Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
AnyConnect ホスト スキャンの設定
AnyConnect ホスト スキャンの設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

AnyConnect ホスト スキャンの設定

ホスト スキャンの依存関係およびシステム要件

依存関係

システム要件

ライセンス

ホスト スキャン パッケージング

ASA でのホスト スキャンのインストールおよびイネーブル化

ホスト スキャンのインストールまたはアップグレード

ホスト スキャンのイネーブル化またはディセーブル化

ASA でイネーブルになっているホスト スキャンのバージョンの表示

ホスト スキャンのアンインストール

AnyConnect フィーチャ モジュールのグループ ポリシーへの割り当て

ホスト スキャンに関する他の重要なマニュアル

AnyConnect ホスト スキャンの設定

AnyConnect ポスチャ モジュールにより、AnyConnect AnyConnect Secure Mobility Client はホストにインストールされているオペレーティング システム、およびアンチウイルス、アンチスパイウェア、ファイアウォールの各ソフトウェアを識別できます。この情報は、ホスト スキャン アプリケーションによって収集されます。

Adaptive Security Device Manager(ASDM)のセキュア デスクトップ マネージャ ツールを使用することにより、ホスト スキャンによって識別されるオペレーティング システム、アンチウイルス、アンチスパイウェア、およびファイアウォールの各ソフトウェアを評価するプレログイン ポリシーを作成することができます。プレログイン ポリシーの評価結果に基づき、セキュリティ アプライアンスへのリモート アクセス接続を作成するホストを制御できます。

ホスト スキャンのサポート表には、プレログイン ポリシーで使用するアンチウイルス、アンチスパイウェア、およびファイアウォールの各アプリケーションの製品名とバージョン情報が含まれています。シスコでは、ホスト スキャン パッケージにホスト スキャン、ホスト スキャン サポート表、および他のコンポーネントを含めて提供しています。

AnyConnect Secure Mobility Client, Release 3.0 以降では、ホスト スキャンは CSD とは別に利用できます。これは、CSD をインストールしなくてもホスト スキャンの機能を展開できることを意味します。また、最新のホスト スキャン パッケージに更新することで、ホスト スキャン サポート表を更新できます。

ポスチャ アセスメントおよび AnyConnect テレメトリ モジュールの場合は、ホスト スキャンがホストにインストールされている必要があります。

この章は、次の内容で構成されています。

「ホスト スキャンの依存関係およびシステム要件」

「ホスト スキャン パッケージング」

「ASA でのホスト スキャンのインストールおよびイネーブル化」

「ホスト スキャンに関する他の重要なマニュアル」

ホスト スキャンの依存関係およびシステム要件

依存関係

AnyConnect Secure Mobility Client をポスチャ モジュールととも使用するには、最低でも次のような ASA コンポーネントが必要です。

ASA 8.4

ASDM 6.4

これらの AnyConnect 機能を使用するには、ポスチャ モジュールをインストールする必要があります。

SCEP 認証

AnyConnect テレメトリ モジュール

システム要件

ポスチャ モジュールは、次のプラットフォームのいずれかにインストールできます。

Windows XP(x86 版、および x64 環境で動作する x86 版)

Windows Vista(x86 版、および x64 環境で動作する x86 版)

Windows 7(x86 版、および x64 環境で動作する x86 版)

Mac OS X 10.5,10.6(32 ビット版、および 64 ビット環境で動作する 32 ビット版)

Linux(32 ビット版、および 64 ビット環境で動作する 32 ビット版)

Windows Mobile

ライセンス

これらは、ポスチャ モジュールのための AnyConnect のライセンス要件です。

基本的なホスト スキャンのための AnyConnect Premium。

次については、Advanced Endpoint Assessment ライセンスが必要です。

修復

モバイル デバイス管理

ホスト スキャン パッケージング

ASA へのホスト スキャン パッケージは次のいずれかの方法でロードできます。

hostscan-version.pkg は、スタンドアロン パッケージとしてアップロードできます。

anyconnect-NGC-win-version-k9.pkg は、AnyConnect Secure Mobility パッケージをアップロードすることにより、アップロードできます。

csd_version-k9.pkg は、Cisco Secure Desktop パッケージをアップロードすることにより、アップロードできます。

 

表 75-1 ASA にロードするホスト スキャン パッケージ

ファイル
説明

hostscan- version .pkg

このファイルには、ホスト スキャン ソフトウェア、ホスト スキャン ライブラリおよびサポート表が含まれます。

anyconnect-NGC-win- version -k9.pkg

このパッケージには、hostscan- version .pkg ファイルを含むすべての Cisco AnyConnect Secure Mobility Client の機能が含まれます。

csd_ version -k9.pkg

このファイルには、ホスト スキャン ソフトウェア、ホスト スキャン ライブラリおよびサポート表を含むすべての Cisco Secure Desktop の機能が含まれます。

この方法には、別の Cisco Secure Desktop のライセンスが必要です。

ASA でのホスト スキャンのインストールおよびイネーブル化

次のタスクでは、ASA 上でのホスト スキャンのインストールとイネーブル化について説明します。

ホスト スキャンのインストールまたはアップグレード

ホスト スキャンのイネーブル化またはディセーブル化

ASA でイネーブルになっているホスト スキャンのバージョンの表示

ホスト スキャンのアンインストール

AnyConnect フィーチャ モジュールのグループ ポリシーへの割り当て

ホスト スキャンのインストールまたはアップグレード

ホスト スキャン パッケージをインストールまたはアップグレードし、ASA のコマンドライン インターフェイスを使用してイネーブルにするには、次の手順を実行します。

前提条件

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

ASA に hostscan_version-k9.pkg ファイルまたは anyconnect-NGC-win-version-k9.pkg ファイルをアップロードします。

手順の詳細

コマンド
目的

ステップ 1

webvpn

 

hostname(config)# webvpn

webvpn コンフィギュレーション モードを開始します。

ステップ 2

csd hostscan image path

 

ASAName(webvpn)# csd hostscan image disk0:/ hostscan-3.6.0-k9.pkg

ASAName(webvpn)# csd hostscan image disk0:/anyconnect-NGC-win-3.0.0327-k9.pkg

ホスト スキャン イメージとして指定する、パッケージへのパスを指定します。ホスト スキャン パッケージとして、スタンドアロンのホスト スキャン パッケージ、または AnyConnect Secure Mobility Client パッケージを指定することができます。

-k9.pkg ファイルをアップロードする必要があります。

ステップ 3

csd enable

 

ASAName(webvpn)# csd enable

前の手順で指定したホスト スキャン イメージをイネーブルにします。

ステップ 4

write memory

 

hostname(webvpn)# write memory

実行コンフィギュレーションをフラッシュ メモリに保存します。

新しいコンフィギュレーションがフラッシュ メモリに正常に保存されると、[OK] メッセージが表示されます。

ホスト スキャンのイネーブル化またはディセーブル化

次のコマンドは、ASA のコマンドライン インターフェイスを使用してインストールされたホスト スキャン イメージをイネーブルまたはディセーブルにします。

前提条件

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

ホスト スキャンをイネーブル化する手順の詳細

コマンド
目的

ステップ 1

webvpn

 

hostname(config)# webvpn

webvpn コンフィギュレーション モードを開始します。

ステップ 2

csd enable

 

hostname(config)# csd enable

スタンドアロンのホスト スキャン イメージ、または AnyConnect Secure Mobility Client パッケージの中のホスト スキャン イメージが、ASA からアンインストールされていない場合は、これらをイネーブルにします。これらのタイプのパッケージがいずれもインストールされず、CSD パッケージがインストールされている場合は、CSD パッケージ内のホスト スキャン機能がイネーブルになります。

ホスト スキャンをディセーブル化する手順の詳細

コマンド
目的

ステップ 1

webvpn

 

hostname(config)# webvpn

webvpn コンフィギュレーション モードを開始します。

ステップ 2

no csd enable

 

hostname(config)# no csd enable

インストールされているすべてのホスト スキャン パッケージのホスト スキャンをディセーブルにします。

(注) イネーブルになっているホスト スキャン イメージをアンインストールする前に、このコマンドを使用してホスト スキャンをディセーブルにする必要があります。

ASA でイネーブルになっているホスト スキャンのバージョンの表示

ASA のコマンドライン インターフェイスを使用して、イネーブルになっているホスト スキャンのバージョンを確認するには、次の手順を実行します。

前提条件

ASA にログオンし、特権 EXEC モードを開始します。特権 EXEC モードでは、ASA は hostname# プロンプトを表示します。

 

コマンド
目的

show webvpn csd hostscan

 

hostname# show webvpn csd hostscan

ASA でイネーブルになっているホスト スキャンのバージョンが表示されます。

ホスト スキャンのアンインストール

ホスト スキャン パッケージをアンインストールすると、ASDM インターフェイス上のビューから削除されます。これにより、ホスト スキャンまたは CSD がイネーブルの場合でも ASA によるホスト スキャン パッケージの展開が回避されます。ホスト スキャンをアンインストールしても、フラッシュ ドライブに保存されたホスト スキャン パッケージは削除されません。

前提条件

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

手順の詳細

コマンド
目的

ステップ 1

webvpn

 

hostname(config)# webvpn

webvpn コンフィギュレーション モードを開始します。

ステップ 2

no csd enable

 

ASAName(webvpn)#no csd enable

アンインストールするホスト スキャン イメージをディセーブルにします。

ステップ 3

no csd hostscan image path

 

hostname(webvpn)#no csd hostscan image disk0:/hostscan-3.6.0-k9.pkg

hostname(webvpn)#no csd hostscan image disk0:/anyconnect-NGC-win-3.0.0327-k9.pkg

アンインストールするホスト スキャン イメージへのパスを指定します。スタンドアロンのホスト スキャン パッケージ、または AnyConnect Secure Mobility Client パッケージがホスト スキャン パッケージとして指定されている場合があります。

ステップ 4

write memory

 

hostname(webvpn)# write memory

実行コンフィギュレーションをフラッシュ メモリに保存します。

新しいコンフィギュレーションがフラッシュ メモリに正常に保存されると、[OK] メッセージが表示されます。

AnyConnect フィーチャ モジュールのグループ ポリシーへの割り当て

次の手順で、AnyConnect フィーチャ モジュールとグループ ポリシーを関連付けます。VPN ユーザが ASA に接続すると、ASA により VPN ユーザのエンドポイント コンピュータにこれらの AnyConnect フィーチャ モジュールがダウンロードおよびインストールされます。

前提条件

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

手順の詳細

 

コマンド
目的

ステップ 1

group-policy name internal

 
hostname(config)# group-policy PostureModuleGroup internal

Network Client Access の内部グループ ポリシーを追加します。

ステップ 2

group-policy name attributes
 

hostname(config)# group-policy PostureModuleGroup attributes

新しいグループ ポリシーを編集します。コマンドを入力すると、グループ ポリシー コンフィギュレーション モードの hostname(config-group-policy)# プロンプトが表示されます。

ステップ 3

webvpn

 

hostname(config-group-policy)# webvpn

グループ ポリシー webvpn コンフィギュレーション モードを開始します。コマンドを入力すると、ASA は次のプロンプトを表示します。

hostname(config-group-webvpn)#

ステップ 4

hostname(config-group-webvpn)# anyconnect modules value AnyConnect Module N ame
 

hostname(config-group-webvpn)# anyconnect modules value websecurity,telemetry,posture

グループ内のすべてのユーザに AnyConnect フィーチャ モジュールがダウンロードされるように、グループ ポリシーを設定します。AnyConnect モジュール コマンドの値は、次のいずれかの値を 1 つ以上含めることができます。複数のモジュールを指定する場合は、値をカンマで区切ります。

value AnyConnect モジュール名

dart AnyConnect DART(診断およびレポート ツール)

nam AnyConnect ネットワーク アクセス マネージャ

vpngina AnyConnect SBL(Start Before Logon)

websecurity AnyConnect Web セキュリティ モジュール

telemetry AnyConnect テレメトリ モジュール

posture AnyConnect ポスチャ モジュール

none グループ ポリシーからのすべての AnyConnect モジュールを削除。

モジュールの 1 つを削除するには、保持したいモジュールの値だけを指定したコマンドを再送信します。たとえば、このコマンドは Web セキュリティ モジュールを削除します。

hostname(config-group-webvpn)# anyconnect modules value telemetry,posture

ステップ 5

write memory

 

hostname(config-group-webvpn)# write memory

実行コンフィギュレーションをフラッシュ メモリに保存します。

新しいコンフィギュレーションがフラッシュ メモリに正常に保存されると、[OK] メッセージが表示され、ASA が次のプロンプトを表示します。

hostname(config-group-webvpn)#

ホスト スキャンに関する他の重要なマニュアル

ホスト スキャンがエンドポイント コンピュータからポスチャ クレデンシャルを収集した後は、情報を活用するために、ユーザはプレログイン ポリシーの設定、ダイナミック アクセス ポリシーの設定、Lua の式の使用などのサブジェクトを理解する必要があります。

これらの内容については、次のマニュアルで詳しく説明します。

『Cisco Secure Desktop Configuration Guides』

『Cisco Adaptive Security Device Manager Configuration Guides』

また、AnyConnect クライアントでのホスト スキャンの動作の詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.0 』を参照してください。