セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x ASDM: リモート アクセス VPN ユーザのネットワーク アクセスの制限

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 9 月 3 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX セキュリティ アプライアンスまたは適応型セキュリティ アプライアンス(ASA)で制御された内部ネットワークへリモート アクセスする VPN ユーザを、Cisco Adaptive Security Device Manager(ASDM)を使用して制限するための設定例について紹介します。 リモート アクセス VPN ユーザを指定したネットワーク領域のみにアクセスするよう制限するには、次の手順を実行します。

  1. アクセス リストを作成します。

  2. グループ ポリシーと関連付けます。

  3. それらのグループ ポリシーをトンネル グループと関連付けます。

VPN コンセントレータで VPN ユーザのアクセスをブロックする方法は、『フィルタおよび RADIUS フィルタの割り当てでブロックするための Cisco VPN 3000 コンセントレータの設定』を参照してください。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.1(1) が稼働している Cisco Secure PIX 500 シリーズ セキュリティ アプライアンス

    注:  PIX 501 および 506E セキュリティ アプライアンスは、バージョン 7.x をサポートしていません。

  • Cisco Adaptive Security Device Manager バージョン 5.1(1)

    注:  ASDM は PIX または ASA 7.x でのみ利用できます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス バージョン 7.1(1)

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

asdm-restrict-remot-net-access-1.gif

この設定例では、3 つのサブネットで構成された小企業のネットワークを取り上げます。 次の図は、トポロジを示しています。 3 つのサブネットは、イントラネット、技術部、経理部です。 この設定例の目的は、経理部の担当者がイントラネットと経理部サブネットにリモート アクセスできるように許可し、技術部サブネットへのアクセスを防止することです。 同様に、エンジニアはイントラネットと技術部サブネットにリモート アクセスできるようにする一方で、経理部サブネットにはアクセスできないように設定します。 この設定例の経理部ユーザは「controller1」で、 技術部ユーザは「engineer1」です。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ASDM を使用したアクセス設定

ASDM を使用して PIX セキュリティ アプライアンスを設定するには、次の手順を実行します。

  1. [Configuration] > [VPN] > [General] > [Group Policy] の順に選択します。

    asdm-restrict-remot-net-access-2.gif

  2. PIX でトンネル グループを設定した際の手順によっては、制限したいユーザが属するトンネル グループのグループ ポリシーがすでに存在している場合があります。 適切なグループ ポリシーがすでに存在する場合は、[Edit] をクリックします。 それ以外の場合は、[Add] をクリックして、[Internal Group Policy] を選択します。

    asdm-restrict-remot-net-access-3.gif

  3. 必要に応じて、開いたウィンドウの上部にあるグループ ポリシー名を入力または変更します。

  4. [General] タブで、[Filter] の横にある [Inherit] ボックスをオフにしたら、[Manage] をクリックします。

    asdm-restrict-remot-net-access-4.gif

  5. [Add ACL] をクリックして、表示された [ACL Manager] ウィンドウでアクセス リストを新規作成します。

    asdm-restrict-remot-net-access-5.gif

  6. 新しいアクセス リストの番号を入力し、[OK] をクリックします。

    asdm-restrict-remot-net-access-6.gif

  7. 左側で新しい ACL を選択したら、[Add ACE] をクリックしてリストに新しいアクセス コントロール エントリを作成します。

    asdm-restrict-remot-net-access-7.gif

  8. 追加するアクセス コントロール エントリ(ACE)を定義します。

    この例では、ACL 10 の最初の ACE で経理部サブネットにアクセスできる IP アドレスを無制限に設定します。

    注: デフォルトでは、ASDM は TCP のみがプロトコルとして選択されています。 すべての IP からのフル アクセスを許可または拒否するのか選択します。 完了したら、[OK] をクリックします。

    asdm-restrict-remot-net-access-8.gif

  9. 追加した ACE がリスト内に表示されます。 再び [Add ACE] を選択し、アクセス リストに必要なだけ行を追加します。

    asdm-restrict-remot-net-access-9.gif

    この例では、イントラネット サブネットへのアクセスを許可するための ACL 10 を ACE に追加しています。

    asdm-restrict-remot-net-access-10.gif

  10. ACE の追加が完了したら、[OK] をクリックします。

    asdm-restrict-remot-net-access-11.gif

  11. グループ ポリシーのフィルタとして、前の手順で定義および入力した ACL を選択します。 完了したら、[OK] をクリックします。

    asdm-restrict-remot-net-access-12.gif

  12. [Apply] をクリックすると、変更が PIX に送信されます。

    asdm-restrict-remot-net-access-13.gif

  13. [Options] > [Preferences] で設定している場合、PIX へ送信されるコマンドが ASDM に表示されます。 [Send] をクリックします。

    asdm-restrict-remot-net-access-14.gif

  14. 作成または変更したグループ ポリシーを適切なトンネル グループに適用します。 左側のフレームで [Tunnel Group] をクリックします。

    asdm-restrict-remot-net-access-15.gif

  15. グループ ポリシーを適用するトンネル グループを選択したら、[Edit] をクリックします。

    asdm-restrict-remot-net-access-16.gif

  16. グループ ポリシーが自動作成された場合(手順 2 を参照)、設定したばかりのグループ ポリシーがドロップダウン ボックスで選択できるか確認します。 グループ ポリシーが自動作成されなかった場合は、ドロップダウン ボックスから選択します。 完了したら、[OK] をクリックします。

    asdm-restrict-remot-net-access-17.gif

  17. [Apply] をクリックし、プロンプトが表示されたら [Send] をクリックして、PIX 設定に変更を追加します。

    すでにグループ ポリシーが選択されている場合は、「No changes were made」というメッセージが表示されます。 [OK] をクリックします。

  18. 制限を追加したいトンネル グループがある場合は、手順 2 ~ 17 を繰り返します。

    この設定例では、エンジニアのアクセス制限を設定する必要があります。 手順は同じですが、目立った違いがあるウィンドウをいくつか紹介します。

    • 新しい ACL 20

      asdm-restrict-remot-net-access-18.gif

    • 技術部のグループ ポリシーのフィルタとしてアクセス リスト 20 を選択します。

      asdm-restrict-remot-net-access-19.gif

    • 技術部のグループ ポリシーが技術部のトンネル グループに設定されたことを確認します。

      asdm-restrict-remot-net-access-20.gif

CLI を使用したアクセス設定

CLI を使用してセキュリティ アプライアンスを設定するには、次の手順を実行します。

注: この出力のコマンドの中には、スペースの関係上 2 行にわたって表記されているものがあります。

  1. ユーザがリモート アクセス VPN で接続する際に適用される、2 つの異なるアクセス コントロール リスト(15 および 20)を作成します。 このアクセス リストは設定の最後で呼び出されます。

    ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
    source to the payroll subnet (10.8.28.0/24) 
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.28.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0)
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the Engineering subnet (192.168.1.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 192.168.1.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
  2. 異なる VPN アドレス プールを 2 つ作成します。 1 つは経理部のリモート ユーザ用、もう 1 つは技術部のリモート ユーザ用です。

    ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
    172.10.1.100-172.10.1.200 mask 255.255.255.0
    
    ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
    mask 255.255.255.0
    
  3. 経理部のユーザが接続した場合にのみ適用されるポリシーを作成します。

    ASAwCSC-CLI(config)#group-policy Payroll internal
    
    ASAwCSC-CLI(config)#group-policy Payroll attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 15
    
    
    !--- Call the ACL created in step 1 for Payroll.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN
    
    
    !--- Call the Payroll address space that you created in	step 2.
    
    
  4. この手順は、技術部グループ向けであること以外は手順 3 と同じです。

    ASAwCSC-CLI(config)#group-policy Engineering internal
    
    ASAwCSC-CLI(config)#group-policy Engineering attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 20
    
    
    !--- Call the ACL that you created in step 1 for Engineering.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN
    
    
    !--- Call the Engineering address space that you created in step 2.
    
    
  5. ローカル ユーザを作成し、リソースへのアクセス制限を適用するユーザに対して属性を割り当てます。

    ASAwCSC-CLI(config)#username engineer password cisco123
    
    ASAwCSC-CLI(config)#username engineer attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Engineering
    
    ASAwCSC-CLI(config-username)#vpn-filter value 20
    
    ASAwCSC-CLI(config)#username marty password cisco456
    
    ASAwCSC-CLI(config)#username marty attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Payroll
    
    ASAwCSC-CLI(config-username)#vpn-filter value 15
    
  6. 経理部ユーザの接続ポリシーを含むトンネル グループを作成します。

    ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll
    
    ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes
    
     ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234
    
  7. 技術部ユーザの接続ポリシーを含むトンネル グループを作成します。

    ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering
    
    ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes
    
    ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123
    

設定の入力が完了すると、太字部分のような設定になります。

デバイス名 1
ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#  

確認

ASDM のモニタリング機能を使用して設定を確認します。

  1. [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] の順に選択します。

    PIX にはアクティブな VPN セッションが表示されます。 気になるセッションを選択して [Details] をクリックします。

    asdm-restrict-remot-net-access-21.gif

  2. [ACL] タブを選択します。

    ACL の hitcnts は、クライアントから許可されたネットワークへ流れるトラフィックを表しています。

    asdm-restrict-remot-net-access-22.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69308