Cisco ASA 5505 クイック スタート ガイド Version 8.0
シナリオ:SSL VPN クライアン トレス接続
シナリオ:SSL VPN クライアントレス接続
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

シナリオ:SSL VPN クライアントレス接続

クライアントレス SSL VPN について

クライアントレス SSL VPN 接続のセキュリティに関する検討事項

ブラウザベースの SSL VPN アクセスを使用するネットワークの例

クライアントレス SSL VPN シナリオの実装

収集する情報

ASDM の起動

ブラウザベースの SSL VPN 接続用の の設定

SSL VPN インターフェイスの指定

ユーザ認証方式の指定

グループ ポリシーの指定

リモート ユーザ用のブックマーク リストの作成

設定の確認

次の作業

シナリオ:SSL VPN クライアントレス接続

この章では、適応型セキュリティ アプライアンスを使用して、ソフトウェア クライアントなしで(クライアントレス)リモート アクセス SSL VPN 接続を受け入れる方法について説明します。クライアントレス SSL VPN を使用すると、Web ブラウザを使用して、インターネットを越えてセキュアな接続(トンネル)を作成できます。この方法を行うと、オフサイトのユーザにソフトウェア クライアントまたはハードウェア クライアントを使用せずに、セキュアなアクセスを提供できます。

この章には、次の項があります。

「クライアントレス SSL VPN について」

「ブラウザベースの SSL VPN アクセスを使用するネットワークの例」

「クライアントレス SSL VPN シナリオの実装」

「次の作業」

クライアントレス SSL VPN について

クライアント SSL VPN 接続を使用すると、インターネット上のほぼすべてのコンピュータから、豊富な Web リソースと Web 対応アプリケーションにセキュアかつ簡単にアクセスできます。次のものが含まれます。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory および FTP ファイル共有

POP3S、IMAP4S、SMTPS などの電子メール プロキシ

MS Outlook Web Access

MAPI

アプリケーション アクセス(他の TCP ベースのアプリケーションにアクセスするためのポート転送)とスマート トンネル

クライアントレス SSL VPN は、Secure Sockets Layer Protocol(SSL)とその後継プロトコルである Transport Layer Security(TLSI)を使用して、リモート ユーザと、中央サイトで設定した、サポートされている特定の内部リソースの間にセキュアな接続を提供します。適応型セキュリティ アプライアンスが、プロキシする必要がある接続を認識し、HTTP サーバが、認証サブシステムと情報をやりとりしてユーザを認証します。

ネットワーク管理者は、グループ単位でクライアントレス SSL VPN のユーザにリソースへのアクセス権限を付与します。

クライアントレス SSL VPN 接続のセキュリティに関する検討事項

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、特に SSL 対応サーバと情報をやりとりする方法と、証明書の確認に関して、リモート アクセス IPsec 接続とは異なります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスがエンドユーザの Web ブラウザとターゲット Web サーバ間のプロキシの役割を果たします。ユーザが SSL 対応 Web サーバに接続すると、適応型セキュリティ アプライアンスがセキュアな接続を確立し、サーバの SSL 証明書を確認します。エンドユーザのブラウザが、提示される証明書を受け取ることはないため、エンドユーザのブラウザから証明書を調べて確認することはできません。

適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN の実装では、有効期限が切れた証明書を提示したサイトとの通信は許可されていません。また、適応型セキュリティ アプライアンスは、信頼されている CA 証明書の確認を行いません。そのため、ユーザは、SSL 対応 Web サーバと通信する前に、SSL 対応 Web サーバが提供する証明書を解析することはできません。

SSL 証明書についてのリスクを最小限に抑えるには、次の方法があります。

1. クライアントレス SSL VPN アクセスを必要とするすべてのユーザで構成されるグループ ポリシーを設定し、そのグループ ポリシーに対してのみイネーブルにする。

2. たとえば、クライアントレス SSL VPN 接続を使用してアクセスできるリソースを制限するなどして、クライアントレス SSL VPN ユーザのインターネット アクセスを制限する。これを実行すると、インターネット上の一般的なコンテンツへのアクセスが制限されることがあります。その場合、クライアントレス SSL VPN ユーザがアクセスできるようにする、内部ネットワーク上の特定のターゲットへのリンクを設定できます。

3. ユーザを教育する。SSL 対応サイトがプライベート ネットワーク内部にない場合は、クライアントレス SSL VPN 接続を介してそのサイトにアクセスしないでください。そのようなサイトにアクセスするには、個別のブラウザ ウィンドウを開き、そのブラウザを使用して提示された証明書を参照します。

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続用の次の機能をサポートしていません。

NAT。グローバルに一意の IP アドレスの必要性を低下させます。

PAT。複数のアウトバウンド セッションが単一の IP アドレスから発信されているように見せることを許可します。

ブラウザベースの SSL VPN アクセスを使用するネットワークの例

図 9-1 に、Web ブラウザを使用して、インターネットを越えて SSL VPN 接続要求を受け入れるように設定されている適応型セキュリティ アプライアンスを示します。

図 9-1 SSL VPN 接続のネットワーク レイアウト

 

クライアントレス SSL VPN シナリオの実装

この項では、Web ブラウザからの SSL VPN 要求を受け入れるように適応型セキュリティ アプライアンスを設定する方法について説明します。設定内容の例で使われる値は、図 9-1 に示すリモートアクセス シナリオのものです。

この項は、次の内容で構成されています。

「収集する情報」

「ASDM の起動」

「ブラウザベースの SSL VPN 接続用の ASA 5505 の設定」

「SSL VPN インターフェイスの指定」

「ユーザ認証方式の指定」

「グループ ポリシーの指定」

「リモート ユーザ用のブックマーク リストの作成」

「設定の確認」

収集する情報

リモート アクセス IPsec VPN 接続を受け入れるように適応型セキュリティ アプライアンスを設定する手順を開始する前に、次の情報を手元に用意してください。

リモート ユーザが接続する適応型セキュリティ アプライアンスのインターフェイス名。リモート ユーザがこのインターフェイスに接続すると、SSL VPN ポータル ページが表示されます。

デジタル証明書。

ASA 5505 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするため、システムを本番環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することができます。

ローカル認証データベースを作成するときに使用するユーザのリスト(認証用に AAA サーバを使用している場合を除く)。

認証に AAA サーバを使用する場合、AAA サーバ グループ名。

AAA サーバ上のグループ ポリシーに関する次の情報:

サーバ グループ名

使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)

AAA サーバの IP アドレス

認証に使用する適応型セキュリティ アプライアンスのインターフェイス

AAA サーバで認証を行うための秘密鍵

リモート ユーザが接続を確立したときに、SSL VPN ポータル ページに表示する内部 Web サイトまたはページのリスト。これは、ユーザが初めて接続を確立したときに表示されるページなので、リモート ユーザが最も頻繁に使用するターゲットを含める必要があります。

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアがインストールされていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して ASDM に直接アクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順に従います。


ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

 

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username と Password のフィールドは空白のままにしておきます。


) デフォルトでは、Cisco ASDM Launcher に Username と Password は設定されていません。


ステップ 4 OK をクリックします。

ステップ 5 証明書の受け入れ要求を含むセキュリティ警告が表示された場合は、 Yes をクリックします。

ASA が、アップデートされたソフトウェアがあるかどうか確認し、ある場合は自動的にダウンロードします。

メイン ASDM ウィンドウが表示されます。

 


 

ブラウザベースの SSL VPN 接続用の ASA 5505 の設定

ブラウザベースの SSL VPN の設定用のプロセスを開始するには、次の手順に従います。


ステップ 1 メイン ASDM ウィンドウで、Wizards ドロップダウン メニューから SSL VPN Wizard を選択します。SSL VPN Feature Step 1 画面が表示されます。

 

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順に従います。

a. Browser-based SSL VPN (Web VPN) チェックボックスをオンにします。

b. Next をクリックして続行します。


 

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順に従います。


ステップ 1 リモート ユーザが接続する接続名を指定します。

 

ステップ 2 SSL VPN Interface ドロップダウン リストから、リモート ユーザが接続するインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストから、ASA を認証するために ASA がリモート ユーザに送信する証明書を選択します。


) ASA 5505 は、デフォルトで自己署名証明書を生成します。セキュリティを強化し、ブラウザの警告メッセージが表示されないようにするため、システムを本番環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することができます。



 

ユーザ認証方式の指定

ユーザの認証は、ローカル認証データベース、または外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバを使用して実行できます(AAA サーバには RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP があります)。

SSL VPN Wizard の Step 3 で、次の手順に従います。


ステップ 1 AAA サーバまたはサーバ グループを認証に使用している場合、次の手順に従います。

a. Authenticate Using an AAA Server Group オプション ボタンをクリックします。

 

b. 事前設定されているサーバ グループを Authenticate using an AAA Server Group ドロップダウン リストから選択するか、New をクリックして新しい AAA サーバ グループを追加します。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次の内容を指定します。

サーバ グループ名

使用する認証プロトコル(TACACS、SDI、NT、Kerberos、LDAP)

AAA サーバの IP アドレス

適応型セキュリティ アプライアンスのインターフェイス

AAA サーバと通信するときに使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースを使用してユーザを認証する場合、次の手順で新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して、後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。


 

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順に従ってグループ ポリシーを指定します。


ステップ 1 Create new group policy オプション ボタンをクリックして、グループ名を指定します。

または、

Modify an existing group policy オプション ボタンをクリックして、ドロップダウン リストからグループを選択します。

 

ステップ 2 Next をクリックします。


 

リモート ユーザ用のブックマーク リストの作成

ユーザが簡単にアクセスできるように URL のリストを指定して、ポータル ページ、つまりブラウザベースのクライアントが適応型セキュリティ アプライアンスへの VPN 接続を確立したときに表示される特別な Web ページを作成できます。

SSL VPN Wizard の Step 5 で、次の手順に従って、VPN ポータル ページに表示する URL を指定します。


ステップ 1 既存のブックマーク リストを指定するには、ドロップダウン リストからブックマーク リスト名を選択します。

 

新しいリストを追加するか、既存のリストを編集するには、Manage をクリックします。

Configure GUI Customization Objects ダイアログボックスが表示されます。

 

ステップ 2 新しいブックマーク リストを作成するには、 Add をクリックします。

既存のブックマーク リストを編集するには、リストを選択して Edit をクリックします。

Add Bookmark List ダイアログボックスが表示されます。

 

ステップ 3 URL List Name ボックスで、作成するブックマーク リスト名を指定します。この名前は、VPN ポータル ページのタイトルとして使用されます。

ステップ 4 Add をクリックして、新しい URL をブックマーク リストに追加します。

Add Bookmark Entry ダイアログボックスが表示されます。

 

ステップ 5 Bookmark Title フィールドで、リストのタイトルを指定します。

ステップ 6 URL Value ドロップダウン リストから、指定する URL のタイプを選択します。たとえば、http、https、ftp などです。

次に、ページの完全な URL を指定します。

ステップ 7 OK をクリックして、Add Bookmark List ダイアログボックスに戻ります。

ステップ 8 ブックマーク リストの追加が終了したら、OK をクリックして Configure GUI Customization Objects ダイアログボックスに戻ります。

ステップ 9 ブックマーク リストの追加および編集が終了したら、 OK をクリックして SSL VPN Wizard の Step 5 に戻ります。

ステップ 10 Bookmark List ドロップダウン リストから、この VPN グループのブックマーク リスト名を選択します。

ステップ 11 Next をクリックして続行します。


 

設定の確認

SSL VPN Wizard の Step 7 で、設定内容が正しいことを確認します。表示される設定は次のようになります。

 

適切に設定されている場合は Finish をクリックして、適応型セキュリティ アプライアンスに変更内容を適用します。

次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、File メニューから Save をクリックします。または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。

設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。

次の作業

クライアントレス SSL VPN 環境だけに適応型セキュリティ アプライアンスを配置する場合は、これで初期設定が終了しました。さらに、次の手順を実行することもできます。

 

実行内容
参照先

詳細な設定およびオプション機能と拡張機能の設定

Cisco Security Appliance Command Line Configuration Guide

日常的な運用について

Cisco Security Appliance Command Reference

Cisco Security Appliance Logging Configuration and System Log Messages

複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の項では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。

 

実行内容
参照先

DMZ 内の Web サーバを保護するための適応型セキュリティ アプライアンスの設定

「シナリオ:DMZ 設定」

リモートアクセス VPN の設定

「シナリオ:IPsec リモートアクセス VPN 設定」

AnyConnect VPN の設定

「シナリオ:SSL VPN クライアントレス接続」

サイトツーサイト VPN の設定

「シナリオ:サイトツーサイト VPN 設定」