セキュリティと VPN : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x 以降: L2L およびリモート アクセスのための VPN フィルタ(特定のポートまたはプロトコルの許可)の設定例

2014 年 12 月 20 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 9 月 26 日) | 英語版 (2014 年 9 月 29 日) | フィードバック


目次


概要

このドキュメントでは、Cisco ASA を使用して L2L および Cisco VPN クライアントへのリモート アクセスの VPN フィルタを設定する方法を説明します。

フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。 ACL を設定して、このグループ ポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。 この属性はユーザ名モードで設定することもできます。その場合、ユーザ名の下で設定された値がグループ ポリシーの値よりも優先されます。

注: トンネル設定の変更内容を有効にするため、VPN トンネルからログオフしてから、VPN トンネルを再確立する必要があります。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 8.2(1) で稼働する Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)ソフトウェア

  • Cisco Adaptive Security Device Manager バージョン 6.3(5)

  • Cisco VPN Client バージョン 4.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、バージョン 7.x 以降で稼働する Cisco PIX 500 シリーズ セキュリティ アプライアンスでも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

sysopt connection permit-ipsec コマンドは、VPN トンネル経由でセキュリティ アプライアンスに入るすべてのトラフィックがインターフェイス アクセス リストをバイパスできるようにします。 グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます。 PIX/ASA 7.1 以降では sysopt connection permit-ipsec コマンドは sysopt connection permit-vpn になりました。 vpn-filter コマンドは、トンネルから出た後の復号化後のトラフィックと、トンネルに入る前の暗号化前のトラフィックに適用されます。

vpn-filter に使用される ACL を interface access-group にも使用することはできません。 vpn-filter コマンドを、リモート アクセス VPN クライアント接続を制御するグループ ポリシー/ユーザ名モードに適用する場合は、ACL の src_ip の位置のクライアント割り当て IP アドレスおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。 vpn-filter を、L2L VPN 接続を制御するグループ ポリシーに適用する場合は、ACL の src_ip の位置のリモート ネットワークおよび ACL の dest_ip の位置のローカル ネットワークに対して ACL を設定する必要があります。

access-list <acl-no> <permit/deny> ip <remote network> <local network>

vpn-filter 機能で使用する ACL を作成する際には十分に注意してください。 ACL は、復号化後のトラフィック(着信 VPN トラフィック)に対して構築されていることに留意してください。 ただし ACL は反対方向のトラフィックに対しても適用されます。

注: 各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。 トラフィックがアクセス コントロール エントリ(ACE)によって明示的に許可されていない場合には、そのトラフィックが拒否されます。 このトピックでは、ACE をルールと呼びます。 このシナリオでは、「L2L VPN フィルタ設定」で設定したアクセス リスト 103 を使用します。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

L2L ネットワーク ダイアグラム

このドキュメントでは、L2L VPN フィルタ に次のネットワーク セットアップを使用しています。

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

L2L VPN フィルタ設定

このドキュメントでは、次の設定を使用します。

CiscoASA
CiscoASA# show running-config 

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!

!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list 
!--- number in the vpn filter command.


!

!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!

!--- Output suppressed

ASDM での L2L VPN フィルタ設定

Cisco Adaptive Security Device Manager(ASDM)を使用して L2L VPN フィルタを設定するには、次の手順を実行します。

  1. アクセス リストを追加します。

    1. ASDM で [Configuration] > [Firewall] > [Advanced] > [ACL Manager] を選択します。

      L2L-VPN-Filter-1.gif
    2. [Add] をクリックして、[Add ACL] を選択します。

      [Add ACL] ダイアログボックスが表示されます。

      L2L-VPN-Filter-2.gif
    3. [ACL Name] フィールドに 103 と入力して [OK] をクリックします。

      ACL リストに新しい ACL が表示されます。

  2. ACE を追加します。

    1. 新しい ACL を右クリックし、[Add ACE] を選択します。

      /image/gif/paws/99103/L2L-VPN-Filter-3.gif

      [Add ACE] ダイアログボックスが表示されます。

      L2L-VPN-Filter-4.gif
    2. 否定 Option ボタンをクリックして下さい、ソース IP アドレスおよび宛先 IP アドレスを入力し、それから Browse ボタンをクリックして下さい() サービス フィールドの隣に置かれる。

      [Browse Service] ダイアログボックスが表示されます。

      /image/gif/paws/99103/L2L-VPN-Filter-5.gif
    3. [TCP port 80] を選択して [OK] をクリックし、[Edit ACE] ダイアログボックスに戻ります。

      /image/gif/paws/99103/L2L-VPN-Filter-6.gif
    4. [OK] をクリックします。

      新しい ACE エントリが ACL リストに表示されます。

    5. 新しい ACE エントリを右クリックして [Insert After] をクリックします。

      /image/gif/paws/99103/L2L-VPN-Filter-7.gif

      [Insert After ACE] ダイアログボックスが表示されます。

      /image/gif/paws/99103/L2L-VPN-Filter-8.gif
    6. Any to Any トラフィックを許可する ACE を追加します。

      1. [Permit] オプションをクリックします。

      2. [Source] フィールドと [Destination] フィールドで [any] を選択し、[Service] フィールドで [ip] を選択します。

      3. [OK] をクリックします。

      注: Any-to-Any トラフィックを許可する ACE を追加することで、アクセス リストの終わりで暗黙拒否ルールが無効になります。

      次の図は、2 つのアクセス コントロール エントリからなる 103 アクセス リストを示します。

      /image/gif/paws/99103/L2L-VPN-Filter-9.gif
  3. グループ ポリシーを設定します。

    1. グループ ポリシーを設定するため、ASDM で [Configuration] > [Site-to-Site VPN] > [Group Policies] を選択します。

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. [Add] をクリックして、[Internal Group Policy] を選択します。

      [Add Internal Group Policy] ダイアログボックスが表示されます。

      /image/gif/paws/99103/L2L-VPN-Filter-13.gif
    3. [Name] フィールドにグループ ポリシー名を入力し、[Filter] ドロップダウン リストから [103] を選択します。

      ヒント: [Filter] ドロップダウン リストの横にある [Manage] ボタンを使用してフィルタを選択することもできます。

    4. [OK] をクリックします。

  4. サイトツーサイト トンネル グループに内部グループ ポリシーを追加します。

    1. ASDM で [Configuration] > [Site-to-Site VPN] > [Connection Profiles] を選択します。

    2. トンネル グループ パラメータを変更する必要があるトンネル グループを選択して [Edit] ボタンをクリックします。

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. [Group Policy] ドロップダウン リストから [vpn-filter] を選択します。

      ヒント: [Group Policy] ドロップダウン リストの横にある [Manage] ボタンを使用してフィルタを選択することもできます。

双方向 VPN フィルタ設定

VPN フィルタは 1 つの ACL で双方向に適用されます。 リモート ホスト/ネットワークは、ACE の方向(着信または発信)に関係なく、ACE 開始時点で常に拒否されます。

次の例でこの設定について説明します。

ACL はステートフルであるため、トラフィックが一方向で許可されている場合、そのフローのリターン トラフィックが自動的に許可されます。

注: アクセス リストで TCP/UDP ポートが使用されていない場合は、両側が相互にアクセスできます。 次に、例を示します。

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

注: 次の ACL は双方向で適用されるため、172.16.1.2 から 172.22.1.1 へのトラフィックと 172.22.1.1 から 172.16.1.2 へのトラフィックが許可されます。

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed



!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in 
!--- the ACE regardless of the direction.


access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0


!--- Implicit deny. 
!--- Denies all other traffic other than permitted traffic.


!
!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 105

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


!
!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!--- Output suppressed

ASDM での双方向 VPN フィルタ設定

ASDM を使用して双方向 VPN フィルタを設定するには、次の手順を実行します。

  1. アクセス リストを追加します。

    1. ASDM で [Configuration] > [Firewall] > [Advanced] > [ACL Manager] を選択します。

      L2L-VPN-Filter-1.gif
    2. [Add] をクリックして、[Add ACL] を選択します。

    3. 105 を ACL Name フィールドで入力し、『OK』 をクリック して下さい。

      ACL リストに新しい ACL が表示されます。

  2. ACE を追加します。

    1. ACL リストでは、105 エントリを右クリックし、『Add ACE』 を選択 して下さい。

      L2L-VPN-Filter-Bidirectional-1.gif

      [Add ACE] ダイアログボックスが表示されます。

      L2L-VPN-Filter-Bidirectional-4.gif
    2. [Permit] オプション ボタンをクリックします。

    3. [Source] フィールドに 172.16.1.0 ネットワークを入力し、[Destination] フィールドに 172.22.1.1 を入力します。

    4. サービス Browse ボタンをクリックして下さい()、TCP/http を選択すれば。

    5. [OK] をクリックします。

    6. ACL リストで新しい ACE エントリを右クリックして [Insert After ACE] を選択します。

      [Insert After ACE] ダイアログボックスが表示されます。

      L2L-VPN-Filter-Bidirectional-7.gif
    7. [Permit] オプションをクリックします。

    8. [Source] フィールドに 172.16.1.3 を入力し、[Destination] で [172.22.1.0/24] を選択します。

    9. より多くのオプション エリアで、イネーブル ルール チェックボックスをクリックし、次に Browse ボタンをクリックして下さい() ソース サービス フィールドの隣に置かれる。

    10. [Browse Source Service] ダイアログボックスが表示されます。

      L2L-VPN-Filter-Bidirectional-8.gif
    11. [ftp] を選択して [OK] をクリックし、[Insert After ACE] ダイアログボックスに戻ります。

      L2L-VPN-Filter-Bidirectional-9.gif
  3. 内部グループ ポリシーを追加します。

    1. グループ ポリシーを設定するため、ASDM で [Configuration] > [Site-to-Site VPN] > [Group Policies] を選択します。

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. [Add] をクリックして、[Internal Group Policy] を選択します。

      [Add Internal Group Policy] ダイアログボックスが表示されます。

      L2L-VPN-Filter-Bidirectional-11.gif
    3. グループ ポリシーの名前を Name フィールドで入力し、フィルタ ドロップダウン リストから 105 を選択して下さい。

      ヒント: [Filter] ドロップダウン リストの横にある [Manage] ボタンを使用してフィルタを選択することもできます。

    4. [OK] をクリックします。

  4. サイトツーサイト トンネル グループに内部グループ ポリシーを追加します。

    1. ASDM で [Configuration] > [Site-to-Site VPN] > [Connection Profiles] を選択します。

    2. トンネル グループ パラメータを変更する必要があるトンネル グループを選択して [Edit] ボタンをクリックします。

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. [Group Policy] ドロップダウン リストから [vpn-filter] を選択します。

      ヒント: [Group Policy] ドロップダウン リストの横にある [Manage] ボタンを使用してフィルタを選択することもできます。

リモート アクセス ネットワーク ダイアグラム

このドキュメントでは、リモート アクセス VPN フィルタに次のネットワーク構成を使用しています。

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

リモート アクセス VPN フィルタ設定

このドキュメントでは次の設定を使用しています。

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed

ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the network 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.



!
!--- Output suppressed

username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security
!---  Appliance, you can also configure usernames and passwords 
!--- on the device in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. 
!--- This filter is applicable to a particular user (vpn3000) only. 
!--- The username mode VPN Filter (acl 104) overrides
!--- the vpn filter policy (acl 103)applied in the group 
!--- policy(filter) mode for this user(vpn3000) alone.


!
!--- Output suppressed

group-policy vpn-filter internal
group-policy vpn-filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


!
!--- Output suppressed

tunnel-group vpn3000 general-attributes
 default-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

注: 一部の設定変更は、後続の SA をネゴシエートしている間だけ有効になります。 新しい設定をただちに有効にするには、既存の SA をクリアして、変更後の設定で SA を再確立します。 セキュリティ アプライアンスで IPSec トラフィックがアクティブに処理されている場合、SA データベース内で設定変更の影響を受ける部分だけをクリアすることを推奨します。 SA データベースを完全にクリアするのは、大規模な変更の場合や、セキュリティ アプライアンスが処理している IPsec トラフィック量が少ない場合に限定するようにしてください。

注: SA をクリアして再初期化するには、次に示すコマンドを使用できます。

  • clear ipsec sa:セキュリティ アプライアンスからすべての IPSec SA を削除します。

  • clear ipsec peer 10.1.1.1:ピア IP アドレス 10.1.1.1 の IPSec SA を削除します。

  • clear isakmp sa:IKE ランタイム SA データベースの内容をすべて削除します。

ASDM でのリモート アクセス VPN フィルタ設定

ASDM を使用してリモート アクセス VPN フィルタを設定するには、次の手順を実行します。

  1. アドレス プールを作成します。

    1. ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します。

      Remote-Access-VPN-Filter-1.gif
    2. [Add] をクリックします。

      [Add IP Pool] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-2.gif
    3. IP プールの名前を入力します。 次の例では vpnclient が使用されています。

    4. 開始 IP アドレスと終了 IP アドレスを入力し、サブネット マスクを選択します。

    5. [OK] をクリックします。

  2. ドメイン サーバへのアクセスを許可するアクセス リストを追加します。

    1. ASDM で [Configuration] > [Firewall] > [Advanced] > [ACL Manager] を選択します。

      L2L-VPN-Filter-1.gif
    2. [Add] をクリックして、[Add ACL] を選択します。

      [Add ACL] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-3.gif
    3. [ACL Name] フィールドに 103 と入力して [OK] をクリックします。

  3. ACE を追加します。

    1. ACL リストで [103] エントリを右クリックし、[Add ACE] を選択します。

      [Add ACE] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-7.gif
    2. [Permit] オプション ボタンをクリックします。

    3. [Source] フィールドに 10.16.20.0/24 ネットワークを入力し、[Destination] フィールドに 172.16.1.1 を入力します。

    4. Browse ボタンをクリックして下さい() サービス フィールドの隣に置かれる。

      [Browse Service] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-8.gif
    5. udp プロトコル domain を選択して [OK] をクリックし、[Add ACE] ダイアログボックスに戻ります。

      Remote-Access-VPN-Filter-9.gif
    6. [OK] をクリックします。

  4. 新規ユーザを追加します。

    1. ASDM で [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択します。

      Remote-Access-VPN-Filter-12.gif
    2. [Add] ボタンをクリックします。

      [Add User Account] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-13.gif
    3. ユーザ名とパスワードを入力します。 この例ではユーザ名として vpn3000 が使用されています。

    4. [OK] をクリックします。

  5. vpn3000 ユーザのアクセスを制限するアクセス リストを作成します。

    1. ASDM で [Configuration] > [Firewall] > [Advanced] > [ACL Manager] を選択します。

      L2L-VPN-Filter-1.gif
    2. [Add] をクリックして、[Add ACL] を選択します。

      [Add ACL] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-10.gif
  6. ACE を追加します。

    1. ACL リストでは、104 エントリを右クリックし、『Add ACE』 を選択 して下さい。

      [Add ACE] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-11.gif
    2. [Permit] オプション ボタンをクリックします。

    3. [Source] フィールドに 10.16.20.0/24 ネットワークを入力し、[Destination] フィールドに 172.16.1.0/24 を入力します。

    4. [OK] をクリックします。

  7. vpn3000 ユーザのフィルタリング ルールとして 104 アクセス リストを追加します。

    1. ASDM で [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択します。

    2. vpn3000 ユーザを選択して [Edit] をクリックします。

      [Edit User Account] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-14.gif
    3. [IPv4 Filter] ドロップダウン リストから [104] を選択して [OK] をクリックします。

  8. vpn-filter グループ ポリシーに 103 アクセス リストを追加します。

    1. ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択し、[Add] をクリックします。

      [Add Internal Group Policy] ダイアログボックスが表示されます。

      Remote-Access-VPN-Filter-15.gif
    2. [Name] フィールドに vpn-filter と入力し、[IPv4 Filter] ドロップダウン リストから [103] を選択します。

    3. [OK] をクリックします。

  9. vpn-filter グループ ポリシーを vpn3000 接続プロファイルのデフォルト値として追加します。

    1. ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles] を選択し、必要なトンネル グループを選択して [Edit] をクリックします。

      Remote-Access-VPN-Filter-17.gif
    2. [Group Policy] ドロップダウン リストから [vpn-filter] を選択して [OK] をクリックします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99103