Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド Version 8.0
シナリオ:SSL VPN クライアン トレス接続
シナリオ:SSL VPN クライアントレス接続
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

シナリオ:SSL VPN クライアントレス接続

クライアントレス SSL VPN について

クライアントレス SSL VPN 接続のセキュリティ上の考慮事項

ブラウザベースの SSL VPN アクセスを使用したネットワーク例

クライアントレス SSL VPN シナリオの実装

必要な情報

ASDM の起動

ブラウザベースの SSL VPN 接続用の適応型セキュリティ アプライアンスの設定

SSL VPN インターフェイスの指定

ユーザ認証方式の指定

グループ ポリシーの指定

リモート ユーザ用のブックマーク リストの作成

設定の確認

次の手順

シナリオ:SSL VPN クライアントレス接続

この章では、適応型セキュリティ アプライアンスを使用して、ソフトウェア クライアントを使用せずに(クライアントレスで)リモートアクセス SSL VPN 接続を受け付ける方法について説明します。クライアントレス SSL VPN を使用すると、Web ブラウザを使用してインターネットを経由するセキュアな接続(トンネル)を作成できます。この方法により、セキュアなアクセスを、ソフトウェア クライアントおよびハードウェア クライアントを持たないオフサイト ユーザに提供できます。

この章は、次の項で構成されています。

「クライアントレス SSL VPN について」

「ブラウザベースの SSL VPN アクセスを使用したネットワーク例」

「クライアントレス SSL VPN シナリオの実装」

「次の手順」

クライアントレス SSL VPN について

クライアントレス SSL VPN 接続は、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションにセキュアにかつ簡単にアクセスできるようにするものです。次のものが含まれます。

内部の Web サイト

Web 対応のアプリケーション

NT/Active Directory および FTP ファイルの共有資源

電子メール プロキシ(POP3S、IMAP4S、および SMTPS など)

MS Outlook Web アクセス

MAPI

アプリケーション アクセス(他の TCP ベースのアプリケーションにアクセスするためのポート転送)およびスマート トンネル

クライアントレス SSL VPN は Secure Sockets Layer Protocol(SSL)およびその後継の Transport Layer Security(TLSI)を使用して、リモート ユーザとサポートされている特定の内部リソース(中央サイトに設定されている)との間にセキュアな接続を提供します。適応型セキュリティ アプライアンスはプロキシする必要のある接続を認識し、HTTP サーバは認証サブシステムとやりとりしてユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN のユーザ別にグループ単位でリソースへのアクセスを提供します。

クライアントレス SSL VPN 接続のセキュリティ上の考慮事項

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバとの通信方法や証明書の検証方法の点で、リモートアクセス IPsec 接続と異なります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応の Web サーバに接続すると、適応型セキュリティ アプライアンスはセキュアな接続を確立し、サーバの SSL 証明書を検証します。エンド ユーザのブラウザが提示された証明書を受信することはないため、証明書を調べたり検証したりはできません。

適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN の実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されていません。また、適応型セキュリティ アプライアンスが信頼できる CA 証明書を検証することもありません。このため、ユーザは、SSL 対応の Web サーバとの通信の前に、このサーバが提示する証明書を分析することはできません。

SSL 証明書に含まれるリスクを最小限にするには、次のようにします。

1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザからなるグループ ポリシーを設定し、このグループ ポリシーに対してのみクライアントレス SSL VPN アクセスをイネーブルにします。

2. クライアントレス SSL VPN ユーザのインターネット アクセスを制限します。たとえば、ユーザがクライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限します。これを行うには、まず、ユーザによるインターネット上の一般コンテンツへのアクセスを制限します。次に、クライアントレス SSL VPN のユーザによるアクセスを制限する、内部ネットワーク上の特定のターゲットへのリンクを設定します。

3. ユーザ教育を行います。SSL 対応のサイトがプライベート ネットワーク内に存在しない場合、ユーザはクライアントレス SSL VPN 接続でこのようなサイトにアクセスしてはいけません。ユーザは別のブラウザ ウィンドウを開いてこのようなサイトにアクセスし、ブラウザを使用して提示された証明書を表示します。

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続に対して次の機能はサポートしていません。

NAT:グローバルに一意の IP アドレスの必要性を小さくする。

PAT:複数のアウトバウンド セッションが 1 つの IP アドレスから発信されることを許可する。

ブラウザベースの SSL VPN アクセスを使用したネットワーク例

図 11-1 は、Web ブラウザを使用したインターネット経由での SSL VPN 接続を受け付けるように設定された適応型セキュリティ アプライアンスを示しています。

図 11-1 SSL VPN 接続のネットワーク レイアウト

 

クライアントレス SSL VPN シナリオの実装

この項では、Web ブラウザからの SSL VPN 要求を受け付けるように適応型セキュリティ アプライアンスを設定する方法について説明します。設定値の例は、図 11-1 で示すリモートアクセスのシナリオから取得されます。

この項では、次のトピックについて取り上げます。

「必要な情報」

「ASDM の起動」

「ブラウザベースの SSL VPN 接続用の適応型セキュリティ アプライアンスの設定」

「SSL VPN インターフェイスの指定」

「ユーザ認証方式の指定」

「グループ ポリシーの指定」

「リモート ユーザ用のブックマーク リストの作成」

「設定の確認」

必要な情報

適応型セキュリティ アプライアンスの設定を開始してリモートアクセス IPsec VPN 接続を受け付けるには、事前に必ず次の情報を準備します。

リモート ユーザの接続先である、適応型セキュリティ アプライアンス上のインターフェイスの名前。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。

デジタル証明書。

ASA 5500 シリーズは、デフォルトで自己署名証明書を生成します。より高度なセキュリティのために、またブラウザの警告メッセージを表示しないようにするために、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。

ローカル認証データベースの作成に使用されるユーザのリスト(認証に AAA サーバを使用する場合を除く)。

認証に AAA サーバを使用している場合は、AAA サーバ グループ名。

AAA サーバ上のグループ ポリシーに関する次の情報:

サーバ グループ名

使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)

AAA サーバの IP アドレス

認証に使用する適応型セキュリティ アプライアンスのインターフェイス

AAA サーバでの認証を行うための秘密鍵

リモート ユーザが接続を確立したときに SSL VPN ポータル ページに表示する、内部 Web サイトまたはページのリスト。このページは、ユーザが最初に接続を確立したときに表示されるものであるため、リモート ユーザにとって最もよく使用するターゲットで構成されている必要があります。

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。


ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

 

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username および Password フィールドはブランクのままにします。


) デフォルトで、Cisco ASDM Launcher には Username および Password は設定されていません。


ステップ 4 OK をクリックします。

ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。

適応型セキュリティ アプライアンスは更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。

ASDM のメイン ウィンドウが表示されます。

 


 

ブラウザベースの SSL VPN 接続用の適応型セキュリティ アプライアンスの設定

ブラウザベースの SSL VPN の設定プロセスを開始するには、次の手順を実行します。


ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、 SSL VPN Wizard を選択します。SSL VPN Wizard の Step 1 画面が表示されます。

 

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順を実行します。

a. Browser-based SSL VPN (Web VPN) チェックボックスをオンにします。

b. Next をクリックして続行します。


 

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順を実行します。


ステップ 1 リモート ユーザの接続先の接続名を指定します。

 

ステップ 2 SSL VPN Interface ドロップダウン リストで、リモート ユーザの接続先のインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストで、適応型セキュリティ アプライアンスが認証のためにリモート ユーザに送信する証明書を選択します。


) ASA 5500 シリーズは、デフォルトで自己署名証明書を生成します。より高度なセキュリティのために、またブラウザの警告メッセージを表示しないようにするために、システムを実稼働環境に配置する前に、公式に信頼できる SSL VPN 証明書を購入する必要があります。



 

ユーザ認証方式の指定

ユーザは、ローカル認証データベース、または外部認証、認可、アカウンティング(AAA)サーバ(RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP)で認証できます。

SSL VPN Wizard の Step 3 で、次の手順を実行します。


ステップ 1 認証に AAA サーバまたはサーバ グループを使用している場合は、次の手順を実行します。

a. Authenticate using a AAA server group オプション ボタンをクリックします。

 

b. Authenticate using a AAA server group ドロップダウン リストから事前設定済みのサーバ グループを選択するか、または New をクリックして、新しい AAA サーバ グループを追加します。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次のものを指定します。

サーバ グループ名

使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)

AAA サーバの IP アドレス

適応型セキュリティ アプライアンスのインターフェイス

AAA サーバとの通信に使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。


 

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順を実行してグループ ポリシーを指定します。


ステップ 1 Create new group policy オプション ボタンをクリックして、グループ名を指定します。

あるいは、

Modify existing group policy オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。

 

ステップ 2 Next をクリックします。


 

リモート ユーザ用のブックマーク リストの作成

ポータル ページとは、ブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立したときに表示される、特別な Web ページです。ポータル ページを作成するには、ユーザが簡単にアクセスできる URL のリストを指定します。

SSL VPN Wizard の Step 5 で、次の手順を実行して、VPN ポータル ページ上に表示する URL を指定します。


ステップ 1 既存のブックマーク リストを指定するには、ドロップダウンリストからブックマーク リスト名を選択します。

 

新しいリストの追加または既存のリストの編集を行うには、Manage をクリックします。

Configure GUI Customization Objects ダイアログボックスが表示されます。

 

ステップ 2 新しいブックマーク リストを作成するには、 Add をクリックします。

既存のブックマーク リストを編集するには、 Edit をクリックします。

Add Bookmark List ダイアログボックスが表示されます。

 

ステップ 3 Bookmark List Name ボックスに、作成するブックマーク リストの名前を入力します。この名前は、VPN ポータル ページのタイトルとして使用されます。

ステップ 4 Add をクリックして、新しい URL をブックマーク リストに追加します。

Add Bookmark Entry ダイアログボックスが表示されます。

 

 

ステップ 5 Bookmark Title フィールドに、ブックマーク リストのタイトルを指定します。

ステップ 6 URL Value ドロップダウン リストで、指定する URL のタイプを選択します。たとえば、http、https、ftp などを選択します。

次に、ページの完全な URL を指定します。

ステップ 7 OK をクリックして、Add Bookmark List ダイアログボックスに戻ります。

ステップ 8 ブックマーク リストの追加が終了したら、OK をクリックして Configure GUI Customization Objects ダイアログボックスに戻ります。

ステップ 9 ブックマーク リストの追加および編集が終了したら、 OK をクリックして SSL VPN Wizard の Step 5 に戻ります。

ステップ 10 Bookmark List ドロップダウン リストで、この VPN グループのブックマーク リストの名前を選択します。

ステップ 11 Next をクリックして続行します。


 

設定の確認

SSL VPN Wizard の Step 7 で、設定を見直して正しいことを確認します。表示される設定は、次のようになります。

 

設定が正しいことを確認したら、 Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。

次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。

設定変更を保存しない場合は、次回のデバイス起動時に以前の設定が有効になります。

次の手順

クライアントレス SSL VPN 環境に適応型セキュリティ アプライアンスを配置するだけの場合は、これで初期設定は終わりです。このほかに、次の手順について、実行する必要があるかどうかを検討してください。

 

作業内容
参照先

設定の調整およびオプション機能と高度な機能の設定

Cisco Security Appliance Command Line Configuration Guide

日常のオペレーションの学習

Cisco Security Appliance Command Reference

Cisco Security Appliance Logging Configuration and System Log Messages

適応型セキュリティ アプライアンスは、複数のアプリケーション用に設定できます。次の項で、その他の一般的なアプリケーション用に適応型セキュリティ アプライアンスを設定する手順を説明します。

 

作業内容
参照先

DMZ 内の Web サーバを保護する適応型セキュリティ アプライアンスの設定

「シナリオ:DMZ の設定」

リモートアクセス VPN の設定

「シナリオ: IPSec リモートアクセス VPN の設定」

AnyConnect VPN の設定

「シナリオ:Cisco AnyConnect VPN Client 用の接続の設定」

サイトツーサイト VPN の設定

「シナリオ:サイトツーサイト VPN の設定」