セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

VPN コンセントレータ/ASA/PIX への接続からの特定の Cisco VPN Client バージョンの制限

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX および ASA などの VPN コンセントレータやセキュリティ アプライアンスへの Cisco VPN Client の特定のバージョンの接続を制限するための設定例を紹介します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 4.x バージョンの Cisco VPN 3000 シリーズ コンセントレータ

  • 4.x バージョンおよびそれ以降の Cisco VPN Client

  • バージョン 7.x および それ 以降との Cisco ASA 5500 シリーズ

  • バージョン 7.x および それ 以降が付いている Cisco PIX 500 シリーズ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN クライアント バージョンを制限して下さい

Cisco VPN 3000 コンセントレータの設定

VPN コンセントレータは型およびソフトウェア バージョンによって割り当てまたは拒否 VPN クライアントできます。

この機能を使用するために、VPN コンセントレータにログインし、Configuration > User Management > Groups の順に選択 して下さい 次に、グループを選択して、IPsec タブを表示します。

ルールをこのように組み立てて下さい:

p[ermit]/d[eny] :  

例:

  • 否定して下さい *:3.6* —ソフトウェア バージョン 3.6x を実行するすべての VPN クライアントを否定します

  • d VPN クライアント: 4.6* — VPN クライアント バージョン 4.6 でユーザを VPN コンセントレータへの VPN 接続を確立ことできるために防ぎます

  • p ウィンドウ: 4.8* —バージョン 4.8 だけ接続するようにします

  • p *: 4.8* —割り当て 4.8 のバージョンを実行するプラットフォーム

管理者がプラットフォームを規定 したくない場合このルールを代りに使用して下さい:

p *: 4.8*

注: *文字はワイルドカードです。 各ルールでそれを使用できます複数回。

各ルールのために別々のラインを使用して下さい。

優先順位によってルールを発注して下さい。 一致すること最初のルールは適用するルールです。 より遅いルールがそれを否定する場合、システムはそれを無視します。 ルールを定義しない場合、すべての接続が割り当てられます。

クライアントがルールのどれも一致しないとき、接続は否定されます。 これは拒否ルールを定義する場合、また少なくとも 1 つの割り当てルールを定義するすべての接続は否定されますことを意味します。

ソフトウェアおよびハードウェアクライアント両方に関しては、クライアント の タイプおよびソフトウェア バージョンはモニタリングの外観で(大文字/小文字の区別がある)一致する必要があります | 領域を含むセッション ウィンドウ。 そのウィンドウからこの 1 にコピー アンド ペーストすることを推奨します。

型かバージョンがクライアントが送信 しない 情報を識別することができるように n/a 使用して下さい。 たとえば、n/a 割り当て: n/a 割り当てにクライアント の タイプおよびバージョンを送信 しない クライアントを与えます。

ルールのために合計 255 文字を使用できます。 ルール間の改行は 2 文字を使用します。 文字を節約するために、割り当てのために p および拒否のために d を使用して下さい。 クライアント の タイプおよびバージョンのための要求に応じてを除く領域を除去して下さい。 コロンの前か後に領域を必要としません(:)。

ASA/PIX 設定

IPsec およびセキュリティ アプライアンス モデルを通って接続できるバージョンおよびリモートアクセスクライアント型を制限するルールを設定するためにグループ ポリシー コンフィギュレーションモードのクライアント アクセス ルール コマンドを発行して下さい。 ルールを削除するために、このコマンドの no 形式を発行して下さい。

この例に FirstGroup と指名されるグループ ポリシーのためのクライアントアクセス ルールを作成する方法を示されています。 これらのルールはすべての VPN 3002 Hardware Clients を否定する間、ソフトウェア バージョン 4.1 を実行するため VPN クライアントを可能にします:

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 d t VPN3002 v *
hostname(config-group-policy)# client-access-rule 2 p * v 4.1 

ルールを組み立てるとき、これらのガイドラインを参照して下さい:

  • ルールを定義しない場合、セキュリティ アプライアンス モデル割り当てすべての接続タイプ。

  • クライアントがルールのどれも一致しないとき、セキュリティ アプライアンス モデルは接続を否定します。 拒否ルールを定義する場合場合、また少なくとも 1 つの割り当てルールを定義して下さいセキュリティ アプライアンス モデルはすべての接続を否定します。

  • 両方のソフトウェアおよびハードウェアクライアントに関しては、型およびバージョンは提示 VPNsessiondb リモート ディスプレイで外観を完全に一致する必要があります。

  • *文字は各ルールで複数回を使用できるワイルドカードです。 たとえば、クライアント アクセス ルール 3 はタイプを否定します*バージョン 3.* はバージョン 3.x ソフトウェアを実行するすべてのクライアント の タイプを否定する優先順位 3 クライアントアクセス ルールを作成します。

  • グループ ポリシー毎に 25 のルールの最大を組み立てることができます。

  • 全体の一組の規則のための 255 文字の制限があります。

  • クライアント の タイプかバージョンを送信 しない クライアントのために n/a 使用できます。

注: プラットフォーム タイプが Mac 接続を一致することができるように MAC OS VPN クライアントを制限するために、構文「Mac OS X」を使用して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100347