セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:セキュリティ アプライアンスを介したリモート デスクトップ プロトコル接続許可の設定例

2013 年 5 月 17 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 2 月 24 日) | フィードバック

概要

このドキュメントでは、Cisco セキュリティ アプライアンスを介してリモート デスクトップ プロトコル(RDP)接続を許可する方法について説明します。

RDP は、Microsoft Terminal Services を実行するコンピュータへの接続を許可するマルチチャネル プロトコルです。クライアントは、Windows のほとんどのバージョン、および Linux、FreeBSD、Mac OS X などのその他のオペレーティング システムに存在します。サーバは、デフォルトでは TCP ポート 3389 をリスニングします。

この設定例では、セキュリティ アプライアンスは、インターネットの RDP クライアントが内部インターフェイスの RDP サーバ PC に接続できるように設定されています。セキュリティ アプライアンスは、アドレス変換を実行し、スタティック マッピングされた外部 IP アドレスを使用してホストに接続します。

前提条件

要件

このドキュメントでは、Cisco PIX ファイアウォールは完全に動作および設定されていることを前提としています。また、すべての初期設定が完了し、ホストのエンドツーエンド接続が確立されていることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.2(1) が稼働している Cisco Adaptive Security Appliances(ASA)5500 シリーズ セキュリティ アプライアンス

  • Cisco Adaptive Security Device Manager バージョン 6.3(5)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

  • ソフトウェア バージョン 7.x が稼働している Cisco PIX 500 シリーズ セキュリティ アプライアンス

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、リモート デスクトップ プロトコル(RDP)トラフィックを許可するようにセキュリティ アプライアンスを設定するための情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pix-remote-desktop-conn-01.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは、ラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。

コンフィギュレーション

このセクションでは、セキュリティ アプライアンス設定を示します。インターネットのホスト 20.1.1.10 からの RDP トラフィックは、スタティック マッピングされた IP アドレス 209.165.200.10 を介してポート 3389 をリスニングする内部ネットワークの 172.16.11.10 の RDP サーバに許可されます。

次の手順を実行します。

  • 外部インターフェイスから内部ホストで受信される RDP トラフィックをリダイレクトするように、スタティック NAT を設定します。

  • RDP を許可するアクセス コントロール リスト(ACL)を作成して、外部インターフェイスに適用します。

    注:NAT はセキュリティ アプライアンスにより実行されるので、ACL は、RDP サーバのマッピングされた IP アドレスへのアクセスを許可する必要があります。実際の IP アドレスではありません。

注:スタティック マッピングに使用される IP アドレス(192.168.1.5)は、外部インターフェイス IP アドレスと同じサブネットにあります。スタティック NAT マッピングの詳細については、『PIX/ASA 7.x NAT および PAT ステートメント』の『スタティック NAT』セクションを参照してください。

CiscoASA
CiscoASA#show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname CiscoASA
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!--- 出力を省略

!
object-group service RDP tcp
 port-object eq 3389
!
!
!--- 出力を省略

!

!--- このアクセスリストは、TCP ポート 3389 で 172.16.1.2 から
!--- 192.168.1.5 に送信される RDP トラフィックを許可します。

access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP




!--- このスタティック NAT ステートメントは、  
!--- IP アドレス 192.168.1.5 を宛先とするトラフィックをホスト IP アドレス 10.1.1.5 にリダイレクトします。

static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255

!
!--- 出力を省略

access-group outside_access_in in interface outside
!

!--- 出力を省略 

注:この ACL 設定では、インターネット全体から RDP サーバへのアクセスが許可されるように、「host 20.1.1.10」を「any」に置換できます。ただし、この設定は、RDP サーバが攻撃を受けやすくなるので、推奨しません。一般的に、ACL エントリはできるだけ固有なものにします。

ASDM の設定

コンフィギュレーション

次の手順を実行します。

  1. アドレスリストを作成するには、[Configuration] > [Firewall] > [Access Rules] を選択し、[Add] を選択して、ドロップダウン メニューから [Add Access Rule] をクリックします。

    pix-remote-desktop-conn-02.gif

  2. ここで、アクション、送信元および宛先を指定します。[...] をクリックし、[Details] ボタンをクリックして、宛先ポートを選択します。

    pix-remote-desktop-conn-03.gif

  3. RDP のデフォルトのポート番号は 3389 です。これは利用可能な tcp ポートでは使用できないので、[Add] をクリックして、ドロップダウン メニューから [TCP Service Group] を選択します。これにより、必要に応じて、カスタマイズしたポートをグループ化できます。

    pix-remote-desktop-conn-04.gif

  4. ここで、このサービス グループの名前を指定し、[Port/Range] オプションの空白フィールドにポート番号を入力します。このサービスをサービス グループのメンバとするには、[Add] ボタンをクリックします。このようにして、同じサービス グループのメンバとしてポート範囲を選択できます。[OK] をクリックします。

    pix-remote-desktop-conn-05.gif

  5. そのメンバとサービス グループが示されます。[OK] をクリックして [Access Rule] ウィンドウに戻ります。

    pix-remote-desktop-conn-06.gif

  6. [OK] をクリックして、アクセスリスト設定を完了します。

    pix-remote-desktop-conn-07.gif

  7. アクセスリストおよびその関連インターフェイスは、[Configuration] > [Firewall] > [Access Rules] ウィンドウで確認できます。

    pix-remote-desktop-conn-08.gif

  8. ここで、[Configuration] > [Firewall] > [NAT Rules] > [Add] > [Add Static NAT Rule] オプションを選択して、スタティック NAT エントリを作成します。

    pix-remote-desktop-conn-09.gif

  9. 変換前の IP アドレスと変換後の IP アドレス、およびそれぞれの関連インターフェイスを指定し、[OK] をクリックします。

    pix-remote-desktop-conn-10.gif

  10. 設定されたルールは、次に示すように、[NAT Rules] ウィンドウに表示されます。[Apply] ボタンをクリックし、この設定をセキュリティ アプライアンスに送信して、[Save] をクリックして、設定をフラッシュ メモリに保存します。

    pix-remote-desktop-conn-11.gif

同じ RDP サーバへの SSH の許可

特定のアプリケーションでは、既知の脆弱性のために、リモート デスクトップ アプリケーションがブロックされます。この場合、SSH などの他の暗号化されたアプリケーションを使用できます。このようにするには、RDP サーバの宛先ポートとして SSH を追加する必要があります。前述の例では、サービス グループの概念を使用して宛先ポートを定義しています。サービス グループを使用する利点は、必要に応じて、プロトコルとポートをサービス グループに変更できるということです。新しいポートをサービス グループに追加するか、サービス グループの既存のメンバ(ポート)を削除できます。次の例では、SSH を既存のサービス グループ RDP に追加する方法について説明します。

次の手順を実行します。

  1. アクセス リストの [Access] ルールを右クリックして、[Edit] をクリックします。

    pix-remote-desktop-conn-12.gif

  2. ここで、[Service] カテゴリで、[...]、[Details] ボタンをクリックして、サービス グループのメンバを編集します。

    pix-remote-desktop-conn-13.gif

  3. サービス グループを右クリックし、[Edit] をクリックして、サービス グループのメンバを変更します。

    pix-remote-desktop-conn-14.gif

  4. ここで、[SSH] プロトコルを選択し、[Add] をクリックして、このプロトコルをこのサービス グループのメンバとして追加します。

    pix-remote-desktop-conn-15.gif

  5. ここで、この例のように両方のメンバが表示され、[OK] をクリックします。

    pix-remote-desktop-conn-16.gif

  6. [OK] をクリックして、変更手順を完了します。

    pix-remote-desktop-conn-17.gif

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

  • 特定のクライアントまたは範囲内のクライアントが、RDP サーバに接続できない場合、これらのクライアントが外部インターフェイスの ACL で許可されていることを確認します。

  • クライアントが RDP サーバに接続できない場合、外部または内部インターフェイスの ACL により、ポート 3389 へのトラフィックがブロックされていないことを確認します。

  • クライアントが RDP サーバに接続できない場合、パケットが MSS 値を超えていないかどうかを確認します。この場合、超過した MSS パケットを許可するように MPF を設定し、この例に示すようにこの問題を解決します。

    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 3389
    
    
    !--- このコマンドは、スペースの制約により 2 行にわたって 
    !--- 表示されています。
    
    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 80
    
    
    !--- このコマンドは、スペースの制約により 2 行にわたって 
    !--- 表示されています。
    
    
    CiscoASA(config)#class-map rdpmss
    CiscoASA(config-cmap)#match access-list 110    
    CiscoASA(config-cmap)#exit
    CiscoASA(config)#tcp-map mss-map
    CiscoASA(config-tcp-map)#exceed-mss allow
    CiscoASA(config-tcp-map)#exit
    CiscoASA(config)#policy-map rdpmss
    CiscoASA(config-pmap)#class rdpmss
    CiscoASA(config-pmap-c)#set connection advanced-options mss-map
    CiscoASA(config-pmap-c)#exit
    CiscoASA(config-pmap)#exit
    CiscoASA(config)#service-policy rdpmss interface outside
    

    フラグメンテーション問題の解決策』セクション(『PIX/ASA 7.x および IOS:VPN フラグメンテーション』)を参照して、MSS 問題の解決に使用できる他の方法を確認できます。

  • TCP デフォルト接続タイムアウト値が経過した後の RDP セッション タイムアウト。この問題を解決するには、次のようにタイムアウト値を増やします。

    timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

    このコマンドは、タイムアウト値を 10 時間に設定します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 77869