セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

AAA 認証と証明書認証を使用した、IKEv2 による ASA への AnyConnect

2013 年 9 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 10 月 10 日) | フィードバック

概要

このドキュメントでは、証明書認証および AAA 認証を利用し、AnyConnect IPsec(IKEv2)を使用して PC から適応型セキュリティ アプライアンス(ASA)に接続する方法について説明します。

このドキュメントの例は設定全体を示すものではなく、ASA と AnyConnect との間で IKEv2 接続を確立することに関連する部分のみを示します。NAT またはアクセス リスト設定は、この文書では説明しないか、または必要ありません。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA 8.4

  • AnyConnect 3.x

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

必要項目

EKU が適切な証明書

厳密に言うと必要ありませんが、RFC によると、ASA と AnyConnect の組み合わせでは、証明書に拡張キー使用法(EKU)が必要となります。

  • ASA 用証明書(サーバ認証 EKU を含む)

  • PC 用証明書(クライアント認証 EKU を含む)

注: 最新のソフトウェア リビジョンがインストールされた Cisco IOS ルータでは、証明書に EKU を使用できます。

ASA 側の設定

注: ASDM では、数回クリックするだけで基本的な設定ができます。間違いを避けるため、ASDM の使用を推奨します。

クリプト マップの設定:

crypto dynamic-map DYN 1 set pfs group1
crypto dynamic-map DYN 1 set ikev2 ipsec-proposal secure
crypto dynamic-map DYN 1 set reverse-route
crypto map STATIC 65535 ipsec-isakmp dynamic DYN
crypto map STATIC interface outside

IPsec プロポーザル(例):

crypto ipsec ikev2 ipsec-proposal secure
 protocol esp encryption aes 3des
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal AES256-SHA
 protocol esp encryption aes-256
 protocol esp integrity sha-1

IKEv2 ポリシー(例):

crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 30
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 40

 encryption des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

クライアント サービスと証明書を適切なインターフェイス (この場合は外部)で有効にします。

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint OUTSIDE
! You will notice that the same trustpoint is also assigned for SSL, this is intended and required!!!
ssl trust-point OUTSIDE outside

AnyConnect とプロファイルを有効にします。

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.5080-k9.pkg 1 regex "Windows NT"
 anyconnect profiles Anyconnect disk0:/anyconnect.xml
 anyconnect enable
 tunnel-group-list enable

基本的なユーザ名、グループポリシー、トンネルグループの設定

group-policy GroupPolicy_AC internal
group-policy GroupPolicy_AC attributes

 dns-server value 4.2.2.2
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
 default-domain value cisco.com
 webvpn
 anyconnect profiles value Anyconnect type user

username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group AC type remote-access
tunnel-group AC general-attributes
 address-pool VPN-POOL
 default-group-policy GroupPolicy_AC
tunnel-group AC webvpn-attributes
 authentication aaa certificate
 group-alias AC enable
 group-url https://bsns-asa5520-1.cisco.com/AC enable
 without-csd

AnyConnect プロファイル

プロファイル例を以下に示します。関連する部分はボールドになっています。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
		<AuthenticationTimeout>12</AuthenticationTimeout>
		<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend</Auto
ReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Disable
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<EnableAutomaticServerSelection UserControllable="false">false
			<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
			<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
		</EnableAutomaticServerSelection>
		<RetainVpnOnLogoff>false
		</RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>bsns-asa5520-1</HostName>
			<HostAddress>bsns-asa5520-1.cisco.com</HostAddress>
			<UserGroup>AC</UserGroup>
		<PrimaryProtocol>IPsec</PrimaryProtocol>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

接続 - ユーザの観点

この項では、プロファイルがすでに存在するときの、ユーザから見た接続について説明します。

ユーザが接続のために GUI で入力する必要がある情報が、<HostName> の後にある値であることに注意してください。この場合は、bsns-asa5520-1(完全 FQDN ではない)と入力します。

最初の手順として、ユーザは証明書を選択することをゲートウェイから求められます(自動証明書選択が無効である場合)。

ac-ikev2-ca-01.gif

次に、ユーザ名とパスワードが要求されます。

ac-ikev2-ca-02.gif

正常に接続され、AnyConnect の統計を確認できるようになります。

ac-ikev2-ca-03.gif

ASA での確認

IKEv2、および AAA 認証と証明書認証の両方がこの接続で使用されていることを ASA で確認します。

bsns-asa5520-1# show vpn-sessiondb detail anyconnect filter name cisco
Session Type: AnyConnect Detailed
Username : cisco Index : 6
Assigned IP : 172.16.99.5 Public IP : 1.2.3.4
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES256 AES128 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 960
Pkts Tx : 0 Pkts Rx : 10
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GroupPolicy_AC Tunnel Group : AC
Login Time : 15:45:41 UTC Tue Aug 28 2012
Duration : 0h:02m:41s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
 Tunnel ID : 6.1
 Public IP : 1.2.3.4
 Encryption : none Auth Mode : Certificate and userPassword
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Client Type : AnyConnect
 Client Ver : 3.0.08057
IKEv2:
 Tunnel ID : 6.2
 UDP Src Port : 60468 UDP Dst Port : 4500
 Rem Auth Mode: Certificate and userPassword
 Loc Auth Mode: rsaCertificate
 Encryption : AES256 Hashing : SHA1

 Rekey Int (T): 86400 Seconds Rekey Left(T): 86238 Seconds
 PRF : SHA1 D/H Group : 5
 Filter Name :
 Client OS : Windows
IPsecOverNatT:
 Tunnel ID : 6.3
 Local Addr : 0.0.0.0/0.0.0.0/0/0
 Remote Addr : 172.16.99.5/255.255.255.255/0/0

 Encryption : AES128 Hashing : SHA1
 Encapsulation: Tunnel
 Rekey Int (T): 28800 Seconds Rekey Left(T): 28638 Seconds
 Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Bytes Tx : 0 Bytes Rx : 960
 Pkts Tx : 0 Pkts Rx : 10

既知の注意点と問題点

  • IKEv2 と SSL のトラストポイントは同一にする必要があります。

  • ASA 側の証明書で CN として FQDN を使用することを推奨します。AnyConnect プロファイルの <HostAddress> では、同じ FQDN を参照してください。

  • クライアント側では、接続するとき、AnyConnect プロファイルの <HostName> セクションに表示される値を入力します。

  • IKEv2 設定でも、ASA に接続する AnyConnect は、IPsec ではなく SSL でプロファイルとバイナリ アップデートをダウンロードします。

  • IKEv2 による ASA への AnyConnect 接続では、実装が簡素な独自のメカニズムである EAP-AnyConnect が利用されます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113692