(注) |
Cisco VPN Client は耐用年数末期で、サポートが終了しています。AnyConnect セキュア モビリティ クライアントにアップグレードする必要があります。
|
IKEv1 Remote Access Wizard を使用して、モバイル ユーザなどの VPN クライアントに安全なリモート アクセスを設定し、リモート IPsec ピアに接続するインターフェイスを指定します。
-
[VPN Tunnel Interface]:リモート アクセス クライアントで使用するインターフェイスを選択します。ASA に複数のインターフェイスがある場合は、このウィザードを実行する前に ASA でインターフェイスを設定します。
-
[Enable inbound IPsec sessions to bypass interface access lists]:IPsec 認証済みの着信セッションを ASA によって常に許可するようにします(つまり、インターフェイスの access-list
文をチェックしないようにします)。着信セッションがバイパスするのは、インターフェイス ACL だけです。設定されたグループ ポリシー、ユーザ、およびダウンロードされた ACL は適用されます。
リモート アクセス クライアント
さまざまなタイプのリモート アクセス ユーザが、この ASA への VPN トンネルを開くことができます。このトンネルの VPN クライアントのタイプを選択します。
-
VPN Client Type
-
[Easy VPN Remote product]
-
[Microsoft Windows client using L2TP over IPsec]:PPP 認証プロトコルを指定します。選択肢は、PAP、CHAP、MS-CHAP-V1、MS-CHAP-V2、および EAP-PROXY です。
[PAP]:認証中にクリアテキストのユーザ名とパスワードを渡すので、安全ではありません。
[CHAP]:サーバのチャレンジに対する応答で、クライアントは暗号化されたチャレンジとパスワードおよびクリアテキストのユーザ名を返します。このプロトコルは、PAP より安全ですが、データは暗号化されません。
[MS-CHAP, Version 1]:CHAP と似ていますが、サーバは、CHAP のようなクリアテキストのパスワードではなく、暗号化したパスワードだけを保存および比較するので安全です。
[MS-CHAP, Version 2]:MS-CHAP, Version 1 以上のセキュリティ強化機能が含まれています。
[EAP-Proxy]:EAP をイネーブルにします。これによって ASA は、PPP 認証プロセスを外部の RADIUS 認証サーバに代行させることができます。
リモート クライアントでプロトコルが指定されていない場合は、指定しないでください。
-
指定するのは、クライアントからトンネル グループ名が username@tunnelgroup として送信される場合です。
VPN クライアント認証方式とトンネル グループ名
認証方式を設定し、接続ポリシー(トンネル グループ)を作成するには、[VPN Client Authentication Method and Name] ペインを使用します。
-
[Authentication Method]:リモート サイト ピアは、事前共有キーか証明書のいずれかを使用して認証します。
-
[Pre-shared Key]:ローカル ASA とリモート IPsec ピア間の認証で事前共有キーを使用する場合にクリックします。
事前共有キーを使用すると、リモート ピアの数が限定的でかつネットワークが安定している場合、通信をすばやく簡単にセットアップできます。それぞれの IPsec ピアは、セキュアな接続を確立する相手のピアごとにコンフィギュレーション情報を必要とするため、大規模なネットワークではスケーラビリティの問題が生じる場合があります。
IPsec ピアの各ペアは、事前共有キーを交換してセキュアなトンネルを確立する必要があります。セキュアな方法を使用して、リモート サイトの管理者と事前共有キーを交換してください。
-
[Pre-shared Key]:1~128 文字の英数字文字列を入力します。
-
[Certificate]:ローカル ASA とリモート IPsec ピア間の認証で証明書を使用する場合にクリックします。このセクションを完了するには、事前に CA に登録し、1 つ以上の証明書を ASA にダウンロードしておく必要があります。
デジタル証明書による IPSec トンネルの確立に使用するセキュリティ キーを効率よく管理できます。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなどの、ユーザまたはデバイスを識別する情報が記述されています。またデジタル証明書には、公開キーのコピーも含まれています。
デジタル証明書を使用するには、デジタル証明書を発行する認証局(CA)に各ピアを登録します。CA は、信頼できるベンダーまたは組織内で設置したプライベート CA の場合もあります。
2 つのピアが通信する場合は、証明書とデジタル署名されたデータを交換して、相互の認証を行います。新しいピアをネットワークに追加する場合は、そのピアを CA に登録します。他のピアが追加の設定を行う必要はありません。
[Certificate Signing Algorithm]:デジタル証明書署名アルゴリズムを表示します(RSA の場合は rsa-sig)。
-
[Tunnel Group Name]:名前を入力して、この IPsec 接続のトンネル接続ポリシーを含むレコードを作成します。接続ポリシーでは、認証、許可、アカウンティング サーバ、デフォルト グループ ポリシー、および IKE 属性を指定できます。この
VPN ウィザードで設定する接続ポリシーは、認証方式を指定し、ASA のデフォルトのグループ ポリシーを使用します。
クライアント認証
[Client Authentication] ペインでは、ASA がリモート ユーザを認証するときに使用する方法を選択します。次のオプションのいずれかを選択します。
-
[Authenticate using the local user database]:ASA の内部の認証方式を使用する場合にクリックします。この方式は、ユーザの数が少なくて安定している環境で使用します。次のペインでは、ASA に個々のユーザのアカウントを作成できます。
-
[Authenticate using an AAA server group]:リモート ユーザ認証で外部サーバ グループを使用する場合にクリックします。
User Accounts
[User Accounts] ペインでは、認証を目的として、ASA の内部ユーザ データベースに新しいユーザを追加します。
Address Pool
[Address Pool] ペインでは、ASA がリモート VPN クライアントに割り当てるローカル IP アドレスのプールを設定します。
-
[Tunnel Group Name]:このアドレス プールが適用される接続プロファイル(トンネル グループ)の名前が表示されます。この名前は、[VPN Client Name and Authentication Method] ペイン(ステップ
3)で設定したものです。
-
[Pool Name]:アドレス プールの記述 ID を選択します。
-
[New...]:新しいアドレス プールを設定します。
-
[Range Start Address]:アドレス プールの開始 IP アドレスを入力します。
-
[Range End Address]:アドレス プールの終了 IP アドレスを入力します。
-
[Subnet Mask]:(任意)これらの IP アドレスのサブネット マスクを選択します。
Attributes Pushed to Client (任意)
[Attributes Pushed to Client (Optional)] ペインでは、DNS サーバと WINS サーバに関する情報およびデフォルト ドメイン名をリモート アクセス クライアントに渡すように、ASA を設定します。
-
[Tunnel Group]:アドレス プールが適用される接続ポリシーの名前を表示します。この名前は、[VPN Client Name and Authentication Method] ペインで設定したものです。
-
[Primary DNS Server]:プライマリ DNS サーバの IP アドレスを入力します。
-
[Secondary DNS Server]:セカンダリ DNS サーバの IP アドレスを入力します。
-
[Primary WINS Server]:プライマリ WINS サーバの IP アドレスを入力します。
-
[Secondary WINS Server]:セカンダリ WINS サーバの IP アドレスを入力します。
-
[Default Domain Name]:デフォルトのドメイン名を入力します。
IKE Policy
Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれる IKE は、2 台のホストで IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーション
プロトコルです。各 IKE ネゴシエーションは、フェーズ 1 とフェーズ 2 と呼ばれる 2 つの部分に分かれます。フェーズ 1 は、以後の IKE ネゴシエーション メッセージを保護する最初のトンネルを作成します。フェーズ 2 では、データを保護するトンネルが作成されます。
[IKE Policy] ペインでは、フェーズ 1 IKE ネゴシエーションの条件を設定します。この条件には、データを保護し、プライバシーを守る暗号化方式、ピアの ID を確認する認証方式、および暗号キー判別アルゴリズムを強化する Diffie-Hellman
グループが含まれます。ASA はこのアルゴリズムを使用して、暗号キーとハッシュ キーを導出します。
-
[Encryption]:フェーズ 2 ネゴシエーションを保護するフェーズ 1 SA を確立するために ASA が使用する、対称暗号化アルゴリズムを選択します。ASA は、次の暗号化アルゴリズムをサポートしています。
アルゴリズム
|
説明
|
DES
|
データ暗号規格。56 ビット キーを使用します。
|
3DES
|
Triple DES。56 ビット キーを使用して暗号化を 3 回実行します。
|
AES-128
|
高度暗号化規格。128 ビット キーを使用します。
|
aes-192
|
192 ビット キーを使用する AES。
|
AES-256
|
256 ビット キーを使用する AES。
|
デフォルトの 3DES は DES よりもセキュアですが、暗号化と復号化には、より多くの処理を必要とします。同様に、AES オプションによるセキュリティは強力ですが、必要な処理量も増大します。
-
[Authentication]:認証やデータ整合性の確保のために使用するハッシュ アルゴリズムを選択します。デフォルトは SHA です。MD5 のダイジェストは小さく、SHA よりもわずかに速いとされています。MD5 は、(きわめて困難ですが)攻撃により破れることが実証されています。しかし、ASA
で使用される Keyed-Hash Message Authentication Code(HMAC)バージョンはこの攻撃を防ぎます。
-
[Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択します。2 つの IPsec ピアは、相互に共有秘密情報を転送することなく共有秘密情報を導出するためにこの ID を使用します。デフォルト DH グループ 14(2048 ビット)は、グループ 2 およびグループ 5 よりも安全性が高いと見なされます。
IPsec Settings(任意)
[IPsec Settings (Optional)] ペインでは、アドレス変換が不要なローカル ホスト/ネットワークを指定します。デフォルトでは、ASA は、ダイナミックまたはスタティックなネットワーク アドレス変換(NAT)を使用して、内部のホストおよびネットワークの実
IP アドレスを外部ホストから隠します。NAT は、信頼できない外部ホストによる攻撃の危険性を最小限に抑えますが、VPN によって認証および保護されているホストに対しては不適切な場合があります。
たとえば、ダイナミック NAT を使用する内部ホストは、プールから無作為に選択したアドレスと照合することにより、その IP アドレスを変換させます。外部ホストからは、変換されたアドレスだけが見えるようになります。本当の IP アドレスにデータを送信することによってこれらの内部ホストに到達しようとするリモート
VPN クライアントは、NAT 免除ルールを設定しない限り、これらのホストには接続できません。
(注) |
すべてのホストとネットワークを NAT から免除する場合は、このペインでは何も設定しません。エントリが 1 つでも存在すると、他のすべてのホストとネットワークは NAT に従います。
|
-
[Interface]:選択したホストまたはネットワークに接続するインターフェイスの名前を選択します。
-
[Exempt Networks]:選択したインターフェイス ネットワークから免除するホストまたはネットワークの IP アドレスを選択します。
-
[Enable split tunneling]:リモート アクセス クライアントからのパブリック インターネット宛のトラフィックを暗号化せずに送信する場合に選択します。スプリット トンネリングにより、保護されたネットワークのトラフィックが暗号化され、保護されていないネットワークのトラフィックは暗号化されません。スプリット
トンネリングをイネーブルにすると、ASA は、認証後に IP アドレスのリストをリモート VPN クライアントにプッシュします。リモート VPN クライアントは、ASA の背後にある IP アドレスへのトラフィックを暗号化します。他のすべてのトラフィックは暗号化されずに直接インターネットに送り出され、ASA
は関与しません。
-
[Enable Perfect Forwarding Secrecy (PFS)]:フェーズ 2 IPsec キーの生成において、Perfect Forward Secrecy を使用するかどうか、および使用する番号のサイズを指定します。PFS
は、新しいキーはすべて、あらゆる過去のキーと関係しないという暗号化コンセプトです。IPsec ネゴシエーションでは、PFS がイネーブルになるまで、フェーズ 2 キーはフェーズ 1 キーに基づいています。PFS では、キーの生成に Diffie-Hellman
方式が採用されています。
PFS によって、秘密キーの 1 つが将来解読されても、一連の長期公開キーおよび秘密キーから派生したセッション キーは解読されなくなります。
PFS は、接続の両側でイネーブルにする必要があります。
Summary
設定に問題なければ、[Finish] をクリックします。ASDM によって LAN-to-LAN のコンフィギュレーションが保存されます。[Finish] をクリックした後は、この VPN ウィザードを使用してこのコンフィギュレーションを変更することはできません。ASDM を使用して拡張機能を編集および設定してください。