セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA クライアントレス SSLVPN: RDP プラグインの問題

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 7 月 10 日) | 英語版 (2013 年 11 月 19 日) | フィードバック


目次


概要

リモート デスクトップ プロトコル(RDP)プラグインは、SSH、VNC、Citrix など、Cisco ASA クライアントレス SSL VPN ユーザが使用できるプラグインの 1 つです。 RDP プラグインは、このコレクションの中でも最もよく使用されるプラグインの 1 つであり、さらに混乱する要素が多くあるプラグインです。

このドキュメントには、いくつかの質問と、特定の点が明確になった後で生じるその他の質問に対する回答が記載されています。 このドキュメントでは、プラグインの設定方法については説明しません。これは、正しいプラグインをインポートする以外に説明する点はあまりないためです。

Cisco ASA 5500 SSL VPN Deployment Guide, Version 8.x』を参照してください。

注: Cisco TAC エンジニアによって貢献される。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RDP プラグイン

RDP プラグインは、純粋な Java ベースの RDP プラグインから、ActiveX RDP クライアント(Internet Explorer)および Java Client(IE 以外のブラウザ)の両方が組み込まれているプラグインへと、時とともに進化しました。

Java RDP クライアントに対しては、Cisco RDP プラグインは properJava RDP クライアントを使用します。 http://properjavardp.sourceforge.net/

また、RDP プラグインは ActiveX RDP クライアントを組み込み、ブラウザに基づいて Java を使用するか ActiveX クライアントを使用するかに関係なく発信を行います。 つまり、次のようになります。

  • IE ユーザがクライアントレス SSLVPN ポータルから RDP を試行する場合に、ブックマーク URL に「ForceJava=true」引数が含まれていなければ、ActiveX クライアントが使用されます。

  • IE 以外のユーザが RDP ブックマークまたは URL を起動しようとすると、Java Client のみが起動されます。

RDP と RDP-2: 使用するプラグインの選択

RDP プラグイン: これは、ActiveX Client を追加するために更新された元の Java RDP プラグインです。

RDP2 プラグイン: これは、Windows 2003 ターミナル サーバと Windows Vista ターミナル サーバ用の properJava RDP クライアントから更新されたと考えられる RDP2 プロトコルに基づいています。

ただし、最新の RDP プラグインでは RDP と RDP2 の両方が組み合わされているため、RDP2 プラグインは廃止されます。 つまり、将来は RDP プラグイン(たとえば、rdp-plugin.yymmdd.jar)のみを使用する必要があります。

プラグインのダウンロード場所

ソフトウェアのダウンロード

/image/gif/paws/113600/ptn_113600-01.gif

最新の RDP プラグインは「rdp-plugin.120424.jar」です。 これは、2012 年 4 月 27 日にリリースされました。

ブラウザの互換性マトリクス

ブラウザの互換性マトリクスは、クライアントレス SSLVPN の実装と ASA OS バージョンについてのみ存在します。 このマトリクスを満たしている限り、プラグインは自動的にサポートされます。 サポートされる VPN プラットフォームの詳細については、『Cisco ASA 5500 シリーズ』を参照してください。

できることとできないこと

RDP-ActiveX

  • Internet Explorer 専用

  • 音声は RDP セッション経由でリレーされます。

RDP-Java

  • Java が有効にされた(上のマトリクスに記載されている)サポートされているすべてのブラウザで機能します。

  • Java Client は、ActiveX が起動できなかったか、「ForceJava=true」引数が RDP ブックマークまたは URL で渡された場合のみ Internet Explorer で起動されます。

  • RDP-Java 実装は properJava RDP プロジェクトに基づいているため、プラグインの失敗時にはオープンソース イニシアチブのベスト エフォート サービスが提供されます。

RDP の問題のトラブルシューティング

収集する情報

  1. show tech の出力。

  2. show import webvpn plug-in detailed の出力。

  3. 宛先 PC のオペレーティング システムを指定します。

  4. 5.2 より後の RDP バージョンが使用されているかどうかを指定します。

  5. ActiveX(IE のみ)バージョンを使用したか、Java バージョンを使用したか。

  6. ロード バランシングの設定であるかどうかを指定します。

スマート トンネルの使用

次のプロセスをスマート トンネル リストに追加します。

  • svchost.exe

  • services.exe

  • wininit.exe

  • TSWbPrxy.exe

  • wksprt.exe

  • mstsc.exe

これが機能しない場合、テスト時に ST リストが開始されることを確認します。

Java RDP クライアントは直接動作するか

これが RDP プラグインの問題なのか、webvpn の問題なのかを判別する場合、これをテストするうえで最善の方法は、対象のサーバへの RDP に対して直接クライアントを使用して、同じ動作が現れるかどうかを確認することです。 現れる場合、これはクライアント プラグインの問題であり、シスコがもたらしたものではありません。 次の手順を実行します。

  1. この zip ファイルをダウンロードします。 これらは、RDP プラグイン(ASA 用のターミナル サービス クライアント プラグイン)で使用された properjavardp jar ファイルです。

  2. ファイルをフォルダに解凍します。

  3. rdp-applet.html を開いて、次のパラメータの値を変更します。

    <param name="server" value="xxxx">
    <param name="username" value="xxxx">
    <param name="password" value="xxxx">
  4. ファイルを保存して、Java 対応ブラウザで開きます。

既知の警告

ActiveX Client

  • ASA OS バージョン 8.4.3 へのアップグレード後に ActiveX RDP を IE 6 ~ 9 からロードできません。

    Cisco Bug ID CSCtx58556登録ユーザ専用)を参照してください。 8.4.3.4 から修正を入手可能です。 ただし、入手可能な最新の OS にアップグレードすることをお勧めします。 回避策(ASA コードのアップグレードを選択できない場合):

    • 代わりに Java RDP を使用します。 たとえば、IE ユーザ(他のブラウザ ユーザに悪影響を与えません)は「ForceJava=true」引数を RDP URL で設定する必要があります。

  • 前のバグ(CSCtx58556)が原因で ASA OS のダウングレードを実行する場合、Cisco Bug ID CSCtx57453登録ユーザ専用)に注意してください。 この場合、すべての登録済み RDP ユーザ(8.4.3 ASA のクライアントレス SSLVPN で ActiveX RDP を試行したユーザ)で ActiveX RDP が失敗します。 これは、ActiveX RDP プラグインは 8.4.3 でアップグレードされたため、以前のバージョンとの互換性がないためです。

    対処方法:

    • 企業全体に ASA ベースの SSLVPN サービスを導入する場合、CSCtx58556 と CSCtx57453 の両方に留意します。 8.4.3 以降または 8.4.2 以前のいずれかを使用します。

    • 登録済みの RDP ユーザの場合、たとえば 8.4.3 ベースの ActiveX RDP を使用していて、現在は SSLVPN ポータルで 8.4.2 以前の ActiveX RDP を使用する必要がある場合、次のようにします。

      regedit を使用して、"b8e73359-3422-4384-8d27-4ea1b4c01232? (古い ActiveX CLSID)のレジストリ インスタンスをすべて削除します。

      注: これは、レジストリのバックアップ後に行う必要があります。 これは、ユーザ自身の責任で行う必要があります。 詳細については、Microsoft サポートにお問い合わせください。

  • ActiveX クライアントではネットワーク レベル認証(NLA)をコード化できますが、シスコの実装にはこれは含まれていません。 次に、NLA を ActiveX RDP プラグイン内に組み込むよう要求しているオープンな拡張要求を示します。

    Cisco Bug ID CSCtu63661登録ユーザ専用)を参照してください。

    回避策:

  • ActiveX RDP がブランク ページをロードできません。 サードパーティの証明書チェーンを ASA にインストールすると、ロード メッセージが表示されます。 たとえば、ASA にサードパーティのベンダーからの ID 証明書があり、サードパーティのベンダーの証明書チェーンが ASA にインストールされています(Sub-CA1、Sub-CA2、Root-CA)。

    Cisco Bug ID CSCsx49794登録ユーザ専用)を参照してください。

    回避策(ASA コードのアップグレードを選択できない場合):

    • ASA には大きい証明書チェーンをインストールしないでください。

    • Java RDP プラグインは、ActiveX プラグインとは対照的に適切に機能することがわかっています。

    • また、RDP は、ネイティブの Windows mstsc.exe をスマート トンネルで設定した場合に適切に機能します。

  • ActiveX RDP の使用後に、通常の [Logout] ページではなく [Logout] ボタンをクリックすると、「HTTP 404 - Page Not found」エラーが表示されます。 この問題は、CCO で入手可能な最新の RDP プラグイン(rdp-plugin.120424.jar)では発生しません。

    Cisco Bug ID CSCtz33266登録ユーザ専用)で V-Comments を参照してください。

  • IE で 2 つのタブ(RDP セッション用に 1 つ、ブランク ページまたはランダム ページ用に 1 つ)を開いている場合、RDP タブを閉じると、IE が機能停止します。

    • これは、Cisco Bug ID CSCua69129登録ユーザ専用)で追跡してください。

    • 現在のところ、回避策は Java RDP プラグインを使用することです(ForceJava=true を設定します)。

  • Cisco バグ ID CSCua16597登録 ユーザだけ) - RDP ActiveX IE のプラグイン原因高CPU を参照して下さい

  • Windows Update KB2695962 のインストール後に、ActiveX RDP プラグインがループに入ります。 新しい RDP セッションを開くか、ブックマークをクリックすると、「Cisco SSL VPN Port Forwarder」のインストールが試行され(インストールが試行されないこともあります)、クライアントレス ポータルに戻ります。 これは、Microsoft Update によってクライアント側で解決された脆弱性 CVE-2012-0358 が原因です。

Microsoft Security Advisory(2695962) leavingcisco.com

接続するためには、Cisco Security Advisory に従って ASA をバージョンのいずれかの修正にアップグレードする必要があります。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス クライアントレス VPN ActiveX コントロールのリモート コード実行の脆弱性 leavingcisco.com

Bug ID

CSCtr00165登録 ユーザだけ) -ポート フォワーダ ActiveX コントロールはバッファオーバーフローの脆弱性が含まれています

/image/gif/paws/113600/ptn_113600-02.gif

Java Client

Cisco RDP-Java プラグイン実装は properJava RDP プロジェクトに基づいているという事実がはっきりしたため、Java-RDP の失敗時にはオープンソース イニシアチブのベスト エフォート サービスが提供されます。 ただし、Cisco TAC に問題の注意を促すことで、満足のいく回答が得られます。

  • Java RDP セッションからプロセッサに負荷がかかるアプリケーションを実行すると、「FATAL net.propero.rdp - javax.net.ssl.SSLException: Connection has been shutdown: ….」エラーメッセージ。 これは主に、Java RDP セッションからプロセッサに負荷がかかるこれらのアプリケーションを連続して切り替えた場合に発生します。

    Cisco Bug ID CSCtz78693登録ユーザ専用)を参照してください。

    • 要求に応じて修正されたプラグインを Cisco TAC から入手できます。修正は、ASA OS ではなくプラグインに対してのみ行われます。

リモート RDP セッションで一部の文字が表示されない理由

RDP セッションを介したリモート コンピュータのキーボード マップは、ローカル コンピュータのキーボード マップとは異なります。この違いが原因で、リモート コンピュータでは一部のキーが表示されないか、整理されません。 この動作は、Java プラグインで発生します。 ActiveX プラグインは正常に動作します。 この問題を解決するには、属性 keymap を使用して、ローカルの keymap をリモート PC にマップします。

たとえば、ドイツ語のキーボード マッピングが必要な場合は、次を使用します。

rdp://<IP Address of the server>/?keymap=de

次の keymap を使用できます。

---snip---
ar    de    en-us fi    fr-be it    lt    mk    pl    pt-br sl    tk
da    en-gb es    fr    hr    ja    lv    no    pt    ru    sv    tr
---snip---

既知のバグ:

注: 別の可能な回避策は、mstsc.exe にアプリケーションのスマート トンネルを使用することです。

smart-tunnel list RDP_List RDP mstsc.exe platform windows

Java RDP プラグインは全画面の RDP セッションをサポートできるかどうか

現時点では、サポートできません。ネイティブ サポートはありません。 機能拡張要求 CSCto87451登録 ユーザだけ)はこれを設定されて得るファイルされました。 以前に記載された別のバグが存在します。CSCsl26897登録ユーザ専用)。 この問題の回避策は、geometry パラメータを使用することです。 たとえば、geometry =1024x768 です。 もちろん、この値は画面によって異なり、最適な解決策ではありません。 または、IE と Windows を使用している場合、ActiveX Client では全画面がサポートされます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113600