セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

AAA 認証と証明書認証を使用した、IKEv2 による ASA への AnyConnect

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 9 月 3 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要 

この資料に AnyConnect IPsec (IKEv2)、また認証および認証、許可、アカウンティング(AAA) 認証の使用と Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)に PC を接続する方法を記述されています。

: この資料で提供される例は ASA と AnyConnect 間の IKEv2 接続を得るために使用する関連した部分だけ記述したものです。 すべてのコンフィギュレーション例は提供されません。 ネットワーク アドレス変換(NAT)がかアクセスリスト設定はこの資料に説明がありませんし、必要となりません。

著者:Cisco TAC エンジニア、Atri Basu、Marcin Latosiewicz

接続の準備をして下さい

このセクションは ASA に PC を接続できる前に必要となる perparations を記述します。

EKU が適切な証明書

認証はキー使用法(EKU)を拡張したことを ASA および AnyConnect 組み合せに必要とならないのに、RFC は必要とすることに注意することは重要です:

  • ASA のための認証はサーバauth EKU が含まれている必要があります。

  • PC のための認証はクライアントauth EKU が含まれている必要があります。

: 最近のソフトウェア 修正を用いる IOSルータは認証に EKUs を置くことができます。

ASA の設定

このセクションは接続が発生する前に ASA コンフィギュレーションを説明します必要となる。

: Cisco Adaptive Security Device Manager (ASDM)は少数のクリックだけで基本設定を作成することを許可します。 Cisco は誤りを避けるためにそれを使用することを推奨します。 

クリプト マップ 設定

クリプト マップ 設定例はここにあります:

crypto dynamic-map DYN 1 set pfs group1
crypto dynamic-map DYN 1 set ikev2 ipsec-proposal secure
crypto dynamic-map DYN 1 set reverse-route
crypto map STATIC 65535 ipsec-isakmp dynamic DYN
crypto map STATIC interface outside

IPsec 提案

IPsec 提案設定例はここにあります:

crypto ipsec ikev2 ipsec-proposal secure
 protocol esp encryption aes 3des
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal AES256-SHA
 protocol esp encryption aes-256
 protocol esp integrity sha-1

IKEv2 ポリシー

IKEv2 ポリシー 設定例はここにあります:

crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
prf sha
 lifetime seconds 86400
crypto ikev2 policy 10
 encryption aes-192
 integrity sha
group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 30
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 40
 encryption des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

クライアント サービスおよび認証

この場合 outside インターフェイスである正しいインターフェイスのクライアント サービスおよび認証を有効に して下さい。 次に設定例を示します。

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint OUTSIDE
ssl trust-point OUTSIDE outside

: 同じトラストポイントはまた Secure Sockets Layer (SSL)に割り当てられます、意図され、必要となる。

イネーブル AnyConnect プロファイル

ASA の AnyConnect プロファイルを有効に して下さい。 次に設定例を示します。

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.5080-k9.pkg 1 regex "Windows NT"
anyconnect profiles Anyconnect disk0:/anyconnect.xml
anyconnect enable
tunnel-group-list enable

ユーザ名、グループ ポリシーおよびトンネル グループ

ASA の基本的なユーザ名、グループ ポリシーおよびトンネル グループのための設定例はここにあります:

group-policy GroupPolicy_AC internal
group-policy GroupPolicy_AC attributes
 dns-server value 4.2.2.2
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
default-domain value cisco.com
webvpn
anyconnect profiles value Anyconnect type user
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
tunnel-group AC type remote-access
tunnel-group AC general-attributes
address-pool VPN-POOL
 default-group-policy GroupPolicy_AC
tunnel-group AC webvpn-attributes
authentication aaa certificate
 group-alias AC enable
 group-url https://bsns-asa5520-1.cisco.com/AC enable
 without-csd

AnyConnect プロファイル

太字で示されている関連した部分のプロファイル例はここにあります:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=
 "http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false
  </AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="true">Automatic
  </RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>bsns-asa5520-1</HostName>
<HostAddress>bsns-asa5520-1.cisco.com</HostAddress>
<UserGroup>AC</UserGroup>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>

この設定例についてのいくつかの注記はここにあります:

  • プロファイルを作成するとき、ホスト・アドレスは IKEv2 のために使用する認証の証明書名(CN)を一致する必要があります。 これを定義するために暗号 ikev2 リモートアクセス トラストポイント コマンドを入力して下さい。

  • ユーザーグループは IKEv2 接続が落ちる tunnelgroup の名前を一致する必要があります。 それらが一致する場合、接続は頻繁に失敗し、デバッグは Diffie-Hellman (DH) グループ ミスマッチか同じような偽陰性を示します。

接続をして下さい

このセクションはプロファイルが既に時 PC に ASA 接続を記述します。

: GUI に接続するために入力すること情報は < > 値 AnyConnect プロファイルで設定されるホスト名です。 この場合、bsns-asa5520-1 は、ない完全な完全修飾ドメイン名 (FQDN)入ります。

最初に AnyConnect によって接続するように試みるときゲートウェイは(自動証明書選択が無効なら)認証を選択するためにプロンプト表示します:

それからユーザ名 および パスワードを入力して下さい: 

ユーザ名 および パスワードが受け入れられれば、接続は正常であり、AnyConnect 統計情報は確認することができます:

ASA での確認

接続が IKEv2、また AAA および証明書認証使用することを確認するために ASA のこのコマンドを入力して下さい:

bsns-asa5520-1# show vpn-sessiondb detail anyconnect filter name cisco

Session Type: AnyConnect Detailed
Username : cisco Index : 6
Assigned IP : 172.16.99.5 Public IP : 1.2.3.4
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES256 AES128 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 960
Pkts Tx : 0 Pkts Rx : 10
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GroupPolicy_AC Tunnel Group : AC
Login Time : 15:45:41 UTC Tue Aug 28 2012
Duration : 0h:02m:41s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 6.1
Public IP : 1.2.3.4
Encryption : none Auth Mode : Certificate and userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client Type : AnyConnect
Client Ver : 3.0.08057
IKEv2:
Tunnel ID : 6.2
UDP Src Port : 60468 UDP Dst Port : 4500
Rem Auth Mode: Certificate and userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86238 Seconds
PRF : SHA1 D/H Group : 5
Filter Name :
Client OS : Windows
IPsecOverNatT:
Tunnel ID : 6.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 172.16.99.5/255.255.255.255/0/0
Encryption : AES128 Hashing : SHA1\
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28638 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Bytes Tx : 0 Bytes Rx : 960
Pkts Tx : 0 Pkts Rx : 10

既知の警告

これらは情報と関連している問題および既知の警告ですこの資料に説明がある:

  • IKEv2 および SSL trustpoints は同じである必要があります。

  • Cisco は ASA 側認証のために CN として FQDN を使用することを推奨します。 AnyConnect プロファイルで <HostAddress> のための同じ FQDN を参照するようにして下さい。

  • 接続するとき < AnyConnect プロファイルから > 値ホスト名挿入することを忘れないようにして下さい。

  • AnyConnect は ASA に接続するとき IKEv2 設定で、SSL 上のプロファイルおよびバイナリ更新、ない IPsec をダウンロードします。

  • ASA への IKEv2 上の AnyConnect 接続は EAPAnyConnect を、より簡単な実装を可能にする独自 の メカニズム使用します。


Document ID: 113692