セキュリティ : Cisco VPN 3000 シリーズ コンセントレータ

スプリットトンネリングを使用して Cisco VPN Client 3.5 および Cisco Integrated Client をセキュア非暗号化トラフィックに設定する方法

Hierarchical Navigation
2011 年 11 月 18 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2006 年 1 月 19 日) | フィードバック

目次

概要
はじめに
      表記法
      前提条件
      使用するコンポーネント
設定
      VPN 接続のないネットワークダイアグラム
      VPN 接続があるネットワークダイアグラム
      VPN 3000 Concentrator の設定
検証
トラブルシューティング
関連情報

概要

注: 現時点で、Cisco Integrated Client Firewall (CIC)はVPN 3000コンセントレータ(バージョン3.5.xまたはそれ以降)に戻って接続するCisco VPN Client (バージョン3.5.xまたはそれ以降)とだけ互換性があります。 Cisco Secure PIX Firewallは現在この機能をサポートしません。

VPNクライアントがヘッドエンドに戻ってゲートウェイを接続し、割り当てられる分割トンネリングがないときすべてのトラフィックはヘッドエンドにフローする必要があります。 そのような例では、このクライアントはある種のセキュリティ侵犯のためにクライアントが場合があるものをヘッドエンドで設定されるセキュリティ態勢が制御するリソースをプライベートネットワークで利用可能なそれら以外要求するとき見るので論理上のでリレーエージェント使用できます。

割り当てるためにリモートクライアントは保護されたネットワークのリソースに実際にどんなインターネット・リソースが利用できるか実施していない間、スプリットトンネルを設定できるアクセスします。 スプリットトンネルはVPNクライアントが(VPNトンネルの外部で)同時に保護されるネットワークVPNトンネルによってVPNヘッドエンドによっておよびクリアデータの他のリソースにアクセスするようにします。 潜在的な障害はclear data側の誰かがクライアントのワークステーションを妥協し、VPNで保護されたネットワークから情報を得ればのにそのワークステーションを使用したらこのVPNクライアントがリレーエージェントである可能性があることです。

リモートクライアントがスプリットトンネルを使用しているとき内部ネットワークの保護を実施するために、VPNクライアントワークステーションの個人的なCICファイアウォールを設定できます。 いろいろなベンダーはこの機能を供給できます; この資料の例はVPNクライアントに含まれている統合されたクライアントを使用します。 VPNクライアントソフトウェアが少なくともバージョン3.5である必要があることに注目して下さい。 組み込みCICのVPNクライアントはトンネルが稼働している間、非VPNトラフィックアクティビティを実施するためにクライアントに押下げられるべきVPN 3000コンセントレータで(少なくとも3.5.xソフトウェアを実行する)定義されたポリシーを受け入れます。 CICはVPNクライアントと共に自動的にインストールされています; 別々のステップが必要となりません。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この資料を使用するとき次のポイントに留意することは重要です。

  • Cisco VPN Client 3.5.xまたはそれ以降を使用して下さい; CIC機能は以前のバージョンで利用できません。

  • VPNクライアント側にエンドユーザ設定がありません。 すべてはVPN 3000コンセントレータヘッドエンドでされます。

  • この資料はユーザおよびグループに設定してもらうと仮定します。 コンフィギュレーションのステップはCIC機能および分割トンネリングの追加にだけ適用します。

  • ポリシーは押されるべきCisco Pushed Policy (CPP)によってVPNクライアントにトンネルが稼働しているときだけアクティブです。 押されたポリシーは非暗号化トラフィックに適用されます、従って分割トンネリングが有効になるときしかCPPは設定しない必要があります。

  • VPNクライアントの統計表示に表示されるファイアウォール・ルールは優位の順でリストされています。

  • 分割トンネリングが仮定された使用中であるので、表示される最初のファイアウォール・ルールはリストされているプライベートネットワークのそれぞれへトラフィックを許可することです。 これらの後で、定義されたポリシーによって押されるルールはリストされています。

  • VPN 3000コンセントレータは自動的にドロップするをすべての受信追加し、ルールのリストの端にすべての送信パラメータを廃棄します

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • 統合CICファイアウォールとのCisco VPN Client 4.0.2(B)

  • 4.0.1.Cを実行するCisco VPN 3000コンセントレータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

設定

このセクションでは、この文書で説明する機能の設定に必要な情報を提供します。

注: この文書で使用しているコマンドに関する詳細は、IOS Command Lookup ツールを使用してください。

VPN 接続のないネットワークダイアグラム

この文書では、次の図に示すネットワーク設定を使用しています。

/image/gif/paws/13366/vpn35-split-01.gif

VPN 接続があるネットワークダイアグラム

/image/gif/paws/13366/vpn35-split-02.gif

VPN 3000 Concentrator の設定

ポリシーおよびルールの定義

次のステップはVPN 3000コンセントレータを設定するための定義ポリシーおよびルールを記述します。

  1. 非トンネルトラフィックのためのポリシーを定義して下さい。 CICファイアウォールが暗号化トラフィックに適用しないことを覚えていて下さい。 この例のVPNクライアントは次のパラメータが含まれているVPNによって接続され、ポリシーがあります。

    • 非CIC

      • アクセスして下さいVPNで保護されたネットワーク・リソースに-これは分割トンネルリストとトラフィックのフローを禁止するVPNグループ、ユーザーID、またはインターフェイスで定義されるフィルタがない限り、デフォルトで許可されます。 デフォルトで、フィルタは定義されません、従ってすべてのトラフィックは保護されたネットワークに通じる必要があります。

    • CIC

      • DNSクエリー- VPNクライアントに通じるDNSサーバがVPNで保護されたネットワークの一部ではない場合このルールを追加して下さい。 ルールを追加しない場合、クライアントはDNS名によってサイトに達できません; IPアドレスはまだはたらきます。

      • Webアクセス- VPNクライアントはHTTP (TCP/80)でVPNで保護されしていないサイトにアクセスできます。

      • 他のすべてを否定して下さい。

  2. ポリシーが定義されれば(上で定義される)、ポリシー仕様を反映するルールを作成する必要があります。 フィルタ規則が双方向である、従って両方のための1つを作成しなければなりません着信および発信コネクションことを覚えていて下さい。 下記に規定されて、値はデフォルト設定に残す必要がありません。

    着信接続(DNSクエリー)のためのフィルタ規則を作成するために、VPN 3000コンセントレータソフトウェアを開き、>ルールConfiguration > Policy Management > Traffic Managementの順に進んで下さい。 Add をクリックします。

    vpn35-split-03.gif

  3. 下記に表示される値でルールを設定して下さい。

    • Rule Name: DNS受信

    • 処置: 転送

    • Protocol : udp

    /image/gif/paws/13366/vpn35-split-04.gif

    下記に示されているように設定を続けて下さい。

    • 送信元ポート/ポート: DNS (53)

    • 宛先ポート/ポート: レンジ

    • 範囲: 1024から65535

    値を入力することを終わったと「Apply」をクリックして下さい。

    /image/gif/paws/13366/vpn35-split-05.gif

  4. アウトバウンド接続(DNS要求)のためのフィルタ規則を作成するために上記のステップを繰り返して下さい。 このルールを設定するために下記に表示される値を使用して下さい。

    • Rule Name: DNS送信

    • 方向: outbound

    • 処置: 転送

    • Protocol : udp

    • 送信元ポート/ポート: レンジ

    • 範囲: 1024から65535

    • 宛先ポート/ポート: DNS (53)

    値を入力することを終わったと「Apply」をクリックして下さい。

注: ステップ1 - 3のコンフィギュレーションはDNS特性にだけ上で適用されます。 Web HTTP要求はおよび「発信HTTP」「の」発信HTTPと既に定義されています。 「発信HTTPの」はTCP送信元ポート80および宛先ポートにすべてのIPパケットをマッチさせるが、ルール「発信HTTP」はTCP宛先ポート80 (www)および送信元ポートにすべてのIPパケットをマッチさせます。 ルール/「「の」は着信HTTP着信HTTP」TCP送信元ポート/80および宛先ポート80/のIPパケットを、それぞれ一致する。 名札は「の」VPNクライアントのの観点から「」方向を(受信および送信)示し。 不確実である場合、ルールを修正する機能の送信元ポートおよび宛先ポートをチェックするのに使用によって吟味できます。

フィルタの定義

ルールが定義された後、1つの文にルールすべてをグループ化するフィルタを定義して下さい。

  1. VPN 3000コンセントレータソフトウェアを開き、>フィルタConfiguration > Policy Management > Traffic Managementの順に進んで下さい。 「Add Filter」をクリックして下さい。

  2. フィルタに説明的な名前をつけて下さい。 次の例は「client_fw_rule」と指名されるフィルタを使用します。

  3. ドロップするとしてフィルタのデフォルト・アクションを残して下さい。 設計がsource-routingを求める場合、送信元ルーティングボックスをチェックして下さい; フラグメンテーションをディセーブルにするために、フラグメントのチェックを外して下さい。 終了したら Add をクリックします。

    /image/gif/paws/13366/vpn35-split-05a.gif

  4. ルールをフィルタに追加するために、" Available "カラムからの適当なルールを(右で)選択し、フィルタカラムの現在のルールにそれらを移動するために「Add」をクリックして下さい(左で)。 終了したら「Done」をクリックして下さい。

    「client_fw_rule」と指名されるフィルタのための下記の例は4つの現在のルールを示します。

    • DNS受信

    • 発信HTTP

    • DNS送信

    • 発信HTTP

    vpn35-split-06.gif

  5. フィルタをグループに適用するために、Configuration > User Management > Groupsの順に進んで下さい。 修正し、「Modify Group」をクリックしてほしいグループを選択して下さい。

  6. Client FWタブで、必要なファイアウォールの" Firewall Setting "値を選択しCisco Integrated Clientファイアウォールに" Firewall "値を設定するのにプルダウンメニューを使用して下さい。

    vpn35-split-07.gif

  7. 「ファイアウォールポリシー」アトリビュートに関しては、Policy Pushed (CPP)を選択し、プルダウンメニューから<filter_name>を選択して下さい。 下記の例はフィルタ「client_fw_rule」を示します。

    終了したら、「Apply」をクリックして下さい、「Save Needed」をクリックして下さい(ウィンドウの右上で)。

    /image/gif/paws/13366/vpn35-split-08.gif

    ファイアウォールポリシーは今定義されてしまいました。

分割トンネリングの設定

次のステップは分割トンネリングを設定する方法を説明します。

  1. トンネル伝送されたいと思うネットワークを定義するために、> Network ListsをConfiguration > Policy Management > Traffic Managementの順に進んで下さい。 「Add」をクリックし、そしてリストの名前を定義し、どんなネットワークが含まれているべきであるか規定して下さい。

    マスクがワイルドカードマスクであることに注目して下さい。 10.0.0.0/255.0.0.0ネットワークを保護するために、逆マスクは(このネットワークリストで必要な) 0.255.255.255です。

    vpn35-split-08a.gif

  2. ネットワークリストをスプリットトンネルとして加えるために、適用されたトンネルがあるグループを修正する必要があります。 >グループ><group name> Configuration > User Managementの順に進んで下さい。 Client Configタブを「Modify Group」をクリックし、選択して下さい。 分割トンネリングポリシーの下で、リストのトンネル・ネットワークだけにオプションを選択して下さい。 Split Tunneling Networkリストの下で、先に定義したネットワークリストを選択して下さい; この例では、リストはVPN_Protected_Networkと呼ばれます。

    vpn35-split-08b.gif

検証

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

設定が正常だったことを確認するために、VPNクライアント接続ステータスウィンドウのファイアウォール設定をチェックできます。

VPNクライアント接続ステータスウィンドウを開き、押されたポリシーを表示するためにFirewallタブをクリックして下さい。 ポリシーを最初から最後まで読み、-アウトバウンド接続のための1つおよび着信接続のための1双方向定義を持つはずであることを覚えていて下さい。 下記の例はDNS (17) VPNクライアントの送信フローをのランダム高いポートからソースをたどるポート53プロトコル示します。

注: Firewallタブがない場合、ファイアウォールポリシーは正常に設定されませんでした。 うまくいかなかったものが判別するためにいくつかのデバッグを実行する必要があります。

/image/gif/paws/13366/vpn35-split-09.gif

ファイアウォール・ルールのリストの最後の2つの文は「ドロップする」および「着信/発信パケット」です。

vpn35-split-10.gif

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

  • Cisco VPN Client 3.5.xまたはそれ以降を実行したらおよびポリシーがきちんと押されなかったら、設定を確認して下さい(によるステップ6に示すようにおよび7) Client FWタブに次の設定があることの確認。

    • ファイアウォール設定: ファイアウォールはファイアウォール以外(推奨)または何でも必要としませんでした

    • ファイアウォール: Cisco Integrated Clientファイアウォール

    • ファイアウォールポリシー: Policy Pushed (CPP)および<filter_name> (実施するべきフィルタの名前)を指されて

  • トンネルがVPNクライアントとローカルLAN間でアクティブなときアクセスするか、またはpingする問題に直面したら、VPNクライアントに行き、接続エントリを選択し、「Modify」を選択して下さい。 TransportタブをクリックすればチェックはローカルLANアクセスを許可します。 これはローカルLANアクセスを許可するためにVPNコンセントレータ端の設定されたグループを一致する必要があります。

関連情報