調べて確認することはできません。

適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN の実装では、有効期限が切れた証明書を提示したサイトとの通信は許可されていません。また、適応型セキュリティ アプライアンスは、信頼されている CA 証明書の確認を行いません。そのため、ユーザは、SSL 対応 Web サーバと通信する前に、SSL 対応 Web サーバが提供する証明書を解析することはできません。

SSL 証明書についてのリスクを最小限に抑えるには、次の方法があります。

1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザで構成されるグループ ポリシーを設定し、そのグループ ポリシーに対してのみイネーブルにする。

2. たとえば、クライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限するなどして、クライアントレス SSL VPN ユーザのインターネット アクセスを制限する。これを実行すると、インターネット上の一般的なコンテンツへのアクセスが制限されることがあります。その場合、クライアントレス SSL VPN ユーザがアクセスできるようにする、内部ネットワーク上の特定のターゲットへのリンクを設定できます。

3. ユーザを教育する。SSL 対応サイトがプライベート ネットワーク内部にない場合は、クライアントレス SSL VPN 接続を介してそのサイトにアクセスしないでください。そのようなサイトにアクセスするには、個別のブラウザ ウィンドウを開き、そのブラウザを使用して提示された証明書を参照します。

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続用の次の機能をサポートしていません。

• NAT。グローバルに一意の IP アドレスの必要性を低下させます。

• PAT。複数のアウトバウンド セッションが単一の IP アドレスから発信されているように見せることを許可します。

収集する情報

リモート アクセス IPsec VPN 接続を受け入れるように適応型セキュリティ アプライアンスを設定する手順を開始する前に、次の情報を手元に用意してください。

• リモート ユーザが接続する適応型セキュリティ アプライアンスのインターフェイス名。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。

• デジタル証明書。

ASA 5505 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするため、システムを本番環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することができます。

• ローカル認証データベースを作成するときに使用するユーザのリスト（認証用に AAA サーバを使用している場合を除く）。

• 認証に AAA サーバを使用する場合、AAA サーバ グループ名。

• AAA サーバ上のグループ ポリシーに関する次の情報：

–サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–認証に使用する適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバで認証を行うための秘密鍵

• リモート ユーザが接続を確立したときに、SSL VPN ポータル ページに表示する内部 Web サイトまたはページのリスト。これは、ユーザが初めて接続を確立したときに表示されるページなので、リモート ユーザが最も頻繁に使用するターゲットを含める必要があります。

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアがインストールされていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して ASDM に直接アクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順に従います。

ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username と Password のフィールドは空白のままにしておきます。

（注） デフォルトでは、Cisco ASDM Launcher に Username と Password は設定されていません。

ステップ 4 OK をクリックします。

ステップ 5 証明書の受け入れ要求を含むセキュリティ警告が表示された場合は、 Yes をクリックします。

ASA が、アップデートされたソフトウェアがあるかどうか確認し、ある場合は自動的にダウンロードします。

メイン ASDM ウィンドウが表示されます。

ブラウザベースの SSL VPN 接続用の ASA 5505 の設定

ブラウザベースの SSL VPN の設定用のプロセスを開始するには、次の手順に従います。

ステップ 1 メイン ASDM ウィンドウで、Wizards ドロップダウン メニューから SSL VPN Wizard を選択します。SSL VPN Feature Step 1 画面が表示されます。

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順に従います。

a. Browser-based SSL VPN (Web VPN) チェックボックスをオンにします。

b. Next をクリックして続行します。

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順に従います。

ステップ 1 リモート ユーザが接続する接続名を指定します。

ステップ 2 SSL VPN Interface ドロップダウン リストから、リモート ユーザが接続するインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストから、ASA を認証するために ASA がリモート ユーザに送信する証明書を選択します。

（注） ASA 5505 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするため、システムを本番環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することができます。

ユーザ認証方式の指定

ユーザの認証は、ローカル認証データベース、または外部の Authentication, Authorization, and Accounting（AAA; 認証、認可、アカウンティング）サーバを使用して実行できます（AAA サーバには RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP があります）。

SSL VPN Wizard の Step 3 で、次の手順に従います。

ステップ 1 AAA サーバまたはサーバ グループを認証に使用している場合、次の手順に従います。

a. Authenticate Using an AAA Server Group オプション ボタンをクリックします。

b. 事前設定されているサーバ グループを Authenticate using an AAA Server Group ドロップダウン リストから選択するか、New をクリックして新しい AAA サーバ グループを追加します。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次の内容を指定します。

–サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバと通信するときに使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースを使用してユーザを認証する場合、次の手順で新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順に従ってグループ ポリシーを指定します。

ステップ 1 Create new group policy オプション ボタンをクリックして、グループ名を指定します。

または、

Modify an existing group policy オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。

ステップ 2 Next をクリックします。

リモート ユーザ用のブックマーク リストの作成

ユーザが簡単にアクセスできるように URL のリストを指定して、ポータル ページ、つまりブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立したときに表示される特別な Web ページを作成できます。

SSL VPN Wizard の Step 5 で、次の手順に従って、VPN ポータル ページに表示する URL を指定します。

ステップ 1 既存のブックマーク リストを指定するには、ドロップダウン リストからブックマーク リスト名を選択します。

新しいリストを追加するか、既存のリストを編集するには、Manage をクリックします。

Configure GUI Customization Objects ダイアログボックスが表示されます。

ステップ 2 新しいブックマーク リストを作成するには、 Add をクリックします。

既存のブックマーク リストを編集するには、リストを選択して Edit をクリックします。

Add Bookmark List ダイアログボックスが表示されます。

ステップ 3 URL List Name ボックスで、作成するブックマーク リスト名を指定します。この名前は、VPN ポータル ページのタイトルとして使用されます。

ステップ 4 Add をクリックして、新しい URL をブックマーク リストに追加します。

Add Bookmark Entry ダイアログボックスが表示されます。

ステップ 5 Bookmark Title フィールドで、リストのタイトルを指定します。

ステップ 6 URL Value ドロップダウン リストから、指定する URL のタイプを選択します。たとえば、http、https、ftp などです。

次に、ページの完全な URL を指定します。

ステップ 7 OK をクリックして、Add Bookmark List ダイアログボックスに戻ります。

ステップ 8 ブックマーク リストの追加が終了したら、OK をクリックして Configure GUI Customization Objects ダイアログボックスに戻ります。

ステップ 9 ブックマーク リストの追加および編集が終了したら、 OK をクリックして SSL VPN Wizard の Step 5 に戻ります。

ステップ 10 Bookmark List ドロップダウン リストから、この VPN グループのブックマーク リスト名を選択します。

ステップ 11 Next をクリックして続行します。

設定の確認

SSL VPN Wizard の Step 7 で、設定内容が正しいことを確認します。表示される設定は次のようになります。

適切に設定されている場合は Finish をクリックして、適応型セキュリティ アプライアンスに変更内容を適用します。

次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、File メニューから Save をクリックします。または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。

設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。