セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA でのクライアントレス SSL VPN(WebVPN)の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 8 月 26 日) | 英語版 (2015 年 9 月 26 日) | フィードバック


目次


概要

クライアントレス SSL VPN(WebVPN)を使用すると、限界はあるものの、任意の場所から企業ネットワークへの便利で安全なアクセスを実現できます。 ユーザはブラウザを使用して、いつでも安全に社内のリソースにアクセスできます。 このドキュメントでは、Cisco Adaptive Security Appliance(ASA)5500 シリーズで社内ネットワーク リソースへのクライアントレス SSL VPN アクセスを実現するための簡単な設定を紹介します。

SSL VPN テクノロジーは 3 つの方法で利用することができます: Clientless SSL VPN、シン クライアント SSL VPN (ポート フォワーディング)、および SSL VPN クライアント(SVC トンネルモード)。 それぞれの方式にそれぞれの利点があり、リソースへのアクセス方法もそれぞれ異なります。

1. クライアントレス SSL VPN

リモート クライアント側で必要になるのは、企業 LAN 上にある http 対応または https 対応 Web サーバにアクセスするための SSL 対応 Web ブラウザだけです。 このアクセスは、Common Internet File System(CIFS)による Windows ファイルのブラウズに利用可能です。 http アクセスの例としては、Outlook Web Access(OWA)クライアントが挙げられます。

2. シンクライアント SSL VPN(ポート フォワーディング)

リモート クライアントにサイズの小さい Java ベースのアプレットをダウンロードすることで、静的ポート番号を使用する TCP アプリケーションの安全なアクセスを実現します。 UDP はサポートされていません。 このアクセス方法の例としては、POP3、SMTP、IMAP、SSH、および Telnet が挙げられます。 ローカル マシン上のファイルに変更が加えられるため、ユーザにローカル管理者権限が必要になります。 この SSL VPN 方式は、一部の FTP アプリケーションなど、動的ポート割り当てを使用するアプリケーションでは使用できません。

シンクライアント SSL VPN についての詳細は、『ASDM を使った ASA でのシンクライアント SSL VPN(WebVPN)の設定例』を参照してください。

3. SSL VPN クライアント(SVC トンネル モード)

SSL VPN クライアントがリモート ワークステーションにスモール クライアントをダウンロードすることで、社内ネットワーク上のリソースへの安全な完全アクセスを実現します。 SVC はリモート ステーションにダウンロードしたままにしておくことも、安全なセッションの終了後に削除することも可能です。

Clientless SSL VPN は Cisco VPNコンセントレータ 3000 および特定の Cisco IOS で設定することができますか。 バージョン 12.4(6)T および それ 以上を持つルータ。 クライアントレス SSL VPN アクセスは、Command Line Interface(CLI; コマンドライン インターフェイス)または Adaptive Security Device Manager(ASDM)を使用して Cisco ASA でも設定できます。 ASDM を使う方が設定は簡単です。

クライアントレス SSL VPN と ASDM を同じ ASA インターフェイスで有効にしないでください。 ポート番号に変更が加えられた場合は、同じインターフェイスでの、この 2 つのテクノロジーの共存が可能です。 内部インターフェイスでは ASDM を有効にし、外部インターフェイスでは WebVPN を有効にすることを強く推奨します。

SSL VPN クライアントについての詳細は、『ASDM を使用した ASA での SSL VPN クライアント(SVC)の設定例』を参照してください。

クライアントレス SSL VPN では、企業 LAN 上の次のリソースに対するセキュアなアクセスが実現されます。

  • OWA/Exchange

  • 内部 Web サーバへの HTTP および HTTPS

  • Windows ファイルへのアクセスと参照

  • Citrix サーバ(Citrix シン クライアントを使用)

Cisco ASA はクライアント コンピュータのための安全なプロキシの役割を担い、事前に選択された企業 LAN 上のリソースにアクセスします。

このドキュメントでは、ASDM を使用して Cisco ASA でクライアントレス SSL VPN を使用できるようにするための簡単な設定を紹介します。 SSL 対応 Web ブラウザさえあればクライアント側の設定は不要です。 ほとんどの Web ブラウザには SSL/TLS セッションを起動する機能が備わっています。 このドキュメントでは、Cisco ASA コマンドラインの出力例も紹介しています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • クライアント - SSL 対応ブラウザ(Internet Explorer、Netscape、Mozilla など)

  • バージョン 7.1 以上がインストールされた ASA

  • クライアントから ASA へのパスで TCP ポート 443 番がブロックされていないこと

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア バージョン 7.2(1)

  • Cisco ASDM 5.2(1)

    注: ASA を ASDM で設定できるようにするには、『ASDM 用の HTTPS アクセスの許可』を参照してください。

  • Cisco ASA 5510 シリーズ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

Web ブラウザで https://inside _IP Address と入力して、ASDM アプリケーションにアクセスします。 ASDM がロードされたら、WebVPN の設定を開始します。

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/70475/webvpnasa1-1.gif

手順

ASA で WebVPN を設定するには、次の 4 つの手順に従います。

  • ASA インターフェイスで WebVPN を有効にします。

  • WebVPN アクセス用のサーバまたは URL(またはその両方)のリストを作成します。

  • WebVPN ユーザ用のグループ ポリシーを作成します。

  • トンネル グループに新しいグループ ポリシーを適用します。

  1. ASDM で、Configuration > VPN > WebVPN > WebVPN Access の順に選択します。

    /image/gif/paws/70475/webvpnasa2-2.gif

    WebVPN ユーザを終端するインターフェイス > Enable > Apply の順に選択します。

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. Servers and URLs > Add の順に選択します。

    /image/gif/paws/70475/webvpnasa4-4.gif

    WebVPN からアクセス可能なサーバのリストの名前を入力します。 [Add] ボタンをクリックします。 Add Server or URL ダイアログボックスが表示されます。 各サーバの名前を入力します。 これはクライアントで表示される名前です。 サーバごとに URL ドロップダウン メニューを選択して、適切なプロトコルを選択します。 Add Server or URL ダイアログボックスでリストにサーバを追加し、OK をクリックします。

    /image/gif/paws/70475/webvpnasa5-5.gif

    Apply > Save の順に選択します。

  3. ASDM の左側のメニューで [General] を展開します。 Group Policy > Add の順に選択します。

    /image/gif/paws/70475/webvpnasa6-6.gif

    • Add Internal Group Policy を選択します。 トンネリング プロトコルのチェックを外して下さい: チェックボックスを受継いで下さいWebVPN チェックボックスをオンにします。

    webvpnasa7-7.gif

    • WebVPN タブを選択します。 Inherit チェックボックスをオフにします。 リストから機能を選択します。 OK > Apply の順にクリックします。

    webvpnasa11-11.gif

  4. 左側の列から Tunnel Group を選択します。 [Edit] ボタンをクリックします。

    /image/gif/paws/70475/webvpnasa8-8.gif

    Group Policy ドロップダウン メニューをクリックします。 手順 3 で作成したポリシーを選択します。

    webvpnasa12-12.gif

    グループ ポリシーとトンネル グループを新しく作成していない場合のデフォルトは GroupPolicy 1DefaultWEBVPNGroup になる点に注意してください。 [WebVPN] タブをクリックします。

    /image/gif/paws/70475/webvpnasa13-13.gif

    NetBIOS Servers を選択します。 [Add] ボタンをクリックします。 WINS/NBNS サーバの IP アドレスを入力します。 OK > OK の順にクリックします。 指示に従って Apply > Save > Yes の順に選択して、設定を書き込みます。

    webvpnasa14-14.gif

設定

この設定は、WebVPN を有効にするために ASDM で加えた変更を反映します。

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

クライアントレス SSL VPN(WebVPN)のマクロ置換

クライアント SSL VPN のマクロ置換を使用すると、ユーザ ID やパスワードなどの入力パラメータを含む個人別のリソースにユーザがアクセスできるように設定できます。 このようなリソースの例には、ブックマーク エントリ、URL リスト、ファイル共有などがあります。

注: セキュリティ上の理由から、パスワード置換はファイルアクセス URL(cifs://)に対しては無効にされています。

注: また、セキュリティ上の理由から、Web リンク(特に非 SSL インスタンス)に対してパスワード置換を導入する場合は注意してください。

次のマクロ置換がサポートされています。

  1. CSCO_WEBVPN_USERNAME:SSL VPN ユーザ ログイン ID

  2. CSCO_WEBVPN_PASSWORD:SSL VPN ユーザ ログイン パスワード

  3. CSCO_WEBVPN_INTERNAL_PASSWORD:SSL VPN ユーザ内部リソース パスワード

  4. CSCO_WEBVPN_CONNECTION_PROFILE:SSL VPN ユーザ ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

  5. CSCO_WEBVPN_MACRO1 - RADIUS/LDAP vendor-specific属性によるセット

  6. CSCO_WEBVPN_MACRO2 - RADIUS/LDAP vendor-specific属性によるセット

マクロ置換についての詳細は、『クライアントレス SSL VPN のマクロ置換』を参照してください。

確認

ここでは、設定が正常に動作していることを確認します。

これをテストするには、次のように入力して、Outside のクライアントから ASA デバイスへの接続を確立します。

https://ASA_outside_IP_Address

クライアントに Cisco WebVPN ページが表示されます。このページを使用すると企業 LAN へ安全にアクセスできます。 新しく作成したグループ ポリシーでリストされているアクセスだけがクライアントに許可されます。

Authentication: 簡単なログオンおよびパスワードはこのラボ プルーフ オブ コンセプトのための ASA で作成されました。 ドメインへのシングル サインオンおよびシームレス サインオンを WebVPN ユーザに提供する場合は、次の URL を参照してください。

ASDM および NTLMv1 を使用した WebVPN およびシングル サインオン機能付き ASA の設定例

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

注: コピー処理が行われている間は、Copy File to Server コマンドを中断したり、別の画面に移動しないでください。 操作を中断すると、不完全なファイルがサーバに保存される可能性があります。

注: ユーザは WEBVPN クライアントを使用して新しいファイルをアップロードまたはダウンロードすることはできますが、Copy File to Server コマンドを使用して WEB VPN 上で CIFS のファイルを上書きすることはできません。 ユーザがサーバのファイルを置き換えるように試みるときユーザはこのメッセージを受け取ります: 「ファイルを追加することが不可能」。

トラブルシューティングの手順

設定をトラブルシューティングするには、次の手順を実行します。

  1. ASDM で Monitoring > Logging > Real-time Log Viewer > View の順に選択します。 クライアントが ASA に接続したら、SSL および TLS セッションの確立と終了をリアルタイム ログで確認します。

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. ASDM で Monitoring > VPN > VPN Statistics > Sessions の順に選択します。 新しい WebVPN セッションを探します。 WebVPN フィルタを選択して、[Filter] をクリックします。 問題が発生する場合は、一時的に ASA デバイスをバイパスさせ、指定したネットワーク リソースにクライアントがアクセスできるかどうかを確認します。 また、このドキュメントの設定手順を再確認してください。

    /image/gif/paws/70475/webvpnasa10-10.gif

トラブルシューティングに使用するコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • webvpn を示して下さいか。 — WebVPN と関連付けられる多くの show コマンドがあります。 show コマンドの使用方法についての詳細は、Cisco セキュリティ アプライアンスの『コマンド リファレンス』セクションを参照してください。

  • webvpn をデバッグして下さいか。debug コマンドの使用は ASA に逆効果をもたらすことができます。 debug コマンドの使用方法についての詳細は、Cisco セキュリティ アプライアンスの『コマンド リファレンス』セクションを参照してください。

問題:4 人以上の WEB VPN ユーザを PIX/ASA に接続できない

問題:

3 WEB VPN クライアントだけ ASA/PIX に接続できます; 第 4 クライアントのための接続は失敗します。

解決策:

ほとんどの場合、この問題はグループ ポリシー内の同時ログイン設定に関係しています。

次の例を参考にして、同時ログイン数を必要な値に設定してください。 この例では、20 人に設定しようとしています。

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

問題:WEB VPN クライアントがブックマークを参照できずグレー表示される

問題:

ユーザがクライアントレス VPN にサインインできるようにブックマークが設定されているにもかかわらず、「Web Applications」の下のホーム画面でこれらのブックマークがグレー表示される場合、ユーザがそれらをクリックして特定の URL に移動できるように、これらの HTTP リンクを有効にするにはどうすればよいのですか。

解決策:

最初に、ASA が DNS を介して Web サイトを解決できていることを確認します。 Web サイトの名前を使用して ping を発行してみてください。 ASA が名前を解決できない場合、そのリンクはグレー表示されます。 DNS サーバがネットワークの内部にある場合は、DNS ドメイン ルックアップ プライベート インターフェイスを設定します。

問題:WEBVPN を介した Citrix 接続

問題

エラーメッセージは「ica クライアント受け取りました破損 ica ファイルを」。 WEBVPN 上の Citrix のために発生します。

解決策

WebVPN を介した Citrix への接続にセキュア ゲートウェイ モードを使用すると、ICA ファイルが破損する場合があります。 ASA はこの動作モードと互換性がないので、ダイレクト モード(非セキュア モード)で新しい ICA ファイルを作成してください。

問題: ユーザ向けの第 2 認証のための必要を避ける方法

問題

CIFS にアクセスすることは資格情報のために WebVPN clientless ポータルでブックマークをクリックした後、ユーザ プロンプト表示されますリンクします時。 LDAP がリソースを認証するのに使用され、ユーザは VPN セッションにログインするために既に LDAP 資格情報を入力してしまいました。

解決策

自動サイン・オン機能をこの場合使用できます。 の下でと WebVPN 属性使用される特定のグループ ポリシーこれを設定して下さい:

auto-signon allow uri cifs://X.X.X.X/* auth-type all

CIFS サーバおよび *=restof の X.X.X.X=IP 疑わしい共有 ファイル/フォルダに達するパスところ。

設定例 断片はここに示されています:

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

これに関する詳細については、HTTP 基本か NTLM 認証での SSO の設定を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 70475