ASDM における VPN 設定手順の概要 Version 5.2(1)
グループ ポリシーの設定
グループ ポリシーの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

グループ ポリシーの設定

グループ ポリシー、トンネル グループ、ユーザの概要

グループ ポリシー

デフォルトのグループ ポリシー

グループ ポリシーの設定

外部グループ ポリシーの設定

外部グループ ポリシーの追加

外部グループ ポリシーの編集

内部グループ ポリシーの設定

内部グループ ポリシーの全般的なアトリビュートの設定

トンネリング プロトコルの設定

ACL フィルタの設定

全般的な VPN 接続設定アトリビュートの設定

WINS サーバ、DNS サーバ、および DHCP スコープの設定

IPSec アトリビュートの設定

IKE 鍵の再生成での再認証の設定

IP 圧縮の設定

完全転送秘密の設定

トンネル グループ ロックの設定

クライアント アクセス ルールの設定

クライアント設定パラメータの設定

全般的なクライアント パラメータの設定

バナー メッセージの設定

トンネリング用ドメイン アトリビュートの設定

スプリット トンネリング アトリビュートの設定

Cisco クライアント パラメータの設定

Microsoft クライアント パラメータの設定

ファイアウォール アトリビュートの設定

VPN ハードウェア クライアントのアトリビュートの設定

ネットワーク アドミッション コントロールの設定

グループ ポリシーの WebVPN アトリビュートの設定

グループ ポリシーの WebVPN Function タブ アトリビュートの設定

Content Filtering タブ アトリビュートの設定

ユーザ ホームページの設定

グループ ポリシーのポート転送(WebVPN アプリケーション アクセス)の有効化

WebVPN の Other タブを使用したサーバ引数およびリスト引数の設定

SSL VPN Client タブ アトリビュートの設定

Auto Signon タブ アトリビュートの設定

グループ ポリシーの設定

この章では、ASDM を使用して VPN グループ ポリシーを設定する方法について説明します。この章には、次の項があります。

「グループ ポリシー、トンネル グループ、ユーザの概要」

「グループ ポリシー」

「デフォルトのグループ ポリシー」

「グループ ポリシーの設定」

「外部グループ ポリシーの設定」

「内部グループ ポリシーの設定」

グループ、グループ ポリシー、トンネル グループ、およびユーザは、相互に依存しています。要約すると、まずトンネル グループを設定し、接続の値を設定します。次に、グループ ポリシーを設定します。これによって、集約的にユーザに値が設定されます。次に、ユーザを設定します。ユーザはグループから値を継承することも、ユーザごとに特定の値を設定することもできます。この章では、グループ ポリシーを設定する方法と目的について説明します。

グループ ポリシー、トンネル グループ、ユーザの概要

この章ではグループ ポリシーだけを扱いますが、これらのグループ ポリシーが存在するコンテキストを理解する必要があります。グループとユーザは、virtual private network(VPN; バーチャル プライベート ネットワーク)のセキュリティ管理およびセキュリティ アプライアンスの設定における中心的な概念です。これらは、ユーザの VPN へのアクセス権および VPN の使用方法を定義するアトリビュートを指定します。 グループ は、単一エンティティとして扱われるユーザの集合です。 ユーザ は自分のアトリビュートを グループ ポリシー から取得します。トンネル グループは、特定の接続のグループ ポリシーを識別します。ユーザに特定のグループ ポリシーを割り当てない場合、接続のデフォルト グループ ポリシーが適用されます。

トンネル グループとグループ ポリシーを使用すると、システム管理が簡素化されます。設定タスクを効率化するために、セキュリティ アプライアンスには、デフォルト LAN 間トンネル グループ、デフォルト リモート アクセス トンネル グループ、デフォルト WebVPN トンネル グループ、およびデフォルト グループ ポリシー(DfltGrpPolicy)が用意されています。デフォルト トンネル グループとグループ ポリシーによって、多くのユーザに共通であると考えられる設定を提供します。ユーザを追加するときに、グループ ポリシーからパラメータを「継承」するように指定できます。これによって、大量のユーザの VPN アクセスを簡単に設定できます。

すべての VPN ユーザに同一の権限を与える場合は、特定のトンネル グループまたはグループ ポリシーを設定する必要はありませんが、そのような場合はほとんどありません。たとえば、財務グループがプライベート ネットワークの一部にアクセスできるようにして、カスタマー サポート グループが別の部分に、MIS グループがさらに別の部分にアクセスできるようにすることがあります。また、MIS の特定のユーザが、他の MIS ユーザがアクセスできないシステムにアクセスできるようにすることもあります。トンネル グループおよびグループ ポリシーは、このような処理を安全に行う柔軟性を提供します。


) セキュリティ アプライアンスには、ネットワーク リストのスーパーセットであるオブジェクト グループの概念も含まれています。オブジェクト グループを使用すると、ポートやネットワークへの VPN アクセスを定義できます。オブジェクト グループは、グループ ポリシーおよびトンネル グループではなく、ACL に関連します。オブジェクト グループの使用の詳細については、『Cisco Security Appliance Command Line Configuration Guide』の第 16 章「Identifying Traffic with Access Lists」を参照してください。


グループ ポリシー

グループ ポリシーを使用すると、ユーザごとに個別に各アトリビュートを指定するのではなく、アトリビュートのセット全体をユーザまたはユーザのグループに適用できます。また、特定のユーザのグループ ポリシー アトリビュートを修正できます。

グループ ポリシーは、デバイスの内部(ローカル)または外部の RADIUS または LDAP サーバに格納されている IPSec 接続に関するユーザ指向のアトリビュートと値のペアのセットです。トンネル グループは、トンネルが確立された後、ユーザ接続の期間を設定するグループ ポリシーを使用します。

グループ ポリシーのユーザへの割り当てまたは特定のユーザのグループ ポリシーの修正を行うには、 Configuration > VPN > General > Group Policy を選択します(図2-1)。

図2-1 Group Policy ウィンドウ

.

内部および外部グループ ポリシーを設定できます。内部グループは、セキュリティ アプライアンスの内部データベースに設定されます。外部グループは、RADIUS や LDAP などの外部認証サーバに設定されます。グループ ポリシーには、次のアトリビュートが含まれます。

ID

サーバ定義

クライアント ファイアウォールの設定

トンネリング プロトコル

IPSec 設定

ハードウェア クライアント設定

フィルタ

クライアント設定の設定値

ネットワーク アドミッション コントロールの設定値

WebVPN 機能

接続設定

デフォルトのグループ ポリシー

セキュリティ アプライアンスには、セキュリティ アプライアンスに常に存在する DfltGrpPolicy というデフォルト グループ ポリシーが用意されています。このデフォルト グループ ポリシーは、セキュリティ アプライアンスで使用するように設定しない限り、有効になりません。DfltGrpPolicy は、常に内部グループ ポリシーです。このデフォルト グループ ポリシーは修正できますが、削除はできません。他のグループ ポリシーを設定した場合、明示的に指定しなかったアトリビュートは、デフォルト グループ ポリシーから値が取得されます。

Group Policy ウィンドウを使用して、VPN グループ ポリシーを管理できます。デフォルト VPN グループ ポリシーを設定することによって、個別のグループまたはユーザ名レベルで設定しなかったアトリビュートをユーザが継承するようにできます。デフォルトでは、VPN ユーザにグループ ポリシー アソシエーションはありません。グループ ポリシー情報は、VPN トンネル グループおよびユーザ アカウントで使用されます。

「子」のウィンドウ、タブ、およびダイアログボックスを使用して、デフォルト グループ パラメータを設定できます。これらのパラメータは、すべてのグループおよびユーザに共通であると考えられ、これによって設定タスクが効率化されます。グループはデフォルト グループからパラメータを「継承」でき、ユーザはグループまたはデフォルト グループからパラメータを「継承」できます。これらのパラメータは、グループおよびユーザを設定するときに上書きできます。

デフォルト グループ ポリシーを修正するには、Group Policy ウィンドウのテーブルで DfltGrpPolicy を選択し、 Edit をクリックします。Edit Internal Group Policy: DfltGrpPolicy ウィンドウが表示されます(図2-2)。

図2-2 Edit Internal Group Policy: DfltGrpPolicy ウィンドウ

 

デフォルト グループ ポリシーのアトリビュートを変更するには、他の内部グループ ポリシーの場合と同様に、Edit Internal Group Policy: DfltGrpPolicy ウィンドウのさまざまなタブで選択を行います。「内部グループ ポリシーの設定」を参照してください。

セキュリティ アプライアンスのデフォルト グループ ポリシーの DfltGrpPolicy には、次のアトリビュートがあります。

group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
wins-server none
dns-server none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage disable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
banner none
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
client-firewall none
client-access-rule none
webvpn
functions url-entry
no html-content-filter
no homepage
no filter
no url-list
no port-forward
port-forward-name value Application Access
 

グループ ポリシーの設定

この項には、次の項があります。

「デフォルトのグループ ポリシー」

「外部グループ ポリシーの追加」

「外部グループ ポリシーの編集」

「内部グループ ポリシーの全般的なアトリビュートの設定」

「IPSec アトリビュートの設定」

「クライアント設定パラメータの設定」

「VPN ハードウェア クライアントのアトリビュートの設定」

「グループ ポリシーの WebVPN アトリビュートの設定」

グループ ポリシーは、任意の種類のトンネルに適用できます。どの場合も、明示的にパラメータを定義しない場合、グループはデフォルト グループ ポリシーから値を取得します。グループ ポリシーを設定(追加または修正)するには、次の項の手順に従います。

Add ダイアログボックスをクリックすると、新しい内部グループ ポリシーを作成するか、外部の RADIUS または LDAP サーバに格納される外部グループ ポリシーを作成するかを選択できる小さなメニューが表示されます。Add Internal Group Policy ウィンドウと Edit Group Policy ウィンドウのどちらにも、タブ付きのセクションがあります。WebVPN タブをクリックすると、いくつかの追加のタブが表示されます。それぞれのタブをクリックすると、パラメータが表示されます。タブ間を移動するとき、セキュリティ アプライアンスは新しい設定を保持します。すべてのタブ付きセクションでパラメータの設定を完了したら、OK または Cancel をクリックします。

これらのダイアログボックスで、次の種類のパラメータを設定します。

全般的なパラメータ:プロトコル、フィルタリング、接続設定、サーバ

IPSec パラメータ:IP セキュリティ トンネリング プロトコルのパラメータおよびクライアント アクセス ルール

クライアント設定パラメータ:バナー、パスワード保管、スプリットトンネリング ポリシー、デフォルト ドメイン名、IPSec over UDP、バックアップ サーバ

クライアント ファイアウォール パラメータ:VPN クライアント パーソナル ファイアウォールの要件

ハードウェア クライアント パラメータ:インタラクティブ ハードウェア クライアントおよび個別のユーザ認証、ネットワーク拡張モード

ネットワーク アドミッション コントロール パラメータ

WebVPN パラメータ:SSL VPN アクセス

上記のパラメータを設定する前に、次の項目を設定する必要があります。

アクセス時間

ルールとフィルタ

IPSec セキュリティ アソシエーション

フィルタリングおよびスプリット トンネリング用のネットワーク リスト

ユーザ認証サーバ(特に、内部認証サーバ)

外部グループ ポリシーの設定

外部グループ ポリシーは、指定された外部サーバからアトリビュート値を取得します。外部グループ ポリシーでは、セキュリティ アプライアンスがアトリビュートを問い合せることができるAAA サーバ グループを識別し、外部 AAA サーバ グループからアトリビュートを取得するときに使用するパスワードを指定する必要があります。外部認証サーバを使用し、認証しようとするユーザと同じ RADIUS サーバに外部グループポリシー アトリビュートが存在する場合は、両者の間に名前の重複がないことを確認する必要があります。


) セキュリティ アプライアンスの外部グループ名は、RADIUS サーバのユーザ名を参照します。つまり、セキュリティ アプライアンスで外部グループ X を設定すると、RADIUS サーバは、この問い合せをユーザ X の認証要求と見なします。そのため、外部グループは、セキュリティ アプライアンスにとって特別な意味を持つ RADIUS サーバ上のユーザ アカウントになります。認証しようとするユーザと同じ RADIUS サーバに外部グループ アトリビュートが存在する場合、両者の間で名前の重複があってはいけません。


セキュリティ アプライアンスは、外部 LDAP または RADIUS サーバでのユーザ認証をサポートします。外部サーバを使用するようにセキュリティ アプライアンスを設定する前に、正しいセキュリティ アプライアンス認証アトリビュートでサーバを設定し、このアトリビュートのサブセットから、個別のユーザに特定の権限を割り当てる必要があります。『 Cisco Security Appliance Command Line Configuration Guide 』の付録 E「Configuring an External Server for Security Appliance User Authorization」の説明に従い、外部サーバを設定します。

外部グループ ポリシーの追加

次の手順で、外部グループ ポリシーの追加方法について説明します。


ステップ 1 外部グループ ポリシーを追加するには、 Configuration > VPN > General > Group Policy を選択し、 Add をクリックして、メニューから External Group Policy を選択します(図2-3)。

図2-3 外部グループ ポリシーの追加

 

Add External Group Policy ダイアログボックスが表示されます(図2-4)。

図2-4 Add External Group Policy ダイアログボックス

 

新しい外部グループ ポリシーのアトリビュートを設定するには、次の手順を実行し、グループ ポリシーの名前とタイプ、およびサーバグループ名とパスワードを指定します。

ステップ 2 グループ ポリシーの名前とサーバのパスワードを入力します。次に、リストからサーバ グループを選択するか、New をクリックして新しいサーバ グループを作成します。New をクリックすると、メニューが表示されます。新しい RADIUS サーバ グループまたは新しい LDAP サーバ グループを選択します。どちらの場合も Add AAA Server Group ダイアログボックスが開きます(図2-5)。終了したら OK をクリックします。


) 外部グループ ポリシーでは、RADIUS は AAA サーバ タイプのみサポートされます。


図2-5 Add AAA Server Group ダイアログボックス

 

ステップ 3 AAA サーバ グループ パラメータを設定します。Add AAA Server Group ダイアログボックスを使用して、次のアトリビュートで新しい AAA サーバ グループを設定できます。Accounting Mode アトリビュートは、RADIUS および TACACS+ プロトコルにのみ適用されます。

Server Group:サーバ グループの名前を指定します。新しいサーバ グループの名前を指定して、そのグループにサーバを追加できます。指定したサーバ グループにサーバが含まれていない場合、次のメッセージが表示されます(図2-6)。

図2-6 空のサーバ グループのメッセージ

 

グループにサーバを追加するには、 Configuration > Properties >AAA Setup > AAA Groups を選択します。このメッセージが表示された後で継続するには、 OK をクリックします。外部グループ設定の手順を終了するには、 Cancel をクリックします。

Protocol:( 表示のみ )RADIUS サーバ グループか、LDAP サーバ グループかを示します。外部グループ ポリシーでは、常に RADIUS です。

Accounting Mode: RADIUS および TACACS+ プロトコルのみ )同時アカウンティング モードと単一アカウンティング モードのどちらを使用するかを示します。単一モードでは、セキュリティ アプライアンスはアカウンティング データを 1 つのサーバにのみ送信します。同時モードでは、セキュリティ アプライアンスはアカウンティング データをグループ内のすべてのサーバに送信します。

Reactivation Mode:障害が発生したサーバを再アクティブ化する方法を Depletion または Timed 再アクティブ化モードから指定します。Depletion モードでは、障害が発生したサーバは、グループ内のサーバのすべてが非アクティブになった場合にのみ再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。

Dead Time:Depletion モードで、グループの最後のサーバが無効になってから、すべてのサーバを次に再度有効にするまでの経過時間を分単位で指定します。このフィールドは、Timed モードでは使用できません。

Max Failed Attempts:応答しないサーバが非アクティブであると宣言するまでの失敗接続試行回数を指定します(1 ~ 5 の整数)。


) いくつかの vendor-specific attribute(VSA; ベンダー固有属性)は、『Cisco Security Appliance Command Line Configuration Guide』の付録 E「Configuring an External Server for Security Appliance User Authorization」で説明するように、設定できます。RADIUS サーバが Class アトリビュート(#25)を返すように設定されている場合、セキュリティ アプライアンスは、このアトリビュートを使用してグループ名を認証します。RADIUS サーバでは、アトリビュートの形式は OU=groupname とする必要があります。ここで、groupname は、セキュリティ アプライアンスで設定したグループ名です(OU=Finance など)。


外部グループ ポリシーの編集

グループ ポリシーの編集手順は追加手順と似ていますが、Group Policy ウィンドウで Edit をクリックすると、Edit Group Policy ウィンドウが表示され、Name フィールドにすでに値が入力されているという違いがあります。このウィンドウのその他のフィールドは同じです。外部グループ ポリシーを編集するときに、AAA サーバ グループを追加することもできます。「外部グループ ポリシーの追加」のステップ 2 および 3 を参照してください。

内部グループ ポリシーの設定

内部グループ ポリシーは、セキュリティ アプライアンスの内部データベースに設定されます。新しい内部グループ ポリシーのアトリビュートを設定するには、次の手順を実行します。


ステップ 1 内部グループ ポリシーを追加または編集するには、 Configuration >VPN > General >Group Policy を選択します。Group Policy ウィンドウが表示されます(図2-7)。

図2-7 Group Policy ウィンドウ(Add Internal Group Policy)

 

ステップ 2 Add または Edit をクリックします。

内部グループ ポリシーを追加する場合は、メニューから Internal Group Policy を選択します。Add Internal Group Policy ウィンドウが表示されます(図2-8)。

内部グループ ポリシーを編集する場合は、Edit Internal Group Policy ウィンドウが表示されます。

これらのウィンドウの内容は似ています。唯一の違いは、編集の場合、Name フィールドが表示専用であることです。このように似ているため、次の手順では、Add Internal Group Policy ウィンドウのみを示します。

図2-8 Add Internal Group Policy ウィンドウ

 

このウィンドウには、機能固有のアトリビュートを設定するいくつかのタブがあります。ほとんどの場合、Inherit チェックボックスを選択することで、対応する設定をデフォルト グループ ポリシーから取得できます。継承によって、設定プロセスを大幅に簡素化できます。継承しないアトリビュートは、明示的に設定できます。次の項では、内部グループ ポリシーのグループ ポリシー アトリビュートの設定方法について説明します。

内部グループ ポリシーの全般的なアトリビュートの設定

Add Internal Group Policy ウィンドウまたは Edit Internal Group Policy ウィンドウの General タブを使用して、追加または修正するグループ ポリシーのトンネリング プロトコル、ACL フィルタ、接続設定、およびサーバを設定できます。このウィンドウの各フィールドで、Inherit チェックボックスを選択すると、対応する設定の値をデフォルト グループ ポリシーから取得できます。Inherit チェックボックスをクリアすると、特定の値を設定できます。

次の項では、General タブの各アトリビュートの値の設定方法について説明します。

トンネリング プロトコルの設定

このグループが使用できるトンネリング プロトコルを選択します(複数可)。ユーザは、選択されているプロトコルのみを使用できます。ユーザが VPN トンネルで接続できるようにするには、1 つ以上のトンネリング モードを設定する必要があります。デフォルトは IPSec です。

選択肢は次のとおりです。

IPSec:IP セキュリティ プロトコル。IPSec は最もセキュアなプロトコルとされており、VPN トンネルのほぼ完全なアーキテクチャを提供します。IPSec は、LAN 間(ピアツーピア)接続と、クライアントと LAN の接続の両方で使用できます。IPSec チェックボックスを選択すると、セキュリティ アプライアンスは 2 つのピア間(リモート アクセス クライアントまたはその他のセキュアなゲートウェイ)で IPSec トンネルをネゴシエートし、認証、暗号化、カプセル化、鍵管理を制御するセキュリティ アソシエーションを作成します。

WebVPN:SSL/TLS を利用する VPN。WebVPN チェックボックスを選択すると、HTTPS 対応 Web ブラウザ経由でリモート ユーザに VPN サービスが提供されます。クライアント(ハードウェアまたはソフトウェア)は必要ありません。このプロトコルは、Web ブラウザを使用して、セキュリティ アプライアンスへのセキュアなリモートアクセス トンネルを確立します。WebVPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。

L2TP over IPSec:いくつかの一般的な PC およびモバイル PC のオペレーティング システムで提供される VPN クライアントを使用しているリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。L2TP は、PPP over UDP(ポート 1701)を使用して、データをトンネリングします。セキュリティ アプライアンスは、IPSec 転送モード用に設定する必要があります。


) プロトコルを選択しなかった場合、エラー メッセージが表示されます。


実行コンフィギュレーションからプロトコル アトリビュートを削除するには、そのプロトコルのチェックボックスをクリアします。

ACL フィルタの設定

フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。ACL を設定して、このグループ ポリシーでさまざまなトラフィック タイプを許可または拒否します(このアトリビュートは、ユーザ名モードでも設定できます。その場合、ユーザ名で設定された値がグループ ポリシーの値よりも優先されます)。


) セキュリティ アプライアンスは、インターフェイスのインバウンド ACL のみをサポートします。

各 ACL の最後には、access control entry(ACE; アクセス コントロール エントリ)で明示的に許可されないすべてのトラフィックを拒否する、暗黙の表記されないルールが含まれます。このトピックでは、ACE をルールと呼びます。


グループ ポリシーがデフォルト グループ ポリシーからフィルタを継承するように指定するには、Inherit チェックボックスを選択します。これがデフォルト値です。別のフィルタを指定するには、メニューからフィルタを選択します。値の継承を抑止するには、ACL 名を指定する代わりに None を選択します。 None オプションは、アクセスリストがなく、ヌル値を設定することを示します。その結果、アクセスリストが拒否されます。


) 設定の時点では、グループ ポリシーが継承する値がわからないことがあります。特定のグループ ポリシーに ACL を関連付けないようにするには、Inherit チェックボックスをクリアし、ACL (Filter/Web-VPN ACL ID/...) ドロップダウン リストで None を選択します。

デフォルト グループ ポリシーのいずれかを操作する場合は、継承が適用されないため、None を選択するだけで同じ効果が得られます。


Inherit または None を選択した場合は、既存のフィルタの追加または修正を行わないため、この手順の「アクセス時間の設定」までスキップできます。

ACL と ACE の管理

新しいフィルタ(ACL)の作成または既存のフィルタの修正を行うには、 Manage をクリックします。ACL Manager ダイアログボックス(図2-9)が表示されます。このダイアログボックスで、Access Control List(ACL; アクセス コントロール リスト)および拡張アクセス コントロール リストを追加、編集、削除して、特定のホストまたはネットワークから別のホストまたはネットワークへのアクセス(使用できるプロトコルやポートなど)を制御できます。

グループ ポリシーから ACL を削除するには、ツールバーから Delete を選択します。確認されず、やり直しもできません。

図2-9 ACL Manager ダイアログボックス

 

このダイアログボックスのフィールドは、次のとおりです。

No:ルールの評価順序を示します。暗黙のルールには番号が付けられず、ハイフンで表されます。

Enabled:ルールを有効または無効にします。暗黙のルールは無効にできません。

Source:Destination カラムにリストされている IP アドレスへのトラフィックの送信を許可または拒否するホストまたはネットワークの IP アドレスが表示されます。アドレス カラムには、単語 any が付いたインターフェイス名が含まれることがあります(inside: any など)。これは、内部インターフェイスのすべてのホストが、このルールの影響を受けるという意味です。

Destination:Source Host/Network カラムにリストされている IP アドレスからのトラフィックの受信を許可または拒否するホストまたはネットワークの IP アドレスが表示されます。アドレス カラムには、単語 any が付いたインターフェイス名が含まれることがあります(outside: any など)。これは、外部インターフェイスのすべてのホストが、このルールの影響を受けるという意味です。アドレス カラムには、角カッコで囲まれた IP アドレスが含まれることもあります([209.165.201.1-209.165.201.30] など)。これらのアドレスは、変換済みアドレスです。内部ホストが外部ホストへの接続を作成すると、ファイアウォールは内部ホストのアドレスをプールのアドレスにマッピングします。ホストがアウトバウンド接続を作成した後、ファイアウォールはこのアドレス マッピングを維持します。アドレス マッピング構造は xlate と呼ばれ、一定の時間、メモリに保持されます。ACL で許可されていれば、この時間内に、外部ホストはプールの変換済みアドレスを使用して、内部ホストへの接続を開始できます。通常、内部ホストは常に同じ IP アドレスを使用するため、外部から内部への接続にはスタティック トランスレーションが必要です。

Service:ルールで指定されるサービスとプロトコルの名前。プロトコルとサービスの詳細については、「プロトコルおよびサービス グループの管理」を参照してください。

Action:ルールに適用されるアクションが表示されます(Permit または Deny)。

Logging:ログレベルと、ログ メッセージ間の間隔(秒単位)が表示されます(ACL のロギングを有効にした場合)。ロギング オプション(ロギングの有効化と無効化を含む)を設定するには、ツールバーから Edit を選択します。Edit ACE ダイアログボックスが表示されます。このダイアログボックスは、タイトル バーを除き、Add ACE ダイアログボックス(図2-12)と同じです。

Time:このルールで適用される時間範囲の名前が表示されます。時間範囲は、このグループ ポリシーを使用してユーザが接続できるアクセス時間を指定します。デフォルト値は (any) で、ユーザが接続できる時間に制限がないことを意味します。

Description:ルールを追加したときに入力した説明が表示されます。暗黙のルールには、「Implicit outbound rule.」という説明が付けられます。説明を編集するには、ツールバーから Edit を選択します。Edit ACE ダイアログボックスが表示されます。このダイアログボックスは、タイトル バーを除き、Add ACE ダイアログボックス(図2-12)と同じです。

Rule Flow Diagram:(読み取り専用)選択したルール フローのグラフィカルな表現を表示します。この図を閉じるには、Rule Flow Diagram 領域の上にある小さな「X」をクリックします。画面を明示的に閉じるまで、ACL Manager ダイアログボックスに同じ図が表示されます。

ルールは、ACL Manager ダイアログボックスのテーブルに表示されている順に適用されます。ルールをリストの上または下に移動するには、ツールバーの上矢印または下矢印をクリックします。ルールを削除するには、削除するルールを選択して、 Delete をクリックします。

ACL および ACE は、テキスト ドキュメントと同様に、ツールバーのはさみ(切り取り)、ページ(コピー)、クリップボード(貼り付け)のアイコンをクリックして、切り取り、コピー、貼り付けができます。

ACL Manager テーブルの任意の行をダブルクリックすると、Edit ACL ダイアログボックスが開き、これらのフィールドを修正できます。

新しい ACL を追加するには、 Add をクリックし、ドロップダウン リストから Add ACL を選択します(図2-10)。

図2-10 Add/Insert メニュー

 

Add ACL ダイアログボックスが表示されます(図2-11)。ACL 名を入力し、OK をクリックします。

図2-11 Add ACL ダイアログボックス

 

ACL を追加した後、 Add ACE メニューの選択を使用して、フィルタ ルールを読み込むことができます。

フィルタ ルールを追加するには、 Add ACE をクリックします(図2-10)。フィルタ ルールを編集するには、変更するルールを選択し、 Edit をクリックします。Add Extended Access List Rule または Edit Extended Access List Rule ダイアログボックスが表示されます(図2-12)。Edit Extended Access List Rule ダイアログボックスは、タイトルを除き、Add ACE ダイアログボックスと同じです。

図2-12 Add ACE

 

このダイアログボックスを使用して、トラフィックを許可するか拒否するかの設定、発信元および宛先ホストまたはネットワークの指定、このルールを適用するプロトコルおよびサービス(発信元および宛先ポート)の指定、適用する時間範囲の指定または新しい時間範囲の定義、システム オプションの設定、サービス グループの管理ができます。オプションで、このルールの説明を入力することもできます。ここで入力したエントリは、ACL Manager ダイアログボックスの Rule Flow Diagram および Configure ACLs テーブルに表示されます。


) このダイアログボックスの Source、Destination、Protocol and Service、Rule Flow Diagram、および Options の各領域の内容は、選択によって変化します。


Source 領域および Destination 領域の設定

これらの領域を使用して、発信元および宛先ネットワークを識別します。発信元および宛先の両方の領域で、次のパラメータを指定します。

Type:このルールを適用する発信元または宛先アドレスのタイプを選択します。ネットワークは、IP アドレス、インターフェイス IP、またはネットワーク オブジェクト グループで識別できます。キーワード any を選択して、このルールを任意の発信元または宛先に適用するように指定することもできます。any タイプには、発信元または宛先を表す追加の修飾フィールドはありません。

IP address および Netmask:Type フィールドで IP Address を選択した場合は、IP address フィールドを使用して発信元または宛先ネットワークまたはホストの IP アドレスを指定し、Netmask フィールドを使用して指定した IP アドレスのサブネット マスクを選択します。たとえば、アドレス/ネットマスクが 192.168.10.0/255.255.255.0 の場合はネットワークが指定され、192.168.10.1/255.255.255.255 の場合はホストが指定されます。デフォルトはありません。

Browse (...):(IP アドレスを手動で入力する代わりに)IP アドレスを参照します。Browse をクリックすると、Browse Source(または Destination) Address ダイアログボックス(図2-13)が開き、すでに設定されているオブジェクトを選択するか、選択したオブジェクト タイプを追加、編集、または削除できます。Browse Source Address ダイアログボックスのツールバーから Add または Edit を選択すると、選択したオブジェクト タイプの Add または Edit ダイアログボックスが開きます。このダイアログボックスを使用して、エントリの名前、IP アドレス、および(オプションで)説明を入力または変更します。

図2-13 Browse Source Address ダイアログボックスと Edit IP Name ダイアログボックス

 

Group Name:Type フィールドで Network Object Group を選択した場合、ネットワークおよびホストの名前付きグループ(ネットワーク オブジェクト グループ)を選択、または参照(...)できます。デフォルトはありません。

Interface:Type フィールドで Interface IP を選択した場合、ホストまたはネットワークが常駐するインターフェイスを選択できます。デフォルトは outside です。

プロトコルおよびサービス グループの管理

サービス グループを使用して、ACL と一致させる複数の連続していないポート番号を識別できます。たとえば、ポート番号 5、8、9 で HTTP および FTP をフィルタリングする場合は、これらのすべてのポートを含むサービス グループを定義します。サービス グループを使用しない場合は、ポートごとに個別のルールを作成する必要があります。TCP、UDP、IP、ICMP、およびその他の IP プロトコル用にサービス グループを作成できます。

Add ACE または Edit ACE ダイアログボックスの Protocol and Service 領域で、接続プロトコル、および発信元および宛先ポートのサービス タイプまたはサービス グループを設定します。変更しない場合は、Description フィールドに移動します。図2-14 に、TCP プロトコルの Protocol and Service 領域を示します。

図2-14 Protocol and Service 領域(TCP プロトコル)

 

複数の TCP または UDP サービス(ポート)を 1 つの名前付きグループに関連付けることができます。以後、アクセスや、IPSec ルール、コンジットなどの ASDM および CLI 内の機能でサービス グループを使用できます。

用語のサービスは、既知のポート番号と「リテラル」名(ftp、telnet、smtp など)を持つ、アプリケーション レベル サービスと関連付けられた上位レイヤ プロトコルを指します。

セキュリティ アプライアンスは、次の TCP リテラル名を許可します。bgp、chargen、cmd、daytime、discard、domain、echo、exec、finger、ftp、ftp-data、gopher、h323、hostname、http、ident、irc、klogin、kshell、lpd、nntp、pop2、pop3、pptp、smtp、sqlnet、sunrpc、tacacs、talk、telnet、time、uucp、whois、www。

サービス グループの名前は、オブジェクト グループのすべてのタイプで、一意である必要があります。たとえば、service グループと network グループで、同じ名前を共有することはできません。

複数のサービス グループを「グループのグループ」にネストして、単一グループとして使用できます。サービス オブジェクト グループを削除すると、使用されているすべてのサービス オブジェクト グループから削除されます。

サービス グループがアクセス ルールで使用されている場合は、削除しないでください。アクセス ルールで使用されているサービス グループを空にすることはできません。

Protocol and Service 領域を使用して、このルールのプロトコルとサービス タイプを指定します。この領域の内容は、プロトコルの選択によって変化します。

Protocol:ルールのプロトコルを選択します。使用できる値は、TCP、UDP、ICMP、IP、および IP Other です。この選択によって、この領域の他のフィールドが使用可能になります。

IP を選択した場合、追加のフィールドは表示されません。

IP Other を選択した場合、Other 領域が表示されます。この領域では、Protocol または Protocol Group を選択できます。Protocol を選択すると、プロトコルを選択できるドロップダウン リストが有効になります。Protocol Group を選択すると、プロトコル グループを選択できるドロップダウン リストが有効になります。または、Browse (...) をクリックして、Browse Other ダイアログボックス(図2-15)を開くこともできます。このダイアログボックスには事前定義済みの IP プロトコルの名前がリストされ、選択するか、新しいプロトコル サービス グループを作成できます。

図2-15 Browse Other ダイアログボックス

 

Add メニューでサービス グループのいずれかを選択すると、選択したプロトコルの Add Service Group ダイアログボックスが開きます。図2-16 に、その他すべての Add Service Group ダイアログボックスの代表として、Add TCP Service Group ダイアログボックスを示します。

図2-16 Add TCP Service Group ダイアログボックス

 

このダイアログボックスで、グループ名および説明の指定、サービスまたはサービス グループの選択またはポートまたはポート範囲の選択、およびグループのメンバへの追加またはメンバからの削除ができます。

Source/Destination Port:(TCP および UDP)Type で TCP または UDP を選択した場合、Source Port 領域と Destination Port 領域が表示されます。これらの領域のフィールドを使用して、ACL がパケットを照合するために使用するポート番号、ポート範囲、またはサービスのリストにある既知のサービス名(HTTP、FTP など)を指定します。

Service:(TCP および UDP)演算子リストで、ACL がポートを照合する方法を指定します。次のいずれかの演算子を選択します。=(ポート番号と等しい)、not =(ポート番号と等しくない)、>(ポート番号より大きい)、<(ポート番号より小さい)、range(範囲内のポート番号のいずれかと等しい)。

Group:(TCP および UDP)サービス グループをドロップダウン リストから選択するか、Browse (...) をクリックして、発信元または宛先ポートの選択、追加、編集、削除、または発信元または宛先ポート グループの作成ができる Browse Source(または Destination)Port ダイアログボックス(図2-17)を開きます。

図2-17 Browse Source Port

 

Add メニューでサービス グループのいずれかを選択すると、選択したプロトコルの Add Service Group ダイアログボックスが開きます。図2-16 に、その他すべてのダイアログボックスの代表として、Add TCP Service Group ダイアログボックスを示します。

Type で ICMP を指定した場合、ICMP 領域が表示されます。ICMP Type を選択し、ドロップダウン リストまたは ICMP Group から選択できます。ICMP Group を選択した場合は、ドロップダウン リストから選択するか、Browse をクリックして Browse ICMP ダイアログボックス(図2-18)を開き、事前定義済みのリストから ICMP グループを選択できます。

図2-18 Browse ICMP ダイアログボックス

 

Add メニューでサービス グループのいずれかを選択すると、選択したプロトコルの Add Service Group ダイアログボックスが開きます。図2-16 に、その他すべてのダイアログボックスの代表として、Add TCP Service Group ダイアログボックスを示します。

ACL ルールの挿入

ACE ルールは、ACL Manager テーブルに現れる順に評価されます。ACL Manager テーブルの特定の位置にルールを挿入するには、まず、既存の ACE を選択し、Add メニューから Insert または Insert After を選択します。選択すると、それぞれ Insert ACE および Insert After ACE ダイアログボックス(図2-19)が開き、作成する ACE のアトリビュートを指定できます。これら 2 つのダイアログボックスは、タイトルを除き、同じです。Insert は、選択された ACE の上に新しい ACE を挿入し、Insert After は、選択された ACE の下に新しい ACE を挿入します。

図2-19 Insert ACE ダイアログボックス

 

オプションの設定

Options ダイアログボックスを使用して、各 ACE ルールのオプションを設定できます。Options 領域のフィールド(図2-20)は、ロギング パラメータ、時間範囲、説明など、このルールのオプション機能を設定します。これらのオプションを設定するときは、次のフィールドの説明を参照してください。

図2-20 Options 領域(Add または Edit ACE ダイアログボックス)

 

Logging:ロギングを有効または無効にします。または、デフォルト ロギング設定を使用するように指定します。ロギングを有効にすると、Syslog Level および Log Interval フィールドが使用可能になります。

ロギングを有効にすると、セキュリティ アプライアンスは、ルールによって新しいフローが許可または拒否されたときに syslog メッセージを生成します。後続の syslog メッセージは、ログ間隔の終了時に生成され、フローのヒット カウントが要約されます。デフォルトの間隔は 300 秒です。

Syslog Level:ロギング アクティビティのレベルを選択します。デフォルトは Informational です。

Log Interval:許可および拒否のロギング間隔を指定します。セキュリティ アプライアンスがフロー統計情報を syslog に送信するまで待機する時間です。この設定は、ACE と一致するパケットがない場合にフローを削除するタイムアウト値としても機能します。デフォルトは 300 秒です。範囲は 1 ~ 600 秒です。


コンジット リストおよびアウトバウンド リストはロギングをサポートしません。グローバル ロギング オプションの設定方法については、Configuration > Properties > Logging > Logging Setup に続くウィンドウのオンライン ヘルプを参照してください。


デフォルトのロギング動作は、パケットが拒否された場合にセキュリティ アプライアンスがログ メッセージ 106023 を生成します。パケットが許可された場合は、syslog メッセージは表示されません。デフォルトのロギング動作に戻すには、このオプションを選択します。

デフォルトでは、syslog メッセージは情報レベル(レベル 6)で生成されます。Syslog Level フィールドのドロップダウン リストから選択して、別のレベルのロギング メッセージを syslog サーバに送信するように選択できます。ログレベルは次のとおりです。

Emergencies(レベル 0):セキュリティ アプライアンスでは、このレベルは使用しません。

Alert(レベル 1、即時対処が必要)

Critical(レベル 2、クリティカル条件)

Errors(レベル 3、エラー条件)

Warnings(レベル 4、警告条件)

Notifications(レベル 5、正常だが顕著な条件)

Informational(レベル 6、情報メッセージのみ)

Debugging(レベル 7、デバッグ中のみ表示)

パケットが ACE と一致した場合、セキュリティ アプライアンスはフロー エントリを作成して、指定された間隔で受信したパケットの数を追跡します(Logging Interval フィールドの説明を参照)。セキュリティ アプライアンスは、各間隔の最初のヒット時と終了時に syslog メッセージを作成し、その間隔での合計ヒット数を識別します。各間隔の終了時に、セキュリティ アプライアンスはヒット カウントを 0 にリセットします。その間隔でパケットが ACE と一致しなかった場合、セキュリティ アプライアンスはフロー エントリを削除します。


) ロギングを有効にすると、一定量のメモリを消費します。


Time Range:このルールを使用する時間範囲の名前を選択します。デフォルトは (any) です。Browse (...) ボタンをクリックして Browse Time Range ダイアログボックスを開き、時間範囲を選択または追加します(図2-21)。

図2-21 Browse Time Range

 

時間範囲は、このグループ ポリシーを使用してユーザがセキュリティ アプライアンスに接続できるアクセス時間の範囲を指定します。ACL 設定機能から時間範囲を追加または編集するには、Browse Time Range ツールバーの Add または Edit をクリックします。Add Time Range または Edit Time Range が表示されます。図2-22 に、Add Time Range ダイアログボックスを示します。

Description:(オプション)このルールの簡単な説明を示します。説明行の長さは最大 100 文字ですが、説明を改行して複数行にすることができます。

全般的な VPN 接続設定アトリビュートの設定

この項の手順に従って、VPN 接続アトリビュートの値を設定するアトリビュートを設定します。これらのアトリビュートは、許可される同時ログイン数、VPN 接続に使用する ACL 名、およびトンネル プロトコルを制御します。この項のすべてのアトリビュートで、Inherit チェックボックスを選択することによって、デフォルト グループ ポリシーからグループ ポリシーに値を継承することができます。

アクセス時間の設定

VPN アクセス時間は、このグループのユーザがセキュリティ アプライアンスに接続できる時間を決定します。VPN アクセス時間を設定するには、すでに設定している時間範囲ポリシーにグループ ポリシーを関連付けます。時間範囲ポリシーは、実際のアクセス時間を決定します。

時間範囲は、このグループ ポリシーを使用してユーザがセキュリティ アプライアンスに接続できるアクセス時間の範囲を指定する変数です。アクセス時間を制限するには、メニューから時間範囲の名前を選択します。

既存の時間範囲の特性を表示するには、Configuration > Global Objects > Time Ranges を選択します。既存の時間範囲を選択して ACL フィルタで使用するには、Add/Edit ACE ダイアログボックスの Time Range ドロップダウン メニューから名前を選択します。このフィルタで時間範囲を制限しない場合は、メニューから Unrestricted を選択します。どちらの場合でも、新しい時間範囲を定義しない場合は、「同時ログインの設定」までスキップします。

Inherit チェックボックスを選択すると、グループ ポリシーからアクセス時間変数をグループ ポリシーに継承できます。このオプションを選択する場合は、「同時ログインの設定」までスキップします。

General タブから時間範囲を追加または編集するには、Inherit チェックボックスをクリアし、Manage をクリックします。Browse Time Range ダイアログボックスが表示されます。または、Add ACE または Edit ACE ダイアログボックスの Time Range 領域で Browse (...) をクリックして、Browse Time Range ダイアログボックスを開きます。Add Time Range または Edit Time Range ダイアログボックスが表示されます(図2-22)。既存の時間範囲を編集する場合、Time Range Name フィールドは表示専用です。

図2-22 Add Time Range ダイアログボックス

 

時間範囲を追加する場合は、この時間範囲の名前を指定できます。必要な場合、時間範囲を使用するグループ ポリシーを設定するときに、ドロップダウン リストからこの名前を選択して、この時間範囲を選択できます。

開始時間と終了時間を指定します。開始時間と終了時間を設定するときは、両端の時間が含まれることに注意してください。

指定された開始時間と終了時間の間でアクティブになる繰り返し時間範囲を指定することで、時間範囲のアクティブ時間をさらに制約できます。繰り返し時間範囲を削除するには、範囲を選択し、 Delete をクリックします。繰り返し時間範囲を追加するには、 Add をクリックするか、既存の時間範囲を選択して Edit をクリックします。Add Recurring Time Ranges または Edit Recurring Time Ranges ダイアログボックスが表示されます(図2-23)。

図2-23 Add Recurring Time Ranges または Edit Recurring Time Ranges ダイアログボックス

 

繰り返し範囲をアクティブにする曜日と時間、または繰り返し範囲をアクティブにする毎週の間隔として繰り返し時間範囲を指定し、OK をクリックします。OK をクリックして、Add Time Range ダイアログボックスでの設定を完了します。

同時ログインの設定

任意のユーザに対して、許可される同時ログイン数を指定できます。デフォルト値は 3 です。範囲は 0 ~ 2147483647 の整数です。グループ ポリシーは、別のグループ ポリシーからこの値を継承できます。0 を入力すると、ログインが無効になり、ユーザがアクセスできなくなります。


注意 同時ログイン数の上限は非常に大きいですが、この値を設定するとセキュリティ上の危険が発生し、パフォーマンスに影響を与えることがあります。

最大接続時間の設定

VPN 接続の最大時間を設定します。この時間の終了時に、セキュリティ アプライアンスは接続を終了します。接続時間を無制限にするには、Unlimited チェックボックスを選択します。特定の時間制限を設定するには、Unlimited チェックボックスをクリアします。これによって、minutes フィールドが使用可能になります。最小時間は 1 分で、最大時間は 35791394 分です。デフォルト値はありません。

ユーザ アイドル タイムアウトの設定

Unlimited チェックボックスを選択するか、システムをアイドル状態のままにできる時間を分単位で指定して、ユーザ アイドル タイムアウト時間を設定します。この時間、接続で通信アクティビティがなかった場合、セキュリティ アプライアンスは接続を終了します。最小時間は 1 分で、最大時間は 35791394 分です。デフォルトは 30 分です。

WINS サーバ、DNS サーバ、および DHCP スコープの設定

プライマリおよびセカンダリ WINS サーバおよび DNS サーバ、および DHCP スコープを設定できます。それぞれのデフォルト値はありません。これらのアトリビュートを設定するには、次の手順を実行します。


ステップ 1 プライマリおよびセカンダリ DNS サーバを指定します。指定する最初の IP アドレスは、プライマリ DNS サーバの IP アドレスです。2 番目の(オプションの)IP アドレスは、セカンダリ DNS サーバの IP アドレスです。最初のフィールドで IP アドレスを指定せずにブランクのままにすると、DNS サーバがヌル値に設定されます。この場合、DNS サーバが指定されず、デフォルトまたは特定のグループ ポリシーから値を継承しません。

DNS サーバの値を入力するたびに、既存の設定が上書きされます。たとえば、10.10.10.15 としてプライマリ DNS サーバを設定した後、プライマリ DNS サーバを 10.10.10.30 に設定した場合、後の指定で最初の指定が上書きされ、10.10.10.30 がプライマリ DNS サーバになります。

ステップ 2 プライマリおよびセカンダリ WINS サーバを指定します。指定する最初の IP アドレスは、プライマリ WINS サーバの IP アドレスです。2 番目の(オプションの)IP アドレスは、セカンダリ WINS サーバの IP アドレスです。IP アドレスの代わりに none キーワードを指定すると、WINS サーバがヌル値に設定されます。この場合、WINS サーバが指定されず、デフォルトまたは特定のグループ ポリシーから値を継承しません。

wins-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定した後、WINS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y だけが WINS サーバになります。複数のサーバの場合も同じです。前に設定したサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときに、すべての WINS サーバの IP アドレスを含めます。

次の例で、FirstGroup というグループ ポリシーに IP アドレス 10.10.10.15 と 10.10.10.30 の WINS サーバを設定する方法を示します。

ステップ 3 DHCP スコープを指定します。これは、このグループ ポリシーのユーザにアドレスを割り当てるときにセキュリティ アプライアンス DHCP サーバが使用するサーバ IP アドレスの範囲です。たとえば、グループ ポリシーに IP サブネットワーク 10.10.85.0(10.10.85.0 ~ 10.10.85.255 のアドレス範囲を指定)を設定するには、DHCP スコープを 10.10.85.0 に指定する必要があります。


 

IPSec アトリビュートの設定

Add Internal Group Policy または Edit Internal Group Policy ウィンドウの IPSec タブを使用して、このグループ ポリシーのセキュリティ アトリビュートを指定できます。 図2-24 に、IPSec タブを示します。

図2-24 Add Internal Group Policy ウィンドウの IPSec タブ

 

Inherit チェックボックスを選択すると、対応する設定の値をデフォルトグループ ポリシーから取得できます。次の項で、このタブのアトリビュートの設定方法について説明します。

IKE 鍵の再生成での再認証の設定

Enable または Disable を選択して、IKE 鍵の再生成でユーザの再認証を必要とするかどうかを指定します。IKE 鍵の再生成での再認証を有効にした場合、セキュリティ アプライアンスは、最初の Phase 1 IKE ネゴシエーションの際にユーザ名とパスワードを入力するようにユーザに要求し、さらに、IKE 鍵の再生成が発生するたびにユーザの再認証を要求します。再認証を行うと、セキュリティが強固になります。Inherit チェックボックスをクリアした場合、IKE 鍵の再生成での再認証はデフォルトで無効になります。

設定された鍵の再生成の間隔が非常に短い場合、認証の要求が繰り返されることをユーザが不便に感じることがあります。認証の要求が繰り返されないようにするには、再認証を無効にします。設定されている鍵の再生成の統計情報をチェックするには、 Monitoring > VPN > VPN Statistics > Crypto Statistics を選択して、セキュリティ アソシエーション統計情報を表示します。


) 接続の他方にユーザがいない場合、再認証は失敗します。


IP 圧縮の設定

IP 圧縮を有効にするかどうかを指定します。デフォルトでは無効になっています。データ圧縮を有効にすると、モデムで接続しているリモート ダイヤルイン ユーザに対するデータ転送速度が速くなります。デフォルトでは、IP 圧縮は無効になっています。


注意 データ圧縮を行うと、ユーザ セッションごとのメモリ要件および CPU 使用率が高くなり、その結果、セキュリティ アプライアンスの全体的なスループットが低下します。そのため、モデムで接続しているリモート ユーザに対してのみ、データ圧縮を有効にすることをお勧めします。モデム ユーザに固有のグループ ポリシーを設計し、これらのユーザに対してのみ圧縮を有効にします。

LZS IP 圧縮を有効または無効にするには、 Enable または Disable を選択します。

完全転送秘密の設定

perfect forward secrecy(PFS; 完全転送秘密)を有効にするかどうかを指定します。IPSec ネゴシエーションで完全転送秘密を使用すると、新しい各暗号鍵が前の鍵と無関係になることが保証されます。Inherit チェックボックスを選択すると、デフォルト グループ ポリシーから完全転送秘密の値をグループ ポリシーに継承できます。選択しない場合、デフォルトで、完全転送秘密は無効になります。完全転送秘密を有効または無効にするには、 Enable または Disable を選択します。

トンネル グループ ロックの設定

Tunnel Group Lock アトリビュートを有効または無効にして、リモート ユーザが必ずトンネル グループを経由してアクセスするように制限するかどうかを指定します。

Add Internal Group Policy または Edit Internal Group Policy の IPSec タブで、Inherit チェックボックスを選択解除し、ドロップダウン リストからトンネルグループ名を選択します。このグループ ポリシーに関連付けられているユーザは、指定されたトンネル グループを経由した場合にのみアクセスできるようになります。

トンネルグループ名は、ユーザが接続するためにセキュリティ アプライアンスで要求される既存のトンネル グループの名前を指定します。トンネル グループ ロックは、VPN クライアントで設定されているグループが、ユーザが割り当てられているトンネル グループと同じかどうかをチェックすることで、ユーザを制約します。同じでない場合、セキュリティ アプライアンスは、ユーザが接続できないようにします。トンネル グループ ロックを設定しない場合、セキュリティ アプライアンスは、割り当てられているグループを考慮せずにユーザを認証します。デフォルトでは、グループ ロックは無効になっています。

グループ ポリシー設定からグループ ロックを削除するには、リストから None を選択します。このオプションは、グループ ロックをヌル値に設定するため、グループ ロック制限をなしにできます。また、デフォルト グループ ポリシーまたは特定のグループ ポリシーからのグループ ロック値の継承も抑止します。

クライアント アクセス ルールの設定

Client Access Rules 領域を使用して、VPN クライアントの特定のタイプおよびバージョンごとに、アクセスを許可または拒否する 25 までのルールを指定できます。グループ ポリシーは、これらのルールをデフォルト グループ ポリシーから継承することも、このグループ ポリシーに固有のルールを指定することもできます。

この領域のテーブルには、各ルールで指定された優先順位、アクション、クライアント タイプ、および VPN クライアント バージョンが表示されます。

セキュリティ アプライアンスを介して IPSec 経由で接続できるリモート アクセス クライアントのタイプおよびバージョンを制限するルールを設定するには、 Inherit チェックボックスをクリアします。これによって、テーブルに関連付けられているボタンがアクティブになります。デフォルトでは、アクセス ルールはありません。クライアント アクセス ルールがない場合、すべてのクライアント タイプおよびバージョンがアクセスできます。個別のルールを削除するには、 Delete をクリックします。

Client Access Rules テーブルのカラムは、次のとおりです。

Priority:このルールの優先順位が表示されます。ルールの優先順位を決定します。最も小さな整数のルールが、最も高い優先順位です。つまり、クライアント タイプやバージョンと一致した最も小さな整数のルールが適用されます。より低い優先順位のルールが相反している場合、セキュリティ アプライアンスはこれを無視します。

Action:このルールで、特定のタイプおよびバージョンのクライアントのアクセスが許可されるか拒否されるかを指定します。

Client Type:このルールを適用する VPN クライアントのタイプ(ソフトウェアまたはハードウェア)を指定します。ソフトウェア クライアントの場合は、すべての Windows クライアントかサブセットかを指定します。自由形式の文字列でデバイスタイプを識別します(VPN 3002 など)。文字列は、show vpn-sessiondb remote display での表示と正確に一致する必要があります。ただし、ワイルドカードとして * 文字を使用できます。

VPN Client Version:このルールを適用する VPN クライアントのバージョンを指定します(複数可)。このボックスには、このクライアントに適用されるソフトウェアまたはファームウェア イメージのカンマ区切りリストが含まれます。自由形式の文字列でデバイスを識別します(7.0 など)。文字列は、show vpn-sessiondb remote display での表示と正確に一致する必要があります。ただし、ワイルドカードとして * 文字を使用できます。

IPSec グループ ポリシーの新しいルールを追加するには、 Add をクリックします。IPSec グループ ポリシーの既存のルールを修正するには、 Edit をクリックします。Add Client Access Rule または Edit Client Access Rule ダイアログボックスが表示されます(図2-25)。

図2-25 Add Client Access Rule ダイアログボックス

 

次の注意事項に従って、ルールを構築します。

ルールをまったく定義しなかった場合、セキュリティ アプライアンスはすべての接続タイプを許可します。

クライアントがどのルールにも一致しなかった場合、セキュリティ アプライアンスは接続を拒否します。つまり、拒否ルールを定義する場合は、1 つ以上の許可ルールも定義する必要があります。定義しなかった場合、セキュリティ アプライアンスはすべての接続を拒否します。

ソフトウェア クライアントとハードウェア クライアントのどちらも、タイプとバージョンは Monitoring > VPN > VPN Statistics > Sessions ウィンドウでの表示と正確に一致する必要があります。

* 文字はワイルドカードで、各ルールで複数回使用できます。たとえば、クライアント アクセス ルールで VPN クライアント バージョンを version 3.* と指定した場合、このルールは、リリース バージョン 3.x のソフトウェアを実行している指定されたクライアント タイプに適用されます。

1 つのグループ ポリシーには、最大 25 のルールを構築できます。

ルール セットの全体で 255 文字という上限があります。

クライアント タイプまたはバージョンを送信しないクライアントには、n/a を使用できます。

クライアント設定パラメータの設定

Add Internal Group Policy または Edit Internal Group Policy ウィンドウの Client Configuration タブ(図2-26)は、次のタブで構成されます。

General Client Parameters

Cisco Client Parameters

Microsoft Client Parameters

図2-26 General Client Parameters タブ

 

全般的なクライアント パラメータの設定

General Client Parameters タブでは、バナー テキスト、デフォルト ドメイン、スプリット トンネル パラメータ、アドレス プールなど、Cisco クライアントと Microsoft クライアントに共通のクライアント アトリビュートを設定します。ほとんどの場合、Inherit チェックボックス(デフォルトで選択)を使用して、対応する設定の値をデフォルト グループ ポリシーから取得するように指定できます。Inherit チェックボックスをクリアすると、パラメータのその他のオプションが使用できるようになります。全般的なクライアント パラメータを設定するときは、次のフィールドの説明を参照してください。

Banner:デフォルト グループ ポリシーからバナーを継承するか、新しいバナー テキストを入力するかを指定します。

Edit Banner:View/Config Banner ダイアログボックスが表示され、500 文字までのバナー テキストを入力できます。詳細については、「バナー メッセージの設定」を参照してください。

Default Domain:デフォルト グループ ポリシーからデフォルト ドメインを継承するか、このフィールドで指定する新しいデフォルト ドメインを使用するかを指定します。このフィールドと、次のトンネリング関連フィールドの詳細については、「 トンネリング用ドメイン アトリビュートの設定 」を参照してください。

Split Tunnel DNS Names (space delimited):デフォルト グループ ポリシーからスプリットトンネル DNS 名を継承するか、このフィールドで新しい名前または名前のリストを指定するかを指定します。

Split Tunnel Policy:デフォルト グループ ポリシーからスプリットトンネル ポリシーを継承するか、メニューからポリシーを選択するかを指定します。メニュー オプションは、すべてのネットワークをトンネリングする、下のネットワーク リストに含まれるネットワークをトンネリングする、または下のネットワーク リストに含まれるネットワークを除外するです。

Split Tunnel Network List:デフォルト グループ ポリシーからスプリットトンネル ネットワーク リストを継承するか、ドロップダウン リストから選択するかを指定します。

Manage:ACL Manager ダイアログボックス(図2-27)を開き、標準および拡張アクセス コントロール リストを管理できます。

図2-27 ACL Manager ダイアログボックスと標準および拡張 ACL

 

この ACL Manager ダイアログボックスは、「 ACL と ACE の管理 」で説明したダイアログボックスと機能的には同じですが、標準 ACL と拡張 ACL が 2 つの異なるタブに表示されます。

Address Pools:このグループ ポリシーを通じて使用できるアドレス プールを設定します。

Available Pools:リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定します。Inherit チェックボックスが選択解除され、Assigned Pools リストにアドレス プールがない場合、アドレス プールは設定されず、グループ ポリシーの他のソースから継承されません。

Add:アドレス プールの名前を Available Pools リストから Assigned Pools リストに移動します。

Remove:アドレス プールの名前を Assigned Pools リストから Available Pools リストに移動します。

Assigned Pools (up to 6 entries):割り当て済みプール リストに追加したアドレス プールをリストします。このテーブルのアドレス プール設定は、グループのローカル プール設定を上書きします。6 つまでのローカル アドレス プールのリストを指定し、ローカル アドレス割り当てに使用できます。プールを指定する順番には意味があります。セキュリティ アプライアンスは、このコマンドで出現する順序と同じ順序でプールからアドレスを割り当てます。

バナー メッセージの設定

バナーは、リモート クライアントが接続したときに表示されるメッセージです。デフォルトはバナーなしです。デフォルト グループ ポリシーからバナーを継承しない場合は、Inherit チェックボックスをクリアして Edit Banner をクリックします。View/Config Banner ダイアログボックスが表示されます(図2-28)。

図2-28 View/Config Banner ダイアログボックス

 

表示するバナーまたは初期メッセージ(必要な場合)を指定するには、510 文字までの長さのバナー テキストを入力します。「\n」シーケンスを入力すると、復帰記号が挿入されます。


) バナーに含まれる復帰/改行は、2 文字としてカウントされます。


バナーを削除するには、テキストを削除します。

トンネリング用ドメイン アトリビュートの設定

トンネリングされたパケット用のデフォルト ドメイン名またはスプリット トンネルで解決されるドメイン リストを指定できます。次の項で、これらのドメインの設定方法について説明します。

トンネリングされたパケット用のデフォルト ドメイン名の定義

セキュリティ アプライアンスは、デフォルト ドメイン名を IPSec クライアントに渡し、ドメイン フィールドが省略されている DNS クエリに追加します。デフォルト ドメイン名がない場合は、ユーザがデフォルト グループ ポリシーのデフォルト ドメイン名を継承します。グループ ポリシーのユーザのデフォルト ドメイン名を指定するには、Inherit チェックボックスをクリアし、フィールドにデフォルト ドメイン名を入力します。

入力したドメイン名は、グループのデフォルト ドメイン名を識別します。デフォルト ドメイン名なしを指定するには、このフィールドをブランクのままにします。このコマンドは、ドメイン名にヌル値を設定し、デフォルト ドメイン名を拒否し、デフォルト グループ ポリシーまたは特定のグループ ポリシーからのデフォルト ドメイン名の継承を抑止します。

スプリット トンネリング用のドメイン リストの定義

スプリット トンネリング用のドメイン リストを指定するには、Inherit チェックボックスをクリアし、スプリット トンネルで解決されるドメインを空白で区切って入力します。スプリット トンネリング ドメイン リストがない場合、ユーザは、デフォルト グループ ポリシーのリストを継承できます。ユーザがスプリット トンネリング ドメイン リストを継承しないようにするには、このリストをブランクのままにします。

ドメイン名アトリビュートは、セキュリティ アプライアンスがスプリット トンネルで解決するドメイン名を指定します。このリストをブランクのままにすると、スプリット DNS リストがないことを示します。また、スプリット DNS リストがヌル値に設定され、その結果、スプリット DNS リストが拒否され、デフォルト グループ ポリシーまたは特定のグループ ポリシーからのスプリット DNS リストの継承が抑止されます。

ドメイン リストの各エントリは、単一の空白で区切ります。エントリ数の制限はありませんが、文字列全体の長さは 255 文字以下にする必要があります。使用できる文字は、英数字、ハイフン(-)、ピリオド(.)だけです。トンネルでデフォルト ドメイン名を解決する場合は、その名前をリストに明示的に含める必要があります。

スプリット トンネリング アトリビュートの設定

スプリット トンネリングを使用すると、リモートアクセス IPSec クライアントが、条件に従ってパケットを暗号化された形式の IPSec トンネルまたはクリア テキスト形式のネットワーク インターフェイスに転送できるようになります。スプリット トンネリングを有効にすると、IPSec トンネルの他方に向けて送信された以外のパケットは、暗号化してトンネルで送信し、暗号化解除して最終的な宛先に経路選択する必要がなくなります。このコマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

スプリット トンネリング ポリシーの設定

スプリット トンネリング ポリシーを指定して、トラフィックをトンネリングするルールを設定します。デフォルトは、すべてのトラフィックをトンネリングするです。スプリット トンネリング ポリシーを設定するには、Inherit チェックボックスをクリアし、スプリットトンネル ポリシーをドロップダウン メニューから選択します。実行コンフィギュレーションからスプリットトンネル ポリシー アトリビュートを削除するには、このフィールドをブランクのままにします。これによって、別のグループ ポリシーからのスプリット トンネリングの値の継承が有効になります。

Tunnel All Networks を選択すると、すべてのトラフィックが暗号化され、セキュリティ アプライアンス以外の宛先に送信されないように指定されます。結果として、スプリット トンネリングが無効になります。リモート ユーザは、企業ネットワークを通じてインターネット ネットワークに到達し、ローカル ネットワークにはアクセスできません。これがデフォルトのオプションです。

Tunnel Network List Below を選択すると、指定されたネットワークから発信または指定されたネットワークに送信されるすべてのトラフィックがトンネリングされます。このオプションによって、スプリット トンネリングが有効になります。トンネリングするネットワーク アドレスのリストを作成できます。その他すべてのアドレスへのデータは平文で転送され、リモート ユーザのインターネット サービス プロバイダーによってルート指定されます。

Exclude Network List Below を選択して、平文で転送されるネットワークのリストを定義します。この機能は、プリンタなどローカル ネットワークのデバイスにはアクセスせず、トンネルを介して企業ネットワークに接続するリモート ユーザにとって便利です。このオプションは、Cisco VPN クライアントにのみ適用されます。


) スプリット トンネリングは、本来トラフィック管理機能で、セキュリティ機能ではありません。セキュリティを最適化するには、スプリット トンネリングを有効にしないことをお勧めします。


スプリットトンネリング用ネットワーク リストの作成

Split Tunnel Network List ドロップダウン メニューから、スプリット トンネリング用のネットワーク リスト名を選択します。スプリット トンネリング ネットワーク リストは、トラフィックがトンネルを経由する必要があるネットワークと、トンネリングを必要としないネットワークを区別します。セキュリティ アプライアンスは、ネットワーク リストに基づいてスプリット トンネリングを決定します。このネットワーク リストは、プライベート ネットワークのアドレス リストで構成された ACL です。標準タイプの ACL だけを使用できます。 Manage をクリックすると、ACL Manager ダイアログボックスが開き、ACL を設定できます。ACL Manager ダイアログボックスの使用の詳細については、「ACL フィルタの設定」を参照してください。

選択したアクセスリスト名によって、トンネリングするネットワークまたはトンネリングしないネットワークを列挙したアクセスリストが識別されます。 None を選択すると、スプリット トンネリング用のネットワーク リストがなく、セキュリティ アプライアンスがすべてのトラフィックをトンネリングすることを示します。 None を選択すると、スプリット トンネリング ネットワーク リストにヌル値が設定され、スプリット トンネリングが拒否されます。また、デフォルト グループ ポリシーまたは特定のグループ ポリシーからのデフォルト スプリット トンネリング ネットワーク リストの継承が抑止されます。

Cisco クライアント パラメータの設定

Cisco Client Parameters タブ(図2-29)のアトリビュートは、パスワード保管、IPSec over UPD 設定、IPSec バックアップ サーバなど、グループの特定のセキュリティ設定を指定します。

図2-29 Cisco Client Parameters タブ

 

パスワード保管の設定

ユーザがログイン パスワードをクライアント システムに保管できるかどうかを指定できます。セキュリティ上の理由により、パスワード保管はデフォルトで無効になっています。パスワード保管は、セキュアなサイトにあることがわかっているシステムでのみ有効にします。

パスワード保管を有効または無効にするには、Store Password on Client System アトリビュートの Inherit チェックボックスをクリアし、 Yes (有効)または No (無効)を選択します。

このアクションは、インタラクティブ ハードウェア クライアント認証またはハードウェア クライアントの個別ユーザ認証には適用されません。

IPSec-UDP アトリビュートの設定

IPSec over UDP(NAT 経由の IPSec)を使用すると、Cisco VPN クライアントまたはハードウェア クライアントが、NAT を実行しているセキュリティ アプライアンスに UDP を経由して接続できるようになります。デフォルトでは無効になっています。IPSec over UDP は独自機能です。リモートアクセス接続にのみ適用され、モード設定が必要です。セキュリティ アプライアンスは、SA のネゴシエート中に設定パラメータをクライアントと交換します。IPSec over UDP を使用すると、システム パフォーマンスがやや低下することがあります。

IPSec over UDP を有効または無効にするには、Inherit チェックボックスをクリアし、 Enable または Disable を選択します。

Cisco VPN クライアントも IPSec over UDP を使用するように設定する必要があります(デフォルトで、使用するように設定されています)。VPN 3002 の場合は、IPSec over UDP を使用するように設定する必要はありません。

IPSec over UDP を使用するには、IPSec over UDP で使用する UDP ポート番号を設定する IPSec over UDP Port アトリビュートも設定する必要があります。IPSec ネゴシエーションで、セキュリティ アプライアンスは設定されたポートを傍受し、他のフィルタ ルールで UDP トラフィックがドロップされる場合でも、このポートに UDP トラフィックを転送します。IPSec over UDP Port アトリビュートを設定するには、Inherit チェックボックスをクリアし、フィールドにポート番号を入力します。ポート番号の範囲は 4001 ~ 49151 で、デフォルトのポート値は 10000 です。

IPSec バックアップ サーバの設定

バックアップ サーバを使用する場合は、設定します。IPSec バックアップ サーバを使用すると、プライマリ セキュリティ アプライアンスが使用できなくなったときに、VPN クライアントが中央サイトに接続できるようになります。バックアップ サーバを設定した場合、セキュリティ アプライアンスは、IPSec トンネルが確立されたときにサーバ リストをクライアントにプッシュします。バックアップ サーバは、クライアントまたはプライマリ セキュリティ アプライアンスで設定しない限り存在しません。

バックアップ サーバは、クライアントまたはプライマリ セキュリティ アプライアンスで設定します。バックアップ サーバをセキュリティ アプライアンスで設定した場合、バックアップ サーバ ポリシーがグループ内のクライアントにプッシュされ、クライアントで設定されていたバックアップ サーバ リストがあった場合、これを置き換えます。


) ホスト名を使用する場合、プライマリ DNS および WINS サーバとは別のネットワークにバックアップ DNS および WINS サーバを置くことをお勧めします。別に置かなかった場合、ハードウェア クライアントの後ろにあるクライアントが DHCP 経由でハードウェア クライアントから DNS および WINS 情報を取得し、プライマリ サーバへの接続が失われ、バックアップ サーバに別の DNS および WINS 情報があるときに、DHCP リースの期限が切れるまでクライアントはアップデートできません。また、ホスト名を使用していて DNS サーバが使用不能になった場合、大きな遅延が発生することがあります。


バックアップ サーバを指定する、またはクライアント設定から設定済みのバックアップ サーバを削除するには、次の手順を実行します。


ステップ 1 Inherit チェックボックスをクリアします。

ステップ 2 ドロップダウン メニューから、次のオプションのいずれかを選択します。

Keep Client Configuration:セキュリティ アプライアンスがバックアップ サーバ情報をクライアントに送信しないように指定します。クライアントは、独自のバックアップ サーバ リストを使用します(設定されている場合)。これがデフォルトです。

Clear Client Configuration:クライアントがバックアップ サーバを使用しないように指定します。セキュリティ アプライアンスは、ヌルのサーバ リストをプッシュします。

Use the Backup Servers Below:プライマリ セキュリティ アプライアンスが使用不能になった場合に使用するサーバのリストを設定することを指定します。

ステップ 3 Use the Backup Servers Below を選択した場合は、Server Addresses フィールドに 1 つ以上のサーバ アドレスを入力する必要があります。このリストは、プライマリ セキュリティ アプライアンスが使用不能になったときに VPN クライアントが使用するサーバを空白で区切り、優先順位の高い順に並べたリストです。このリストは、サーバを IP アドレスまたはホスト名で識別します。リストの長さは 500 文字までで、含めることができるエントリは 10 までです。


 

Microsoft クライアント パラメータの設定

Microsoft Client Parameters タブ(図2-30)では、Microsoft クライアントに固有のクライアント アトリビュート(特に、Microsoft Internet Explorer 用のプロキシ サーバ パラメータ)を設定します。

図2-30 Microsoft Client Parameters タブ

 

このタブのフィールドを使用して、Microsoft クライアントに固有のパラメータを設定します。

Proxy Server Policy:クライアント PC の Microsoft Internet Explorer ブラウザのプロキシ アクション(「メソッド」)を設定します。

Do not modify client proxy settings:このクライアント PC の Internet Explorer の HTTP ブラウザ プロキシ サーバ設定を変更しません。

Do not use proxy:クライアント PC の Internet Explorer の HTTP プロキシ設定を無効にします。

Auto-detect proxy:クライアント PC で、Internet Explorer の自動プロキシ サーバ検出の使用を有効にします。

Use proxy server settings specified below:Proxy Server Name or IP Address フィールドで設定された値を使用するように、Internet Explorer の HTTP プロキシ サーバ設定値を設定します。

Proxy Server Settings:Microsoft Internet Explorer を使用して、Microsoft クライアントのプロキシ サーバ パラメータを設定します。

Proxy Server Name or IP Address:このクライアント PC に適用する Microsoft Internet Explorer サーバの IP アドレスまたは名前を指定します。


) ASDM を使用して、プロキシ サーバ名または IP アドレスを設定できます。サーバのほかに使用するオプションのポートを設定するには、group-policy 設定モードで msie-proxy server コマンドを使用する必要があります。


Bypass Proxy Server for Local Addresses:クライアント PC の Microsoft Internet Explorer ブラウザ プロキシ ローカル バイパス設定値を設定します。Yes を選択するとローカル バイパスが有効になり、No を選択するとローカル バイパスが無効になります。

Proxy Server Exception List:クライアント PC のローカル バイパス用 Microsoft Internet Explorer ブラウザ プロキシ例外リスト設定値を設定します。プロキシ サーバ経由のアクセスを行わないアドレスのリストを入力します。このリストは、Internet Explorer の Proxy Settings ダイアログボックスの Exceptions ボックスに対応します。

Name or IP Address (use * as a wildcard):このクライアント PC に適用する MSIE サーバの IP アドレスまたは名前を指定します。

Add:指定した名前または IP アドレスを Proxy Server Exceptions 例外リストに追加します。

Delete:指定した名前または IP アドレスを Proxy Server Exceptions リストから削除します。

Proxy Server Exceptions:プロキシ サーバ アクセスから除外するサーバ名および IP アドレスをリストします。このリストは、Internet Explorer の Proxy Settings ダイアログボックスの Exceptions ボックスに対応します。

DHCP Intercept:DHCP 代行受信を有効または無効にします。DHCP 代行受信を使用すると、Microsoft XP クライアントがセキュリティ アプライアンスでスプリットトンネリングを使用できるようになります。セキュリティ アプライアンスは、Microsoft Windows XP クライアントの DHCP Inform メッセージに直接応答し、トンネル IP アドレスのサブネット マスク、ドメイン名、クラスレス スタティック ルートをクライアントに提供します。XP 以前の Windows クライアントでは、DHCP 代行受信はドメイン名とサブネット マスクを提供します。この機能は、DHCP サーバを使用する利点がない環境で役立ちます。


) Microsoft XP では、スプリット トンネル オプションが 255 バイトを超えると、ドメイン名の衝突が不正に発生します。この問題を回避するために、セキュリティ アプライアンスは、送信するルート数を 27 ~ 40 ルートに制限します。このルート数は、ルートのクラスによって異なります。


Intercept DHCP Configure Message:グループ ポリシーから DHCP 代行受信ポリシーを継承するか、DHCP ポリシーを有効(Yes)または無効(No)にするかを指定します。

Subnet Mask (optional):ドロップダウン リストからサブネット マスクを選択します。

ファイアウォール アトリビュートの設定

ファイアウォールは、インバウンドおよびアウトバウンドの各データ パケットを検査し、許可するかドロップするかを判断することによって、コンピュータをインターネットから隔離し、保護します。ファイアウォールは、グループのリモート ユーザにスプリット トンネリングが設定されている場合に、追加のセキュリティを提供します。この場合、ファイアウォールによってインターネットまたはユーザのローカル LAN からの侵入からユーザの PC が保護され、その結果として、企業のネットワークが保護されます。VPN クライアントでセキュリティ アプライアンスに接続しているリモート ユーザは、適切なファイアウォール オプションを選択できます。ファイアウォール ポリシーがない場合、ユーザは、デフォルト グループ ポリシーまたは他のグループ ポリシーのポリシーを継承できます。

Client Firewall タブ(図2-31)で、IKE トンネル ネゴシエーション中にセキュリティ アプライアンスが VPN クライアントにプッシュするパーソナル ファイアウォール ポリシーを設定します。

図2-31 Edit Internal Group Policy Client Firewall タブ

 


) これらのファイアウォール機能は、Microsoft Windows を実行しているVPN クライアントでのみ使用できます。現在、ハードウェア クライアントまたはその他の(非 Windows)ソフトウェア クライアントでは使用できません。


次の例で、クライアント ファイアウォールの使用について説明します。

最初のシナリオでは、リモート ユーザの PC にパーソナル ファイアウォールがインストールされています。VPN クライアントは、ローカル ファイアウォールで定義されているファイアウォール ポリシーを適用し、そのファイアウォールが実行されるように監視します。ファイアウォールが実行を停止した場合、VPN クライアントはセキュリティ アプライアンスへの接続をドロップします(このファイアウォール適用メカニズムを Are You There(AYT)と呼びます。これは、VPN クライアントが定期的に「are you there?」メッセージを送信してファイアウォールを監視するためです。応答が返らなかった場合、VPN クライアントはファイアウォールがダウンしたことを認識し、セキュリティ アプライアンスへの接続を終了します)。これらの PC ファイアウォールは、ネットワーク管理者が最初に設定できますが、この方法で、各ユーザが独自の設定にカスタマイズできます。

2 番目のシナリオでは、VPN クライアント PC にパーソナル ファイアウォールの集中的なファイアウォール ポリシーを適用します。一般的な例として、スプリット トンネリングを使用して、グループのリモート PC へのインターネット トラフィックをブロックする例があります。この方法で、トンネルが確立されている間、インターネットからの侵入から PC を保護し、結果として、中央サイトを保護します。このファイアウォール シナリオは、プッシュ ポリシーまたは Central Protection Policy(CPP)と呼ばれます。セキュリティ アプライアンスで、トラフィック管理ルールのセットを作成し、VPN クライアントに適用し、これらのルールをフィルタに関連付け、そのフィルタをファイアウォール ポリシーとして指定します。セキュリティ アプライアンスは、このポリシーを VPN クライアントにプッシュします。次に、VPN クライアントが、ポリシーをローカル ファイアウォールに渡して適用します。

Add Internal Group Policy または Edit Internal Group Policy ウィンドウの Client Firewall タブを使用して、追加または修正するグループ ポリシーの VPN クライアントのファイアウォール設定値を設定できます。クライアント ファイアウォール設定値を指定するには、Inherit チェックボックスをクリアし、Client Firewall Attributes 領域で次のアトリビュートを設定します。

ファイアウォール設定値の設定

ドロップダウン メニューから適切な設定を選択して、ファイアウォールがないか、オプションか、必須かを指定します。


) このグループに、まだファイアウォールに対応していないリモート ユーザがいる場合は、Firewall Optional を選択します。Firewall Optional 設定を使用すると、グループ内のすべてのユーザが接続できるようになります。ファイアウォールに対応しているユーザは、ファイアウォールを使用できます。ファイアウォールなしで接続するユーザには、警告メッセージが表示されます。この設定は、一部のユーザがファイアウォールをサポートしており、他のユーザがサポートしていないグループを作成するときに役立ちます。たとえば、移行途中のグループでは、一部のメンバはファイアウォール機能を設定し、別のユーザはまだ設定していないことがあります。


ファイアウォール タイプの設定

ドロップダウン メニューから、ファイアウォールのタイプ(またはファイアウォールなし)を選択します。オプションは次のとおりです。

No Firewall:クライアント ファイアウォール ポリシーがなく、デフォルト グループ ポリシーまたは特定のグループ ポリシーから継承しないことを示します。

Cisco Integrated Firewall:Cisco Integrated Firewall タイプを選択します。

Cisco Security Agent:Cisco Intrusion Prevention Security Agent ファイアウォール タイプを選択します。

Zone Labs Firewalls:Zone Labs Zone Alarm ファイアウォール タイプ、Zone Alarm Pro ファイアウォール タイプ、またはその両方を選択します。

Sygate Personal Firewalls:Sygate Personal ファイアウォール タイプ、Sygate Personal Pro ファイアウォール タイプ、または Sygate Security Agent ファイアウォール タイプを選択します。

Network ICE, Black ICE Firewall:Network ICE Black ICE ファイアウォール タイプを選択します。

Custom Firewall:このポリシーで、カスタム ファイアウォールを使用することを示します。これを選択すると、Custom Firewall and Firewall Policy 領域がアクティブになります。

カスタム ファイアウォールの設定

ファイアウォール タイプとして Custom Firewall を選択した場合は、次のカスタム ファイアウォール アトリビュートも設定する必要があります。

Vendor ID:ファイアウォール ベンダーを識別します。

Product ID:ファイアウォール製品のモデル名または製品名を識別します。

Description:オプションで、カスタム ファイアウォールの追加情報を指定します。

Firewall Policy アトリビュートを設定して、次のように、発信元およびファイアウォール ポリシーの特性を設定します。

Policy defined by remote firewall (AYT):リモート ユーザ PC にインストールされたファイアウォールを使用し、接続が確立された後、ファイアウォールを 30 秒ごとにポーリングして実行していることを確認するように指定します。これを「Are You There」または AYT メカニズムと呼びます。ローカル ファイアウォールのファイアウォール ポリシーが、VPN クライアントに適用されます。セキュリティ アプライアンスは、指定されたファイアウォールがインストールされ、実行中である場合にだけ、このグループの VPN クライアントが接続できるようにします。指定されたファイアウォールが実行されていない場合、接続は失敗します。

Policy Pushed (CPP):VPN クライアント PC のパーソナル ファイアウォールに、集中化されたファイアウォール ポリシーを適用します。このファイアウォール ポリシーはピアからプッシュされるため、「プッシュ ポリシー」または Central Protection Policy と呼ばれます。このオプションを選択する場合は、Inbound Traffic Policy および Outbound Traffic Policy リストと Manage ボタンがアクティブになります。セキュリティ アプライアンスは、Policy Pushed (CPP) ドロップダウン メニューで選択されたフィルタによって定義されるトラフィック管理ルールをこのグループの VPN クライアントに適用します。メニューで使用できる選択肢は、このセキュリティ アプライアンスで定義されているフィルタで、デフォルト フィルタも含まれます。セキュリティ アプライアンスがこれらのルールを VPN クライアントにプッシュすることに注意してください。セキュリティ アプライアンスではなく VPN クライアントから見たルールを作成し、定義する必要があります。たとえば、「in」と「out」はそれぞれ、VPN クライアントに着信するトラフィックと、VPN クライアントから発信されるトラフィックです。VPN クライアントにローカル ファイアウォールもある場合、セキュリティ アプライアンスからプッシュされたポリシーは、ローカル ファイアウォールのポリシーと同時に機能します。いずれかのファイアウォールのルールでブロックされたすべてのパケットがドロップされます。

Policy Pushed (CPP) を選択する場合は、クライアントがインバウンドおよびアウトバウンド トラフィックに対して使用するポリシーも選択する必要があります。

Manage をクリックすると、ACL Manager ダイアログボックス(図2-9)が開きます。このダイアログボックスで、VPN クライアントに適用するトラフィック管理ルールのセットを作成し、これらのルールとフィルタを関連付け、フィルタをファイアウォール ポリシーとして指定できます。セキュリティ アプライアンスは、このポリシーを VPN クライアントにプッシュします。次に、VPN クライアントがポリシーをローカル ファイアウォールに渡し、適用します。

VPN ハードウェア クライアントのアトリビュートの設定

Add Internal Group Policy または Edit Internal Group Policy の Hardware Client タブ(図2-32)を使用して、VPN ハードウェア クライアントに固有のアトリビュートを設定できます。このタブでは、セキュア ユニット認証およびユーザ認証を有効または無効にでき、VPN ハードウェア クライアントのユーザ認証タイムアウト値を設定できます。また、Cisco IP Phone および LEAP パケットが個別のユーザ認証をバイパスできるようにしたり、ネットワーク拡張モードを使用しているハードウェア クライアントが接続できるようにしたりできます。

図2-32 Edit Internal Group Policy の Hardware Client タブ

 

Require Interactive Client Authentication(セキュア ユニット認証)

セキュア ユニット認証は、クライアントがトンネルを開始するたびに、ユーザ名とパスワードによる認証を行うように VPN ハードウェア クライアントに要求することで、追加のセキュリティを提供します。この機能を有効にすると、ハードウェア クライアントはユーザ名とパスワードを保存しません。セキュア ユニット認証は、デフォルトで無効になっています。


) この機能を有効にした場合、VPN トンネルを始動するために、ユーザ名とパスワードを入力するユーザが立ち会う必要があります。


セキュア ユニット認証を使用するには、ハードウェア クライアントが使用するトンネル グループ用に認証サーバ グループを設定しておく必要があります。プライマリ セキュリティ アプライアンスでセキュア ユニット認証を要求する場合は、すべてのバックアップ サーバでも設定する必要があります。

インタラクティブ ハードウェア クライアント認証は、VPN 3002 がトンネルを開始するたびに、手動で入力したユーザ名とパスワードで認証を行うように VPN 3002 ハードウェア クライアントに要求することによって、追加のセキュリティを提供します。この機能を有効にすると、VPN 3002 はユーザ名とパスワードを保存しません。ユーザ名とパスワードを入力すると、VPN 3002 は接続するセキュリティ アプライアンスにクレデンシャルを送信します。セキュリティ アプライアンスは、内部または外部認証サーバを利用して認証を行います。ユーザ名とパスワードが有効な場合、トンネルが確立されます。

グループのインタラクティブ ハードウェア クライアント認証を有効にすると、セキュリティ アプライアンスがグループ内の VPN 3002 にポリシーをプッシュします。以前、VPN 3002 でユーザおよびパスワードを設定していた場合、ソフトウェアによってコンフィギュレーション ファイルから削除されます。接続しようとすると、ソフトウェアによって、ユーザ名とパスワードを要求するプロンプトが表示されます。

後で、セキュリティ アプライアンスでグループのインタラクティブ ハードウェア認証を無効にすると、VPN 3002 でローカルに有効にされ、ユーザ名とパスワードを要求するプロンプトが表示され続けます。これによって、保存されたユーザ名およびパスワードがなく、セキュリティ アプライアンスでインタラクティブ ハードウェア クライアント認証が無効にされても、VPN 3002 は接続できます。後で、ユーザ名とパスワードを設定し、機能を無効にすると、プロンプトは表示されなくなります。VPN 3002 は、保存されたユーザ名とパスワードを使用して、セキュリティ アプライアンスに接続します。

Inherit チェックボックスをクリアし、 Enable または Disable を選択して、インタラクティブ クライアント認証の要求を有効にするか無効にするかを指定します。このパラメータはデフォルトで無効になっています。

Require Individual User Authentication

この機能を有効にすると、トンネルを介してネットワークにアクセスする場合に、ユーザ認証でハードウェア クライアントの後ろにいる個別のユーザの認証が要求されます。個別のユーザは、設定した認証サーバの順序に従って認証されます。これらのユーザの個別ユーザ認証はデフォルトで無効になっています。グループ内の VPN 3002 デバイスにバナーを表示するには、個別ユーザ認証を有効にする必要があります。

プライマリ セキュリティ アプライアンスで個別ユーザ認証を要求する場合は、すべてのバックアップ サーバでも設定する必要があります。

個別ユーザ認証は、VPN 3002 のプライベート ネットワークの認証されないユーザが中央サイトにアクセスできないように保護します。個別ユーザ認証を有効にした場合、VPN 3002 を介して接続する各ユーザは、トンネルがすでに存在していても、Web ブラウザを開いて手動で有効なユーザ名とパスワードを入力し、セキュリティ アプライアンスの後ろにあるネットワークにアクセスする必要があります。


) ユーザ認証を有効にした場合、コマンドライン インターフェイスを使用してログインすることはできません。ブラウザを使用する必要があります。


セキュリティ アプライアンスの後ろにあるリモート ネットワークがデフォルト ホームページの場合、または、セキュリティ アプライアンスの後ろにあるリモート ネットワークの Web サイトをブラウザで開く場合、VPN 3002 は、ユーザ ログイン用の適切なページをブラウザで開きます。正常にログインすると、元々入力していたページがブラウザに表示されます。

セキュリティ アプライアンスの後ろにあるネットワークにある Web ベースではないリソース(電子メールなど)にアクセスしようとすると、ブラウザを使用して認証を行うまで、接続に失敗します。

認証を行うには、ブラウザの Location フィールドまたは Address フィールドに、VPN 3002 のプライベート インターフェイスの IP アドレスを入力する必要があります。次に、ブラウザは、VPN 3002 のログイン画面を表示します。認証を行うには、Connect/Login Status ボタンをクリックします。

1 人のユーザは、同時に最大 4 セッションのログインを実行できます。個別のユーザは、グループに対して設定した認証サーバの順序に従って認証されます。

アイドル タイムアウトの設定

ハードウェア クライアントの後ろにいる個別のユーザにアイドル タイムアウトを設定するには、Inherit チェックボックスをクリアし、Unlimited チェックボックスを選択してアイドル タイムアウトなしを指定するか、分単位で特定の数値を指定します。アイドル タイムアウトの時間内にハードウェア クライアントの後ろにいるユーザによる通信アクティビティがない場合、セキュリティ アプライアンスは、そのクライアントのアクセスを終了します。


user-authentication-idle-timeout コマンドは、VPN トンネル経由のクライアント アクセスを終了するだけで、VPN トンネル自体は終了しません。


minutes フィールドで、アイドル タイムアウトの時間を分単位で指定します。最小は 1 分、デフォルトは 30 分、最大は 35791394 分です。Inherit チェックボックスと Unlimited チェックボックスの両方をクリアした場合は、minutes フィールドに値を指定する必要があります。

IP Phone バイパスの設定

Cisco IP Phone が、ハードウェア クライアントの後ろにいる個別のユーザの認証をバイパスするようにできます。IP Phone バイパスを有効または無効にするには、Inherit チェックボックスをクリアし、 Enable または Disable を選択します。IP Phone バイパスによって、ハードウェア クライアントの後ろにある IP Phone は、ユーザ認証プロセスを経由せずに接続できるようになります。デフォルトでは、IP Phone バイパスは無効になっています。有効にした場合、セキュア ユニット認証は有効のままです。


) IP Phone 接続にネットワーク拡張モードを使用するように、VPN 3002 を設定する必要があります。


LEAP バイパスの設定

VPN 3002 の後ろにいる LEAP ユーザには、面倒な問題があります。トンネルで中央サイト デバイスの後ろにある RADIUS サーバにクレデンシャルを送信することができないため、LEAP 認証をネゴシエートできません。トンネル経由でクレデンシャルを送信できない理由は、無線ネットワークで認証されていないためです。この問題を解決するために、LEAP バイパスは、個別のユーザ認証の前に LEAP パケット(LEAP パケットだけ)をトンネルで転送し、RADIUS サーバへの無線接続を認証できるようにします。これによって、ユーザは、個別のユーザ認証に進むことができます。

LEAP バイパスは、次の条件下で、意図されたとおりに機能します。

インタラクティブ ユニット認証機能(有線デバイス用)が、無効であること。インタラクティブ ユニット認証が有効の場合、トンネルを使用して LEAP デバイスが接続できるようになる前に、非 LEAP(有線)デバイスが VPN 3002 を認証する必要があります。

個別のユーザ認証が有効であること(有効でない場合、LEAP バイパスを使用する必要はありません)。

無線環境のアクセス ポイントが Cisco Aironet Access Point であること。PC の NIC カードは、他のブランドの製品でもかまいません。

Cisco Aironet Access Point で、Cisco Discovery Protocol(CDP)を実行していること。

VPN 3002 が、クライアント モードまたはネットワーク拡張モードで動作していること(どちらでもかまいません)。

LEAP パケットが、ポート 1645 または 1812 経由で RADIUS サーバへのトンネルに転送されること。

LEAP バイパスが有効の場合、VPN 3002 ハードウェア クライアントの後ろにある無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルに転送されます。このアクションによって、Cisco 無線アクセス ポイント デバイスを使用しているワークステーションは、LEAP 認証を確立してから、もう一度ユーザごとの認証を行います(有効の場合)。デフォルトでは、LEAP バイパスは無効になっています。

Cisco 無線アクセス ポイントからの LEAP パケットが個別のユーザ認証をバイパスできるようにするには、Inherit チェックボックスをクリアして、 Enable を選択します。LEAP バイパスを無効にするには、 Disable を選択します。


) IEEE 802.1X は、有線および無線ネットワークの認証の規格です。この規格は、クライアントと認証サーバの間の強力な相互認証を無線 LAN に提供します。ユーザごと、セッションごとのダイナミック WEP(wireless encryption privacy)鍵を提供することで、スタティック WEP 鍵で発生する管理作業とセキュリティ上の問題を軽減します。

シスコシステムズでは、Cisco LEAP という 802.1X 無線認証タイプを開発しています。LEAP(Lightweight Extensible Authentication Protocol)は、接続の一方の無線クライアントと他方の RADIUS サーバとの間で、相互認証を実装します。認証に使用されるクレデンシャル(パスワードを含む)は、無線メディアで転送される前に必ず暗号化されます。

Cisco LEAP は、RADIUS サーバに対して無線クライアントを認証します。RADIUS アカウンティング サーバは含まれません。


この機能は、インタラクティブ ハードウェア クライアント認証が有効の場合、意図されたとおりに機能しません。


注意 認証されていないトラフィックをトンネルで伝送できるようにすると、ネットワークにセキュリティ上のリスクをもたらす可能性があります。

ネットワーク拡張モードの有効化

ネットワーク拡張モードによって、ハードウェア クライアントは、単一のルート指定可能なネットワークを VPN トンネル経由でリモート プライベート ネットワークに提供できます。IPSec は、ハードウェア クライアントの後ろにあるプライベート ネットワークからセキュリティ アプライアンスの後ろにあるネットワークへのすべてのトラフィックをカプセル化します。PAT は適用されません。そのため、セキュリティ アプライアンスの後ろにあるデバイスは、ハードウェア クライアントの後ろにあるプライベート ネットワークのデバイスに、トンネル経由で(必ずトンネル経由で)直接アクセスできます。逆方向のアクセスも同様に可能です。ハードウェア クライアントがトンネルを開始する必要がありますが、トンネルが開始した後は、どちらの側からもデータの交換を開始できます。

Call Manager は実際の IP アドレスでのみ通信できるため、VPN 3002 が IP Phone 接続をサポートするには、ネットワーク拡張モードが必要です。


) ネットワーク拡張モードを禁止すると(デフォルト設定)、VPN 3002 はこのセキュリティ アプライアンスに PAT モードでのみ接続できるようになります。ここでネットワーク拡張モードを禁止するときは、グループ内のすべての VPN 3002 を PAT モード用に設定してください。ネットワーク拡張モードを使用するように VPN 3002 が設定されていて、接続しようとするセキュリティ アプライアンスがネットワーク拡張モードを禁止している場合、VPN 3002 は 4 秒ごとに接続を試行し、すべての試行が拒否されます。この場合、VPN 3002 は、接続しようとするセキュリティ アプライアンスに不要な処理負荷をかけることになります。多数の VPN 3002 がこのように誤設定されている場合、セキュリティ アプライアンスのサービス提供能力が損なわれます。


ハードウェア クライアントのネットワーク拡張モードを有効または無効にするには、Inherit チェックボックスをクリアし、 Enable または Disable を選択します。

ネットワーク アドミッション コントロールの設定

Add Internal Group Policy または Edit Internal Group Policy ウィンドウの NAC タブ(図2-33)を使用して、デフォルト グループ ポリシーまたは代替グループ ポリシーのネットワーク アドミッション コントロールの設定値を設定できます。

図2-33 NAC タブ

 

このタブのすべてのパラメータは、デフォルトとして、デフォルト グループ ポリシーから値を継承するように設定されています。明示的に設定するパラメータの Inherit チェックボックスをクリアします。このウィンドウのフィールドは、次のとおりです。

Inherit:(複数インスタンス)対応する設定が、その後に続く明示的な指定ではなく、デフォルト グループ ポリシーから値を取得することを示します。このタブのすべてのアトリビュートのデフォルト設定です。

Enable NAC:リモート アクセスに対してポスチャ検証を要求します。リモート コンピュータが検証チェックをパスした場合、ACS サーバは、セキュリティ アプライアンスが適用するアクセス ポリシーをダウンロードします。デフォルト設定は Disable です。

Status Query Timer:セキュリティ アプライアンスは、ポスチャ検証とステータス クエリの応答が成功するたびに、このタイマーを開始します。このタイマーの有効期限が過ぎると、ホスト ポスチャの変化を問い合せるクエリ( ステータス クエリ )が発行されます。秒単位で、30 ~ 1800 の数値を入力します。デフォルト設定は 300 です。

Revalidation Timer:セキュリティ アプライアンスは、ポスチャ検証が成功するたびに、このタイマーを開始します。このタイマーの有効期限が過ぎると、次の無条件ポスチャ検証が実行されます。セキュリティ アプライアンスは、再検証の間、ポスチャ検証を維持します。ポスチャ検証または再検証の際に Access Control Server が使用できない場合、デフォルト グループ ポリシーが有効になります。成功したポスチャ検証の間隔とする時間を秒単位で入力します。範囲は 300 ~ 86400 です。デフォルト設定は 36000 です。

Default ACL:(オプション)ポスチャ検証が失敗した場合、セキュリティ アプライアンスは、選択された ACL に関連付けられているセキュリティ ポリシーを適用します。None を選択するか、リストの拡張 ACL を選択します。デフォルト設定は None です。設定が None のときにポスチャ検証に失敗した場合、セキュリティ アプライアンスはデフォルト グループ ポリシーを適用します。

Manage ボタンを使用して、ドロップダウン リストを読み込み、リストに ACL の設定を表示します。

Manage:ACL Manager ダイアログボックスを開きます。クリックして、標準 ACL および各 ACL の ACE を表示、有効化、無効化、削除します。Default ACL アトリビュートの横のリストに ACL が表示されます。

Posture Validation Exception List:ポスチャ検証からリモート コンピュータを除外する 1 つ以上のアトリビュートが表示されます。少なくとも、エントリごとにオペレーティング システムと Enabled 設定(Yes または No)が表示されます。オプションのフィルタによって、リモート コンピュータの追加のアトリビュートと一致する ACL を識別します。ポスチャ検証からリモート コンピュータを除外するには、オペレーティング システムで構成されたエントリとフィルタの両方に一致する必要があります。セキュリティ アプライアンスは、Enabled 設定が No に設定されているエントリを無視します。

Add:エントリを Posture Validation Exception リストに追加します。

Edit:Posture Validation Exception リストのエントリを修正します。

Delete:エントリを Posture Validation Exception リストから削除します。

グループ ポリシーの WebVPN アトリビュートの設定

WebVPN を使用すると、ユーザが Web ブラウザを使用して、セキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できるようになります。ソフトウェアまたはハードウェア クライアントは必要ありません。WebVPN は、HTTPS インターネット サイトに到達できるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできるようにします。WebVPN は、SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされる内部リソースとの間に、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシ処理が必要な接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。デフォルトでは、WebVPN は無効になっています。

特定の内部グループ ポリシー用に、WebVPN 設定をカスタマイズできます。

Add Internal Group Policy または Edit Internal Group Policy の WebVPN タブで、すべての機能の設定を継承するか、WebVPN アトリビュートをカスタマイズするかを指定できます。次の項で、各アトリビュートについて説明します。

Functions

Content Filtering

Homepage

Port Forwarding

Other(サーバ リスト、URL リストなど)

SSL VPN Client(SVC)

Auto Signon

多くの場合、WebVPN アトリビュートは、WebVPN の設定の一部として定義します。その後、group-policy webvpn アトリビュートを設定するときに、これらの定義を特定のグループに適用します。グループ ポリシーの WebVPN タブのアトリビュートは、WebVPN 経由でのファイル、MAPI プロキシ、URL、および TCP アプリケーションへのアクセスを定義します。また、ACL およびフィルタするトラフィックのタイプも識別します。WebVPN は、デフォルトで無効になっています。WebVPN アトリビュートの設定に関する詳細については、このタブのオンライン ヘルプの WebVPN の説明、『 Cisco Security Appliance Command Line Configuration Guide 』、および『 Cisco Security Appliance Command Reference 』を参照してください。

電子メール プロキシを使用するために、WebVPN を設定する必要はありません。

グループ ポリシーの WebVPN Function タブ アトリビュートの設定

Functions タブ(図2-34)を使用して、基本的な WebVPN 機能を設定できます。有効にする WebVPN 機能(ファイル アクセスや、WebVPN 経由のファイル参照、HTTP プロキシ、MAPI プロキシ、URL 入力など)を設定するには、Inherit チェックボックスをクリアし、有効にするまたは適用する個別機能のチェックボックスを選択します。これらの機能は、デフォルトで無効になっています。

図2-34 Edit Internal Group Policy の WebVPN タブの Functions タブ

 

このタブで設定できる機能は、次のとおりです。

Enable URL entry:ユーザによる URL 入力を有効または無効にし、ホームページに URL 入力ボックスを配置します。有効にした場合も、セキュリティ アプライアンスは、設定済み URL またはネットワーク ACL によって URL を制限します。ユーザは URL 入力ボックスに Web アドレスを入力し、WebVPN を使用してこれらの Web サイトにアクセスできます。URL entry を無効にすると、セキュリティ アプライアンスは、WebVPN ユーザがアクセスできる URL をホームページの URL に制限します。

WebVPN を使用しても、すべてのサイトと安全に通信できることは保証されません。WebVPN は、リモート ユーザの PC またはワークステーションと、企業ネットワークのセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証します。ユーザが(インターネットまたは内部ネットワークにある)非 HTTPS Web リソースにアクセスした場合、企業のセキュリティ アプライアンスから目的の Web サーバへの通信は安全ではありません。

WebVPN 接続では、エンド ユーザの Web ブラウザと目的の Web サーバとの間で、セキュリティ アプライアンスはプロキシとして機能します。WebVPN ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュア接続を確立し、サーバの SSL 認証を検証します。エンド ユーザのブラウザは、提供された証明書を受け取らないため、証明書の検査と検証ができません。現在の WebVPN の実装では、有効期限が切れた証明書を提供するサイトとの通信は許可されません。また、セキュリティ アプライアンスは、信頼済み CA 証明書の検証も実行しません。そのため、WebVPN ユーザは、SSL 対応 Web サーバと通信する前に、提供される証明書を分析できません。

WebVPN ユーザのインターネット アクセスを制限するには、Enable URL Entry フィールドを選択解除します。これによって、WebVPN ユーザは、WebVPN 接続中に Web サーフィンができなくなります。

Enable file server access:HTTPS を介した Windows ファイル アクセス(SMB/CIFS ファイルのみ)を有効または無効にします。有効にすると、WebVPN ホームページのサーバ リストにファイル サーバが表示されます。ファイル閲覧やファイル入力を有効にするには、ファイル アクセスを有効にする必要があります。

このボックスを選択すると、ユーザはネットワーク上の Windows ファイルにアクセスできるようになります。WebVPN ファイル共有用にこのパラメータだけを有効にした場合、ユーザは Servers and URLs 領域で設定されたサーバにのみアクセスできます(「WebVPN の Other タブを使用したサーバ引数およびリスト引数の設定」の説明を参照してください)。ユーザがサーバに直接アクセスしたり、ネットワーク上のサーバを参照できるようにするには、Enable file server entry および Enable file server browsing アトリビュートの説明を参照してください。

このチェックボックスを選択すると、ユーザはファイルのダウンロード、編集、削除、名前変更、移動ができるようになります。ファイルとフォルダの追加もできます。

適切な Windows サーバへのユーザ アクセスを行うために、共有も設定する必要があります。ネットワーク要件によっては、ファイルにアクセスする前に、ユーザの認証が必要になります。

ファイル アクセス、サーバ/ドメイン アクセス、および参照を行うには、WINS サーバまたはマスター ブラウザ(通常、セキュリティ アプライアンスと同じネットワーク、またはそのネットワークから到達可能なネットワークに存在)を設定する必要があります。WINS サーバまたはマスター ブラウザは、セキュリティ アプライアンスにネットワーク上のリソースのリストを提供します。代わりに DNS サーバを使用することはできません。


ダイナミック DNS を同時に使用している場合、Active Native Directory 環境でファイル アクセスはサポートされません。WINS サーバを同時に使用している場合にサポートされます。


Enable file server entry:ユーザがファイル サーバ名を入力できるようにするかどうかを決定します。ファイル サーバ入力ボックスは、ポータル ページに配置されます。ファイル サーバ アクセスが有効になっている必要があります。

このチェックボックスを選択すると、ユーザは Windows ファイルのパス名を直接入力できるようになります。ファイルのダウンロード、編集、削除、名前変更、移動ができます。ファイルとフォルダの追加もできます。ここでも、適切な Windows サーバへのユーザ アクセスを行うために、共有も設定する必要があります。ネットワーク要件によっては、ファイルにアクセスする前に、ユーザの認証が必要になります。

Enable file server browsing:Windows ネットワークでのファイル、ドメイン/ワークグループ、ファイル サーバ、および共有の参照を有効または無効にします。ユーザによるファイル サーバの入力を許可するには、ファイル参照を有効にする必要があります。ファイル サーバ アクセスが有効になっている必要があります。

このチェックボックスを選択すると、ユーザがドメインおよびワークグループを選択し、そのドメイン内のサーバおよび共有を参照できるようになります。適切な Windows サーバへのユーザ アクセスを行うために、共有も設定する必要があります。ネットワーク要件によっては、サーバにアクセスする前に、ユーザの認証が必要になります。

Enable auto applet download:ユーザが WebVPN にログインしたときに、ポート転送 Java アプレットを自動的にダウンロードし、起動できるようにします。デフォルトでは無効になっています。この機能は、ポート転送、Outlook/Exchange プロキシ、または HTTP プロキシも有効になっている場合にだけ有効にできます。自動アプレット ダウンロードは、デフォルト グループ ポリシー(DfltGrpPolicy)またはユーザ定義のグループ ポリシーでも有効にできます。

Enable port forwarding:WebVPN ポート転送を使用すると、グループ内のリモート ユーザが既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできるようになります。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。


) ポート転送は、一部の SSL/TLS バージョンでは機能しません。


このチェックボックスを選択すると、ローカルおよびリモート システムの TCP ポートをマッピングすることによって、ユーザがクライアント/サーバ アプリケーションにアクセスできるようになります。


) デジタル証明書を使用してユーザを認証する場合、TCP ポート転送 JAVA アプレットは機能しません。JAVA は Web ブラウザのキーストアにアクセスできません。そのため JAVA は、ブラウザがユーザ認証に使用する証明書を使用できず、アプリケーションを起動できません。アプリケーションにアクセスできるようにする場合は、WebVPN ユーザの認証にデジタル証明書を使用しないでください。


Enable Outlook/Exchange proxy:Microsoft Outlook/Exchange 電子メール プロキシを有効または無効にします。

Apply Web-type ACL:このグループのユーザに定義した WebVPN アクセス コントロール リストを適用します。

Enable HTTP proxy:クライアントへの HTTP アプレット プロキシの転送を有効または無効にします。プロキシは、Java、ActiveX、Flash など、適切なコンテンツ トランスフォーム(細分化)と干渉する技術にとって役立ちます。セキュリティ アプライアンスを使用しながら、細分化をバイパスします。転送プロキシは、ブラウザの古いプロキシ設定を自動的に修正し、すべての HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。HTML、CSS、JavaScript、VBScript、ActiveX、Java など、事実上すべてのクライアント サイド テクノロジーをサポートします。サポートされるブラウザは Microsoft Internet Explorer だけです。

Enable Citrix/MetaFrame:MetaFrame Application Server からクライアントへのターミナル サービスのサポートを有効にします。このアトリビュートを使用すると、セキュアな Citrix 設定内でセキュリティ アプライアンスがセキュア ゲートウェイとして機能できるようになります。これらのサービスは、ユーザが MetaFrame アプリケーションに標準 Web ブラウザでアクセスできるようにします。

Content Filtering タブ アトリビュートの設定

Content Filtering タブ( 図2-35 )を使用して、Web サイトのうち Java または Active X を使用する部分、スクリプトを使用する部分、画像を表示する部分、および cookie を配信する部分をブロックまたは削除するように、セキュリティ アプライアンスを設定できます。デフォルトでは、これらのパラメータは無効になっていて、フィルタリングは行われません。WebVPN フィルタを設定するには、Inherit チェックボックスをクリアし、有効にする個別のフィルタのチェックボックスを選択します。これらの機能は、デフォルトで無効になっています。

図2-35 Edit Internal Group Policy の WebVPN タブの Content Filtering タブ

 

このタブで設定できるフィルタは、次のとおりです。

Filter Java/ActiveX:Java および ActiveX への参照を削除します。つまり、<applet>、<embed>、および <object> タグを HTML から削除します。

Filter scripts:スクリプトへの参照を削除します。つまり、<script> タグを HTML から削除します。

Filter images:<img> タグを HTML から削除します。画像を削除すると、Web ページの配信が大幅に高速化されます。

Filter cookies from images:画像で配信される cookie を削除します。広告主は cookie を使用して訪問者を追跡するため、これによってユーザのプライバシーが保護されます。

ユーザ ホームページの設定

ASDM を使用して、ユーザがログインしたときに表示されるホームページをカスタマイズできます。ホームページのカスタマイゼーション(色、ロゴなど)は、WebVPN 設定の一部として定義し、特定のグループ ポリシーを設定するときにカスタマイゼーションを適用します。Add Group Policy または Edit Group Policy ウィンドウの WebVPN タブの Homepage タブ(図2-36)を使用して、ユーザがログインしたときに表示されるホームページを設定できます(ホームページがある場合)。また、ログイン Web ページのルックアンドフィールを変更するために適用する、前に定義したカスタマイゼーションの名前を指定できます。デフォルトのホームページはありません。カスタマイゼーションのデフォルトは、カスタマイゼーションなしです。Web ページ カスタマイゼーション設定の詳細については、Configuration > VPN > WebVPN > Webpage Customization のオンライン ヘルプを参照してください。

図2-36 Edit Internal Group Policy の WebVPN タブの Homepage タブ

 

Webpage Customization アトリビュートを指定するには、Inherit チェックボックスをクリアし、ドロップダウン メニューからカスタマイゼーションの名前を選択するか、 New をクリックして新しいカスタマイゼーションを定義します。 New をクリックすると、Add Customization Object ダイアログボックスが開きます。このダイアログボックスの Homepage タブをクリックして、ユーザ ホームページのカスタマイゼーションを設定します。その他のタブでは、ユーザに対して表示するさまざまな GUI ページに適用するその他の Web ページ カスタマイゼーションを設定します。Web ページ カスタマイゼーションの設定方法の詳細については、ダイアログボックスのオンライン ヘルプを参照してください。

カスタマイゼーションを指定するかどうかにかかわらず、ユーザがログインしたときに表示される特定のホームページを指定できます。デフォルトのホームページはありません。このグループのユーザがログインしたときに表示される Web ページの URL を指定するには、Custom Homepage 領域の Inherit チェックボックスをクリアして、 Specify URL を選択します。 http または https (デフォルト)を選択して、ホームページの接続プロトコルとして http または https を選択します。文字 :// の右のフィールドで、ホームページとして使用する Web ページの URL を指定します。

設定したホームページを削除するには、 Use None を選択します。ヌル値が設定され、ホームページが無効になり、継承もされません。

グループ ポリシーのポート転送(WebVPN アプリケーション アクセス)の有効化

ポート転送はアプリケーション アクセスとも呼ばれ、WebVPN ユーザがリモート接続経由でアクセスできるアプリケーションのリストを制御できます。デフォルトでは、ポート転送は無効になっています。Add Group Policy または Edit Group Policy ウィンドウの WebVPN タブの Port Forwarding タブ(図2-37)を使用して、ポート転送パラメータを設定できます。

図2-37 Edit Internal Group Policy の WebVPN タブの Port Forwarding タブ

 

ポート転送で使用できるようにするアプリケーションのリストは、WebVPN 設定の一部として、またはグループ ポリシーの Port Forwarding タブで設定します。ポート転送をグループ ポリシーに適用するには、Inherit チェックボックスをクリアして、次のフィールドを設定します。

Port Forwarding List:ポート転送リストをデフォルト グループ ポリシーから継承するか、リストから選択するか、新しいポート転送リストを作成するかを指定します。デフォルトは None で、ポート転送リストは継承されません。

新しいポート転送アプリケーション リストを作成するには、 New をクリックします。New をクリックすると、新しいポート転送リストを追加できるダイアログボックスが開きます。Add Port Forwarding List または Edit Port Forwarding List ウィンドウの説明を参照してください。

Applet Name:アプレット名を継承するか、このフィールドで指定した名前を使用するかを指定します。この名前を指定して、エンド ユーザに対してポート転送を識別します。設定した名前は、エンド ユーザ インターフェイスで、ホットリンクとして表示されます。ユーザがこのリンクをクリックすると、Java アプレットによって、設定されているポート転送アプリケーションのリストを表示してアクセスできるようにするウィンドウが開きます。デフォルトのアプレット名は Application Access です。

Add Port Forwarding List または Edit Port Forwarding List ダイアログボックス(図2-38)を使用して、追加または修正されるグループ ポリシーの WebVPN ユーザの新しいポート転送リスト エントリの設定、または既存のエントリの修正ができます。

図2-38 Add Port Forwarding List ダイアログボックス

 

ポート転送リストを追加するには、 Add をクリックして、次のフィールドを設定します。既存のポート転送リストを編集するには、テーブル領域のリスト エントリを選択して、 Edit をクリックし、適切なフィールドを設定します。ポート転送エントリをこのリストから削除するには、 Delete をクリックします。フィールドの説明は次のとおりです。

List Name:このポート転送リストの名前を指定します。リスト エントリがすでに存在する場合、Add、Edit、および Delete ボタンがアクティブになります。リスト名の下のテーブルには、次のカラムがあります。

Local TCP Port:このリストのローカル TCP ポートを指定します。

Remote Server:リモート ピアの名前または IP アドレスを指定します。

Remote TCP Port:リモート ピアが使用する TCP ポートを指定します。

Description:このリストの簡単な説明を提供します。


) ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションだけをサポートします。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしません。たとえば、ポート 22 を使用する SecureFTP は WebVPN ポート転送で機能しますが、ポート 20 と 21 を使用する標準 FTP は機能しません。


WebVPN の Other タブを使用したサーバ引数およびリスト引数の設定

Add Group Policy または Edit Group Policy ウィンドウの WebVPN タブの Other タブ(図2-39)を使用して、サーバと URL のリストおよび Web-type ACL ID を設定できます。

図2-39 Edit Internal Group Policy の WebVPN タブの Other タブ

 

このタブを使用して、次のように、サーバ機能および管理機能の組み合せを設定できます。個別のフィールドを設定するには、そのフィールドの Inherit チェックボックスをクリアします。

Servers and URL Lists は、サーバおよび URL のリストを継承するか、既存のリストを選択するか、新しいリストを作成するかを指定します。ドロップダウン メニューからリスト名を選択するか、 New をクリックしてAdd Server and URL List ダイアログボックス(図2-40)を開き、新しいサーバまたは URL をリストに追加します。このダイアログボックスで追加した URL 表示名は、Add Internal Group Policy または Edit Internal Group Policy の WebVPN タブの Other タブ ウィンドウで、Servers and URL Lists 引数のリストに表示されます。URL リストのエントリの順序を変更するには、 Move Up または Move Down をクリックします。デフォルトの URL リストはありません。

図2-40 Add Server and URL List ダイアログボックス

 

ACL を設定して、このグループ ポリシーでさまざまなトラフィック タイプを許可または拒否します。次に、これらの ACL を WebVPN トラフィックに 適用 します。Web-Type ACL ID は、このグループ ポリシーの WebVPN 接続に適用するアクセスリスト名を指定します。Inherit チェックボックスをクリアした場合は、使用する既存の Web-Type ACL の ID を選択するか、Web-Type ACL を追加または修正します。アクセスリストを削除して、フィルタ値の継承も行わないようにするには、ドロップダウン リストから None を選択します。

Manage をクリックすると ACL Manager ダイアログボックス(図2-9)が開き、Web-Type ACL を管理できます。

Add ACL、Add ACE、または Edit ACE をクリックすると、ダイアログボックスが開き、対応する機能を実行できます。これらのダイアログボックスのフィールドの詳細については、「ACL フィルタの設定」を参照してください。

Web-Type ACL を追加した後で Add ACE をクリックすると、その ACL を設定できます。Add ACE ダイアログボックスが開き、他の ACL および ACE と同様に、アクション(許可/拒否)、フィルタ(URL または IP アドレス、サブネット マスク、およびポート)、syslog オプション、および時間範囲名を設定できます。


) WebVPN で ACL フィルタリングを使用するには、WebVPN-Type ACL をここで定義する必要があります。WebVPN は、ACL Manager で定義された ACL を使用しません。


SSO Server アトリビュートは、シングルサインオン(SSO)サーバ設定を継承するか、既存の SSO サーバをリストから選択するか、新しい SSO サーバを追加するかを指定します。シングルサインオンのサポートは、WebVPN でのみ使用でき、ユーザが複数回ユーザ名とパスワードを入力せずに、異なるサーバの異なるセキュア サービスにアクセスできるようにします。SSO サーバに割り当てられるデフォルト ポリシーは DfltGrpPolicy です。割り当てを削除し、デフォルト ポリシーからの継承を行わないようにするには、ドロップダウン リストから None を選択します。


) このアトリビュートを使用するには、設定に CA SiteMinder を含める必要があります。


New をクリックすると Add SSO Server ダイアログボックス(図2-41)が開き、新しいサーバをリストに追加できます。

図2-41 Add SSO Server

 

このダイアログボックスのフィールドは、次のように設定します。

Server Name フィールドでサーバ名を指定します。この名前は、Add Internal Group Policy または Edit Internal Group Policy の WebVPN タブの Other タブで、SSO Server アトリビュートのドロップダウン メニューに表示されます。サーバを追加ではなく編集する場合、このフィールドは表示専用です。選択した SSO サーバの名前が表示されます。

Authentication Type フィールドは表示専用です。SSO サーバのタイプが表示されます。現在、セキュリティ アプライアンスがサポートするタイプは SiteMinder です。

URL フィールドで、ドロップダウン メニューからプロトコル(http または https)を選択します。次に、セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を入力します。

SSO サーバへの認証要求を暗号化するには、使用する秘密鍵を Secret Key に入力します。鍵に使用する文字には、通常の英数字と、シフト キーを押して入力した英数字を使用できます。最小文字数または最大文字数の制限はありません。秘密鍵はパスワードに似ており、作成、保存、設定ができます。Cisco Java プラグイン認証スキームを使用して、セキュリティ アプライアンスと SiteMinder Policy Server の両方で設定します。

Maximum Retries フィールドには、失敗した SSO 認証試行をセキュリティ アプライアンスが再試行する回数を入力します。この回数を超えて失敗すると認証タイムアウトになります。範囲は 1 ~ 5 回で、1 回と 5 回も含まれます。デフォルトは 3 回です。

Request Timeout フィールドには、失敗した SSO 認証試行をタイムアウトさせるまでの秒数を入力します。範囲は 1 ~ 30 秒で、1 秒と 30 秒も含まれます。デフォルトは 5 秒です。

HTTP Compression は、HTTP Compression の設定をデフォルト グループから継承するか、明示的に HTTP 圧縮を有効または無効にするかを指定します。特定のグループ ポリシーの SVC 接続で HTTP データの圧縮を有効または無効にするには、Inherit チェックボックスをクリアし、それぞれ Enable または Disable を選択します。デフォルトでは、SVC 圧縮は有効です。

ネットワーク デバイスは、短いキープアライブ メッセージを交換して、デバイス間の仮想回線がアクティブであることを確認します。このメッセージの長さは変動します。Keepalive Ignore アトリビュートを使用して、セッション タイマーをアップデートするときに、指定したサイズ以下のすべてのメッセージをトラフィックではなくキープアライブ メッセージと見なすようセキュリティ アプライアンスに指示できます。範囲は 0 ~ 900 KB です。デフォルトは 4 KB です。

Deny Message アトリビュートは、WebVPN には正常にログインできたが VPN 権限がないリモート ユーザに配信するメッセージを次のように設定します。

Inherit チェックボックスを選択して、WebVPN には正常にログインできたが VPN 権限がないリモート ユーザに送信するメッセージをデフォルト グループから継承します。

Inherit チェックボックスをクリアし、フィールドのテキストを消去して、WebVPN には正常にログインできたが VPN 権限がないリモート ユーザにメッセージを送信しないようにします。

Inherit チェックボックスをクリアし、このフィールドで、WebVPN には正常にログインできたが VPN 権限がないリモート ユーザに送信するメッセージを作成または修正します。メッセージは 491 文字までの英数字で、特殊文字、スペース、句読点を使用できます。ただし、引用符は使用できません。復帰/改行は、2 文字としてカウントされます。テキストは、ログイン時に、リモート ユーザのブラウザに表示されます。デフォルトの拒否メッセージは、「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」です。

SSL VPN Client タブ アトリビュートの設定

SSL VPN Client(SVC)は、ネットワーク管理者が IPSec VPN クライアントをリモート コンピュータにインストールし、設定する必要なしに、リモート ユーザが IPSec VPN を利用できるようにする VPN トンネリング技術です。SVC は、すでにリモート コンピュータにある SSL 暗号化と、セキュリティ アプライアンスの WebVPN ログインおよび認証を使用します。

SVC セッションを確立するには、リモート ユーザがブラウザにセキュリティ アプライアンスの WebVPN インターフェイスの IP アドレスを入力します。ブラウザがそのインターフェイスに接続し、WebVPN ログイン画面が表示されます。ユーザがログインと認証を終了し、セキュリティ アプライアンスがこのユーザを SVC が 必要な ユーザとして識別した場合、セキュリティ アプライアンスはリモート コンピュータに SVC をダウンロードします。セキュリティ アプライアンスがこのユーザを SVC が オプションで 使用できるユーザとして識別した場合、セキュリティ アプライアンスは SVC のインストールをスキップするリンクをユーザ画面に表示して、リモート コンピュータに SVC をダウンロードします。

ダウンロード後、SVC は自己インストールおよび設定を行い、接続が終了したときに、(設定に応じて)リモート コンピュータに残るか、自己アンインストールします。

セキュリティ アプライアンスは、異なるリモート コンピュータのオペレーティング システム用に、複数の一意の SVC イメージをキャッシュ メモリに常駐させることができます。ユーザが接続しようとしたとき、セキュリティ アプライアンスは、イメージとオペレーティング システムが一致するまで、これらのイメージの一部を連続してダウンロードします。一致すると、SVC の全体をダウンロードします。リモート コンピュータのオペレーティング システムと最も一致する可能性が高いイメージが最初にダウンロードされるように SVC イメージを並べ替えて、接続セットアップ時間を最小にできます。SVC のインストールおよび使用の詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』の第 31 章「Configuring SSL VPN Client」を参照してください。

この設定ガイドの章の説明に従い、SVC を有効にした後、特定のグループに対して SVC を使用可能または必須にできます。この機能はデフォルトで無効になっています。SVC を使用可能または必須にする場合は、この項で説明するように、svc コマンドの連続を有効にできます。

Edit Internal Group Policy ウィンドウの WebVPN タブの SSL VPN タブ(図2-42)を使用して、SSL VPN Client の接続の設定値を設定できます。各アトリビュートは、デフォルト グループ ポリシーから値を継承することも、Inherit チェックボックスをクリアして明示的に個別のアトリビュートを設定することもできます。

図2-42 Edit Internal Group Policy の WebVPN タブの SSL VPN Client タブ

 

SSL VPN Client アトリビュートは、次のように設定します。

Use SSL VPN Client の Inherit チェックボックスをクリアし、Always、Optional、または Never を選択して、いつ SSL VPN Client を使用するかを指定します。

Keep Installer on Client System は、永続的な SVC インストールを有効にし、SVC の自動アンインストール機能を無効にします。 Yes を選択すると、セキュリティ アプライアンスがリモート コンピュータに SVC ファイルをダウンロードし、SVC は後続の SVC 接続用にリモート コンピュータ上にインストールされたままとなり、リモート ユーザの SVC 接続時間を短縮できます。No を選択すると、セキュリティ アプライアンスは SVC ファイルをダウンロードしません。デフォルトでは、このアトリビュートは無効になっています。

Compression は、SVC 接続での圧縮を有効または無効にします。SVC 圧縮を行うと、転送されるパケットのサイズが減少するため、セキュリティ アプライアンスと SVC 間の通信パフォーマンスが向上します。

Keepalive Messages アトリビュートは、キープアライブ メッセージの頻度を 15 ~ 600 秒の範囲で調整し、プロキシ、ファイアウォール、または NAT デバイスが接続のアイドル時間を制限する場合でも、これらのデバイスを経由する SVC 接続が開いたままになるようにします。Enable をクリックすると、Interval フィールドがアクティブになります。プロキシ、ファイアウォール、または NAT デバイスが接続のアイドル時間を制限する場合でも、これらのデバイスを経由する SVC 接続が開いたままになるように、キープアライブ メッセージの間隔(頻度)を調整できます。また、頻度を調整すると、リモート ユーザが Microsoft Outlook や Microsoft Internet Explorer などのソケットベース アプリケーションをアクティブに実行していない場合に、切断して再接続することがなくなります。

Key Renegotiation Settings 領域のアトリビュートは、再ネゴシエーションの間隔と方式を定義します。セキュリティ アプライアンスと SVC が鍵の再生成を実行するとき、接続のセキュリティを高めるために、暗号鍵と初期ベクトルを再ネゴシエートします。

Renegotiation Interval は、セッション開始から鍵の再生成が実行されるまでの時間を分単位で指定します。指定できる値は Unlimited または 1 ~ 10080(1 週間)です。

Renegotiation Method は、SVC の鍵の再生成の際に SVC が新しいトンネルを確立するかどうかを指定します。None を選択すると、SVC の鍵の再生成が無効になります。SSL を選択すると、SVC の鍵の再生成の際に、SSL の再ネゴシエーションが実行されます。New tunnel を選択すると、SVC の鍵の再生成の際に、SVC が新しい VPN トンネルを作成します。

Dead Peer Detection (DPD) 領域のアトリビュートは、セキュリティ アプライアンス(ゲートウェイ)または SVC が、ピアが応答しない状態、および接続が失敗した状態を早く検出できるようにします。この領域で選択したアトリビュートによって、接続のどちら側で DPD を実行するかが決まります。次のアトリビュートのどちらも、Inherit チェックボックスと Enable チェックボックスをクリアし、Interval フィールドをブランクのままにすると、そのアトリビュートが無効になります。

Gateway Side Detection は、セキュリティ アプライアンス(ゲートウェイ)による DPD 実行を有効にし、セキュリティ アプライアンスが DPD を実行する頻度を 30 ~ 3600 秒(1 時間)の範囲で指定します。disable を選択すると、セキュリティ アプライアンスによる DPD の実行が無効になります。

Client Side Detection は、SVC(クライアント)による DPD 実行を有効にし、SVC が DPD を実行する頻度を 30 ~ 3600 秒(1 時間)の範囲で指定します。

Auto Signon タブ アトリビュートの設定

WebVPN タブの Auto Signon タブ(図2-43)を使用して、WebVPN ユーザの自動サインオンを設定または編集できます。

図2-43 WebVPN の Auto Signon タブ

 

自動サインオンは、内部ネットワークに SSO 方式をまだ展開していない場合に使用できる簡素化された単一サインオン方式です。SSO は、Computer Associates の SiteMinder SSO サーバを使用してすでに展開しています。

Computer Associates の SiteMinder SSO サーバを使用して SSO を展開し、このソリューションをサポートするようにセキュリティ アプライアンスを設定することもできます。HTTP Forms プロトコルを用いる SSO を使用して、この方式をサポートするようにセキュリティ アプライアンスを設定できます。特定の内部サーバに対して自動サインオンを設定すると、セキュリティ アプライアンスは、WebVPN ユーザがセキュリティ アプライアンスへのログインに使用したログイン クレデンシャルをこれらの内部サーバに渡します。特定の範囲のサーバの特定の認証方式に応答するように、セキュリティ アプライアンスを設定します。セキュリティ アプライアンスが応答するように設定できる認証方式は、NTLM 認証、HTTP Basic 認証、またはこれらの両方です。

この項では、自動サインオンを行うように SSO をセットアップする手順について説明します。Auto Signon タブの Inherit チェックボックス以外のフィールドは、Add Auto Signon Entry または Edit Auto Signon Entry ダイアログボックス(図2-44)と同じです。

図2-44 Add Auto Signon Entry ダイアログボックス

 

エントリのフィールドを設定または修正するときは、次の説明に従ってください。

Inherit:(Auto Signon タブのみ)このチェックボックスをクリアし、WebVPN ログイン クレデンシャルを使用して、特定の内部サーバにログインできるようにします。

IP Address:次の Mask と組み合せて、認証されるサーバの IP アドレスの範囲を Add/Edit Auto Signon ダイアログボックスで設定されたとおりに表示します。サーバは、サーバの URI またはサーバの IP アドレスとマスクで指定できます。

Mask:前の IP Address と組み合せて、Add/Edit Auto Signon ダイアログボックスで自動サインオンをサポートするように設定されたサーバの IP アドレスの範囲を表示します。

URI:Add/Edit Auto Signon ダイアログボックスで設定されたサーバを識別する URI マスクを表示します。

Authentication Type:認証タイプを Add/Edit Auto Signon ダイアログボックスで設定されたとおりに表示します(Basic HTTP、NTLM、または Basic and NTLM)。

Add/Edit:(Auto Signon タブのみ)クリックして、自動サインオン命令を追加または編集します。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

Delete:(Auto Signon タブのみ)クリックすると、Auto Signon テーブルで選択した自動サインオン命令が削除されます。

これで、内部グループ ポリシーの設定が完了しました。