Cisco ASA 5500 シリーズ スタートアップ ガイド

クライアントレス SSL VPN 接続に関するセキュリティ上の考慮事項

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバと情報をやりとりする方法と、証明書の確認に関して、リモート アクセス IPsec 接続とは異なります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスが、エンド ユーザの Web ブラウザとターゲット Web サーバ間のプロキシとなります。ユーザが SSL 対応 Web サーバに接続すると、適応型セキュリティ アプライアンスによってセキュアな接続が確立され、サーバの SSL 証明書が確認されます。エンド ユーザのブラウザが提示された証明書を受け取ることはありません。そのため、エンド ユーザのブラウザによってその証明書を検証および確認はできません。

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN の現在の実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されません。また、適応型セキュリティ アプライアンスによって、信頼されている CA 証明書が確認されることもありません。そのためユーザは、SSL 対応 Web サーバと通信する前に同サーバが提示する証明書を分析できません。

SSL 証明書に関するリスクを最小限に抑えるには、次を実行します。

1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザで構成されるグループ ポリシーを設定し、そのグループ ポリシーに関してだけ、そのアクセスをイネーブルにする。

2. ユーザがクライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限するなどして、クライアントレス SSL VPN ユーザのインターネット アクセスに制限を加える。そのために、ユーザのインターネット上の一般的なコンテンツへのアクセスを制限することも可能です。その場合、クライアントレス SSL VPN のユーザにアクセスを許可したい内部ネットワーク上の特定のターゲットへのリンクをすることも可能です。

3. ユーザを教育する。SSL 対応サイトがプライベート ネットワーク内にない場合、ユーザがクライアントレス SSL VPN 接続を介してそのサイトにアクセスすることを禁止する必要があります。ユーザは、別のブラウザ ウィンドウを開いてこのサイトにアクセスし、そのブラウザを使用して提示された証明書を表示する必要があります。

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続の次の機能についてはサポートしていません。

• NAT（IP アドレスがグローバルに一意である必要性を減少させる）

• PAT（複数のアウトバウンド セッションが単一の IP アドレスから発信されているように見せることが可能）

収集する情報

リモート アクセス IPsec VPN 接続を受け入れるように適応型セキュリティ アプライアンスを設定する手順を開始する前に、次の情報を手元に用意してください。

• リモート ユーザが接続する適応型セキュリティ アプライアンスのインターフェイス名。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。

• デジタル証明書。

デフォルトでは、ASA 5500 シリーズによって自己署名証明書が生成されます。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするために、公的に信頼された SSL VPN 証明書を購入してからシステムを実稼動環境に移行することもできます。

• ローカル認証データベースを作成するときに使用するユーザのリスト（認証用に AAA サーバを使用している場合を除く）。

• AAA サーバ グループ名（認証に AAA サーバを使用する場合）。

• AAA サーバ上のグループ ポリシーに関する次の情報。

– サーバ グループ名

– 使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

– AAA サーバの IP アドレス

– 認証に使用する適応型セキュリティ アプライアンスのインターフェイス

– AAA サーバで認証を行うための秘密キー

• リモート ユーザが接続を確立した時に SSL VPN ポータル ページに表示させる内部 Web サイトまたはページのリスト。これは、ユーザが最初に接続を確立した時に目にするページなので、リモート ユーザにとって最も頻繁に使用するターゲットが表示されている必要があります。

ブラウザベースの SSL VPN 接続のための適応型セキュリティ アプライアンスの設定

ブラウザベースの SSL VPN の設定プロセスを開始するには、次の手順に従います。

ステップ 1 ASDM メイン ウィンドウで、[Wizards] ドロップダウン メニューから [SSL VPN Wizard] を選択します。SSL VPN 機能の Step 1 の画面が表示されます。

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順に従います。

a. [Browser-based SSL VPN (Web VPN)] チェックボックスをオンにします。

b. [Next] をクリックして続行します。

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順に従います。

ステップ 1 リモート ユーザが接続する接続名を指定します。

ステップ 2 [SSL VPN Interface] ドロップダウン リストから、リモート ユーザが接続するインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN のポータル ページが表示されます。

ステップ 3 [Certificate] ドロップダウン リストから、適応型セキュリティ アプライアンスを認証するために適応型セキュリティ アプライアンスによってリモート ユーザに送信される証明書を選択します。

（注） デフォルトでは、ASA 5500 シリーズによって自己署名証明書が生成されます。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするために、公的に信頼された SSL VPN 証明書を購入してからシステムを実稼動環境に移行することもできます。

ユーザ認証方式の指定

ユーザの認証は、ローカル認証データベース、または外部の Authentication, Authorization, and Accounting（AAA; 認証、認可、アカウンティング）サーバを使用して実行できます（AAA サーバには RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP があります）。

SSL VPN Wizard の Step 3 で、次の手順に従います。

ステップ 1 認証に AAA サーバまたはサーバ グループを使用する場合、次の手順に従います。

a. [Authenticate using a AAA server group] オプション ボタンをクリックします。

b. 事前設定されているサーバ グループを [Authenticate using an AAA Server Group] ドロップダウン リストから選択するか、[New] をクリックして新しい AAA サーバ グループを追加します。

新しい AAA サーバ グループを作成するには、[New] をクリックします。[New Authentication Server Group] ダイアログボックスが表示されます。

このダイアログボックスで、次の項目を指定します。

– サーバ グループ名

– 使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

– AAA サーバの IP アドレス

– 適応型セキュリティ アプライアンス のインターフェイス

– AAA サーバとの通信時に使用する秘密キー

[OK] をクリックします。

ステップ 2 ローカル ユーザ データベースを使用してユーザを認証する場合、次の手順で新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、[Add] をクリックします。

ステップ 3 新しいユーザの追加が終了したら、[Next] をクリックして続行します。

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順に従ってグループ ポリシーを指定します。

ステップ 1 [Create new group policy] オプション ボタンをクリックして、グループ名を指定します。

または、

[Modify an existing group policy] オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。

ステップ 2 [Next] をクリックします。

リモート ユーザのブックマーク リストの作成

ユーザが簡単にアクセスできる URL のリストを指定することによって、ポータル ページ、つまりブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立した時に表示される特別な Web ページを作成できます。

SSL VPN Wizard の Step 5 で、次の手順に従って VPN ポータル ページに表示する URL を指定します。

ステップ 1 既存のブックマーク リストを指定するには、ドラップダウン リストからブックマーク リストの名前を選択します。

新しいリストを追加したり、既存のリストを編集したりするには、[Manage] をクリックします。

[Configure GUI Customization Objects] ダイアログボックスが表示されます。

ステップ 2 新しいブックマーク リストを作成するには、[Add] をクリックします。

既存のブックマーク リストを編集するには、編集するリストを選択して、[Edit] をクリックします。

[Add Bookmark List] ダイアログボックスが表示されます。

ステップ 3 [URL List Name] フィールドで、作成するブックマークのリスト名を指定します。このリスト名が VPN ポータル ページのタイトルになります。

ステップ 4 [Add] をクリックして、ブックマーク リストに新しい URL を追加します。

[Add Bookmark Entry] ダイアログボックスが表示されます。

ステップ 5 [Bookmark Title] フィールドで、リストのタイトルを指定します。

ステップ 6 [URL Value] ドロップダウン リストから、指定する URL の種類を指定します。たとえば、http、https、ftp などを選択します。

次に、ページの完全 URL を指定します。

ステップ 7 [OK] をクリックして、[Add Bookmark List] ダイアログボックスに戻ります。

ステップ 8 ブックマーク リストの追加が終了した場合、[OK] をクリックして [Configure GUI Customization Objects] ダイアログボックスに戻ります。

ステップ 9 ブックマーク リストの追加および編集が終了したら、[OK] をクリックして SSL VPN Wizard の Step 5 に戻ります。

ステップ 10 [Bookmark List] ドロップダウン リストから、この VPN グループのブックマーク リストの名前を選択します。

ステップ 11 [Next] をクリックして続行します。

設定内容の確認

SSL VPN Wizard の Step 7 で、設定内容が正しいことを確認します。表示される設定は次のようになります。

適切に設定されている場合は [Finish] をクリックして、適応型セキュリティ アプライアンスに変更内容を適用します。

次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、[File] メニューから [Save] をクリックします。または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。

設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。