Cisco ASA 5580 スタート ガイド Version 8.1

クライアントレス SSL VPN 接続のセキュリティに関する検討事項

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバとの対話方法および証明書の検証に関して、リモート アクセス IPsec 接続とは異なります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスがエンドユーザの Web ブラウザとターゲット Web サーバとの間でプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、適応型セキュリティ アプライアンスはセキュアな接続を確立し、サーバの SSL 証明書を検証します。エンドユーザのブラウザは、提示される証明書を受け取ることはありません。したがって、エンドユーザのブラウザでは証明書の検査および検証はできません。

適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN の実装では、有効期限が切れた証明書を提示したサイトとの通信は許可されません。また、適応型セキュリティ アプライアンスでは、信頼されている CA 証明書の検証は行われません。そのため、ユーザは、SSL 対応 Web サーバと通信する前に、SSL 対応 Web サーバが提供する証明書を解析することはできません。

SSL 証明書に関するリスクを最小限に抑えるには、次の方法があります。

1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザで構成されるグループ ポリシーを設定し、そのグループ ポリシーに対してのみクライアントレス SSL VPN アクセスをイネーブルにします。

2. クライアントレス SSL VPN ユーザのインターネット アクセスを制限します。たとえば、ユーザがクライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限します。これを実行すると、インターネット上の一般的なコンテンツへのユーザによるアクセスが制限されることがあります。その場合は、クライアントレス SSL VPN ユーザがアクセスできる内部ネットワーク上の特定ターゲットへのリンクを設定できます。

3. ユーザを教育します。SSL 対応サイトがプライベート ネットワーク内部にない場合、ユーザはクライアントレス SSL VPN 接続を介してそのサイトにアクセスすべきではありません。そのようなサイトにアクセスするには、別のブラウザ ウィンドウを開く必要があります。そのブラウザを使用して、提示された証明書を参照します。

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続に対して、次の機能をサポートしません。

• NAT（グローバルに一意の IP アドレスの必要性を低減する機能）

• PAT（複数のアウトバウンド セッションが単一の IP アドレスから発信されているように見せることを許可する機能）

必要な情報

リモート アクセス IPsec VPN 接続を受け入れるための適応型セキュリティ アプライアンスの設定を開始する前に、次の情報を用意してください。

• リモート ユーザが接続する適応型セキュリティ アプライアンスのインターフェイスの名前。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。

• デジタル証明書。

ASA 5580 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、かつブラウザの警告メッセージが表示されないようにするために、システムを実稼働環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することもできます。

• ローカル認証データベースを作成するときに使用するユーザのリスト（認証に AAA サーバを使用している場合を除く）。

• AAA サーバ グループ名（認証に AAA サーバを使用している場合）。

• AAA サーバ上のグループ ポリシーに関する次の情報。

–サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–認証に使用する適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバで認証を行うための秘密鍵

• リモート ユーザが接続を確立したときに、SSL VPN ポータル ページに表示する内部 Web サイトまたはページのリスト。これは、ユーザが初めて接続を確立したときに表示されるページなので、リモート ユーザが最も頻繁に使用するターゲットを含める必要があります。

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアがインストールされていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して ASDM に直接アクセスする場合は、「Web ブラウザでの ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。

ステップ 1 デスクトップから Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username フィールドと Password フィールドを空のままにします。

（注） デフォルトでは、Cisco ASDM Launcher に Username と Password は設定されていません。

ステップ 4 OK をクリックします。

ステップ 5 証明書の受け入れを求めるセキュリティ警告が表示された場合は、 Yes をクリックします。

ASA 5580 は最新ソフトウェアが存在するかどうかを調べ、存在する場合は自動的にダウンロードします。

ASDM のメイン ウィンドウが表示されます。

ブラウザベースの SSL VPN 接続用の ASA 5580 の設定

ブラウザベースの SSL VPN の設定プロセスを開始するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウで、Wizards ドロップダウン メニューから SSL VPN Wizard を選択します。SSL VPN Wizard Step 1 画面が表示されます。

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順を実行します。

a. Clientless SSL VPN Access チェックボックスをオンにします。

b. Next をクリックして続行します。

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順を実行します。

ステップ 1 リモート ユーザが接続する接続名を指定します。

ステップ 2 SSL VPN Interface ドロップダウン リストから、リモート ユーザが接続するインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストから、ASA 5580 を認証するために ASA 5580 がリモート ユーザに送信する証明書を選択します。

（注） ASA 5580 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、かつブラウザの警告メッセージが表示されないようにするために、システムを実稼働環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することもできます。

ユーザ認証方式の指定

ユーザは、ローカル認証データベース、または外部認証、認可、アカウンティング（AAA）サーバ（RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP）で認証できます。

SSL VPN Wizard の Step 3 で、次の手順を実行します。

ステップ 1 AAA サーバまたはサーバ グループを認証に使用している場合、次の手順を実行します。

a. Authenticate using a AAA server group オプション ボタンをクリックします。

b. AAA Server Group Name ドロップダウン リストから事前設定済みのサーバ グループを選択するか、New をクリックして新しい AAA サーバ グループを追加します。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次の内容を指定します。

–サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバと通信するときに使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順を実行してグループ ポリシーを指定します。

ステップ 1 Create new group policy オプション ボタンをクリックし、グループ名を指定します。

または

Modify existing group policy オプション ボタンをクリックし、ドロップダウン リストからグループを選択します。

ステップ 2 Next をクリックします。

リモート ユーザ用のブックマーク リストの作成

ユーザが簡単にアクセスできるように URL のリストを指定して、ポータル ページ（ブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立したときに表示される特別な Web ページ）を作成できます。

SSL VPN Wizard の Step 5 で、次の手順を実行して、VPN ポータル ページに表示する URL を指定します。

ステップ 1 既存のブックマーク リストを指定するには、ドロップダウン リストからブックマーク リスト名を選択します。

新しいリストを追加するか、既存のリストを編集するには、Manage をクリックします。

Configure GUI Customization Objects ダイアログボックスが表示されます。

ステップ 2 新しいブックマーク リストを作成するには、 Add をクリックします。

既存のブックマーク リストを編集するには、リストを選択し、 Edit をクリックします。

Add Bookmark List ダイアログボックスが表示されます。

ステップ 3 Bookmark List Name フィールドで、作成するブックマーク リストの名前を指定します。この名前は、VPN ポータル ページのタイトルとして使用されます。

ステップ 4 Add をクリックして新しい URL をブックマーク リストに追加します。

Add Bookmark Entry ダイアログボックスが表示されます。

ステップ 5 Bookmark Title フィールドで、リストのタイトルを指定します。

ステップ 6 URL Value ドロップダウン リストから、指定する URL のタイプを選択します。たとえば、http、https、ftp などを選択します。

次に、ページの完全な URL を指定します。

ステップ 7 OK をクリックして Add Bookmark List ダイアログボックスに戻ります。

ステップ 8 ブックマーク リストの追加が終了したら、OK をクリックして Configure GUI Customization Objects ダイアログボックスに戻ります。

ステップ 9 ブックマーク リストの追加および編集が終了したら、 OK をクリックして SSL VPN Wizard の Step 5 に戻ります。

ステップ 10 Bookmark List ドロップダウン リストから、この VPN グループのブックマーク リストの名前を選択します。

ステップ 11 Next をクリックして続行します。

設定の確認

SSL VPN Wizard の Step 6 で、設定内容が正しいことを確認します。表示される設定は、次のようになります。

設定が正しいことを確認したら、 Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。

設定の変更をスタートアップ設定に保存して、デバイスを次回に起動したときにこの変更が適用されるようにする場合は、File メニューの Save をクリックします。あるいは、ASDM の終了時に、設定の変更を保存するかどうかの確認を求めるメッセージが表示されます。

設定の変更を保存しないと、次回にデバイスを起動したときに、以前の設定が有効になります。